PLANO DE SEGURANA DE TI

GRUPO 6:
ALAN CASSIANO DE CARVALHO
JULIANO ALVES DE LIMA PEREIRA
LUIZ OCTVIO FELICIANO
PAULO VICTOR SALTARELLI
PEDRO HENRIQUE NOGUEIRA

SEGURANA E AUDITORIA DE SISTEMAS DE INFORMAO

PROFESSOR: RMULO MAIA ALVES

ABRIL
2013

Sumrio
1.

Introduo .............................................................................................................................. 1

2.

Objetivos ................................................................................................................................. 2

3.

Contexto da empresa ............................................................................................................. 2

3.1.

Misso .............................................................................................................................. 3

3.2.

Situao Gerencial............................................................................................................ 3

3.3.

Contato ............................................................................................................................. 3

4.

Plano de segurana ................................................................................................................ 3

5.

Cronograma ......................................................................................................................... 16

6.

Custo ..................................................................................................................................... 17

8.

Consideraes Finais ....................................................................................................... 19

9.

Referncias Bibliogrficas .................................................................................................. 20

1. Introduo
A informao tem um valor altamente significativo e pode representar grande poder para
quem a possui. A informao contm valor, pois est integrada com os processos, pessoas e
tecnologias. A informao um ativo que, como qualquer outro ativo importante para os
negcios, tem um valor para a organizao e consequentemente necessita ser adequadamente
protegida (NBR 17999, 2003).
Um computador (ou sistema computacional) dito seguro se este atende a trs requisitos
bsicos relacionados aos recursos que o compem: confidencialidade, integridade e
disponibilidade. A confidencialidade diz que a informao s est disponvel para aqueles
devidamente autorizados; a integridade diz que a informao no destruda ou corrompida e o
sistema tem um desempenho correto, e a disponibilidade diz que os servios/recursos do sistema
esto disponveis sempre que forem necessrios.
Para melhorar a proteo das informaes preciso analisar os riscos, definir uma
poltica de segurana e fazer um plano de contingncia. A anlise de riscos o processo de
identificao e avaliao dos fatores de risco presentes. Atravs deste relatrio, a empresa ter
conhecimento das ameaas e de qual ser o investimento necessrio. , basicamente, uma
maneira de prever problemas e ter conhecimento dos pontos vulnerveis da empresa. A partir
desta anlise, desenvolvida uma poltica de segurana da empresa, cuja principal funo
estipular normas e diretrizes destinadas proteo dos dados, ou seja, estipular regras para que
haja o uso seguro de todo sistema de informao. Com as falhas identificadas e a elaborao de
uma poltica de segurana hora de traar um plano de contingncia. Trata-se da descrio de
qual ser a providncia a ser tomada caso haja algum problema com as informaes da empresa,
isto , os procedimentos e as capacidades necessrias para a recuperao de aplicaes
especficas ou sistemas complexos.
Este trabalho ser focado em uma empresa de tecnologia que possui uma sede em Lavras,
que atua na rea de desenvolvimento de software. Um trabalho de anlise de planejamento de
estratgias de segurana ser feito, com base nas informaes que sero obtidas na empresa, para
obter um melhor gerenciamento da empresa para a tomada de deciso.

2. Objetivos
Realizar coleta de informaes da empresa; elaborar um roteiro de investigao e fazer a
anlise situacional da segurana da informao na empresa e oferecer um plano de segurana
propondo atividades de melhoria juntamente com o cronograma.

3. Contexto da empresa
A SWFactory Consultoria e Sistemas surgiu em 2003 dentro de um ambiente acadmico,
com o objetivo de suprir a demanda por softwares de qualidade nos departamentos didticos e
cientficos da Universidade Federal de Lavras. Alm da produo de softwares existia ainda
demanda pelo desenvolvimento de pesquisas e trabalhos relacionados educao a distncia e
melhoria de processo de software.
Diante desse cenrio a empresa rapidamente se destacou dentro e fora da universidade e
se especializou nas seguintes reas de negcio:

Fbrica de software;

Ensino a distncia;

Consultoria em melhoria de processo de software.

A SWFactory encontra-se em processo de implementao do MPS BR nvel F em sua
Fbrica de Software, possuindo gerentes de projeto certificados Project Management
Professional PMP e vrios analistas Java Sun CertifiedProgrammer - SCJP. A empresa possui
clientes em diversas partes do pas e, recentemente, inaugurou uma filial em Belo Horizonte.
Possui tambm uma equipe com mais de 4 (quatro) anos de experincia em customizao
e implantao de metodologias e ferramentas de ensino a distncia em universidades e ambientes
coorporativos. A empresa conta ainda com consultores em melhoria de processo de software nos
modelos MPS.BR e CMMI em parceria com a SWQuality Consultoria e Sistemas. Nesse
ramo de consultoria, a empresa trabalha tambm com a implantao de solues de gerncia
integrada de projetos e implantao de escritrios de projetos em parceria com a empresa WBS
Management & Training.

3.1.

Misso

Maximizar os resultados e superar as expectativas dos seus clientes por meio de produtos,
servios e solues em TI (Tecnologia da Informao), tendo como premissa a qualidade de seus
processos e o incentivo capacitao, cooperao e motivao profissional.

3.2.

Situao Gerencial

A empresa SWFactory Consultoria e Sistemas tem sua matriz em Lavras e conta com
uma filial em Belo Horizonte junto a Montreal Informtica.
A empresa hoje conta com trs scios, seis Analistas de Sistemas, sete Programadores,
seis estagirios e um administrador de empresas totalizando 23 funcionrios. A empresa
caracterizada como uma micro empresa.
A empresa trabalha com vrios clientes como: Montreal Informtica, Oi, CEMIG,
Expresso Nepomuceno, UFLA, etc. A principal atividade da SWFactory Fbrica de Software,
ou seja, ela desenvolve sistemas a partir de uma necessidade da empresa. Existe sempre uma
anlise do que o cliente necessita, pois, talvez no seja interesse da empresa, pois, pode fugir o
foco de Fbrica de Software.

3.3.

Contato

Matriz Lavras
Avenida Juscelino Kubitschek, 420, Centro
Centro - Lavras - Minas Gerais
CEP 37.200-000
Telefax (35)3822-8148

4.

Plano de segurana

De acordo com o contexto, consideramos as seguintes normas:

ABNT NBR ISO/IEC 27001:2006
ABNT NBR ISO/IEC 17799:2005
Escolhemos ento, alguns objetivos de controle e controles, listados na ABNT NBR
ISO/IEC 17799:2005 sees 5 a 15. As listas na tabela A.1.

A.5 Poltica de Segurana

Objetivo
Prover uma orientao e apoio da direo para a segurana da informao de acordo
com os requisitos do negcio e com as leis e regulamentaes pertinentes.

A.5.1.1. Documentao da poltica de segurana da informao

Controle
Um documento da poltica de segurana da informao deve ser aprovado pela direo,
publicado e comunicado para todos os funcionrios e partes extremas relevantes.
Situao
Existe sim uma preocupao da direo com relao a segurana, porm no h nenhum
documento ou norma de Politica de Segurana, oficial a ser seguida. Muitas vezes, os
funcionrios apenas descobrem a politica da empresa, apenas no ato de descumprimento.
Recomendaes
Elaborar uma politica de segurana e entregar a todos os funcionrios, assim como um
termo de comprometimento a ser assinado por todos os colaboradores. O documento deve conter,
as politicas de segurana assim como tambm as consequncias no caso de violao dessa
politica.

A.5.1.2. Anlise crtica da poltica de segurana da informao

Controle
A poltica de segurana da informao deve ser analisada criticamente a intervalos
planejados ou quando mudanas significativas ocorrerem, para assegurar a sua contnua
pertinncia, adequao e eficcia.
Situao
No existe um responsvel pela manuteno e anlise crtica da politica; o processo
feito informalmente em comum acordo com os membros da direo e no feito em intervalos
pr definidos.

Recomendaes
Deve-se escolher um responsvel por manter e analisar a politica de segurana; ele deve
ser capaz de reformular, adaptar ou incluir novos itens periodicamente; sua preocupao
principal dever ser de manter a politica alinhada aos objetivos da empresa, de tal forma que,
qualquer mudana no acarrete em falhas e os custos dessas mudanas devem ser estimados
previamente.
A.6 Organizando a segurana da informao
A.6.1 Infra-estrutura da segurana da informao
Objetivo
Gerenciar a segurana da informao dentro da organizao.
A.6.1.1 Comprometimento da direo com a segurana da informao
Controle
A direo deve apoiar ativamente a segurana da informao dentro da organizao, por
meio de um claro direcionamento, demonstrando o seu comprometimento, definindo as
atribuies de forma explcita e reconhecendo as responsabilidades pela segurana da
informao.
Situao
A direo tem conscincia e demonstra grande preocupao com a segurana da
informao; porm no h tanto comprometimento com a execuo dos procedimentos e
politicas at mesmo porque no h nenhuma politica homologada.
Recomendaes
A diretoria precisa assumir mais a responsabilidade sobre as questes que envolvem
segurana da informao a fim de conscientizar os funcionrios e atribuir responsabilidades.
A.6.1.5 Acordos de Confidencialidade
Controle
Os requisitos para confidencialidades ou acordos de no divulgao que reflitam as
necessidades da organizao para proteo da informao devem ser identificados e analisados
criticamente, de forma regular.

Situao
A empresa no possui documentos que explicitam a confidencialidade das informaes
da organizao. Existe apenas um controle de acesso para cada usurio em determinado sistema;
porm mesmo os que tm acesso, no assinam ou reconhecem algum termo de
confidencialidade.

Recomendaes
de alta prioridade, a elaborao de documentos especficos que atestam a
confidencialidade das informaes; esse processo se faz de grande urgncia pois a empresa
desenvolve aplicaes para terceiros, onde alguns dados de outras empresas ficam expostos a
desenvolvedores e testadores.
A.6.2 Partes externas
Objetivo
Manter a segurana dos recursos de processamento da informao e da informao da
organizao, que so acessados, processados, comunicados ou gerenciados por partes externas.
A.6.2.1 Identificao dos riscos relacionados com partes externas
Controle
Os riscos para os recursos de processamento da informao e para informao da
organizao oriundos de processos do negcio que envolvam as partes externas devem ser
identificados e controles apropriados devem ser implementados antes de se conceder o acesso.
Situao
Alguns usurios utilizam o acesso remoto do Windows, para acesso ao servidor e
atualizao de sistemas. Cada usurio utiliza uma mesma senha restrita, logo, no existe um
controle de quem est usando o servidor. O acesso ao servidor feito apenas diretamente
empresa, em outros locais no possvel fazer este acesso.
Recomendaes
Fiscalizar o acesso e elaborar um documento, contendo as atividades restritamente
proibidas de serem realizadas via acesso remoto, como por exemplo, a abertura de e-mails;
downloads, atualizaes de sistemas e etc. Esse procedimentodeve fazer parte do documento de
poltica de segurana da informao (item A.5.1.1)

A.7 Gesto de ativos

A.7.1.1- Inventrio dos ativos
Objetivo
Alcanar e manter a proteo adequada dos ativos da organizao
Controle
Todos os ativos devem ser claramente identificados e uminventrio de todos os ativos
importantes deve ser estruturado e mantido

Situao
A empresa possui uma forma de controle de todos os ativos fsicos, entretanto os ativos
de software no so claramente identificados na empresa.
Recomendaes
Identificar e classificar todos os ativos relevantes segurana da informao da empresa.
A.7.2 - Classificao da informao
Objetivo
Assegurar que a informao receba um nvel adequado de proteo.
A.7.2.1 - Recomendaes para classificao
Controle
A informao deve ser classificada em termos do seu valor, requisitos legais,
sensibilidade e criticidade para a organizao.
Situao
Ainda no existe na empresa um sistema funcional para a classificao da informao em
que todos os funcionrios da empresa possa acessar e ter conhecimento do que realmente ele est
fazendo e quais podero ser seus impactos.
Recomendaes
Buscar em implantar um sistema de classificao de informaes.

A.9 Segurana fsica e do ambiente

A.9.1 reas seguras
Objetivo
Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e
informaes da organizao.

A.9.1.2. Controles de entrada fsica

Controle
As reas seguras devem ser protegidas por controles apropriados de entrada para
assegurar que somente pessoas autorizadas tenham acesso.
Situao
Existe um controle com relao ao acesso de pessoas externas que feito pelos prprios
funcionrios da empesa. Visto que a empresa de pequeno porte, logo, se torna mais fcil essa
identificao, porm, no a maneira certa de agir. A empresa conta com cmeras de vigilncia
na rea externa.
Recomendaes
Utilizao de carto magntico para entrada e sada de pessoas na empresa e utilizao de
interfone para comunicao externa antes de qualquer contato direto.
A.9.1.3. Segurana em escritrios salas e instalaes
Controle
Deve ser projetada e aplicada segurana fsica para escritrios, salas e instalaes.
Situao
A empresa possui alarmes de ltima gerao caso haja roubos e arrombamentos, porm,
no existe uma poltica de acesso das pessoas, sem cmeras de vigilncia na rea interna da
empresa e no existe portaria para identificao das pessoas. uma empresa de pequeno porte,
ento, essa identificao fica por conta dos prprios funcinrios da empresa, o que no difcil,
porm, no tem um controle adequado das pessoas.
Recomendaes
Com o crescimento da empresa, o ideal seria criar cartes magnticos para acesso a
empresa, leitor digital e pessoas que especficas para fazer identificao de funcionrio e
visitantes.

A.9.2 Segurana de equipamentos

Objetivo
Impedir perdas, danos, furto ou comprometimento de ativos e interrupo das atividades da
organizao.
A.9.2.4. Manuteno dos equipamentos
Controle
Os equipamentos devem ter manuteno correta, para assegurar sua disponibilidade e
integridade permanente.
Situao
Est disponvel computadores, mesas, softwares para que possa executar as tarefas a que
os funcionrios foram delegados. Porm, no se sabe se o equipamento est sendo utilizado de
maneira correta. Algum desses equipamentos pode falhar e causar uma perda de informao.
Recomendaes
Manutenes constantes em perodos j programados pela equipe nos equipamentos a fim
de evitar perda de dados devido s falhas de software ou hardware.

A.9.2.7 Remoo de propriedade

Controle
Equipamentos, informaes ou software no devem ser retirados do local sem
autorizao prvia.
Situao
S h controle para retirada para usurios externos. Os usurios internos no h controle.
Recomendaes
Formalizao nas regras internas e controle de utilizao de equipamentos.Esse
procedimento deve fazer parte do documento de poltica de segurana da informao (item
A.5.1.1)
A.10 Gerenciamento das operaes e comunicaes
A.10.1 - Procedimento e responsabilidades operacionais
Objetivo
Garantir a operao segura e correta dos recursos de processamento de informaes.
9

A.10.1.2 - Gesto de mudanas

Controle
Modificaes nos recursos de processamento da informao e sistemas devem ser
controladas.
Situao
Existe um controle quanto ao acesso a essas informaes, nem todos tem acesso a tudo,
mas ainda no foi definido com maior rigor quais as pessoas que podem ou no ter acesso, o que
torna perigoso, pois acessos so liberados sem uma definio prvia.
Recomendaes
Definir os responsabilidades, classificar e separar grupos de profissionais dentro da
empresa de acordo com suas necessidades de acesso.
A.10.4 Proteo contra cdigos maliciosos e cdigos mveis
Objetivo
Proteger a integridade do software e da informao.
A.10.4.1 Controle contra cdigos maliciosos
Controle
Devem ser implantados controles de deteco, preveno e recuperao para proteger
contra cdigos maliciosos, assim como procedimentos para a devida conscientizao dos
usurios.
Situao
Atualmente a empresa possui um para proteo contra vrus, e um anti-spyware, porm
no h um procedimento para conscientizao dos usurios.
Sugestes
Informar aos funcionrios sobre os perigos e conseqncias que a execuo de cdigos
maliciosos podem causar num ambiente empresarial.
A.10.5 Cpia de Segurana:
Objetivo
Manter a integridade e disponibilidade da informao e dos recursos de processamento
de informao

10

A.10.5.1 Cpias de segurana das informaes

Controle
Cpias de segurana das informaes e dos softwares devem ser efetuadas e testadas
regularmente, conforme poltica de gerao de cpias de segurana definida.
Situao
feito um backup no servidor localizado na empresa Montreal Informtica de todos os
arquivos, banco de dados, etc, porm, esse backup se torna defasado pelo grande movimento de
informaes que acontece no sistema.
Recomendaes
Manter e melhorar o processo quanto ao tempo em que ser feito o backup e se certificar
de sua eficcia.
A.10.6 Gerenciamento da segurana em redes
Objetivo
Garantir a proteo das informaes em redes e a proteo da infra-estrutura de suporte.

A.10.6.1 Controles de rede

Controle
Redes devem ser adequadamente gerenciadas e controladas, de forma a proteg-las
contra ameaas e manter a segurana de sistemas e aplicaes que utilizam estas redes, incluindo
a informao em trnsito.
Situao Atual:
A situao da rede da empresa controlada por um firewall que bloqueia os sites
indevidos. E tambm h um programa de concientizao dos usurios da rede para uma
navegao e troca de arquivos seguros.
Recomendaes
Realizar a manuteno peridica das ferramentas utilizadas atualmente.

11

A.10.7 Manuseio de mdias

Objetivo
Prevenir contra divulgao no autorizada, modificao, remoo ou destruio aos
ativos e interrupes das atividades do negcio.
A.10.7.1 Gerenciamento de mdias removveis
Controle
Devem existir procedimentos implementados para o gerenciamento de mdias
removveis.
Situao Atual:
H um programa de concientizao para que todos os discos removveis abertos dentro da
empresa estejam livre de possveis ameaas e h um programa antivrus funcionando
corretamente em todas as mquinas.
Recomendaes:
Fazer verificao de todas as mdias inseridas nas mquinas antes de acessar as
informaes presentes dentro das mesmas.

A.10.7.2 Descarte de mdias

Controle
As mdias devem ser descartadas de forma segura e protegida quando no forem mais
necessrias, por meio de procedimentos formais.
Situao Atual
A empresa no possui um sistema de descarte de mdias que no sero mais utilizadas.
Recomendaes
Recomenda-se que a empresa tenha um plano seguro de descarte de mdias da seguinte forma:
apagar todoas as informaes contidas nas mdias que sero descartadas e logo aps fazer o
descarte. Caso no tenha como apagar as informaes contidas, recomenda-se que destrua a
mdia e depois faa o descarte. Tudo para impossibilitar a propagao das informaes contidas.

12

A.11 Controles de acesso

A.11.2 Gerencimento de acesso do usurio
Objetivo
Assegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas de
informao.

A.11.2.1 Registro do usurio

Controle
Deve existir um procedimento formal de registro e cancelamento de usurio para garantir
e revogar acessos em todos os sistemas de informao e servios.
Situao atual
Atualmente toda a liberao ou bloqueio de acesso efetuado apenas com Solicitaes
via telefone ou em conversas informais.
Recomendaes
Melhorar o processo de comunicao para que no ocorra falhas. O processo deve ser
documentado com, por exemplo, a utilizao de emails solicitando a liberao ou bloqueio de
acesso.

A.11.3 Responsabilidade dos usurios

Objetivo
Prevenir o acesso no autorizado dos usurios e evitar o comprometimento ou furto de
informao e dos recursos de processamento da informao.
A.11.3.1 Uso de senhas
Controle
Os usurios devem ser orientados a seguir boas prticas de segurana da informao na
seleo e uso de senhas.

13

Situao
Os usurios criam as senhas que acham mais adequada, e no so notificados a criar
senhas com maior padro de segurana.
Recomendaes
Primeiramente deve ser utilizado um sistema de gerenciamento de senha. Aps esse
passo os usurios devem ser instrudos a criar senhas melhores. Esse procedimentodeve fazer
parte do documento de poltica de segurana da informao (item A.5.1.1).

A.14 Gesto da continuidade do negcio

A.14.1 Aspectos da gesto da continuidade do negcio, relativos segurana da
informao.
Objetivo
No permitir a interrupo das atividades do negcio e proteger os processos crticos
contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil,
se for o caso.
A.14.1.2 Continuidade de negcios e anlise/avaliao de risco
Controle
Devem ser identificados os eventos que podem causar interrupes aos processos de
negcio, junto probabilidade e impacto de tais interrupes e as consequncias para a
segurana da informao.
Situao atual
Atualmente no existe nenhum evento documentado.
Recomendaes
Todos os servios e processos crticos devem ser analisados, verificar os impactos que
podem ocorrer no caso de interrupo, o tempo mnimo que esses servios podem ficar
indisponveis e mensurar os prejuzos. Analisar tambm quais eventos podem causar
interrupes no servio e quais as possibilidades de eles acontecerem.

14

A.14.1.3 Desenvolvimento e implementao de planos de continuidade relativos

segurana da informao
Controle
Os planos devem ser desenvolvidos e implementados para a manuteno ou recuperao
das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de
tempo requerida, aps a ocorrncia da interrupes ou falhas dos processos crticos do negcio.
Situao atual
No h nenhum plano de contingencia documentado e homologado.
Recomendaes
Dever ser criado um plano de contingncia, para que os servios essenciais possam
voltar a funcionar em tempo hbil. Devero ser estabelecidas as responsabilidades de cada
funcionrio da equipe.

15

5. Cronograma
A empresa levar cinco semanas para concluir a implementao do plano de segurana, dado
pelo cronograma abaixo:

Atividade/
Semana

Primeira
Semana

Segunda
Semana

Apresentao
do PS para a
empresa:

Apresentao
com
os
pontos
principais
que
a
empresa ir
lucrar

Levantamento
dos
pontos
principais em
que a empresa
perde
sem
segurana

Incio
do
levantamento
dos pontos de
controle
falhos
Correo das
falhas
e
ameaas

Finalizao,
reviso
e
apresentao
dos
resultados

Terceira
Semana

Quarta
Semana

Planejamento
das correes
e falhas e
exposio das
mesmas

Planejamento
das correes
e falhas e
exposio das
mesmas

Quinta
Semana

Sexta
Semana

Atualizao
dos softwares
de controle
de
rede,
softwares de
antivrus,
configurao
correta
do
firewall

Treinamento
dos
funcionrios
para o uso
consciente
das
mdias
removveis e
dos sites e
downloads
acessados

Stima
Semana

Oitava
Semana

Finazlizao
das ltimas
correes,
reviso de
tudo que foi
feito.

Apresentao
dos
resultados e
colocao do
quo segura a
empresa
estar

diretoria da
empresa,

16

6. Custo
Aquisio de Normas e Treinamento/Conscientizao dos Colaboradores
O primeiro passo adquirir a Norma ABNT NBR 27001, cujo valor de R$108,10.

Catlogo
ABNT:
ISO
27001.
http://www.abntcatalogo.com.br/norma.aspx?ID=1492

Disponvel

em:

Para treinamento e conscientizao dos funcionrios envolvidos, sero utilizados diversos

videos disponveis no youtube, o que acarretar numa reduo no custo total da implementao
da ISO 27001.
Custo com ajuda externa/consultoria
Ser necessrio contratar temporariamente um profissional externo, que ir auxiliar no
processo e tambm ir treinar um funcionrio da empresa que ser o responsvel pelo plano de
segurana.

17

Como um funcionrio da empresa ficar responsvel pelo plano, o custo com funcionrio
ser apenas o custo da contratao de uma consultoria.
Devido a dificuldade em encontrar fontes confiveisque forneam os valores exatos da
consultoria, foi feito uma mdia entre os valores encontrados na internet, que foi
aproximadamente R$210,00 (duzentos e dez reais) a hora. Sendo assim, analisamos que em cada
etapa do projeto, necessrio pelo menos 5 horas de participao de um consultor. Teremos
ento 3 etapas que so de suma importncia a participao do consultor: Inicio da implantao;
no decorrer da implantao e por fim na anlise dos resultados.
Portanto os custos com consultoria externa sero:
15(horas) x R$210,00 = R$3150,00 (Trs mil, cento e cinquenta reais)
Custo com Tecnologia/Equipamentos

Aquisio de um interfone com camera de vigilancia e fechadura eletrnica, que ser

utilizada na porta da empersa para controlar a entrada e sada de pessoal.
O valor aproximado deste item de R$500,00 (quinhentos reais), incluindo o custo da
instalao.
Custo Estimado
Como a empresa no momento, no pretende possuir o certificado que cumpriu com a
norma ISO 270001, no ser necessrio contratar um organismo de certificao.
A empresa no pretende tambm contratar novos funcionrios para auxiliar ou se
responsabilizar pelo plano de segurana, sendo assim o responsvel por esse processo ser um
funcionrio j contratado que ir atuar juntamente com os gerentes.
Os gastos imediatos, sero:
Aquisio da Norma ABNT: ISO 27001 : R$108,10
Tecnologia/Equipamentos: R$500,00
Contratao de Consultoria : R$3150,00
Total : R$ 3758,10 (Trs mil, setecentos e cinquenta e oito reais e dez centavos)

18

7. Resultados esperados
Espera-se que a empresa aceite e realize as atividades propostas para melhorar a forma
como ela lida com a segurana e com seus ativos de informao. A segurana se torna um ponto
crucial a ser tratado dentro de uma empresa, pois, caso algum desses controles no seja cumprido
e ocorra o inesperado, o prejuzo pode ser grande e o principal, a relao com o cliente pode ser
duvidosa.
Com essas solues propostas, esperado que, possveis ameaas contra a empresa possa
sercombatida ou at eliminada com maior facilidade.

8. Consideraes Finais
As organizaes sempre esto vulnerveis a inmeras ameaa e problemas e na literatura
fornecida vrias maneira para se resolver, analisar e tentar amenizar. O gestores devem sempre
dar ateno sobre segurana, pois, um ponto crtico para as empresas.
A literatura engloba diversas normas e ferramentas para que possa auxiliar o
melhoramento contnuo dos processos de uma instituio qualquer.
Este trabalho est limitado a resolver os problema de Segurana da Informao em um
ambiente de Fbrica de Software (Desenvolvimento de Software). Esse trabalho mostra que
conhecido o impacto que se tem quando se utiliza os controles bem definidos na organizao.
Fica exposto que, muitas vezes, os gestores conhecem seus problemas mas os ignoram, com um
pensamento de que problemas de determinado aspecto nunca ir acontecer na instituio, ou
apenas por confiar em seus funcionrios e pode ser tambm, por no haver um plano bem
definido quanto a segurana.
Quando se tem uma boa elaborao da proposta a ser encaminhada aos gestores,
mostrando os pontos de maior vulnerabilidade, as suas consequncias e ricos, essa proposta se
torna melhor aceita e a sua aplicao vista como uma grande necessidade. Este trabalho
mostrou que as normas sugerem processos contnuos para a evoluo, crescimento e qualidade
dos processos em geral.
O interessante do trabalho foi a associao dos funcionrios perante a anlise feita.
Mesmo no usando a proposta, alguns funcionrio j comearam a praticar alguns controles.
Por fim, apesar de algumas limitaes nas informaes, foi satisfatrio o presente
trabalho, pois a experincia vivenciada demonstrou a aplicabilidade de contedos aprendidos em
sala de aula, contrapondo a rotina das atividades tericas.

19

9. Referncias Bibliogrficas
Cartilha de Segurana para Internet, verso 3.1 / CERT.br So Paulo: Comit Gestor da
Internet no Brasil, 2006.
Laureano, Marcos A. P. Apostila de Gesto de Segurana da Informao, 2005. Visualizado
em 24/03/2013, s 21h50min. Disponvel em:
http://www.vazzi.com.br/moodle/pluginfile.php/225/mod_resource/content/1/apostila_LAUREA
NO.pdf
NBR ISO/IEC 17799 Tecnologia da Informao. Cdigo de Prtica para Gesto da Segurana
da Informao. Associao Brasileira de Normas Tcnicas. Rio de Janeiro, 2003.
NBR ISO/IEC 27001:2006 Tecnologia da informao Tcnicas de segurana Sistemas de
gesto da segurana da informao Requisitos. Associao Brasileira de Normas Tcnicas. Rio
de Janeiro, 2006.
SwFactory, 2013: visualizado em 24/03/2013, s 21h10min. Disponvel em:
http://www.swfactory.com.br/principal/index.php
Trueaccess, 2013: visualizado em 24/03/2013, s 21h10min. Disponvel em:
http://trueaccess.com.br/blog/2011/08/importancia-seguranca-informacao-era-virtual/

20