Outros trabalhos em:

www.ProjetodeRedes.com.br
81,9(56,'$'( &$1','2 0(1'(6
36*5$'8$d2 /$72 6(168
352-(72 $ 9(= '2 0(675(

6(*85$1d$ '( ,1)250$d(6 80$ 48(672 (675$7e*,&$

3RU 5RVHPEHUJ )DULD &DOKHLURV

2ULHQWDGRU

3URI 0V 0DUFR $ /DURVD

5LR GH -DQHLUR


Outros trabalhos em:

www.ProjetodeRedes.com.br
81,9(56,'$'( &$1','2 0(1'(6
36*5$'8$d2 /$72 6(168
352-(72 $ 9(= '2 0(675(

6(*85$1d$ '( ,1)250$d(6 80$ 48(672 (675$7e*,&$

Apresentao de monografia Universidade Candido

Mendes como condio prvia para a concluso do
Curso de Ps-Graduao Lato Sensu em Gesto
Estratgica e Qualidade.
Por: . Rosemberg Faria Calheiros.

$*5$'(&,0(1726

Deus em primeiro lugar, minha esposa

Antnia Aguiar Calheiros, que sempre me
incentivou em todos os momentos e aos
meus amigos e professores do Projeto A
Vez do Mestre, pela marcante amizade.

5(6802

Aborda a conscientizao e a importncia da Segurana de

Informaes na Gesto Estratgica das Empresas. Apresenta os recursos e
medidas relacionadas proteo da informao e os riscos relativos s
vulnerabilidades.
Cita os principais obstculos para a implementao da Segurana de
informaes como estratgia adotada. Enfoca

a necessidade da capacitao

tcnica como medida primordial utilizada pelas Empresas.

Aponta os fatores determinantes e os controles adequados na
proteo de incidentes, definindo solues e aes prticas para minimizar
impactos e perdas de informaes estratgicas, que possam afetar o bom
funcionamento da Gesto de uma Empresa ou Instituio.

0(72'2/2*,$
A metodologia de pesquisa utilizada para concluso deste trabalho
foram bibliografias e conceitos encontrados em livros, artigos e Internet ligados a
assuntos sobre o tema proposto, onde, na busca de informaes, apresentamos a
importncia da Segurana de Informaes na Gesto Estratgica de uma
Empresa.

6805,2
,1752'8d2.....................................................................................................8

CAPTULO I &21&(,726................................................................................9

CAPTULO II  &/$66,),&$d2 '( ,1)250$d(6.....................................11

CAPTULO III  2%-(7,926 '$ 6(*85$1d$ '( ,1)250$d(6...............12

CAPTULO IV  32/7,&$ '( 6(*85$1d$....................................................15
4.1 - Desenvolvimento de uma Poltica de Segurana........................................16
4.2 - A Poltica de Segurana define o que precisa ser protegido.......................16
CAPTULO V  3(648,6$6 62%5( 6(*85$1d$ '( ,1)250$d(6 1$6
(035(6$6..........................................................................................................17
5.1 - Principais Ameaas Segurana da Informao........................................17
5.2 - Incidncia de Ataques e Invases................................................................17
5.3 - Prejuzos Contabilizados..............................................................................18
5.4 - Medidas Adotadas Aps Ataques e Invases..............................................18
5.5 - Principais Responsveis...............................................................................18
5.6 - Principais Pontos de Invaso......................................................................19
5.7 - Principais Obstculos para Implementao da Segurana..........................20
5.8 - Implementao de Segurana da Informao..............................................21
5.9 - Poltica de Segurana Utilizada....................................................................21
5.10 - Medidas de Segurana j Implementadas.................................................22
5.11 - Plano de Continuidade de Negcios..........................................................22
5.12 - Medidas de Segurana mais Implementadas das Empresas
Pesquisadas.........................................................................................................23
5.13 - Responsveis pela Segurana da Informao nas Empresas...............23
5.14 - Nmero de Profissionais Dedicados...........................................................23
5.15 - Investimentos em Segurana da Informao.............................................24
5.16 - Oramento Destinado Segurana da Informao...................................24
5.17 - Top 10 Medidas de Segurana para 2004.................................................25
5.18 - Outsourcing dos Servios de Segurana da Informao...........................26
5.19 - Servios Remotos de Gerenciamento de Segurana................................26
CAPTULO VI  $1/,6( &203$5$7,9$........................................................27
6.1 - Obstculos para Implementao da Segurana da Informao..................27
6.2 - Expectativas em Relao aos Problemas...................................................28

6.3 - Ocorrncia de Ataques e Invases..............................................................28

6.4 - Prejuzos Registrados..................................................................................29
6.5 - Principais medidas de Segurana adotadas pelas Empresas.....................29
CAPTULO VII  &21&/86(6 62%5( $  3(648,6$ 1$&,21$/
'( ,1)250$d(6 1$6 (035(6$6..............................................................31

&21&/862......................................................................................................33
%,%/,2*5$),$...................................................................................................34

1',&(.................................................................................................................35
)2/+$ '( $9$/,$d2....................................................................................37

Outros trabalhos em:

www.ProjetodeRedes.com.br
,1752'8d2

A Segurana de Informaes tem deixado de ser tratada como um assunto

tcnico da rea de informtica, e vem sendo considerada uma real necessidade
nas empresas e nas instituies, como uma questo estratgica, visto que a
informao o bem ativo mais valioso da empresa.
O objetivo do processo de Segurana de Informaes em uma organizao
alcanar a disponibilidade, confidencialidade, integridade, legalidade e
auditabilidade da informao. A segurana das informaes difcil, talvez at
mesmo impossvel, porm existe a necessidade da proteo da informao, fator
primordial para prpria sobrevivncia da empresa, reduzindo assim, os impactos e
os riscos de incidentes de segurana.
necessrio ter uma boa Poltica de Segurana, composta de regras
claras, praticveis e sintonizadas com a cultura do ambiente tecnolgico da
empresa. Deve no apenas proteger no s as informaes confidenciais, mas
tambm motivar as pessoas que as manuseiam, mediante a conscientizao e
envolvimento de todos.
Garantir a segurana de informaes uma questo estratgica, um
grande desafio, que passa por todas as pessoas envolvidas, direta e
indiretamente.

&$378/2 ,
&21&(,726
Segundo alguns conceitos bsicos de escritores para fundamentao do
trabalho, a Segurana de informao o conjunto de dados, imagens, textos e
outras formas de representao usadas para os valores da Companhia,
associados ao seu funcionamento e/ou manuteno das suas vantagens
competitivas.
Conforme POLTICAS (2002, p. 1-4), os conceitos podem ser definidos como:
Recursos de Informao - so todos os meios usados para obteno, gerao,
armazenamento e transporte das informaes. Inclui: os recursos do ambiente de
tecnologia da informao (instalaes e equipamentos de informtica e
telecomunicaes, sistemas operacionais, aplicativos e sistemas de informao
usados nesses equipamentos) e outros recursos convencionais (arquivos, papel,
microfilme, mapas etc.).
Sistema de Informao - um conjunto de processos e recursos do ambiente de
tecnologia da informao organizados para prover, de modo sistemtico,
informaes para a Companhia.
rgo Proprietrio da Informao - o rgo da empresa responsvel pelas
informaes de uma determinada rea de atividade da Companhia.
Proprietrio da Informao - empregado, designado pelo rgo Proprietrio da
Informao, para responder perante a Companhia pela classificao das
informaes e definio das suas necessidades de segurana.

10

Comit de Segurana de Informaes - o comit constitudo pela Diretoria

Executiva da empresa com a finalidade de implantar e garantir o cumprimento da
Poltica de Segurana de Informaes no mbito da Companhia.
Gerente de Segurana de Informaes do rgo - empregado designado pelo
rgo da Companhia, como responsvel pelo cumprimento da Poltica de
Segurana de Informaes no mbito do rgo, servindo de interface entre
gerentes, proprietrios, usurios, custodiantes, Gerncia de Tecnologia da
Informao do rgo e o Comit de Segurana de Informaes.

&$378/2 ,,

&/$66,),&$d2 '( ,1)250$d(6

De acordo com POLTICA...(2002, p. 2), todo tipo de documento de uma
corporao deve exibir, de maneira clara, o respectivo grau de acessibilidade ou
seja seu grau de sigilo, o que requer classificar todas as informaes segundo o
seu grau de criticidade e mbito de acesso:
a) Informaes Confidenciais: s podem ser disseminadas para empregados
previamente nomeados;
b) Informaes Corporativas: sua divulgao restringe-se ao mbito da Empresa.
c) Informaes Pblicas: podem ser disseminadas dentro e fora da Empresa.
Convm que informaes e resultados de sistemas que processam dados
classificados sejam rotulados de acordo com seu valor e sua sensibilidade para a
organizao. Tambm pode ser apropriado rotular a informao em termos de
quo crtica ela para a organizao como, por exemplo, em termos de
integridade e disponibilidade. A informao freqentemente deixa de ser sensvel
ou crtica aps um certo perodo de tempo, por exemplo quando a informao se
torna pblica. Convm que estes aspectos sejam levados em considerao, pois
uma classificao superestimada pode levar a custos adicionais desnecessrios.
Convm que as regras de classificao previnam e alertem para o fato de
que um determinado item de informao no tem necessariamente uma
classificao fixa, podendo sofrer modificao de acordo com alguma poltica
predeterminada.

&$378/2 ,,,
2%-(7,926 '$ 6(*85$1d$ '( ,1)250$d(6
Quando se pensa em segurana de informaes, a primeira idia que nos
vem mente a proteo da mesma, no importando onde ela esteja. Um
sistema computacional considerado seguro se houver uma garantia de que
capaz de atuar exatamente como esperado. Porm, segurana um conceito que
vai muito alm disso. expectativa de todos que a informao armazenada em
um sistema computacional permanea l, sem que pessoas no autorizadas
tenham acesso a seu contedo. Ou seja, expectativa de qualquer usurio que as
informaes estejam em local adequado, disponveis no momento desejado, que
sejam confiveis, corretas e permaneam protegidas contra acessos indesejados.
Essas expectativas correspondem aos objetivos da segurana.
Destacam-se

entre

os

objetivos

da

segurana,

SEGURANA

DA

TECNOLOGIA...... (2002):
Confidencialidade ou privacidade proteger as informaes contra acesso de
qualquer pessoa no autorizada pelo gestor da informao. Este objetivo envolve
medidas como controle de acesso e criptografia.
Integridade dos dados evitar que dados sejam apagados, ou alterados sem a
permisso do gestor da informao.
Legalidade - Estado legal da informao, em conformidade com os preceitos da
legislao em vigor.
Disponibilidade garantir o provimento do servio de informtica, sob demanda,
sempre que necessrio aos usurios autorizados. As medidas relacionadas a esse
objetivo podem ser duplicao de equipamentos/sistemas e EDFNXS. Um bom

exemplo de ataque contra disponibilidade a sobrecarga provocada por usurios

ao enviar enormes quantidades de solicitao de conexo com o intuito de
provocar pane nos sistemas.
Consistncia certificar-se de que o sistema atua de acordo com a expectativa
dos usurios.
Isolamento ou uso legtimo controlar o acesso ao sistema. Garantir que somente
usurios autorizados possuam acesso ao sistema.
Auditoria proteger os sistemas contra erros e atos cometidos por usurios
autorizados. Para identificar autores e aes, so utilizadas trilhas de auditorias e

ORJV, que registram o que foi executado no sistema, por quem e quando.

Confiabilidade garantir que, mesmo em condies adversas, o sistema atuar

conforme esperado.
Antes de implementar um programa de segurana de informaes, aconselhvel
responder s seguintes questes:
a) O que proteger?
b) Contra que ou quem?
c) Quais as ameaas mais provveis?
d) Qual a importncia de cada recurso?
e) Qual o grau de proteo desejado?
f) Quanto tempo, recursos humanos e financeiros se pretende gastar para
atingir os objetivos de segurana desejados?
g) Quais as expectativas dos usurios e clientes em relao segurana de
informaes?

14

h) Quais as conseqncias para a instituio se seus sistemas e informaes

forem violados ou roubados?
Tendo a resposta a essas perguntas, definida a poltica de segurana de
informaes e analisadas as ameaas, fazendo-se uma anlise de riscos. A
tecnologia de segurana a ser implantada deve atender aos requisitos da poltica.
Por fim, para administrar os sistemas, necessrio implantar uma gerncia de
segurana.
Segurana de Informao a conjugao de uma estratgia e de ferramentas
especficas que atendam as necessidades corporativas para a manuteno de um
ambiente saudvel. Considerada um item vivo, a poltica de segurana nunca est
acabada e deve ser desenvolvida e atualizada durante toda a vida da empresa.
(COLTRO, 2002, p. 26).

&$378/2 ,9

32/7,&$ '( 6(*85$1d$

Uma poltica de segurana um conjunto de regras e prticas que regulam
como uma organizao gerencia, protege e distribui suas informaes e recursos.
A poltica de segurana deve incluir regras detalhadas, definindo como as
informaes e os recursos da organizao devem ser manipulados. Deve definir,
tambm, o que e o que no permitido em termos de segurana, durante a
operao de um dado sistema.
Existem dois tipos de polticas:
Poltica baseada em regras: as regras deste tipo de poltica utilizam os
rtulos dos recursos e processos para determinar o tipo de acesso que pode ser
efetuado. No caso de uma rede de computadores, os dispositivos que
implementam os canais de comunicao, quando permitido transmitir dados
nesses canais, etc.
Poltica baseada em segurana: o objetivo deste tipo de poltica permitir a
implementao de um esquema de controle de acesso que possibilite especificar o
que cada indivduo pode ler, modificar ou usar para desempenhar suas funes na
organizao.

  'HVHQYROYLPHQWR GH XPD 3ROtWLFD GH 6HJXUDQoD

Pesquisar o contedo que ter a poltica;
Minutar o texto que descreve a poltica;

Obter a aprovao dos altos escales da administrao da organizao;

Disseminar a poltica de segurana em todos os escales da organizao.

  $ 3ROtWLFD GH 6HJXUDQoD GHILQH R TXH SUHFLVD VHU SURWHJLGR

As Polticas de Segurana definem os o que precisam ser protegidos, mas
so Procedimentos de Segurana que iro dizer como estes sero protegidos. O
documento das Polticas de Segurana tende a ser uma documentao de mais
alto nvel, ficando a responsabilidade do maior detalhamento para documentao
que ir tratar dos procedimentos de segurana.

17

&$378/2 9

3(648,6$6 62%5( 6(*85$1d$ '( ,1)250$d(6

1$6 (035(6$6
Segundo 9 Pesquisa Nacional de Segurana da Informao nas empresas,
realizada em 2003, elaborada pela empresa Modulo Security, especializada em
segurana de informaes, os principais dados encontrados so:

  3ULQFLSDLV $PHDoDV j 6HJXUDQoD GD ,QIRUPDomR

3 SP dRcP( A!!!"A
 "
(
( 8
Y%5@!9'a
  b ($  ( 8 
"  & " " ( " " 3 "
 # %`64I'@ B A
V1X
( Y "
A()A!8 W( GFUVA!!!A
$ (  "
( ( 8 "
( 6 " P &  ( 8 $ ( P H "
ATS) @!9)RQ"IA
  2 ( 8
!8 GF!5  'EA(DC
 
" B ( ( 8  7 6
A'@9"54 10
3 2 
)$ %' %#!    
(& $ "
  

Fe
f e
h
f !g
i
f Rg
q
f 5p
r
f p
i
f Rp
q
f Rh
r
f 5h
i
f h
f q s

  ,QFLGrQFLD GH $WDTXHV H ,QYDV}HV

'H  D  PHVHV
0DLV GH  DQR
0HQRV GH  PrV
1mR VDEHP LQIRUPDU
'H  PHVHV D  DQR
1XQFD VRIUHUDP











> 3ULQFLSDLV $PHDoDV Vrus, Funcionrio insatisfeito, Divulgao de

senhas, Acessos indevidos e Vazamento de informaes.

18
> $PHDoDV FRQVLGHUDGDV FRPR )DWRU &UtWLFR 29% dos entrevistados
apontaram as fraudes por e-mail como uma das principais ameaas.

  3UHMXt]RV &RQWDELOL]DGRV

> 35% das empresas no Brasil tiveram perdas financeiras;

> 22% das empresas acima registraram perdas de at R$ 50 mil, 8% entre
R$ 50 mil e R$ 500 mil e 4% de R$ 500 mil a R$ 1 milho;
> 65% no conseguem quantificar o valor dos prejuzos.

'H 5  PLO D
5  PLO


$Wp 5  PLO


'H 5  PLO D

5  PLOKmR


0DLV GH
 PLOKmR


1mR IRL SRVVtYHO

TXDQWLILFDU


  0HGLGDV DGRWDGDV DSyV $WDTXHV H ,QYDV}HV

> 28% =>

Limitaram-se correo do problema

> 28% =>

Optaram por providncias internas

> 15% =>

Adotaram medidas legais

> 7% =>

No tomaram nenhuma attitude

  3ULQFLSDLV 5HVSRQViYHLV

> Pelo terceiro ano consecutivo, os hackers so apontados como os
principais responsveis por ataques e invases de sistemas corporativos.

19

> Outro fator negativo que 26% das empresas no conseguem sequer
identificar a origem dos ataques e invases.
+DFNHUV
&DXVD GHVFRQKHFLGD
)XQFLRQiULRV
([IXQFLRQiULRV
3UHVWDGRUHV GH VHUYLoR
&RQFRUUHQWHV
2XWURV













  3ULQFLSDLV 3RQWRV GH ,QYDVmR

> A maior parte das empresas (60%) indica a Internet como o principal ponto
de invaso em seus sistemas.
> Se por um lado aumentou o percentual de invases via Internet, por outro a
pesquisa constata a queda do percentual de invases via acesso remoto:
de 16%, em 2002, para 6%, em 2003.

$FHVVR UHPRWR


6LVWHPDV
,QWHUQRV


,QYDVmR ItVLFD


,QWHUQHW


2XWURV


20

> Mesmo acreditando no crescimento dos problemas em 2004, 48% das

empresas ainda no possuem nenhum plano de ao formalizado para o
caso de invases e ataques.
1mR VDEHP
LQIRUPDU


6LP


1mR


  3ULQFLSDLV 2EVWiFXORV SDUD ,PSOHPHQWDomR GD 6HJXUDQoD

> Falta de conscincia dos executivos (23%), dificuldade em demonstrar o
retorno (18%) e custo de implementao (16%) foram considerados os trs
principais obstculos para implementao da segurana nas empresas.
> Em relao ao ano passado, constatam-se duas mudanas significativas: a
queda da falta de conscincia dos usurios, que passou de 29% para 14%;
e o aumento do custo de implementao, que passou de 1% para 16%.
G%5
 $
 "  ( P
!8S`5W%$RQP()W9%$ 3A
" (
" & ( 8 " "
!%$ RI"@  #E %GR9%$ 3A
 8 "  " 
"
 &  ( 8 " "
)S"`9%$ 3A
$ ( P 6  ( 8 " "
( 8 "   ( 8
!8  R9" $ 3A
"
 VI!9" u A!t9%$ 3A
  8


 ( 8 " "
 7 6 "$
%" R9P W9)$A y
3  ( 8 
 $ (  " $  P ( 8 P ( 8 " 3  
5)!`x%A!QwA(W!8 E %& 10
%5!(R#( !9" u A!t9%$ A
 2 $  v
 8     ( 8 " 3 "

f h s

f !i
f
Fe i
p
f i
f
s i
Fe
f
f g
f i
f g

21

  ,PSOHPHQWDomR GH 6HJXUDQoD GD ,QIRUPDomR

> 51% dos entrevistados acreditam que os executivos consideram a
Segurana da Informao fundamental para a integridade e continuidade de
seus negcios, sendo que para 21% fator vital e para 16% crtica.
> Apesar dessa viso otimista, a falta de conscientizao de executivos ainda
considerada como o principal obstculo para implementao da
Segurana da Informao dentro das organizaes.

  3ROtWLFD GH 6HJXUDQoD XWLOL]DGD

fs i
" 8 " 3 "
IH  SP)&
 %$ 5IE
"  3    7

f i
" P &
S)5 
A#W
P ( b "  7

q
f !i
)$ QP GD'A!8
(
2 3 2 ( (
P ( $
9%A

f !i
" 8 "
IH  3#A!8
" $ " (
%$AASFU IE5
 ( " P  

f g
" 8 " 3 " $
IH  "
$ ( (  
%AA`IE5

5HDOL]DGD Ki  PHVHV
5HDOL]DGD Ki  DQR RX PDLV
1XQFD IRL UHDOL]DGD
3UHWHQGH UHDOL]DU HP  PHVHV
1mR VDEHP LQIRUPDU
3UHWHQGH UHDOL]DU HP  DQR
1mR SUHWHQGH UHDOL]DU









22

  0HGLGDV GH 6HJXUDQoD Mi ,PSOHPHQWDGDV

> Pelo terceiro ano consecutivo, antivrus (90%), sistemas de backup (76,5%)
e firewall (75,5%) foram apontados como as trs principais medidas de
segurana mais implementadas.
> Em 2003, dois novos itens figuram na lista Top 10: segurana fsica na sala
de servidores (63%) e criptografia (57%).
> Apesar de no constarem na lista Top 10, certificados digitais (52%) e
autoridades certificadoras (45%) tambm foram medidas amplamente
adotadas pelas empresas.

  3ODQR GH &RQWLQXLGDGH GH 1HJyFLRV

f h
)R(QP G2D'A!8
$
 2 3  ( (
P ( $
9%A
f r s
 8 " 3
!IH  "S)&
P 
5" R
 3 P
   7
IE

f r
" P &
S)5 
P ( "  7
Ab#W

g
f i
 8 "$ ($ &  7
!%AA)!)9
  8 " 3 " $ "
!9!IH  #A(!8
%$AASFU IE5
 ( " P 
f i s
 8 "$ ($ & 
!%AA%)`Ex(
 "
!8 IH  3!`%$AAxU IE5
" $ "  (  

23

  0HGLGDV GH 6HJXUDQoD PDLV ,PSOHPHQWDGDV GDV (PSUHVDV

SHVTXLVDGDV

  5HVSRQViYHLV SHOD 6HJXUDQoD GD ,QIRUPDomR QDV

(PSUHVDV

  1~PHUR GH 3URILVVLRQDLV 'HGLFDGRV

24

  ,QYHVWLPHQWRV HP 6HJXUDQoD GD ,QIRUPDomR

> Para 78% dos entrevistados, as ameaas, os riscos e os ataques devero
aumentar em 2004.
> Diante desse quadro, 60% afirmam que os investimentos em segurana
vo aumentar no prximo ano.

  2UoDPHQWR GHVWLQDGR j 6HJXUDQoD GD ,QIRUPDomR

> 73% das empresas possuem oramento especfico para rea de Tecnologia
da Informao.
> Deste total, 24,5% alocam menos de 1% em recursos de segurana, 19%
entre 1% e 5%, 12% de 5% a 10%, 9,5% entre 10 a 20% e 7% destinam
mais de 20% do oramento total de TI para rea de Segurana da
Informao.

25

  7RS  PHGLGDV GH 6HJXUDQoD SDUD 

> Em 2003, as empresas tiveram imensas dificuldades com a disseminao
em massa de diversas pragas virtuais, como o Slammer, Blaster, Sobig,
entre outros. Esse cenrio pode explicar a primeira colocao de antivrus
como a principal medida de segurana a ser implementada em 2004.
> A capacitao tcnica (75%) continua fazendo parte das principais medidas
a serem implementadas pelas organizaes.
> Termo de responsabilidade (58%), anlise de ataque real-time (57,5%) e
certificao digital (50%) no entraram na lista Top 10 2004, mas tambm
fazem parte da lista de investimentos.
> Outra medida bem cotada a certificao BS 7799, almejada por 16% das
empresas.

26

  2XWVRXUFLQJ GRV 6HUYLoRV GH 6HJXUDQoD GD ,QIRUPDomR

> 67% das empresas so favorveis a algum tipo de outsourcing.
> 22% consideram ser possvel gerenciar a segurana por conta prpria.
> Para 51% dos entrevistados, o outsourcing dos servios de Segurana da
Informao importante, uma vez que uma atividade que necessita ter o
apoio de especialistas.

  6HUYLoRV UHPRWRV GH *HUHQFLDPHQWR GH 6HJXUDQoD

> 71%

das

organizaes

so

favorveis

aos

servios

remotos

de

gerenciamento.
> 18% consideram ser possvel gerenciar sozinha a segurana.
> Para 52% dos profissionais entrevistados, os servios remotos de
gerenciamento
custo/benefcio.

so

importantes,

pois

tm

uma

boa

relao

de

27

&$378/2 9,

$1/,6( &203$5$7,9$
  2EVWiFXORV SDUD ,PSOHPHQWDomR GD 6HJXUDQoD GD
,QIRUPDomR

> Comparando os resultados de 2003 com os obtidos em 2002, constatam-se

mudanas significativas: a falta de conscincia dos usurios era o segundo
item mais apontado em 2002. Nesse ano, a dificuldade de demonstrar o
retorno e o custo de implantao aparecem nas primeiras colocaes.
> No entanto, como em 2002, a falta de conscincia dos executivos continua
sendo apontada como o principal obstculo, apesar de uma queda de 10
pontos percentuais.

28

  ([SHFWDWLYDV HP 5HODomR DRV 3UREOHPDV

> Em relao s expectativas em relao aos problemas com segurana, o
estudo registrou uma pequena variao: passou de 82% para 78%, ndice
que continua alto.

  2FRUUrQFLD GH $WDTXHV H ,QYDV}HV

> O percentual de empresas que afirmam ter sofrido ataques e invases
subiu de 43%, em 2002, para 77%, em 2003.
> Outro resultado expressivo foi a queda do percentual de empresas que no
sabem informar se sofreram algum tipo de ataque ou invaso: de 31%, em
2002, para 16%, em 2003.

29

  3UHMXt]RV 5HJLVWUDGRV

> O percentual de empresas que no conseguiram quantificar as perdas
diminuiu de 2002 para 2003.
> Alm disso, foi registrado um aumento de quatro pontos percentuais em
relao s empresas que quantificaram seus prejuzos na faixa entre R$ 50
mil a R$ 1 milho.

  3ULQFLSDLV PHGLGDV GH 6HJXUDQoD DGRWDGDV SHODV (PSUHVDV

> Pelo terceiro ano consecutivo, antivrus, sistemas de backup e firewall
foram apontados como as principais medidas de segurana implementadas.
> No Top 5, as mudanas aparecem na quarta e quinta posies. Se em
2002 essas posies foram ocupadas, respectivamente, por capacitao
tcnica e intrusion detection, neste ano os lugares so de poltica de
segurana e capacitao tcnica, respectivamente.
> O crescimento do item Poltica de Segurana reflete o aumento da adoo
da norma NBR ISO/IEC 17799 nas empresas.

30

31

&$378/2 9,,
&21&/86(6 62%5( $  3(648,6$ 1$&,21$/ '(
,1)250$d(6 1$6 (035(6$6

> Em relao ao Top 10 de Medidas de Segurana Adotadas, a lista

apresenta duas novidades em relao pesquisa de 2002: criptografia e
segurana fsica na sala de servidores.
> Software de controle de acesso foi o item que apresentou o aumento mais
significativo: passou da 10, com 52%, para 6, com 64%.
> A Segurana da Informao tornou-se fator prioritrio na tomada de
decises e nos investimentos das organizaes no pas. Essa afirmao
uma das principais concluses apontadas pelos ndices obtidos pela 9
Pesquisa Nacional de Segurana da Informao.
> Esses dados ficam evidentes quando observamos que 73% das empresas
destinam oramento especfico para rea de TI e que, deste total, 28,5%
alocam mais de 5% para rea de Segurana. Alm disso, 60% dos
entrevistados acreditam que os investimentos de suas empresas para 2004
vo aumentar.
> A pesquisa traz ainda importantes avanos relacionados com os

trs

principais aspectos dentro de um projeto de Segurana: Tecnologia

(recursos

fsicos

lgicos),

Pessoas

(cultura,

capacitao

conscientizao) e Processos (metodologia, normas e procedimentos).

32

> Em termos de Tecnologia, constata-se a consolidao das solues

tcnicas e pontuais (antivrus e firewall, por exemplo) como as principais
medidas de segurana implementadas. Alm disso, os profissionais
apontaram como satisfatria a oferta dessas ferramentas e solues no
mercado.
> Em relao a Processos, preciso ressaltar que as novas exigncias legais
(como o Novo Cdigo Civil, a regulamentao Sarbanes e Oxley,
Publicaes do Conselho Federal de Medicina, entre outros) tornaram a
Segurana da Informao prioridade entre os requisitos de negcios de
executivos e empresas.
> Ainda nessa rea, a 9 Pesquisa revela o fortalecimento da NBR ISO/IEC
17799 como a principal norma para implementao da Gesto em
Segurana da Informao, complementando outras normas, legislaes e
regulamentaes que j vinham sendo utilizadas pelas organizaes.
> Se analisarmos as principais ameaas (vrus, divulgao de senhas e
vazamento de informaes) e obstculos para implementao da
Segurana da Informao (falta de conscincia de executivos e usurios)
apontados neste ano, verifica-se a necessidade de um contnuo
investimento em programas de formao, capacitao e conscientizao.
> O fator positivo que as organizaes j enxergam a necessidade de
reverter esse cenrio: Poltica de Segurana e Capacitao Tcnica esto
entre as cinco principais medidas de Segurana a serem implementadas
em 2004.

33

&21&/862
A Segurana de Informaes o elemento chave dentro da organizao,
deixando de estar ligada apenas Tecnologia e passando a ser compreendida
como ferramenta estratgica para a Gesto de negcios, pois envolve aspectos
tcnicos, humanos e organizacionais, sendo fundamental a definio e existncia
de uma Poltica para efetiva proteo das informaes.
Cada vez mais conectadas as Empresas compartilham informaes,
explorando crescentemente as possibilidades oferecidas pela tecnologia. Contudo,
a concorrncia no mercado, em que qualquer informao estratgica representa o
diferencial competitivo da Empresa, passando a fazer parte da Gesto do prprio
negcio.
A implementao das principais prticas de Segurana da Informao na
Gesto estratgica uma responsabilidade de todos e, como tal, deve ser de
conhecimento de cada profissional da Empresa o cumprimento e conscientizao
de medidas de proteo dos recursos da informao, pois se trata de questo de
alta prioridade estratgica.

34

%,%/,2*5$),$
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBRISO/IEC17799:
Tecnologia da informao - Cdigo de prtica para a gesto da segurana da
informao. Rio de Janeiro, 2001.
9 PESQUISA nacional sobre segurana da informao. 2003. Disponvel em:
<http://www.modulo.com.br>. Acesso em: 20 abr. 2004.
COLTRO, Renata. Segurana: prioridade coorporativa. Computerworld, So Paulo,
p. 26, 13 mar 2002.
CONCEITOS de segurana TI. 2000. Disponvel em:
<http://www.ti.petrobras.com.br/gcom/seguranca/>. Acesso em: 25 jul. 2002.
MDULO Security Solutions S/A. 2004. Disponvel em:
<http://www.modulo.com.br>. Acesso em: 13 maio. 2004.

MOREIRA, Stringasci Nilton. Segurana mnima: uma viso coorporativa da

segurana de informaes. Rio de Janeiro: Axcel Books, 2001.
A FUGA Involuntria das Informaes Estratgias nas Empresas: Fragilidade nas
Redes. Disponvel em:
< http://www.brasiliano.com.br/artigo_102.htm>. Acesso em: 10 maio 2004.
O PENSAMENTO Competitivo e a Segurana de Informaes. 2002. Disponvel em:
< http://www.brasiliano.com.br/artigo_20021028_a6.htm>. Acesso em: 06 abr
2004.
POLTICAS e diretrizes. 2002. Disponvel em:
< http://www.serinf.petrobras.com.br/politicas/politica.htm>. Acesso em: 03 maio.
2004.
SEGURANA da tecnologia. 2001. Disponvel em: <http://www.modulo.com.br>.
Acesso em: 10 maio. 2004.

35

1',&(

FOLHA DE ROSTO

AGRADECIMENTO

RESUMO

METODOLOGIA

SUMRIO

INTRODUO

CAPTULO I - CONCEITOS

11

CAPTULO II  CLASSIFICAO DE INFORMAES

CAPTULO III  OBJETIVOS DA SEGURANA DE INFORMAES

11
12

CAPTULO IV  POLTICA DE SEGURANA

15

4.1 - Desenvolvimento de uma Poltica de Segurana

16

4.2 - A Poltica de Segurana define o que precisa ser protegido

16

CAPTULO V  PESQUISAS SOBRE SEGURANA DE INFORMAES NAS

EMPRESAS
17
5.1 - Principais Ameaas Segurana da Informao

17

5.2 - Incidncia de Ataques e Invases

17

5.3 - Prejuzos Contabilizados

18

5.4 - Medidas Adotadas Aps Ataques e Invases

18

5.5 - Principais Responsveis

18

5.6 - Principais Pontos de Invaso

19

5.7 - Principais Obstculos para Implementao da Segurana

20

5.8 - Implementao de Segurana da Informao

21

5.9 - Poltica de Segurana Utilizada

21

5.10 - Medidas de Segurana j Implementadas

22

36

5.11 - Plano de Continuidade de Negcios

22

5.12 - Medidas de Segurana mais Implementadas das Empresas

Pesquisadas

23

5.13 - Responsveis pela Segurana da Informao nas Empresas

23

5.14 - Nmero de Profissionais Dedicados

23

5.15 - Investimentos em Segurana da Informao

24

5.16 - Oramento Destinado Segurana da Informao

24

5.17 - Top 10 Medidas de Segurana para 2004

25

5.18 - Outsourcing dos Servios de Segurana da Informao

26

5.19 - Servios Remotos de Gerenciamento de Segurana

26

CAPTULO VI  ANLISE COMPARATIVA

27

6.1 - Obstculos para Implementao da Segurana da Informao

27

6.2 - Expectativas em Relao aos Problemas

28

6.3 - Ocorrncia de Ataques e Invases

28

6.4 - Prejuzos Registrados

29

6.5 - Principais medidas de Segurana adotadas pelas Empresas

29

CAPTULO VII  CONCLUSES SOBRE A 9 PESQUISA NACIONAL

DE INFORMAES NAS EMPRESAS

31

CONCLUSO

33

BIBLIOGRAFIA

34

NDICE

35

FOLHA DE AVALIAO

36

37

)2/+$ '( $9$/,$d2

1RPH GD ,QVWLWXLomR
7tWXOR GD 0RQRJUDILD
$XWRU
'DWD GD HQWUHJD
$YDOLDGR SRU

$YDOLDGR SRU

$YDOLDGR SRU

&RQFHLWR )LQDO

&RQFHLWR

&RQFHLWR

&RQFHLWR