Análise de Segurança Física em Conformidade Com A Norma Abnt NBR Iso Iec 17799

FACULDADES INTEGRADAS ICESP
CURSO DE TECNOLOGIA EM SEGURANA DA INFORMAO
IVAN JORGE CHUERI SALGADO

RONALDO BANDEIRA
RIVANILDO SANCHES DA SILVA
Anlise de Segurana Fsica em Conformidade com a Norma

ABNT NBR ISO/IEC 17799
BRASLIA
2004

RONALDO BANDEIRA

Monografia apresentada como requisito parcial, para a concluso do

curso de Tecnologia em Segurana da Informao.
Orientador: Prof. Reinaldo Mangialardo
BRASLIA
2004
FACULDADES INTEGRADAS ICESP

CURSO DE TECNOLOGIA EM SEGURANA DA INFORMAO

RONALDO BANDEIRA

Monografia apresentada como requisito parcial, para a concluso do
curso de Tecnologia em Segurana da Informao.
Aprovada por:
_________________________________________
Prof. Reinaldo Mangialardo
_________________________________________
Prof.
_________________________________________
Prof.
BRASLIA
2004
DEDICATRIA
Ivan Jorge Chueri Salgado:

Ao meu filho Rodrigo, que, com apenas 10 anos de idade, teve maturidade, sabedoria e
respeito aos limites impostos pelas necessidades acadmicas e desenvolvimento humano.
Ronaldo Bandeira:
A meus pais e minha namorada, pela pacincia, dando-me todo o apoio necessrio
concluso desta obra.
Rivanildo Sanches da Silva:

Dedico este trabalho aos meus pais e minha famlia, que sempre me apoiaram e estiveram ao
meu lado em todos os momentos e principalmente a Deus que me deu a oportunidade de viver
todos estes instantes de minha vida.
AGRADECIMENTOS
Ivan Jorge Chueri Salgado:

Ana Maria Azevedo, pelo incentivo na minha retomada aos estudos e pela pacincia diante
das dificuldades impostas pela falta de ateno e dedicao famlia, e tambm, ao meu
amigo Ronaldo que dividiu grande parte das incertezas e dos momentos mais brilhantes desta
obra.
Ronaldo Bandeira:
Ao meu amigo Ivan, pela grande contribuio do seu conhecimento a esta obra, e pelo seu
empenho.
Rivanildo Sanches da Silva:

A Deus, aos nossos amigos que contriburam para realizao deste trabalho, aos professores
Reinaldo Mangialardo e professora Paula pelo apoio e dedicao.
LISTA DE ABREVIATURAS
ABNT Associao Brasileira de Normas Tcnicas

BS British Standard (Padro Britnico)
CFTV Circuito Fechado de TV
CPD Centro de Processamento de Dados
CPU - Unidade Central de Processamento
IEC - International Electrotechnical Commission (Comisso Eletrotcnica Internacional)
ISO International Organization for Standardization (Organizao Internacional de
Padronizao)
NFPA National Fire Protection Association (Associao Nacional de Proteo Contra
Fogo)
PCN Plano de Continuidade de Negcio
PIN - Personal identification number (Nmero de identificao individual)
UPS Uninterruptable Power Supply (Suprimento Ininterrupto de Energia)
SUMRIO
1
INTRODUO ........................................................................................................... 11
1.1
Justificativa .............................................................................................................. 17
1.2
Objetivos.................................................................................................................. 20
1.3
Escopo do Projeto..................................................................................................... 22
1.3.1
Descrio das reas envolvidas ............................................................................. 22
1.4
ESTRUTURA ORGANIZACIONAL ...................................................................... 24
1.5
RECURSOS DO PROJETO ..................................................................................... 26
1.6
REFERENCIAL TERICO ..................................................................................... 26
1.7
METODOLOGIA .................................................................................................... 27
2
SEGURANA E SEUS COMPONENTES .................................................................. 31
2.1
Poltica de segurana ................................................................................................ 43
2.2
Segurana organizacional ......................................................................................... 45
2.2.1
Infra-estrutura da segurana da informao........................................................... 45
2.2.2
Segurana no acesso de prestadores de servios.................................................... 49
2.3
Classificao e controle dos ativos de informao .................................................... 51
2.4
Segurana em pessoas .............................................................................................. 53
2.5
Segurana fsica e do ambiente................................................................................. 58
2.5.1
reas de segurana ............................................................................................... 60
2.5.2
Segurana dos equipamentos ................................................................................ 67
2.5.3
Controles gerais.................................................................................................... 74
2.6
Conformidade .......................................................................................................... 76
2.6.1
Conformidade com requisitos legais ..................................................................... 76
2.7
Anlise da poltica de segurana e da conformidade tcnica ..................................... 80
2.8
Mecanismos e dispositivos de segurana .................................................................. 82
2.8.1
Infra-Estrutura do Data Center ............................................................................. 82
2.8.2
Acesso ao CPD..................................................................................................... 86
3
ESTUDO DE CASO .................................................................................................... 92
3.1
Poltica de segurana ................................................................................................ 92
3.1.1
Situao Atual em Relao Poltica de Segurana .............................................. 92
3.1.1.1 Comit Gestor ...................................................................................................... 92
3.1.2
Recomendaes quanto Poltica de Segurana.................................................... 93
3.1.3
Plano de Ao ...................................................................................................... 95
3.2
Segurana organizacional ......................................................................................... 98
3.2.1
Responsabilidades do Comit de Segurana.......................................................... 99
3.2.2
Coordenao do Comit de Segurana na ELECTRA ......................................... 100
3.2.3
Situao Atual em relao Segurana Organizacional ...................................... 102
3.2.4
Recomendaes quanto Segurana Organizacional da ELECTRA ................... 104
3.2.5
Plano de Ao .................................................................................................... 106
3.3
Classificao e controle dos ativos de informao .................................................. 112
3.3.1
Classificao das informaes ............................................................................ 115
3.3.2
Recomendaes sobre os Ativos e Classificao das informaes....................... 119
3.3.3
Plano de Ao .................................................................................................... 119
3.4
Segurana em pessoas ............................................................................................ 124
3.4.1
Terceirizao...................................................................................................... 127
3.4.2
Fatores humanos................................................................................................. 129
3.4.3
Situao atual em relao Segurana em Pessoas/Fatores Humanos ................. 135
3.4.4
Recomendaes em relao Segurana em Pessoas .......................................... 136
3.4.5
Plano de Ao .................................................................................................... 139
3.5
Segurana fsica e do ambiente............................................................................... 148
3.5.1
Segurana em equipamentos............................................................................... 155
3.5.2
Suprimento de energia eltrica............................................................................ 158
3.5.3
Manuteno dos equipamentos ........................................................................... 161
3.5.4
Diretrizes de proteo......................................................................................... 164
3.5.5
Situao atual do Data Center em relao Segurana Fsica............................. 165
3.5.6
Recomendaes de Segurana Fsica do Data Center ......................................... 177
3.5.6.1 Recomendaes especficas da ELECTRA .......................................................... 177
3.5.6.2 Recomendaes especficas do Data Center ....................................................... 179
3.5.7
Plano de Ao .................................................................................................... 191
3.6
Conformidade ........................................................................................................ 214
3.6.1
Preservao dos registros da ELECTRA ............................................................. 216
3.6.2
Situao atual em relao Conformidade.......................................................... 220
3.6.3
Recomendaes sobre a conformidade................................................................ 223
3.6.4
Plano de Ao .................................................................................................... 224
3.7
Plano de Ao Geral (Todos os Mdulos Analisados)............................................. 226
4
ANLISE DE RESULTADOS .................................................................................. 229
5
CONCLUSO ........................................................................................................... 230
6
REFERNCIAS BIBLIOGRFICAS ........................................................................ 232
APNDICE A ................................................................................................................... 234
APNDICE B.................................................................................................................... 239
APNDICE C.................................................................................................................... 251
APNDICE D ................................................................................................................... 307
ANEXO A ......................................................................................................................... 312
ANEXO B ......................................................................................................................... 322
GLOSSRIO..................................................................................................................... 323
LISTA DE FIGURAS
Figura 1 - Evoluo da Norma BS 17799 ............................................................................. 12

Figura 2 - Principais ameaas segurana da informao..................................................... 14
Figura 3 - Principais pontos de invaso ................................................................................ 15
Figura 4 - Principais medidas de segurana j implementadas .............................................. 15
Figura 5 - Organograma Geral da ELECTRA....................................................................... 22
Figura 6 - Ciclo da Segurana da Informao ....................................................................... 39
Figura 7 - Layout atual do piso da garagem ........................................................................ 235
Figura 8 - Layout atual do piso do Data Center.................................................................. 235
Figura 9 - Layout atual do pavimento trreo ....................................................................... 236
Figura 10 - Layout atual do pavimento tipo ........................................................................ 236
Figura 11`- Sugesto de layout para o 2o. Sub-solo - Garagem........................................... 237
Figura 12 - Sugesto de layout para o 1o. Sub-solo ............................................................ 237
Figura 13 - Sugesto de layout para o pavimento Trreo .................................................... 238
Figura 14 - Sugesto de layout para o pavimento Tipo ....................................................... 238
LISTA DE TABELAS
Tabela 1 - Resultado estimado decorrentes da implementao do plano de ao................. 229
RESUMO
Segurana um termo que transmite conforto e tranqilidade a quem desfruta de

seu estado. O produto segurana difcil de ser obtido quando se fala em segurana de
informaes, dispostas na forma fsica (em papel), eletrnica (nos meios de
transmisso ou de armazenamento) e nas pessoas. Buscar uma segurana absoluta o
objetivo maior. Entretanto, implica em controlar todas as variveis que integram esse
universo, tornando isto praticamente impossvel. Os caminhos que possibilitam
alcanar o objetivo de tornar algo seguro resultam de esforos da comunidade,
composta por entidades pblicas e privadas em todo o mundo, que estabeleceram um
documento que padroniza, atravs de recomendaes, uma boa gesto da segurana.
Este documento deu origem BS 7799-1995, que foi instituda no Brasil pela ABNT Associao Brasileira de Normas Tcnicas atravs da ISO/IEC 17799-2000. A
segurana da informao estruturada por diversos componentes, entre eles a
segurana fsica. A segurana fsica auxilia e contribui essencialmente para a
segurana de informaes, e sem ela os esforos para o estabelecimento de um
ambiente lgico seguro seriam perdidos.
Palavras-chave: Segurana Fsica, ISO/IEC 17799, Poltica de segurana,

Segurana Organizacional, Classificao e Controle dos Ativos, Segurana
em Pessoas, Segurana Fsica e do Ambiente, Conformidade, Controle de
Acesso, Riscos, Data Center, Sala-cofre, Integridade, Confidencialidade,
Disponibilidade e Legalidade.
ABSTRACT
Security is a word which transmits a sense of comfort and peace to everyone.

The product Security is much harder to obtain when it comes to Information. In this
case, there is a huge variety of products which comes in a diversity of forms: Physical
security (paper), electronic security (data transmissions and storage) and even people
security. To seek absolute security is a major goal, but it implies in controlling each
and every variable that integrate this universe; something practically impossible to
accomplish. The paths that make this major goal possible to achieve are a result of
joint efforts, both public and private throughout the world, which established a
document whose purpose is to standardize good security procedures. This document
origined the BS 7799-1995, established in Brazil by ABNT Associao Brasileira de
Normas Tcnicas through the ISO/IES 17799-2000. The safety of the information is
structured by several components. One of them, physical security, aids specifically the
information security aspect. Without it, efforts to stabelish a safe data environment
would be worthless.
Keywords: Physical Security, ISO/IEC 17799, Security Policy, Security

Organization, Asset Classification and Control, Personnel Security, Physical
and Environmental Security, Compliance, Access Control, Risks, Data
Center, IT Security Room, Integrity, Confidentiality and legality.
11
INTRODUO
A segurana da informao um bem diretamente relacionado aos negcios de

uma organizao. Seu principal objetivo garantir o funcionamento da organizao
frente s possibilidades de incidentes, evitando prejuzos, aumentando a produtividade,
provendo maior qualidade aos clientes e vantagens em relao aos seus competidores
evidenciando a reputao da organizao.
A informao pode ser encontrada sob diversas formas: escrita, eletrnica e
impressa. Podem ser transmitidas por diferentes canais como e-mail, correio, filmes,
falada, rdio, TV etc. Seja qual for sua forma de existncia ou modo pelo qual
transmitida a informao deve ser protegida.
Segundo Moreira (2001, p.2):
[...] tecnologias e avanos tm colocado muitas empresas em uma
posio delicada em alguns casos. Problemas de origem interna e externa
tm marcado presena no dia-a-dia, principalmente nas Organizaes que
no possuem Polticas de Segurana implementadas.
A comunidade internacional composta por entidades governamentais, e at

mesmo privadas, preocupadas com esta questo da segurana, iniciou, ainda de forma
isolada, propostas para tratar o assunto, principalmente nos 12 ltimos anos com a
criao, em 1995, da norma como a BS 17799-1 e evoluda para a verso BS 17799 12 em 1999, que passou a ser padro mundial seguido pelas empresas e governos.
Surgiu ento a norma NBR ISO/IEC 17799 em 2000, vigorando a partir de setembro
deste mesmo ano. A figura abaixo mostra a evoluo.
12
Fonte: www.febraban.org.br/Palestras em 02/11/2004

Figura 1 - Evoluo da Norma BS 17799
Quando se fala em proteger um bem ou ativo de informao significa que este

possui um valor para o seu proprietrio. Os ativos de informao podem ser:
Servios: processamento de dados, comunicao e fornecimento de

energia;
Sistemas computadorizados: aplicativos, sistemas bsicos, ferramentas

de desenvolvimento;
Equipamentos: computadores, equipamentos de comunicao de dados,

mdias (fitas e discos), equipamentos de fornecimento de energia
alternativa, cofres;
Documentos: contratos, demonstraes financeiras;
13
Pessoas: funcionrios, terceiros e clientes;
Imagem e reputao da organizao;
Informaes: arquivos, bancos de dados, documentao de sistemas,

material de treinamento, procedimentos, Plano de Continuidade dos
Negcios, relatrios, telas, mdias, mensagens eletrnicas, registros de
dados, arquivos de dados.
Edificaes: edifcios, lojas, indstrias, depsitos, containeres, silos,

centrais geradoras, linhas de distribuio, torres, etc.
Para alcanar os objetivos propostos, a norma prev a preservao de trs

componentes bsicos que so:
Confidencialidade;
Integridade;
Disponibilidade.
A segurana fsica um dos principais componentes da segurana da

informao, sem a qual todo o esforo despendido na proteo lgica torna-se ineficaz,
pois haveria grande possibilidade de que um incidente, incndio, roubo, sabotagem,
interrupo do fornecimento de energia, problemas com climatizao, inundao,
interrupo no abastecimento de gua etc, pudessem ocorrer comprometendo a
continuidade do negcio a partir da no preservao dos trs componentes bsicos
citados acima.
14
Alm desses pode-se citar a Legalidade como outro componente que visa o
enquadramento da organizao no mbito legal, sendo abrangido por leis federais,
estaduais, municipais e a poltica de segurana da organizao.
Segundo Dias (2000, p.107):
A falta de controles ambientais adequados pode provocar danos aos
equipamentos, causados por desastre natural, picos de energia, descarga
eltrica de um raio, temperaturas extremas ou eletricidade esttica. Pode
ainda ocorrer perda de dados devido s falhas ou falta de fornecimento de
energia. A indisponibilidade dos sistemas computacionais pode acarretar
problemas econmicos e perda de competitividade da empresa no mercado.
Estatsticas
Algumas estatsticas sero apresentadas para um melhor entendimento sobre a
importncia da segurana fsica no contexto da segurana da informao e esto
baseados na 9a Pesquisa de Segurana da Informao Mdulo (2003) conforme
abaixo:
Figura 2 - Principais ameaas segurana da informao
15
As Falhas na Segurana Fsica foram apontadas por 37% dos entrevistados como
uma das principais ameaas, mostrando que atualmente a Segurana Fsica faz parte
da preocupao do Security Officer.
Figura 3 - Principais pontos de invaso
A invaso Fsica corresponde a 6% dos principais pontos de invaso, mostrando

que a Segurana Fsica to importante quanto a lgica, pois quando indevidamente
implementada, ocasiona vulnerabilidades a empresas.
Figura 4 - Principais medidas de segurana j implementadas
16
A Segurana Fsica na Sala de Servidores corresponde a 63% das medidas de

segurana j implementadas. A tendncia que a implementao da Segurana Fsica
na Sala de Servidores ganhe mais posies neste ranking nos prximos anos.
Definio
O assunto abordado sobre a Segurana Fsica, pois esta relegada ao segundo
escalo da Segurana da Informao.
Delimitao
Este projeto tem como objetivo abordar um estudo e uma anlise de Segurana
Fsica em conformidade com a Norma ISO/IEC 17799. Sero esclarecidos, em mbito
geral, conceitos necessrios para que uma empresa consiga alcanar o mais alto nvel
de Segurana Fsica, atendendo a situaes dos mais diversos gneros com polticas
especificas de atualizao tecnolgica, Poltica de Segurana da Informao e
acompanhando as tendncias do mercado.
Esclarecimentos
A organizao analisada receber o nome fictcio de ELECTRA a pedido de sua
direo para preservar sua integridade e imagem junto a seus clientes e fornecedores.
Este trabalho no visa certificar a empresa analisada com a Certificao BS
7799. O objetivo apenas fazer uma avaliao de Segurana Fsica, diminuindo, ao
mximo, a possibilidade de ocorrncia de um incidente de Segurana Fsica.
17
Relacionamento com outros trabalhos

Espera-se que este trabalho possa contribuir como fonte de consulta e discusses
futuras sobre o assunto, tendo em vista a escassez de pesquisa abordando de uma
forma geral e ampla este tema em um nico documento. So encontrados apenas
estudos isolados, com o foco em um ou outro tpico, no mantendo uma relao direta
com o contexto de Segurana Fsica em sua concepo total.
Objetivos e finalidades da pesquisa

O objetivo identificar e classificar a situao atual de uma organizao
levando-se em conta a Norma ISO/IEC 17799, em seus mdulos que tratam
especificamente de Segurana Fsica, e propor aes que minimizem os problemas
encontrados.
1.1 Justificativa
A proteo das informaes no pode se restringir apenas aos meios lgicos,

mas deve contar com um ambiente fsico seguro.
Conseguir um ambiente fsico seguro exige um estudo rigoroso e que considera
os aspectos comportamentais e culturais das pessoas, as caractersticas fsicas do local,
a poltica, as normas e procedimentos internos. Alm disso, devem ser considerados os
agentes externos ao permetro da ELECTRA, considerando as suas vizinhanas mais
prximas, compondo um sistema complexo. A inexistncia de uma poltica de
18
segurana no permite que se determinem as diretrizes, normas e os procedimentos

que apiam as decises da alta gerncia.
O principal motivo deste trabalho sugerir solues de segurana fsica para que
os riscos existentes sejam fortemente diminudos, j que a situao atual da segurana
delicada.
Segundo a Mdulo Security (2004, www.modulo.com.br):
O Computer Emergency Response Team (CERT/CC), centro de
pesquisas em segurana na Internet da Universidade de Carnegie Mellon,
divulgou nesta semana as estatsticas dos incidentes de segurana registrados
em 2003. O levantamento revela um aumento de cerca de 55 mil incidentes
em relao aos nmeros obtidos em 2002.
De acordo com o estudo, em 2003 foram registrados 137.529 ataques
contra 82.094 em 2002. O CERT define "ataques" como tentativas
(frustradas ou no) de entrar em locais no autorizados.
Em relao s vulnerabilidades reportadas para o centro, o ano de
2003 apresentou uma queda no nmero de falhas de segurana se
compararmos com os ndices de 2002 (o total caiu de 4.129 para 3.784). De
1988 at 2003, o centro de pesquisas j registrou um total de 319.992
incidentes de segurana.
Relevncia
Este projeto tem relevncia uma vez identificada a ausncia de manuteno
evolutiva da poltica de segurana e tambm da segurana fsica, o que torna oportuno
o estudo de alternativas para proteo fsica dos principais ativos como informaes,
equipamentos e pessoas, em razo da sua respectiva importncia. Ainda pode-se
salientar o baixo nvel de tolerncia a falhas, que no permite interrupes no
planejadas no fornecimento do servio, j que seu SLA (Service Level Agreement
acordo
de
nvel
de
servio)
exige
99,999%
de
disponibilidade
anual
(aproximadamente 5 minutos), controle ostensivo s salas de monitorao e controle

dos servios vitais da ELECTRA.
19
Relao Custo x Benefcio

Os fatores de destaque deste trabalho em relao aos benefcios e seus
respectivos custos so:
Tornar a monitorao e o controle sobre os acessos fsicos mais efetivos,

investindo em equipamentos de vdeo, catracas e portas com sensores de
identificao individual, sensores de presena, com isso diminuindo a
equipe de vigilantes existente e conseqentemente baixando os custos
com pessoal, possibilitando executar o controle 24 horas por dia e 365
dias por ano, sem perda de qualidade e contando com equipamentos de
baixo ndice de manuteno;
Proporcionar um ambiente mais seguro para o armazenamento,

processamento e monitorao das reas crticas atravs da utilizao de
dispositivos de identificao biomtrica em operao conjunta aos
sistemas de identificao por senhas, diminuindo sensivelmente os riscos
e ameaas de acessos indevidos;
Atualmente, estimam-se os custos com segurana na ordem de R$

700.000,00 e um risco calculado por indisponibilidade do servio na
ordem de R$ 20.000.000,00 que deixariam de ser faturados por dia de
interrupo, considerando um total de 7 milhes de clientes mensalmente
a um consumo mdio de R$ 85,00 por ms, conseqente queda do
faturamento, sem se considerar as multas decorrentes do no
cumprimento da legislao vigente, de possveis prejuzos financeiros
aos seus clientes pela ausncia do servio e danos sua imagem;
20
Quando implementadas as medidas recomendadas espera-se uma reduo

dos custos mensais com pessoal na ordem de R$ 30.000,00 por ms,
correspondendo a 20 funcionrios, e uma reduo de 90% dos riscos de
interrupo decorrentes de falhas da segurana fsica.
Segundo Moreira, (2001, p.120), No existem ambientes 100% seguros. Um

nvel alto de proteo pode consumir grandes somas financeiras. Dessa forma,
necessrio encontrar o equilbrio entre o nvel desejvel de segurana e o oramento
disponvel..
1.2 Objetivos
Objetivo Geral
Executar uma anlise de conformidade com a norma ABNT NBR ISO/IEC
17799 voltada a Segurana Fsica, propondo solues para minimizar os riscos
identificados1.
Objetivos Especficos
Identificar os mecanismos de controle dos acessos das pessoas s

dependncias da ELECTRA;
Identificar os fatores de layout que influenciam a segurana fsica das

reas restritas;
Esta anlise no tem como objetivo certificar a ELECTRA em relao norma BS 7799.
21
Identificar os fatores na infra-estrutura de suporte e monitorao que

influenciam na segurana fsica;
Identificar os fatores que, decorrentes da ausncia ou da inadequada

aplicao da poltica, normas e procedimentos que influenciam na
segurana fsica;
Identificar os fatores ligados localizao geogrfica que interferem na

segurana fsica da ELECTRA;
Identificar os fatores relacionados s ms instalaes hidrulicas,

eltricas, gs, climatizao, preveno e combate a incndio, etc, que
influenciam na segurana fsica da ELECTRA;
Identificar os fatores relacionados gerao, transporte e armazenamento

fsico de informaes na ELECTRA, que interferem na segurana fsica;
Propor correes e melhorias aos controles, processos, poltica,

comunicao interna, sinalizao de segurana, identificao dos
funcionrios, terceirizados, equipamentos proprietrios e terceirizados,
etc.
22
1.3
Escopo do Projeto
1.3.1 Descrio das reas envolvidas
Estrutura organizacional
Presidente
Diretoria
RH
Gerncia 1
Diretoria
Tecnologia
Gerncia 2
Diretoria
Comercial
Gerncia 3
Gerncia 4
Diretoria
Financeira
Gerncia 5
Figura 5 - Organograma Geral da ELECTRA
O desenvolvimento deste projeto depende essencialmente do apoio de toda a

ELECTRA, nos seus diferentes nveis hierrquicos, partindo-se da presidncia e se
dirigindo a todas as camadas inferiores.
reas que sero objetos de estudo

So escopo deste trabalho todas as reas que de alguma forma contribuem para o
acesso aos ambientes crticos, que esto descritas abaixo:
Hall de entrada do piso Trreo;
23
Hall de entrada dos elevadores social e de servio no piso da garagem

situado no subsolo;
Acesso ao estacionamento interno de uso comum e carga/descarga;
Hall de entrada dos elevadores social e de servio dos pavimentos;
Entradas principais dos pavimentos;
Pavimento da cobertura;
Outros pavimentos estratgicos que contem equipamentos de controle e

infra-estrutura;
Salas
estratgicas
por conter documentos, equipamentos
como
servidores, ativos de rede e gerncia alm e das salas da alta

administrao;
Armrios, eletrocalhas, pisos elevados e quadros de luz, cabos de

transmisso de energia e dados, telefonia etc;
Condies gerais de iluminao, conservao e limpeza dos diversos

pavimentos;
Condies gerais dos equipamentos de combate a incndio como

extintores,
hidrantes,
sprinklers
(jatos
de
gua
acionados
automaticamente em caso de incndio), detectores de fumaa, suas

respectivas distribuies considerando os diversos tipos de materiais
inflamveis;
reas de acesso comuns aos andares;
24
Condies de acesso s sadas de emergncia, sinalizao e proteo

contra entrada no permitida;
Verificao de documentao exposta e sem controle;
Inspeo da sala de controle, das cmeras existentes, catracas/portas, com

controle de acesso por mecanismo de identificao pessoal e individual;
1.4
ESTRUTURA ORGANIZACIONAL
Modelo de Negcio
A organizao analisada receber o nome fictcio de ELECTRA a pedido de sua
direo para preservar sua integridade e imagem junto a seus clientes e fornecedores.
Seu modelo de negcio se baseia no provimento dos servios de abastecimento
de energia eltrica. A ELECTRA a responsvel pela gesto do negcio em nvel
nacional.
A estrutura organizacional existende na ELECTRA robusta e hierarquizada,
permitindo uma administrao mais eficiente e atendendo as melhores prticas na
administrao empresarial.
Faz parte desta estrutura hierrquica o presidente, diretores executivos, diretores
adjuntos, gerncia e coordenaes.
25
Estrutura de Segurana Existente

A ELECTRA conta com uma poltica de segurana desatualizada, criada h
cerca de 20 anos e por isso no plenamente seguida, pois no retrata mais a situao
atual. Isto se deve evoluo tecnolgica ocorrida neste perodo. Hoje, esto a
disposio equipamentos e dispositivos de controles para segurana fsica de alta
tecnologia e confiabilidade. Outro fator que contribuiu fortemente para esta situao
originou-se das mudanas arquitetnicas decorrentes das necessidades crescentes do
negcio.
A ELECTRA no dispe de planos de segurana e o plano de contingncia
encontra-se desatualizado pelos mesmos motivos apresentados acima, isto , caso
acontea algum incidente grave poder ocorrer a paralisao total da ELECTRA.
Estrutura de Tecnologia
A ELECTRA possui uma estrutura robusta de processamento de dados em um
Data Center central, acessados por redes locais Ethernet 100Mb e o backbone de 1Gb.
Dentro desta estrutura existem 100 servidores plataforma Windows, 40 servidores
plataforma Linux/Unix e um Mainframe. Na matriz, as estaes de trabalho esto
distribudas em dois blocos de edifcios de 12 andares cada, As estaes encontram-se
distribudas nesses blocos e totalizam cerca de 800 equipamentos.
Existem sete filiais, cada uma com sua estrutura prpria de rede, mas
convergindo suas conexes para a matriz, acessando o CPD central. Existe um backup
site fora de uso, conectado ao CPD central. O nmero de estaes existentes nas filiais
da ordem de 550 equipamentos sem considerar as impressoras e outros dispositivos
inteligentes de controles de acesso fsico e alarme contra incndio.
26
1.5
RECURSOS DO PROJETO
Instalaes
Uma sala com dois computadores e uma impressora em rede com comunicao
externa para Internet e servio de e-mail.
Softwares necessrios
Editor de textos, planilha de clculo, browser de apresentao.
Recursos humanos
1.6
Um engenheiro civil;
Um engenheiro de segurana do trabalho;
REFERENCIAL TERICO
Para o desenvolvimento deste trabalho sero utilizadas:

ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Cdigo de Prtica
para a Gesto da Segurana da Informao. NBR ISO/IEC 17799:So Paulo,2001.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Critrios de
Segurana Fsica Relativos ao Armazenamento de dados. NB 1334:1990.
27
DECRETO FEDERAL 3.505, de 13 DE JUNHO DE 2000.

LEI 2.572, DE 20 DE JULHO DE 2000.
PLANILHA DE LEVANTAMENTO DOS PONTOS RELAVANTES DE
SEGURANA FSICA.
1.7
METODOLOGIA
Questionrio (APNDICE C)
Existe um questionrio para cada um dos mdulos da norma utilizados na
anlise:
Poltica de segurana
Segurana organizacional
Classificao e controle dos ativos de informao
Segurana em pessoas
Segurana fsica e do ambiente
Cada mdulo dividido em itens em subitens.
As perguntas so baseadas da norma ISO/IEC 17799.

Definio dos parmetros da avaliao:
28
Cada item avaliado recebe uma ponderao que foi acordada juntamente
com a ELECTRA, sendo:
0 (zero) sem importncia;
2 (dois) mdia importncia;
5 (cinco) muito importante.
A situao atual de cada item classificada conforme o critrio abaixo, que foi
acordado com a ELECTRA:
No atende
0 (zero) Ausncia total
1 (um) Presena inexpressiva
Sim atende
2 (dois) Presena parcial
3 (trs) Presena total
O clculo feito item a item atravs do produto do peso do item por sua
pontuao de presena. Os totais dos itens so somados para compor subtotal do ponto
analisado. Estes subtotais so somados e faro a composio da aderncia geral do
mdulo analisado.
Os percentuais so calculados levando-se em conta os mximos pontos de cada
item, que so totalizados conforme descrito acima.
29
Descrio dos campos da planilha:
Valores de Referncia: Maior pontuao possvel, resultado da operao

do produto dos mximos valores da situao e peso;
Valores Apurados: o resultado do produto dos valores da situao e o

peso onde estiver demarcado;
Aderncia: Percentual de aderncia do mdulo, item e subitem.
Legenda: Objetivo do item.
Metodologia da anlise
Anlise on-site:
Fotos (APNDICE B): so tiradas fotos de pontos relevantes como

vulnerabilidades, reas crticas, ambientes, todas as dependncias do
Data Center e todos os andares do prdio, naquilo que poderia ser de
interesse da anlise.
Vistorias e levantamentos: So feitas vistorias nos ambientes para colher

informaes relevantes.
Entrevistas: So feitas entrevistas com diretores, gerentes e funcionrios

(inclusive terceirizados). utilizado um questionrio (baseado na norma
ISO/IEC 17799).
30
Situao Atual: apresentada a situao encontrada na empresa em relao a

Segurana da Informao, levando-se em considerao o que pode ser mantido, o que
pode ser aperfeioado e o que deve ser mudado.
Recomendaes: So feitas recomendaes de melhorias na Segurana da
Informao, de acordo com o verificado na situao atual.
Plano de Ao: So recomendaes mais profundas visando melhorias na
Segurana da Informao da empresa, que ajudam a orientar e determinar a atuao
gerencial apropriada s prioridades para o gerenciamento dos riscos Segurana da
Informao. Serve como auxlio na implementao de controles que oferecem
proteo contra os riscos identificados.
Observaes:
A anlise baseada na Norma ISO/IEC 17799.
A anlise atende ao Decreto Federal 3.505 e Lei 2.572 do GDF.
O objetivo da metodologia identificar as necessidades de Segurana da

Informao apropriadas para a empresa analisada.
31
SEGURANA E SEUS COMPONENTES
Segurana da informao
O termo Segurana da Informao muito abrangente e requer uma definio
para o seu correto entendimento, permitindo estabelecer o escopo do desenvolvimento
desta obra.
Segundo a NBR ISO/IEC 17799 (2000, p.1):
A informao um ativo que, como qualquer outro ativo importante
para os negcios, tem um valor para a organizao e conseqentemente
necessita ser adequadamente protegida. A segurana da informao protege
a informao de diversos tipos de ameaas para garantir a continuidade dos
negcios, minimizar os danos aos negcios e maximizar o retorno dos
investimentos e as oportunidades de negcio. A informao pode existir em
muitas formas. Ela pode ser impressa ou escrita em papel, armazenada
eletronicamente, transmitida pelo correio ou atravs de meios eletrnicos,
mostrada em filmes ou falada em conversas. Seja qual for a forma
apresentada ou o meio atravs do qual a informao compartilhada ou
armazenada, recomendado que ela seja sempre protegida adequadamente.
A segurana da informao aqui caracterizada pela preservao de:
a) confidencialidade: garantia de que a informao acessvel
somente por pessoas autorizadas a terem acesso;
b) integridade: salvaguarda da exatido e completeza da informao e
dos mtodos de processamento;
c) disponibilidade: garantia de que os usurios autorizados obtenham
acesso informao e aos ativos correspondentes sempre que necessrio.
Segurana da informao obtida a partir da implementao de uma
srie de controles, que podem ser polticas, prticas, procedimentos,
estruturas organizacionais e funes de software. Estes controles precisam
ser estabelecidos para garantir que os objetivos de segurana especficos da
organizao sejam atendidos.

Todo projeto de Segurana de Informaes procura abranger pelo
menos os processos mais crticos do negcio em questo.
32
O resultado esperado de um trabalho como este , sem dvida, que no

mnimo todos os investimentos efetuados devam conduzir para: Reduo da
probabilidade de ocorrncia de incidentes de segurana; Reduo dos
danos/perdas causados por incidentes de segurana; Recuperao dos danos
em caso de desastre/incidente.
O objetivo da segurana, no que tange informao, a busca da
disponibilidade, confidencialidade e integridade dos seus recursos e da
prpria informao.
Portanto, a segurana da informao tem como objetivo principal proteger a

informao frente aos diversos tipos de ameaas. Para tanto, necessrio que sejam
definidos os ativos mais crticos a serem protegidos possibilitando a continuidade dos
negcios com o menor nmero de interferncias e interrupes possvel garantindo a
qualidade do produto ou servio ofertado dentro dos prazos acordados com seus
clientes, refletindo positiva e diretamente na boa imagem da ELECTRA frente a seus
clientes.
A segurana da informao, segundo a NBR ISO/IEC 17799 (2000, p.1), em
seus captulos, presume a implementao de segurana de forma distinta conforme os
captulos abaixo:
3. Poltica de Segurana;
4. Segurana Organizacional;
5. Classificao e controle dos ativos de informao;
6. Segurana em pessoas;
7. Segurana Fsica e do ambiente;
8. Gerenciamento das operaes e comunicaes;
33
9. Controle de acesso;
10. Desenvolvimento e manuteno de sistemas;
11. Gesto da continuidade do negcio;
12. Conformidade.
Destes captulos sero utilizados para compor esta obra os seguintes:
3. Poltica de Segurana;
4. Segurana Organizacional
5. Classificao e controle de ativos de informao;
6. Segurana em pessoas;
7. Segurana Fsica e do Ambiente;
12. Conformidade
Estes captulos sero desenvolvidos mais frente nesta obra.
Como proteger a informao

Inicialmente necessrio que se saibam quais so os problemas de segurana e o
que deve ser feito, se vivel, para solucionar esses problemas. Desta forma deve ser
realizada uma anlise de riscos na ELECTRA. Detectados os riscos e as
vulnerabilidades, deve avali-los para mensurar a probabilidade de ocorrncia e o
impacto que eles possam vir a causar ELECTRA.
34
a partir das anlises de riscos que a ELECTRA vai orientar as medidas a

serem tomadas e os controles a serem estabelecidos a fim de proteger sua informao e
manter o pleno funcionamento dos negcios. De acordo com o a probabilidade de
acontecimento de um incidente, medidas preventivas sero tomadas ou no, levando
em conta o custo de implementao de tais medidas.
A escolha dos controles a serem estabelecidos para diminuir os riscos em nvel
aceitvel baseada, inicialmente, na anlise de riscos, mas tem um como um grande
obstculo o custo de sua implementao e uma dificuldade adicional de ser
implementada em empresas pequenas por terem uma estrutura muito centralizada.
importante lembrar que cada empresa tem suas especificidades e por isso as medidas
de segurana a serem tomadas diferem de caso em caso.
Pilares da segurana
A segurana da informao, conforme descrito acima, baseia-se em
caractersticas que estabelecem condies mnimas de uso da informao que so a
disponibilidade, confidencialidade e integridade. Podemos ainda citar mais uma
caracterstica que a legalidade.
Para que uma informao esteja segura devem ser observados os fatores que
influenciam cada uma dessas caractersticas.
As caractersticas citadas acima sero detalhadas para tornar claro o seu
entendimento e importncia na segurana da informao.
Disponibilidade: para que seja utilizada a informao ou o ativo precisa estar
disponvel e acessvel a quem tenha o privilgio de uso.
35
Confidencialidade: uma informao ou um ativo s pode ser acessado por quem

est autorizado a obter ou manter suas informaes.
Integridade: uma informao tem que ser oferecida ao seu usurio de forma
ntegra, ou seja, que no tenha sido modificada por qualquer pessoa ou processo no
autorizado.
Legalidade: Conformidade com a legislao vigente.
Disponibilidade: garantia de que os usurios autorizados obtenham
acesso informao e aos ativos correspondentes sempre que necessrio.
Confidencialidade: garantia de que a informao acessvel somente
por pessoas autorizadas a terem acesso;
Integridade: salvaguarda da exatido e completeza da informao e
dos mtodos de processamento;

Disponibilidade: ([...] a informao deve estar disponvel para a
pessoa certa e no momento em que ela precisar.); Integridade: (Consiste em
proteger a informao contra qualquer tipo de alterao sem a autorizao
explcita do autor da mesma.); Confidencialidade: ([...] a propriedade que
visa manter o sigilo, o segredo ou a privacidade das informaes evitando
que pessoas, entidades ou programas no autorizados tenham acesso s
mesmas.)
Normas, leis e decretos

A Constituio a lei maior de uma nao que dita as principais regras que
devero ser seguidas pelos cidados. Apenas a Constituio no capaz de abranger
todas as situaes. preciso que seja complementada com leis ordinrias e especficas
que tratam as situaes particulares considerando a diversidade dos assuntos.
Constituio: Lei fundamental e suprema dum Estado, que contm
normas e respeitantes formao dos poderes polticos, forma de governo,
36
distribuio de competncias, direitos e deveres dos cidados, etc.

(Dicionrio Aurlio da Lngua Portuguesa, 2a Edio, p.460).
Portanto, h um regimento supremo que confere responsabilidades aos cidados

e suas competncias. Dessa forma, cada competncia pode ser tangida por leis
especficas.
Na tecnologia da informao, mais especificamente na segurana da informao
no diferente. necessria a existncia de leis que regulem e padronizem a forma
com a qual os usurios relacionaro com as organizaes e seus ativos de informao.
As leis atuam nos mbitos federal, estadual, municipal ou mesmo organizacional. Esta
ltima a que estabelece uma poltica dentro de uma instituio.
A utilizao da informao pelo usurio ocorre de diversas maneiras, atravs de
um computador conectado em rede (Internet), utilizando o sistema de sua organizao,
manipulando papis, transportando informaes em mdias, armazenando mdias etc.
Para que as informaes sejam mantidas asseguradas preciso que alguns
cuidados sejam tomados. A implementao de uma poltica de segurana institucional,
suas normas e procedimentos so essenciais para diminuir a possibilidade de algum
incidente que comprometa a ELECTRA. As normas, leis e decretos federais, estaduais
e municipais vm servir de suporte para a correta implantao da poltica de
segurana.
Dessa forma podemos destacar algumas normas, leis e decretos que esto
presentes e atuantes na legislao brasileira que so:
NBR ISO/IEC 17799: Esta Norma equivalente ISO/IEC 17799:2000.

Esta Norma contm o anexo A, de carter informativo. O anexo A foi
incorporado a esta traduo da ISO/IEC 17799:2000, a fim de prestar
37
informaes na descrio de termos na lngua inglesa mantidos nesta

Norma, por no possurem traduo equivalente para a lngua
portuguesa. Esta Norma fornece recomendaes para gesto da
segurana da informao para uso por aqueles que so responsveis pela
introduo, implementao ou manuteno da segurana em suas
organizaes. Tem como propsito prover uma base comum para o
desenvolvimento de normas de segurana organizacional e das prticas
efetivas de gesto da segurana e prover confiana nos relacionamentos
entre as organizaes. Convm que as recomendaes descritas nesta
Norma sejam selecionadas e usadas de acordo com a legislao e as
regulamentaes vigentes;
Decreto No 3.505, de 13 de junho de 2000: Institui a Poltica de

Segurana da Informao nos rgos e entidades da Administrao
Pblica Federal, ANEXO A;
Lei No 2.572, de 20 de julho de 2000: Dispe sobre a preveno das

entidades pblicas do Distrito Federal com relao aos procedimentos
praticados na rea de informtica, ANEXO A;
Lei No 234 de 1996: Dispe sobre crime contra a inviolabilidade de

comunicao de dados de computador. (Segurana e Auditoria da
Tecnologia da Informao, Claudia Dias, Axcel Books, p.46).
Portanto, as normas, leis e decretos servem de base para o desenvolvimento e

concluso desta obra permitindo doutrinar o uso e estabelecer padres de segurana da
informao. Observa-se que as leis e decretos esto focados s empresas pblicas,
38
ficando desamparadas as empresas privadas, que se referenciam aos recursos

existentes.
Riscos
Alguns conceitos necessitam ser expostos para o correto entendimento do que
risco e suas implicaes.
Segundo Galvo e Poggi (2002, p.5):
Um ativo algo que tem valor para a empresa, e portanto precisa ser
protegido. Os ativos podem ser fsicos (computadores, equipamentos, infraestruturas de transmisso de dados, prdios, etc), softwares, informaes
(documentos, bancos de dados, etc), processos, pessoas, e at mesmo
intangveis (por exemplo, a imagem da empresa). muito importante avaliar
periodicamente o grau de risco dos ativos, porque eles so o suporte de
negcios da empresa.
Quando se fala em segurana, seja patrimonial, de informaes ou
qualquer outro ativo a ser preservado, logo se pensa, do qu se deve proteger
este ativo?
A resposta mais bvia que se deve proteger de tudo aquilo que
venha ameaar o ativo em questo. A possibilidade de que uma ameaa
venha a causar danos ao ativo recebe o nome de risco.
J que os ativos possuem valor para a empresa, este valor precisa ser
avaliado de alguma forma. Esta avaliao pode ser quantitativa, quando
existem dados disponveis, ou qualitativa, onde feita uma estimativa da
relevncia do ativo para os componentes ou processos do negcio que ele
suporta.
Uma ameaa um agente ou causa potencial de incidentes que pode
ocasionar danos aos ativos, atravs da explorao de vulnerabilidades. Com
relao s fontes, as ameaas podem ser humanas (acidentais ou deliberadas)
ou ambientais. O acesso no autorizado a dados confidenciais uma ameaa
humana deliberada, um erro de parametrizao em um sistema E.R.P. por
parte do operador pode ser acidental, e um terremoto uma ameaa
ambiental.
Uma vulnerabilidade pode ser entendida como sendo uma fragilidade
qualquer do ativo que pode ser explorada por uma ameaa.
39
NEGCIO
baseado
INFORMAO
sujeita
protegem
contm
MEDIDAS
DE
SEGURANA
VULNERABILIDADE
diminuem
aumentam
permitem
RISCOS
reduzem
IMPACTOS
NO
NEGCIO
contm
aumentam
aumentam
AMEAAS
aumentam
comprometem
causam
INTEGRIDADE
CONFIDENCIALIDADE
DISPONIBILIDADE
Fonte: Dias (2000, p.21)
Figura 6 - Ciclo da Segurana da Informao
Segundo o dicionrio Priberam (02/11/2004, www.priberam.pt), o

termo risco definido como: perigo; possibilidade de correr perigo.
Segundo Galvo e Poggi (2002, p.6), Denominamos risco ao
potencial que uma ameaa tem de explorar vulnerabilidades em um ativo.
Este potencial resulta da probabilidade de que esta explorao venha a
efetivamente a ocorrer, e do impacto resultante..
40
Galvo e Poggi, White Paper, 2002

Figura 5 - Risco como Probabilidade x Impacto
Caso uma ameaa venha a se confirmar como um evento concreto e possibilitar

um dano ao bem, preciso se estimar qual a extenso do mesmo.
Estes aspectos so tangidos por um processo de anlise de risco que considera
algumas variveis como componentes que atuam diretamente ao risco que so: valor
do bem e seus componentes, possveis causas, possibilidade de ocorrncia e extenso
do dano.
A anlise de risco uma considerao sistemtica de: a) do
impacto
nos negcios como resultado de uma falha de segurana, levando-se em
conta as potenciais conseqncias da perda de confidencialidade, integridade
ou disponibilidade da informao ou de outros ativos; b)
da
probabilidade de tal falha realmente ocorrer luz das ameaas e
vulnerabilidades mais freqentes e nos controles atualmente implementados.

A anlise de risco consiste em um processo de identificao e
avaliao dos fatores de risco presentes e de forma antecipada no Ambiente
41
Organizacional, possibilitando uma viso do impacto negativo causado aos

negcios.
As medidas de segurana no podem assegurar 100% de proteo, e a
organizao deve analisar a relao custo/beneficio de todas. A organizao
precisa achar o nvel de risco ao qual estar disposta a correr. Este processo
deve proporcionar as seguintes informaes:
Pontos vulnerveis do ambiente;
Ameaas potenciais ao ambiente;
Incidentes de segurana causados pela ao de cada ameaa;
Impacto negativo para o negcio a partir da ocorrncia dos

incidentes provveis de segurana;
Riscos para o negcio a partir de cada incidente de segurana;
Medidas de proteo adequadas para permitir ou diminuir o impacto

de cada incidente.
Os maiores riscos so aqueles que no vemos ou no conhecemos;

assim o conhecimento do ambiente, e das reais necessidades, tem um papel
to ou mais importante do que as ferramentas que eventualmente venhamos
a utilizar.
Segundo Dias (2000, p.69), Normalmente os impactos so analisados sob dois

aspectos: curto prazo e longo prazo, em funo do tempo em que o impacto, causado
por uma ameaa, permanece afetando os negcios da instituio..
Segundo o Galvo e Poggi, (2002, p.5), Se o hacker conseguir acesso indevido
a dados confidenciais, ter ocorrido um incidente de segurana, que certamente ter
conseqncias. Damos o nome de impacto ao resultado deste incidente..
Analisando impactos e calculando riscos

Existem diversas formas de se analisar os impactos, uma delas classificandoos. Apenas para ilustrar, abaixo est uma classificao que pode ser utilizada em
diversas situaes.
42
Os impactos devem ser classificados para que sejam adequadamente entendidos

pelos gestores de uma organizao, ento ser considerada a seguinte classificao:
0 Impacto irrelevante;
1 Efeito pouco significativo, sem afetar a maioria dos processos de negcios
da ELECTRA;
2 Sistemas no disponveis por um determinado perodo de tempo, podendo
causar perda de credibilidade junto aos clientes e pequenas perdas financeiras;
3 Perdas financeiras de maior vulto e perda de clientes para a concorrncia;
4 Efeitos desastrosos, porm sem comprometer a sobrevivncia da ELECTRA;
5 Efeitos desastrosos, comprometendo a sobrevivncia da ELECTRA.
Alm do nvel do impacto, podem ser definidos vrios tipos de impactos
intrinsecamente relacionados aos negcios, que devem ser definidos pelas pessoas que
mais o conhecem. Os tipos de impactos considerados so:
0 Ameaa completamente improvvel de ocorrer;
1 Probabilidade de a ameaa ocorrer menos de uma vez por ano;
2 Probabilidade de a ameaa ocorrer pelo menos uma vez por ano;
3 Probabilidade de a ameaa ocorrer pelo menos uma vez por ms;
4 Probabilidade de a ameaa ocorrer pelo menos uma vez por semana;
5 Probabilidade de a ameaa ocorrer diariamente.
43
2.1
Poltica de segurana
A poltica de segurana tem como objetivo fornecer direo da ELECTRA

subsdios para o estabelecimento e manuteno da segurana da informao.
A direo da ELECTRA deve participar desde a elaborao da poltica at a sua
divulgao contando com o seu apoio irrestrito. Sua escrita deve ser simples
apresentando os assuntos de forma clara para que seja compreendida por todos na
ELECTRA. A poltica deve ser constantemente atualizada acompanhando a
modernizao tecnolgica, as mudanas organizacionais de infra-estrutura e de
recursos humanos estando completamente alinhada aos objetivos do negcio e porte
da ELECTRA.
Segundo a NBR ISO/IEC 17799 (2000, p.4), no seu captulo 3 Poltica de
Segurana, diz: Objetivo: Prover direo uma orientao e apoio para a segurana
da informao.
Ainda segundo a norma NRB ISO/IEC 17799 (2000, p.4), recomenda-se que
algumas orientaes seja includas em seu documento:
a) definio de segurana da informao, resumo das metas e escopo e
a importncia da segurana como um mecanismo que habilita o
compartilhamento da informao (ver introduo);
b) declarao do comprometimento da alta direo, apoiando as metas
e princpios da segurana da informao;
c) breve explanao das polticas, princpios, padres e requisitos de
conformidade de importncia especfica para a organizao, por exemplo:
1) conformidade com a legislao e clusulas contratuais;
2) requisitos na educao de segurana;
44
3) preveno e deteco de vrus e software maliciosos;

4) gesto da continuidade do negcio;
5) conseqncias das violaes na poltica de segurana da
informao;
d) definio das responsabilidades gerais e especficas na gesto da
segurana da informao, incluindo o registro dos incidentes de segurana;
e) referncias documentao que possam apoiar a poltica, por
exemplo, polticas e procedimentos de segurana mais detalhados de
sistemas de informao especficos ou regras de segurana que convm que
os usurios sigam.
Portanto, a poltica de segurana um conjunto de princpios que do suporte

gesto da segurana de informaes perante a alta gerncia e o corpo tcnico da
ELECTRA, dividindo-se em normas que ditam as diretrizes gerais da poltica, as
normas.
Documento da poltica de segurana

O documento requer a sua aprovao por parte da direo da ELECTRA,
devendo ser publicado e comunicado de forma adequada para todos os funcionrios.
Segundo a norma NBR ISO/IEC 17799 (2000, p.4), a norma deve conter:
a) definio de segurana da informao, resumo das metas e escopo e
a importncia da segurana como um mecanismo que habilita o
compartilhamento da informao (ver introduo);
b) declarao do comprometimento da alta direo, apoiando as metas
e princpios da segurana da informao;
c) breve explanao das polticas, princpios, padres e requisitos de
conformidade de importncia especfica para a organizao, por exemplo:
1) conformidade com a legislao e clusulas contratuais;
2) requisitos na educao de segurana;
3) preveno e deteco de vrus e software maliciosos;
4) gesto da continuidade do negcio;
45
5) conseqncias das violaes na poltica de segurana da

informao;
d) definio das responsabilidades gerais e especficas na gesto da
segurana da informao, incluindo o registro dos incidentes de segurana;
e) referncias documentao que possam apoiar a poltica, por
exemplo, polticas e procedimentos de segurana mais detalhados de
sistemas de informao especficos ou regras de segurana que convm que
os usurios sigam.
A constante preocupao na divulgao da poltica, como meio para

conscientizao dos funcionrios sobre seu contedo e suas obrigaes, deve ser
preservada, reciclando o conhecimento aos que permanecerem na ELECTRA e
fidelizando aqueles que acabaram de ser contratados.
Deve ser eleito um responsvel pela manuteno do documento e anlise crtica
atravs de um processo definido.
2.2
Seu objetivo gerenciar a segurana da organizao. A norma NBR ISO/IEC

17799 recomenda a implementao de uma gerncia e que promova a implantao e o
controle da segurana da informao na organizao.
2.2.1 Infra-estrutura da segurana da informao
Uma poltica de segurana fundamental para apoiar e estabelecer os nveis de

conhecimento atravs de treinamentos constantes para novos funcionrios ou terceiros
que venham a desempenhar alguma atividade na organizao.
46
Gesto do frum de segurana da informao

Compete organizao eleger um frum representativo que estabelea as
diretrizes de segurana, responsveis e suas competncias.
Segundo Dias (2000, p.79):
O gerente de segurana deve ter em mente trs princpios bsicos:
prevenir o acesso de pessoas no autorizadas aos sistemas e informaes;
impedir que aqueles que conseguirem acesso, autorizado ou no, danifiquem
ou adulterem qualquer coisa; e, uma vez ocorrida a contingncia, estar
preparado para identificar suas causas, recuperar os sistemas e dados e
modificar os controles para que o problema no torne a acontecer.
Coordenao da segurana da informao

Composta por uma equipe multidisciplinar, a coordenao da implantao
estabelece os controles da segurana da informao, nos quais:
Busca das regras e responsabilidades especficas para a segurana da

informao;
Busca as metodologias e processos especficos para a segurana da

informao, tais como avaliao de risco e sistema de classificao de
segurana;
Busca e apia iniciativas de segurana da informao aplicveis por toda

a organizao, como por exemplo programa da conscientizao em
segurana;
Garante que a segurana seja parte do processo de planejamento da

informao;
47
Avalia a adequao e coordena a implementao de controles especficos

de segurana da informao para novos sistemas ou servios;
Analisa criticamente incidentes de segurana da informao;
Promove a visibilidade do suporte aos negcios para segurana da

informao atravs da organizao.
Atribuio das responsabilidades em segurana da informao

recomendado que a responsabilidade pela atribuio de segurana aos ativos
sejam definidas de forma clara e que cada ativo, fsico e de informao, tenha um
gestor responsvel. Compete ao gestor eleger ou no um proprietrio para um ativo, e
este pode delegar a outro, entretanto sem se eximir de suas responsabilidades.
Processo de autorizao para as instalaes de processamento da

informao
Convm
que
qualquer
instalao,
seja
hardware
ou
software,
seja
convenientemente aprovada pelo gestor do recurso/ambiente, preservando a

integridade do recurso/ambiente.
Consultoria especializada em segurana da informao

Recomenda-se a utilizao de um consultor especialista. Nem todas as
organizaes dispem de um, podendo buscar externamente tal profissional atravs da
48
recomendao de um colaborador que coordenar todo o conhecimento e as

experincias, garantindo a consistncia e auxiliando nas tomadas de deciso.
Em caso de incidentes o consultor poder compor a equipe de investigao
auxiliando na identificao das ameaas e das vulnerabilidades, at mesmo propondo
mudanas direo.
Cooperao entre organizaes

Convm que sejam mantidos contatos apropriados com autoridades legais,
organismos reguladores, provedores de servio de informao e operadores de
telecomunicaes, de forma a garantir que aes adequadas e apoio especializado
possam ser rapidamente acionados na ocorrncia de incidentes de segurana. De forma
similar, convm que a filiao a grupos de segurana e a fruns setoriais seja
considerada.
Convm que trocas de informaes de segurana sejam restritas para garantir
que informaes confidenciais da organizao no sejam passadas para pessoas no
autorizadas.
Anlise critica independente da segurana da informao

O documento da poltica de segurana da informao estabelece a poltica e as
responsabilidades pela segurana da informao. Convm que a sua implementao
seja analisada criticamente, de forma independente, para fornecer garantia de que as
prticas da organizao reflitam apropriadamente a poltica, e que esta seja adequada e
eficiente.
49
Tal anlise crtica pode ser executada pela auditoria interna, por um gestor
independente ou por uma organizao prestadora de servios especializada em tais
anlises crticas, onde estes possurem habilidade e experincia apropriadas.
2.2.2 Segurana no acesso de prestadores de servios
Identificao dos riscos no acesso de prestadores de servio;
Tipos de acesso;
o Acesso fsico: qualquer acesso aos ambientes crticos,
Data Center, almoxarifado, armrios de equipamentos e
cabeamentos, sala dos diretores, sala de gerncia e
controle de alarmes etc, deve ser controlado e autorizado
atravs de mecanismos e dispositivos biomtricos, caso
a situao exija.
Razes para o acesso;

o Necessidade de manuteno e suporte mediante contrato
estabelecido entre as partes;
o Parcerias no desenvolvimento de produtos ou negcios
onde h necessidade de estudos em conjunto;
o A cada tipo de acesso devem ser estudados os ativos de
informao envolvidos, sua criticidade e valores para a
50
organizao, assim dimensionando o correto controle

para o acesso dos terceiros.
Contrato para servios internos;

o Existem diversos prestadores de servios, equipes de
suporte e manuteno, pessoal de limpeza, estagirios,
sub-locao de servios;
o recomendvel que o contrato possua clusulas de
confidencialidade e penalidade caso seja descumprido
no todo ou em parte;
o recomendvel responsabilizar o contratado por toda e
qualquer mudana no quadro de seus colaboradores que
possuem acessos ELECTRA;
o recomendvel que os acessos expirem nas datas em
que os contratos deixam de ser vlidos.
Requisitos de segurana nos contratos com prestadores de servios;
Convm que todo e qualquer acesso de terceiros ELECTRA

seja baseado em contrato formal que fornea as informaes
necessrias ao cumprimento da poltica de segurana da
ELECTRA;
Recomenda-se que todos os ativos envolvidos estejam

declarados em contrato, sendo os contratados responsabilizados
por danos causados aos mesmos;
51
2.3
Os objetivos desta seo so definir a classificao, o registro e o controle das

informaes da organizao.
Contabilizao dos ativos de informao

A contabilizao tem como objetivo manter a proteo adequada dos ativos de
informao da organizao. Por isso, faz-se necessrio inventariar todos os ativos de
informao para garantir que a proteo seja mantida de forma correta.
A informao deve possuir um proprietrio responsvel e identificado. A ele
atribuda a responsabilidade pelo controle da implementao e manuteno.
Inventrio dos ativos de informao

O objetivo do inventrio dos ativos da informao garantir a implementao
efetiva e correta das protees. Assim, necessrio que a organizao seja capaz de
identificar seus ativos de informao, com seus respectivos valores e importncia, e
cujos nveis de proteo implementados estejam relacionados diretamente com eles.
Para tanto, se faz necessrio estruturar e manter um inventrio dos principais ativos
associados com seus respectivos sistemas de informao. Cada ativo de informao e
seu respectivo proprietrio devem estar claramente identificado, assim como a
classificao de segurana desse ativo deve estar acordada e documentada, juntamente
com sua localizao atual (dado importante para o plano de contingncia).
52
Classificao da informao
O objetivo da classificao da informao garantir que os ativos de informao
recebam um nvel adequado de proteo, pois a informao possui vrios nveis de
sensibilidade e criticidade. A informao deve ser classificada para indicar a
importncia, a prioridade e o nvel de proteo. Pode ser que informaes mais
sensveis recebam um nvel adicional de proteo ou um tratamento especial. Um
sistema de classificao da informao deve ser usado com intuito de definir nveis
mais adequados de proteo.
Recomendaes para classificao

recomendado que a classificao da informao e seus respectivos controles
de proteo levem em considerao as necessidades de compartilhamento ou restrio
da informao com seus respectivos impactos nos negcios. A informao deve ser
classificada e rotulada de acordo com seu valor, sensibilidade e criticidade, e esta
rotulao deve ser feita de forma bem criteriosa, para evitar classificaes que no
condizem com a realidade da informao.
As regras de classificao devem, ainda, levar em considerao que algumas
informaes no devem possuir uma classificao fixa, pois sua sensibilidade varia
com o tempo, e que sua rotulao pode ser modificada de acordo com uma poltica
predeterminada.
Ateno especial deve ser dada interpretao dos rtulos nas informaes de
terceiros, para averiguar se as definies destes so as mesmas utilizadas pela
organizao.
53
A responsabilidade pela classificao da informao e sua reviso peridica

devem ficar a cargo de seu autor ou do proprietrio responsvel por ela.
Rtulos e tratamento da informao

importante definir os procedimentos para rotular a informao em
conformidade com a poltica de classificao da informao adotada pela organizao.
Cada classificao deve abranger as atividades de cpia, armazenamento e tipos de
transmisso a que a informao est sujeita, e ainda, como e quando dever ser
executada a destruio de sua mdia.
2.4
Segurana em pessoas
Os objetivos desta seo so: reduzir os riscos de falha humana, roubo, fraude ou
uso imprprio das instalaes; assegurar que os usurios, de acordo com seus cargos,
estejam cientes das ameaas segurana da informao; assegurar que os usurios
estaro preocupados e treinados em apoiar a poltica de segurana da informao no
desenvolvimento rotineiro de suas tarefas, ajudando a minimizar os danos de
incidentes e o mau funcionamento da segurana, sabendo como agir em caso de
incidentes.
Segurana nos recursos e na definio de trabalho

O objetivo da segurana nos recursos e na definio de trabalho reduzir os
riscos de falha humana, roubo, fraude ou uso indevido das instalaes. Isso exige que
54
todos os funcionrios, terceiros e usurios das instalaes de processamento da

informao assinem um acordo de sigilo.
Na sua fase de manuteno, as responsabilidades de segurana devem ser
atribudas aos funcionrios e terceiros ainda durante o processo de recrutamento e
contratao, includas em contrato e monitoradas ininterruptamente.
Incluso da segurana nas responsabilidades de trabalho

Regras de responsabilidades de segurana devem ser documentadas de acordo
com a poltica de segurana da informao da organizao. A poltica de segurana
deve tambm incluir as responsabilidades gerais pela sua implementao e
manuteno, bem como qualquer responsabilidade especfica para a proteo de
determinados ativos de informao ou pela execuo de determinados processos e
atividades de segurana.
Poltica de pessoal
necessrio verificar, no momento de sua contratao ou promoo, a
idoneidade de funcionrios que de alguma maneira tero acesso s informaes
consideradas sensveis ou sigilosas. Para aqueles funcionrios que ocupam cargos
revestidos de autoridade, e que tm tambm acessos a essas informaes, necessrio
que a checagem seja refeita periodicamente. Os funcionrios novos e sem experincia,
que tm autorizao para acesso a sistemas sensveis devem passar por um perodo de
avaliao e superviso. Um processo similar de seleo deve ser feito para
funcionrios temporrios e fornecedores. No caso em que os recursos humanos so
fornecidos por agncias de RH, o contrato entre a agncia e a organizao deve
55
especificar claramente a responsabilidade da agncia pela seleo e verificao da

idoneidade dos funcionrios.
Acordos de confidencialidade
Os acordos de confidencialidade so importantes para ressaltar o sigilo da
informao. Eles devem fazer parte dos termos e condies iniciais de contratao e,
alm disso, devem continuar a ter validade, mesmo aps o encerramento do contrato
de trabalho. Funcionrios temporrios e fornecedores devem possuir acordos
semelhantes.
Termos e condies de trabalho

Os termos e condies de trabalho devem determinar as responsabilidades dos
funcionrios pela segurana da informao e devem incluir as aes a serem tomadas
em caso de desrespeito ao acordo. Devem determinar, tambm, como sero tratados os
direitos legais do funcionrio com relao s informaes por ele criadas na execuo
de suas tarefas.
Treinamento dos usurios

O treinamento visa garantir que os usurios estaro cientes das ameaas e das
preocupaes de segurana da informao e estaro aptos a apoiar a poltica de
segurana da organizao durante a execuo normal de suas tarefas. Para tanto, eles
devem ser treinados nos procedimentos de segurana e no uso correto das instalaes
de processamento da informao.
56
Educao e treinamento em segurana da informao

Todos os funcionrios e terceiros devem receber internamente treinamento e
atualizaes adequados sobre as polticas e procedimentos organizacionais antes que a
eles seja disponibilizado qualquer servio ou acesso. O treinamento ministrado pelos
multiplicadores da ELECTRA.
Respondendo aos incidentes de segurana e ao mau funcionamento

A resposta aos incidentes de segurana e ao mau funcionamento tem como
funo monitorar tais incidentes com o intuito de minimizar os danos causados, alm e
aprender com eles. Assim, esses incidentes devem ser notificados o mais rpido
possvel, atravs dos canais apropriados. Todos os funcionrios e prestadores de
servios devem conhecer os procedimentos a serem tomados no caso da ocorrncia ou
suspeita de algum tipo de incidente e devem ser conscientizados a comunic-lo o mais
rpido possvel aos canais apropriados.
A organizao deve tambm estabelecer um processo disciplinar formal para
tratar os funcionrios que cometam violaes de segurana.
Notificao dos incidentes de segurana

Um procedimento de notificao formal deve ser estabelecido, junto com o
procedimento de resposta ao incidente, estabelecendo as aes a serem tomadas.
Todos os funcionrios devem estar conscientes dos procedimentos e de report-los o
mais
rpido
possvel.
Processos
de
realimentao
(feedback)
devem
ser
implementados para assegurar que os relatrios de incidentes sejam notificados
57
juntamente com os resultados obtidos aps o incidente ser tratado. Tais incidentes
podem ser usados nos treinamentos de usurios.
Notificando falhas na segurana

Os usurios devem ser instrudos a comunicar qualquer falha ou ameaa de
segurana ocorrida, ou mesmo uma suspeita, a seus superiores, ou diretamente aos
provedores de servio. Deve ser informado aos usurios, que, em nenhuma
circunstncia, eles devem tentar verificar uma falha suspeita, sob pena de que isso
possa ser interpretado como potencial uso imprprio do sistema.
Notificando o mau funcionamento de software

Devem ser estabelecidos procedimentos para notificao de mau funcionamento
de software. Os usurios no devem tentar remover o software suspeito, a menos que
sejam autorizados, pois a organizao dever possuir pessoal capacitado para tratar de
sua recuperao.
Aprendizagem com os incidentes

Devem existir mecanismos que permitam monitorar, qualificar, quantificar os
incidentes e maus funcionamentos. Isso servir para ajudar a identificar as
necessidades de melhorias nos controles de segurana existentes ou para serem
levados em considerao, quando for realizado o processo de reviso da poltica de
segurana.
Processo disciplinar
58
Deve ser previsto processo disciplinar formal para os funcionrios que tenham
violado as polticas e os procedimentos de segurana. Muitas vezes, a existncia desse
processo pode dissuadir funcionrios que estejam inclinados a desrespeitar os
procedimentos de segurana. necessrio que qualquer punio esteja enquadrada nas
leis vigentes.
2.5
Segundo a norma NBR ISO/IEC 17799 (2000,p.14):

O objetivo da segurana fsica : Prevenir acesso no autorizado,
dano e interferncia s informaes e instalaes fsicas da organizao.
Convm que os recursos e instalaes de processamento de informaes
crticas ou sensveis do negcio sejam mantidos em reas seguras, protegidas
por um permetro de segurana definido, com barreiras de segurana
apropriadas e controle de acesso. Convm que estas reas sejam fisicamente
protegidas de acesso no autorizado, dano ou interferncia. Convm que a
proteo fornecida seja proporcional aos riscos identificados. Polticas de
mesa limpa e tela limpa so recomendadas para reduzir o risco de acesso no
autorizado ou danos a papis, mdias, recursos e instalaes de
processamento de informaes.
Segundo Maia (2002, www.modulo.com.br ):

As ameaas internas podem ser consideradas como o risco nmero um
segurana dos recursos computacionais. Um bom programa de segurana
fsica o passo inicial para a defesa da corporao no sentido de proteger as
suas informaes contra acessos indevidos. Este programa deve iniciar
atravs da realizao de uma anlise de risco. Uma visita s dependncias da
empresa pode fornecer resultados interessantes. Os seguintes elementos
devem ser checados durante esta anlise: portas das salas trancadas, mesas e
armrios trancados, estaes de trabalho protegidas contra acessos
indevidos, disposio e proteo das mdias magnticas de armazenamento,
cabeamento de rede padronizado e seguro, informaes protegidas (em meio
magntico e papel), documentos sobre as mesas, descarte de informaes (se
existem trituradoras de papis), reas de circulao de visitantes, reas
restritas etc.
Uma lista das ameaas de segurana fsica poderia conter os seguintes
itens:
59
Incndio (fogo e fumaa);
gua (vazamentos, corroso, enchentes);
Tremores e abalos ssmicos;
Tempestades, furaces;
Terrorismo;
Sabotagem e vandalismo;
Exploses;
Roubos, furtos;
Desmoronamento de construes;
Materiais txicos;
Interrupo de energia (bombas de presso, ar-condicionado,

elevadores);
Interrupo de comunicao (links, voz, dados);
Falhas em equipamentos;
Outros.
Aps este levantamento, o resultado da anlise deve apontar o grau do

risco a que a empresa est exposta em decorrncia das ameaas referentes
segurana fsica. De acordo com as reas de maior risco (aquelas que podem
causar prejuzos ao negcio se um evento motivado por falha na segurana
fsica acontecer), os investimentos devem ser direcionados para que o risco
seja minimizado.
Por exemplo, pode ser que haja a necessidade de se adquirir
equipamentos de controle de acesso baseado em autenticao biomtrica
para reas crticas e de circulao restrita, como sala de servidores, alta
direo da empresa etc. As medidas de correo e equipamentos necessrios
devem ser adquiridos com base no custo-benefcio que proporcionam. Para
alguns casos, o prejuzo decorrente de um evento inferior ao valor do
investimento a ser feito nas medidas de correo, o que nos faz enxergar
com clareza que neste caso, o melhor seria ignorar o risco.
Para estas e outras decises que envolvam investimento em segurana,
a participao do Security Officer da empresa fundamental. Com sua viso
estratgica a respeito dos processos de negcio da empresa, o responsvel
pela segurana saber determinar onde e de que forma a empresa dever
investir para minimizar os riscos. O direcionamento da origem destes
investimentos tambm de suma importncia, uma vez que a rea de TI no
deve ser a responsvel pela verba destinada compra de dispositivos de
controle de acesso fsico do Departamento Financeiro de uma empresa, por
exemplo.
60
A grande mensagem que deixamos aqui que a segurana fsica da

empresa to importante quanto a segurana no ambiente de tecnologia, e
no deve, de forma alguma, ser deixada de lado. Em relao segurana da
informao, no devemos contar com o fator sorte.
Portanto, para se obter um ambiente fsico seguro alguns pontos devem ser
observados. Segundo a norma NBR ISO/IEC 17799 (2000, p14), seguem os pontos a
serem analisados:
2.5.1 reas de segurana
Prevenir acesso no autorizado, dano e interferncia s informaes e instalaes

fsicas da organizao. Convm que os recursos e instalaes de processamento de
informaes crticas ou sensveis do negcio sejam mantidos em reas seguras,
protegidas por um permetro de segurana definido, com barreiras de segurana
apropriadas e controle de acesso. Convm que estas reas sejam fisicamente
protegidas de acesso no autorizado, dano ou interferncia. Convm que a proteo
fornecida seja proporcional aos riscos identificados. Polticas de mesa limpa e tela
limpa so recomendadas para reduzir o risco de acesso no autorizado ou danos a
papis, mdias, recursos e instalaes de processamento de informaes.
Permetro de segurana fsica

A proteo fsica pode ser alcanada atravs da criao de diversas barreiras
fsicas em torno da propriedade fsica do negcio e de suas instalaes de
processamento da informao. Cada barreira estabelece um permetro de segurana,
contribuindo para o aumento da proteo total fornecida. Convm que as organizaes
61
usem os permetros de segurana para proteger as reas que contm os recursos e

instalaes de processamento de dados. Um permetro de segurana qualquer coisa
que estabelea uma barreira. Por exemplo, uma parede, uma porta com controle de
entrada baseado em carto ou mesmo um balco de controle de acesso com registro
manual. A localizao e a resistncia de cada barreira dependem dos resultados da
avaliao de risco. Recomenda-se que as seguintes diretrizes e controles sejam
considerados e implementados nos locais apropriados.
a) Convm que o permetro de segurana esteja claramente definido.
b) Convm que o permetro de um prdio ou local que contenha recursos de
processamento de dados seja fisicamente consistente (isto , no podem
existir brechas onde uma invaso possa ocorrer facilmente). Convm que
as paredes externas do local possuam construo slida e todas as portas
externas sejam protegidas de forma apropriada contra acessos no
autorizados, como, por exemplo, mecanismos de controle, travas,
alarmes, grades etc.
c) Convm que uma rea de recepo ou outro meio de controle de acesso
fsico ao local ou prdio seja usado. Convm que o acesso aos locais ou
prdios seja restrito apenas ao pessoal autorizado.
d) Convm que barreiras fsicas sejam, se necessrio, estendidas da laje do
piso at a laje superior, para prevenir acessos no autorizados ou
contaminao ambiental, como as causadas por fogo e inundaes.
e) Convm que todas as portas de incndio no permetro de segurana
possuam sensores de alarme e mola para fechamento automtico.
62
Controles de Entrada Fsica

Convm que as reas de segurana sejam protegidas por controles de entrada
apropriados para assegurar que apenas pessoas autorizadas tenham acesso liberado.
Recomenda-se que os seguintes controles sejam considerados:
a) Convm que visitantes das reas de segurana sejam checados quanto
permisso para ter acesso e tenham registradas data e hora de sua entrada
e sada. Convm que essas pessoas obtenham acesso apenas s reas
especficas, com propsitos autorizados e que esses acessos sigam
instrues baseadas nos requisitos de segurana e procedimentos de
emergncia prprios da rea considerada.
b) Convm que o acesso s informaes sensveis, instalaes e recursos de
processamento de informaes seja controlado e restrito apenas ao
pessoal autorizado. Convm que os controles de autenticao, como por
exemplo, cartes com PIN sejam usados para autorizar e validar qualquer
acesso. Convm ainda que seja mantida em segurana uma trilha de
auditoria contendo todos os acessos ocorridos.
c) Convm que todos os funcionrios utilizem alguma forma visvel de
identificao e sejam incentivados a informar segurana sobre a
presena de qualquer pessoa no identificada ou de qualquer estranho
no acompanhado.
d) Convm que os direitos de acesso s reas de segurana sejam
regularmente revistos e atualizados.
63
Segurana em escritrios, salas e instalaes de processamento

Uma rea de segurana pode ser um escritrio fechado ou diversas salas dentro
de um permetro de segurana fsica, que podem estar fechadas ou podem conter
armrios fechados ou cofres. Convm que a seleo e o projeto de uma rea de
segurana levem em considerao as possibilidades de dano causado por fogo,
inundaes, exploses, manifestaes civis e outras formas de desastres naturais ou
causados pelo homem. Convm que tambm sejam levados em considerao as
regulamentaes e padres de segurana e sade. Tambm devem tratar qualquer
ameaa originada em propriedades vizinhas, como por exemplo vazamento de gua de
outras reas. Recomenda-se que os seguintes controles sejam considerados:
a) Convm que as instalaes crticas sejam localizadas de forma a evitar o
acesso pblico.
b) Convm que os prdios sejam sem obstrues em seu acesso, com
indicaes mnimas do seu propsito, sem sinais bvios, tanto fora
quanto dentro do prdio, da presena de atividades de processamento de
informao.
c) Convm que os servios de suporte e equipamentos, como por exemplo
fotocopiadoras e mquinas de fax sejam instalados de forma apropriada
dentro de reas de segurana para evitar acesso que possa comprometer a
informao.
d) Convm que as portas e janelas sejam mantidas fechadas quando no
utilizadas e que sejam instaladas protees externas, principalmente
quando essas portas e janelas se localizarem em andar trreo.
64
e) Convm que os sistemas de deteco de intrusos sejam instalados por

profissionais especializados e testados regularmente, de forma a cobrir
todas as portas externas e janelas acessveis. Convm que as reas no
ocupadas possuam um sistema de alarme que permanea sempre ativado.
Convm que esses cuidados tambm cubram outras reas, como por
exemplo a sala de computadores ou salas de comunicao.
f) Convm que as instalaes de processamento da informao gerenciadas
pela organizao fiquem fisicamente separadas daquelas gerenciadas por
prestadores de servio.
g) Convm que os arquivos e as listas de telefones internos que identificam
os locais de processamento das informaes sensveis no sejam de
acesso pblico.
h) Convm que os materiais combustveis ou perigosos sejam guardados de
forma segura a uma distncia apropriada de uma rea de segurana.
Convm que os suprimentos volumosos, como material de escritrio, no
sejam guardados em uma rea de segurana, a menos que requeridos.
i) Convm que os equipamentos de contingncia e meios magnticos de
reserva (backup) sejam guardados a uma distncia segura da instalao
principal para evitar que desastres neste local os afetem.
Trabalhando em reas de segurana

Manuais e controles adicionais podem ser necessrios para melhorar as
condies de uma rea de segurana. Isso inclui controles tanto para o pessoal da
65
organizao como para prestadores de servios que trabalham em reas de segurana,

assim como para atividades terceirizadas que possam ocorrer nessa rea. Recomendase que os seguintes itens sejam considerados.
a) Convm que os funcionrios s tenham conhecimento da existncia de
rea de segurana ou de atividades dentro dela quando necessrio.
b) Convm que se evite trabalho sem superviso nas reas de segurana,
tanto por razes de segurana como para prevenir oportunidades para
atividades maliciosas.
c) Convm que as reas de segurana desocupadas sejam mantidas
fisicamente fechadas e verificadas periodicamente.
d) Convm que pessoal de servio de suporte terceirizado tenha acesso
restrito s reas de segurana ou s instalaes de processamento de
informaes sensveis somente quando suas atividades o exigirem.
Convm que este acesso seja autorizado e monitorado. Barreiras e
permetros adicionais para controlar o acesso fsico podem ser
necessrios em reas com diferentes requisitos de segurana dentro de
um mesmo permetro de segurana.
e) Convm que no se permitam o uso de equipamentos fotogrficos, de
vdeo, de udio ou de outro equipamento de gravao, a menos que seja
autorizado.
66
Isolamento das reas de expedio e cargas

Convm que as reas de expedio e de carregamento sejam controladas e se
possvel isoladas das instalaes de processamento da informao, com o objetivo de
evitar acessos no autorizados. Convm que os requisitos de segurana sejam
determinados a partir de uma avaliao de risco. Recomenda-se que os seguintes itens
sejam considerados:
a) Convm que o acesso rea de movimentao e suporte (carga e
descarga) externa ao prdio seja restrito somente ao pessoal identificado
e autorizado.
b) Convm que esta rea seja projetada de forma que os suprimentos
possam ser descarregados sem que o pessoal responsvel pela entrega
tenha acesso s outras partes do prdio.
c) Convm que a(s) porta(s) externa(s) destas reas seja(m) mantida(s)
protegida(s) quando as portas internas estiverem abertas.
d) Convm que o material de entrada seja inspecionado contra potenciais
perigos [ver 7.2.1 d)], antes de ser transportado dessa rea para a rea na
qual ser utilizado.
e) Convm que o material recebido seja registrado, se apropriado (ver 5.1),
quando da sua recepo.
67
2.5.2 Segurana dos equipamentos
Objetivo: Prevenir perda, dano ou comprometimento dos ativos e a interrupo

das atividades do negcio.
Convm que os equipamentos sejam fisicamente protegidos contra ameaas
sua segurana e perigos ambientais. A proteo dos equipamentos (incluindo aqueles
utilizados fora das instalaes fsicas da organizao) necessria para reduzir o risco
de acessos no autorizados a dados e para proteo contra perda ou dano. Convm que
esta proteo considere os equipamentos instalados e os em alienao. Controles
especiais podem ser exigidos para proteo contra perigos ou acessos no autorizados
e para salvaguardar as instalaes de suporte, como o fornecimento de energia eltrica
e cabeamento.
Instalao e proteo dos equipamentos

Convm que os equipamentos sejam instalados ou protegidos para reduzir o
risco de ameaas ambientais, perigos e oportunidades de acesso no autorizado.
Recomenda-se que os seguintes itens sejam considerados:
a) Convm que os equipamentos sejam instalados de forma a reduzir
acessos desnecessrios rea de trabalho.
b) Convm que as instalaes de processamento e armazenamento de
informao que tratam de informaes sensveis sejam posicionadas de
maneira a reduzir riscos de espionagem de informaes durante o seu
uso.
68
c) Convm que os itens que necessitem de proteo especial sejam isolados

para reduzir o nvel geral de proteo exigida.
d) Convm que sejam adotados controles, de forma a minimizar ameaas
potenciais, incluindo:
Roubo;
Fogo;
Explosivos;
Fumaa;
gua (ou falha de abastecimento);
Poeira;
Vibrao;
Efeitos qumicos;
Interferncia no fornecimento eltrico;
Radiao eletromagntica.
e) Convm que uma organizao considere polticas especficas para

alimentao, bebida e fumo nas proximidades das instalaes de
processamento da informao.
69
f) Convm que aspectos ambientais sejam monitorados para evitar condies

que possam afetar de maneira adversa operao das instalaes de
g) Convm que uso de mtodos de proteo especial, como capas para
teclados, seja considerado para equipamentos em ambiente industrial.
h) Convm que o impacto de um desastre que possa ocorrer nas proximidades
da instalao, como por exemplo um incndio em um prdio vizinho,
vazamentos de gua no telhado ou em andares abaixo do nvel do cho ou
exploses na rua tambm seja considerado.
Fornecimento de energia
Convm que os equipamentos sejam protegidos contra falhas de energia e outras
anomalias na alimentao eltrica. Convm que um fornecimento de energia
apropriado ocorra em conformidade com as especificaes do fabricante do
equipamento. Algumas opes para alcanar a continuidade do fornecimento eltrico
incluem:
a) Alimentao mltipla para evitar um nico ponto de falha no fornecimento
eltrico;
b) No-break (Uninterruptable Power Supply - UPS);
c) Gerador de reserva. recomendado o uso de no-break em equipamentos
que suportem atividades crticas para permitir o encerramento ordenado ou
a continuidade do processamento. Convm que os planos de contingncia
contenham aes a serem tomadas em casos de falha no no-break. Convm
70
que esse tipo de equipamento seja periodicamente verificado, de forma a

garantir que ele esteja com a capacidade adequada, e testado de acordo com
as recomendaes do fabricante. Convm que um gerador de reserva seja
considerado se o processamento requer continuidade, em caso de uma falha
eltrica prolongada. Se instalados, convm que os geradores sejam testados
regularmente de acordo com as instrues do fabricante. Convm que um
fornecimento adequado de leo esteja disponvel para assegurar que o
gerador possa ser utilizado por um perodo prolongado. Adicionalmente,
convm que se tenham interruptores eltricos de emergncia localizados
prximo s sadas de emergncia das salas de equipamentos para facilitar o
desligamento em caso de emergncia. Convm que iluminao de
emergncia esteja disponvel em casos de falha da fonte eltrica primria.
Convm que proteo contra relmpagos seja usada em todos os prdios e
que filtros de proteo contra raios sejam instalados para todas as linhas de
comunicao externas.
Segurana do cabeamento
Convm que o cabeamento eltrico e de telecomunicao que transmite dados ou
suporta os servios de informao seja protegido contra interceptao ou dano.
a) Convm que as linhas eltricas e de telecomunicaes das instalaes de
processamento da informao sejam subterrneas, onde possvel, ou
sejam submetidas proteo alternativa adequada.
71
b) Convm que o cabeamento da rede seja protegido contra interceptaes

no autorizadas ou danos, por exemplo pelo uso de condutes ou evitando
a sua instalao atravs de reas pblicas.
c) Convm que os cabos eltricos fiquem separados dos cabos de
comunicao para prevenir interferncias.
d) Convm que para sistemas crticos ou sensveis sejam utilizados alguns
controles adicionais, tais como:
1) Instalao de condutes blindados e salas ou gabinetes trancados nos
pontos de inspeo e terminais;
2) Uso de rotas e meios de transmisso alternativos;
3) Uso de cabeamento de fibra ptica;
4) Varredura inicial para identificar dispositivos no autorizados conectados
aos cabos.
Manuteno dos equipamentos

Convm que a manuteno correta dos equipamentos garanta a continuidade da
disponibilidade e integridade dos mesmos. Recomenda-se que os seguintes itens sejam
considerados:
a) Convm que os equipamentos tenham manuteno de acordo com
intervalos e especificaes do fabricante.
b) Convm que apenas pessoal autorizado execute reparos e servios nos
equipamentos.
72
c) Convm que se mantenham registros de todas as falhas suspeitas ou

ocorridas e de toda manuteno corretiva e preventiva.
d) Convm que controles apropriados sejam utilizados quando do envio de
equipamentos para manuteno fora da instalao fsica (ver tambm
7.2.6, considerando dados excludos, apagados e sobrepostos). Convm
que todos os requisitos impostos pelas aplices de seguro sejam
atendidos.
Segurana de equipamentos fora das instalaes

Independentemente de quem seja o proprietrio, convm que o uso de qualquer
equipamento para o processamento da informao fora das instalaes da organizao
seja autorizado pela direo. Convm que a segurana fornecida seja equivalente
quela oferecida aos equipamentos utilizados dentro da organizao para o mesmo
propsito, levando-se em conta os riscos de se trabalhar fora das instalaes da
organizao. Os equipamentos de processamento de informao incluem todas as
formas de computadores pessoais, agendas eletrnicas, telefones mveis, papis ou
outros, que so levados para se trabalhar em casa ou para fora do ambiente normal de
trabalho. Recomenda-se que os seguintes itens sejam considerados:
a) Convm que equipamento e mdias levados para fora das instalaes no
sejam deixados desprotegidos em reas pblicas. Convm que
computadores portteis sejam carregados como bagagem de mo e
disfarados sempre que possvel nas viagens.
73
b) Convm que as instrues dos fabricantes para proteo dos

equipamentos sejam sempre observadas, como por exemplo proteo
contra exposio a campos magnticos intensos.
c) Convm que os controles para trabalho em casa sejam determinados
atravs da avaliao de risco e os controles apropriados aplicados
conforme a necessidade, como por exemplo gabinetes de arquivo
fechados, poltica de mesa limpa e controles de acesso aos computadores.
d) Convm que se use uma cobertura adequada de seguro para proteger os
equipamentos existentes fora das instalaes da organizao. Os riscos
de segurana, como por exemplo de dano, roubo e espionagem, podem
variar consideravelmente conforme a localizao e convm que sejam
levados em conta na determinao dos controles mais apropriados.
Maiores informaes sobre a proteo de equipamentos mveis podem
ser encontradas em 9.8.1.
Reutilizao e alienao segura de equipamentos

A informao pode ser exposta pelo descuido na alienao ou reutilizao de
equipamentos (ver tambm 8.6.4). Convm que dispositivos de armazenamento que
contenham informao sensvel sejam destrudos fisicamente ou sobrescritos de forma
segura ao invs da utilizao de funes-padro para a excluso.
Convm que todos os itens de equipamentos que possuem meios de
armazenamento, como por exemplo discos rgidos, sejam checados para assegurar que
toda informao sensvel e software licenciado foram removidos ou sobrepostos antes
da alienao do equipamento. Dispositivos de armazenamento danificados contendo
74
informaes sensveis podem necessitar de uma avaliao de riscos para se determinar

se tais itens deveriam ser destrudos, reparados ou descartados.
2.5.3 Controles gerais
Objetivo: Evitar exposio ou roubo de informao e de recursos de

Convm que informaes e recursos de processamento da informao sejam
protegidos de divulgao, modificao ou roubo por pessoas no autorizadas e que
sejam adotados controles de forma a minimizar sua perda ou dano. Os procedimentos
para manuseio e armazenamento esto considerados em 8.6.3.
Poltica de mesa limpa e tela limpa

A organizao deve considerar a adoo de uma poltica de mesa limpa para
papis e mdias removveis e uma poltica de tela limpa para os recursos de
processamento da informao, de forma a reduzir riscos de acesso no autorizado,
perda e danos informao durante e fora do horrio normal de trabalho. A poltica
deve levar em considerao as classificaes da segurana das informaes, os riscos
correspondentes e os aspectos culturais da organizao.
As informaes deixadas em mesas de trabalho tambm so alvos provveis de
danos ou destruio em um desastre como incndio, inundaes ou exploses.
75
a) Onde for apropriado, convm que papis e mdias de computador sejam

guardados, quando no estiverem sendo utilizados, em gavetas
adequadas, com fechaduras e/ou outras formas seguras de mobilirio,
especialmente fora do horrio normal de trabalho.
b) Informaes sensveis ou crticas ao negcio, quando no forem
requeridas, devem ser guardadas em local distante, de forma segura e
fechada (de preferncia em um cofre ou arquivo resistente a fogo),
especialmente quando o escritrio estiver vazio.
c) Computadores pessoais, terminais de computador e impressoras no
devem ser deixados ligados quando no assistidos e devem ser
protegidos por senhas, chaves ou outros controles quando no estiverem
em uso.
d) Pontos de recepo e envio de correspondncias e mquinas de fax e
telex no assistidas devem ser protegidos.
e) Copiadoras devem ser travadas (ou de alguma forma protegidas contra o
uso no autorizado) fora do horrio normal de trabalho.
f) Informaes sensveis e classificadas, quando impressas, devem ser
imediatamente retiradas da impressora.
Remoo de propriedade
Equipamentos, informaes ou software no devem ser retirados da organizao
sem autorizao. Quando necessrio e apropriado, os equipamentos devem ser
desconectados e conectados novamente no seu retorno. Inspees pontuais devem ser
76
realizadas de forma a detectar a remoo no autorizada de propriedade. As pessoas

devem estar cientes de que inspees pontuais sero realizadas seguindo um plano de
auditoria.
2.6
Conformidade
Os objetivos desta sesso so evitar, por parte da organizao, as seguintes

violaes: s leis civis ou criminais; s obrigaes legais ou contratuais de propriedade
intelectual; de segurana a sistemas e informaes de terceiros. Tambm visa a
maximizar a efetividade e minimizar a interferncia em sistema de auditagem.
2.6.1 Conformidade com requisitos legais
O projeto, a operao, o uso e a gesto de sistemas de informao podem estar

sujeitos a requisitos de segurana contratuais, regulamentares ou estatutrios. Por isso,
necessrio identificar os aspectos legais para evitar a violao de qualquer lei
criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer
requisitos de segurana.
Consultoria em requisitos legais pode ser procurada em organizaes de
consultoria jurdica ou com profissionais liberais adequadamente qualificados.
importante lembrar que os requisitos legais variam de pas para pas e se aplicam
tambm para a informao criada em um pas e transmitida para outro.
77
Identificao da legislao vigente

Estatutos, regulamentaes ou obrigaes contratuais relevantes devem ser
explicitamente definidos e documentados para cada sistema de informao, bem como
os controles e as responsabilidades especficas para atender a esses requisitos.
Direitos de propriedade intelectual

Procedimentos apropriados devem ser implantados para garantir a conformidade
com as restries legais quanto propriedade intelectual.
Legislao, regulamentao e clusulas contratuais podem estabelecer restries
para a cpia de material, evitando a transgresso aos direitos autorais.
Produtos de software proprietrios so normalmente fornecidos de acordo com
um contrato de licenciamento que restringe o seu uso, cpia e instalao.
Para se evitar a transgresso dos contratos de licenciamento, uma poltica de
conformidade de direito autoral deve ser implementada para definir o uso legal de
produtos de software ou de informao.
Proteo de registros organizacionais

A proteo de registros importantes de uma organizao muito importante para
se evitar perdas, destruio e falsificao dos mesmos. Alm disso, alguns registros
precisam ser retidos de forma segura para atender a requisitos estatutrios ou
regulamentaes, assim como para apoiar as atividades essenciais da organizao.
Para isso, sistemas de armazenagem confiveis de registros organizacionais devem ser
previstos.
78
Esses sistemas de armazenagem devem ser escolhidos de modo que o dado

solicitado possa ser recuperado de forma legal e aceitvel.
E, por ltimo, o sistema de armazenamento e manuseio deve assegurar a clara
identificao dos registros e seus respectivos perodos de reteno estatutrios e
regulamentares. Deve permitir, ainda, a destruio apropriada dos registros aps esses
perodos, caso no sejam mais necessrios organizao.
Proteo de dados e privacidade da informao pessoal

Alguns pases possuem leis que estabelecem controles no processamento e na
transmisso de dados pessoais. Alguns desses controles dizem respeito
responsabilidade na armazenagem e divulgao desses dados.
Estar em conformidade legal com essas leis requer estrutura e controles
apropriados. Normalmente, isso alcanado atravs da indicao de um responsvel
pela proteo de dados, o qual dever oferecer orientaes para gerentes, usurios e
prestadores de servio a respeito de como tratar legalmente este tipo de informao.
Porm, de responsabilidade do proprietrio do dado notificar ao responsvel sobre
qualquer proposta de armazenamento de informaes pessoais em arquivo estruturado
e garantir a capacitao nos princpios de proteo de dados definidos na legislao
vigente.
79
Preveno contra uso imprprio das instalaes de processamento da

informao
Qualquer uso das instalaes de processamento de dados para propsitos outros
que no os do negcio, sem a devida autorizao, ser considerado como imprprio. E
sua ocorrncia dever ser passvel de punio.
Atualmente, o uso imprprio de computadores est se tornando crime previsto
em lei. Por isso, funcionrios e terceiros que utilizam as instalaes da organizao
devem ser alertados sobre tal procedimento e devem ter conhecimento do escopo exato
de suas permisses e do fato de que nenhum acesso permitido sem a devida
autorizao.
No momento da conexo inicial, deve ser informado ao usurio, na tela do
computador, que o sistema ao qual ele est acessando privado e que no so
permitidos acessos no autorizados. Assim, ao se conectar ele estar de acordo com
isto.
Regulamentao de controles criptogrficos

Alguns pases tm estabelecido acordos, leis, regulamentaes e outros
instrumentos para controlar o acesso ou uso de controles criptogrficos.
Consultoria jurdica deve ser obtida para garantir a conformidade desse processo
com a legislao nacional vigente e tambm para opinar sobre a transferncia de
informaes cifradas ou controles criptogrficos para outros pases.
80
Coleta de evidncias
Um processo jurdico contra pessoa ou organizao deve estar embasado em
evidncias adequadas. Quando ele for de ordem interna, as evidncias necessrias
devero estar definidas nos procedimentos internos. Quando for de ordem externa, as
evidncias necessrias devem estar de acordo com as regras estabelecidas pela lei ou
tribunal de justia especficos da localidade onde o caso ser julgado.
Para se obter a admissibilidade da evidncia, as organizaes devem garantir que
seus sistemas de informao estejam em conformidade com qualquer norma ou cdigo
de prtica publicados.
Por outro lado, para o proprietrio obter qualidade e inteireza da evidncia, um
bom registro (log) de evidncia necessrio. Quando o incidente detectado, pode
no ser bvio que resultar num possvel processo jurdico. Pode ser, tambm, que a
evidncia necessria seja destruda acidentalmente antes que seja percebida a
seriedade do incidente. conveniente acionar um advogado ou a polcia, to logo seja
constatada a necessidade de processos jurdicos, bem como obter consultoria
especializada sobre as evidncias necessrias.
2.7
Anlise da poltica de segurana e da conformidade tcnica
A segurana dos sistemas de informao deve estar em constante reviso para

garantir a conformidade dos sistemas com as polticas e normas de segurana da
organizao.
81
Conformidade com a poltica de segurana

Os gerentes devem garantir que todos os procedimentos de segurana estejam
sendo executados dentro de sua rea de responsabilidade.
Os proprietrios dos sistemas de informao devem apoiar as anlises crticas
peridicas de conformidade dos seus sistemas com as normas, polticas e requisitos de
segurana apropriados.
Verificao da conformidade tcnica

Sistemas de informao devem ter periodicamente verificados na sua
conformidade com as normas de segurana implantadas. A verificao de
conformidade tcnica envolve a anlise dos sistemas operacionais para garantir que
controles de equipamentos e software foram corretamente implementados. A
verificao de conformidade deve ser sempre executada ou acompanhada por pessoas
competentes e especializadas.
Consideraes quanto auditoria de sistemas

Devem existir controles para proteo dos sistemas operacionais e das
ferramentas de auditoria quando da realizao de auditorias de sistema, no intuito de
maximizar a eficcia e minimizar a interferncia do processo de auditoria no sistema.
necessrio, tambm, proteger a integridade e prevenir o uso imprprio das
ferramentas de auditoria.
82
Requisitos e atividades de auditoria que exijam a verificao nos sistemas

operacionais devem ser cuidadosamente planejados e acordados para minimizar os
riscos de interrupo dos ambientes crticos.
Acessos s ferramentas de auditoria de sistema devem ser protegidos contra uso
imprprio ou comprometimento. Estas ferramentas devem estar isoladas dos
ambientes de desenvolvimento e de produo e no devem ser manipuladas em reas
de acesso de usurios, a menos que forneam um nvel apropriado de proteo.
2.8
Mecanismos e dispositivos de segurana
2.8.1 Infra-Estrutura do Data Center
Sala-Cofre
Segundo Brasiliano (2004), a sala-cofre uma soluo mundialmente adotada
pelos Data Centers. Ela composta por uma clula hermtica e de mltiplas camadas
de proteo para distribuio e absoro de impacto, presso e calor..
A concepo da sala-cofre, no que diz respeito proteo composta por uma

cmara externa refratria (a prova de temperaturas at 1000 C) e uma clula interna
hermtica (estanque a gases e lquidos) que tem capacidade de absoro de calor. A
83
envasadura entre as clulas externas e internas permite distribuio de presses e calor

para otimizar a capacidade de resistir a todos tipos de sinistros.
A sala-cofre deve ser uma soluo sob medida, sendo a cmara externa
construda na rea em alvenaria e concreto, com aproveitamento de lajes e paredes
existentes ou pode ser composta por elementos pr-fabricados. A clula interna prfabricada em painis com 3 cm de espessura em chapa de ao. Os painis da lateral,
teto e fundo so montados dentro, mas independente da cmara externa e unidos por
pontos de solda MIG (material inerte gs). As juntas so flexveis para poder
absorver deformaes sem perder o isolamento.
O acesso sala-cofre protegido por uma porta refratria integrada cmara
externa, abrindo para fora e uma porta estanque integrada a clula interna, abrindo
para dentro.
A sala-cofre deve possuir um sistema de piso elevado para atender as seguintes
necessidades:
Funcionar como "plenum de insuflamento" de ar condicionado;
Permitir a passagem de cabos de fora para os computadores;
Permitir a passagem de cabos de lgica entre as vrias unidades do

computador;
Permitir a distribuio das vrias linhas da rede telefonia, do sistema de

segurana e de deteco e combate ao fogo;
Permitir fcil remanejamento de unidades e oferecer maior flexibilidade

e alteraes de "layout" e expanses futuras;
84
O piso deve possuir as seguintes caractersticas: estrutura metlica de

apoio, autoportante, disposta em forma reticulada, sem perfis metlicos
aparentes, apoiada em suportes metlicos verticais ajustveis a uma
altura entre 0,40 m a 0,60 m;
Possuir placas removveis e intercambiveis, com a mesma modularidade

da estrutura metlica, de fcil remoo e recolocao, com revestimento
superficial especfico para piso que permita a descarga de eletricidade
esttica;
Suportar os esforos das cargas distribudas e concentradas, previstos nos

locais para onde foram projetados e instalados;
Todo o sistema de piso elevado dever ser aterrado, podendo

eventualmente ser utilizado como malha de referncia;
Devero ser evitados materiais combustveis e PVC (polmero

termoplstico);
As placas no devero ter nenhuma parte metlica exposta;
As estruturas dos pisos elevados devem ser suportadas por materiais

incombustveis de resistncia adequada. Sua estrutura no deve ter peas
de alumnio ou outro material com ponto de fuso abaixo de 100C. As
placas devem ser no inflamveis e resistentes ao fogo por no mnimo 30
minutos;
85
O piso deve ser projetado de forma a permitir que sua integridade seja
mantida e garantir um isolamento trmico conveniente, no caso de um
incndio iniciar-se dentro do vo criados entre tal piso e a laje;
Todas as aberturas devem ser fechadas tanto quanto possvel para

impedir que fiapos e outras fontes de ignio, ao longo do tempo,
gradualmente acumulem-se no envasamento.
A passagem de ar (necessrio em caso de climatizao por sistema externo)

exige damper especial para blindagem da abertura. As portas e os dampers so
providos de sistemas de fechamento autnomos somente com a energia das suas
prprias molas.
Energia eltrica s aplicada para mant-las abertas.
A sala-cofre uma proteo altamente confivel, pois opera normalmente
fechada ou fecha de imediato ao menor sinal de perigo.
No h custo para acion-la e no oferece risco para funcionrios. Portanto, no
necessita de bloqueio como em alguns sistemas de combate, nem retardamento para
verificao ou qualquer outro impedimento. As pessoas podem sair da sala mesmo se
for trancada a chave. A iluminao interna provida de fontes eletrnicas de alta
freqncia e com total segurana. Para controle do risco de ignio dentro da clula
(mesmo sendo um risco remoto) deve haver detector de produtos de combusto
("fumaa") ligado ao sistema do prdio. Para combate automtico dentro da sala pode
ser instalado um sistema de descarga de gs supressor de combusto.
A sala-cofre hoje usada nas reas onde os equipamentos possam trabalhar sem
interveno humana, tais como:
86
CPU (Unidade Central de Processamento);
Discos, fitoteca robotizada;
Servidores de rede e equipamentos de comunicao;
A sala-cofre deve possuir, em caso de emergncia, um sistema automtico que

deve entrar em "estado de alarme" desencadeando as seguintes funes: tocar o alarme
dentro da sala, fechar a porta interna e, aps pequeno retardo, fechar a porta externa.
Aps um pequeno perodo desligar a iluminao.
2.8.2 Acesso ao CPD
Controle de Acesso
Segundo Haical (2004):
O controle de acesso do tipo fsico toda e qualquer aplicao de
equipamentos ou procedimentos com o objetivo de proteger ambientes,
equipamentos ou informaes cujo acesso deve ser restrito. Esse tipo de
controle envolve o uso de cancelas, chaves, trancas, guardas, ces, crachs,
grades, muros, alarmes, vdeo, smart cards (cartes com capacidade de
armazenar e processar dados), biometria (ramo da cincia que estuda a
mensurao dos seres vivos). e outros meios que podem ser usados nos
pontos de acesso onde o usurio tenta obter o acesso, alm da aplicao de
normas e procedimentos utilizados pela empresa para esse fim.
Os sistemas de controle de acesso fsico possibilitam a integrao de outras

funcionalidades,
como
integrao
com
leitores
biomtricos,
controle
de
estacionamento, controle de elevadores, integrao com alarmes de incndio, controle

de ronda, emisso de crachs para visitantes e integrao com CFTV (circuito fechado
87
de televiso), ou tambm o Acesso Universal, isto , a integrao do controle de

acesso fsico com controle de acesso lgico, possibilitando a criao de
implementaes especiais, como permitir o acesso estao de trabalho apenas a
usurios que se autenticaram no ponto de acesso e a utilizao da mesma credencial
biomtrica (referente biometria) para todos os dispositivos.
O controle de acesso fsico utilizando mtodos manuais ou automatizados deve
ter como regra bsica a capacidade de diferenciar o usurio autorizado e o no
autorizado mediante sua identificao, assim atentando s seguintes premissas:
O que a pessoa : sua identificao ou caractersticas biomtricas;
O que a pessoa possui: uso de cartes ou chaves;
O que a pessoa sabe: uso de senha ou cdigos.
possvel notar o uso de duas destas premissas em um exemplo bastante comum

como o caixa de banco automtico. O que o usurio possui, como o carto magntico e
o que ele sabe, como a senha de acesso. Sistemas que utilizam apenas uma das
premissas esto mais suscetveis falhas provenientes por perda, uso indevido e
falsificaes, sendo mais confivel o uso de mais de uma premissa. Um sistema de
controle de acesso tambm pode conter as seguintes caractersticas:
Proteo contra ataques forados: o esquema de controle deve ter a

eficincia para evitar invases mediante o corte de energia ou fora bruta.
Capacidade de expanso: o sistema deve ter capacidade de crescimento

ou mudanas. Tais mudanas so provenientes do aumento de usurios
autorizados, alteraes nos nveis de privilgios de acesso. Tambm deve
88
conter modems (modulador/demodulador) ou redes virtuais privadas

possibilitando o controle de acesso em pontos remotos.
Habilidade de registrar acessos: deve ser capaz de registrar os acessos de

modo que permita consultas posteriores, monitorao e auditorias com
aplicao de filtros de pesquisa. Assim, o sistema deve gravar pelo
menos a data, hora, local e a identificao da pessoa. E para os acessos
invlidos devem ser gravadas as datas, hora, local, identificao e a razo
do bloqueio.
Bloqueio de mltiplos acessos: o sistema deve bloquear a entrada de uma

determinada pessoa at que sua sada seja efetuada, assim evitando o uso
da mesma identificao por mais de uma pessoa. Para evitar o acesso
mltiplo, o sistema tambm deve permitir apenas a entrada de uma
pessoa a cada acesso vlido. Podem ser usadas, por exemplo, catracas ou
portas giratrias que so utilizadas em bancos brasileiros permitindo a
passagem de uma pessoa por vez. recomendada a utilizao de uma
monitorao intensa para dispositivos de controle de baixa altura como
roletas e catracas, pois possvel ser pulado por pessoas. Assim se a
inteno for utilizar um ponto de acesso com pouca superviso, devem
ser usados dispositivos de altura plena.
Tipos de Controle de Acesso Fsico

Grades e muros: Inibem a presena de curiosos e pessoas no autorizadas
estabelecendo um limite. Grades devem ter alarmes ou estar sob vigilncia de guardas,
cachorros ou monitores de televiso.
89
Cancelas: Podem ser simples para locais abertos ou articuladas para locais que
obstruam o seu levantamento. As cancelas podem ser controladas manualmente, por
meio de botes, cartes magnticos, de cdigo de barras ou cartes de proximidade e
por algum dispositivo biomtrico (referente biometria) como o de verificao de
digital, o mais comum.
Guardas: podem ser posicionados em pontos estratgicos para melhor controlar
o acesso e permiti-lo apenas a pessoas autorizadas. Sua atuao bastante eficaz na
inspeo de pacotes e outros objetos de mo na entrada ou sada. Autenticao por
senha: geralmente feita por meio da digitao da senha em um teclado junto ao ponto
de acesso. Ao ser digitada corretamente abre-se a porta ou outro tipo de acesso. A
senha tambm pode ser utilizada em um carto ou crach de identificao, sendo
recomendada a ausncia de identificao visual, informaes ou perfuraes no carto
ou crach referentes aos privilgios de acesso, evitando o uso indevido em caso de
perda ou furto.
Portas duplas: geralmente usadas para forar pessoas que esto tentando ter o
acesso a identificarem-se para um guarda, que pode se posicionar na entrada da
segunda porta ou por um sistema de televiso e udio. Pode ser aplicada em situaes
que uma pessoa persegue outra para tentar obter acesso a reas restritas.
Torniquetes: um equipamento que permite o fluxo controlado de pessoas nos
dois sentidos de giro (uni ou bidirecional). Aceita a condio monitorada de entrada e /
ou sada com restries de autorizao da passagem ou ainda por horrio por meio do
coletor de dados.
Podem ser integrados com vrios validadores ou equipamentos de controle (por
carto magntico, cdigo de barras, proximidade, smart cards, dispositivos
90
biomtricos etc.) e ainda com dispositivos de comando distncia como controle

remoto ou similares.
Controle de acesso biomtrico: Biometria mais bem definida como sendo a
mensurao fisiolgica e/ou caracterstica de comportamento que pode ser utilizada
para verificao de identidade de um indivduo. A mensurao inclui impresses
digitais, voz, retina, ris, reconhecimento de face, imagem trmica, anlise de
assinatura, palma da mo e outras tcnicas. A biometria tem vantagens no seu uso
sobre os outros mtodos de autenticao. Cartes magnticos, crachs, smart cards,
chaves podem ser perdidos, duplicados, roubados e mesmo esquecidos em casa.
Senhas podem ser observadas, compartilhadas ou esquecidas, o que no acontece com
alguns sistemas da biometria. O usurio identificado por caractersticas nicas,
pessoais e intransferveis, ou seja, pelo que ele e no pelo que possui (cartes ou
crachs) ou sabe (senhas).
Crachs: funcionrios e visitantes devem ser obrigados a us-los para obterem o
acesso. Para maior segurana recomendado que os crachs tenham poucas
informaes como assinaturas e detalhes impressos sobre os privilgios de acesso do
funcionrio. A identificao pode ser feita por cdigos ou cores e o nmero de srie
dos crachs deve ser nico.
Tipo de Crachs: funcionrio, prestador de servio, visitante, provisrio, scio
(para clubes), aluno (para academias e escolas), especial (o qual pode ser
personalizado, por exemplo, estagirio, temporrio etc.).
Portarias: as portarias devem fazer o registro e a baixa dos visitantes,
agendamento de visitantes ou grupos de visitantes, distribuio dos crachs
provisrios e o registro do movimento de veculos. Tambm deve ser feita a
91
verificao se o visitado est presente na empresa no momento da visita e at se o

visitante tem alguma restrio ou proibio de acesso.
Para aumentar o nvel de segurana da empresa deve ser feita a verificao se a
visita foi pr-agendada, assim facilitando o processo de registro do visitante.
Devem ser registrados os seguintes dados do visitante: nome, empresa,
documento, visitado e motivo da visita. A confeco de um crach ou etiqueta para o
visitante pode ser feita caso seja possvel capturar a imagem e imprimir a mesma. No
caso de um crach provisrio comum, recolh-lo na sada possibilitando a reutilizao
por outro visitante. Caso a baixa do crach no tenha sido efetuada, deve-se verificar
se o visitante ainda est no local e se o seu nmero de crach confere com o registro,
assim protegendo contra extravios dos mesmos.
92
ESTUDO DE CASO
3.1
Poltica de segurana
3.1.1 Situao Atual em Relao Poltica de Segurana
No existe uma Poltica de Segurana Corporativa formal abordando toda a

norma ISO/IEC 17799 com divulgao, conscientizao e treinamento definido e
apoiado pela alta direo da ELECTRA. Existe sim uma Poltica de Segurana
desatualizada (criada h cerca de 20 anos) e que por isso no plenamente seguida,
pois no retrata a situao atual.
A anlise dos riscos da ELECTRA ponto de partida para a definio de uma
boa Poltica de Segurana Corporativa.
3.1.1.1 Comit Gestor
No existe um Comit Gestor Corporativo especfico de segurana formalizado

para implementao e manuteno da Poltica de Segurana da Informao. Apenas
existe uma equipe no departamento de segurana estudando a Norma.
93
A Norma ABNT ISO/IEC 17799 trata desse assunto em seu item 3.1 Poltica de
Segurana da seguinte forma:
Convm que a direo estabelea uma Poltica clara e demonstre apoio e
comprometimento com a segurana da informao atravs da emisso e manuteno
de uma Poltica de Segurana da Informao para toda a ELECTRA.
3.1.2 Recomendaes quanto Poltica de Segurana
Criar e aprovar, em carter de emergncia, a Poltica de Segurana Corporativa

da Informao de acordo com as normas, legislaes vigentes e cultura da ELECTRA.
Criar um Departamento de Segurana da Informao com um Gerente (Security
Officer);
Criar um Comit Gestor Corporativo para implementao, manuteno e reviso
de Poltica de Segurana da Informao na ELECTRA;
Criar fruns apropriados, com liderana da alta direo, para gerir, estabelecer e
aprovar uma Poltica de Segurana da Informao, sendo publicada e divulgada para
todos os funcionrios em toda a ELECTRA, de forma relevante, acessvel e
compreensvel ao pblico-alvo.
A poltica de segurana deve afirmar o compromisso e o apoio da alta
administrao da ELECTRA e descrever a abordagem da organizao quanto ao
gerenciamento da segurana da informao;
94
necessrio tambm se obter uma boa compreenso dos requisitos de

segurana, da avaliao dos riscos e da administrao dos riscos;
Recomenda-se realizar treinamentos de conscientizao e educao especfica
sobre a Poltica de Segurana Corporativa;
Recomenda-se implantar um amplo e equilibrado sistema de aferio baseado
em revises peridicas, utilizado para avaliar o desempenho na administrao da
segurana da informao e sugestes de feedback para aperfeioamentos;
Recomenda-se assegurar que se realizem revises em resposta a quaisquer
mudanas que afetem as bases da avaliao original dos riscos, como por exemplo:
Incidentes de segurana significativos;
Mudanas da infra-estrutura organizacional ou tcnica;
Novas vulnerabilidades.
As responsabilidades pelo cumprimento dos processos de segurana e suas

implicaes devem estar claramente definidas e serem revistas sempre;
Convm que todos os prestadores de servios e estagirios assinem um termo de
compromisso com a nova Poltica de Segurana da Informao da ELECTRA.
95
3.1.3 Plano de Ao
Geral
Este plano possibilita a soluo dos itens do mdulo de Poltica de Segurana
atravs de:
Criao e aprovao, em carter de emergncia, da Poltica de Segurana

Corporativa da Informao de acordo com as Normas, Legislaes e
cultura da ELECTRA, com apoio irrestrito da alta direo.
Nomeao de um Gerente de Segurana da Informao (Security

Officer);
Criao de um Comit Gestor para implementao, manuteno e reviso

da Poltica de Segurana da Informao na ELECTRA;
Elaborao, treinamento e manuteno constante da Poltica de

Segurana.
Poltica de Segurana da informao (corresponde ao item 1

questionrio - APNDICE B)
Devem ser oferecidos orientao e suporte administrao para a

segurana da informao;
A administrao deve estabelecer uma diretriz de poltica bem definida e

demonstrar o seu apoio e compromisso com a segurana da informao,
96
atravs da emisso e manuteno de uma poltica de segurana da

informao em toda a organizao.
Documento de definio da poltica de segurana de informao

(corresponde ao item 2 do questionrio - APNDICE B)
A poltica deve ser aprovada pela administrao, publicada e divulgada

para todos os empregados, da maneira apropriada;
Deve ser firmado compromisso da administrao, descrevendo a

abordagem da organizao quanto ao gerenciamento da segurana da
informao;
Deve ser divulgado aos usurios em toda a organizao, de uma forma

relevante, acessvel e compreensvel ao pblico-alvo;
Devem ser includas orientaes como definio da segurana da

informao, seus objetivos globais e escopo e da importncia da
segurana como um mecanismo capacitador para o compartilhamento de
informaes, declarao da inteno da administrao, apoiando as metas
e os princpios da segurana da informao, breve explicao das
polticas de segurana, dos princpios, normas e requisitos de
conformidade que sejam de especial importncia para a organizao
(cumprimento de exigncias legais e contratuais, requisitos de
treinamento em segurana, preveno e deteco de vrus e outros
softwares mal intencionados, gerenciamento da continuidade dos
negcios, conseqncias de violaes da poltica de segurana);
97
Devem ser definidas responsabilidades gerais e especficas pelo

gerenciamento da segurana da informao, incluindo a comunicao de
incidentes de segurana;
Devem existir referncias documentao que poder apoiar a poltica,

como por exemplo polticas e procedimentos de segurana mais
detalhados para determinados sistemas de informaes ou normas de
segurana s quais os usurios devem obedecer.
Poltica Reviso e Avaliao (corresponde ao item 3 do questionrio APNDICE B)
A poltica deve ter um gestor que ser responsvel por sua manuteno e
reviso de acordo com um processo de reviso definido;
Devem ser asseguradas revises em resposta a quaisquer mudanas que

afetem as bases da avaliao original dos riscos;
Devem existir revises peridicas, programadas, quanto eficcia da

poltica, demonstrada pela natureza e pelo nmero e impacto dos
incidentes de segurana registrados, custo dos controles e seu impacto
sobre a eficincia da empresa e efeitos das mudanas tecnolgicas.
98
3.2
OBJETIVO:
Administrar a segurana da informao dentro da ELECTRA, estabelecendo
referencial de gerenciamento para implementao da segurana da informao na
ELECTRA.
O primeiro passo para a Segurana Organizacional a criao de um

Comit de Segurana com lderes gerenciais, a fim de:
Aprovar a Poltica de Segurana da Informao;
Atribuir funes de segurana;
Coordenar a implementao da segurana em toda a ELECTRA.
Convm que o comit gestor faa pesquisas (as quais devem ser
disponibilizadas para toda a ELECTRA), principalmente para:
Acompanhar as tendncias do mercado;
Monitorar as normas e mtodos de avaliao;
Fornecer pontos de contato apropriados para tratar de incidentes de

segurana.
O Comit deve possuir abordagem multidisciplinar em relao

segurana da informao e envolver a cooperao e colaborao de
99
gerentes, usurios, administradores, criadores de aplicativos, auditores e

pessoal de segurana, ou seja, toda a ELECTRA;
Convm que a ELECTRA nomeie um gerente de segurana da

informao para assumir responsabilidade global pelo desenvolvimento e
implementao da segurana e pelo apoio identificao dos controles.
A responsabilidade pela obteno dos recursos e pela implementao dos

controles poder ficar a cargo dos gerentes individuais;
Deve ser nomeado um gestor para cada ativo de informao, que passar
a ser responsvel pela segurana no dia-a-dia.
3.2.1 Responsabilidades do Comit de Segurana
OBJETIVO: Promover a segurana dentro da ELECTRA, atravs de um

compromisso apropriado e de recursos adequados.
Pode ser parte de um rgo gerencial existente, desempenhando as seguintes
funes:
Reviso e aprovao da Poltica de Segurana da Informao e das

responsabilidades globais;
Monitorao de mudanas significativas na exposio dos ativos de

informao a ameaas relevantes;
Reviso e monitorao de incidentes de segurana;
100
Aprovao de iniciativas relevantes para aperfeioar a segurana da

informao;
3.2.2 Coordenao do Comit de Segurana na ELECTRA
Esta coordenao pode ser formada por representantes gerenciais de partes

relevantes da ELECTRA para coordenar a implementao dos controles de segurana
da informao.
O Comit se encarregar de:
Estabelecer papis e responsabilidades especficos para a segurana da

informao em toda a ELECTRA;
Estabelecer metodologias e processos especficos de segurana da

informao;
Estabelecer e apoiar iniciativas de segurana da informao em mbito

de toda a ELECTRA como, por exemplo, programa de conscientizao;
Garantir que a segurana faa parte do processo de planejamento das

informaes;
Avaliar a adequao e coordenar a implementao de controles

especficos de segurana da informao para novos sistemas ou servios;
Analisar incidentes de segurana da informao;
101
Promover a visibilidade do apoio empresarial segurana da informao

em toda a ELECTRA.
Atribuio de responsabilidades pela segurana da informao

O Security Officer (Gerente do Comit Gestor de Segurana da Informao)
continua tendo a responsabilidade final pela segurana do ativo e deve ser capaz de
verificar se uma competncia delegada foi cumprida corretamente.
essencial que as reas de responsabilidade de cada gerente sejam claramente
definidas. Em particular deve ocorrer o seguinte:
Os diversos ativos e processos de segurana associados a cada sistema

individual devem ser identificados e claramente definidos;
Deve ser designado um gestor responsvel para cada ativo ou processo

de segurana e os detalhes desta responsabilidade devem ser
documentados;
Os
nveis
de
autorizao
devem
ser claramente
definidos e
documentados.
Cooperao entre o Data Center da ELECTRA e outras Organizaes

Cabe ao Comit manter contato com autoridades policiais, rgos reguladores,
provedores de servios de informao e operadoras de telecomunicaes para garantir
a tomada rpida de providncias e a obteno de orientao em caso de um incidente
de segurana;
102
Deve haver intercmbio de informaes de segurana de modo restrito para

garantir que no sejam divulgadas informaes confidenciais da ELECTRA a pessoas
no autorizadas.
3.2.3
Situao Atual em relao Segurana Organizacional
No existe um comit gestor especfico formalizado para implementao e

manuteno da Segurana da Informao;
Existe informalmente um grupo de segurana no departamento de rede;
Atualmente, so realizados alguns contatos com especialistas externos em
segurana e j se realizaram algumas palestras e reunies, mas ainda de forma
incipiente;
A monitorao de mudanas significativas na exposio dos ativos de
informao tem sido observada atualmente como, por exemplo, ocorreu na
centralizao dos almoxarifados regionais;
Atualmente, existe uma grande preocupao por parte das gerncias com a
segurana e existem iniciativas relevantes para aperfeioar a segurana da informao;
Ainda no existe uma gerncia responsvel por todas as atividades relacionadas
segurana (Comit Gestor de Segurana da Informao);
No existe um contrato com organizao especializada em administrao dos
riscos;
103
No existe atualmente um programa de conscientizao de segurana, com

treinamentos especficos da Poltica de Segurana, palestras e peas;
Atualmente, a segurana faz parte do processo do planejamento das
informaes;
Atualmente, existem polticas para vrios ativos como, por exemplo, utilizao
de crachs e leitoras;
Os gerentes responsveis por cada ativo ou processo de segurana, os detalhes
das atribuies e responsabilidades s esto documentados via sistema, de forma
passiva, e sem um plano de divulgao programado;
Os nveis de autorizao esto claramente definidos e documentados tambm
nesse mesmo sistema;
Atualmente, no permitido o uso de equipamentos pessoais, mas esse fato
ocorre esporadicamente;
Cooperao entre organizaes

Atualmente, no so mantidos contatos formais com autoridades policiais,
rgos reguladores de energia, gua e operadoras de telecomunicaes para garantir a
tomada rpida de providncias e a obteno de orientao em caso de incidente de
segurana;
No existe uma contingncia no caso do contrato com a organizao que oferece
servios de telefonia;
Na rea de rede existe uma poltica de contingncia de backup.
104
Acesso de Terceiros
deficiente o controle sobre os terceiros que deixam de prestar servios
ELECTRA, continuando, em alguns casos, com seus acessos ativos;
Existem terceiros que prestam servios, que no esto localizados no site, mas
podem ter acesso fsico e lgico.
3.2.4 Recomendaes quanto Segurana Organizacional da ELECTRA
Criar um Comit Gestor Especfico de Segurana da Informao com atribuio

de funes e atividades;
Criar, aprovar e divulgar a Poltica de Segurana Corporativa;
Envolver a cooperao e colaborao de diretores, gerentes, usurios,
administradores, criadores de aplicativos, prestadores de servios, fornecedores e
auditores, incluindo a assinatura de um Termo de Compromisso com Poltica de
Segurana;
Nomear um gestor para cada ativo;
Estabelecer pontos de contatos para tratar incidentes de segurana;
O comit deve possuir uma abordagem multidisciplinar em relao segurana;
Monitorar as mudanas significativas na exposio dos ativos de informao;
105
O acesso fsico e lgico de terceiros s instalaes de processamento de

informaes da ELECTRA deve ser baseado em contrato formal que contenha
referncia a todos os requisitos de segurana para assegurar a conformidade com as
polticas e normas de segurana da ELECTRA
A ELECTRA deve rever todos os contratos de terceiros que tenham acesso
fsico e lgico, para implementar os requisitos de segurana dispostos na Norma
ISO/IEC 17799;
Estabelecer adendos nos contratos atuais de terceiros, disposies para a
designao de outros participantes qualificados e as condies para o seu acesso. A
cada dia esse tipo de procedimento torna-se comum. conhecido como contrato
guarda-chuva;
O nvel de acesso para terceiros, que ficam localizados no site durante um
determinado tempo, deve ser definido em contrato, como por exemplo: pessoal de
manuteno e suporte de hardware e software; pessoal de limpeza, guardas de
segurana e outros servios de suporte terceirizados, estagirios e demais nomeaes
ocasionais em curto prazo e consultores. O ideal exigir que os mesmos passem por
treinamento de conformidade com a Norma ISO / IEC 17799, que trata da Gesto de
Segurana nas Organizaes;
S se deve conceder o acesso s informaes e s instalaes de processamento
de dados por terceiros, aps a implementao de controles apropriados e assinado um
contrato que defina as condies do acesso;
106
Deve-se especificar no contrato que a ELECTRA receber indenizao por parte

de seu fornecedor, caso ocorra algum incidente causado por algum funcionrio do
prestador de servios;
Deve-se especificar no contrato que a ELECTRA ter direito de monitorar e
revogar as atividades de usurio, o direito de auditar as responsabilidades contratuais
ou de fazer com que tal auditoria seja realizada por um terceiro;
Quanto ao uso de equipamento pessoal no ambiente de trabalho, convm que
seja avaliado, autorizado e monitorado.
3.2.5 Plano de Ao
Geral
Nomear um Gerente de Segurana, criar um Comit Gestor de

Segurana, contratar uma empresa especializada para auxiliar na
elaborao da Poltica de Segurana da Informao com Marketing de
divulgao e treinamento de conscientizao adequado;
Criar a Classificao das Informaes;
Implantar um Plano de Contingncia e PCN - Plano de Continuidade de

Negcios;
Reviso de todos os Contratos com Terceiros;
107
Exigir em contrato que o terceiro desenvolva treinamento de

conformidade com a Norma ISO/IEC 17799.
Estabelecer uma contingncia junto organizao prestadora de servios

de telefonia.
Comit de Segurana (corresponde ao item 1 do questionrio APNDICE B)
Criar comit de administrao de segurana da informao com lderes

gerenciais;
Estabelecer contatos com especialistas externos em segurana;
Conceder ao comit abordagem multidisciplinar em relao segurana;
Estabelecer como atribuies do Comit a reviso e aprovao da

poltica de segurana das informaes e das responsabilidades globais e
reviso e monitorao incidentes de segurana;
Monitorar mudanas significativas na exposio dos ativos de

informao;
Realizar iniciativas relevantes para aperfeioar a segurana da

informao;
Nomear um gerente responsvel por todas as atividades relacionadas com

a segurana (Security Officer).
108
Coordenao e Responsabilidades da Segurana das Informaes

Estabelecer papis e responsabilidades especficas para a segurana das

informaes em toda a organizao, com metodologias e processos
especficos;
Estabelecer e apoiar iniciativas de segurana das informaes em mbito

de toda a organizao;
Tornar a segurana parte integrante do processo do planejamento das

informaes;
Avaliar a adequao e coordenar a implementao de controles

especficos de segurana das informaes para novos sistemas ou
servios;
Tratar os incidentes de segurana da informao de forma correta;
Definir claramente as responsabilidades pela proteo de ativos

individuais e pela execuo de processos especficos de segurana;
A Poltica de Segurana deve fornecer diretrizes gerais sobre a atribuio

de papis e responsabilidades de segurana dentro da organizao;
Dever ser criado o cargo de Gerente de Segurana da Informao

(Security
Officer)
que
assumir
responsabilidade
desenvolvimento e implementao da segurana;
global
pelo
109
Designar um gestor para cada ativo de informao, que ser o

responsvel pela sua segurana no dia-a-dia;
Definir claramente as reas de responsabilidade de cada Gerente;
Identificar claramente os diversos ativos e processos de segurana

associados a cada sistema individual;
Documentar as responsabilidades que cada Gerente tem sobre cada ativo

ou processo de segurana;
Tornar segura a administrao de usurios, autorizao, sua finalidade e

utilizao;
Consultoria Interna (corresponde ao item 3 do questionrio APNDICE B)
Deve existir um consultor interno de segurana experiente que ter

acesso a consultores externos apropriados para lhes dar assistncia em
assuntos fora de sua rea de experincia e ter acesso direto a todos os
nveis de gerncia dentro da organizao;
Tratar de forma correta os casos de suspeita de incidente ou violao de

segurana;
110
Cooperao entre Organizaes (corresponde ao item 4 do questionrio

- APNDICE B)
Manter contatos com autoridades policiais, rgos reguladores,

provedores de servios de informaes e operadoras de telecomunicaes
para garantir a tomada rpida de providncias e a obteno de orientao
em caso de um incidente de segurana;
Providenciar filiao a associaes de segurana.
Reviso da Segurana (corresponde ao item 5 do questionrio APNDICE B)
A implementao da Poltica de Segurana deve ser revista por um rgo

independente, para dar a garantia de que as prticas organizacionais
refletem corretamente a poltica e que elas so viveis e eficazes.
Acesso de Terceiros (corresponde ao item 6 do questionrio APNDICE B)
Deve-se fazer o controle de acesso fsico de terceiros de forma correta;
Deve ser feita uma avaliao de riscos para determinar as implicaes de

segurana e os requisitos de controle, nos casos em que os negcios
exigem o acesso de terceiros;
Definir em contrato com o terceiro os controles de acesso;
111
Incluir nos contratos que concedem acesso a terceiros, disposies para a

designao de outros participantes qualificados e as condies para o seu
acesso;
Nos casos em que os negcios exigirem a conexo com um local de

terceiros, deve ser realizada uma avaliao de riscos para identificar
quaisquer requisitos de controles especficos, levando em conta o tipo de
acesso necessrio, o valor das informaes, os controles utilizados pelo
terceiro e as implicaes desse acesso para a segurana das informaes
da organizao;
Deve existir uma poltica definida para terceiros que ficam localizados
no site durante um determinado tempo, definido em contrato como:
pessoal de manuteno e suporte de hardware e software; pessoal de
limpeza, fornecimento de refeies, guardas de segurana e outros
servios de suporte terceirizados, estagirios e outras nomeaes
ocasionais em curto prazo e consultores;
O acesso s informaes e s instalaes de processamento de

informaes por terceiros s deve ser concedido aps a implementao
de controles apropriados e assinado um contrato que define as condies
da conexo ou do acesso;
O acesso de terceiros s instalaes de processamento de informaes da

organizao deve ser baseado em contrato formal que contenha
referncia a todos os requisitos de segurana para assegurar a
conformidade com as polticas e normas de segurana da organizao;
112
Especificar no contrato que a organizao receber indenizao por parte

de seu fornecedor, caso ocorra algum incidente causado por algum
funcionrio do prestador de servios;
Especificar no contrato que a organizao ter direito de monitorar e

revogar as atividades de usurio, o direito de auditar as responsabilidades
contratuais ou de fazer com que tal auditoria seja realizada por um
terceiro;
Nos casos em que a responsabilidade pelo processamento das informaes for

confiada a uma organizao externa, deve existir a tentativa de garantir a segurana
das informaes.
3.3
OBJETIVO:
Manter uma proteo apropriada dos ativos de informaes da ELECTRA.
Contabilizao dos Ativos

Todos os ativos de informao devem ser classificados e distribudos entre os
gestores designados pela ELECTRA;
A responsabilizao pelos ativos contribui para garantir que seja mantida uma
proteo apropriada;
113
Devem ser identificados os gestores de todos os ativos relevantes e deve ser

atribuda a responsabilidade pela manuteno e controles apropriados;
A responsabilidade pela implementao dos controles pode ser delegada;
Inventrio dos Ativos

Os inventrios contribuem para assegurar que haja uma proteo eficaz dos
ativos e podem ser necessrios para outros fins empresariais como, por exemplo,
motivos de sade e segurana, de seguros ou financeiros.
Compilar um inventrio dos ativos um aspecto muito importante do
gerenciamento de riscos.
Devem-se seguir as caractersticas abaixo para compilar um

inventrio:
Ser capaz de identificar os seus ativos e saber o valor relativo e a importncia
dos mesmos;
Oferecer nveis de proteo compatveis com o valor e a importncia dos ativos;
Ter um acordo sobre sua propriedade e classificao de segurana e documentla, juntamente com sua localizao corrente;
OBS.: O inventrio muito importante na recuperao aps qualquer perda ou
danificao.
114
Exemplos de ativos associados a sistemas de informaes:
Ativos de Informao
Arquivos de dados;
Documentao de sistemas e manuais de usurio;
Material de treinamento;
Procedimentos operacionais ou de suporte;
Planos de continuidade;
Arranjos de fallback (recursos alternativos);
Informaes arquivadas.
Ativos de Software
Software aplicativo;
Software de sistema;
Ferramentas de desenvolvimento e utilitrios.
Ativos Fsicos
Equipamentos de computador (processadores, monitores, laptops,

modems);
115
Equipamentos de comunicaes (roteadores, centrais PABX, mquinas

de fax, secretrias eletrnicas);
Mdias magnticas (fitas e discos);
Outros equipamentos tcnicos (fontes de alimentao, unidades de arcondicionado);
Mobilirio;
Acomodaes.
Ativos de Servios
Servios de computao e de comunicaes;
Utilidades pblicas em geral, como por exemplo, iluminao,

aquecimento, gua, fora e ar-condicionado.
3.3.1 Classificao das informaes
OBJETIVO:
Assegurar que os ativos de informao recebam um nvel de proteo adequado.
A classificao deve indicar:
A necessidade;
116
As prioridades;
O grau de proteo.
Algumas informaes so mais sensveis e crticas do que outras;
Alguns itens podem exigir um nvel adicional de proteo ou manuseio

especial;
Deve ser utilizado um sistema de classificao para definir um conjunto

apropriado de nveis de proteo e comunicar a necessidade de medidas
especiais de manuseio.
As diretrizes de classificao
A classificao e os controles protetores devem considerar:
As
necessidades
da
ELECTRA
de
compartilhar
ou
restringir
informaes;
Os impactos empresariais associados a tais necessidades, como acesso

no autorizado ou danos integridade das informaes;
A classificao atribuda constitui um meio abreviado para determinar

como essa informao deve ser manuseada e protegida;
As informaes e as sadas produzidas por sistemas que processam dados

classificados devem ser rotulados quanto ao seu valor e grau de
sensibilidade para a ELECTRA;
117
conveniente rotular as informaes para indicar at que ponto so

crticas para a ELECTRA, quanto sua integridade e disponibilidade.
Alterao do Nvel de Classificao
A informao pode deixar de ser sensvel ou crtica aps um certo tempo

como, por exemplo, quando foi divulgada para o pblico;
Vrios aspectos devem ser levados em considerao, pois um excesso de

sigilo pode causar custos adicionais desnecessrios ELECTRA;
As diretrizes de classificao devem prever e levar em conta o fato de

que a classificao de um determinado item de informao no
necessariamente imutvel no tempo e pode mudar de acordo com uma
poltica pr-determinada.
Rotulagem e manuseio de informaes

Definir um conjunto apropriado de procedimentos para a rotulagem e manuseio
das informaes, de acordo com o esquema de classificao adotado pela ELECTRA.
Devem abranger ativos de informao em formato fsico e eletrnico.
Para cada classificao devem ser definidos procedimentos de manuseio
referentes aos seguintes tipos de atividade de processamento da informao:
Cpia;
Armazenagem;
Transmisso pelo correio, fax ou por e-mail;
118
Transmisso oral, incluindo telefone celular, correio de voz e secretrias

eletrnicas;
Destruio.
A sada produzida por sistemas que contenham informaes classificadas como

sensveis ou crticas deve receber uma classificao apropriada (na sada).
Os itens a serem levados em conta devem incluir relatrios impressos, displays
na tela, informaes gravadas (fitas, discos, CD-Roms, cassetes), mensagens
eletrnicas e/ou transferncias de arquivo.
Estimativa de Valores dos Ativos da ELECTRA

a) Equipamentos de Grande e Mdio Porte (Servidores, Fitoteca, Leitora de
cartuchos, Rob, infra-estrutura fsica do Data Center etc.): R$ 15.000.000,00.
b) Aplicativos/BD/SO: R$ 48.000.000,00
c) Comunicao (Linhas privadas e etc): R$ 380.000,00
d) Grupo gerador, sistema de ar-condicionado, iluminao de emergncia,
sistemas de monitorao (CFTV), alarmes e sensores, sprinklers e etc.: R$
1.800.000,00.
Os dados acima so estimativas aproximadas da realidade tecnolgica da
ELECTRA. Eles permitem uma viso financeira dos ativos de informao e mostram
quo importantes sero os investimentos para proteger esses ativos. Portanto, pode-se
dizer que o valor investido em segurana representativo quando comparado com o
valor total dos ativos.
119
Compilar inventrio dos ativos um aspecto muito importante do gerenciamento

de riscos.
3.3.2 Recomendaes sobre os Ativos e Classificao das informaes
Nomear um gestor responsvel para cada ativo da empresa analisada
Compilar um inventrio dos ativos fsicos e lgicos;
Identificar o valor dos ativos;
Elaborar a classificao das informaes conforme a Norma ISO/IEC

17799;
Criar diretrizes de classificao;
Criar procedimentos para alterao dos nveis de classificao;
Definir procedimentos de rotulagem de informaes.
3.3.3 Plano de Ao
Geral
Implementar a Classificao das Informaes (a metodologia dever estabelecer
Escalas dos Graus de sigilo e o Teor Crtico das informaes da ELECTRA, de modo
a refletir a abrangncia de utilizao da informao):
120
Escalas dos Graus:
Pblica
Interna
Secreta
Teor Crtico:
Pouco Crtica
Crtica
Muito Crtica
Procedimentos de Proteo:
Criao
Divulgao
Reproduo
Transporte
Armazenamento
Destruio
121
Responsabilidade sobre os ativos (equipamentos e Informaes)

Mantida uma proteo apropriada dos ativos da organizao;
Identificados os gestores de todos os ativos relevantes e atribuir a

responsabilidade pela manuteno de controles apropriados;
Delegar a responsabilidade pela implementao dos controles;
Providenciar que a responsabilidade continue com o gestor designado do

ativo.
Inventrio dos ativos (corresponde ao item 2 do questionrio APNDICE B)
Inventariar os ativos da empresa;
Criticar inventrio dos ativos;
Oferecer nveis de proteo compatveis com o valor e a importncia dos

ativos;
Documentar cada ativo de acordo sobre sua propriedade e classificao

de segurana, juntamente com sua localizao corrente (muito importante
na recuperao aps qualquer perda ou danificao).
122
Classificao e controle de ativos (item 3 do questionrio - APNDICE

B)
Tornar capaz a identificao dos ativos e saber o valor relativo e a

importncia dos mesmos;
Elaborar e manter um inventrio dos ativos importantes associados a

cada sistema de informaes.
Classificao das informaes (item 4 do questionrio - APNDICE B)
Classificar as informaes para assegurar que os ativos de informao

recebam um nvel de proteo adequado;
A classificao dever indicar a necessidade, as prioridades e o grau de

proteo;
Utilizar um sistema de classificao para definir um conjunto apropriado

de nveis de proteo e comunicar a necessidade de medidas especiais de
manuseio;
Diretrizes de classificao (corresponde ao item 5 do questionrio APNDICE B)
A classificao e os controles protetores associados devem levar em

considerao as necessidades da empresa de compartilhar ou restringir
informaes e os impactos empresariais associados a tais necessidades,
123
Permitir que a classificao atribuda constitua um meio abreviado para

determinar como a informao manuseada e protegida;
As informaes e as sadas produzidas por sistemas que processam dados

classificados devem ser rotulados quanto ao seu valor e grau de
sensibilidade para a organizao;
As informaes devem ser rotuladas para indicar at que ponto so

crticas para a organizao, quanto sua integridade e disponibilidade.
Alterao do nvel de Classificao (corresponde ao item 6 do

Devem ser levados em conta aspectos, em que um excesso de sigilo pode

causar custos adicionais desnecessrios empresa;
As diretrizes de classificao devem prever e levar em conta o fato de

que a classificao de um determinado item de informao no
necessariamente imutvel no tempo e que pode mudar de acordo com
uma poltica pr-determinada;
O nmero de categorias de classificao e os benefcios que se obtm do

seu uso devem ser levados em conta;
Devem ser tomados cuidados ao interpretar rtulos de classificao em

documentos de outras organizaes, que podero ter diferentes
significados para rtulos iguais ou similares;
124
A responsabilidade pela definio da classificao de uma determinada

informao e pela reviso peridica desta classificao deve ser delegada
pela pessoa que originou a informao ou do gestor designado da
informao.
Rotulagem e manuseio de informaes (corresponde ao item 7 do

Deve ser definido um conjunto apropriado de procedimentos para a

rotulagem e manuseio das informaes, de acordo com o esquema de
classificao adotado pela organizao.
Devem ser abrangidos os ativos de informao em formato fsico e

eletrnico;
Para cada classificao devem ser definidos procedimentos de manuseio

referentes aos seguintes tipos de atividade de processamento da
informao: relatrios impressos, displays na tela, informaes gravadas
(fitas,
discos,
CD-ROMs,
cassetes),
mensagens
transferncias de arquivo;
3.4
Recomenda-se utilizar etiquetas fsicas na rotulagem.
Segurana em pessoas
OBJETIVO:
eletrnicas
125
Manter a segurana das instalaes de processamento de informaes e dos

ativos de informao da ELECTRA acessados na organizao.
O acesso lgico e fsico de deve ser rigidamente controlado;
Nos casos em que os negcios exigem o acesso de terceiros, convm que

seja feita uma avaliao de riscos para determinar as implicaes de
segurana e os requisitos de controle, principalmente para sistemas
crticos;
Os controles devem ser acertados e definidos em um contrato de

confidencialidade com os funcionrios da ELECTRA e os terceiros e
seus funcionrios e sempre que houver substituio de seu pessoal ou
movimentao interna que implique em mudana de responsabilidades, o
sucessor deve assinar o contrato de confidencialidade e principalmente
quando a empresa terceirizada subcontratar servios;
Os contratos que concedem acesso a terceiros devem incluir disposies

para a designao de outros participantes qualificados e as condies
para o seu acesso.
Motivos para acesso de terceiros

Existem terceiros que prestam servios ELECTRA e no esto localizados no
seu site, mas podem ter acesso fsico e lgico, tais como:
Pessoal de suporte de hardware e software que precisa de acesso

funcionalidade de aplicativos em nvel de sistema ou em baixo nvel;
126
Parceiros de negcios ou joint ventures, que podero fazer o intercmbio

de informaes, acessar sistemas de informaes ou compartilhar os
dados da ELECTRA.
Terceiros no site da ELECTRA

Terceiros que ficam localizados no site durante um determinado tempo, definido
em contrato, tambm podem causar brechas de segurana, como por exemplo:
Pessoal de manuteno e suporte de hardware e software;
Pessoal de limpeza, fornecimento de refeies, guardas de segurana e

outros servios de suporte terceirizados;
Estagirios e outras nomeaes ocasionais em curto prazo.
Empreiteiros no site da ELECTRA
essencial entender quais so os controles necessrios para administrar

o acesso de terceiros a instalaes de processamento de informaes;
Os requisitos de segurana decorrentes do acesso de terceiros ou

controles internos devem estar contidos no contrato com o terceiro;
Se houver uma necessidade especial de confidencialidade das

informaes, podem ser utilizados termos de compromisso de norevelao.
127
Cuidados que a ELECTRA deve observar em relao ao acesso de

terceiros
As informaes podem ser colocadas em risco pelo acesso de terceiros se a
administrao da segurana for inadequada.
Nos casos em que os negcios exigem a conexo com um local de terceiros,
deve ser feita uma avaliao de riscos para identificar quaisquer requisitos de controles
especficos.
A avaliao deve levar em conta:
O tipo de acesso necessrio;
O valor das informaes;
Os controles utilizados pelo terceiro;
As implicaes deste acesso para a segurana da informao da

ELECTRA.
3.4.1 Terceirizao
OBJETIVO:
Manter a segurana da informao nos casos em que a responsabilidade pelo
processamento das informaes da ELECTRA for confiada a uma organizao
externa.
128
Os requisitos de segurana da organizao (que entrega a terceiros o

gerenciamento e controle de todos ou de alguns dos seus sistemas de
informaes e ambientes de rede e/ou desktops) devem ser tratados em
um contrato celebrado entre as partes;
As condies apresentadas no item 4.2.2 da Norma ABNT ISO/IEC

17799 devem ser consideradas como parte desse contrato.
O contrato com terceiros da ELECTRA deve cobrir os seguintes itens:
O modo de atender s exigncias legais como, por exemplo, a legislao

de proteo dos dados;
Os arranjos a serem implementados para garantir que todas as partes

envolvidas na terceirizao, incluindo sub-empreiteiras, estejam cientes
de suas responsabilidades de segurana;
O modo de manter e testar a integridade e confidencialidade dos ativos

empresariais da ELECTRA;
Os controles fsicos e lgicos a serem utilizados para restringir e limitar

aos usurios autorizados o acesso s informaes empresariais sensveis
da ELECTRA;
O modo de manter a disponibilidade dos servios em caso de um

acidente;
Os nveis de segurana fsica a serem fornecidos para os equipamentos

terceirizados;
129
O direito de auditoria.
3.4.2 Fatores humanos
OBJETIVO:
Reduzir os riscos de falha humana, furto, fraude e/ou uso indevido das
instalaes.
As responsabilidades devem ser atendidas desde a fase de recrutamento,
includas nos contratos e monitoradas enquanto durar o vnculo empregatcio.
Deve ser exigido do empregado o acordo por escrito de no divulgao das
informaes.
Segurana nas responsabilidades da funo

As responsabilidades de segurana que devem ser documentadas sempre:
Responsabilidades gerais pela implementao e manuteno da poltica

de segurana;
Responsabilidades especficas pela proteo de determinados ativos;
Responsabilidades pela execuo de determinados procedimentos ou

atividades de segurana.
130
Triagem de pessoal e poltica

Verificar antecedentes do pessoal permanente, contratados e estagirios por
ocasio da admisso, em cuja triagem deve-se observar o seguinte:
Existncia de referncias satisfatrias como, por exemplo, uma

profissional e uma pessoal;
Se o currculo apresentado pelo candidato completo e correto;
Qualificaes acadmicas e profissionais apresentadas pelo candidato;
Identidade e CPF do candidato.
Quando um cargo proporcionar acesso a equipamentos de processamento de

informaes
sensveis
(informaes
financeiras
ou
informaes
altamente
confidenciais), deve-se observar:
A situao de crdito do empregado. Para o pessoal em funes com

grande autoridade repetir periodicamente a verificao;
Processo de triagem similar deve ser realizado para subcontratados e

pessoal temporrio.
Nos casos em que terceiros so fornecidos por uma agncia, o contrato com a
agncia deve especificar claramente as seguintes responsabilidades:
Triagem e procedimentos de notificao que ela dever adotar se o

processo de triagem no foi completado. Se os seus resultados derem
motivo a dvidas ou a preocupaes;
131
Avaliar o grau de superviso necessrio para pessoal novo e inexperiente,

com autorizao de acesso a sistemas sensveis;
O trabalho de todo o pessoal deve ser sujeito a exames peridicos e a

procedimentos de aprovao por um membro mais graduado do quadro.
Os gerentes devem se dar conta do fato de que circunstncias pessoais dos seus
subordinados podem afetar o trabalho dos mesmos e devem ficar atentos s seguintes
situaes:
Problemas pessoais e financeiros, mudanas de comportamento ou de

estilo de vida, faltas constantes e sinais de estresse ou depresso
poderiam levar a fraude, furto, erros ou outras implicaes de segurana;
As informaes devem ser tratadas de acordo com a legislao

apropriada, vigente na jurisdio em questo.
Compromissos de confidencialidade
Usam-se compromissos de confidencialidade ou no-revelao para

indicar que determinadas informaes so confidenciais ou secretas;
Empregados devem assinar tais compromissos como parte do seu

contrato de trabalho;
Pessoal temporrio e os usurios externos devem assinar compromisso de

confidencialidade antes de terem acesso a instalaes de processamento
de informaes.
Devem-se rever os compromissos de confidencialidade sempre que:
132
Houver mudanas nas condies de emprego ou no contrato;
Os empregados estiverem para sair da ELECTRA;
Os contratos estiverem para terminar.
Termos e condies de emprego
Os termos e condies de emprego devem estipular a responsabilidade

do empregado pela segurana da informao;
Eventualmente essas responsabilidades devem continuar em vigor

durante um determinado perodo aps o trmino da relao de emprego;
Devem incluir as providncias a tomar se o empregado deixar de atender

s exigncias contratuais.
Devem ser includas nos contratos as responsabilidades e direitos legais do

empregado, em relao aos seguintes fatores:
As leis de copyright;
A legislao de proteo dos dados;
A classificao e gesto dos dados do empregado;
As responsabilidades que se aplicam fora das instalaes da ELECTRA e

fora do horrio normal de trabalho e fora do local de trabalho (uso de
notebook).
133
Conscientizar os usurios sobre as ameaas e preocupaes e assegurar

que eles estejam em condies de apoiar a poltica de segurana da
ELECTRA no decorrer do seu trabalho normal;
Os usurios devem receber treinamento sobre procedimentos de

segurana e sobre o uso correto das instalaes de processamento de
informaes, a fim de minimizar os possveis riscos de segurana;
Todos os empregados da ELECTRA e os usurios externos devem

receber treinamento adequado e atualizaes regulares sobre as polticas
e os procedimentos da ELECTRA, antes de terem acesso s informaes
ou aos servios;
Incluir requisitos de segurana, responsabilidades legais e controles

empresariais e treinamento sobre o uso correto dos equipamentos de
Reao a incidentes de segurana e falhas
Minimizar os prejuzos causados por incidentes de segurana e falhas e

monitorar tais incidentes;
Os incidentes que afetarem a segurana devem ser comunicados o quanto

antes, atravs dos canais administrativos apropriados;
Empregados e subcontratados devem estar informados sobre os

procedimentos de comunicao dos diversos tipos de incidentes.
134
Comunicao de pontos fracos de segurana
Usurios de servios de informaes devem anotar e comunicar pontos

fracos de segurana observados ou suspeitos e quaisquer ameaas ao
ambiente, sistemas ou servios;
Devem comunicar essas questes sua gerncia ou diretamente ao seu

provedor de servios, com a mxima rapidez;
Convm informar aos usurios que eles no devem em hiptese alguma

testar a veracidade de um ponto fraco suspeito;
O teste de um ponto fraco poderia ser interpretado como um uso abusivo

potencial do ambiente, sistema ou servio.
Estabelecer procedimentos para comunicar falhas de segurana do ambiente,

como:
Anotar os problemas e as caractersticas ou sintomas que evidenciem a

sua presena;
O gestor de segurana, brigada presente no local e/ou o superior imediato

devem ser notificados imediatamente;
Aprendendo com os incidentes
Implementar mecanismos para permitir a quantificao e monitorao

dos tipos, volumes e custos de incidentes e falhas de funcionamento;
135
Atravs dessas informaes, identificar incidentes ou falhas repetidas ou

de alto impacto.
Indicar a necessidade de controles aperfeioados ou adicionais para:
Limitar a freqncia;
Limitar danos e custos de futuras ocorrncias;
Levar em considerao no processo de reviso da poltica de segurana.
Deve haver um processo disciplinar formal para empregados que

violarem as polticas e procedimentos de segurana da ELECTRA e para
a coleta de provas;
O processo poder desencorajar empregados com tendncia para

desrespeitar os procedimentos de segurana;
O processo deve assegurar um tratamento correto e justo de empregados

suspeitos de cometerem violaes de segurana, graves ou persistentes.
3.4.3 Situao atual em relao Segurana em Pessoas/Fatores Humanos
O contrato com terceiros possui clusulas de confidencialidade;
O gerente da rea qual o terceiro est sendo contratado quem autoriza

e define o nvel de acesso do mesmo;
136
Foi observado que em horrio de pico pode ocorrer certa dificuldade para
as recepcionistas observarem se a pessoa entrou ou saiu sem autorizao;
O acesso de terceiros nos finais de semana e feriados controlado com

antecedncia, sendo definido pelas gerncias;
Existem falhas na validade de logins e elas ocorrem entre o momento do

desligamento do funcionrio e a comunicao do RH desse desligamento
rea responsvel pela desativao. Nesse intervalo, o funcionrio
continua possuindo o login (o empregado se desliga, mas seu login
exigido por motivos de privilgio);
No h treinamento de segurana para o terceirizado;
Todo acesso lgico de terceiros controlado e os nveis de permisso so

concedidos pelas gerncias ao qual aquele terceiro est alocado;
Existem terceiros que prestam servios ao ambiente corporativo da

ELECTRA e no esto localizados no site, mas podem ter acesso fsico e
lgico.
3.4.4 Recomendaes em relao Segurana em Pessoas
Convm rever os contratos com terceiros, terceirizados e estagirios para

uma perfeita adequao Norma, item 4.2.2, no qual todos devem
assinar um termo de confidencialidade;
137
Convm exigir que as empresas prestadoras de servios da ELECTRA

apresentem termos de confidencialidade assinados de cada funcionrio
e/ou subcontratados;
Convm exigir que os terceiros e empregados sejam treinados conforme

a Norma ISO/IEC 17799, que trata da Gesto de Segurana nas
Organizaes e s conceder o acesso s informaes e s instalaes de
processamento de dados por terceiros, aps a implementao de controles
e treinamentos apropriados e tendo assinado um contrato que define as
condies da conexo ou do acesso. Deve ser criada, na rea de
treinamento, uma equipe para treinamento da ISO/IEC 17799;
Convm que mesmo quando o terceiro (ou funcionrio) esteja de frias,

licena mdica ou qualquer afastamento, o acesso ao ambiente da
ELECTRA se restrinja ao horrio comercial;
A excluso de login deve ser comunicada imediatamente quando ocorrer

demisso de funcionrio por parte do RH ao Departamento de
Administrao da Rede ou ao Departamento de Sistemas Corporativos;
Convm que sejam adotadas medidas de controle de acesso fsico (CFTV

com monitorao remota, biometria etc.).
O acesso s informaes e s instalaes de processamento de

informaes por terceiros s deve ser concedido aps:
Implementados os controles apropriados;
138
Assinado um contrato que defina as condies do acesso. O contrato ser

redigido de maneira a evitar mal-entendidos entre a ELECTRA e o
terceiro;
A ELECTRA deve certificar-se de que receber uma indenizao por

parte de seu prestador de servios, em caso de quebra de
confidencialidade, integridade e incidente malicioso.
Os requisitos contratuais para prestadores de servios citados nesta

Anlise e que constam no item 4.2.2 da norma ABNT ISO/IEC 17799
devem ser aplicados em carter de emergncia;
O sistema de dados de pessoas que freqentam o Data Center da

ELECTRA deve conter o maior nmero de informaes e, se possvel, a
fotografia, bem como cadastro e nome da empresa;
Exigir dos empregados e terceiros a assinatura de acordo com termo de

confidencialidade e no-divulgao de informaes e concordncia com
a Poltica de Segurana da ELECTRA;
Incluir no acordo as responsabilidades da funo;
Convm que seja executada sempre uma triagem por ocasio da

admisso de funcionrios e terceirizados, conforme o especificado no
item 6.1.2 da ISO/IEC 17799.
Os gerentes devem ficar atentos a mudanas de comportamento;
Convm que seja criada uma estrutura para ministrar treinamentos

especficos de segurana. Deve haver treinamentos adequados para todos
139
os funcionrios e novos contratados antes de terem acesso s informaes

e servios;
Elaborar formulrios com histricos de falhas do ambiente, contendo a

assinatura de quem identificou a falha e a ao que foi tomada;
Toda falha deve ser comunicada gerncia imediatamente;
Criar um Comit Disciplinar integrado por membros de equipe de

segurana/gerncia/RH e um processo formal para empregados que
violarem a poltica e o acordo de confidencialidade de informaes;
Aprovar, em carter de emergncia, a Poltica de Segurana Corporativa

das Informaes.
3.4.5 Plano de Ao
Geral
Analisar e promover as correes necessrias nos contratos de terceiros;
Re-analisar e adequar todos os privilgios de acesso;
Desenvolver procedimentos para desativao on-line de login de

funcionrios que so transferidos, promovidos, demitidos ou suspensos;
Realizar treinamento de segurana para funcionrios e terceirizados;
Dotar reas crticas de monitorao via CFTV;
140
Adotar e/ou adequar a tecnologia de controle de acesso de funcionrios,

terceirizados e visitantes, visando restringir fraudes e acesso no
autorizado;
Segurana na definio de funes e no recrutamento de pessoal

Devem ser tomadas medidas para reduzir os riscos de falha humana,

furto, fraude ou uso indevido das instalaes;
Como
As responsabilidades devem ser atendidas desde a fase de recrutamento.
incluir
segurana
nas
responsabilidades
da
funo
As responsabilidades de segurana devem ser documentadas sempre que

for apropriado;
Devem ser definidas responsabilidades gerais pela implementao e

manuteno da poltica de segurana;
Devem ser definidas responsabilidades especficas pela proteo de

determinados ativos ou responsabilidades pela execuo de determinados
procedimentos ou atividades de segurana.
141
Triagem de pessoal e poltica (corresponde ao item 3 do questionrio APNDICE B)
Devem ser verificados os antecedentes do pessoal permanente, por

ocasio do pedido de emprego;
Devem ser solicitadas referncias satisfatrias, como por exemplo, uma

profissional e uma pessoal;
Deve ser verificado se o currculo apresentado pelo candidato est

completo e correto;
Devem ser verificadas as qualificaes acadmicas e profissionais

apresentadas pelo candidato;
Deve ser verificada a identidade do candidato;
Quando um cargo proporcionar acesso a equipamentos de processamento

de informaes sensveis (informaes financeiras ou informaes
altamente confidenciais) devem ser verificada a situao de crdito do
empregado;
Para o pessoal em funes com grande autoridade, a verificao deve ser

repetida periodicamente;
Deve ser realizado processo de triagem similar para subcontratados e

pessoal temporrio;
142
Deve ser verificado se na triagem e nos procedimentos de notificao que

ela adota se o processo foi completado ou se os seus resultados do
margem a dvidas ou a preocupao;
Os gerentes devem levar em conta o fato de que circunstncias pessoais

dos seus subordinados podem afetar o trabalho dos mesmos, como
problemas pessoais e financeiros, mudanas de comportamento ou de
estilo de vida, faltas constantes e sinais de estresse ou depresso, que
podem levar a fraude, furto, erros ou outras implicaes de segurana;
As informaes devem ser tratadas de acordo com a legislao

apropriada, vigente na jurisdio em questo.
Compromissos de confidencialidade (corresponde ao item 4 do

O pessoal temporrio e os usurios externos devem assinar compromisso

de confidencialidade antes de terem acesso a instalaes de
processamento de informaes;
Os compromissos de confidencialidade devem ser revistos quando h

mudanas nas condies de emprego ou no contrato;
Os compromissos de confidencialidade devem ser revistos quando os

empregados esto para sair da organizao ou quando os contratos esto
para terminar.
143
Termos e condies de emprego corresponde ao item 5 do questionrio

- APNDICE B)
Os termos e condies de emprego devem estipular a responsabilidade

do empregado pela segurana das informaes;
Essas responsabilidades devem continuam em vigor durante um

determinado perodo aps o trmino da relao de emprego;
Devem ser levadas em conta as providncias a tomar se o empregado

deixar de atender s exigncias contratuais;
Devem ser includas nos contratos as responsabilidades e direitos legais

do empregado, com relao: s leis de copyright ou legislao de
proteo dos dados, a classificao e pelo tratamento dos dados sobre o
empregado, as responsabilidades que se aplicam fora das instalaes da
organizao e fora do horrio normal de trabalho, e fora do local de
trabalho (ex.: uso de notebook).
Treinamento dos usurios (item 6 do questionrio - APNDICE B)
Deve ser assegurado que os empregados estejam em condies de apoiar

a poltica de segurana da organizao no decorrer do seu trabalho
normal;
Os usurios devem receber treinamento sobre procedimentos de

segurana e sobre o uso correto das instalaes de processamento de
informaes, a fim de minimizar os possveis riscos de segurana.
144
Educao e treinamento em segurana das informaes (corresponde

ao item 7 do questionrio - APNDICE B)
Todos os empregados da organizao e os usurios externos devem

receber treinamento adequado e atualizaes regulares sobre as polticas
e os procedimentos da organizao, antes de terem acesso s informaes
ou aos servios;
Devem ser includos requisitos de segurana, responsabilidades legais e

controles empresariais e treinamento sobre o uso correto dos
equipamentos de processamento de informaes.
Reao a incidentes de segurana e falhas (corresponde ao item 8 do

Devem ser tomadas medidas visando minimizar os prejuzos causados

por incidentes de segurana e falhas e monitorados tais incidentes;
Os incidentes que afetarem a segurana devem ser comunicados o quanto

antes, atravs dos canais administrativos apropriados;
Devem ser recolhidas provas o quanto antes, aps a ocorrncia de um

incidente.
Comunicao de incidentes de segurana (corresponde ao item 9 do

145
Os incidentes devem ser utilizados no treinamento de conscientizao

dos usurios, sobre o que poderia acontecer, como reagir a tais incidentes
e como evit-los no futuro.
Comunicao de pontos fracos de segurana (corresponde ao item 10

do questionrio - APNDICE B)
Os usurios de servios de informaes devem anotar e comunicar

pontos fracos de segurana observados ou suspeitos e quaisquer ameaas
a sistemas ou servios;
Essas questes devem ser comunicadas sua gerncia ou diretamente ao

seu provedor de servios, com a mxima rapidez;
Deve ser avisado aos usurios que eles no devem, em hiptese alguma,
tentar provar um ponto fraco de que suspeitam, pois o teste de um ponto
fraco poderia ser interpretado como um uso abusivo potencial do sistema.
Aprendendo com os incidentes (item 11 do questionrio - APNDICE

B)
Devem ser implementados mecanismos para permitir a quantificao e

monitorao dos tipos, volumes e custos de incidentes e falhas de
funcionamento;
Atravs dessas informaes devem ser identificados incidentes ou falhas

repetidas ou de alto impacto;
146
Deve ser indicada a necessidade de controles aperfeioados ou adicionais

para limitar a freqncia, os danos e o custo de futuras ocorrncias ou
levar em considerao no processo de reviso da poltica de segurana;
Processo disciplinar (item 12 do questionrio - APNDICE B)
Deve existir um processo disciplinar formal para empregados que

violarem as polticas e procedimentos de segurana da organizao e para
a coleta de provas;
Deve existir um procedimento que vise desencorajar empregados com

tendncia para desrespeitar os procedimentos de segurana;
Esse procedimento assegurar um tratamento correto e justo de

empregados suspeitos de cometerem violaes de segurana, graves ou
persistentes.
Situaes de emergncia (corresponde ao item 13 do questionrio APNDICE B)
Deve existir treinamento acerca de preveno de acidentes em todos os

turnos;
Deve existir uma lista de telefones e endereos de emergncia (prontosocorro, hospitais, corpo de bombeiros, policia militar etc.);
Devem ser realizados procedimentos destinados remoo de pessoas;
Deve existir informao e treinamento quanto Poltica de Segurana;
147
A gerncia e a superviso devem inspecionar as reas em horrios

alternados.
Casos de incndio (corresponde ao item 14 do questionrio APNDICE B)
Deve ser realizado treinamento de evacuao do edifcio;
Deve ser realizado treinamento acerca de salvamento de ativos

(documentos, meios magnticos);
Deve ser feita divulgao/exibio dos telefones do corpo de bombeiros;
Os funcionrios devem ser treinados para combater incndios que

possam ocorrer na rea do computador;
Devem existir brigadas de incndio organizadas.
Segurana funcional (corresponde ao item 15 do questionrio APNDICE B)
Deve ser feito um acompanhamento de funcionrios descontentes ou com

problemas financeiros a pessoais;
Os antecedentes de funcionrios novos devem ser verificados;
Todos os funcionrios devem ser instrudos quanto a medidas de

segurana adotadas.
148
3.5
OBJETIVO:
O objetivo da Segurana Fsica e do Ambiente prevenir acesso no autorizado,
dano e interferncia s informaes e instalaes fsicas das organizaes.
Permetros de segurana analisados:
Hall de entrada do piso trreo;
Hall de elevadores;
Acesso ao estacionamento interno e uso comum e carga/descarga;
Entradas principais dos pavimentos;
Pavimento da cobertura;
Almoxarifados;
Arquivo;
Iluminao;
Equipamentos de combate a incndio;
Sadas de emergncia e sinalizao;
Sala de controle;
Data Center;
149
Ambiente de redes e teleprocessamento;
Controle de acesso fsico;
Piso elevado;
Pavimentos estratgicos que contenham equipamentos de controle ou

infra-estrutura.
reas de segurana da ELECTRA

As reas crticas ou sensveis devem estar localizadas em reas seguras e:
Serem protegidas por um permetro de segurana definido;
Serem protegidas por barreiras de segurana;
Terem controles de entrada apropriados; serem protegidas fisicamente

contra acesso no autorizado, danos e interferncia;
Terem grau de proteo proporcional e ser compatvel com os riscos

identificados;
Terem poltica de mesa vazia e tela vazia para reduzir o risco de acesso
no autorizado ou danos a documentos, mdias e instalaes de
150
Permetro de Segurana
Na proteo com barreiras fsicas em volta das instalaes da ELECTRA e dos
equipamentos de processamento de informaes devem ser observadas as seguintes
situaes:
Cada barreira deve estabelecer um permetro de segurana onde cada

uma delas contribui para o aumento da proteo total oferecida;
Utilizar permetros de segurana para proteger as reas que contm

equipamentos de processamento de informaes crticos;
Um permetro de segurana algo que constitui uma barreira, uma

parede, um porto de entrada controlado por carto, biometria ou ambos;
O permetro de um edifcio ou site que contm reas crticas deve ser

fisicamente slido e atender aos seguintes requisitos:
No deve haver brechas no permetro de segurana ou reas que

permitem uma penetrao fcil, tanto de pessoas quanto de fumaa, gases
corrosivos, poeira, gua, fogo etc;
As paredes externas devem ser de construo slida e as portas externas

devem ser devidamente protegidas contra o acesso no autorizado, com
mecanismos de controle, alarmes etc;
Portas corta-fogo de um permetro de segurana devem ser equipadas

com alarme e fechar automaticamente;
151
As barreiras fsicas devem se estender do piso bruto ao teto bruto para

impedir o acesso no autorizado e contaminao ambiental.
Controles fsicos de entrada - autenticao

reas seguras devem ser protegidas por controles de entrada apropriados e devese observar o seguinte:
Utilizar cartes magnticos mais nmero de identificao pessoal (PIN)

e/ou biometria para autorizar e validar todos os acessos;
Manter trilhas de auditoria de todos os acessos guardadas em um local

seguro e remoto;
Exigir que o pessoal utilize alguma forma de identificao visvel e que

interpele pessoas estranhas no acompanhadas e qualquer pessoa que no
esteja usando uma identificao visvel;
Os direitos de acesso a reas seguras devem ser revistos e atualizados

regularmente.
Definio de rea segura
As salas de cada departamento, dentro do permetro fsico da ELECTRA,

devem permanecer trancadas e dispor de controle de acesso por senha
e/ou biomtrico;
Devem-se utilizar arquivos de ao trancveis e cofres para proteo de

mdias.
152
A escolha e o projeto de uma rea segura devem levar em conta as

possibilidades de danos causados pelos riscos ou vulnerabilidades;
Devem ser levadas em considerao eventuais ameaas segurana

causadas por instalaes vizinhas, infiltraes, vazamento de gua
proveniente de outra rea ou da prpria laje.
Devem ser considerados os seguintes aspectos:
Os equipamentos crticos devem estar num local no acessvel ao

pblico;
Os prdios devem ser discretos e indicar o mnimo possvel a sua

finalidade, sem sinais visveis, dentro ou fora do edifcio, que
identifiquem a presena de atividades de processamento das informaes
ou o nome da instituio;
Funes e equipamentos de suporte (fotocopiadoras e aparelhos de fax)

devem ficar num local apropriado dentro da rea segura para evitar
pedidos de acesso que poderiam comprometer as informaes e dispor de
senhas de controles de acessos para liberao de uso;
As portas e janelas devem ficar trancadas quando no houver ningum

presente e deve-se pensar em sensores de proteo externa para as
janelas, principalmente as localizadas no pavimento trreo.
153
Controles
Implementar sistemas apropriados de deteco de intrusos, instalados

segundo padres profissionais e testados regularmente, para cobrir todas
as portas externas e as janelas acessveis;
As reas no ocupadas devem ter um alarme armado permanentemente;
Os equipamentos administrados pela ELECTRA devem ficar fisicamente

separados dos equipamentos administrados por terceiros;
As listas de pessoal e listas telefnicas internas que identificam a

localizao dos equipamentos de processamento de informaes
sensveis no devem ficar expostas e acessveis ao pblico;
A proteo das instalaes considera que:
Materiais perigosos ou combustveis devem ser armazenados de modo

seguro e a uma distncia adequada de uma rea crtica;
Os suprimentos em grande volume no devem ficar armazenados dentro

de uma rea crtica, devendo ser requisitados medida que forem
utilizados;
Os equipamentos e mdia de backup devem ficar localizados a uma

distncia segura para que no sejam danificados em caso de um acidente
no site principal.
154
Atividades de terceiros
O pessoal s deve saber da existncia de uma rea segura e das

atividades nela executadas quando for estritamente necessrio;
Deve-se evitar o trabalho no supervisionado em reas seguras, por

motivos de segurana;
reas seguras desocupadas devem ser trancadas fisicamente e

inspecionadas periodicamente;
Suporte de terceiros ter acesso restrito s reas seguras ou aos

equipamentos de processamento de informaes sensveis e somente
quando necessrio;
Acesso deve ser autorizado antes e monitorado;
Devem-se criar barreiras e permetros adicionais de controle de acesso

fsico entre reas com diferentes requisitos de segurana dentro do
permetro de segurana;
No deve ser permitida a presena de equipamento fotogrfico, de vdeo,

de comunicao pessoal, de udio ou de outro equipamento de gravao,
a menos que seja autorizado.
reas de entregas e de carregamento
O acesso a uma rea de armazenagem provisria, a partir do exterior de

um edifcio, deve ser restrito ao pessoal identificado e autorizado;
155
A rea de armazenagem provisria deve ser projetada de tal maneira que

os suprimentos possam ser descarregados sem que o pessoal de entrega
tenha acesso a outras partes do edifcio;
As portas externas de uma rea de armazenagem provisria devem ser

trancadas enquanto a porta interna estiver aberta;
Todo material recebido deve ser inspecionado para detectar eventuais

perigos antes de ser transportado da rea de armazenagem provisria ao
local de utilizao;
Todo material recebido deve ser registrado ao entrar no site;
As reas de entregas e de carregamento devem ser controladas e se

possvel isoladas dos equipamentos de processamento de informaes, a
fim de evitar o acesso no autorizado.
3.5.1 Segurana em equipamentos
OBJETIVO:
Impedir a perda, dano ou comprometimento de ativos e a interrupo das

atividades da ELECTRA.
Os equipamentos devem ser protegidos fisicamente contra as ameaas a

sua segurana e contra os perigos ambientais;
156
A proteo dos equipamentos necessria para reduzir o risco de acesso

no autorizado aos dados e para impedir que os equipamentos sejam
perdidos ou danificados;
Devem ser implementados controles especiais para proteo contra

perigos ou acesso no autorizado e para preservar os equipamentos de
apoio, tais como o suprimento de energia e infra-estrutura de
cabeamento.
Localizao e proteo dos equipamentos

Os equipamentos devem ser localizados ou protegidos de modo a reduzir os
riscos das ameaas e perigos do meio ambiente e as oportunidades de acesso no
autorizado e devem obedecer ao seguinte:
Serem localizados de modo a minimizar o acesso desnecessrio s reas

de trabalho;
Os equipamentos de processamento e armazenagem de informaes que

manuseiam dados sensveis devem ser posicionados de modo a
minimizar o risco de olhares indiscretos durante o uso.
Devem ser adotados controles para minimizar o risco de ameaas potenciais,

incluindo furto, incndio, exploses, fumaa, gua (falha no abastecimento), poeira,
vibrao, efeitos qumicos, interferncia no suprimento de fora, radiao
eletromagntica e acesso indevido fsico e lgico.
157
Riscos da vizinhana
Um incndio em empresas ou ambientes vizinhos pode colocar em risco

o seu ambiente de tecnologia;
Grandes frentes de janelas oferecem caminho natural para a subida de

chamas, o calor quebra os vidros e o ambiente penetrado por fumaa
txica e pelas chamas;
Canos de PVC, quando aquecidos, liberam gases a base de cloro e

enxofre, que, em contato com a gua, reagem e se transformam em cido
clordrico e sulfrico, que so txicos e corrosivos.
A ELECTRA deve estabelecer uma poltica referente aos atos de comer,

beber e fumar nas instalaes de processamento e armazenamento de
informaes ou em sua proximidade;
conveniente monitorar as condies ambientais quanto a fatores que

poderiam afetar negativamente a operao dos equipamentos de
processamento e armazenamento de informaes;
Deve-se levar em conta o impacto de um incidente em instalaes

prximas como, por exemplo, incndio em edificaes vizinhas,
vazamento de gua no telhado ou em pavimentos do subsolo ou exploso
na rua.
158
3.5.2 Suprimento de energia eltrica
OBJETIVO:
Providenciar suprimento adequado de eletricidade que atenda s especificaes
do fabricante dos equipamentos.
Devem ser providenciadas fontes alternativas para gerao de energia e
observados os seguintes requisitos:
Utilizar mltiplas fontes de alimentao para evitar que o suprimento

dependa de uma nica fonte;
Utilizar gerador de backup;
Utilizar um suprimento prova de interrupes (UPS/no-break) para

suportar a parada ordenada ou a continuao da operao, no caso de
equipamentos que suportam operaes crticas para a ELECTRA;
Planejar contingncia indicando as providncias a tomar em caso de

falha do UPS (Uninterruptible Power Supply)/no-break;
Testar regularmente o equipamento, de acordo com as recomendaes do

fabricante, para assegurar que o mesmo tenha a capacidade adequada.
Pontos crticos no suprimento de energia eltrica
Bancada de baterias, risco de exploso e falha do equipamento;
159
Gerador de backup caso se deseje que o processamento continue em caso

de uma falta de fora prolongada e testes peridicos;
Estocagem do leo diesel e manuteno da sua qualidade, muretas de

conteno;
Suprimento adequado de combustvel para assegurar que o gerador possa

operar durante um perodo prolongado;
Chaves de fora de emergncia localizadas perto das sadas de

emergncia das salas de equipamentos para facilitar o desligamento
rpido da fora em caso de emergncia;
Iluminao de emergncia para o caso de falta de fora;
Existncia de pra-raios com filtros de proteo contra raios em todas as

linhas externas de comunicaes;
Deve haver Gaiola de Faraday (cmara metlica com ligao a terra, que
Faraday, famoso qumico e fsico ingls idealizou. um recinto metlico (gaiola ou
cmara, conforme o caso) em cujo interior no podem penetrar emisses eltricas ou
eletromagnticas.) e pra-raios Franklin (pra-raios tipo haste instalado no alto de
edificaes ou das torres. Esse pra-raios oferece proteo para a edificao contida
sob o cone de proteo cujo vrtice encontra-se no topo da haste captora. O que estiver
dentro desse espao estar protegido. O ngulo de proteo variar de acordo com o
nvel de proteo requerido, tipo de ocupao, valor do contedo, localizao e altura
da edificao).
160
Proteo contra interceptao ou danos, levando-se em considerao os
seguintes aspectos:
As linhas de fora e as linhas de telecomunicaes que entram nos

equipamentos de processamento de informaes devem ser subterrneas,
sempre que possvel ou ter uma proteo alternativa adequada;
O cabeamento das redes deve ser protegido contra interceptao no

autorizada ou danos (pelo uso de condutes ou evitando trajetos que
passem por reas pblicas);
Os cabos de fora devem ficar separados dos cabos de comunicaes

para evitar interferncias.
Controles adicionais para cabeamento
Instalar condutes blindados e salas ou caixas trancadas em pontos de

inspeo e pontos terminais;
Usar rotas ou meios de transmisso alternativos;
Usar cabeamento de fibras pticas;
Equipar os cabos com sistemas de varredura para detectar a presena de

dispositivos no autorizados.
161
3.5.3 Manuteno dos equipamentos
OBJETIVO: Manuteno correta dos equipamentos para assegurar a sua

disponibilidade e integridade permanentes.
Devem obedecer aos seguintes requisitos:
Os equipamentos devem receber manuteno com periodicidade correta e

de acordo com as especificaes do fabricante;
A manuteno e os reparos do equipamento s devem ser executados por

pessoal autorizado;
Deve ser mantido um registro de todos os defeitos suspeitos ou reais e de

toda a manuteno preventiva e corretiva executada;
Devem ser adotados controles apropriados quando equipamentos saem

do site para fins de manuteno;
Devem ser cumpridas todas as exigncias estipuladas nas aplices de

seguros.
Segurana dos equipamentos fora do site
Os equipamentos e as mdias retirados das instalaes da ELECTRA no

devem ficar sem superviso em lugares pblicos;
Os computadores portteis devem ser transportados como bagagem de

mo e disfarados sempre que possvel, quando se viaja;
162
Devem ser observadas a qualquer tempo as instrues do fabricante para

a proteo dos equipamentos como, por exemplo, contra a exposio a
campos eletromagnticos intensos;
Os controles para o trabalho a domiclio devem ser determinados por

uma avaliao dos riscos e adotados controles adequados conforme seja
necessrio;
Deve haver uma cobertura de seguros adequada para proteger o

equipamento quando fora do site;
Os riscos de segurana como danos, furto e olhares indiscretos podem

variar consideravelmente entre um local e outro e devem ser levados em
conta para determinar os controles mais apropriados;
O uso de qualquer equipamento fora das instalaes da ELECTRA, para

fins de processamento de informaes, deve ser autorizado pela gerncia
e o grau de segurana proporcionado deve ser equivalente ao do
equipamento utilizado no site para os mesmos fins, levando-se em conta
os riscos do trabalho fora das instalaes da ELECTRA;
O equipamento de processamento de informaes inclui todas as formas

de computadores pessoais, agendas eletrnicas, equipamentos de
comunicao pessoal, papel ou outros meios, que ficam na posse da
pessoa para trabalho no domiclio ou que so transportados para fora do
local normal de trabalho.
163
Segurana no descarte ou na reutilizao de equipamentos
As informaes podem ser comprometidas pela falta de cuidados no

descarte ou na reutilizao de equipamentos;
Os sistemas de armazenagem que contenham informaes sensveis

devem ser destrudos fisicamente ou sobregravados de maneira segura ao
invs de se usar a funo normal delete;
Todos os itens de equipamento que contenham mdia de armazenagem,

como, por exemplo, discos rgidos, devem ser verificados para garantir
que todos dados sensveis e softwares licenciados tenham sido retirados
ou sobregravados antes do descarte;
No caso de dispositivos de armazenagem danificados que contenham

dados sensveis, poder ser necessria uma avaliao dos riscos para
determinar se o item deve ser destrudo, consertado ou descartado.
Poltica de mesa e tela vazia
Deve-se adotar poltica de mesa vazia para documentos e mdia de

armazenagem removvel;
Deve-se adotar poltica de tela vazia para os equipamentos de

processamento de informaes, a fim de reduzir os riscos de acesso no
autorizado a informaes e perda ou dano de informaes durante o
horrio normal de trabalho e fora dele;
164
Deve-se levar em considerao as classificaes de segurana da

informao, os riscos correspondentes e os aspectos culturais da
ELECTRA;
As informaes deixadas em cima de mesas tambm podero ser

danificadas ou destrudas em caso de catstrofes, como incndios,
inundaes ou exploses.
3.5.4 Diretrizes de proteo
Os documentos e mdias de computador devem ser armazenados em

estantes apropriadas e cofres especiais quando no estiverem em uso,
principalmente fora do horrio de expediente;
Informaes empresariais sensveis ou crticas devem ficar trancadas

(preferencialmente em um cofre ou arquivo a prova de fogo) quando no
em uso, principalmente quando no houver ningum no escritrio;
Os computadores pessoais e terminais de computador, bem como as

impressoras, no devem ficar logged-on na ausncia do operador e
devem ser protegidos por bloqueios de teclas, biometria, senhas ou outros
controles quando no estiverem em uso;
Os postos de correspondncia recebida e enviada e as mquinas de fax

devem ser protegidos quando o operador no estiver presente;
165
As copiadoras devem ser trancadas ou protegidas de algum outro modo

contra o uso no autorizado fora do horrio normal de expediente;
Informaes sensveis ou confidenciais, quando impressas, devem ser

retiradas das impressoras imediatamente.
Retirada de bens
Os equipamentos, as informaes ou o software no devem sair do site

sem autorizao;
Quando necessrio e apropriado, a sada e a devoluo dos equipamentos

devem ser registradas;
Devem ser feitas inspees por amostragem para detectar a retirada noautorizada de bens;
Os usurios devem ser informados da existncia de tais inspees.
3.5.5 Situao atual do Data Center em relao Segurana Fsica
Ambientes e caractersticas prediais

No caso especfico do Data Center, suas instalaes atuais compartilham o
ambiente computacional com atividades de risco, presentes na rea da ELECTRA e na
vizinhana.
166
Riscos externos e internos

Existem ambientes internos e externos que expem a ELECTRA a riscos de
incndio, que, mesmo no atingindo a rea do Data Center, podem afetar mdias e
equipamentos com seus gases txicos, exploso, desmoronamento, trepidao (obras)
etc. Esses riscos so baixos, pois a vizinhana estabelecida com edifcios definitivos.
Veculos e pessoas
O prdio que abriga a ELECTRA e o seu Data Center dispe de grande rea de
estacionamento em sua rea externa, que fica totalmente ocupada durante o expediente
normal, devido ao expressivo nmero de pessoas que trabalham ou visitam o local e os
demais edifcios prximos. Embora representado risco menor de incndio em
automveis nesse estacionamento, no devem ser desconsiderados possveis prejuzos
pelos gases emanados, que prejudicam mdias e equipamentos sensveis.
O estacionamento interno situa-se no subsolo do prdio. Dispe de grande
quantidade de vagas, grande parte delas abaixo do Data Center, representando alto
risco relativamente a incndio em automveis, cujos gases podem afetar, direta ou
indiretamente, os equipamentos sensveis.
Salas de escritrios
O prdio tem nove andares de escritrios.
Existem vrias dependncias com papis e outros materiais combustveis e por
onde transitam diariamente centenas de pessoas.
167
Vizinhana
Ao lado do prdio, localiza-se uma grande edificao comercial. Esse
estabelecimento, bem como outros situados na redondeza, atraem muitos automveis e
pessoas para as proximidades do Data Center da ELECTRA, configurando nesse
sentido, juntamente com as outras ameaas descritas, uma vizinhana de alto risco.
Identificao visual da rea do Data Center

Embora nem todos os tcnicos da segurana da informao sejam unnimes,
grande parte opina que um ambiente de processamento de dados no deve ter qualquer
inscrio que o identifique.
Riscos de acesso indevido

A rea ocupada pelo Data Center no configura um permetro de segurana
adequado. As barreiras e as portas so controladas por vigilantes de segurana, com
controles simplificados.
As edificaes da ELECTRA
a) Estacionamentos
Externo: O prdio que abriga a ELECTRA e o seu Data Center dispe de uma
grande rea de estacionamento em sua rea externa, que fica totalmente ocupada
durante o expediente normal, devido ao expressivo nmero de pessoas que trabalham
no local e nos demais edifcios prximos.
168
Interno: situa-se no subsolo do prdio abaixo do Data Center, representando

riscos relativos a incndio em automveis, cujos gases podem afetar, direta ou
indiretamente, os equipamentos sensveis.
b) Portarias
Portaria principal: o primeiro contato com a ELECTRA realizado na portaria
principal. A partir dela tem-se acesso direto aos elevadores que conduzem aos andares
do prdio;
A atuao das recepcionistas ou dos vigilantes da portaria uma triagem
simples, na qual se solicita nome, identidade, origem, destino e outras pequenas
observaes sobre o ingresso, que a partir da praticamente livre a todas s salas da
ELECTRA.
Data Center: atualmente o primeiro contato do visitante com o Data Center
realizado na portaria situada na entrada do prprio Data Center, no 1 subsolo, onde
existe um balco em forma de L, caracterizando um segundo nvel de proteo,
geralmente com uma recepcionista e um vigilante (no final da tarde, normalmente com
apenas um vigilante). Dispe de telefone e um computador, alm de um Registro de
Visitante, documento preenchido com os dados do visitante e posteriormente
arquivado por um ano na sala da segurana.
Nessa portaria, possvel o controle de acesso entrada principal do Data
Center, mas no o de uma outra porta que tambm pode permitir o acesso (apesar de
estar predominantemente trancada), que a da sala de impresso, situada em frente ao
auditrio.
c) Demais dependncias
169
rea interna: paredes, portas, janelas, pisos, tetos, corredores, toaletes,

elevadores, escadas internas e de emergncia, instalaes eltricas e hidrulicas: com
poucas excees, o estado geral dessas edificaes no satisfatrio. As escadas de
emergncia no atendem s normas de segurana e esto com os seus pilares metlicos
com algum comprometimento por oxidao.
As instalaes eltricas do local esto sendo revistas.
Telhados: a cobertura constituda de laje de concreto armado e coberta com
telhado de amianto, visando direcionar a gua das chuvas para calhas;
Aparentemente, h muito tempo no se realiza uma impermeabilizao nessas
coberturas, que, apesar disso, ainda apresentam bom estado de conservao;
As calhas de guas pluviais esto limpas e desimpedidas, mas foi observada
gua empoada na parte central da cobertura, sobre uma sala que dispe de
equipamentos de monitoramento de servios de infra-estrutura;
Situao Atual especfica do Data Center

A rea do subsolo, ocupada pelo Data Center e outras salas da ELECTRA,
compe-se de:
Data Center: gerncia de infra-estrutura, gerncia de servio de rede
corporativa, analistas, testes, suporte, banco de dados, coordenao, call center,
preparo, teleprocessamento/rede, servidores, mquinas de grande porte, impresso,
operao/fitas, recepo/expedio, manuteno, terceiros, reunio, copa (sem fogo)
e toaletes, configurando a sua rea interna.
170
Salas de segurana, pool de mensageiros, reprografia, arquivo, laboratrio de

microfilmagem e no-break tm acesso pelo corredor central da rea no crtica do
Data Center.
Outras salas: ainda junto rea do Data Center, porm fora da rea sensvel,
situam-se o auditrio, biblioteca, videoconferncia, arquivo geral, depsito do
almoxarifado, servios gerais, sala da administrao do almoxarifado etc.
Localizao
O Data Center est localizado no subsolo do prdio, cuja edificao no foi
construda especificamente para abrigar um Data Center.
Edificaes
Pelas suas prprias atividades do dia-a-dia, as reas da edificao onde se situa o
Data Center no configuram um permetro de segurana adequado. As barreiras e as
portas controladas por vigilantes de segurana necessitam de controles compatveis
com os riscos dessa rea crtica
Paredes externas
Esto em bom estado de conservao.
Paredes internas
As que circundam a rea crtica, em alvenaria, esto em bom estado de
conservao.
171
Portas
Existem brechas no permetro de segurana, como por exemplo:
No existem portas corta-fogo dotadas de alarme e fechamento

automtico;
A porta da sala de impresso permite acesso rea crtica (apesar da

mesma estar predominantemente fechada);
Uma portinhola (pequena abertura na parede) da sala do no-break para a

sala das mquinas do ar-condicionado pode permitir acesso indevido pela
sala do no-break;
A porta de vidro, prxima dos elevadores, no corredor da entrada do

Data Center pode permitir, no mnimo, que um curioso mal-intencionado
trace um croqui da localizao dos equipamentos crticos do Data
Center, para posterior intruso;
O suporte de terceiros dever ter acesso restrito s reas seguras ou aos

equipamentos de processamento de informaes sensveis e somente
quando necessrio;
Todos os itens citados constituem, direta ou indiretamente, brechas na

segurana para penetrao de intrusos ou para gases, fumaa, fogo, gua,
poeira etc.
172
Divisrias internas
So constitudas de frmica e vidro, que so materiais no resistentes ao fogo.
No so fechadas de laje a laje, o que facilita o acesso indevido sob as placas do piso
elevado e tambm no impedem penetrao de fogo ou gases de salas vizinhas.
A porta principal de entrada do Data Center

Est localizada prxima aos vigilantes e recepcionistas da portaria do Data
Center. Entretanto, oportuno lembrar que a vigilncia nesse posto, em alguns
perodos do final da tarde, estava constituda de apenas um vigilante, o que no
suficiente para o correto controle de acesso;
Portas internas
So extenses das divisrias e, portanto, frgeis. Na rea sensvel, no so
mantidas trancadas e nem dispem de acesso somente ao pessoal autorizado. As que
esto junto com as divisrias sobre todo o piso elevado necessitam que, abaixo e
acima delas, haja o mesmo cuidado sugerido para as divisrias;
A porta da entrada do Data Center, que tambm pode ser improvisada como
sada de emergncia, d para o corredor externo rea crtica e nesse h facilidade de
evacuao. Entretanto, os corredores internos de circulao das salas da rea crtica
so muito apertados, o que certamente dificultaria uma evacuao de pessoal em caso
de emergncia.
173
Instalaes eltricas
A rede, o quadro de fora do subsolo e as instalaes eltricas que servem ao
Data Center apresentam bom estado de conservao e so adequadas.
No-break
O no-break, apesar de ser um modelo antigo, tem atendido ao Data Center.
Todavia, em caso de interrupo de fornecimento de energia por perodos mais longos,
haver necessidade de se contar com um grupo gerador, principalmente para atender
climatizao da sala de segurana que a ELECTRA planeja instalar para o Data
Center;
Cabeamento Lgico
No existem sistemas de varredura no cabeamento para detectar a

presena de dispositivos no autorizados;
O cabeamento, sob o piso elevado, no est adequadamente disposto. H

cabos lgicos misturados com eltricos, o que pode causar interferncias.
Instalaes hidrulicas e infiltraes

No h problemas de abastecimento e esgotamento de guas servidas.
Foi realizada uma reparao de infiltrao em um tubo localizado sobre a sala de
rede, gerando preocupaes a respeito de outras possveis infiltraes sobre a rea
sensvel do Data Center.
174
Combate a incndio
Existe, entre os que prestam servios no Data Center, a preocupao em

atender s normas de segurana, como um todo, mas uma das principais,
relativa solicitao para no fumar no ambiente, no est sendo
observada;
Foram encontradas pontas de cigarro em muitas latas de lixo e uma ponta

de cigarro sob o piso elevado;
Existem hidrantes nos corredores externos, que tm recebido manuteno

peridica;
As mangueiras esto corretamente desenroscadas do tubo, mas devem ser

dotadas de bico regulvel e estarem dimensionadas de forma a alcanar
todos os ambientes existentes;
Os extintores de incndio so adequados, de fcil acesso, mas nem

sempre se encontram nos lugares demarcados;
O piso elevado composto de material que propaga chamas;
As cestas de lixo so convencionais e sem tampa, inclusive as maiores,

das salas de impresso, que so usadas para recolher papis;
No constatamos armazenamento, no almoxarifado, no mesmo ambiente,

de lquidos inflamveis e papis;
Existem painis de controle de incndio e quadros apropriados de fora;
175
Existem detectores convencionais de fumaa na rea sensvel, mas no

piso no h sinalizao da localizao dos mesmos;
No existem sensores de umidade e temperatura;
Existem quadros de controle para detectar fumaa e fogo, mas esto

desatualizados;
No existe alarme de incndio que toque na vigilncia;
No existe um sistema de alarme para evacuao;
No existe combate automtico de incndio com gs especfico;
No existe uma brigada de incndio adequada no prdio.
Climatizao
As instalaes de ar-condicionado esto em bom estado de conservao.

Segundo os funcionrios da ELECTRA que fazem a sua manuteno, o
sistema est funcionando com folga. H um pleno, que lana o ar
diretamente sob o piso elevado e dutos para as demais salas;
O equipamento de ar-condicionado que serve ao Data Center dotado de

oito mquinas. Normalmente,
quatro funcionam
e quatro so
redundantes;
H necessidade de uma reviso no insuflamento do ar-condicionado para

algumas salas do Data Center, que estavam com temperatura elevada,
176
gerando reclamao de alguns funcionrios e possibilitando paradas nos

equipamentos;
Foi tambm constatado que a torre, externa, de resfriamento ser

reformada e que os filtros de gua so lavados quinzenalmente. Os
equipamentos esto instalados em compartimento fechado, com acesso
somente ao pessoal autorizado, mas localizam-se do lado de fora,
carecendo de maior proteo;
Controle de Acesso
O controle de acesso de funcionrios realizado por meio de carto magntico,
que no tem a finalidade de segregar o acesso a reas de outras funes,
principalmente no Data Center. Atualmente, qualquer pessoa, visitante ou funcionrio,
no ter maiores dificuldades de entrar em dependncias da ELECTRA,
caracterizando um grande risco para a segurana, pois as reas deveriam ser protegidas
com grau de permisso de acesso.
No h circuito fechado de televiso (CFTV), mas existe projeto para esse
coadjuvante da segurana predial.
Manuteno e limpeza de instalaes e equipamentos

Existe cuidado com a limpeza e com a manuteno das instalaes e
equipamentos. Entretanto, as condies de limpeza sob o piso elevado no estavam
boas;
177
Constatamos, em anlise nos sacos de lixo do Data Center, e em lixeiras do

arquivo, documentos importantes, misturados a lixo comum, que seriam descartados
na lixeira geral do prdio.
3.5.6 Recomendaes de Segurana Fsica do Data Center
3.5.6.1 Recomendaes especficas da ELECTRA
Ambientes e caractersticas prediais da ELECTRA

Portaria central
Deve-se modificar a portaria principal, de forma que todo visitante

obrigatoriamente tenha que passar por uma triagem nela;
Deve haver recepcionistas e pessoal de segurana em nmero suficiente

para atender a demanda de pessoas recebidas, em todos os horrios,
dentro e fora do expediente normal;
O controle de acesso deve ser mais rigoroso que o atual, com

comparao da identidade e o seu dono e no apenas com a anotao do
nmero do documento;
Devem ser anotados os horrios de entrada e sada do visitante;
178
Devem haver catracas com controle de acesso;
Deve-se manter em segurana uma trilha de auditoria contendo todas os

acessos ocorridos, com gravao remota on-line.
Uso de Crachs
Deve ser obrigatrio, no somente para se evitar o acesso indevido, mas

em qualquer situao, o uso de cartes com PIN ou crachs por qualquer
pessoa que esteja transitando no interior da ELECTRA;
Deve tambm ser obrigatrio que todos os funcionrios, sem exceo,

portem carto de identificao ou crach, em local visvel e que sejam
incentivados a informar segurana sobre a presena de qualquer pessoa
no identificada ou de qualquer estranho no acompanhado.
Circuito fechado de TV
Todas as portarias, salas, corredores, escadas, entradas e sadas,

passagens, estacionamentos, reas de carga e descarga e principalmente
os demais pontos crticos de toda a ELECTRA devem ser monitorados
por CFTV, com avisos claros, visando desestimular eventuais intrusos;
O CFTV deve possuir tecnologia de modo que as informaes sejam

monitoradas e gravadas remotamente;
Devem-se utilizar monitores vigiados em sistema multiplexador numa

sala da segurana, bem como gravar as suas imagens em time lapse. Esse
equipamento deve ser mantido trancado em local seguro, com porta
dotada de controle de acesso, a fim de se evitar extravio de fitas;
179
Convm que o cabeamento do CFTV seja protegido contra cortes,

intencionais o ou acidentais.
Demais dependncias
Janelas do 1 andar: recomendvel que sejam reforadas, j que podem

permitir acesso indevido;
Escadas de emergncia: No atendem s normas de segurana; so

enclausuradas e sem corrimos.
3.5.6.2 Recomendaes especficas do Data Center
Segurana Mxima
A literatura da segurana da informao define a disposio fsica ideal dos Data
Center, orientando que as instalaes mais sensveis sejam localizadas no centro, e as
demais, de acordo com a sensibilidade, dispostas do centro para fora, configurando
camadas concntricas de segurana.
Dentre diversos aspectos, solues tcnicas pertinentes so agregadas para
fornecimento de energia, gua e esgoto, climatizao, combate a incndios e detalhes
muitas vezes desprezados em edificaes comuns, como a escolha de material de
acabamento resistente e retardante ao fogo.
Em funo do exposto acima e levando-se em considerao que a edificao que
abriga o Data Center no especfica para essa finalidade e principalmente pela
180
vizinhana de alto risco, convm que todas as recomendaes expostas nesta anlise
sejam consideradas e implementadas no mais curto prazo possvel.
Identificao Visual
Num centro de processamento de dados, sempre se deve considerar ao mximo o
item segurana. Quanto mais discreta for a programao visual do prdio, menos
interesse despertar. As identificaes devem se limitar a informar sobre as direes a
serem tomadas, avisar sobre locais de acesso restrito e indicar as sadas de emergncia.
Existem autores que chegam a defender o conceito de que um rgo sensvel
como um Data Center no deve ter qualquer identificao, nem mesmo das salas e
departamentos.
Convm que seja retirada qualquer identificao relativa ao Data Center.

O propsito dificultar a ao de pessoas mal intencionadas;
Devem estar publicados em local visvel os procedimentos quando da

ocorrncia de um incidente, assim como, os telefones das reas de
suporte e emergncia.
Brechas no permetro de segurana
Eliminar a porta da sala de impresso;
A entrada para entrega/recepo de documentos deve ser realizada pela

entrada do Data Center, local em que deve receber um controle de
acesso;
181
Portinhola (pequena abertura na parede) da sala do no-break para a sala

das mquinas do ar-condicionado deve ser fechada por uma porta, a qual
deve ser do tipo grelha para permitir ventilao rea do no-break;
A porta do corredor de circulao do Data Center deve ser substituda

por uma porta metlica, dotada de alarme sonoro e tranca interna, para
que sirva como uma sada de emergncia. A finalidade da estrutura
metlica, em substituio ao vidro atual, tambm impedir que intrusos
tenham viso panormica da rea sensvel do Data Center, que hoje
possvel;
Observao: Os itens citados acima constituem, direta ou indiretamente, brechas

na segurana para penetrao de intrusos ou para gases, fumaa, fogo, poeira, radiao
etc.
Controle de acesso e procedimentos
Deve ser instalada uma porta com controle de acesso na atual entrada do
Data Center, limitando o acesso indevido;
Dotar de alarme sonoro ligado permanentemente, as reas no ocupadas,

internas ou externas ao Data Center;
necessrio que os cabos lgicos sejam dotados de sistemas de

varredura automtica para evitar intrusos no sistema;
Orientar os vigilantes a no prestar quaisquer informaes sobre as atividades do

Data Center e que apenas encaminhem os interessados, aps identific-los, para a
182
recepo interna e que estejam atentos e informem imediatamente vigilncia interna

ou central de segurana qualquer atitude ou pessoa suspeita nas imediaes.
Controle de Acesso
Que o contato inicial com o Data Center disponha de uma portaria mais
abrangente para um rgido controle de acesso, no qual possa ser efetuada
melhor triagem dos visitantes, com guardas masculinos e femininos em
estreita colaborao.
O controle de acesso fsico tem por objetivo a segurana de acesso a

reas delimitadas, salas de computadores e de arquivos, centrais de
instalaes e demais equipamentos;
necessrio que, na triagem se confiram a identidade e o seu dono e no

apenas se pergunte o nmero do documento. E que sejam tambm
registradas data e hora de entrada e sada;
Usar controles de autenticao, como por exemplo, cartes com PIN

(nmero de identificao pessoal ou Personal Identification Number),
que permitem validar qualquer acesso;
Instalar cancelas com catracas com controle de acesso;
Manter em segurana uma trilha de auditoria contendo todos os acessos

ocorridos, com gravao remota on-line.
183
Uso de Crachs
Deve ser obrigatrio, no somente para se evitar o acesso indevido, mas

em qualquer situao, o uso de cartes com PIN ou crachs por qualquer
pessoa que esteja transitando no interior das instalaes crticas;
Todos os funcionrios, sem exceo, dever portar carto de identificao

ou crach, em local visvel e que sejam incentivados a informar
segurana sobre a presena de qualquer pessoa no identificada ou de
qualquer estranho no acompanhado.
Entrada de Objetos Estranhos
Em princpio, dever ser deixados na portaria, em depsitos com chaves,

as malas, maletas, bolsas, embrulhos, pacotes, caixas, aparelhos de
comunicao pessoal, dispositivos eletrnicos de qualquer espcie etc,
portados por pessoas que necessitem entrar na rea do Data Center;
Deve-se informar ao portador dos objetos descritos acima, que se for

necessria entrada do objeto consigo, ele dever aceitar uma inspeo
dos mesmos. Da, a necessidade de guardas femininas para a vistoria em
pertences em pessoas do mesmo sexo;
No se pode descartar a idia de que algum, com intenes estranhas,

tenha interesse em colocar um artefato explosivo ou equipamento
eletrnico para roubar informaes em alguma dependncia do Data
Center;
184
Proibir a entrada de mquinas fotogrficas, filmadoras e controlar o

acesso de alimentos e bebidas;
Rever, periodicamente, os direitos de acesso.
Guaritas de vigilncia
Estudar, a instalao de pelo menos uma guarita de vigilncia, discreta,

situada no vrtice do trreo. A finalidade obter uma viso ampla das
duas laterais vulnerveis da rea externa do Data Center;
Essa vigilncia deve ser exercida principalmente nos horrios fora do

expediente. Dever ser auxiliada por sensores de presena com alarme
sonoro e complementadas com um bom sistema de iluminao de todo o
permetro externo, com holofotes dotados de foco dirigido de dentro para
fora, a fim de no ofuscar os guardas e para atrapalhar a viso de possvel
invasor;
No interior do prdio, na rea externa rea crtica, tambm deve haver

vigilncia, principalmente nos horrios fora do expediente.
Circuito Fechado de TV
Recomenda-se que todas as portarias, salas, corredores, escadas, entradas

e sadas, passagens, estacionamentos, reas de carga e descarga e
principalmente os demais pontos crticos de todo o Data Center devem
ser monitorados por CFTV, com avisos pertinentes, visando desestimular
eventuais intrusos;
185
Recomenda-se que o CFTV possua tecnologia que permite que as

informaes sejam monitoradas e gravadas remotamente via TCP/IP;
Utilizar monitores vigiados em sistema multiplexador pelos guardas de

segurana, de preferncia na sala da segurana. Gravar as suas imagens
em time lapse, cujo equipamento deve trancado em local seguro, com
porta dotada de controle de acesso, a fim de se evitar extravio de fitas,
com alta disponibilidade, isto , dotado de equipamentos redundantes;
Recomenda-se que o cabeamento do CFTV seja protegido contra cortes,

intencionais o ou acidentais.
Cuidados com documentos impressos, mdias e instalaes de

processamento de informaes
Recomenda-se elaborar uma rgida triagem em documentos a serem

descartados, a fim de que no se disponha em caixas de lixo documentos
que podem despertar algum interesse;
Os documentos julgados como no teis devem ser fragmentados e ento

descartados;
Recomenda-se que seja adquirido um fragmentador, a fim de que todo o

lixo de papel com informaes seja devidamente fragmentado antes da
disposio final na lixeira do prdio;
186
Adotar poltica de mesa vazia e tela vazia para reduzir o risco de acesso
no autorizado ou danos a documentos, mdias e instalaes de
Piso Elevado
Substituir todo o piso elevado da rea do Data Center em funo do piso atual
estar desnivelado colocando em risco o desempenho dos equipamentos e os
operadores, em mal estado devido ao tempo de uso e principalmente por ser de
material que propaga chamas.
Incndio
Instalar equipamentos de deteco precoce de incndio. Os existentes na
ELECTRA, devido a sua tecnologia ultrapassada, s atuam quando se tem fumaa. Os
equipamentos a laser atuam pelas partculas suspensas no ar.
Instalar combate automtico de incndio com Gs FM 200 (este gs mantido
em cilindros, sob presso como um lquido, que minimiza o espao de armazenagem, e
liberado como um gs, de modo a cobrir todos os pontos da rea protegida. O FM200 suprime o fogo em at 10 segundos, impedindo a reao qumica que nele ocorre.
O FM-200 adequado para aplicaes em reas ocupadas por seres humanos,
nas concentraes aprovadas pela NFPA-2001. Por ser to seguro para as pessoas, est
sendo utilizado como propulsor em inaladores mdicos) interligado ao equipamento de
deteco de incndio.
187
Implantao de sala de segurana (Sala-Cofre)

Convm que seja adquirida uma sala de segurana (sala-cofre) que a melhor
soluo para uma segurana eficaz dos equipamentos sensveis e mdias,
considerando-se principalmente o alto risco da vizinhana e pelo fato da ELECTRA
no possuir um site alternativo para caso de contingncia.
A sala-cofre conceder ELECTRA proteo contra ameaas como: fogo,
exploso, magnetismo, radiao, calor, vandalismo, acesso indevido, poeira, gases
corrosivos, roubo, furto, etc, permitindo a continuidade do negcio, em caso de um
incidente e preservando todo o alto investimento em hardware e software.
A sala-cofre pode seguir a sugesto de localizao apresentada no disponvel no
APNDICE A. Com o devido estudo relativo aos esforos de sobrecarga na estrutura,
bem como ser executado um anteprojeto das instalaes, em funo da rea da sala a
ser adquirida.
Cofres
Recomenda-se a aquisio de cofres especficos para armazenamento de dados
para proteo das mdias contra fogo, poeira, gases corrosivos, campos
eletromagnticos, radiaes, furto etc;
Aquisio de pacote de solues para o arquivo geral

O arquivo geral, situado no subsolo, na rea prxima ao Data Center, necessita
uma abordagem completa para as suas necessidades de espao para arquivamento e
segurana ambiental.
188
Na situao atual convm que se instale controle de acesso na porta principal,

detector de incndio e combate automtico, bem como monitorao de temperatura e
desumidificao do ambiente e principalmente que se desenvolva uma classificao de
todas as informaes que saem da ELECTRA para a empresa terceirizada de guarda de
documentos.
Videoconferncia
Existe a necessidade de se investir tambm em equipamentos de deteco de
incndio no piso elevado.
Instalaes eltricas e lgicas
Prover o Data Center de um grupo gerador, cuja necessidade

justificada pelo fato de que o no-break, mesmo cumprindo a sua funo,
no capaz de suprir o Data Center em faltas prolongadas de energia;
A Norma NBR ISO/IEC 17799 orienta sobre testes regulares do

equipamento para assegurar que ele tenha a capacidade adequada e seja
testado de acordo com as recomendaes do fabricante;
Recomenda-se instalar cabos com sistemas de varredura para detectar a

presena de dispositivos no autorizados;
Recomenda-se dispor adequadamente o cabeamento sob o piso elevado,

devido ao fato de que existem cabos de lgica misturados com cabos
eltricos, que podem causar interferncias.
189
Riscos de incndio
Proibir terminantemente fumar no interior do Data Center. notrio o

cheiro de fumaa de cigarro na sua rea interna, logo que se passa pela
porta principal, no incio do corredor. Foi constatado que sempre h
muitas pontas de cigarro nas lixeiras das salas;
Promover uma conscientizao do pblico interno sobre a total

incompatibilidade
entre
cigarros
ou
similares
ambiente
computacional, no somente pelo risco de incndio, mas porque a fumaa

prejudica mdias e equipamentos;
Substituir cestas de lixo atuais existentes nas salas do Data Center por
metlicas e com tampa, bem como substituir por containeres metlicos
com tampa as caixas atualmente usadas para juntar grande quantidade de
papel na sala de impresso;
Criar um novo layout para a circulao entre as salas internas. Tal

medida deve permitir corredores mais amplos e at mesmo melhor
disposio das salas, visando a sada de emergncia sugerida, que a
porta principal do Data Center, saindo para a rea dos elevadores;
No armazenar, no mesmo andar do Data Center, os suprimentos, tais

como papis, materiais de consumo etc;
Orientar aos faxineiros para terem todo o cuidado com o uso de gua e
outros produtos lquidos de limpeza no piso elevado e nos equipamentos;
190
Providenciar recarga de extintores de incndio, sempre que necessrio,

com o cuidado na contratar firma idnea e solicitar que a recarga seja
realizada na presena de um funcionrio da ELECTRA.
Climatizao
Ligar os compressores do ar-condicionado conforme recomendaes

tcnicas, mantendo os aparelhos redundantes em condies de operao;
Realizar testes peridicos;
Substituir, na sala do banco de dados, se for mantido o piso elevado

atual, duas placas fechadas de piso por placas perfuradas, a fim de
melhorar o insuflamento do ar no ambiente;
Reformar a torre de resfriamento e limpar/trocar os filtros de gua no

prazo recomendado pelo fabricante, como est sendo realizado
atualmente;
Vistoriar, periodicamente, as torres de resfriamento, que se encontram

instaladas em rea externa. Diferentemente dos equipamentos do ar, que
esto instalados em compartimento fechado, com acesso somente ao
pessoal autorizado, pois as torres necessitam maior proteo.
Acondicionamento das mdias

Analisamos o acondicionamento das mdias em toda a rea do Data Center e
realizamos tambm uma visita ao backup. Recomenda-se para ambos:
191
Manter a porta da sala de mdias fechada e instalar controle de acesso;
Adquirir cofres de proteo de mdias;
Adquirir equipamento apropriado para transporte das mdias.
Anlise dos equipamentos de rede distribudos

Foram analisados os equipamentos de teleprocessamento (TP), switches, routers,
modems, cabeamento, climatizao, controle de acesso e condies de limpeza das
salas, com as seguintes observaes:
Cabeamento desorganizado;
Sem climatizao;
Sem controle de acesso;
Necessita melhor limpeza e arrumao;
Risco de incndio e de acesso indevido.
3.5.7 Plano de Ao
Geral
Implementar as alteraes sugeridas no layout disponvel no APNDICE

A;
192
Estudar a implantao de sala de segurana (sala-cofre);
Instalar cofre para guarda de mdias;
Instalar CFTV em pontos estratgicos;
Proibir fumar no Data Center;
Instalar deteco precoce de incndio com combate automtico de gs

FM 200;
Instalar equipamento de monitorao remota da rede;
Instalar controle de acesso em salas de ambientes alta criticidade;
Instalar grupo gerador;
reas Seguras (corresponde ao item 1 do questionrio - APNDICE B)
As reas crticas ou sensveis da empresa devem estar localizadas em

reas seguras;
Devem estar protegidas por um permetro de segurana definido, com

barreiras de segurana e controles de entrada apropriados;
Devem estar protegidas fisicamente contra acesso no autorizado, danos

e interferncia;
O grau de proteo deve ser proporcional aos riscos identificados;
193
Deve existir poltica de mesa vazia e tela vazia para reduzir o risco de
acesso no autorizado ou danos a documentos, mdia e instalaes de
Permetro de Segurana (corresponde ao item 2 do questionrio APNDICE B)
Deve existir proteo fsica com barreiras fsicas em volta das instalaes
da empresa e dos equipamentos de processamento de informaes;
As barreiras devem estabelecer um permetro de segurana correto para

aumentar a proteo total oferecida;
Devem ser utilizados permetros de segurana para proteger as reas que

contm equipamentos de processamento de informaes;
Devem existir barreiras, paredes, portes de entrada controlados por

carto ou uma mesa com recepcionista, que constituam um permetro de
segurana;
O permetro do edifcio e site que contm reas crticas deve ser

fisicamente slido;
No devem deve existir brechas no permetro ou reas que permitam uma

penetrao fcil;
As paredes externas devem ser de construo slida;
194
As portas externas devem ser devidamente protegidas contra o acesso

no autorizado, com mecanismos de controle, barras, alarmes, fechaduras
etc;
Deve existir uma rea de recepo com pessoal ou outro meio de

controle do acesso fsico ao site ou ao edifcio;
Somente pessoal autorizado poder ter acesso aos sites e edifcios;
As barreiras fsicas devem ser estendidas do piso bruto ao teto bruto, para
impedir o acesso no autorizado e contaminao ambiental;
Devem existir portas corta-fogo no permetro de segurana e elas devem

ser equipadas com alarme e fechar automaticamente.
Controles fsicos de entrada (corresponde ao item 3 do questionrio APNDICE B)
As reas seguras devem ser protegidas por controles de entrada

apropriados;
As trilhas de auditoria de todos os acessos devem ser guardadas em local

seguro;
Os direitos de acesso a reas seguras devem ser revistos e atualizados

regularmente.
195
Proteo das instalaes (corresponde ao item 4 do questionrio APNDICE B)
Para a proteo das instalaes, deve existir a preocupao de rea segura

(ex.: salas trancadas ou vrias salas dentro de um permetro fsico de
segurana, que podem ser trancadas e que disponham de arquivos de ao
trancveis ou cofres);
A escolha e o projeto de uma rea segura deve levar em conta a

possibilidade de danos causados pelos riscos ou vulnerabilidades;
Devem ser levados em conta os regulamentos e normas relevantes de

sade e segurana;
Devem ser levadas em considerao eventuais ameaas segurana

causadas por instalaes vizinhas, como infiltraes, vazamento de gua
proveniente de outra rea etc.
Controle (corresponde ao item 5 do questionrio - APNDICE B)
Os equipamentos crticos devem estar em local no acessvel ao pblico;
O prdio deve ser discreto e indicar o mnimo possvel a sua finalidade,

sem sinais visveis, dentro ou fora do edifcio, que identifiquem a
presena de atividades de processamento de informaes;
Funes e equipamentos de suporte (fotocopiadoras e fax) ficam num

local apropriado dentro da rea segura, para evitar pedidos de acesso que
poderiam comprometer as informaes;
196
As portas e janelas ficam trancadas quando no h ningum presente;
Devem ser implementados sistemas apropriados de deteco de intrusos,

instalados segundo padres profissionais e testados regularmente, para
cobrir todas as portas externas e as janelas acessveis;
As
reas
no
ocupadas
devem
dispor
de
alarme
armado
permanentemente;
Equipamentos administrados pela organizao devem ficar fisicamente

separados dos equipamentos administrados por terceiros;
As listas de pessoal e listas telefnicas internas que identificam a

localizao dos equipamentos de processamento de informaes
sensveis no podem ficar em local acessvel ao pblico.
O trabalho em reas seguras (corresponde ao item 6 do questionrio APNDICE B)
Devem existir controles e diretrizes adicionais para aumentar a segurana

de uma rea sensvel;
Devem existir controles para o pessoal e/ou para terceiros que trabalham
dentro da rea segura;
O pessoal s deve sabe da existncia de uma rea segura e das atividades

nela executadas numa base de necessidade de saber;
197
Deve ser evitado o trabalho no supervisionado em reas seguras, tanto

por motivos de segurana como para no dar oportunidade a atividades
mal-intencionadas.
Isolamento das reas de entregas e de carregamento (corresponde ao

item 7 do questionrio - APNDICE B)
As reas de entregas e de carregamento devem ser controladas e isoladas

dos equipamentos de processamento de informaes, a fim de evitar o
acesso no autorizado;
Os requisitos de segurana para tais reas devem ser determinados por

uma avaliao dos riscos;
O acesso a uma rea de armazenagem provisria, a partir do exterior de

um edifcio, deve ser restrito a pessoal identificado e autorizado;
A rea de armazenagem provisria deve ser projetada de tal maneira que

os suprimentos possam ser descarregados sem que o pessoal de entrega
tenha acesso a outras partes do edifcio;
As portas externas da rea de armazenagem provisria devem

permanecer trancadas enquanto a porta interna estiver aberta;
O material recebido deve ser inspecionado para detectar eventuais

perigos antes de ser transportado da rea de armazenagem provisria para
o local de utilizao;
O material recebido deve ser registrado ao entrar no site.
198
Segurana do Equipamento (corresponde ao item 8 do questionrio APNDICE B)
Os equipamentos devem ser protegidos fisicamente contra as ameaas

sua segurana e os perigos ambientais;
Devem ser levados em conta a localizao e disposio dos

equipamentos;
Devem existir controles especiais para proteo contra perigos ou acesso

no autorizado e para preservar os equipamentos de apoio, como o
suprimento de corrente e a infra-estrutura de cabeamento.
Localizao e proteo dos equipamentos (corresponde ao item 9 do

Os equipamentos devem ser localizados ou protegidos de modo a reduzir

o risco das ameaas e perigos do meio-ambiente e as oportunidades de
acesso no autorizado;
Os equipamentos devem ser localizados de modo a minimizar o acesso

desnecessrio s reas de trabalho;
Os equipamentos de processamento e armazenamento de informaes

que manuseiam dados sensveis devem ser posicionados de modo a
minimizar o risco de olhares indiscretos durante o uso;
Os itens que requerem proteo especial devem ser isolados a fim de

reduzir o nvel geral de proteo necessrio;
199
Devem ser adotados controles para minimizar o risco de ameaas

potenciais, incluindo furto, incndio, explosivos, fumaa, gua (falha no
abastecimento), poeira, vibrao, efeitos qumicos, interferncia no
suprimento de fora, radiao eletro-magntica;
Devem ser levados em conta o impacto de um acidente em instalaes

prximas, como por exemplo um incndio no prdio vizinho, vazamento
de gua do telhado ou em pavimentos do subsolo ou uma exploso na
rua.
Suprimento de energia eltrica (corresponde ao item 10 do

Deve existir suprimento adequado de eletricidade que atenda s

especificaes do fabricante dos equipamentos;
Devem existir fontes alternativas de gerao de energia;
Devem existir mltiplas fontes de alimentao para evitar que o

suprimento dependa de uma nica fonte;
Deve existir suprimento de energia prova de interrupes (UPS =

sistema no-break);
Deve existir gerador de backup;
Deve existir um suprimento prova de interrupes (UPS/no-break) para

suportar a parada ordenada ou a continuao da operao, no caso de
equipamentos que suportam operaes crticas para a empresa;
200
Deve existir planejamento de contingncia indicando as providncias a

tomar em caso de falha do UPS;
Devem ser realizados testes regulares dos equipamentos para assegurar

que ele tenha a capacidade adequada;
Os equipamentos devem ser testados de acordo com as recomendaes

do fabricante.
Bancada de baterias, risco de exploso e falha do equipamento

Deve ser providenciado um gerador de backup para que o processamento

continue em caso de uma falta de fora prolongada.
Estocagem do leo diesel e manuteno da sua qualidade, muretas de

conteno (corresponde ao item 11.2 do questionrio - APNDICE B)
Os geradores devem ser testados regularmente de acordo com as

instrues do fabricante;
Deve existir suprimento adequado de combustvel para assegurar que o

gerador possa operar durante um perodo prolongado;
As chaves de fora de emergncia devem estar localizadas perto das

sadas de emergncia das salas de equipamentos;
Deve existir iluminao de emergncia para o caso de falta de fora;
O prdio deve ser equipado com pra-raios;
201
Devem existir filtros de proteo contra raios em todas as linhas externas

de comunicaes;
Deve existir Gaiola de Faraday e pra-raio Franklin.
Segurana do cabeamento (corresponde ao item 12 do questionrio APNDICE B)
As linhas de fora e as linhas de telecomunicaes que entram nos

equipamentos de processamento de informaes devem ser subterrneas
sempre que possvel e ter proteo alternativa adequada;
O cabeamento das redes deve ser protegido contra interceptao no

autorizada ou danos (pelo uso de condutes ou evitando trajetos que
passem por reas pblicas);
Os cabos de fora devem ficar separados dos cabos de comunicaes

para evitar interferncias;
Deve existir condutes blindados e salas ou caixas trancadas em pontos

de inspeo e pontos terminais;
Deve ser feito o uso de rotas ou meios de transmisso alternativos;
Deve ser feito o uso de cabeamento de fibras pticas;
Devem existir cabos com sistemas de varredura para detectar a presena

de dispositivos no autorizados.
202
Manuteno
dos
equipamentos
(corresponde
ao
item
13
do
Os equipamentos devem receber manuteno correta para assegurar sua

disponibilidade e integridade permanente;
Os equipamentos devem receber manuteno com a periodicidade e de

acordo com as especificaes recomendadas pelo fabricante;
A manuteno e os reparos do equipamento somente devem ser

executados por pessoal de manuteno autorizado;
Deve ser mantido um registro de todos os defeitos suspeitos ou reais e de

toda a manuteno preventiva e corretiva executada;
Devem ser adotados controles apropriados quando equipamentos saem

do site para fins de manuteno;
Devem ser cumpridas todas as exigncias estipuladas nas aplices de

seguros.
Segurana dos equipamentos fora das instalaes (corresponde ao item

14 do questionrio - APNDICE B)
O uso de qualquer equipamento fora das instalaes da organizao, para

fins de processamento de informaes, precisar ser autorizado pela
gerncia anteriormente;
203
O grau de segurana proporcionado deve ser equivalente ao do

equipamento utilizado no site para os mesmos fins, levando em conta os
riscos do trabalho fora das instalaes da organizao;
O equipamento de processamento de informaes (todas as formas de

computadores pessoais, agendas eletrnicas, telefones celulares, papel ou
outros meios) que ficam na posse da pessoa para trabalho a domiclio ou
que devem ser transportados para fora do local normal de trabalho devem
ter procedimento de segurana;
Os equipamentos e as mdias retirados das instalaes da organizao

devem ter superviso em lugares pblicos;
Os computadores portteis devem ser transportados como bagagem de

mo e disfarados sempre que possvel;
Devem ser observadas a qualquer tempo as instrues do fabricante para

a proteo dos equipamentos (ex.: proteo contra a exposio a campos
eletromagnticos intensos);
Os controles para o trabalho a domiclio devem ser determinados por

uma avaliao dos riscos, e devem ser adotados controles adequados
conforme necessrio (ex.: arquivos de ao trancados, poltica de mesa
vazia e controles de acesso a computadores);
Deve existir uma cobertura de seguros adequada para proteger o

equipamento quando fora do site.
204
Segurana
no
descarte
ou
na
reutilizao
de
equipamentos
Devem existir cuidados no descarte ou na reutilizao de equipamentos;
Sistemas de armazenagem que contenham informaes sensveis devem

ser destrudos fisicamente ou sobregravados de maneira segura ao invs
de se usar a funo normal delete;
Todos os itens de equipamento que contenham mdia de armazenagem,

como, por exemplo, discos rgidos, devem ser verificados para garantir
que todos dados sensveis e softwares licenciados tenham sido retirados
ou sobregravados antes do descarte;
No caso de dispositivos de armazenagem danificados que contenham

dados sensveis, deve existir uma avaliao dos riscos para determinar se
o item deve ser destrudo, consertado ou descartado.
Controles gerais (corresponde ao item 16 do questionrio - APNDICE

B)
Devem existir medidas para impedir o comprometimento ou furto de

informaes e de equipamentos de processamento de informaes;
Devem ser implementados controles para minimizar a perda ou o dano a

informaes.
205
Poltica de mesa vazia e tela vazia (corresponde ao item 17 do

A organizao deve adotar poltica de mesa vazia para documentos e

mdia de armazenagem removveis;
Deve ser adotada poltica de tela vazia para os equipamento de

processamento de informaes, a fim de reduzir os riscos de acesso no
autorizado a informaes e de perda ou dano s informaes durante o
horrio normal de trabalho e fora dele;
Devem ser levadas em considerao as classificaes de segurana da

informao, os riscos correspondentes e os aspectos culturais da
organizao;
Deve ser tomado cuidado para que informaes no sejam deixadas em

cima de mesas, podendo ser danificadas ou destrudas em caso de
catstrofes, como incndios, inundaes ou exploses.
Diretrizes de proteo (corresponde ao item 18 do questionrio APNDICE B)
Os documentos e mdia de computador devem ser armazenados em

estantes apropriadas e trancadas em outras formas de moblia de
segurana, quando no estiverem em uso, principalmente fora do horrio
de expediente;
206
Informaes empresariais sensveis ou crticas devem ficar trancadas

(preferivelmente em um cofre ou arquivo prova de fogo) quando no
em uso, principalmente quando no houver ningum no escritrio;
Os postos de correspondncia recebida e enviada e as mquinas de fax e

telex sem a presena do operador devem ser protegidos;
As copiadoras devem ser trancadas (ou protegidas de algum outro modo

contra o uso no autorizado) fora do horrio normal de expediente;
Informaes sensveis ou confidenciais, quando impressas, devem ser

retiradas das impressoras imediatamente.
Equipamentos de preveno e combate a incndios (corresponde ao

Os equipamentos e os materiais de combate devem ser compatveis com

o ambiente;
Deve existir contingncia.
Localizao dos equipamentos de combate a incndios (corresponde ao

A localizao deve ser adequada e o acesso livre;
Deve ser conferida a validade das cargas;
As portas de incndio devem possuir possuem sensores e alarmes e mola

para fechamento automtico;
207
Devem existir detectores de fumaa sob o piso falso e no teto.
Distncia de equipamentos, produtos ou locais crticos (corresponde ao

Os equipamentos devem estar distantes das linhas de transmisso de alta

voltagem;
A remoo de lixo deve ser diria;
Devem existir procedimentos relacionados com papis (isolamento,

controle de acesso, proibio de fumar etc.);
Periodicamente deve ser verificada a necessidade de efetuar dedetizao

e desratizao;
As cestas de lixo devem ser de metal com tampa com objetivo de abafar
princpios de incndio;
Os quadros de conexes telefnicas devem ser trancados para haja acesso

somente quando permitido ao pessoal autorizado.
Condies gerais de segurana da edificao (corresponde ao item 23

do questionrio - APNDICE B)
As paredes internas devem ser de alvenaria at o teto;
Deve existir vedao de passagens com portas corta-fogo;
As paredes externas devem impedir a propagao de incndios;
208
Deve existir vedao de passagens para outros recintos ou andares (dutos

de ar-condicionado, cabos, monta-carga etc.);
O edifcio que abriga o Data Center deveria ser construdo com material
retardante e resistente ao fogo;
Os detectores de fumaa devem ser mantidos e testados de forma

programada;
Deve existir sensor de temperatura e umidade do ar;
Devem existir quadros de controle pare detectar rapidamente e localizar

fogo e fumaa;
As placas do piso falso devem ser facilmente removveis para permitir

verificao de fogo e fumaa;
Os extintores devem estar distribudos estrategicamente em locais

visveis e destacados;
O alarme de incndio deve tocar na vigilncia;
Devem existir hidrantes instalados em locais estratgicos nos andares dos

prdios;
Esses hidrantes e seus equipamentos auxiliares devem ser testados

regularmente;
Havendo necessidade, os carros do Corpo de Bombeiros devem ter

acesso fcil a qualquer lado do prdio;
209
As placas do piso falso devem ser de material retardante;
Deve existir reserva tcnica de gua para hidrantes;
Devem existir plantas de localizao dos extintores e detectores;
Os alarmes de incndio devem ser alimentados por baterias, no caso de

falha no fornecimento de energia.
Condies de gerais de segurana relacionados com a edificao

Deve existir sensoriamento de portas, janelas, dutos e superviso predial;
Deve existir sala central de controle de segurana bem localizada e com

qualificao pessoal;
O monitoramento do permetro e reas externas ao prdio deve ser feito

via CFTV;
Deve existir um servio de vigilncia de 24 horas, inclusive nos fins de

semana e feriados;
As sadas de emergncia devem ser verificadas em relao usabilidade

periodicamente;
As portas para a rea do Data Center devem ser mantidas fechadas;
Devem existir alarmes para informar vigilncia a violao de portas e

acessos a reas do Data Center;
210
Condies
Deve ser feito um rodzio peridico entre os recepcionistas.
gerais
de
segurana
relacionados
com
evacuaes
Deve existir procedimento de evacuao;
As sadas de emergncia devem estar livres e desimpedidas e em boas

condies;
Deve existir iluminao de emergncia e sinalizao adequadas e ser

feito teste da mesma periodicamente;
Devem existir telefones internos de emergncia para comunicao de

sinistros;
Deve existir um sistema de alarme para fazer a evacuao dos prdios;
Deve existir um sistema de udio para auxiliar nos momentos de

evacuao de pessoal.
Disposio e infra-estrutura das edificaes destinadas funo

Quadros de luz e iluminao devem estar localizados em local adequado;
Deve existir controle de rudos nas imediaes do permetro;
Deve existir controle de temperatura nas imediaes do permetro;
211
As condies de conservao e limpeza do piso elevado e do forro

devem ser adequadas;
Os incidentes de segurana devem ser investigados para apurao da

causa e tomada de ao corretiva.
Suprimento de energia (corresponde ao item 27 do questionrio APNDICE B)
Quedas de tenso ser freqentes, oscilaes e sobrecargas devem ser

evitadas ;
Deve existir estabilizador/no-break/gerador com autonomia satisfatria;
As instalaes eltricas do prdio e as instalaes destinadas aos

equipamentos de energia devem estar em boas condies e no
oferecerem perigo;
Deve existir exclusividade das instalaes eltricas no Data Center;
O sistema de gerao prpria de energia deve ser testado periodicamente;
O quadro de fora deve ser protegido e de fcil acesso para as situaes

de emergncia;
Deve existir um controle das perdas de horas de mquina devido a

problemas de eletricidade;
Deve existir um plano de manuteno para a rede eltrica.
212
Ar-condicionado
(corresponde
ao
item
28
do
questionrio
APNDICE B)
A qualidade das instalaes e manuteno dos equipamentos e nvel de

rudo deve ser satisfatria;
No deve existir a possibilidade de entrada de gases atravs dos dutos de

ar-condicionado;
As chaves de emergncia devem desligar o sistema de ar-condicionado;
O sistema de climatizao deve ser exclusivo;
No deve ser compartilhado com rea e/ou tipo de equipamentos

inadequados;
O dimensionamento do equipamento de ar-condicionado deve ser

adequado;
Deve haver redundncias (e reservas) e simulaes peridicas;
As aberturas externas (troca de ar) devem proporcionam uma adequada

renovao;
Devem existir dampers corta-fogo e gases no interior dos dutos;
Os equipamentos de ar-condicionado devem estar instalados em

compartimentos fechados (com acesso somente a pessoal autorizado);
As tomadas de ar devem ser protegidas contra contaminao;
213
Devem existir alarmes nos sistemas de ar-condicionado;
Os dutos do ar condicionado devem ser de material retardante;
Os instrumentos de comando do sistema de ar-condicionado devem estar

protegidos evitando manuteno no-autorizada;
Devem existir plantas com especificaes de toda a rede de arcondicionado.
Condies gerais de segurana relacionados com suprimento de gua

O prdio deve estar em boas condies em relao a goteiras;
O prdio deve estar em boas condies em relao umidade,

infiltraes e vazamentos de canalizaes;
Deve ser garantida a continuidade do suprimento (existncia a

capacidade do reservatrio);
Deve ser garantida a qualidade das instalaes hidrulicas (vazamentos,

infiltraes);
Devem existir plantas atualizadas da rede hidrulica;
A localizao das tubulaes e as condies dos materiais utilizados

devem ser satisfatrias;
Os telhados e a laje devem estar em boas condies;
214
O subsolo sofre algum tipo de interferncia;
Quanto drenagem sob o piso elevado, a proteo em relao ao piso

superior deve estar em boas condies;
Os encanamentos, exceto os necessrios, devem ser retirados do piso

falso em reas sob o computador;
Os condutes devem ser a prova d'gua;
Deve existir vedao adequada contra infiltrao de gua nas portas

externas;
A vedao deve ser adequada contra infiltrao de gua nas janelas

externas;
Deve existir escoamento de gua e drenagem adequada para impedir

inundao na sala do computador;
A sala do computador deve possuir impermeabilizao adequada do teto,

impedindo infiltrao de gua.
3.6
Conformidade
OBJETIVO:
Evitar violaes de leis penais ou cveis, de obrigaes decorrentes de estatutos,
regulamentos ou contratos e de quaisquer requisitos de segurana em:
215
Projeto;
Operao;
Utilizao;
Gerenciamento de sistemas de informaes.
A ELECTRA est sujeita a exigncias de segurana decorrentes de estatutos,

regulamentos ou contratos;
Deve-se realizar consultoria sobre exigncias legais especficas junto ao
departamento jurdico da ELECTRA ou com advogados externos devidamente
qualificados;
As exigncias legislativas variam de um pas para outro e para informaes
criadas em um determinado pas e transmitidas para um outro pas - fluxos de dados
que atravessam fronteiras.
Identificao da legislao aplicvel

Exigncias relevantes, impostas por lei, por rgos reguladores ou por contrato:
Definidas explicitamente;
Documentadas por sistema de informao;
Controles
especficos
as
responsabilidades
individuais
pelo
atendimento a essas exigncias tambm devem ser definidos e

documentados.
216
3.6.1
Preservao dos registros da ELECTRA
OBJETIVO:
Proteger contra perda, destruio e falsificao.
Necessidades de arquivar registros de modo seguro
Deve atender as exigncias da lei ou de rgos reguladores;
Deve apoiar as atividades essenciais da ELECTRA:
Pode ser exigido para comprovar que uma empresa opera de acordo com
as normas da lei ou de rgos reguladores;
Deve assegurar uma defesa adequada em um eventual processo civil ou

criminal;
Confirma a situao financeira de uma empresa para os seus acionistas,

scios e auditores.
Evidencia que o perodo de reteno das informaes e os dados a serem

conservados podem ser estabelecidos pelas leis ou regulamentos do pas.
Os registros devem ser classificados em categorias como registros contbeis, de

empresas de dados, de transaes, de auditoria e de procedimentos operacionais.
Cada tipo de registro ter exigncias especficas quanto ao perodo de reteno e
tipo de veculo de armazenagem:
217
Papel, microficha, suportes magnticos ou pticos;
Chaves de criptografia associadas a arquivos codificados ou assinaturas

digitais devem ser guardadas com segurana e colocadas disposio das
pessoas autorizadas quando necessrio;
Considerar a possibilidade de deteriorao dos suportes utilizados na

armazenagem de registros;
Implementar procedimentos de armazenagem e manuseio de acordo com

as recomendaes do fabricante;
Deve ser permitida a destruio apropriada dos registros aps a expirao

do perodo de reteno, se no forem mais necessrios ELECTRA;
Para cumprir essas obrigaes, devem-se adotar as seguintes providncias:
Emitir diretrizes sobre a reteno, armazenagem, manuseio e descarte de

registros e informaes;
Elaborar programa de reteno que identifique os tipos dos registros

essenciais e por quanto tempo eles devem ser conservados;
Manter inventrio das fontes de informaes-chave;
Implementar controles apropriados para proteger registros e informaes

essenciais contra perda, destruio e falsificao.
Coleta de provas - Regras para constituio de prova
Provas adequadas do apoio legal contra uma pessoa ou ELECTRA;
218
Sempre que essa ao for um assunto disciplinar interno, a prova necessria ser
descrita pelos procedimentos internos.
Nos casos em que a ao envolve a legislao civil ou penal, elas devem estar
em conformidade com as regras para constituio de prova, estabelecidas pela
legislao aplicvel ou pelas normas do tribunal especfico no qual o caso ser
julgado:
Admissibilidade da prova: se a prova pode ou no ser usada em juzo;
Peso da prova: a qualidade e integridade da prova;
Uma prova adequada de que os controles funcionaram de modo correto e

consistente durante todo o perodo em que a prova a ser recuperada foi
armazenada e processada pelo sistema.
Admissibilidade da prova
Para conseguir a admissibilidade da prova, assegurar que os sistemas de
informaes obedecem a uma dada norma ou cdigo de prtica publicados para a
produo de provas admissveis.
Qualidade e integridade da prova

Para se obter a qualidade e integridade da prova h necessidade de um forte
indcio de credibilidade. Em geral, essa credibilidade pode ser estabelecida sob as
seguintes condies:
Para documentos em papel: o original guardado de maneira segura,

ficando registrado quem o encontrou, onde e quando foi encontrado e
219
quem testemunhou a descoberta. Qualquer investigao deve garantir que

ningum alterou os originais;
Para informaes em suportes fsicos de computador: devem ser feitas

cpias de qualquer veculo removvel das informaes em disco rgido ou
na memria para garantir a disponibilidade;
Conservar o registro de todos os atos praticados durante o processo de

cpia;
Identificar testemunhas para esse processo;
Cpia do suporte fsico e do log devem ser mantidos em lugar seguro;
Quando um incidente detectado, pode no ser bvio num primeiro

momento que ele possa dar origem a uma ao judicial;
Existe
risco
de
que
as
provas
necessrias
sejam
destrudas
acidentalmente antes que se perceba a gravidade do incidente;
Recomenda-se envolver um advogado j nos estgios iniciais de qualquer

ao judicial que se pretende adotar e pedir conselho sobre as provas
necessrias.
Os gerentes devem assegurar que todos os procedimentos de segurana

dentro de sua rea de responsabilidade so executados corretamente;
220
Deve ser feita regularmente uma reviso em todas as reas da ELECTRA para
assegurar a conformidade com as polticas e normas de segurana. As revises devem
incluir o seguinte:
Sistemas de informaes;
Fornecedores de sistemas;
Gestores das informaes e dos ativos de informao;
Usurios;
Administrao.
Os gestores dos sistemas de informaes devem providenciar revises peridicas

da conformidade dos seus ambientes com as polticas e normas de segurana
apropriadas e com quaisquer outros requisitos de segurana.
3.6.2
Situao atual em relao Conformidade
Conformidade com exigncias legais
Existe a preocupao de evitar violaes de qualquer lei penal ou civil,

de obrigaes decorrentes de estatutos, regulamentos ou contratos e de
quaisquer requisitos de segurana;
A ELECTRA est sujeita a exigncias de segurana decorrentes de

estatutos, regulamentos ou contratos;
221
Existe uma consultoria sobre exigncias legais especficas junto ao

departamento jurdico da ELECTRA;
So analisadas as exigncias legislativas que variam de um Pas para

outro, para informaes criadas em um determinado Pas e transmitidas
para um outro (fluxos de dados que atravessam fronteiras).
So observadas as exigncias relevantes impostas por lei, por rgos

reguladores ou por contrato, definidas explicitamente e documentadas
por sistema de informao;
Os controles especficos e as responsabilidades individuais pelo

atendimento a essas exigncias esto definidos e documentados.
Preservao dos registros da ELECTRA
Os registros da ELECTRA no so protegidos contra perda, destruio e

falsificao;
Os registros no esto arquivados de modo seguro para atender a

exigncias da lei ou de rgos reguladores;
Os registros que podem ser exigidos para comprovar que uma

organizao opera de acordo com as normas da lei; ou de rgos
reguladores; ou para assegurar uma defesa adequada em um eventual
processo civil ou criminal; ou para confirmar a situao financeira de
222
uma organizao para os seus acionistas, scios e auditores, no esto

protegidos de forma adequada;
So observados o perodo de reteno das informaes e os dados a

serem conservados, que so estabelecidos pelas leis ou regulamentos do
pas;
Os registros contbeis, de bancos de dados, de transaes, de auditoria e

procedimentos operacionais no esto protegidos;
Cada tipo de registro tem exigncias especficas quanto a perodo de

reteno e tipo de veculo de armazenagem, como: papel, microficha,
suportes magnticos ou pticos. Esse procedimento observado;
realizada destruio apropriada dos registros aps a expirao de tal

perodo, se no forem mais necessrios;
Existe um programa de reteno que identifica os tipos dos registros

essenciais e por quanto tempo eles devem ser conservados;
No existem controles de segurana apropriados para proteger registros e

informaes essenciais contra perda, destruio e falsificao.
223
3.6.3
Recomendaes sobre a conformidade
Adequao imediata da ELECTRA legislao vigente relativa a

segurana da informao, observando ao Decreto 3.505, de 14 de junho
de 2000;
O Data Center da ELECTRA deve proteger contra perda, destruio e

falsificao e acesso os registros fsicos em papis da ELECTRA, de
acordo com a legislao e os rgos reguladores.
O Comit Gestor Multidisciplinar deve ser encarregado de adequar a

ELECTRA s recomendaes acima descritas.
Implementar as diretrizes da Norma ISO/IEC 17799, de 19 de setembro

de 2001.
Implementar controles de segurana apropriados para proteger registros e

informaes essenciais contra perda, destruio e falsificao, como
controle de acesso, higienizao, organizao, arquivos deslizantes para
proteger o acervo etc;
necessrio avaliar o risco de se terceirizar a guarda de documentos

sigilosos, porque atualmente no existe a classificao das informaes.
O ideal que o local seja vistoriado e que os funcionrios do terceiro
passem por um treinamento de conformidade com a Norma ISO/IEC
17799.
224
3.6.4
Plano de Ao
Geral
Treinar, instruir e conscientizar os funcionrios a respeito da adequao

s normas que tratam da questo da Segurana da Informao;
Aquisio de cofre ou arquivos deslizantes para guarda do material de

propriedade intelectual, manuais de softwares e outros.
Conformidade com exigncias legais (corresponde ao item 1 do

A organizao deve atender a exigncias de segurana decorrentes de

estatutos, regulamentos ou contratos.
Preservao dos registros da organizao (item 3 do questionrio APNDICE B)
Os registros da organizao devem ser protegidos contra perda,

destruio e falsificao;
Os registros devem ser arquivados de modo seguro para atender a

exigncias da lei ou de rgos reguladores;
Os registros que podem ser exigidos para comprovar que a organizao

opera de acordo com as normas da lei ou de rgos reguladores ou para
225
assegurar uma defesa adequada em um eventual processo civil ou

criminal ou para confirmar a situao financeira de uma organizao para
os seus acionistas, scios e auditores, devem ser protegidos de forma
segura;
Deve-se observar que cada tipo de registro tem exigncias especficas

quanto a perodo de reteno e tipo de veculo de armazenagem, como:
papel, microficha, suportes magnticos ou pticos;
Registros contbeis, de bancos de dados, de transaes, de auditoria e

procedimentos operacionais devem ser protegidos de forma segura;
Devem ser consideradas as possibilidades de deteriorao dos suportes

utilizados na armazenagem de registros;
Nos casos de armazenagem por meios eletrnicos, devem estar inclusos

os procedimentos para assegurar a capacidade de acessar dados legibilidade dos suportes fsicos como dos formatos - durante todo o
perodo de reteno, como garantia contra a perda decorrente de futuras
mudanas de tecnologia;
Devem ser escolhidos os sistemas de armazenagem em que os dados

necessrios possam ser recuperados de um modo aceitvel para um
tribunal;
Os registros exigidos devem ser recuperados dentro de um tempo

aceitvel e num formato aceitvel;
Deve-se manter um inventrio das fontes de informaes-chave;
226
Devem ser implementados controles de segurana apropriados para

proteger registros e informaes essenciais contra perda, destruio e
falsificao;
Conformidade com a poltica de segurana (item 4 do questionrio APNDICE B)
Os gerentes devem assegurar que todos os procedimentos de segurana

dentro de sua rea de responsabilidade so executados corretamente;
Deve ser realizada regularmente uma reviso em todas as reas da

organizao para assegurar conformidade com as polticas e normas de
segurana.
3.7
Plano de Ao Geral (Todos os Mdulos Analisados)
Criar e aprovar em carter de emergncia, uma Poltica de Segurana

Corporativa das Informaes (com Marketing de Divulgao e
Treinamento de conscientizao adequada) de acordo com as Normas,
Legislaes e cultura da ELECTRA;
Nomear um Gerente de Segurana da Informao (Security Officer);
Criar um Comit Gestor para implementao, manuteno e reviso da

Poltica de Segurana da Informao na ELECTRA;
Customizar as ferramentas de Deteco de Invaso;
227
Implantar um Plano de Contingncia e PCN - Plano de Continuidade de

Negcios;
Reviso de todos os Contratos com Terceiros;
Exigir em contrato que o terceiro desenvolva treinamento de

conformidade com a Norma ISO/IEC 17799.
Estabelecer uma contingncia junto empresa prestadora de servios de

telefonia.
Nomear um gestor responsvel para cada ativo da ELECTRA
Compilar um inventrio dos ativos fsicos e lgicos;
Identificar o valor dos ativos;
Implementar Classificao das Informaes conforme a Norma ISO/IEC

17799 (a metodologia dever estabelecer Escalas dos Graus de sigilo e o
Teor Crtico das informaes da ELECTRA, de modo a refletir a
abrangncia de utilizao da informao);
Criar procedimentos para alterao dos nveis de classificao da

informao;
Definir procedimentos de rotulagem de informaes.
Re-analisar todos os privilgios de acesso;
228
Desenvolver procedimentos para desativao on-line de login de

funcionrios que so demitidos ou suspensos;
Realizar treinamento de segurana para funcionrios e terceirizados;
Dotar reas crticas de monitorao via CFTV;
Adotar tecnologia de controle de acesso de funcionrios, terceirizados e

visitantes, visando restringir fraudes e acesso no autorizado;
Estudar a implantao de sala de segurana (sala-cofre);
Instalar cofre para guarda de mdias;
Instalar CFTV em pontos estratgicos;
Proibir fumar no CPD;
Instalar deteco precoce de incndio com combate automtico de gs

FM 200;
Instalar controle de acesso em salas de ambientes alta criticidade;
Instalar grupo gerador;
229
ANLISE DE RESULTADOS
AVALIAO GERAL DA ELECTRA

Valores
Referncia
Apurados
Atuais
Estimados
aps
Implantao
Melhoria
Poltica de Segurana
165
165
100%
Segurana Organizacional
651
322
546
41%
Classificao e Controle dos Ativos
378
183
331
45%
Segurana em Pessoas
195
140
160
13%
Segurana Fsica e do Ambiente
3165
1730
2664
35%
Conformidade
285
183
263
30%
Resultado Geral da Avaliao
4839
2558
4129
38%
53%
85%
Mdulos
Resultado da Conformidade
Tabela 1 - Resultado estimado decorrentes da implementao do plano de ao
Observa-se na tabela acima que os mdulos de Poltica de Segurana,

Classificao e Controle dos Ativos e Segurana Organizacional so os que maiores
melhorias sofrero em nmeros relativos. O mdulo de Segurana fsica o maior em
nmeros absolutos e que representa o maior esforo de implantao.
230
CONCLUSO
O processo de implementao desta proposta exigir da ELECTRA grande

esforo e o comprometimento da alta gerncia composta pela presidncia e diretorias
executivas, apoiadas nas gerncias setoriais. Esse empenho envolve a liberao de
recursos necessrios, tanto financeiros como humanos, bem como o compromisso de
disseminar uma cultura organizacional, voltada para a manuteno da poltica de
segurana e da segurana fsica do seu ambiente de processamento de dados.
Alm disso, necessrio criar o comit de segurana multidisciplinar dirigido
por um gestor responsvel , com a responsabilidade de implantar, manter e revisar a
poltica de segurana. A inobservncia desta recomendao poder acarretar em
desconhecimento das diretrizes de segurana, descumprimento das mesmas,
continuidade ou aumento das vulnerabilidades existentes, impossibilidade de punio
em caso de sinistro, entre outros.
As aes sugeridas nos planos de ao, nos seus diversos mdulos, a saber: a
poltica de segurana; a segurana fsica e de ambiente - considerando as diversas
reas e delimitadas segundo o conceito de permetro de segurana, os dispositivos e
mecanismos de segurana como barreiras; a segurana em pessoas atravs da
aculturao e a conformidade com as leis vigentes, permitiro alcanar os nveis de
segurana fsica desejveis e adequados para a ELECTRA.
A implementao das melhorias propostas reduzir o risco existente sobre os
seus principais ativos.
231
De acordo com a anlise de resultados, observa-se que, apesar de

proporcionalmente menor, as melhorias na segurana fsica exigiro maiores esforos
do que todas as outras. Haver necessidade de adequao das instalaes (eltricas,
hidrulicas, incndio, etc), mudana de layout, re-instalar a estrutura de cabeamento
entre outros.
importante observar que no devam ocorrer interrupes das atividades vitais
de negcio da ELECTRA ou que estas sejam mnimas durante a implementao das
recomendaes.
Ainda observando os resultados, atravs do plano de ao, elevar-se- o nvel
conformidade com a Norma NBR ISO/IEC 17799 de um nvel insatisfatrio de 53%
(cinqenta e trs por cento) para um patamar adequado de 85% (oitenta e cinco por
cento), considerado satisfatrio e admissvel pela ELECTRA.
232
REFERNCIAS BIBLIOGRFICAS
MOREIRA, Nilton Stringasci, Segurana Mnima, Axcel Books, 1. edio,

2001.
PELTIER, Thomas R., Information Security Risk Analysis, CRC Press, 1
edio, 2001
SANTOS, Antonio Jeov, Dano Moral na Internet, Editora Mtodo, 1. edio,
2001.
DIAS, Claudia, Segurana e Auditoria da Tecnologia da Informao, Axcel
Books, 1. edio, 2000.
CARUSO, C.A.A., Segurana em Informtica e de Informaes, Editora
SENAC SP, 1. edio, 1999
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Cdigo de
Prtica para a Gesto da Segurana da Informao. NBR ISO/IEC 17799:So
Paulo,2001.
FERREIRA, Aurlio Buarque de Holanda, Dicionrio Aurlio da Lngua
Portuguesa, 2 Edio, 2003.
SILLAMY, Norbert, Dicionrio de Psicologia, Larousse, 1996.
FERREIRA, Aurlio Buarque de Holanda, Novo Dicionrio Aurlio da Lngua
Portuguesa, 2a. Edio, Editora Nova Fronteira, 1986.
LANNOY Dorin, Enciclopdia de psicologia contempornea, 5o. volume,
Editora Iracema, 1981.
MAIA, Marco Aurlio, Mdulo Security Magazine www.modulo.com.br , 31
de julho de 2002.
GALVO, Marcio; POGGI, Eduardo, Mdulo, Avaliao de Riscos em
Segurana da Informao com o Security Check-up, 2002.
Febraban, www.febraban.org.br/palestras, consultado no dia 02/11/2004.
Mdulo Security, www.modulo.com.br, consultado no dia 02/11/2004.
233
Dicionrio Priberam, www.priberam.pt, consultado no dia 02/11/2004.
234
APNDICE A
235
Layout da situao atual
Figura 7 - Layout atual do piso da garagem
Figura 8 - Layout atual do piso do Data Center
236
Figura 9 - Layout atual do pavimento trreo
Figura 10 - Layout atual do pavimento tipo
237
Layout proposto aps a anlise
Figura 11`- Sugesto de layout para o 2o. Sub-solo Garagem
Figura 12 - Sugesto de layout para o 1o. Sub-solo
238
Figura 13 - Sugesto de layout para o pavimento Trreo
Figura 14 - Sugesto de layout para o pavimento Tipo
239
APNDICE B
240
Fotos ilustrativas da situao atual
Corredor em frente ao auditrio:

Mangueira exposta (sem tampa)
Hidrante localizado na Garagem:

Dificuldade de acesso ao hidrante
Sala de Backup no Data Center:

Existncia de detector de fumaa
Sala de impresso no Data Center:

Risco de curto-circuito e acidente em
pessoas
Sada de emergncia do 2 andar:

Porta de emergncia obstruda
Sala de Terceirizados no Data Center:

Rachadura
241
Sala de Banco de Dados no Data Center:

Rachadura
Sala de Coordenao no Data Center:

M disposio de cabeamento
Teto da Sala de Testes no Data Center:

Ms condies das instalaes eltricas
Sala de Suporte no Data Center:

Controle de acesso ao Data Center:

Falha no controle de acesso
Controle de acesso ao Data Center:

Falha no controle de acesso
242
Sala de ar-condicionado:
Corroso no duto de ar-condicionado
Entrada da Cobertura:
Porta obstruda e material combustvel
Corredor interno do Data Center:

Ms condies das instalaes de dados
Sala do Call Center no Data Center:

M disposio de cabos
Sala de Operadores e Analistas no Data

Center:
Predominncia de ms condies das
instalaes eltricas/dados
Sala do Gerador:
Dutos de conexo do Gerador em ms
condies
243
Sala do Gerador:
Dutos de conexo do Gerador em ms
condies
Sala do Gerador:
Rachadura
Sala do Gerador:
Bocal de abastecimento do Gerador
Almoxarifado:
Descarte de material de forma inadequada
Almoxarifado:
Descarte de material de forma inadequada
Sala de Operadores no Data Center:

244
Sala de Testes no Data Center:

Sala de Servios Gerais no Data Center:

Infiltrao com possibilidade de cultura de
bactrias
Sala de Gerncia de Redes no Data

Center:
M disposio dos equipamentos

Indcio de insuficincia no condicionamento
de ar nas salas do Data Center
Sala de Arquitetura no 1 andar:

Precrias condies dos dispositivos de
controle de acesso ao ambiente
Corredor do Data Center:

Ausncia de extintor de incndio
245
Sala de Servidores de Rede:

M disposio do cabeamento no Data
Center
Filtros de ar-condicionado sujos
(manuteno inadequada)
Cabeamento em ms condies
Cobertura do edifcio:
Corroso decorrente de vazamento no
sistema de ar-condicionado
Cobertura do edifcio:
Vazamento no sistema de ar-condicionado
Sala de Mquinas do Grande Porte:

Piso elevado de material combustvel
246


Corredor do 1 andar:
Distribuio inadequada de material de
combate a incndio
Corredor do 1 andar:
Obstruo de sada de emergncia

Indcio do uso de cigarro no ambiente do
Data Center
Sala de Mquinas de Grande Porte:

Existncia de detector de incndio no piso
elevado
247
Sala de Testes no Data Center:

M disposio de cabeamento telefnico

Dificuldade de acesso ao extintor
Sala de Banco de Dados:

Sala de Banco de Dados:

M disposio de cabeamento lgico e
eltrico
Sala de equipamentos e infra-estrutura

no 1 andar:
Material combustvel no ambiente do Data
Center
Sala de Suporte no Data Center:

Cabeamento lgico e eltrico misturados
248






249
Sala de Material no 4 andar:

Material combustvel junto aos
equipamentos
Sala de Material no 4 andar:

M disposio de equipamentos

Vista geral do ambiente do Data Center

Evidncia da utilizao de cigarro no
permetro de segurana
ar-condicionado
Sada de emergncia do 3 andar:

Porta de incndio com calo
250

Piso elevado de material combustvel
Sala de Impresso no Data Center:

Descarte inadequado de material
Sala de Impresso no Data Center:

Descarte inadequado de material

Ms condies de conservao do sistema
de ar-condicionado (poeira)

Conseqncia da m condio de
conservao do sistema de ar-condicionado
(poeira)
251
APNDICE C
252
Planilhas de avaliao
Poltica de Segurana
No
Item
Perguntas
Sim
Aderncia
0 1 2
Valores
Peso
3
Referncia
Legenda
Apurados
Aderncia Geral
165
0%
Poltica de Segurana das Informaes
30
0%
Oferecida orientao e suporte

1.1 administrao para a segurana das
informaes?
15
0%
A administrao estabelece uma diretriz

de poltica bem definida e demonstra o
seu apoio e compromisso com a
1.2 segurana das informaes, atravs da
emisso e manuteno de uma poltica
de segurana das informaes em toda a
organizao?
15
0%
0: Ausncia total
1: Presena inexpressiva
2: Presena parcial
3: Presena total
Prover direo uma orientao e

apoio para a segurana da
informao.
253
Documento de Definio da Poltica de Segurana

das Informaes
A poltica aprovada pela administrao,

2.1 publicada e divulgada para todos os
empregados, da maneira apropriada?
Foi firmado compromisso da
administrao que descreve a
2.2 abordagem da organizao quanto ao
gerenciamento da segurana das
informaes?
divulgado aos usurios em toda a
organizao, de uma forma relevante,
2.3
acessvel e compreensvel ao pblicoalvo?
So includas pelo menos orientaes
como definio da segurana das
informaes, seus objetivos globais e
escopo e da importncia da segurana
como um mecanismo capacitador para o
compartilhamento de informaes,
declarao da inteno da
administrao, apoiando as metas e os
princpios da segurana das
informaes, breve explicao das
2.4 polticas de segurana, dos princpios,
normas e requisitos de conformidade que
sejam de especial importncia para a
organizao (cumprimento de exigncias
legais e contratuais, requisitos de
treinamento em segurana, preveno e
deteco de vrus e outros softwares mal
intencionados, gerenciamento da
continuidade dos negcios,
conseqncias de violaes da poltica
de segurana)?
90
0%
15
0%
15
0%
15
0%
15
0%
Convm que um documento da

poltica seja aprovado pela direo,
publicado e comunicado, de forma
adequada, para todos os
funcionrios
254
So definidas responsabilidades gerais e
especficas pelo gerenciamento da
2.5 segurana das informaes, incluindo a
comunicao de incidentes de
segurana?
Existem referncias documentao que
poder apoiar a poltica, como por
exemplo polticas e procedimentos de
2.6 segurana mais detalhados para
determinados sistemas de informaes
ou normas de segurana s quais os
usurios deveriam obedecer?
3
15
0%
15
0%
45
0%
15
0%
Poltica Reviso e Avaliao
A poltica tem um "dono" que

responsvel por sua manuteno e
3.1
reviso de acordo com um processo de
reviso definido?
So asseguradas revises em resposta a

3.2 quaisquer mudanas que afetem as
bases da avaliao original dos riscos?
15
0%
Existem revises peridicas,

programadas, quanto eficcia da
poltica, demonstrada pela natureza e
pelo nmero e impacto dos incidentes de
3.3
segurana registrados, custo dos
controles e seu impacto sobre a
eficincia da empresa e efeitos das
mudanas tecnolgicas?
15
0%
Convm que a poltica tenha um

gestor que seja responsvel por sua
manuteno e anlise crtica, de
acordo com um processo de anlise
crtica definido.
255
Classificao e Controle dos Ativos

No
Item
Perguntas
Sim
Aderncia
0 1 2
1.1
2.1
Referncia
378
183
48%
Responsabilidade sobre os ativos (equipamentos

e Informaes)
42
26
62%
mantida uma proteo apropriada

dos ativos da organizao ?
15
10
67%
15
10
67%
67%
33%
Inventrio dos ativos

feito o inventrio de ativos na
empresa?
Legenda
Apurados
Aderncia Geral
Atualmente, so identificados os
gestores de todos os ativos relevantes
1.2 e atribuda a responsabilidade pela
manuteno de controles apropriados
?
A responsabilidade pela
1.3 implementao dos controles
delegada?
A responsabilidade deve continuar com
1.4 o gestor designado do ativo. feito
assim?
2
Valores
Peso
60
30
50%
15
33%
0: Ausncia total
2: Presena parcial
3: Presena total
Manter a proteo adequada dos ativos

da organizao.
O inventrio dos ativos ajuda a

assegurar que as protees esto sendo
feitas de forma efetiva e tambm pode
ser requerido para outras finalidades de
negcio, como sade e segurana,
seguro ou financeira (gerenciamento
patrimonial).
256
feita uma crtica do inventrio dos
ativos ?
A empresa oferece nveis de proteo
2.4 compatveis com o valor e a
importncia dos ativos?
Cada ativo tem um acordo sobre sua
propriedade e classificao de
segurana e documentado,
2.5 juntamente com sua localizao
corrente? (Muito importante na
recuperao aps qualquer perda ou
danificao)
2.2
15
10
67%
15
10
67%
15
33%
30
20
67%
Classificao e controle de ativos
A organizao capaz de identificar os

3.1 seus ativos e saber o valor relativo e a
importncia dos mesmos?
15
10
67%
elaborado e mantido um inventrio

3.2 dos ativos importantes associados a
cada sistema de informaes?
15
10
67%
45
25
56%
Classificao das informaes
Existe uma classificao das

informaes para assegurar que os
4.1
ativos de informao recebam um nvel
de proteo adequado?
A classificao da informao indica a
4.2 necessidade, as prioridades e o grau
de proteo?
15
10
67%
15
10
67%
Convm que um inventrio dos

principais ativos associados com cada
sistema de informao seja estruturado
e mantido.
Assegurar que os ativos de informao

recebam um nvel adequado de
proteo.
257
Sabendo-se que algumas informaes
so mais sensveis e crticas do que
outras e que alguns itens podem exigir
um nvel adicional de proteo ou
manuseio especial, tem sido utilizado
4.3
um sistema de classificao para
definir um conjunto apropriado de
nveis de proteo e comunicar a
necessidade de medidas especiais de
manuseio?
5
Diretrizes de classificao
15
33%
60
20
33%
15
33%
A classificao e os controles
protetores associados levam em
considerao as necessidades da
empresa de compartilhar ou restringir
5.1 informaes e os impactos
empresariais associados a tais
necessidades, como acesso no
autorizado ou danos integridade das
informaes?
A classificao atribuda constitui um

meio abreviado para determinar como
5.2
esta informao manuseada e
protegida adequadamente?
15
33%
15
33%
15
33%
As informaes e as sadas produzidas

por sistemas que processam dados
5.3 classificados so rotulados quanto ao
seu valor e grau de sensibilidade para
a organizao?
As informaes so rotuladas para
indicar at que ponto so crticas para
5.4
a organizao, quanto sua
integridade e disponibilidade?
Convm que a classificao da

informao e seus respectivos controles
de proteo levem em considerao as
necessidades de negcios para
compartilhamento ou restrio de
informaes e os respectivos impactos
nos negcios como, por exemplo, o
acesso no autorizado ou danos
informao.
258
6.1
6.2
6.3
6.4
Alterao do nvel de Classificao

A informao pode deixar de ser
sensvel ou crtica aps um certo
tempo, por exemplo quando foi
divulgada para o pblico. So levados
em conta esses aspectos, uma vez
que um excesso de sigilo pode causar
custos adicionais desnecessrios
empresa?
As diretrizes de classificao prevem
e levam em conta o fato de que a
classificao de um determinado item
de informao no necessariamente
imutvel no tempo e que pode mudar
de acordo com uma poltica prdeterminada?
O nmero de categorias de
classificao e os benefcios que se
obtm do seu uso so levados em
conta?
Esquemas de classificao complexos
demais podem se tornar incmodos ou
antieconmicos no uso ou ser
impraticveis. So tomados os
cuidados ao interpretar rtulos de
classificao em documentos de outras
organizaes, que podero ter
diferentes significados para rtulos
iguais ou similares?
66
27
41%
15
33%
15
33%
15
33%
15
10
67%
importante que um conjunto

apropriado de procedimentos seja
definido para rotular e tratar a
informao de acordo com o esquema
de classificao adotado pela
organizao.
259
A responsabilidade pela definio da
classificao de uma determinada
informao e pela reviso peridica
6.5
desta classificao delegada da
pessoa que originou a informao ou
do gestor designado da informao?
7.1
7.2
7.3
7.4
7.5
Rotulagem e manuseio de informaes

definido um conjunto apropriado de
procedimentos para a rotulagem e
manuseio das informaes, de acordo
com o esquema de classificao
adotado pela organizao?
So abrangidos os ativos de
informao tanto em formato fsico
quanto em formato eletrnico?
Para cada classificao so definidos
procedimentos de manuseio referentes
a tipos de atividade de processamento
da informao como: cpia;
armazenagem; transmisso pelo
correio, por fax ou por e-mail;
transmisso oral, incluindo telefone
celular, correio de voz, secretrias
eletrnicas; destruio?
Os itens a serem levados em conta
incluem relatrios impressos, displays
na tela, informaes gravadas (fitas,
discos, CD-ROMs, cassetes),
mensagens eletrnicas e
transferncias de arquivo?
Etiquetas fsicas (geralmente o meio
mais apropriado) so utilizados na
rotulagem?
33%
75
35
47%
15
33%
15
33%
15
33%
15
33%
15
15
100%
importante que um conjunto

apropriado de procedimentos seja
definido para rotular e tratar a
informao de acordo com o esquema
de classificao adotado pela
organizao.
260
Segurana Fsica e Ambiente

Item
1.1
1.2
1.3
Perguntas
No
Sim
0 1
Valores
Peso
Aderncia
3
Referncia
Aderncia Geral
120
35
29%
reas Seguras
75
10
13%
As reas crticas ou sensveis da

empresa esto localizadas em reas
seguras?
Esto protegidas por um permetro de
segurana definido, com barreiras de
segurana e controles de entrada
apropriados?
Esto protegidas fisicamente contra
acesso no autorizado, danos e
interferncia?
15
33%
15
33%
15
10
67%
Legenda
Apurados
1.4
O grau de proteo proporcional aos

riscos identificados?
15
33%
1.5
Existe poltica de mesa vazia e tela vazia

para reduzir o risco de acesso no
autorizado ou danos a documentos,
mdia e instalaes de processamento
de informaes?
15
33%
0: Ausncia total
2: Presena parcial
3: Presena total
Prevenir acesso no autorizado, dano e

interferncia s informaes e
instalaes fsicas da organizao.
261
2
Permetro de Segurana
180
80
44%
2.1
Existe proteo fsica com barreiras

fsicas em volta das instalaes da
empresa e dos equipamentos de
processamento de informaes?
15
33%
2.2
As barreiras estabelecem um permetro

de segurana correto para aumentar a
proteo total oferecida?
15
33%
15
33%
15
10
67%
2.3
2.4
2.5
2.6
2.7
2.8
2.9
So utilizados permetros de segurana

para proteger as reas que contm
equipamentos de processamento de
informaes?
Existem barreiras, paredes, portes de
entrada controlados por carto ou uma
mesa com recepcionista, que constituam
um permetro de segurana?
O permetro do edifcio ou site que
contm reas crticas fisicamente
slido?
Existem brechas no permetro ou reas
que permitam uma penetrao fcil?
As paredes externas so de construo
slida?
As portas externas so devidamente
protegidas contra o acesso no
autorizado, com mecanismos de
controle, barras, alarmes, fechaduras e
etc?
Existe rea de recepo com pessoal ou
outro meio de controle do acesso fsico
ao site ou ao edifcio?
15
33%
15
33%
15
33%
15
10
67%
15
10
67%
A proteo fsica pode ser alcanada

atravs da criao de diversas barreiras
fsicas em torno da propriedade fsica do
negcio e de suas instalaes de
processamento da informao
262
Somente pessoal autorizado tem acesso
aos sites e edifcios?
As barreiras fsicas so estendidas, se
necessrio, do piso bruto ao teto bruto,
para impedir o acesso no autorizado e
contaminao ambiental, que pode ser
2.11
causada no Data Center, central de
telefonia, unidade certificadora, arquivos
de documentos sensveis e
estratgicos?
Existem portas corta-fogo no permetro
2.12 de segurana? Elas so equipadas com
alarme e fecham automaticamente?
2.10
3
3.1
3.2
3.3
3.4
3.5
15
10
67%
15
10
67%
15
0%
Controles fsicos de entrada

As reas seguras so protegidas por
controles de entrada apropriados?
O acesso a informaes e equipamentos
sensveis controlado e restrito ao
pessoal autorizado?
Existem controles de autenticao, como
cartes magnticos com nmero de
identificao pessoal (PIN) e/ou
biometria para autorizar e validar todos
os acessos?
As trilhas de auditoria de todos os
acessos so guardadas local seguro?
exigido que o pessoal utilize alguma
forma de identificao visvel e que
interpele pessoas estranhas no
acompanhadas e qualquer pessoa que
no esteja usando uma identificao
visvel?
90
70
78%
15
10
67%
15
15
100%
15
15
100%
15
33%
15
15
100%
Convm que as reas de segurana

sejam protegidas por controles de
entrada apropriados para assegurar que
apenas pessoas autorizadas tenham
acesso liberado.
263
3.6
4.1
4.2
4.3
4.4
5
5.1
Os direitos de acesso a reas seguras

so revistos e atualizados regularmente?
Proteo das instalaes

Para a proteo das instalaes, existe a
preocupao de rea segura como salas
trancadas ou vrias salas dentro de um
permetro fsico de segurana, que
podem ser trancadas e que disponham
de arquivos de ao trancveis ou cofres?
A escolha e o projeto de uma rea
segura deve levar em conta a
possibilidade de danos causados pelos
riscos ou vulnerabilidades. Isso
observado?
So levados em conta os regulamentos
e normas relevantes de sade e
segurana?
So levadas em considerao eventuais
ameaas segurana causadas por
instalaes vizinhas, como infiltraes,
vazamento de gua proveniente de outra
rea e etc?
10
67%
51
34
67%
15
10
67%
15
10
67%
67%
15
10
67%
141
94
67%
15
10
67%
Controle
Os equipamentos crticos esto em local
no acessvel ao pblico?
15
Convm que a seleo e o projeto de

uma rea de segurana levem em
considerao as possibilidades de dano
causado por fogo, inundaes,
exploses, manifestaes civis e outras
formas de desastres naturais ou
causados pelo homem.
Evitar exposio ou roubo de informao

e de recursos de processamento da
informao
264
5.2
Os prdios so discretos e indicam o

mnimo possvel a sua finalidade, sem
sinais visveis, dentro ou fora do edifcio,
que identifiquem a presena de
atividades de processamento de
informaes?
15
10
67%
5.3
Funes e equipamentos de suporte,

(fotocopiadoras e fax), ficam num local
apropriado dentro da rea segura, para
evitar pedidos de acesso que poderiam
comprometer as informaes?
15
10
67%
5.4
5.5
5.6
5.7
5.8
5.9
So implementados sistemas
apropriados de deteco de intrusos,
instalados segundo padres
profissionais e testados regularmente,
para cobrir todas as portas externas e as
janelas acessveis?
As reas no ocupadas dispem de
alarme armado permanentemente?
Equipamentos administrados pela
organizao ficam fisicamente
separados dos equipamentos
administrados por terceiros?
As listas de pessoal e listas telefnicas
internas que identificam a localizao
dos equipamentos de processamento de
informaes sensveis ficam em local
no acessvel ao pblico?
Materiais perigosos ou combustveis so
armazenados de modo seguro e a uma
distncia adequada de uma rea
segura?
Os suprimentos em grande volume so
armazenados dentro de uma rea
segura, somente sendo requisitados
medida que forem sendo utilizados?
15
33%
15
33%
15
33%
67%
15
15
100%
15
15
100%
265
Os equipamentos e mdia de backup so
localizados a uma distncia segura, para
5.10
que no sejam danificados em caso de
um acidente no site principal?
6.1
6.2
6.3
6.4
6.5
6.6
6.7
6.8
O trabalho em reas seguras

Existem controles e diretrizes adicionais
para aumentar a segurana de uma rea
sensvel?
Existem controles para o pessoal e/ou
para terceiros que trabalham dentro da
rea segura?
Atividades de terceiros no devem ser
executadas nesta rea. Isso
observado?
O pessoal s sabe da existncia de uma
rea segura e das atividades nela
executadas numa base de necessidade
de saber?
evitado o trabalho no supervisionado
em reas seguras, tanto por motivos de
segurana como para no dar
oportunidade a atividades malintencionadas?
As reas seguras desocupadas so
trancadas fisicamente e inspecionadas
periodicamente?
O acesso ao suporte de terceiros
restrito s reas seguras ou aos
informaes sensveis e somente
quando necessrio?
O acesso autorizado e monitorado?
15
15
100%
87
64
74%
15
10
67%
15
10
67%
33%
33%
15
10
67%
15
15
100%
15
15
100%
15
15
100%
Manuais e controles adicionais podem

ser necessrios para melhorar as
condies de uma rea de segurana.
266
Existem barreiras e permetros
adicionais de controle de acesso fsico
6.9 entre reas com diferentes requisitos de
segurana dentro do permetro de
segurana?
proibida a presena de equipamento
6.10 fotogrfico, de vdeo, udio ou gravao,
a no ser com autorizao?
7.1
7.2
7.3
7.4
7.5
7.6
15
15
100%
15
15
100%
Isolamento das reas de entregas e de

carregamento
As reas de entregas e de carregamento
so controladas e isoladas dos
informaes, a fim de evitar o acesso
no autorizado?
Os requisitos de segurana para tais
reas so determinados por uma
avaliao dos riscos?
O acesso a uma rea de armazenagem
provisria, a partir do exterior de um
edifcio, restrito ao pessoal identificado
e autorizado?
A rea de armazenagem provisria
projetada de tal maneira que os
suprimentos possam ser descarregados
sem que o pessoal de entrega tenha
acesso a outras partes do edifcio?
As portas externas de uma rea de
armazenagem provisria permanecem
trancadas enquanto a porta interna
estiver aberta?
O material recebido inspecionado para
detectar eventuais perigos antes de ser
transportado da rea de armazenagem
provisria para o local de utilizao?
105
70
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
Convm que as reas de expedio e de

carregamento sejam controladas e, se
possvel, isoladas das instalaes de
processamento da informao, com o
objetivo de evitar acessos no
autorizados. Convm que os requisitos
de segurana sejam determinados a
partir de uma avaliao de risco.
267
7.7
8.1
8.2
8.3
9.1
9.2
9.3
O material recebido registrado ao

entrar no site?
Segurana do Equipamento
Os equipamentos so protegidos
fisicamente contra as ameaas sua
segurana e os perigos ambientais?
So levados em conta localizao e
disposio dos equipamentos?
Existem controles especiais para
proteo contra perigos ou acesso no
autorizado e para preservar os
equipamentos de apoio, como o
suprimento de corrente e a infraestrutura de cabeamento?
10
67%
45
30
67%
15
10
67%
15
10
67%
15
10
67%

Os equipamentos so localizados ou
protegidos de modo a reduzir o risco das
ameaas e perigos do meio-ambiente e
as oportunidades de acesso no
autorizado?
Os equipamentos so localizados de
modo a minimizar o acesso
desnecessrio s reas de trabalho?
Os equipamentos de processamento e
armazenagem de informaes que
manuseiam dados sensveis so
posicionados de modo a minimizar o
risco de olhares indiscretos durante o
uso?
15
120
70
58%
15
33%
15
33%
15
33%
Prevenir perda, dano ou

comprometimento dos ativos, e a
interrupo das atividades do negcio.
Convm que os equipamentos sejam

instalados ou protegidos para reduzir o
risco de ameaas ambientais, perigos e
oportunidades de acesso no autorizado.
268
9.4
9.5
Os itens que requerem proteo especial

so isolados a fim de reduzir o nvel
geral de proteo necessrio?
So adotados controles para minimizar o
risco de ameaas potenciais, incluindo
furto; incndio; explosivos; fumaa; gua
(ou falha no abastecimento); poeira;
vibrao; efeitos qumicos; interferncia
no suprimento de fora; radiao eletromagntica?
15
33%
15
10
67%
9.6
A organizao estabelece uma poltica

referente aos atos de comer, beber e
fumar nas instalaes de processamento
de informaes ou em sua proximidade?
15
15
100%
9.7
So monitoradas as condies
ambientais quanto a fatores que
poderiam afetar negativamente a
operao dos equipamentos de
15
15
100%
9.8
So levados em conta o impacto de um

acidente em instalaes prximas, como
por exemplo um incndio no prdio
vizinho, vazamento de gua do telhado
ou em pavimentos do subsolo, ou uma
exploso na rua?
15
10
67%
10
Suprimento de energia eltrica
Existe suprimento adequado de

eletricidade que atenda s
10.1
especificaes do fabricante dos
equipamentos?
Existem fontes alternativas de gerao
10.2
de energia?
135
85
63%
15
10
67%
15
10
67%
Convm que os equipamentos sejam

protegidos contra falhas de energia e
outras anomalias na alimentao eltrica,
e que um fornecimento de energia
apropriado ocorra em conformidade com
as especificaes do fabricante do
equipamento.
269
Existem mltiplas fontes de alimentao
10.3 para evitar que o suprimento dependa
de uma nica fonte?
15
10
67%
Existe suprimento de energia prova de

interrupes (UPS = sistema no-break)?
15
10
67%
15
33%
10.4
10.5 Existe gerador de backup?

Existe um suprimento prova de
interrupes (UPS/no-break) para
suportar a parada ordenada ou a
10.6
continuao da operao, no caso de
equipamentos que suportam operaes
crticas para a empresa?
Existe planejamento de contingncia
10.7 indicando as providncias a tomar em
caso de falha do UPS?
So realizados testes regulares dos
10.8 equipamentos para assegurar que ele
tenha a capacidade adequada?
Os equipamentos so testados de
10.9 acordo com as recomendaes do
fabricante?
11
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
105
70
67%
15
10
67%
Bancada de baterias, risco de exploso e falha do

equipamento
providenciado um gerador de backup

11.1 para que o processamento continue em
caso de uma falta de fora prolongada?
12
Estocagem do leo diesel e manuteno da sua

qualidade, muretas de conteno
Os geradores so testados regularmente

12.1 de acordo com as instrues do
fabricante?
270
Existe suprimento adequado de
combustvel para assegurar que o
12.2
gerador possa operar durante um
perodo prolongado?
As chaves de fora de emergncia esto
12.3 localizadas perto das sadas de
emergncia das salas de equipamentos?
Existe iluminao de emergncia para o
caso de falta de fora?
Os prdios so equipados com pra12.5
raios?
Existem filtros de proteo contra raios
12.6 em todas as linhas externas de
comunicaes?
Existe Gaiola de Faraday e para-raio
12.7
Franklin?
12.4
13
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
As linhas de fora e as linhas de

telecomunicaes que entram nos
13.1
informaes so subterrneas sempre
que possvel ou tm proteo alternativa
adequada?
O cabeamento das redes protegido
contra interceptao no autorizada ou
13.2 danos (pelo uso de condutes ou
evitando trajetos que passem por reas
pblicas)?
Os cabos de fora ficam separados dos
13.3 cabos de comunicaes para evitar
interferncias?
96
37
39%
15
10
67%
15
33%
15
33%
Convm que o cabeamento eltrico e de

telecomunicao que transmite dados ou
suporta os servios de informao seja
protegido contra interceptao ou dano.
271
Existem condutes blindados e salas ou
13.4 caixas trancadas em pontos de inspeo
e pontos terminais?
feito o uso de rotas ou meios de
transmisso alternativos?
feito o uso de cabeamento de fibras
13.6
pticas?
Existem cabos com sistemas de
13.7 varredura para detectar a presena de
dispositivos no autorizados?
13.5
14
14.1
14.2
14.3
14.4
14.5
14.6
15
33%
15
33%
33%
15
33%
90
60
67%
Manuteno dos equipamentos

Os equipamentos recebem manuteno
correta para assegurar sua
disponibilidade e integridade
permanente?
Os equipamentos recebem manuteno
com a periodicidade e de acordo com as
especificaes recomendadas pelo
fabricante?
A manuteno e os reparos do
equipamento somente so executados
por pessoal de manuteno autorizado?
mantido um registro de todos os
defeitos suspeitos ou reais e de toda a
manuteno preventiva e corretiva
executada?
So adotados controles apropriados
quando equipamentos saem do site para
fins de manuteno?
So cumpridas todas as exigncias
estipuladas nas aplices de seguros?
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
Convm que a manuteno correta dos

equipamentos garanta a continuidade da
disponibilidade e integridade dos
mesmos.
272
15
Segurana dos equipamentos fora das instalaes
120
60
50%
15
33%
O uso de qualquer equipamento fora das

instalaes da organizao, para fins de
15.1 processamento de informaes, feito
somente quando autorizado pela
gerncia?
O grau de segurana proporcionado

equivalente ao do equipamento utilizado
15.2 no site para os mesmos fins, levando em
conta os riscos do trabalho fora das
instalaes da organizao?
15
10
67%
15
10
67%
15
10
67%
15.3
15.4
15.5
15.6
O equipamento de processamento de
informaes (todas as formas de
computadores pessoais, agendas
eletrnicas, telefones celulares, papel ou
outros meios) que ficam na posse da
pessoa para trabalho a domiclio ou que
so transportados para fora do local
normal de trabalho tem procedimento de
segurana?
Os equipamentos e as mdias retiradas
das instalaes da organizao tem
superviso em lugares pblicos?
Os computadores portteis so
transportados como bagagem de mo e
disfarados sempre que possvel,
quando se viaja?
So observadas a qualquer tempo as
instrues do fabricante para a proteo
dos equipamentos (ex.: proteo contra
a exposio a campos eletromagnticos
intensos)?
15
33%
15
33%
Independentemente de quem seja o

proprietrio, convm que o uso de
qualquer equipamento para o
processamento da informao fora das
instalaes da organizao seja
autorizado pela direo. Convm que a
segurana fornecida seja equivalente
quela oferecida aos equipamentos
utilizados dentro da organizao para o
mesmo propsito, levando-se em conta
os riscos de se trabalhar fora das
instalaes da organizao.
273
Os controles para o trabalho a domiclio
so determinados por uma avaliao dos
riscos, e so adotados controles
15.7 adequados conforme necessrio (ex.:
arquivos de ao trancados, poltica de
mesa vazia e controles de acesso a
computadores)?
Existe uma cobertura de seguros
15.8 adequada para proteger o equipamento
quando fora do site?
16
16.1
Segurana no descarte ou na reutilizao de

equipamentos
Existem cuidados no descarte ou na
reutilizao de equipamentos?
Sistemas de armazenagem que

contenham informaes sensveis so
16.2 destrudos fisicamente ou sobregravados
de maneira segura em vez de se usar a
funo normal delete?
Todos os itens de equipamento que
contenham mdia de armazenagem,
como por exemplo discos rgidos, so
16.3 verificados para garantir que todos
dados sensveis e softwares licenciados
tenham sido retirados ou sobregravados
antes do descarte?
No caso de dispositivos de
armazenagem danificados que
contenham dados sensveis, existe uma
16.4
avaliao dos riscos para determinar se
o item deve ser destrudo, consertado ou
descartado?
15
10
67%
15
33%
60
40
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
A informao pode ser exposta pelo

descuido na alienao ou reutilizao de
equipamentos . Convm que dispositivos
de armazenamento que contenham
informao sensvel sejam destrudos
fisicamente ou sobrescritos de forma
segura ao invs da utilizao de funespadro para a excluso.
274
17
Controles gerais
45
30
67%
Existem medidas para impedir o

comprometimento ou furto de
17.1
informaes e de equipamentos de
15
10
67%
As informaes e os equipamentos
crticos so protegidos contra revelao
17.2
a pessoas no autorizadas ou
modificao ou furto por tais pessoas?
15
10
67%
So implementados controles para

17.3 minimizar a perda ou o dano a
informaes?
15
10
67%
18
Poltica de mesa vazia e tela vazia
A organizao adota poltica de mesa

18.1 vazia para documentos e mdia de
armazenagem removveis?
adotada poltica de tela vazia para os
informaes, a fim de reduzir os riscos
18.2 de acesso no autorizado a informaes
e de perda ou dano s informaes
durante o horrio normal de trabalho e
fora dele?
So levadas em considerao as
classificaes de segurana das
18.3
informaes, os riscos correspondentes
e os aspectos culturais da organizao?
60
25
42%
15
33%
15
33%
15
10
67%
Evitar exposio ou roubo de informao

e de recursos de processamento da
informao.
A organizao deve considerar a adoo

de uma poltica de mesa limpa para
papis e mdias removveis e uma poltica
de tela limpa para os recursos de
processamento da informao, de forma
a reduzir riscos de acesso no
autorizado, perda e danos informao
durante e fora do horrio normal de
trabalho.
275
tomado cuidado para que informaes
no sejam deixadas em cima de mesas,
18.4 podendo ser danificadas ou destrudas
em caso de catstrofes, como incndios,
inundaes ou exploses?
19
19.1
19.2
19.3
19.4
19.5
Diretrizes de proteo
Os documentos e mdia de computador
so armazenados em estantes
apropriadas e trancadas em outras
formas de moblia de segurana, quando
no estiverem em uso, principalmente
fora do horrio de expediente?
Informaes empresariais sensveis ou
crticas ficam trancadas (preferivelmente
em um cofre ou arquivo prova de fogo)
quando no em uso, principalmente
quando no houver ningum no
escritrio?
Os computadores pessoais e terminais
de computador, bem como as
impressoras, ficam logged-on na
ausncia do operador e protegidos por
bloqueios de teclas, senhas ou outros
controles quando no estiverem em
uso?
Os postos de correspondncia recebida
e enviada e as mquinas de fax e telex
sem a presena do operador so
protegidos?
As copiadoras so trancadas (ou
protegidas de algum outro modo contra o
uso no autorizado) fora do horrio
normal de expediente?
15
33%
72
44
61%
15
10
67%
15
10
67%
15
15
100%
33%
33%
276
Informaes sensveis ou confidenciais,
19.6 quando impressas, so retiradas das
impressoras imediatamente?
20
Retirada de bens
Os equipamentos, as informaes ou o
20.1 software no podem sair do site sem
autorizao. Isso verificado?
Quando necessrio e apropriado, a
20.2 sada e a devoluo dos equipamentos
registrada?
So feitas inspees por amostragem
20.3 para detectar a retirada no autorizada
de bens?
As pessoas so informadas da
20.4
existncia de tais inspees?
15
33%
60
60
100%
15
15
100%
15
15
100%
15
15
100%
15
15
100%
45
30
67%
15
33%
15
15
100%
15
10
67%
60
30
50%
15
10
67%
EDIFICAES
21
Equipamentos de preveno e combate a

incndios
Os equipamentos e os materiais de
21.1 combate so compatveis com o
ambiente?
21.2 A quantidade existente suficiente?
21.3 Existe contingncia ?
22
22.1
5
5
5
x
x
x
Localizao dos equipamentos de combate a

incndios
A localizao adequada e o acesso
livre?
Equipamentos, informaes ou software

no devem ser retirados da organizao
sem autorizao.
277
22.2 conferida a validade das cargas?
As portas de incndio possuem sensores
22.3 e alarmes e mola para fechamento
automtico?
Existem detectores de fumaa sob o piso
22.4
falso e no teto?
23
x
x
Distncia de equipamentos, produtos ou locais

crticos
Os equipamentos esto distantes das

linhas de transmisso de alta voltagem?
A regio segura (no sujeita a
23.2 assaltos, distrbios a outros tipos de
violncia)?
23.3 A remoo de lixo diria?
23.1
Existem procedimentos relacionados

23.4 com papis (isolamento, controle de
acesso, proibio de fumar, etc.)?
Periodicamente verificada a
23.5 necessidade de efetuar dedetizao e
desratizao?
As cestas de lixo so de metal com
23.6 tampa com objetivo de abafar princpios
de incndio?
proibida a execuo de trabalho que
23.7 gerem poeira na rea dos
equipamentos?
Os quadros de conexes telefnicas so
23.8 trancados para haja o acesso somente
permitido ao pessoal autorizado?
24
15
10
67%
15
0%
15
10
67%
120
80
67%
15
15
100%
15
15
100%
15
10
67%
15
10
67%
15
10
67%
15
0%
15
15
100%
15
33%
285
125
44%
Condies gerais de segurana da edificao
278
24.1
As paredes internas so de alvenaria at

o teto?
15
33%
24.2
Existe vedao de passagens com

portas corta-fogo?
15
33%
15
33%
15
33%
15
33%
15
33%
15
33%
15
33%
15
10
67%
15
15
100%
15
33%
15
0%
As paredes externas impedem a

propagao de incndios?
Existe vedao de passagens para
outros recintos ou andares (dutos de ar24.4
condicionado, cabos, monta-carga,
etc.)?
O edifcio que abriga o Data Center foi
24.5 construdo com material retardante e
resistente ao fogo?
24.3
24.6
Os detectores de fumaa so mantidos e

testados de forma programada?
Existe sensor de temperatura e umidade

do ar?
Existem quadros de controle pare
24.8 detectar rapidamente e localizar fogo e
fumaa?
As placas do piso falso so facilmente
24.9 removveis para permitir verificao de
fogo e fumaa?
24.7
24.10
Existem marcaes no piso para facilitar

a localizao dos detectores?
Os extintores esto distribudos

24.11 estrategicamente em locais visveis e
destacados?
24.12 O alarme de incndio toca na vigilncia?
Existem hidrantes instalados em locais

24.13
estratgicos nos andares dos prdios?
15
10
67%
15
10
67%
24.14
Esses hidrantes e seus equipamentos

auxiliares so testados regularmente?
x
x
279
Havendo necessidade, os carros do
24.15 Corpo de Bombeiros podem ter acesso
fcil a qualquer lado do prdio?
As placas do piso falso so de material
retardante?
Existe reserva tcnica de gua para
24.17
hidrantes?
Existem plantas de localizao dos
24.18
extintores e detectores?
24.16
Os alarmes de incndio podem ser

24.19 alimentados por baterias, no caso de
falha no fornecimento de energia?
25
Existe sensoriamento de portas, janelas,

dutos e superviso predial?
Existe sala central de controle de
25.2 segurana bem localizada e com
qualificao pessoal ?
O monitoramento do permetro e reas
25.3
externas ao prdio feito via CFTV?
A rea do Data Center fica em local no
visvel da rua?
Existe um servio de vigilncia de 24
25.5 horas, inclusive nos fins de semana e
feriados?
As sadas de emergncia so verificadas
25.6 em relao usabilidade
periodicamente?
As portas para a rea do Data Center
25.7
so mantidas fechadas?
15
33%
15
10
67%
15
10
67%
15
10
67%
15
0%
186
121
65%
Condies de gerais de segurana relacionados

com a edificao
25.1
25.4
15
33%
15
33%
15
0%
100%
15
10
67%
15
10
67%
15
10
67%
280
Existem alarmes para informar a
25.8 vigilncia a violao de portas e acessos
a reas do Data Center?
15
33%
15
10
67%
25.9
feito um rodzio peridico entre os

recepcionistas?
25.10
A rede de iluminao est bem

distribuda e de boa qualidade?
15
15
100%
25.11
O corpo de vigilantes possui um manual

com procedimentos de emergncia?
15
15
100%
25.12
Existe um sistema de claviculrio no

corpo de vigilantes?
15
15
100%
25.13
H um controle rigoroso das chaves das

portas?
15
15
100%
Condies gerais de segurana relacionados com

evacuaes
90
35
39%
15
10
67%
26
26.1 Existe procedimento de evacuao?

26.2
As sadas de emergncia esto livres e

desimpedidas e em boas condies?
Existe iluminao de emergncia e

sinalizao adequada ( feito teste)?
Existem telefones internos de
26.4 emergncia para comunicao de
sinistros?
Existe um sistema de alarme para fazer
26.5
a evacuao dos prdios?
Existe um sistema de udio para auxiliar
26.6 nos momentos de evacuao de
pessoal?
26.3
27
15
33%
15
33%
15
10
67%
15
33%
15
0%
57
26
46%
5
5
x
x
Disposio e infra-estrutura das edificaes

destinadas funo.
281
27.1
Quadros de luz e iluminao esto

localizados em local adequado?
27.2
Existe controle de rudos nas imediaes

do permetro?
2
5
Existe controle de temperatura nas

imediaes do permetro?
As condies de conservao e limpeza
27.4 do piso elevado e do forro so
adequadas?
Os incidentes de segurana so
27.5 investigados para apurao da causa e
tomada de ao corretiva?
27.3
28
33%
67%
15
10
67%
15
33%
15
33%
120
70
58%
Suprimento de energia
28.1
Quedas de tenso freqentes,

oscilaes e sobrecargas so evitadas?
15
10
67%
28.2
Existe estabilizador/no-break/gerador
com autonomia satisfatria?
15
10
67%
15
10
67%
15
33%
15
10
67%
15
33%
15
10
67%
As instalaes eltricas do prdio e as

instalaes destinadas aos
28.3
equipamentos de energia esto em boas
condies e no oferecem perigo?
28.4
Existe exclusividade das instalaes

eltricas no Data Center?
O sistema de gerao prpria de energia

testado periodicamente?
O quadro de fora protegido e de fcil
28.6 acesso para as situaes de
emergncia?
Existe um controle das perdas de horas
28.7 de mquina devido a problemas de
eletricidade?
28.5
5
5
x
x
282
28.8
29
Existe um plano de manuteno para a

rede eltrica?
Ar-condicionado
A qualidade das instalaes e

29.1 manuteno dos equipamentos e nvel
de rudo satisfatria?
No deve haver possibilidade de entrada
de gases atravs dos dutos de ar29.2
condicionado. Essa possibilidade
eliminada?
As chaves de emergncia desligam o
29.3
sistema de ar-condicionado?
15
10
67%
225
75
33%
15
33%
15
33%
15
10
67%
29.4 O sistema de climatizao exclusivo?
15
33%
29.5
compartilhado com rea e/ou tipo de

equipamentos inadequados?
15
33%
29.6
O dimensionamento do equipamento de
ar-condicionado adequado?
15
10
67%
29.7
29.8
29.9
29.10
29.11
29.12
H redundncias (e reservas) e
simulaes peridicas?
As aberturas externas (troca de ar)
proporcionam uma adequada
renovao?
Existem dampers corta-fogo e gases no
interior dos dutos?
Os equipamentos de ar-condicionado
esto instalados em compartimentos
fechados (com acesso somente ao
pessoal autorizado)?
As tomadas de ar so protegidas contra
contaminao?
Existem alarmes nos sistemas de arcondicionado?
15
33%
15
33%
15
0%
15
10
67%
15
33%
15
0%
5
5
x
x
283
29.13
Os dutos do ar condicionado so de
material retardante?
Os instrumentos de comando do sistema

29.14 de ar-condicionado esto protegidos
evitando manuteno no-autorizada?
29.15
30
30.1
Existem plantas com especificaes de

toda a rede de ar-condicionado?
15
0%
15
0%
15
10
67%
225
95
42%
Condies gerais de segurana relacionados com

suprimento de gua
O prdio est em boas condies em
relao a goteiras?
O prdio est em boas condies em

30.2 relao umidade, infiltraes e
vazamentos de canalizaes?
garantida a continuidade do
30.3 suprimento (existncia a capacidade do
reservatrio)?
garantida a qualidade das instalaes
30.4
hidrulicas (vazamentos, infiltraes)?
Existem plantas atualizadas da rede
30.5
hidrulica?
A localizao das tubulaes e as
30.6 condies dos materiais utilizados so
satisfatrias?
Os telhados e a laje esto em boas
30.7
condies ?
O subsolo no deve sofrer nenhum tipo
30.8
de interferncia. Isso ocorre?
Quanto a drenagens sob o piso elevado,
30.9 a proteo em relao ao piso superior
esta em boas condies?
15
33%
15
33%
15
33%
15
33%
15
10
67%
15
33%
15
33%
15
33%
15
33%
284
Os encanamentos, exceto os
30.10 necessrios, foram retirados do piso
falso em reas sob o computador?
15
10
67%
30.11 Os condutes so a prova d'gua?
15
10
67%
15
0%
15
33%
15
15
100%
15
33%
Existe vedao adequada contra

infiltrao de gua nas portas externas?
Existe escoamento de gua e drenagem

30.13 adequada para impedir inundao na
sala do computador?
As torres de resfriamento de gua esto

30.14 construdas em local fora do prdio que
abriga o computador?
A sala do computador possui

30.15 impermeabilizao adequada do teto,
impedindo infiltrao de gua?
30.12
x
x
285
Segurana em Pessoas
Item
Perguntas
Valores
Aderncia
Referncia
140
72%
Segurana na definio de funes e no

recrutamento de pessoal
60
50
83%
15
10
67%
1.2
As responsabilidades so atendidas desde

a fase de recrutamento?
1.3
Estas responsabilidades so includas nos

contratos, e monitoradas enquanto durar o
vnculo empregatcio?
1.4
exigido do empregado o acordo de no

divulgao?
x
x
15
10
67%
15
15
100%
15
15
100%
Como incluir a segurana nas responsabilidades da

funo
As responsabilidades de segurana so
documentadas sempre que isso for
apropriado?
Legenda
Apurados
195
So tomadas medidas para reduzir os

riscos de falha humana, furto, fraude ou
uso indevido das instalaes?
2.1
Sim
Aderncia Geral
1.1
No
Peso
45
25
56%
15
10
67%
0: Ausncia total
2: Presena parcial
3: Presena total
Reduzir os riscos de erro humano, roubo,

fraude ou uso indevido das instalaes.
Convm que regras e responsabilidades

de segurana sejam documentadas onde
for apropriado, de acordo com a poltica
de segurana da informao da
organizao
286
2.2
So definidas responsabilidades gerais

pela implementao e manuteno da
poltica de segurana?
2.3
So definidas responsabilidades
especficas pela proteo de determinados
ativos ou responsabilidades pela execuo
de determinados procedimentos ou
atividades de segurana?
3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
Triagem de pessoal e poltica

So verificados os antecedentes do
pessoal permanente, por ocasio do
pedido de emprego?
So solicitadas referncias satisfatrias,
como por exemplo uma profissional e uma
pessoal?
verificado se o currculo apresentado
pelo candidato completo e correto?
So verificadas as qualificaes
acadmicas e profissionais apresentadas
pelo candidato?
verificada a identidade do candidato?
Quando um cargo proporcionar acesso a
informaes sensveis (informaes
financeiras ou informaes altamente
confidenciais) verificada a situao de
crdito do empregado?
Para o pessoal em funes com grande
autoridade, a verificao repetida
periodicamente?
realizado processo de triagem similar
para subcontratados e pessoal temporrio?
15
10
67%
15
33%
195
110
56%
15
33%
15
33%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
33%
15
33%
Convm que verificaes de controle

sobre a equipe permanente sejam
conduzidas no momento da seleo de
candidatos.
287
3.9
Nos casos em que terceiros so

"fornecidos" por uma agncia, o contrato
com a agncia especifica claramente suas
responsabilidades especficas?
3.10
verificado se na triagem e nos

procedimentos de notificao que ela
adota se o processo foi completado ou se
os seus resultados do margem a dvidas
ou a preocupao?
3.11
O trabalho de todo o pessoal sujeito a

exames peridicos e a procedimentos de
aprovao por um membro mais graduado
do quadro?
3.12
Os gerentes levam em conta o fato de que

circunstncias pessoais dos seus
subordinados podem afetar o trabalho dos
mesmos, como problemas pessoais e
financeiros, mudanas de comportamento
ou de estilo de vida, faltas constantes e
sinais de estresse ou depresso, que
podem levar a fraude, furto, erros ou outras
implicaes de segurana?
3.13
As informaes so tratadas de acordo

com a legislao apropriada, vigente na
jurisdio em questo?
4.1
15
15
100%
15
10
67%
15
15
100%
15
33%
15
33%
75
60
80%
15
15
100%
Compromissos de confidencialidade
Usam-se compromissos de
confidencialidade ou no-revelao para
indicar que determinadas informaes so
confidenciais ou secretas?
Acordos de confidencialidade ou de no
divulgao so usados para alertar que a
informao confidencial ou secreta.
288
4.2
4.3
4.4
4.5
5.1
5.2
5.3
Os empregados assinam um compromisso

de confidencialidade como parte do seu
contrato de trabalho inicial?
O pessoal temporrio e os usurios
externos assinam compromisso de
confidencialidade antes de terem acesso a
instalaes de processamento de
informaes?
Os compromissos de confidencialidade so
revistos quando h mudanas nas
condies de emprego ou no contrato?
Os compromissos de confidencialidade so
revistos quando os empregados esto para
sair da organizao ou quando os
contratos esto para terminar?
So levadas em conta as providncias a

tomar se o empregado deixar de atender
s exigncias contratuais?
15
100%
15
10
67%
15
10
67%
15
10
67%
Termos e condies de emprego

Os termos e condies de emprego
estipulam a responsabilidade do
empregado pela segurana das
informaes?
Essas responsabilidades continuam em
vigor durante um determinado perodo
aps o trmino da relao de emprego?
15
60
20
33%
15
33%
15
33%
15
33%
Convm que os termos e condies de

trabalho determinem as
responsabilidades dos funcionrios pela
segurana da informao.
289
5.4
So includas nos contratos as

responsabilidades e direitos legais do
empregado, com relao s leis de
copyright ou legislao de proteo dos
dados, a classificao e pelo tratamento
dos dados sobre o empregado, as
responsabilidades que se aplicam fora das
instalaes da organizao e fora do
horrio normal de trabalho, e fora do local
de trabalho (ex.: uso de notebook)?
6.1
assegurado que os empregados estejam

em condies de apoiar a poltica de
segurana da organizao no decorrer do
seu trabalho normal?
6.2
Os usurios recebem treinamento sobre

procedimentos de segurana e sobre o uso
correto das instalaes de processamento
de informaes, a fim de minimizar os
possveis riscos de segurana?
7.1
Educao e treinamento em segurana das

informaes
Todos os empregados da organizao e os
usurios externos recebem treinamento
adequado e atualizaes regulares sobre
as polticas e os procedimentos da
organizao, antes de terem acesso s
informaes ou aos servios?
15
33%
30
17%
15
33%
15
0%
30
10
33%
15
33%
Assegurar que os usurios esto cientes

das ameaas e das preocupaes de
segurana da informao e esto
equipados para apoiar a poltica de
segurana da organizao durante a
execuo normal do seu trabalho.
Convm que todos os funcionrios da

organizao e, onde for relevante,
prestadores de servios recebam
treinamento apropriado e atualizaes
regulares sobre as polticas e
procedimentos organizacionais.
290
7.2
8.1
8.2
8.3
So includos requisitos de segurana,

responsabilidades legais e controles
empresariais e treinamento sobre o uso
correto dos equipamentos de
Reao a incidentes de segurana e falhas

So tomadas medidas visando minimizar
os prejuzos causados por incidentes de
segurana e falhas e monitorados tais
incidentes?
Os incidentes que afetarem a segurana
so comunicados o quanto antes, atravs
dos canais administrativos apropriados?
Empregados e subcontratados so
informados sobre os procedimentos de
comunicao dos diversos tipos de
incidentes, como violao de segurana,
ameaas, pontos fracos ou falhas de
funcionamento que podem ter impacto
sobre a segurana dos ativos da
organizao?
15
33%
90
75
83%
15
10
67%
15
10
67%
15
15
100%
8.4
exigido que se comunique quaisquer

incidentes observados ou suspeitos, com a
mxima rapidez, ao ponto de contato
designado?
15
15
100%
8.5
estabelecido processo disciplinar formal

para lidar com empregados que cometem
violaes de segurana?
15
15
100%
8.6
So recolhidas provas o quanto antes,

aps a ocorrncia de um incidente?
15
10
67%
Minimizar danos originados pelos

incidentes de segurana e mau
funcionamento, e monitorar e aprender
com tais incidentes.
291
9
9.1
9.2
10
10.1
10.2
Comunicao de incidentes de segurana

So implementados procedimentos
adequados de feedback, para assegurar
que as pessoas que comunicaram
incidentes sejam informadas dos
resultados, depois que o incidente foi
atendido e encerrado?
Os incidentes so utilizados no
treinamento de conscientizao dos
usurios, sobre o que poderia acontecer,
como reagir a tais incidentes e como evitlos no futuro?
Comunicao de pontos fracos de segurana

Os usurios de servios de informaes
anotam e comunicam pontos fracos de
segurana observados ou suspeitos, e
quaisquer ameaas a sistemas ou
servios?
Essas questes so comunicadas sua
gerncia ou diretamente ao seu provedor
de servios, com a mxima rapidez?
21
11
52%
100%
15
33%
60
15
25%
15
33%
15
10
67%
10.3
dito aos usurios que eles no devem,

em hiptese alguma, tentar provar um
ponto fraco de que suspeitam?
15
0%
10.4
informado que o teste de um ponto fraco

poderia ser interpretado como um uso
abusivo potencial do sistema?
15
0%
Convm que os incidentes de segurana

sejam reportados atravs dos canais
apropriados da direo, o mais
rapidamente possvel.
Convm que os usurios dos servios de

informao sejam instrudos a registrar e
notificar quaisquer fragilidades ou
ameaas, ocorridas ou suspeitas, na
segurana de sistemas ou servios.
292
11
11.1
11.2
11.3
12
Aprendendo com os incidentes

So implementados mecanismos para
permitir a quantificao e monitorao dos
tipos, volumes e custos de incidentes e
falhas de funcionamento?
Atravs dessas informaes, so
identificados incidentes ou falhas repetidas
ou de alto impacto?
indicada a necessidade de controles
aperfeioados ou adicionais para limitar a
freqncia, os danos e o custo de futuras
ocorrncias, ou se leva em considerao
no processo de reviso da poltica de
segurana?
45
20
44%
15
33%
15
33%
15
10
67%
45
30
67%
12.1
Existe um processo disciplinar formal para

empregados que violarem as polticas e
procedimentos de segurana da
organizao e para a coleta de provas?
15
10
67%
12.2
Existe um procedimento que vise

desencorajar empregados com tendncia
para desrespeitar os procedimentos de
segurana?
15
10
67%
12.3
Esse procedimento assegura um

tratamento correto e justo de empregados
suspeitos de cometerem violaes de
segurana, graves ou persistentes?
15
10
67%
PESSOAL
Convm que existam mecanismos

para permitir que tipos, quantidades
e custos dos incidentes e dos maus
funcionamentos sejam quantificados
e monitorados.
Convm que exista processo

disciplinar formal para os
funcionrios que tenham violado as
polticas e procedimentos de
segurana organizacional
293
13
Situaes de emergncia
165
120
73%
15
10
67%
15
33%
15
10
67%
13.1
Existe treinamento acerca de preveno de

acidentes em todos os turnos?
13.2
Existe uma lista de telefones/endereos de

emergncia (pronto-socorro, hospitais,
corpo de bombeiros, policia militar e etc)?
13.3
So realizados procedimentos destinados

remoo de pessoas?
13.4
O atendimento mdico, em caso de

emergncia eficiente?
15
15
100%
13.5
Existe esquema de planto no servio de

eletricidade?
15
15
100%
13.6
O pessoal treinado em outras funes

(em caso de contingncia)?
15
15
100%
13.7
Existe informao e treinamento quanto

Poltica de Segurana?
15
0%
13.8
Existe treinamento em situaes de

emergncia, primeiros socorros, planos de
abandono, procedimento fora de
expediente.etc?
15
10
67%
13.9
proibido fumar na sala do computador?
15
15
100%
13.10
proibido comer a beber na sala do

computador?
15
15
100%
13.11
A gerncia e a superviso inspecionam as

reas em horrios alternados?
15
10
67%
120
75
63%
14
Casos de incndio
x
x
x
Polticas de Segurana em pessoas

em situaes de emergncia
Polticas de Segurana em pessoas

em caso de incndio
294
14.1
14.2
14.3
14.4
Existem funcionrios treinados em todos

os turnos?
realizado treinamento de evacuao do
edifcio?
realizado treinamento acerca de
salvamento de ativos (documentos, meios
magnticos)?
feita divulgao/exibio dos telefones
do corpo de bombeiros?
5
5
15
10
67%
33%
15
33%
15
15
100%
15
10
67%
15
15
100%
15
0%
90
65
72%
15
15
100%
14.6
Os funcionrios so treinados para

combater incndios que possam ocorrer na
rea do computador?
15
100%
15
14.8
15
Os vigilantes so treinados para combater

incndios que possam ocorrer fora do
expediente normal?
mantido um relacionamento formal com

a guarnio do Corpo de Bombeiros que
atende a regio?
Existem brigadas de incndio
organizadas?
15
14.5
14.7
5
5
x
x
Segurana funcional
15.1
proibida (e feito um controle) a entrada

de funcionrios demitidos?
15.2
feito um acompanhamento de
funcionrios descontentes ou com
problemas financeiros a pessoais?
15
33%
15.3
Os antecedentes de funcionrios novos

so verificados?
15
33%
15.4
Periodicamente so verificados os
antecedentes criminais dos vigilantes?
15
15
100%
Poltica de Segurana em Pessoas

em relao segurana funcional
295
15.5
15.6
Todos os funcionrios so instrudos

quanto a medidas de segurana adotadas?
O sistema de admisses demisses,
entrega de senhas e materiais sigilosos:
crachs, catlogos, tabelas de preos,
contratos e outros so feitos de forma
correta?
15
10
67%
15
15
100%
296
Segurana Organizacional
No
Item
Perguntas
Aderncia
0 1 2 3
Valores
Sim
Peso
Referncia
Aderncia Geral
651
322
49%
Comit de Segurana
120
40
33%
15
33%
15
10
67%
Existem comits de administrao de

1.1 segurana da informao com lderes
gerenciais?
Atualmente, so estabelecidos
1.2 contatos com especialistas externos
em segurana?
Caso exista o comit, ele possui
1.3 abordagem multidisciplinar em relao
segurana?
Dentre as atribuies do Comit est a
reviso e aprovao da poltica de
1.4
segurana das informaes e das
responsabilidades globais?
A monitorao de mudanas
1.5 significativas na exposio dos ativos
de informao feita?
A reviso e monitorao de incidentes
1.6 de segurana tem sido tratada pelo
comit de forma adequada?
15
0%
15
0%
15
10
67%
15
33%
Legenda
Apurados
0: Ausncia total
2: Presena parcial
3: Presena total
Gerenciar a segurana da informao
na organizao.
297
So realizadas iniciativas relevantes
1.7 para aperfeioar a segurana das
informaes?
Existe um gerente responsvel por
1.8 todas as atividades relacionadas com
a segurana?
2
2.1
2.2
2.3
2.4
2.5
2.6
Coordenao e Responsabilidades da Segurana

das Informaes
Foram estabelecidos papis e
responsabilidades especficas para a
segurana das informaes em toda a
organizao?
Foram estabelecidas metodologias e
processos especficos de segurana
das informaes, como por exemplo a
avaliao de riscos e sistema de
classificao das informaes?
Foram estabelecidas e apoiadas
iniciativas de segurana das
informaes em mbito de toda a
organizao, como por exemplo
programa de conscientizao de
segurana?
Atualmente, a segurana faz parte do
processo do planejamento das
informaes?
avaliada a adequao e coordenada
a implementao de controles
especficos de segurana das
informaes para novos sistemas ou
servios?
Os incidentes de segurana das
informaes so tratados de forma
correta?
15
10
67%
15
0%
246
137
56%
15
33%
15
33%
33%
15
10
67%
15
10
67%
15
33%
A segurana da informao uma

responsabilidade de negcios
compartilhada por todos os membros
da equipe da direo.
298
As responsabilidades pela proteo de
ativos individuais e pela execuo de
2.7
processos especficos de segurana
esto claramente definidas?
2.8
2.9
2.10
2.11
2.12
2.13
2.14
2.15
A poltica atual fornece diretrizes

gerais sobre a atribuio de papis e
responsabilidades de segurana
dentro da organizao?
O gerente de segurana da informao
assume responsabilidade global pelo
desenvolvimento e implementao da
segurana e concedido apoio
identificao e implementao dos
controles?
Existe um gestor para cada ativo de
informao, que o responsvel pela
sua segurana no dia-a-dia?
As reas de responsabilidade de cada
gerente que esto claramente
definidas ?
Os diversos ativos e processos de
segurana associados a cada sistema
individual esto identificados e
claramente definidos?
No caso do gerente responsvel por
cada ativo ou processo de segurana,
os detalhes dessa responsabilidade
esto documentados?
Os nveis de autorizao esto
claramente definidos e
documentados?
Atualmente, estabelecido um
processo de autorizao gerencial
para as instalaes de processamento
de informaes?
15
10
67%
15
33%
15
33%
15
10
67%
15
33%
15
10
67%
15
10
67%
15
15
100%
15
15
100%
299
A administrao de usurios,
2.16 autorizao, sua finalidade e utilizao
so feitas de forma segura?
concedida autorizao para o uso de
2.17 equipamentos pessoais de forma
criteriosa?
3
3.1
Consultoria Interna
Existe um consultor interno de
segurana experiente?
Essa pessoa tambm tem acesso a

consultores externos apropriados para
3.2
lhe dar assistncia em assuntos fora
de sua rea de experincia?
O consultor interno tem acesso direto
3.3 a todos os nveis de gerncia dentro
da organizao?
Os casos de suspeita de incidente ou
3.4 violao de segurana so tratados de
forma correta?
Investigaes internas de segurana
executadas sob o controle da
3.5 administrao podem requerer
consultoria para aconselhar, liderar ou
realizar a investigao. Isso ocorre?
4
15
10
67%
15
33%
75
45
60%
15
33%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
Cooperao entre Organizaes
30
10
33%
Consultoria especializada em
segurana normalmente necessria
em diversas organizaes.
Convm que sejam mantidos contatos

apropriados com autoridades legais,
organismos reguladores, provedores de
servio de informao e operadores de
telecomunicaes, de forma a garantir
300
Atualmente, so mantidos contatos
com autoridades policiais, rgos
reguladores, provedores de servios
de informaes e operadoras de
4.1
telecomunicaes para garantir a
tomada rpida de providncias e a
obteno de orientao em caso de
um incidente de segurana?
Existe filiao a associaes de
4.2
segurana ?
5
15
33%
15
33%
15
0%
15
Acesso de Terceiros
O controle de acesso fsico de

terceiros feito de forma correta?
Nos casos em que os negcios exigem
o acesso de terceiros, deve ser feita
uma avaliao de riscos para
6.2
determinar as implicaes de
segurana e os requisitos de controle.
J foi desenvolvida essa anlise ?
Os controles esto acertados e
6.3
definidos em contrato com o terceiro?
6.1
Reviso da Segurana
A implementao da poltica de
segurana deve ser revista por um
rgo independente, para dar a
garantia de que as prticas
5.1
organizacionais refletem corretamente
a poltica e que elas so viveis e
eficazes. J foi realizada alguma
reviso na poltica atual?
6
0%
165
90
55%
15
10
67%
15
33%
15
10
67%
telecomunicaes, de forma a garantir

que aes adequadas e apoio
especializado possam ser rapidamente
acionados na ocorrncia de incidentes
de segurana.
Convm que a sua implementao seja

analisada criticamente, de forma
independente, para fornecer garantia de
que as prticas da organizao refletem
apropriadamente a poltica, e que esta
adequada e eficiente
Manter a segurana dos recursos de

processamento de informao e ativos
de informao organizacionais
acessados por prestadores de servios.
301
6.4
6.5
6.6
6.7
6.8
Os contratos que concedem acesso a

terceiros incluem disposies para a
designao de outros participantes
qualificados e as condies para o seu
acesso?
Existem terceiros que prestam
servios a organizao e no esto
localizados no site, mas podem ter
acesso fsico e lgico?
A administrao da segurana est
adequada e no est sendo colocada
em risco pelo acesso de terceiros?
Existe uma poltica definida para
terceiros que ficam localizados no site
durante um determinado tempo,
definido em contrato como: pessoal de
manuteno e suporte de hardware e
software; pessoal de limpeza,
fornecimento de refeies, guardas de
segurana e outros servios de
suporte terceirizados, estagirios e
outras nomeaes ocasionais em curto
prazo e consultores?
O acesso de terceiros s instalaes
de processamento de informaes da
organizao baseado em contrato
formal que contenha referncia a todos
os requisitos de segurana para
assegurar a conformidade com as
polticas e normas de segurana da
organizao?
Est especificado no contrato que a

organizao receber indenizao por
6.9 parte de seu fornecedor, caso ocorra
algum incidente causado por algum
funcionrio do prestador de servios?
15
33%
15
33%
15
10
67%
15
10
67%
15
33%
15
10
67%
302
Est especificado no contrato que a
organizao ter direito de monitorar e
revogar as atividades de usurio, o
6.10 direito de auditar as responsabilidades
contratuais ou de fazer com que tal
auditoria seja realizada por um
terceiro?
Nos casos em que a responsabilidade
pelo processamento das informaes
6.11 foi confiada a uma organizao
externa, existe a tentativa de garantir a
segurana das informaes?
15
10
67%
15
10
67%
303
Conformidade
No
Item
Perguntas
Sim
Aderncia
0 1 2
Valores
Peso
3
Referncia
Aderncia Geral
285
183
64%
Conformidade com exigncias legais
51
46
90%
15
15
100%
Existe a preocupao de evitar

violaes de qualquer lei penal ou civil,
1.1 obrigaes decorrentes de estatutos,
regulamentos ou contratos e quaisquer
requisitos de segurana?
A organizao est sujeita a exigncias
de segurana decorrentes de estatutos,
1.2
regulamentos ou contratos. Isso
observado?
Existe uma consultoria sobre exigncias
legais especficas junto ao
1.3 departamento jurdico da organizao
ou com advogados externos
devidamente qualificados?
So analisadas as exigncias
legislativas que variam de um Pas para
1.4
outro? (fluxos de dados que
atravessam fronteiras)
Legenda
Apurados
15
10
67%
15
15
100%
100%
0: Ausncia total
2: Presena parcial
3: Presena total
Evitar violaes de leis penais ou

cveis, de obrigaes decorrentes de
estatutos, regulamentos ou contratos e
de quaisquer requisitos de segurana
304
2
30
30
100%
So observadas as exigncias
relevantes impostas por lei, por rgos
2.1 reguladores ou por contrato, definidas
explicitamente e documentadas por
sistema de informao?
15
15
100%
Os controles especficos e as
responsabilidades individuais pelo
2.2
atendimento a estas exigncias esto
definidos e documentados?
15
15
100%
174
92
53%
Preservao dos registros da organizao
Os registros da organizao so
3.1 protegidos contra perda, destruio e
falsificao?
15
33%
Os registros so arquivados de modo

3.2 seguro para atender a exigncias da lei
ou de rgos reguladores?
15
33%
Os registros que podem ser exigidos

para comprovar que a organizao
opera de acordo com as normas da lei
ou de rgos reguladores ou para
assegurar uma defesa adequada em um
3.3
eventual processo civil ou criminal ou
para confirmar a situao financeira de
uma organizao para os seus
acionistas, scios e auditores, esto
protegidos de forma segura?
15
33%
Convm que estatutos,

regulamentaes ou clusulas
contratuais relevantes sejam
explicitamente definidos e
documentados para cada sistema de
informao.
Convm que registros importantes de

uma organizao sejam protegidos
contra perda, destruio e falsificao.
305
observado o perodo de reteno das
informaes e dos dados a serem
3.4
conservados que so estabelecidos
pelas leis ou regulamentos do pas?
3.5
3.6
3.7
3.8
3.9
3.10
Registros contbeis, de bancos de

dados, de transaes, de auditoria e
procedimentos operacionais so
protegidos de forma segura?
Cada tipo de registro tem exigncias
especficas quanto a perodo de
reteno e tipo de veculo de
armazenagem, como: papel, microficha,
suportes magnticos ou pticos. Isso
observado?
So consideradas as possibilidades de
deteriorao dos suportes utilizados na
armazenagem de registros?
Nos casos de armazenagem por meios
eletrnicos, esto inclusos os
procedimentos para assegurar a
capacidade de acessar dados legibilidade dos suportes fsicos como
dos formatos - durante todo o perodo
de reteno, como garantia contra a
perda decorrente de futuras mudanas
de tecnologia?
Atualmente so escolhidos sistemas de
armazenagem em que os dados
necessrios possam ser recuperados de
um modo aceitvel para um tribunal?
Os registros exigidos podem ser
recuperados dentro de um tempo
aceitvel e num formato aceitvel?
realizada destruio apropriada dos
registros aps a expirao de perodo,
se no forem mais necessrios
organizao?
15
15
100%
15
33%
15
10
67%
67%
15
10
67%
15
33%
100%
306
Existem diretrizes sobre a reteno,
3.11 armazenagem, manuseio e descarte de
registros e informaes?
Existe um programa de reteno que
identifique os tipos dos registros
3.12
essenciais e por quanto tempo eles
devem ser conservados?
mantido um inventrio das fontes de
3.13
informaes-chave?
Foram implementados controles de
segurana apropriados para proteger
3.14
registros e informaes essenciais
contra perda, destruio e falsificao?
100%
100%
15
33%
15
33%
30
15
50%
15
10
67%
15
33%
Os gerentes podem assegurar que

todos os procedimentos de segurana
4.1
dentro de sua rea de responsabilidade
so executados corretamente?
realizada regularmente uma reviso

em todas as reas da organizao para
4.2
assegurar conformidade com as
polticas e normas de segurana?
Convm que gestores garantam que

todos os procedimentos de segurana
dentro da sua rea de responsabilidade
esto sendo executados corretamente.
307
APNDICE D
308
Carta de conveno da metodologia utilizada

Braslia, 15 de junho de 2004.
Referncia: Anlise de Riscos de Segurana Fsica em Conformidade com a
ISO/IEC 17799 de Segurana Fsica em Conformidade com a ISO/IEC 17799.
Conforme acordado, servimo-nos da presente para formalizar a proposta sobre a
metodologia da Anlise de Riscos de Segurana Fsica em Conformidade com a
ISO/IEC 17799, conforme abaixo detalhada, a ser efetuada nesse Departamento de
Informtica.
METODOLOGIA DO QUESTIONRIO:
Existe um questionrio para cada um dos mdulos da norma utilizados na

anlise, so eles:
Poltica de segurana
Segurana em pessoas
Cada mdulo dividido em itens em subitens.
Perguntas: So feitas perguntas extradas da norma ISO/IEC 17799.

Peso: So dados pesos 0, 2 ou 5 conforme a relevncia (pesos dados pelo cliente)
309
Situao: (pontuao dada pelo cliente)
No
0: Ausncia total
2: Presena parcial
3: Presena total
Sim
Valores:
Referncia: Maior pontuao possvel, partindo do peso dado,

multiplicando-o com a situao.
Apurados: o produto do peso (0, 2 ou 5) pela situao (0,1 ,2 ou 3). O

ndice de conformidade varia de 0 a 15 (dessa forma apresentado o
ndice de conformidade do item e do subitem)
Aderncia: Percentual de aderncia do mdulo, item e subitem.

Legenda: Objetivo do item.
METODOLOGIA DA ANLISE:
Anlise on-site:
310
Fotos: so tiradas fotos de pontos relevantes como vulnerabilidades,

reas crticas, ambientes, todas as dependncias do Data Center e todos
os andares do prdio, naquilo que poderia ser de interesse da anlise.
Vistorias e levantamentos: So feitas vistorias nos ambientes para colher

informaes relevantes.
Entrevistas: So feitas entrevistas com diretores, gerentes e funcionrios

(inclusive terceirizados). utilizado um questionrio (baseado na norma
ISO/IEC 17799).
Situao Atual: apresentada a situao encontrada na empresa em

relao a Segurana da Informao, levando-se em considerao o que
pode ser mantido, o que pode ser aperfeioado e o que deve ser mudado.
Recomendaes: So feitas recomendaes de melhorias na Segurana

da Informao, de acordo com o verificado na situao atual.
Plano de Ao: So recomendaes mais profundas visando melhorias na

Segurana da Informao da empresa, que ajudam a orientar e determinar
a atuao gerencial apropriada s prioridades para o gerenciamento dos
riscos Segurana da Informao. Serve como auxlio na implementao
de controles que oferecem proteo contra os riscos identificados.
Observaes:
A anlise baseada na Norma ISO/IEC 17799.
311
A anlise atende ao Decreto Federal 3.505 e Lei 2.572 do GDF.
O objetivo da metodologia identificar as necessidades de Segurana da

Informao apropriadas para a empresa analisada.
De acordo,
_______________________
Electra
312
ANEXO A
313
Presidncia da Repblica
Casa Civil
Subchefia para Assuntos Jurdicos
DECRETO No 3.505, DE 13 DE JUNHO DE 2000.
Institui a Poltica de Segurana da
Informao nos rgos e entidades da
Administrao Pblica Federal.
O PRESIDENTE DA REPBLICA, no uso da atribuio que lhe confere o art.
o
84, inciso IV, da Constituio, e tendo em vista o disposto na Lei n 8.159, de 8 de
o
janeiro de 1991, e no Decreto n 2.910, de 29 de dezembro de 1998,
DECRETA:
o
Art. 1 Fica instituda a Poltica de Segurana da Informao nos rgos e nas

entidades da Administrao Pblica Federal, que tem como pressupostos bsicos:
I - assegurar a garantia ao direito individual e coletivo das pessoas,
inviolabilidade da sua intimidade e ao sigilo da correspondncia e das comunicaes,
nos termos previstos na Constituio;
II - proteo de assuntos que meream tratamento especial;
III - capacitao dos segmentos das tecnologias sensveis;
IV - uso soberano de mecanismos de segurana da informao, com o domnio
de tecnologias sensveis e duais;
V - criao, desenvolvimento e manuteno de mentalidade de segurana da
informao;
VI - capacitao cientfico-tecnolgica do Pas para uso da criptografia na
segurana e defesa do Estado; e
VII - conscientizao dos rgos e das entidades da Administrao Pblica
Federal sobre a importncia das informaes processadas e sobre o risco da sua
vulnerabilidade.
o
Art. 2 Para efeitos da Poltica de Segurana da Informao, ficam

estabelecidas as seguintes conceituaes:
I - Certificado de Conformidade: garantia formal de que um produto ou servio,
devidamente identificado, est em conformidade com uma norma legal;
II - Segurana da Informao: proteo dos sistemas de informao contra a
negao de servio a usurios autorizados, assim como contra a intruso, e a
modificao desautorizada de dados ou informaes, armazenados, em
processamento ou em trnsito, abrangendo, inclusive, a segurana dos recursos
humanos, da documentao e do material, das reas e instalaes das
comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter
e documentar eventuais ameaas a seu desenvolvimento.
314
Art. 3 So objetivos da Poltica da Informao:

I - dotar os rgos e as entidades da Administrao Pblica Federal de
instrumentos jurdicos, normativos e organizacionais que os capacitem cientfica,
tecnolgica e administrativamente a assegurar a confidencialidade, a integridade, a
autenticidade, o no-repdio e a disponibilidade dos dados e das informaes
tratadas, classificadas e sensveis;
II - eliminar a dependncia externa em relao a sistemas, equipamentos,
dispositivos e atividades vinculadas segurana dos sistemas de informao;
III - promover a capacitao de recursos humanos para o desenvolvimento de
competncia cientfico-tecnolgica em segurana da informao;
IV - estabelecer normas jurdicas necessrias efetiva implementao da
V - promover as aes necessrias implementao e manuteno da
VI - promover o intercmbio cientfico-tecnolgico entre os rgos e as
entidades da Administrao Pblica Federal e as instituies pblicas e privadas,
sobre as atividades de segurana da informao;
VII - promover a capacitao industrial do Pas com vistas sua autonomia no
desenvolvimento e na fabricao de produtos que incorporem recursos criptogrficos,
assim como estimular o setor produtivo a participar competitivamente do mercado de
bens e de servios relacionados com a segurana da informao; e
VIII - assegurar a interoperabilidade entre os sistemas de segurana da
informao.
o
Art. 4 Para os fins deste Decreto, cabe Secretaria-Executiva do Conselho de

Defesa Nacional, assessorada pelo Comit Gestor da Segurana da Informao de
o
que trata o art. 6 , adotar as seguintes diretrizes:
I - elaborar e implementar programas destinados conscientizao e
capacitao dos recursos humanos que sero utilizados na consecuo dos objetivos
de que trata o artigo anterior, visando garantir a adequada articulao entre os
rgos e as entidades da Administrao Pblica Federal;
II - estabelecer programas destinados formao e ao aprimoramento dos
recursos humanos, com vistas definio e implementao de mecanismos
capazes de fixar e fortalecer as equipes de pesquisa e desenvolvimento,
especializadas em todos os campos da segurana da informao;
III - propor regulamentao sobre matrias afetas segurana da informao
nos rgos e nas entidades da Administrao Pblica Federal;
IV - estabelecer normas relativas implementao da Poltica Nacional de
Telecomunicaes, inclusive sobre os servios prestados em telecomunicaes, para
assegurar, de modo alternativo, a permanente disponibilizao dos dados e das
informaes de interesse para a defesa nacional;
V - acompanhar, em mbito nacional e internacional, a evoluo doutrinria e
tecnolgica das atividades inerentes segurana da informao;
315
VI - orientar a conduo da Poltica de Segurana da Informao j existente ou

a ser implementada;
VII - realizar auditoria nos rgos e nas entidades da Administrao Pblica
Federal, envolvidas com a poltica de segurana da informao, no intuito de aferir o
nvel de segurana dos respectivos sistemas de informao;
VIII - estabelecer normas, padres, nveis, tipos e demais aspectos relacionados
ao emprego dos produtos que incorporem recursos critptogrficos, de modo a
assegurar a confidencialidade, a autenticidade, a integridade e o no-repdio, assim
como a interoperabilidade entre os Sistemas de Segurana da Informao;
IX - estabelecer as normas gerais para o uso e a comercializao dos recursos
criptogrficos pelos rgos e pelas entidades da Administrao Pblica Federal,
dando-se preferncia, em princpio, no emprego de tais recursos, a produtos de
origem nacional;
X - estabelecer normas, padres e demais aspectos necessrios para assegurar
a confidencialidade dos dados e das informaes, em vista da possibilidade de
deteco de emanaes eletromagnticas, inclusive as provenientes de recursos
computacionais;
XI - estabelecer as normas inerentes implantao dos instrumentos e
mecanismos necessrios emisso de certificados de conformidade no tocante aos
produtos que incorporem recursos criptogrficos;
XII - desenvolver sistema de classificao de dados e informaes, com vistas
garantia dos nveis de segurana desejados, assim como normatizao do acesso
s informaes;
XIII - estabelecer as normas relativas implementao dos Sistemas de
Segurana da Informao, com vistas a garantir a sua interoperabilidade e a
obteno dos nveis de segurana desejados, assim como assegurar a permanente
disponibilizao dos dados e das informaes de interesse para a defesa nacional; e
XIV - conceber, especificar e coordenar a implementao da infra-estrutura de
chaves pblicas a serem utilizadas pelos rgos e pelas entidades da Administrao
Pblica Federal.
o
Art. 5 Agncia Brasileira de Inteligncia - ABIN, por intermdio do Centro de

Pesquisa e Desenvolvimento para a Segurana das Comunicaes - CEPESC,
competir:
I - apoiar a Secretaria-Executiva do Conselho de Defesa Nacional no tocante a
atividades de carter cientfico e tecnolgico relacionadas segurana da
informao; e
II - integrar comits, cmaras tcnicas, permanentes ou no, assim como
equipes e grupos de estudo relacionados ao desenvolvimento das suas atribuies
de assessoramento.
o
Art. 6 Fica institudo o Comit Gestor da Segurana da Informao, com

atribuio de assessorar a Secretaria-Executiva do Conselho de Defesa Nacional na
consecuo das diretrizes da Poltica de Segurana da Informao nos rgos e nas
entidades da Administrao Pblica Federal, bem como na avaliao e anlise de
assuntos relativos aos objetivos estabelecidos neste Decreto.
316
Art. 7 O Comit ser integrado por um representante de cada Ministrio e

rgos a seguir indicados:
I - Ministrio da Justia;
II - Ministrio da Defesa;
III - Ministrio das Relaes Exteriores;
IV - Ministrio da Fazenda;
V - Ministrio da Previdncia e Assistncia Social;
VI - Ministrio da Sade;
VII - Ministrio do Desenvolvimento, Indstria e Comrcio Exterior;
VIII - Ministrio do Planejamento, Oramento e Gesto;
IX - Ministrio das Comunicaes;
X - Ministrio da Cincia e Tecnologia;
XI - Casa Civil da Presidncia da Repblica; e
XII - Gabinete de Segurana Institucional da Presidncia da Repblica, que o
coordenar.
o
1 Os membros do Comit Gestor sero designados pelo Chefe do Gabinete

de Segurana Institucional da Presidncia da Repblica, mediante indicao dos
titulares dos Ministrios e rgos representados.
o
2 Os membros do Comit Gestor no podero participar de processos

similares de iniciativa do setor privado, exceto nos casos por ele julgados
imprescindveis para atender aos interesses da defesa nacional e aps aprovao
pelo Gabinete de Segurana Institucional da Presidncia da Repblica.
o
3 A participao no Comit no enseja remunerao de qualquer espcie,

sendo considerada servio pblico relevante.
o
4 A organizao e o funcionamento do Comit sero dispostos em regimento

interno por ele aprovado.
o
5 Caso necessrio, o Comit Gestor poder propor a alterao de sua

composio.
o
Art. 8 Este Decreto entra em vigor na data de sua publicao.

o
Braslia, 13 de junho de 2000; 179 da Independncia e 112 da Repblica.

FERNANDO HENRIQUE CARDOSO
Jos Gregori
Geraldo Magela da Cruz Quinto
Luiz Felipe Lampreia
Pedro Malan
Waldeck Ornlas
317
Jos Serra
Alcides Lopes Tpias
Martus Tavares
Pimenta da Veiga
Ronaldo Mota Sardenberg
Pedro Parente
Alberto Mendes Cardoso
Publicado no D.O. de 14.6.2000
318
Lei 2.572
LEI N 2.572, DE 20 DE JULHO DE 2000
Dispe sobre a preveno das entidades pblicas do Distrito Federal
com relao aos procedimentos praticados na rea de informtica.
O GOVERNADOR DO DISTRITO FEDERAL, FAO SABER QUE A
CMARA LEGISLATIVA DO DISTRITO FEDERAL DECRETA E EU
SANCIONO A SEGUINTE LEI:
CAPTULO I
DOS PRINCPIOS QUE REGULAM AS CONDIES DE SEGURANA DA
TECNOLOGIA DA INFORMAO E DE INFORMAO COMO FONTE DE
DADOS
Art. 1 As entidades pblicas do Distrito Federal devem promover a segurana da
informao, mediante a garantia da disponibilidade, integridade, confiabilidade e
legalidade das informaes que suportam os seus processos operacionais.
Art. 2 A garantia da disponibilidade deve ser de forma preventiva e abranger os
aspectos fsicos, lgicos e tcnicos.
CAPTULO II
DOS PRINCPIOS DA PROTEO PREVENTIVA DA INFORMAO
Seo I
Da Segurana Fsica
Art. 3 A proteo fsica dos equipamentos, servidores de rede, telecomunicao e
outros deve ser garantida mediante o acondicionamento em ambientes ou
compartimentos e controle de acesso adequados. Pargrafo nico. Entende-se por
ambiente adequado aquele que proteja os equipamentos crticos de informtica e
informaes vitais segundo exigncias mnimas de temperatura e umidade, ou seja,
20C e 85% de umidade relativa do ar.
Seo II
Da Segurana Lgica
Art. 4 A proteo lgica dos sistemas deve ser garantida mediante a definio dos
papis dos usurios e das regras de acesso informao, respeitados os critrios de
garantia dos direitos individuais e coletivos de privacidade e segurana de pessoas
fsicas e jurdicas.
Seo III
Da Proteo de Dados e Programas
319
Art. 5 Os padres e solues de segurana de dados de programas devem garantir

a sua proteo quanto disposio dos usurios, enquanto instalados nos servidores
de arquivos, ou nas estaes de nvel de descrio no registro dos eventos e na
preservao contra vrus de computadores. 1 A proteo de dados e programas
instalados no servidor de arquivos deve garantir padres de segurana contra
leitura, execuo, gravao, recepo e criao por parte de pessoas no
autorizadas. 2 Qualquer pessoa, fsica ou jurdica, tem o direito de interpelar o
proprietrio de redes de computadores ou provedor de servios para saber
informaes ao seu respeito e o respectivo teor. Art. 6 O acesso de terceiros, no
autorizados pelos respectivos interessados, a informaes privadas mantidas em
rede de computadores depender de prvia autorizao judicial.
CAPTULO III
DOS ASPECTOS DE RECUPERAO DA INFORMAO
Art. 7 O gerenciador e administrador de ambientes informatizados deve
providenciar anlise de risco fsico e lgico, abrangendo padres definidos para
acondicionamento de equipamentos de processamento de dados e mdias
magnticas, e identificando possveis prejuzos. Art. 8 O administrador dos
ambientes de tecnologia da informao dever desenvolver plano de contingncia.
Pargrafo nico. Os planos de contingncia devem conter as alternativas para os
processos e as fases de pr-interrupo, interrupo e ps-interrupo.
CAPTULO IV
DOS COMPORTAMENTOS IRREGULARES
Seo I
Disposies Preliminares
Art. 9 Os comportamentos discriminados nos arts. 10 a 16 desta Lei sero
apurados na forma estabelecida na Lei n 8.112, de 11 de dezembro de 1990,
quando praticados na forma abaixo: I _ com considervel prejuzo para a entidade;
II _ com intuito de lucro ou vantagem de qualquer espcie, prprio ou de terceiros;
III _ com abuso de confiana;
IV _ por motivo ftil;
V _ com o uso indevido de senha ou processo de identificao de terceiros;
VI _ com a utilizao de qualquer outro meio fraudulento.
Pargrafo nico. Aplicar-se- o disposto no caput quando os comportamentos se
verificarem em rgos ou entidades da administrao direta ou indireta da Unio,
dos Estados e do Distrito Federal, empresas concessionrias de servios pblicos,
fundaes institudas ou mantidas pelo Poder Pblico, empresas de servios sociais
autnomos, instituies financeiras ou empresas que explorem ramo de atividade
controlada pelo Poder Pblico, localizados no Distrito Federal.
320
Seo II
Da Negligncia ou Omisso de Informaes
Art. 10. Negligenciar ou omitir informaes no tratamento, guarda e manuseio dos
sistemas e redes de computadores e dados.
Seo III
Da Alterao de Dados ou Programas de Computador
Art. 11. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou
parcialmente, dados ou programas de computador, de forma indevida ou no
autorizada.
Seo IV
Do Acesso ou da Obteno Indevidos ou No Autorizados de Dados ou Instruo
de Computador
Art. 12. Obter acesso, manter ou fornecer a terceiro, dados, instruo ou qualquer
meio de identificao ou acesso a computador ou a rede de computadores, de forma
indevida ou no autorizada.
Seo V
Da Alterao de Senha ou Mecanismo de Acesso a Programa de Computador ou
Dados
Art. 13. Apagar, destruir, alterar ou de qualquer forma inutilizar senha ou qualquer
outro mecanismo de acesso a computador, programa de computador ou dados, de
forma indevida ou no autorizada.
Seo VI
Da Violao de Segredos Armazenados em Computador, Meio Eletrnico de
Natureza Magntica, ptica ou Similar
Art. 14. Obter segredos das entidades de que trata esta Lei, da indstria ou do
comrcio, ou informaes pessoais armazenadas em computador, rede de
computadores, meio eletrnico de natureza magntica, ptica ou similar, de forma
indevida ou no autorizada.
Seo VII
Da Criao, do Desenvolvimento e da Insero em Computador de Dados ou
Programa de Computador com Fins Nocivos
Art. 15. Criar, desenvolver ou inserir dados ou programa em computador ou rede
de computadores, de forma indevida ou no autorizada, com a finalidade de apagar,
destruir, inutilizar ou modificar dados ou programa de computador, ou de qualquer
forma dificultar ou impossibilitar, total ou parcialmente, a utilizao de computador
ou rede de computadores.
Seo VIII
Da Veiculao de Pornografia por Meio de Rede de Computadores
Art. 16. Disseminar servio ou informao de carter pornogrfico em rede de
computadores, sem exibir previamente, de forma facilmente visvel e destacada,
aviso sobre a sua natureza, indicando o seu contedo.
CAPTULO V
DISPOSIES FINAIS
321
Art. 17. Sero aplicadas as sanes dispostas na Lei n 8.112, de 11 de dezembro

de 1990, queles que adotarem os comportamentos definidos na presente Lei.
Art. 18. Esta Lei regula os procedimentos relativos a informtica sem prejuzo das
demais cominaes previstas em outros diplomas legais.
Art. 19. O Poder Executivo regulamentar esta Lei no prazo de trinta dias.
Art. 20. Esta Lei entra em vigor na data de sua publicao.
Art. 21. Revogam-se as disposies em contrrio.
Publicada no DODF de 21.07.2000.
322
ANEXO B
323
GLOSSRIO
Claviculrio: Chaveiro. (http://www.priberam.pt/dlpo/definir_resultados.aspx) .

Damper: So usados para proteo interna dos dutos de ventilao, impedindo
a
propagao
pelas
aberturas
nos
demais
ambientes.
(http://www.reffibra.com.br/Firevent.htm, 2004).
Insuflamento:
Ato
de
insuflar;
encher
de
ar,
soprando.
(http://www.priberam.pt/dlpo/definir_resultados.aspx).
Multiplexador: Dispositivo cuja funo multiplexar sinais permitindo a sua
transmisso em um mesmo meio de transmisso. (http://www.teleco.com.br).
Risco: lat.Perigo ou possibilidade de perigo. jur. Possibilidade de perda ou
responsabilidade pelo dano. (Dicionrio Aurlio 2a Edio, p.1512).
Segurana: 1. Ato ou efeito de segurar. 2. Estado, qualidade ou condio de
seguro. 3. Condio daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza,
convico. (Dicionrio Aurlio 2a Edio, p.1563).
Sprinkler: pulverizador, regador; extintor de incndio; carro de irrigao;
vaporizador; disperso, espalhado (http://www1.uol.com.br/babylon, 2004).
Time lapse: O Time Lapse um aparelho utilizado para gravao de imagens.
um aparelho semelhante ao vdeo cassete e tem capacidade mdia de gravao de 960
horas consecutivas. (Fonte: http://www.aemp.com.br, 2004).
Salgado, Ivan Jorge Chueri.

Anlise de segurana fsica em conformidade com a
norma ISO/IEC 17799 / Ivan Jorge Chueri Salgado,
Rivanildo Sanches da Silva, Ronaldo Bandeira; Professor
orientador Reinaldo Mangialardo. Guar : [s. n.], 2004.
325 f. : il.
Monografia (Graduao em Tecnologia em
Segurana da Informao) Instituto Cientfico de
Ensino Superior e Pesquisa, 2004.
I. Ttulo. II. Mangialardo, Reinaldo.

Análise de Segurança Física em Conformidade Com A Norma Abnt NBR Iso Iec 17799

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Análise de Segurança Física em Conformidade Com A Norma Abnt NBR Iso Iec 17799

Enviado por

Direitos autorais:

Formatos disponíveis

FACULDADES INTEGRADAS ICESP

CURSO DE TECNOLOGIA EM SEGURANA DA INFORMAO

IVAN JORGE CHUERI SALGADO

Anlise de Segurana Fsica em Conformidade com a Norma

IVAN JORGE CHUERI SALGADO

Anlise de Segurana Fsica em Conformidade com a Norma

Monografia apresentada como requisito parcial, para a concluso do

Orientador: Prof. Reinaldo Mangialardo

FACULDADES INTEGRADAS ICESP

IVAN JORGE CHUERI SALGADO

Anlise de Segurana Fsica em Conformidade com a Norma

Ivan Jorge Chueri Salgado:

Rivanildo Sanches da Silva:

Ivan Jorge Chueri Salgado:

Rivanildo Sanches da Silva:

ABNT Associao Brasileira de Normas Tcnicas

Figura 1 - Evoluo da Norma BS 17799 ............................................................................. 12

Tabela 1 - Resultado estimado decorrentes da implementao do plano de ao................. 229

Segurana um termo que transmite conforto e tranqilidade a quem desfruta de

Palavras-chave: Segurana Fsica, ISO/IEC 17799, Poltica de segurana,

Security is a word which transmits a sense of comfort and peace to everyone.

Keywords: Physical Security, ISO/IEC 17799, Security Policy, Security

A segurana da informao um bem diretamente relacionado aos negcios de

A comunidade internacional composta por entidades governamentais, e at

Fonte: www.febraban.org.br/Palestras em 02/11/2004

Quando se fala em proteger um bem ou ativo de informao significa que este

Servios: processamento de dados, comunicao e fornecimento de

Sistemas computadorizados: aplicativos, sistemas bsicos, ferramentas

Equipamentos: computadores, equipamentos de comunicao de dados,

Documentos: contratos, demonstraes financeiras;

Pessoas: funcionrios, terceiros e clientes;

Imagem e reputao da organizao;

Informaes: arquivos, bancos de dados, documentao de sistemas,

Edificaes: edifcios, lojas, indstrias, depsitos, containeres, silos,

Para alcanar os objetivos propostos, a norma prev a preservao de trs

A segurana fsica um dos principais componentes da segurana da

Figura 2 - Principais ameaas segurana da informao

Figura 3 - Principais pontos de invaso

A invaso Fsica corresponde a 6% dos principais pontos de invaso, mostrando

Figura 4 - Principais medidas de segurana j implementadas

A Segurana Fsica na Sala de Servidores corresponde a 63% das medidas de

Relacionamento com outros trabalhos

Objetivos e finalidades da pesquisa

A proteo das informaes no pode se restringir apenas aos meios lgicos,

segurana no permite que se determinem as diretrizes, normas e os procedimentos

(aproximadamente 5 minutos), controle ostensivo s salas de monitorao e controle

Relao Custo x Benefcio

Tornar a monitorao e o controle sobre os acessos fsicos mais efetivos,

Proporcionar um ambiente mais seguro para o armazenamento,

Atualmente, estimam-se os custos com segurana na ordem de R$

Quando implementadas as medidas recomendadas espera-se uma reduo

Segundo Moreira, (2001, p.120), No existem ambientes 100% seguros. Um

Identificar os mecanismos de controle dos acessos das pessoas s

Identificar os fatores de layout que influenciam a segurana fsica das

Identificar os fatores na infra-estrutura de suporte e monitorao que

Identificar os fatores que, decorrentes da ausncia ou da inadequada

Identificar os fatores ligados localizao geogrfica que interferem na

Identificar os fatores relacionados s ms instalaes hidrulicas,

Identificar os fatores relacionados gerao, transporte e armazenamento

Propor correes e melhorias aos controles, processos, poltica,

1.3.1 Descrio das reas envolvidas

Figura 5 - Organograma Geral da ELECTRA

O desenvolvimento deste projeto depende essencialmente do apoio de toda a