Você está na página 1de 15

PROPOSTA DE UMA POLTICA DE SEGURANA DA INFORMAO PARA O

NCLEO DE EDUCAO A DISTNCIA DA UNIVERSIDADE FEDERAL DE SO


JOO DEL-REI

Alex Vitorino1

Resumo: O aumento significativo da demanda no que tange a qualidade da prestao de


servios pblicos tornou indispensvel disponibilizao de recurso de Tecnologia da
Informao e Comunicao para a interao entre rgos pblicos e cidados diretos (aluno,
professores e servidores) e indiretos (comunidade). Portanto a segurana da informao
tornou-se uma preocupao mpar para o poder pblico, alm de uma temtica crtica para a
gesto pblica moderna. Sabe-se da literatura que uma das formas de administrar esta
criticidade envolve criar normas, formular polticas, padronizar procedimentos, estabelecer
mtricas e ainda automatizar controles com vistas a reduzir riscos e aumentar a
disponibilidade de recursos e garantir a confidencialidade, integridade e no-repdio das
informaes.
Palavras-chave: Educao a Distncia, Polticas de Segurana, Segurana da Informao.

1. INTRODUO
Em virtude da crescente integrao da infraestrutura de Tecnologia da Informao e
Comunicao (TIC) com os processos de negcios, a necessidade de controlar, auditar e
proteger tais recursos tornou-se evidente.
Sabe-se da literatura correlata relevncia em se se prover um funcionamento
continuo dos recursos de Tecnologia da Informao e Comunicao com vistas a proporcionar
a continuidade dos negcios de uma organizao.
A compreenso dos aspectos necessrios para a correta operao de sistemas, bem
como a identificao dos nveis de segurana de controles lgicos, fsicos e ambientais
fundamental para no se comprometer a segurana da informao (SI).
O aumento significativo da demanda relacionada qualidade da prestao de servios
pblicos denota-se indispensvel disponibilizao de recurso de Tecnologia da Informao e
Comunicao para a interao entre rgos pblicos e cidados diretos (alunos, professores e
1

Graduado em Sistemas de Informao (UNIPAC), Mestrando em Engenharia Eltrica (UFSJ), Analista de


Sistemas, Professor do Instituto de Ensino Superior Presidente Antnio Carlos (IPTAN), Professor Pesquisador
(Bolsista CAPES) do NEAD-UFSJ e Membro fundador da empresa Idoo Solues em TI.

servidores) e indiretos (comunidade). Portanto a segurana da informao tornou-se uma


preocupao mpar para o poder pblico, alm de uma temtica crtica para a gesto pblica
moderna.
Sabe-se da literatura que uma das formas de administrar esta criticidade envolve criar
normas, formular polticas, padronizar procedimentos, estabelecer mtricas e ainda
automatizar controles com vistas a reduzir riscos e aumentar a disponibilidade de recursos e
garantir a confidencialidade, integridade, disponibilidade, autenticidade e no-repdio das
informaes.
No trabalho em tela prope-se a elaborao de um modelo no exaustivo de uma
Poltica de Segurana da Informao para o Ncleo de Educao a Distncia da Universidade
Federal de So Joo del-Rei (NEAD-UFSJ).
2. GESTO DA INFORMAO
A informao e o conhecimento, em sua plenitude, adquiriram com o passar dos
tempos uma posio de destaque e relevncia, seja no cenrio econmico, poltico ou social.
Elas tornaram-se fundamental em nvel organizacional na descoberta e introduo de
inovaes tecnolgicas, explorao das oportunidades de investimento e ainda na mensurao
e planificao de toda a atividade desenvolvida nos mais diversos setores da economia.
A informao tecnolgica pode ser a maior ferramenta dos tempos modernos, mas a
habilidade de julgamento de negcios e a capacitao humana que a faz poderosa (GRAEML,
2003, p. 17).
A gesto da informao (GI) em sua essncia compreende a sinergia entre a tecnologia
da informao, a comunicao e os recursos informacionais, com vistas a promover o
desenvolvimento de estratgias e a estruturao dos processos organizacionais.
A gesto da informao tem como responsabilidade gerir os recursos internos e
externos da organizao por meio da fundamentao em polticas organizacionais que interrelacione os setores ou unidades administrativas da mesma.
3. GESTO DE TECNOLOGIA DA INFORMAO E COMUNICAAO
A Tecnologia da Informao e Comunicao permeia todos os processos gerenciais e
operacionais das organizaes atuais, fazendo com que se produza com mais eficincia e com
custos reduzidos. Possibilita ainda tomadas de decises fundamentadas em informaes mais
acuradas, este cenrio melhora, portanto, o rendimento das empresas em atendimento ao seu

mercado e pblico-alvo e, por conseguinte, sua prosperidade e perenidade, gerando


riquezas, de forma direta ou indireta, para toda a sociedade.
Outro aspecto relevante da TIC denota que as redes de computadores e os mundos
virtuais aproximam, instantaneamente, a comunicao entre organizaes e seus clientes
(interno/externos) e fornecedores. Contudo, ao mesmo tempo em que a TIC fornece meios
relativamente baratos para que a organizao alcance seus objetivos e se insira neste mundo
em rede, talvez um dos principais elementos de risco operacional para as organizaes.
Quanto maior a dependncia da organizao com relao a TIC, maior o risco estratgico
para os negcios (SANTOS et al., 2010).
O alinhamento da TIC ao negcio descreve, por um lado, maior potencial para explorar
cada vez mais as oportunidades que surgirem, por outro, maior competncia para evitar riscos
que podem gerar perdas financeiras imensurveis para a organizao e seus clientes.
A gesto de tecnologia da informao e comunicao compreende processos relacionados
entrega e suporte de servios de TI, tais como desenvolvimento de sistemas, operao,
manuteno e suporte aos componentes computacionais. Sob uma outra tica, a TIC pode ser
utilizada como componente essencial do negcio, e sua orientao pode variar entre atividade
de apoio at ser tornar o cerne do negcio.
Segundo Steele (1989) o sucesso no gerenciamento tecnolgico envolve um
balanceamento contnuo de alternativas contraditrias.... Esta contradio pode ser
compreendida entre o foco do gerenciamento estratgico relacionado as mudanas necessrias
sobrevivncia da organizao e o gerenciamento operacional cujo o foco a
eficincia/eficcia a curto prazo.
No que tange a gesto, a TIC tem evoludo nos decorrer do tempo, reinventando-se de
provedor de tecnologia em provedor de servios (SALL, 2004).
4. GOVERNANA DE TECNOLOGIA DA INFORMAO E COMUNICAAO
Governana de TI (GTI) pode ser elucidada como uma coleo de padres, prticas e
relacionamentos estruturados, admitido por executivos, gestores, coordenadores, tcnicos e
usurios de TI de uma entidade, com o objetivo de assegurar controles efetivos, maximizar os
processos de segurana, minimizar os riscos, aumentar a performance, otimizar a aplicao de
recursos tangveis e intangveis, reduzir os custos, suportar as melhores decises e
consequentemente alinhar TI aos negcios.

Segundo Weill (2006) "A Governana em TI consiste em um ferramental para a


especificao

dos

direitos

de

deciso

das

responsabilidades,

visando

encorajar

comportamentos desejveis no uso da TI."


J o IT Governance Institute ITGI (2007) define Governana em TI como algo que
"responsabilidade da alta administrao, incluindo diretores e executivos, na liderana, nas
estruturas organizacionais e nos processos que garantam que a TI da empresa sustente e
estenda as estratgias e objetivos da organizao".
Segundo Peterson (2004), a governana de TI est relacionada governana corporativa e
tem como principio elementar o controle e a transparncia nas decises em Tecnologia da
Informao e Comunicao, sem desprezar processos e mecanismos para incrementar a
eficcia da TIC.
Outra definio, sob a tica de Ferguson et al. (2013), considera a governana de TI
como uma estrutura de relacionamentos e processos de TI que dirigem e controlam a
organizao a fim de atingir os objetivos corporativos. Com similaridade Alves et al. (2013)
realizaram uma pesquisa acerca das diferentes vises evidenciadas na literatura correlata
sobre como se definir Governana de TI e, ainda, identificaram tpicos que convergem ou
divergem das definies abordadas:

Tpicos convergentes: refere-se tomada de decises, tem como objetivo o

alinhamento entre TI e o negcio, agrega valor para a organizao.


Tpicos divergentes: compreende liderana, processos, estrutura e prov direo.

O evidente potencial da GTI reside, principalmente, no fato de que as principais


preocupaes com a TI, tanto pontuais quanto futuras, no esto relacionadas s questes
tecnolgicas, mas governana (NFUKA; RUSU, 2011). De forma similar, o recente
interesse dos executivos pela temtica consequncia da mudana do papel da prpria TI, de
operacional para uma abordagem mais estratgica e de apoio deciso (LUNARDI;
BECKER; MAADA, 2011).
5. GESTO DE SEGURANA DA INFORMAO
A segurana da informao (SI) refere-se ao protetiva dos ativos intangveis de
uma organizao. Nos dias atuais a informao estratgica um dos principais bens
incorpreos, a exposio indesejada destas informaes pode ocasionar em perdas
incalculveis.

A ISO/IEC 27002 (2005) define segurana da informao como a proteo da


informao contra vrios tipos de ameaas para garantir a continuidade do negcio, minimizar
riscos, maximizar o retorno sobre os investimentos e as oportunidades de negcios.
A SI refere-se proteo existente sobre as informaes de uma determinada empresa
ou indivduo. A informao, dado ou conhecimento podem estar guardados para uso restrito
ou expostos ao pblico para consulta ou aquisio.
De acordo com a necessidade da organizao podem ser estabelecidas mtricas para a
mensurao do nvel de segurana existente e, desta forma, ser possvel estabelecer
parmetros para anlise e criticidade da segurana existente. O nvel de segurana de um ativo
intangvel pode ser comprometido por diversos fatores, a saber: falta de treinamento
adequado, falta de investimento tecnolgico, fragilidade frente engenharia social, falha
humana, entre outros.
Os pilares que orientam a anlise, planejamento e implementao da segurana da
informao so (ISO/IEC 27002, 2005):

Confidencialidade: Garantia de acesso informao apenas por pessoas


autorizadas;

Integridade: Garantia que a informao no foi alterada indevidamente;

Disponibilidade: Garantia que a informao estar disponvel quando


necessrio.

Segundo Smola (2003) para uma informao ser considerada segura, o sistema que a
administra ainda deve apresentar os seguintes princpios:

Autenticidade: Garante a origem da informao;

No-Repdio: Garante a impossibilidade de se negar o envio ou recepo de


uma informao;

Legalidade: Garante a legalidade jurdica da informao;

Privacidade: Garante que o usurio realize operaes em um sistema sem ser


identificado;

Auditoria: Garante a rastreabilidade do processo que uma informao foi


submetida.

O conceito Gesto da Segurana da Informao incorpora processos voltados ao


monitoramento da integridade das informaes, preveno de diversos tipos de ataques
fsicos e lgicos e ao furto dos dados, fatores que podem salvaguardar em casos de ocorrncia

de eventos crticos o imediato restabelecimento dos sistemas e o acesso seguro s


informaes.
As normas pertinentes gesto da segurana da informao so fundamentadas em 10
diretrizes bsicas aplicveis a qualquer tipo de organizao, a saber:

Poltica de Segurana da Informao;

Segurana Organizacional;

Classificao e controle dos ativos de informao;

Segurana em pessoas;

Segurana Fsica e Ambiental;

Gerenciamento das operaes e comunicaes;

Controle de Acesso;

Desenvolvimento de Sistemas e Manuteno;

Gesto da continuidade do negcio e a Conformidade.


Essas diretrizes constituem as melhores prticas a serem utilizadas pelas organizaes

tais como: a estruturao do plano diretor de segurana e de contingncia; a definio da


poltica de segurana da informao; a anlise de riscos, vulnerabilidades e testes de invaso;
a implementao de controles de segurana; autenticao e autorizao. (SMOLA, 2003).
6. POLTICA DE SEGURANA DA INFORMAO
A Poltica de Segurana da Informao (PSI) de uma organizao dar-se- por um
documento constitudo por um conjunto de normas, mtodos e procedimentos, os quais devem
ser comunicados a todos os colaboradores, bem como analisado e revisado de forma analtica,
em intervalos regulares ou quando mudanas se fizerem necessrias. O Sistema de Gesto
Segurana da Informao (SGSI) garante a viabilidade e a utilizao dos ativos somente por
pessoas autorizadas e que comprovem a necessidade delas para realizar suas funes dentro
da organizao. (FONTES, 2006).
Para se elaborar um documento de Poltica de Segurana da Informao, deve-se
observar a NBR ISO/IEC 27002:2005, onde so organizados os cdigos de praticas para a
gesto de segurana da informao.
O nvel de segurana almejado, pode se configurar em esboo de poltica de segurana
da informao, este ao ser implantado dever ser seguido pela organizao e garantir que

uma vez estabelecidos os princpios, aquele nvel de controle desejado seja perseguido e
mantido.
7. PROPOSTA DE UMA POLTICA DE SEGURANA DA INFORMAO PARA O
NCLEO DE EDUCAO A DISTNCIA DA UNIVERSIDADE FEDERAL DE SO
JOO DEL-REI
7.1 Sobre o NEAD
No ano de 2008, por meio da resoluo n. 012 da UFSJ, foi criado o Ncleo de
Educao a Distncia da UFSJ (NEAD) com vistas a institucionalizar e materializar um
processo iniciado com a adeso ao Consrcio Pr-Formar, em 2004 e culminou com o
credenciamento da UFSJ na Universidade Aberta do Brasil (UAB).
Entre seus principais objetivos destacam-se a capacitao de docentes e tcnicosadministrativos da UFSJ para atuao em EAD, bem como o oferecimento de cursos de
extenso e outras atividades de formao a nveis de graduao e ps-graduao (Lato Sensu
e Stricto Sensu) utilizando metodologia da EAD.
Nos dias atuais o NEAD oferece cursos de nveis de graduao, ps-graduao lato
sensu, mestrado, extenso e aperfeioamento nas reas das cincias exatas, humanas e sade.
Atende, em mdia, seis mil e quinhentos alunos distribudos em 47 polos de apoio presencial
nos estados de Minas Gerais e So Paulo. Sua estrutura profissional constituda por cento e
cinquenta professores (mestres e doutores), quinhentos e vinte e seis tutores e trinta e nove
funcionrios.
7.2 Modelo Proposto
A PSI em tela foi desenvolvida por meio das recomendaes descritas na norma
ABNT NBR ISO/IEC 27002:2005. Entre seus objetivos especficos destacam-se a
solidificao e o aumento do nvel de segurana fsica e lgica dos ativos intangveis do
NEAD/UFSJ. Este documento orienta e estabelece diretrizes recomendadas pela Coordenao
de Tecnologia da Informao (COTEC).
7.2.1 Objetivos
Parametrizar a elaborao de diretrizes e procedimentos relacionados a segurana da
informao no que tange a implementao de mecanismos de controle e execuo de

processos realizados por todos os servidores, colaboradores, bolsistas, tutores, alunos e


professores.
7.2.2 Aplicaes
As diretrizes firmadas neste documento devero ser observadas e seguidas por todos os
envolvidos nos procedimentos administrativos e acadmicos no NEAD/UFSJ.
7.2.3 Princpios da PSI
Toda e qualquer informao/conhecimento produzida ou adquirida em atividades profissionais
contratadas pelo NEAD/UFSJ pertence referida Instituio.
As informaes, os sistemas, a rede, servio de internet e os equipamentos de informtica e
comunicao devem ser utilizados pelos colaboradores para a realizao de suas atividades
laborais. A utilizao destes recursos para fins pessoais permitida com restrio, ou seja,
desde que no prejudique a realizao de suas atividades profissionais e seja feita com a
observncia da tica.
7.2.4 Requisitos
Esta PSI dever ser publicada de forma que todos os envolvidos nas atividades
administrativas e acadmicas do NEAD/UFSJ tenham cincia e a cumpram dentro e fora da
Instituio.
Todo incidente de segurana da informao dever ser comunicado, em carter de urgncia,
COTEC, para registro e adoo dos devidos procedimentos cabveis.
Com o objetivo de reduo de riscos dever ser desenvolvido pela COTEC, aps a
implantao desta PSI, um plano de contingncia e continuidade dos principais servios e
sistemas.
Os ambientes virtuais de produo de sistemas e da plataforma Moodle devero ser
segregados e controlados, com vistas a garantir o isolamento necessrio acerca dos ambientes
de desenvolvimento, testes e homologao de verses.

7.2.5 Responsabilidades
A salvaguarda das informaes de responsabilidade de todos os envolvidos nas atividades
administrativas e acadmicas do NEAD/UFSJ.
Ser atribuda total responsabilidade ao servidor, colaborador, bolsista, tutor, aluno ou
professor, todo dano ou prejuzo que vier causar ou sofrer o NEAD/UFSJ e/ou terceiros, em
decorrncia da no observncia das diretrizes dispostas nesta PSI.
Caber COTEC:

Testar a eficincia/eficcia dos controles e caso exista alguma aceitao de risco este
fato dever ser informado ao coordenador imediato;

Avaliar e sugerir os nveis de servios que sero disponibilizados e os procedimentos


de resposta aos incidentes de segurana da informao;

Atribuir papis/perfis adequados a cada tipo de usurio em nvel de sistema


operacional, Ambiente Virtual de Aprendizado (AVA), sistemas legados, entre outros;

Gerenciar logs e trilhas de auditorias em todos os processos e para todos os usurios;

Garantir

segurana

de

todos

os

ambientes

virtuais,

principalmente

sistemas/servios com acesso pblico, incluindo o AVA (Moodle), garantido o registro


de evidncias que permitam a rastreabilidade para fins de auditoria;

Administrar, proteger e testar os backups de segurana das plataformas e dados


relacionados aos processos crticos e relevantes do NEAD/UFSJ;

Caso ocorra movimentao interna dos ativos de TI, dever garantir que as
informaes de um usurio no sejam acessadas por outros usurios e que ainda seja
realizada em tempo hbil a cpia dos dados necessrios;

Realizar treinamentos e auditorias peridicas referentes aos ativos de TI;

Criar uma poltica senha compatvel com grau de maturidade de segurana da


informao;

Proteger continuamente os ativos de informao da Instituio contra pragas virtuais


e cdigos maliciosos;

Definir regras claras e formais acerca da instalao de softwares e hardwares nos


ambientes de produo institucional;

Garantir o bloqueio de acesso aos usurios sem vnculo institucional no AVA e


Sistemas em geral;

Dar exemplo e promover a conscientizao de todos os envolvidos acerca da


relevncia da segurana da informao.

O desrespeito ou no cumprimento das diretrizes previstas neste documento estaro


sujeitas s medidas administrativas e legais cabveis, a saber: para os servidores pblicos
poder ser aplicada advertncia, suspenso ou demisso em consonncia como o Art. 127
da lei 8.112/90. Os demais colaboradores podero sofrer sanes como advertncia,
suspenso ou demisso por justa causa de acordo com o previsto na Consolidao das Leis
do Trabalho (CLT - Lei 5.452/43), podendo responder, ainda, judicialmente de acordo com
o texto de lei n. 5.346/67 em que prevista deteno de seis meses a trs anos e multa de
um a cinco salrios mnimos vigentes no pas.
7.2.6 Monitoramento e Auditoria
Com vistas a garantir a aplicao das diretrizes propostas neste documento a COTEC poder:

Implantar sistemas de monitoramento/rastreamento nas estaes de trabalho,


notebooks, servidores, correio eletrnico, equipamentos de rede, dispositivos mveis,
entre outros;

Apresentar informaes obtidas pelos sistemas de monitoramento, nos casos de


exigncia judicial ou solicitao da coordenao/diretoria;

Realizar, a qualquer tempo, inspeo fsica e lgica nos equipamentos de sua


responsabilidade;

Instalar sistemas de proteo, preventivos e detectveis, para garantir a segurana das


informaes e dos permetros de acesso.

7.2.7 Correio Eletrnico e Internet


A utilizao do servio de e-mail institucional de uso restrito profissional. permitido o uso
de servios de e-mail pessoais de outros provedores com restrio, ou seja, desde que no
prejudique a realizao de suas atividades profissionais e seja feita com a observncia da tica
e ainda no cause impactos indesejveis de trfego na rede de dados institucional.
estritamente proibida a utilizao de servios de torrent e similares.

proibido o acesso no autorizado computadores, servidores e equipamentos


compartilhados na rede institucional.
expressamente proibido a acesso a sites com contedos imprprios (Ex.: Pornografia).
A utilizao de redes sociais permitida com restrio, ou seja, desde que no prejudique a
realizao de suas atividades profissionais e seja feita com a observncia da tica e ainda no
cause impactos indesejveis de trfego na rede.
7.2.8 Computadores e Recursos Tecnolgicos
expressamente proibido qualquer procedimento de manuteno fsica ou lgica, instalao,
desinstalao, configurao ou modificao, sem o conhecimento e autorizao da COTEC.
Os sistemas e computadores devem ter verses do software antivrus gratuitas ou devidamente
licenciadas instaladas, ativadas e atualizadas permanentemente. O usurio, em caso de
suspeita de vrus ou problemas na funcionalidade, dever acionar a COTEC mediante registro
de chamado no sistema online denominado Redmine.
Arquivos pessoais no devero ser copiados ou movidos para os repositrios de rede, pois
podem sobrecarregar o servio de armazenamento dos servidores. Caso seja identificada a
existncia desses arquivos, eles podero ser excludos de forma definitiva sem comunicao
prvia ao usurio.
Documentos relativos s atividades laborais da instituio devero ser salvos em drives de
rede. Caso estes arquivos sejam gravados apenas localmente nos computadores (por exemplo,
no drive D:), no tero garantia de backup e podero ser perdidos definitivamente caso ocorra
uma falha no computador, sendo, portanto, de responsabilidade do prprio usurio.
expressamente proibido o consumo de alimentos e bebidas na mesa de trabalho e prximo
aos equipamentos.
7.2.9 Acesso ao Datacenter (NTInf)

O acesso ao datacenter restrito aos profissionais devidamente autorizados e credenciados


pela coordenao da COTEC.
O usurio "root" do sistema de autenticao ficar de posse e administrao do coordenador
da COTEC ou profissional elegido por ele.
A lista de funes com direito de acesso ao Datacenter dever ser constantemente atualizada,
de acordo, e salva no diretrio de rede ou arquivo especfico de acesso restrito COTEC.
No caso de demisso/desligamento de colaboradores que possuam acesso ao Datacenter,
imediatamente dever ser providenciada a sua excluso dos respectivos usurios de acesso aos
servidores e sistemas.
7.2.10 Servio de Backup
Todos os backups devem ser automatizados por sistemas de agendamento automatizados ou
scripts especficos devidamente validados.
Os backups devero ser realizados diariamente em formato incremental/diferencial. A cada 30
dias os backups mais antigos devero ser apagados com vistas a evitar a redundncia
desnecessria de cpia de dados.
A equipe ou profissional responsvel pela gesto dos sistemas de backup dever realizar
pesquisas frequentes para identificar atualizaes de correo, novas verses do produto, ciclo
de vida, entre outros.
Caso ocorra algum erro de backup e/ou restore necessrio que ele seja feito em carter
emergencial, assim que o responsvel tenha identificado e solucionado o problema.
8. CONCLUSO
No atual cenrio econmico mundial pode-se dizer que a informao e em um estgio
mais maduro o conhecimento tornaram-se um dos ativos estratgicos extremamente
valorizados pelas organizaes. Em posse destes ativos as corporaes podem realizar
planejamentos e tomar decises de forma mais assertiva, alm de ganhar expressividade
diante de seus concorrentes.

O mesmo cenrio tambm compele a TI a cogitar em obrigaes legais, regulatrias e


ticas, bem como a recursiva busca por eficcia estratgica e eficincia operacional.
Com vistas a proporcionar um enfoque da organizao para gerenciar sua segurana da
informao surge a necessidade da formalizao de uma poltica de segurana da informao
que assegure os processos institucionais.
Durante a criao e implantao da PSI observa-se a relevncia da clareza, divulgao
e adequao s regras de negcio, pois a PSI no deve ser vista pelos colaboradores como um
documento de burocratizao dos processos, mas como uma ferramenta de garantia de
confidencialidade, integridade e disponibilidade dos dados institucionais dos quais todos so
responsveis.
PROPOSAL FOR A POLICY OF INFORMATION SECURITY FOR THE DISTANCE
CENTER EDUCATION FROM THE FEDERAL UNIVERSITY OF SO JOO DELREI
Abstract: The significant increase in demand regarding the quality of public service delivery
has become indispensable to the provision of Information and Communication Technology
resource for interaction between public agencies and direct citizens (students, teachers and
servers) and indirect (community). Therefore information security has become a unique
concern for the government, as well as a critical issue for modern public management. It is
known from literature that one way to manage this critical involves creating standards,
formulate policies, standardize procedures, establish metrics and even automate controls in
order to reduce risks and increase the availability of resources and ensure the confidentiality,
integrity and non-repudiation of information.
Keywords: Distance Education, Security Policies, Information Security.
9. REFERNCIAS
ALVES, C. R. C. et al. IT governance frameworks: A literature review of Brazilian
publications. 2013. Disponvel em: <http://wiki.stoa.usp.br/images/5/59/7328505.pdf>.
Acesso em 02/04/2015.
BRASIL. Lei n. 8.112, de 11 de dezembro de 1990. Dispe sobre o regime jurdico dos
servidores pblicos civis da Unio, das autarquias e das fundaes pblicas federais.

BRASIL. Lei n. 5.346, de 03 de novembro de 1967. Altera dispositivos do Cdigo Penal,


visando a proteger servios de utilidade pblica.
BRASIL. Decreto-Lei n. 5.452, de 01 de maio de 1943. Aprova a consolidao das leis do
trabalho.
FERGUSON, C. et al. Determinants of effective information technology
governance.International. Journal of Auditing, v. 17, n. 1, p. 7599, mar. 2013. ISSN
10906738. Disponvel em: <http://doi.wiley.com/10.1111/j.1099-1123.2012.00458.x>. Acesso
em 02/04/2015.
FERREIRA, Aurlio B. de Hollanda. Mini Dicionrio Aurlio da Lngua Portuguesa. 7. ed.
Curitiba: Editora Positivo, 2008.
FONTES, E. Praticando a segurana da informao. Rio de Janeiro:Brasport, 2008.
GRAEML, Alexandre Reis. Sistemas de Informao: o alinhamento da estratgia de TI
com a estratgia corporativa. So Paulo: Editora Atlas S.A, 2003.
ITGI. About IT Governance. [s.n.], 2011. Disponvel em: <http://www.itgi.org-/template
ITGIa166.html>. Acesso em 04/04/2015.
ISO/IEC 27002. Information technology, Security techniques, Code of practice for
information security management, Redesignation of ISO/IEC 17799: 2005.
LUNARDI, G. L.; BECKER, J. L.; MAADA, A. C. G. Impacto da adoo de mecanismos
de governana de tecnologia de informao (TI) no desempenho da gesto da TI: uma
anlise baseada na percepo dos executivos. Revista de Cincias da Administrao, p. 11
39,
2011.
ISSN
15163865,
21758077.
Disponvel
em:
<http://www.periodicos.ufsc.br/index.php/adm/article/view/17358>. Acesso 02/04/2015.
NFUKA, E. N.; RUSU, L. The effect of critical success factors on IT governance
performance. Industrial Management & Data Systems, v. 111, n. 9, p. 14181448, 2011.
ISSN
0263-5577.
Disponvel
em:
<http://www.emeraldinsight.com/10.1108-/02635571111182773>. Acesso 02/04/2015.
PETERSON, R. Integration strategies and tatics for information technology governance.
In: GREMBERGEN, W. V. Strategies for implementing information technology governance.
Hershey: Idea Group, 2004. p. 37-80.
SALL, M. IT service management and IT governance: review, comparitive analysis and
their impact on utility computing. Palo Alto: Hewllet-Packard, 2004.
SANTOS, Luis Claudio dos; BARUQUE, Lcia Blondet. Governana em Tecnologia da
Informao. 1.ed. Rio de Janeiro: Fundao CECIERJ, 2010.
SMOLA, Marcos. Gesto da segurana da informao: uma viso executiva. Rio de
Janeiro: Campus. 2003.
STEELE, L.W. Managing Technology: the strategic view. New York: MacGraw Hill Inc,
1989.
WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.