Carlos Eduardo Ribas

Carlos Eduardo Ribas
Sistema de gesto de segurana da informao

em organizaes da rea da sade
Dissertao
apresentada
Faculdade
de
Medicina da Universidade de So Paulo para

obteno do ttulo de Mestre em Cincias
Programe de: Fisiopatologia Experimental

Orientador: Prof. Dr. Marcelo Nascimento Burattini
So Paulo
2010
Dados Internacionais de Catalogao na Publicao (CIP)

Preparada pela Biblioteca da
Faculdade de Medicina da Universidade de So Paulo
reproduo autorizada pelo autor
Ribas, Carlos Eduardo

Sistema de gesto de segurana da informao em organizaes da rea da
sade / Carlos Eduardo Ribas. -- So Paulo, 2010.
Dissertao(mestrado)--Faculdade de Medicina da Universidade de So Paulo.
Programa de Fisiopatologia Experimental.
Orientador: Marcelo Nascimento Burattini.
Descritores: 1.Gerenciamento da informao 2.Segurana (computao)

3.Normas tcnicas
USP/FM/DBD-353/10
DEDICATRIA
Dedico este trabalho ao meu pai Paulo Ribas (em memria) e a minha
me Glacira Ribas como retribuio aos anos de dedicao, sacrifcios e
renncias em prol da minha formao e da minha educao.
Dedico tambm a minha esposa Laila Massad Ribas e a nossa filha
que est por vir, Isabela Massad Ribas, por estarem sempre ao meu lado,
me incentivando e ajudando em todos os momentos. Amo vocs!
AGRADECIMENTOS
Ao Prof. Dr. Marcelo Nascimento Burattini pela orientao, colaborao,

apoio e incentivo.
Aos meus amigos Marcio Biczyk do Amaral, Jose Sergio Gonalves Soares,
Aurlio Jose Vitorino, Pedro Jose Pimentel, Newton George dos Santos Lima
e Simone Bracalle Ambrogi Cunha pela ajuda na realizao deste trabalho.
Aos funcionrios da Diviso de Laboratrio Central, local onde seria

realizado este projeto, pelo apoio e compreenso.
Ao Prof. Dr. Eduardo Massad pelo incentivo, pela ajuda na reviso do artigo
e pela ajuda com a anlise estatstica.
Dra. Clarice Gameiro da Fonseca Pachi pela ajuda na avaliao dos

resultados.
Ao Antonio Joo Ferreira Francisco e a Anna Paula Amadeu da Costa pela

ajuda na elaborao do questionrio.
minha amiga Silvia Cruz pela ajuda com a lngua inglesa.
Ao Prof. Dr. Jorge Futoshi Yamamoto pelo apoio e incentivo.
Aos meus irmos, amigos e a todos que de alguma forma colaboraram para
a realizao deste projeto.
NORMALIZAO ADOTADA
Essa dissertao est de acordo com:
Referncias: adaptado de International Committee of Medical Journals

Editors (Vancouver)
Universidade de So Paulo, Faculdade de Medicina, Servio de Biblioteca e

Documentao. Guia de apresentao de dissertaes, teses e monografias.
Elaborado por Anneliese Carneiro da Cunha, Maria Julia de A. L. Freddi,
Maria F. Crestana, Marinalva de Souza Arago, Suely Campos Cardoso,
Valria Vilhena. 2 ed. So Paulo: Servio de Biblioteca e Documentao;
2005.
Abreviaturas dos ttulos dos peridicos de acordo com List of Journals

Indexed in Index Medicus.
SUMRIO
Lista de siglas
Lista de tabelas
Lista de figuras
Resumo
Summary
1 INTRODUO............................................................................................ 1
1.1 Sistema de Gesto de Segurana da Informao................................ 1
1.2 Justificativas ......................................................................................... 6
2 REVISO DA LITERATURA ....................................................................... 7
2.1 Segurana da Informao .................................................................... 7
2.2 Segurana em Rede de Computadores ............................................... 8
2.3 Segurana da informao na rea da sade...................................... 13
2.4 Os Componentes Bsicos .................................................................. 14
2.4.1 Ativo ............................................................................................. 14
2.4.2 Ameaa........................................................................................ 15
2.4.3 Vulnerabilidade ............................................................................ 15
2.4.4 Risco............................................................................................ 15
2.4.5 Impacto ........................................................................................ 16
2.4.6 Negcio........................................................................................ 16
2.4.7 Interao entre os componentes ................................................. 16
2.5 Normas de Segurana da Informao................................................ 17
2.5.1 ISO/IEC 27001............................................................................. 18

2.5.2 ISO/IEC 27002............................................................................. 19
2.5.3 ISO/IEC 27799............................................................................. 20
2.6 Ambiente Analisado............................................................................ 21
3 OBJETIVOS.............................................................................................. 22
3.1 Objetivo Geral .................................................................................... 22
3.2 Objetivos Especficos ......................................................................... 22
4 MTODO .................................................................................................. 23
4.1 Selees das normas ......................................................................... 23
4.2 Estruturao do projeto ...................................................................... 23
4.3 Planejamento ..................................................................................... 25
4.3.1 Definio dos indicadores e avaliao de diagnstico................. 25
4.3.1.1 ISO/IEC 27001:2006 ............................................................. 26
4.3.1.2 Questionrio.......................................................................... 28
4.3.2 Criao do Comit de Segurana................................................ 32
4.3.3 Definio do escopo .................................................................... 32
4.3.4 Inventrio dos Ativos.................................................................... 33
4.3.5 Definio de Responsabilidades.................................................. 34
4.3.6 Elaborao da Poltica de Segurana.......................................... 34
4.3.7 Anlise/Avaliao de Riscos ........................................................ 36
4.3.8 Definio dos controles................................................................ 37
4.3.9 Plano de tratamento de risco ....................................................... 38
4.3.10 Declarao de aplicabilidade ..................................................... 38
4.4 Implantao........................................................................................ 39
4.4.1 Executar o Plano de Tratamento de Risco................................... 39

4.4.2 Implantao dos controles ........................................................... 39
4.4.3 Realizar treinamentos e implementar programas de
conscientizao .................................................................................... 39
4.4.4 Controle de documentos.............................................................. 40
4.5 Avaliao ............................................................................................ 41
4.5.1 Auditoria interna........................................................................... 41
4.5.2 Anlise crtica............................................................................... 41
4.5.3 Auditoria independente ................................................................ 42
4.5.4 Avaliao de diagnstico ............................................................. 42
5 RESULTADOS .......................................................................................... 43
5.1 Documentos gerados ......................................................................... 43
5.2 Indicadores......................................................................................... 49
5.2.1 ISO/IEC 27001:2006.................................................................... 49
5.2.2 Questionrio ................................................................................ 54
6 DISCUSSO............................................................................................. 61
7 CONCLUSES......................................................................................... 66
8 ANEXOS ................................................................................................... 67
Anexo A Amostra da planilha gerada com base nos controles do Anexo
A da ISO 27001....................................................................................... 67
Anexo B Padro de documento criado para o SGSI ............................. 68
Anexo C Comit de segurana da informao ...................................... 69
Anexo D Escopo do SGSI ..................................................................... 71
Anexo E Regulamento Interno de Segurana da Informao ............... 73
Anexo F Termo de Responsabilidade com a Segurana da Informao78

Anexo G Declarao de aplicabilidade.................................................. 80
9 REFERNCIAS ........................................................................................ 81
LISTA DE SIGLAS
ABNT
Associao Brasileira de Normas Tcnicas
CERT.br
Centro de Estudos, Resposta e Tratamento de

Incidentes de Segurana no Brasil
COBIT
Control
Objectives
for
Information
and
related
Technology
HCFMUSP
Hospital das Clnicas da Faculdade de Medicina da

Universidade de So Paulo
HIPAA
Health Insurance Portability and Accountability Act
IEC
International Electrotechnical Commission
ISO
International Organization for Standardization
ISRAM
Information Security Risk Analysis Method
ITIL
Information Technology Infrastructure Library
NBR
Norma Brasileira
NETI
Ncleo Especializado em Tecnologia da Informao
PDCA
Plan, Do, Check, Act
SGSI
Sistema de Gesto de Segurana da Informao
LISTA DE TABELAS
Tabela 1 Pases com maior nmero de certificaes.................................. 5

Tabela 2 Algumas pessoas que podem causar problemas de segurana e
os motivos para faz-los .............................................................................. 10
Tabela 3 Descrio dos captulos da ISO 27001 ...................................... 18
Tabela 4 Possveis valores para os controles analisados ......................... 27
Tabela 5 Classificao dos riscos ............................................................. 36
Tabela 6 Nveis de riscos .......................................................................... 37
Tabela 7 Documentos gerados para o SGSI............................................. 40
Tabela 8 Descrio dos servidores ........................................................... 46
Tabela 9 Descrio dos equipamentos de rede ........................................ 46
Tabela 10 Descrio das mdias ............................................................... 46
Tabela 11 Informaes dos funcionrios do NETI..................................... 46
Tabela 12 Anlise/Avaliao de risco........................................................ 48
Tabela 13 Medidas que sero tomadas para cada risco encontrado ........ 48
Tabela 14 Anlise estatstica da pontuao obtida no incio e ao trmino do
projeto.......................................................................................................... 49
Tabela 15 Anlise estatstica dos controles implementados ..................... 50
Tabela 16 Anlise estatstica dos controles parcialmente implementados 51
Tabela 17 Anlise estatstica dos controles no implementados .............. 52
Tabela 18 Anlise estatstica dos controles obrigatrios........................... 53
Tabela 19 Nmero de pessoas que responderam ao questionrio ........... 54
Tabela 20 Anlise estatstica do questionrio ........................................... 55
LISTA DE FIGURAS
Figura 1. Ciclo PDCA aplicado aos processos do SGSI ................................ 3

Figura 2. O crescente nmero de certificaes no mundo............................. 5
Figura 3. Empresas certificadas no Brasil...................................................... 6
Figura 4. Estatstica dos incidentes de segurana reportados ao CERT.br do
ano de 1999 at maro de 2010 .................................................................. 12
Figura 5. Interao entre os componentes bsicos ..................................... 17
Figura 6. Ciclo PDCA proposto para o SGSI................................................ 24
Figura 7. Pgina de acesso ao questionrio................................................ 29
Figura 8. Questionrio respondido pelos funcionrios do NETI Parte 1 ... 30
Figura 9. Questionrio respondido pelos funcionrios do NETI Parte 2 ... 31
Figura 10. Organograma da organizao dividida por rea, processo e ativo
..................................................................................................................... 44
Figura 11. Diagrama do datacenter do NETI................................................ 45
Figura 12. Anlise dos controles obrigatrios .............................................. 53
Figura 13. Segunda questo do questionrio: Minha funo tem ligao
direta/indireta com a segurana da informao ........................................... 56
Figura 14. Terceira questo do questionrio: Conheo o documento que trata
da Poltica de Segurana da Informao adotada pela organizao ........... 57
Figura 15. Quarta questo do questionrio: Sou informado quando ocorrem
mudanas na Poltica de Segurana da Informao.................................... 57
Figura 16. Quinta questo do questionrio: Segurana da Informao um
item importante para os negcios desenvolvidos na organizao ............... 58

Figura 17. Dcima primeira questo do questionrio: As cpias de segurana
so armazenadas em ambientes distintos dos sistemas de origem ............ 58
Figura 18. Dcima quarta questo do questionrio: As cpias de segurana
so criptografadas, tanto na execuo quanto em seu armazenamento..... 59
Figura 19. Dcima sexta questo do questionrio: As cpias de segurana
so periodicamente testadas para garantir que elas so suficientemente
confiveis para o uso de emergncia .......................................................... 59
Figura 20. Dcima stima questo do questionrio: Existe um ambiente
separado para testar os procedimentos de restaurao do sistema............ 60
RESUMO
Ribas CE. Sistema de gesto de segurana da informao em organizaes

da rea da sade [dissertao]. So Paulo: Faculdade de Medicina,
Universidade de So Paulo; 2010. 87p.
INTRODUO: Este estudo descreve o processo de implantao de um
sistema de gesto de segurana da informao em uma organizao de
sade,
visando
assegurar
confidencialidade,
integridade
disponibilidade das informaes. MTODOS: Utilizou-se a norma ISO 27001

para o desenvolvimento do projeto e o seu anexo A, atravs de uma nova
metodologia, para avaliar a organizao. Um questionrio foi elaborado para
avaliar a percepo dos funcionrios com a segurana da informao e
tambm para checar itens relacionados ao escopo do projeto. Avaliamos a
segurana da informao no incio e ao trmino do estudo. A anlise
estatstica foi realizada com o teste do qui-quadrado com correo de Yates.
O resultado foi considerado significante para P < 0,05. RESULTADOS:
Houve resultado significativo na pontuao obtida pela organizao, no total
de controles implementados e no total de controles no implementados. No
houve resultados significativos com o questionrio. CONCLUSO: O uso do
SGSI trouxe benefcios para a organizao com melhoras significativas no
nvel de conformidade com a norma de referncia, alm da reduo dos
riscos aos ativos da organizao por meio da implementao de controles.
Descritores: 1.Gerenciamento da informao 2.Segurana (computao)

3.Normas tcnicas
SUMMARY
Ribas CE. Information security management system in a healthcare

organization [dissertation]. So Paulo: Faculdade de Medicina, Universidade
de So Paulo; 2010. 87p.
INTRODUCTION: This study describes the implementations process of an
Information Security Management System in a healthcare organization in
order to assure the confidentiality, integrity and availability of the information.
METHODS: We used the ISO 27001 standard for development of the project
and its "Annex A", through a new methodology, to assess the organization. A
questionnaire was designed to estimate the perception of staff with
information security and also to check items related to project scope. We
evaluated the information security at the beginning and at the end of the
study. Statistical analysis was performed with the chi-square test with Yates
correction. The result was considered significant for P < 0,05. RESULTS: The
organization obtained significant improves on the score, on the number of
implemented controls and on the number of not implemented controls, but
there were no significant results with the questionnaire. CONCLUSION: The
use of ISMS brought benefits to the organization with expressive
improvements in the level of compliance with the standard's reference,
besides the reduction of risks in the organization's assets through the
implementation of controls.
Descriptors: 1.Information Management 2.Computer Security 3.Technical

Standards
1 INTRODUO
1.1 Sistema de Gesto de Segurana da Informao
Um Sistema de Gesto de Segurana da Informao (SGSI) pode ser

definido como um sistema de gesto utilizado para estabelecer e manter um
ambiente seguro para as informaes em uma organizao (Snchez et al.,
2006).
Segundo McGee et al. (2007) a organizao deve estabelecer,
implantar, operar, monitorar, revisar, manter e melhorar um SGSI
documentado dentro do contexto das atividades empresariais globais da
organizao e dos riscos que elas enfrentam.
A adoo de um SGSI deve ser uma deciso estratgica para uma
organizao. A especificao e a implementao do SGSI de uma
organizao so influenciadas pelas suas necessidades e objetivos,
requisitos de segurana, processos empregados e tamanho e estrutura da
organizao. esperado que o SGSI e seus sistemas de apoio mudem com
o passar do tempo. esperado que a implementao de um SGSI seja
escalada conforme as necessidades da organizao, por exemplo, uma
situao simples requer uma soluo de um SGSI simples (NBR ISO/IEC
27001:2006).
O SGSI deve identificar os ativos a serem protegidos, a abordagem
para gerenciamento dos riscos, os objetivos e controles necessrios para
proteger as informaes da organizao e garantir a continuidade do

negcio no grau de qualidade requerido pela organizao, seguindo o
modelo proposto no PDCA Plan-Do-Check-Act (Planejar-Implantar-AvaliarMelhorar) (NBR ISO/IEC 27001:2006; Bastos, 2009).
O PDCA foi originalmente desenvolvido na dcada de trinta, nos
laboratrios da Bell Laboratories EUA, pelo estatstico americano Walter A.
Shewhart, como um ciclo de controle estatstico de processo, que pode ser
repetido continuamente sobre qualquer processo ou problema (Souza, 1997;
Andrade, 2003).
Contudo, esse mtodo somente foi popularizado na dcada de
cinquenta pelo especialista em qualidade W. Edwards Deming, ficando
mundialmente conhecido ao aplicar este mtodo nos conceitos de qualidade
em trabalhos desenvolvidos no Japo. Aps refinar o trabalho original de
Shwhart, Deming desenvolveu o que ele chamou de Shewhart PDCA Cycle,
em honra ao mentor do mtodo (Deming, 1990; Andrade, 2003).
Na estrutura do PDCA para um SGSI, cada uma das atividades pode
ser descrita da seguinte forma (NBR ISO/IEC 27001:2006; Bastos, 2009):
Planejar: estabelecer poltica do SGSI, objetivos, processos e

procedimentos relevantes para o gerenciamento de riscos e a
melhoria da segurana da informao para entregar resultados
conforme as polticas globais de uma organizao e objetivos.
Fazer: implementar e operar a poltica do SGSI, controles,

processos e procedimentos.
Verificar: avaliar e, onde aplicvel, medir o desempenho de um
processo em relao poltica e aos objetivos do SGSI e, ento,

relatar os resultados para a reviso dos supervisores.
Agir: tomar as aes corretivas e preventivas, baseado nos

resultados da auditoria interna do SGSI e reviso gerencial ou
outra informao pertinente, para alcanar a melhoria contnua do
SGSI.
A Figura 1 ilustra como um ciclo PDCA de um SGSI considera as

entradas de requisitos de segurana da informao e as expectativas das
partes interessadas, e como as aes necessrias e processos de
segurana da informao produzidos resultam no atendimento a estes
requisitos e expectativas (NBR ISO/IEC 27001:2006).
Figura 1. Ciclo PDCA aplicado aos processos do SGSI
A gesto da segurana da informao traz benefcios para as

organizaes que implementam um SGSI, mesmo que o principal objetivo
no seja a obteno da certificao junto a um organismo certificador

credenciado. Entre outros benefcios especficos, Bastos (2009) cita os mais
comuns:
Fortalecer a percepo de segurana perante os usurios,

clientes,
fornecedores,
sociedade,
funcionrios,
acionistas,
agncias reguladoras e judicirias;
Integrao da segurana da informao com os objetivos de

negcio;
Segurana da informao demonstrvel e monitorada;
Linguagem nica internacional com padres da famlia ISO 27000;
Atendimento a requisitos jurdicos e regulatrios;
Fortalecimento da cadeia de valor de segurana e tecnologia da

informao;
Aprimoramento da gesto de segurana da informao na

organizao, devido aplicao do ciclo PDCA;
Melhoria no poder de negociao de Riscos Operacionais e

Seguros;
Fortalecimento
da
rea
profissionais
de
segurana
da
informao da organizao.
A Figura 2 mostra um levantamento do nmero de empresas
certificadas na norma ISO 27001, no mundo entre julho de 2005 e janeiro de
2010 (iso27001security).
Figura 2. O crescente nmero de certificaes no mundo

A Tabela 1 mostra o nmero total de SGSI certificados na norma ISO
27001 por pas.
Tabela 1 Pases com maior nmero de certificaes
Posio
Pas
Quantidade
1
Japo
3499
2
ndia
494
3
Reino Unido
444
4
Taiwan
373
5
China
362
6
Alemanha
137
7
Coria
106
8
EUA
96
9
Repblica Tcheca
85
10
Hungria
71
11
Itlia
60
12
Polnia
56
13
Espanha
40
14
Irlanda
37
15
ustria
35
16
Tailndia
34
17
Hong Kong
31
18
Austrlia
29
19
Grcia
27
20
Malsia
27
21
Romnia
26
22
Mxico
24
23
Brasil
23
24
Turquia
21
25
Emirados rabes Unidos
19
FONTE: www.iso27001certificates.com, acessado em 23/06/2010
No Brasil, entre as empresas que possuem a certificao ISO 27001

(Figura 3), nenhuma atua na rea da sade (iso27001certificates. Acessado
em 21/06/2010).
Figura 3. Empresas certificadas no Brasil
1.2 Justificativas
Diversas organizaes no mundo possuem um sistema de gesto de

segurana da informao auditado e certificado. No Brasil existem poucas
empresas que utilizam um SGSI e, entre aquelas que o utilizam, nenhuma
atua na rea da sade. Portanto, pretende-se estabelecer, documentar e
implementar um SGSI em uma organizao da rea da sade e verificar os
ganhos obtidos com a segurana da informao.
2 REVISO DA LITERATURA
2.1 Segurana da Informao
A informao um ativo que, como qualquer outro ativo importante,

essencial para os negcios de uma organizao e conseqentemente
necessita ser adequadamente protegida. Isto especialmente importante no
ambiente dos negcios, cada vez mais interconectado. Como um resultado
deste incrvel aumento da interconectvidade, a informao est agora
exposta a um crescente nmero e a uma grande variedade de ameaas e
vulnerabilidades (ABNT NBR ISO/IEC 27002).
A informao pode existir em diversas formas. Ela pode ser impressa
ou escrita em papel, armazenada eletronicamente, transmitida pelo correio
ou por meios eletrnicos, apresentada em filmes ou falada em conversas.
Seja qual for a forma apresentada ou o meio atravs do qual a informao
compartilhada ou armazenada, recomendado que ela seja sempre
protegida adequadamente (ABNT NBR ISO/IEC 27002; Bernard, 2007).
Segurana da informao a proteo da informao de vrios tipos
de ameaas para garantir a continuidade do negcio, minimizar o risco ao
negcio, maximizar o retorno sobre os investimentos e as oportunidades de
negcio.
A segurana da informao obtida a partir da implementao de um
conjunto
de
controles
adequados,
incluindo
polticas,
processos,
procedimentos, estruturas organizacionais e funes de software e

hardware. Estes controles precisam ser estabelecidos, implementados,
monitorados, analisados criticamente e melhorados, onde necessrio, para
garantir que os objetivos do negcio e de segurana da organizao sejam
atendidos. Convm que isto seja feito em conjunto com outros processos de
gesto do negcio (ABNT NBR ISO/IEC 27002).
A segurana da informao deve sempre atender a trs elementos
(Ramos et al., 2008; Miller e Murphy, 2009):
Confidencialidade: quando falamos de confidencialidade estamos,

basicamente, falando de sigilo. Preservar a confidencialidade de uma
informao significa garantir que apenas as pessoas que devem ter
conhecimento a seu respeito podero acess-la.
Integridade: a preservao da integridade envolve proteger as

informaes contra alteraes em seu estado original. Estas
alteraes podem ser tanto intencionais quanto acidentais.
Disponibilidade: garante que uma informao esteja acessvel quando

algum que precisa tenta obt-la. As informaes solicitadas devem
ser fornecidas conforme esperado pelo demandante.
2.2 Segurana em Rede de Computadores
Com o crescimento das redes de computadores e do desenvolvimento

de aplicaes baseadas em redes, os aspectos da segurana tm chamado
ateno (Duan e Wu, 1999).
Durante as primeiras dcadas de sua existncia, as redes de

computadores
foram
usadas
principalmente
por
pesquisadores
universitrios, com a finalidade de enviar mensagens de correio eletrnico, e

tambm por funcionrios de empresas, para compartilhar impressoras. Sob
essas condies a segurana nunca precisou de maiores cuidados. Porm,
como milhes de cidados comuns atualmente esto usando as redes para
executar operaes bancrias, fazer compras e arquivar suas devolues de
impostos, a segurana das redes est despontando no horizonte como um
problema em potencial.
A segurana um assunto abrangente e inclui inmeros tipos de
problemas. Em sua forma mais simples, a segurana se preocupa em
garantir que pessoas mal-intencionadas no leiam ou, pior ainda,
modifiquem secretamente mensagens enviadas a outros destinatrios. Outra
preocupao da segurana so as pessoas que tentam ter acesso a
servios remotos que elas no esto autorizadas a usar. Ela tambm permite
que voc faa a distino entre uma mensagem supostamente verdadeira e
um trote. A segurana trata de situaes em que mensagens legtimas so
capturadas e reproduzidas, alm de lidar com pessoas que tentam negar o
fato de terem enviado determinadas mensagens (Tanenbaum, 2003).
Harrington (2005) diz que ao conversar com algum que trabalha
implementando segurana de redes, muito se ouve sobre buffer overflows,
ataques de negao de servios, entre outras coisas. Mas a segurana da
rede vai alm de ataques e suas respectivas defesas. Uma boa segurana
de rede comea no topo da organizao, com um plano para determinar
10
onde a organizao deve concentrar esforos em termos de segurana e

onde investir seu dinheiro.
A mdia faz com que se acredite que os problemas de segurana so
causados pelos hackers. Contudo, Harrington (2005) relata que ao
questionar as pessoas que trabalham na rea de segurana, elas dizem que
quase metade dos problemas encontrados vem de dentro da empresa e, em
particular, dos funcionrios. Isto quer dizer que no suficiente garantir a
segurana contra ataques externos, preciso prestar ateno com o que
ocorre dentro da organizao.
Tanenbaum (2003) cita que a maior parte dos problemas de
segurana causada intencionalmente por pessoas maliciosas que tentam
obter algum benefcio, chamar a ateno ou prejudicar algum. Alguns dos
invasores mais comuns esto listados na Tabela 2.
Tabela 2 Algumas pessoas que podem causar problemas de

segurana e os motivos para faz-los
Adversrio
Estudante
Objetivo
Divertir-se bisbilhotando as mensagens de correio
eletrnico de outras pessoas
Hacker/Cracker
Testar o sistema de segurana de algum; roubar
dados
Executivo
Descobrir a estratgia de marketing do concorrente
Ex-funcionrio
Vingar-se por ter sido demitido
Contador
Desviar dinheiro de uma empresa
Vigarista
Roubar nmeros de carto de crditos e vende-los
Espio
Descobrir segredos militares ou industriais de um
inimigo
Terrorista
Roubar segredos de armas bacteriolgicas
FONTE: Tanenbaum A. Redes de Computadores. 2003. p.768
11
Existem vrios tipos de ataques (Harrington, 2005), abaixo esto

listados os mais comuns:
Negao de servio: este tipo de ataque caracterizado pela

explcita tentativa de um atacante de impedir que um usurio
legtimo acesse um sistema (Lau et al., 2000). Isto pode ser feito
enchendo um servidor ou uma rede com trfego, fazendo com que
usurios legtimos no consigam acessar ou que um servidor pare
de funcionar (Harrington, 2005).
Malware: Malicious Software (Software Maldoso) refere-se a vrios

tipos de softwares que podem causar perdas, danos ou
interromper o uso de um computador (Alsagoff, 2008).
Fora bruta: utilizado para obter acesso a um sistema realizando

tentativa de acesso por fora bruta. Assumindo que um atacante
conhece um ou mais usurios de um determinado sistema, ele
pode tentar adivinhar a senha (Harrington, 2005).
Engenharia social: o ponto fraco da segurana da informao

geralmente so os usurios, porque as pessoas podem ser
manipuladas. Atacar um sistema utilizando informaes obtidas
por meio de uma conversa uma forma da engenharia social
(Mitnick e Simon, 2002; Laribee et al., 2006).
Phishing: o atacante cria uma rplica de uma pgina WEB

existente com o intuito de obter informaes sensveis dos
usurios (Chen e Guo, 2006; Irani et al., 2008).
Bot: termo derivado da palavra robot. Trata-se de um pedao de
12
um
software
geralmente
instalado
na
mquina
sem
conhecimento do usurio. Ele programado para responder

instrues de um atacante remotamente (Al-Hammadi e Aickelin,
2008).
A Figura 4 mostra estatstica sobre notificaes de incidentes
reportados ao Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurana no Brasil (CERT.br). Estas notificaes so voluntrias e refletem
os incidentes ocorridos em redes que espontaneamente os notificaram ao
CERT.br.
Figura 4. Estatstica dos incidentes de segurana reportados ao

CERT.br do ano de 1999 at maro de 2010
13
2.3 Segurana da informao na rea da sade
O uso de computadores em hospitais iniciou-se com o uso dos

mesmos em funes administrativas, geralmente utilizados pelo setor
financeiro. Os registros dos pacientes eram coletados inicialmente para
propsitos administrativos (Collen, 1995; Luethi e Knolmayer, 2009).
O uso da documentao em formato eletrnico na rea da sade tem
muitas vantagens, mas em contrapartida traz alguns riscos, principalmente
do ponto de vista de segurana (Brechlerova e Candik, 2008).
Registro mdico contm informaes de pacientes, algumas comuns,
outras mais sensveis. Informaes sobre a sade pessoal devem ser
confidenciais e o acesso a tal informao deve ser controlado para evitar
que a divulgao venha a prejudicar o paciente, por exemplo, causando
constrangimento ou prejudicando um emprego (Shortliffe et al., 2001). As
companhias de seguros ou os empregadores seriam altamente interessados
em tais informaes (Huber et al., 2008). Dados mdicos devem ser
protegidos para evitar perdas, se hoje utilizado um sistema informatizado,
este deve estar disponvel sempre que necessrio e a informao deve ser
exata e atualizada (Shortliffe et al., 2001).
Sistemas de informao esto expostos a numerosas ameaas que
podem resultar em perdas significativas e danos aos registros mdicos
(Ahmad et al., 2009). As ameaas de segurana em sistemas da informao
em sade tm aumentado significativamente nos ltimos anos.
Por
exemplo, durante o perodo de 2006 a 2007, mais de 1.5 milhes de nomes
14
foram expostos durante falhas ocorridas em hospitais (Ayotollahi et al.,

2008).
O compartilhamento de informaes sensveis tem sido uma
preocupao e diferentes abordagens esto sendo tomadas. Nos Estados
Unidos depende de uma regulao setorial, na qual se protege a informao
de sade atravs de legislaes, como o Health Insurance Portability and
Accountability Act (HIPAA) de 1996. J na maioria dos pases europeus,
criou-se uma regulamentao legislativa abrangente para privacidade,
protegendo todas as informaes pessoais independentes da indstria
(Samy et al., 2009).
2.4 Os Componentes Bsicos
Para que possamos oferecer a segurana adequada que uma

organizao precisa sem perder de vista o bom senso financeiro dos
investimentos, analisamos a interao de alguns agentes e consideramos
certos fatores (Ramos et al., 2008).
2.4.1 Ativo
Qualquer coisa que tenha valor para a organizao (ISO/IEC 133351:2004). No contexto da segurana da informao na sade, segundo a ISO
27799 os ativos podem ser:
Informao sobre sade
15
Servios de tecnologia da informao
Hardware
Software
Dispositivos mdicos ou dados de relatrio
2.4.2 Ameaa
Causa potencial de um incidente indesejado, que pode resultar em

dano para um sistema ou organizao (ISO/IEC 13335-1:2004).
2.4.3 Vulnerabilidade
A ausncia de um mecanismo de proteo ou falhas em um

mecanismo de proteo existente. So as vulnerabilidades que permitem
que as ameaas se concretizem. O que vai determinar se um incndio pode
ou no afetar os negcios de uma empresa a ausncia/existncia de
mecanismos de preveno, deteco e extino, mecanismos de proteo
da informao aos seus efeitos, alm do correto funcionamento dos mesmos
(Ramos et al., 2008).
2.4.4 Risco
Combinao da probabilidade de um evento e de suas consequncias

(ABNT ISO/IEC Guia 73:2005).
16
2.4.5 Impacto
Tamanho do prejuzo, medido atravs de propriedade mensurveis ou

abstratas, que a concretizao de uma determinada ameaa causar.
Diferentes ameaas possuem impactos diferentes (Ramos et al., 2008).
2.4.6 Negcio
Atividades que so fundamentais aos propsitos para a existncia da

organizao (ISO/IEC 27001:2005).
2.4.7 Interao entre os componentes
A Figura 5 nos ajuda a ter uma ampla viso de como esses

componentes interagem. Ele apareceu pela primeira vez em dezembro de
1985 na norma Trusted Computer System Evaluation Criteria, popularmente
conhecido como Orange Book. Este documento foi publicado pelo National
Computer Security Council, entidade atrelada National Security Agency,
agncia nacional de segurana dos Estados Unidos (Ramos et al., 2008).
17
Figura 5. Interao entre os componentes bsicos
2.5 Normas de Segurana da Informao
As normas desempenham um papel essencial para a elaborao de

um plano de segurana da informao (Karabacak e Sogukpinar, 2006). Elas
fornecem uma abordagem sistemtica de gesto para adotar as melhores
prticas em controles, quantificar o nvel de risco aceitvel e implementar as
medidas adequadas que protejam a confidencialidade, integridade e
disponibilidade das informaes (Dey, 2007).
A srie 27000 de normas da International Organization for
Standardization / International Electrotechnical Commission (ISO / IEC)
18
concentra-se nos requisitos, controles de segurana e orientao para

implementao de um SGSI na organizao (McGee et al., 2007).
2.5.1 ISO/IEC 27001
A ISO 27001 surgiu com base na norma britnica BS7799 e na

ISO/IEC 17799 (Fenz et al., 2007). Ela foi preparada para prover um modelo
para estabelecer, implementar, operar, monitorar, analisar criticamente,
manter e melhorar um Sistema de Gesto de Segurana da Informao SGSI (NBR ISO/IEC 27001:2006). Este padro o primeiro em segurana
da informao relacionado com a famlia de padres ISO/IEC (Fenz, et al,
2007). A Tabela 3 apresenta os captulos da norma com seus respectivos
requisitos.
Tabela 3 Descrio dos captulos da ISO 27001

Descrio
Apresentao da norma
Abrangncia da norma
Outras normas necessrias para o SGSI
Termos e definies sobre segurana da
informao
4
Sistema de Gesto Informaes sobre o estabelecimento, a
de Segurana da implementao, o monitoramento e a melhoria
Informao
de um SGSI
5
Responsabilidades
Comprometimento da direo, treinamento e
da direo
proviso de recursos para o SGSI
6
Auditorias internas do Auditorias internas realizadas por pessoal
SGSI
treinado e comprometido com o SGSI
7
Anlise crtica do Anlise realizada pela direo da organizao
SGSI pela direo
das aes efetuadas pelo SGSI
8
Melhoria do SGSI
Aes corretivas e preventivas efetuadas pelo
SGSI
FONTE: adaptado da ISO 27001
Nr
0
1
2
3
Nome
Introduo
Objetivo
Referencia normativa
Termos e definies
19
Esta norma utilizada em todo o mundo por organizaes comerciais

e governamentais como base para a gesto da poltica da organizao e
implementao da segurana da informao. Ela est sendo usada por
pequenas, mdias e grandes organizaes. De fato, o padro projetado
para ser flexvel o suficiente para ser utilizado por qualquer tipo de
organizao (Humphreys, 2008).
2.5.2 ISO/IEC 27002
A ISO 27002 estabelece um cdigo com as melhores prticas em

segurana da informao (Dey, 2007). Ela lista os objetivos de controle e
recomenda uma srie de controles de segurana especficos (Sahibudin et
al., 2008). Os objetivos de controle e os controles desta Norma tm como
finalidade ser implementados para atender aos requisitos identificados por
meio da anlise/avaliao de riscos. Esta Norma pode servir como um guia
prtico para desenvolver os procedimentos de segurana da informao da
organizao e as eficientes prticas de gesto da segurana, e para ajudar a
criar confiana nas atividades interorganizacionais (ABNT NBR ISO/IEC
27002).
A ISO 27002 contm 11 sees de controles de segurana da
informao, que juntas totalizam 39 categorias principais de segurana e
uma seo introdutria que aborda a anlise/avaliao e o tratamento de
riscos (ABNT NBR ISO/IEC 27002). Kamel et al. (2007) cita os 11 captulos
fundamentais da norma:
20
1. Poltica de Segurana da Informao

2. Organizando a Segurana da Informao
3. Gesto de Ativos
4. Segurana em Recursos Humanos
5. Segurana Fsica e do Ambiente
6. Gesto das Operaes e Comunicaes
7. Controle de Acesso
8. Aquisio, Desenvolvimento e Manuteno de Sistemas de
Informao
9. Gesto de Incidentes de Segurana da Informao
10. Gesto da Continuidade do Negcio
11. Conformidade
2.5.3 ISO/IEC 27799
A ISO 27799 define diretrizes para auxiliar organizaes da rea da

sade e outras que armazenam informaes mdicas na interpretao e na
execuo da ISO 27002. No inteno da ISO 27799 competir com a ISO
27002, e sim complementar a mesma. Todos os objetivos de controle de
segurana descritos na ISO 27002 so relevantes para a rea da sade,
mas alguns controles requerem esclarecimentos adicionais a respeito de
como eles podem ser usados para proteger a confidencialidade, integridade
e disponibilidade de informaes mdicas. H tambm requisitos adicionais
especficos do setor de sade. Esta norma fornece uma orientao adicional
21
de forma que as pessoas responsveis pela segurana da informao na

sade possam facilmente compreender e aprovar (ISO/IEC 27799).
2.6 Ambiente Analisado
O Ncleo Especializado em Tecnologia da Informao (NETI) a

organizao onde esta sendo realizado o desenvolvimento deste projeto. O
NETI atua na rea da tecnologia da informao em um dos hospitais mais
importantes do Brasil, o Hospital das Clnicas da Faculdade de Medicina da
Universidade de So Paulo (HCFMUSP). O NETI dispe de uma rede
informatizada com aproximadamente 40 servidores e cerca de 20 sistemas
em funcionamento, abrangendo virtualmente diversas reas e setores do
hospital, desde gesto de materiais, sistemas de informaes de pacientes,
agendamento de consultas, medicamentos, imagens mdicas, laboratrio,
at registro de diagnsticos e procedimentos.
Apesar de a organizao reconhecer a importncia de manter seus
dados de forma segura, ainda no existe um trabalho especfico na rea da
gesto de segurana de informao.
22
3 OBJETIVOS
3.1 Objetivo Geral
O objetivo deste trabalho estabelecer, documentar e implementar

um Sistema de Gesto da Segurana da Informao (SGSI) dentro do
Ncleo Especializado em Tecnologia da Informao (NETI) do Hospital das
Clnicas da Faculdade de Medicina da Universidade de So Paulo
(HCFMUSP).
3.2 Objetivos Especficos
Propor metodologia para implantao;
Avaliar o ambiente organizacional; e
Avaliar o impacto do processo de implantao, atravs de indicadores

selecionados, sobre o ambiente organizacional e o desempenho dos
processos.
Como resultado deste trabalho esperado o fortalecimento e a
integrao da segurana da informao com os objetivos de negcio da

organizao, com o uso de linguagem nica internacional por meio de
padres da famlia ISO 27000.
23
4 MTODO
4.1 Selees das normas
Foi realizado um levantamento e uma avaliao das normas nacionais

e internacionais que poderiam ser utilizadas como guia para o Ncleo
Especializado em Tecnologia da Informao implantar seu sistema de gesto
de segurana da informao. Os critrios para avaliao e seleo das
normas foram: aplicabilidade ao escopo do NETI e reconhecimento nacional
e internacional. Foram escolhidas, ento, as seguintes normas:
NBR ISO/IEC 27001:2006 Sistemas de gesto de segurana da

informao;
NBR ISO/IEC 27002:2005 Cdigo de prtica para a gesto da

segurana da informao;
ISO/IEC 27799 Information security management in health using

ISO/IEC 27002.
4.2 Estruturao do projeto
A ISO 27001 ser o documento base para implantao. Esta norma

est alinhada com a ferramenta PDCA utilizada em outros sistemas de
gesto, como a ISO 9001, portanto, esta ferramenta foi adotada na
estruturao do projeto.
24
A Figura 6 apresenta a estruturao deste projeto utilizando PDCA. A

fase de melhoria, apesar de ser parte integrante da ferramenta PDCA
utilizada, no faz parte deste estudo, por isso a meno a estudos futuros.
Os nmeros destacados ao final de cada etapa indicam os itens da ISO
27001. Estes itens trazem as orientaes do que deve ser realizado.
4- Melhoria (Estudos Futuros)
1- Planejamento
a) Analisar o resultado da auditoria e prever
a) Definio dos indicadores e avaliao de
melhorias em pontos falhos (8.1, 8.2 e 8.3);
diagnstico (4.2.3);
b) Reviso do contedo de procedimentos e

registros (8.1);
b) Criao do Comit de Segurana (5.1);

c) Definio do escopo (4.2.1 e 4.3.1);
c) Reviso dos indicadores e de suas metas
d) Inventrio dos ativos (4.2.1);
(8.1);
e) Definio de responsabilidades (4.2.1 e 5.1);
d) Reviso do escopo abordado (8.1).
f) Elaborao da poltica do SGSI (4.2.1 e 5.1);

g) Anlise/Avaliao de risco (4.2.1 e 4.3.1);
h) Definio dos controles (Anexo A);
i) Plano de tratamento de risco (4.2.1 e 4.2.2);
j) Declarao de aplicabilidade (4.2.1 e 4.3.1).
3- Avaliao
2- Implantao
a) Auditoria interna (6);
a) Executar o Plano de Tratamento de Risco
b) Anlise crtica (7);

c) Auditoria independente (6);
d) Avaliao de diagnstico (4.2.3);
(4.2.2);
b) Implantao dos controles (4.2.2);
c) Realizar treinamentos e implementar
programas de conscientizao (4.2.2 e 5.2.2);
d) Controle de documentos (4.3.2);
Figura 6. Ciclo PDCA proposto para o SGSI
25
4.3 Planejamento
4.3.1 Definio dos indicadores e avaliao de diagnstico
Optamos pela utilizao de dois indicadores, descritos nos itens

4.3.1.1 e 4.3.1.2. As respostas foram organizadas numa base de dados de
onde foram extradas as estatsticas apresentadas na discusso dos
resultados.
Utilizou-se o qui-quadrado com correo de Yates ou o teste exato de
Fisher para comparar as propores de adequao/inadequao aos
quesitos
da
norma
analisados. As
diferenas
foram
consideradas
significantes para p < 0,05.

Massad, et al (2004) cita que quando a tabela de contagens
observadas tem duas linhas e duas colunas, os totais de linhas e colunas
esto fixos e todas as contagens esperadas so maiores ou iguais a 5,
recomenda-se o uso da correo de Yates para calcular a estatstica .
Caso pelo menos uma das contagens esperadas seja menor que 5, no se
deve usar o teste qui-quadrado porque a distribuio da estatstica no
bem aproximada pela distribuio qui-quadrado. Nestes casos, deve-se usar
o teste exato de Fischer que, apesar de potencialmente mais trabalhoso,
calcula a probabilidade exata de observar a diferena em questo, como o
prprio nome indica.
Todas as anlises foram realizadas utilizando o software estatstico
Epi Info (verso 6).
26
4.3.1.1 ISO/IEC 27001:2006
Foi utilizado o anexo A da norma ABNT NBR ISO/IEC 27001:2006,

que trata dos objetivos de controle e controles. Os objetivos de controle e
controles so derivados diretamente e esto alinhados com aqueles listados
na ABNT NBR ISO/IEC 27002:2005 sees 5 a 15. Este indicador
apresentado de forma resumida no Anexo A desta dissertao.
Na avaliao inicial foi verificado se o controle estava implementado e
se o mesmo atendia aos requisitos da norma ABNT NBR ISO/IEC
27002:2005. Para tanto, realizou-se uma reunio de consenso com os
integrantes do comit de segurana para verificar quais controles j estavam
sendo utilizados. Cada controle da norma foi classificado de acordo com um
dos seguintes critrios: implementado, parcialmente implementado, no
implementado ou no se aplica. Como exemplo de controle parcialmente
implementado podemos citar o controle Inventrio dos Ativos, pois a
organizao no possua todos os ativos inventariados.
Para checagem do atendimento do controle aos requisitos da norma e
classificao de acordo com os critrios previamente estabelecidos (ver
Tabela 4), documentos foram solicitados e analisados. Cada controle da
norma foi classificado de acordo com um dos seguintes critrios: atende
completamente aos requisitos da norma, atende parcialmente aos requisitos
da norma, no atende aos requisitos da norma ou no se aplica. Atende
parcialmente aos requisitos da norma um controle que no segue todas as
orientaes da mesma, exceto quando a orientao no se aplica ao estudo
27
de caso. Os nveis de adequao foram pontuados conforme a tabela 4.
Tabela 4 Possveis valores para os controles analisados

Descrio
O controle no se aplica
Controle no implementado
Controle parcialmente implementado
Controle implementado, mas sem comprovao ou a comprovao
no atende as normas ISO
Controle implementado, com comprovao, mas atendendo
parcialmente as normas ISO
Controle implementado, com comprovao e atendendo as
normas ISO
Controle implementado, com comprovao, atendendo as normas
ISO e sendo este um item obrigatrio (27001 ou escopo do
projeto)
Pontos
0
1
2
3
4
5
Foi estabelecido que os controles que no se aplicam ao estudo de

caso no seriam pontuados e, portanto, no influenciariam nos resultados
obtidos. Dos 133 controles existentes na norma apenas trs foram
desconsiderados. Os controles excludos fazem parte do item 10.9 da norma
que trata de Servios de Comrcio Eletrnico.
Por outro lado, foi atribudo valor mximo para os controles que
estavam implementados de acordo com o que a norma estabelece e, que
foram considerados obrigatrios por ao menos um dos seguintes motivos:
a) Anlise dos controles com o que a ABNT NBR ISO/IEC 27001:2006
determina fazer.
b) Anlise dos controles com o escopo estabelecido para o projeto.
28
4.3.1.2 Questionrio
Foi elaborado um questionrio para avaliar a percepo dos

funcionrios com segurana da informao e tambm para checar itens que
so exclusivos do escopo do projeto.
O questionrio foi elaborado em formato eletrnico e foi testado em
outra organizao antes de ser preenchido pelos integrantes do NETI. Com
este teste foi possvel corrigir algumas falhas em perguntas e, com isso,
minimizar eventuais dvidas no preenchimento.
Os funcionrios do NETI foram orientados via e-mail sobre como
proceder ao preenchimento do questionrio. No foi preciso se identificar e
as respostas ficaram annimas j que o preenchimento foi realizado
utilizando usurio e senha comum.
A primeira pergunta do questionrio tratava do cargo/funo exercida
pelo funcionrio, as possveis respostas eram: diretor/gerente, analista,
tcnico ou outros.
As perguntas de nmero 2, 3, 4 e 5 avaliavam a percepo do
funcionrio com a segurana da informao na organizao. As demais
perguntas, de 6 a 20, tratavam de assuntos relacionados com o escopo do
projeto. Para todas estas perguntas as possveis respostas eram: concordo
totalmente, concordo parcialmente, no concordo nem discordo, discordo
parcialmente e discordo totalmente.
A figura 7 apresenta a tela de acesso ao questionrio, enquanto que
as figuras 8 e 9 apresentam o questionrio com as perguntas realizadas.
29
Figura 7. Pgina de acesso ao questionrio
30
Figura 8. Questionrio respondido pelos funcionrios do NETI Parte 1
31
Figura 9. Questionrio respondido pelos funcionrios do NETI Parte 2
32
4.3.2 Criao do Comit de Segurana
Um Comit de Segurana foi criado e seus representantes foram

escolhidos de diferentes partes da organizao, com funes e papis
relevantes. Estes representantes iro acumular as funes que j
desempenham com os novos cargos criados dentro do comit, os novos
cargos so:
Gestor de Segurana da Informao
Consultor de Segurana
Analista de Segurana
Auditor de Sistema de Informao
A organizao fornecer treinamento a todo o pessoal que tem

responsabilidades atribudas no SGSI.
Foi estabelecido em reunio que o comit se reunir semanalmente e
estar envolvido de maneira direta nos passos iniciais da estruturao do
projeto, porm, ao longo do tempo, as reunies podero acontecer
mensalmente ou bimestralmente, de acordo com a necessidade.
4.3.3 Definio do escopo
Realizou-se uma reunio onde foi explicada a importncia do escopo

do projeto e, seguindo as orientaes de melhores prticas em segurana da
informao, a equipe decidiu, ento, que o escopo inicial, objeto do presente
estudo, ir abranger as rotinas de backup da organizao, pelos seguintes
33
motivos:
um processo definido e maduro, j que a estruturao de um SGSI

no tem como objetivo definir processos de trabalho, mas sim
implementar segurana no que j existe.
relevante para a organizao.
Representa valor para os diretores e colaboradores.
Permite implementaes, alteraes e melhorias.
um processo onde a organizao possui a gerncia sobre os ativos.
4.3.4 Inventrio dos Ativos
Realizou-se um levantamento/atualizao dos ativos tecnolgicos

(hardware e software) e no tecnolgicos (pessoas, ambientes e processos).
Para isso foi criado um organograma que separa o NETI em rea, processo
e ativo. Baseado nele foi possvel identificar todos os ativos envolvidos com
o escopo.
Para os ativos tecnolgicos o software OCS Inventory NG (Open
Computer and Software Inventory Next Generation) foi utilizado. Todas as
mquinas envolvidas diretamente no escopo do projeto tiveram seus
hardwares e softwares inventariados. Alm disso, foi criada uma planilha
com as principais informaes dos computadores. Outros ativos tecnolgicos
inventariados foram: equipamentos de rede e mdias.
Para os ativos no tecnolgicos, foi elaborado um organograma para
representar as relaes hierrquicas dentro da organizao e todos os
34
funcionrios foram listados dentro de suas respectivas funes. Tambm foi

elaborado um diagrama do datacenter do NETI e todos os servidores que
fazem parte do escopo foram listados.
4.3.5 Definio de Responsabilidades
Designou-se um proprietrio para cada ativo inventariado. Este

proprietrio tem a responsabilidade autorizada para controlar a produo, o
desenvolvimento, a manuteno, o uso e a segurana do ativo.
4.3.6 Elaborao da Poltica de Segurana
A organizao adotou uma estrutura normativa com trs nveis

hierrquicos, assim relacionados:
a) Polticas - define a estrutura, as diretrizes e as obrigaes
referentes segurana da informao;
b) Normas - estabelecem obrigaes e procedimentos definidos de
acordo com as Polticas; e
c) Procedimentos - instrumentalizam o disposto nas Normas e nas
Polticas, permitindo a direta aplicao nas atividades da
organizao.
A organizao utiliza uma poltica de segurana de mbito corporativo
que foi elaborada pelo Grupo de Segurana e Infra-estrutura Corporativa do
Hospital das Clnicas (GSIC-HC). Contudo, uma poltica interna e especfica
35
para as necessidades do NETI se faz necessria.

Criou-se, ento, uma poltica interna que foi redigida de forma
simples, clara e de fcil entendimento para todos os nveis hierrquicos.
Ficou decidido que as polticas adotadas pelo NETI seriam:
Poltica de Segurana da Informao Corporativa Regras de alto

nvel para o uso dos recursos disponveis na rede corporativa.
Este documento norteia a poltica de segurana dos institutos e
fundaes pertencentes ao complexo do HCFMUSP para proteo
dos seus principais ativos de informao.
Regulamento Interno de Segurana da Informao Diretriz

interna
que
tem
finalidade
de
atribuir
legalmente
responsabilidades, obrigaes, penalidades e direitos, de acordo

com a viso estratgica da direo do NETI.
Alm destas polticas, haver tambm um Termo de Responsabilidade
com a Segurana da Informao. Este termo ser um instrumento aplicado
aos usurios e/ou pessoas contratadas pelo NETI, objetivando formalizar a
cincia e o aceite com a Poltica de Segurana da Informao Corporativa e
com o Regulamento Interno de Segurana da Informao.
As polticas foram definidas de acordo com as caractersticas do
negcio e dos ativos e tecnologias utilizadas, bem como alinhada com o
contexto estratgico de gesto de riscos. As polticas foram aprovadas pela
direo.
36
4.3.7 Anlise/Avaliao de Riscos
Para fazer a anlise dos riscos foram identificados os parmetros que

envolvem o processo das rotinas de backup dos servidores sob
responsabilidade do NETI, a saber:
Ativos considerados no escopo da anlise
Controles a serem investigados
Probabilidade de explorao
Consequncia da explorao
Relevncia do evento para o negcio
Para a execuo desta etapa foi definido o uso do mtodo qualitativo.

A Tabela 5 informa a classificao adotada para a definio dos nveis de
probabilidade de ocorrncia de um determinado evento, severidade das
consequncias deste evento e a relevncia ou impacto do ativo para o
negcio:
Tabela 5 Classificao dos riscos

Nveis
Muito
Baixo
Baixo
Mdio
Alto
Muito
Alto
P - Probabilidade
C - Consequncia
R Relevncia para o
Negcio
O risco ser calculado por meio da frmula: RISCO = P x C x R.

Como resultado desta classificao, os seguintes nveis de riscos foram
37
criados (Tabela 6):
Tabela 6 Nveis de riscos

Nvel de Risco
Interpretao
Possveis Valores
(PxCxR)
Muito alto
Riscos inaceitveis. Os gestores dos 60, 64, 75, 80, 100,

ativos devem ser orientados para
125
que os eliminem imediatamente.
Alto
Riscos inaceitveis. Os gestores dos 32, 36, 40, 45, 48,

ativos devem ser orientados para
50
pelo menos control-los.
Mdio
Riscos que podem ser aceitveis

18, 20, 24, 25, 27,
aps a reviso e confirmao dos
30
gestores dos ativos, contudo a
aceitao do risco deve ser feita por
meios formais.
Baixo
Riscos que podem ser aceitveis

aps a reviso e confirmao dos
gestores dos ativos.
8, 9, 10, 12, 15, 16
Muito baixo
Riscos aceitveis. Devem ser

informados para os gestores dos
ativos.
1, 2, 3, 4, 5, 6
Foi realizado um levantamento dos riscos presentes na organizao

e, na sequncia, a equipe de segurana da informao reuniu-se para
avaliar os mesmos. Esta etapa compreende o processo de analisar os riscos
que foram previamente identificados e estim-los com critrios de risco
definidos pela organizao. Com essa anlise, foi decidido se o risco seria
tratado ou aceitado.
4.3.8 Definio dos controles
Foram identificados os controles que precisam ser implementados
38
para que o NETI possua ativos mais seguros. Os controles foram

selecionados de acordo com os seguintes critrios:
a) Resultado da anlise/avaliao de riscos
b) Controles considerados obrigatrios
4.3.9 Plano de tratamento de risco
Foram estabelecidos prioridades, responsabilidades e prazos para o

tratamento dos riscos encontrados. O motivo da no implementao ou a
descrio das aes que sero tomadas foram descritas. Alm disso, foram
listados quais controles do Anexo A da ISO 27001 devem servir como
instrumento de orientao no tratamento do risco. Para os riscos que no
sero tratados, ficou decidido que as razes para o no tratamento ser
documentado e comunicado a todas as partes envolvidas que precisam ter
conhecimento a respeito deles.
4.3.10 Declarao de aplicabilidade
Foram estabelecidos quais controles da ISO 27001:2006, com base

na letra j do requisito 4.2.1 da norma, so aplicveis ao Sistema de Gesto
de Segurana da Informao, as razes para a seleo e as justificativas da
no seleo dos controles.
Alm disso, foram apresentas as aes ou documentos de referncia
que comprovam a implementao dos controles selecionados.
39
4.4 Implantao
4.4.1 Executar o Plano de Tratamento de Risco
O Gestor de Segurana da Informao ir fiscalizar todas as

atividades desenvolvidas para que as etapas propostas no Plano de
Tratamento de Riscos sejam cumpridas.
4.4.2 Implantao dos controles
Os integrantes do Comit de Segurana sero responsveis pelas

implantaes dos controles seguindo as orientaes das normas de
referncia utilizadas.
4.4.3
Realizar
treinamentos
implementar
programas
de
conscientizao
Os funcionrios sero orientados sobre a importncia da segurana

da informao independente da funo exercida na organizao. Isto ser
realizado por meio de apresentaes. Alm disso, a intranet da empresa
ser utilizada para divulgar informaes sobre segurana.
Tambm haver a apresentao das Polticas de Segurana
adotadas. Na ocasio, os funcionrios podero apresentar sugestes de
melhorias.
40
4.4.4 Controle de documentos
Documentos que formalizam o sistema de gesto foram elaborados

durante toda a fase de Planejamento do projeto (Tabela 7). O Comit de
Segurana
criou
alguns
documentos
considerados
obrigatrios
por
determinao da ISO 27001 e outros considerados obrigatrios porque a

prpria organizao decidiu.
Tabela 7 Documentos gerados para o SGSI

Etapa da fase de planejamento do
Documento Gerado
ciclo PDCA
Criao do Comit de Segurana
Comit de Segurana
Definio do escopo
Escopo
Inventrio dos ativos
Gesto de Ativos
Definio de responsabilidades
Gesto de Polticas; Regulamento
Interno de Segurana da Informao;
Termo de Responsabilidade com a
Elaborao da poltica do SGSI.
Segurana da Informao; Norma de
Classificao da Informao; Norma
de Utilizao do Datacenter
Anlise/Avaliao de risco
Gesto de Riscos
Definio dos controles
Plano de tratamento de risco
Declarao de aplicabilidade
Declarao de aplicabilidade
Um procedimento documentado foi estabelecido para definir as aes

de gesto necessrias para:
a) Aprovar documentos para adequao antes de sua emisso;
b) Analisar criticamente e atualizar, quando necessrio, e re-aprovar
documentos;
c) Assegurar que as alteraes e a situao da reviso atual dos
documentos sejam identificadas;
41
d) Assegurar que as verses pertinentes de documentos aplicveis

estejam disponveis nos locais de uso;
e) Assegurar que os documentos permaneam legveis e prontamente
identificveis;
f) Assegurar que os documentos estejam disponveis queles que deles
precisam
descartados
sejam
conforme
transferidos,
os
armazenados
procedimentos
finalmente
aplicveis
sua
classificao;
g) Assegurar que documentos de origem externa sejam identificados;
h) Assegurar que a distribuio de documentos seja controlada;
i) Prevenir o uso no intencional de documentos obsoletos; e
j) Aplicar identificao adequada nos casos em que sejam retidos para
qualquer propsito.
4.5 Avaliao
4.5.1 Auditoria interna
Um funcionrio foi selecionado e treinado para executar uma auditoria

interna. Esta auditoria tem o objetivo de determinar a conformidade do
sistema de gesto da organizao frente ao padro internacional, determinar
a eficcia e apresentar organizao oportunidades de melhorias no SGSI.
4.5.2 Anlise crtica
Foi definido que o diretor e o comit de segurana da informao

realizaro uma reunio ao trmino da auditoria interna para avaliar os
resultados encontrados. Esta reunio visa propor orientaes para a
42
melhoria do sistema e principalmente apresentar concluses que podero

variar desde a abertura de solicitao de aes corretivas at solicitaes de
correes ou melhoria em processos ou procedimentos.
4.5.3 Auditoria independente
Uma auditoria externa, feita por uma empresa independente, ser

utilizada apenas quando a organizao se sentir preparada. A direo, com o
respaldo do comit de segurana, decidir quando ser o momento para isto
ocorrer. Esta auditoria avalia a existncia, adequao e eficcia dos
requisitos da norma, avaliando ou no a aderncia referida norma, que
pode resultar em um selo de certificao de aderncia, renovvel em ciclos
predeterminados.
4.5.4 Avaliao de diagnstico
Uma nova avaliao utilizando os mesmos indicadores do incio do

projeto (itens 4.3.1.1 e 4.3.1.2) ser realizada para avaliar os ganhos obtidos
com o SGSI.
43
5 RESULTADOS
5.1 Documentos gerados
Todos os documentos criados para compor o SGSI seguem um

mesmo padro (Anexo B). Eles possuem um cabealho para preenchimento
de informaes como: nome do documento, verso, data de criao, autor e
tipo de informao. Alm disso, foi criada uma tabela para inserir
informaes de atualizaes realizadas. Esta tabela possui os seguintes
campos: verso, data, autor e descrio da atualizao. O restante do
documento composto ao menos por: introduo, objetivos e informaes
relativas ao documento criado.
Os documentos Comit de Segurana e Escopo so apresentados
nos Anexos C e D respectivamente. Entretanto, os nomes dos integrantes do
comit foram omitidos.
Alguns documentos gerados durante o SGSI possuem informaes
sensveis e/ou expem falhas de segurana na organizao, por este motivo
eles no sero apresentados nesta dissertao. Contudo, apresentaremos
alguns dados para representar o que foi criado.
Para a gerao do documento Gesto de Ativos, um item que auxiliou
na identificao foi um organograma dividindo a organizao em rea,
processo e ativo (Figura 10). Com base neste organograma, foram
identificados os ativos que precisariam ser inventariados.
44
NETI
Gerencia de Tecnologia
Rotinas de Backup
Datacenter
Servidores
Equipamentos de rede
Mdias
Documentao dos
procedimentos de operao
Gerencia da Informao
Levantamento de dados e
Definio das fases do projeto
Desenvolvimento
Homologao
Treinamento e testes
Implantao
Suporte e manuteno
Pessoas
Suporte Tcnico
Projetos Interno/Externo
Figura 10. Organograma da organizao dividida por rea, processo e

ativo
O ativo Datacenter foi representado com um diagrama (Figura 11).

Para os ativos Servidores, Equipamentos de Rede, Mdias e Pessoas foram
criados as tabelas 8, 9, 10 e 11 respectivamente. Todas as informaes
desta tabelas foram omitidas. No ativo Documentao dos Procedimentos de
Operao consta o nome do documento gerado: POP Backup de
servidores.
45
Figura 11. Diagrama do datacenter do NETI
46
Tabela 8 Descrio dos servidores

Rack Servidor Descrio
S.O.
Apl./B.D. Verso
Observao
Discos RAM Processador Criticidade
Sistema operacional utilizado

Aplicativo/Banco de dados instalado
Total de memria RAM do servidor
Tabela 9 Descrio dos equipamentos de rede

Quantidade
Descrio
Modelo
Tabela 10 Descrio das mdias

Quantidade
Descrio
Volumes
Tabela 11 Informaes dos funcionrios do NETI

Nome
Cargo
Setor/Seo
47
O Regulamento Interno de Segurana da Informao apresentado

no Anexo E. O Termo de Responsabilidade com a Segurana da Informao
apresentado no Anexo F. Os demais documentos gerados para compor a
poltica de segurana da organizao no sero apresentados nesta
dissertao.
A Tabela
12
representa
tabela
criada
para
executar
anlise/avaliao de risco. Nela foram descritas as vulnerabilidades

encontradas
na
organizao,
os
possveis
controles
contra
estas
vulnerabilidades, as ameaas relacionadas, alm de atribuir nveis para a

probabilidade, conseqncia e relevncia para se chegar ao nvel de risco.
A Tabela 13 representa a tabela criada para descrever as aes
tomadas com cada risco encontrado. Foram descritos se os riscos sero
tratados ou no, as razes para a no implementao ou a descrio do que
ser implementado, os controles da ISO 27001 que podem auxiliar no
tratamento do risco, prazos e responsveis pelo controle. Todas as
informaes referentes anlise/avaliao de risco foram inseridas em um
documento chamado Gesto de Riscos.
A declarao de aplicabilidade apresentada de forma resumida no
Anexo G. Este documento cita quais controles foram implementados e
apresenta as razes para a seleo ou as justificativas da no seleo dos
controles. Alm disso, esta declarao apresenta as aes ou documentos
de referncia que comprovam a implementao dos controles.
48
Tabela 12 Anlise/Avaliao de risco

Nr Vulnerabilidade
Controle
Detalhe do Controle
Ameaas
Relacionadas
Risco
(PxCxR)
Valor para a probabilidade de ocorrncia de um determinado evento

Valor para a conseqncia deste evento
Valor para a relevncia ou impacto do ativo para o negcio
Tabela 13 Medidas que sero tomadas para cada risco encontrado
Nr
Controle
Ser
Imp.?
Deciso se o controle ser ou no implementado

Responsvel pela implementao do controle
Motivo da no implementao ou
Descrio da implementao
Controles
Anexo A
Prazo
Resp.
49
5.2 Indicadores
5.2.1 ISO/IEC 27001:2006
Utilizando a classificao proposta para este projeto a Tabela 14

apresenta os resultados obtidos no incio deste estudo, em agosto de 2009,
em comparao com a anlise feita em junho de 2010, para a apresentao
desta dissertao.
Tabela 14 Anlise estatstica da pontuao obtida no incio e ao

trmino do projeto
Item
Poltica de Segurana
Organizando a Segurana da
Informao
Gesto de Ativos
Segurana nos Recursos
Humanos
Segurana Fsica e do
Ambiente
Gerenciamento das Operaes
e Comunicaes
Controle de Acesso
Aquisio, Desenvolvimento e
Manuteno de Sistemas de
Informao
Gesto de Incidentes de
Segurana da Informao
Gesto de Continuidade de
Negcios
Conformidade
Total
Max
10
Inic
3
Fin
10
P
0,001548*
48
17
8,78
0,0030503
22
16
18,79
0,0000146
39
16
12,21
0,0004765
58
12
18
1,12
0,2890521
126
23
37
3,7
0,0545145
101
30
37
0,8
0,369906
64
11
11
0,05
0,8147653
21
0,5*
20
0,1153846*
41
550
0
86
4
170
35,07
0,0578997*
<0,00000001
* Teste exato de Fischer

Max = valor mximo do item, Inic = valor inicial encontrado no item, Fin = valor final
encontrado no item, = valor do qui-quadrado, P = nvel de significncia
Na anlise inicial a organizao obteve 86 dos 550 pontos possveis,
50
ou seja, 15,6% de conformidade com a norma de referncia utilizada. Na

anlise final a pontuao passou de 86 para 170 pontos. Este valor equivale
a 30,9% de conformidade com a norma. Note que houve diferena
estatstica nos itens: poltica de segurana, organizando a segurana da
informao, gesto de ativos e segurana nos recursos humanos. Alm
disso, tambm houve diferena estatstica na avaliao geral.
A Tabela 15 demonstra a anlise estatstica (qui-quadrado) entre a
anlise inicial e a anlise final nos controles implementados.
Tabela 15 Anlise estatstica dos controles implementados

Item
Max
Poltica de Segurana
2
11
Informao
Gesto de Ativos
5
9
Humanos
Segurana Fsica e do
13
Ambiente
29
e Comunicaes
Controle de Acesso
25
16
Informao
5
5
Negcios
Conformidade
10
Total 130
Inic
1
Fin
2
P
0,5*
0,3175586*
0,0238095*
0,0656109*
1,0
11
16
1,11
0,2923600
12
15
0,32
0,5703716
0,15
0,7029176
-**
0,5*
0
37
1
59
7,28
0,5*
0,0069619

** No possvel realizar estatstica quando o total da coluna ou da linha nulo
Max = total de controles no item, Inic = quantidade de controles implementados na anlise
inicial, Fin = quantidade de controles implementados na anlise final, = valor do quiquadrado, P = nvel de significncia
51
No incio eram 37 (28,4%) controles em uso, no final este nmero

passou para 59 (45,3%). Note que houve diferena estatstica no item
gesto de ativos e na avaliao geral.
anlise inicial e a anlise final nos controles parcialmente implementados.
Tabela
16
Anlise estatstica
implementados
Item
Max
Poltica de Segurana
2
11
Informao
Gesto de Ativos
5
9
Humanos
Segurana Fsica e do
13
Ambiente
29
e Comunicaes
Controle de Acesso
25
16
Informao
5
5
Negcios
Conformidade
10
Total 130
dos
controles
parcialmente
Inic
0
Fin
0
P
-
0,5*
0,5*
0,5*
0,5*
0,3335504*
0,7580645*
0,5*
0
9
1
9
0,06
0,5*
0,8069901

Max = total de controles no item, Inic = quantidade de controles parcialmente
implementados na anlise inicial, Fin = quantidade de controles parcialmente
implementados na anlise final, = valor do qui-quadrado, P = nvel de significncia
Estatisticamente no houve diferena. Contudo, apesar do nmero

total nas duas avaliaes permanecer o mesmo, ou seja, 9 controles (6,9%
do total), houve mudanas em quais controles foram considerados
52
parcialmente implementados. Enquanto alguns controles foram finalizados,

outros comearam a ser utilizados.
anlise inicial e a anlise final nos controles no implementados.
Tabela 17 Anlise estatstica dos controles no implementados

Item
Max
Poltica de Segurana
2
11
Informao
Gesto de Ativos
5
9
Humanos
Segurana Fsica e do
13
Ambiente
29
e Comunicaes
Controle de Acesso
25
16
Informao
5
5
Negcios
Conformidade
10
Total 130
Inic
1
Fin
0
P
0,5*
0,1807276*
0,1031746*
0,0656109*
0,16
0,6868652
17
13
0,62
0,4305169
1,0
10
10
0,13
0,7150007
0,5*
0,5*
10
84
8
62
6,89
0,2368421
0,0086729

Max = total de controles no item, Inic = quantidade de controles no implementados na
anlise inicial, Fin = quantidade de controles no implementados na anlise final, = valor
do qui-quadrado, P = nvel de significncia
Note que houve diferena estatstica na avaliao geral. No incio

eram 84 (64,6%) controles sem nenhuma implementao, ao trmino esse
nmero caiu para 62 (47,6%).
anlise inicial e a anlise final nos controles considerados obrigatrios.
53
Tabela 18 Anlise estatstica dos controles obrigatrios

Controles obrigatrios
Implementados
Parcialmente Implementados
No Implementados
Tot
30
Inic
5
5
20
Fin
19
6
5
11,74
0,0
13,44
P
0,0006130
1,0
0,0002463
Tot = quantidade de controles obrigatrios, Inic = valor inicial encontrado, Fin = valor final
encontrado, = valor do qui-quadrado, P = nvel de significncia
Note que houve diferena estatstica nos controles implementados e

nos controles no implementados. O total de controles implementados
passou
de
(16,6%)
para
19
(63,3%),
controles
parcialmente
implementados passaram de 5 (16,6%) para 6 (20%), enquanto que os

controles no implementados caram de 20 (66,6%) para 5 (16,6%) (Figura
12).
30
Total de controles
25
ago/09
jun/10
20
15
10
jun/10
ago/09
ago/09
Implementados
Parcialmente
implementados
jun/10
5
0
No implementados
Figura 12. Anlise dos controles obrigatrios
54
5.2.2 Questionrio
Na anlise inicial 18 (72%) pessoas responderam ao questionrio,

enquanto que na anlise final ele foi respondido por 15 funcionrios (60%). A
Tabela 19 apresenta os cargos ocupados pelas pessoas que responderam
ao questionrio.
Tabela 19 Nmero de pessoas que responderam ao questionrio

Cargo
Gerente/Diretor
Analista
Tcnico
Outros cargos
Total
Anlise inicial
2
6
7
3
18
Anlise final
1
6
7
1
15
A Tabela 20 apresenta os resultados obtidos com o questionrio. Para

as perguntas de nmeros 2 a 6 todas as respostas foram consideradas. Para
as demais perguntas, direcionadas ao escopo do projeto, analisamos os
resultados de quem afirmou conhecer totalmente os procedimentos de
cpias de segurana adotados pela organizao. Na anlise inicial 10
(55,5%) pessoas afirmaram conhecer totalmente os procedimentos de
cpias de segurana, enquanto que na anlise final 9 (60%) pessoas
afirmaram conhecer.
55
Tabela 20 Anlise estatstica do questionrio

Qst
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
Conc totalmente
Inic
Fin
P
77%
93% 0,229
28%
46% 0,447
28%
40% 0,710
94% 100% 0,545
55%
59% 0,923
50%
45% 0,585
70%
78% 0,555
90%
78% 0,458
90%
78% 0,458
30%
45% 0,429
40%
33% 0,570
50%
78% 0,219
0%
22% 0,210
60%
56% 0,605
0%
22% 0,210
0%
23% 0,210
60%
67% 0,570
20%
22% 0,667
40%
67% 0,242
Conc parcialmente
Inic
Fin
P
17%
7%
0,373
33%
27% 0,488
32%
46% 0,672
6%
0%
0,545
16%
20% 0,577
50%
45% 0,585
30%
0%
0,123
10%
11% 0,736
10%
22% 0,458
40%
22% 0,369
30%
22% 0,555
20%
11% 0,541
30%
34% 0,630
30%
44% 0,429
30%
22% 0,555
10%
22% 0,458
40%
22% 0,369
40%
45% 0,605
40%
22% 0,369
No conc nem disc

Inic
Fin
P
0%
0%
11%
20% 0,409
6%
7%
0,710
0%
0%
6%
7%
0,710
0%
10% 0,473
0%
22% 0,210
0%
11% 0,473
0%
0%
20%
0%
0,263
20%
0%
0,263
20%
0%
0,263
40%
11% 0,184
10%
0%
0,526
30%
34% 0,630
30%
11% 0,332
0%
11% 0,473
20%
33% 0,444
20%
11% 0,541
Disc parcialmente
Inic
Fin
P
0%
0%
11%
7%
0,570
17%
7%
0,373
0%
0%
6%
7%
0,710
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
11% 0,473
10%
0%
0,526
0%
0%
20%
11% 0,541
10%
22% 0,458
0%
0%
0%
0%
0%
0%
-
Disc totalmente
Inic
Fin
P
6%
0%
0,545
17%
0%
0,149
17%
0%
0,149
0%
0%
17%
7%
0,373
0%
0%
0%
0%
0%
0%
0%
0%
10%
33% 0,249
10%
45% 0,119
10%
0%
0,526
20%
33% 0,444
0%
0%
20%
11% 0,541
50%
22% 0,219
0%
0%
20%
0%
0,263
0%
0%
-
Qst = nmero da questo, Conc totalmente = concordo totalmente, Conc parcialmente = concordo parcialmente, No conc nem disc = no concordo
nem discordo, Disc parcialmente = discordo parcialmente, Disc totalmente = discordo totalmente, Inic = porcentagem inicial encontrada, Fin =
porcentagem final encontrada, P = nvel de significncia.
56
Note que no houve diferena estatstica entre as respostas nas duas

avaliaes. Contudo, o resultado da anlise inicial do questionrio mostrou
alguns dados importantes. Vejamos alguns:
A
maioria
dos
funcionrios
(77%)
considera
ter
alguma
responsabilidade com a segurana da informao (Figura 13). Na anlise

final o percentual passou para 93%.
77%
Concordo totalmente
Concordo parcialmente
No concordo nem discordo
Discordo parcialmente
6%
0%
17%
Discordo totalmente
Figura 13. Segunda questo do questionrio: Minha funo tem ligao

direta/indireta com a segurana da informao
Um ponto crtico encontrado pelo questionrio foi a do pouco

conhecimento da poltica de segurana da informao utilizada pela
organizao (Figura 14). O resultado mostrou a necessidade de treinamento
dos funcionrios.
57
11%
11%
17%
Concordo totalmente
33%
28%
Discordo totalmente
Figura 14. Terceira questo do questionrio: Conheo o documento que

trata da Poltica de Segurana da Informao adotada pela organizao
A Figura 15 apresenta os dados referentes divulgao ou no de

mudanas na poltica de segurana.
17%
6%
17%
Concordo totalmente
32%
28%
Discordo totalmente
Figura 15. Quarta questo do questionrio: Sou informado quando

ocorrem mudanas na Poltica de Segurana da Informao
Um dado satisfatrio que 94% dos funcionrios concordam que a

segurana da informao um quesito importante para a organizao
(Figura 16). Na anlise final o nmero passou para 100% dos funcionrios.
58
94%
Concordo totalmente
0%
Discordo totalmente
6%
Figura 16. Quinta questo do questionrio: Segurana da Informao

um item importante para os negcios desenvolvidos na organizao
O questionrio tambm mostrou alguns pontos crticos nos itens

relacionados ao escopo do projeto. A Figura 17 mostra que apenas 30% das
pessoas concordam totalmente que as cpias de segurana so
armazenadas em ambientes distintos dos sistemas de origem.
40%
Concordo totalmente
30%

10%
0%
20%
Discordo totalmente
Figura 17. Dcima primeira questo do questionrio: As cpias de

segurana so armazenadas em ambientes distintos dos sistemas de
origem
59
A Figura 18 mostra que a criptografia pouco utilizada nas rotinas de

cpias de segurana.
10%
20%
Concordo totalmente
0%
30%
40%
Discordo totalmente
Figura 18. Dcima quarta questo do questionrio: As cpias de

segurana so criptografadas, tanto na execuo quanto em seu
armazenamento
Ningum
concordou
totalmente
apenas
30%
concordaram
parcialmente com a questo 16 do questionrio (Figura 19).
20%
Concordo totalmente
0%
20%
30%
30%
Discordo totalmente
Figura 19. Dcima sexta questo do questionrio: As cpias de

segurana so periodicamente testadas para garantir que elas so
suficientemente confiveis para o uso de emergncia
60
A Figura 20 mostrou um ponto crtico. 50% das pessoas discordaram

totalmente com a afirmativa da questo 17 do questionrio.
30%
10%
Concordo totalmente
10%
0%
50%
Discordo totalmente
Figura 20. Dcima stima questo do questionrio: Existe um ambiente

separado para testar os procedimentos de restaurao do sistema
Todos os pontos crticos levantados pelo questionrio foram

analisados e as possveis aes e correes foram listadas em um
documento chamado gesto de riscos.
61
6 DISCUSSO
Dey (2007) ressalta que as etapas de execuo de um SGSI podem

variar de empresa para empresa. O autor cita os passos para uma
organizao estabelecer um SGSI partindo do princpio que o projeto ir
comear do zero e que a organizao deseja obter a certificao de
segurana da ISO. Segundo o autor, os passos para a implementao de um
SGSI so:
a) Formar uma equipe tcnica de segurana de informao;
b) Definir um comit executivo para o projeto de segurana da
informao;
c) Definir uma equipe de implementao de segurana;
d) Treinar a equipe de implementao com as mais recentes normas;
e) Realizar uma anlise detalhada dos riscos e vulnerabilidades
associados aos ativos de informao;
f) Para cada ativo a ser protegido, identificar medidas extras de
segurana;
g) Preparar uma proposta de projeto com plano de implementao
juntamente com as necessidades de recursos incluindo hardware,
software, treinamento, recursos humanos e compromissos.
Apresentar a proposta do projeto ao comit executivo para
aprovao;
h) Escrever os documentos "polticas" e "procedimentos" abrangendo
62
todas as reas pertinentes;

i) Apresentar as polticas e procedimentos (ou um documento nico
combinado) para o Comit Executivo para aprovao final;
j) Implementar o projeto em fases, de acordo com as prioridades. As
fases devem ter sido definidas anteriormente no plano de
execuo;
k) Junto com outras normas, adotar algumas das melhores prticas
como ITIL, COBIT ou outras;
l) Organizar as aes de sensibilizao dos funcionrios para fazlos compreender as polticas e procedimentos de segurana.
Garantir que as polticas e procedimentos sejam distribudos por
toda a organizao;
m) Estabelecer
procedimentos
peridicos
para
checar
vulnerabilidades em segurana e realizar testes de penetrao em

reas sensveis. Rever, avaliar e aperfeioar o SGSI seguindo o
ciclo PDCA; e
n) Realizar auditorias no SGSI com auditores competentes.
As etapas propostas pelo autor podem ser utilizadas em qualquer
organizao, mas o autor no contempla duas importantes etapas na
elaborao do SGSI. A primeira a definio do escopo do projeto. com
base no escopo que todas as demais etapas devem ser elaboradas. A
segunda a elaborao da declarao de aplicabilidade. Este documento
um item obrigatrio na implantao de um SGSI, sem ele a organizao no
obtm a certificao.
63
Ku, Chang e Yen (2009) relatam que a experincia com a

implementao de outras normas, como a ISO 9001, auxilia no
desenvolvimento de um SGSI.
Na organizao que analisamos nenhuma ISO utilizada, portanto os
funcionrios no possuam nenhuma experincia. Outro ponto a ser
considerado em nosso estudo de caso que at o momento da segunda
avaliao, ocorrida em junho de 2010, nenhum funcionrio havia recebido o
treinamento necessrio na norma de referncia utilizada. A previso de
que os funcionrios integrantes do comit de segurana da informao
recebam o treinamento no segundo semestre de 2010.
Karabacak e Sogukpinar (2006) propem um mtodo de pesquisa
quantitativa para avaliar o nvel de conformidade com a ISO 17799. O
mtodo construdo sobre o modelo de risco ISRAM (Information Security
Risk Analysis Method) (Karabacak e Sogukpinar, 2005). O ISRAM uma
ferramenta de anlise quantitativa que utiliza operaes matemticas
bsicas. Ele converte as perguntas e as opes de resposta em nmeros e
faz os clculos necessrios para expressar o risco. O nmero de perguntas
limitado pelo nmero de controles da norma, ou seja, 133.
Os autores criaram pesos para os controles e tambm para as
possveis respostas. Estes pesos podem ser alterados de acordo com a
organizao que utiliz-la. Eles variam de 1 a 3 para as perguntas e de 0 a 4
para as respostas.
A eficcia do mtodo proposto depende exclusivamente da atribuio
correta dos pesos, da verificao de quais controles sero analisados e,
64
obviamente, das respostas corretas dos funcionrios. O ponto negativo

que o questionrio pode ficar muito extenso e cansativo para ser respondido.
No nosso estudo a anlise estatstica da pontuao da organizao
mostrou que no houve melhoras significativas em alguns itens da norma.
Para o item Segurana Fsica e do Ambiente a organizao aguarda a
realizao de uma licitao para que os controles identificados na reduo
dos riscos sejam aplicados. Para o item Gerenciamento das Operaes e
Comunicaes os controles ainda esto sendo aplicados na organizao.
Para os demais itens da norma (Controle de Acesso; Aquisio,
Desenvolvimento e Manuteno de Sistemas de Informao; Gesto de
Incidentes de Segurana da Informao; Gesto de Continuidade de
Negcios e Conformidade) o resultado j era esperado, pois a prioridade de
implantao foi dada aos controles obrigatrios e, todos estes itens somados
possuam apenas 10% do nmero total de controles obrigatrios.
A anlise estatstica do questionrio mostrou que no houve melhoras
significativas em nenhuma questo. Para as primeiras perguntas do
questionrio, que tratam de como os funcionrios enxergam a segurana da
informao, ainda esta sendo realizado um trabalho de conscientizao por
meio de palestras. Para as demais perguntas que tratam das rotinas de
cpias de segurana o resultado j era esperado, uma vez que a
organizao ainda no implementou os controles necessrios em virtude dos
custos relacionados. Como se trata de uma organizao pblica, o processo
de compra envolve uma srie de medidas que acabam levando muito tempo
para serem concretizadas.
65
Alm destes motivos existe tambm o fato do N ser baixo. Na anlise

inicial foram 18 questionrios respondidos, contra 15 da anlise final. A
organizao possui poucos funcionrios e, alm disso, houve certa
dificuldade em fazer com que as pessoas respondessem ao questionrio.
Para finalizar, este estudo mostrou ser vivel a implantao de um
SGSI em uma organizao pblica de sade, porm houve uma limitao no
alcance dos resultados obtidos em funo da no alocao de recursos
especficos para o projeto.
66
7 CONCLUSES
Neste estudo foi avaliado a implantao de um sistema de gesto de

segurana da informao em uma organizao da rea da sade. Ao
trmino do projeto foi possvel concluir que:
a) A implantao de um SGSI perfeitamente possvel em
organizaes da rea da sade e traz diversos benefcios, como a
reduo dos riscos associados por meio de controles adequados;
b) O mtodo proposto para avaliar a organizao utilizando o anexo
A da norma ISO 27001 foi eficiente, uma vez que apontou os
controles que precisavam ser priorizados;
c) A organizao obteve melhoras significativas no nvel de
conformidade com a norma de referncia; e
d) O questionrio utilizado para avaliar a organizao indicou alguns
pontos a serem melhorados, embora estatisticamente no tenha
apontado melhoras significativas.
67
8 ANEXOS
Anexo A Amostra da planilha gerada com base nos controles do Anexo A da ISO 27001
ABNT NBR ISO/IEC 27001:2006 (Anexo A)

Item
Nr
Controle
Poltica de
Segurana
5.1 Poltica de segurana da informao

Documento da poltica de segurana da
5.1.1
informao
Anlise crtica da poltica de segurana da
5.1.2
informao
Controles
implementados
Sim
Atende aos
requisitos da norma
Par No N/A Sim
Requisito
obrigatrio 4
Par No N/A 27001
SGSI
Obs.5
---
Nmero do controle
Anlise dos controles em utilizao. Sim representa que o controle est implementado, Par representa que o controle est parcialmente
implementado, No representa que o controle no est implementado e N/A representa que o controle no se aplica ao estudo de caso.
Anlise do atendimento do controle com a norma de referncia. Sim representa que o controle atende aos requisitos da norma, Par representa
que o controle atende parcialmente aos requisitos da norma, No representa que o controle no atende aos requisitos da norma e N/A representa
que o controle no se aplica ao estudo de caso.
4
Controles considerados obrigatrios pela ISO 27001 ou pelo escopo escolhido para o projeto.
5
Campo para observaes. Foi utilizado para indicar os itens da norma que cobram a implementao do controle.
6
Pontuao mxima e pontuao obtida no momento da avaliao.
Pontuao6
Mx
Atual
68
Anexo B Padro de documento criado para o SGSI
SGSI - Sistema de Gesto de

Nome do documento
Verso
Data de criao
Autor
Informao
Exemplo de documento
1.0
27/08/2009
Pblica
Histrico do documento
Verso
Data
Autor
1.0
28/08/2009 Carlos E. Ribas
Descrio da atualizao
Aprovao do documento
1. Introduo
Este um modelo de documento utilizado no SGSI.
2. Objetivos
Padronizar os documentos gerados com as informaes necessrias

para o SGSI segundo a ISO 27001.
3. Descrio
...
Aprovado por:
____________________________
69
Anexo C Comit de segurana da informao

Nome do documento
Verso
Data de criao
Autor
Informao
Comit de Segurana da Informao

1.0
03/09/2009
Interna
Verso
Data
Autor
1.0
1. Introduo
A atribuio de papis e responsabilidades pela segurana da

informao um item obrigatrio em um SGSI. No incio do projeto
importante indicar os representantes que iro conduzir as aes e decises
relativas segurana da informao da organizao.
2. Objetivos
Criar um Comit de Segurana da Informao para coordenar as

atividades do Sistema de Gesto de Segurana da Informao.
2. O Comit de Segurana da Informao
Os representantes escolhidos para compor o Comit de Segurana da

Informao so de diferentes partes da organizao, com funes e papis
relevantes. Estes representantes iro acumular as funes que j
desempenham com os novos cargos criados. Os novos cargos e seus
representantes so:
continua
70
Anexo C Concluso. Comit de segurana da informao

Cargo
Consultor de Segurana
Auditor de Sistema de Informao
Analista de Segurana
Aprovado por:
______________________
Diretor do NETI
Nome
xxx
xxx
xxx
xxx
xxx
xxx
xxx
xxx
71
Anexo D Escopo do SGSI

Nome do documento
Verso
Data de criao
Autor
Informao
Escopo
1.1
10/09/2009
Pblica
Verso
Data
Autor
1.0
1.1
Conformidade com a declarao
de aplicabilidade
1. Introduo
O escopo o permetro de abrangncia que define os ativos que

sero contemplados no SGSI, sejam eles sistemas, equipamentos,
processos, etc.
2. Objetivos
Definir o escopo e os limites do SGSI nos termos das caractersticas

de negcio do NETI.
3. Escopo
O Sistema de Gesto de Segurana da Informao aplica-se ao

processo das rotinas de backup. Ele abrange os sistemas utilizados pelo
Hospital das Clinicas que esto armazenados nos servidores sob
responsabilidade do NETI, de acordo com a Declarao de Aplicabilidade,
verso 1.0, datada de 17/05/2010.
continua
72
Anexo D Concluso. Escopo do SGSI

Aprovado por:
____________________________
____________________________
Diretor do NETI
73
Anexo E Regulamento Interno de Segurana da Informao

Nome do documento
Verso
Data de criao
Autor
Informao
Regulamento Interno de Segurana da Informao

RISI
1.0
05/10/2009
Carlos Ribas
Pblica
Data
Autor
Verso
1.0
25/05/2010 Carlos Ribas
Aprovao do regulamento
1. Introduo
A informao principal ativo do NETI, afinal, ela de extrema

importncia para o desenvolvimento das atividades realizadas pelo Hospital
das Clnicas da Faculdade de Medicina da Universidade de So Paulo
(HCFMUSP).
A informao pode existir em diversas formas. Ela pode ser impressa
ou escrita em papel, armazenada eletronicamente, transmitida pelo correio
ou por meios eletrnicos, apresentada em filmes ou falada em conversas.
Assim, para protegermos este ativo, a segurana da informao deve
atender a trs elementos:
Confidencialidade: garantir que apenas as pessoas devidamente

autorizadas tenham acesso informao.
Integridade: proteger as informaes contra alteraes em seu

estado original. Estas alteraes podem ser tanto intencionais
quanto acidentais.
Disponibilidade: garantir que uma informao esteja acessvel

sempre que necessrio.
continua
74
Anexo E Continuao. Regulamento Interno de Segurana da

Informao
2. Objetivos
O Regulamento Interno de Segurana da Informao (RISI) uma

declarao formal da organizao acerca de seu compromisso com a
proteo das informaes, sejam elas de sua propriedade e/ou sob sua
guarda, e tem por finalidade atribuir responsabilidades, obrigaes, definir
direitos, deveres, expectativas de acesso e uso, e, criar uma cultura
educativa de proteo aos dados. Este regulamento aplica-se a todos os
funcionrios, parceiros e terceiros que utilizem o ambiente do NETI ou que
tenham acesso s informaes pertencentes a esta organizao.
3. Referncias utilizadas
O RISI foi elaborado de acordo com as normas ISO/IEC 27001,

ISO/IEC 27002 e ISO/IEC 27799 e sua implementao, seguindo as
orientaes destes padres internacionais, assegura um nvel de segurana
que apropriada para as organizaes que armazenam informaes da
rea da sade.
4. Responsabilidades
Da direo:
a) Aprovar este regulamento e suas revises;
b) Tomar as decises administrativas referentes aos casos de
descumprimento
deste
Regulamento
e/ou
da
Poltica
de
Segurana da Informao Corporativa.
continua
75

Informao
Dos funcionrios, parceiros e terceiros:
a) Cumprir e fazer cumprir a poltica, o regulamento, as normas e os
procedimentos de segurana da informao;
b) Buscar orientao do superior hierrquico imediato em caso de
dvidas relacionadas segurana da informao;
c) Assinar o Termo de Responsabilidade com a Segurana da
Informao, formalizando a cincia e o aceite com este
regulamento e com a Poltica de Segurana da Informao
Corporativa, bem como assumindo responsabilidade por seu
cumprimento;
d) Proteger as informaes sob sua responsabilidade contra acesso,
modificao, destruio ou divulgao no-autorizados.
Do Comit de Segurana da Informao:

a) Propor
ajustes,
aprimoramentos
modificaes
deste
Regulamento;
b) Propor projetos e iniciativas relacionados melhoria da segurana
da informao.
Qualquer dvida, orientao, sugesto ou situao que viole o

presente documento dever ser reportada ao Comit de Segurana, por
meio da seguinte conta: sgsi@hcnet.usp.br.
5. Classificao da Informao
As informaes devem ser inventariadas e classificadas de acordo

com seu grau de confidencialidade. Isto deve ser realizado com base na
Norma de Classificao de Informaes estabelecida pelo NETI.
continua
76

Informao
6. Procedimentos de segurana
As regras aqui descritas no constituem uma relao exaustiva e

podem ser atualizadas com o tempo, sendo que qualquer modificao ser
avisada em tempo hbil para remodelao (se necessrio) do ambiente.
6.1 Segurana fsica
a) Como primeiro nvel de segurana de acesso fsico as dependncias

do NETI, faz-se uso de um dispositivo de identificao biomtrica por
digital. Todos os funcionrios da organizao devem ser cadastrados
neste dispositivo. Esta condio tambm estendida a todos os
parceiros. Para terceiros, esta regra aplicada apenas quando a
organizao julgar necessria. Caso contrrio, o acesso de terceiros
as dependncias do NETI ser autorizado apenas mediante
identificao na recepo e em horrio comercial.
b) Os funcionrios e parceiros tm acesso fsico liberado somente aos
locais necessrios ao desempenho de suas atividades e em
conformidade com os interesses do NETI.
c) Todos os funcionrios, parceiros e terceiros, devem utilizar alguma
forma visvel de identificao.
d) O NETI se reserva no direito de monitorar suas dependncias por
meio de cmeras, sendo tais imagens armazenadas e de uso
exclusivo da organizao.
6.2 Comportamento Seguro
a) Funcionrios, parceiros e terceiros devem assumir atitude pr-ativa e

engajada no que diz respeito proteo das informaes da
Organizao.
continua
77
Anexo E Concluso. Regulamento Interno de Segurana da

Informao
b) Assuntos confidenciais de trabalho no devem ser discutidos em
ambientes pblicos ou em reas expostas, tais como: avies,
restaurantes, encontros sociais, etc.
7.0 Violaes
O no cumprimento das regras definidas nessa poltica implicar em

penalidades definidas pela administrao do Hospital. De acordo com a
Ordem Conjunta de servio n 06/98.
8.0 Termos e Definies
Parceiro: Empresa ou pessoa no pertencente ao quadro funcional

com aproximao profissional sem nus para o NETI.
Terceiro: Pessoa no pertencente ao quadro funcional do NETI

alocada para prestao interna de servio.
78
Anexo F Termo de Responsabilidade com a Segurana da Informao
SGSI - Sistema de Gesto

de Segurana da
Informao
Nome do documento
Verso
Data de criao
Autor
Informao
Termo de Responsabilidade com a Segurana da

Informao
1.0
05/10/2009
Pblica
1. Introduo
O Termo de Responsabilidade com a Segurana da Informao um

instrumento que formaliza a cincia e o aceite das polticas de segurana da
informao.
2. Objetivo
Assegurar o conhecimento das polticas de segurana adotadas pelo

NETI.
3. Termo de Responsabilidade com a Segurana da Informao
Declaro, nesta data, ter cincia e estar de acordo com as polticas de

segurana adotadas pelo NETI, a saber:
a) Poltica de Segurana da Informao Corporativa
b) Regulamento Interno de Segurana da Informao
Assumo o compromisso de respeit-los e cumpri-los plena e
integralmente.
continua
79
Anexo F Concluso. Termo de Responsabilidade com a Segurana

da Informao
So Paulo, ____ de ________________ de _______
______________________________
Nome:
RG:
80
Anexo G Declarao de aplicabilidade
ABNT NBR ISO/IEC 27001:2006 (Anexo A)

Item
Poltica de
Segurana
Seleo
Sim/No
Nmero Controle
5.1.1
5.1.2
5,1 Poltica de segurana da informao

Documento da poltica de segurana da informao
Anlise crtica da poltica de segurana da informao
6,1 Organizao interna

Comprometimento da direo com a segurana da
6.1.1
informao
6.1.2
Coordenao da segurana da informao
Atribuio de responsabilidades para a segurana da
6.1.3
Organizando a
informao
Segurana da
Processo de autorizao para os recursos de
6.1.4
processamento da informao
Informao
6.1.5
Acordos de confidencialidade
6.1.6
Contato com autoridades
6.1.7
Contato com grupos especiais
Anlise crtica independente de segurana da
6.1.8
informao
Exigncias da norma de referncia
Exigncias de negcio/melhores prticas
Resultado da anlise/avaliao de risco
Razes para Seleo
Justificativas / Documentos
comprobatrios
ENR EN/MP RAAR

Sim
Sim
X
X
Ref. RISI
Ref. Gesto de Polticas
Sim
Ref. Carta do Diretor
Sim
Ref. Comit de Segurana
No
Ser criado no prximo ciclo PDCA
No
No faz parte do escopo do projeto
No
No
No
Ser criado no prximo ciclo PDCA

Etapa ainda no contemplada pelo
SGSI
Sim
81
9 REFERNCIAS
ABNT ISO/IEC Guia 73:2005 Gesto de riscos Vocabulrio

Recomendaes para uso em normas.
ABNT NBR ISO/IEC 27001:2006 Sistemas de Gesto de Segurana da

Informao - Requisitos. 2006.
ABNT NBR ISO/IEC 27002 Tecnologia da Informao Tcnicas de

Segurana Cdigo de Prtica para a Gesto da Segurana da Informao.
2005.
Ahmad R, Samy GN, Ibrahim NK, Bath PA, Ismail Z. Threats identification in
healthcare information systems using genetic algorithm and cox regression.
In: IAS 09 - Fifth International Conference on Information Assurance and
Security. 2009. p. 757-60.
Al-Hammadi Y, Aickelin U. Detecting bots based on keylogging activities. In:

ARES 08 - Third International Conference on Availability, Reliability and
Security. 2008. p. 896-902
Alsagoff SN. Malware self protection mechanism. In:
ITSim 2008 -
International Symposium on Information Technology. 2008. p.1-8.
82
Andrade FF. O mtodo de melhorias PDCA [dissertao]. So Paulo: Escola

Politcnica, Universidade de So Paulo; 2003.
Ayotollahi H, Bath PA, Goodacre S. Paper-based versus computer-based

records in the Emergency Department: Staff preferences, expectations, and
concerns. In: ISHIMR 2008 - The Thirteenth International Symposium for
Health Information Management Research. 2008. p. 159-69.
Bernard, R. Information Lifecycle Security Risk Assessment: A tool for closing

security gaps. Computers & Security. 2007;26(1):26-30.
Brechlerova D, Candik M. New trends in security of electronic health

documentation. In: ICCST 2008 - 42nd Annual IEEE International Carnahan
Conference on Security Technology. 2008. p. 13-16.
Chen J, Guo C. Online detection and prevention of phishing attacks. In:

ChinaCom 06 - First International Conference on Communications and
Networking in China. 2006. p.1-7.
Collen MF. A history of medical informatics in the United States, 1950 to

1990. J Am Med Inform Assoc. 1995. p.489.
Dey M. Information security management - a practical approach. In: Africon

2007 - 8th IEEE Africon Conference. 2007. p. 1-6.
83
Deming WE. Qualidade: a revoluo da administrao. So Paulo: Marques

Saraiva, 1990.
Duan H, Wu J. Security Management for Large Computer Networks. In:

APCC/OECC'99 - Fifth Asia-Pacific Conference on Communications and
Fourth Optoelectronics and Communications Conference. 1999. p.1208-13.
Fenz S, Goluch G, Ekelhart A, Riedl B, Weippl E. Information Security

Fortification by Ontological Mapping of the ISO/IEC 27001 Standard. In:
PRDC 2007 - 13th Pacific Rim International Symposium on Dependable
Computing. 2007. p. 381 8.
Harrington JL. Network security. A practical approach. San Francisco.

Elsevier. 2005.
Huber M, Sunyaev A, Krcmar H. Security analysis of the health care

telematics infrastructure in Germany. In ICEIS 2008 - Proceedings of the
Tenth International Conference on Enterprise Information Systems. 2008. p.
144-53.
Humphreys E. Information security management standards: Compliance,

governance and risk management. Information Security Technical Report.
2008; 13(4):247-55.
84
Iso27001certificates [online]. Acessado em 23/06/2010. Disponvel em:

www.iso27001certificates.com.
Iso27001security [online]. Acessado em 21/06/2010. Disponvel em:

www.iso27001security.com/html/27001.html.
ISO/IEC 13335-1:2004 - Information technology - Security techniques Management of information and communications technology security - Part
1: Concepts and models for information and communications technology
security management.
ISO/IEC 27799 Health informatics Information security management in

health using ISO//IEC 27002. 2008.
Irani D, Webb S, Giffin J, Pu C. Evolutionary study of phishing. In: eCrime

Researchers Summit. 2008. p.1-10.
Kamel M, Benzekri A, Barrere F, Laborde R. Evaluating the conformity of an

access control architecture for Virtual Organizations with ISO/IEC 17799. In:
GIIS 2007 - Global Information Infrastructure Symposium. 2007. p.173-80.
Karabacak B, Sogukpinar I. ISRAM: Information security risk analysis

method. J Comput Secur. 2005; 24(2):14759.
85
Karabacak B, Sogukpinar I. A quantitative method for ISO 17799 gap

analysis. Computers & Security. 2006; 25(6):413-9.
Ku CY, Chang YW, Yen DC. National information security policy and its
implementation: A case study in Taiwan. Telecommunications Policy. 2009;
33(7):371-84.
Laribee L, Barnes DS, Rowe NC, Martell CH. Analysis and defensive tools for
social-engineering attacks on computer systems. In: Proceedings of the IEEE
Workshop on Information Assurance. 2006. p.388-9.
Lau F, Rubin SH, Smith MH, Trajkovic L. Distributed denial of service attacks.
In: ICSMC 2000 - IEEE International Conference on Systems, Man and
Cybernetics. 2000. p.2275-80.
Luethi M, Knolmayer GF. Security in health information systems: an

exploratory comparison of U.S. and Swiss hospitals. In: HICSS 09 - Hawaii
International Conference on System Sciences. 2009. p.1-10.
Massad E, Menezes RX, Silveira PSP, Ortega NRS. Mtodos quantitativos

em medicina. Barueri. Manole. 2004.
McGee AR, Bastry FA, Chandrashekhar U, Vasireddy SR, Flynn LA. Using
the bell labs security framework to enhance the ISO 17799/27001 information
86
security management system". Bell Labs Technical Journal. 2007;12(3):3954.
Miller HG., Murphy RH. Secure cyberspace: answering the call for intelligent
action. IT Professional. 2009;11(3):60-3.
Mitnick K, Simon W. The art of deception. Indianapolis. Wiley. 2002.

Ramos A, Bastos A, Lyra A, Andrucioli A, Affonso C, Poggi E, Pinto E, Blum
RO, Alevate W, Marinho Z. Security officer guia oficial para formao de
gestores em segurana da informao. 2th ed. Porto Alegre: Zouk; 2008.
Sahibudin S, Sharifi M, Ayat M. Combining ITIL, COBIT and ISO/IEC 27002

in order to design a comprehensive it framework in organizations. In: AICMS
08 - Second Asia International Conference on Modeling & Simulation, 2008.
p. 749-53.
Samy GN, Ahmad R, Ismail Z. Threats to health information security. In: IAS
09 - Fifth International Conference on Information Assurance and Security.
2009. p. 540-3.
Snchez LE, Villafranca D, Fernandez-Medina E, Piattini M. Practical

approach of a secure management system based on ISO/IEC 17799. In:
ARES 2006 - First International Conference on Availability, Reliability and
Security. 2006. p. 585-92.
87
Shortliffe EH, Perreault LE, Wiederhld G, Fagan LM. Medical informatics,

computers applications in health care and biomedicine. New York. Springer
2001.
Souza R. Metodologia para desenvolvimento e implantao de sistemas de

gesto da qualidade em empresas construtoras de pequeno e mdio porte
[tese]. So Paulo: Escola Politcnica, Universidade de So Paulo; 1997.
Tanenbaum AS. Redes de computadores. Rio de Janeiro. Campus. 2003.

Carlos Eduardo Ribas

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Carlos Eduardo Ribas

Enviado por

Direitos autorais:

Formatos disponíveis

Carlos Eduardo Ribas

Sistema de gesto de segurana da informao

Medicina da Universidade de So Paulo para

Programe de: Fisiopatologia Experimental

Dados Internacionais de Catalogao na Publicao (CIP)

reproduo autorizada pelo autor

Ribas, Carlos Eduardo

Descritores: 1.Gerenciamento da informao 2.Segurana (computao)

Ao Prof. Dr. Marcelo Nascimento Burattini pela orientao, colaborao,

Aos funcionrios da Diviso de Laboratrio Central, local onde seria

Dra. Clarice Gameiro da Fonseca Pachi pela ajuda na avaliao dos

Ao Antonio Joo Ferreira Francisco e a Anna Paula Amadeu da Costa pela

minha amiga Silvia Cruz pela ajuda com a lngua inglesa.

Ao Prof. Dr. Jorge Futoshi Yamamoto pelo apoio e incentivo.

Essa dissertao est de acordo com:

Referncias: adaptado de International Committee of Medical Journals

Universidade de So Paulo, Faculdade de Medicina, Servio de Biblioteca e

Abreviaturas dos ttulos dos peridicos de acordo com List of Journals

2.5.1 ISO/IEC 27001............................................................................. 18

4.4.1 Executar o Plano de Tratamento de Risco................................... 39

Anexo F Termo de Responsabilidade com a Segurana da Informao78

Associao Brasileira de Normas Tcnicas

Centro de Estudos, Resposta e Tratamento de

Hospital das Clnicas da Faculdade de Medicina da

Health Insurance Portability and Accountability Act

International Electrotechnical Commission

International Organization for Standardization

Information Security Risk Analysis Method

Information Technology Infrastructure Library

Ncleo Especializado em Tecnologia da Informao

Plan, Do, Check, Act

Sistema de Gesto de Segurana da Informao

Tabela 1 Pases com maior nmero de certificaes.................................. 5

Tabela 20 Anlise estatstica do questionrio ........................................... 55

Figura 1. Ciclo PDCA aplicado aos processos do SGSI ................................ 3

item importante para os negcios desenvolvidos na organizao ............... 58

Ribas CE. Sistema de gesto de segurana da informao em organizaes

disponibilidade das informaes. MTODOS: Utilizou-se a norma ISO 27001

Descritores: 1.Gerenciamento da informao 2.Segurana (computao)

Ribas CE. Information security management system in a healthcare

Descriptors: 1.Information Management 2.Computer Security 3.Technical

1.1 Sistema de Gesto de Segurana da Informao

Um Sistema de Gesto de Segurana da Informao (SGSI) pode ser

proteger as informaes da organizao e garantir a continuidade do

Planejar: estabelecer poltica do SGSI, objetivos, processos e

Fazer: implementar e operar a poltica do SGSI, controles,

Verificar: avaliar e, onde aplicvel, medir o desempenho de um

processo em relao poltica e aos objetivos do SGSI e, ento,

Agir: tomar as aes corretivas e preventivas, baseado nos

A Figura 1 ilustra como um ciclo PDCA de um SGSI considera as

Figura 1. Ciclo PDCA aplicado aos processos do SGSI

A gesto da segurana da informao traz benefcios para as

no seja a obteno da certificao junto a um organismo certificador

Fortalecer a percepo de segurana perante os usurios,

agncias reguladoras e judicirias;

Integrao da segurana da informao com os objetivos de

Segurana da informao demonstrvel e monitorada;

Linguagem nica internacional com padres da famlia ISO 27000;

Atendimento a requisitos jurdicos e regulatrios;

Fortalecimento da cadeia de valor de segurana e tecnologia da

Aprimoramento da gesto de segurana da informao na

Melhoria no poder de negociao de Riscos Operacionais e

Figura 2. O crescente nmero de certificaes no mundo

No Brasil, entre as empresas que possuem a certificao ISO 27001