Você está na página 1de 135

UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL

ESCOLA DE ENGENHARIA
MESTRADO PROFISSIONALIZANTE EM ENGENHARIA

SISTEMA DE GERENCIAMENTO DE SEGURANA DE


INFORMAES: PROCESSO DE AUDITORIA

Fbio Antonio Pizzoli

Porto Alegre
2004

FBIO ANTONIO PIZZOLI

SISTEMA DE GERENCIAMENTO DE SEGURANA DE INFORMAES:


PROCESSO DE AUDITORIA

Trabalho de Concluso do Curso de Mestrado


Profissionalizante em Engenharia como requisito parcial
obteno do ttulo de Mestre em Engenharia modalidade
Profissionalizante nfase: Qualidade e Gerncia de Servios.

Orientador: Leonardo Rocha de Oliveira, Ph.D.

Porto Alegre
2004

2
Este Trabalho de Concluso foi analisado e julgado adequado para a obteno do
ttulo de Mestre em Engenharia e aprovado em sua forma final pelo Orientador e pelo
Coordenador do Mestrado Profissionalizante em Engenharia, Escola de Engenharia
Universidade Federal do Rio Grande do Sul.

__________________________________
Prof. Leonardo Rocha de Oliveira, Ph.D.
Escola de Engenharia / UFRGS
Orientador

___________________________________
Profa. Helena Beatriz Bettella Cybis, Dra.
Coordenadora MP/Escola de
Engenharia/UFRGS

Banca Examinadora:
Cludio Jos Mller, Dr.
Prof. PPGEP/UFRGS
Joo Dornelles Junior, Dr.
Prof. PUCRS / RS
Mirian Oliveira, Dra.
Profa. PUCRS / RS

Este trabalho dedicado minha esposa,


Maria de Ftima, pelo incentivo, carinho e
pela compreenso.

AGRADECIMENTOS

Ao meu pai, por ser exemplo de pessoa que acredita no estudo como meio de tornar a
vida melhor e mais digna.
minha me, por me mostrar que persistncia e fora de vontade so essenciais para
vencer na vida.
minha esposa, pela pacincia comigo neste perodo de ausncia, pela fora nos
momentos de dificuldade, incentivando sempre.
Ao Professor Leonardo, pela orientao deste trabalho, sempre pronto a ensinar,
incentivando e tolerando minhas imperfeies.
Maria de Lourdes (L), minha cunhada, pelo auxlio na formatao deste trabalho,
sempre prestativa e dedicada a resolver os eventuais problemas do Word.
Ao Maurcio Venturin, amigo e colega que foi o primeiro incentivador do assunto
deste trabalho.
A Det Norske Veritas que me proporcionou a oportunidade da utilizao do caso
estudado neste trabalho e pelo apoio fornecido.

RESUMO
A informao tem sido apontada como a principal fonte de poder dentro das organizaes e,
como tal, desejada e precisa ser protegida. Para isso a Norma BS 7799 define diretrizes para
implementao de um Sistema de Gerenciamento de Segurana de Informaes, cujo objetivo
garantir a integridade, confidencialidade e disponibilidade da informao. O objetivo deste
estudo avaliar os resultados da aplicao de procedimentos padres utilizados para nortear o
processo de auditoria em um Sistema de Gerenciamento de Segurana de Informaes,
baseado na Norma BS 7799. O mtodo utilizado foi o estudo de caso, o qual possibilitou
acompanhar as etapas de um processo de certificao de um Sistema de Gerenciamento de
Segurana de Informaes em uma empresa no Brasil. Como principal resultado, os
procedimentos que definem as diretrizes para realizao do processo de auditoria, em um
Sistema de Gesto da Segurana da Informao, so adequados para utilizao no mercado
nacional. Pequenos ajustes podem ser introduzidos nos procedimentos, a fim de facilitar as
etapas de elaborao de proposta e definio da carga de auditoria.
Palavras-chave: Segurana da informao; Norma BS 7799; auditoria; auditores.

ABSTRACT
The information has become one of the main source of power within the organizations and
thus, very much desired and must be protected. For this the BS 7799 standard defines
requirements for the implementation of an Information Security Management System that
aims at providing the integrity, confidentiality and availability of information. The objective
of this study is to evaluate the results of standard procedures used to guide the audit process in
an Information Security Management System based on BS 7799. The research methodology
used was case study, which guided the certification process steps of an Information Security
Management System into a Brazilian company. The procedures that define the requirements
for the accomplishment of the audit process in an Information Security Management System
can be quoted as the main results, and are adequate for using in the national market. Small
adjustments can be introduced in the procedures to facilitate the stages of the proposal
establishment and definition of audit time.
Key words: Information security; Standard BS 7799; audit; auditor.

SUMRIO

LISTA DE FIGURAS............................................................................................................... 9
1 INTRODUO ................................................................................................................ 10
1.1 Objetivos ..................................................................................................................... 13
1.1.1 Objetivos Especficos ....................................................................................... 13
1.2 Mtodo de Pesquisa .................................................................................................... 14
1.3 Limitaes do Trabalho .............................................................................................. 15
1.4 Organizao do Trabalho ............................................................................................ 15
2 SISTEMA DE INFORMAO NA GESTO EMPRESARIAL.............................17
2.1 Gesto Empresarial e Estratgica................................................................................ 17
2.2 Padronizao e Qualidade em Sistemas de Informao..............................................23
2.3 Segurana de Informaes na Gesto Empresarial ..................................................... 31
3 SEGURANA NAS INFORMAES ........................................................................ 35
3.1
3.2
3.3
3.4

Conceitos Gerais sobre a Segurana ........................................................................... 35


Gerenciamento de Segurana de Informaes BS 7799 ..........................................40
Atualidade em Segurana de Informaes.................................................................. 48
Aplicao da BS 7799 nas Empresas.......................................................................... 52
3.4.1 Aplicao na T-Systems CSM.......................................................................... 52

4 METODOLOGIA DE PESQUISA ................................................................................ 55


4.1 Mtodo de Pesquisa .................................................................................................... 55
4.1.1 Coleta de Dados................................................................................................ 57
4.1.2 Coleta de Evidncias ........................................................................................ 58
4.1.3 Anlise de Evidncias....................................................................................... 60
4.1.4 Gerao do Relatrio........................................................................................ 61
4.1.5 Det Norske Veritas: Dados Gerais. .................................................................. 62
5 ESTUDO DE CASO PROCESSO DE AUDITORIA EM BS 7799 ....................... 69

8
5.1 Seqncia do Processo de Auditoria........................................................................... 69
5.1.1 Procedimento de Cotao e Reviso de Cotao .............................................70
5.1.2 Nomeao e Competncia da Equipe Auditora................................................ 77
5.1.3 Procedimento de Reviso da Documentao ...................................................78
5.1.4 Procedimento para Visita Inicial ...................................................................... 79
5.1.5 Procedimento para Auditoria Inicial ................................................................81
5.1.6 Procedimento para Auditorias Peridicas ........................................................ 82
5.1.7 No-Conformidades e Acompanhamento de Aes Corretivas ....................... 83
5.1.8 Procedimento para Definio do Escopo do SGSI........................................... 83
5.2 Processo de Certificao ............................................................................................. 84
6 CONCLUSES................................................................................................................. 91
6.1
6.2
6.3
6.4

Facilitadores ................................................................................................................ 91
Fatores Crticos ...........................................................................................................92
Resultados da Auditoria .............................................................................................. 94
Sugesto para Trabalhos Futuros ................................................................................ 95

REFERNCIAS ..................................................................................................................... 97
GLOSSRIO ........................................................................................................................ 102
ANEXO A.............................................................................................................................. 103
ANEXO B .............................................................................................................................. 119

LISTA DE FIGURAS
Figura 1

Estgios para o planejamento de sistemas........................................................ 19

Figura 2

Funes estratgicas da informao em servios ............................................. 21

Figura 3

Estrutura do Cobit............................................................................................. 31

Figura 4

Situaes relevantes para diferentes estratgias de pesquisa............................ 55

Figura 5

Desenho da pesquisa......................................................................................... 56

Figura 6

Etapas do processo de certificao ................................................................... 69

Figura 7

Avaliao da complexidade para definio da carga de auditoria....................73

Figura 8

Estimativa dos fatores impactantes .................................................................. 74

Figura 9

Estimativa de homens-dia................................................................................. 74

Figura 10

Passos do processo de auditoria no mercado nacional ..................................... 88

10

CAPTULO 1

INTRODUO
Embora empresas reconheam o valor da informao, comum a gerao de dados

de forma abundante, onerosa, desordenada e sem uso apropriado por parte da gerncia. Em
geral, as organizaes montam pesadas estruturas e despendem recursos para obter dados que
no so analisados e que no so capazes de promover aes de melhorias, pois no se
transformam em informaes teis (NASCIMENTO, 1997).
Dados so registros de fatos ou eventos que podem se transformar em informao,
desde que alocados em sistemas logicamente arquitetados para medir a performance do
negcio, segundo parmetros de importncia para o seu sucesso. Embora dados sejam
ingredientes importantes, por si s no produzem informaes relevantes e oportunas. A
organizao pode ter abundncia de dados, mas pode ser limitada em extrair, filtrar e
apresentar fatos pertinentes que supram as necessidades do tomador de deciso.
A relao entre dados e informaes bastante estreita, embora designe diferentes
estados. Essa relao de proximidade e distino apresentada por Davis e Olson (1987):
Em sntese, os termos dados e informaes com freqncia so utilizados em formas
intercambiais, porm a distino consiste no fato de que os dados elementares so a matria
prima para prover a informao.
importante que os responsveis pelo desenvolvimento de sistemas de informao
tenham a conscincia de que dados isolados, mesmo se em quantidade razovel, no possuem
significado para o tomador de deciso. Aps o tratamento desses dados pelos recursos de

11
informtica disponveis e, seguindo critrios racionais ou intuitivos do usurio, eles podero
ser transformados em informao e disponibilizados no momento e na forma adequados para
serem utilizados com eficincia pelo usurio. As necessidades de informao so diferentes
para cada usurio e diferentes tomadores de deciso podem considerar diferentes informaes
como relevantes.
Segundo Freitas et al.(1997), a relao entre a organizao e a informao bastante
estreita. A influncia da qualidade da informao disponvel na organizao grande, da a
preocupao crescente com a administrao desse recurso. A ateno que os gerentes e
tcnicos envolvidos no processo de administrao da informao devem ter com as
caractersticas dos atributos da informao fundamental para dispor de um recurso que possa
contribuir para que a organizao alcance seus objetivos e estratgias.
Mintzberg e Quinn (2001) apresentam cinco abordagens de estratgia: plano,
manobra, padro, posio e perspectiva. Como plano, a estratgia um mtodo de ao para
diferentes situaes, que pode ser geral ou especfica. Quando a estratgia especfica, ela
vista como uma manobra que pode ter a inteno de amedrontar competidores. Como um
padro, a estratgia torna-se o prprio comportamento de uma empresa, que pode estar
consciente dele ou no. A estratgia como posio identifica qual a situao da empresa no
mercado, sua posio no ambiente. Como perspectiva, a viso de mundo que a empresa tem.
Segundo Porter (1986), a estratgia a criao de uma posio singular e valiosa,
envolvendo um conjunto diferente de atividades. A essncia do posicionamento estratgico
escolher atividades que sejam diferentes das atividades dos concorrentes.
Para Beuren (2000), a definio e traduo da estratgia, de forma compreensvel e
factvel aos membros da organizao, passa pela necessidade de disponibilizar informaes
adequadas aos responsveis pela elaborao da estratgia empresarial. A adaptao da
empresa aos novos paradigmas de um mercado global, exige capacidade de inovao,
flexibilidade, rapidez, qualidade, produtividade, dentre outros requisitos, tornando cada vez
mais estratgico o papel que a informao exerce.
A informao fundamental no apoio s estratgias e processos de tomada de
deciso, bem como no controle das operaes empresariais. Sua utilizao representa uma
interveno no processo de gesto, podendo, inclusive, provocar mudana organizacional,

12
medida que afeta os diversos elementos que compem o sistema de gesto (BEUREN, 2000).
Esse recurso, quando devidamente estruturado, integra as funes das vrias unidades da
empresa, por meio dos diversos sistemas organizacionais.
A informao um ativo valioso para as organizaes. Por esse motivo, implementar
um sistema de segurana de informaes para proteger os recursos da empresa (sistemas,
pessoas, informaes, equipamentos, etc.) tem a finalidade de diminuir o nvel de exposio
aos riscos existentes em todos os ambientes, gerando assim a possibilidade e a liberdade
necessria para a criao de novas oportunidades de negcio. Para Moreira (2001), os
negcios atualmente esto cada vez mais dependentes das tecnologias e estas por sua vez
precisam proporcionar confidencialidade, integridade e disponibilidade das informaes.
Quando as organizaes despertam para a necessidade de uma prtica ativa de
segurana em seus negcios, elas comeam a estend-la aos processos, s informaes, aos
clientes, funcionrios, produtos e servios. Alguns dos benefcios obtidos com essa prtica
so:
a) riscos contra vazamento de informaes confidenciais/sigilosas;
b) reduo da probabilidade de fraudes;
c) diminuio de erros devido a treinamentos e mudana de comportamentos;
d) manuseio correto de informaes confidenciais.
Os projetos de Segurana de Informaes procuram abranger pelo menos os
processos mais crticos do negcio da organizao. O resultado esperado com tais projetos
que os investimentos efetuados devam conduzir para:
a) reduo da probabilidade de ocorrncia de incidentes de segurana;
b) reduo dos danos/perdas causados por incidentes de segurana;
c) recuperao dos danos em caso de desastre/incidente.
O objetivo da segurana, no que tange informao, a busca da disponibilidade,
confidencialidade e integridade dos seus recursos e da prpria informao (MOREIRA,
2001).

13
A necessidade de identificar dispositivos, para gesto da segurana da informao,
originou a Norma Britnica BS 7799 de Gerenciamento de Segurana de Informaes. Criada
em 1995, justamente com o intuito de garantir s organizaes uma ferramenta que possibilita
s mesmas a implementao de um sistema que possa auxiliar na garantia da disponibilidade,
confidencialidade e integridade da informao, esteja esta em meio eletrnico ou no. No
Brasil, as discusses sobre a utilizao dessa norma como referncia para implementar e
manter um Sistema de Gerenciamento de Segurana de Informaes iniciou a menos de dois
anos, evidenciando um importante mercado latente a ser desenvolvido. Internacionalmente
aplicado na empresa Det Norske Veritas (DNV), existe um modelo para definio das etapas
do processo de auditoria de um Sistema de Gerenciamento de Segurana de Informaes. Isso
leva necessidade de utilizar um modelo para a definio das etapas do processo de auditoria
em Segurana de Informaes, adequado ao mercado brasileiro, de acordo com determinaes
internacionais?
A relevncia deste trabalho est em avaliar o atendimento ao modelo praticado
mundialmente pela Det Norske Veritas DNV e a possvel demanda de segurana das
informaes no mercado nacional. A ausncia de estudos cientficos sobre como as empresas
(organismos certificadores) esto tratando o assunto e quais os resultados que podem ser
obtidos, a partir da implantao dessa sistemtica, justificam este estudo.

1.1 OBJETIVOS
Avaliar a aplicao do modelo adotado na definio das etapas de auditoria de
Sistema de Gerenciamento de Segurana de Informaes, baseado na Norma BS 7799, em
empresas que atuam no mercado brasileiro.

1.1.1

Objetivos Especficos
Os objetivos especficos do trabalho so:
a) identificar fatores crticos na utilizao do modelo nas etapas dos processos de
execuo da auditoria de Sistema de Gerenciamento de Segurana de
Informaes no mercado nacional;

14
b) identificar facilitadores na utilizao do modelo nas etapas dos processos de
execuo da auditoria de Sistema de Gerenciamento de Segurana de
Informaes no mercado nacional;
c) identificar resultados da aplicao do modelo na execuo de uma auditoria em
um Sistema de Gerenciamento de Segurana de Informaes.

1.2 MTODO DE PESQUISA


O mtodo de pesquisa utilizado neste trabalho foi o estudo de caso, que tem como
uma de suas definies (YIN, 2001), [...] tentar esclarecer uma deciso ou um conjunto de
decises: o motivo pelo qual foram tomadas, como foram implementadas e com quais
resultados.
Essa definio cita o tpico das decises como foco principal dos estudos de caso.
Para Yin (2001), o estudo de caso envolve uma lgica de planejamento que segue duas
maneiras. A primeira delas define o estudo de caso como uma investigao emprica que
analisa um fenmeno contemporneo dentro do seu contexto da vida real, especialmente
quando os limites entre os fenmenos e o contexto no esto claramente definidos.
Em segundo lugar, uma vez que o fenmeno e contexto no so sempre discernveis
em situaes da vida real, um conjunto de outras caractersticas tcnicas, como a coleta de
dados e as estratgias de anlise de dados, torna-se a segunda parte da definio e a
investigao de estudo de caso enfrenta uma situao tecnicamente nica em que haver
muito mais variveis de interesse do que pontos de dados e, como resultado, baseia-se em
vrias fontes de evidncias, com os dados precisando convergir para estas evidncias.
Tambm pode beneficiar-se do desenvolvimento prvio de proposies tericas para conduzir
a coleta e a anlise de dados.
Segundo Yin (2001), o estudo de caso, como estratgia de pesquisa, compreende um
mtodo que abrange desde a lgica de planejamento, incorporando abordagens especficas, at
a coleta de dados e a anlise de dados. Nesse sentido, o estudo de caso no nem uma ttica
para coleta de dados nem meramente uma caracterstica do planejamento em si, mas uma
estratgia de pesquisa abrangente.

15
A aplicao desse mtodo neste trabalho foi em decorrncia de que o processo de
auditoria em uma empresa um fato contemporneo, dentro do contexto de cada organizao,
que busca a implantao e certificao em Sistemas de Gerenciamento de Segurana de
Informaes, sendo esse sistema uma ferramenta interativa que constantemente sofre
mudanas e utiliza essas mudanas para realimentar o prprio sistema. Logo, essas
modificaes constantes so decorrncia de uma gama de variveis e de diversas fontes de
evidncias que devem ser constatadas e verificadas em um processo de certificao do
Sistema de Gerenciamento de Segurana de Informaes. Assim o fato de o auditor necessitar
buscar essas evidncias em um ambiente contemporneo, de constante modificao, com
inmeras variveis a serem consideradas e baseado em uma norma que permite a elaborao
de questionamentos prvios a serem verificados, conduziu a utilizao do estudo de caso
como mtodo de pesquisa neste estudo. O detalhamento da utilizao deste mtodo de
pesquisa est descrito no captulo quatro.
Estudo de caso busca criar teorias gerais do conhecimento a partir do caso (ou casos)
em estudo. Este trabalho avalia a utilizao de procedimentos para auditoria em BS 7799,
com o objetivo de avaliar se pode ser aplicado no cenrio do mercado brasileiro.

1.3 LIMITAES DO TRABALHO


Destacam-se como principais limitaes o fato de que o mercado nacional
apresentava apenas uma opo de aplicao do modelo de auditoria, em uma empresa que
possua um Sistema de Gerenciamento de Segurana de Informaes implementado. Ainda,
em virtude da criticidade do assunto gerenciamento de segurana de informaes, as
organizaes decidem por no divulgar parte dos dados utilizados para a realizao de
pesquisa. Tambm no inteno do presente trabalho definir nenhum mtodo de consultoria
para implantao de um Sistema de Gesto de Segurana de Informaes baseada na Norma
BS 7799.

1.4 ORGANIZAO DO TRABALHO


A organizao do presente estudo se apresenta da seguinte forma.

16
No captulo 1 apresentado o tema e a definio do objetivo geral e dos especficos;
da metodologia de pesquisa e das limitaes do trabalho.
No captulo 2 trata-se da fundamentao terica de sistemas de informao na gesto
empresarial, da qualidade em sistemas de informao, do papel estratgico da segurana de
informaes na gesto das organizaes.
No captulo 3 so revisados os conceitos gerais sobre segurana, requisitos para a
implantao de um sistema de segurana de informaes com base na norma BS 7799, do
estado da arte em segurana de informaes, bem como a descrio do resultado de uma
experincia com essa implantao.
O captulo 4 do estudo refere-se metodologia do estudo e a apresentao da
empresa objeto desse trabalho.
No captulo 5 so apresentados os procedimentos padro e anlise dos dados.
Finalmente, o captulo 6 apresenta as concluses do estudo, consideraes e
sugestes para trabalhos futuros.

17

CAPTULO 2

SISTEMA DE INFORMAO NA GESTO EMPRESARIAL


Este captulo apresenta uma viso da importncia da informao para as

organizaes na gesto empresarial e estratgica; a influncia da padronizao e qualidade


como fator de confiabilidade para as organizaes; o papel estratgico da segurana da
informao nas organizaes.

2.1 GESTO EMPRESARIAL E ESTRATGICA


A influncia da tecnologia na sociedade moderna intensa, principalmente no que se
refere tecnologia da informao. A velocidade com que a tecnologia da informao evolui
tem reflexos diretos na sociedade que a utiliza. Murdick e Munson (1988), citam alguns
fatores que repercutem diretamente na sociedade e nas empresas:
a) o aumento do conhecimento em computao entre os lderes e a populao em
geral;
b) o aprimoramento nas telecomunicaes (fibras ticas, satlites, redes e bases de
dados) em nvel internacional;
c) o surgimento, a transformao e a proliferao dos microcomputadores;
d) a conexo de microcomputadores das empresas a computadores de grande porte,
utilizando grandes bases de dados;
e) a utilizao de lasers para registrar informaes em discos;

18
f) a interao do ser humano com o computador, utilizando voz; os chips utilizados
na computao, etc.
medida que as organizaes crescem e se tornam mais complexas, ocorre um
aumento da necessidade e da importncia da informao. A informao passa a ser no
somente til em nvel operacional, mas tambm em nveis ttico e estratgico. Nesse
contexto, no apenas o contedo da informao relevante, mas a forma como a informao
trabalhada ganha importncia. A eficcia no tratamento da informao depende, em grande
parte, de como ela administrada e do bom entendimento de certos conceitos e relaes, sob
pena de se fornecer ao usurio apenas dados desconexos, comprometendo o processo
decisrio.
A informao, como um precioso recurso para a organizao, deve ser tratada de
modo a contribuir efetivamente para a melhoria dos resultados organizacionais. A
organizao necessita identificar onde encontrar as informaes relevantes para o seu
processo. Essa informao pode ser conseguida em fontes formais e informais. As fontes
informais (fofocas, rdio-corredor, conversas, feiras, congressos, imprensa), e que no
possuem carter oficial, tm como caracterstica serem desestruturadas e dificilmente sero
includas em um Sistema de Informaes. As fontes formais, que normalmente tramitam pelos
canais convencionais da organizao, tm a caracterstica de ser estruturadas e podem ser
tanto de origem interna como externa e assim mais facilmente integrar o Sistema de
Informaes da organizao e isso depender exclusivamente da anlise de custo/beneficio. J
as necessidades de informaes variam de acordo com o nvel organizacional em que a
deciso ocorre. As informaes fornecidas por um Sistema de Informao devem atender a
alguns atributos essenciais (caractersticas importantes tais como finalidade, modo e formato,
redundncia e eficincia, velocidade e outros), para que possam ser significativas no momento
da tomada de deciso. necessrio que a informao seja relevante para a situao, pois de
nada adianta informao possuir todos os atributos desejados, se no for pertinente
situao que o decisor est enfrentando.
A competitividade do mercado est constantemente exigindo dos competidores
respostas rpidas e eficientes. A informao um importante fator de diferenciao. Segundo
Bio (1988), necessrio que a organizao construa um Sistema de Informaes, subsidiando

19
o processo de tomada de deciso para, dessa forma, contribuir para um melhor
desenvolvimento do processo decisrio.
A poltica de informao existente na organizao vai influenciar as caractersticas
dos sistemas de informao utilizados pelos gerentes e deve estar de acordo com a estratgia
geral da organizao. Deve haver sincronismo entre o planejamento estratgico da
organizao e sua poltica de informao. A organizao, principalmente os responsveis
pelas suas decises estratgicas, deve pensar na informao como um de seus mais
importantes componentes. Furlan (1991), comenta que o planejamento estratgico dos
sistemas de informao deve estar contido no prprio planejamento estratgico da
organizao. A viso do autor corrobora o modelo de planejamento de sistemas indicado por
Kugler e Fernandes (1984), que prev que a anlise das necessidades de informao da
organizao decorre do planejamento estratgico para posterior alocao de recursos,
conforme demonstra a Figura 1.

Fonte: adaptado de Kugler e Fernandes (1984)


Figura 1
Estgios para o planejamento de sistemas

Nas organizaes, a informao j considerada como um recurso bsico e


essencial, como o so a mo-de-obra e a matria-prima. A informao vista como um
elemento decisivo, que pode determinar o xito ou o fracasso de um empreendimento.
Kendall e Kendall (1999), comentam que os responsveis pela tomada de deciso comeam
a considerar que a informao j no um produto exclusivamente colateral das operaes da
empresa, e sim, um dos promotores da mesma. Tofler (1985), acredita que a informao at
mais importante do que os fatores trabalho, capital e matria-prima. Freitas (1992) comenta
que o tratamento da informao pela organizao pode ser categorizado como a funo
informacional da empresa e acredita que este processo cada vez mais vital para a empresa
e deve ser controlado como todos os outros setores.
As organizaes esto inseridas em um mercado instvel e competitivo, onde as
ameaas e oportunidades aparecem muito rapidamente. Segundo Porter (1992), cinco foras
bsicas influenciam a competitividade da empresa:

20
a) concorrncia dentro da indstria;
b) ameaa de novos entrantes no mercado;
c) poder de negociao dos compradores;
d) poder de negociao dos fornecedores e
e) ameaa de produtos e servios substitutos.
Nessa perspectiva, a informao pode ser usada no sentido de identificar alternativas
para provocar mudanas no poder de barganha da empresa com o ambiente externo, para
remover ou criar barreiras entrada de novos concorrentes, para diferenciar uma empresa das
demais que atuam no mesmo segmento, para configurar novas cadeias de valor, para penetrar
em economias diferenciadas.
Para auxiliar as organizaes a sobreviver e prosperar nesse ambiente, a informao
um dos elementos cruciais e, para isso, elas precisam ter como suporte uma adequada
tecnologia da informao. Para Porter e Millar (1985), a tecnologia da informao se
caracteriza como uma vantagem competitiva, tanto no que se refere ao custo, quanto no que se
refere diferenciao dos produtos ou servios.
J para Beuren (2000), o uso estratgico da informao resulta em vantagem
competitiva se ele contribuir, efetivamente, na identificao de alternativas que aperfeioam o
desempenho da organizao em todos os nveis, lanando-a, inclusive, liderana no
segmento em que atua. Dessa forma, a empresa pode alterar as regras da competio por meio
da mudana de seus processos. Ainda, segundo Beuren (2000), existem vrias formas para as
empresas obterem vantagens competitivas por intermdio do uso da informao. Uma delas
implica realizar investimentos em informao e tecnologia da informao. Ambas so
recursos importantes para a formulao da estratgia, especialmente no que diz respeito ao
resgate da memria organizacional relacionada a clientes, fornecedores, concorrentes,
velocidade para viabilizar tecnicamente um programa de atendimento a clientes internos e
externos, avaliao de desempenho de estratgias definidas em momentos anteriores.
Outro uso estratgico da informao implica embuti-la em produtos e servios j
existentes na empresa. Em vrios segmentos de negcio, o sucesso da organizao, depender
da sua capacidade de identificar e satisfazer s necessidades de seus clientes, associando ou
dissociando a informao aos produtos ou servios por ela comercializados, e ainda, uma

21
outra maneira de usar a informao para criar vantagem competitiva, segundo Beuren (2000),
a aprendizagem organizacional que a empresa adquire acumulando informaes e
aprendendo sobre os diferentes usos destas informaes, o que aumenta sua capacidade de
impor barreiras de entrada entre segmentos de negcios, ou seja, mais difcil se torna a
supremacia dos concorrentes nessa estratgia.
Tambm na prestao de servios, segundo Fitzsimmons e Fitzsimmons (2000), a
informao a tecnologia habilitadora dos processos de inovao. A funo estratgica da
informao em servios organizada em quatro categorias: criao de barreiras entrada,
gerao de renda, vantagens pelo uso de banco de dados e intensificao da produtividade
conforme se pode observar na Figura 2.
O gerenciamento de rendimento, lanado pela American Airlines, o mais
abrangente uso da informao para fins estratgicos e a melhor ilustrao da natureza
integrada dos servios para Fitzsimmons e Fitzsimmons (2000). Utilizando mtodos de
previso de demanda, vindos do gerenciamento de operaes; estratgias de preos, vindas do
marketing, e a psicologia do consumidor, vinda do comportamento organizacional, a
American Airlines desenvolveu um mtodo computacional para vender passagens areas a
preos variados, a fim de maximizar a renda em qualquer vo. O conceito de uma cadeia de
valor virtual propicia uma viso da inovao em servios, que cria valor utilizando a
informao coletada enquanto o cliente atendido.

Fonte: adaptado de Fitzsimmons e Fitzsimmons (2000)


Figura 2
Funes estratgicas da informao em servios

22
Ainda para reforar a importncia da informao para as organizaes, Laudon e
Laudon (1999) comentam que, embora qualquer aplicao de um sistema de informaes seja
importante no sentido de que ele resolve algum problema empresarial importante, um sistema
estratgico de informaes aquele que proporciona vantagem competitiva. Os sistemas de
informaes tm uma ao de grande alcance e esto arraigados, possibilitando a mudana
dos objetivos, produtos, servios ou das relaes internas e externas da empresa.
Entretanto, nem todos os executivos esto conscientes dessa importncia. Mendes
(1987), aponta que os altos executivos das empresas brasileiras no participam das definies
estratgicas relacionadas tecnologia da informao. Um dos motivos para o baixo
envolvimento desses executivos foi a utilizao no muito satisfatria da informtica, sendo
empregada basicamente para auxiliar atividades burocrticas. Pesquisa de Kini (1993), mostra
que, embora 97% dos gerentes das reas de informtica acreditem que a tecnologia da
informao pode gerar vantagem competitiva, apenas 19% institucionalizaram tais sistemas.
Oliveira e Grajew (1987), concordam com essa crtica em relao informtica,
porm acreditam que esse quadro esteja mudando, principalmente com relao utilizao
dos recursos de informtica como ferramenta competitiva.
A competitividade do mercado est sempre exigindo dos competidores respostas
rpidas e eficientes. A informao um importante fator de diferenciao e deve ser usada
como vantagem competitiva.
Apesar dos problemas relacionados com a tecnologia da informao e utilizao dos
recursos da informtica, a importncia competitiva da informao consenso. Para Davenport
et al. (1992), os executivos j perceberam essa importncia, pois, durante a dcada de 90, as
organizaes entenderam que a informao um de seus mais crticos recursos, sendo que o
grande acesso, a utilizao e o aumento de sua qualidade so fatores chave para aumentar a
performance do negcio. Essa opinio compartilhada por Watson et al. (1997),
acrescentando que os administradores de sistemas de informaes esto se preocupando
principalmente com a utilizao da informao em questes estratgicas. Kini (1993), salienta
que as informaes utilizadas em questes estratgicas podem fornecer vantagem competitiva
s organizaes.

23
Porter e Millar (1985), retratam a questo da informao como fator de
competitividade:
A importncia da revoluo da informao no est em discusso. A questo no
se a tecnologia da informao vai ter um impacto significante na posio
competitiva da empresa. A questo quando e como o impacto vai acontecer.
Empresas que se preparam com o poder da tecnologia da informao estaro no
controle dos eventos. Empresas que no se prepararem sero foradas a aceitar as
mudanas que os outros iniciaram e estaro em desvantagem competitiva.

A empresa contempornea fabrica secundariamente informao, mas para que se


traduza realmente numa ferramenta para a gesto, necessrio que seja apresentada por
sistemas de informao com a qualidade adequada para o atendimento aos requisitos
definidos por quem ir utiliz-la.

2.2 PADRONIZAO E QUALIDADE EM SISTEMAS DE INFORMAO


A definio de qualidade em sistemas de informao , basicamente, sistemas que
funcionam sem defeitos, apresentando uma imagem de confiabilidade para seus usurios
(TAURION, 1996). Em sistemas de informao, a garantia de qualidade incipiente, sendo
que, na maioria das organizaes, os processos de testes so ainda rudimentares e ineficientes,
muitas vezes realizados manualmente, sem o apoio de processos e softwares especializados.
ainda comum que programadores sejam os nicos responsveis pelos testes (e garantia da
qualidade) dos programas que eles mesmos desenvolvem. Ignora-se o fato de que dificilmente
uma pessoa encontra todos os seus possveis erros no seu prprio processo de
desenvolvimento de programas.
O movimento de qualidade, observado nas empresas brasileiras a partir de 1980,
chegou tambm s empresas ligadas ao setor de tecnologia da informao, inicialmente nas
empresas de hardware, e, nos ltimos dez anos, tambm nas empresas de software
(TAURION, 1996). Um dos motivos para tal movimento foi a exigncia, por parte de
consumidores, especialmente os industriais, de fornecedores capazes de projetar, desenvolver
e entregar produtos que atendessem aos seus requisitos. Apesar da exigncia do mercado por
qualidade, as aes da maioria dos fornecedores no sentido de alcan-la ainda so
incipientes. Implementar qualidade de software exige uma mudana na prpria cultura da
organizao (TAURION, 1996). Nesse sentido, buscar um nvel adequado de maturidade

24
organizacional e tecnolgica fundamental para que uma abordagem voltada para a qualidade
tenha sucesso.
Especificamente em relao ao processo realizado pela organizao, para
desenvolver sistemas, pode-se destacar a noo de maturidade organizacional. Segundo
Taurion (1996), cerca de 50% do custo de um projeto esto relacionados com atividades de
teste. Entretanto, o custo do no-teste (ou no qualidade) pode ser ainda superior, gerando
insatisfao do cliente, decorrente da instabilidade alm da falta de confiabilidade no sistema.
Sem um processo formal de testes, suportado por ferramentas especializadas,
dificilmente sero produzidas aplicaes com baixo ndice de defeitos. Uma aplicao de
misso crtica defeituosa, alm de prejuzos financeiros, pode colocar em risco a organizao
que a utiliza. Segundo Humphrey (1997), citado por Weber et al. (2000), para que a indstria
de software contribua de forma construtiva para a sociedade, precisa-se aprender a entregar
produtos com qualidade, no prazo estabelecido e com custos planejados. Isto no
impossvel. Outras indstrias, medida que amadureceram, atingiram este nvel de
desempenho. No h razo para que isto no seja possvel para software.
Partindo de afirmaes como essa, foram elaboradas normas (NBR ISO/IEC 12207,
normas da srie ISO 9000, Capability Maturity Model - CMM, Control Objectives for
Information and Related Technology COBit e outras), que procuram estabelecer
abordagens para melhorias no processos e na tomada de deciso, sendo necessrio uma
sistemtica estruturada para gerenciar e controlar as iniciativas de tecnologia da informao
nas empresas, para garantir o retorno de investimentos e adio de melhorias nos processos
empresariais.
Tambm em termos especficos as normas podem contribuir para a melhoria da
qualidade dos processos de software e tm como objetivo principal estabelecer uma estrutura
comum de processos de software, que seja utilizada como referncia na contratao de
produtos e servios desse gnero, bem como descrever as melhores prticas de engenharia e
gerenciamento de software.
A estrutura das normas composta de processos, atividades e tarefas, a serem
aplicados em operaes que envolvam o software de alguma forma, seja na aquisio, no
fornecimento, desenvolvimento, na operao ou manuteno. Essa estrutura tambm permite

25
estabelecer ligaes claras com o ambiente da engenharia de sistemas, ou seja, aquele que
inclui software, hardware, pessoal e prticas de negcios.
A Norma ISO/IEC 12207 agrupa os processos do ciclo de vida do software em trs
classes: processos fundamentais, processos de apoio e processos organizacionais. Cada
processo definido em termos de suas prprias atividades, e cada atividade definida em
termos de suas tarefas. Uma tarefa expressa pelo verbo que a descreve: um requisito (deve),
uma declarao de objetivos ou inteno (dever), uma recomendao (deveria) ou uma ao
permissvel (pode) (MOREIRA, 2001).
Processos fundamentais: so aqueles que atendem ao incio e execuo do
desenvolvimento, da operao ou manuteno de produtos de software, segundo Weber et al.
(2001). Durante o ciclo de vida do software os processos fundamentais so:
a) processo de aquisio: define as atividades do adquirente, organizao que
adquire um sistema ou produto de software;
b) processo de fornecimento: define as atividades do fornecedor, organizao que
prov o produto de software ao adquirente;
c) processo de desenvolvimento: define as atividades do desenvolvedor,
organizao que define e desenvolve o produto de software;
d) processo de operao: define as atividades do operador, organizao que prov
servio de operao de um sistema computacional no seu ambiente de
funcionamento para seus usurios;
e) processo de manuteno: define as atividades do mantenedor, organizao que
prov os servios de manuteno do software, isto , o gerenciamento de
modificaes no software, a fim de mant-lo constantemente atualizado e em
perfeita operao.
Processos de apoio: so aqueles que auxiliam e contribuem para o sucesso e a
qualidade do projeto de software. Um processo de apoio empregado e executado, quando
necessrio, por outro processo, e so:
a) processo de documentao: define as atividades para registrar informaes
produzidas por um processo ou atividade do ciclo de vida;

26
b) processo de gerncia de configurao: define as atividades para a aplicao de
procedimentos administrativos e tcnicos, por todo o ciclo de vida do software;
c) processo de garantia da qualidade: define as atividades para fornecer a
garantia adequada de que os processos e produtos de software, no ciclo de vida
do projeto, estejam em conformidade com seus requisitos especificados e sejam
aderentes aos planos estabelecidos;
d) processo de verificao: define as atividades para verificao dos produtos de
software. um processo para determinar se os produtos de software de uma
atividade atendem completamente aos requisitos ou s condies impostas a eles;
e) processo de validao: define as atividades para validao dos produtos
produzidos pelo projeto de software. um processo para determinar se os
requisitos e o produto final atendem ao uso especifico;
f) processo de reviso conjunta: define atividades para avaliar a situao e o
produto de um projeto, se apropriado;
g) processo de auditoria: define as atividades para determinar adequao aos
requisitos, planos e ao contrato, quando apropriado;
h) processo de resoluo de problema: define um processo para analisar e
resolver os problemas (incluindo no conformidades), de qualquer natureza ou
fonte, que so descobertos durante a execuo do desenvolvimento, da operao,
manuteno ou de outros processos.
Processos organizacionais: so empregados por uma organizao para estabelecer e
implementar uma estrutura constituda de processos de ciclo de vida e pessoal associado,
melhorando continuamente a estrutura e os processos. So eles:
a) processo de gerncia: define as atividades genricas que podem ser empregadas
por quaisquer das partes que tm que gerenciar seu respectivo processo;
b) processo de infra-estrutura: define as atividades para estabelecer e manter a
infra-estrutura necessria para qualquer outro processo;
c) processo de melhoria: define as atividades bsicas que uma organizao
executa para estabelecer, avaliar, medir, controlar e melhorar um processo do
ciclo de vida do software;

27
d) processo de treinamento: define as atividades para prover e manter pessoal
treinado. A aquisio, o fornecimento, o desenvolvimento, a operao ou a
manuteno de produtos de software so extremamente dependentes de pessoal
com conhecimento e qualificao.
Basear esse ciclo de vida na Norma ISO 12207 exige, como todo o processo de
implantao, uma adaptao. Este tambm pode ser considerado um processo que exige a
definio das atividades necessrias para executar a implementao da norma na organizao
ou em projetos. A adaptao pode ser facilitada se for conduzida com base em fatores que
diferenciam uma organizao ou um projeto de outros, dentre os quais, a estratgia de
aquisio, modelos de ciclo de vida de projeto, caractersticas de sistemas e software e cultura
organizacional. A existncia desse processo permite que a norma seja adaptvel a qualquer
projeto, organizao, modelo de ciclo de vida, cultura e tcnica de desenvolvimento cita
Weber et al. (2001).
Outro modelo que pode ser utilizado para garantir que um sistema seja implementado
com qualidade do produto/servio a srie de Normas ISO 9000 (1994), que foi criada para
padronizar os requisitos de garantia da qualidade a serem atendidos por um fornecedor e, com
isso, a padronizao dos programas de qualificao de fornecedores dos grandes compradores.
Diante de tais benefcios, com o impulso da globalizao da produo e a formao de blocos
de mercados consumidores, rapidamente o modelo ISO 9000 ganhou a adeso da comunidade
internacional.
A famlia ISO 9000 (1994) composta de uma srie de normas, mas somente as
Normas ISO 9001, 9002 e 9003 podem ser utilizadas como requisitos entre clientes e
fornecedores. As outras normas destinam-se a orientar a escolha da norma a ser utilizada ou
sua implantao. A ISO 9003 cobre exclusivamente as atividades de inspeo e ensaio final; a
ISO 9002, as atividades de produo e servios associados e a ISO 9001, todo o ciclo de vida
de um produto ou servio, iniciando no seu projeto ou desenvolvimento, passando pelas
atividades de produo e servios associados.
A ISO (International Organization for Standartization) reconhece que existem
quatro diferentes categorias genricas de produtos e publicou diretrizes para implementao
de sistemas da qualidade para cada uma dessas categorias:
a) Produtos (hardware): ISO 9004-1;

28
b) Servios: ISO 9004-2;
c) Materiais processados: ISO 9004-3; e
d) Software: ISO 9000-3.
Devido s dificuldades especficas de interpretao, tais como a terminologia
utilizada na norma, para implantao dos requisitos da ISO 9001 ou ISO 9002 em software, o
uso da ISO 9000-3 para auxiliar a implantao do sistema de gesto da qualidade torna-se
fundamental.
A certificao ISO 9000 reconhecida em praticamente todos os pases e setores,
no s pelo setor de software. Para uma empresa, conquistar a certificao ISO 9000 significa
alcanar padro internacional de qualidade em seus processos de software. Entretanto, mesmo
no mbito de um determinado setor, no possvel diferenciar o nvel de maturidade de uma
empresa em relao outra. Em um conjunto de empresas de software, no qual todas tenham
recebido certificao ISO 9000, a diferenciao s pode ser feita pelo escopo da certificao,
pela credibilidade do organismo certificador e pelo tempo que a certificao vem sendo
mantida.
Em 2000, a srie de Normas ISO 9000 sofreu uma reviso, onde a principal
modificao em relao anterior foi a mudana do objetivo principal da Norma,
anteriormente denominada Sistema de Garantia da Qualidade, que visava atender aos
requisitos especificados do cliente, para Sistema de Gesto da Qualidade um modelo que
visa alcanar a satisfao desse cliente. Dessa forma, deixou de ser um modelo que visa
exclusivamente garantir o atendimento s especificaes estabelecidas, para ser um modelo
que visa criao de um sistema de gesto da qualidade mais abrangente e que tem como fim
a satisfao do cliente. Essa satisfao est relacionada principalmente com a percepo da
qualidade dos produtos e servios fornecidos, o que envolve no apenas os requisitos
especificados, explcitos (por ex.: a escolha da cor de um eletrodomstico), mas tambm
requisitos implcitos (por ex.: a sua voltagem). Em conseqncia, a estrutura da famlia de
Normas ISO 9000:2000 tambm foi modificada: as Normas ISO 9002 e ISO 9003 deixaram
de existir, e a ISO 9001:2000 permitir que se faam excluses de requisitos contidos no item
7 Realizao de produto (NBR ISO 9001:2000).

29
Outro exemplo de padronizao, que pode auxiliar a organizao a obter melhor
desempenho, o Capability Maturity Model - CMM. O modelo foi desenvolvido pelo
Software Engineering Institute (SEI), sendo financiado pelo departamento de Defesa
Americano, com o objetivo de estabelecer um padro de qualidade para software
desenvolvido para as Foras Armadas. O CMM foi concebido para o desenvolvimento de
grandes projetos militares e, para sua aplicao em projetos menores e em outras reas. Foi
baseado nos conceitos de Qualidade Total estabelecidos por Crosby (MOREIRA, 2001), que
mostrou que a implantao de sistemas da qualidade em empresas segue um amadurecimento
gradativo, em patamares que denominou: incerteza, despertar, esclarecimento, sabedoria e
certeza.
No modelo CMM foram estabelecidos nveis referentes maturidade que a
organizao possui para desenvolver software: inicial, repetvel, definido, gerenciado e
otimizado. Cada nvel de maturidade est dividido em reas-chave de processo, que
estabelecem grandes temas a serem abordados, totalizando dezoito reas-chave. Cada uma
dessas reas detalhada nas prticas-chave, que traduzem os quesitos a serem cumpridos na
implantao do modelo. Como todo modelo, as prticas-chave especificam o qu deve ser
cumprido, exigindo documentos, treinamentos ou definio de polticas para as atividades,
mas nunca especificam como elas devem ser implementadas.
Cabe considerar que o CMM apenas um modelo que rene boas prticas de
desenvolvimento de software. Sua implantao vai exigir um investimento importante dos
envolvidos, para conceber um processo que venha a alavancar o negcio, facilitar a vida dos
envolvidos e no criar burocracia somente para atender aos requisitos descritos no modelo,
conforme citam Weber et al. (2001).
E ainda um ltimo exemplo de modelo o Control objectives for information and
related technology - Cobit, que um guia para a gesto de tecnologia da informao
recomendado pelo Information Systems Audit and Control Foundation (ISACF). O Cobit
inclui recursos tais como um sumrio executivo, um framework, controle de objetivos, mapas
de auditoria, um conjunto de ferramentas de implementao e um guia com tcnicas de
gerenciamento.
Segundo Fagundes (2004) as prticas de gesto do Cobit so recomendadas pelos
peritos em gesto de tecnologia da informao que ajudam a otimizar os investimentos de

30
tecnologia da informao e fornecem mtricas para avaliao dos resultados. O Cobit
independe das plataformas de tecnologia da informao adotadas nas empresas.
O Cobit, fornece informaes detalhadas para gerenciar processos baseados em
objetivos de negcios. O Cobit projetado para auxiliar trs aspectos distintos, conforme cita
Fagundes (2004):
a) gerentes que necessitam avaliar o risco e controlar os investimentos de
tecnologia da informao em uma organizao;
b) usurios que precisam ter garantias de que os servios de tecnologia da
informao que dependem os seus produtos e servios para os clientes internos e
externos esto sendo bem gerenciados;
c) auditores que podem se apoiar nas recomendaes do Cobit para avaliar o nvel
da gesto de tecnologia da informao e aconselhar o controle interno da
organizao.
O Cobit est dividido em quatro domnios:
a) planejamento e organizao;
b) aquisio e implementao;
c) entrega e suporte;
d) monitorao.
A Figura 3 ilustra a estrutura do Cobit com os quatro domnios, onde claramente est
ligado aos processos de negcio da organizao. Os mapas de controle fornecidos pelo Cobit
auxiliam os auditores e gerentes a manter controles suficientes para garantir o
acompanhamento das iniciativas de tecnologia da informao e recomendar a implementao
de novas prticas, se necessrio. O ponto central o gerenciamento da informao com os
recursos de tecnologia da informao para garantir o negcio da organizao.

31

Fonte: Fagundes (2004)


Figura 3
Estrutura do Cobit

2.3 SEGURANA DE INFORMAES NA GESTO EMPRESARIAL


Caruso et al. (1999) citam que o bem mais valioso de uma empresa pode no ser
aquele produzido na sua linha de produo ou estar no servio prestado, mas so as
informaes relacionadas a esse bem de consumo ou servio. Ao longo da Histria, o homem
buscou o controle das informaes que lhe eram importantes de alguma forma. O que mudou
desde ento foram as formas de registro e armazenamento das informaes. Na Pr-Histria e
at mesmo nos primeiros milnios da Idade Antiga, o principal meio de armazenamento e
registro de informaes era a memria humana. Com o advento dos primeiros alfabetos, isso

32
comeou a mudar. Mas foi somente nos ltimos dois sculos que as informaes passaram a
ter importncia crucial para as organizaes.
Nesse contexto, com uma tecnologia incipiente e materiais pouco apropriados para o
registro de informaes, o controle e a disseminao da tecnologia relacionada com as
informaes estavam restritos a uma minoria sempre ligada ao grupo que dominava o poder
econmico e poltico da sociedade. Os primeiros suportes para registro de informaes foram
as paredes das habitaes humanas implicando um conjunto de conseqncias: restries de
acesso fsico, de transferncia para terceiros ou para outro local e de pessoal capacitado. Alm
da imobilidade das informaes em si, o fato de a tecnologia ser de conhecimento de poucos
implicava tambm que as mesmas estavam em cdigo irreconhecvel para os demais.
Com as mudanas tecnolgicas nos meios de registro (as placas de barro dos
sumrios, o papiro dos egpcios e o pergaminho), as informaes passaram para meios de
registro portveis. Foi com a disseminao da tecnologia de impresso e com a alfabetizao
mais ampla, j no final da Idade Mdia, que as informaes deixaram de ser cdigos
incompreensveis. Apenas nos ltimos dois sculos a alfabetizao se popularizou nos
grandes segmentos da populao de diversos pases, e, em meados do sculo XX, a
alfabetizao se universalizou, apesar de ainda existir parte da humanidade analfabeta.
Na atualidade, as organizaes esto dependentes da tecnologia de informaes, em
maior ou menor grau, especialmente em funo da tecnologia de informtica, que permitiu
acumular grandes quantidades de informaes em espaos restritos. O meio de registro , ao
mesmo tempo, meio de armazenamento, meio de acesso e meio de divulgao.
Independentemente do setor da economia em que a empresa atue, as informaes
esto relacionadas com seus processos de produo e de negcios; com polticas estratgicas,
de marketing; com cadastros de clientes, etc. No importa o meio fsico em que as
informaes residam, elas so de valor inestimvel no s para a empresa que as gerou como
tambm para seus concorrentes. Em ltimo caso, mesmo que as informaes no sejam
sigilosas, na maioria das vezes elas esto relacionadas com atividades dirias da empresa e
que, sem elas, poderiam ser comprometidas.
As empresas dedicam ateno especial proteo de seus ativos fsicos e financeiros,
evitando dar ateno aos ativos de informao que possuem. Da mesma forma que seus ativos

33
tangveis, para as informaes so considerados trs fatores de produo tradicionais: capital,
mo-de-obra e processos. Sendo assim, mesmo que as informaes no recebam o mesmo
tratamento fsico-contbil que os outros ativos, do ponto de vista do negcio, elas so um
ativo da empresa e, portanto, devem ser protegidas.
importante reforar que empresas podem no sobreviver a um colapso do fluxo de
informaes, no importando o meio de armazenamento das mesmas. Dada a caracterstica de
tais empreendimentos, como por exemplo servios bancrios que se caracterizam como uma
relao de confiana, fcil prever que isso acarretaria completo descontrole sobre os
negcios. Os riscos so agravados em progresso geomtrica medida que informaes
essenciais ao gerenciamento dos negcios so centralizadas. Ainda que esses riscos sejam
srios, as vantagens dessa centralizao so maiores, tanto sob os aspectos econmicos quanto
sob aspectos de agilizao de processos e de tomadas de deciso em todos os nveis. Essa
agilidade tanto mais necessria quanto maior for o uso de facilidades de processamento de
informaes pelos concorrentes.
necessrio cercar o ambiente de informaes com medidas que garantam sua
segurana efetiva a um custo aceitvel, visto ser impossvel obter-se segurana absoluta, j
que, a partir de determinado nvel, os custos envolvidos com segurana tornam-se cada vez
mais onerosos, superando os benefcios obtidos.
Segurana, mais que estrutura hierrquica, homens e equipamentos, envolve uma
postura gerencial, o que ultrapassa a tradicional abordagem da maioria das empresas. Devido
ao carter altamente dinmico que as atividades relacionadas com o processamento de
informaes adquiriram ao longo do tempo, uma poltica de segurana de informaes deve
ser o mais ampla e mais simples possvel. Sendo assim, entende-se por poltica de segurana
uma poltica elaborada, implantada e em contnuo processo de reviso, vlida para toda a
organizao, com regras claras e simples e com estrutura gerencial e material de suporte a
essa poltica claramente sustentada pela alta administrao.
necessrio delinear uma estrutura geral que no sofra as conseqncias das rpidas
mutaes que, freqentemente, ocorrem com as atividades de processamento de informaes.
A poltica geral de segurana deve esboar as regras bsicas aplicveis a toda a organizao,
deixando que cada rea defina as regras mais detalhadas que se relacionem a atividades
especficas.

34
Os tpicos desenvolvidos neste captulo sintetizam o relato sobre a informao, seu
papel estratgico para as organizaes e a necessidade de um gerenciamento sistematizado
sobre a segurana de tais informaes. Organizaes internacionais definiram normas para
viabilizar tal sistematizao, uma delas a norma BS 7799, cujo detalhamento apresentado
no captulo 3.

35

CAPTULO 3

SEGURANA NAS INFORMAES


O objetivo deste captulo definir conceitos gerais sobre segurana, dentro de uma

retrospectiva histrica e definir as bases e requisitos que levaram ao surgimento da Norma BS


7799, para a implantao de um sistema de gerenciamento de segurana de informaes.

3.1 CONCEITOS GERAIS SOBRE A SEGURANA


Ao longo da Histria da humanidade, sempre existiu, em maior ou menor grau,
algum tipo de preocupao com a segurana de informaes, mesmo que no houvesse uma
forma prtica e fcil de separar o acesso lgico do acesso ao suporte fsico das informaes
propriamente ditas.
Como o meio de registro e suporte das informaes era diretamente entendvel, no
havia um conceito preciso de acesso lgico. Isso surgiu em decorrncia do desenvolvimento
de sistemas de aplicaes que acessam informaes computadorizadas em tempo real e da
proliferao dos ambientes de informtica baseados em microcomputadores. Em decorrncia
disso, a concentrao em nico lugar, e o grande volume de informaes passou a ser um
problema srio para a segurana. Os riscos agravaram-se aps o aparecimento dos
microcomputadores, das redes e da Internet, bem como da disseminao da cultura de
informtica em segmentos expressivos da sociedade.

36
As organizaes tornam-se dependentes de informaes armazenadas em
computadores, aproveitam-se da grande velocidade e capacidade de cruzamento de
informaes que os computadores oferecem, para obterem benefcios como rpidas tomadas
de deciso, mudana rpida de estratgia e/ou ttica, entre outras. (CARUSO et al., 1999).
Mas a mesma facilidade proporcionada pelos computadores tambm implica alto risco de
violao. O mesmo programa usado para emitir um relatrio de projeo de vendas, destinado
ao diretor de marketing, pode ser usado por um espio para emiti-lo para o diretor de
marketing do concorrente.
Nem todos os riscos relacionados com o processamento de informaes surgiram
com o advento dos computadores. Entretanto, estes contriburam sobremaneira para o seu
agravamento. Esses riscos so decorrentes principalmente de fatores que, em maior ou menor
grau, aparecem em todas as organizaes, de forma geral independem do tipo e tamanho dos
equipamentos. A principal diferena reside na escala e no grau de acesso existente (CARUSO
et al.,1999).
A segurana de acesso lgico refere-se ao acesso que indivduos tm a aplicaes
residentes em ambientes informatizados, no importando o tipo de aplicao ou o tamanho do
computador. As ferramentas de controle so, em sua maior parte, invisveis aos olhos de
pessoas externas aos ambientes de informtica, pois estas somente reconhecem tais controles
quando tm seu acesso barrado pelos mesmos.
A expresso acesso lgico, ainda que de uso geral por profissionais da informtica,
no exprime o conceito envolvido, que o acesso ao ambiente de informaes. No caso de
acesso fsico, o objeto sujeito ao controle tangvel e o conceito fcil de ser entendido. Por
exemplo, em determinada rea somente podem entrar pessoas que trabalham na mesma ou
cujas funes as obriguem a ter contato com outras que ali trabalhem, ou pessoas de nvel
hierrquico superior, relacionadas de forma mais direta com as atividades executadas na rea
sob controle. J com relao ao acesso lgico, o objeto da verificao invisvel aos meios
normais de controle, envolvendo recursos de acesso associados a indivduos que somente so
passveis de monitoramento por meio de recursos tambm invisveis aos meios normais de
controle.
Acesso lgico est relacionado com o acesso ao contedo informacional. Faz mais
sentido para acesso a ambientes informatizados, que so colocados disposio de pessoas

37
para que executem as tarefas para as quais foram contratadas. Abrange aspectos como o
acesso de pessoas a terminais e outros equipamentos de computao e manuseio de listagens,
funes autorizadas dentro do ambiente informatizado, a exemplo de transaes que podem
ser efetuadas, arquivos aos quais tenham acesso, programas que possam executar, entre
outros.
O conceito de propriedade deriva do direito de posse direta ou delegada sobre os
ativos de informaes, exercido em nome da empresa. Em princpio, a propriedade de um
ativo pertence a quem dele faz uso em funo de necessidade funcional. Normalmente, quem
faz uso de determinado ativo o seu criador, ou pessoa que recebeu autorizao do mesmo. A
propriedade tambm recebe o nome gesto, sendo que o responsvel pela administrao da
informao chamado de gestor.
No passado, em virtude da concentrao de informaes na rea de informtica, a
mesma se considerava proprietria dos ativos de informaes da companhia. Atualmente, essa
tendncia diminuiu, os usurios finais passaram a exercer funes originalmente centralizadas
na rea de informtica diretamente relacionada, e at mesmo funes relacionadas com o
desenvolvimento de aplicaes especficas para o atendimento de suas necessidades. O
usurio final tem o direito de propriedade inclusive sobre o software aplicativo desenvolvido
pela rea de informtica para seu uso.
O conceito de custdia refere-se pessoa ou organizao responsvel pela guarda
de um ativo de propriedade de terceiros. O mesmo conceito pode ser aplicado para
informaes, significando pessoa ou funo, dentro da companhia, responsvel pela guarda de
ativos de outras pessoas ou funes. A rea de informtica, ao contrrio da viso clssica
ainda bastante aceita, custodiante dos ativos de informaes das reas usurias. Ela os
guarda e processa em nome de seus legtimos proprietrios, as reas usurias, para os quais os
sistemas de aplicao foram desenvolvidos ou em nome dos quais so guardados. Isso vale at
mesmo quando o meio de suporte outro que no o informatizado. A custdia implica a
responsabilidade do receptor quanto integridade dos ativos custodiados. Normalmente, com
a custdia, o custodiante recebe o direito de efetuar operaes com os ativos custodiados em
nome do proprietrio, para executar servios tanto para o mesmo como para terceiros
autorizados por ele.

38
O controle de acesso est relacionado diretamente ao acesso concedido. A funo
desse controle garantir que o acesso seja feito somente dentro dos limites estabelecidos.
Esse controle exercido por meio de mecanismos diversos:
a) senhas: constituem o mecanismo de controle de acesso mais antigo usado pelo
homem para impedir acessos no autorizados, sendo formadas normalmente pela
combinao de letras e nmeros. So muito usadas como forma de se controlar o
acesso a recursos de informao, e os mtodos de controle de acesso mais
recentes tendem a usar senhas como mecanismos de autenticao de identidade
de usurios pela atribuio de uma senha exclusiva para cada chave de acesso ou
identificao de usurios individuais;
b) chaves de acesso ou identificaes: so cdigos de acesso atribudos a usurios,
cada um recebe uma chave de acesso nica que pode ser de conhecimento geral.
A cada chave de acesso associada uma senha destinada a autenticar a
identidade do usurio que possui essa chave. O mecanismo de chave de acesso
permite que ela seja associada a cada recurso que o seu possuidor tenha o direito
de acessar, possibilitando a responsabilizao individual de cada usurio;
c) lista de acesso: mecanismo usado para controlar o acesso de usurios a recursos.
Constitui uma espcie de tabela onde constam o tipo e o nome do recurso, ao
qual so associadas identificaes de usurios com os tipos de operaes
permitidas aos mesmos;
d) operaes: determinam o que cada usurio pode fazer em relao a determinado
recurso. So normalmente as seguintes: leitura, gravao, alterao, excluso,
eliminao (do meio fsico), execuo (de algum software);
e) privilgios: dentro do controle de acesso, determinados usurios tm privilgios
de acesso relacionados com as funes exercidas, isto , quanto maiores os
privilgios de acesso, maior o grau hierrquico do seu detentor;
f) ferramentas de segurana: ferramental usado para controlar o acesso de
usurios aos acervos de informaes. Constituem um sistema de programas que
executa o controle de acesso dentro de determinado ambiente de informaes.
Porm existem tambm os mecanismos no relacionados diretamente

39
informtica, mas que podem ser utilizados em conjunto, tais como aparelhos de
biometria;
g) categoria: o mecanismo que permite classificar usurios, propiciando a
segregao dos mesmos parte do ambiente, normalmente com estruturas de
nvel hierrquico;
h) nvel hierrquico: o mecanismo que permite classificar usurios com
categorias similares, propiciando a segregao dos mesmos a partes do ambiente,
a exemplo das foras armadas.
Apesar dos esforos que se possa ter despendido em segurana lgica, limitando
acessos e protegendo dados, um plano de segurana jamais seria completo se no fossem
observados aspectos de segurana fsica. A segurana fsica relaciona-se diretamente com os
aspectos associados ao acesso fsico a recursos de informaes, tais como disponibilidade
fsica ou o prprio acesso fsico, sejam esses recursos as prprias informaes, seus meios de
suporte e armazenamento ou os mecanismos de controle de acesso s informaes.
Acesso ou posse de um ativo, do ponto de vista fsico, o uso que se faz de
determinado recurso. Esse acesso fsico est representado, no caso de informaes, pelo
acesso ao meio de registro ou suporte que abriga as informaes. Ainda que mais perceptvel
e aparentemente sujeito a mais riscos que o acesso lgico, na realidade o acesso fsico muito
menos sujeito a riscos; entretanto, o controle pode ser mais difcil, j que depende muito mais
de interveno humana. Normalmente, os riscos relacionados com o acesso fsico afetam os
meios de registros e suporte das informaes, ao passo que os riscos relacionados com o
acesso lgico afetam o contedo.
Um outro aspecto importante a ser considerado um programa global destinado a
manter o ambiente de informaes da organizao totalmente seguro contra quaisquer
ameaas sua integridade e sobrevivncia, o qual chamado de plano de contingncia. Esse
consiste em procedimentos de recuperao preestabelecidos, com a finalidade de minimizar o
impacto sobre as atividades da organizao no caso de ocorrncia de um dano ou desastre,
que os procedimentos de segurana no conseguiram evitar.
Ainda associadas segurana fsica e aos planos de contingncia, existem os
conceitos de preservao e recuperao de informaes e seus ativos e meios de suporte. O

40
conceito de preservao est ligado necessidade de sobrevivncia dos acervos de
informaes, evitando eventos que causem sua destruio. O conceito de recuperao,
entretanto, aplica-se a recursos que tenham sido destrudos ou danificados, permitindo que os
mesmos sejam novamente disponibilizados para uso.

3.2 GERENCIAMENTO DE SEGURANA DE INFORMAES BS 7799


O incio da dcada de 90 marca o comeo da terceira etapa do mundo organizacional.
a era da informao, que surge com tremendo impacto provocado pelo desenvolvimento
tecnolgico e com a chamada tecnologia da informao. A nova riqueza passa a ser o
conhecimento, o recurso mais importante substituindo o capital financeiro e, em seu lugar,
surge o capital intelectual.
A informao torna-se a principal fonte de energia dentro das organizaes e a mais
cobiada tambm. Na era da informao, as coisas mudam rpida e incessantemente, e quem
tem informao passa a ter o poder. Poder de conhecer o concorrente, poder de resolver mais
rpido um problema e poder de aprender com os seus erros mais facilmente. E esse bem to
valioso no deixa de ser perseguido de forma correta ou de forma ilcita, e precisa ser
protegido. Sua proteo no fica s na condio de evitar que a informao seja roubada, mas
tambm que ela esteja sempre disponvel quando necessria, para quem tem autorizao para
utiliz-la e recuperada com agilidade e com confiabilidade.
A norma British Standard (BS) 7799, criada na Inglaterra em 1995, define diretrizes
para a implantao de um Sistema de Gerenciamento de Segurana de Informaes, cujo
objetivo principal garantir a integridade, confiabilidade e disponibilidade da informao.
Para isso necessrio que a organizao identifique e defina os seguintes dispositivos para
gesto da segurana da informao em conformidade com a Norma BS 7799, que orientam a
implementao de um sistema de gesto de segurana da informao: anlise de
vulnerabilidades, poltica de segurana, classificao da informao, plano de continuidade de
negcios e auditorias do sistema. Tais dispositivos sero detalhados a seguir.
A Anlise de Vulnerabilidades tem o propsito de mapear as vulnerabilidades da
organizao, definindo e priorizando aes preventivas e corretivas. Leva-se em conta as
caractersticas fsicas, tecnolgicas e humanas do negcio, considerando os processos de

41
negcio relevantes. Identificam-se ameaas, vulnerabilidades e riscos associados segurana
da informao.
A Elaborao da Poltica de Segurana tem o propsito de desenvolver diretrizes,
normas, procedimentos e instrues de segurana para o manuseio, armazenamento,
transporte e descarte de informaes. Cumpre o papel de formalizar parmetros e oficializar
um cdigo de conduta no trato da informao. A poltica de segurana tem alto grau de
importncia no modelo de gesto como um todo.
A Classificao da Informao define o melhor tratamento considerando a
sensibilidade de cada tipo de informao em todo seu ciclo de vida: manuseio,
armazenamento, transporte e descarte. A partir dessa classificao, estabelecem-se normas e
procedimentos para classificao da informao, os quais se tornam partes integrantes da
poltica de segurana.
O Plano de Continuidade de Negcios tem o propsito de desenvolver estratgias e
alternativas de contingncia para minimizar os impactos de um incidente de segurana que
interfira na continuidade dos negcios. Contempla o levantamento e a anlise de processos,
visando criao de um Business Impact Analisys (BIA) e a criao, conforme as estratgias
escolhidas, de planos de continuidade operacional, planos de recuperao de desastres e
programas de administrao de crises, assim como testes e simulaes.
As Auditorias no Sistema de Segurana da Informao podem ser feitas
utilizando-se teste de invaso ou processos formais de auditoria em conformidade com os
procedimentos da prpria BS 7799. O Teste de Invaso tem o propsito de comprovar a
existncia de vulnerabilidades graves em um ambiente previamente definido como alvo, a fim
de validar a soluo de segurana implementada ou para chamar a ateno a situaes de alto
risco.
O desenvolvimento e a implantao de um Sistema de Gerenciamento de Segurana
de Informaes (SGSI), alm da organizao da documentao, exige a implementao de
controles para atender aos objetivos de segurana da organizao. Para isso devem ser
executados os seguintes passos segundo a norma BS 7799:

42
a) definio da poltica de segurana da informao: documento que contm de
forma clara e resumida as premissas e diretrizes do Sistema de Gesto de
Segurana da Informao;
b) definio do escopo do sistema de gesto de segurana da informao: o
permetro de abrangncia que define os ativos que sero contemplados no SGSI,
sejam eles sistemas, dispositivos fsicos, processos ou aes do pessoal
envolvido;
c) anlise do risco: abrange a identificao das ameaas e vulnerabilidades para os
ativos cobertos pelo escopo definido, seus possveis impactos no negcio. A
metodologia utilizada para elaborao dessa anlise deve ser documentada, os
critrios para identificao dos riscos precisam ser registrados e inseridos no
sistema de documentao;
d) gesto do risco: definio do processo de gesto dos riscos identificados e
critrios para atribuio das prioridades e relao custo benefcio de cada ao
recomendada;
e) seleo dos controles a serem implementados e seus respectivos objetivos;
f) preparao da declarao de aplicabilidade: a justificativa clara de quais
itens da Norma BS 7799 so aplicveis e sero desdobrados dentro do Sistema
de Gesto de Segurana de Informaes da organizao. Esse passo resume os
passos anteriores e complementa o escopo para certificao. tambm um norte
para evitar que se definam controles em excesso ou que se deixe desprotegido
algum ativo importante para a organizao.
Estando esses passos bem definidos, a organizao pode ento iniciar seu processo
de implantao dos requisitos contidos na BS 7799, os quais sero descritos de forma objetiva
neste captulo. Os requisitos so:
a) poltica de segurana da informao: prover direo uma orientao e apoio
para a segurana da informao. Convm que a direo estabelea uma poltica
clara e demonstre apoio e comprometimento com a segurana da informao
atravs da emisso e manuteno de uma poltica de segurana da informao
para toda a organizao;

43
b) infra-estrutura da segurana da informao: gerenciar a segurana dentro da
organizao. Convm que uma estrutura de gerenciamento seja estabelecida para
iniciar e controlar a implementao da segurana da informao dentro da
organizao;
c) segurana no acesso de prestadores de servio: manter a segurana dos
recursos

de

processamento

de

informao

ativos

de

informao

organizacionais acessados por prestadores de servio. Convm que seja


controlado o acesso de prestadores de servios aos recursos de processamento da
informao da organizao;
d) terceirizao: manter a segurana da informao quando a responsabilidade
pelo processamento da informao terceirizada para uma outra organizao.
Convm que o acordo de terceirizao considere riscos, controles de segurana e
procedimentos para os sistemas de informao, rede de computadores e/ou
estaes de trabalho no contrato entre as partes;
e) contabilizao dos ativos: manter a proteo adequada dos ativos da
organizao. Convm que todos os principais ativos de informao sejam
inventariados e tenham um proprietrio responsvel;
f) classificao da informao: assegurar que os ativos de informao recebam
um nvel adequado de proteo. Convm que a informao seja classificada para
indicar a importncia, a propriedade e o nvel de proteo;
g) segurana na definio e nos recursos de trabalho: reduzir os riscos de erro
humano, roubo, fraude ou uso indevido das instalaes. Convm que
responsabilidades de segurana sejam atribudas na fase de recrutamento,
includas em contratos e monitoradas durante a vigncia de cada contrato de
trabalho;
h) treinamento dos usurios: assegurar que os usurios estejam cientes das
ameaas e das preocupaes de segurana da informao e estejam equipados
para apoiar a poltica de segurana da organizao durante a execuo normal do
seu trabalho. Convm que usurios sejam treinados nos procedimentos de
segurana e no uso correto das instalaes de processamento da informao, de
forma a minimizar possveis riscos de segurana;

44
i) respondendo aos incidentes de segurana e ao mau funcionamento:
minimizar

danos

originados

pelos

incidentes

de

segurana,

mau

funcionamento, e monitorar e aprender com tais incidentes. Convm que os


incidentes que afetam a segurana sejam reportados atravs dos canais
apropriados o mais rapidamente possvel;
j) reas de segurana: prevenir acesso no autorizado, dano e interferncia s
informaes e instalaes fsicas da organizao. Convm que os recursos e as
instalaes de processamento de informaes, crticas ou sensveis do negcio,
sejam mantidos em reas seguras, protegidas por um permetro de segurana
definido, com barreiras de segurana apropriadas e controle de acesso. Convm
que estas sejam fisicamente protegidas de acesso no autorizado, dano ou
interferncia;
k) segurana dos equipamentos: prevenir perda, dano ou comprometimento dos
ativos, e a interrupo das atividades do negcio. Convm que os equipamentos
sejam fisicamente protegidos contra ameaas sua segurana e perigos
ambientais. A proteo dos equipamentos necessria para reduzir o risco de
acessos no autorizados a dados e para proteo contra perda ou dano;
l) controles gerais: evitar exposio ou roubo de informao e de recursos de
processamento da informao. Convm que informaes e recursos de
processamento da informao sejam protegidos de divulgao, modificao ou
roubo por pessoas no autorizadas, e que sejam adotados controles de forma a
minimizar sua perda ou dano;
m) procedimentos e responsabilidades operacionais: garantir a operao segura e
correta dos recursos de processamento da informao. Convm que os
procedimentos e as responsabilidades pela gesto e operao de todos os
recursos de processamento das informaes sejam definidos;
n) planejamento e aceitao dos sistemas: minimizar o risco de falhas nos
sistemas. Convm que projees de demanda de recursos e de carga de mquina
futura sejam feitas para reduzir o risco de sobrecarga dos sistemas;

45
o) proteo contra software malicioso: proteger a integridade do software e da
informao. necessrio que se adotem precaues para prevenir e detectar a
introduo de softwares maliciosos;
p) housekeeping: manter a integral disponibilidade dos servios de comunicao e
processamento da informao. Convm que sejam estabelecidos procedimentos
de rotina para a execuo das cpias de segurana e para a disponibilizao dos
recursos de reserva, conforme definido na estratgia de contingncia, de forma a
viabilizar a restaurao em tempo hbil, controlando e registrando eventos e
falhas e, quando necessrio, monitorando o ambiente operacional.
q) gerenciamento de rede: garantir a salvaguarda das informaes na rede e a
proteo da infra-estrutura de suporte. O gerenciamento de segurana de rede
que se estendam alm dos limites fsicos da organizao requer particular
ateno;
r) segurana e tratamento de mdias: prevenir danos aos ativos e interrupes
das atividades do negcio. Convm que as mdias sejam controladas e
fisicamente protegidas;
s) troca de informao e software: prevenir a perda, modificao ou mau uso de
informaes trocadas entre organizaes. Convm que as trocas de informaes
e software entre organizaes sejam controladas e estejam em conformidade com
toda a legislao pertinente;
t) requisitos do negcio para o controle de acesso: controlar o acesso
informao. Convm que o acesso informao e processos do negcio sejam
controlados na base dos requisitos de segurana e do negcio;
u) gerenciamento de acessos do usurio: prevenir acessos no autorizados aos
sistemas

de

informao.

Convm

que

procedimentos

formais

sejam

estabelecidos para controlar a concesso de direitos de acesso aos sistemas de


informao e servios;
v) responsabilidade dos usurios: prevenir acesso no autorizado dos usurios.
Convm que os usurios estejam cientes de suas responsabilidades para a
manuteno efetiva do controle de acesso, considerando particularmente o uso
de senhas e a segurana de seus equipamentos;

46
w) controle de acesso rede: proteo dos servios de rede. Convm que o acesso
aos servios de rede internos e externos seja controlados;
x) controle de acesso ao sistema operacional: prevenir acesso no autorizado ao
computador. Convm que as funcionalidades de segurana do sistema
operacional sejam usadas para restringir o acesso aos recursos computacionais;
y) controle de acesso s aplicaes: prevenir acesso no autorizado informao
contida nos sistemas de informao. Convm que os recursos de segurana sejam
utilizados para restringir o acesso aos sistemas de aplicao;
z) monitorao do uso e acesso ao sistema: descobrir atividades no autorizadas.
Convm que os sistemas sejam monitorados para detectar divergncias entre a
poltica de controle de acesso e os registros de eventos monitorados, fornecendo
evidncias no caso de incidentes de segurana;
aa) computao mvel: garantir a segurana da informao quando se utilizam a
computao mvel e os recursos de trabalho remoto. Convm que a proteo
requerida seja proporcional ao risco dessa forma especfica de trabalho;
bb) requisitos de segurana de sistemas: garantir que a segurana seja parte
integrante dos sistemas de informao. Convm que todos os requisitos de
segurana, incluindo a necessidade de acordos de contingncia, sejam
identificados na fase de levantamento de requisitos de um projeto e justificados,
acordados e documentados como parte do estudo de caso de um negcio para um
sistema de informao;
cc) segurana nos sistemas de aplicao: prevenir perda, modificao ou uso
imprprio de dados do usurio nos sistemas de aplicaes. Convm que os
controles apropriados e as trilhas de auditoria ou o registro de atividades sejam
previstos para os sistemas de aplicao, incluindo as escritas pelos usurios.
Convm que estes incluam a validao dos dados de entrada, processamento
interno e dados de sada;
dd) controles de criptografia: proteger a confidencialidade, autenticidade ou
integridade das informaes;

47
ee) segurana de arquivos do sistema: garantir que projetos de tecnologia de
informao e as atividades de suporte sejam conduzidos de modo seguro.
Convm que o acesso aos arquivos do sistema seja controlado;
ff) segurana nos processos de desenvolvimento e suporte: manter a segurana
do software e da informao do sistema de aplicao. Convm que os ambientes
de desenvolvimento e suporte sejam rigidamente controlados;
gg) aspectos da gesto da continuidade do negcio: no permitir a interrupo das
atividades do negcio e proteger os processos crticos contra efeitos de falhas ou
desastres significativos. Convm que o processo de gesto da continuidade seja
implementado para reduzir, para um nvel aceitvel, a interrupo causada por
desastres ou falhas de segurana atravs da combinao de aes de preveno e
recuperao;
hh) conformidade com requisitos legais: evitar violao de qualquer lei criminal ou
civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer
requisitos de segurana. Convm que consultoria em requisitos legais especficos
seja procurada em organizaes de consultoria jurdica ou em profissionais
liberais, adequadamente qualificados nos aspectos legais;
ii) anlise crtica da poltica de segurana e da conformidade tcnica: garantir
conformidade dos sistemas com as polticas e normas organizacionais de
segurana. Convm que a segurana dos sistemas de informao seja analisada
criticamente em intervalos regulares;
jj) consideraes quanto auditoria de sistemas: maximizar a eficcia e
minimizar a interferncia no processo de auditoria de sistema. Convm que
existam controles para a salvaguarda dos sistemas operacionais e ferramentas de
auditoria durante as auditorias de sistema.
Com os requisitos acima apresentados, uma organizao pode trabalhar na reduo
dos incidentes relacionados segurana de informaes, procurando resguardar os seus ativos
mais importantes. Consta tambm na prpria BS 7799 que a aplicao desses controles no
deve ser considerada como o passo definitivo no que tange segurana de informaes,
podendo a prpria empresa definir e implementar algum outro controle no citado acima.

48

3.3 ATUALIDADE EM SEGURANA DE INFORMAES


A velocidade das mudanas da economia digital tem gerado uma demanda crescente
por solues de segurana mais complexas, que garantam um nvel mnimo de proteo para
toda a estrutura tecnolgica e organizacional, com custo reduzido e no menor tempo possvel.
Uma vez conectada Internet, a rede de computadores de qualquer organizao fica
potencialmente acessvel a usurios externos, incluindo hackers com inteno maliciosa.
Aliado a isso, o ambiente de rede das grandes empresas envolve hardware, sistemas
operacionais, protocolos e aplicaes de diversos fornecedores, fazendo com que a rede passe
a ter vulnerabilidades adicionais, que podem ser exploradas por um usurio no-autorizado,
seja ele interno ou externo.
Um fracasso na proteo das informaes pode resultar em prejuzo financeiro
significativo, na perda de segmentos de mercado e em danos irreparveis imagem da
empresa. Os riscos dessa insegurana so reais, e as empresas de tecnologia e as indstrias so
as mais atingidas.
Em recente relatrio da Bear Stearns (MDULO, 2002), as previses para o
comrcio eletrnico business-to-business (B2B) apontam para um mercado de US$ 1,1
trilho em 2003, destacando que a maioria dos players do mercado no possui estrutura de
segurana para seus negcios. Nos prximos anos essas companhias devero construir infraestruturas completas de segurana para suas operaes.
As projees da Forrester Research (MDULO, 2002) para o mercado mundial
business-to-business (B2B) em 2003, estimam que 90% das vendas totais de comrcio
eletrnico (US$ 1,4 trilho) sejam de transaes B2B (US$ 1,3 trilho) e cerca de 10% (US$
108 bilhes) para business-to-client (B2C). Pesquisa realizada pelo IDC mostra que os gastos
via Internet na Amrica Latina devero atingir US$ 8 bilhes em 2003.
O mercado business-to-business brasileiro dever movimentar, ainda de acordo com
pesquisa do IDC, US$ 1,9 bilho em 2003 (MDULO, 2002). O mercado de e-commerce no
Brasil dever sofrer crescimento exponencial, com destaque para as negociaes entre
empresas. O Brasil atualmente tem uma participao substancial com 88% desse mercado
seguido pelo Mxico com 6% e pela Argentina com 2% das vendas. Um dos principais fatores

49
do atual estgio de desenvolvimento do comrcio eletrnico, no Brasil, a sofisticao dos
sistemas bancrios, com mais de 1,5 milho de correntistas que acessam suas contas atravs
de PCs conectados via linha direta ou por Internet.
A Stima Pesquisa Nacional sobre Segurana da Informao (MDULO, 2001),
realizada com 165 executivos de grandes empresas pblicas e privadas, distribudas entre os
segmentos financeiro, servios, informtica, indstria, telecomunicaes, governo, ecommerce e varejo, indicou que 40% das grandes empresas brasileiras j sofreram ataques
eletrnicos (nmero bem maior que o ano anterior que foi de 32%), sendo que 43% dessas
empresas sofreram os ataques no segundo semestre de 2001. Entretanto, 31% delas no sabem
precisar se suas redes j foram ou no invadidas. Ainda assim, 46% das empresas no tm um
plano de ao contra ataques, evidenciando o potencial de crescimento desse mercado. Em
relao ao oramento total para informtica para o ano de 2000, 80% das empresas afirmaram
que seu oramento de segurana aumentaria para no ano de 2001. Dentre as empresas que
declararam os investimentos planejados para 2001, 14% reservam mais de um quinto do
oramento de TI para segurana de informaes.
Na oitava edio (MDULO, 2002), a pesquisa apresenta um panorama do segmento
de segurana da informao no pas, com dados estatsticos sobre o mercado, indicadores,
melhores prticas e uma anlise das informaes atravs de grficos dos resultados das
diversas questes levantadas.
Observa-se neste trabalho que, ano aps ano, cresce a preocupao das empresas
com a proteo de suas informaes, aumentando tambm a adoo de controles para
minimizar os riscos resultantes de ameaas e vulnerabilidades. A amostra desse ano dobrou
em relao de 2001, o que revela a importncia e a credibilidade que este trabalho vem
conquistando junto ao mercado nacional.
A pesquisa quantitativa foi desenvolvida a partir de uma amostra de 547
questionrios presenciais coletados entre maro e agosto de 2002, junto a profissionais ligados
rea de tecnologia e segurana da informao de diversos segmentos de negcios Bancos
(21%), Governo (19%), Informtica (15%), Indstria e Comrcio (15%), Servios (10%),
Energia (10%), Telecomunicaes (9%) e Sade (1%), correspondendo a mais de 30% das
mil maiores empresas brasileiras. O questionrio foi composto por 40 questes objetivas,
sendo algumas de respostas mltiplas. Foram computadas somente as perguntas efetivamente

50
respondidas. Essa pesquisa nacional de segurana da informao, mostra que, embora as
organizaes reconheam a importncia da segurana da informao como a melhor forma de
garantir a manuteno dos negcios, as principais solues implementadas ainda tm
caractersticas tcnicas e pontuais, como a utilizao de antivrus e firewall.
Outro fato relevante que mais da metade das empresas brasileiras no tm planos
de ao formalizados em caso de ataques, apesar da expectativa de aumento nos problemas
com a segurana e o crescimento no ndice de registros de ataques e invases. A ausncia de
procedimentos emergenciais amplia a extenso do problema, deixando as empresas mais
vulnerveis e aumentando o impacto sobre os negcios. A pesquisa revela que a falta de
conscientizao ainda a grande barreira para a implementao da segurana da informao,
embora tenha ficado claro que o investimento em capacitao para a formao de
profissionais ser um dos principais investimentos para 2002 e 2003.
A figura do Security Officer vem se consolidando como o principal gestor da
segurana nas empresas. Outro aspecto importante apresentado a falta de procedimentos
internos de anlise e investigao que facilitem a identificao da causa dos problemas, bem
como uma quantificao mais precisa dos prejuzos. Cerca de 56% das empresas no Brasil
no conseguem quantificar suas perdas financeiras com problemas de segurana da
informao.
No que se refere oferta de produtos e servios voltados para a segurana da
informao, o mercado encontra-se satisfatoriamente abastecido para as demandas
identificadas at o presente momento, principalmente no que se refere s ferramentas e
solues tecnolgicas.
Para desenvolver a segurana da informao no Brasil, sensibilizando as
organizaes para a implementao de medidas preventivas, que reduzam os riscos, preciso
haver uma conjuno entre Tecnologia (recursos fsicos e lgicos), Pessoas (cultura,
capacitao e conscientizao) e Processos (metodologia, normas e procedimentos).
Estabelecer recomendaes sobre controles e prticas envolvendo esses trs elementos o
principal objetivo da ISO17799 e da BS 7799, conjunto de normas e padres de
gerenciamento para implementao de prticas de segurana da informao. Essa uma
prtica que se encontra em processo de adoo em mais de 20 pases, devendo se tornar um
padro adotado mundialmente nos prximos anos. De acordo com o Yankee Group

51
(MDULO, 2001), invases, como as ocorridas nas gigantes Yahoo, eBay, Etrade, Buy.com e
Amazon.com, vo gerar perdas de aproximadamente US$ 1 bilho. Estima-se que apenas essas
empresas atacadas gastaram entre US$ 100 milhes e US$ 200 milhes para atualizar seus
sistemas de segurana durante o ano de 2000.
Pesquisa do Gartner (MDULO, 2001), realizada com 589 empresas do mundo todo
entre maro e junho de 2001, mostra que 56% dos entrevistados pretendiam gastar mais com
tecnologia da informao em 2001 do que gastaram em 2000. A mesma pesquisa descobriu
que a situao econmica no impediu que empresas do Tipo A, ou que adotam tecnologia
de ponta, aumentassem seus oramentos, baseando-se em uma porcentagem de suas vendas. O
governo, que considerado do Tipo A, em funo dos projetos de e-governo apresenta um
aumento de 18% entre 2000 e 2002, seguido pelos servios de telecomunicaes onde
esperava-se um aumento de 13.9% em gastos com sistemas de informao e do setor bancrio
que estava planejando um crescimento de oramento de ativos na ordem de 10,8%.
As estimativas de mercado divulgadas por vrios rgos, mesmo que apresentem
diferenas numricas evidentes, apontam para a mesma direo: crescimento do setor no
mundo. Para o Yankee Group (MDULO, 2001), o mercado de segurana mundial saltaria de
US$ 3,6 bilhes em 1999 para US$ 10,8 bilhes em 2003. Segundo o Datamonitor
(MDULO, 2002), os investimentos em segurana eletrnica devero ser de US$ 15,44
bilhes no ano 2003. J o Bear Stearns (MDULO, 2002) estima um mercado de US$ 20,9
bilhes em 2005 e acredita que o setor de segurana da Internet deva entrar em um forte ciclo
de crescimento na prxima dcada.
O International Data Corporation IDC divulgou previso de crescimento de 25%
ao ano para o mercado de servios relacionados segurana de redes nos prximos cinco
anos. O crescimento do comrcio eletrnico tambm se configura como um grande gerador de
demanda para servios de segurana.
Define-se como Application Service Providers (ASPs) as empresas que
disponibilizam, hospedam, gerenciam e alugam software a partir de uma localizao
centralizada. Utilizam o modelo de negcios one-to-many e tipicamente so acessadas pela
Internet ou por um acesso dedicado. Segundo relatrio do IDC, o mercado geral de ASPs
chegar a US$ 23 bilhes em 2003. importante mencionar, no entanto, que, por se tratar de
um ramo ainda no explorado, mesmo em nvel mundial, o segmento de ASP voltado para a

52
segurana no dispe de estatsticas que possibilitem a determinao de seu potencial de
crescimento.
Segundo o IDC, apoiado no crescimento do comrcio eletrnico e no aumento das
ameaas internas, o mercado mundial de software de segurana para a Internet alcanar US$
11,3 bilhes em 2004. Esse mercado evoluiu historicamente de US$ 1,2 bilhes em 1996,
para 2 bilhes em 1997, 3,1 bilhes em 1998, atingindo 4,0 bilhes em 1999.

3.4 APLICAO DA BS 7799 NAS EMPRESAS


Existem atualmente em torno de quinhentas empresas certificadas em BS 7799 no
mundo (http://www.xisec.com), e por se tratar de um assunto sensvel no mercado, a maioria
destas empresas evita a divulgao e o acesso as informaes de implementao dos seus
Sistemas de Gerenciamento de Segurana de Informaes, assim como o resultado desta
implementao. Por estas razes limitado o nmero de exemplos de aplicaes que se pode
obter na literatura, um caso apresentado abaixo.

3.4.1

Aplicao na T-Systems CSM


Um dos exemplos da aplicao da Norma BS 7799 a empresa de telecomunicaes

alem T-Systems CSM, uma das quatro divises da Deutsche Telekom, que tem como
atividades principais o comrcio eletrnico, redes corporativas, aplicaes de acesso e
segurana, solues individuais de TI e de telecomunicaes, alm de consultoria gerencial,
cuja certificao foi realizada no ano de 2000. Essa organizao foi assessorada pela empresa
de consultoria em segurana de informaes Aexis (http://www.aexis.de), segundo a direo
da empresa, a preparao, implementao e certificao da empresa passaram pelas seguintes
etapas:
a) escopo da certificao: todas as atividades da T-Systems CSM foram cobertas
pelo Sistema de Gerenciamento de Segurana de Informaes, considerando
dezessete unidades localizadas por toda a Alemanha, totalizando 6.500
funcionrios. Dessa forma, a T-Systems CSM era a nica companhia na
Alemanha com a certificao em todas as suas atividades;

53
b) motivao: garantir a existncia de planos de segurana dentro da T-Systems
CSM; medir a efetividade do uso das instalaes de processamento da
informao; manter a boa imagem da corporao; satisfazer os requisitos dos
clientes; atrair novos clientes e manter o diferencial competitivo;
c) preparao para certificao: definio do processo de segurana baseado em
requisitos e procedimentos; anlise de risco de todos os processos internos;
seleo dos controles; implementao dos controles e estabelecimento do
gerenciamento da segurana; planejamento do processo de auditoria; criao de
uma equipe eficiente de projeto com competncias pessoais; documentao
completa do processo de segurana, levando em conta as modificaes em outros
processos; obteno da aprovao e recursos necessrios por parte da direo;
realizao de acordos com outros comits;
d) anlise de risco: usado plano de segurana existente; estimativa dos riscos
remanescentes; cada objeto (tcnico ou software) dentro da T-Systems CSM teve
um plano de segurana; esses planos estimavam os riscos remanescentes aps os
controles de segurana implementados; responsveis so os donos do objeto;
e) plano de continuidade do negcio: recuperao de dados e disponibilidade de
servios; sistemas espelhados e planos de recuperao de desastres;
f) acordos contratuais: acordos dos nveis de servio; identificao das
necessidades para manter os acordos contratuais;
g) conscientizao: a conscientizao do pessoal a chave para o sucesso; toda a
organizao

foi treinada; slogans; posters; artigos em revistas internas;

publicaes na Intranet; todos conheciam a BS 7799 e a importncia da


segurana de informaes;
h) certificao: realizao de duas pr-auditorias em unidades diferentes; quatro e
dois meses antes da certificao; certificao emitida em novembro/2000;
realizadas mais de 350 entrevistas em muitas unidades que foram visitadas;
processo de certificao levou 10 meses;
i) recursos utilizados: equipe de projeto e trabalho; treinamentos (3 horas para
cada funcionrio); recursos para implementao dos controles; publicidade;
certificadora; atualizao permanente dos custos;

54
j) os benefcios com a certificao: atender aos requisitos dos clientes; reforar a
imagem da companhia; demonstrar segurana e conquistar novos clientes;
melhor conhecimento para a segurana; aumento da qualificao dos
colaboradores; reconhecimento internacional.
No Brasil, a primeira organizao certificada foi uma empresa de consultoria de
segurana de informaes. A empresa foi certificada pela Det Norske Veritas (DNV)
organismo certificador. O processo de auditoria executado na referida empresa objeto de
estudo deste trabalho.
Os conceitos gerais sobre segurana, as bases que levaram ao surgimento da Norma
BS 7799, os requisitos necessrios para tal implantao e o caso de sucesso, apresentados
neste captulo, reportam ao objetivo geral deste estudo, que pretende determinar a dimenso
do cenrio que um processo de auditoria deve avaliar e considerar no mbito de cada
organizao. O mtodo de pesquisa, seus detalhes, as etapas, os instrumentos e ajustes so
detalhados no captulo 4.

55

CAPTULO 4

METODOLOGIA DE PESQUISA
O objetivo deste captulo definir o mtodo utilizado para a realizao da pesquisa,

seus detalhes, instrumentos e ajustes, o cenrio de realizao do estudo e a relevncia para


essa empresa da BS 7799 e para os seus profissionais.

4.1 MTODO DE PESQUISA


Conforme Yin (2001), a escolha da estratgia adequada de pesquisa est relacionada
a trs condies: o tipo de questo de pesquisa proposto; a extenso de controle que o
pesquisador tem sobre eventos comportamentais efetivos e o grau de enfoque em
acontecimentos histricos em oposio a acontecimentos contemporneos (ver Figura 4).

Figura 4

Fonte: Yin (2004)


Situaes relevantes para diferentes estratgias de pesquisa

56
Considerando a forma da questo de pesquisa do presente estudo (como); a no
exigncia de controle sobre eventos comportamentais e o enfoque em acontecimentos
contemporneos, optou-se pelo mtodo de estudo de caso para a realizao da presente
pesquisa.
Considerando ainda que, no Brasil, a primeira empresa que auditou um Sistema de
Gerenciamento de Segurana de Informaes com base na Norma BS 7799 foi a Det Norske
Veritas (DNV), esta foi escolhida como objeto do estudo de caso da presente pesquisa.
Dentro desse contexto, alm da reviso da literatura, as etapas planejadas para este
estudo de caso foram:
a) coleta de dados;
b) coleta de evidncias;
c) anlise das evidncias;
d) gerao do relatrio.
A Figura 5 apresenta o desenho da pesquisa.

Figura 5

Desenho da pesquisa

57
4.1.1

Coleta de Dados
A preparao para a coleta de dados pode ser uma atividade complexa e difcil, se

no for realizada corretamente. Todo o trabalho de investigao do estudo de caso poder ser
posto em risco (YIN, 2001). Uma boa preparao comea com as habilidades desejadas por
parte do pesquisador; entretanto, no existem mecanismos do tipo testes, exame da ordem ou
vestibular para avaliar as habilidades necessrias a um estudo de caso. Entretanto, uma lista
bsica de habilidades comumente exigidas incluiria:
a) uma pessoa capaz de fazer boas perguntas e interpretar respostas;
b) uma pessoa que seja boa ouvinte e no seja enganada por suas prprias
ideologias e por preconceitos;
c) uma pessoa capaz de ser adaptvel e flexvel, que vislumbre oportunidades e no
ameaas;
d) uma pessoa que seja capaz de manter o foco na questo relevante do assunto;
e) uma pessoa imparcial em relao a noes preconcebidas e provas
contraditrias.
Um segundo tpico importante o treinamento e preparao para um estudo em
especfico, o objetivo desse treinamento que o pesquisador saiba:
a) por que o estudo est sendo realizado;
b) quais provas esto sendo procuradas;
c) quais variaes podem ser antecipadas (e o que deve ser feito se essas variaes
ocorrerem);
d) o que constituiria uma prova contrria ou corroborativa para qualquer proposio
dada.
Uma das funes do treinamento, segundo o autor, a de estabelecer um protocolo a
respeito do estudo proposto, ou seja, estabelecer uma minuta dos assuntos que devem ser
tratados no estudo de caso. Tal protocolo deve apresentar as seguintes sees:
a) viso geral do projeto do estudo de caso;
b) procedimento de campo;

58
c) questes especficas do estudo de caso;
d) guia para o relatrio do estudo de caso.
A preparao final para a realizao da coleta de dados, segundo Yin (2001), a
realizao de estudo de caso-piloto para auxiliar o pesquisador a aprimorar os planos para a
coleta de dados tanto em relao ao contedo dos dados quanto aos procedimentos que devem
ser seguidos.
Neste estudo de caso, a fase de coleta de dados foi realizada pela funo do
auditor/coordenador da norma em questo, o qual possui as habilidades e o treinamento
necessrios para avaliar o foco da questo do estudo. Sobre a etapa do protocolo proposto por
Yin (2001), em certas etapas foram utilizados os formulrios do modelo internacional da
DNV para a coleta das informaes do cliente, e em outras, apenas uma lista de verificao de
assuntos, a fim de comprovar se a etapa havia sido completada de forma satisfatria.
O estudo de caso-piloto, no foi aplicado neste trabalho, em virtude da prpria
documentao utilizada e definida pelos procedimentos padres ter suprido a necessidade de
validar a coleta de dados.

4.1.2

Coleta de Evidncias
As evidncias para um estudo de caso podem surgir de seis fontes distintas:

documentos, registros em arquivo, entrevistas, observao direta, observao participante e


artefatos fsicos (YIN, 2001).
Documento exceto para os estudos que investigam sociedades que no dominavam
a arte da escrita, provvel que as informaes documentais sejam relevantes a todos os
tpicos do estudo de caso. Para os estudos de caso, o uso mais importante de documentos
corroborar e valorizar as evidncias oriundas de outras fontes;
Registros em arquivo para muitos estudos de caso, os registros em arquivo
geralmente em sua forma computadorizada tambm podem ser muito importantes. Quando se
julga que as provas de arquivos sejam importantes, o pesquisador deve tomar cuidado ao
averiguar sob quais condies elas foram produzidas e qual seu grau de preciso;

59
Entrevistas uma das mais importantes fontes de informaes para um estudo de
caso so as entrevistas. No geral, as entrevistas constituem uma fonte essencial de evidncias
para estudos de caso, j que a maioria delas trata de questes humanas. Essas questes
deveriam ser registradas e interpretadas por meio dos olhos de entrevistadores especficos, e
respondentes bem-informados podem dar interpretaes importantes para uma determinada
situao. As entrevistas, no entanto, devem sempre ser consideradas apenas como relatrios
verbais e, como tal, uma abordagem razovel a de corroborar os dados obtidos em
entrevistas com informaes obtidas de outras fontes;
Observao direta ao realizar uma visita de campo ao local escolhido para o
estudo de caso, cria-se a oportunidade de realizarem-se observaes diretas. Assumindo-se
que os fenmenos de interesse no sejam puramente de carter histrico, encontrar-se-o
disponveis para observao alguns comportamentos ou condies ambientais relevantes.
Essas observaes servem como outra fonte de evidncias em um estudo de caso;
Observao participante uma modalidade especial de observao na qual o
pesquisador no apenas um observador passivo, em vez disso, assume uma variedade de
funes dentro de um estudo de caso e pode, de fato, participar de eventos que esto sendo
estudados;
Artefatos fsicos uma ltima fonte de evidncias um artefato fsico ou cultural,
um aparelho de alta tecnologia, uma ferramenta ou instrumento, uma obra de arte ou alguma
outra evidncia fsica. Pode-se coletar ou observar esses artefatos como parte de uma visita de
campo e pode-se utiliz-los extensivamente na pesquisa.
No estudo de caso proposto, as evidncias foram coletadas de documentos, registros,
entrevistas e observao participante. Devido finalidade da atividade de auditoria de
sistemas, os documentos so base da metodologia de auditoria proposta pela DNV que
especifica as etapas a serem conduzidas tanto pela equipe comercial quanto pela equipe
auditora que realiza a verificao in loco. Os registros so as informaes geradas pelo cliente
que responde aos formulrios utilizados para levantamento de informaes, a fim de preparar
a proposta comercial e tambm as informaes geradas do Sistema de Gesto de Segurana de
Informaes (SGSI) e da prpria auditoria. As entrevistas servem para corroborar as
informaes que foram identificadas nos documentos e/ou registros, e por fim, a observao
participante devido execuo da auditoria propiciar a observao e interao com evidncias

60
para comprovao das informaes relacionadas anteriormente em documentos e registros do
SGSI.

4.1.3

Anlise de Evidncias
Segundo Yin (2001), a anlise de evidncias consiste em examinar, categorizar,

classificar em tabelas ou, do contrrio, recombinar as evidncias considerando as proposies


iniciais de um estudo. Quatro tcnicas analticas dominantes devem ser utilizadas: adequao
ao padro, construo da explanao, anlise de sries temporais e modelos lgicos de
programa. Cada uma delas pode ser aplicvel em projetos de estudo de caso nico ou de casos
mltiplos, e cada estudo deve levar essas tcnicas em considerao.
Adequao ao padro uma das estratgias mais desejveis a utilizao da lgica
de adequao ao padro, essa lgica (TROCHIM apud YIN, 2001) compara um padro
fundamentalmente emprico com outro de base prognstica (ou com vrias outras previses
alternativas). Se os padres coincidirem, os resultados podem ajudar o estudo de caso a
reforar sua validade interna;
Construo da explanao uma segunda estratgia analtica constitui um tipo
especial de adequao ao padro, o procedimento tem como objetivo analisar os dados do
estudo construindo uma explanao sobre o caso. A elaborao gradual de uma explanao
assemelha-se ao processo de aprimorar um conjunto de idias, nas quais um aspecto
importante , novamente, levar em considerao outras explanaes plausveis ou
concorrentes. Nesse sentido, a explanao final pode no ter sido inteiramente estipulada no
comeo de um estudo e, por conseguinte, pode diferir, nesse sentido, da abordagem de
adequao ao padro previamente descrita. Em vez disso, as evidncias do estudo de caso so
examinadas, os posicionamentos tericos so revisados, e as evidncias so examinadas
novamente de uma nova perspectiva, nesse modo iterativo;
Anlise de sries temporais outra estratgia analtica conduzir uma anlise de
sries temporais, diretamente anloga anlise de sries temporais realizadas em
experimentos e em pesquisas quase-experimentais. Uma anlise como essa pode seguir
muitos padres. Quanto mais complicado e preciso for o padro, mais a anlise de sries
temporais estabelecer uma base firme para as concluses do estudo de caso;

61
Modelos lgicos de programa esta estratgia na verdade uma combinao das
tcnicas de adequao ao padro e de anlise de sries temporais. O padro que est sendo
buscado o padro-chave de causa e efeito entre variveis independentes e dependentes.
Contudo, a anlise estabelece deliberadamente um encadeamento de eventos (padro) ao
longo do tempo (srie temporal), dando conta dessas variveis independentes e dependentes.
A estratgia, segundo o autor, mais til para estudos de caso explanatrios e exploratrios
do que para estudos descritivos.
No estudo proposto neste trabalho, o modelo utilizado foi o de adequao ao padro,
uma vez que a proposta deste estudo avaliar a adequao da metodologia de aplicao de
procedimentos para definio e execuo das etapas de um processo de certificao em um
Sistema de Gerenciamento de Segurana de Informaes em empresa do mercado nacional,
considerando que o padro citado utilizado no mercado internacional regularmente e com
sucesso.

4.1.4

Gerao do Relatrio
O objetivo deste item ilustrar alguns tpicos que devem ser considerados na

composio e na exposio, os quais esto diretamente relacionados ao trabalho.


O relatrio de um estudo de caso no segue qualquer frmula estereotipada, e
tambm no precisa ser apenas na forma escrita. Os estudos de caso tm uma relao mais
diversa de possveis pblicos-alvo (colegas, profissionais em geral, grupos especiais,
instituio financiadora) do que a maioria dos outros tipos de pesquisa. Sendo assim, uma
tarefa essencial, ao se projetar o relatrio global do estudo, identificar cada um dos pblicos
especficos para o relatrio. Cada um deles possui necessidades diferentes, e nenhum relatrio
em especial atender s demandas de todos os pblicos simultaneamente. As supostas
preferncias de um pblico em potencial devem impor o modelo de um relatrio de estudo de
caso, o relatrio em si deve refletir as nfases, os detalhes, o modelo de composio e at
mesmo a extenso conveniente s necessidades do suposto pblico.
Quanto s variedades de composio, um relatrio de estudo de caso no precisa ser
apenas escrito, as informaes e os dados obtidos em um caso podem ser expostos de outras
maneiras, como uma exposio oral ou at um conjunto de fotos ou gravaes de vdeo. A
escolha influenciar reciprocamente a tarefa de identificar o pblico para o estudo de caso. As

62
sees, os subtpicos e outras partes integrantes de um relatrio devem ser organizados de
alguma maneira, e essa organizao constitui a estrutura ilustrativa do relatrio.
Neste estudo de caso, os pblicos-alvo so o acadmico e os profissionais da rea de
certificao de sistemas de segurana de informaes. Em relao composio do relatrio,
foi adotada a prtica descritiva, com seqncia de subtpicos, com a existncia de um
problema, reviso da literatura, mtodo, anlise dos dados coletados e concluses a partir
dessas anlises.
Respeitando a poltica de segurana das partes, o nome da empresa que teve o seu
Sistema de Gerenciamento de Segurana de Informaes auditado e que serviu de anlise para
validao do modelo proposto no ser divulgado.

4.1.5

Det Norske Veritas: Dados Gerais.


A DNV foi criada em Oslo, Noruega, em 1864, com a finalidade de garantir, para

grupos seguradores, a qualidade na construo de embarcaes. Atualmente com 5.500


funcionrios de 74 diferentes nacionalidades e mais de trezentos escritrios em todo o mundo,
a DNV ajuda seus clientes a gerenciar riscos prestando os seguintes servios:
a) classificao de plataformas ;
b) certificao/verificao de estruturas fixas offshore e tubulaes;
c) garantia de ciclo de vida;
d) certificao de materiais e componentes para indstria offshore;
e) verificao tcnica e de conformidade;
f) anlise de risco e confiabilidade;
g) gerenciamento de risco ambiental;
h) inspeo baseada em riscos;
i) avaliao, treinamento e certificao relacionada aos sistemas de gerenciamento
de segurana, qualidade, meio ambiente, segurana de informaes, marca CE,
sade (ONA) dentre outras.

63
Sua rede internacional est distribuda em reas de atuao, divididas em regies. O
Brasil se inclui na rea de Indstrias em Geral (General Industry), Regio Amricas, mais
especificamente na Regio Amrica do Sul. A Det Norske Veritas (DNV) comeou a
funcionar no Brasil em outubro de 1974. Antes disso existia na forma de um agente naval que
a representava no Porto do Rio de Janeiro. Dessa data at os dias de hoje, pode-se dizer que a
DNV passou por trs perodos bem distintos.
O primeiro perodo foi o comeo de suas atividades, marcado pela era offshore, que
predominou at pouco mais da metade da dcada de 80. O segundo, logo depois at o incio
dos anos 90, foi seu perodo de forte atuao na rea naval e, por terceiro, o industrial, que se
mantm at hoje em funo de sua atuao nas certificaes de Sistemas de Gesto ISO.
Apesar da atual abrangncia de participao da DNV no mercado, seu incio no pas
foi discreto. Comeou funcionando nas instalaes da Agncia Martima Grieg. Naquela
ocasio, seu quadro tcnico era composto apenas por dois vistoriadores navais, um deles era o
prprio gerente da regio.
As atividades do gerente da regio resumiam-se a idas a bordo de navios que aqui
aportavam, com o objetivo de efetuar vistorias, possibilitando que as embarcaes
permanecessem em classe. A descoberta de petrleo na Bacia de Campos levou a Petrobras a
pesquisar no mundo empresas envolvidas com prestao de servios relacionados atividade
offshore. A destacada atuao da DNV no Mar do Norte, como certificadora de plataformas,
foi fator decisivo para que fosse feito o convite que marcou seu incio offshore no Brasil. A
viso da empresa, de que o mercado brasileiro oferecia fortes oportunidades, se evidenciou
nos investimentos imediatos em recursos humanos locais. Hoje a DNV opera no Brasil com
um quadro tcnico composto totalmente por brasileiros.
De 1974 at os dias de hoje, a DNV Brasil passou por grandes mudanas. As duas
pequenas salas que alugava inicialmente deram lugar a dois andares prprios, localizados no
centro da cidade do Rio de Janeiro, sede para suas operaes na Amrica do Sul. Alm disso,
foram criados outros oito escritrios localizados em So Paulo, Santos, Caxias do Sul, Belo
Horizonte, Fortaleza, Vitria, Salvador e Curitiba. Com essa malha, a DNV Brasil capaz de
oferecer a seus clientes um atendimento rpido, com custo reduzido, quer o servio requerido
esteja relacionado atividade naval, offshore ou industrial.

64
A descoberta de petrleo em guas territoriais brasileiras deu incio a uma srie de
investimentos por parte da Petrobras, visando desenvolver facilidades para sua extrao. O
empreendimento que marcou o incio da DNV Brasil foi a certificao das trs plataformas de
concreto, as primeiras construdas no Brasil, destinadas a operar nos poos de Ubarana, no
Rio Grande do Norte. Em seguida surgiram os projetos relacionados com a Bacia de Campos
e das seis grandes plataformas fixas, em estrutura metlica, construdas para operar na regio
a DNV certificou quatro: Garoupa, Cherne I, Cherne II e Pampo. Outros dois
empreendimentos passveis de destaque foram a certificao das plataformas de Curim e a
certificao das plataformas chamadas de Famlia I, estruturas consideradas estratgicas,
destinadas a operar em guas rasas. Tudo isso garantiu, na poca, uma participao da DNV
em 80% do mercado offshore.
Nos anos 80, a DNV passou por um perodo de reestruturao de pessoal, uma vez
que acontecimentos internacionais foraram o corte de investimentos no setor de petrleo, seu
carro-chefe na poca. Foi tambm quando o Brasil viveu seu grande perodo como construtor
de navios, chegando a ocupar o segundo lugar no ranking mundial nessa atividade (DNV,
2003). Nesse perodo, a DNV classificou cerca de vinte e cinco embarcaes aqui construdas,
envolvendo-se com todos os estaleiros que operavam na poca. A DNV destaca com orgulho
o fato de ter sido a classificadora dos dois maiores navios mnero-petroleiros j construdos no
Brasil: Docefjord e Tijuca.
A dcada de 90 considerada a era industrial da DNV Brasil. O mercado
internacional comeou a sentir os primeiros efeitos da chamada globalizao, e a aplicao de
sistemas de Gesto da Qualidade, com base nas normas da srie ISO 9000, tomou conta da
indstria brasileira. A maneira da DNV atuar, tanto na certificao de estruturas offshore,
quanto na classificao de navios, sempre foi pautada na avaliao de conformidade. Essa
experincia secular permitiu que a DNV desenvolvesse, sem maiores dificuldades, sua
atividade como certificadora de Sistemas de Gesto, tanto da Qualidade (ISO srie 9000),
quanto Ambiental (ISO 14001).
Alm de se envolver com a certificao de Sistemas de Gesto da Qualidade e
Ambiental, a DNV passou a atuar tambm nas certificaes com base na BS 8800 (segurana)
e em normas exigidas para os fornecedores de peas para as fbricas de automveis (QS
9000) e, mais recentemente, na BS 7799 de segurana de informaes.

65
Sem dvida, a Fase Industrial da DNV Brasil consolidou definitivamente sua atuao
no pas, aumentando consideravelmente sua gama de clientes. Com mais de mil certificados
emitidos no mercado brasileiro, o nome DNV facilmente identificado e reconhecido.
A DNV enfatiza que o uso de normas nas organizaes, mais que uma
obrigatoriedade, decisivo para o desenvolvimento do negcio, reduzindo perdas e
desperdcios, ocasionando melhora em resultados financeiros e na performance geral da
empresa. Para nortear os seus colaboradores, a DNV define para seu negcio as seguintes
diretrizes:
OBJETIVO: Salvaguardar a vida, a propriedade e o meio ambiente.
VISO: Ser a primeira escolha dos clientes em tudo o que fazemos.
VALORES:
a) Ns nos preocupamos com os nossos clientes e provemos solues para
melhorar os seus negcios.
b) Ns criamos um ambiente de trabalho onde as pessoas so encorajadas a fazer o
seu melhor.
c) Ns adquirimos e dividimos conhecimento e aplicamos para aumentar o valor
para os nossos clientes.
d) Ns construmos nosso futuro atravs de operaes lucrativas, inovao e novas
oportunidades de negcios.
e) Ns nunca comprometemos a qualidade ou a nossa integridade.
f) Ns obtemos sucesso atravs da aplicao dos nossos valores.
A segurana da informao importante para a DNV, porque a empresa depende dos
sistemas de processamento de dados nas operaes dirias e, medida que essa dependncia
aumenta, tambm o faz a importncia da segurana da informao. Alm disso, a DNV
sinnimo de confiana e segurana, uma reputao conquistada e fortalecida no dia-a-dia nas
interaes com os clientes da DNV ao redor do mundo. Portanto, tambm v a segurana da
informao como um facilitador dos negcios e uma chave para a salvaguarda da reputao

66
da DNV no mercado e junto ao grande pblico. Uma abordagem sistemtica na proteo dos
recursos de informao das ameaas existentes e emergentes crucial.
Com o surgimento da BS 7799 em 1995, na Inglaterra, por solicitao do Ministrio
de Indstrias e Comrcio ingls, que percebeu a necessidade de proteger a informao que era
utilizada nos negcios entre as empresas, algumas organizaes uniram-se para criar e
divulgar uma diretriz a respeito de boas prticas de gerenciamento para a segurana de
informaes e a DNV fazia parte desse grupo. Surgia ento a primeira verso da BS 7799,
norma que posteriormente seria dividida em duas partes, a primeira parte define as boas
prticas de gerenciamento de segurana de informaes, ou seja, recomendaes de como
aplicar uma srie de controles constantes na prpria norma. A segunda parte trata dos
requisitos para a implementao e certificao do Sistema de Gerenciamento de Segurana de
Informaes e possui um anexo que referencia uma lista de controles que pode ser aplicada a
uma empresa, e exatamente essa lista que consta na parte 1 da BS 7799 acrescida de
explicaes de como e quais alternativas (melhores prticas) a empresa tem para implantar
tais controles.
O atual formato do conjunto BS 7799 se deve a algumas revises que as partes
sofreram; atualmente a situao de reviso do conjunto a seguinte:
a) A parte 1 foi transformada na Norma ISO 17799 no ano de 2000 e foi traduzida
pela Associao Brasileira de Normas Tcnicas ABNT em agosto de 2001;
b) A parte 2 continua como BS 7799, passou por uma reviso em setembro de
2002, no possui traduo no Brasil e tem previso de ser transformada em
norma ISO no final do ano de 2004.
A DNV, percebendo a importncia do assunto segurana de informaes, procurou
habilitar-se para a realizao de auditorias em Sistemas de Gesto de Segurana de
Informaes com base na BS 7799, qualificando seu quadro de auditores e procurando
divulgar o assunto aos seus clientes e parceiros.
Atualmente nos quadros de auditores da DNV em todo o mundo existem 26 auditores
habilitados para a realizao de auditorias em BS 7799. Esses profissionais esto classificados
por nveis, ou seja, auditores lideres (7) que podem conduzir e atestar uma certificao,
auditores (4) que participam da equipe de auditoria, porm ainda sem a quantidade de dias

67
necessria para comandar a equipe, e auditores interinos (15) que participam tambm das
auditorias, porm igualmente no possuem a quantidade de dias de auditoria necessria para
tornarem-se auditores e posteriormente auditores lderes.
A perspectiva e vantagem para esses auditores est no crescimento da demanda das
empresas em busca da certificao em BS 7799, o que possibilita aos profissionais realizar
uma quantidade maior de auditorias. Conseqentemente permite a evoluo na escala
hierrquica de auditores; outra vantagem o aprimoramento do conhecimento dos auditores
em virtude das diferentes solues implementadas pelas empresas que buscam e alcanam a
certificao.
E porque a DNV acredita na eficcia de um Sistema de Gesto de Segurana de
Informaes que ela adotou esse padro baseado na BS 7799 para nortear a sua forma de
tratar a informao no seu negcio. Prova disso a Poltica de Segurana de Informaes
descrita a seguir:
Protegermos os interesses de nossos clientes, funcionrios e da DNV, de danos
provenientes da perda, mau uso, divulgao no intencional e indisponibilidade dos
dados.
Ns iremos:
Estabelecer um nvel de proteo para a informao e seus sistemas, proporcional ao
valor (tangvel e intangvel) do recurso de informao;
Proteger a informao da modificao no autorizada, acesso e divulgao no
intencional, arquivada ou em transito;
Evitar o uso no autorizado da infraestrutura, servios de TI e software da DNV;
Impedir a disseminao interna e externa de cdigo malicioso e vrus;
Assegurar que os sistemas da DNV sejam projetados, desenvolvidos, gerenciados e
usados de forma segura e eticamente responsvel;
Assegurar que os papis, responsabilidades e autoridades individuais sejam
claramente comunicados e compreendidos por todos;
Assegurar o monitoramento da segurana da informao da performance e eficcia
do Sistema de Gerenciamento de Segurana da Informao.

A poltica foi divulgada para todos os colaboradores da DNV de todos os nveis


hierrquicos dentro da organizao, sendo que a inteno que todos conheam essa diretriz e
a respeitem, para que dessa forma os ativos e o negcio da empresa sejam preservados e
perdurem.

68
A descrio da metodologia aplicada para a realizao do estudo de caso, do cenrio
onde foi realizado tal estudo, bem como da relevncia desse assunto para a empresa e a seus
profissionais, foram os objetivos deste captulo.

69

CAPTULO 5

ESTUDO DE CASO PROCESSO DE AUDITORIA EM BS 7799


O objetivo deste captulo apresentar os procedimentos padro adotados pela DNV

em nvel mundial, sendo ento descritas as recomendaes contidas em cada um desses


procedimentos, considerando todas as etapas do processo de certificao, desde a cotao do
servio at as auditorias de manuteno do Sistema de Gerenciamento de Segurana de
Informaes.

5.1 SEQNCIA DO PROCESSO DE AUDITORIA


O processo de certificao de um Sistema de Gesto de Segurana de Informaes
composto de algumas etapas, para cada uma das quais h um procedimento padro respectivo
que serve para orientar a execuo da atividade relacionada. As principais etapas do processo
so apresentadas na Figura 6.

Fonte: DNV Marketing BS 7799


Figura 6
Etapas do processo de certificao

70
O processo de pr-estudo/implementao realizado pelo cliente e/ou pela
consultoria contratada pelo mesmo para implantar e adaptar o Sistema de Gesto de
Segurana de Informaes na organizao dele. A DNV no atua nessa etapa do processo.
Aps o cliente considerar o seu SGSI implantado que a DNV comea a sua atuao com a
participao da rea comercial no levantamento das informaes necessrias para elaborao
de proposta comercial que ir nortear as condies do negcio entre a DNV e seu cliente.
A participao dos auditores, na fase operacional junto ao cliente, inicia com a
realizao da pr-auditoria, etapa que tem por objetivo um contato inicial com a empresa,
documentao, com os colaboradores e serve para posicionar o cliente em relao ao seu
SGSI quanto ao grau de adeso Norma BS 7799 parte 2, ou seja, uma auditoria com a
finalidade de levantar eventuais falhas que ainda existam no SGSI do cliente antes da
auditoria inicial.
A auditoria inicial avalia o grau de conformidade do SGSI do cliente e se este estiver
satisfatrio ser ento emitido certificado com validade de trs anos.
Auditorias de Follow Up tm por objetivo avaliar as aes corretivas propostas pelos
clientes para sanar no-conformidades identificadas como graves, ocorrem se existirem noconformidades graves em auditorias iniciais, de manuteno ou re-certificao.
Auditorias peridicas ocorrem conforme a freqncia estipulada em contrato, com o
objetivo de avaliar a continuidade da implementao do SGSI do cliente.
Essas etapas e outras, que suportam essas atividades, tm procedimentos que esto
citados nas prximas sees.

5.1.1

Procedimento de Cotao e Reviso de Cotao


Quando o departamento comercial da DNV contatado por um possvel cliente,

deve-se utilizar esse procedimento como base para a elaborao da proposta comercial que ir
definir os critrios da prestao de servio (auditoria em BS 7799), que ser realizada nesse
cliente. Os seguintes pontos devem ser considerados quando da preparao da cotao:
a) localizao exata (geograficamente, rea industrial, residencial, misturada);

71
b) nmero de unidades com atividades de negcio, incluindo unidades de
recuperao de desastre, as atividades realizadas em cada unidade e o nmero de
empregados de cada uma dessas unidades (ativos da empresa);
c) o nvel dos controles de segurana requeridos para o negcio ou pelos clientes,
por exemplo, militares, privacidade pessoal, confidencialidade comercial
(controles);
d) processos que tenham um escopo com atividades fora das instalaes, por
exemplo, premissas de clientes ou premissas para recuperao de desastres
(plano de continuidade de negcios);
e) maior caracterstica da tecnologia de informao em uso, inclusive os requisitos
adicionais de contratos especficos ou referncias a documentos aplicveis
organizao;
f) maior servio de processamento da informao para cada tipo de usurio, por
exemplo, pessoal, financeiro, vendas incluindo clientes e fornecedores (se
aplicvel), considerando o nmero de usurios de cada rea;
g) a posio dos grupos diretamente responsveis por administrar e gerenciar a
segurana (definio da poltica, escrita dos procedimentos, segurana da
unidade, administrar sistemas, proteo de vrus, incidentes de segurana,
proteo de dados);
h) produtos e ferramentas de segurana em uso (controle de acesso unidade,
crachs, controle de acesso sistema de TI, controle de vrus, monitoramento de
ambiente, backup);
i) descrio genrica da estrutura da documentao do Sistema de Gerenciamento
de Segurana de Informaes (poltica, manual de segurana, instrues de
trabalho);
j) descrio genrica do mtodo de anlise de risco utilizado para identificar e
avaliar o risco;
k) declarao de aplicabilidade, ou documento equivalente, com a identificao dos
controles da BS 7799 que so aplicveis;
l) cpia da certificao ISO 9001 aplicvel organizao (se for aplicvel);

72
m) check list dos anexos para aplicao;
n) descrio do sistema de segurana;
o) relatrio de anlise de risco;
p) declarao de aplicabilidade;
q) certificado ISO 9000 ou outro.
5.1.1.1 Estimativa de Tempo para a Auditoria e/ou Pr-Auditoria
A estimativa de tempo para certificao em BS 7799 segue o mesmo rateio de dias e
caractersticas de estrutura da certificao ISO 9000. Para isso deve-se utilizar um guia para
estimativa de homens-dia que est definida nas Figuras 7, 8 e 9. Esse contexto considera o
fato que a BS 7799 normalmente mais complexa de auditar, medida que o negcio da
empresa tambm pode ficar mais complexo.
Essa estimativa de tempo pode ser ajustada pelos escritrios da DNV medida que a
experincia com a execuo do servio for adquirida e por conseqncia o ajuste desse
procedimento.
Quando um cliente deseja aplicar-se certificao BS 7799 e ISO 9000, ou j for
certificado ISO 9000, a cotao deve considerar auditorias conjuntas. Isso possibilitar uma
reduo na carga da auditoria, pois existem situaes comuns a serem verificadas, tais como
poltica, procedimentos documentados, manuteno de registros. Tal reduo deve considerar
a realizao de visitas conjuntas, e um mtodo simples para determinar o tempo a ser reduzido
o seguinte: um dia de trabalho para auditorias que tiverem cotao acima de seis homensdia, meio-dia de trabalho para aquelas cotaes de trs a seis homens-dia, e para cotaes
abaixo de trs homens-dia nenhum dia de trabalho pode efetivamente ser reduzido.
5.1.1.2 Definio da Carga da Auditoria
A Figura 7 utilizada para definir o grau de complexidade das atividades de um
negcio versus estrutura da Tecnologia da Informao em uma determinada empresa, dessa
maneira os critrios de classificao so: alta, que tem como caracterstica a diversidade de
atividades (muitas delas crticas para a empresa), unidades e ou filiais, colaboradores e
atendimento de requisitos legais especiais, bem como aplicaes no padronizadas em vrios

73
tipos de plataforma, interaes de sistemas de informaes crticos ou que processam
informaes sensveis. A classificao mdia, para empresas que possuem tamanho mdio,
com pouca diversidade de atividades, com conexo externa fixa, com desenvolvimento de
aplicativos prprios. E por fim, a classificao baixa, para aquelas empresas pequenas com
atividades restritas, poucos colaboradores, sem requisitos legais especficos, com aplicaes
padres em uma nica plataforma e redes locais simples.

Figura 7

Fonte: Procedimento DNV Anexo A


Avaliao da complexidade para definio da carga de auditoria

5.1.1.3 Estimativa dos Fatores Impactantes x Estrutura de TI


A Figura 8 define, pelo resultado da categoria de fatores impactantes versus estrutura
de TI, a faixa de dias necessria para a realizao do processo de auditoria em empresas.

74

Fonte: Procedimento DNV Anexo A


Figura 8
Estimativa dos fatores impactantes

5.1.1.4 Estimativa de Homens-Dia para Certificao do SSGI


A Figura 9 mostra a distribuio acima estimada de homens-dia para a atividade de
certificao.

Fonte: Procedimento DNV Anexo A


Figura 9
Estimativa de homens-dia

Nota: Auditoria Inicial passo 1 consiste na visita inicial e na reviso do sistema


tcnico. Consideraes especiais sempre devem ser levadas em conta quando da necessidade
de um tcnico expert durante a auditoria. Essa necessidade de um expert baseada na
complexidade de TI da organizao e no conhecimento do auditor. A quantidade necessria
de homens-dia deve ser proporcional quantidade de mltiplas unidades a serem auditadas.

75
5.1.1.5 Auditorias Peridicas
As regras sobre a freqncia das auditorias peridicas so as mesmas que as para
ISO 9000. No existem requisitos especiais, ento auditorias anuais podem ser oferecidas em
casos bsicos.
5.1.1.6 Verificao e/ou Certificao em Mltiplas Unidades
A rea comercial da DNV deve observar cuidadosamente a deciso para amostragens
mltiplas na rea do Gerenciamento de Segurana de Informaes por ser mais complexa do
que a deciso na rea de sistemas da qualidade. Os organismos certificadores que desejam
utilizar a mesma amostra, baseada na abordagem para verificao em mltiplas unidades,
necessitam manter procedimentos que incluam a gama completa das questes que sero
apresentadas abaixo nas unidades da amostragem do programa.
O organismo certificador (DNV) deve garantir que a emisso/reviso do contrato
inicial identifique na medida do possvel a maior diferena entre as unidades tais, que o nvel
adequado de amostragem seja determinado de acordo com as previses a seguir.
Onde uma organizao possuir um nmero similar de unidades cobertas por um
nico Sistema de Gerenciamento de Segurana de Informaes, o certificado pode ser emitido
para a organizao, a fim de considerar todas as unidades de forma a comprovar que:
a) todas as unidades esto operando sob o SGSI, com uma administrao
centralizada, auditorias e reviso do gerenciamento central;
b) todas as unidades sejam auditadas de acordo com o procedimento de auditoria
interna da empresa;
c) um nmero representativo de unidades deve ser verificado pelo organismo
certificador, levando em considerao os requisitos abaixo:
-

resultado das auditorias internas da matriz e das unidades;

resultado da reviso gerencial;

variao do tamanho das unidades;

variao dos negcios das unidades;

complexidade do SGSI;

76
-

complexidade do Sistema de Informaes das diferentes unidades;

variao das prticas de trabalho;

variao das atividades sob o escopo;

potenciais interaes com sistemas de informaes crticos ou sistemas de


processamento de dados sensveis;

requisitos legais diferindo.

d) a amostragem deveria ser em parte seletiva, baseada na variao do tamanho das


unidades (ponto c acima) e em parte no seletiva e deveria resultar numa faixa de
diferentes unidades inicialmente selecionadas, sem excluir o elemento
randmico para seleo das unidades;
e) cada unidade inclusa sob o SGSI e sujeita a ameaas significativas aos ativos,
vulnerabilidades ou impactos devem ser auditadas pelo organismo certificador
previamente certificao (anlise de risco);
f) o programa de auditoria deve ser determinado luz dos requisitos citados acima
considerando o tempo adequado para cobrir todos as unidades da organizao ou
o escopo da certificao do SGSI considerado na declarao de aplicabilidade;
g) no caso de uma no-conformidade ser observada para o escritrio central e
alguma unidade da organizao, procedimento para ao corretiva deve ser
implementado no escritrio central e em todas as unidades cobertas pela
certificao.
5.1.1.7 Unidades Compartilhadas
Consideraes especiais devem ser tomadas em unidades compartilhadas, isto ,
onde vrias companhias utilizam as mesmas instalaes. Isso permitido para execuo da
certificao para um negcio que seja partilhado, sujeito s seguintes condies:
a) a organizao deve ser claramente identificada e gerenciar as interfaces com
outros negcios/organizaes da unidade;
b) a organizao deve identificar todos os aspectos relevantes, em conexo com
outras atividades na unidade, e que influenciam ou possam influenciar ambos os

77
objetivos formais (melhoria ou investigao) ou controle operacional (anlise de
risco).
5.1.1.8 Organizaes Prestadoras de Servio
Onde no for possvel definir a localizao, a abrangncia da certificao deve levar
em conta a sede do cliente, bem como a entrega desses servios. Em casos especiais, a
certificao pode ser executada unicamente onde os servios so entregues ao cliente. Em tais
casos, a interface com a sede do cliente deve ser auditada.
Os procedimentos citados abaixo so todos relacionados s atividades operacionais
que ocorrem na DNV e esto diretamente ligados s atividades de execuo da auditoria e,
nesse caso, ao processo de Segurana de Informaes baseada na BS 7799.

5.1.2

Nomeao e Competncia da Equipe Auditora


Os requisitos abaixo devem ser aplicados verificao de certificao.
Todos os membros da equipe auditora (cada membro, exceto expert tcnico) devem

estar aptos para demonstrar a apropriada experincia e compreenso de todos os passos a


seguir:
a) norma de Gerenciamento de Segurana de Informaes ou documento
normativo;
b) conceitos gerais de Sistemas de Gerenciamento;
c) questes relacionadas a vrias reas da Segurana de Informaes;
d) princpios e processos relacionados anlise de risco e ao gerenciamento de
risco;
e) princpios de auditoria.
Quanto equipe auditora (como um todo), pelo menos um membro da equipe
deveria satisfazer as seguintes atividades, segundo os critrios do organismo de certificao
assumindo a responsabilidade dentro do time:
a) gerenciar a equipe;

78
b) conhecer legislao, requisitos regulamentares legais na rea especfica de
segurana de informaes;
c) identificar ameaas relacionadas segurana de informaes;
d) identificar vulnerabilidades da organizao e compreender o seu impacto, efeito
e controle;
e) conhecer o atual estado da arte tcnico no setor;
f) conhecer a anlise de risco relacionados segurana de informaes.
A equipe auditora deve ser competente para investigar se indicaes de incidentes de
segurana na organizao so tratados nas formas apropriadas e nos elementos do SGSI da
organizao.
Uma equipe auditora pode consistir de uma pessoa que possa atender a todos os
critrios estabelecidos acima.
Experts Tcnicos: um expert tcnico, com conhecimento especfico do processo e da
legislao sobre segurana de informaes emitidas que afetem a organizao, mas que no
satisfaa todos os critrios acima, pode ser parte integrante da equipe auditora. O Expert
tcnico no deve atuar independentemente.

5.1.3

Procedimento de Reviso da Documentao


A documentao a ser revisada deve ser consistente com no mnimo:
a) documentao e/ou declarao da poltica;
b) documentao da anlise de riscos;
c) declarao de aplicabilidade;
d) documento do escopo do SGSI;
e) estrutura organizacional;
f) descrio da tecnologia incluindo esquema de rede;
g) manual da Poltica de Segurana que deveria incluir os seguintes (os mesmos
citados acima, mas em um nico manual);

79
h) poltica de segurana, na verso completa e resumida;
i) a natureza da organizao corresponde com a sua necessidade de segurana;
j) gerenciamento do ambiente de segurana como a organizao gerencia a
segurana;
k) descrio do Sistema de Gerenciamento de Segurana de Informaes;
l) procedimentos para operao e manuteno do SGSI;
m) documentao e estrutura de registros com referncia ao menor nvel da
documentao;
n) escopo de segurana, definindo os limites do ambiente de segurana de
informaes;
o) descrio do sistema de anlise de risco;
p) um sumrio dos controles e das protees implementados.

5.1.4

Procedimento para Visita Inicial


Para a visita inicial, os seguintes requisitos devem ser considerados:
a) uma avaliao da anlise de riscos, especificados no relatrio de anlise de
riscos, devendo ser completo e levar em considerao os produtos e as
ferramentas de segurana especificados em uso;
b) a reviso da declarao de aplicabilidade estabelecida;
c) a reviso do nvel dos controles de segurana requeridos, tal como especificado
pela organizao;
d) a reviso das maiores caractersticas de tecnologia de informao em uso
incluindo o plano de rede de trabalho;
e) a reviso dos servios de

processamento da informao para cada tipo de

usurio;
f) um acordo da natureza da confidencialidade estabelecida, isto , no deve existir
dvida quanto ao acesso do auditor a registros pessoais, etc., dentro da
organizao.

80
Na conduo da visita inicial, o auditor lder (responsvel pela equipe) deve verificar
se todos os auditores tero acesso a todos os registros relevantes e necessrios para a
verificao efetiva do SGSI.
O auditor-lder deve avaliar a anlise de risco do cliente e o meio pelo qual a
organizao avaliou o seu significado. O objetivo disso estabelecer se a verificao do risco
da organizao reflete apropriadamente as suas atividades e a extenso dos limites das suas
atividades, tal como definida na norma de SGSI ou no documento normativo.
O auditor-lder deve analisar a declarao de aplicabilidade do cliente. O objetivo
estabelecer uma correta compreenso dos termos definidos, bem como se a declarao de
aplicabilidade reflete corretamente o escopo de segurana de informaes da organizao.
O auditor-lder deve verificar se a documentao do sistema est suficientemente
implementada e justifica o prximo passo da auditoria inicial. Alm disso, o auditor-lder
deve verificar se o sistema :
a) baseado em uma avaliao de anlise de riscos;
b) definido para controlar e melhorar a segurana de informaes;
c) capaz de garantir o atendimento legislao;
d) baseado na declarao de aplicabilidade;
e) baseado em objetivos e metas;
f) auditvel.
Credibilidade da auditoria interna: o auditor-lder deve estabelecer se a freqncia
das auditorias internas est adequada aos aspectos de segurana de informaes. O lder da
equipe deve deixar o cliente consciente de alguns passos adicionais que podem ser
requisitados para uma verificao mais detalhada durante a auditoria inicial:
a) registros pessoais de natureza confidencial;
b) detalhes de qualquer no-conformidade interna identificada junto com os
detalhes das aes corretivas e/ou preventivas tomadas nos ltimos 12 meses (ou
desde do incio da implementao do sistema se esta for menor que 12 meses);
c) reviso dos registros de gerenciamento;

81
d) registros de qualquer sistema de recebimento de comunicaes e qualquer ao
tomada para responder a este sistema.

5.1.5

Procedimento para Auditoria Inicial


Os objetivos para esse tipo de auditoria so:
a) determinar o que a organizao no excluiu do escopo do seu SGSI e quais os
elementos da sua operao que deveriam apropriadamente estar sob o seu
escopo;
b) garantir que a anlise de risco da organizao reflita as atividades e a extenso
dos limites dessas atividades, assim como definido na norma do SGSI ou
documento normativo;
c) confirmar que a anlise de risco da organizao reflexo da declarao de
aplicabilidade da mesma;
d) garantir que as interfaces com os servios ou atividades que no so realizadas
dentro da organizao so completamente conhecidas e tratadas na anlise de
risco;
e) determinar se a documentao, estabelecida e implementada do SGSI est
trabalhando para garantir o atendimento da legislao aplicvel;
f) determinar se o SGSI est indo ao encontro dos objetivos e das metas da
empresa, respeitando a segurana de informaes;
g) determinar se a implementao do SGSI propriamente protege a informao e os
ativos computacionais.
A auditoria deve focar no atendimento pelo cliente dos requisitos de segurana de

informao citados abaixo:


a) gerenciamento do ambiente de segurana (poltica, declarao de aplicabilidade,
etc.);
b) implementao;
c) documentao;
d) controles documentados;

82
e) medio dos controles de segurana de informao, que incluem:
-

poltica de segurana;

segurana organizacional;

classificao e controle de ativos;

segurana em pessoal;

segurana fsica e ambiental;

gerenciamento de computadores e redes;

sistema de controle de acesso;

sistema de desenvolvimento e manuteno;

plano de continuidade de negcios;

conformidade.

A integrao do SGSI com qualidade, ambiente ou segurana poderia:


a) ter elementos comuns (documentos, registros, poltica, etc.) que seriam
acessados por qualquer dos auditores-lderes;
b) o auditor-lder do SGSI poderia ter tempo para verificar a sua respectiva parte.
reas crticas, tais como medio dos controles de segurana de informao, devem
ser auditadas pelo auditor-lder do SGSI (com assistncia possvel de um auditor qualificado
em SGSI ou especialista).

5.1.6

Procedimento para Auditorias Peridicas


Auditorias peridicas devem ser agendadas e executadas de acordo com a Norma

ISO 19011 (norma que especifica o processo de auditorias). O plano de auditorias peridicas,
elaborado ao final da visita inicial, deve demonstrar que todos os requisitos relevantes sero
revisados durante os trs anos do ciclo.
Controles que devem ser revisados a cada visita incluem:
a) auditorias do sistema operacional;

83
b) tratamento de reclamaes;
c) tratamento dos incidentes de segurana;
d) conduo das revises de segurana;
e) uso adequado do certificado e dos logotipos.
Visitas adicionais podem ser requisitadas quando mudanas significativas na
certificao da organizao ocorrerem ou a sua abordagem para gerenciamento da segurana
mudar, ou no caso de falha da implementao satisfatria da correo de no-conformidades.
A certificao da BS 7799 requer que a cada trs anos uma auditoria de
recertificao seja executada. A auditoria de recertificao deve ser planejada com base nas
auditorias peridicas anteriores. O plano deve prever como sero cobertos os mesmo itens da
certificao inicial, incluindo a verificao dos produtos do cliente, servios e mercados se
ainda continuam consistentes com a declarao de aplicabilidade e conseqentemente com o
Sistema de Gerenciamento de Segurana de Informaes.

5.1.7

No-Conformidades e Acompanhamento de Aes Corretivas


Alm das no-conformidades do procedimento genrico da DNV, devem ser

consideradas as seguintes situaes:


a) a falta de evidncia documentada da realizao da Anlise de Risco;
b) falta ou inadequao de um plano de continuidade de negcios;
c) ambigidades, falta de clareza, falta de equilbrio, falta de acuracidade, fatos
dbios de informaes ou falta de representao na declarao de aplicabilidade;
d) discrepncia entre a informao da declarao de aplicabilidade e a verificao
da informao no local.

5.1.8

Procedimento para Definio do Escopo do SGSI


As organizaes devem definir os escopos dos seus Sistemas de Gerenciamento de

Segurana de Informaes. A regra do organismo certificador evidenciar consistncia e

84
garantir que a organizao no excluiu do seu escopo elementos do SGSI e, das suas
operaes, itens que deveriam estar sob esse escopo.
Organismos certificadores devem garantir que a anlise de risco da organizao
reflete apropriadamente as suas atividades e extenso dos limites dessas atividades, definidas
na Norma de SGSI ou em documento normativo. Organismos certificadores devem confirmar
se isso est refletido na declarao de aplicabilidade da organizao.
Interfaces com servios ou atividades, que no so executadas sob o escopo do SGSI,
devem ser identificadas dentro do SGSI objeto da certificao (por exemplo, elas devem
constar da anlise de risco).
Em acrscimo definio da atividade da empresa, o escopo deve definir quais os
locais ou partes de algum local sero cobertas pelo certificado.
As atividades do cliente devem ser identificadas com termos genricos para
descrever a sua atividade principal. Isso deve estar claro quanto extenso da
responsabilidade de gerenciamento, por exemplo, em relao a companhias que compartilham
um mesmo local com outra empresa.
Isso tambm deve ficar claro se alguma atividade importante for excluda, tais como
warehousing ou vendas e marketing.
Em resumo, no escopo da certificao, deve-se demonstrar:
a) a identificao dos locais;
b) as atividades principais;
c) as excluses.

5.2 PROCESSO DE CERTIFICAO


O objetivo desta seo apresentar os resultados da aplicao dos padres
internacionais definidos na seo anterior em um processo de auditoria, em uma empresa
nacional, bem como os resultados da aplicao da metodologia utilizada.

85
A primeira etapa no processo de certificao foi a prospeco e elaborao da proposta
para certificao do cliente. Essa etapa seguiu o procedimento de cotao e reviso de cotao
apresentado no captulo anterior. Para coleta dos dados necessrios do cliente, foi utilizado um
formulrio para elaborao de proposta (anexo B), que permite obter informaes bsicas e
detalhadas para a rea de Segurana de Informaes e, assim, elaborar a proposta de servio.
Com a resposta por parte do cliente, foi possvel obter a informao inicial sobre nmero
de funcionrios, unidades envolvidas e escopo inicial no qual a empresa estava se aplicando para a
certificao. Isso possibilitou DNV consultar as tabelas para estimativa do impacto de fatores
versus estrutura de TI, estimativa homens-dia e a de distribuio desses homens-dia por etapa do
processo de auditoria, elaborando a proposta para certificao da organizao.
Nessa etapa pode ser necessrio revisar a proposta em virtude da concorrncia e do
ajuste de alguma informao que o cliente eventualmente pode no ter informado. Porm,
importante ressaltar que o nmero mnimo de homens-dia estipulado no procedimento deve
sempre ser seguido, sob pena da prpria DNV ser notificada por no atender s regras
estipuladas pelos acreditadores do processo de certificao.
da informao da proposta que o auditor-lder poder elaborar a programao para
a visita inicial, determinando o escopo da certificao e o tempo para as verificaes, bem
como j ter uma idia sobre as atividades da empresa em questo, podendo at mesmo
solicitar alguma documentao prvia antes de efetivar a visita ao local propriamente dito.
Importante ressaltar que essa programao tentativa, pois a visita inicial ser o primeiro
contato que a equipe auditora ter com o cliente da DNV.
De posse da proposta que o pessoal de apoio da DNV tambm poder selecionar a
equipe auditora com base nas qualificaes dos seus profissionais e tambm comparando com
as atividades do cliente em questo. Atualmente, no Brasil no existem auditores qualificados
para atender certificao de Segurana de Informaes, sendo um profissional da DNV da
Inglaterra o responsvel pelas atividades de verificao do cliente da DNV em estudo. Tal
profissional atendia aos requisitos especificados no procedimento de nomeao de
competncia da equipe auditora citada na seo anterior.
O processo de visita inicial foi previsto para a realizao em trs dias, pois a empresa
havia informado um tipo de atividade e escopo que, em princpio, previa que o Sistema de

86
Gerenciamento de Segurana de Informaes cobriria todas as unidades. Quando da
realizao da visita inicial, foi identificado que a atividade a ser coberta seria apenas na
unidade principal e no envolveria as demais unidades, reduzindo assim o nmero de
funcionrios envolvidos e as atividades a serem cobertas. Assim, foi revisada a proposta para
que, na etapa seguinte, apenas dois dias de verificao seriam realizados na auditoria inicial.
Na visita inicial, tambm foi possvel ajustar o escopo para a nova situao e conhecer a
documentao exigida: a poltica de segurana, anlise de risco, declarao de aplicabilidade,
plano de continuidade de negcio e caractersticas da tecnologia de informao utilizada pelo
cliente. nessa etapa que a equipe auditora deve procurar avaliar a documentao definida,
entender o negcio da organizao e verificar o grau de conformidade dessa documentao
com os requisitos da norma BS 7799, parte 2.
Como resultado da visita inicial, o auditor-lder gera um relatrio com todas as
observaes efetuadas pela equipe auditora a respeito dos requisitos do Sistema de
Gerenciamento de Segurana de Informaes que no estavam atendendo a contento as
definies da norma. Com base nesse relatrio, a organizao deve providenciar as aes
necessrias para correo ou melhoria do seu SGSI antes da etapa seguinte, que a auditoria
de certificao, tambm conhecida como auditoria inicial.
O processo da auditoria inicial foi executado em dois dias, sendo revisada a
documentao da empresa e verificada a implementao do Sistema de Gerenciamento de
Segurana de Informaes em comparao com a Norma BS 7799 e os controles
determinados pela empresa. Importante ressaltar que o cliente j era certificado em ISO 9001,
o que facilitou a verificao da documentao, pois j existia uma estrutura pr definida para
a qualidade que pde ser amplamente utilizada. Alm disso, o pessoal da empresa tambm j
estava ambientado com o processo de auditoria. Apesar disso, a organizao optou por no
realizar auditoria integrada (ISO 9001 e BS 7799 juntas) nesse momento.
O incio dessa etapa executado com o envio do programa de auditoria para a
organizao, agora com o escopo definido, com as reas especificadas e com o tempo ajustado
para verificar cada uma delas. importante ressaltar que, mesmo assim, o programa continua
sendo considerado experimental, pois ajustes posteriores podero ser realizados. Quando do
envio da programao, o cliente tem um prazo para manifestar-se, sugerindo algum tipo de
modificao. Caso isso no ocorra, o auditor-lder considerar a agenda como aprovada.

87
O objetivo do auditor-lder, na auditoria inicial, avaliar se o Sistema de Gesto de
Segurana de Informaes que foi documentado est de fato implementado e sendo executado
em todas as reas/atividades previstas no escopo da certificao. Alm disso, a equipe
auditora tem que avaliar se as pessoas entrevistadas demonstram que conhecem o
funcionamento desse sistema, ou seja, a tarefa da equipe auditora constatar a conformidade
em relao prtica versus documentao versus norma BS 7799.
Nessa etapa de auditoria inicial, foram entrevistadas praticamente todas as pessoas
envolvidas com o escopo da certificao, desde a diretoria at a funo operacional mais
simples da hierarquia da empresa. Importante destacar que o processo de verificao de uma
auditoria sempre por amostragem, no sentido de escolher as pessoas a entrevistar e aqueles
processos que podem ter vrias atividades inclusas.
Como resultado dessa etapa, a equipe gera, ao final da auditoria, um relatrio que
contm todas as no-conformidades (evidncia do no-atendimento da norma) ou observaes
(possveis no-conformidades) que foram identificadas ao longo do processo. comum na
DNV ser realizada, ao final do dia, uma reunio com o cliente para inform-lo dos resultados.
Isso possibilita ao cliente manter-se atualizado sobre o andamento dos trabalhos e tambm
permite organizao providenciar aes corretivas ainda durante a auditoria, se possvel.
O resultado da auditoria foi satisfatrio, apesar de terem sido efetuados registros de
no-conformidades, porm nenhum que impedisse a DNV de recomendar a empresa para a
certificao do seu SGSI com base na BS 7799, parte 2.
Como etapas a serem atendidas no futuro, as auditorias de manuteno sero anuais e
verificaro todos os principais itens do SGSI da empresa, e essa verificao dever ocorrer em
setembro de cada ano, at o encerramento dos trs anos de validade do certificado. Passados
esses trs anos, a empresa pode ento continuar com o processo realizando uma auditoria de
recertificao, que habilitar a empresa a continuar com a certificao por um perodo de mais
trs anos e assim sucessivamente se esta o desejar.
A Figura 10 apresenta os passos do processo de auditoria, discriminando-se cada
etapa realizada, os procedimentos correlatos utilizados e os resultados obtidos, bem como
eventuais situaes de modificao citados no captulo 6.

88

Fonte: Compilao dos Procedimentos DNV Anexo A


Figura 10 Passos do processo de auditoria no mercado nacional

89
Como resultado da aplicao dos procedimentos pode-se citar que existem fatores
que facilitam a aplicao dos procedimentos e fatores que dificultam essa aplicao. Sob a
tica do cliente, o aspecto que funcionou como facilitador o conhecimento que o mesmo
possui do seu Sistema de Gesto de Segurana da Informao. A respeito das dificuldades do
cliente, foi percebido que a identificao dos ativos envolvidos no SGSI, a definio do
escopo desse SGSI, a legislao aplicvel e a expectativa da realizao da prpria auditoria
foram os aspectos que contriburam de forma negativa no processo da auditoria.
Sob a tica da equipe auditora, os aspectos que funcionaram como facilitadores foi a
documentao do SGSI, o conhecimento do pessoal envolvido e a utilizao dos relatrios
padro da DNV. Em relao s dificuldades percebidas pela equipe auditora, as principais
foram: a identificao das atividades a serem cobertas pelo Sistema de Gesto de Segurana
de Informaes, a definio da carga de auditoria a ser realizada e a legislao aplicvel ao
negcio da empresa. O detalhamento a respeito da aplicao desses procedimentos pode ser
verificado no captulo 6.
Em relao metodologia aplicada o que se pode constatar que a fase da coleta de
dados foi executada sem problemas, pois a habilidade para entrevistar e obter as informaes
adequadas (requisito atendido na qualificao dos auditores) e a facilidade de poder utilizar
questionrios (formulrios) previamente elaborados permitiram executar esta etapa
satisfatoriamente, importante ressaltar que na sua maioria estes documentos so os relatrios
utilizados no processo da auditoria e conseqentemente de natureza confidencial.
O que exige um pouco de ateno e sensibilidade por parte do entrevistador o
estado de ansiedade dos entrevistados, devido a natureza do processo da auditoria, o
entrevistado pode ter dificuldade em repassar informaes devido ao nervosismo. Outro fator
importante a amostragem de entrevistas a ser realizada, como no processo de auditoria no
se exige um nmero mnimo ou mximo de amostras, o entrevistador deve ter cuidado com
as evidncias a serem coletadas, pois estas que determinaro o nmero de amostras a serem
realizadas, ou seja, se o entrevistador conseguir atravs de evidncias comprovar que o
assunto que esta sendo avaliado est conforme a norma ele pode decidir por encerrar a
amostra com uma nica entrevista ou estender a coleta de dados e levantamento de evidncias
com outros entrevistados.

90
Em relao a etapa de coleta de evidncias, o que se pode perceber o cuidado que o
entrevistador deve ter em buscar analisar um gama variada de evidncias (documentos,
registros, entrevistas, observao de uma atividade) uma vez que essas evidncias que vo
indicar ao entrevistador o momento de prosseguir ou encerrar a coleta das mesmas. Nesta
etapa o treinamento do entrevistador fundamental, pois no mesmo tempo que deve coletar as
evidncias ele tambm dever analisar se essas evidncias atendem ao padro utilizado como
referncia, e na mesma lgica que na etapa anterior, o que vai determina se o entrevistador
prossegue com a coleta de evidncias o resultado da anlise dos exemplos (documentos,
registros, entrevistas, atividade) avaliados.
A etapa da anlise de evidncias torna-se fundamental para sustentar todo o processo
de pesquisa, uma vez que do resultado desta anlise que se determina a necessidade de
realizar novas coletas de dados e evidncias. O que provavelmente se diferencia em relao ao
mtodo usual de anlise de evidncias, que esta atividade realizada geralmente no mesmo
momento que se realizam a coleta de dados e evidncias, pois desta forma o entrevistador
poder decidir se deve aumentar a amostragem ou no.
A gerao do relatrio respeitou a utilizao de formulrios previamente definidos no
modelo proposto na empresa estudada (relatrio de auditoria), o que permitiu expor de forma
clara e objetiva as informaes coletadas, analisadas e as concluses resultantes da atividade
da auditoria. Como forma apresentao dos resultados da pesquisa a gerao do relatrio
mostrou-se adequada aos propsitos.
Os objetivos deste captulo foram de apresentar os padres internacionais utilizados
para a definio da execuo da atividade de verificao de um Sistema de Gerenciamento de
Segurana de Informaes em um determinado cliente da DNV, bem como os resultados
dessa utilizao.

91

CAPTULO 6

CONCLUSES
O objetivo deste trabalho foi descrever os resultados obtidos com a execuo de uma

auditoria em uma empresa do mercado nacional, seguindo os procedimentos padres


utilizados pela DNV em mbito internacional.
Dividiram-se os resultados em trs situaes, fatores crticos e facilitadores
identificados nas etapas dos processos de execuo da auditoria e os resultados da auditoria
com base nos padres adotados.

6.1 FACILITADORES
Para facilitar a anlise os facilitadores foram subdivididos em duas ticas, a do
cliente e da equipe auditora. Em relao ao cliente, a mais importante facilidade a ser
relacionada o fato de que o maior conhecedor do seu Sistema de Gesto de Segurana de
Informaes, logo quem domina o assunto, sabe o funcionamento, os pontos fortes e os
pontos fracos.
Com relao s facilidades para a equipe auditora, foi a documentao do Sistema de
Gerenciamento da Segurana de Informaes j possua uma estrutura definida nos moldes de
um Sistema de Gesto da Qualidade certificado pela ISO 9001, o que em alguns aspectos so
idnticos aos da BS 7799, parte 2 (manual, poltica, procedimentos, registros), e o pessoal
envolvido com o escopo do ambiente de segurana de informaes j estava ambientado com

92
o processo de auditoria externa, facilitando assim as entrevistas conduzidas pelo pessoal da
DNV. Outro fator positivo foi o conhecimento do pessoal envolvido que j estava
familiarizado com os termos e conceitos de segurana de informaes que a norma determina.
Outra facilidade para a equipe o fato da realizao da visita inicial necessitar do
preenchimento de um relatrio. Esse relatrio funciona como um check list para verificar se
todos os documentos e processos esto sendo cobertos pelo Sistema de Gerenciamento de
Segurana de Informaes da organizao, evitando assim que os auditores esqueam de
verificar algum documento ou atividade pertinente a essa etapa.
Como conseqncia dessa reviso de documentao, a etapa seguinte da auditoria
inicial tambm fica facilitada em virtude de a equipe j ter obtido as informaes bsicas para
poder localizar e questionar as pessoas e atividades que devero ser verificadas.

6.2 FATORES CRTICOS


Em relao aos fatores crticos, tambm dividiram-se em duas ticas, a do cliente e
da equipe auditora.
Em relao ao cliente foram percebidas as seguintes dificuldades:
a) o cliente tem dificuldades em identificar os seus prprios ativos (sistemas de
informao) dentro da sua prpria organizao e negcio. Esse fato, por sua vez,
pode desencadear a falta de identificao de que ativos ou sistemas de
informao so os considerados crticos pela direo da empresa e, como efeito,
pode ocorrer uma aplicao de anlise de risco de forma equivocada,
considerando ativos que no precisariam estar sendo analisados ou deixando de
avaliar algum que seria essencial estar sob anlise. Esse tipo de situao gera um
efeito domin, pois a partir da identificao dos ativos crticos e da anlise de
risco, as atividades de controle citadas na BS 7799 sero selecionadas para
diminuir ou reduzir os riscos associados a esses ativos, e, se a empresa no
conseguir realizar essa etapa do processo de forma satisfatria, todas as demais
etapas do processo podem de alguma forma apresentar tambm algum tipo de
problema;

93
b) a troca de escopo pode comprometer a abrangncia dos controles;
c) o entendimento dos fatos identificados na visita inicial e a necessidade de tomar
aes corretivas podem atrasar os prazos estipulados pela organizao em
relao finalizao do processo de certificao;
d) identificar a legislao aplicvel ao negcio ou cumpri-la quando j identificada;
e) o estado de ansiedade dos colaboradores, em virtude do processo de auditoria,
pode gerar dificuldades nos mesmos em demonstrar a real condio de
implementao do Sistema de Gerenciamento de Segurana de Informaes da
organizao.
Em relao equipe auditora, as dificuldades percebidas foram:
a) identificar de forma clara, pelo menos at a visita inicial, o escopo que a empresa
estar propondo e, como conseqncia disso, as atividades e os endereos que
estaro sob o escopo da certificao do Sistema de Gerenciamento de Segurana
de Informaes. O que se percebe que a empresa no possui a cultura de definir
um escopo de atuao. Ento, ao ser solicitada essa definio no questionrio,
para preparao da proposta, podem ocorrer dificuldades dos clientes em
compreender esse questionamento e, por conseqncia, a DNV pode
dimensionar uma carga de auditoria inadequada para realizar a auditoria nesse
cliente;
b) outra questo associada definio de homens-dia para a realizao de trabalho
a diferena na forma de execuo da etapa de pr-auditoria ou visita inicial,
onde os colegas da DNV da Inglaterra utilizam parte do tempo apenas para
realizar a verificao da documentao do cliente, freqentemente antes mesmo
da prpria visita inicial acontecer e, no mercado nacional, a DNV procura
realizar essa verificao no prprio cliente, tentando aproveitar o tempo de forma
mais prtica, conhecendo a documentao e solicitando explicaes sobre a
mesma;
c) esta forma de interpretar a instruo de processo sobre as visitas iniciais tambm
gera uma outra diferena na realizao da atividade, o auditor da Inglaterra
procurou apenas a leitura da documentao, e o cliente por sua vez demonstrou

94
em muitas ocasies a necessidade de participar fornecendo informaes e
gerando assim um certo desconforto em ambas as partes;
d) geralmente, ao finalizar a etapa da visita inicial, o cliente solicita uma previso
de tempo para execuo da prxima etapa, que a de certificao. Entretanto,
esse parecer complicado de ser emitido pela equipe auditora, uma vez que esta
no tem condies de saber quais sero os recursos destinados tomada das
aes necessrias para atender aos fatos identificados;
e) a falta de familiaridade, com termos particulares de cada organizao, pode
dificultar o levantamento de evidncias de conformidade do Sistema de
Gerenciamento da Segurana de Informaes, principalmente quando da
realizao das entrevistas com os auditados;
f) identificar, conhecer e aplicar a legislao pertinente ao negcio da organizao
e avaliar o impacto desta sobre o ambiente de Segurana de Informaes.

6.3 RESULTADOS DA AUDITORIA


Pode-se concluir que o processo de auditoria envolve normalmente um nmero maior
de dificuldades entre as partes envolvidas do que propriamente facilidades. Porm, apesar
disso, os modelos padres que so aplicados a esse processo permitem que a atividade de
auditoria seja realizada com a obrigatoriedade de seguir alguns critrios, alm dos da norma
obviamente, que permitem equipe auditora e tambm ao cliente buscar o entendimento e,
por conseqncia, atingir os objetivos de ambas as partes.
Sendo assim, considera-se que os objetivos especficos deste trabalho foram
atendidos, identificando as facilidades e dificuldades do modelo de processo de auditoria de
um Sistema de Gerenciamento de Segurana de Informaes baseado na Norma BS 7799,
parte 2, e tambm avaliar os resultados da aplicao dos padres internacionais utilizados pela
DNV em outros pases do mundo.
Em relao ao trabalho de pesquisa, conclui-se que o mtodo utilizado para
realizao deste trabalho foi adequado, pois as etapas previstas no modelo de um processo de
auditoria e os passos que podem ser utilizados para realizao de um estudo de caso, so
perfeitamente compatveis e permitem que sua realizao seja feita de forma concomitante, o

95
que facilita a execuo das atividades. Porm, importante ressaltar que para a realizao
adequada das etapas prevista no estudo de caso, o treinamento e experincia do entrevistador
so requisitos fundamentais, pois em muitas situaes esta habilidade que permitir ao
pesquisador decidir em encerrar as averiguaes ou prossegui-las.
Entretanto, algumas sugestes se fazem pertinentes para a realidade do mercado
nacional, que so:
a) em relao definio do nmero de homens-dia, o setor comercial deveria
procurar encaminhar a solicitao de proposta de contrato para os auditores
qualificados na Norma BS 7799, para que estes possam avaliar as informaes
contidas no formulrio e contatar com o possvel cliente, a fim de esclarecer
eventuais dvidas que existam, facilitando assim a definio da carga adequada
de auditoria para o possvel cliente;
b) em relao execuo da visita inicial, o critrio de dimensionar um perodo
para verificar somente a documentao parece mais apropriado, uma vez que
essa etapa funciona como um facilitador para a compreenso do Sistema de
Gerenciamento de Segurana de Informaes pela equipe auditora;
c) em relao ao processo de auditoria, em virtude do assunto ser relativamente
novo no mercado nacional, a etapa da visita inicial deve concentrar esforos em
identificar qual a atividade da organizao e quais so os seus ativos mais
importantes, uma vez que esse processo crtico para a definio dos controles
adequados e tambm na tentativa de reduzir ou eliminar incidentes de segurana
dentro da organizao.

6.4 SUGESTO PARA TRABALHOS FUTUROS


Sugere-se ampliar a realizao da pesquisa, incluindo a avaliao da implantao da
Norma BS 7799, parte 2, em organizaes que tenham sido certificadas, a fim de avaliar a
efetividade desse sistema.
O presente estudo procurou identificar as facilidades e dificuldades da utilizao de
procedimentos padres na realizao de auditoria em Sistema de Gerenciamento de Segurana
de Informaes com base na BS 7799, parte 2. Sugere-se tambm pesquisar em relao aos

96
clientes de uma organizao certificada em BS 7799, parte 2, se existiram mudanas
perceptveis em relao ao tratamento das informaes e/ou ativos por essa organizao ento
certificada e tambm da viabilidade de utilizar estes modelos padres na certificao de outras
normas de gerenciamento, tais como qualidade, ambiente, sade segurana ocupacional e
responsabilidade social.

97

REFERNCIAS
AEXIS SECURITY CONSULTANTS BS 7799 Certification A European Case Study,
2001. Disponvel em: http://www.aexis.de. Acessado em: 05 ago. 2001.
ABNT. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Sistemas de gesto da
qualidade fundamentos e vocabulrio, NBR ISO 8402:1994. Rio de Janeiro: ABNT,
1994.
ABNT. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Normas de gesto da
qualidade e garantia da qualidade Parte 3: Diretrizes para a aplicao da NBR ISO
9001 ao desenvolvimento, fornecimento e manuteno de software, NBR ISO 90003:1997. Rio de Janeiro: ABNT, 1997.
ABNT. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Sistemas de garantia da
qualidade requisitos, NBR ISO 9001:1994. Rio de Janeiro: ABNT, 1994.
ABNT. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Sistemas de gesto da
qualidade fundamentos e vocabulrio, NBR ISO 9000:2000. Rio de Janeiro: ABNT,
2000.
ABNT. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Sistemas de gesto da
qualidade requisitos, NBR ISO 9001:2000. Rio de Janeiro: ABNT, 2000.
ABNT. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Sistemas de gesto da
qualidade diretrizes para melhorias de desempenho, NBR ISO 9004:2000. Rio de
Janeiro: ABNT, 2000.

98
ABNT. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Gesto da qualidade e
elementos do sistema da qualidade Parte 1: Diretrizes, NBR ISO 9004-1:1994. Rio de
Janeiro: ABNT, 1994.
ABNT. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Gesto da qualidade e
elementos do sistema da qualidade Parte 2: Diretrizes para servios, NBR ISO 90042:1994. Rio de Janeiro: ABNT, 1994.
ABNT. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Gesto da qualidade e
elementos do sistema da qualidade Parte 3: Diretrizes para materiais processados,
NBR ISO 9003-2:1994. Rio de Janeiro: ABNT, 1994.
ABNT. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Tecnologia da
informao Processos de ciclo de vida de software, NBR ISO/IEC 12207:1999. Rio de
Janeiro: ABNT, 1999.
ABNT. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Tecnologia da
informao Cdigo de prtica para a gesto da segurana da informao, NBR
ISO/IEC 17799:2001. Rio de Janeiro: ABNT, 2001.
ABNT. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Auditorias internas de
qualidade e meio ambiente, NBR ISO 19011:2002. Rio de Janeiro: ABNT, 2002.
BEUREN, I. M. Gerenciamento da informao: um recurso estratgico no processo de
gesto empresarial. So Paulo: Atlas, 2000.
BIO, S.R.F. Sistemas de informao: um enfoque gerencial. So Paulo: Atlas,1985.
BRITISH STANDARD. Information security management Part 2: Specification for
information security management systems, BS 7799-2:1999. London: BSI, 1999.
CARUSO, C.A.A.; STEFFEN, F.D. Segurana em informtica e de informaes. So
Paulo: Senac, 1999.
DAVENPORT, T. H.; ECCLES, R.G.;PRUSAK, L. Information politics. Sloan
Management Review, Knoxville, v.34, n.1, p.53-65, fall 1992.

99
DAVIS, G.B.; OLSON, M.H. Sistemas de informacin gerencial. Bogot: McGraw-Hill,
1987.
DNV. DET NORSKE VERITAS LTDA. Procedimentos DNV - International Certification
Processes. Disponvel em: http://one.dnv.com intranet. Anexo A, acesso restrito funcionrios.
Acessado em: 14 jul.2002.
DNV. DET NORSKE VERITAS LTDA. Marketing BS 7799. Apresentao disponvel em:
http://one.dnv.com intranet. Acesso restrito funcionrios. Acessado em: 14 jul.2002.
DNV. DET NORSKE VERITAS LTDA. Dados da empresa. Disponvel em:
http://www.dnv.com. Acessado em: 10 mar.2003.
FAGUNDES, E. M. Cobit um kit de ferramentas para a excelncia na gesto de TI.
Disponvel em: http:// www.efagundes.com/artigos. Acessado em: 07.jan.2004.
FITZSIMMONS, J.A.; FITZSIMMONS, M. Administrao de servios: operaes,
estratgia e tecnologia de informao. Porto Alegre: Bookman, 2000.
FREITAS, H. M. R.; LESCA, H. Competitividade empresarial na era da informao. Revista
de Administrao, So Paulo, p. 92-102, jul/set. 1992.
FREITAS, H. M. R.; BECKER, J. L.; KLADIS, C. M.; HOPPEN, N. Informao e deciso:
sistemas de apoio e seu impacto. Porto Alegre: Ortiz, 1997.
FURLAN, J.D. Como elaborar e implementar o planejamento estratgico de sistemas de
informao. So Paulo: Makron, McGraw-Hill, 1991.
KENDALL, K. E.; KENDALL, J. E. Systems analysis and design. New Jersey: PrenticeHall, 1999.
KINI, R.B. Strategic information systems: a misunderstood concept? Information Systems
Management, Boston, v.10, n.4, p.42-45, fall 1993.
KUGLER, J. L. C.; FERNANDES, A. A. Planejamento e controle de sistemas de
informao. Rio de Janeiro: LTC, 1984.
LAUDON, K. C.; LAUDON, J. P. Sistemas de informao. Rio de Janeiro: LTC, 1999.

100
MENDES, C. D. Informtica e competitividade da empresa. Anais do XX Congresso
Nacional de Informtica, SUCESU, So Paulo, p.175-180, 1987.
MINTZBERG, H.; QUINN, J.B. O processo da estratgia. Porto Alegre: Bookman, 2001.
MDULO S.A. 7a pesquisa sobre segurana de informao, 2001. Disponvel em:
http://www.modulo.com.br. Acessado em: 1 dez. 2001.
MDULO S.A. 8a pesquisa sobre segurana de informao, 2002. Disponvel em:
http://www.modulo.com.br. Acessado em: 5 out. 2002.
MOREIRA, N. S. Segurana mnima: uma viso corporativa da segurana de
informaes. Rio de Janeiro: Axcel Books do Brasil, 2001.
MURDICK,

R.G.; MUNSON, J.C. Sistemas de informacin administrativa. Mxico:

Prentice-Hall Hispano Americana, 1988.


NASCIMENTO, L. O. S. Sistema de informaes. In: MORGADO M.G.; GONALVES
M.N. (Orgs). Varejo, administrao de empresas comerciais. So Paulo: Senac, 1997.
OLIVEIRA, A.C.M. da C.; GRAJEW, J. O enfoque do valor adicionado: informtica e
aumento de competitividade. In: SUCESU, Anais do XX Congresso Nacional de
Informtica, p.190-195, 1987.
PORTER, M.E.; MILLAR, V.E. How information gives you competitive advantage, Harvard
Business Review, Boston, v.63, n.4, p.149-160, 1985.
PORTER, M.E. Estratgia competitiva: tcnicas para anlise de indstrias e da
concorrncia. Rio de Janeiro: Campus, 1986.
PORTER, M.E. Vantagem competitiva: criando e sustentando um desempenho superior.
Rio de Janeiro: Campus, 1992.
TAURION, C. Em busca de qualidade. Computerworld, So Paulo, p. 14-15, jun. 1996.
TOFLER, A. A empresa flexvel. Rio de Janeiro: Record, 1985.

101
WATSON, R. T; KELLY, G. G.; GALLIERS, R. D.; BRANCHEAU, J. C. Key issues in
information systems management: an international perspective. Journal of management
information systems. Armonk, v.13, n.4, p. 91, 1997.
WEBER, K. C.; ROCHA, A. R. C.; NASCIMENTO, C. J. Qualidade e produtividade em
software. So Paulo: Makron Books, 2001.
ISMS.

International

user

group.

Registrer

Certificates,

Disponvel

em:

www.xisec.com . Acessado em: 10.set. 2002.


YIN, R. K. Estudo de caso: planejamento e mtodos. Porto Alegre: Bookman, 2001.

http://

102

GLOSSRIO
Para subsidiar o leitor, especialmente aquele que no est familiarizado com os
termos especficos da rea da informtica, entendeu-se como necessrio conceituar e
diferenciar alguns desses termos, citados a seguir.
Dados: Dados so registros de fatos ou eventos e podem ser representados por meio
de imagens, sons, nmeros, datas, etc.). Geralmente so utilizados para atividades
operacionais em empresas, tais como cadastro de produtos em estoque, vendas, cadastros de
clientes e atendimentos.
Informaes: Informaes so dados organizados e utilizados para suporte tomada
de decises em empresas. Por exemplo, com dados, como a data de nascimento dos clientes
de uma empresa, possvel gerar uma informao como a idade mdia dos mesmos. Demais
exemplos de informao so: produtos mais vendidos, total mensal de vendas, clientes que
mais compram, totais de comisses de determinado vendedor.
Sistemas de informao: So sistemas baseados em computador que transformam
dados em informao. Sistema de informao so o conjunto interdependente das pessoas, das
estruturas, das tecnologias da informao, dos procedimentos e mtodos, que deveriam
permitir organizao dispor, no tempo desejado, das informaes de que ela necessita ou
necessitar para o seu funcionamento atual ou para a sua evoluo.
Tecnologia da Informao: Tecnologia da informao o conjunto de software e
hardware.

103

ANEXO A
International Certification Processes ICPs.

104

DNV MANAGEMENT MANUAL PROCEDURE


INTERNATIONAL CERTIFICATION PROCESSES
C5-ce-3.2-ax-ISMS QUOTATION & QUOTE REVIEW
SERVICE SPECIFIC PROCEDURE Information Security (BS 7799)
The section numbering below follows what is found in section 2 of ICP C5-ce-3.2.
See attach Guidance information for estimating man-days for ISMS audits.

2.2 Check on Quote Details


The following points should be considered when preparing a quote:

Exact locations (geographically, industrial/mixed/residential area)

Number of sites with Business activities, including any disaster recovery site,
Business activities on site and number of staff at each site.

Level of security control required for business or customer reasons; e. g. military,


safety, personal privacy, commercial confidentiality

Activities within the scope which is performed "off-site"; e. g., on customer


premises, disaster recovery premises

Major features of information technology in use - inclusive of added requirements


due to specific contract, reference documents applicable to the organisation,

Major information processing services for each type of user; e. g., personnel,
finance, sales including customers and suppliers (if applicable) - inclusive of
number of users in each area

The

positions

or

groups

directly

responsible

for

administering

security

management (i. e. Policy Definition, Procedure Writing, Site Security, Systems


Administrator, Virus Protection, Security Incident, Data Protection)

Security products/tools in use (Site Access; e. g., badge reader, IT System Access
Control, Virus Control, Environment monitoring (computer room), Power Backup;
e. g., generator, Power supply correction (UPS))

Brief description of structure of documented information security management


system; e. g., policy, security manual, work instructions

Brief description of risk analysis method used to identify and evaluate risk.

105

Statement of Applicability, or equivalent document, which identifies the controls of


BS 7799 which are applied.

Copy of any ISO 9001/2 (or ISO 9001:2000) certificate applicable to the
organisation

Checklist of attachments to the application:

1. Security system contents pages


2. Risk analysis report
3. Statement of Applicability
4. ISO 9000 certificate or other certificates
2.4 Time and Price Estimation of Audit/Pre-assessment
Pricing of BS 7799 certification may be the same day rates and other features of the
pricing structure as for ISO 9000 certifications, use the Guidance information to
estimating man-days found in this appendix. The new table will account for the fact that
BS 7799 is normally a more complex audit with more complex businesses.
These rates may be adjusted by the units (and then the ICP) as experience is gained
performing this service.
While ISMS certificates must be independent of those for ISO 9000, an applicant who has
ISO9000 certification already or, who is applying for both, may be quoted for combined
audits. There is a degree of overlap between the two ( e.g. in respect of policy,
documentation of procedures, maintenance of records, conduct of audits) such that some
time may be saved by combining visits. As a rule of thumb, timesaving should not
exceed one workday on the larger audits (over 6 workdays) or a half workday between 3
and 6). Below 3 workdays there will be no effective saving.

2.4.1 Periodic Audits


The rules regarding the frequency of periodic audits are the same as for ISO 9000 (see
ICP C5-ce-3.13 Periodic Audits). The special requirements of the TickIT scheme do not
apply so annual periodic visits can be offered on the usual basis.

2.4.7 Multiple Site Certification and/or Verification


Multiple sampling decisions in the area of ISMS certification are more complex than the
same decisions are for quality systems. Certification bodies wishing to use a sample
based approach to multiple site assessment need to maintain procedures which include
the full range of issues below in the building of their sampling programme.
Prior to undertaking its first assessment based on sampling, the certification/registration
body shall provide to the accreditation body the methodology and procedures which it
employs and provide demonstrable evidence of how these take account of the issues
below to manage multiple site ISMS assessment.
The certification body's procedures should ensure that the initial contract review
identifies, to the greatest extent possible, the difference between sites such that an
adequate level of sampling is determined in accordance with the provisions below.

106
Where an organisation has a number of similar sites covered by a single ISMS, a
certificate may be issued to the organisation to cover all such sites provided that:

1. All sites are operating under the same ISMS, which is centrally administered and
audited and subject to central management review

2. All sites have been audited in accordance with the organisation's internal security
review procedure(s)

3. A representative number of sites have been sampled by the certification body,


taking into account the requirements below:

The results of internal audits of head office and the sites

The results of management review

Variations in the size of the sites

Variations in the business purpose of the sites

Complexity of the ISMS

Complexity of the information systems at the different sites

Variations in working practices

Variations in activities undertaken

Potential interaction with critical information systems or information systems


processing sensitive information

Differing legal requirements

1. The sample should be partly selective, based on the above in point c, and partly
non-selective and should result in a range of different sites being selected,
without excluding the random element of site selection.

2. Every site included in the ISMS which is subject to significant threats to assets,
vulnerabilities or impacts should be audited by the certification body prior to
certification.

3. The surveillance programme should be designed in the light of the above


requirements and should, within a reasonable time, cover all sites of the
organisation or within the scope of the ISMS certification included in the
Statement of Applicability

107

1. In the case of a nonconformity being observed either at the head office or at a


single site, the corrective action procedure should apply to the head office and all
sites covered by the certificate.

2.4.9 Shared Site


Special considerations should be given to shared sites; i. e. where several companies
share the same facilities. It is permissible to carry out certification for a business which is
part of a shared site, subject to the following conditions:

The organisation must have been clearly identified and be managing its interfaces
with other businesses/organisations on the site

The organisation must have identified all significant aspects, in connection with
the other activities on the site, and must be influencing or seeking to influence
them by either formal objectives (improvement or investigation) or operational
control.

2.4.10 Service Organisations


Where it is not practical to define a location, the coverage of the certification shall take
into account the customer's headquarters activities as well as delivery of its services.
Where relevant, in special cases, the certification may be carried out only where the
customer delivers its services. In such cases, the interfaces with its headquarters shall be
audited.
Guidance on man-day allocation for BS 7799 assessments
DRAFT version 1 February 2001
The following guidance may be used to estimate the man-days needed to perform a BS7799 audit. This draft table has been submitted to the European Co-operation for
Accreditation for comments/acceptance by SWEDAC.

1.1 Definitions
Company Structure: scope/boundaries, group (of companies), co-operation partners,
geographical spread (not the IT-part)
Size: number of employees (Small 50; 50 Medium 250; Large 250)
IT-structure: configuration complexity, platform(s), dependence on IT, external
connections, etc.
Risk level: business activity (impact on society, vulnerability, secrecy), critical
competence (dependant on competence in the business activity)

108

COMPLEXITY EVALUATION
Estimation of time level

CATEGORY

IMPACTING FACTORS
(BUSINESS ACTIVITY/COMPANY STRUCTURE)
Medium to large size group/company/unit with business
activities including most functions, i.e. R&D,
design/development, production and/or construction,
service. Business at several locations. A number of cooperations partner. Eventually business activities in
several countries. Special legal requirements.

Medium to small size company/unit with 1-2 business


areas including R&D, design/development, production
and/or construction, service.
L

Medium to large company with production and/or


construction with limited activities within
design/development. A single country, a limited number
of co-operation partners, eventually some specific legal
requirements.
Small to medium company/unit with production and/or
construction with limited activities within
design/development.
Small to medium company/unit with
installation/service/sales. Mainly business on one
location, single or few co-operations partners - no
special legal requirements.

109

CATEGORY
H

IT-STRUCTURE
Several externally connected Extra-Nets. A number of
non-standard real-time applications on several
platforms. Potential interaction with critical information
systems or information systems processing sensitive
information.

External fixed connection from a home work place.


Sharing of facilities (e. g. computers, telecommunication
systems, etc.) with others. Complexity of information
systems. Development of own software applications
used in the organisation.
L

A single or several connected LANs. Fixed connection to


the Internet (ISDN, Broadband, etc.) and information
WEB-site for clients. Only standard applications on one
platform.
Single local area network with some workstations and or
personal computers. E-mail handling via the Internet via
a dialled-up modem connection.
No network a standalone personal computer or a
single local area network with some workstations. No
external connections.

Estimation of impacting factors/IT-structure for ISMS Certification


IMPACTING FACTORS/
IT-STRUCTURE

LOW
(man-days)

MEDIUM
(man-days)

HIGH
(man-days)

LOW

3-4

5-7

7-10

MEDIUM

4-5

6-10

8-14

HIGH

5-6

7-12

9-18

110

Estimation of Man-days for ISMS Certification (One of the below)


The table below shows the distribution of the above estimated man-days for the
certification activity.

IMPACTING
FACTORS/
ITSTRUCTURE

PreAssessment

Low - Low

CERTIFICATION

Maintenance
of Certificate
( per year)

Documentation
Review

Initial
Audit,
step 1

Initial
Audit,
step 2

Estimated
TOTAL for
certification

1-4

1-2

3-4

1-2

Low-Medium

1-7

1-2

2-3

5-7

2-4

Low - High

2-10

2-3

3-5

7-10

3-6

Medium - Low

1-5

1-2

4-5

2-4

Medium Medium

1-10

1-2

2-3

3-5

6-10

3-6

Medium - High

2-14

2-3

4-9

8-14

4-8

High-Low

1-6

2-3

5-6

2-4

High - Medium

1-12

1-2

2-3

4-7

7-12

3-7

High - High

2-18

2-3

3-4

4-11

9-18

4-10

Note: Initial Audit step 1 consist of the Initial Visit + the part of the Initial Audit
(technical system review)
Special considerations must always be taken into account on the need of a technical
expert during audits. The need of an extra technical expert is based on the IT-complexity
of the organisation and the knowledge of the auditor.
Should there be a large amount of multiple sites the number of auditing man-days needs
to reflect this.
Please refer to EA-7/03 EA Guidelines for the Accreditation of bodies operating
certification/registration of Information Security Management Systems for further
aspects to consider during estimations on efforts.

Reviewed by:

Valid for:

Revision:

No.:

Gunnar Sem

All of DNV

DMM C5-ce-3.2-axISMS

Approved by:

Author:

Date:

111
DNV MANAGEMENT MANUAL PROCEDURE
INTERNATIONAL CERTIFICATION PROCESSES
C5-ce-3.7-ax-ISMS DOCUMENT REVIEW
SERVICE SPECIFIC PROCEDUR - Information Security (BS 7799)
The section numbering below follows what is found in section 2 of ICP C5-ce-3-7.

2.1 Review Documentation


The documentation to be reviewed shall consist of, as a minimum:

Policy Statement/Document

Risk Analysis Documentation

Statement of Applicability

Scope of ISMS document

Organisational structure

Description of the technology including a network schematic

Security Policy Manual that should include the following (much the same as given
above, but in one manual):

Security policy, both full and the short version

The nature of the organization and its corresponding security needs

Security management framework how the organization manages security

Description of the information security management system (ISMS)

Procedures for the operation and maintenance of the ISMS

Documentation
documents

Security scope, defining the limits of the security management framework

Description of the risk assessment system

A summary of the implemented controls and safeguards

and

records structure

with

references to the lower level

Reviewed by:

Valid for:

Revision:

No.:

Gunnar Sem

All of DNV

DMM C5-ce-3.7-axISMS

Approved by:

Author:

Date:

Ole-Andreas Hafnor

Pat Adamcik

2001-04-01

112
DNV MANAGEMENT MANUAL PROCEDURE
INTERNATIONAL CERTIFICATION PROCESSES
C5-ce-3.8-ax-ISMS INITIAL VISIT
SERVICE SPECIFIC PROCEDURE Information Security (BS 7799)
The section numbering below follows what is found in section 2 of ICP C5-ce-3.8.

2.1 Initial Visit preparation


For the initial visit preparation, the following is required:

An evaluation of the risk analysis, as specified in the risk analysis report, should
be completed - taking into account the specified security products/tools in use.

A review of the statement of applicability should have taken place.

A review of the level of security control required, as specified by the organisation.

A review of the major features of the information technologies in use - including a


network plan.

A review of the information processing services for each type of user.

An agreement of the nature of confidentiality in place; that is, there should be no


doubt as to the access for the auditor(s) to personnel records, etc. within the
organisation.

2.2 Conduct of the Initial Visit


Access to personnel records
The lead auditor should verify that auditors will be given access to all relevant records
needed for effective assessment of the ISMS.
Risk Analysis/Assessment
The lead auditor/verifier shall discuss the customers risk analysis/assessment and the
means by which they have evaluated significance. The aim of this is to establish that the
organisation's risk assessment properly reflects its activities and extends to the
boundaries of its activities as defined in the ISMS standard or normative document.
Statement of Applicability
The lead auditor/verifier shall discuss the customers statement of applicability. The aim
of this is to establish correct understanding of defines terms as well as that the
statement of applicability correctly reflects the organisations information security scope.

113

Reliance on Internal Audits


The lead auditor/verifier shall establish whether the internal audit frequency is related to
information security aspects.
The team leader shall make the customer aware that the following additional information
may be required for detailed inspection during the initial audit:

Personnel records of confidential nature.

Details of any internally identified non-conformities together with details of


relevant corrective and preventive action taken in the previous 12 months (or
since commencement of system implementation if this is less than 12 months)

Records of management reviews

Records of any system related communications received and any actions taken in
response to them.

Reviewed by:

Valid for:

Revision:

No.:

Gunnar Sem

All of DNV

DMM C5-ce-3.8-axISMS

Approved by:

Author:

Date:

Ole-Andreas Hafnor

Pat Adamcik

2001-04-01

114

DNV MANAGEMENT MANUAL PROCEDURE


INTERNATIONAL CERTIFICATION PROCESSES
C5-ce-3.10-ax-ISMS ASSESSMENT PROCESS: INITIAL AUDIT
SERVICE SPECIFIC PROCEDURE Information Security (BS 7799)
The section numbering below follows what is found in section 2 of ICP C5-ce-3.10.

1.1 Objectives
An additional objective for these types of audit is to:

Determine that the organisation has not excluded from the scope of their ISMS
elements of their operation which should properly be included under it.

Ensure that the organisation's risk assessment properly reflects its activities and
extends to the boundaries of its activities as defined in the ISMS standard or
normative document.

Confirm that the organisation's risk assessment is reflected in the organisation's


statement of applicability.

Ensure that interfaces with services or activities that are not completely within the
scope of the ISMS are addressed within the risk assessment.

Determine whether the established, implemented and documented ISMS system


is working to ensure legal compliance

Determine whether the ISMS is meeting of the companies objectives & target
with respect to IS, and

Determine whether the implemented ISMS properly protect information and


computer assets.

The audit should focus on the customers compliance to the information security
requirements (elements) as given below:

Management Framework (Policy, SoA, etc.)

Implementation

Documentation

Document Control

Information Security Control Measures to include:

Security Policy

Security Organisation

Assets Classification and Control

Personnel Security

Physical and Environmental Security

Computer and Network Management

Systems Access Control

115

Systems Access Control

System Development and Maintenance

Business Continuity Planning

Compliance

1.1 Audit Opening Meeting


The lead auditor should verify that auditors will be given access to all relevant records
needed for effective assessment of the ISMS.

1.2 Conduct of the Audit


The integration of the ISMS audit with Q, E, or S would:

Have the same common elements as in item 2.3 a) in document ICP C5-ce-3.10
and there could be assessed by any of the lead auditors.

As for item 2.3 b) same reference, the ISMS lead auditor would have to
assessment his respect part.

Critical areas such as the information security control measures (see 2.1 above) shall be
audited by the ISMS lead auditor (with possible assistance from an ISMS qualified auditor
or specialist).

Reviewed by:

Valid for:

Revision:

No.:

Gunnar Sem

All of DNV

DMM C5-ce-3.10-axISMS

Approved by:

Author:

Date:

Ole-Andreas Hafnor

Pat AdamcikPat
Adamcik

2001-04-01

116

DNV MANAGEMENT MANUAL PROCEDURE


INTERNATIONAL CERTIFICATION PROCESSES
C5-ce-3.13-ax-ISMS PERIODIC AUDIT
SERVICE SPECIFIC PROCEDURE Safety Contractor Checklist (SCC)
The section numbering below follows what is found in section 2 of ICP C5-ce-3.13.

2.1 Periodic Audit Plan


Periodic audits must be scheduled and performed in accordance with ISO 10011. The
periodic audit plan, drawn up at the conclusion of the initial visit, shall demonstrate that
all relevant requirements will be reviewed during the three-year cycle.

2.3 Periodic Audit


Controls which must be reviewed on every visit include:

audits of operational systems

handling of complaints

handling of security incidents

conduct of security reviews

correct use of certificate and logos

Additional visits may be required following significant changes to the certified


organisation or its security management approach, or in case of failure to implement
satisfactory correction of non-conformities.
Accredited BS 7799 certification requires three yearly re-certification audits. The recertification audit shall be planned at the prior periodic audit. The plan content will cover
the same issues as for the initial certification, including reconfirmation that the
customers products, services and markets are still consistent with the Statement of
Applicability (SoA) and hence the Information Security Management System.

Reviewed by:

Valid for:

Revision:

No.:

Gunnar Sem

All of DNV

DMM C5-ce-3.13-axISMS

Approved by:

Author:

Date:

Ole-Andreas Hafnor

Pat Adamcik

2001-04-01

117

DNV MANAGEMENT MANUAL PROCEDURE


INTERNATIONAL CERTIFICATION PROCESSES
C5-ce-3.15-ax-ISMS

NON-CONFORMITIES

&

FOLLOW-UP

OF

CORRECTIVE ACTIONS
SERVICE SPECIFIC PROCEDURE Information Security (BS 7799)
The section numbering below follows what is found in section 2 of ICP C5-ce-3.15.

2.1 Classification of Non-conformities


Non-conformities would include all those identified in the Generic Process Instructions
and would further include:

No documented evidence of a performed Risk Analysis

Missing or inadequate Business Continuity Plan

Ambiguity,

lack of

clarity, lack

of

balance,

inaccuracies,

dubious

factual

information or misrepresentation in the Statement of Applicability

Discrepancies between the information in the Statement of Applicability and


verification of the information on site.

Reviewed by:

Valid for:

Revision:

No.:

Gunnar Sem

All of DNV

DMM C5-ce-3.15-axISMS

Approved by:

Author:

Date:

Ole-Andreas Hafnor

Pat Adamcik

2001-04-01

118

DNV MANAGEMENT MANUAL PROCEDURE


INTERNATIONAL CERTIFICATION PROCESSES
C5-ce-3.16-ax-ISMS DEFINITION OF SCOPE & STANDARD
SERVICE SPECIFIC PROCEDURE Information Security (BS 7799)
The section numbering below follows what is found in section 2 of ICP C5-ce-3.16.

2.1 Guidance on scope


Organisations should define the scope of their ISMS. A role of the certification body is to
provide consistency in ensuring that organisations do not exclude from the scope of their
ISMS elements of their operation which should properly be included under it.
Certification bodies should ensure that the organisation's risk assessment properly
reflects its activities and extends to the boundaries of its activities as defined in the ISMS
standard or normative document. Certification bodies should confirm that this is reflected
in the organisation's statement of applicability.Interfaces with services or activities that
are not completely within the scope of the ISMS should be addressed within the ISMS
subject to certification (e. g. they should be included in the risk assessment).In addition
to the detailed site description, the scope shall definitely define which site or sites or
parts of the site(s) are covered by the certificate.
The activities of the customer should be identified in terms of general descriptions of the
main activities.
It should be clear where the boundaries of management responsibility extend, for
example in respect of a company that shares a site with another company.
It shall also be made clear if any major activities are excluded, for example warehousing
or sales & marketing, etc.
In summary, the scope of the certification audit should state:

Site(s) identification

Main activities

Exclusions

Reviewed by:

Valid for:

Revision:

No.:

Gunnar Sem

All of DNV

DMM C5-ce-3.16-axISMS

Approved by:

Author:

Date:

Ole-Andreas Hafnor

Pat Adamcik

2001-04-01

119

ANEXO B
Quotation Request

120

DET NORSKE VERITAS Certification


MANAGEMENT SYSTEM CERTIFICATION
QUOTATION REQUEST

In order to allow us to provide as accurate a quote as possible, we need to determine exactly what
sort of process and activities are involved within your organisation. We also need to know about the
state of readiness of your Management System prior to certification.

Please provide us with as much detail as you can by answering the following questions. If you have
any queries, please contact us on:

020 7357 6080

Fax: 020 7407 1239E-mail: certificationuk@dnv.com

Section 1: Basic Contact Information


1.1 Company

or

Organisation
Name
1.2 Contact Name

1.3 Position

1.4 Address
1.5 Telephone Number

1.6 Fax Number

1.7 E-mail Address

1.8 Website Address

121

Section 2: Organisational Details


2.1

Please describe fully the products, process and/or services of your


organisation.

Note. Append any useful further information to the application form. For example, company
promotional literature, or your Quality Management System (ISO 9000) scope.

2.2

Is your organisation part of a larger


NO

group?

YES

If no, please go to question 2.4.

2.3

Name of Parent
or

Holding

Company:
2.4

Total Number of
Employees to be
covered

by

certificate:
Comprising of:
2.41 Managerial

2.43 Production

2.42 Technical

2.44 Administration

2.5

Do any staff work shifts?


NO

YES

NO

YES

If no, please go on to question 2.7


2.6

Number of Staff
Working Shifts:

Shift Details:

2.7

Are other sites to be covered ?


If no, please go on to question 2.9

122

2.8

Please describe fully the locations, staffing, products, process and/or


services of the other sites within the scope of your management system

Note: Continue on separate sheets as required.

2.9

Does the system cover other offsite


activities?

NO

YES

Note: This would include temporary sites, such as construction locations, major
projects, installation, servicing and maintenance operations, disaster recovery
sites. If no, please go on to Section 3.

2.10 Please describe fully these activities, giving locations and duration of
projects and personnel numbers

123

Section 3: Your Requirements


3.1 Please indicate the management system standard(s) required, and please
complete additional information as indicated:

1.1

ISO 9001: 2000 (New client)

Please Complete Section 4 (click


here)

ISO

9001:

2000

(Transfer

for

existing client)
ISO 9001: 1994
ISO 9002: 1994
TickIT
QS 9000

ISO 14001

Please complete Section 5 (click


here)

EMAS

OHSAS 18001

Please complete Section 6 (click


here)

BS 7799

Please complete Section 7 (click


here)

VCA/SCC

Note: Accredited certification against ISO 9001:2000 will be available following the
implementation of the standard.

124

3.2

Do you require a pre assessment?


NO

YES

Note: The pre assessment is an optional gap analysis typically of one or two
days in duration. It is very valuable in identifying to you at an early stage
potential areas of concern at the subsequent certification audit. If no, go to
question 3.4

3.3

Do you require a written report?


NO

YES

Note: This is typically an extra day of off-site reporting.

3.4

Are any parts of your management


systems already certified/registered ?

NO

YES

If no, go to question 3.6

3.5 Please indicate the standard(s) and the certification body.

Note: You may be registered with another certification body. We can assure you that
dealing with more than one certification body will not complicate your situation.

3.6

Are

you

interested

in

quotation

including conversion of your existing

NO

YES

certification to DNV?

3.7 Please indicate your preferred date of commencement of assessment:

3.8

Please

indicate

whether

further

information has been enclosed with


your application.

NO

YES

125
Finally, please sign and date the quote request form below:

Name:

Position:

Signature

Date:

The information supplied above will be used to provide you with a quotation for our
certification services. This quotation is totally dependent upon the information given
above. We must therefore reserve the right to amend our quote should the information be
found to be inaccurate or incomplete.
Please post, fax or e-mail the completed form to us at:
DNV Certification Ltd
Palace House
3 Cathedral Street
London
SE1 9DE
Fax:
E-mail:

020 7407 1239

certificationuk@dnv.com

126

Section 4: Quality Profile


Please append any publicly available information relating to your organisation and
quality management system.
New Certification Clients:
Note: existing ISO 9000 clients seeking transfer to ISO 9001:2000 go to question 4.2

4.1

Management system development:


YES

Do you have a quality policy?


Have you prepared a process orientated, documented system
description?
Have all staff been made aware of the management system?
Has an internal audit programme started?
Has a management review been carried out?
Are there any requirements of ISO 9001:2000 that should be
excluded from the certificate scope (e.g. design)? If yes
please indicate below.
Scope Exclusions:

NO

127

Existing Certification Clients Seeking Transfer to ISO 9001:2000


Note: please complete these questions based on projected date for transfer audit
taking place.
4.2

Transfer of existing clients to new ISO 9001:2000 Standard:

Please indicate when you would like the transfer audit to take
place (Note 1)
YES

NO

Do you want a transfer audit resulting in issue of a new 3


year certificate? (Note 2)
Has the existing QMS been reviewed and modified to meet
ISO 9001:2000?
Has the modified system been in place for sufficient time for
you to evaluate effectiveness and compliance with ISO
9001:2000?
Are there any requirements of ISO 9001:2000 that should be
excluded from the certificate scope (e.g. design)? If yes
please indicate below.
Scope Exclusions:

Note 1: our recommended approach is to undergo the transfer/upgrade audit at


your scheduled certificate renewal (reassessment) audit, or at a scheduled periodic audit.
Note 2: our standard quotation will be for a full transfer/upgrade to ISO 9001:2000
resulting in issue of a new 3-year certificate.

4.2

Are

you

interested

in

services

associated with ISO 9001:2000 gap


analysis and auditing?

Return to Main Form

NO

YES

128

Section 5: Environmental Profile


Please append any publicly available information relating to your organisation and
environmental management.
5.1

Please describe your organisations site, its geographical location and


type of environment.

Note: Please indicate if there are sites of high nature conservation interest in
close proximity to the site

5.2

Do you operate an IPPC, IPC or Local


Authority prescribed

process

(UK

NO

YES

only)?

5.3 Please provide details on all key regulations, including authorisations,


consents and licences relating to your sites and operations.

5.4

Does the organisation subscribe to


any environmental Codes of Practice?

If no, please go on to 5.6.

NO

YES

129

5.5

Please list key requirements below:

Note: This would include such measures as the Chemical Industries


Responsible Care Programme, and the International Chamber of Commerces
Charter on Sustainable Development.

5.6

Technical issues:
YES

NO

YES

NO

Do you generate Special (Hazardous)Waste?


Do

you

hold

consent/licence

for

discharge

to

sewer/watercourse?
Are you a registered waste carrier?
Is your site covered by legal requirements for hazardous
installations?
Do you own/operate on any contaminated land?
Do you have any power generation on site?
Do you carry out any effluent treatment on site?

5.7

Management system development:

Has a preparatory environmental review been carried out?


Do you have an environmental policy?
Have you identified the significant environmental aspects?
Have you identified applicable environmental legislation?
Have you set environmental objectives and targets?
Has a programme been put in place to achieve the objectives?
Have you prepared a documented system description?
Have all staff been made aware of the management system?
Has an internal audit programme started?
Has a management review been carried out?
Has an Environmental Statement been drafted (EMAS only)?

Return to Main Form

130
Section 6: Safety Profile
Please append any publicly available information relating to your organisation and
safety management.
6.1

Please describe your organisations site, its geographical location and


type of environment.

Note: Please indicate if there are safety critical locations nearby.

6.2

Do

you

operate

process

under

CIMAH/COMAH requirements (UK only)?

NO

YES

6.3 Please provide details on all key regulations, including authorisations,


consents and licences relating to your site safety issues.

6.4

Does the organisation subscribe to


any safety Codes of Practice?
If no, please go on to Section 3.

NO

YES

131

6.5

Please list key requirements below:

Note: This would include such measures as the Chemical Industries


Responsible Care Programme, International Safety Rating System (ISRS) etc.

6.6

Management system development:


YES

Has a safety management review been carried out?


Do you have an occupational health and safety policy?
Have you identified occupational health and safety
risks?
Have you identified applicable safety legislation?
Have you set health and safety objectives and targets?
Has a programme been put in place to achieve the
objectives?
Have you prepared a documented system description?
Have all staff been made aware of the management
system?
Has an internal audit programme started?
Has a management review been carried out?
Are emergency plans and procedures in place?

Return to Main Form

NO

132

Section 7: Information Security Management Profile


Please append any publicly available information relating to your organisation and
information security management.
7.1

Brief description of the level of security control you require for


business or customer reasons (e.g. military, personal privacy,
commercial confidentiality):

7.2

Major features of information technology in use:

Central processing
Desktop equipment
Remote/mobile
equipment
Network features
Access

by

other

parties
Other key features

7.3

Major information processing services for each type of user (e.g.


personnel, finance, sales etc):
User

Group/Department

No. of Users

Information
Processing Services

133
7.4

Management system development:


YES

NO

Do you have an ISMS policy?


Do

you

have

Statement

of

Applicability

(give

reference)?
Have you identified applicable ISMS legislation?
Have you prepared a documented system description?
Have all staff been made aware of the ISMS management
system?
Has an internal audit programme started?
Has a management review been carried out?
Please provide brief description of risk analysis method used to identify and
evaluate risks:

Return to Main Form

134

For Office Use Only:


NACE Classification
Accredited Scope?
Auditors Available:

Audit Dates

Result
Quote

Decline

Apply for extension

Day Rate
Audit

Initial Estimate (Mandays)


Pre Assessment
Document Review
Initial Visit
Initial Audit
Additional (e.g. EMAS finalisation)
Periodics
Total Mandays per year
Annual or six monthly regime
Comments

Completed by:
Date:

Travel