Monografia SI Rsicos

Fundao Getulio Vargas Escola de Administrao de Empresas de So Paulo
ANDRE SHIGUERU HORI
Modelo de Gesto de Risco em Segurana da Informao: Um estudo de caso no mercado brasileiro de Cartes de Crdito
So Paulo 2003
ANDRE SHIGUERU HORI
Banca Examinadora: Prof. Orientador Dr. Jaci Corra Leite Prof. Dr. Eduardo H. Diniz Prof. Dr. Hiroo Takaoka FEA/USP
Fundao Getulio Vargas Escola de Administrao de Empresas de So Paulo
ANDRE SHIGUERU HORI
Dissertao apresentada ao Curso de Ps-Graduao da FGV-EASP rea de Concentrao: Sistemas de Informao Como requisito para obteno do ttulo de Mestre em Administrao.
Orientador: Prof. Dr. Jaci Corra Leite
So Paulo 2003
Dedico esta dissertao e o prprio ttulo de Mestre aos meus pais, Yoichi e Anna, e minha esposa Delva..
AGRADECIMENTOS
Registrar o agradecimento a todos aqueles que contriburam para realizao deste trabalho o mnimo que posso fazer como forma de expressar meu reconhecimento aos esforos, incentivos e apoios que recebi e aos quais gostaria de prestar os meus mais sinceros agradecimentos. Agradeo minha famlia, minha esposa Delva Damaceno, e meus filhos, Willian e Jhessica, por sua grande pacincia, incentivo e apoio em todos os momentos difceis realizao deste trabalho. Agradeo em especial ao professor e orientador Jaci Corra Leite, que me estimulou, aconselhou, e orientou de maneira segura este meu trabalho at sua concluso, mesmo tendo o tempo como nosso grande inimigo. Aos professores Eduardo Diniz e Hiroo Takaoka, por se predisporem a analisar este trabalho. Ao professor Paulo Roberto Feldmann pelo incentivo e inspirao. Agradeo aos amigos, Nelson Hirano e Sergio Schmidt, que sempre me incentivaram e apoiaram nas diversas situaes profissionais, durante todos estes anos, para que eu pudesse executar e concluir este trabalho. Agradeo a PricewaterhouseCoopers, na pessoa de Edgar Roberto DAndrea, pela compreenso, incentivo e condies para que este trabalho pudesse ser finalizado. Agradeo tambm Visanet, especialmente ao Sergio Cloves pelo apoio e suporte necessrio para a realizao deste trabalho. Agradeo tambm todos os profissionais da Visanet que participaram e contriburam para o estudo de caso. Agradeo aos meus colegas, professores e funcionrios da Fundao Getulio Vargas que me ensinaram muitas coisas importantes e interessantes durante esta agradvel convivncia nestes ltimos anos.
Deixo tambm meus agradecimentos aos amigos Andre Ohl, Iuzo Yokobatake, Ramon Bustamante, Frederico Seidi Hori, Fabio Odaguiri, Vladimir Seger, Augusta Takeda, Celso Fujita, Ansio Straub, Debora Morandim, Carolina Hori, Marcos Gama, Darli Cunha, Tayse Orlovas, Lorival Rangel Mattos e Luciana Damaceno, que me incentivaram e contriburam direta ou indiretamente para realizao deste trabalho. Agradeo aos meus avs, Toshio e Yoshie Takeda, e Shiniti e Yoshie Hori, e muito aos meus pais, Yoichi e Anna Hori, que sempre acreditaram e investiram em mim muito esforo, amor, e educao. Obrigado por me ajudarem a alcanar minhas metas e sonhos.
H muitos Inimigos uma tcnica que se aplica nos combates contra muita gente.(...) O esprito deve ser enfrentar os inimigos em todas as direes, pois eles podem vir de todos os lados. Observe a sua ordem de ataque, e enfrente primeiro quem atacar primeiro. Miyamoto Musashi em O Livro de Cinco Anis
RESUMO As questes ligadas a gesto de riscos associados a segurana da informao j uma realidade no cenrio empresarial brasileiro. O crescimento das operaes de negcios em direo aos sistemas de informao baseados em tecnologia fez com que os nmeros de ameaas e de vulnerabilidades sobre as redes de computadores e comunicaes aumentassem. Vrios so os desafios de estruturao e implementao de uma rea de segurana da informao dentro das empresas. Este trabalho analisa as diversas formas de construo de uma infra-estrutura de gesto de risco em segurana de informao, no s no mbito tecnolgico, mas tambm, no operacional e no mercadolgico, de forma a estabelecer uma relao transparente s demais reas internas da organizao, aos clientes e a todo o mercado. A segurana da informao, vista freqentemente como um assunto ligado a tecnologia, passa a ser entendida cada vez mais como um processo de negcio, e conseqentemente, uma grande vantagem competitiva para o mundo empresarial. PALAVRAS-CHAVE ?? Segurana da informao ?? Segurana de computadores ?? Segurana de redes ?? Gerenciamento da segurana da informao ?? Gerenciamento de risco ?? Modelo de gesto de risco
ABSTRACT The concerns regarding managing information security risks are already part of the Brazilian enterprise environments reality. The business processes' expansion towards the information systems based on technology made the number of threats grow as well as the vulnerability of the computer and communication networks. Several are the challenges regarding the security information areas infrastructure, and also the implementation of it within a given company. This study analysis the different ways of building up a managing information security risks infrastructure, not only at the technology level but also at the operational level as well as on regarding the marketing concepts, establishing a clear relation to all other internal areas of the company, and also to customers and to the marketplace itself. The information security, often taken as a technology matter, is now seen as a business process; consequently, it is understood by the enterprise world as a real competitive advantage.
KEY WORDS ?? Information security ?? Computer Security ?? Netowork security ?? Information security management ?? Risk management ?? Risk management model
XIII SUMRIO 1. Introduo ...................................................................................................................16 1.1. Definio do Problema ......................................................................................18 1.2. Justificativa do Estudo .......................................................................................21 1.3. Objetivos ..............................................................................................................23 1.3.1. Objetivo Geral..............................................................................................23 1.3.2. Objetivos Especficos .................................................................................23 1.3.3. Delimitao do Objeto ................................................................................24 2. Fundamentao Terica...........................................................................................25 2.1. Gerenciamento de riscos ..................................................................................25 2.1.1. Conceito de risco.........................................................................................25 2.1.2. Classificao dos riscos.............................................................................26 2.1.3. O processo de gerenciamento de risco...................................................35 2.2. Gesto de risco e segurana da informao .................................................47 2.2.1. Conceitos bsicos sobre segurana da informao..............................48 2.2.2. Ameaas e seus elementos ......................................................................51 2.2.3. Gerenciamento de risco e segurana da informao ...........................56 2.2.4. Segurana da informao e auditoria de sistemas ...............................62 2.3. Modelo de Gesto de Risco em Segurana da Informao........................67 2.3.1. Direcionadores de negcio e agentes de implementao ...................67 2.3.2. Alinhamento estratgico da segurana da informao.........................71 2.3.3. Segurana das Operaes ........................................................................83 2.3.4. Gerenciamento de Identidades...............................................................102
2.3.5. Modelos de gesto de risco em segurana da informao................110 3. Metodologia da Pesquisa .......................................................................................114 3.1. Pesquisa Exploratria ......................................................................................114 3.2. Estudo de caso .................................................................................................115 3.3. Seleo do Caso nico ...................................................................................117 4. Estudo de Caso Resultados da Pesquisa ...........................................................119 4.1. O negcio VISANET ........................................................................................119 4.1.1. Estrutura organizacional ..........................................................................121 4.1.2. Conceitos e terminologias da VISANET................................................122 4.1.3. A relao da VISANET com seus parceiros .........................................125 4.1.4. Principais processos de negcio ............................................................126 4.1.5. Detalhes tecnolgicos e operacionais ...................................................129 4.2. Segurana da informao na VISANET.......................................................130 4.2.1. Alinhamento estratgico...........................................................................130 4.2.2. Segurana das operaes.......................................................................138 4.2.3. Gerenciamento de Identidades...............................................................154 5. Discusso dos Resultados .....................................................................................159 6. Concluso .................................................................................................................170 6.1. Concluses ........................................................................................................170 6.2. Limitaes..........................................................................................................172 6.3. Sugestes para novas pesquisas..................................................................173 7. Bibliografia ................................................................................................................175 8. Glossrio ...................................................................................................................186 Anexo 1: Questionrios ...............................................................................................193
XV LISTA DE FIGURAS
FIGURA 1: COMO O BRASILEIRO GASTA SEU DINHEIRO ....................................................................... 19 FIGURA 2: ABECS EVOLUO ANUAL............................................................................................................ 19 FIGURA 3: EVOLUO DO MERCADO ............................................................................................................. 22 FIGURA 4: TIPOS DE RISCO................................................................................................................................... 31 FIGURA 5: CLASSIFICA O DE RISCO ............................................................................................................ 32 FIGURA 6: PROCESSO DE GERENCIAMENTO DE RISCO DE CULP....................................................... 36 FIGURA 7: OBJETIVOS DE NEGCIO X RISCOS............................................................................................ 37 FIGURA 8: CLCULO DA PROBABILIDADE................................................................................................... 39 FIGURA 9: IMPACTOS .............................................................................................................................................. 40 FIGURA 10: CRITICIDADE...................................................................................................................................... 40 FIGURA 11: ESTUTRUTURA TEMPORAL......................................................................................................... 40 FIGURA 12: COMPARA O ENTRE OS MTODOS ...................................................................................... 42 FIGURA 13: MITIGAR O RISCO............................................................................................................................. 44 FIGURA 14: CADEIA DE VALOR DE PORTER................................................................................................. 47 FIGURA 15: AMEAAS ............................................................................................................................................ 52 FIGURA 16: NATUREZA DOS ATAQUES .......................................................................................................... 54 FIGURA 17: ATACANTES........................................................................................................................................ 55 FIGURA 18: RISK MANA GEMENT MODEL...................................................................................................... 58 FIGURA 19: RISK MANA GEMENT MODEL...................................................................................................... 58 FIGURA 20: INFORMATION SECURITY RISK MANAGEMENT PRINCIPLES...................................... 59 FIGURA 21: INFORMATION SECURITY RISK MANAGEMENT................................................................ 62 FIGURA 22: COBIT PRINCIPLES........................................................................................................................... 64 FIGURA 23: COBIT PROCESS ................................................................................................................................ 65 FIGURA 24: GERENCIAMENTO DA INFORMAO ..................................................................................... 65 FIGURA 25: INFORMATION RISK MANAGEM ENT....................................................................................... 68 FIGURA 26: ESTRUTURA ORGANIZACIONAL............................................................................................... 76 FIGURA 27: ESTRUTURA ORGANIZACIONAL TRADICIONAL............................................................... 77 FIGURA 28: ESTRUTURA PROPOSTA POR BYRNES.................................................................................... 78 FIGURA 29: INFORMATION SECURITY RISKS............................................................................................. 110 FIGURA 30: MANAGING INFORMATION SECURITY RISKS................................................................... 111 FIGURA 31: INFORMATION RISK MANAGEMENT..................................................................................... 111 FIGURA 32: MODELO DE GESTO DE RISCO EM SEGURANA DA INFORMAO.................... 112 FIGURA 33: PROCESSOS VISANET ................................................................................................................... 123 FIGURA 34: INFRA-ESTRUTURA DA VISANET ............................................................................................ 130 FIGURA 35: ESTRUTURA ORGANIZACIONAL DA REA DE SEGURANA ..................................... 133 FIGURA 36: MATRIZ DE RISCO: PROCESSO X CIA X IMPACTO........................................................... 144 FIGURA 37: MATRIZ DE AVALIAO DOS RISCOS .................................................................................. 144 FIGURA 38: MODELO DE FORAS DE PORTER APLICADO A VISANET .......................................... 159 FIGURA 39: MATRIZ SWOT ................................................................................................................................. 160 FIGURA 40: CADEIA DE VALOR DE PORTER APLICADA A VISANET ............................................... 161 FIGURA 41: ADERNCIA DA VISANET AO MODELO DE GESTO ..................................................... 169 FIGURA 42: MODELO DE GESTO DE RISCO EM SEGURANA DA INFORMAO.................... 171
SEGURANA DA INFORMAO
1-Introduo
Pg.
16
1. Introduo
Nos ltimos anos, o mundo moderno tem vivenciado a velocidade da evoluo da era da informao. Nessa era, a velocidade da propagao e da disponibilizao da informao gera diversos avanos conjunturais e mercadolgicos, dentre os quais vale a pena ressaltar:
?? ??
Competio global; Crescimento da dependncia nos sistemas de informao baseado em tecnologia; Vulnerabilidades significantes das redes de computadores e comunicaes; Grande nmero de colaboradores e trocas de informaes; Uso de redes pblicas, tais como a Internet; Crescimento do comrcio eletrnico; Troca rpida na tecnologia; Desenvolvimento de novos tipos de aplicaes; Demanda por melhores funcionalidades e performance.
??
?? ?? ?? ?? ?? ??
Estes efeitos provenientes dos avanos tecnolgicos e conjunturais tm exigido das empresas constantes evolues organizacionais, operacionais, e tecnolgicas. Neste cenrio, produtos e servios so criados dentro de um ambiente extremamente dinmico. De um lado existe o desafio de inovar, agilizar e controlar novos processos continuamente, identificando e gerenciando riscos. Por outro lado, h o dilema, das organizaes, de encontrar o equilbrio entre construir uma relao de confiabilidade, dentro de um ambiente dinmico, competitivo e dependente de tecnologia, e de proteger a reputao da instituio de fraudes, perda de informao, e de confiabilidade, e de outras formas de desvios que acarretem perdas financeiras, direta ou indiretamente. Agora imagine-se a seguinte cena: o presidente da empresa chama o responsvel pela segurana de TI e o responsvel pela segurana fsica da corporao e pede um relatrio sobre como a empresa est preparada para os
1-Introduo
Pg.
17
problemas referentes segurana. O fato provavelmente observado ser: os gerentes praticamente no se haviam encontrado ou conversado antes e, com certeza, nunca tinham desenvolvido uma estratgia de segurana coerente e amarrada. Os executivos de negcios acham estranhos como dois departamentos com a misso de gerenciar e de reduzir os riscos do negcio no estejam coordenando seus esforos, sem considerar que h dois departamentos responsveis pela segurana. A razo dessa discrepncia simples: as tecnologias e os processos para segurana tecnolgica requerem um conhecimento diferente do de segurana fsica. As empresas comeam a olhar para o gerenciamento de risco como um processo de negcios da segurana e concluem esse processo menos efetivo se for segregado em dois departamentos que no se interagirem. A gesto de segurana da informao tem que lutar em todos os fronts: nos fronts da TI, da cultura empresarial, da proteo dos ativos fsicos, das negociaes estratgicas, etc. No passado no muito distante, a direo das empresas costumava entregar o gerenciamento de risco tcnico para especialistas de TI, enquanto a equipe de segurana fsica se focava na segurana dos empregados, preveno de crimes e gerenciamento de risco fsico. De forma similar, os membros da equipe de TI tinham seus prprios interesses, como defesa da rede, de servidores e de estaes de trabalho, alm de cuidarem de gerenciamento de senhas, da preveno a ataques de hackers e da segurana de Web sites. Nestes ltimos anos passou a ser comum analisar a segurana em termos de valor para os negcios e para os processos. Por exemplo, as preparaes contra desastres, espionagem e terrorismo so fatores que causam impacto em toda a organizao, atingindo dos acionistas aos empregados, e est ligada s estratgias de segurana. A segurana da informao deve dirigir as atividades de segurana fsica e as funes de segurana lgica, de modo a coordenar e integrar uma ampla variedade de funes que guardem sinergia entre si.
1-Introduo
Pg.
18
Fica, portanto, evidente que a segurana um servio essencial que permeia toda a organizao, o que significa tambm que a segurana est evoluindo rumo a um papel essencial, com responsabilidades no s em TI, mas tambm na melhoria da eficincia operacional dos negcios e na implementao de formas de gesto de risco a um custo compatvel com a realidade da empresa. Tudo isso fica claro quando as empresas tratam a segurana como um processo de negcios, atribuindo a responsabilidade a uma rea especfica para coordenar os diversos componentes do gerenciamento de risco de segurana da informao dentro da organizao. Esta constatao levou ao surgimento da rea de segurana da informao.
1.1. Definio do Problema

Segundo BEHAN (1990) o homem pr-histrico no tinha nada para comprar e vender e, portanto, no tinha a necessidade de um sistema de pagamento. Passados 100 mil anos, o homem sentiu a necessidade de armazenar e transacionar alimentos durante os tempos de escassez. O homem com sua inteligncia criou o mais simples sistema de meio de pagamentos: um sistema de moedas, que no s desenvolveu suas habilidades para trabalhar com o metal, mas tambm ensinou-o a comunicar-se atravs de smbolos abstratos. Analisar a evoluo dos sistemas de meio de pagamentos analisar a prpria histria do homem moderno. Segundo FORTUNA (1999), o dinheiro de plstico mais um sistema de meio de pagamento que facilita a vida do homem moderno e representa um enorme incentivo ao consumo. A evoluo tecnolgica e cultural proporciona cada vez mais a troca dos pagamentos em cheque por meios eletrnicos, como cartes de dbito e crdito. Isto se deve ao fato de oferecer benefcios para todas as partes envolvidas. Para o estabelecimento comercial, este meio de pagamento garante o recebimento da venda e evita a perda de tempo no levantamento da ficha do cliente. Para o portador do carto, ou comprador, a facilidade de utilizao atrelada
1-Introduo
Pg.
19
privacidade de seus dados pessoais, confirma a preferncia cada vez maior da utilizao deste meio de pagamento, conforme mostram os levantamentos da Visa do Brasil. DINIZ - REVISTA EXAME (15/07/2002).
Figura 1: Como o brasileiro gasta seu dinheiro
De acordo com a Associao Brasileira das Empresas de Cartes de Crdito e Servio - ABECS (2002), o nmero de transaes feitas apenas com cartes de crdito saltou de 516, 7 milhes em 1997 para 1,03 bilho no ano de 2001.
Figura 2: ABECS evoluo anual
1-Introduo
Pg.
20
Alm disto, segundo pesquisa realizada pela Credicard, o Brasil ocupa hoje a 7 posio no ranking mundial de cartes de crdito. Os Estados Unidos continuam como o pas com a maior emisso de cartes de crdito, com 583,8 milhes, seguidos pelo Japo, com 136,8 milhes, e pelo Reino Unido, com 80 milhes. O estudo mostra tambm que 34% dos brasileiros economicamente ativos possuem carto. ABECS (2002). Proporcionalmente ao crescimento da utilizao deste meio de pagamento, crescem tambm os riscos inerentes a estas operaes. Cada vez mais freqentes, as fraudes neste tipo de transao provocam perdas anuais pesadssimas para as instituies financeiras responsveis pela operao do sistema. Para manter esses riscos sob controle, preciso elaborar uma gesto dos riscos tecnolgicos, para que a segurana da informao seja gerenciada de forma eficaz, e constantemente manter essa gesto atualizada, seguindo boas prticas a serem empregadas no planejamento, desenho, implementao e manuteno dos sistemas da informao. No entanto, nos ltimos anos, a ateno sobre a segurana da informao esteve sempre mais voltada aos recursos de tecnologia. A mudana das arquiteturas de segurana e a crescente prioridade que o assunto vem ganhando dentro das corporaes esto levando emergncia da criao da rea de segurana da informao. A maioria das instituies financeiras concorda que apropriado colocar a segurana como prioridade. O que no parece apropriado, no entanto, deixar decises de risco para negcios estratgicos sob a responsabilidade da equipe de tecnologia. Os profissionais do departamento de TI certamente sabem avaliar riscos tcnicos, mas esse time dificilmente est em condies de avaliar o risco de negcios, que responsabilidade de gerentes e diretores, aconselhados por auditores e, sobretudo, pela rea de segurana da informao.
1-Introduo
Pg.
21
1.2. Justificativa do Estudo

A gesto da segurana da informao abordada como contexto deste estudo, pois a segurana de uma corporao mais do que um conjunto de tecnologias. Atrelados a ela, esto questes legais, aspectos fsicos e culturais da empresa, alm da implicao em planejamento estratgico, negociaes complexas e resoluo de problemas. Esses desafios exigem, atualmente, o desenvolvimento de uma rea altamente especializada em negcios e, ao mesmo tempo, com grande conhecimento tecnolgico, de forma a prover segurana s informaes da empresa. A criao de uma rea especfica em segurana da informao apareceu no cenrio corporativo dos Estados Unidos e Europa nos dois ltimos anos. Desde ento, ela atraiu muita ateno, mas no se pode ainda dizer que seja comum nas empresas. A escolha do tema modelo de gesto est relacionada ao desafio de dirigir tecnologias, processos, polticas e pessoas em relao a uma postura comum de segurana. preciso mapear medidas de proteo, balancear as necessidades de negcios com as de segurana, auxiliar gerentes de negcios a compreender quais so as potenciais vulnerabilidades e os riscos de seus departamentos, alm de apoiar os executivos em negociaes nas quais questes de segurana tm um peso importante dentro das organizaes atualmente. A prioridade da gesto da segurana da informao certificar-se de que a segurana seja uma responsabilidade que permeie toda a corporao. Neste mundo globalizado, onde as informaes atravessam fronteiras com velocidade espantosa, a proteo do conhecimento de vital importncia para a sobrevivncia das organizaes. Uma falha, uma comunicao com informaes falsas ou um roubo ou fraude de informaes podem trazer graves conseqncias para organizao, como perda de mercado, de negcios e, conseqentemente, perdas financeiras. (NAKAMURA, 2002, pg. 28).
1-Introduo
Pg.
22
A limitao deste estudo para a indstria de cartes de crdito se deve ao fato de que so grandes as expectativas sobre segurana da informao nas instituies financeiras. (), uma fonte potencial de problemas a preocupao dos clientes com privacidade e segurana, que poderia levar uma forte reao contra os fornecedores que utilizam tais sistemas ou simplesmente a sua no utilizao por parte dos clientes. (ALBERTIN, 1999, pg. 154). Alm disto, se analisarmos o quadro comparativo entre os mercados desta indstria, podemos observar a crescente ascenso do mercado brasileiro neste segmento. Observamos que o Brasil, apesar da pequena participao perante os lderes de mercado, supera os maiores em alguns indicadores, como por exemplo, o nmero de transaes mensais por carto maior que o principal lder, os Estados Unidos da Amrica.
Figura 3: Evoluo do mercado (REVISTA CARDNEWS, Nov. 2001, pg. 49 )
A restrio deste estudo ao mercado brasileiro somente se justifica pelo fato de que o universo de estudo estaria sujeito s restries impostas pelas polticas governamentais. Alm disto, esta limitao justifica-se de forma a
1-Introduo
Pg.
23
permitir comparar a estruturao da gesto da segurana da informao com a de outros pases onde existam estudos similares.
1.3. Objetivos
1.3.1. Objetivo Geral Utilizando-se a metodologia do estudo de caso, o objetivo principal consiste em investigar como construir uma infra-estrutura de gesto de risco em segurana de informao, no s no mbito tecnolgico, mas tambm no operacional e no mercadolgico, de forma a estabelecer uma relao transparente s demais reas internas da organizao, aos clientes e a todo o mercado.
1.3.2. Objetivos Especficos Atravs da metodologia de estudo de caso, so objetivos especficos deste trabalho:
??
Analisar o intento estratgico da empresa a ser estudada e seus objetivos de negcio Aplicar os quesitos de segurana da informao situao da empresa Comparar os resultados atravs do desenho de um modelo de gesto da segurana da informao aderente e especfico ao seu negcio.
?? ??
A partir desta anlise, pode-se verificar se a gesto da segurana da informao tratada formalmente, atravs de uma rea de gesto especfica, ou se as responsabilidades sobre o assunto se encontram distribudas entre as diversas reas nas empresas administradoras de carto de crdito. So ento estabelecidas as seguintes hipteses (nula e alternativa) a serem testadas:
1-Introduo
Pg.
24
H1: A empresa analisada pertencente a indstria de carto de crdito trata a gesto da segurana da informao de forma centralizada e especializada. Hiptese alternativa: No existe tal tratamento centralizado e especializado na indstria de carto de crdito.
Na hiptese de H1 ser verdadeira, prope-se verificar de que forma a gesto da segurana da informao tratada dentro da indstria. Para isto, estabelecem-se ento as seguintes hipteses (nula e alternativa) a serem tambm testadas: H2: A empresa analisada pertencente a indstria de carto de crdito executa uma anlise de risco para a gesto da segurana da informao de forma aderente e especfica ao seu negcio. Hiptese alternativa: No existe tal anlise de risco para a gesto da segurana da informao na indstria de caro de crdito.
1.3.3. Delimitao do Objeto O campo de estudo deste trabalho est limitado indstria de administrao de cartes de crdito no Brasil. Todas as necessidades de segurana da informao apresentadas neste trabalho so relativas ao cenrio scio-econmico brasileiro.
2 Fundamentao Terica
Pg.
25
2. Fundamentao Terica
Neste captulo, analisaremos as teorias relativas ao gerenciamento de riscos (amplamente exploradas e estruturadas sob uma viso de riscos financeiros e operacionais), os conceitos bsicos sobre segurana da informao, segundo diversos autores; e o gerenciamento de riscos aplicado segurana da informao, e finalizaremos com um modelo conceitual.
2.1. Gerenciamento de riscos

Segundo DOWD (1998), tudo muda, tanto para o bem quanto para o mal, e afeta as pessoas e as organizaes. Mudanas sempre carregam riscos, sejam eles tanto para o ganho quanto para a perda, e lidar com eles faz parte tanto da vida das pessoas quanto da sobrevivncia de uma organizao. Lidar com os riscos no significa elimin-los ou simplesmente ignor-los. Significa que devemos gerenciar os riscos: decidir quais devemos evitar e como, quais riscos aceitar e em que condies, quais riscos devemos tomar, etc.
2.1.1. Conceito de risco Existem diversas definies em torno da palavra risco. Podemos citar as definies de diversos autores:
(...) 2. Situao em que h probabilidades mais ou menos previsveis de perda ou ganho (...). (FERREIRA, 1999, pg. 1772). (...)a possibilidade de que os resultados realizados possam ser diferentes daqueles esperados.. (GITMAN, 1997, pg. 17).
Pg.
26
Risco pode ser definido, de forma abrangente, como o potencial de eventos ou tendncias continuadas causarem perdas ou flutuaes em receitas futuras. (MARSHALL, 2002, pg. 19). Risk is a condition in which there is a possibility of an adverse deviation from a desired outcome that is expected or hoped for. (VAUGHAN, 1997, pg. 8).1
Conforme VAUGHAN (1997), independentemente da definio, pode-se notar que o conceito de incerteza, seja de ganho ou de perda, est explicita ou implicitamente presente em todas elas, de maneira que, quando existe o risco, so possveis dois resultados: certeza de ocorrncia ou no. Da mesma forma, podem-se prever os resultado de perdas previstas ou perdas no-previstas.
2.1.2. Classificao dos riscos Uma base para as diferentes classificaes de riscos a classificao baseada nas diferentes causas de perda e nos seus efeitos. A grande maioria dos autores citados classifica semelhantemente os tipos de riscos, principalmente os com foco nos riscos financeiros. A partir destas classificaes, outras subclassificaes podem ser aplicadas.
a. Riscos financeiros e no financeiros Segundo VAUGHAN (1997), a palavra risco envolve a exposio da empresa a situaes adversas, com perdas financeiras ou no.
Risco situao na qual h uma possibilidade de um desvio do resultado que esperado ou aguardado.
1
Pg.
27
So riscos financeiros aqueles que esto envolvidos no relacionamento entre uma organizao e o ativo associado gerao das expectativas de resultados, os quais podem ser perdidos ou prejudicados. Portanto, trs elementos esto presentes neste tipo de risco: Indivduo ou organizao que esto expostos ao risco Ativo ou receita, cuja destruio ou perda causar prejuzo financeiro Uma ameaa que pode causar a perda
?? ?? ??
O primeiro elemento explicita que algum ou alguma coisa ser afetada pela ocorrncia do evento. J os outros dois referem-se ao valor do ativo e o perigo sobre este. Riscos no-financeiros podem ser representados por perdas no-passveis de mensurao financeira. A aplicao desta forma de classificao apresentada no seguinte exemplo: During the devasting midwestern floods of 1993, millions of acres of farmland as well as thousands of buildings were severly damaged by floodwaters, causing billions of dollars in financial loss to owners. In addition, according to the game commissions in the affected states, the effect of the flood on wildlife in the area was severe. Although the loss of thousands of deer, pheasants and trees perhaps diminished the quality of life for residents of the area, there was no financial loss resulting from the destruction of the wildlife and fauna. (VAUGHAN, 1997, pg. 13).2
Durante a devastadora inundao de 1993, milhes de acres de fazendas to como dezenas de construes foram destrudas causando bilhes de dlares em perdas financeiras para os proprietrios. Alm disto, de acordo com o levantamento realizado por uma comisso, o efeito da inundao sobre a vida selvagem da rea atingida foi severa. A perda de veados, faises, e rvores talvez diminuiram a qualidade de vida dos residentes da rea, e portanto, no h como mensurar as perdas financeiras resultantes da destruio da fauna e flora selvagem.
2
Pg.
28
b. Riscos estticos e dinmicos Segundo VAUGHAN (1997), mudanas na economia, a partir de dois conjuntos de fatores, geram riscos dinmicos. O primeiro conjunto formado por aqueles fatores relacionados com o ambiente externo: setor de atividade, poltica econmica, mudanas tecnolgicas, competidores e clientes do mercado. Alteraes nestes fatores so incontrolveis e muitas vezes imprevisveis, gerando muitas vezes grandes perdas financeiras a uma empresa. O segundo conjunto est relacionado com s decises estratgicas internas da empresa: decises sobre o que produzir, como produzir, como financiar, quais insumos comprar, etc. A estratgia traada determina se a empresa ser lucrativa ou no, se ela ter prejuzos ou no. Riscos estticos, por sua vez, so aqueles no esto relacionados a mudanas na economia. Por exemplo, mesmo se fosse possvel no ocorrerem mudanas na economia, conforme descrito acima, as empresas ainda estariam sujeitas aos riscos de natureza no-econmica, como desastres naturais, fraudes, roubos, abalo de imagem ou de reputao, falhas de tecnologia ou aspectos legais. Segundo VAUGHAN (1997), as perdas estticas so mais regulares e geralmente mais previsveis.
c. Riscos fundamentais e particulares Esta classificao baseia-se na origem e na natureza do grupo atingido. Riscos fundamentais so aqueles que so impessoais em origem e em natureza do grupo. So riscos causados por fenmenos econmicos, polticos e sociais, resultando em conseqncias que atingem indiferentemente diversos grupos ou organizaes. Riscos particulares, por sua vez, esto relacionados a um evento pontual que atinge um determinado grupo ou uma empresa em especfico.
Pg.
29
d. Riscos especulativos e puros Riscos especulativos so aqueles que possuem tanto a probabilidade de perda quanto de ganho. Diferentemente, os riscos puros so aqueles que possuem apenas a probabilidade de perda. Esta classificao importante, pois apenas os riscos puros so segurveis, enquanto os especulativos so mais aceitos, pois possuem uma caracterstica de oportunidade. VAUGHAN (1997) ainda sub-classifica os riscos puros como: I. Riscos pessoais: consiste na possibilidade de perda de receitas ou ativos, sendo divididos em quatro perigos: morte prematura, velhice no assistida, doena e desemprego. II. Riscos de propriedade: toda pessoa que possui uma propriedade est sujeita ameaa de perda ou mau uso da propriedade, acarretando perdas de receitas ou ativos. III. Riscos de responsabilidade: riscos referentes difamao (intencionais ou no) sobre o indivduo ou organizao, causando perdas de receitas ou ativos. IV. Riscos gerados a partir da falha de outros: este risco existe a partir do momento em que uma pessoa concorda em executar um trabalho para outra e existe a possibilidade de que a mesma falhe, resultando em perdas de receitas ou ativos.
e. Riscos como fator de oportunidade, fator negativo e varincia de resultado Outra classificao importante de risco dada por MARSHALL (2002). Segundo ele, pode-se dividi-los em quatro tipos: risco como resultado mdio, risco como varincia de resultado, risco como fator catastrfico e risco como fator positivo de oportunidade. O risco como fator positivo de oportunidade est centrado no investimento e tem base em iniciativas estratgicas. Ele est relacionado
Pg.
30
estratgia de crescimento da instituio e ao retorno dos investimentos. Quanto maior o risco, maior o potencial do retorno e, paralelamente, maior pode ser o potencial de perda. Nesse contexto, a ousadia um requisito e o gerenciamento do risco requer tcnicas orientadas para maximizar ganhos diante dos obstculos. O risco como resultado mdio refere-se preocupao com os resultado esperado. Desta forma, o risco de um evento afeta o resultado potencial da empresa e, conseqentemente, todos os interessados nela. O risco como varincia de resultado refere-se preocupao com a eficincia operacional. Neste contexto, o gerenciamento de riscos consiste em adotar tcnicas para reduzir qualquer variao que possa ocorrer entre o resultado projetado e o real. O risco como fator catastrfico negativo refere-se ocorrncia de potenciais efeitos negativos, como fraude, roubo, abalo de imagem ou reputao, falhas de tecnologia ou aspectos legais. Neste contexto, o gerenciamento de riscos tem um foco tradicional e defensivo e significa adotar tcnicas de controle e alocar recursos para minimizar o impacto de um evento negativo sem incorrer em custos excessivos ou em paralisao total ou parcial das atividades da instituio. f. Classificao segundo a natureza do risco Outra forma de classificar o risco atravs de sua natureza especfica. MARSHALL (2001) afirma que essas categorias de risco no so, necessariamente, mutuamente excludentes e devem-se ajustar seus significados para adapt-las ao contexto especfico do negcio. Nestas categorias esto includas, mas no se limitam a:
Pg.
31
Risco Contbil De concorrentes De crdito de financiamento de mercado De projeto de fornecedor de auditoria de conformidade de cliente de RH de operaes de regulamentao de tecnologia de negcios de controle Fiducirio Jurdico de ativo fsico de reputao de transaes de Continuidade de negcios de pas de fraude Liquidez Poltico Estratgico de liquidao
Figura 4: Tipos de risco (MARSHALL, 2002, pg. 405-439)
Segundo GREENSTEIN (2000) podemos ainda agrupar esta forma de classificao de MARSHALL (2002) em trs grandes grupos: 1. Riscos estratgicos: so aqueles relacionados s estratgias adotadas pela empresa e que possam ameaa-la de no atingir suas metas ou de obter perdas financeiras. Os riscos estratgicos podem ser divididos em dois: externos (como presses do concorrente, adaptaes a mudanas, mercado financeiro instvel, etc) ou internos (como lanamento de produtos, falhas de comunicao, etc.) 2. Riscos financeiros: so os riscos associados s transaes financeiras que uma empresa realiza. Estes riscos podem ser: de precificao, como os relacionados a encargos financeiros altos, volatilidade cambial, etc; de liquidez, como o fluxo de caixa inadequado, concentrao de capital, etc; e de crdito, como garantias insuficientes, realizao difcil, etc. 3. Riscos operacionais: so os riscos que englobam a integridade dos processos de negcios e a condio de fornecer produtos e servios de forma consistente e oportuna. Estes riscos podem ser sub-divididos em: de conformidade, como legal, aderncia a regulamentao, etc; de processos, como ineficincia, inadequao, obsolescncia tecnolgica, falta de foco, etc; de tecnologia e processamento de informaes, como confidencialidade da informao, integridade da informao, acesso indevido, aderncia dos sistemas de informao, etc; de RH, como
Pg.
32
presso dos sindicatos, desmotivao, condies de segurana e sade inadequadas, etc; e de retido e tica, como prticas ilcitas, fraudes, propriedade intelectual, etc. Podemos observar a mesma classificao atravs de SANTOS (2002), apenas dividindo os riscos estratgicos em: riscos do macro-ambiente e riscos do ambiente setorial.
Figura 5: Classificao de risco (SANTOS, 2002, pg. 25)
2.1.3. Conceito de gerenciamento de risco Como observamos anteriormente, as empresas esto sujeitas a diversos tipos de riscos. Qualquer tipo de negcio possui risco. No entanto, estes riscos, atualmente, nem sempre so corretamente mensurados ou sequer identificados, levando as organizaes a grandes prejuzos. Desta forma, necessrio que as organizaes implementem reas responsveis pelo gerenciamento de riscos. Por isso, diversas empresas treinam atualmente profissionais para se tornarem especializados e dedicados exclusivamente atividade de gerenciamento de riscos. (VAUGHN, 1997, pg 26). Mas o que se entende por gerenciar riscos? Diversos so os autores que definem gerenciamento de riscos. Citaremos a seguir alguns deles:
Pg.
33
Risk management is the process by which organizations try to ensure that the risks to which they are exposed are the risks to which they thin they are and need to be exposed to operate their primary business. (CULP, 2002, pg. 199).3 Risk management is a scientific approach to dealing with pure risks by anticipating possible accidental losses and designing and implementing procedures that minimize the occurrence of loss or the financial impact of the losses that occur. (VAUGHAN, 1997, pg. 30).4 Risk management is a methodology for: assessing the potential of future events that can cause adverse affects; and implementing cost-efficient strategies that can deal with theses risks (GREENSTEIN, 2000, pg. 171)5 Segundo KING (2001), entre os diversos benefcios de gerenciar riscos podem-se citar: There are many benefits to managing the risks (), including: 1. Avoid unexpected losses and improve operational efficiency. Understanding the important operational risks enables management to focus on ways to reduce routine loss and improve efficiency. This also reduces the like hood of incurring large losses and improves the quality of the operational processes.
Gerenciamento de risco o processo pelo qual as organizaes tentam assegurar que os riscos os quais elas esto expostas esto compatveis aos riscos que elas acreditam ser necessrios para operar o seu negcio.
3
Gerenciamento de risco uma abordagem cientfica para lidar com os riscos puros de forma antecipar possveis perdas futuras e elaborar e implementar procedimentos que minimizem a ocorrncia da perda ou de impactos financeiros que estas possam causar.
4
Gerenciamento de risco uma metodologia para: levantar o potencial dos eventos futuros que possam causar mudanas prejudiciais; e implementar estratgias de custo-eficincia que possam lidar com estes riscos.
5
Pg.
34
2. Efficient use of capital. A business allocates capital based on expected earnings in much the same way an investor values a company. The efficient use of a firms capital implies optimizing the risk/return trade-off for capital allocation decisions within the firm. 3. Satisfy stakeholders. Regulators, credit agencies, and other stakeholders are increasingly interested in a firms risk management practices. The operations of the firm are an integral part of this risk management, and a major contributor to earnings volatility that can affect the value of the firm. Risk measurement can help influence stakeholder views and improve areas that are needed to avoid stakeholder surprises. 4. Comply with regulation. Corporate governance recommendations and requirements view risk management as a board-level responsibility. () (KING, 2001, pg. 08).6 Podemos concluir que o gerenciamento de riscos no s importante mas tambm vital para a existncia e a sobrevivncia do negcio, sendo portanto,
6
Existem muitos benefcios para o gerenciamento de riscos, incluindo: 1. Evitar perdas no esperadas e aumentar a eficincia operacional. Entender a importncia dos riscos operacionais permite a gerncia dar foco nas solues que permitam reduzir as perdas nos processos e aumentar a eficincia. Isto tambm reduz a possibilidade de incorrer a grandes perdas e aumentar a qualidade do processo operacional. Utilizao eficiente do capital investido. Um negcio investe capital baseado nas expectativas de ganho da mesma forma que um investidor avalia uma companhia. O uso eficiente do capital de uma empresa implica na otimizao da relao risco-retorno do capital investido na empresa. Satisfazer os acionistas/interessados. Regulamentadores, financiadores, e outros interessados esto aumentado seus interesses em entender as prticas utilizadas pelas empresas em gerenciar os riscos. As operaes de uma empresa so parte integral do gerenciamento de riscos, e um maior contribuinte para volatilidade dos ganhos que possam afetar o valor da empresa. A avaliao de riscos pode influenciar a viso dos acionistas e apontar melhorias necessrias para evitar supresas. Estar de acordo com a regulamentao. Requisitos e recomendaes de domnio corporativo tornam o gerenciamento de riscos uma responsabilidade do conselho da empresa.
2.
3.
4.
Pg.
35
classificado como um processo de negcio fundamental competitividade das empresas hoje. O objetivo de competir pelo futuro no estimular enormes riscos, mas sim trabalhar para tornar nossas ambies menos arriscadas. (PRAHALAD, 1995, pg. 143). Segundo KOLLER (1999), gerenciar os riscos permite que as empresas realizem suas decises estratgicas de forma muito mais estruturada, permitindo um melhor direcionamento para a empresa.
2.1.3. O processo de gerenciamento de risco No existe uma diviso unnime das fases que compem o processo de gerenciamento de risco. A estruturao por fases facilita o entendimento e a identificao da necessidade de conhecimentos tcnicos e especficos, da participao de reas e de profissionais-chave da empresa. Dos diversos autores analisados, conclumos que, apesar dos nomes diferentes, as atividades so praticamente as mesmas, mas muitas delas so de grande complexidade. Uma caracterstica observada em todos estes autores que o processo de gerenciamento de risco um processo cclico, ou seja, repete-se continuamente. A caracterstica cclica do processo possvel de ser observada, por exemplo, em CULP(2002), prope o processo divido em 5 atividades: identificar e determinar as tolerncias,medir os riscos, monitorar e relatar os riscos, controlar os riscos e, finalmente revisar, auditar e realinhar os riscos.
Pg.
36
Figura 6: Processo de Gerenciamento de Risco de CULP
(CULP, 2002, pg.200) No entanto, este modelo, como alguns outros, no exploram, ou melhor, no explicitam a atividade de planejamento e de implementao dos mecanismos contra o risco. Especificamente, uma grande parte deles deixa implcito, dentro da atividade de anlise de risco, a deciso e o planejamento sobre as contramedidas a serem adotadas em relao ao risco. Devido a este fato, apresentaremos a proposta de VAUGHAN(1997) dividindo-se o processo de gerenciamento de risco em 6 grandes atividades:
a. Determinao dos objetivos A primeira etapa no processo de gerenciamento de riscos decidir precisamente qual o objetivo deste gerenciamento. Para se obter o mximo benefcio, necessrio o desenvolvimento consciente de um objetivo, pois, de outra forma, a tendncia que o processo de gerenciamento de risco se torne uma srie isolada de problemas e que no seja visto como um problema nico que envolva toda a organizao. No existem regras para se elaborar um plano consistente e objetivo para lidar com os riscos da organizao, mas fundamental a obteno do entendimento dos objetivos estratgicos e operacionais da instituio, incluindo f atores crticos de sucesso, ameaas e oportunidades relacionadas.
Pg.
37
Entre os vrios objetivos possveis, podemos citar: minimizar custos, proteger ativos, proteger os funcionrios de acidentes que possam causar sries danos aos mesmos, difamao, processos trabalhistas, etc. Mas, sem dvida, o principal objetivo do gerenciamento do risco a sobrevivncia da empresa, isto , a garantia de continuidade e existncia da organizao. Fixar os objetivos ajuda as empresas a manterem a sua ateno nos objetivos e metas a serem atingidos. Desta forma, elaborar os objetivos para o gerenciamento de riscos revisar tambm as metas de negcios da empresa. Um exemplo disto pode ser bem observado atravs do quadro ilustrativo elaborado por MARSHALL (2002).
Figura 7 Figura 7: Objetivos de negcio x riscos (MARSHALL, 2002, pg. 37)
Segundo VAUGHAN (1997), os objetivos do gerenciamento de risco devem estar formalizados numa Poltica de Gerenciamento de Risco Corporativo, que engloba os objetivos, a poltica e as normas para o assunto. Idealmente, os objetivos e a poltica de gerenciamento de risco devem ser produtos da alta direo da empresa, responsvel em ltima instncia pela preservao dos ativos da organizao.
b. Identificao dos riscos difcil generalizar os riscos de uma organizao, pois os processos operacionais e as condies em que as empresas se encontram so muito particulares a cada uma delas. Alguns riscos so bvios, mas muitos deles esto
Pg.
38
escondidos e, por isso, nesta etapa, necessrio que se utilize uma abordagem sistemtica para o problema de identificao dos riscos. A identificao do risco deve ser perseguida de forma sistemtica dentro das instituies, utilizando-se as principais tcnicas como: Entendimento da indstria qual a empresa pertence Anlise dos registros histricos da empresa Mapeamento dos processos da empresa Inspeo das atividades crticas da empresa Estudo das polticas e normas internas da empresa Questionrios de anlise de risco Anlise dos relatrios financeiros Entrevistas Estudo da regulamentao da indstria
?? ?? ?? ?? ?? ?? ?? ?? ??
Combinando estas tcnicas com a simulaes de situaes hipotticas em conjunto e com o entendimento das operaes da empresa, pode-se ajudar a garantir que riscos inerentes no estejam mascarados.
c. Anlise de Risco Uma vez identificados os riscos, necessrio avali-los corretamente. Isto envolve medir o potencial de perda e a probabilidade de ocorrncia, podendose, a partir da, classific-los e prioriz-los. Certos riscos, devido severidade de possibilidade de perda ou alta taxa de exposio, demandaro mais ateno que outros. Classificar os riscos, por meio de uma sistemtica que permita priorizar os investimentos e analisar a relao custo-benefcio, fundamental para a sobrevivncia das empresas. Segundo MARSHALL (2002), existem cinco componentes associados ao risco que devem ser detalhados nesta etapa:
Pg.
39
I. Probabilidade de o evento ocorrer. Estimar a probabilidade de o evento ocorrer no futuro, seja por mtodos subjetivos ou objetivos muito difcil. O substituto mais comumente utilizado para a probabilidade de um evento freqente o nmero de ocorrncias deste evento divido pelo perodo de tempo.
Figura 8: Clculo da probabilidade (MARSHALL, 2002, pg. 44)
II. Impacto do evento sobre a empresa: isto envolve trs tipos gerais de impacto financeiro sobre a empresa: custos diretos, indiretos e de oportunidade. Impactos de custos diretos so aqueles que causam perdas financeiras diretas, impactos de custos indiretos so resultantes de danos reputao da empresa ou efeitos sobre outros eventos de perdas da empresa e impactos de custos de oportunidade so aqueles que resultam na no-realizao dos lucros potenciais mximos, representando um sacrifcio por parte da empresa.
2 Fundamentao Terica Figura 9: Impactos (MARSHALL, 2002, pg. 45)
Pg.
40
III. Criticalidade do evento: a medida mais simples do risco de um evento, calculado atravs do produto entre probabilidade do evento e o seu impacto. Ao analisarmos esta relao poderemos facilmente diferenciar um risco alto de um risco mais baixo.
Figura 10: Criticalidade (MARSHALL, 2002, pg. 46)
IV. Estrutura temporal do evento: em alguns eventos complexos, tambm chamados de incidentes, pode ser til analisar a estrutura detalhada dos mesmos. Diagramas elaborados, como apresenta MARSHALL (2002) podem ser utilizados para formalizar incidentes ou estudos de caso de eventos de alto impacto e revelar lies importantes para eventos similares no futuro.
Figura 11: Estrutura temporal (MARSHALL, 2002, pg. 46)
Pg.
41
V. Incerteza do evento: este componente est relacionado s distribuies de probabilidades, tanto de freqncia quanto de impactos. Estas distribuies so conhecidas apenas de forma imprecisa e esto sujeitas incerteza alm de quaisquer riscos. Para os riscos mais freqentes, podem-se produzir estimativas de risco mais precisas, mas para eventos menos freqentes, aqueles em que as empresas tm pouca ou nenhuma experincia, a incerteza do evento influi muito na forma de quantificar ou qualificar o risco. Uma vez analisados os componentes associados ao risco, so empregadas diversas tcnicas para se avaliar melhor cada risco em especfico. Estas tcnicas esto basicamente divididas em dois grupos: tcnicas quantitativas e tcnicas qualitativas. Anlise quantitativa Nesta anlise, utilizaremos tcnicas para quantificar o risco, ou seja, encontrarmos valores em que possamos comparar e classificar os riscos. Muitas teorias matemticas foram desenvolvidas nesta rea, principalmente por ela estar intrinsecamente ligada a estatstica. KOLLER (1999) apresenta as seguintes tcnicas: anlise estatstica, anlise de Bayes, rvores de decises, anlise de fatores, simulaes de Monte Carlo, etc. VAUGHAN (1997) apresenta o modelo binomial e de Poisson e tcnicas de correlao e regresso linear para uma anlise quantitativa do risco. VALLBHANENI (2002) apresenta conceitos importantes para a quantificao do risco: a. Exposure factor (EF): ou fator de exposio, o percentual da perda do ativo causado pela ameaa. b. Single Loss Expectancy (SLE): ou expectativa de perda pontual, o valor do ativo multiplicado pelo fator de exposio. Este valor representa uma quantificao para comparao futura nos clculos. (EF x AV Asset Value) c. Annualized Rate of Occurance (ARO): ou freqncia do evento ocorrer por ano. d. Annualized Loss Expectancy (ALE): ou expectativa de perda anual. resultado do produto entre a expectativa de perda pontual e a freqncia de ocorrncia (SLE x ARO). Anlise qualitativa
??
??
Pg.
42
Nesta anlise, os riscos so comparados qualitativamente, a partir do seus atributos, e em conjunto, com a sensibilidade dos avaliadores em questo. VALLBHANENI (2002) cita como exemplo as tcnicas de julgamento, intuio e a tcnica Delphi. Julgamento e intuio, segundo o autor, geralmente so muito importantes no processo de avaliao de risco de uma empresa. Sob esta abordagem, o risco classificado em alto, mdio e baixo. J na tcnica Delphi, um grupo de pessoas participam destas classificaes, de forma independente e annima, e listam os riscos de acordo com suas vises pessoais. A partir da, realizada uma avaliao e priorizados os riscos mais votados. Ento realiza-se uma nova votao, independente e annima em cima da lista compilada. Novamente, realizada uma avaliao e priorizados os riscos mais votados. Estas rodadas sero executadas at se obter o consenso do grupo. Devido a isto, esta tcnica denominada de group decision-making7 . No foco deste estudo detalhar cada uma das tcnicas apresentadas, uma vez que existem muita teoria e muitos conceitos por trs de cada uma delas. KRUTZ (2001) apresenta um quadro comparativo entre as duas abordagens. O mtodo quantitativo, por analisar o risco atravs de nmeros, apresenta como vantagens: anlises de custo x benefcio, estimativas de custos financeiros, facilidade de comunicao dentro da empresa, a possibilidade de serem automatizados e menos dvidas nos resultados. Por outro lado, o mtodo qualitativo, por ser subjetivo, atrelado viso dos profissionais da empresa, apresentam como vantagens: baixa complexidade, menor quantidade de informao, menor tempo e esforo envolvidos.
Figura 12: Comparao entre os mtodos (KRUTZ, 2001, pg. 22)
Deciso tomada pelo grupo.
Pg.
43
d. Selecionando e planejando o tratamento do risco Conforme CULP (2002), o objetivo de se gerenciarem riscos no significa elimin-los completamente. Toda vez que vamos atravessar a rua, estamos correndo o risco de sermos atropelados. Neste caso, eliminar o risco completamente significaria no atravessarmos mais a rua, o que tornaria nossa vida praticamente invivel. Para a maioria das pessoas, gerenciar o risco, neste caso, significaria olhar os dois lados da rua antes de atravess-la e atravess-la na faixa de pedestre. As empresas no diferem do caso apresentado. As empresas nada mais so que negcios nos quais riscos so assumidos por investidores interessados em um retorno futuro. Para se lidar com o risco, so possveis quatro tcnicas descritas pela maioria dos autores citados: I. Eliminar o risco Quando uma organizao se recusa a aceitar um determinado risco em um determinado instante, a exposio a este risco no permite empresa se encontrar nesta situao. Segundo VAUGHAN (1997) esta tcnica mais negativa do que positiva, pois a utilizao constante desta abordagem faz com que o negcio perca as oportunidades de lucro e, conseqentemente, a possibilidade de atingir seus objetivos. II. Mitigar o risco: Conforme MARSHALL (2002), mitigar o risco desenvolver mecanismos para se reduzir o risco at um nvel aceitvel para a organizao. Segundo VAUGHAN (1997), isto pode ser feito em cima da preveno contra perdas, reduzindo-se o impacto e a probabilidade de esta ocorrer. Programas de sade e medidas de preveno, como posto mdico, plano de sade, brigada de incndio, sistemas de sprinklers, segurana fsica e patrimonial, sistemas de alarmes, etc, so exemplos de mitigar o risco atravs da preveno contra perdas. Outra forma de mitigar o risco dilu-lo em grandes volumes, desde que se tenha um bom controle sobre as probabilidades de ocorrncia. Por exemplo, uma
Pg.
44
seguradora pode assumir a possibilidade de perda da exposio de um indivduo do grupo e ainda assim, no afetar sua rentabilidade.
Figura 13: Mitigar o risco
(MARSHALL, 2002, pg. 45-46)
III. Reter o risco Esta tcnica talvez seja a mais utilizada para se lidar com o risco. As empresas, como os indivduos, visualizam uma srie de riscos e, na maioria dos casos, no fazem nada a respeito. De acordo com VAUGHAN (1997), a reteno do risco pode ser: consciente, quando a organizao identifica o risco, mas no toma nenhuma atitude em relao ao mesmo, ou inconsciente, quando a organizao no conseguiu identificar o risco. Pode ser tambm: voluntrio, quando a empresa identificou o risco, sabe que possvel evit-lo, mitig-lo ou transferi-lo, mas prefere nada fazer, assumindo os possveis prejuzos e as demais conseqncias; ou involuntrio, quando a empresa inconscientemente reteve o risco ou quando o risco no possvel de ser evitado, mitigado ou transferido. A reteno do risco um mtodo legtimo e, em muitos casos, a melhor soluo. De forma genrica, pode-se dizer que se devem reter os riscos que representem uma perda relativamente insignificante para a organizao. IV. Transferir o risco O risco deve ser transferido quando o tomador de risco no pode arcar com o mesmo e, portanto, o transfere para outro que seja capaz de toma-lo. A transferncia de risco serve tanto para riscos especulativos como para riscos puros. Um exemplo clssico o processo de hedging, executado nas principais bolsas de mercadorias. Hedging o mtodo de transferir o risco das variaes de preo de uma entrega futura. Um
Pg.
45
exemplo de transferncia de risco puro realizar o seguro de algum bem patrimonial. V. Dividir o risco Dividir o risco um caso especfico de transferncia do mesmo e tambm uma forma de sua reteno. Quando o risco dividido, a possibilidade de perda transferida de um indivduo para o grupo, que de certa forma reteve este risco. Aplicar em um fundo de aes e realizar um seguro so exemplos de formas de dividir os riscos. Segundo VAUGHAN (1997), esta fase a mais delicada do processo pois envolve uma tomada de deciso sobre cada risco. As atuaes dos gestores de risco sobre as decises a serem tomadas variam de organizao a organizao. Se a poltica de gerenciamento de risco rgida e detalhada, o gerente de risco tomar menos decises e se tornar um mero administrador da poltica, diferentemente de um gestor pr-ativo da poltica de risco sobre os processos e riscos associados. necessrio tambm, nesta fase, a definio de aes que minimizem e monitorem os riscos identificados, alm da validao do balanceamento entre risco e retorno de investimento. e. Implementando o controle do risco A deciso de tratar um risco deve ser executada com ou sem reservas, e com ou sem oramento. No entanto, a sua implementao, uma vez decidida, necessita de reservas, que na maioria das vezes no foram previstas, mas devem ser desenhadas e implementadas atravs de um programa de preveno ao risco. GREENSTEIN (2000) afirma que a implementao de um ambiente de controle para a instituio requer uma viso corporativa dos riscos envolvidos, sejam eles decorrentes da estratgia adotada ou dos processos existentes nas reas operacionais e financeiras, sejam eles dos sistemas e das tecnologias aplicadas ou da regulamentao e da legislao vigentes. A implementao de um ambiente de controle a base para o efetivo gerenciamento de riscos. Para que os procedimentos de controle possam ser implementados e monitorados, importante existir:
Pg.
46
?? ?? ?? ??
Comprometimento da alta administrao; Uniformidade de linguagem e processos; Coordenao na implementao e no gerenciamento das mudanas; Envolvimento das reas de negcio, tecnologia, controles internos, conformidade, segurana de informaes e auditoria; Alinhamento contnuo entre os objetivos da instituio, e a implementao dos controles;
??
f. Avaliando e revisando os riscos Segundo VAUGHAN (1997), a avaliao e a reviso dos controles e dos riscos devem ser feitas por duas razes. Primeiro, o gerenciamento de riscos no esttico, ou seja, novos riscos aparecem, riscos antigos desaparecem, tcnicas de controle ficam obsoletas, etc e, segundo, erros ocorrem continuamente. Avaliar e revisar o gerenciamento dos riscos permite ao gestor revisar as decises e corrigir os erros antes que estes se tornem onerosos. Para isto so necessrios: Comunicao, aprendizado e aculturamento efetivos; Alinhamento contnuo entre os objetivos da instituio, e o gerenciamento de riscos; Acompanhamento das ocorrncias de sucesso e insucesso; Monitoramento dos processos de gerenciamento de riscos; Reviso contnua do ambiente de controle.
?? ??
?? ?? ??
Pg.
47
2.2. Gesto de risco e segurana da informao

A tecnologia da informao trouxe mudanas expressivas no mundo empresarial, alterando constantemente a forma das empresas operarem. A tecnologia da informao alterou o mundo dos negcios de forma irreversvel. Desde que a tecnologia da informao foi introduzida sistematicamente em meados da dcada de 50, a forma pela qual as organizaes operam, o modelo de seus produtos e a comercializao destes produtos mudaram radicalmente. (MCGEE, 1994, pg. 5). A tecnologia de sistemas de informao um componente fundamental na cadeia de valor, como apresenta PORTER (1990).
Figura 14: Cadeia de valor de Porter (PORTER, 1990, pg. 155)
A tecnologia de sistemas de informao particularmente penetrante na cadeia de valores, visto que cada atividade de valor cria e utiliza a informao. (PORTER, 1990, pg.156)
Pg.
48
Segundo TAPSCOTT (1996), enquanto na velha economia o fluxo de informao era fsico, como dinheiro, cheque, faturas, comprovantes, etc, na nova economia digital a informao est armazenada digitalmente em computadores e fluindo na velocidade da luz atravs das redes. Segundo NAKAMURA (2002), os benefcios trazidos pela tecnologia da informao resultam em uma maior produtividade e ,conseqentemente, em maiores lucros dentro da organizao. A segurana da informao significa permitir que as empresas busquem os lucros atravs das novas oportunidades de negcio implementadas atravs de solues, utilizando-se os recursos de informtica. Logo, a segurana deve ser tratada no apenas como um mecanismo de proteo, mas sim como um elemento habilitador para que os negcios de uma empresa sejam executados.
2.2.1. Conceitos bsicos sobre segurana da informao a. Confidencialidade, Integridade e Disponibilidade De acordo com KRUTZ e VINES(2001), a trade que compe os princpios bsicos da segurana da informao so: integridade, confidencialidade e disponibilidade. Quando aplicados, esses princpios permitem adotar controles e medidas em relao a segurana da informao, reduzindo, dentre outros, os riscos de vazamento e divulgao no autorizada da informao, fraudes financeiras, apropriao indevida de informaes, reputao da imagem da instituio:
??
Integridade: Principio que trata sobre a proteo da informao ou dos bens de informao contra a criao ou a modificao no autorizada. Perda de integridade pode estar relacionada com erro humano, aes intencionais ou contingncia. A perda de integridade de uma informao pode torna-la sem valor, ou mesmo, torna-la perigosa. A conseqncia de utilizar dados incorretos pode ser desastrosa. Confidencialidade: Princpio que trata sobre a disponibilidade de informaes apenas pessoas autorizadas. Controles devem ser implementados para garantir que o acesso a informao seja sempre restrito quelas pessoas que necessitam efetivamente t-los. Muitos crimes cibernticos acontecem atravs da quebra da confidencialidade
??
Pg.
49
e do roubo da informao. Podem-se considerar dois momentos distintos desse princpio: ser confidencial e manter-se confidencial. A informao, para ser confidencial, deve ter uma classificao que determine as medidas de segurana necessrias quando ela estiver sendo tratada. Manter-se confidencial significa que o meio utilizado para tratar a informao permite proteo adequada.
??
Disponibilidade: Princpio que trata sobre prevenir que a informao ou o recurso de informao esteja indisponvel, quando requerida pelo cliente, pelo rgo regulador ou mesmo pela prpria instituio. Aplica-se no s informao, mas, tambm, aos canais eletrnicos, equipamentos de uma rede e outros elementos da infra-estrutura tecnolgica. No conseguir acesso a um recurso de informao desejado chamado de Denial of Service, tcnica muito utilizada pelos hacker. Os ataques intencionais contra infra-estrutura tecnolgica podem ter finalidade de tornar os dados indisponveis, assim como de roubar a informao.
b. Outros conceitos Segundo VALLABHANENI (2002), so conceitos importantes a serem considerados no estudo da segurana da informao:
??
Entidade: usurio, processo ou dispositivo que ir acessar uma determinada informao ou servio; Atributos: caractersticas nicas pertencentes a entidade que permite distingu-la das demais entidades; Identificao: processo de reconhecimento da entidade atravs de seus atributos; Autenticao: processo de validao da identidade da entidade; Autorizao: processo de prover ou retirar privilgios de uma entidade; Contabilizao (accountability): processo para realizar o log das aes realizadas por uma entidade; Controle (assurance): garantir que os princpios bsicos de segurana (trade CIA) e de contabilizao estejam assegurados; No repdio: assegurar para uma entidade a negao de uma ao realizada;
??
??
?? ??
??
??
??
Pg.
50
??
Auditoria (audit): reviso por uma entidade independente sobre os controles e a conformidade dos requisitos de segurana.
c. Classificao da informao De acordo VALLABHANENI (2002), a classificao da informao fundamental a segurana da mesma e para isso deve ser classificada em:
??
Sensvel: Esta classificao aplica-se s informaes que necessitam de precaues especiais para assegurar a integridade da informao, bem como para proteg-la de modificaes ou excluses no autorizadas. Este tipo de informao requer um nvel de confiana, exatido e integralidade maior do que o normal. Incluem-se nesta classificao transaes financeiras da companhia, aes legais, dentre outros. Confidencial: Esta classificao aplica-se s mais sensveis informaes de negcio destinadas estritamente para o uso interno da companhia. A revelao no autorizada destas informaes poderia causar um srio impacto adverso para a empresa, seus acionistas, seus parceiros de negcio, e/ou seus clientes. As classificaes Secret e Top Secret so variaes da classificao "Confidencial". ? ? Secret: Esta classificao indica dados confidenciais com um alto grau de sensibilidade. ? ? Top Secret: Esta classificao indica dados confidenciais com o mais alto grau de sensibilidade.
??
??
Privada: Esta classificao aplica-se a informaes pessoais destinados para uso interno da companhia. Pblica: Esta classificao aplica-se a todas as informaes que no se encaixam adequadamente nas classificaes mencionadas acima. Sua divulgao no autorizada no possui um efeito adverso para a companhia, funcionrios e/ou clientes. Sem classificao: Esta classificao aplica-se a informaes que no so sensveis ou classificadas. Sem classificao porm sensvel: Esta classificao aplica-se a informaes cuja perda, mau uso, acesso no autorizado ou modificao desta informao poder afetar de modo adverso os interesses da empresa. Incluem-se nesta classificao: testes para
??
??
??
Pg.
51
contratao de funcionrios, registros de investigativos, manuais para investigaes, dentre outros. Segundo KRUTZ e VINES (2001), deve-se designar um responsvel pela classificao da informao. Recomenda-se que esta tarefa seja desempenhada pelo proprietrio da informao ou sistema. Todas as informaes geradas devem receber uma classificao. Periodicamente, o proprietrio da informao dever revisar a classificao fornecida, pois a criticalidade da informao pode ser alterada ao longo do tempo. Por exemplo, o desenvolvimento e o lanamento de um novo produto, somente deve ser classificada como informao confidencial e tratada como tal at o lanamento do produto, pois aps esse evento, ela deixa de ser uma informao confidencial, e passa a ser pblica.
2.2.2. Ameaas e seus elementos Segundo PELTIER (2002), a segurana existe para proteger os ativos contra as ameaas existentes contra estes. Identificar as ameaas contra os ativos, que necessitam ser protegidos, o primeiro passo para a segurana destes ativos. Podemos definir a ameaa como: Prenncio ou indcio de coisa desagradvel ou terrvel (...) (FERREIRA, 1999, pg. 118). Expresso de uma inteno de dano ou prejuzo. (OXFORD, 1992, pg. 432). A grande bibliografia existente referente a segurana da informao, tambm denominada de segurana digital, est voltada para rea tcnica e lista as ameaas existentes neste de meio de forma bastante semelhante. Outra questo interessante sobre as ameaas digitais que:
Pg.
52
(...) as ameaas no mundo digital espelham as ameaas no mundo fsico.Se bancos fsicos so roubados, ento bancos digitais sero roubados. (SCHNEIR, 2002, pg. 27). Segundo PELTIER (2001), podemos identificar os seguintes elementos em cada ameaa: Agente: o catalisador que executa a ameaa. O agente pode ser um ser humano, uma mquina ou a natureza. Motivo: aquilo que incentiva o adversrio a atuar. Esta ao pode ser acidental ou intencional. Resultado: o efeito causado pela execuo da ameaa. No caso da segurana da informao poder ser: perda de acesso, acesso no autorizado, perda de privacidade, indisponibilidade de servios, divulgao, alterao ou destruio de informaes.
??
??
??
Dia acordo com PELTIER (2001) baseados nestes elementos, as ameaas existentes segurana da informao podem ser divididas em trs grandes grupos: humana, acidental, e de desastre natural. Isto observado pelo desenho apresentado pela SYMANTEC (2002) em seu Security Reference Handbook.
Figura 15: Ameaas (SYMANTEC, 2002, pg. 24)
Pg.
53
a. Ameaa de natureza humana So aquelas que cujo agente o ser humano. Podem ser acidentais ou intencionais. Ameaas de intencionais so amplamente exploradas por literaturas especializadas. MCCLURE (2000) e SPYMAN (2000) so dois exemplos de autores que exploram tecnicamente as formas de ataque sistemas computacionais. Eles ensinam sobre ameaas intencionais e suas contramedidas, como muitos outros autores tcnicos em segurana de redes. Podemos a partir deles identificar as diversas ameaas intencionais:
??
Footpriting: ou rastreamento de alvos, a utilizao de ferramentas e tcnicas para descobrir informaes relacionadas a tecnologias utilizadas pela empresa, como: Internet, intranet, acesso remoto e extranet. A partir desta tcnica, o invasor seleciona a empresa-alvo a ser explorada. MCCLURE (2000). PortScan: ou varredura de portas, a partir dos endereos IPs escolhidos a partir de um footprinting, os atacantes exploram mais detalhadamente cada um deles, encontrando as brechas necessrias para invaso e obteno de informaes valiosas como: servidores de rede, servidores DNS, servidores de correio eletrnico, nomes de funcionrios e at telefones. SPYMAN (2000). Sniffer: ou coleta de dados trafegados na rede, a tcnica para capturar as informaes que trafegam na rede, como logins e senhas no criptografadas, para utilizao posterior. SPYMAN (2000). Spoofing: ou enumerao, atacantes assumem a identidade de um outro computador baseado na confiana entre servidores, que acreditam na credibilidade do endereo de origem. Esta a principal tcnica utilizado por atacantes intencionais para realizar um ataque atravs de um atacante no-intencional, ou acidental. MCCLURE (2000). Hacking: a partir de diversas informaes coletadas, os atacantes exploram as vulnerabilidades do sistema operacional de um determinado computador. A partir da, o atacante pode tentar invadir outros computadores pertencentes a rede ao qual o computador invadido pertence. MCCLURE (2000). DoS: da sigla Denial of Service ou ataque por negao de servio, consiste, basicamente, em atacar um certo servio no servidor alvo
??
??
??
??
??
Pg.
54
de forma a travar todo o sistema. Desta forma, hackers conseguem indisponibilizar servios e informaes.
??
Vrus de computador: programa que pode infectar outro programa de computador atravs da modificao dele, de forma a incluir uma cpia de si mesmo. A denominao de vrus vem de uma analogia com o vrus biolgico, que altera a clula internamente e produz cpias dele. Atualmente a sofisticao desta ameaa tem causado diversos prejuzos as empresas.
Por no ser objetivo deste trabalho, o ensino didtico das tcnicas e tecnologias utilizadas para a execuo de um ataque, sugiro para maiores detalhes e explicaes, a leitura dos autores acima citados. Segundo pesquisa realizada e divulgada em outubro de 2002 pela revista InformationWeek e a empresa de consultoria PricewaterhouseCoopers, a maioria da natureza das violaes identificadas so os vrus, conforme mostra a seguir:
Figura 16: Natureza dos ataques (InformationWeek, Outubro de 2002, pg.45)
SCHNEIER (2001) cita diversos responsveis por estes ataques, mas resumidamente podemos escolher os seguintes quatro grupos:
Pg.
55
??
Hackers: possui vrias definies, desde um administrador de sistema corporativo perito para criar defesas at um criminoso adolescente com pouca tica que se diverte em realizar ataques. Criminosos solitrios: so criminosos que comeam a se especializar em tecnologia para executar seus crimes de forma digital. Insiders maliciosos: so os funcionrios ou prestadores de servio que possuem como objetivo prejudicar a empresa, seja por causa de motivos de descontentamento, ou por motivos para obteno de ganhos pessoais . Insiders inocentes: so funcionrios ou prestadores de servios que no utilizam corretamente os recursos tecnolgicos por falta de conhecimento, disponibilizando desta forma uma srie de vulnerabilidades para empresa.
??
??
??
Segundo pesquisa realizada e divulgada em outubro de 2002 pela revista InformationWeek e a empresa de consultoria PricewaterhouseCoopers, a maioria dos ataques partem de ataques internos (considerando usurios autorizados e no-autorizados temos o total de 39%), conforme mostra a seguir:
Figura 17: Atacantes (InformationWeek, Outubro de 2002, pg.45)
Pg.
56
b. Ameaa acidental So aquelas que cujo agente uma falha tecnolgica, interna ou externa ao ambiente da organizao. De acordo com WADLOW (2001), so exemplos de ameaa acidental: sobrecarga do circuito de energia, falta de energia, umidade, problemas com a temperatura do local dos servidores, etc.
c. Desastre natural So desastres cujo agente a natureza. De acordo com HUMPHREYS (1998), so exemplos de desastre natural: terremoto, inundaes, incndios, tempestades, etc.
2.2.3. Gerenciamento de risco e segurana da informao A primeira forma de analisar o gerenciamento de risco da segurana da informao aplicar os conceitos de gerenciamento de risco diretamente sobre o tema da segurana da informao. Desta forma podemos aplicar as classificaes de risco segundo VAUGHAN (1997), para podermos entender melhor a natureza dos riscos associados a segurana de informao e melhor classific-los. Os riscos associados a segurana da informao so:
??
Financeiros: pode-se dizer que os riscos a segurana da informao so na sua grande maioria riscos financeiros, pois causam, direta ou indiretamente perdas de receita ou financeiras. Estticos ou dinmicos: dependendo da situao podem ser riscos estticos, como por exemplo, uma invaso pontual ao sistema computacional, um incndio no CPD, ou dinmico, como, mudanas na tecnologia, um vrus mundial, etc. Particulares ou fundamentais: os riscos da segurana da informao podem ser ainda particulares, como um ataque especfico ao website da organizao, ou fundamentais, como a propagao de e-mails com vrus.
??
??
Pg.
57
??
Puros: pode-se dizer que a grande maioria dos riscos em segurana da informao so puros, pois h possibilidade apenas de perdas.
Em relao questo do gerenciamento em si do risco, pode-se dizer que muito tem sido desenvolvido na rea de risco, principalmente na rea financeira. Both the theory and the practice of risk management have developed in the last two and a half decades. The theory has developed to point where risk management is now regarded as a distinct sub-field of the theory of finance () (DOWD, 1998, pg. 4) Isto talvez esteja relacionado ao prprio tempo de estudo do gerenciamento da rea financeira; em relao nas demais reas, como o gerenciamento da informao. Os conhecimentos relativos ao gerenciamento de finanas e operaes vm sendo acumulados e ensinados por mais de um sculo. Os conhecimentos sobre o gerenciamento da informao apenas recentemente comearam a ser reunidos. (MCGEE, 1994, pg. 23).
Uma das formas encontradas nos autores pesquisados para o gerenciamento de riscos em segurana da informao aplicar os conceitos de gerenciamento de risco sobre o tema de segurana da informao. BRAITHWAITE (2002) apresenta o modelo proposto por CAMPBELL e SANDS (1979) com esta finalidade. Podemos observar todas as fases tradicionais do gerenciamento de riscos e suas diversas atividades ao longo do processo.
Pg.
58
Figura 18: Risk Management Model (CAMPBELL e SANDS, 1979, v. 48)
Seguindo esta mesma linha de raciocnio, ALBERTS (2002) apresenta o seguinte processo de gerenciamento de risco para segurana da informao.
Figura 19: Risk Management Model (ALBERTS, 2002, pg. 11)
Podemos notar uma pequena diferena entre os modelos tradicionais de gesto de riscos como de VAUGHAN (1997) e CULP (2002). ALBERTS (2002) prope que a fase de avaliao do risco englobe a fase de identificao dos riscos e a anlise do risco.
Pg.
59
ALBERTS (2002), ainda em seu modelo, define que o gerenciamento de risco em segurana da informao deve seguir os seguintes princpios:
?? ?? ??
Princpios de avaliao de risco em segurana da informao Princpios de gerenciamento de risco Princpios organizacionais e culturais
Figura 20: Information Security Risk Management Principles (ALBERTS, 2002, pg. 20)
a. Princpios de avaliao do risco em segurana da informao Estes princpios focam o direcionamento das avaliaes de risco em segurana da informao. Estes princpios asseguram que a segurana da informao permeie toda a organizao. So eles: auto-gesto, medidas adaptivas, formalizao de processos de risco, estrutura para um processo contnuo.
??
Princpio de auto-gesto: este princpio descreve que todos na organizao devem estar preocupados com a identificao e avaliao do risco em segurana da informao. Somente desta forma possvel considerar que a empresa esteja em condies de avaliar os risco em todas as esferas e processos de negcio.
Pg.
60
??
Princpio de medidas adaptivas: uma avaliao flexiva pode se adaptar as constantes mudanas e avanos tecnolgicos. Este princpio afirma que para uma boa avaliao de risco, o modelo de riscos e ameaas no deve ser rgido e muito menos tentar ser o mais perfeito possvel. Princpio de formalizao de processos de risco: este princpio define que processos formalizados facilitam a institucionalizar a aplicao destes processos, assegurando que os processos sejam aplicados. Princpio de estrutura para um processo contnuo: este princpio baseia-se que uma organizao deve implementar estratgias de segurana baseadas nas lies aprendidas no passado. A melhoria da segurana deve ser um processo contnuo e deve ser planejado e estruturado para tal.
??
??
b. Princpios de gerenciamento de risco Estes princpios esto baseados nas prticas genricas de gerenciamento de risco, e portanto, no so exclusivos a segurana da informao. So eles: visualizar sempre a frente, foco em poucos pontos crticos, e gerenciamento integrado.
??
Princpio de visualizar sempre a frente: este princpio define que devem existir pessoas preocupadas no apenas com os problemas atuais mais que estejam focados com os ativos mais crticos da organizao e visualizem quais os riscos futuros a estes ativos. Princpio de foco em poucos pontos crticos: este princpio afirma que a organizao deve focar apenas nas questes mais crticas de segurana da informao. Princpio de gerenciamento integrado: este princpio afirma que as polticas e estratgias de segurana devem ser consistentes com as polticas e estratgias da organizao.
??
??
Pg.
61
c. Princpios organizacionais e culturais Estes princpios analisam as questes organizacionais e culturais da empresa. Conforme ALBERTS (2001), as pessoas no comunicaro e muito menos trataro os riscos chave, caso no exista um ambiente propcio aberto a discusso e troca de idias. Para isto fundamental, os seguintes princpios: comunicao aberta, perspectiva global, e trabalho em equipe.
??
Princpio da comunicao aberta: este princpio o mais difcil de se implementar. Ele afirma que o conceito fundamental atrs do gerenciamento de risco a cultura organizacional que suporta a comunicao dos riscos de informao atravs de uma forma colaborativa. Princpio de perspectiva global: segundo este princpio necessrio que as pessoas enxerguem os riscos de segurana, no de forma pontual, mas sim com uma perspectiva global de toda empresa. Ou seja, necessrio que as pessoas encarem que a empresa deve tratar a segurana da informao como um todo e no localmente. Princpio do trabalho em equipe: impossvel que uma nica pessoa entenda as questes de segurana de uma empresa como um todo. Este princpio afirma que o gerenciamento de risco deve ser uma abordagem inter-disciplinar e portanto h necessidade de um trabalho em equipe.
??
??
PELTIER (2002) apresenta uma outra forma de abordagem, cujo enfoque identificar as necessidades de negcio e os riscos associados, e a partir da estabelecer um processo de gerenciamento destes riscos. O gerenciamento do risco na segurana da informao apresentado atravs do seguinte processo: identificao das necessidades e anlise de riscos, implementao de polticas e controles, conscientizao e treinamento, monitoramento e reviso dos controles. Todo este processo deve estar centralizado em um ponto focal, seja uma pessoa ou rea de segurana.
Pg.
62
Figura 21: Information Security Risk Management (PELTIER, 2002, pg. 18)
2.2.4. Segurana da informao e auditoria de sistemas Segundo o Relatrio do Comit de Conceitos Bsicos de Auditoria da Associao Americana de Contabilidade, citado por BOYTON (1996), a auditoria um processos sistemtico de obter e avaliar evidncias enfocando afirmaes sobre aes e eventos econmicos para avaliar o grau de correspondncia entre estas afirmaes e os critrios estabelecidos para comunicao dos resultados aos interessados. Segundo BOYTON (1996), pode-se classificar a auditoria em trs tipos: Auditoria de demonstraes financeiras: envolve a anlise das evidncias sobre as demonstraes financeiras de uma empresa, com o objetivo de opinar se tais demonstraes foram desenvolvidas obedecendo a um critrio estabelecido. Auditoria de conformidade (compliance): envolve a anlise das evidncias de algumas atividades financeiras ou operacionais de uma empresa, com o propsito de verificar se estas esto em conformidade com as condies e regulamentos especficos ao assunto. Auditoria operacional: compreende a anlise das evidncias sobre a eficincia e a eficcia das atividades operacionais de uma empresa em relao a objetivos especficos.
??
??
??
Pg.
63
Qualquer atividade empresarial necessita ser conduzida dentro de determinados padres, e este conjunto de padres, que direciona a empresa no sentido dela atingir seus objetivos, pode ser chamado de controle interno. A importncia do controle interno para os trabalhos de auditoria reconhecida h um certo tempo. Segundo BOYTON (1996), a publicao do AICPA ( American Institute of Certified Public Accounts) de 1947 j reconhecia e definia o termo Internal Control. A preocupao com controles internos ultrapassou as fronteiras da auditoria e contabilidade. Em 1987, a Treadway Commission, uma comisso formada pelo Congresso dos Estados Unidos, divulgava o relatrio final denominado National Commission on Fraudulent Financial Reporting , no qual recomendava as empresas pblicas a manter controles internos que forneam segurana mnima para evitar fraudes e problemas aos relatrios financeiros. Tambm recomendava que as organizaes patrocinadoras da comisso cooperassem para o desenvolvimento de instrues adicionais de um sistema de controles internos. Em 1992, o comit das organizaes patrocinadoras da comisso de 1987 COSO (Committee of Sponsoring Organizations) lanou o relatrio chamado Internal Control An integrated framework com os seguintes objetivos:
??
Estabelecer uma definio de controle interno atendendo as necessidades de diversos parceiros envolvidos. Fornecer um padro para que as empresas e outras organizaes pudessem avaliar o seu sistema de controle interno e determinar como melhor-lo.
??
Segundo o relatrio do COSO (1992), para a existncia de controles internos na organizao necessrio uma estrutura de controle, descrita a seguir:
?? ?? ?? ?? ??
Ambiente de controle Avaliao de riscos Atividades de controle Informao e comunicao Monitorao
Pg.
64
Segundo BOYTON (1996), os controles internos aplicados aos sistemas de informaes computadorizados podem ser executados por controles gerais e controles de aplicao. Os controles gerais so:
?? ?? ?? ?? ??
Controles organizacionais e operacionais Controles de documentao e de desenvolvimento de sistemas Controles de equipamentos e de sistemas operacionais Controles de acesso Controles de dados e processamento
J os controles de aplicao so:

?? ?? ??
Controles de entrada Controles de processamento Controles de sadas
Em 1996, uma associao mundial de auditores de informtica envolvendo mais de 100 pases, denominada ISACA Information Systems Audit and Control Association com apoio de instituies como Unisys e Coopers & Lybrand, desenvolveu uma estrutura denominada COBIT Control Objectives for Information and Related Technology para facilitar os trabalhos de auditoria em sistemas computadorizados. Baseando-se nos componentes de controles definidos no relatrio do COSO, o COBIT avalia se os requisitos do negcio esto sendo atendidos pela tecnologia de informao da empresa. A estruturao do COBIT define que os recursos de tecnologia de informao implementam os diversos processos de TI com o objetivo de atender os requisitos do negcio.
Figura 22: COBIT principles
COBIT
Pg.
65
A execuo das atividades de TI deve ser feita de forma que se atinjam os objetivos de controle. Atendendo a estes objetivos, o COBIT afirma que existe uma relativa segurana que os requisitos de negcio foram atendidos. responsabilidade da organizao assegurar a execuo destes processos e se os objetivos de controle correspondentes esto sendo atingidos.
Figura 23: COBIT process
COBIT Agora sob a ptica de GREENSTEIN (2000), podemos classificar os riscos associados a segurana da informao como uma sub-classificao de um risco operacional.
Figura 24: Gerenciamento da informao (elaborado pelo autor)
Pg.
66
Para situarmos a segurana da informao em relao aos trabalhos de auditoria e as principais teorias desenvolvidas, elaborou-se o seguinte quadro comparativo:
Segurana da informao 1. rea responsvel Riscos de alterao, indisponibilizao e destruio da informao BS7799 ISO 17799 Auditoria de Sistemas Riscos associados aos recursos de Tecnologia da Informao COBIT: Control Objectives for Information and related Technology (9 dimenses) ISACA: Information System Audit and Control Association Auditoria de Controles Intenros Riscos operacionais
2.
Metodologia
Internal Control: Integrated framework COSO
3.
Organizao desenvolved ora da metodologia Certificao profissional rgo emissor da Certificao
BS: British Standards OSI: Organization of International Standards
4.
CISSP: Certified Information System Security Professional ISC2: International Information Systems Security Certification Consortium Processos de Segurana da Informao
1. Risco alinhamento estratgico do plano de Segurana da informao Segurana do Cdigo Risco em segurana de invaso na mudana da plataforma tecnolgica Segurana dos dados etc.
CISA: Certified Information System Auditor ISACA: Information System Audit and Control Association Processos de TI
1. Risco de alinhamento estratgico do plano de TI Qualidade e eficincia do cdigo Risco nas aplicaes e performance na mudana da plataforma tecnolgica Qualidade dos dados etc.
COSO: Committee of Sponsoring Organizations of the Treadway Commission ---------------
5.
---------------
6.
Foco de estudo Riscos analisados
Processos Operacionais
1. 2. 3. Falta de Controles de processos Falha de produto / servio Inadequao da capacidade de produo Obsolncia do estoque Obsolncia tecnolgica etc.
7.
2. 3.
2. 3.
4. 5. 6.
4. 5.
4. 5.
Pg.
67
2.3. Modelo de Gesto de Risco em Segurana da Informao

De acordo com NAKAMURA (2002), a necessidade de segurana est transcendendo o limite da produtividade e funcionalidade. Enquanto que a eficincia e eficcia nos negcios significam vantagem competitiva, a falta de segurana nos meios tecnolgicos pode resultar grandes prejuzos. According to the Computer Security Institute, the computer-related crime costs an organization about $500,000 while an average bank robbery results in only about $2,500 in losses. (KANELLAKIS, Canadian HR Reporter, Dec. 2, 2002, v. 15-21, pg. G4) Segundo WADLOW (2001), a administrao da segurana, seja como funo ou seja como responsabilidade de uma rea especfica dentro da instituio, requisito fundamental dentro do processo de estabelecimento da arquitetura da segurana corporativa. Para fins didticos e de organizao, o modelo de gesto de risco em segurana da informao foi dividido em quatro componentes: Direcionadores de negcio e agentes de implementao Alinhamento estratgico da segurana da informao ao negcio Segurana das operaes Gerenciamento das identidades
?? ??
?? ??
2.3.1. Direcionadores de negcio e agentes de implementao LAUDON (2002) prope o seguinte modelo para a gesto da segurana da informao:
Pg.
68
Figura 25: Information Risk Management (LAUDON, 2001, pg.433)
Podemos identificar e classificar a partir deste modelo os seguintes elementos:

?? ?? ??
Agentes implementadores: tecnologia, pessoas e processos. Direcionadores de negcio: Business Challenges reas de interesse: definio de regras de acesso, desenvolvimento de polticas de segurana, arquitetura de segurana (representados por Servers, Windown NT, Intrusion detection software, etc )
a. Direcionadores de negcio Segundo ALBERTS (2002), planejar as estratgias de segurana da informao alinhada com os objetivos de negcio da organizao fundamental para a sua implementao de segurana. Os direcionadores de negcio esto relacionados as questes de planejamento e estratgia. So em ltima instncia os objetivos finais da rea de segurana da informao. Os direcionadores de negcios so trs: Agregar Valor ao Negcio
Pg.
69
Conforme PELTIER (2001), a segurana da informao est intimamente relacionada com as necessidades de negcio da organizao. Determinar estas necessidades e identificar os riscos associados estas, so fundamentais para o gestor de segurana. Segundo o princpio de gerenciamento integrado de risco proposto por ALBERTS (2002), as questes de segurana devem estar incorporadas no negcio da organizao e as estratgias e metas de negcio devem ser perseguidas pelas estratgias e polticas de segurana. De acordo com PELTIER (2001), este direcionador visa minimizar a lacuna existente entre o valor da informao e os esforos para segurana da informao. Para isto responder, necessrio que a rea de segurana responda as seguintes questes:
?? ??
Quais so as estratgias e metas de negcio da empresa? Como a segurana pode contribuir para atingir as metas e objetivos da empresa? Quais so os processos crticos da empresa e os riscos associados? Qual o valor da segurana da informao sobre os processos crticos?
??
??
Gerenciar o Custo Total em Segurana De acordo com ATKINSON (1999) , com o desenvolvimento do controle gerencial no sculo XX, administrar e apresentar o retorno sobre o investimento fundamental para as reas que compe a organizao. Portanto trata-se de um direcionador importante para a rea de segurana da informao. Segundo LOEB (2002) , otimizar o custo total da segurana dentro da instituio, e apresentar de forma clara e transparente para as demais reas uma tarefa rdua e necessria. Primeiro que quantificar o retorno do investimento para os projetos de segurana extremamente difcil, uma vez que lida-se com parmetros muitas vezes intangveis, como por exemplo: m f de
Pg.
70
funcionrios ou mudanas tecnolgicas. Segundo, uma atividade necessria, pois sem gastos em segurana no h proteo aos negcios da empresa. Esta comunicao, segundo ALBERTS (2002) fundamental, pois somente com uma comunicao aberta, clara e transparente, pode-se criar uma cultura organizacional propcia ao gerenciamento de riscos de segurana da informao. Gerenciar as Expectativas dos Investidores De acordo com BYRNES (2002), fundamental administrar as expectativas dos acionistas e da alta cpula em relao ao risco da instituio associado a segurana da informao. Uma das funes implcitas do gestor de segurana entender as estratgias do negcio e enviar mensagens de marketing alinhadas as mesmas para alta administrao e acionistas. O gestor da segurana da informao deve se preocupar em responder:
??
O nvel de segurana s informaes satisfatrio em relao aos investimentos? Existe a aplicao das melhores prticas de segurana sobre as informaes do negcio? O negcio est dentro das conformidades legais de segurana? Quais certificaes poderiam ser obtidas em relao ao estgio de maturidade de segurana da organizao?
??
?? ??
c. Agentes implementadores Tendo em vista os direcionadores de negcio, so necessrios agentes para tratar a implementao, levando em considerao os princpios apresentados por ALBERTS (2002) que consideram os aspectos tcnicos, humanos e procedurais. Os agentes implementadores do Modelo de Gesto, que so: Pessoas De acordo com os princpios organizacionais e culturais apresentado por ALBERTS (2002), para implementao efetiva da gesto de segurana dentro de
Pg.
71
uma organizao, o agente mais importante, e no entanto, menos observado durante a implementao, so as pessoas. As questes culturais para assimilao e implementao da segurana da informao so fundamentais para a eficcia da gesto de segurana. Processos Como j anteriormente descrito por ALBERTS (2002), atravs do princpio da formalizao dos processos de risco, o desenho e uma boa definio dos processos de segurana so essenciais para o sucesso da implementao da segurana da informao. Tecnologia Segundo SCHNEIER (2001), a tecnologia o item ,que na prtica, o primeiro ser implementado e leva o estigma de ser entendido dentro da organizao como o nico responsvel pela gesto da segurana. Conforme FONTES(2000), a utilizao inadequada deste componente, em nada ajudar em proteger os sistemas de informao da empresa. Apenas trar um falso conforto para aqueles que a implementaram. O truque projetar sistemas que sejam protegidos contra as ameaas reais, e no usar tecnologias de segurana a esmo, acreditando que isso far algo til. (SCHNEIER, 2001, pg. 303)
2.3.2. Alinhamento estratgico da segurana da informao Este tpico aborda as questes estratgicas com relao a segurana da informao e aborda as principais aes para o efetivo alinhamento estratgico da segurana da informao com os objetivos e processos de negcio da organizao. Para fins didticos foram divididas nas seguintes reas de interesse:
Pg.
72
?? ?? ?? ?? ?? ??
Viso e apoio estratgico Organizao e competncias Compliance e aderncia Polticas e normas de segurana Monitoramento e preveno Treinamento e conscientizao
a. Viso e apoio estratgico Segundo BYRNES (2002) a definio da misso e viso da rea de segurana da informao fundamental, no s para rea de segurana da informao, mas tambm para o conhecimento de toda a organizao. Para isto essencial que a rea tenha o apoio da alta administrao da instituio. necessrio que toda a alta administrao tenha conscincia da importncia da segurana da informao tendo uma participao ativa nas aprovaes das estratgias a serem adotadas. Ainda de acordo com BYRNES (2002), como produto desse item necessrio o desenvolvimento de um Security Charter, documento formal, contendo toda a estratgia de segurana corporativa da instituio, que reflita o desejo da alta administrao da instituio, quanto a proteo dos ativos de informao e das operaes internas da empresa.
b. Organizao e competncias De acordo com KURTZ e VINES (2001), a estrutura organizacional da rea de segurana da informao e o estabelecimento de competncias especficas, para tratar as questes de segurana de forma direcionada as necessidades, fundamental para a Gesto da Segurana da Informao. Para isto, todas as responsabilidades das entidades abaixo mencionadas devem ser formalmente definidas na Poltica de Segurana da Informao.
Pg.
73
??
Comit de Segurana da Informao : a composio de um Comit fundamental para estabelecer o programa de segurana para a organizao, suas metas, objetivos e prioridades para suportar a misso da organizao.O comit deve ser composto por executivos das diversas reas representativas da organizao ou delegados por eles com conhecimento das estruturas internas e com autonomia de forma a deliberar e suportar as decises tomadas sobre as questes de segurana que afetem os negcios da empresa.As responsabilidades do Comit de Segurana da Informao incluem, mas no se limitam a: ? ? Direcionar os esforos e recursos propostos pela rea de Segurana conforme a estratgia de negcios da organizao. ? ? Aprovar a Poltica e Normas de Segurana da Informao e suas atualizaes, bem como as responsabilidades atribudas a esta. ? ? Aprovar os controles a serem utilizados para garantir a segurana das informaes. ? ? Acompanhar os indicadores de segurana e incidentes reportados pela rea de Segurana da Informao. ? ? Deliberar sobre a aplicao de penalidades em casos de violaes Poltica de Segurana da Informao cuja gravidade seja alta. ? ? Apoiar as iniciativas para melhoria contnua de medidas de proteo da informao da empresa, com vistas a reduzir os riscos identificados. ? ? Aprovar planejamento, alocao de verbas, os recursos humanos e de tecnologia, no que tange a segurana da informao. ? ? Garantir que todo profissional de segurana da informao obtenha treinamento especfico para conduo de suas atividades, inclusive permitindo e gerando contatos com empresas especializadas. ? ? Delegar as funes de segurana da informao aos profissionais responsveis.
??
Gerncia de Segurana da Informao: esta gerncia possui como responsabilidade, atuar de forma pr-ativa nas questes de segurana para toda a organizao, bem como coordenar e intermediar todas as interaes com entidades internas ou externas em todos os assuntos relacionados a segurana da informao.Algumas das atividades da rea de segurana incluem, no se limitando a:
Pg.
74
? ? Monitorar as violaes de segurana e tomar aes corretivas para assegurar que as aes necessrias para que no haja recorrncia foram adotadas. ? ? Testar a infraestrutura de tecnologia para avaliar os pontos fortes e detectar possveis ameaas, com o suporte da rea de Tecnologia e Infraestrutura. ? ? Revisar periodicamente as Polticas e Normas de Segurana da Informao e sugerir as alteraes necessrias. ? ? Definir as principais funes e responsabilidades quanto segurana da informao de todas as reas da organizao. ? ? Gerenciar o desenvolvimento, a implementao e o teste dos controles tcnicos e processuais de segurana, necessrios para garantir a segurana do ambiente de tecnologia. ? ? Desenvolver, manter e implementar programas de treinamento e de conscientizao aos funcionrios e prestadores de servio sobre a Poltica de Segurana da Informao, a forma como ela est estruturada e os principais conceitos de segurana da informao. ? ? Participar dos planejamentos anuais de segurana, considerando as diversas reas da empresa e seus planos especficos, para definir as estratgias, alocar os recursos tecnolgicos, financeiros e humanos e priorizar os investimentos, submetendo os projetos ao Comit de Segurana da Informao para aprovao. ? ? Elaborar, implementar, analisar e divulgar os indicadores da segurana da informao, tomando as aes necessrias para que estes atendam s necessidades da empresa. ? ? Assessorar as demais reas da empresa no processo de classificao das informaes. ? ? Implementar programas regulares de avaliao de riscos nas reas de negcio, auxiliando os responsveis por estas, quando necessrio. ? ? Auxiliar as reas de negcio na elaborao do Plano de Continuidade dos Negcios. ? ? Assegurar que exista um processo apropriado para o reporte dos incidentes e violaes de segurana detectados pelos funcionrios e prestadores de servio, independentemente dos recursos tecnolgicos utilizados.
Pg.
75
? ? Garantir a tomada de aes rpidas caso sejam detectados incidentes de segurana. ? ? Reportar periodicamente Alta Administrao o nvel de segurana da organizao, incluindo informaes sobre as reas que apresentem problemas, com recomendaes para aprimoramento; ? ? Desenvolver e assegurar a utilizao de dispositivos adicionais de segurana, no se limitando aos mencionados nas Polticas e Normas de Segurana da Informao. ? ? A rea de segurana da informao dever auxiliar as reas de desenvolvimento durante a fase de planejamento dos sistemas para que sejam abrangidos os controles de segurana. De acordo com WADLOW(2001), a rea de segurana da informao deve estruturar as seguintes equipes multidisciplinares:
??
Equipe de Monitoramento: esta equipe representa os alertas e alarmes da organizao de segurana, vinte quatro horas por dia em sete dias da semana. Esta equipe realiza tarefas rotineiras necessrias alm de testar vrios sistemas regularmente de forma a verificar que tudo est funcionando conforme o projetado. No caso de um ataque, esta equipe responsvel pela declarao de um estado de emergncia e de proteger os sistemas de informaes at a equipe de resposta e a equipe de investigao assumirem a situao. Deve-se tambm capacitar esta equipe para lidar com questes rotineiras sem a declarao de um estado de emergncia. Enquanto as demais equipes tratam do ataque, a equipe de monitoramento deve ter condies de continuar a monitorao da rede e dos sistemas de informao. Equipe de Resposta: a equipe de resposta responsvel pelo combate a qualquer ataque a organizao. Seus membros operam as defesas ativas da empresa e visam avaliar e coordenar o combate a qualquer dano causado pelo incidente. Tambm asseguram que qualquer brecha das defesas utilizadas por um atacante ser descoberta e consertada, e que qualquer modificao e estrago realizado pelo invasor ser encontrado e restaurado inteiramente s configuraes corretas.Alm de responder os ataques, a equipe de resposta responsvel pelo estudo de mtodos de ataque e pelo sistema de monitorao ativa e sistema de registros (logs). Desta forma, a todo o novo mtodo de ataque planejado uma forma de defesa para conter e derrotar o mesmo.De forma mais abrangente essa equipe tambm responsvel
??
Pg.
76
pela coordenao da elaborao do plano de contingncia de toda a organizao, interagindo com os gerentes, proprietrios das aplicaes, equipes de segurana, e demais entidades.
??
Equipe de Investigao de Crimes Eletrnicos: esta equipe fornece pesquisa e ajuda detalhada equipe de resposta. Num incidente, a equipe de investigao de crimes eletrnicos responsvel por investigar exaustiva e cuidadosamente de forma a confirmar, refutar ou adicionar qualquer avaliao trazida pela equipe de resposta. Vale lembrar ainda que as funes de segurana no se restringem a algumas equipes, mas sim devem ser cobertas por diversas as reas de organizao.
Figura 26: Estrutura organizacional (WADLOW, 2001, pg. 52)
De acordo com VALLABHANENI (2002), existem diversas funes de segurana que no esto dentro da rea de segurana, como:
??
Proprietrio da Informao: preferencialmente, cada sistema e as informaes nele contidas, devem possuir um proprietrio atribudo. Especificamente, os proprietrios so responsveis por definir o nvel de segurana e o perfil de acesso para os dados, arquivos e sistemas que estejam sob sua responsabilidade. Adicionalmente, o proprietrio responsvel por classificar as informaes que estejam sob sua responsabilidade, de acordo com os critrios definidos pela rea de Segurana da Informao. Administradores de Sistemas: so os gerentes e tcnicos que desenham e operam os sistemas de computadores. Eles so responsveis pela implementao da segurana tcnica no sistema do computador e por estarem familiarizados com a tecnologia de segurana que corresponde aos seus sistemas. Eles tambm precisam garantir a continuidade dos servios que realizam para suprir as necessidades funcionais dos
??
Pg.
77
gerentes das reas de negcio bem como analisar vulnerabilidades tcnicas nos seus sistemas (e na implementao segura).
??
Equipe de Telecomunicaes: normalmente so responsveis por prover servios de comunicao, incluindo voz, dados, vdeo e fax. Help Desk: ou servio de atendimento e suporte, incumbido de tratar os incidentes. Deve ser capaz de reconhecer os incidentes de segurana e direcionar a solicitao para o funcionrio ou organizao apropriada responsvel. Auditores: so responsveis por examinar os sistemas para determinar se estes esto atendendo os requisitos de segurana estabelecidos, incluindo as polticas organizacionais e dos sistemas, e se os controles de segurana esto apropriados. Segurana Patrimonial: a rea de Segurana Patrimonial normalmente responsvel pelo desenvolvimento e pelo reforo dos controles de segurana fsica aps prvia consulta aos demais gerentes da organizao. Esta rea deve assegurar a segurana fsica em toda a dependncia da empresa, assim como o transporte e armazenamento das mdias e documentos externos. Qualidade: muitas organizaes tm estabelecido um programa/rea de qualidade para melhorar os produtos e servios oferecidos as clientes. O gerente da qualidade deve ter um conhecimento dos princpios de tecnologia e como eles podem ser usados para melhorar o programa de qualidade. Estes princpios incluem a melhora da integridade das informaes do computador, a disponibilidade dos servios e a confidencialidade da informao do cliente.
??
??
??
??
Segundo BYRNES (2001) a estrutura organizacional tradicional para a rea de segurana da informao seria os especialistas no assunto estarem subordinados s gerncias de desenvolvimento de sistemas e data center.
Figura 27: Estrutura Organizacional Tradicional (BYRNES, 2001, pg. 9)
Pg.
78
BYRNES (2001) prope a seguinte estrutura organizacionais para uma efetiva gerncia de segurana da informao. Neste caso a rea de segurana da informao responde diretamente ao Chief Information Officer.
Figura 28: Estrutura proposta por Byrnes (BYRNES, 2001, pg. 10)
J ROSS e WEILL (2002) prope que a rea de TI no devesse liderar o processo de gerenciamento de riscos de segurana e privacidade, pois podem dar nfase excessiva em segurana e tornar os processos inconvenientes para os clientes e funcionrios. Segundo NAKAMURA (2002), a segurana da informao deve ser tratada como um processo de negcio e para isto deve ter independncia total para atuar. A rea de segurana de informao por ter caractersticas de auditoria e propsitos diferentes de tecnologia no deveriam estar subordinadas a rea de tecnologia. Neste sentido, o modelo proposto por BYRNES (2001) fere questes de auditabilidade caso a rea de segurana de informao fosse subordinada a rea de tecnologia.
c. Compliance e aderncia Segundo PELTIER (2002) a estratgia para se obter um alcance amplo e corporativo em relao segurana de informao est na avaliao da aderncia da estratgia da segurana de informao aos objetivos de negcio da empresa.
Pg.
79
necessrio, criar indicadores para avaliar qual a efetiva participao da rea de segurana da informao nas demais reas de negcio da instituio. A aderncia visa a atender dois princpios importantes apresentados por ALBERTS(2002), o princpio do foco em poucos pontos crticos, e o princpio de gerenciamento integrado. De acordo com VALLABHANENI (2002), os projetos de segurana desenvolvidos devero estar em conformidade com as necessidades de negcio da empresa. Dessa forma, a rea de segurana da informao dever estar em constante contato com os gestores das reas de negcio com o propsito de identificar as necessidades de segurana inerentes ao processo produtivo.Todos os projetos que apresentem riscos para as informaes da empresa, devem ter o envolvimento formal da rea de segurana da informao, visto que esta rea possui conhecimentos que a permitem identificar quais os controles de segurana necessrios para que a integridade, confidencialidade e disponibilidade sejam preservadas.A rea de segurana da informao juntamente com as demais reas devero definir qual ser o fluxo a ser seguido para que seja solicitado o envolvimento da rea de segurana da informao em todos os projetos.
d. Poltica, normas e procedimentos de segurana da informao De acordo com a NBR ISO/IEC 17799 (2001), uma etapa fundamental para a elaborao das polticas de segurana a classificao e controle dos ativos de informao. De acordo com KRUTZ e VINES (2001), a rea de segurana da informao dever definir quais critrios os proprietrios das informaes e sistemas devero adotar durante a classificao dos mesmos. Dependendo da classificao recebida, a informao dever receber controles apropriados, os quais sero definidos pelas polticas e normas de segurana da informao. VALLABHANENI (2002) afirma que necessrio tambm que sejam definidos quais so os receptores autorizados a receber informaes classificadas em cada um dos nveis de classificao definidos. A lista de receptores
Pg.
80
autorizados dever ser periodicamente revisada, pelo proprietrio da informao, juntamente com a rea de segurana da informao. Segundo SCHNEIER (2001), as polticas e normas de segurana da instituio devem fornecer um conjunto estruturado de diretrizes e aes com o propsito de minimizar a possibilidade de ocorrncia de incidentes de segurana da informao. J VALLABHANENI (2002) afirma que as Polticas e Normas de Segurana da Informao tm como principal objetivo definir princpios e responsabilidades para assegurar que a informao esteja adequadamente segura e para criar uma estrutura de ambiente computadorizado na qual os controles internos possam se basear. Todos os funcionrios e prestadores de servio devem estar aderentes as Polticas e Normas de Segurana da Informao, que devem ser constantemente atualizadas de forma que reflitam as alteraes dos processos e da organizao. Segundo o autor, para a elaborao das Polticas e Normas de Segurana da Informao deve-se:
??
obter o comprometimento da alta administrao da empresa, suportando os objetivos e princpios da segurana da informao; definir quais tpicos sero abordados pela poltica; incluir no documento da poltica o objetivo da poltica e a justificativa da importncia desses documentos; o enunciado das polticas e normas deve ser claro o bastante, no deixando dvidas quanto a sua aplicabilidade (onde, como, quando, para quem e/ou para o que a poltica se aplica); estabelecer um fluxo de relacionamento com outras funes envolvidas nos assuntos organizacionais de segurana, como Auditoria Interna, Departamento Jurdico, Departamento Organizacional, Segurana Patrimonial, dentre outros; estabelecer um fluxo de aprovao no qual esteja prevista a reviso por consultores especialistas em segurana , Departamento Jurdico e Desenvolvimento Organizacional, dentre outros; sinalizar toda a documentao como rascunho at que todo o processo de reviso esteja concludo;
?? ??
??
??
??
??
Pg.
81
??
definir no planejamento de segurana um perodo para reviso das Polticas e Normas de Segurana da Informao; definir as responsabilidades e as diretrizes de segurana a serem observadas; assegurar que as normas elaboradas preservem as propriedades das informaes (confidencialidade, disponibilidade e integridade); definir quais aes so consideradas violaes de segurana; estabelecer as aes disciplinares que sero tomadas contra os indivduos que violarem as Polticas e Normas de Segurana da Informao; elaborar as normas e polticas que reflitam a realidade atual da empresa, dessa forma o tempo verbal dever ser o presente; e abordar no mnimo os aspectos de segurana definidos na BS7799, em consonncia com a realidade da empresa; e submeter este documento a aprovao das reas de negcio.
??
??
?? ??
??
??
De acordo com KRUTZ e VINES (2001), para implementao da Poltica e Normas de Segurana da Informao deve-se:
??
obter a ateno e o interesse dos funcionrios e prestadores de servio da empresa informando sobre a iminncia da aprovao e da adoo das Polticas e Normas de Segurana; publicar o documento contendo as Polticas e Normas de Segurana da Informao na intranet e no formato impresso; antes de conceder o acesso dos recursos de informao da empresa aos funcionrios e prestadores de servio solicite que os mesmos assinem um termo de responsabilidade atestando que entenderam e conhecem as normas de segurana definidas; e elaborar programas de conscientizao para os funcionrios da empresa, seguindo as diretrizes de segurana.
??
??
??
A NBR ISO/IEC 17799 (2001) determina as seguintes reas de interesse a serem cobertas pela poltica, normas e procedimentos da segurana da informao:
?? ??
Classificao e controle dos ativos de informao Segurana em pessoas
Pg.
82
?? ?? ?? ?? ?? ??
Segurana fsica e do ambiente Gerenciamento das operaes e comunicaes Controle de acesso Desenvolvimento e manuteno de sistemas Gesto da continuidade do negcio Conformidade
Alm disto, o mesmo documento, recomenda a elaborao de termos de confidencialidade e responsabilidade; e a elaborao de treinamentos de conscientizao e materiais de apoio, como manuais de utilizao da poltica e normas de segurana.
e. Monitoramento e preveno De acordo com VALLABHANENI (2002), a aplicao das normas e procedimentos estabelecidos para instituio devem ser constantemente monitoradas. Esse monitoramento pode identificar situaes futuras de risco e gerar aes preventivas. A adoo de metodologia de gerenciamento de riscos, que ajude a instituio em identificar e monitorar sistematicamente os riscos fundamental para a gesto da segurana da informao. Ainda segundo o autor, a rea de segurana da informao dever avaliar a adoo de penalidades decorrentes do no cumprimento das diretrizes fornecidas nas polticas e normas de segurana. Entretanto, deve ser levado em considerao que, muitas vezes, os usurios incorrem em violaes de segurana de forma no intencional, e sim devido ao desconhecimento. Conforme cita VALLABHANENI (2002), de acordo com o grau de aderncia alcanado, a rea de segurana da informao poder reavaliar os controles estabelecidos e os recursos necessrios para adoo dos mesmos, por exemplo, a adoo de ferramentas de criptografia, solues de monitoramento, dentre outros.
Pg.
83
A rea de segurana tambm dever definir como ser feita a avaliao do nvel de aderncia das reas de negcio aos padres de segurana definidos. Adicionalmente, como ser feita a implementao de contramedidas para correo das divergncias encontradas durante o processo de diagnstico de riscos.
f. Treinamento e Conscientizao De acordo com PELTIER (2001), um dos fatores relevantes para se obter eficcia da segurana da informao est no comprometimento de todos os funcionrios, prestadores de servio e demais colaboradores internos e externos da instituio. A criao de programas de treinamento sobre segurana da informao, que aborde desde mensagens de conscientizao ampla, at treinamentos tcnicos especficos; fundamental neste item. Segundo KRUTZ e VINES (2001), a empresa deve elaborar um Programa de Conscientizao sobre Segurana da Informao para todos os funcionrios e prestadores de servio que utilizam ou tm acesso s suas informaes. Este programa dever ser conduzido internamente se a empresa possuir uma equipe especializada em segurana, caso contrrio esse trabalho dever ser realizado por empresas terceirizadas que atuam nesse segmento. Ainda de acordo com KRUTZ e VINES (2001), as sesses de conscientizao devero abordar aspectos de segurana relacionados com as atividades desempenhadas pelos funcionrios e prestadores de servio e estarem condizentes com as necessidades e experincias prvias que os mesmos possuem. O programa de conscientizao dever ser realizado periodicamente e todos os funcionrios e prestadores de servio devero ser convocados a participar.
2.3.3. Segurana das Operaes De acordo com HUMPHREYS (1998), a segurana da informao deve identificar os riscos e vulnerabilidades das operaes de negcio da empresa e
Pg.
84
implementar as devidas solues de segurana, no s atravs da tecnologia, mas tambm, de processos e de pessoas. Essa rea pode ser subdivida em:
?? ?? ?? ?? ?? ??
Arquitetura de segurana Segurana das operaes Telecomunicaes Segurana fsica Desenvolvimento de sistemas Resposta incidentes
a. Arquitetura de Segurana De acordo com KRUTZ e VINES (2001), necessrio estabelecer uma arquitetura de segurana, que trata das questes de segurana da informao e controles, em todos os nveis tcnicos e operacionais para as diversas reas de negcio. Ela abrange os conceitos, princpios, estruturas e padres utilizados para desenhar, implementar, monitorar os sistemas operacionais seguros, equipamentos, redes, aplicaes e controles para reforar os diferentes nveis de confidencialidade, bem como garantir a integridade e a disponibilidade dos meios. Para KRUTZ e VINES (2001), a arquitetura de segurana do ambiente computacional refere-se a um conjunto de estruturas e aos detalhes necessrios para o seu funcionamento. Para tanto, esta arquitetura deve enderear os princpios bsicos relacionados a segurana da informao incluindo privacidade dos dados, integridade, disponibilidade e confidencialidade. Segundo VALLABHANENI (2002), de modo geral a arquitetura de segurana est envolvida com os sistemas operacionais, hardware, protocolos utilizados nas redes, circuitos e programas de sistema de operaes, mas normalmente no envolve sistemas de aplicaes, os quais so requisitados para executar uma tarefa, mas no para fazer o sistema funcionar. A seguir segue um tipo de arquitetura de segurana que pode ser agregado no ambiente computacional das organizaes:
??
Internet Protocolo Security IPSEC. IPSEC projetado para oferecer segurana e interoperabilidade, baseado em criptografia para Internet
Pg.
85
Protocol IP v4 e IP v 6. O conjunto de servios de segurana oferecido inclui controle de acesso, disponibilidade, integridade, autenticao da origem, proteo contra ataques e confidencialidade limitada do fluxo do trfego. Esses servios so fornecidos na camada IP, oferecendo proteo tambm para as camadas superiores, como Transmission Control Protocol- TCP, User Datagram Protocol - UDP, Internet Control Message Protocol - lCMP e Border Gateway Protocol - BGP. A srie de protocolos IPSEC e algoritmos padres associados so projetados para oferecer segurana de alta qualidade para o trfego da Internet. Contudo, a segurana oferecida pelo uso desses protocolos depende da qualidade da sua implementao. b. Segurana das Operaes De acordo com VALLABHANENI (2002), a segurana das operaes utilizada para identificar os controles sobre o hardware, as mdias e sobre os operadores com acesso privilegiado a esses recursos. Auditoria, monitoramento, ferramentas e recursos so os mecanismos que permitem a identificao dos eventos de segurana e subsequentemente aes para identificar os elementos chaves e reportar a ocorrncia ao responsvel, equipe ou rea pertinente. Dentre as vrias atividades relativas a segurana das operaes o autor cita como principais as:
??
Segregao das funes A segregao de funes deve existir para garantir que nenhum indivduo e/ou rea desempenhe um processo completo como gerao, entrada, autorizao, verificao ou distribuio de dados. Porm, muitas vezes devido a estrutura da organizao, mais de uma dessas funes acabam sendo executadas por um nico indivduo e/ou rea. Para tanto, devem existir procedimentos e controles que autorizem, administrem e monitorem o desenvolvimento das funes exercidas. O recomendado que exista uma estrutura propiciando a reviso e/ou aprovao entre as funes que completam um processo. Recomenda-se evitar que um nico indivduo e/ou rea seja responsvel por um processo do incio at seu final. O objetivo da separao de tarefas assegurar que nenhum indivduo sozinho possa comprometer uma aplicao, poltica, procedimentos, atividades ou controles. uma diretriz bsica de segurana que
Pg.
86
atividades de alto risco sejam segregadas. Nenhum funcionrio deve ser responsvel por monitorar as atividades que ele prprio tenha executado.
??
Administrao do anti-vrus Controles devem ser adotados para evitar a introduo de vrus de computador no ambiente interno da empresa. Atualizaes constantes na lista de vrus devem ser realizadas, evitando assim que a empresa se torne suscetvel ao ataque. Preferencialmente essas atualizaes devero ser feitas automaticamente, sem que haja interveno manual. Entretanto, um funcionrio da empresa dever acompanhar o processo, assegurando que o mesmo tem sido realizado com sucesso. Todos os servidores e microcomputadores devem ser atualizados quando surgirem novas listas de definies de vrus. Todos os arquivos recebidos via disquete ou enviados eletronicamente devem ser verificados quanto a existncia de vrus. Esta configurao dever estar pr-configurada no antivrus. Os usurios devem estar instrudos a no desabilitarem o software antivrus de suas mquinas. Preferencialmente, esses software devero ter essa opo bloqueada.Periodicamente a empresa dever verificar se todos os equipamentos possuem o sistema antivrus instalado, ativo e atualizado. O software antivrus deve estar sempre ativo e ser executado para verificao do dispositivo que protege sempre que houver a suspeita da existncia de vrus, ou sob comando do usurio do equipamento.
??
Procedimentos de backup
As empresas devero possuir procedimentos adequados para gerao e reteno das mdias de backup e dos sistemas utilizados para gerao dessas informaes. A existncia de mdias de backup crucial para continuidade dos negcios caso ocorram incidentes de segurana. Devem ser atribudas as mdias de backup os mesmos cuidados destinados s informaes originais. Periodicamente, devem ser geradas cpias de segurana das informaes e dos sistemas utilizados na gerao dos mesmos. Esta periodicidade poder variar, dependendo do intervalo no qual os dados originais so atualizados. Por exemplo, uma informao que atualiza mensalmente, o backup dever ser realizado em um perodo igual ou superior a um ms, no havendo necessidade de serem realizados, por exemplo, backups dirios.
Pg.
87
Durante o processo de gerao de backup, devero ser considerados os arquivos de dados, os bancos de dados, o cdigo fonte dos sistemas em desenvolvimento, utilitrios, dentre outras informaes que os proprietrios da informao julguem necessrias. A deciso sobre a periodicidade de realizao de backup de determinados arquivos est baseado no custo de realizar o backup, versus: (1) o custo de falha; (2) a capacidade de recriar o arquivo sem um backup; e (3) tempo necessrio para realizar uma cpia de segurana.
??Inventrio
dos ativos
O inventrio de todos os hardware de computador, como processadores, monitores, notebooks, modems, equipamentos de telecomunicao, roteadores, fax, PABX, devem ser registrados no inventrio de ativos fsicos. Esse inventrio de ativos da informao dever ser revisado sempre que esses hardware forem removidos, descartados, realocados, atualizados ou sofrerem qualquer outro tipo de alterao. As empresas tambm devero inventariar todos os sistemas aplicativos, ferramentas, pacotes adquiridos de terceiros, software shareware e freeware autorizados. Esse inventrio de ativos da informao tambm dever ser feito de forma automatizada via rede, possibilitando identificar discrepncias da configurao padro homologada pela empresa. O inventrio de software dever registrar informaes semelhantes ao inventrio de hardware. A realizao de inventrios de ativos da informao periodicamente permite a empresa identificar a utilizao de software no homologados ou piratas em seu ambiente. Para melhor controle de seus ativos, o processo de aquisio de hardware e software, bem como a instalao dos mesmos, dever estar centralizado.
??
Documentao das Operaes
necessrio formalizar todos os procedimentos operacionais executados por suas reas de negcio. Entretanto, num primeiro momento, essa atividade dever ser priorizada nas reas onde h o manuseio de informaes sensveis e a utilizao de um volume muito grande de mo de obra terceirizada, buscando dessa forma, minimizar a dependncia desses terceiros. O objetivo da formalizao dos procedimentos executados pela rea assegurar o uso adequado das aplicaes, solues tecnolgicas e desempenho adequado das atividades da rea, bem como garantir que na ausncia dos funcionrios que executam a tarefa, esta continuar sendo desenvolvida. A formalizao dos procedimentos em um nvel adequado de detalhes ajuda a eliminar as falhas de segurana os
Pg.
88
descuidos, fornece aos recm-contratados instrues suficientemente detalhadas, e assegura a qualidade das atividades, garantindo assim a execuo correta e eficiente, bem como a continuidade e a consistncia dos processos.
??
Manuseio e destruio de mdias
Devem-se elaborar Polticas, Normas e Procedimentos de Segurana referentes ao armazenamento e ao descarte das mdias que contenham informaes de alta criticalidade. Adicionalmente, a adoo de dispositivos apropriados de armazenamento de descarte necessria. Aps a definio da poltica de classificao de informaes, a rea de segurana da informao dever realizar um trabalho, junto aos Gestores das reas, para o mapeamento das necessidades de segurana decorrentes da classificao realizada, por exemplo, necessidade de adoo de cofres para armazenamento de mdias, de picotadores para destruio de relatrios, de disponibilizao de um espao maior no ambiente de rede para armazenamento das informaes locais, da adoo de cuidados especiais durante o envio de informaes impressas ou em formato digital (duplo envelopamento, criptografia, etc.), dentre outros.
??
Monitoramento das trilhas de auditoria
Durante o desenvolvimento dos sistemas, necessrio atentar para que os mesmos estejam parametrizados de forma que permitam a gerao de trilhas de auditoria. Estas trilhas so registros histricos das transaes ocorridas e que permitem percorrer uma transao de seu princpio at seu fim, ou vice-versa. As trilhas de auditoria, as quais so gravadas em arquivos de log, auxiliam na deteco de violaes de segurana, de problemas de performance e de falhas nos sistemas. Em virtude de os arquivos de log serem recursos passivos, visto que eles somente coletam dados e no tomam nenhuma ao, sua maior utilidade est na deteco e intimidao de aes consideradas imprprias. Deve ser definido pelo proprietrio do sistema, juntamente com o suporte da rea de segurana da informao, quais mdulos, bem como quais eventos dentro dos mdulos (incluso, alterao, dentre outros) devero permitir a gravao de trilhas de auditoria. Para os sistemas existentes, deve ser avaliada a possibilidade da gerao desses arquivos e a implementao dos mesmos no menor prazo possvel. O recurso de trilha de auditoria deve ser desenvolvido de tal forma que permita a ativao/desativao mediante as necessidades de negcio. Somente a rea de segurana da informao, juntamente com os
Pg.
89
responsveis pelo processo de auditoria na empresa, deve possuir permisso para desativar tal recurso. ?? Anlise de risco As empresas devem utilizar a anlise de risco para todas as informaes e/ou sistemas, incluindo aqueles que ainda esto em fase de desenvolvimento. A alta administrao da empresa e todos funcionrios responsveis por aplicaes crticas ao negcio, ambientes de processamento de informao, redes de comunicao e desenvolvimento de sistemas devem estar conscientes da necessidade quanto realizao da anlise de risco. Os riscos oferecidos ao negcio, associados aos sistemas e s informaes, devem ser avaliados usando-se um mtodo formal de anlise de risco, o qual deve ser documentado, flexvel, de fcil compreenso, aprovado pela alta administrao e periodicamente revisado, para assegurar que ele atinja as necessidades de negcio.
c. Telecomunicaes De acordo com VALLABHANENI (2002), esta rea de interesse aborda os mtodos de transmisso, as formas de trfego de informaes e as medidas de segurana utilizadas para fornecer integridade, disponibilidade, autenticao e confiabilidade para as transmisses ocorridas, utilizando redes de comunicao pblica e privada. Para a segurana desta rea, so necessrios:
??
Modems A empresa deve elaborar procedimentos descrevendo os passos a serem seguidos pelos funcionrios e prestadores de servio para a obteno de aprovao e a instalao de modems nas estaes de trabalho da rede. Alm disso, deve-se adquirir uma ferramenta que permita controlar e identificar todo o hardware existente nos diversos computadores da rede, de modo que VISANET mantenha um inventrio de hardware sempre atualizado. PABX A organizao deve assegurar a integridade dos dados do sistema de PABX. Aplicaes, correes, suplementos e programas so normalmente necessrios para testar e atualizar este sistema. Sendo assim, o administrador do PABX precisar algumas vezes prover dados corretos real-time para o firmware software e programadores. Dados sensveis devem ser manipulados de maneira adequada sua classificao, evitando a
??
Pg.
90
exposio do PABX. A segurana de operaes tambm deve envolver a proteo contra modificaes no autorizadas de software e hardware.
??
Firewalls Os firewalls devem ser vistos como a primeira linha de defesa contra ameaas externas e de proteo da rede interna da empresa. De acordo com MCCLURE (2000), existe uma srie de vantagens que justificam o uso firewall, dentre as quais destacam-se com um dos principais dispositivos: proteo contra servios vulnerveis; habilitao somente dos protocolos definidos pelos administradores; segregao do acesso para alguns sistemas, redes e dispositivos; e identificao de vrus e cdigos maliciosos. Os ambientes de firewall so compostos de dispositivos, de sistemas associados e de aplicaes projetadas para se trabalhar em conjunto. As configuraes em um firewall devem visar minimizao do gerenciamento, e, ao mesmo tempo, a fornecer a proteo adequada empresa. Cabeamento Em relao estruturao do cabeamento, a empresa dever avaliar a utilizao de cabeamentos estruturados,(ou seja, aqueles que obedeam s seguintes condies: segregao do cabeamento eltrico e lgico atravs da utilizao de dutos distintos) e utilizar dutos adequados ao meio a que esse estiver exposto, a fim de evitar problemas como, por exemplo, interferncia eletrnica. O cabeamento ainda dever estar devidamente identificado, ser testado e certificado e as instalaes devero apresentar documentao referente ao cabeamento. LAN As LANs (Local Area Network) devem manter a confidencialidade e a integridade dos dados quando forem armazenados, processados ou transmitidos atravs dela; devem tambm manter a disponibilidade dos dados armazenados, assim como a habilidade de processar e transmitir os dados de maneira precisa e garantir a identidade do emissor e do receptor de uma mensagem. Computao remota A computao remota ocorre na medida em que funcionrios da empresa passam a ter a necessidade de acesso s informaes ou aos recursos da companhia remotamente. Tal situao expe a organizao utilizao da computao remota, que deve ser controlada para que apenas usurios autorizados possam acessar os componentes e os recursos remotamente. Para tanto, os servidores segundo NAKAMURA (2002), devem ser capazes de identificar e autenticar as solicitaes dos usurios remotos,
??
??
??
Pg.
91
utilizando recursos como um token ou componentes biomtricos para incrementarem o processo de autenticao do usurio. Alm disso, outros fatores devem ser agregados, como o emprego de VPN, a fim garantir a privacidade utilizada durante a transmisso das informaes.
??
Sistemas operacionais de rede A empresa deve atentar para a reviso, a configurao e a atualizao dos sistemas operacionais utilizados na rede, a fim de incrementar a segurana do ambiente. Para tanto, as seguintes prticas de mercado devem ser consideradas, dentre outras: atualizar o software e instalar patches de segurana, configurar o sistema operacional seguindo checklist de segurana, remover as aplicaes desnecessrias, especialmente aquelas que no so homologados, utilizar software de antivrus para a proteo dos sistemas operacionais, e arquivos e implementar firewalls pessoais nos computadores considerados crticos. Wireless As redes Wireless so um elemento importante da infra-estrutura da comunicao. Estes sistemas, incluindo sistema de redes e celulares, esto fornecendo nveis de mobilidade e flexibilidade sem precedentes durante o desenvolvimento dos sistemas aos usurios. As redes de celulares e de satlites tm vantagens sobre redes terrestres, porque elas so potencialmente acessveis de qualquer lugar do planeta, sem o custo de instalao de fios ou cabos. Entre os principais objetivos de segurana wireless cabe ressaltar: segurana fsica dos dispositivos wireless; implementao de Public Key Infrastructure (PKI) a fim de garantir a privacidade das informaes e utilizao do Wireless Transport Layer Security Protocol (WTLS) em aplicaes que utilizem o protocolo WAP. WAN Uma Wide Area Network ( WAN) refere-se a uma rede que interliga sistemas locados em reas geogrficas distantes, tal como uma cidade, um continente, ou muitos continentes. Uma rede complexa pode constituir-se de WANs que possuem a amplitude de continentes ou regies geogrficas dentro de continentes e de conexes menores, como LANs ou MANs. As seguintes metas devem ser consideradas para a implementao de um programa eficiente de segurana voltado WAN: manter a confidencialidade, a integridade e a privacidade dos dados quando forem armazenados, processados ou transmitidos pela WAN; manter a disponibilidade dos dados , assim como a habilidade de processar e transmitir os dados de maneira precisa; e garantir a disponibilidade dos links envolvidos nas transmisses.
??
??
Pg.
92
??
Aprimorar controles sobre o uso da Internet A empresa dever elaborar polticas e procedimentos com relao ao uso da Internet. Estes documentos devero definir qual o critrio a ser adotado para liberao do acesso Internet para seus funcionrios e prestadores de servio. O acesso aos sites de Webmail dever ser bloqueado, bem como sites cujo contedo seja imprprio, como pornografia, atividades criminais ou no-ticas e raciais.A realizao de downloads pelos funcionrios e prestadores de servio tambm dever ser avaliada. Preferencialmente, este recurso dever estar habilitado somente para os funcionrios que necessitarem deste acesso para execuo de suas atividades. No dever ser permitido o acesso Internet via modem. Todos os acessos Internet devero ser feitos por meio da rede interna da VISANET, passando obrigatoriamente por um firewall. Todas as excees a esse procedimento devero ser formalmente autorizadas pelo gestor responsvel pelo funcionrio ou pelo prestador de servio. Os notebooks que efetuam acesso via modem devero possuir firewall prprio.
??
Intranet Segundo VALLABHANENI (2002), de maneira geral uma intranet uma rede que emprega o mesmo tipo de servios, aplicaes e protocolos presentes em uma aplicao Internet, mas sem envolver conectividade externa ao ambiente computacional. Dentro da rede interna (intranet), muitas intranets podem ser criadas com o uso de firewalls internos. Dado que as intranets utilizam os mesmos protocolos, aplicaes e servios presentes na Internet, muitos assuntos de segurana inerentes s aplicaes Internet tambm esto presentes nas aplicaes da intranet.
??
Extranet Segundo NAKAMURA (2002), enquanto o escopo da intranet limitado aos funcionrios da organizao, o escopo da extranet inclui fornecedores ou organizaes de clientes fazendo negcio com a empresa. As extranets so redes restritas baseadas em intranets com audincias selecionada como fornecedores, consumidores, clientes e outras partes interessadas fora da organizao. A intranet se conecta com a extranet atravs de tecnologia baseada em Internet. As extranets so geralmente uma intranet business-tobusiness, isto , duas intranets ligadas via Internet. A extranet permite o acesso limitado e controlado a usurios remotos via formulrio de autenticao e criptografia, tal como fornecido pela Virtual Private Network VPN. As extranets compartilham de quase todas as caractersticas da intranet, com a exceo de a extranet ser designada a existir fora do ambiente de firewall. Por definio, a proposta da extranet
Pg.
93
fornecer acesso s informaes potencialmente sensveis, sem permitir que usurios remotos acessem intranet. As extranets empregam protocolos Transmission Control Protocol/Internet Protocol TCP/IP , junto com as mesmas aplicaes e servios padres. Assim, a extranet uma rede baseada em IP que facilita o fluxo de informaes entre uma companhia e seus funcionrios e prestadores de servio. Dentro da extranet, algumas opes esto disponveis para reforar a variao dos nveis de segurana como identificao e autenticao, criptografia e uso de firewall para proteo das redes.
??
VPN Uma Virtual Private Network VPN uma rede baseada em Internet Protocol - IP que usa uma configurao especial de roteador tais como filtros e caminhos estatsticos. Qualquer conexo entre um firewall com redes pblicas deve utilizar VPN criptografada para assegurar a privacidade e integridade dos dados que esto passando pela rede pblica. Todas as conexes de VPN devem ser aprovadas e gerenciadas pelo administrador de servios da rede. Formas apropriadas para distribuir e manter as chaves de criptografia devem ser estabelecidos antes do uso operacional da VPN. Muitas organizaes possuem redes e as informaes dos servidores propagam-se atravs de mltiplos locais. Quando uma grande organizao acessa a informao ou outra fonte baseada em LAN, linhas privadas so normalmente usadas para conectar as LANs nas WANs. Linhas alugadas so relativamente mais caras para configurarem e se manterem, transformando a Internet em uma alternativa atraente para conectar fisicamente LANs separadas. A desvantagem de usar a Internet para este propsito a quantidade de dados confidenciais correntes na Internet entre LANs, assim como a vulnerabilidade de spoofing e outros ataques. As VPNs usam criptografia para prover o servio de segurana requerido. Normalmente a criptografia feita entre firewalls e a conectividade segura limitada para um nmero limitado de sites.
??
Segurana em E-mail Os principais protocolos de e-mail na Internet so: Simple Mail Transport Protocol (SMTP), Post Office Protocol - POP e Internet Mail Access Protocol (IMAP). Um servidor de SMTP aceita mensagens de e-mail de outros sistemas e as armazena para os destinatrios. Um servidor POP permite a um cliente realizar download dos e-mails recebidos por outro servidor de email. A assinatura digital uma analogia assinatura escrita, porm eletronicamente, e que pode ser usada para provar a um receptor, ou um terceiro que a pessoa que deu origem mensagem a assinou. Assinaturas digitais so tambm criadas para verificar a integridade de dados e
Pg.
94
programas a todo instante. Desse modo, as assinaturas digitais autenticam a integridade dos dados assinados e a identificao do signatrio. Assinatura digital garante, para um terceiro, que aqueles dados foram verdadeiramente assinados pelo gerador da assinatura. Alm disso, essas assinaturas so usadas em e-mail, transferncia eletrnica de fundos, transferncia eletrnica de dados, distribuio de software, armazenamento de dados e outras aplicaes que requerem garantia da integridade dos dados e autenticao da origem dos dados. Um algoritmo proporciona a capacidade de gerar e verificar as assinaturas. A gerao de assinaturas utiliza-se da chave privada para gerar uma assinatura digital. Para a verificao de uma assinatura utilizase uma chave pblica correspondente chave privada. Cada usurio possui um par de chaves, privada e pblica. Qualquer um pode verificar a assinatura de um usurio utilizando a chave pblica do mesmo. Somente a pessoa que possui a chave privada (o usurio) pode gerar a assinatura. A segurana de um sistema de assinatura digital depende de manter em segredo a chave privada dos usurios. Estes devem, portanto, proteger-se contra a utilizao no autorizada de suas chaves privadas. Para a criao das assinaturas utilizada uma funo hash para se obter uma verso condensada de dados, chamada de message digest, a qual ento inserida no algoritmo da assinatura digital para ger-la. A assinatura digital enviada para o verificador pretendido junto com os dados assinados (normalmente chamados de mensagem). O verificador de mensagens verifica a assinatura utilizando a chave pblica de quem o enviou. A mesma funo hash tambm deve ser usada no processo de verificao. Procedimentos similares podem ser usados para gerar e verificar assinaturas dos armazenamentos e dados transmitidos. Uma assinatura digital tambm pode ser usada para verificar se a informao no foi alterada depois que foi assinada; isto proporciona uma mensagem ntegra. Uma simples alternativa para a assinatura digital a funo hash. A caracterstica do no-repdio (non-repudiation) da assinatura digital conta com a suposio matemtica de que impraticvel computacionalmente derivar a chave privada de uma chave pblica e/ou um grupo de mensagens e assinaturas preparadas utilizando a chave privada. A caracterstica de no-repdio da assinatura digital tambm conta com a suposio prtica de que a chave privada , ou pode ser, associada a uma nica entidade (o assinante), que somente este assinante conhece ou usa a chave privada, e que a esta poder estar e estar mantida em segredo. Assinaturas eletrnicas (digitais) so muito difceis de serem forjadas, porm assinaturas escritas mo so facilmente forjadas.
Pg.
95
??
IDS Os sistemas de deteco de intruso, segundo NAKAMURA (2002), na sua maioria, detectam ataques que ocorreram, mas normalmente no podem evitar o ataque. Portanto, normalmente eles apenas esto disponveis para detectar ataques que tm sido anteriormente vistos e analisados pelo vendedor IDS. Estes ataques recentemente publicados podem no ser detectados pelas redes que utilizam IDS. Alguns IDS podem criar respostas limitadas aos ataques detectados, mas estas respostas normalmente no so suficientes para parar ataques mais sofisticados. O IDS um mecanismo de segurana robusto, o qual deve ser utilizado em conjunto com uma srie de tcnicas preventivas de segurana, tais como controles de identificao e autenticao. Os IDS podem ser software ou hardware que automatizam esses processos de monitorao e anlise. H diversas razes pelas quais a empresa deve adquirir e usar IDS para o monitoramento de suas redes entre as quais destacamos: o Detectar os ataques e outras violaes da segurana que no so prevenidos por outras medidas de segurana; o Tomar as aes cabveis em tempo real sobre os ataques identificados; o Documentar ameaas existentes no ambiente computacional; o Rastrear as violaes de usurios referentes s polticas existentes. o Fornecer informaes teis sobre as intruses que ocorrerem, permitindo melhor diagnstico, recuperao e correo dos fatores causadores.
d. Segurana Fsica Segundo KRUTZ e VINES (2001), este tpico estabelece todos os requisitos de segurana fsica a que a empresa dever atentar, desde procedimentos at a adoo de dispositivos especficos, como detectores de incndio, sensores, cmeras, solues de controle de acesso fsico, dentre outros. Para isto so necessrios:
??
Segurana das reas Restritas Os acessos ao Centro de Processamento de Dados (CPD) e outras reas consideradas como crticas devem ser diferenciados de tal forma que
Pg.
96
apenas as pessoas devidamente credenciadas e identificadas podero obter acesso a esses locais.
??
Controle de Acesso Fsico Os controles de acesso fsicos devem restringir a entrada e a sada das pessoas atravs de, dispositivos eletrnicos e mdias nos edifcios nos quais a empresa tenha as suas operaes. Os controles de acesso fsicos no devem restringir-se a rea onde se hospedam os equipamentos crticos, mas tambm cobrir toda a rea em que o cabeamento da Local Area Network (LAN) est disposto, nos locais onde ocorrem os servios de suporte e a operao como cabine primria (energia eltrica), sala com os equipamentos de ar condicionado, sala com os links de comunicao e todos os outros elementos requeridos para a operao dos sistemas. Alm disso, importante ser destacado que os controles de acesso fsicos devem ser planejados tanto durante o horrio comercial quanto fora do expediente normal de trabalho. Os alarmes podem ser associados a outros dispositivos de deteco j mencionados e podem ser interligados a centrais de monitoramento a fim de acompanhar os ambientes-alvo. Existem alguns recursos tecnolgicos que podem ser utilizados para controlar o acesso s reas crticas. Para tanto, destacam-se os seguintes itens relacionados: o Sistema de Deteco Fotoeltrico Esse sistema detecta passivamente qualquer mudana no nvel de luz de um determinado ambiente. Com essa sensibilidade ao nvel de claridade recomenda-se a utilizao deste apenas em locais que no tenham janelas. o Sistema de Deteco de Movimento Existem trs tipos de sistemas de deteco de movimento: ? ? Sistema de deteco snico opera em uma faixa audvel de 1,500 a 2,000 hertz e maior. Este sistema utiliza transmissores e receptores para monitorar todas as ondas sonoras do ambiente. ? ? Sistema de deteco ultra-snico utiliza alta freqncia de ondas som aproximadamente entre 19,000 20,000 hertz; e ? ? Sistema de deteco de microondas que opera de maneira similar ao sistema ultra-snico, utilizando ondas de rdio para a deteco.
Pg.
97
o Sistema de Deteco AcsticoSsmico Este sistema utiliza recursos de microfonia para detectar sons que excedam o nvel de barulho do ambiente que est sobre proteo. O sistema ssmico utiliza os mesmos princpios de deteco de udio com alta sensibilidade em detectar vibraes. o Sistema de Deteco de Proximidade Existem vrios tipos de sistemas de proximidade, que detectam a aproximao ou a presena de um objeto ou de um indivduo. Em princpio, um sistema de proximidade utiliza um campo eltrico que quando invadido por um corpo, dispara um alarme. Os sistemas de proximidade so designados para serem suplementares, no podendo ser usados efetivamente como um sistema primrio, isto por causa da sensibilidade de alarmes falsos causados pela oscilao do fornecimento de energia. Portanto, o sistema de proximidade deve ser suportado por outro sistema de segurana.
??
Controles Preventivos do Sistema de Suporte Ambiental Os sistemas e as pessoas que os operam necessitam de um ambiente razoavelmente bem controlado. Conseqentemente, falhas relacionadas ao sistema de ventilao (ar-condicionado), eletricidade e aos outros dispositivos geralmente causaro danos e at mesmo a interrupo nos servios, podendo ainda danificar o funcionamento dos equipamentos crticos.
e. Desenvolvimento e Manuteno de Sistemas Segundo VALLABHANENI (2002), este tpico se refere aos controles includos dentro dos sistemas e aos aspectos a serem atentados durante o ciclo de desenvolvimento e de manuteno dos sistemas: codificao segura, segregao de ambientes, metodologia de desenvolvimento, estabelecimento de acordo de nvel de servio com os prestadores, controle de verso, dentre outros. Para isto, necessrio atentar a:
??
Projeto de desenvolvimento O planejamento de segurana deve comear durante a fase de planejamento do ciclo de vida do sistema, tanto para novos sistemas quanto para uma atualizao dos mesmos.
Pg.
98
Este planejamento ajuda o gestor a tomar decises sobre qual tipo de soluo ter um custo efetivo. Se o gestor do sistema esperar o sistema ser construdo para considerar aspectos de segurana, o nmero de alternativas para se implementar a segurana ser menor do que se o gerente tivesse planejado anteriormente e a opes remanescentes podero ser mais caras. O projeto e a implementao de segurana trata dos recursos de um sistema, da aplicao ou de um componente que atendam aos requisitos e as especificaes de segurana e como sero desenhados e construdos. O planejamento e a implantao da segurana consideram o desenho do sistema, o desenvolvimento e a instalao. Eles so normalmente associado s fases de desenvolvimento/aquisio e implementao do ciclo de vida do sistema, entretanto, eles tambm devem ser considerados durante o ciclo de vida, nas ocasies em que o sistema modificado. O projeto e a implementao da segurana devem ser examinados sob dois pontos de vista: o componente e o sistema. O componente de segurana direciona-se para a segurana de um produto especfico ou de um componente, tal como um sistema operacional, aplicaes, security add-on ou mdulo de telecomunicaes. A segurana do sistema direciona-se para a segurana de um sistema como um todo, incluindo a interao entre produtos e mdulos.
??
Testes O teste pode trata da qualidade do sistema durante o desenvolvimento, a implementao ou a operao de um sistema. Portanto, ele pode ser feito no ciclo de desenvolvimento, depois da instalao do sistema e durante sua operao. Algumas tcnicas comuns de testes incluem testes funcionais (para se ver uma funo est de acordo com os requisitos) ou teste de penetrao (para ver se a segurana pode ser transgredida). Estas tcnicas de testes podem variar desde testes de tentativas a profundos estudos, usando mtricas, ferramentas automatizadas ou mltiplos tipos de testes. A certificao um processo formal de testes dos sistemas ou dos componentes contra requisitos especficos de segurana. A certificao normalmente realizada por um revisor independente, pois assim a reviso ser feita de forma mais impessoal do que se estivesse sendo realizada por uma pessoa envolvida no desenvolvimento do sistema. Testes de conformidades e testes de validao so feitos para determinar se um produto (software, hardware, firmware) possui as especificaes-padro definidas. Estes testes so desenvolvidos para padres especficos e utilizam muitos mtodos. A conformidade com
Pg.
99
os padres pode ser importante por muitas razes, incluindo a interoperabilidade ou a resistncia da segurana fornecida.
??
Metodologia No desenvolvimento ou na manuteno de sistemas tantos os produtos de prateleira como os mais personalizados como, o uso de arquiteturas avanadas e confiveis de sistemas, as metodologias de desenvolvimento ou as tcnicas de engenharia de software podem proporcionar segurana. Exemplos incluem design seguro e revises de desenvolvimento, modelagem formal, provas matemticas, tcnicas de qualidade ISO 9000 ou uso de conceitos de arquitetura segura, tais como uma base de computadores segura um ou monitor de referncia. So intrinsecamente mais confiveis algumas arquiteturas de sistemas tais como sistemas que usam tolerncia de erros, redundncia, espelhamento ou Redundant Array of Independent Disks RAID. A habilidade de descrever os requisitos de segurana e de como eles foram alcanados pode refletir o grau em que o desenvolvedor do sistema ou do produto entende os aspectos de segurana aplicveis. Sem um bom entendimento dos requisitos, provavelmente o desenvolvedor no estar apto a atingir bons resultados.
??
Documentao A documentao de segurana pode referir-se a um sistema ou a um componente especfico. O nvel de documentao do sistema deve descrever os requisitos de segurana do sistema e como eles foram implementados, incluindo as inter-relaes entre as aplicaes, o sistema operacional ou rede. Ele trata, alm do sistema operacional, sistema de segurana e das aplicaes ele descreve a integrao e implementao de um ambiente em particular.
??
Garantias A certificao de um produto ou de um sistema para operar em situao similar pode ser usada somente para proporcionar alguma segurana. Portanto, importante perceber que uma certificao especifica de um ambiente e de um sistema. Garantia outra fonte de segurana. Se um fabricante, produtor, desenvolvedor de sistemas ou integrador est disposto a corrigir erros dentro do tempo de estrutura ou no prximo lanamento, isto deve dar ao administrador do sistema um nvel de segurana maior em relao qualidade do produto. Uma afirmao de integridade uma declarao ou certificao do produto. Ela pode ser suportada pela promessa de corrigir o item (garantia) ou pagar pelas perdas (dvidas)
Pg.100
se o produto no estiver conforme a afirmao de integridade. A divulgao de uma assero ou uma declarao formal de um fabricante ou desenvolvedor proporciona uma quantidade limitada de segurana baseada exclusivamente na reputao. Freqentemente importante saber que o software foi entregue sem modificaes, especialmente se ele distribudo eletronicamente. Em alguns casos, checkbits ou assinaturas digitais podem proporcionar uma boa garantia de que o cdigo do programa no foi modificado. Antivrus pode ser usado para checar software que veio de fontes com confiabilidade desconhecida.
??
Ambientes de desenvolvimento A empresa deve obrigatoriamente possuir ambientes separados para desenvolvimento, testes e produo. A responsabilidade pela transferncia do software do ambiente de desenvolvimento para o ambiente de produo deve ser formalmente definida e documentada. A segregao entre os ambientes de desenvolvimento e de testes tambm de grande importncia para assegurar a completa funcionalidade do sistema, visto que, se forem realizados testes no ambiente de desenvolvimento, o sistema estar utilizando recursos muitas vezes no encontrados no ambiente de produo e poder no funcionar corretamente quando for realizada a migrao. Nenhum desenvolvedor deve ter acesso ao ambiente de produo. Isso assegura que nenhuma alterao ser feita nos sistemas em produo sem a autorizao do funcionrio responsvel pela migrao dos sistemas, bem como sem a realizao de testes. Adicionalmente, existem informaes no ambiente de produo que no necessariamente precisam ser fornecidas equipe de desenvolvimento.
f. Resposta a Incidentes Desenvolve os planos de continuidade que permitam instituio no s continuar a realizao de seus negcios em situao de contingncia, como tambm gerenciar os riscos de possveis interrupes e retornar o funcionamento normal das operaes.
Pg.101
Permite ainda identificar as ameaas e os riscos de a instituio no estar preparada para dar continuidade s operaes crticas do negcio, dependentes ou no de tecnologia; como por exemplo, a necessidade de suporte jurdico. O planejamento de segurana e a recuperao de desastres andam de mos dadas. A reputao slida de uma empresa pode ser destruda em um nico dia na Internet; por isso, importante visualizar vrios cenrios de desastres e ter um plano para lidar com cada um. (KALAKOTLA, 2001, pg. 442) Um Plano de Contingncia Corporativo deve vislumbrar diretamente a continuidade das operaes em circunstncias anormais. Desse modo, as seguintes etapas descrevem as tarefas a serem realizadas para a elaborao de um plano de contingncia:
??
Realizar uma Anlise de Impacto nos Negcios (Business Impact Analysis), a fim de verificar quais os processos e os recursos crticos para os negcios da empresa, que devem ser includos no Plano de Contingncia; Atribuir um responsvel (ou responsveis) pela elaborao, teste e manuteno do Plano de Contingncia; Identificar as ameaas s quais os processos crticos de negcio esto sujeitos. A partir dessa anlise, definir as contra medidas necessrias para minimizar as ameaas, bem como as medidas necessrias para recuperar o ambiente tecnolgico; Determinar as metas de tempo de recuperao para cada processo crtico de negcio no evento de uma contingncia; Mapear detalhadamente os recursos necessrios para recuperar os processos crticos de negcio; Identificar os controles preventivos a fim de reduzir os possveis efeitos de interrupes do sistema, e os riscos potenciais os custos do ciclo de vida da contingncia; Considerar as estratgias alternativas para backup de dados, a fim de selecionar um tipo de armazenamento off-site apropriado. Determinar a freqncia e o contedo dos backups;
??
??
??
??
??
??
Pg.102
2.3.4. Gerenciamento de Identidades A administrao de identidade no apenas um conjunto de solues, mas uma estratgia de negcio que envolve todas as reas da instituio. A administrao das identidades, assim como as outras duas reas de interesse, no devem ser abordadas de forma isolada, e sim , trabalhada em conjunto com os demais tpicos. a. Administrao de Usurios e Workflow Segundo VALLABHANENI (2002), a administrao de usurios o processo de disponibilizar direitos de acesso baseados na poltica corporativa para funcionrios, clientes e parceiros. Em uma estratgia de segurana efetiva, h uma centralizao (ou single point) da administrao para habilitar ou desabilitar os direitos de acesso. Ela ainda abrange desde dados e aplicaes, como tambm recursos, tais como cartes de crdito, telefones, PCs, cartes de estacionamento e todos os outros pertencentes instituio. J Workflow o processo automatizado para viabilizar e suportar a administrao de usurios. Como na liberao / revogao de direitos de acesso h um envolvimento de diversas reas (Desenvolvimento Organizacional, Administrao de Rede, Segurana da informao, etc), o processo de Workflow rasteia os eventos e disponibiliza, de forma apropriada, notificaes sobre aes de risco realizadas por aplicativos e por indivduos. Segundo KRUTZ & VINES (2001), todos os usurios devem possuir contas nicas e individuais. No devem ser criados usurios genricos, os quais inviabilizam a identificao do responsvel pelas aes executadas nos sistemas operacionais e nos aplicativos. Contas inativas devem ser removidas do sistema. Tambm somente os funcionrios autorizados, preferencialmente os proprietrios dos recursos, podero autorizar o acesso aos mesmos, mediante uma justificativa vlida de negcio. Quando o funcionrio contratado, demitido, promovido, transferido, etc., ocorre normalmente um atraso, at que essa mudana seja refletida nos
Pg.103
sistemas. Esse atraso pode acarretar, principalmente, dois problemas: possveis falhas de segurana e reduo da produtividade. Segundo o relatrio Risk Management Forecast da PRICEWATERHOUSECOOPERS (2000), atrelado ao processo de concesso e remoo de acessos, existe tambm a questo do gerenciamento das identidades, o qual no uma soluo tecnolgica nica. O gerenciamento de identidades a coleo de tecnologias e de disciplinas que gerenciam as identidades dos usurios e seu acesso s informaes, aos sistemas e aos recursos para o desempenho de suas responsabilidades. Este gerenciamento feito em um curto perodo de tempo, com um custo razovel e de maneira efetiva, quando obedecendo a uma poltica de segurana. considerada uma identidade um conjunto de informaes que descrevem um indivduo e seus direitos de acesso dentro da organizao. As informaes referentes identidade do funcionrio em geral esto espalhadas dentre diversos sistemas e banco de dados, os quais em geral no compartilham de um mesmo mdulo de controle de acesso. Em funo da inexistncia de interligao entre os diversos sistemas, o custo de gerenciar os usurios acaba sendo multiplicado pelo nmero de sistemas existentes, tornando dessa forma o processo de criao do usurio extremamente oneroso. A estratgia de Gerenciamento de Identidades atua pro- ativamente no gerenciamento da identidade, desde a chegada do funcionrio at seu desligamento. Os acessos fornecidos ao usurio estaro baseados nas funes que o mesmo executar na companhia. Para a adoo de uma soluo de gerenciamento de identidades, devero ser abordados os seguintes aspectos:
?? ?? ?? ?? ?? ?? ??
Directory Services; Controle de Acesso baseado na funo; Servios de Autenticao e Autorizao; Infraestrutura de Gerenciamento de Permisses; Provisionamento das Contas do Usurio; Polticas de Controle de Acesso; Servios Apropriados de Senhas; e
Pg.104
??
Delegao da Administrao e Servios de Auto-Registro.
b. Gerncia de Permisses Segundo VALLABHANENI (2002), o processo de concesso e controle de acesso deve estar baseado na funo que o funcionrio e/ou prestador de servios executa. Todos os funcionrios que exercerem uma determinada funo devero possuir os mesmos nveis de acesso. Os usurios devero estar reunidos em grupos, facilitando dessa forma o gerenciamento dos mesmos. Em nenhum momento dever ser utilizado o mtodo de liberao de acesso a todos os funcionrios. Preferencialmente, o acesso dever estar bloqueado a todos os funcionrios e ser liberado somente medida que forem solicitados pelos proprietrios ou responsveis pelos sistemas. Adicionalmente, todos os sistemas que efetuam o manuseio de informaes crticas devem possuir recursos de controle de acesso, internamente como um mdulo do sistema, ou por meio de software especficos para essa finalidade. Segundo WADLOW (2001), desta forma possvel estabelecer um conjunto de permisses de acesso, garantindo a efetiva aplicao dessas polticas, e permitindo que a organizao responda a questes como:
?? ?? ?? ?? ?? ??
Quem acessar nossos sistemas e aplicativos? Onde eles esto autorizados a ir? O que eles esto autorizados a fazer? Como ns forneceremos/ revogaremos os acessos? Quem gerenciar as identidades e as permisses? Quais as consideraes sobre privacidade?
Pg.105
c. Estrutura de Diretrios Este item aborda os benefcios e a importncia da implementao de uma estrutura de diretrios como parte de uma estratgia para a implementao da segurana corporativamente. Segundo VALLABHANENI (2002), um servio de diretrios possibilita a um usurio, administrador ou programa localizar objetos em uma rede e obter informaes a respeito desse objeto. Um componente-chave de um servio de diretrios o seu repositrio de informaes, ou seja, o diretrio. Diretrios geralmente so exibidos em interface grfica como rvores ramificadas. Por exemplo, cada ramificao de uma rvore de diretrio pode consistir em um escritrio remoto de rede contendo sub-ramificaes, tais como PCs remotos, impressoras e configuraes de privilgios para usurios em um escritrio especfico. Muitos servios de diretrios tambm so extensveis, ou seja, podem incluir novos tipos de objetos, tais como imagens ou vdeos dos seus colaboradores. Ainda segundo o autor, os diretrios podem ser utilizados associados a polticas de autorizao com identificao de usurios, assim como para aplicar polticas globais para toda ou parte da hierarquia de segurana. Muitas redes corporativas so atualmente globais em seu alcance e o gerenciamento efetivo de informaes credenciais de servidores e usurios extremamente importante. A integrao e a utilizao de diretrios que so baseadas em padres de mltiplos fornecedores podem incrementar a capacidade de gerenciamento de plataformas, de recursos humanos, e dessa forma, mesmo os ambientes de aplicaes heterogneas podem se tornar interligados.
Pg.106
d. Criptografia Este tpico aborda a necessidade de a empresa atentar para a utilizao de recursos criptogrficos em alguns dos seus processos crticos de negcio, bem como em algumas de suas atividades especficas. De acordo com KRUTZ e VINES (2001), a encriptao tem como objetivo mascarar uma mensagem para que a mensagem original possa ser recuperada apenas por pessoas autorizadas. A criptografia normalmente implementada em um mdulo de software, firmware, hardware, ou alguma combinao dessas. Este mdulo contm o algoritmo criptografado, alguns parmetros de controle, e facilidades temporrias de armazenamento para a chave ser usada pelo algoritmo. Para a funo correta da criptografia so necessrios o design e a implementao segura do mdulo de criptografia. Isto inclui proteger o mdulo contra alteraes e a verificao quanto entropia utilizada neste. As tecnologias de criptografia renem um conjunto de tcnicas e aplicaes para a transformao de informao em uma forma impossvel de leitura se no houver conhecimento de um algoritmo especfico. Segundo NAKAMURA (2002), a encriptao e a decriptao geralmente necessitam da utilizao de algumas informaes secretas, as quais so chamadas chaves. Com a chave simtrica (ou chave compartilhada), a mesma chave utilizada tanto para encriptao quanto para decriptao. Com a chave pblica, chaves diferentes so utilizadas para encriptao e decriptao. A manuteno dos componentes de criptografia crucial para assegurar a operao segura e a disponibilidade de um mdulo ou produto. Ainda segundo o autor, o primeiro nvel de teste sobre componentes criptgrficos quanto ao algoritmo utilizado no mdulo criptogrfico. O prximo nvel de testes realizado sobre as aplicaes. Este nvel de t este tambm chamado de teste de certificao, que uma anlise compreensiva dos controles tcnicos e no tcnicos de segurana e outras medidas de segurana de um sistema. O teste de certificao estabelece a extenso na qual um sistema particular se encontra, com requisitos de segurana para sua misso e com necessidades de operao. A certificao no requer somente o exame dos controles tcnicos, mas tambm de todos os outros controles de segurana, como
Pg.107
por exemplo, controles fsicos, procedimentos administrativos e controles pessoais.
e. Autenticao Esta atividade assegura que usurios e os aplicativos foram devidamente identificados antes de ganhar acesso s informaes. A autenticao confivel assegura o controle de acesso, informao, permite trilhas de auditoria e assegura a legitimidade do acesso. Segundo WADLOW (2001), a utilizao de senhas de acesso como tcnica de autenticao largamente utilizada. Entretanto essa prtica requer alguns cuidados especiais, visto que podem ser facilmente distribudas a outras pessoas, ou at mesmo esquecidas. A utilizao de senhas de acesso pode ser altamente efetiva se corretamente gerenciada, porm essa prtica raramente ocorre De acordo com CLARK (2003), a tecnologia de Single Sign On SSO permite aos usurios se autenticarem apenas uma vez e acessarem todas as aplicaes s quais possuam acesso autorizado. Quando devidamente implementado, o SSO aumenta a produtividade dos usurios da rede, reduz o custo de gerenciamento das operaes da mesma e aumenta a segurana, reduzindo a possibilidade de os usurios utilizarem senhas de fcil inferncia, senhas idnticas em todas as plataformas e sistemas aplicativos, compartilh-las ou simplesmente anot-las para consulta posterior. O propsito do sistema de SSO tornar o uso de mltiplas senhas transparentes para o usurio. Este processo realizado de vrias formas:
??
Alguns sistemas de SSO simplesmente criam scripts que contm a identificao do usurio e a senha de acesso, bem como os comandos de logon. Esse processo remove esta obrigao dos usurios com relao s senhas e a transfere para a equipe responsvel pela administrao dos scripts. Esses scripts tambm necessitam do armazenamento adequado, visto que o mau uso poderia acarretar problemas para a organizao; e Outras solues de SSO, como aquelas baseadas em Kerberos, utilizam tcnicas de criptografia para enviar os privilgios para cada rede ou servidor onde o usurio necessita de acesso. Estes sistemas necessitam
??
Pg.108
estabelecer e operar os privilgios no servidor, bem como integrar a tecnologia de SSO em cada sistema a ser acessado. Segundo BYRNES (2001), o acesso seguro, a instalaes fsicas, as informaes, as contas bancrias ou outros tm sido baseados por muito tempo numa combinao de dois conceitos, o que voc tem e o que voc sabe. Porm, esse tipo de segurana considerado de baixo nvel e insuficiente para proteger o acesso a reas de alto risco. Em situaes que exigem maior segurana, esse conceito se expande para incluir o que voce que pode ser comprovado com o uso da biometria. O que voce deve ser um elemento verdadeiramente nico e incapaz de ser negado. Ainda segundo o autor, a biometria envolve a avaliao de uma caracterstica biolgica nica usada para verificar a identidade exigida de uma pessoa atravs de equipamentos automatizados. A caracterstica biolgica pode ser baseada em caractersticas fisiolgicas ou comportamentais. As caractersticas fisiolgicas medem os traos fsicos, como a impresso digital ou face. As caractersticas comportamentais medem uma reao ou resposta do indivduo, tal como uma assinatura ou padro de voz. Controles de acesso baseados em biometria so implementados usando-se controles fsicos e lgicos. Eles so mais caros e mais seguros quando comparados aos outros tipos de controles de acesso. As biometrias disponveis sob smart identification cards incluem scanner de impresso digital, geometria da mo, reconhecimento da face, scanner da ris (o mais seguro)e reconhecimento da voz (o menos seguro). De acordo com NAKAMURA (2002), certificados digitais so basicamente recipientes para chaves pblicas e agem com o propsito de identificao eletrnica. O certificado e chaves pblicas so documentos pblicos que, a princpio, ningum pode acessar. Uma chave privada associada, pertencente somente a uma entidade qual o certificado foi definido, usada com o propsito de estar ligando o certificado com quela entidade. Usurios que no possuem esta chave privada no podem usar o certificado com o intuito de autenticao. Entidades podem provar suas posses de uma chave privada por dados conhecidos digitalmente ou demonstrando conhecimento sobre a troca de segredos, usando mtodos criptogrficos de chaves pblicas.
Pg.109
Ainda conforme o autor, na prtica qualquer um pode gerar um par de chaves privadas e certificados digitais; conseqentemente, necessrio determinar quando o dono do certificado digno de confiana. Por est razo, um modelo confivel de terceiros usado com certificado digital. O terceiro usado no domnio de certificados digitais um Certificado de Autoridade (CA Certificate Authority). Um CA pode emitir certificado usando chaves pblicas proporcionadas por clientes, ou pode ser gerado por um par de chaves pblicaprivada apresentado pelo cliente e ento emitir o certificado junto com esse par de chaves. Em ambos os casos, o cliente deve demonstrar sua identidade para o CA por algum meio confivel. Por exemplo, o cliente planeja um encontro face a face com o CA e apresenta a prova da identidade. O CA ento emite um certificado com a assinatura digital dele, incluindo a chave pblica deste cliente e informaes sobre a identidade do cliente. As pessoas que possuem a chave pblica do CA verificam a assinatura digital, e ento e se estabelece a cadeia confivel entre os clientes e a CA.
f. Integrao de Sistemas Legados De acordo com VALLABHANENI (2002), no basta implementar a administrao das identidades nas novas plataformas, deixando partes dessa administrao isoladas dentro dos Sistemas Legados e nos ERPs ( Enterprise Resource Planning). A conscientizao dos fornecedores tecnolgicos em relao a integrao dos diversos ambientes permite que novos conceitos, como por exemplo Single Sign On (tecnologia que permite aos usurios serem autenticados em uma nica vez) j sejam criados de forma a permitir a integrao s antigas tecnologias e aplicativos.
Pg.110
2.3.5. Modelos de gesto de risco em segurana da informao O modelo proposto por BRAITHWAITE (2002) divide o gerenciamento da segurana de informao em quatro grandes reas de interesse no-tcnicas permeado as reas tcnicas: segurana fsica, segurana pessoal, procedimentos de segurana e protees legais. No centro do modelo, observam-se as tecnologias ou reas tcnicas a serem tratadas pela segurana: sistemas aplicativos, processos cliente-servidor, processamento central ou distribudo, gerenciamento de banco de dados e rede, comunicaes e Internet.
Figura 29: Information Security Risks (BRAITHWAITE, 2002, pg. 143)
J o modelo de CLARK (2003) apresenta uma abordagem em camadas, no qual o centro representa decises mais estratgicas e as camadas externas, medidas de segurana e contra-medidas de ataque. Quanto mais externa a camada, maior o potencial de risco de ataques. Portanto, temos ao centro as decises estratgicas em relao segurana da informao, como a poltica de segurana da empresa e a divulgao das melhores prticas.
Pg.111
Figura 30: Managing Information Security Risks CLARK (2003) pg. 150
O modelo proposto por LAUDON (2002), apesar de muito mais simples, apresenta importantes conceitos como os direcionadores de negcio, os agentes implementadores e as reas de interesse.
Figura 31: Information Risk Management (LAUDON, 2001, pg.433)
Pg.112
A partir dos modelos e dos textos estudados, foi elaborado o seguinte desenho para a melhor visualizao de todos os componentes anteriormente descritos.
Figura 32: Modelo de gesto de risco em segurana da informao (elaborado pelo autor)
Podemos inicialmente dividir o modelo em duas grandes metades. Na primeira metade, no lado esquerdo do desenho, esto as questes que orientaro o planejamento da segurana da informao. Conforme j descrito anteriormente, estas so os direcionadores de negcio e esto divididas em trs: agregar valor ao negcio, gerenciar o custo da segurana da informao e administrar as expectativas dos investidores. Na segunda grande metade do modelo, localizada no lado direito do desenho, encontramos as questes relacionadas implementao, que devem levar em considerao os aspectos tcnicos, humanos e procedurais. Os agentes implementadores, anteriormente descritos, so: processos, tecnologia e pessoas. No centro do modelo, encontramos a gesto da segurana da informao e, como no modelo de CLARK (2003), esta gesto est dividida, de dentro para
Pg.113
fora, em trs grandes assuntos de interesse. Estas reas de interesse so os grande focos de concentrao em que um gestor da segurana de informao deve atuar:
??
Alinhamento estratgico: trata as questes estratgicas da rea de gesto da segurana de informao. Gerenciamento da segurana das operaes: visa a garantir a segurana das operaes de negcio da instituio. Administrao das identidades: trata da administrao das identidades de todas as pessoas e entidades que possuem acesso instituio.
??
??
A partir de cada rea de interesse, so subdividas, cada uma delas, em seis sub-reas de interesse, para a segurana da informao. Vale a pena ressaltar que as trs reas de interesse e suas subdivises so altamente inter-relacionadas e que a diviso proposta no modelo visa apenas elucidao didtica e ilustrativa. Na prtica, qualquer ao em uma das reas gera automaticamente conseqncias nas demais outras duas.
3 Metodologia da Pesquisa
Pg.114
3. Metodologia da Pesquisa
De forma geral, os critrios utilizados para definir os tipos de pesquisa variam entre os diversos autores. A opo pela utilizao da metodologia de estudo de caso com seleo de caso nico foram devidos aos conceitos e argumentos abaixo apresentados.
3.1. Pesquisa Exploratria

O objetivo principal da pesquisa exploratria a busca pelo entendimento sobre a natureza geral de um problema. A pesquisa exploratria tradicionalmente utilizada em reas onde existe pouco conhecimento acumulado e sistematizado sobre o assunto e ser pesquisado. A pesquisa visa aprofundar questes a serem estudadas e ganhar maior conhecimento sobre um tema. Possui uma forma de investigao mais flexvel e menos estruturada do que a realizada em uma pesquisa conclusiva devido a sua natureza de sondagem. Segundo BOYD e WESTFALL (1984), o estudo exploratrio tem como principal objetivo encontrar idias e novas relaes para elaborar explicaes provveis. Uma vez que existem poucos estudos acadmicos e cientficos publicados sobre os aspectos de gerenciamento de risco em segurana da informao, tema deste trabalho, a opo pela adoo da pesquisa exploratria parece ser a mais adequada conforme o conceito exposto acima. Desta forma, a abordagem exploratria ir permitir o detalhamento do conhecimento sobre o assunto estudado, aumentando a sua compreenso atravs de uma investigao flexvel. De acordo com YIN (2001), a abordagem exploratria pode ser utilizada em qualquer um dos cinco tipos principais de estratgias de pesquisa: experimento, levantamento, anlise de arquivos, pesquisa histrica e estudo de caso.
Pg.115
3.2. Estudo de caso

Conforme BOYD e WESTFALL (1984), o mtodo do caso um estudo intensivo de um nmero pequeno de casos, que tem por objetivo a obteno de uma compreenso das relaes dos fatores em cada caso, independentemente do nmero de casos envolvidos. til quando um problema envolve a inter-relao de vrios fatores e quando for difcil compreender os fatores individuais sem consider-los em suas relaes com os outros. Atravs desta abordagem possvel o aparecimento de relaes entre os fatores do caso e, que de outras formas, no poderiam ser descobertas. O estudo de caso no apenas um mtodo de coleta de dados, mas sim, uma estratgia de pesquisa abrangente. Conforme a definio proposta: Um estudo de caso uma investigao emprica que: ?? Investiga um fenmeno contemporneo dentro de seu contexto na vida real, especialmente quando os limites entre o fenmeno e o contexto no esto claramente definidos; (...) ?? Enfrenta uma situao em que o nmero de variveis de interesse muito maior do que o nmero de pontos de dados; ?? Baseia-se em vrias fontes de evidncias necessitando de uma triangulao para a convergncia dos dados; ?? Beneficia-se do desenvolvimento de proposies tericas prvias para conduzir a coleta e a anlise dos dados. (YIN, 2001, pg. 32). A partir do conceito de estudo de caso proposto por YIN (2001), a utilizao do mtodo do caso como estratgia para guiar a realizao desta pesquisa justifica-se pelas seguintes razes:
??
A gesto da segurana da informao na indstria de carto de um fenmeno no mercado competitivo que ainda no est claramente definida;
Pg.116
??
A quantidade de variveis envolvidas no estudo significativamente maior que o nmero de casos estudados;
??
O estudo baseia-se em vrias fontes de evidncia, tais como: reviso de literatura de teorias de gerenciamento de risco e segurana da informao, entrevistas com gestores da indstria de carto de crdito;
A proposio terica apresentada no captulo de reviso de leitura englobando as teorias de modelos de gesto de riscos em segurana da informao orientou a conduo e anlise do estudo de caso. De acordo com os conceitos e as justificativas apresentados, a opo pela utilizao do mtodo do caso parece adequada para atingir os objetivos propostos pela pesquisa, quais sejam, analisar o intento estratgico da VISANET e seus objetivos, aplicar os modelos de gesto de segurana da informao situao da VISANET e comparar os resultados dos modelos com os objetivos estratgicos para a segurana da informao da VISANET. A questo norteadora da pesquisa: como a estruturao da rea de segurana da informao adotada pela VISANET alinha-se com as proposies de alguns modelos de gesto de risco em segurana da informao?, tambm justifica a escolha do mtodo, pois, segundo YIN (2001), o mtodo de estudo de caso indicado quando se deseja responder questes do tipo como e porque ao longo da pesquisa. Entretanto, uma das principais crticas em relao metodologia do estudo de caso o fato desta oferecer poucas bases para se fazer uma generalizao cientfica ou estatstica. De acordo com YIN (2001), uma vez que o objetivo dos estudos de caso o de prover anlises generalizantes e no particularizantes, eles devem se basear em generalizaes analticas, ao invs de estatsticas. Na generalizao analtica o pesquisador procura generalizar um conjunto particular de resultados uma teoria mais abrangente. Este trabalho no tem o objetivo da realizao de generalizaes estatsticas.
Pg.117
3.3. Seleo do Caso nico

Segundo YIN (2001) o estudo de caso nico indicado quando um conjunto de condies, ou de fundamentos lgicos, est presente para justificar sua adoo:
??
O estudo de caso representa o caso decisivo para testar uma teoria ou um conjunto de teorias e proposies bem formuladas sobre um determinado assunto; O caso representa um caso raro ou extremo, ou seja, possui caractersticas especiais e nicas que por si s merecem ser analisadas e documentadas; O caso um caso revelador, ou seja, analisvel pelo pesquisador que tem uma oportunidade especial para observar e investigar um caso praticamente inacessvel aos demais membros da comunidade cientfica.
??
??
Segundo YIN (2001), os resultados de um estudo de caso provavelmente sero mais convincentes e precisos quando baseados em fontes distintas de informao. Desta forma, para buscar maior riqueza de informaes para e dissertao optou-se pela utilizao das trs formas de coleta de informaes, determinando as seguintes trs fases de coleta de dados:
??
Estudo de Dados Secundrios Na primeira fase da pesquisa foram utilizadas as fontes secundrias para aprofundar a reviso bibliogrfica. Foram pesquisados livros, artigos de jornais e revistas, artigos cientficos e demais publicaes que possibilitassem a obteno de dados relevantes e atualizados sobre segurana da informao e sobre companhias de carto de crdito. Esta fase da pesquisa teve incio em 2002, com a execuo do projeto da dissertao.
??
Entrevista com profissionais da empresa Neste perodo foram entrevistados: os principais executivos da VISANET e os diversos gerentes de segurana e de tecnologia da
Pg.118
informao. Os dados foram obtidos entre maio de 2002 at outubro de 2002.

??
Anlise dos dados Segundo YIN (2001), a anlise dos dados, consiste em examinar, categorizar, classificar em tabelas ou recombinar as evidncias encontradas na pesquisa tendo em vista as proposies tericas iniciais do estudo. Uma vez que principal funo do mtodo do caso a explicao sistemtica dos fatos que ocorrem no contexto social e que se relacionam com uma multiplicidade de variveis, os dados podem ser apresentados sob a forma de tabelas, quadros, grficos e por meio de uma anlise descritiva que os caracterizam.
4 Resultados da Pesquisa
Pg.119
4. Estudo de Caso Resultados da Pesquisa

A VISANET nasceu em novembro de 1995, resultado da associao entre prpria VISA International a um grupo de bancos emissores do carto. A empresa a nica adquirente do sistema VISA no Brasil. Isto significa que, a empresa a nica responsvel pelo relacionamento e processamento de todas as transaes do carto dos 685 mil estabelecimentos comerciais afiliados ao sistema VISA no pas. Atravs da plataforma da VISANET passam todas as transaes com cartes VISA, crdito e dbito, realizadas nesses estabelecimentos. So mais de 620 milhes de transaes em 2001, totalizando um faturamento do sistema de 32,7 bilhes de reais. Em 2002, a previso atingir 800 milhes de transaes, resultando num faturamento total de 41 bilhes de reais. (SPOSITO, REVISTA INFO CORPORATE, Outubro de 2002)
4.1. O negcio VISANET

A Companhia Brasileira de Meios de Pagamento, conhecida no mercado como VISANET, uma das 10 maiores empresas do seu segmento em todo mundo. Iniciou suas operaes em fevereiro de 1996 com o objetivo de administrar para os ento bancos adquirentes: Bradesco, Banco do Brasil, Banco Real e Banco Nacional, a rede de estabelecimentos comerciais afiliados para aceitar os cartes VISA como meio de pagamento, afiliando novos estabelecimentos e recadastrando os estabelecimentos j afiliados pelos bancos. No ltimo trimestre de 1996, a VISANET comeou a prestar todos os servios tpicos de uma empresa adquirente, compreendendo os principais processos de negcio: afiliao de novos estabelecimentos comerciais, servios rede, autorizao e captura de transaes, pagamento ao comrcio, treinamento, e promoes nos pontos de venda entre outros. A VISANET foi inicialmente constituda pela associao entre VISA International e grandes bancos brasileiros, que ento formam o Conselho de
Pg.120
Administrao da empresa. A VISANET conta com vinte oito grandes bancos entre seus acionistas e tem em cada uma das agncias espalhadas por todo Brasil, um canal de distribuio para produtos VISA e para afiliao de novos estabelecimentos comerciais sua rede. A VISANET mantm 53 filiais operativas cobrindo mais de quatro mil municpios brasileiros, atendendo 685 mil estabelecimentos comerciais em todo o pas. Todas as filiais esto interligadas ao sistema de processamento principal, facilitando o planejamento e execuo das atividades comerciais da empresa. A criao da VISANET representa para VISA e os bancos acionistas a oportunidade de: prestar um timo servio ao comrcio, expandir a rede para o interior do pas, duplicar o volume de faturamento a cada trs anos, criar plataformas de lanamento de novos produtos, duplicar o ndice de automao das transaes e conseqentemente, fortalecer a marca VISA no mercado brasileiro. A VISANET conta com uma forte estrutura financeira, distribuindo dividendos trimestrais aos seus acionistas e com independncia financiamento de terceiros para executar seus investimentos necessrios infra-estrutura requerida pelo crescimento de em torno 40% ao ano no volume de transaes processadas. A VISANET possui em sua estratgia a seguinte misso e viso: Misso da VISANET Fazer com que a rede credenciada ao sistema VISANET tenha nos produtos o seu meio de pagamento preferido, no s pela agilidade no processamento da transao, mas tambm pela segurana no recebimento e oportunidade de incremento de vendas Viso Que todos os gastos efetuados no Brasil sejam processados atravs de um terminal conectado ao sistema VISA.
Pg.121
Em entrevista a um alto executivo da VISANET, foi passado os seguintes objetivos empresariais:

??
Personalizao da gesto da rede de estabelecimentos comerciais para aumentar o ndice de fidelizao de cada estabelecimento para com os produtos VISA. Aumento das receitas do negcio, sempre oferecendo rede de estabelecimentos comerciais, produtos e servios criativos e de qualidade, alm de promoes que ajudem alavancar o volume de negcios para esses estabelecimentos. Incorporao de novos nichos de mercado e expanso da aceitao dos produtos VISA como meio de pagamento no mundo digital. Aperfeioamento da gesto de risco para melhorar a rentabilidade dos emissores e da VISANET. Utilizao da capacidade instalada na rede para trafegar transaes de produtos no concorrentes e alavancar a aceitao dos produtos VISA. Oferecimento de uma rentabilidade superior aos acionistas e valorizao da empresa no tempo. Comprometimento com a qualidade e com a eficincia em todos os processos que compe a nossa cadeia de valores. Reconhecimento pelo mercado e por seus clientes como uma empresa lder, inovadora e voltada para o interesse de seus clientes.
??
??
??
??
??
4.1.1. Estrutura organizacional O conselho de administrao da VISANET composto de onze membros e tem como presidente, o Sr. Ricardo Ancede Gribel, da VISA do Brasil, e como vice-presidente, o Rs. Arnaldo Vieira, do Bradesco. O Bradesco participa com quatro membros no conselho, o Banco do Brasil, com trs, e o Banco ABN Amro Real, VISA International e Banespa com um membro cada um. Segundo um relatrio interno de 08 janeiro de 2002, os principais bancos acionistas so: Bradesco, Banco do Brasil, Banco ABN Amro Real, Banco Alfa, Banco Baneb, Banespa, Banestado, Banestes, BankBoston, Banrisul, BBV Banco,
Pg.122
BRB Banco de Braslia, Banco Cidade, HSBC Bank Brasil, Banco Santander, Banco Panamericano, Banco Rural, Banco Santos e Banco Sudameris. A diretoria executiva composta pelo presidente, Sr. Ruben H. Osta, e por sete diretores executivos referentes as diretorias de: Vendas & Negcios, Tecnologia & Operaes, Finanas & Administrao, Desenvolvimento Organizacional, Riscos & Fraudes, Processos & Auditoria, e Marketing & Produtos.
4.1.2. Conceitos e terminologias da VISANET Antes de qualquer coisa preciso definir os principais participantes dos processos de negcio da VISANET:
??
Portador: pessoa fsica que possui o carto de crdito ou dbito. O portador que realiza uma compra de um produto ou servio em um estabelecimento comercial. Banco emissor: banco que emitiu o carto para o portador. Quando se trata de um banco, em geralmente o portador possui conta corrente neste banco. O portador paga ao banco emissor a fatura mensal de seus gastos pessoais. Estabelecimento comercial: estabelecimento (pessoa jurdica) de carter comercial aonde o portador realiza uma compra, ou seja, uma transao financeira. Banco adquirente: banco no qual o estabelecimento comercial possui uma conta corrente. Nesta conta so depositadas diariamente os valores das vendas realizadas 30 dias atrs. VISA: empresa proprietria da bandeira VISA. Existe a matriz mundial, VISA International que interliga as diversas empresas processadoras das transaes de carto de crdito espalhadas pelo mundo. E a VISA do Brasil, responsvel pela administrao da bandeira no territrio nacional e pelas interligaes tecnolgicas entre a VISA International, bancos emissores e a VISANET. Rede de captura: rede que interliga todos os estabelecimentos comerciais que aceitam o carto de crdito VISA e o carto de dbito VISA Electron.
??
??
??
??
??
Pg.123
??
VISANET: empresa processadora das transaes dos cartes VISA. Ela responsvel pela expanso e manuteno da rede de captura, no s no mbito tecnolgico, mas tambm no mbito mercadolgico. Toda transao trafegada pela rede de captura da VISANET cobrado do estabelecimento comercial um percentual do valor transacionado. Este percentual dividido entre a VISA, a VISANET e o banco emissor. Todos os dias a VISANET realiza a transferncia de valores dos bancos emissores (faturas pagas pelo portador) para os bancos adquirentes nas contas corrente dos estabelecimentos comerciais.
Figura 33: Processos VISANET (elaborado pelo autor)
Outros conceitos so importantes para o entendimento dos processos de negcio da VISANET:

??
Rede corporativa: a rede interna, de baixa plataforma, para acesso dos funcionrios da VISANET realizarem suas operaes
Pg.124
dirias. Tecnicamente, a rede corporativa totalmente isolada da rede de captura.

??
Rede de captura: uma rede WAN exclusiva e totalmente isolada. O servio de interligaes, conexes e cabeamento dos diversos municpios rede realizado pela EMBRATEL. Tambm so utilizados os servios de co-location8 dos concentradores de transaes. pertencentes a VISANET ficam em data centers exclusivos rede que interliga todos os estabelecimentos comerciais que aceitam o carto de crdito VISA e o carto de dbito VISA Electron. PIN-PAD: teclado numrico que se interliga ao POS ou ao PDV, para digitao da senha eletrnica do carto de dbito. Possui um microprocessador para criptografar a senha utilizando uma chave criptogrfica randmica. A senha do carto de dbito j sai criptografada do equipamento. Toda vez que o gabinete do equipamento aberto, por questes de segurana, todos os algoritmos de criptografia so destrudos. POS: da abreviao de Point-of-sales, so os equipamentos pertencentes a VISANET, que so alugados aos estabelecimentos comerciais de pequeno e mdio porte. Estes equipamento esto ligados diretamente rede de captura da VISANET. Podem ser dedicados ou discados. Os POS discados so os mais antigos, pois necessitam uma linha telefnica para ligar em uma central a cada transao. Os POS dedicados so aqueles que ficam conectados a rede de captura enquanto esto ligados. Lojas, restaurantes e postos de gasolina so exemplos tpicos que possuem este tipo de aparelho. PDV: apesar de possurem o mesmo significado literalmente, pois PDV vem da abreviao de Ponto de Venda, que a traduo de Point-of-Sales, significam, no s para VISANET mas para o mercado nacional de carto de crdito, um outro tipo de soluo para a captura das transaes. O PDV uma soluo no qual o estabelecimento comercial possui muitas caixas registradoras. Neste caso, somente o PIN-PAD pertence a
??
??
??
Enquanto que o servio de hosting um servio pelo qual a empresa contratante paga a empresa contratada por disponibilizar os servios de uma soluo desenvolvida e pertencente a empresa contratante em um data center da empresa contratada, e esta deve fornecer toda a infra-estrutura tecnolgica para suportar a soluo. O servio de co-location um servio de hosting no qual a empresa contratante proprietria dos servidores que hospedaram suas solues, ficando para empresa contratada, apenas as questes de segurana fsica e telecomunicaes. O co-location pode ser administrado ou no por funcionrios especializados da empresa contratada.
8
Pg.125
VISANET, pois a leitora do carto de crdito faz parte da caixa registradora. O software totalmente componentizado tambm pertence a VISANET, e disponibilizado ao estabelecimento comercial para integrao ao seu sistema de automao das vendas. Nesta soluo, sendo as caixas registradoras terminais PC, todas as informaes passam por um servidor central que concentra as informaes das transaes dos cartes e enviam para a VISANET. Em grandes cadeias de supermercados e lojas, pode ocorrer mais nveis de concentrao at a interligao com a rede de captura da VISANET. Pouco menos utilizado, Segundo, BEHAN (1990), o nome utilizado em ingls para esta soluo como um todo EFT Electronic Funds Transaction, mas no Brasil o termo utilizado apenas como concentrador TEF Transao Eletrnica de Fundos, significando apenas o nome do software que roda no terminal de caixa.
4.1.3. A relao da VISANET com seus parceiros Segundo as entrevistas realizadas com a alta direo, a VISANET adota como estratgia a terceirizao de muito de seus servios. Esta estratgia faz com que at mesmo operaes core sejam realizadas atravs de fornecedores. Pode-se dizer que o quadro enxuto da empresa foca as questes de estratgia e direcionamento do negcio enquanto que as questes de implementao e execuo ficam nas mos dos parceiros. Conforme um dos principais executivos: ...os fornecedores no so tratados como apenas fornecedores, mas sim como parceiros estratgicos para operao da empresa. Esta relao de confiana e parceria j faz parte da cultura da empresa. Hoje, se voc entrar dentro da empresa, difcil saber quem fornecedor e quem funcionrio. O comprometimento de nossos parceiros com o sucesso de nosso negcio to alto quanto o de nossos funcionrios. (diretor executivo da VISANET, em entrevista realizada em julho de 2002) Os principais fornecedores da VISANET so a EDS e a Proceda, fornecendo todos os servios de autorizao eletrnica e manual e
Pg.126
processamento de transaes financeiras. Esta estratgia de terceirizao tambm pode ser observada atravs de seu principal concorrente a REDECARD. Comparativamente, a REDECARD utiliza a empresa Orbitall para execuo destes servios.
4.1.4. Principais processos de negcio Os principais processos de negcio da VISANET so: Afiliao: para trabalhar com os cartes VISA o estabelecimento comercial necessita afiliar-se ao sistema VISANET. Alm da equipe de vendas dos bancos acionistas, existe uma equipe de vendas da VISANET que atua como agente afiliador. Autorizao Eletrnica: autorizao realizada atravs da rede de captura eletrnica da VISANET. O processo inicia-se em um terminal denominado POS (Point of Sales) ou em um PDV (Ponto de Venda) pertencente a rede da VISANET, localizado em um estabelecimento comercial afiliado. Ao passar o carto na leitora magntica, os dados do carto e da transao financeira so transferidos a concentradores intermedirios que por sua vez enviam a duas centrais de autorizao, localizados em: So Paulo, que atende as regies Sul, Sudeste e Centro-Oeste; e Salvador, que atende as demais regies. A partir destas centrais de processamento, ainda pertencentes a VISANET, os dados da transao so encaminhados a terminais interligados a rede internacional da VISA International, denominados de VAP VISA Access Point. A rede da VISA International, decide e envia para o banco emissor responsvel por aquela autorizao. O banco emissor realiza ou no a autorizao e devolve a rede da VISA International. Esta por sua vez joga de volta para as centrais de processamento da VISANET, que envia a resposta para o estabelecimento comercial de origem. Todo este processo de resposta da autorizao demora no mximo seis segundos. Caso contrrio a transao abortada. Autorizao Manual: quando o estabelecimento comercial possui as seguintes caractersticas: de pequeno porte, possui um volume extremamente pequeno de vendas no carto, no tem condies para alugar um POS, e no pertence a um
??
??
??
Pg.127
segmento de mercado classificado pela VISANET como de alto risco; o estabelecimento comercial pode realizar as vendas utilizando a maquineta, ou popularmente chamada de matapulgas. Este equipamento consiste em tirar uma cpia em carbono do auto-relevo dos dados do carto, e em conjunto obter um nmero de autorizao telefonando para uma central de atendimento da VISANET. Este nmero anotado ao comprovante de venda pelo carto de crdito. Fica sob responsabilidade do estabelecimento comercial depositar as cpias dos comprovantes no seu banco adquirente. Aps trinta dias aps a data de autorizao, o estabelecimento comercial recebe o valor em sua conta corrente.
??
Captura Eletrnica: ao final de cada dia, tanto o POS quanto a soluo de PDV, necessitam fechar seus lotes e transmitir para a VISANET, para que as transaes sejam consideradas encerradas e concludas. Somente aps o fechamento dos lotes, o POS ou PDV poder ser desligados. A cada novo dia de transaes, os POS e PDVs devem ser inicializados gerando novos valores de lotes. Captura Manual: nas vendas realizadas manualmente, o comprovante de venda emitido em trs vias: 1a. via pertence ao portador do carto , a 2a. via pertence a VISANET e a 3a. via pertence ao estabelecimento comercial. No mximo a cada 50 comprovantes de vendas, o Estabelecimento Comercial deve preencher um documento denominado Resumo de Operaes R.O., o qual um relatrio sumariado de todas as vendas realizadas manualmente. Aps preenchimento do R.O., e uma vez anexado os comprovantes de venda manual, o R.O. j pode ser entregue em uma das agncias do banco adquirente. Todas as R.O possuem um nmero nico de identificao. Os bancos adquirentes enviam por sua vez os comprovantes a duas empresas capturadoras da VISANET: TRANSPEV e PROSERVVI. Ambas digitalizam os comprovantes, e enviam a VISANET para serem processadas. Captura Batch ou MOTO: Os Estabelecimentos Comerciais que recebem pedidos de compra por meio de mail order ou telephone order, utilizam o sistema de EDI via Interchange para transmitir as informaes referentes a estas vendas para a VISANET. Neste caso, todas as transaes so autorizadas uma a uma da mesma forma que uma autorizao eletrnica.
??
??
Pg.128
??
Processamento (Edit Package): A EDS, empresa responsvel pelo processamento das informaes capturadas, recebe os dados para processamento das seguintes fontes: PROCEDA(Captura Eletrnica), INTERCHANGE (Vendas Mail-Order e Phone-Order), TRASPEV/ PROSERVVI (Captura Manual). realizada uma srie de consistncias e processados para a gerao do arquivo a ser enviado a VISA International, contendo: grade de liquidao financeira, transaes autorizadas, tratamento de rejeitadas, ajustes, reenvio de transaes, etc. So processados tambm a incluso e manuteno do cadastro de estabelecimentos afiliados. Intercmbio: No processo de intercmbio de transaes, o portador do carto entra em contato com o banco emissor com o objetivo de tentar identificar a origem da transao. Caso no seja possvel a identificao, a VISA acionada e caso ela tambm no consiga identificar a transao, o problema passado para VISANET, no qual, busca em seus registros a origem da transao. Caso no seja encontrado, iniciado um processo de solicitao de cpias ao estabelecimento comercial. Este por sua vez possui um prazo a cumprir, pois caso contrrio, o valor ser descontado e adicionado pontos em relao ao risco do estabelecimento. Chargeback: Operaes de chargeback so aquelas em que o banco emissor gera uma transao de dbito a VISANET, por ela no ter cumprido corretamente o processo de Intercmbio. Diversas razes podem acarretar em um processo de chargeback, dentre elas: no atendimento a solicitao de cpia por parte da Visanet, cumprimento fora do prazo estabelecido, fornecimento de cpia ilegvel, fornecimento de cpia errada, dentre outros. As solicitaes de chargeback somente podero ocorrer se o banco j tiver solicitado previamente um pedido de cpia. Liquidao Financeira: a partir das informaes alimentadas no sistema de agenda financeira, a rea de Tesouraria elabora a grade financeira, que do ponto de vista da VISANET, contempla como crdito os valores enviados pelos emissores de carto e como dbito os pagamentos aos estabelecimentos comerciais, tanto para as transaes de dbito VISA Electron quanto para as transaes de crdito. Os valores a serem pagos pelos bancos emissores VISANET so informados VISA com um dia de antecedncia. Este sistema calcula qual a melhor grade de liquidao possvel para VISANET e a partir dessa informao gera um relatrio informando os valores que os bancos possuem
??
??
??
Pg.129
a receber ou a pagar, para outras instituies financeiras. Dificilmente os bancos contestam os valores a serem creditados ou debitados, entretanto, caso isso ocorra, a VISANET intervm no processo.
4.1.5. Detalhes tecnolgicos e operacionais Como explicado anteriormente, a VISANET utiliza os servios da EDS e Proceda para processamento das transaes. Para o entendimento e a anlise de risco da segurana da informao necessrio detalhar um pouco mais a infraestrutura que suportam as operaes. Como explicado anteriormente, existem duas centrais de processamento: uma em So Paulo e outra em Salvador. A primeira responsvel por atender as regies do sul, sudeste e centro-oeste; e a segunda, pelas regies nordeste e norte do pas. A central de So Paulo est dividida em dois data centers: da EDS em So Bernardo do Campo e da Proceda, localizado no Centro Empresarial So Paulo CENESP. Ambos operam processos distintos. A Proceda tem como responsabilidade a captura e autorizao das transaes. Ao final do dia envia os lotes de transaes capturadas, denominado de BASE I - Autorizaes. Enquanto que a EDS responsvel por processar todas os lotes de transaes j autorizados, com problemas e pendentes, enviadas pela Proceda So Paulo e a central de Salvador; e enviar para VISA International, denominado de BASE II Liquidao e Intercmbio. Alm disto a EDS tambm administra as liquidaes financeiras entre bancos emissores e bancos adquirentes; tambm calcula as comisses para a VISA, VISANET e banco emissor; e os devidos impostos. A central de processamento de Salvador pertence a VISANET, mas operada atravs de funcionrios da Proceda. Tem como objetivo apenas a captura e autorizao das transaes. Ao final do dia, envia para EDS em So Paulo, os lotes de transaes capturadas (BASE I).
Pg.130
Figura 34: Infra-estrutura da VISANET (elaborado pelo autor)
4.2. Segurana da informao na VISANET

Seguindo o modelo de gesto de risco de segurana da informao apresentado na fundamentao terica, e atravs de uma srie de entrevistas com o gerente de segurana da informao da VISANET, foi identificado o seguinte panorama.
4.2.1. Alinhamento estratgico Conforme a estratgia de focar apenas a gesto do negcio, a rea de segurana, extremamente enxuta como ser descrita a seguir, contrata diversos servios especializados em segurana para a VISANET. No incio de 2002, a VISANET contratou a consultoria especializada da PricewaterhouseCoopers para
Pg.131
ajudar o redesenho e estruturao da rea de segurana da empresa atravs de um Plano Diretor de Segurana da Informao. Em entrevista com o Security Officer da VISANET, este trabalho estruturou a maior parte das informaes de carter estratgico para rea a serem apresentados a seguir. a. Viso e apoio estratgico A rea de segurana possui um Security Charter, conforme recomendado por BYRNES (2001), muito bem estruturado. Neste documento possvel encontrar a misso da rea de segurana: Garantir o nvel de proteo fsica e lgica dos dados e informaes de nossa rede e nossos produtos, de forma a diminuir ou eliminar o risco de perda, destruio e indisponibilidade das mesmas. De forma bastante estruturada e complementar, a VISANET possui formalmente descrita tambm uma viso da rea de segurana: A rea de segurana da VISANET tem como viso os seguintes processos: Prevenir
??
Estabelecer requisitos mnimos que assegurem a confidencialidade, integridade e disponibilidade das informaes sensveis da empresa, dos estabelecimentos comerciais, dos portadores de cartes e dos bancos associados. Desenvolver polticas, normas e procedimentos de segurana relacionados aos meios de pagamentos eletrnicos e a rede corporativa em conjunto com as reas da empresa. Implementar, solues tecnolgicas em conjunto com as demais reas da empresa, os padres e prticas que
??
??
Pg.132
maximizem a segurana das transaes de dbito e crdito.

??
informaes
nas
Implementar em conjunto com as demais reas da empresa, solues tecnolgicas de segurana da informao nas operaes de negcio da VISANET. Assegurar que as vrias entidades, que esto envolvidas na atividade de meios de pagamentos eletrnicos, cumpram os requisitos mnimos de segurana estabelecidos pela VISA e pelos padres e normas internacionais que regulam a indstria. Assegurar que todas as entidades envolvidas na atividade de meios de pagamentos eletrnicos estejam em conformidade com as polticas, normas e procedimentos de segurana adotados pela VISANET. Revisar em conjunto com as outras reas da empresa os controles e a conformidade da execuo, implementao e monitoramento dos requisitos e atividades de segurana da informao. Implementar normas e procedimentos que possibilitem a continuidade do negcio em caso de um ataque ou desastre aos sistemas de informao da empresa. Estabelecer em conjunto com as demais reas da empresa procedimentos para suporte tcnico, jurdico e organizacional para resposta incidentes e captura de evidncias.
Monitorar
??
??
??
Reagir
??
??
Segundo entrevista com o Information Security Officer, o sucesso das aes e iniciativas segurana contam com o apoio estratgico da alta administrao. Segundo ele, o trabalho para a estruturao do plano diretor da rea, houve envolvimento direto do presidente e demais diretores executivos em mais de 40 horas.
Pg.133
O comprometimento do presidente e alta direo com a segurana da informao pode ser observada tambm nas divulgaes e comunicaes relativas a normas e padres de segurana da informao.
b. Organizao e competncias Segundo levantamentos com a rea de Desenvolvimento Organizacional, a estruturao da rea de segurana da informao na VISANET formada por trs gerncias ligadas diretamente ao diretor executivo de risco, com o papel de CRO Chief Risk Officer. Diferentemente das demais gerncias no existe um diretor intermedirio entre os gerentes e o diretor executivo. Segundo o gerente de segurana da informao, esta estruturao permite maior velocidade para tratamento dos assuntos. A estrutura organizacional para rea de segurana da informao na VISANET a seguinte:
Figura 35: Estrutura Organizacional da rea de segurana (elaborado pelo autor)
Pg.134
A gerncia de segurana da informao trata exclusivamente das questes de segurana da informao relativas a rea corporativa da empresa. Ou seja, ela responsvel por toda a segurana das informaes que trafegam dentro da empresa. Esta gerncia composta pelo gerente de segurana da informao e dois analistas em segurana da informao. A gerncia de segurana tecnolgica especializada nas questes de segurana relativas as tecnologias criptogrficas aplicadas na ponta da rede de captura (entenda-se estabelecimento comercial) e no servidores de processamento das transaes (dentro da VISANET). Esta gerncia composta pelo um gerente de segurana tecnolgica e um especialista tcnico. E a gerncia de segurana da rede de captura responsvel por tratar as questes de segurana do meio pelos quais os dados trafegam e so manipulados atravs da rede de captura. So analisados os riscos de segurana da informao em estabelecimentos que possuem uma rede interna distribuda, como por exemplo uma rede de supermercados, onde as informaes dos cartes so armazenados, manipulados e transmitidos internamente antes do envio a VISANET. Esta gerncia composta apenas pelo gerente de segurana da rede de captura. Como pode se observar, a rea de segurana da informao bastante enxuta. Segundo o gerente de segurana da informao, trabalhos especficos e pontuais em segurana da informao so implementados por fornecedores. Avaliaes e implementaes tecnolgicas so realizadas atravs do acionamento de outras reas dentro da empresa. Por exemplo, a rea de segurana da informao no responsvel por disponibilizar a infra-estrutura tecnolgica necessria, cabe a rea de Tecnologia & Operaes desempenhar essa funo. Alm desta, outras atividades da rea de segurana da informao sero suportadas por outras reas da VISANET, como por exemplo, Departamento Jurdico, Departamento Organizacional, Segurana Patrimonial, etc. Conforme a explicao do gerente de segurana da informao, a equipe de monitoramento e resposta so equipes multidisciplinares formadas atravs de equipes pertencentes a rea de Tecnologia & Operaes e Risco & Fraude.
Pg.135
Segundo o gerente de segurana da informao, a VISANET possui um comit de segurana da informao desde a sua criao. No entanto, at o final do ano de 2001, era composta por membros das reas de Tecnologia & Operaes e Risco & Fraude. A partir do ano de 2002, com a reestruturao das reas, o comit atual se tornou uma equipe multidisciplinar, envolvendo todas as reas da empresa exceto a rea de Vendas & Negcio. Participam atualmente deste comit: um diretor financeiro representando a diretoria executiva de Finanas & Administrao, dois gerentes da rea de Tecnologia & Operaes, um gerente da rea de Processos & Auditoria, um diretor do Desenvolvimento Organizacional, uma gerente de Marketing & Produtos, alm do prprio diretor executivo de Risco & Fraude e do gerente de segurana da informao.
c. Conformidade e aderncia Em entrevista com o gerente de segurana da informao, os projetos de segurana desenvolvidos pela VISANET esto em conformidade com as necessidades de negcio da VISANET. Segundo ele, todos os projetos que apresentem riscos para as informaes da VISANET, possuem o envolvimento formal da rea de segurana da informao, visto que cabe a ela identificar e determinar os controles de segurana necessrios para que a integridade, confidencialidade e disponibilidade da informao sejam preservadas. Este envolvimento formal da rea de segurana da informao s possvel devido ao trabalho conjunto com a rea de Processos, no qual definiu o fluxo de atividades a serem seguidas para o desenvolvimento de novos projetos. Alm disto, isto permite que a rea de segurana da informao esteja em constante contato com os gestores das reas de negcio facilitando o propsito de identificar as necessidades e riscos de segurana inerentes ao processo produtivo.
Pg.136
d. Poltica e normas de segurana Segundo o gerente de segurana da VISANET, no ano de 2001 foi contratada uma consultoria especializada para a elaborao da poltica de segurana da informao para rede corporativa. De acordo com ele, ao longo do ano de 2002, a VISANET reestruturou a poltica e as normas de segurana internamente atravs do envolvimento e esforos das diversas reas, acionadas a partir da equipe multidisciplinar do comit de segurana da informao. Durante a entrevista com o gerente de segurana da informao foram apresentadas as polticas e normas de segurana da informao da VISANET. Segundo ele, tanto para elaborao quanto para a reestruturao e detalhamento das polticas, foram seguidos rigorosamente as diretrizes da NBR ISO/EC toda as polticas e normas Por questes estratgicas, a poltica e as normas de segurana no podem ser apresentadas neste trabalho. e. Monitoramento e preveno Segundo o gerente de segurana da informao, so realizados periodicamente trabalhos com a rea de Auditoria e Compliance para avaliar se os controles e responsabilidades de segurana definidos por meio das Polticas, Normas e Procedimentos de Segurana da informao, aps publicao dos mesmos, esto sendo adequadamente cumpridos. Este monitoramento necessrio pois os bancos associados e acionistas realizam auditorias constantemente. f. Treinamento e conscientizao Segundo entrevista com o Security Officer, garantir a segurana das informaes uma responsabilidade de todos os funcionrios, prestadores de servio e demais indivduos que tenham acesso as informaes e recursos do ambiente da VISANET. Por isso no ano de 2002, a VISANET realizou um treinamento de conscientizao da segurana da informao para mais de 600
Pg.137
pessoas, englobando funcionrios e todos os prestadores de servios. Estas sesses contemplaram, dentre outros aspectos, os seguintes: a importncia da Poltica de Segurana da Informao; aplicabilidade das Normas de Segurana; descrio dos principais elementos de segurana do ambiente de tecnologia (segurana fsica e segurana lgica); engenharia social; descrio do propsito da Anlise de Risco realizada pela VISANET; penalidades decorrentes da no aderncia a Poltica de Segurana da Informao; procedimentos para reporte de incidentes, falhas de segurana e suspeitas de fraudes; os riscos que a VISANET est sujeita decorrentes de falhas de segurana; casos prticos ocorridos na VISANET decorrentes de falhas de segurana; medidas de preveno contra incidentes j ocorridos; e classificao das informaes.
?? ?? ??
?? ??
??
??
??
??
?? ??
Ao final da sesso de conscientizao ou do treinamento de segurana os funcionrios e prestadores de servio foram submetidos a uma avaliao, o que permitiu a VISANET mapear o nvel de conscientizao de segurana de seus colaboradores, possibilitando identificar falhas ocorridas no processo, e assegurando a efetividade de cada elemento do programa de conscientizao. Alm disto, segundo o gerente de segurana da informao, foram adotadas as seguintes medidas para a conscientizao de seus funcionrios e prestadores de servio:
Pg.138
??
periodicamente, so anexados posters em pontos estratgicos, com pequenas mensagens sobre segurana. Os posters so realocados periodicamente de forma a evitar que passem desapercebidos; so distribudos, periodicamente, folhetos informativos contenham artigos sobre segurana e casos prticos ocorridos; que
??
??
sero distribudos prmios e brindes que contenham bons empenhos de segurana ou idias que reforaro a atitude da companhia no sentido da segurana; sero adotadas competies para motivar os funcionrios e prestadores de servio na aderncia as medidas de segurana; e ser avaliada a efetividade do Programa de Conscientizao por meio de pesquisas e questionrios, das avaliaes dos cursos e dos treinamentos realizados, da freqncia e tipo de falhas de segurana ocorridas no ambiente da VISANET.
??
??
4.2.2. Segurana das operaes De acordo como gerente de segurana da informao, a VISANET obrigada a seguir os padres de segurana definidos pela VISA International, com a possibilidade de pesadssimas multas no caso de no cumprimento. Para isto a VISA International disponibiliza os seguintes guias: Visa Account Information Security - Best Practices Guide: 4.9 Software e Visa Account Information Security - Standards Manual: 4.6 Software. Devido a isto, a rea de segurana responsvel por dar o devido direcionamento em diversas implementaes em segurana tecnolgica. a. Arquitetura de Segurana e Segurana das operaes Em relao a segregao de funes, atravs de entrevistas com analistas da rea de Tecnologia & Operaes foram encontradas uma boa segregao nas funes de tecnologia em relao :
?? ?? ?? ??
operaes e programao de aplicaes; operaes e agendamento da produo; operaes e anlise de controle de jobs; operaes e controle de documentao;
Pg.139
?? ?? ?? ??
operaes e help desk; operaes e administrao do banco de dados; operaes e sistemas de segurana; e operaes e gerncia de mudanas; dentre outros.
Em entrevista com o gerente de segurana da informao, os aplicativos e documentos recebidos do meio externo so sempre ser verificados quanto existncia de vrus antes de serem inseridos no ambiente da VISANET, o mesmo processo realizado com os documentos recebidos via e-mail, que neste caso so checados no momento em que forem recebidos no servidor de Webmail. O software de antivrus est instalado nos desktops, em dispositivos de acesso remoto, servidores e gateways de Internet e a proteo tambm integrada com navegadores Web para verificao de ActiveX ou Java applets. A VISANET utiliza uma combinao de gateway vrus scanners e produtos para desktops a fim de aumentar a possibilidade de identificar cdigos potencialmente maliciosos. A VISANET possui procedimentos formais para deteco e combate infestao por vrus. Esse procedimento foi elaborado pela rea de Tecnologia & Operaes responsvel pelas estaes de trabalho em conjunto com a rea de Segurana da Informao. Os equipamentos em manuteno so verificados quanto existncia de vrus antes de serem conectados na rede interna da VISANET. Os equipamentos infestados por vrus so isolados da rede interna da VISANET at que se tenha certeza de que o problema foi solucionado e no haja nenhum risco de proliferao do vrus. Os incidentes com vrus ocorridos no ambiente interno da VISANET no so divulgados para entidades externas VISANET. Foi encontrado as diversas alternativas para gerao dos backups dos sistemas e informaes de forma a assegurar o sucesso do mesmo:
Pg.140
??
Normal: efetua cpias de segurana de todos os arquivos e marca cada um para ser copiado em backup; Incremental: copia somente aqueles arquivos que sofreram modificaes desde o ltimo backup incremental; Diferencial: efetua a cpia somente daquelas informaes que sofreram alteraes desde o ltimo backup normal; e Dirio: armazena todos os arquivos selecionados que sofreram modificaes naquele dia.
??
??
??
A VISANET definiu os procedimentos para gerao, teste e restaurao das mdias de backup gerados. Neles esto inclusos as seguintes informaes:
?? ?? ??
sistema utilizado para gerao de backup; periodicidade de gravao da informao; definio das informaes a serem geradas cpias de segurana, bem como os aplicativos que as geraram quando necessrio; forma de armazenamento (incluindo procedimentos para armazenamento off-site); tabela de erros esperados e tratamento para os mesmos; identificao apropriada das mdias; instrues para restaurao das mdias; e ambiente a ser utilizado para teste de restaurao das mdias.
??
?? ?? ?? ??
Todas as cpias de segurana geradas so registradas, permitindo dessa forma sua rastreabilidade e controle. Para cada informao pela qual foram geradas cpias de segurana, so gravadas duas mdias distintas na VISANET, sendo que uma delas armazenada off-site, pois caso ocorram incidentes que prejudiquem todo o site principal, possvel efetuar a restaurao das informaes a partir das mdias armazenadas remotamente. De acordo com a rea de Conformidade & Processos, a VISANET efetua um controle efetivo dos equipamentos de POS em posse de terceiros. A realizao deste inventrios permite a VISANET identificar o real valor dos ativos que possui. Os equipamentos de POS adquiridos so registrados em um
Pg.141
inventrio no momento da aquisio dos mesmos. Este inventrio contm informaes como:
?? ?? ?? ?? ?? ?? ?? ?? ??
descrio do equipamento; descrio do sistema instalado (quando aplicvel); fabricante; marca; modelo; nmero de srie; empresa de manuteno onde est alocado o equipamento; configuraes do equipamento; e localizao do equipamento.
A VISANET estuda a possibilidade de serem adotados sistemas automatizados para efetuar o controle e registro do inventrio de equipamentos POS . Segundo entrevista com o gerente de qualidade, a VISANET possui seus procedimentos formalmente documentados para as seguintes reas:
?? ?? ?? ?? ?? ??
Intercmbio; Processamento EDS; Afiliao de Estabelecimentos; Conferncia Financeira; Liquidao Financeira; e BackOffice.
Foi designado um funcionrio na rea de negcio pela documentao formal dos procedimentos executados pela rea. Esse funcionrio um profundo conhecedor das atividades realizadas pela rea. O procedimento contm, dentre outros:
?? ?? ??
descrio das atividades a serem executadas; entradas utilizadas e as sadas esperadas; parmetros ou configuraes necessrias;
Pg.142
?? ?? ?? ??
abrangncia do procedimento; aplicao; responsabilidades; indicadores que permitam avaliar se os resultados obtidos esto dentro do esperado; aes a serem realizadas em caso de problemas; responsveis a serem acionados em caso de problemas; e glossrio contendo a definio de terminologias prprias do negcio ou de tecnologia utilizada.
?? ?? ??
Segundo ainda ele, todos os procedimentos so periodicamente revisados, e sempre que os processos sofram alteraes significativas que impactem no contedo dos mesmos. Os procedimentos so formalmente implementados, o que permite a identificao de inconsistncias no detalhamento dos mesmos. Estes esto acessveis somente para os funcionrios autorizados, que deles necessitam para a execuo de suas atividades. Todos os procedimentos so revisados pelo Gestor da rea, de forma a assegurar que o documento represente corretamente a forma de atuao da VISANET. Em entrevista com o gerente de segurana da informao, todos os funcionrios da VISANET foram instrudos a no armazenarem informaes referentes as atividades que desempenham no hard-disk de suas estaes trabalho. Num primeiro momento, a VISANET dimensionou e disponibilizou um espao em rede necessrio para transferncias das informaes das estaes de trabalho para o servidor, e em seguida solicitou que todas os funcionrios efetuem a transferncia das informaes consideradas crticas. Periodicamente, a rea de Segurana da Informao escolhe uma amostra (principalmente nas reas mais crticas) com o propsito de assegurar que o procedimento correto tenha sido adotado. Os funcionrios que no estiverem cumprindo a norma e no apresentarem uma justificativa vlida de negcio, so punidos de acordo com as penalidades definidas na Polticas e Normas de Segurana da Informao. Em entrevista com a rea de auditoria, a VISANET contm trilhas de auditoria com as seguintes principais informaes:
??
a identificao do usurio;
Pg.143
?? ?? ?? ??
a data e a hora da operao; os tipos de operaes realizadas; mdulo utilizado para execuo da operao; e um flag indicando a gravidade do evento ocorrido.
Dependendo da criticalidade do mdulo, conforme definido pelo proprietrio do sistema, so includas informaes adicionais na trilha de auditoria. Segundo o gerente de segurana da informao, o acesso as trilhas de auditoria restrita ao proprietrio do sistema, a rea de segurana da informao e a rea de auditoria. Existe uma segregao de funes entre a pessoa que est realizando a reviso das trilhas de auditoria e o responsvel pela execuo das atividades que esto sendo monitoradas. De acordo com o gerente de segurana da informao, a VISANET possui mtodos de anlise de risco constitudos pelas seguintes etapas:
?? ??
Definio do escopo; Envolvimento de representantes das reas chaves da organizao, tais como os gestores do negcio, usurios chaves, profissionais de Tecnologia da Informao -TI (para as aplicaes consideradas crticas ao negcio) e pessoas com experincia em anlise de risco para auxiliar o processo de coleta e anlise das informaes pertinentes; Determinao do risco do negcio levando em considerao a criticalidade da operao, o impacto causado ao negcio da VISANET em caso de perda de confidencialidade, integridade ou disponibilidade, e as vulnerabilidades; Considerao as vulnerabilidades conhecidas; e Monitorao da efetividade deste trabalho.
??
?? ??
Pg.144
Figura 36: Matriz de risco: processo x CIA x impacto (VISANET)
Os resultados da anlise de risco ainda incluem uma clara indicao dos principais riscos associados, um diagnstico dos impactos potenciais ao negcio e recomendaes para as aes necessrias visando reduzir o risco a um nvel aceitvel.
Figura 37: Matriz de avaliao dos riscos
4 Resultados da Pesquisa (VISANET)
Pg.145
So realizados ainda testes de penetrao para avaliao dos riscos tecnolgicos atravs de uma metodologia estruturada para a sua aplicao. Os testes, por sua vez, consideram os seguintes objetivos:
?? ??
Analisar as reais ameaas para o ambiente tecnolgico alvo; Proporcionar uma anlise dos impactos das vulnerabilidades tcnicas identificadas relacionando-as aos riscos potenciais ao negcio; e Assegurar a anlise da segurana realizada e garanta a identificao dos riscos.
??
Com relao a periodicidade dos testes, a VISANET realiza-os com uma freqncia pelo trimestral, ou quando a rea responsvel pela anlise de risco julgar necessrio. Adicionalmente, a VISANET contrata consultorias externas especializadas pois desta forma, possvel adotar uma viso externa e imparcial para a real anlise dos componentes de segurana utilizados no ambiente computacional, tendo em vista que muitas vezes uma viso interna pode no identificar todas as vulnerabilidades de presentes no ambiente.
b. Telecomunicaes Segundo entrevista com o gerente de tecnologia da rede corporativa, a VISANET assegura o controle rgido quanto a instalao de modems na rede corporativa. S possvel modems em equipamentos previamente autorizados. Em entrevista com o gerente de tecnologia da rede de captura, o mesmo tipo de controle realizado na rede de captura. Conforme conversa com o gerente de segurana patrimonial, a VISANET possui controles relacionados a segurana fsica e patrimonial dos ativos visando a manuteno das operaes e dos servios relacionados ao PABX. A estrutura de armazenamento do sistema de PABX discreta e mostra o mnimo sobre o seu propsito.
Pg.146
De acordo com a coordenadora tcnica responsvel pelos firewalls da VISANET, so aplicados de todos patches e atualizaes pertinentes. Os backups do firewall so executados internamente atravs em um mecanismo tape drive. Os firewalls registram todas as atividades inclusive aquelas realizadas pelos administradores. O protocolo Network Time Protocol - NTP usado para sincronizar os registros com outros sistemas registradores tais como a deteco de intruso. Conforme o gerente de segurana da informao, todo o cabeamento pertencente a VISANET estruturado. So ainda verificados periodicamente as estruturaes de cabeamento nos principais fornecedores: EDS, PROCEDA, INTERCHANGE, etc. Com relao a segurana da LAN, a VISANET considera dois aspectos fundamentais:
??
Estruturao e gerenciamento de dados centralizados apropriados, o qual contemple medidas como a realizao de backup, contingncia entre outras; e As estaes de trabalho possuem mecanismos adequados de proteo. Para minimizar os riscos dessa situao, utiliza-se ferramentas que protejam os dados contidos nos discos locais como, por exemplo, atravs do emprego de recursos criptogrficos.
??
Em relao a computao remota, de acordo com o gerente de segurana da informao, so utilizados tokens em combinao com senhas fortes para identificar e autenticar as solicitaes dos usurios remotos. Alm disso, o emprego de VPN na VISANET utilizado para garantir a privacidade utilizada durante a transmisso das informaes. Durante os levantamentos, a VISANET estava homologando a implantao de solues wireless para a rede corporativa. Uma preocupao do gerente de segurana corporativa assegurar o emprego de mecanismos de segurana fsica, Public Key Infrastructure PKI e utilizao do Wireless transport layer security protocol WTLS em aplicaes WAP .
Pg.147
Segundo o gerente de telecomunicaes, a sua rea em conjunto com a rea de segurana da informao atenta o modo que os fornecedores de links terrestres endeream os princpios bsicos relacionados a segurana da informao (privacidade dos dados, integridade, disponibilidade e confidencialidade) durante a prestao de servios VISANET. Em relao ao uso rea de segurana da informao em conjunto com a rea de qualidade e processos definiram as normas para concesso de acesso Internet, assim como o uso da mesma. Em relao a intranet, a VISANET possui os controle de segurana sobre os Webservers seguindo as seguintes melhores prticas de mercado:
??
Atualizao de software e instalao de patches - Essa medida uma das mais simples e ainda mais eficientes tcnicas para reduzir os riscos e vulnerabilidades. Utilizao dos servidores para uma nica finalidade - Os Webserver devem ser dedicados exclusivamente a uma tarefa/ servio a ele associado. Remoo das aplicaes desnecessrias Software privilegiados so definidos como aqueles que funcionam com privilgios de administrador. Todo software privilegiado que no for especificamente exigido para o funcionamento dos servidores deve ser identificado e removido. Proteo do Servidor com Filtro de Pacotes ; Segregao dos privilgios A segregao de privilgios um conceito chave para a proteo do host quando esse eventualmente for penetrado. Para tanto, deve-se estabelecer controles os quais utilizem contas distintas para o funcionamento dos diversos servios utilizados pelo webservers.
??
??
?? ??
Durante os levantamentos, a VISANET estava avaliando a implementao de uma metodologia de codificao segura a ser disponibilizada nos diversos projetos de desenvolvimento internos e tambm como referencial para os acordos de nvel de servio em projetos de desenvolvimento efetuados por terceiros que sero disponibilizados na intranet.
Pg.148
Conforme entrevista com o gerente de segurana da informao, a construo das VPNs que suportam as comunicaes da VISANET foi implementada com base na aplicao das melhores prticas, seguindo os padres de mercado. De acordo com entrevista com o gerente de segurana da informao, para garantir a confidencialidade, a integridade e a disponibilidade dos servios ao correio eletrnico a VISANET adota as seguintes medidas, dentre outras:
??
As mensagens de e-mail so verificadas a fim de identificar: o Cdigos maliciosos; o Expresses ofensivas; e o Frases chaves conhecidas, como aquelas normalmente usadas em correntes de e-mail.
??
Os sistemas de e-mail so protegidos: o Bloqueando mensagens que se originam de sites ou usurios indesejveis, por exemplo, evitar o spamming; o Hashing de mensagens ajudando a manter a integridade daquelas que so confidenciais; e o Garantindo a no repudio das mensagens, por exemplo, provando a origem de uma mensagem usando mecanismos de assinaturas digitais.
Alm disso, segundo ele, a VISANET define uma poltica relativa ao assunto privacidade e de monitorao das contas de e-mail. Atravs do teste interno de dados, a rea de segurana da informao assegura a correo do risco de relay de fake-mail Segundo o gerente de segurana da informao, atravs de IDS, usando tcnicas de monitoramento dos eventos que ocorrem em um sistema computadorizado ou em uma rede, a VISANET est apta a prevenir, detectar, corrigir e reportar intruso ocorridas em seu sistemas e na rede. As intruses podem ser causadas por usurios no autorizados que tentam acessar os sistemas/redes, ou por usurios autorizados que tenta ganhar privilgios adicionais os quais esse no est autorizado.
Pg.149
c. Segurana fsica Segundo o gerente de segurana da informao, a VISANET implementa os seguintes controles que julga necessrios:
?? ??
Identificao de todos os funcionrios por meio de crach; Utilizao de fechaduras especiais (Eletronic Key System, Eletronic Combination Locks) com combinaes individuais de acesso nas salas onde os equipamentos crticos encontram-se instalados; Sistema de autenticao biomtrica; Ante-sala utilizando o conceito de man trap; Uso de catracas eletrnicas para a restrio de acesso nas entradas dos locais; Monitorando dos ambientes 24 (vinte e quatro) horas por dia atravs de vigilantes; CPD com piso elevado; Utilizao de desumidificador na fitoteca; Sistema de ventilao exclusivo; Sinalizao indicativa de emergncia; Extintores de incndio contemplando as quatro classes de materiais combustveis; Detectores de temperatura, gua e fumaa; e Sistema para a conteno de incndios.
?? ?? ??
??
?? ?? ?? ?? ??
?? ??
Segundo ele, a VISANET tambm utiliza diversos mecanismos que auxiliam o controle de acesso fisco. Entre as principais medidas adotadas esto:
??
Uso de catracas eletrnicas para a restrio de acesso nas entradas dos locais; Monitorando dos ambientes 24 (vinte e quatro) horas por dia por meio de vigilantes; Identificao de todos os funcionrios por meio de crach; e
??
??
Pg.150
??
Utilizao de fechaduras especiais (Eletronic Key System, Eletronic Combination Locks) com combinaes individuais de acesso nas salas onde os equipamentos crticos encontram-se instalados.
A VISANET possuem tambm as seguintes medidas relacionadas ao acesso fsico:

??
Todos os visitantes so identificados e so acompanhados pelos funcionrios responsveis; Todos os empregados, parceiros e prestadores de servio esto devidamente identificados, por meio da utilizao de crachs; Os crachs so usados sempre em local visvel; Todos os empregados tem a obrigao de comunicar imediatamente a rea de responsvel a perda do crach. Os parceiros e prestadores de servio devem comunicar aos seus responsveis na VISANET pela perda do crach Os crachs extraviados so bloqueados imediatamente, restringindo seu uso.
??
?? ??
??
Com relao a utilizao de dispositivos portteis por funcionrios da VISANET, como notebooks so adotadas as seguintes medidas relacionadas a segurana:
?? ??
Utilizao de cadeados nas mesas/dockstations para se evitar furtos; Sistema que bloqueia inicializao dos equipamentos utilizando senhas fortes; Autenticao Forte com mais um fator como, por exemplo, uso de um token; Utilizao de sistema operacional com configuraes de segurana nvel C2 da Trusted Computer System Evaluation Criteria-TCSEC; e Ferramentas para criptografia dos dados contidos no disco rgido.
??
??
??
A VISANET assegura que os dispositivos de controles preventivos do sistema de suporte ambiental operam com as mnimas condies adequadas e que atendam os requisitos de segurana. Para isto so utilizados os principais controles:
??
Protetores de picos de energia;
Pg.151
??
Instalao de reguladores automticos de energia (Estabilizadores de linha); Nobreak; Geradores Eltricos; e Cabeamento estruturado. Realizao de manuteno procedimentos do fabricante; e preventiva segundo padres e
?? ?? ?? ??
??
Utilizao de geradores de energia para suportar os equipamentos das reas consideradas crticas.
d. Desenvolvimento de sistemas Segundo o gerente de segurana da informao, alguns controles so adotados para assegurar a segregao de ambientes:
??
Os sistemas em desenvolvimento e produo, operam em diferentes microcomputadores, ou diferentes domnios ou diretrio; As atividades de teste e desenvolvimento esto segregadas; Diferentes procedimentos de logon so utilizados para os ambientes de produo e testes, reduzindo assim o risco de erros. Os usurios so forados a utilizar diferentes senhas para estes ambientes.
?? ??
A grande maioria dos sistemas desenvolvidos para a VISANET possuem documentao tcnica e para os usurios. A documentao tcnica possibilita que qualquer funcionrio consiga efetuar alteraes, correes ou parametrizaes a partir desta. Esta documentao deve ser precisa, completa e prtica. Dentre outros itens, ela contm:
?? ?? ?? ?? ?? ??
consistente descrio dos requisitos, projetos e funes; data e verso das modificaes; requisitos necessrios para funcionamento; uso de tabelas, ndices, glossrios; organizao lgica; e terminologia utilizada.
Pg.152
Outra preocupao destacada pelo gerente de segurana da informao que o acesso a documentao tcnica esteja restrito aos funcionrios autorizados. Segundo ele, os testes de aceitao na VISANET seguem as seguintes diretrizes:
?? ?? ??
envolver os usurios da rea de negcio; simular o ambiente de produo; envolver todo o conjunto que suporta o sistema, tais como funcionalidade da aplicao, gerenciamento do banco de dados e o sistema operacional de suporte; realizar avaliaes da segurana do sistema; e incluir tentativas de quebra de segurana do sistema.
?? ??
So verificados ainda:
?? ?? ?? ??
a completa funcionalidade dos requisitos de negcio; a funcionalidade dentro de condies normais e em caso de excees; o impacto de dados incorretos; a interface com outros sistemas, tais como chamadas de outros programas e hyperlinks; a efetividade dos controles; a performance do sistema quando lidando com grandes volumes de trabalho (por exemplo testar o volume real dos dados manuseados/transaes efetuadas); identificao da capacidade mxima do sistema; os critrios de validao dos dados durante a entrada de informaes; a funcionalidade dos controles de acesso instaurados; e a funcionalidade das trilhas de auditoria.
?? ??
?? ?? ?? ??
Segundo o gerente de desenvolvimento, os procedimentos antes do desenvolvimento dos aplicativos ser conferida a terceiros a VISANET so:
?? ??
verificar a idoneidade do prestador; identificar sistemas crticos cujo desenvolvimento seja interessante mant-lo internamente; realizar um processo formal para seleo de terceiros;
??
Pg.153
??
identificar os riscos e avaliar as prticas de segurana empregados pelos prestadores de servio; e acordar os controles de segurana.
??
O contrato formal estabelecido entre a VISANET e o prestador de servio determina as seguintes obrigaes para o prestador de servios:
??
obedecer as boas prticas de negcio, reportar os incidentes e fornecer relatrios peridicos sobre a atividade de desenvolvimento; manter a confidencialidade/integridade da informao obtida na execuo do trabalho, limitando o acesso a usurios no autorizados; manter a continuidade dos negcios no caso de um incidente/desastre; aplicar controles de segurana, assegurando o cumprimento dos requisitos legais, incluindo a privacidade dos dados; permitir que suas atividade sejam auditadas; e estabelecer um critrio de compensao se os objetivos do servio no forem atendidos.
??
?? ??
?? ??
e. Resposta incidentes Segundo o gerente de segurana da informao, a VISANET possui uma poltica relacionada ao Plano de Contingncia contendo:
?? ?? ??
os propsitos do Plano de Contingncia; situaes em que o Plano de Contingncia dever ser utilizado ; as aes a serem tomados imediatamente aps a ocorrncia de um sinistro; os procedimentos detalhados a serem seguidos em caso de emergncia; as atribuies de todos os envolvidos na recuperao do ambiente; listas de contatos, mapas da rede, diagramas e outras informaes que auxiliem no processo de recuperao do ambiente de tecnologia; aes/listas de servio a serem recuperados em ordem de prioridade; e controles de segurana a serem adotados durante a recuperao.
?? ?? ??
?? ??
Pg.154
4.2.3. Gerenciamento de Identidades
a. Administrao de usurios e workflow Conforme entrevista com a rea de segurana, a VISANET definiu um processo nico de concesso de acesso a todas as plataformas e sistemas. Esse processo suportado por um sistema de workflow, o qual permite garantir a autenticidade do solicitante e do aprovador, bem como otimizar todo o processo de concesso de acesso. A solicitao de acesso iniciada pela rea de Desenvolvimento Organizacional, no momento da contratao, a qual indicar que o cargo do funcionrio na VISANET, permitindo a partir da os sistemas identifiquem os privilgios mnimos necessrios que o funcionrio poder receber. Desta maneira, a VISANET possui um mapeamento de todos os privilgios existentes, de acordo com o cargo do funcionrio e/ou prestador de servio. Segundo o gerente da rea, os principais benefcios decorrentes da adoo da estratgia de Gerenciamento de Identidades so:
?? ??
Reduo no prazo para concesso de acesso; Reduo do custo do processo em funo da centralizao da administrao dos usurios; Aumento da aderncia a Poltica de Segurana da Informao da companhia; Permite um processo contnuo de auditoria das regras de negcio adotadas para concesso de acesso; Permite a revogao imediata do acesso do funcionrio em todos os sistemas que o mesmo acessava; e Adoo de um repositrio nico utilizado por toda a corporao.
??
??
??
??
Pg.155
b. Gerncia de permisses Segundo o gerente de segurana da informao, a VISANET adota o princpio do mnimo privilgio no qual realizada a concesso a seus funcionrios somente os privilgios necessrios para a execuo de suas tarefas. A adoo do menor privilgio no impede que alguns funcionrios tenham privilgios significativos, desde que suas funes justifiquem a necessidade dos mesmos. A adoo desse critrio reduz o nmero de perdas resultantes de acidentes, erros ou uso no autorizado do sistema. c. Estrutura de Diretrio Segundo o gerente de segurana da informao, apesar dos servios de diretrios poderem fornecer uma soluo adequada de aplicao da poltica de segurana, para que seja completamente efetiva, esta precisa estar alinhada com polticas de segurana corporativa, normas e procedimento da VISANET. Devido a este fato, a implementao da estrutura de diretrios para rede corporativa na VISANET ainda est sendo elaborada, principalmente porque as polticas necessitam detalhar e complementar os processos de autenticao, controle de acesso, encriptao e trilhas de auditoria. d. Criptografia De acordo com a entrevista com o gerente de segurana da informao, a VISANET possui os seguintes aspectos para a implementao do ciclo de vida do produto criptografado:
??
Hardware/firmware (ex.: novas capacidades, expanso do sistema para acomodar mais usurios, substituio de equipamentos fora de funcionamento, mudana de plataforma e atualizao de componentes de hardware; Manuteno/atualizao de software (ex.: novas capacidades, arrumando erros, melhorando a performance e substituio de chaves);
??
Pg.156
??
Manuteno da aplicao (ex.: mudana de funo e responsabilidades, atualizaes remotas, atualizao de senhas e excluso de usurios da lista de acessos); Manuteno das chaves (ex.: arquivamento, destruio e a mudana de chaves); e Manuteno das permisses de acesso.
??
??
Alm disto, segundo ele, os testes de certificao so realizados por uma rea da organizao que no seja o desenvolvedor dentro da organizao. Isto se torna necessrio para assegurar independncia e objetividade no teste. Os testes de certificao so feitos por meio de vrios padres e requisitos particulares da VISANET. A VISANET avalia a utilizao de solues criptogrficas no ambiente como um todo a fim de proteger as informaes e passar a utilizar servios de segurana, como assinaturas eletrnicas.
e. Autenticao Forte Segundo entrevista com o gerente de segurana tecnolgica, a poltica de senhas utilizada pela VISANET considera os seguintes aspectos:
?? ?? ??
critrios de formao da senha de acesso, adoo de senhas segura; troca no primeiro acesso; perodo de expirao: os sistemas utilizados devem estar preparados para efetuar a expirao de senhas; configurao do histrico da senha, no permitindo a reutilizao das mesmas; cuidados a serem adotados com a senha: no anotar a senha em papel, no compartilhar senhas com outros funcionrios, no enviar senhas no formato clear-text; no insero de senhas nos cdigos-fonte e macros; procedimentos a serem seguidos no caso do bloqueio do usurio;
??
??
?? ??
Pg.157
??
no armazenamento de senhas no formato clear-text impressas ou em arquivos eletrnicos; adoo de senhas de difcil inferncia; alterao da senha padro dos aplicativos; descaracterizao das senhas exibidas em monitores e documentos impressos; e no devem ser adotadas senhas de conhecimento genrico.
?? ?? ??
??
Alm disto, so complementadas atravs das seguintes diretrizes no tratamento das senhas:
?? ??
estabelecer uma poltica de controle de acesso; criptografar as senhas durante a transmisso e armazenamento, visto que a rede est suscetvel a ataques como sniffing e hijacking; utilizar aplicaes disponveis para testar a validao das senhas dos usurios (senhas fracas e fortes); desabilitar as contas e senhas inativas por um determinado perodo de tempo; instruir os funcionrios sobre a possibilidade de sua senha ser espiada por outros funcionrios; utilizar mecanismos para reduzir o nmero de tentativas invlidas de logon sem sucesso; e auxiliar os usurios a descobrir se sua senha foi ilicitamente obtida, exibindo a data e hora do ltimo logon com sucesso cada vez que o usurio efetuar sua autenticao. Os usurios devem ser conscientizados sobre a necessidade de observarem a data e a hora e reportarem qualquer anomalia.
??
??
??
??
??
Segundo o gerente de segurana da informao, por um lado existem diversas vantagens do sistema de SSO, incluindo convenincia, administrao centralizada, auditoria, alarmes, logon remoto, e proteo das senhas; mas por outro, a tecnologia SSO considerada um single point of failure. Tanto para solues tecnolgicas de sistema de SSO, quanto para as solues tecnolgicas para biometria, a VISANET ainda est estudando pesquisando estratgias e formas de implementao.
Pg.158
f. Integrao dos sistemas legados Segundo entrevista com o gerente de segurana da informao, a VISANET implementa projetos para integrao da alta e baixa plataforma de modo que tal medida proporcione a integrao das aplicaes, dados e redes atualmente implementadas na VISANET, preservando assim os investimentos realizados na infra-estrutura lgica. Alm disso, essa integrao facilita o gerenciamento, a administrao, autenticao e controles s requisies provindas de ambas plataformas.
5 Discusso dos Resultados
Pg.159
5. Discusso dos Resultados

Com o objetivo de estudar e analisar o intento estratgico da VISANET, a partir das entrevistas realizadas, elaborou-se o seguinte modelo baseado nas cinco foras de PORTER (1986) para anlise estrutural da industria de carto de crdito.
Figura 38: Modelo de foras de Porter aplicado a VISANET (elaborado pelo autor)
??
Compradores: bancos emissores e estabelecimentos comerciais. Segundo o presidente, existe uma presso forte por preos pelos estabelecimentos comerciais. Concorrentes: concorrentes diretos da VISANET so: REDECARD e AMEX. Existem os cartes Private Label (emitidos pelos hipermercados, postos de gasolina, dentre outros), mas segundo o presidente da VISANET, no foi realizada nenhuma ao para conter a proliferao desse tipo carto. No ano de 2000, a REDECARD procurou aumentar sua base de cartes emitidos, conseguindo um volume quase que equiparado ao nmero de cartes emitidos pela VISA. No segmento de crdito, o market share da VISANET atinge a marca de 47,4%. No segmento de dbito, a participao da VISANET
??
Pg.160
alcana 60%. A diferena do alcance maior da VISANET est diretamente relacionado a rede de agncias de seus acionistas. Entre os concorrentes diretos no existe briga de preos, pois o componente de custos destas empresas praticamente igual.
??
Fornecedores: EDS, PROCEDA, INTERCHANGE, etc. Como descrito no captulo anterior, os fornecedores possuem um forte comprometimento com a VISANET, e possuem uma relao de parceria de ganha-ganha desde o incio das operaes. Novos entrantes: talvez empresas de telefonia e empresas emissoras de ticket. Segundo um alto executivo da empresa, a VISANET no enfrenta grandes problemas em relao a novos entrantes. Substitutos: dinheiro, cheque e traveller cheque. Deles o cheque no Brasil possui a caracterstica de pr-datado, no qual concorre, diretamente com o carto de crdito.
??
??
Alm disto, foi elaborada a matriz SWOT a partir das observaes realizadas atravs das vrias entrevistas com os executivos da VISANET:
Figura 39: Matriz SWOT (elaborado pelo autor)
Pg.161
E tambm a cadeia de valor de PORTER (1990) para a VISANET:
Figura 40: Cadeia de valor de Porter aplicada a VISANET (elaborado pelo autor)
Segundo pode-se observar em entrevista com os principais executivos da VISANET, que o carto de dbito est cada vez mais em expanso pois toda a potencialidade do mercado ainda no foi explorada. A tendncia que o meio de pagamento eletrnico substitua cada vez mais o volume de pagamentos em dinheiro e cheque. Nos ltimos anos est ocorrendo uma reduo entre o nmero de cheques compensados e um aumento do nmero de transaes realizadas com carto de dbito. Entretanto, existem algumas caractersticas dos cheques que ainda no podem ser substitudas pelos cartes de dbito, pois alguns estabelecimentos utilizam os cheques como forma de pagamento aos seus fornecedores sem que haja o depsito em suas contas correntes e conseqentemente o pagamento de impostos como CPMF e IR. Nesse aspecto, no interessante para alguns estabelecimentos comerciais, a aceitao de carto de dbito em substituio aos cheques emitidos por seus clientes. Sob o aspecto legal, foram analisadas tambm os principais regulamentos que impactaram as atividades da Visanet:
Pg.162
??
Implantao do SPB: A implantao do Sistema de Pagamentos Brasileiro foi encarado como uma oportunidade para a VISANET, pois a tendncia que sejam utilizados cada vez mais meios eletrnicos de pagamento. Lei Federal 9.532, de 10 de dezembro de 1997 que trata sobre a obrigatoriedade do uso de Emissor de Cupom Fiscal: "Art. 33 - A emisso do comprovante de pagamento relativo a operao ou prestao efetuada por carto de crdito ou dbito automtico em conta corrente, por contribuinte obrigado ao uso de equipamento emissor de cupom fiscal (ECF),ser efetuada, somente, por meio de equipamento emissor de cupom fiscal (ECF) e o comprovante dever: I estar vinculado ao documento fiscal referente operao ou prestao; II ser arquivado e conservado, nos termos do art. 193 do Regulamento do ICMS, aprovado pelo Decreto n 33.118, de 14 de maro de 1991.". (Portaria CAT-55/98 Fonte: VISANET)
??
??
As transaes com carto de crdito passaram a ser consideradas transaes em moedas e qualquer crime envolvendo cartes de crdito passou a se enquadrar na legislao de crime financeiro. No entanto, no existem regulamentos especficos para o segmento de cartes de crdito, o que de certa forma acaba por prejudicar o segmento. Por exemplo, em situaes de fraude dificilmente o fraudador punido.
Pode-se observar atravs desta pesquisa que a VISANET se encontra em um estgio avanado no que diz respeito a segurana da informao. possvel afirmar que os modelos apresentados na fundamentao terica esto quase que completamente cobertos pelas atividades e funes da rea de segurana da informao da VISANET. Este estgio avanado condiz com a natureza do negcio da indstria de cartes de crdito, onde a proteo s informaes so fundamentais tanto para as operaes quanto para a imagem da empresa. Pode-se concluir que a empresa se encontra neste estgio de segurana devido, em grande parte, ao comprometimento da alta direo da empresa em relao segurana da informao. Isto comprova a afirmao de BYRNES (2001), que a estruturao da segurana da informao deve ter a participao ativa dos principais executivos da empresa.
Pg.163
De forma surpreendente, a gesto da segurana da informao na VISANET pode ser caracterizada como centralizada sob os aspectos de gesto. E no entanto, sob a ptica de implementao e execuo pode-se dizer que ela distribuda. Pois, de acordo com as necessidades e conhecimentos especficos a implementao dos controles de segurana de cada assunto, a rea de gerenciamento de segurana da informao envolve e aciona as reas especficas e detentoras dos conhecimentos necessrios. Outra descoberta interessante, a estruturao da rea de segurana de informao subordinada a uma diretoria exclusiva para o gerenciamento do risco. Esta estruturao vai segue a proposta de ROSS e WEILL (2002) mas contrariam a proposta de BYRNES (2001) que sugere a rea de segurana subordinada a rea de tecnologia de informao. Esta estruturao permite maior independncia de atuao e cobrana das questes de segurana da informao nas demais reas da empresa. Em termos das polticas e normas de segurana observamos na VISANET foi um dos primeiros assuntos a serem implementados em termos de segurana da informao, pois provm tanto o direcionamento necessrio para organizao, quanto o incio de conscientizao sobre o assunto. Pode-se observar na prtica que a segurana de informao necessita de processos bem definidos e formalizados, conforme prope VALLABHANENI (2002). Alm disto, os processos de segurana encontrados seguiam uma rgida aderncia e alinhamento com os processos de negcio da organizao, indo de encontro totalmente com a afirmao que a segurana da informao deve ser um processo de negcio, de NAKAMURA (2002). Foi observado que apesar de bem segregada, a rea de Segurana da Informao avalia periodicamente a inexistncia de segregao de funes nas reas crticas. Pode-se observar tambm que, a rea de segurana da informao assegura a existncia de procedimentos e instrumentos que garantam o combate de vrus no ambiente tecnolgico da VISANET. Foi notado que, o processo de backup na VISANET automatizado, minimizando dessa forma erros decorrentes de interveno humana. A
Pg.164
periodicidade de gerao dos arquivos de backup varia de acordo com o arquivo. A estratgia de backup da VISANET antecipa a possibilidade de falhas em cada passo do ciclo de processamento, ou seja, os backups permitem a recuperao da informao antes da alterao ter sido gerada. Observa-se que periodicamente a VISANET efetua visitas nos prestadores de servio onde esto alocados os equipamentos para que seja feita uma verificao amostral da existncia dos mesmos. De posse do inventrio realizado inicialmente, e do volume de instalaes realizadas, a VISANET tem de identificar o extravio de equipamentos, e de solicitar o ressarcimento por parte das empresas de manuteno se identificados problemas dessa natureza. Foi descoberto que na documentao dos processos, so mencionados os controles de segurana adotados em cada uma das fases do processo. Esses controles so revisados pela rea de Segurana da Informao da VISANET. Periodicamente, so realizadas revises independentes para avaliar se os procedimentos esto sendo seguidos corretamente na prtica, e se os controles esto sendo observados. Contata-se que, o armazenamento das mdias na VISANET feito de forma organizada, utilizando etiquetas nas fitas e cartuchos para identificao dos mesmos. O armazenamento de mdia magntica feito em local limpo nos data centers das empresas parceiras: EDS e PROCEDA. Alm de armazenar as mdias apropriadamente, a VISANET tem a preocupao de remover os dados da mdia quando no for mais necessrio utiliz-las, pois conforme VALLABHANENI (2002), apagar indevidamente os dados pode deixar resduos fsicos que possibilitam a reconstituio dos dados. Foi constatado que a avaliao das trilhas de auditoria geradas pelo sistema so realizadas periodicamente na VISANET. A freqncia dessas revises depende dos riscos envolvidos. Os seguintes riscos so considerados:
?? ?? ??
a criticalidade do processo realizado pela aplicao; valor, a sensibilidade ou criticalidade da informao envolvida; e a quantidade de interconexes, principalmente com a redes pblicas de comunicao.
Pg.165
Pode-se notar que os sistemas de maior risco como: os que permitem alterao do domiclio bancrio, acesso a nmeros de carto de crdito, cancelamentos de transaes e a realizao de ajustes, so monitorados constantemente e possuem trilhas de auditoria com um nvel satisfatrio de informaes. Isto atende as proposies de KRUTZ e VINES (2001). Outra constatao surpreendente, foi encontrar um processo bem definido para anlise de risco especfico em segurana da informao. A empresa possua um processo de avaliao no qual so analisados os processos mais crticos da organizao, seguindo as recomendaes de VAUGHAN (1997), e classificados de forma, qualitativa segundo proposto por VALLABHANENI (2002). Esta anlise, apesar de menos sofisticada que as demais, permite maior agilidade na identificao e priorizao dos risco de segurana da informao. Tambm foi possvel constatar que a avaliao dos riscos dos processos crticos de negcio, que assegurassem os princpios de a integridade, a disponibilidade e a confidencialidade de cada um deles, como recomendado por PELTIER (2001). Seguindo tambm a proposta de ALBERTS (2002), todos os processos da VISANET so implementados controles diretivos, preventivos, detectivos, corretivos e de recuperao para proteger contra os riscos associados. Foi constatado que a VISANET assegura o controle rgido quanto a instalao de modems em ambas as rede tecnolgicas dela. Isto fundamental e est de acordo com as recomendaes de VALLABHANINI (2002). Observa-se que a VISANET possui polticas rgidas para os seus firewalls, as quais so baseadas no resultado das anlises de risco. Estas polticas so sempre atualizadas a fim de garantirem proteo aos novos ataques ou novas vulnerabilidades identificadas. Como cita MCCLURE (2000), todas as polticas de firewall devem ser verificadas pelo menos com uma periodicidade trimestral. Nota-se que a VISANET, no que diz respeito aos requisitos tecnolgicos de LAN e computao remota implementam solues satisfatrias e no as mais avanadas, que preservem a segurana das informaes transmitidas em um nvel necessrio, e ao mesmo tempo, realizando uma boa relao custo-benefcio sobre o assunto. A segurana destes itens vai de acordo com as recomendaes de NAKAMURA (2002).
Pg.166
Pode-se perceber que a VISANET antecipa-se tanto nas questes de segurana na aplicao de novas tecnologias, como por exemplo o wireless, quanto nas questes de processos e procedimentos, como nos controles sobre o uso da Internet na organizao. Esta atividade pr-ativa pode-se perceber na expectativa de uma implementao de uma metodologia de codificao segura a ser disponibilizada nos diversos projetos de desenvolvimento internos e tambm como referencial para os acordos de nvel de servio em projetos de desenvolvimento efetuados por terceiros que sero disponibilizados na intranet. Devido ao fato de ser uma tecnologia utilizada h mais tempo, o emprego de VPN e suas melhores prticas descritas por VALLABHANENI (2002) j prtica no mercado, e portanto, no foi constatado nada surpreendente sobre o assunto na VISANET. Em relao a segurana do correio eletrnico, foi contatado que a rea de segurana da informao mantm um controle restrito na: implementao de uma soluo de assinatura digital no seu ambiente computacional; nos servidores de e-mail, para que sejam revisados quanto as regras de filtro de segurana e bloqueio contra spam; e a implementao de uma poltica de Privacidade no ambiente computacional. Contatou-se que atravs de IDS a VISANET est apta a prevenir, detectar, corrigir e reportar intruso ocorridas em seu sistemas e na rede. Contata-se que a segurana fsica da VISANET implementada por diversos recursos avanados. Cmeras monitoram os principais pontos de acessos e so definidas rotinas especficas para periodicamente serem testados os dispositivos de deteco de incndio, umidade, intruso, com o propsito de assegurar que eles esto realmente funcionando. Constata-se ainda que a rea de Segurana da Informao instrui todos os funcionrios e prestadores de servio com relao aos cuidados a serem adotados com os notebooks, incluindo armazenamento fora de expediente e a utilizao de trava durante as ausncias. Foi possvel constatar a criticalidade da segurana da informao nos processos de desenvolvimento, atravs da anlise das medidas adotadas pela VISANET:
Pg.167
??
as reas de desenvolvimento e manuteno de sistemas possuam e utilizem ambientes segregados para as atividades de desenvolvimento, teste e homologao. as reas de desenvolvimento e manuteno de sistemas possuam procedimentos para homologao dos aplicativos a serem colocados no ambiente de produo. existam recursos possibilitando a identificao das alteraes realizadas no cdigo fonte dos executveis do ambiente de produo. as equipes de desenvolvimento possuam diretrizes para codificao segura todos os acessos dos desenvolvedores ao ambiente de produo foram removidos. as reas de desenvolvimento utilizem sistemas de controle de verso para os aplicativos migrados para o ambiente de produo as reas de desenvolvimento utilizem sistemas automatizados para o controle da documentao gerada.
??
??
??
??
??
??
Pode-se constatar a importncia do plano de contingncia, ao observar que a VISANET executa periodicamente testes no seu Plano de Contingncia, a fim de verificar a eficincia do plano quanto retomada das funes crticas de negcio, aps haver uma ruptura na continuidade das mesmas, bem como a atuao dos responsveis pela recuperao dos recursos. So documentados tambm os testes realizados com o Plano de Contingncia e atualizados, com as alteraes necessrias detectadas aps a realizao do teste. Constata-se que apesar de no automatizado totalmente, a rea de Segurana da Informao j definiu o critrio a ser adotado para concesso de acesso ao funcionrio e/ou prestador de servio. A estratgia de Gerenciamento de Identidades consiste em possuir um repositrio nico, o qual contm todos os userids dos funcionrios e as informaes que possibilitam sua identificao, sendo as informaes deste repositrio replicada para as ACLs dos demais aplicativos, de acordo com o perfil do funcionrio. A remoo dos acessos tambm feita por intermdio desse repositrio, dessa forma medida que a base replicada e sincronizada com os demais aplicativos, a excluso do usurio automaticamente realizada. Pode-se
Pg.168
observar, conforme prope CLARK (2003), que para viabilizao do Gerenciamento de Identidades a VISANET dever:
?? ?? ??
remodelar o processo de concesso e remoo de acesso; adotar uma soluo de workflow ; mapear os perfis de acesso existentes de acordo com a funo que o funcionrio executa; e adotar um estrutura de diretrios.
??
Em relao a estrutura de diretrios constata-se que a extensa utilizao de computao distribuda tem aumentado o desenvolvimento de diretrios distribudos, os quais permitem sub-conjuntos de um diretrio lgico a ser distribudo onde eles forem mais funcionais dentro da empresa. Metadiretrios, que compreende mltiplos diretrios, oferece uma viso nica atravs da empresa e auxilia na conexo de mltiplos sistemas para melhor controle e gerenciamento. Tambm foi constatado que a deciso pela utilizao de uma soluo de criptografia deve estar baseada em uma anlise de risco efetuada pelo respectivo proprietrio do sistema onde seja considerado o prejuzo financeiro e de imagem acarretado pela perda da confidencialidade e/ou integridade de uma determinada informao, versus o custo de se implementar uma soluo de criptografia. Foi constatado que rea tecnologia avalia a forma como est implementada a integrao entre ambas as plataformas,a fim de verificar a possibilidade de aprimorar o trfego de informaes entre estas, evitando dessa forma que haja a gravao e o transporte de mdias entre localidades distintas. Constatou-se que muitas so as mudanas tecnolgicas sendo implementadas constantemente neste tipo de negcio, e associados a eles observa-se, a ocorrncia de tanto riscos dinmicos quanto estticos VAUGHAN (1996). No entanto, as implementaes e operaes de solues de segurana da informao encontradas, ficam facilmente de serem geridas quando existe uma forte gesto centralizada de segurana de informao dando todo o suporte e
Pg.169
ateno por trs. Isto foi constatado quando comparamos o modelo proposto na fundamentao terica e as devidas implementaes realizadas pela VISANET.
Figura 41: Aderncia da VISANET ao modelo de gesto (elaborado pelo autor)
Classificando de forma qualitativa, as cores9 representam o estgio de maturidade das solues de segurana no determinado assunto. Conforme j comentamos as questes referentes ao alinhamento estratgico de segurana da informao esto muito bem estruturadas e portanto esto em verde. Pode-se notar, que as questes mais primordiais voltadas as questes tcnicas da segurana da informao esto plenamente atendidas. Novos desafios voltados ao gerenciamento de identidades, esto ainda em um estgio mais inicial, mas possuem o devido direcionamento necessrio, sendo portanto, uma questo de tempo de implementao.
Legenda: Vermelho: com problemas Amarelo: requer ateno Verde: em conformidade
6 - Concluso
Pg.170
6. Concluso
A informao um fator crtico para os processos de negcios de uma empresa. A indisponibilidade, quebra de confidencialidade, e perda de integridade dessas informaes podem acarretar prejuzos enormes e, dependendo do tipo do negcio, podem tirar a empresa do mercado. Assim, a empresa necessita de uma gesto de segurana da informao para proteger suas informaes, que so manipuladas, armazenadas e processadas no ambiente computacional.
6.1. Concluses
Este trabalho investigou, utilizando a metodologia do estudo de caso, como uma empresa da indstria de carto de crdito construiu uma infraestrutura de gesto de risco em segurana de informao no s no mbito tecnolgico, mas tambm, no operacional e no mercadolgico, estabelecendo uma relao transparente s demais reas internas da organizao, aos clientes e a todo o mercado. O estudo de caso analisou o intento estratgico da VISANET e seus principais objetivos de negcio. Foi analisado a relao entre os principais processos de negcio e os quesitos de segurana da informao situao da empresa. Atravs do estudo, foi possvel observar a relao entre as implicaes de negcio com os requisitos de segurana. Foram comparados os resultados do estudo de caso com o modelo de gesto da segurana da informao proposto na fundamentao terica. Foi possvel concluir que, a gesto da segurana da informao na VISANET fora estruturada de forma totalmente aderente e especfico ao seu negcio, atendendo totalmente o objetivo deste trabalho.
6 - Concluso
Pg.171
De forma surpreendente, observou-se que o modelo de gesto de risco em segurana da informao apresentado, apesar de ilustrativo e simples, muito abrangente e contempla todos os componentes necessrios para uma empresa estruturar e gerenciar suas questes relativas a segurana da informao. Este modelo, atravs deste trabalho foi elogiado pela rea de segurana da VISANET por apresentar tais caractersticas.
Figura 42: Modelo de gesto de risco em segurana da informao (elaborado pelo autor)
Pode-se observar, atravs deste modelo, que a gesto da segurana da informao, no s deve considerar as questes de gesto interna e formas de implementaes tecnolgicas, mas tambm questes externas ao foco de rea (ou no modelo: as reas de interesse: alinhamento estratgico, segurana das operaes e gerenciamento de identidades), como questes de negcio (criao do valor e gesto dos custos) e mercadolgicos (administrao das expectativas dos principais interessados, ou stakeholders: acionistas, clientes, investidores, fornecedores, etc).
6 - Concluso
Pg.172
Este trabalho foi satisfatrio e conclusivo, uma vez que respondeu aos objetivos e questes propostos no incio. A execuo desta pesquisa demonstrou que as hipteses H1 e H2 foram aceitas, ou seja que, a VISANET, empresa pertencente a indstria de carto de crdito trata a gesto da segurana da informao de forma centralizada e especializada; e que a esta empresa executa uma anlise de risco para a gesto da segurana da informao aderente e especfico ao seu negcio. Adicionalmente, foi constatado que a gesto de risco da segurana de informao sendo tratada centralizadamente, permite que no s as eventuais discusses tcnicas quanto a aplicao das solues tecnolgicas, mas tambm os questionamentos em relao aos investimentos e implementaes de solues tecnolgicas em segurana da informao por parte da alta administrao e o resto da empresas, sejam evitadas atravs desta gesto centralizada e independente.
6.2. Limitaes
As limitaes deste trabalho so muitas, vista que o assunto muito complexo e pouco explorado. Uma das limitaes que merece destaque o fato do estudo de caso ser de caso nico, fazendo com que a anlise do caso se restringe apenas situao encontrada na VISANET, e portanto, no pode ser ampliada para as outras empresas e concorrentes da indstria de carto de crdito. O uso do caso nico inviabiliza uma generalizao estatstica das concluses. Outra limitao foi o vis de concentrao das informaes obtidas nas entrevistas com o pessoal da rea de segurana da informao. Este vis devido ao assunto especfico, uma vez que, ao tratarmos apenas dos questes referentes a segurana da informao, somente esta rea possua condies para respondelas. Para atenuar esta limitao, foi utilizado tambm como fonte de evidncias a observao pessoal e o exame de documentos e relatrios externos.
6 - Concluso
Pg.173
6.3. Sugestes para novas pesquisas

Este mercado de processamento de transaes de carto de crdito bastante restrito, devido em grande parte credibilidade associada a bandeira do carto. Portanto, a sugesto mais evidente para pesquisas futuras seria a elaborao de novos estudos de caso, abordando com maior profundidade o assunto, sobre as demais participantes da indstria de carto de crdito, que hoje seriam: a REDECARD, que processa as transaes do MASTERCARD e a AMEX, processadora da AMERICAN EXPRESS. Sugere-se ainda um estudo complementar, de modo a sintetizar as pesquisas sobre o tema de gesto de segurana da informao. Poderiam ser abordadas comparaes do modelo de gesto de segurana da informao: entre as empresas da indstria de carto de crdito no Brasil; entre as empresas da indstria de carto de crdito no Brasil em relao ao mundo; entre as empresas da indstria de carto de crdito em relao as demais indstrias no Brasil; e finalmente entre as indstrias no Brasil em relao ao mundo. Seria conveniente elaborao de novos estudos, para o desenvolvimento e aprimoramento do modelo de gesto de risco em segurana da informao. Tanto os modelos analisados, quanto o modelo proposto, precisam serem explorados e desenvolvidos. O entendimento ampliado dos componentes do modelo de gesto de segurana necessrio para o bem e sobrevivncia da organizao. Da mesmo forma, que na teoria de gerenciamento de risco, existem diversas metodologias e tcnicas, seria muito importante um estudo mais aprofundado destas aplicadas na avaliao de risco para a segurana da informao. Um tema interessante para uma trabalho seria a elaborao de uma metodologia para avaliao de risco em segurana da informao, desenvolvendo mtodos e modelos quantitativos e qualitativos. Por fim, esta metodologia em conjunto com um modelo de gesto poderia ser analisado e proposto a partir do ponto de vista dos prprios gestores de segurana da informao das empresas.
6 - Concluso
Pg.174
Finalmente seria bastante interessante e relevante a realizao de estudos visando a criao de cursos acadmicos multidisciplinares de formao em administrao de empresas, tecnolgica da informao, auditoria de sistemas e segurana da informao, de forma a preparar profissionais para exercer as funes de gerenciamento de risco em segurana da informao nas organizaes.
7 - Bibliografia
Pg.175
7. Bibliografia
1.
ABECS Associao Brasileira das Empresas de Carto de Crdito e Servios; Abecs Hoje. Disponvel em ABECS: < http://www.abecs.org.br /hoje.htm>; Acesso 10 de dezembro de 2002. ABU-MUSA, A.; Computer ccrimes: How can you protect your computerized accounting information system?; Journal of American Academy of Business, Cambridge, Hollywood, Sep, 2002, v.2-1, p.91-101; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. ABU-MUSA, A.; Security of computerized accounting information systems: A theoretical framework; Journal of Americam Academy of Business, Cambridge, Hollywood, Sep, 2002, v.2-1, p.150-155; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. ABU-MUSA, A.; Security of computerized accounting information systems: Na integrated evaluation approach; Journal of American Academy of Business, Cambridge, Hollywood, Sep, 2002, v.2-1, p.141-149; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. ALBERTIN, L. C.; Comrcio Eletrnico; Campus, 1999; ISBN 85-224-21390; p. 149-173. ALBERTS, C.; DOROFEE, A.; Managing Information Security Risks; Addison- Wesley, 2002; ISBN 0-321-11886-3; p.10-25; 81-113. ALVEY, J.; IT security: Who`s investing in what?; Public Utilities Fortnightly, Arlington, Jan, 2003, v. 141-1, p. 18-25; ISSN: 10785892; ; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. ANSTEAD, M.; Taking a tough line on privacy; Marketing, London, Apr, 2000, p. 31-34; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. ANTHES, G.; Autoimmune computer systems; Computerworld, Framingham, Dec, 2002, v. 36-50, p.38-40; ISSN: 00104841; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. ATKINSON, A.; BANKER, R.; KAPLAN, R.; YOUNG, M.; Contabilidade Gerencial. Atlas, 1999; ISBN 85-224-2350-4; p. 33-64.
2.
3.
4.
5. 6. 7.
8.
9.
10.
7 - Bibliografia
Pg.176
11. 12.
BEHAN, K. ; HOLMES, D.; Understanding Information Technology Text, Readings, and Cases; Prentice Hall, 1990 Second Edition; p. 237-242. BENITEZ, T.; Keeping watch; Incentive, New York, Dec, 2002, v.176-12, p. 10-11; ISSN: 10425195; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. BRADFORD, M.; Employee dishonesty risk requires careful approach; Business Insurance, Chicago, Apr, 2002, v.36-16, p.12-14; ISSN: 00076864; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. BRADNER, S.; What fools these mortals be; Network World, Framingham, Dec, 2002, v. 19-49, p. 32-33; ISSN: 08877661; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. BRAITHWAITE, T.; Securing E-Business Systems; John Wiley and Sons, 2002; ISBN 0-471-07298-2; p. 109-145. BREIDENBACH, S.; How secure are you?; Informationweek, Manhasset, Aug, 2000, i. 800, p.71-78; ISSN: 87506874; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. BREIDENBACH, S.; The policy for protection; Network World, Framingham, Oct, 2000, v.17-43, p.79-80; ISSN: 08877661; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. BOYD, H.; WESTFALL,R.; Pesquisa Mercadolgica Textos e Casos; 6a Edio, Rio de Janeiro; Editora Getlio Vargas. BOYTON, W.; KELL, W.; Modern Audintig; John Wiley & Sons, 1996; ISBN 0-13-26849-5; p. 29-43. BROWN, J.; Instant messaging hidden threats; Computing Canada, Willowdale, Sep, 2002, v.28-18, p. 6-7; ISSN: 03190161; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. BYRNES, C.; KUTINICK, D.; Securing Business Information; AddisonWesley, 2001; ISBN 0-201-76735-X; p. 7-15. CARDNEWS; Evoluo do Mercado; Revista CardNews, Novembro de 2001; p. 49. CASTELLUCCIO, M.; Social engineering 101; Strategic Finance, Montvale, Dec, 2002, v. 84-6, p. 57-58; ISSN: 1524833X; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>.
13.
14.
15. 16.
17.
18. 19. 20.
21. 22. 23.
7 - Bibliografia
Pg.177
24. 25.
CHELBA, M.; Marketing Digital; Editora Futura, 1999; ISBN 85-7413014-X; p. 59-78. CHOI, C.; Keyboard cops; Scientific American, New York, Dec, 2002, v. 287-6, p. 36; ISSN: 00368733; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. CHIDI, G.; Cybercrime plan; CIO, Framingham, Mar, 2001, v.14-0, p.72; ISSN: 08949301; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. CLARK, D.; Enterprise Security; Addison- Wesley, 2003; ISBN 0-20171972-X; p. 147-154. COBIT ; Governance, Control and Audit for Information and Related Technology Framework, July 2000, 3rd Edition; ISBN 1-893209-14-8; p. 13-15. CONNOLLY, P.; The enemy within; InfoWorld, San Mateo, Nov, 2002, v. 24-45, p. 26-27; ISSN: 01996649; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. CORBITT, T.; Preventing fraud; Management Services, Enfield, Dec, 2002, v.46-12, p.20-23; ISSN: 03076768; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. CORRAL, C.; On-line security, payment services aid e-tailers stung by fraud; Discount Store News, New York, Apr, 1999, v.38-8, p.20-25; ISSN: 00123587; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. COSO; Committee os Sponsoring Organizations of Treadway Commission; Internal Control, Integrated Framework, July 1994 Edition. CROWELL, W.; Trust, the e-commerce difference; Credit Card Management, New York, Aug, 2001, v.14-5, p.80-82; ISSN: 08969329; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. CULP, C.; The ART of Risk Management Alternative Risk Transfer; John Wiley & Sons, 2002; ISBN 0-471-12495-8; p. 199-217 CUMMINGS, J.; From intrusion detection to intrusion prevention; Network World, Framingham, Sep, 2002, v.19-38, p. 72-80; ISSN: 08877661; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>.
26.
27. 28.
29.
30.
31.
32. 33.
34. 35.
7 - Bibliografia
Pg.178
36.
CUMMINGS, J.; The people side of prevention; Network World, Framingham, Sep, 2002, v.19-38, p.76-77; ISSN: 08877661; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. DAVENPORT, T.; BECK, J.; The Attention Economy; Havard Business School Press, 2001; ISBN 1-57851-441-X; p.84-85. DAVIS, J.; Consumer fears of online buying may be abated with mew payment option; Infoworld, Framingham, Oct, 2000, v. 22-43, p. 102-103; ISSN: 01996649; ; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. D`AMICO, E.; Cyber crime is on the rise, but let`s keep it quiet; Chemical Week, New York, Sep, 2002, v.164-38, p.25-27; ISSN: 0009272X; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. D`AMICO, E.; Industry praises law that shields data disclosure; Chemical Week, New York, Jan, 2003, v.165-1, p.31-32; ISSN: 0009272X; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. DANDREA, E.; Colaboradores; Segurana em Banco Eletrnico. PricewaterhouseCoppers; 2000; DEMARIA, M.; Gone in 60 seconds; Network Computing, Manhasset, Sep, 2002, v.13-20, p.77-90; ISSN: 10464468; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. DINIZ, D.; O plstico avana; Revista Exame; Finanas; 15/07/2002; Disponvel em Portal Exame: <http://portalexame.abril.uol.com.br/ pgMain.jhtml?ch=ch08&sc=sc0801&pg=pgart_0801_2.> ; Acesso 29 de julho de 2002. DOHERTY, S.; Wanna buy the Brooklyn Bridge?; Network Computing, Manhasset, Dec, 2002, v.13-25, p.16-18; ISSN: 10464468; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. DOWD, K.; Beyond Value at Risk: the new science of risk management; John Wiley & Sons, 1998; ISBN 0-471-97622-9; p. 3-5. DYKSTRA, G.; Where is DRM headed now?; Information Today, Medford, Nov, 2002, v.19-10, p.29-30; ISSN: 87556286; cesso via Proquest Direct: <http://proquest.umi.com/pqdweb>.
37. 38.
39.
40.
41. 42.
43.
44.
45. 46.
7 - Bibliografia
Pg.179
47.
ECONOMIST; Leaders: How to worry wisely; Digital security; The Economist, London, Oct, 2002, v.365-8296, p.13-16; ISSN: 00130613; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. ECONOMIST; Science and Technology: Throttled at birth; Computer viruses; The Economist, London, Nov, 2002, v. 365-8300, p. 74-75; ISSN: 00130613; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. FERELLI, M.; Storage vulnerability; Computer Technology Review, Los Angeles, Oct, 2002, v.22-10, p.12-14; ISSN: 02789647; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. FERREIRA, A. B. H.; Novo Aurlio O dicionrio da Lngua Portuguesa; Nova Fronteira, 1999, 3a ed.; ISBN 85-209-1010-6; p. 1772. FONSECA, B.; Security outfits fortify defenses; InfoWorld, San Mateo, Nov, 2002, v. 24-45, p. 1-14; ISSN: 01996649; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. FONTES, E.; Vivendo a segurana da informao; Sicurezza Editora, 2000; ISBN 85-87297; p. 73-75. FRIEL, B.; NASA-Wide security vulnerability remediation program; Government Executive, Wasshington, Nov, 2002, v.34-15, p. 42-43; ISSN: 00172626; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. GARFINKEL, S.; The FBI`s cyber-crime crackdown; Technology Review, Cambridge, Nov, 2002, v.105-9, p.66-74; ISSN: 1099274X; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. GITMAN, L. J.; Princpios de Administrao Financeira; Harbara Editora, 1997, 7a ed.; ISBN 85-294-0060-7; p.17. GREENSTEIN, M. ; FEINMAN, T.; Security, Risk Management and Control; McGraw-Hill Higher Education, 2000; ISBN 0-07-229289-X; p.171-188. GUERRY, B.; Access denied! Protecting community bank networks; ABA Bank Compliance, washington, Jan, 3003, v. 24-1, p. 4-11; ISSN: 08870187. Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>.
48.
49.
50. 51.
52. 53.
54.
55. 56.
57.
7 - Bibliografia
Pg.180
58.
HULME, G.; Guarding against threats from within ; Information Week, Manhasset, Dec, 2002, i. 920, p. 20-22; ISSN: 87506870; ; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. HUNPHREYS,E.; MOSES, R.; PLATE, A.; Guide to Risk Assessment and Risk Management; British Standards, 1998; ISBN 0-580-29551-6; p. 9-21. JOHNSON, M.; CyberWhoCares? IT should!; Computerworld, Framingham, Dec, 2002, v.36-49, p. 24-25; ISSN: 00104841; ; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. KALAKOTA, R.; OLIVA, R. A.; DONATH, B.; Move over, e-commerce; Marketing Management, Chicago, v. 8-3, p. 22-33, 1999. ISSN: 10613846. Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb> KALAKOTA, R.; ROBINSON, M.; E-Business Estratgia para alcanar o sucesso no mundo digital; Bookman, 2a Ed, 2002. ISBN 0-201-72165-1; KUMAR, V.; Digital leakage; The Internal Auditor, Altamonte Springs, Dec, 2002, v.59-6, p. 25-27; ISSN: 00205745; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. KANELLAKIS, K.; Blurring the line between work and home; Canadian HR Reporter, Toronto, Dec, 2002, v.15-21, p. G4-7; ISSN: 0838228X; ; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. KEEGAN, C.; Cyber-terrorism risk; Financial Executive, Morristown, Nov, 2002, v.18-8, p.35-37; ISSN: 08954186; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. KING, J. L.; Operational Risk: Measure and Modelling; John Wiley & Sons, 2001; ISBN 0-471-85209-0; p. 7-9, 53-63. KOLLER, G.; Risk Assessment and Decision Making in Business and Industry: a Practical Guide; CRC Press, 1999; ISBN 0-8493-026804; p. 1-2, 37. KREWSKI, D.; Risk Assesment and Risk Management: a survey of recent models; Risk assessment and management; Plenum Press, NY, 1987; ISBN 0306-42683-8; p. 399-406. KRAUSE, J.; Hack attack; ABA Journal, Chicago, Nov, 2002, v.88, p.50-55; ISSN: 07470088; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>.
59. 60.
61.
62. 63.
64.
65.
66. 67.
68.
69.
7 - Bibliografia
Pg.181
70.
KRUTZ, R.; VINES, R.; The CISSP Prep Guide: Mastering the Ten Domains of Computer Security; Wiley Press, 2001; ISBN 0-471-41356-9; p. 1-27, 215-245. LAUDON, K.; LAUDON, J. ; Management Information Systems; Prentice Hall 7th Edition, 2001; ISBN 0-13-033066-3; p. 432-451. LOEB, M., GORDON, L.; Return on infromation security investments: Myths vs. realities; Strategic Finance, Montvale, Nov, 2002, v.84-5, p.2631; ISSN: 1524833X; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. MACK, B.; Online privacy critical to research success; Marketing News, Chicago, Nov, 2002, v. 36-24, p. 21-23; ISSN: 00253790; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. MARLIN, S.; Public and private sectors ally to secure cyberspace; Bank Systems & Technology, New York, Nov, 2002, v.39-11, p.8-10; ISSN: 10459472; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. MARSHALL, C.; Medindo e Gerenciando Riscos Operacionais em Instituies Financeiras; Qualitymark Ed., 2002; ISBN 85-7303-357-6; p. 19-74. MASIE, E.; Byte wars; E Learning, Cleveland, Oct, 2002, v. 3-9, p.14-16; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. MCCLURE, S.; SCAMBRAY, J.; KURTZ, G.; Hackers Expostos. Makron Books, 2000; ISBN 85-346-1194-7. MCCOLLUM, T.; Security concerns prompt new initiatives; The Internal, Altamonte Springs, Oct, 2002, v.59-5, p.14-15; ISSN: 00205745; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. MCGEE, J.; PRUSAK, L.; Gerenciamento Estratgico da Informao; Editora Campus, 1994; ISBN 85-7001-924-6; p. 5, 23-24. MILONE, M.; Hacktivism: Securing the national infratructure; The Business Lawyer, Chicago, Nov, 2002, v.58-1, p.383-2002; ISSN: 00076899; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. MYCHALCZUK, M.; Drowning in data; Security Management, Arlington, Nov, 2002, v.46-11, p.70-74; ISSN: 01459406; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>.
71. 72.
73.
74.
75. 76. 77. 78.
79. 80.
81.
7 - Bibliografia
Pg.182
82. 83. 84. 85.
MUSASHI, M.; O livro de cinco anis; Ediouro Publicaes, 2002; ISBN 85-00-0719-2; p. 80. NAKAMURA, E. T.; GEUS, P. L.; Segurana de Redes em Ambientes Cooperativos; Berkeley Brasil, 2002; ISBN 85-7251-609-3; p. 28-29; 165-215. NBR ISO. IEC 17799 Tecnologia da Informao. Projeto 21:024.01010:2001 O`ROURKE, M.; Cyberattacks prompt response to security threat; Risk Management, New York, Jan, 2003, v. 50-1, p.8-9; ISSN: 00355593; ; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. PELTIER, T.; Information Security Risk Analysis; Auerbach, 2001; ISBN 08493-0880-1; p. 3-47. PERERA, R., CHIDI, G.; Web law blocks growth; InfoWorld, Framingham, Mar, 2001, v.23-10, p.36-37; ISSN: 01996649; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. PHIFER, L., PISCITELLO, D.; Best practices for securing enterprise networks; Business Communications Review, Hinsdale, Dec, 2002, v. 3212, p. 32-37; ISSN: 01623885; ; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. PIAZZA, P.; Bug hunters unite; Security Management, Arlington, Dec, 2002, v.46-12, p.28-31; ISSN: 01459406; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. PIAZZA, P.; Whos winning the cyberwars?; Security Managemen, Arlington, Dec, 2002, v. 46-12, p. 70-78; ISSN: 01459406; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. PLOTKIN, M., FAGAN, D.; Dont hack back; Security Management, Arlington, Nov, 2002, v.46-11, p.56-62; ISSN: 01459406; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. POPE, C.; Hack attacks; Professional Engineering, Bury St. Edmunds, Nov, 2002, v.15-21, p.24-25; ISSN: 09536639; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. PORTER, M.; Estratgia Competitiva; Editora Campus, 1986; ISBN 857001-377-X; p. 22-30, 113, 267.
86. 87.
88.
89.
90.
91.
92.
93.
7 - Bibliografia
Pg.183
94. 95. 96. 97. 98.
PORTER, M.; Vantagem Competitiva; Editora Campus, 1990; ISBN 857001-558-5; p. 150-158. PRAHALAD, C.K.; HAMEL, G.; Competindo pelo Futuro; Editora Campus, 6a Ed., 1995; ISBN 85-7001-945-9; p. 143. PRICEWATERHOUSECOOPERS. Risk Management Forecast 2001. PricewaterhouseCoopers Press, 2000. OXFORD; Oxford learners pocket dictionary; Oxford University Press, 3rd. Ed., 1992; ISBN 0-19-431282-8; p.432. ROBERTS, S.; Companies exposure to cyber terror growing; Business Insurance, Chicago, Dec, 2002, v. 36-48, p.10-16; ISSN: 00076864; ; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. ROGOSKI, R.; Safe and secure; Health Management Technology, Atlanta, Dec, 2002, v. 23-12, p.14-18; ISSN: 10744770; ; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>.
99.
100. ROHAN, R.; Social engineering; Black Enterprise, New York, Sep, 2002, v. 33-2, p.53-54; ISSN: 00064165; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. 101. ROMEO, J.; Keeping your Network safe; HRMagazine, Alexandria, Dec, 2002, v.47-12, p.42-46; ISSN: 10473149; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. 102. ROTHKE, B.; Information Security Best Practice: 205 Basic Rules; Security Management, Arlington, Sep, 2002, v. 46-9, p. 214-215; ISSN: 01459406; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. 103. SANTOS, P.; Gesto de Riscos Empresariais; Novo Sculo Ed., 2002; CDD658.155; p. 25. 104. SAVAGE, M.; E&Y security unit counting on VARs; CRN, Jericho, Jan, 2003; p. 5-14; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. 105. SCALET, S.; Fear Factor; A reality check on your top five concerns about reporting security incidents; CIO, Framingham, Oct, 2002, v. 16-2, p.62-68; ISSN: 08949301; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>.
7 - Bibliografia
Pg.184
106. SCHNEIER, B.; Segurana..Com; Campus, 2001; ISBN 85-352-0755-4; p. 22-59; 303-314. 107. SEEWALD, N.; CIDX forms cybersecurity unit; Chemical Week, New York, Jan, 2003, v. 165-2, p. 20-21; ISSN: 0009272X; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. 108. SHERWIN, E., PAAR , R.; IT experts: Tighten cyber-securiry; Best`s Review, Oldwick, Oct, 2002, v. 103-6, p.86-88; ISSN: 15275914; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. 109. SHIPLEY, G.; Secure to the core; Network Computing, Manhasset, Jan, 2003, v. 14-1, p. 34-40; ISSN: 10464468; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. 110. SPOSITO, R.; Visanet evita perda de 20 milhes de dlares; Revista Info Corporate; Outubro de 2002; v1-1; p. 39-41. 111. SPYMAN; Manual Completo do Hacker; Book Express, 3a Ed., 2000; p. 712; 49-53. 112. SYMANTEC; Security Reference Handbook; Symantec Corporation, 2002; p. 24-26. 113. TAPSCOTT, D.; Plano de Ao para uma Economia Digital; Makron Books, 2000; ISBN 85-346-1076-2; p. 229-243. 114. TAPSCOTT, D.; Gerao Digital; Makron Books, 2001; ISBN 85-346-07265; p. 176. 115. THIBODEAU, P.; Guidelines aim to secure governments IT systems; Computerworld, Framingham, Nov, 2002, v. 36-45, p. 8-9; ISSN: 00104841; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. 116. TREMBLY, A.; Poor computer security leaves firms exposed to intellectual property losses; National Underwriter, Erlanger, Nov, 2002, v. 106-47, p. 14-16; ISSN: 10426841; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. 117. TUESDAY, V.; Planning for a metro-area armageddo; Computerworld, Framingham, Dec, 2002, v. 36-50, p.40-42; ISSN: 00104841; ; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>.
7 - Bibliografia
Pg.185
118. WADLOW, T.; Segurana de Redes; Editora Campus, 2001; ISBN 0-20143317-6; p. 4-57; 92-163. 119. WETZEL, R.; Market drivers for e-business defense technology; Business Communications Review, Hinsdale, Jan, 2003, v. 33-1, p.54-61; ISSN: 01623885; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. 120. VAUGHAN, E.; Risk Management; New Baskerville: John Wiley & Sons. 1997; ISBN 0-471-10759; p. 3-67. 121. VALLABHANENI, S.; CISSP Textbook; SRV Professional Publications, 2002; ISBN 0-9715216-5-4; p. 154-161; 2-14; 53-116; 169-235; 238-285; 300475. 122. VERTON, D.; How will you secure your company data?; Competerworld, Framingham, 2003, v. 37-1, p. 24-26; ISSN: 00104841; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb> 123. VERTON, D.; Hacking syndicates threaten banking; Computerworld, Framingham, Nov, 2002, v.36-45, p.14-15; Acesso via Proquest Direct: <http://proquest.umi.com/pqdweb>. 124. YIN, R.; Estudo de Caso Planejamento e Mtodos; Bookman, 2001; ISBN 85-7307-852-9; p. 31-60.
8 - Glossrio
Pg.186
8. Glossrio
Access Control List ACL Lista de controle de acesso, responsvel por especificar os nveis de privilgio que cada conta de usurio ter no sistema, diretrio ou arquivo. Ambiente Lotus Notes/Domino Esse ambiente encontra-se em um servidor Windows NT devido ao seguinte fato: o Windows NT o sistema operacional onde o Lotus Domino instalado. O Lotus Notes utiliza o Lotus Domino para todas as operaes com as bases e envio/recebimento de mensagens e rplicas. Arquivos de log - So registros armazenados nos servidores, para que os administradores possam analisar a freqncia em que o usurio se mantm conectado, tempo de conexo, modo em que ele estabelece sua conexo, etc. Backup - Cpia de um arquivo ou conjunto de arquivos, de um dispositivo de armazenamento para outro com a finalidade de manter-se uma cpia de segurana caso haja alguma danificao do original. Boot - o processo pelo qual passa um computador quando ligado. H uma procura por determinados programas e arquivos que, via de regra, esto gravados no winchester: conveniente ter de reserva um disquete de boot, ou seja, os arquivos usados na inicializao do sistema instalado no micro. Browsers So tambm conhecidos como navegadores como o caso do Internet Explorer ou o Netscape Navigator, usados para abertura de pginas Internet. Brute force Este ataque utiliza-se de todos os valores de palavras possveis, com caracteres alfanumricos e especiais, testando a combinao utilizada na senha de um sistema.
8 - Glossrio
Pg.187
Clear-text Dados enviados sem nenhuma forma de criptografia que garanta sua confidencialidade, permitindo que qualquer pessoa que o intercepte, consiga ler seu contedo. Common Gateway Interface CGI - Aplicao servidora utilizada geralmente para processar solicitaes do navegador (browser) atravs de formulrios HTML, enviando o resultado em pginas dinmicas HTML. Pode ser utilizado para conexo (gateway) com outras aplicaes e bancos de dados do servidor. Exemplo de linguagens so: Perl, C e C++. Confidencialidade Garante que os dados trafegando na rede somente sejam abertos pelos seus respectivos destinatrios. Utilizam-se chaves ou algoritmos criptogrficas (vide glossrio algoritmos e chaves criptogrficas). Criptografia Mtodo que torna os dados ilegveis para todos que no possuam a chave criptogrfica correta. Esse mtodo fornece confidencialidade s transferncias de dados. Dial-in Tentativa de acesso discado. Disponibilidade Os dados devem ser mantidos disponveis para todos que necessitem acess-los. Dispositivos Equipamento. Fake Mail Falsas mensagens enviadas a partir de endereos existentes ou no, porm utilizando-se do domnio de determinada empresa, denegrindo a imagem da mesma com informaes no verdadeiras, podendo ser usado tambm para spam. File Transfer Protocol FTP - Protocolo padro da Internet de transferncia de arquivos entre computadores. Firewall Hardware ou software que restringe o trafego para uma rede privada a partir de uma rede no segura como a Internet. Pode restringir
8 - Glossrio
Pg.188
tambm trafego entre diferentes segmentos de redes locais para proteger dados sensveis. Hash fuctions Funes matemticas com duas propriedades muito importantes: anti-pr-imagem e livres de coliso. Anti-pr-imagem garante que mesmo de posse do resultado da funo, no se consiga obter a funo que gerou esse resultado e, livre de coliso garante que muito dificilmente a funo obter dois resultados iguais para duas fontes diferentes de dados. Host Qualquer dispositivo conectado uma rede. Hotfixes, patches e service packs Atualizaes de aplicativos para a soluo de alguns bugs e vulnerabilidades encontradas aps o lanamento dos mesmos. Hubs Dispositivo que propaga (regenera e amplifica) sinais eltricos em uma conexo de dados, para estender o alcance da transmisso, sem fazer decises de roteamento ou de seleo de pacotes. Hypertext Markup Language HTML A linguagem usada na Internet para criar pginas web com links para outros documentos, uso de formatao negrito, itlico entre outros. O cdigo fonte para o que visto na Internet escrito em HTML. Hyper Text Transfer Protocol HTTP O protocolo mais utilizado na Internet para transferir informao dos servidores Web para os browsers. o protocolo que negocia a entrega de documentos entre o browser e o servidor Web. Integridade - Deve ser garantida a integridade dos dados de maneira a no permitir modificaes por pessoas devidamente autorizadas. Para sua manuteno so utilizados algoritmos com funes hash (vide glossrio hash functions).
8 - Glossrio
Pg.189
Internet - Significa a "rede das redes". Originalmente criada nos EUA, tornou-se uma associao mundial de redes interligadas, em mais de 70 pases. Os computadores utilizam a arquitetura de protocolos de comunicao TCP/IP. Originalmente desenvolvida para o exrcito americano, hoje utilizada em grande parte para fins acadmicos e comerciais. Prov transferncia de arquivos, login remoto, correio eletrnico, news e outros servios. Internet Control Message Protocol ICMP - Um protocolo de camada de rede Internet que prov pacotes de mensagens reportando erros e outras informaes relevantes ao processamento de pacotes IP. Documentado na RFC 792. Internet Protocol IP - Um protocolo de camada de rede que contm informao de endereamento e alguns controles que permitem aos pacotes serem roteados. Documentado na RFC 791. Logins genricos Logins que so utilizados por inmeras pessoas no possibilitando responsabilizao por aes efetuadas na rede. Login/Logon - Comando inicial que o usurio deve executar para ter acesso uma rede. Quando ele entra na rede, ele precisa executar seu logon, que sua identificao na rede, seguido ou no de uma senha. No repdio Garantia de que o autor de determinada ao no possa negar a sua autoria. Network Basic Input/Output System NetBIOS NetBIOS prov uma interface de comunicao entre o programa aplicativo e o meio fsico utilizado. Todas as funes de comunicao da camada fsica camada de sesso so manipuladas pelo NetBIOS, o software de suporte do adaptador de rede e o adaptador de rede. Uma sesso NetBIOS uma conexo lgica entre quaisquer dois nomes em uma rede. Plano de continuidade do negcios e/ou contingncia Planejamento de procedimentos e instalaes que visem manter os sistemas tecnolgicos
8 - Glossrio
Pg.190
disponveis, mesmo na ocorrncia de problemas externos eles, como por exemplo a falta de energia, ou um incndio no prdio da empresa. Port scanning Tcnica utilizada para obter conhecimento dos servios ativos em hosts conectados rede. Porta - Uma abstrao usada pela Internet para distinguir entre conexes simultneas mltiplas para um nico host destino. O termo tambm usado para denominar um canal fsico de entrada e sada de um dispositivo. Recuperao Restore Retorno do arquivo ou conjunto de arquivos a partir do dispositivo onde ele foi gravado na operao de backup para o local original. Registry do Windows NT - Estrutura de configurao do Windows NT baseado em valores distribudos em chaves. Contm toda configurao e alteraes feitas no Windows NT. Roteador Dispositivo da camada de rede OSI que decide qual de vrios caminhos o trfego de rede utilizar baseado em algumas mtricas de otimizao. tambm chamado de gateway, roteadores repassam pacotes de uma rede para outra baseados em informaes da camada de rede. Security Accounts Manager SAM Gerenciador de usurios do Windows NT Security Office Departamento responsvel por promover, planejar e implementar a segurana de dados. Servidor - Numa rede, um computador que administra e fornece programas e informaes para os outros computadores conectados. No modelo cliente-servidor, o programa responsvel pelo atendimento a determinado servio solicitado por um cliente. Referindo-se a equipamento, o servidor um sistema que prove recursos tais como
8 - Glossrio
Pg.191
armazenamento de dados, impresso e acesso dial-up para usurios de uma rede de computadores. Sesso Nula Conexo efetuada sem o uso de uma conta de usurio para identificao no sistema. Sniffing.- Utilizao de um programa chamado Sniffer, que captura todos os pacotes de informao que trafegam na rede possibilitando visualizar seu contedo, efetuar anlises estatsticas do trfego por tipo de protocolo de rede, podendo disponibilizar informaes como contas de usurios e senhas que trafeguem sem serem criptografados. Spoofing Tcnica de invaso que consiste em enganar o sistema, com a mquina intrusa se passando por uma mquina interna da rede. Stack ou Buffer overflow Mtodo de ataque onde o invasor sobrecarrega a pilha do sistema, rea de memria onde ficam armazenados alguns drivers e programas que esto ativos, fazendo com que o computador no consiga gerenciar estes programas e conseqentemente trave.. Switchs Dispositivo de rede que segmenta o trfego de dados. System Key SYSKEY Utilitrio do Windows NT que permite a criptografia da Security Accounts Manager SAM, com uma chave criptogrfica de 128 bits. TCP-Wrapper - Ferramentas que agem como filtros de endereos que podem acessar determinado servio, por exemplo, se voc precisa administrar seus roteadores remotamente e no quer que ele responda a todas as requisies de conexo Telnet, mesmo sabendo que voc implementou o uso de uma senha de administrador que apenas um seleto grupo de funcionrios conhece, voc pode cadastrar apenas os endereos IP das mquinas de onde ser possvel efetuar essa conexo. Essa utilizao aumenta muito o nvel de segurana da sua rede, pois prov o servio apenas para as estaes que voc entender que necessitem dele.
8 - Glossrio
Pg.192
Telnet - Protocolo da Internet, que permite o login remoto, tornando possvel a um microcomputador atuar como terminal de computadores de qualquer parte do mundo. O Telnet utiliza um programa cliente que permite usar um computador, que est longe, como se fosse o seu prprio micro. Transfer Control Protocol TCP Protocolo Internet de camada de transporte orientado conexo que executa controle de fluxo e erro fim a fim. Transferncia de zona Transferncia dos endereos da tabela de nomes de um servidor para outro. Uma falha na configurao do servidor de nomes DNS pode permitir que qualquer usurio conectado Internet possa obter uma cpia dessa tabela e at mesmo obter endereos da rede interna. Userid Identificao do usurio para o Lotus Notes. Cada usurio possui o seu Userid que nico. Web - Literalmente, teia de alcance mundial. Baseada em hipertextos, integra diversos servios Internet que oferecem acesso, atravs de hyperlinks, a recursos multimdia da Internet.
Anexos
Pg.193
Anexo 1: Questionrios
Direcionadores de Negcio
Entrevistado: Machado Jurnior - Riscos e Fraudes Informaes sobre a diretoria executiva: 1. Qual a estrutura da diretoria executiva? 2. Qual a misso, a viso, e os objetivos da diretoria executiva? 3. Quais diretorias e gerncias do suporte ao negcio da Visanet ou so consideradas reas de negcio?
Iniciativas de negcio 1. Quais so as estratgias relacionadas a segurana e privacidade da informao? 2. Quais so as estratgias para identificao de novos tipos de fraudes?
Operaes do negcio 1. Quais so os processos crticos de negcio da Visanet? 2. Como a utilizao da informao no processo de negcio e transaes? 3. Qual o grau de criticidade da informao utilizada no processo de negcio?
Anexos
Pg.194
Entrevistado: Wanderley Barreto - Compliance e Processos Informaes sobre a diretoria executiva: 1. Qual a estrutura da diretoria executiva? 2. Qual a misso, a viso, e os objetivos da diretoria executiva? 3. Quais diretorias e gerncias do suporte ao negcio da Visanet ou so consideradas reas de negcio? Operaes do negcio 1. Quais so os processos crticos de negcio da Visanet? 2. Como a utilizao da informao no processo de negcio e transaes? 3. Qual o grau de criticidade da informao utilizada no processo de negcio? 4. Quais os riscos e vulnerabilidades conhecidas relacionados ao negcio/processo? 5. O que assegura que os processos internos esto aderentes as regulamentaes (compliance)? 6. Quais mtricas so utilizadas para acompanhamento do desempenho dos negcios?
Anexos
Pg.195
Aspectos legais/Regulamentos da indstria 1. Quais so as principais regulamentaes legais e da indstria de carto de crdito? 2. Quais so as principais regulamentaes organizacionais? 3. Como o processo de reteno de registro de atos ilegais (internos e externos)? 4. Quais so os principais litgios sofridos pela Visanet? Como feito o controle sobre tais litgios?
Anexos
Pg.196
Entrevistado: Andrea Marques - Desenvolvimento Organizacional Informaes sobre a diretoria executiva: 1. Qual a estrutura da diretoria executiva? 2. Qual a misso, a viso, e os objetivos da diretoria executiva? 3. Quais diretorias e gerncias do suporte ao negcio da Visanet ou so consideradas reas de negcio? Cultura corporativa 1. Quais so as mudanas organizacionais previstas e qual o impacto na segurana e privacidade da informao? 2. Quais so as estratgias relacionadas ao envolvimento de terceiros nos processos produtivos?
Anexos
Pg.197
Entrevistado: Herval Rossi - Tecnologia e Operaes Informaes sobre a diretoria executiva: 1. Qual a estrutura da diretoria executiva? 2. Qual a misso, a viso, e os objetivos da diretoria executiva? 3. Quais diretorias e gerncias do suporte ao negcio da Visanet ou so consideradas reas de negcio?
Operaes do negcio 1. Quais so os processos crticos de negcio da Visanet? 2. Como a utilizao da informao no processo de negcio e transaes? 3. Qual o grau de criticidade da informao utilizada no processo de negcio? 4. Quais os riscos e vulnerabilidades conhecidas relacionados ao negcio/processo? 5. O que assegura que os processos internos esto aderentes as regulamentaes (compliance)?
Tecnologia 1. Quais as principais tecnologias empregadas atualmente na organizao?
Anexos
Pg.198
2. Quais as principais iniciativas de negcio que esto direcionando as mudanas tecnolgicas? 3. Quais as novas tecnologias que esto sendo introduzidas? 4. As funes e responsabilidades da informtica esto claramente definidas? 5. Existe um comit diretor de informtica? 6. Quais os principais projetos e mudanas previstos a curto e longo prazo? 7. Quais as novas tecnologias esto sendo testadas e pesquisadas para possvel implementao? 8. Qual a opinio da administrao sobre a rea de tecnologia no alcance dos objetivos da empresa? 9. Quais os controles adotados sobre a terceirizao de recursos? 10. Quais os principais problemas tecnolgicos que impactam no negcio da VisaNet? 11. Como so endereadas os aspectos de segurana pela rea de tecnologia?
Anexos
Pg.199
Entrevistado: Walter Rabello - Marketing e Produtos Informaes sobre a diretoria executiva: 1. Qual a estrutura da diretoria executiva? 2. Qual a misso, a viso, e os objetivos da diretoria executiva? 3. Quais diretorias e gerncias do suporte ao negcio da Visanet ou so consideradas reas de negcio?
Iniciativas de negcio 1. Quais so as maiores iniciativas de negcio da organizao? 2. Quais so os novos produtos/servios oferecidos pela Visanet? 3. Quais so as estratgias de go-to-market? 4. Quais so as estratgias para uso da Internet? 5. Quais so as estratgias de E-commerce?
6. Quais so as estratgias relacionadas a segurana e privacidade da informao?
Anexos
Pg.200
Direcionadores de mercado 1. Como so acompanhadas as tendncias de mercado? 2. Qual o posicionamento da Visanet perante os concorrentes, mercado e seus clientes?
Anexos
Pg.201
Entrevistado: Antonio Castilho - Vendas e Negcio Informaes sobre a diretoria executiva: 1. Qual a estrutura da diretoria executiva? 2. Qual a misso, a viso, e os objetivos da diretoria executiva? 3. Quais diretorias e gerncias do suporte ao negcio da Visanet ou so consideradas reas de negcio?
Iniciativas de negcio 1. Quais so as maiores iniciativas de negcio da organizao? 2. Qual o impacto que a tecnologia ou a segurana tem sobre essas iniciativas? 3. Quais so os riscos decorrentes dessas iniciativas de negcio? 4. Quais so os novos produtos/servios oferecidos pela Visanet? 5. Quais so as estratgias relacionadas a recursos humanos? 6. Quais so as estratgias de go-to-market? 7. Quais so as estratgias para uso da Internet? 8. Quais so as estratgias de E-commerce?
Anexos
Pg.202
9. Quais so as estratgias relacionadas ao envolvimento de terceiros nos processos produtivos? 10. Quais so as estratgias relacionadas implementao de sistemas e processos? 11. Quais so as estratgias relacionadas a segurana e privacidade da informao? 12. Quais so as estratgias para identificao de novos tipos de fraudes?
Direcionadores de mercado 1. Como so acompanhadas as tendncia de mercado? 2. Qual o posicionamento da Visanet perante os concorrentes, mercado e seus clientes?
Anexos
Pg.203
Entrevistado: Bartholomeu Ribeiro - Finanas e Administrao Informaes sobre a diretoria executiva: 1. Qual a estrutura da diretoria executiva? 4. Qual a misso, a viso, e os objetivos da diretoria executiva? 5. Quais diretorias e gerncias do suporte ao negcio da Visanet ou so consideradas reas de negcio? Operaes do negcio 7. Quais so os processos crticos de negcio da Visanet? 8. Como a utilizao da informao no processo de negcio e transaes? 9. Qual o grau de criticidade da informao utilizada no processo de negcio? 10. Quais os riscos e vulnerabilidades conhecidas relacionados ao negcio/processo? 11. O que assegura que os processos internos esto aderentes as regulamentaes (compliance)? 12. Quais mtricas so utilizadas para acompanhamento do desempenho dos negcios?
Anexos
Pg.204
Aspectos legais/Regulamentos da indstria 5. Quais so as principais regulamentaes legais e da indstria de carto de crdito? 6. Quais so as principais regulamentaes organizacionais? 7. Como o processo de reteno de registro de atos ilegais (internos e externos)? 8. Quais so os principais litgios sofridos pela Visanet? Como feito o controle sobre tais litgios?

Monografia SI Rsicos

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Monografia SI Rsicos

Enviado por

Direitos autorais:

Formatos disponíveis

Fundao Getulio Vargas Escola de Administrao de Empresas de So Paulo

ANDRE SHIGUERU HORI

ANDRE SHIGUERU HORI

Fundao Getulio Vargas Escola de Administrao de Empresas de So Paulo

ANDRE SHIGUERU HORI

Orientador: Prof. Dr. Jaci Corra Leite

1.1. Definio do Problema

Figura 1: Como o brasileiro gasta seu dinheiro

Figura 2: ABECS evoluo anual

1.2. Justificativa do Estudo

Figura 3: Evoluo do mercado (REVISTA CARDNEWS, Nov. 2001, pg. 49 )

2.1. Gerenciamento de riscos

Figura 4: Tipos de risco (MARSHALL, 2002, pg. 405-439)

Figura 5: Classificao de risco (SANTOS, 2002, pg. 25)

Figura 6: Processo de Gerenciamento de Risco de CULP

Figura 7 Figura 7: Objetivos de negcio x riscos (MARSHALL, 2002, pg. 37)

Figura 8: Clculo da probabilidade (MARSHALL, 2002, pg. 44)

2 Fundamentao Terica Figura 9: Impactos (MARSHALL, 2002, pg. 45)

Figura 10: Criticalidade (MARSHALL, 2002, pg. 46)

Figura 11: Estrutura temporal (MARSHALL, 2002, pg. 46)

Figura 12: Comparao entre os mtodos (KRUTZ, 2001, pg. 22)

Deciso tomada pelo grupo.

Figura 13: Mitigar o risco

(MARSHALL, 2002, pg. 45-46)

2.2. Gesto de risco e segurana da informao

Figura 14: Cadeia de valor de Porter (PORTER, 1990, pg. 155)

Figura 15: Ameaas (SYMANTEC, 2002, pg. 24)

Figura 16: Natureza dos ataques (InformationWeek, Outubro de 2002, pg.45)

Figura 17: Atacantes (InformationWeek, Outubro de 2002, pg.45)

Figura 18: Risk Management Model (CAMPBELL e SANDS, 1979, v. 48)

Figura 19: Risk Management Model (ALBERTS, 2002, pg. 11)

Ambiente de controle Avaliao de riscos Atividades de controle Informao e comunicao Monitorao

J os controles de aplicao so:

Controles de entrada Controles de processamento Controles de sadas

Figura 22: COBIT principles

Figura 23: COBIT process

Figura 24: Gerenciamento da informao (elaborado pelo autor)

Internal Control: Integrated framework COSO

Organizao desenvolved ora da metodologia Certificao profissional rgo emissor da Certificao

BS: British Standards OSI: Organization of International Standards

COSO: Committee of Sponsoring Organizations of the Treadway Commission ---------------

Foco de estudo Riscos analisados

2.3. Modelo de Gesto de Risco em Segurana da Informao

Figura 25: Information Risk Management (LAUDON, 2001, pg.433)

Podemos identificar e classificar a partir deste modelo os seguintes elementos:

Figura 26: Estrutura organizacional (WADLOW, 2001, pg. 52)

Figura 27: Estrutura Organizacional Tradicional (BYRNES, 2001, pg. 9)

Classificao e controle dos ativos de informao Segurana em pessoas

Documentao das Operaes

Manuseio e destruio de mdias

Monitoramento das trilhas de auditoria

Delegao da Administrao e Servios de Auto-Registro.

por exemplo, controles fsicos, procedimentos administrativos e controles pessoais.

Figura 29: Information Security Risks (BRAITHWAITE, 2002, pg. 143)

Figura 31: Information Risk Management (LAUDON, 2001, pg.433)

3.1. Pesquisa Exploratria

3.2. Estudo de caso

3.3. Seleo do Caso nico

informao. Os dados foram obtidos entre maio de 2002 at outubro de 2002.

4. Estudo de Caso Resultados da Pesquisa

4.1. O negcio VISANET

Em entrevista a um alto executivo da VISANET, foi passado os seguintes objetivos empresariais:

Figura 33: Processos VISANET (elaborado pelo autor)

Outros conceitos so importantes para o entendimento dos processos de negcio da VISANET: