Você está na página 1de 10

Alinhamento da gesto de segurana da informao com as reas de negcio: uma avaliao da contribuio das diretrizes da norma NBR ISO/IEC

27002:2005
Edison Luiz Gonalves Fontes Centro Estadual de Educao Tecnolgica Paula Souza/CEETEPS SP - Brasil edison@pobox.com Prof. Dr. Napoleo Verardi Galegale Centro Estadual de Educao Tecnolgica Paula Souza/CEETEPS - SP- Brasil nvg@galegale.com.br Resumo A presente pesquisa teve por objetivo identificar as diretrizes da Norma NBR ISO/IEC 27002:2005 que possibilitam o alinhamento da gesto da segurana da informao com as reas de negcio e faz parte do rol de pesquisas em andamento vinculadas a projeto de dissertao de Mestrado em Tecnologia. Foi realizado um levantamento na norma para identificar as diretrizes que exigem a participao das reas de negcio. Como resultado foi identificado um conjunto de cinqenta e uma diretrizes que requerem esta participao e, consequentemente, possibilitam este alinhamento. Conclui-se desta forma que a referida norma contribui para o alinhamento da gesto da segurana da informao com as reas de negcio. Palavras chave: segurana da informao, objetivos de negcio, alinhamento ao negcio, NBR ISO/IEC 27002. Abstract This research aimed to identify the guidelines of the Standard NBR ISO/IEC 27002:2005 that enable the alignment of the management of information security with business areas and is part of the list of ongoing research project linked to the Master's dissertation in Technology. A research was conducted to identify the standard guidelines that require the participation of business areas. A set of fifty-one guidelines that require such participation, and thus enable the alignment was identified. It is thus that this standard helps to align the management of information security with business areas. Keywords: information security, business goals, aligning the business, NBR ISO/IEC 27002. Introduo Como parte do levantamento terico e estado da arte no rol de pesquisas em andamento vinculadas ao projeto da dissertao de Mestrado em Tecnologia, provisoriamente intitulada: Polticas e normas de segurana da informao: em busca de um padro mnimo e efetivo para as organizaes foi desenvolvida 1

esta pesquisa que tem por objetivo identificar quais diretrizes da Norma NBR ISO/IEC 27002:2005 - Tecnologia da informao Cdigo de prtica para a gesto da segurana da informao, possibilitam o alinhamento da gesto da segurana da informao com as reas de negcio. Esta norma foi tomada como base para esta pesquisa, em funo de ser um normativo internacional produzido pela ISO (International Organization for Standardization) e aceito como padro para a gesto da segurana da informao nas organizaes. Um exemplo de seu uso como base para a gesto da segurana da informao em uma organizao de excelente reputao na rea acadmica e empresarial (Universidade de So Paulo), o documento Poltica de Segurana da USPNet que cita a norma (utiliza a nomenclatura antiga, NBR ISO/IEC 17799:2005) ao indicar suas atribuies, [1]
- Elaborar uma Poltica de Segurana que d sustentao s atividades de proteo da informao eletrnica da Universidade; - Propor Planos de Segurana e de Contingncia para os sistemas computacionais da Universidade, sempre que possvel de acordo com a norma NBR ISO/IEC 17799.

Para se tornar um documento da ISO o texto precisa ser submetido a um grupo de trabalho formado por profissionais de vrias organizaes e de vrios pases, cumpre um processo estruturado de discusso e para sua aprovao precisa ter 75% de votos dos participantes do respectivo comit tcnico, [2]. Antes deste padro, alguns pases tinham regulamentos prprios e cada uma das grandes empresas de consultoria tinha seu padro especfico. Atualmente estas empresas de consultorias apiam e reforam o uso da norma NBR ISO/IEC 27002:2005. A metodologia de pesquisa utilizada foi documental e foi realizada atravs da leitura detalhada da norma com o objetivo de identificar no conjunto das diretrizes aquelas que exigem, direta ou indiretamente, para a sua implantao, a participao das reas de negcio. Esta norma declara no seu Item 0Introduo, que a funo da segurana viabilizar os negcios e indica no seu item 5Poltica de segurana da informao, que a poltica deve estar de acordo com os requisitos de negcio. Com base nestas duas declaraes identifica-se que existe a necessidade de uma relao entre o processo de segurana da informao e os objetivos das reas de negcio. Surge ento a questo: o que a Norma NBR ISO/IEC 27002:2005 exige para o alinhamento do processo de segurana da informao com os objetivos das reas de negcio da organizao? A pesquisa realizada teve por objetivo responder a esta pergunta na medida em que ela identifica, em cada um dos controles da norma, as diretrizes que requerem a participao das reas de negcio. considerada a hiptese de que existem diretrizes que possibilitam o alinhamento da gesto da segurana da informao com as reas de negcio. Este tema significativo no campo da segurana da informao uma vez que se busca o alinhamento da segurana da informao com as reas de negcio. Esta importncia aumenta na medida em que todas as organizaes precisam desenvolver ou manter seus regulamentos de segurana da informao. A Norma ISO/IEC 27002:2005 possibilita esta situao quando declara que os 2

requisitos de segurana da informao podem ser aplicados em todas as organizaes e no depende do seu tipo, tamanho e natureza, [2]. Este artigo inicialmente aborda a Norma ISO/IEC 27002:2005 e em seguida trata a questo de alinhamento da segurana da informao com as reas de negcio identificando na literatura as orientaes sobre este aspecto. Na continuao so descritas as diretrizes que possibilitam que a segurana da informao alcance o seu alinhamento com as reas de negcio. Por fim apresentada a concluso que contem as consideraes finais e as observaes sobre o trabalho realizado.

Norma NBR ISO/IEC 27002:2005 A Norma NBR ISO/IEC 27002:2005 tem sua origem na Norma Britnica BS-7799 que foi criada em 1993 pelo rgo de Padro Britnico (British Standard) que por sua vez se baseou em um cdigo de boas prticas de segurana da informao do Governo do Reino Unido. Em 1995 este cdigo foi republicado pelo BSI-British Standard International e foi criada a norma BSI-7799. No final da dcada de 1990, o BSI criou um programa para a certificao de empresas na Norma BS-7799. O reconhecimento da importncia da segurana da informao aumentou e a Norma BS-7799 foi atualizada, reestruturada e dividida em duas partes: BS-7799-1(Cdigo de prtica) e BS-7799-2 (Requisitos para certificao). O prximo passo foi a transformao em Norma ISO. No ano 2000 a BS-7799-1 foi publicada pela International Organization for Standardization como ISO 17799. Em 2004, ocorreu uma nova reviso e foi publicada a Norma ISO/IEC 17799:2005. Logo depois a ISO dedicou a famlia 27000 ao tema segurana da informao e em 2007 trocou o nome da norma para ISO/IEC 27002:2005, mantendo exatamente o mesmo contedo. Anteriormente, a parte 2 da BS-7799 quando foi transformada em norma ISO, j utilizou a nomenclatura da nova famlia: ISO/IEC 27001:2005. Aps estes fatos a ABNT Associao Brasileira de Norma Tcnicas publicou estas normas em portugus. A Norma NBR ISO/IEC 27002:2005 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a segurana da informao estabelece as diretrizes e os princpios gerais para iniciar, implantar, manter e melhorar a gesto de segurana da informao em uma organizao [3]. Esta norma composta por um conjunto de aes (controles) que tem como objetivo a proteo da informao. Para cada controle so definidas as suas diretrizes que indicam como deve ser implantado o respectivo controle. Algumas diretrizes indicam a participao direta ou indireta da rea de negcio. A identificao das diretrizes que requerem a participao da rea de negcio foi o objetivo desta pesquisa. Na medida em que a rea de negcio define ou participa da definio da segurana da informao em relao aos nveis de controle, prioridade e ao 3

apetite de risco, a gesto da segurana da informao estar alinhada com as reas de negcio e consequentemente com os objetivos das reas de negcio. A Norma NBR ISO/IEC 27002:2005 indica como um dos fatores crticos de sucesso para a implantao da segurana da informao o fato da poltica, dos objetivos e das atividades do processo de segurana da informao estarem aderentes aos objetivos das reas de negcio. Outro fator que a norma destaca o comprometimento e o apoio visvel de todos os nveis gerenciais. A norma ainda descreve que o processo de segurana da informao deve ser feito em conjunto com os outros processos de gesto de negcio, [3].

Alinhamento da segurana da informao ao negcio A Norma NBR ISO/IEC 27002:2005 declara que a informao um ativo essencial para o negcio de uma organizao e necessita ser adequadamente protegida [3]. Porm, a proteo da informao no deve acontecer por si s. A proteo deve acontecer porque existem os objetivos de negcio. Peltier [4] [5] enfatiza que a segurana da informao ajuda a organizao a alcanar seus objetivos de negcio por intermdio de seus ativos tangveis, de seus ativos intangveis e deve dar suporte a realizao da misso da organizao. Ele continua destacando que a alta direo exigida para proteger os ativos da organizao e deve tomar decises baseadas em informaes confiveis. Isto nos indica que o processo de segurana da informao precisa ser posicionado de uma maneira menos operacional. Wylder [6] afirma que os programas de segurana da informao precisam se mover da implantao ttica da tecnologia para se tornar parceiros estratgicos do negcio. Peltier [4] [5] complementa este pensamento quando afirma que s existem objetivos de negcio e a segurana da informao deve estar integrada em todos os processos de negcio. Calder e Watkins [7] reforam quando afirmam que as organizaes devem garantir que qualquer processo que seja implantado deva ser apropriado e construdo sob medida para o ambiente da respectiva organizao. Quando estivermos construindo uma arquitetura de segurana, Sherwood, Clark e Linas [8] nos orientam indicando que a arquitetura corporativa de segurana deve ser guiada com base na perspectiva do negcio e deve considerar a variedade de requerimentos que inclusive podem conflitar entre si. E no podemos esquecer que a segurana da informao vai afetar cada funcionrio da organizao em funo das polticas e dos controles implantados [9]. Domeneghetti e Meir [10] incluem a segurana da informao como um ativo intangvel de proteo de valor. Eles classificam os ativos da organizao em ativos tangveis e ativos intangveis. Os ativos intangveis so divididos em duas categorias de ativos em relao ao propsito econmico: ativos de gerao de valor e ativos de proteo de valor. Estes autores declaram que para alcanar a sustentabilidade corporativa devem-se considerar os ativos tangveis e os ativos intangveis ao longo da vida da organizao. Pensar em sustentabilidade e transparncia nos leva ao conceito de governana. Tomando por base vrias definies do IT Governance Institute [11] 4

pode-se consolidar uma definio para a Governana de Segurana da Informao: a estrutura de relacionamentos e processos para controlar a organizao de maneira que ela alcance seus objetivos e minimize os seus riscos de segurana da informao contando com o envolvimento dos executivos de negcio nas decises relativas segurana da informao e que afetam ao negcio da organizao. Alinhar a segurana da informao aos requisitos de negcio um elemento necessrio para um efetivo processo de segurana da informao. Porm, ao se falar desse alinhamento fica a dvida: como operacionalizar esse alinhamento? A pesquisa apresentada neste artigo identificou no conjunto das diretrizes, aquelas que exigem a participao das reas de negcio e consequentemente possibilitam esse alinhamento. A implantao destas diretrizes possibilita o alinhamento da segurana da informao com as reas de negcio. A Norma ISO/IEC 27002:2005 possui enraizada no seu texto a exigncia deste alinhamento, como dito no seu incio: Convm que os controles assegurem que os riscos sejam reduzidos a um nvel aceitvel levando-se em conta os objetivos organizacionais, [3].

Identificao no conjunto das diretrizes, aquelas que possibilitam o alinhamento da gesto de segurana com os objetivos das reas de negcio. Para cada uma das sees em que a norma divide as categorias principais de segurana da informao, foi analisado o seu texto e foram identificadas aquelas diretrizes, considerando o conjunto de diretrizes, que exigem a participao das reas de negcio. Seo 5: Poltica de Segurana da Informao, ABNT [3]. Diretrizes que definem participao da rea de negcio ou da direo:
a) O documento de segurana da informao deve ser aprovado pela direo. b) O documento de segurana da informao deve conter uma declarao do comprometimento da direo alinhada com os objetivos e a estratgia de negcio. c) A reviso peridica da poltica de segurana da informao deve considerar as mudanas e as circunstncias do negcio.

Estas diretrizes exigem o comprometimento da direo da organizao e desta forma garantem que as orientaes bsicas do processo de segurana da informao estaro alinhadas com os objetivos de negcio e da organizao. Seo 6: Organizando a segurana da informao, ABNT [3]. Diretrizes que definem participao da rea de negcio ou da direo:
a) A direo deve apoiar ativamente o processo de segurana da informao atravs de um claro direcionamento, demonstrando o seu comprometimento, definindo atribuies de forma explcita e reconhecendo as responsabilidades pela segurana da informao. b) A direo deve fornecer um claro direcionamento e apoio para as iniciativas de segurana da informao. c) Dependendo do tamanho da organizao a direo pode definir um frum de gesto

(exclusivo ou j existente) para o acompanhamento e coordenao dos resultados da implantao do processo de segurana da informao. d) As atividades do processo de segurana da informao devem envolver representantes de diferentes partes da organizao. e) Os novos recursos de processamento de informao devem ter a autorizao adequada por parte da administrao dos usurios (rea de negcios) permitindo seus propsitos e uso. f) Quando da proteo do recurso de informao deve-se definir requisitos para a continuidade dos servios de acordo com as prioridades do negcio da organizao.

Estas diretrizes reforam o comprometimento da direo e explicitam a participao e conseqente comprometimento das diversas reas da organizao (reas de negcio): na participao de atividades do processo de segurana da informao, na autorizao de uso de novos recursos de processamento da informao e na definio do nvel de disponibilidade. Desta forma as aes e o nvel de rigidez do processo de segurana da informao sero direcionados pelos requisitos das reas de negcio. Seo 7: Gesto de ativos, ABNT [3]. Diretrizes que definem participao da rea de negcio ou da direo:
a) As informaes e os ativos associados com os recursos de processamento da informao devem ter um proprietrio por uma parte definida da organizao. b) A classificao da informao e seus respectivos controles devem considerar os impactos nos negcios.

Estas diretrizes indicam que: a) diferente do que historicamente ocorreu (ou ocorre) onde a rea de TI na prtica assumia a funo de proprietria da informao, exigido que o proprietrio da informao seja das diversas reas da organizao, isto , seja da rea (de negcio ou de apoio) que responsvel pela informao; b) a classificao da informao existir em funo dos impactos nas reas de negcio, isto , os objetivos de negcio sero a razo do nvel de classificao da informao. Seo 8: Segurana em Recursos Humanos, ABNT [3]. Diretrizes que definem participao da rea de negcio ou da direo:
a) As responsabilidades em relao segurana da informao existem em todos os cargos da organizao. Os papis e responsabilidades em relao ao processo de segurana da informao dos funcionrios, fornecedores e terceiros precisam estar definidos e documentos quando da contratao dessas pessoas. b) conveniente a existncia de um cdigo de conduta que contemple as responsabilidades dos funcionrios, fornecedores ou terceiros em relao tica e a proteo dos dados. c) A conscientizao, educao e treinamento em segurana da informao devem ser adequados aos papis, responsabilidade e das pessoas.

Estas diretrizes explicitam que todos os cargos (e consequentemente todas as pessoas) possuem responsabilidades com o processo de segurana da informao e que orientaes corporativas, como o cdigo de tica, devem falar da proteo da informao, indicando dessa maneira que a segurana da informao deve ser uma preocupao da organizao. Como preocupao organizacional, os objetivos de negcio dessa organizao devero ser considerados no processo de segurana da informao. 6

Seo 9: Segurana fsica e do ambiente Para esta seo no foram identificadas diretrizes que explicitamente reforam o alinhamento da Gesto da Segurana da Informao com os objetivos de negcio. Seo 10: Gerenciamento das operaes e comunicaes, ABNT [3]. Diretrizes que definem participao da rea de negcio ou da direo:
a) Todas as pessoas envolvidas em cada mudana devem ser comunicadas dos detalhes das mudanas. b) Convm que sejam estabelecidos os procedimentos e responsabilidades gerenciais formais para garantir que haja um controle satisfatrio de todas as mudanas. c) As mudanas em sistemas devem ser realizadas apenas quando houver uma razo de negcio vlida para tal. d) As funes e reas de responsabilidade devem ser segregadas para reduzir as oportunidades de modificao ou uso indevido no autorizado ou no intencional dos ativos da organizao. e) Os recursos que possuem um ciclo de renovao ou custo maior devem ser monitorados pelos gestores que devem identificar as tendncias de utilizao, particularmente em relao s aplicaes do negcio, com o objetivo de identificar e evitar os potenciais gargalos e a dependncia em pessoas chaves que possam representar ameaas segurana dos servios. f) Quando de novos sistemas, atualizaes e novas verses a aceitao formal deve considerar s requisitos de continuidade dos negcios. g) Na proteo contra cdigos maliciosos devem-se preparar planos de continuidade do negcio. h) As cpias de segurana devem refletir os requisitos de negcio da organizao e para tanto devem ter o nvel necessrio para a existncia dessas cpias. i) Deve-se prevenir contra a divulgao no autorizada, remoo ou destruio de recursos de informao que podem causar interrupo das atividades do negcio e as mdias as mdias removveis devem estar habilitadas somente se houver uma necessidade de negcio. j) Devem-se ter diretrizes de reteno e descarte para toda a correspondncia de negcios. k) Convm que os aspectos de segurana contidos nos acordos de troca de informao reflitam a sensibilidade das informaes envolvidas no negcio. l) Convm que as polticas e procedimentos sejam desenvolvidos e implantados para proteger as informaes associadas com a interconexo de sistemas de informaes do negcio. m) Deve existir uma Gesto de Mudana que garanta um rgido controle das alteraes que sero feitas no ambiente de processamento das informaes, considerando os impactos potenciais e a comunicao dos detalhes das mudanas para todas as pessoas envolvidas.

Estas diretrizes so variadas, mas todas tm como base a participao das reas de negcio ou a exigncia de definies de segregao de funo. Seo 11: Controle de acessos, ABNT [3]. Diretrizes que definem participao da rea de negcio ou da direo:
a) Convm que a poltica de controle de acesso seja estabelecida documentada e analisada criticamente tomando-se como base os requisitos de acesso dos negcios. b) O acesso do usurio deve ser permitido apenas onde existe necessidade do negcio ou razes operacionais. c) O nvel de acesso concedido ao usurio deve ser apropriado ao propsito do negcio. d) Para o usurio ter acesso ao sistema necessrio a autorizao do proprietrio do sistema. e) O estabelecimento de perfis de acesso para usurio deve ser baseado nos requisitos dos negcios.

O acesso a informao exige que as reas de negcio sejam as responsveis para a liberao da informao do negcio para todas as reas da organizao. Seo 12: Aquisio, desenvolvimento e manuteno de sistemas, ABNT [3]. Diretrizes que definem participao da rea de negcio ou da direo:
a) Convm que sejam especificados os requisitos para controles de segurana nas especificaes de requisitos de negcios, para novos sistemas ou melhorias dos sistemas existentes. b) Convm que requisitos de segurana e controles reflitam o valor para o negcio dos ativos de informao envolvidos e os danos potenciais ao negcio que poderiam resultar de uma falha ou ausncia de segurana.

Desde a etapa de desenvolvimento ou aquisio de sistemas de informao, as reas de negcio precisam ser envolvidas. Os sistemas e posteriores controles de segurana existem para a realizao do negcio. Seo 13: Gesto de incidentes de segurana da informao, ABNT [3]. Diretrizes que definem participao da rea de negcio ou da direo:
a) Convm que os eventos de segurana da informao sejam relatados atravs dos canais da direo, o mais rpido possvel. b) Deve existir um ponto de contato de conhecimento de toda a organizao para receber as notificaes de segurana da informao.

Neste item temos o uso de canal da direo e a nfase para que toda a organizao conhea o ponto de contato para relato de gesto de incidentes. Seo 14: Gesto de continuidade de negcio, ABNT [3]. Diretrizes que definem participao da rea de negcio ou da direo:
a) Convm que um processo de gesto seja desenvolvido e mantido para assegurar a continuidade do negcio por toda a organizao. b) Quando do entendimento dos riscos que a organizao est exposta, no que diz respeito sua probabilidade e impacto no tempo, deve-se considerar a identificao e prioridade dos processos crticos de negcio. c) Devem-se identificar os ativos dos processos crticos de negcio. d) Deve-se entender o impacto que os incidentes de segurana da informao tero sobre os negcios. e) Deve-se buscar garantir que a gesto da continuidade do negcio est incorporada aos processos estruturais da organizao. f) Convm que as anlises/avaliaes de riscos de continuidade de negcio sejam realizadas com total envolvimento dos responsveis pelos processos e recursos do negcio. g) Convm que a anlise/avaliao de riscos identifique, quantifique e priorize os critrios baseados nos riscos e os objetivos pertinentes organizao. h) Deve-se ser definida uma abordagem estratgica para a continuidade dos negcios e a mesma deve ser validada com a direo da organizao. i) Ao ser desenvolvido o plano de continuidade de negcios deve-se ser dada ateno especial avaliao de dependncias externas ao negcio e de contratos existentes. j) Convm que o processo de planejamento foque nos objetivos requeridos do negcio.

Este o item da norma que mais fortemente acontece a participao da rea de negcio. Fica bastante claro que um plano de continuidade deve existir para possibilitar a continuidade do negcio. Seo 15: Conformidade, ABNT [3]. Diretrizes que definem participao da rea de negcio ou da direo:
a) Convm que a direo aprove o uso de recursos de processamento de informao.

b) Os recursos de processamento da informao de uma organizao so destinados bsica ou exclusivamente para atender aos propsitos do negcio. c) Se qualquer no-conformidade for encontrada como um resultado da anlise crtica convm que os gestores determinem as causas da no conformidade; avaliem aes para que a no conformidade se repita; determinem e implementem ao corretiva apropriada e analisem a ao corretiva tomada.

Este item tem como foco principal a necessidade da organizao cumprir os regulamentos, a legislao e seus contratos. De uma maneira indireta, tudo que torna a organizao no cumpridora das suas obrigaes afetar a rea de negcio. Sendo assim a rea de negcio deve ser a unidade organizacional que mais deseje a garantia do cumprimento legal e contratual. Seo 4: Anlise/avaliao e tratamento de risco, ABNT [3]. A Norma NBR ISO/IEC 27002:2005 no considera a anlise/avaliao e tratamento de risco como uma das categorias principais da segurana da informao. Entendemos que ela uma espcie de ferramental que as categorias podem utilizar para identificar o impacto na organizao caso o controle apresentado no esteja efetivo. Porm a Norma deixa bem explcita a necessidade da participao da rea de negcio quando declara, [3]:
a) Convm que as anlises/avaliaes de riscos identifiquem, quantifiquem e priorizem os riscos com base me critrios para a aceitao dos riscos e dos objetivos relevantes para a organizao. b) Convm que os controles assegurem que os riscos sejam reduzidos a um nvel aceitvel, levando-se me conta os objetivos organizacionais.

Concluso Como resultados desta pesquisa exploratria foram identificados em onze categorias, das doze categorias existentes na norma, cinqenta e uma diretrizes que exigem a participao das reas de negcio e consequentemente possibilitam o alinhamento da gesto da segurana da informao com as mesmas. Desta maneira, conclui-se que a Norma NBR ISO/IEC 27002:2005 contribui atravs das suas diretrizes para o alinhamento da gesto da segurana da informao com as reas de negcio. As informaes deste artigo sero parte do levantamento terico e estado da arte no rol de pesquisas em andamento vinculadas ao projeto da dissertao de Mestrado em Tecnologia, provisoriamente intitulada: Polticas e normas de segurana da informao: em busca de um padro mnimo e efetivo para as organizaes. Referncias Livros e Teses [2] ISO - International Organization for Standardization (2005) Information technology Security techniques Code of practice for information security management - Final draft ISO/IEC FDIS 17799, ISO. 9

[3] ABNT Associao Brasileira de Normas e Tcnicas (2005) Tecnologia da informao Tcnicas de segurana Cdigo de Prtica para a gesto da segurana da informao NBR ISO/IEC 27002, ABNT, Brasil. [4] Peltier, T. R. (2004) Information Security Policies and Procedures, Auerbach Publications, New York. [5] Peltier, T. R., Peltier, J., Blackley, J., (2005) Information Security Fundamentals, Auerbach Publications, New York, USA. [6] Wydler, J. (2004) Strategic Information Security, Auerbach Publications, New York. [7] Calder, A., Watkins, S. (2005) IT Governance A Managers Guide to Data Security and BS17799, Editora Kogan Page, London. [8] Sherwood, J., Clark, A., Lynas, D. (2005) Enterprise Security Architecture, CMP Books, New York. [9] Maiwald, E., Sieglein, W. (2002) Security Planning & Disaster Recovery, Mcgraw-Hill, New York. [10] Domeneghetti, D., Meir, R. (2009) Ativos Intangveis, Elsevier Editora, Rio de Janeiro. [11] ITGI Information Technology Governance Institute (2008) Information Security Governance: Guidance for Information Security Managers, ISACA, Rolling Meadows/USA. Internet [1] USP UNIVERSIDADE DE SO PAULO (2010) Poltica de Segurana da USPNet. Disponvel em: <http://www.security.usp.br/normas_pseg00.html>. Acesso em: 15-junho-2010. Contato Edison Luiz Gonalves Fontes, Alameda Santos, 1.293, Conjunto 84 Cerqueira Csar So Paulo, SP, CEP 01419-001. Setembro/2010. Napoleo Verardi Galegale, R. Dr. Cndido Espinheira, 560, Conj. 81, Perdizes, So Paulo, SP, CEP 05004-000. Setembro/2010.

10