CENTRO DE ENSINO ATENAS MARANHENSE - CEAMA

FACULDADE ATENAS MARANHENSE - FAMA

CURSO DE ADMINISTRAO COM HABILITAO EM ANLISE DE SISTEMAS

RAIMUNDO DO NASCIMENTO VIANA

ADMINISTRAO DE SISTEMAS DE INFORMAO:

segurana e os desafios ticos da tecnologia da informao

So Lus
2005

RAIMUNDO DO NASCIMENTO VIANA

ADMINISTRAO DE SISTEMAS DE INFORMAO:

segurana e os desafios ticos da tecnologia da informao

Monografia apresentada ao Curso de Administrao com

Habilitao em Anlise de Sistemas da Faculdade
Atenas Maranhense, para obteno do grau de Bacharel
em Administrao.
Orientador: Prof. Orlando Donato Rocha Filho

So Lus
2005

Viana, Raimundo do Nascimento

Administrao de sistemas de informao: segurana e os desafios
ticos da tecnologia da informao/Raimundo do Nascimento Viana. So
Lus, 2005.
63 f.
Monografia (Graduao em Administrao com Habilitao em Anlise
de Sistemas) - Faculdade Atenas Maranhense, 2005.
1. Sistemas-Informao. 2. Tecnologia de informao. 3. tica.
I.Ttulo.
CDU 658:004.056

RAIMUNDO DO NASCIMENTO VIANA

ADMINISTRAO DE SISTEMAS DE INFORMAO:

segurana e os desafios ticos da tecnologia da informao

Monografia apresentada ao Curso de Administrao com

Habilitao em Anlise de Sistemas da Faculdade
Atenas Maranhense, para obteno do grau de Bacharel
em Administrao.

Aprovada em: 23/11/2005

BANCA EXAMINADORA

________________________________________________
Prof. Orlando Donato Rocha Filho
Orientador

________________________________________________
Prof. Carlos Roberto Baluz Almeida
Examinador

________________________________________________
Prof. Cludio Leo Torres
Examinador

A Deus, meu Senhor e pastor.

Aos meus pais, pelo incentivo e apoio constantes.
A minha esposa, Maria de Jesus, pelo apoio, carinho e
companheirismo.

AGRADECIMENTOS

Agradeo a todos aqueles, que direta ou indiretamente, contriburam para a elaborao

desta monografia e, de modo especial, ao professor Orlando Donato Rocha Filho, pelo apoio e pela
segura orientao.

No h progresso sem mudana. E quem no consegue

mudar a si mesmo, acaba no mudando coisa alguma.
George Bernard Shaw

RESUMO

Sistemas de informao, segurana e os desafios ticos da TI. Desenvolveram-se

em razo da evoluo do conhecimento humano, e tornaram-se temas muito
discutidos por executivos e organizaes de rgos pblicos ou privados, a
preocupao com eles existe desde o sculo passado. Questionamentos so feitos
quanto aos aspectos, necessidades, mtodos, normas, polticas, controles e tica, o
que motiva os gestores de segurana da informao buscarem conhecimento
tcnico e a aplicar mecanismos de gesto cada vez mais complexos e flexveis,
frente aos cenrios dinmicos e heterogneos de todos os dias, com o nico objetivo
de proteger o bem maior, o ativo mais valoroso do sculo XXI, que a informao.
Os mecanismos, recursos ou ferramentas da TI, implementados atravs do PDS,
trouxeram para o ambiente organizacional os desafios ticos da TI, afetando as
tomadas de decises, os negcios e os recursos humanos. O compartilhamento
desse processo feito atravs de treinamentos, divulgao e conscientizao,
iminente, a fim de flexibilizar a implementao da segurana da informao com os
recursos da TI, cujo objetivo contribuir para o melhor desempenho das
organizaes e dos profissionais. Desta forma, este trabalho apresenta em seu
conjunto um estudo sobre segurana da informao e os desafios ticos da TI
implementados nos SI de uma organizao.

Palavras-chave:

mtodos,

divulgao, conscientizao.

normas,

polticas,

controles,

tica,

treinamentos,

ABSTRACT

Information systems, security and ethical challenges of the TI.

They had been

developed because of the human knowledge evolution, and they had become
subjects wide discussed by executives and organizations from public or private
agencies, the concern with them exists since the last century. Questionings are
made about aspects, necessities, methods, norms, politics, controls and ethics, what
motivates the information security managers to search technical knowledge and to
apply management mechanisms at each time more complex and flexible, front to the
dynamic and heterogeneous scenes of every day, with the only objective to protect
the biggest property, the most expensive asset of the XXI century, that it is the
information. The mechanisms, resources or tools the TI, implemented through the
PDS, had brought for the organizational environment the ethical challenges of the TI,
affecting the decisions making, the businesses and the human resources.

The

sharing of this process is made through training, making it public and aware is
imminent, in order to make the information security implementation with the
resources of TI more flexible, the objective is to contribute for the best performance
of organizations and professionals. This way, his work presents in its set a study on
security of the information and the ethical challenges of the implemented TI in the SI
of an organization.

Keywords: methods, norms, politics, controls, ethics, training, spreading, awareness.

LISTA DE FIGURAS

Figura 1 - Recursos bsicos dos SI........................................................................ 15

Figura 2 - Modelo de um de SI utilizando seus recursos e componentes .............. 17
Figura 3 - Os trs principais papis dos SI............................................................. 22
Figura 4 - Classificao conceitual dos SI.............................................................. 26
Figura 5 - Ciclo de vida da informao e os aspectos............................................ 32
Figura 6 - Os trs princpios bsicos da segurana da informao........................ 36
Figura 7 - Ciclo do PDCA ....................................................................................... 38
Figura 8 - Mapa de relacionamento entre processos de negcio e infra-estrutura. 41
Figura 9 - Elementos que geram o risco nos SI ..................................................... 42
Figura 10 - Subdiviso da gesto de segurana nos SI ......................................... 45
Figura 11 - Fatores que podem afetar o processo de tomada de deciso ............. 54

LISTA DE SIGLAS

ABNT

- Associao Brasileira de Normas Tcnicas

IEC

- International Electrotechnical Commission

ISO

- International Organization for Standardization

MISs

- Management Information Systems

NBR

- Norma Brasileira de Redao

PDCA

- Plan, Do, Check e Act

PDS

- Plano Diretor de Segurana

PSI

- Polticas de Segurana da Informao

PUC-Rio

- Pontifcia Universidade Catlica do Rio de Janeiro

SI

- Sistema de Informao

TI

- Tecnologia da Informao

SUMRIO

LISTA DE FIGURAS ......................................................................................... 09

LISTA DE SIGLAS ............................................................................................ 10
1 INTRODUO .................................................................................................. 12
2 SISTEMAS DE INFORMAO ........................................................................ 15
2.1 Conceitos......................................................................................................... 15
2.2 Estrutura .......................................................................................................... 17
2.2.1 Recursos ..................................................................................................... 18
2.2.2 Componentes .............................................................................................. 20
2.3 A importncia dos sistemas de informao na estrutura organizacional . 22
2.4 Tipos de sistemas de informao ................................................................. 25
3 SEGURANA DA INFORMAO ................................................................... 30
3.1 Histrico .......................................................................................................... 30
3.2 Conceitos e princpios bsicos ..................................................................... 31
3.3 Plano diretor de segurana............................................................................ 37
3.4 O risco na segurana da informao ............................................................ 41
3.5 Polticas de segurana da informao.......................................................... 44
3.6 Tipos de controles implementados em segurana da informao ............ 47
3.7 Treinamento e sensibilizao em segurana da informao...................... 49
4 DESAFIOS TICOS DA TI IMPLEMENTADA NOS SI DE INFORMAO..... 52
4.1 TI e os desafios ticos no ambiente organizacional.................................... 52
5 CONCLUSO ................................................................................................... 57
REFERNCIAS ................................................................................................ 60
GLOSSRIO..................................................................................................... 62

12

1 INTRODUO

A revoluo da informao e o crescente uso da TI nas organizaes

ampliaram a capacidade para adquirir, manipular e comunicar informaes, atravs
dos SI que se tornaram extremamente importantes na estrutura organizacional, do
nvel estratgico ao operacional.
Para Smola (2003, p. 1) desde as Revolues Eltrica e Industrial, a
abertura do mercado e o aumento da competitividade, a informao sempre esteve
presente, influenciando as organizaes na gesto do negcio em diferentes
segmentos, aumentando a agilidade, reduzindo os custos, melhorando a
produtividade e apoiando as tomadas de decises dos gestores.
Na atual realidade, que dependente da informao, ativo de maior valor
para as organizaes, independente do segmento do negcio (seja comrcio,
indstria ou financeira), a informao abre novos horizontes e mercados para a
expanso em busca de maiores lucros e perspectivas.
Esse impacto significativo desenvolveu progressivamente situaes cada
vez mais difceis e complexas, no desenvolvimento, na segurana e nas dimenses
ticas dos SI, interconectados entre si e com os usurios finais das organizaes.
Diversos motivos para uma organizao proteger suas informaes foram
visualizados, tornando-os importantes para o crescimento do negcio, assim como
para os concorrentes, sabotadores, invasores, espies, vrios tipos de golpistas e/ou
crackers.

13

A segurana da informao tornou-se uma ferramenta necessria nos

ambientes organizacionais para controlar todo o ciclo da informao. A elaborao
do PDS (que o resultado do planejamento, de diretrizes, normas e procedimentos,
estabelecendo as PSI e os tipos de controles a serem implementados) com o
objetivo de atenuar os efeitos nocivos para garantir a segurana nos SI tornou-se
algo de grande importncia.
As organizaes passaram a controlar suas informaes implementando
os recursos da TI para garantir a segurana dos SI. Esse procedimento aumentou os
benefcios, considerando que os controles so to necessrios como quaisquer
outros recursos vitais para a garantia da segurana nos SI. Entretanto, as
dimenses ticas geraram desafios para as organizaes e para os profissionais na
implementao e aplicao dos recursos tecnolgicos. Esse aspecto exige das
organizaes, dos gestores e dos profissionais, planejamento, eficincia e tica,
principalmente na atual realidade em que a globalizao transforma a informao
recente em ultrapassada.
A relao entre a TI e a dimenso tica um desafio para as
organizaes que promovem a participao e treinamento dos profissionais,
usurios finais e gerencias desde a elaborao do PDS, das PSI, at a
implementao dos controles, a seleo e o recrutamento de capital humano e a
realizao

de

auditorias

internas ou externas.

Pois, estas

medidas

so

extremamente importantes para a organizao criar e manter sua cultura de

segurana da informao.
Desta forma, apresenta-se este estudo sobre segurana e os desafios
ticos da TI que tem como objetivo mostrar quais os tipos de ferramentas e controles

14

que so implementados atualmente pelas organizaes para garantir a segurana,

como implement-los, atenuando os efeitos nocivos com tica e analisar os
aspectos da segurana e as vulnerabilidades existentes na estrutura dos SI.
Esta monografia est dividida em cinco sees. Abordamos na segunda
seo os conceitos, a estrutura, os recursos, os componentes, a importncia e os
tipos de SI. Na terceira, o histrico, os conceitos e princpios bsicos, o PDS, o risco,
as PSI, os tipos de controles da segurana da informao e o treinamento e
sensibilizao em segurana da informao. Na quarta, os desafios ticos com a
implementao dos recursos da TI no ambiente organizacional. E na quinta, a
concluso do trabalho.

15

2 SISTEMAS DE INFORMAO

2.1 Conceitos

Sistemas de Informao um conjunto de recursos, que coleta, processa,

armazena, analisa e dissemina as informaes produzidas pelos departamentos da
estrutura organizacional no apoio s decises gerenciais e operacionais.
Para OBrien (2004, p. 6) SI um conjunto organizado de pessoas,
hardware, software, procedimentos, redes de comunicaes e dados, que coleta
transforma e dissemina informaes em uma organizao. A Figura 1 mostra a interrelao dos recursos bsicos nos SI.

Sistemas de informao

Redes

Software

Pessoas

Hardware

Figura 1 - Recursos bsicos dos sistemas de informao.

Dados

16

Os SI desenvolveram-se rapidamente em razo da evoluo do

conhecimento humano, crescimento das organizaes e a quantidade de dados no
ambiente organizacional. Segundo Bio (1996, p. 68) o crescimento das organizaes
deve ser analisado, no apenas pelo aumento da produo, mercado e atividades,
mas tambm pela diversificao e utilizao de recursos tecnolgicos mais
complexos, alterando a execuo dos processos, conforme o nvel de complexidade
e o grau de formalizao das estruturas, que esto ligadas diretamente s
caractersticas e ao estgio de desenvolvimento da organizao.
A organizao precisou organizar e estruturar seus dados, que so fatos
ou descries de eventos, atividades e transaes capturadas, registradas,
armazenadas e classificadas, que se desorganizadas perdem seu significado.
SI no deve ser entendido como sinnimo de TI, que o conjunto de
recursos tecnolgicos facilitadores das atividades e processos organizacionais
necessrios para o tratamento das informaes.
Os SI, na sua execuo, trabalham com trs elementos de grande valor
que devem ser diferenciados para melhor atenderem as necessidades dos
componentes de entrada, processamento e sada. Para Turban, Rainer e Potter
(2003, p. 17) ao estudar um SI, essencial saber a diferena entre os trs
elementos utilizados pelos SI, que so:

Dados so fatos, ou descries bsicas de eventos, atividades e

transaes

que

so

capturados,

registrados,

armazenados

classificados, porm, no so organizados.

Informao conjunto de fatos, ou seja, dados organizados com

significado para o usurio final.

17

Conhecimento conjunto de informaes organizadas e processadas

prontas para transmitir discernimento, experincias e habilidades que
podem ser aplicadas a um problema ou deciso gerencial.

2.2 Estrutura

A estrutura dos SI fundamental, por ser essencial no ambiente

organizacional para formar um conjunto dinmico inter-relacionado utilizando os
recursos e componentes para processar dados em informaes, que podem ser
transmitidas como conhecimento para o nvel estratgico e os usurios finais, ver
Figura 2.
Dados

Recursos
Componentes
Pessoas

Entrada

Hardware

Feedback

Recursos de
dados

Controle
desempenho

Processo dos
dados e
informaes

Redes
Feedback

Produtos de
informao

Armazenamento

Figura 2 - Modelo de um de SI utilizando seus recursos e componentes.

Sada

Software

18

2.2.1 Recursos

Os recursos humanos compreendem todos os usurios finais do sistema e

os analistas em sistemas de informao. Esses recursos apresentam os maiores
riscos no ambiente organizacional, mesmo porque, o ser humano nasce com aquele
impulso natural de explorar tudo aquilo que o cerca.
Beal (2005, p. 71) considera que os recursos humanos so acertadamente
considerados o elo frgil da segurana da informao. A qualificao e o preparo
desse recurso agrega valores metodologia implementada, principalmente quando
o treinamento abrange o domnio de conceitos que geram questionamentos, como
know-how e know-why, que so gerados, basicamente, quando o profissional
estabelece seu prprio mtodo de trabalho, que pode ser especfico para
determinado processo.
fundamental perceber que, para um sistema realizar operaes no
desenvolvimento dos processos na organizao, necessrio ter pessoas, que no
so apenas os usurios finais, mas tambm os clientes, os fornecedores e todos que
utilizam as informaes que o sistema produz. Essas pessoas podem ser os
especialistas, os programadores, os operadores de computadores, gerentes,
tcnicos e agentes administrativos, com capacidades para o desenvolvimento e
operao atravs de projetos, baseados nas exigncias de informao e dos
usurios.
O planejamento educacional tambm fundamental na implantao de
metodologias e deve ser executado em todos os nveis da estrutura organizacional,

19

pois a compreenso e o aprendizado contribuiro para a gesto da informao,

integrando a viso tcnica com a viso do negcio.
necessrio investir na conscientizao dos recursos humanos da
organizao sobre este tema. Para valer esse investimento, destaca-se a
necessidade do importante documento denominado PSI. Todo recurso humano,
inclusive os executivos e diretores devem estar conscientes de que as informaes
por eles manuseadas tm valor, mas que se no estiverem protegidas e seguras
podem causar grandes prejuzos para a organizao em que trabalham, provocando
demisses, questes judiciais e impossibilitando a organizao de realizar seus
negcios e de se perpetuar no tempo.
Os recursos de software so todos os conjuntos de scripts e instrues em
diferentes linguagens que interpretam para a linguagem dos computadores os
processamentos dos dados. Nesse recurso, segundo OBrien (2004, p. 22) so
utilizadas no somente instrues operacionais como os programas, que dirigem e
controlam o hardware, mas tambm, os conjuntos de instrues que so
requisitadas pelos recursos humanos, como os procedimentos para chegar
informao.
Os recursos de hardware so compostos de todos os dispositivos fsicos e
equipamentos

utilizados

nos

processamentos

dos

dados

no

ambiente

organizacional. Estes so as mdias de dados, os discos magnticos, papis e

objetos tangveis que so fundamentais na produo e no gerenciamento da
informao.
Os recursos de dados assumem diversas formas, tais como, dados
alfanumricos, caracteres alfabticos e tantos outros que descrevem transaes de

20

negcio ou eventos e entidades. Para OBrien (2004, p. 22) os recursos de dados

so mais do que matrias-primas. Quando seguem a metodologia especfica e
implementada na organizao, os registros so armazenados em banco de dados
com segurana e, constituem um valioso recurso para a organizao, pois, se
administrados efetivamente, geram benefcios em todo ambiente organizacional,
atendendo s necessidades dos usurios finais na criao de relatrios.
Os recursos de redes, segundo Turban, Rainer e Potter (2003, p. 184),
so formados por meios de comunicao, dispositivos e softwares necessrios para
conectar sistemas de computadores, como as intranets, extranets e a internet, que
atravs de protocolos de comunicao estabelecem o compartilhamento e a
disponibilidade de acesso, que so indispensveis nas operaes realizadas no
desenvolvimento das atividades no ambiente organizacional. Esses recursos
dependem diretamente dos recursos de hardware, software, humano e dos
dispositivos que so interconectados e controlados pelos sistemas e, so
fundamentais para as organizaes modernas, por diversos motivos, como
flexibilidade, adaptao, compartilhamento de hardware, aplicaes, bancos de
dados, documentos, idias, criatividade e interaes mais eficientes.

2.2.2 Componentes

A entrada de recursos de dados o componente do SI responsvel pela

captura dos registros e edio dos dados que so gravados atravs de recursos de

21

hardware e software em recursos de dados. ele que assegura que os dados foram
corretamente capturados e que podem ser transferidos ou requisitados para o
processamento.
O processamento de dados em informaes realiza uma anlise geral dos
dados. Esta anlise, necessariamente, deve obedecer a um padro de qualidade
desde a captura realizada pelo componente de entrada. As atividades desse
componente so: organizar, analisar, comparar, classificar, mesclar, manipular e
converter. Esses processos proporcionam aos usurios finais a informao precisa e
eficiente.
A sada de produtos da informao realiza a transmisso da informao
de vrias formas para os usurios finais. Esse componente a meta, o desafio de
qualquer organizao a ser alcanado por meio dos SI, visto que, atravs desse
componente so visualizados produtos como os relatrios, as mensagens, as
imagens, o udio e multimdias. Para alcanar esses resultados, esse componente
necessita de qualidade dos dados, que so extremamente decisivos e valiosos para
que a informao alcance suas dimenses de tempo, contedo e forma na
organizao.
O armazenamento de recursos de dados assume atividades bsicas, mas
fundamentais nos SI, na execuo de mtodos para organizao dos dados, que
so armazenados nos bancos de dados, facilitando o processamento ou a
recuperao destes dados na sada, atendendo as requisies dos usurios finais.
O controle de desempenho do sistema um dos componentes mais
importantes na atividade dos SI, pois dele produzido o feedback de todas as
atividades dos elementos de entrada, processamento, sada e armazenamento. O

22

feedback deve ser controlado, avaliado e analisado para determinar se o sistema

est atendendo aos padres de desempenho estabelecidos pela metodologia
implementada. Os ajustes so importantes at que sejam atendidos os objetivos e
requisitos dos usurios e das decises estratgicas.

2.3 A importncia dos sistemas de informao na estrutura organizacional

Os SI qualificam sua importncia dentro da organizao quando as

informaes so positivas e eficazes em todo o ambiente organizacional, elevando a
capacidade de realizao atravs dos recursos disponveis, que so utilizados com
eficincia.
Os SI sintonizados e integrados com as necessidades da informao nos
processos decisrios, tornam fundamental atender cada um dos elementos
envolvidos no processo interagindo e apoiando no suporte, conforme Figura 3, com
base nos principais papis.

Apoio
Estratgico

Apoio Ttico,
Gerencial

Apoio Operacional
Figura 3 - Os trs principais papis dos SI, adaptado de OBrien (2004, p. 9).

23

Para OBrien (2004, p. 9) os papis vitais dos SI na estrutura

organizacional proporcionam a essncia do planejamento, a vantagem competitiva e
o controle na tomada de decises, nos nveis estratgico, ttico e operacional, se o
contedo for adequado e confivel. Portanto, quando os SI desenvolvem os
principais papis realizam conquistas de vantagens estratgicas, gerenciais e
operacionais, mas isso requer inovao, dinamismo e investimentos, para conquistar
vantagem competitiva no mercado e principalmente apoio do ambiente empresarial.
Investimentos e inovao nos SI com recursos de TI requerem mais
empenho dos recursos utilizados nos SI. Sistemas mal administrados e mal
aplicados tm mais chances de seguir para o fracasso do que para o sucesso
tecnolgico e comercial do prprio negcio. Identificar os objetivos e as razes seja
de sucesso ou de fracasso fundamental para o desenvolvimento dos SI que
representam uma rea funcional importante para o sucesso, assim como o
marketing, a produo, as vendas e os recursos humanos.
As organizaes devem conhecer, atravs do PDS, suas necessidades de
informaes em todos os nveis. Por essa razo as informaes devem conter
caractersticas de quantidade, qualidade e oportunidade, adquiridas somente pelos
SI, que tero maior confiabilidade e valor, dependendo de sua qualidade de
integrao, para que atenda as necessidades, conforme os requisitos do ambiente
organizacional.
A intensa transformao nos processos administrativos, com a utilizao
da TI, fez surgir, de imediato, questes quanto ao desenvolvimento da estrutura
organizacional de uma empresa, considerando sua complexidade, o grau de
formalizao e os dados gerados na execuo das funes administrativas.

24

Essa transformao, que deve ser levada em considerao por ser um

elemento fundamental para o desenvolvimento, no tem despertado interesse das
organizaes em implementar ou adaptarem-se em funo de polticas, cultura e
implicaes da implementao dos SI. Esse contexto no diferente de outros
recursos implementados e adaptados nas estruturas organizacionais, porque geram
impactos e grandes mudanas.
A organizao, com viso de desenvolvimento no ambiente organizacional
a mdio ou longo prazo, mas sem planejamento da estrutura que evolui
naturalmente, ser incapaz de continuar atingindo certo nvel de eficincia no
gerenciamento dos dados e conseqentemente das informaes.
O estgio embrionrio de desenvolvimento da estrutura de uma
organizao, independente da sua complexidade, de suas caractersticas ou grau de
formalizao, apresenta aspectos positivos para dimensionar, atravs de idias,
planejamentos e projetos. Este procedimento deve identificar qualquer tipo de
implicao existente nos departamentos ou na execuo das funes da
organizao para implantar os SI, que deve ser adaptado conforme o tipo de
estrutura organizacional em funo da natureza do negcio e das caractersticas
peculiares de cada organizao.

25

2.4 Tipos de sistemas de informao

Aps a Segunda Guerra Mundial, ouve-se falar em diversos tipos de

sistemas, tais como: hidrulicos, econmicos, de defesa e tantos outros que
proporcionam, atravs do planejamento estruturado um SI. Isso ocorre por meio de
idias e projetos que geram impactos em todos os campos do conhecimento,
iniciados

pela

anlise

de

toda

estrutura

organizacional,

sintetizando

as

complexidades e combinando resultados, atravs de conjuntos de elementos

interdependentes, ou partes que interagem formando um todo organizado com
diretrizes, normas e procedimentos para formarem os SI, conforme anlise de Bio
(1996, p. 17).
Os sistemas se formam no ambiente organizacional naturalmente com o
processamento de registros e dados, assim que a organizao comea a tomar
decises no planejamento, no controle, na gerncia e nas operaes. Com a
evoluo dos sistemas naturais as necessidades gerenciais comeam a ser, real.
Originados principalmente do mercado, nas tomadas de decises, e, para suprir
essas necessidades, os dados precisam ser classificados, ordenados e processados
conforme a estrutura organizacional e o negcio.
A classificao dos SI essencial para o gerenciamento das informaes.
Essa classificao segue a estrutura organizacional e o segmento do negcio no
mercado. No existe uma classificao padro, definida, isto porque, as informaes
sem muita relevncia nas decises gerenciais podem burocratizar e at mesmo
gerar inconsistncias em todo o processo. Mas realizar a classificao dos sistemas,

26

conforme as necessidades do negcio importante porque representa a evoluo

do planejamento dos SI na organizao.
OBrien (2004, p. 28) classifica os SI em dois grupos principais, segundo
termos conceituais, que so os sistemas de apoio gerencial e apoio s operaes.
No mundo real, esses grupos incorporam vrios subsistemas, que podem ser
criados para apoiar a gesto e as operaes, sejam eles temporrios ou
permanentes. A Figura 4 ilustra a classificao conceitual dos SI.

Sistemas de
informao

Sistemas de
apoio
s operaes

Sistemas de
Processamento

Sistemas de
apoio
Gerencial

Sistemas de
Controles

Sistemas de
Informao
Gerencial

Sistemas de
apoio
s decises

Ambiente
organizacional

Figura 4 - Classificao conceitual dos SI, adaptado de OBrien (2004, p. 28).

Os sistemas de apoio gerencial constituem-se de um conjunto de

habilidades considerado fundamental no alcance das metas das organizaes nos
negcios, utilizando os recursos e os componentes dos SI nas tomadas de decises
sobre planejamento, organizao, motivao, produo e controle. Segundo Turban,
Rainer e Potter (2003, p. 36) esses sistemas, os MISs (Management Information

27

Systems) comearam a ser desenvolvido nos anos 60, atravs de uma nova safra
de SI para dar suporte tomada de decises.
Como a principal funo do gerente tomar decises, os dados, as
informaes e o conhecimento so necessrios para apoiar, respaldar e valorizar as
decises, que necessariamente precisam ser fundamentadas.

Nesse contexto,

somente os SI gerenciais podem fornecer informaes adequadas, pois so voltados

para o apoio s tomadas de decises realizadas pelos gerentes. A partir dos
relatrios ou vdeos disponveis nos terminais, os gerentes, tambm podem formar
estratgias de sobrevivncia de projetos, negcios, estratgias mercadolgicas,
financeiras e de investimentos. Tomar boas decises sem processar dados ou ter
informaes suficientes e eficientes muito difcil, porm, muito fcil que isso afete
diretamente a organizao e o desempenho do negcio.
Muitas organizaes enfrentam problemas nos dias atuais, porque grande
parte, se no todos os seus dados e informaes comparativas, s existem em
papel, sem a possibilidade de processamento imediato utilizando os recursos
disponveis da TI no mercado. Experincias negativas e as necessidades da
eficincia na manipulao dos documentos para a obteno de uma vantagem
competitiva

tm

alimentado

crescente

disponibilidade

de

sistemas

de

gerenciamento de documentos dentro das organizaes, permitindo maior controle

sobre a criao, armazenamento e distribuio destes, resultando em mais eficincia
no acesso, utilizao e controle das informaes, afirma Turban, Rainer e Potter
(2003, p. 367).
Os SI no apoio gerencial e nas responsabilidades administrativas so
necessrios, mas a implementao deve seguir a metodologia e a estrutura

28

organizacional para no gerar volumes de informaes extensos que dificultem as

decises gerenciais.
Conforme, a necessidade as informaes devem ser canalizadas para
anlises quantitativas e qualitativas, respaldando as funes dos gerentes e dos
sistemas atravs dos seus recursos, de modo que elas se tornem um componente
integrante dos processos, produtos e servios que ajudam as organizaes a
conquistarem vantagens competitivas no mercado globalizado.
Sistemas de apoio s operaes sempre foram necessrios para o
processamento de dados que so utilizados nas operaes das organizaes. Eles
so formados por uma diversidade de dados que produzem produtos de informao
para uso interno e externo.
Os sistemas de apoio s operaes caracterizam-se por processar, de
modo eficiente, transaes e controles dos processos industriais, da produo e das
vendas na execuo de projetos, no apoio s comunicaes e colaborao,
atualizando o banco de dados para produzir a informao especificamente gerencial.
Outras categorias de sistemas podem ser inseridas nos SI operacionais, esse
processo depende das formas de processamento que a organizao utiliza na sua
metodologia implementada.
Para OBrien (2004, p. 29) definir uma forma de processamento que
satisfaa as necessidades da organizao em todos os nveis da estrutura
organizacional importante. Nas transaes o processamento pode ser em lotes ou
em tempo real, on-line, em que os dados so processados imediatamente depois da
ocorrncia da transao. No controle de processos das atividades o processamento
monitorado continuamente e so aplicados reajustes imediatos, ou seja, em tempo

29

real. No apoio a comunicao os sistemas de apoio operacional tambm so

fundamentais, pois aumentam as comunicaes e a produtividade das equipes de
trabalho, via correio eletrnico e videoconferncias. Esses recursos ajudam de modo
eficiente na gesto das atividades organizacionais, reduzindo custos e facilitando a
realizao das metas.
Nas organizaes os sistemas de apoio s operaes so responsveis
pelos processos que transformam entradas em sadas eficientes. uma rea muito
diversificada, assim como outros SI, portanto diverge de uma organizao para
outra, mesmo que atuem no mesmo segmento de mercado.

30

3 SEGURANA DA INFORMAO

3.1 Histrico

A civilizao humana sempre buscou a proteo das informaes dos

conhecimentos adquiridos. Na antiga civilizao egpcia, somente as castas
superiores da sociedade tinham acesso aos manuscritos da poca, principalmente
ao que eles escreviam. A escrita por meio de hierglifos do Egito antigo representa
uma das vrias formas utilizadas pelos antigos para protegerem a informao e
perpetuarem o seu conhecimento. (GONALVES, 2003).
Uma maior ateno para isso passou a existir na sociedade moderna com
os primeiros computadores, que despertaram o interesse por uma maior segurana
das informaes. Essa preocupao era ainda muito rudimentar, porm com o
passar do tempo esse processo sofreu muitas mudanas.
Os interesses voltados para a segurana no mbito dos computadores
foram crescendo com o surgimento dos computadores time-sharing, que permitiam
que mais de uma pessoa ou usurio fizesse uso do computador ao mesmo tempo,
acessando as mesmas informaes. Esse acesso no era gerenciado, logo causaria
efeitos indesejveis, como de fato acontece nos dias de hoje. A necessidade da
implementao de ferramentas que gerenciassem os mecanismos para minimizar o
problema dos incidentes com as informaes era iminente.

31

Em outubro de 1967 nos Estados Unidos foi criado uma fora tarefa, que
resultou em um documento, o Security Control for Computer System: Report of
Defense Science Boad Task Force on computer Security, editado por W. H. Ware,
que representou o incio do processo oficial de criao de um conjunto de regras
para segurana de computadores reconhecido mundialmente, que a Norma
Internacional de Segurana da Informao ISO/IEC-17799:2000, que j possui uma
verso aplicada aos pases de lngua portuguesa, denominada NBR ISO/IEC17799:2001. (GONALVES, 2003).

3.2 Conceitos e princpios bsicos

A segurana uma das principais reas nas organizaes que esto

voltadas para a proteo de seus ativos - tais como a informao - contra acessos,
alteraes, publicaes indevidas e no autorizadas, que tm se tornado mais
presente e representativos nos SI.
Para Freire (2003, p. 1) a segurana da informao visa proteger esse,
ativo importante e de alto valor para a organizao, e que, portanto, necessita ser
adequadamente protegido de diversos tipos de ameaas, garantindo assim, a
continuidade dos negcios.
Podemos definir Segurana da Informao como uma rea do
conhecimento dedicada proteo de ativos da informao contra acessos
no autorizados, alteraes indevidas ou sua indisponibilidade. (SMOLA,
2003, p. 45).

32

Segurana a definio de um conjunto de diretrizes, normas e

procedimentos que so aplicados em todos os momentos do ciclo de vida, conforme
os aspectos complementares da informao, como mostra a Figura 5, viabilizando a
identificao e o controle de ameaas e vulnerabilidades da informao no ambiente
organizacional.
Manuseio

Descarte

Confidencialidade
Integridade
Disponibilidade

Armazenamento

Autenticidade e Legalidade
Transporte
Figura 5 Ciclo de vida da informao e os aspectos, adaptado de Smola (2003, p. 11).

Ferramenta que no segue padres, mas metodologias implementadas

pelas organizaes, baseadas em normas como a NBR ISO/IEC-17799:2001,
conforme estrutura organizacional e perfil no mercado, a segurana essencial.
Porm, nem sempre implementada nas empresas, por razes culturais e/ou
polticas, como apoio da direo, foco nas finanas, nos produtos e tantos outros
fatores que influenciam esse processo. Esse contexto j apresenta resultados
positivos rumo a mudanas, influenciado por novidades que surgem no mercado e
provocam alteraes nas organizaes.

33

A informao, produto do processamento de um conjunto de dados,

esteve sempre presente em todas as etapas das atividades desenvolvidas nas
organizaes, cumprindo importante papel na gesto dos negcios e nas tomadas
de decises. Todas as organizaes, por menor que sejam, independente do seu
segmento no mercado, core-business e porte, sempre usufruram da informao
com objetivos de melhorar a produtividade, reduzir custos, aumentar a agilidade, e a
competitividade, dando apoio tomada de deciso e principalmente proporcionando
ganho de market share.
As

informaes

que

dcadas

eram

centralizadas

pouco

automatizadas foram tratadas nas fases da evoluo corporativa e da TI, ferramenta

propulsora para a valorizao da informao no ambiente organizacional, conforme
OBrien (2004, p. 3).
O aumento dos investimentos em TI trouxe alta funcionalidade s
informaes, tornando-as mais acessveis, diferente de quando eram documentos
manuais, manuscritos em arquivos com baixa funcionalidade. Os mainframes
herdaram a funo central do processamento e armazenamento dos dados que
eram consultados em operaes via acesso remoto. Uma importante mudana
nesse processo foi o compartilhamento da informao que passou a ser uma prtica
moderna na gesto da informao, necessria para dar maior rapidez s aes e
tomadas de decises.
A grande quantidade de informao e a necessidade de gesto dela tm
provocado vrios incidentes, graves, no ambiente empresarial, que apresenta
iminente obrigao de definir estratgias de segurana no ambiente organizacional.
Essa estratgia deve ser implementada de forma abrangente, devendo ser atribuda

34

grande acuidade aos mecanismos de segurana, inclusive aos administrativos.

fundamental buscar a valorizao dos processos e do conhecimento em toda
estrutura organizacional, visando obter solues com a implementao de recursos
de segurana.
Por dcadas desenvolveram-se ferramentas de TI que integraram o nosso
mundo pessoal, profissional, estilos de vida e o ambiente organizacional de uma
forma natural e parcialmente equilibrada. Smola (2004, p. 16) compara a ausncia
desses mecanismos ou sua presena estando completamente alterados, com ter
uma casa sem portas ou com portas, mas sem as devidas fechaduras e sem polcia.
A segurana nos SI sofre particularmente com os problemas no
identificados, pois seu crescimento desorganizado e exagerado impossibilitou que
fosse tratada de uma forma lgica e seqencial. Com o atual estado da segurana
fcil identificar a sua falta de objetivos concretos, o que impossibilita a captura de
uma viso global do problema, levando muitas organizaes a ignorarem os
benefcios da TI e conseqentemente da segurana que se faz necessria.
Os benefcios que as TI trazem para os negcios so desconhecidos para
68% das organizaes, segundo pesquisa da Consultoria Booz Allen Hamilton.
(BORGES, 2005).
Hoje em dia a segurana no mundo empresarial no vista ainda como
um benefcio por este campo tem a sua referncia nos produtos. O ambiente
empresarial e os negcios esto focados apenas nos produtos, interessados apenas
em movimentar largas somas monetrias, e isso no ajuda a evoluir da forma como
problema est sendo vivenciado, dificultando a concretizao da prpria adoo das
melhores prticas.

35

No entanto, identifica-se que as grandes ocorrncias relacionadas fuga e

perdas de servio e informaes, principalmente no interior das organizaes,
continuam a ser um dos principais causadores de perdas financeiras. Desse modo,
quando aplicada aos SI, a segurana deve ser aceita como um fator importante,
inevitvel e incontornvel para o ambiente empresarial.
Essa perspectiva deve ser entendida, interiorizada e totalmente apoiada
principalmente pelos diretores das organizaes. Devem ser definidos objetivos
claros de segurana e sua implementao dever ser fortemente adotada em todo
ambiente organizacional. Neste processo, existe ainda o papel dos especialistas em
segurana, que ajudam na anlise do risco, nas decises ponderadas e na
otimizao dos investimentos para que a segurana seja uma prtica implementada
com objetivos de tornar o ambiente seguro e alcanar resultados por meio da prtica
e polticas adotadas.
Para Smola (2003, p. 44) segurana da informao um termo ambguo,
podendo assumir dupla interpretao. Primeiro, porque uma prtica adotada para
tornar seguro e manter a segurana no ambiente com metodologias e aplicaes
que visam estabelecer: controles, autenticao, autorizao e auditorias, como meio
que visa garantir a confidencialidade, integridade e disponibilidade da informao. E
segundo, porque tambm resultado da prtica adotada para alcanar o objetivo,
caracterstica que adquire a informao ao ser alvo de uma prtica da segurana
com objetivos, porque alcanada por meio de prticas e polticas padronizadas.
A segurana da informao tem como objetivo a preservao de trs
princpios bsicos e atravs deles pode-se ter uma real viso da amplitude do
desafio corporativo para sua implementao e manuteno, conforme Figura 6.

36

Figura 6 Os trs princpios bsicos da segurana da informao.

Para Ferreira (2003, p. 2) muito fcil atacar sistemas informatizados,

visto que os SI esto conectados atravs das redes. Portanto, pode acontecer a
perda de confidencialidade, quando informaes carem nas mos da concorrncia,
perda de integridade, quando as informaes forem corrompidas ou apagadas, e
perda de disponibilidade quando no puderem ser acessadas para o fechamento de
um grande negcio. Isso caracteriza a segurana da informao pela preservao
de:

Confidencialidade garantia de que toda informao deve ser

protegida, com certo grau de sigilo, acessvel somente a pessoas
autorizadas.

Integridade visa proteger toda informao contra alteraes

indevidas, intencionais ou acidentais.

Disponibilidade garantia de que toda informao e ativos estaro

disponveis e somente sero acessados por usurios autorizados no
momento em que delas necessitem para qualquer finalidade.

37

Dentre os aspectos de segurana da informao, dois elementos so

considerados essenciais na execuo da metodologia em complemento aos trs
princpios bsicos da segurana, considerando os objetivos organizacionais, Figura
6.

Autenticidade identificao e reconhecimento formal da origem dos

elementos em uma transao, por meio de controles de identificao.

Legalidade valor legal de acordo com clusulas contratuais

pactuadas, legislao poltica institucional vigente, seja nacional ou
internacional.

3.3 Plano diretor de segurana

O PDS o planejamento e a elaborao de diretrizes, normas e

procedimentos para controlar acessos aos dados e informaes no ambiente
organizacional.
O planejamento para implementar e manter a segurana nos SI deve ser
enfatizado com importncia e esforo para o seu desenvolvimento, algo que parece
ser uma tarefa fcil ou desnecessria, para muitas organizaes. No entanto, esse
processo depende de toda organizao da diretoria aos usurios finais, com os
mesmos objetivos focados na melhoria constante dos SI.
[...] foroso reconhecer que grande parte das empresas no Brasil iniciou
(e, por vezes, prosseguiu) seus esforos de melhoria dos sistemas de
informao com um nvel de planejamento bastante precrio. (BIO, 1996, p.
137).

38

Para Beal (2005, p. 37) a efetiva gesto de segurana precisa ser

permanente, cclica, interativa e baseada em processo tcnicos e organizacionais
consistentes. Portanto, adotar um modelo corporativo de gesto permite
organizao equacionar os desafios de proteo, levando em conta todos os
aspectos essenciais para a segurana: componentes dos ambientes fsico e lgico,
pessoas e processos. Na adoo do modelo de gesto, um mtodo conhecido como
PDCA (de plan, do, check, act) utilizado em processo de gesto da qualidade e
outros nveis de gesto, til para fornecer uma visualizao global das etapas que
devem compor a gesto da segurana da informao.

A
Act

P
Plan

P = Plan, de planejar: estabelecer objetivos,

metas e meios de alcan-los.

D = Do, de executar.

C = Check, de verificar, avaliar (comparao

do executado com o planejado).

C
Check

D
Do

A = Act, de agir corretivamente (caso sejam

detectados

desvios

ou

falhas

serem

corrigidos).

Figura 7 Ciclo do PDCA.

A elaborao de um modelo de gesto de segurana deve levar em

considerao, em primeiro plano, os desafios do negcio como um todo,
abrangendo todos os conceitos de segurana: confidencialidade, integridade,
disponibilidade e os aspectos de autenticidade e legalidade.

39
Planejamento o fator crtico de sucesso para a iniciativa de gerir a
segurana da informao e o Plano Diretor de Segurana justamente o
elemento especfico. Mais do que uma rubrica oramentria destinada a
investimentos tecnolgicos, como sugere o j tradicional Plano Diretor de
Informtica, o PDS tem de ser dinmico e flexvel para suportar as novas
necessidades de segurana que surgem em virtude da velocidade como o
contexto corporativo muda. (SMOLA, 2003, p. 86).

Na elaborao e implementao do PDS, algumas mudanas, que sero

constantes conforme as prioridades, devero ser aplicadas para conter e prevenir as
vulnerabilidades e os riscos nos sistemas. Desse modo, uma abordagem deve ser
feita em toda estrutura organizacional, analisando os recursos utilizados pelo
sistema, os processos e os componentes, atravs de informaes coletadas no
ambiente organizacional.
Metodologia de qualquer tipo no deve ser implementada na estrutura
organizacional,

mesmo

que

tenha

atendido

as

necessidades

de

outras

organizaes, essa restrio deve-se ao fato que o desenvolvimento do PDS exige

atendimento, conforme a estrutura organizacional, as caractersticas da organizao,
os seus valores ticos, a sua cultura, o tipo do negcio no mercado, recursos de
processamento de dados, custos e benefcios, recursos humanos e os seus
aspectos polticos.
Para Smola (2003, p. 87) definir um PDS em um ambiente organizacional
deve ser entendido como um fato necessrio e importante, mesmo que nem todos
os problemas sejam resolvidos, exclusivamente, por meio dos recursos de
tecnologias no processamento dos dados. A metodologia deve estar voltada para a
anlise de alternativas de hardware, software, recursos humanos e custos.

40

Para planejar e implementar uma metodologia, embora exista uma

caracterstica universal, preciso considerar que as organizaes so diferentes e
que seus estgios de evoluo em sistemas so dinmicos, sendo assim, apenas as
etapas ordenadas abaixo devem ser seguidas para no perder o foco e chegar ao
fracasso.

Identificao dos processos de negcio: entrevistas e brainstorm;

Mapeamento da relevncia;

Estudo de impactos dos conceitos: confidencialidade, integridade,

disponibilidade, e dos aspectos de autenticidade e legalidade;

Estudo de prioridades: gravidade, urgncia e tendncia;

Estudo de permetros;

Estudo de atividades desenvolvidas no ambiente organizacional.

Associar as aes de levantamento de informaes do negcio, entender

os desafios, conhecer os planos de curto, mdio e longos prazos e as demandas
essencial para diagnosticar os sintomas, as anormalidades e os riscos potenciais,
identificando ameaas, vulnerabilidades e impactos inerentes ao negcio. Essas
aes devem ser realizadas mesmo que no incidam diretamente nos processos do
negcio da organizao.
O mapa de relacionamento na fase preliminar do levantamento contribui
para um melhor desenvolvimento da anlise entre os processos do negcio e as
aplicaes de infra-estrutura fsica, tecnolgica e humana, conforme Figura 8, pois
se trata de uma tarefa complexa em funo de fatores dificultadores como: viso

41

corporativa, complexidade dos ambientes organizacionais e a acessibilidade e

flexibilidade no uso de tecnologias.

Processos de negcio

PN
1

PN
2

PN
3

PN
n

Ativo
1

Ativo
2

Ativo
3

Ativo
n

Aplicaes
Infra-estrutura
financeira
tecnolgica e
humana

Figura 8 Mapa de relacionamento entre processos de negcio e a infra-estrutura.

3.4 O risco na segurana da informao

Ameaas e vulnerabilidades so elementos do grupo denominado risco,

que so visualizados com a possibilidade de explorao nos SI, a partir da sua
complexidade e dinmica, que exigem das organizaes, atravs da gesto de
segurana da informao, a identificao, atravs de mtodos detectivos, de outros
elementos do grupo de risco que so o ataque, o incidente e o impacto e, prevenir
para alcanar os objetivos de segurana, especficos para o negcio, Figura 9.
Esse processo precisa ser desenvolvido de forma permanente e interativa.
A organizao deve programar revises peridicas, sempre que seja constatada

42

mudana organizacional, ou tecnolgicas com implicaes nos critrios de

segurana que podem criar novas ameaas e aumentar significativamente a
possibilidade de um incidente causando impactos no negcio. importante perceber
que, mesmo aplicando todas as medidas de segurana, sempre haver
possibilidade de um incidente ocorrer.
O risco a probabilidade de que agentes, que so as ameaas, explorem
vulnerabilidades, expondo os ativos a perdas de confidencialidade e
disponibilidade, e causando impactos nos negcios. Estes impactos so
limitados por medidas de segurana que protegem os ativos, impedindo
que as ameaas explorem as vulnerabilidades, diminuindo, assim, o risco.
(SMOLA, 2003, p. 55).

Agente

Impacto

Figura 9 Elementos que geram risco nos SI.

Para Beal (2004, p. 14) ameaas so expectativas de acontecimento

acidental ou proposital, provocadas por agentes ou condies, a alvos de ataque
que causam incidentes s informaes, atravs da explorao de vulnerabilidades,
provocando perdas, prejuzos de confidencialidade, integridade e disponibilidade ao
negcio da organizao.

43

Smola (2003, p. 47) classifica as ameaas nos seguintes grupos:

Naturais que so causadas por fenmenos da natureza como:

maremotos,

poluio,

enchentes,

terremotos,

tempestades

eletromagnticas, poluio, etc.

Involuntrias

causadas,

na

maioria

das

vezes,

pelo

desconhecimento, mas tambm causadas por falhas humanas e outros

fatores como erros e falta de energia.

Voluntrias causadas por agentes humanos, que atuam e planejam

ataques propositais, esses agentes so qualificados como hackers,
invasores, espies, ladres, criadores e disseminadores de vrus de
computador.

As vulnerabilidades so falhas nos SI de uma organizao, que durante a

manipulao ou processamento dos dados, permitem a explorao provocando
incidentes com informaes, afetando diretamente os princpios da segurana da
informao.
As vulnerabilidades so elementos apticos que s provocam incidentes
se exploradas atravs de uma ameaa. Elas tambm podem ser provocadas por
fatores no planejados na elaborao do PDS, esse processo deve levar em
considerao todos os fatores ligados diretamente ou indiretamente estrutura
organizacional. Smola (2003, p. 48) exemplifica as vulnerabilidades em: fsicas,
naturais, hardware, software, mdias, comunicao e humanas. Estes elementos so
passivos, por si s no provocam incidentes, necessitam, portanto de um agente
causador ou condio favorvel.

44

O risco decorre da existncia de ameaas nos SI com a possibilidade de

explorao das vulnerabilidades, causando perdas na confidencialidade, integridade,
e disponibilidade, gerando impactos nos negcios. A percepo da necessidade de
diagnosticar e realizar anlises j prioridade em algumas organizaes, mas ainda
insignificante quanto ao entendimento do que anlise de segurana.
A anlise de segurana, consciente do risco, no deve estar voltada,
somente para os recursos tecnolgicos, ou seja, hardware, software, redes e
sistemas, mas compreender todas as variveis e recursos que superam os aspectos
tecnolgicos do ambiente interno e externo. Deve ser considerada com um
instrumento fundamental para diagnosticar as mudanas na situao real de
segurana do SI da organizao.

3.5 Poltica de segurana da informao (PSI)

um conjunto de diretrizes, normas, procedimentos e instrues que

formam a poltica de segurana de um SI no ambiente organizacional.
Para Ferreira (2003, p. 17) a poltica, padres e procedimentos so a
expresso e o anseio dos acionistas nas tomadas de decises em relao ao uso da
informao por aqueles que a ela tm acesso. A poltica, normas e procedimentos
fornecem melhor direcionamento para as implementaes tcnicas e formam um
conjunto de aes que compem a gesto de segurana da organizao.

45

Para Smola (2003, p. 108) a elaborao e implementao da poltica de

segurana so importantes e necessrias. Todos os nveis da estrutura
organizacional devem participar desse processo permanente. Para essa elaborao
a organizao necessita formar um grupo ou comit, mas, necessariamente, no
precisa criar um departamento, isso depende da estrutura da organizao e do
negcio.
O importante formar um grupo capacitado com representantes das reas
e departamentos da organizao, com o objetivo de integrar vises, percepes e
necessidades caracterizadas que devero gerar critrios da poltica de segurana.
Esse propsito fundamental para a nitidez dos problemas, dos desafios e dos
impactos, pois agregar valor ao processo de gesto, evitando conflitos e
redundncias no estabelecimento das polticas de segurana.
A poltica de segurana tem como objetivo e propsito orientar e apoiar as
aes da gesto de segurana em toda organizao, por isso abrange toda a sua
estrutura, conforme ilustra Figura 10.

Diretrizes
Estratgico

Ttico,
Gerencial

Operacional

Figura 10 Subdiviso da gesto de segurana nos SI.

Normas

Procedimentos
Instrues

46

O comprometimento da alta direo fundamental e extremamente

necessrio para que o envolvimento dos funcionrios ou usurios finais seja
atingido. Ressalta-se que esse envolvimento depende diretamente da forma como a
poltica comunicada e compartilhada no ambiente organizacional. Convm que a
direo estabelea uma poltica clara e demonstre apoio e comprometimento com a
segurana da informao atravs da emisso e manuteno de uma poltica de
segurana da informao para toda a organizao. (ASSOCIAO BRASILEIRA
DE NORMAS TCNICAS: NBR ISO/IEC 17799:2001, seo 3.1).
Por meio das diretrizes definidas no documento que estabelece a PSI, a
organizao precisa expressar a importncia da informao, conscientizando os
recursos humanos do valor do seu comprometimento na implementao, seguindo
as normas que so estabelecidas na poltica de segurana. Isso feito com o
objetivo

de

orientar

para

uso

adequado

das

informaes

no

ambiente

organizacional, assim como os procedimentos e as instrues, que tem carter

operacional quando aplicados, em maior quantidade, descrevendo detalhadamente
cada ao e atividade.
Perceber essa complexidade e estabelecer padres, responsabilidades e
critrios no ciclo da informao dentro do nvel de segurana, d a ela o seu
verdadeiro valor na gesto de segurana nos nveis estratgico, ttico e operacional.
Esse contexto requer dinamismo e mudanas previsveis e imprevisveis na estrutura
organizacional para manter atualizada em todos os aspectos a PSI e seus
componentes. A classificao da informao, critrios normatizados para admisso
e demisso de funcionrios ou usurios finais, criao e manuteno de senhas,

47

descarte de informao em mdias magnticas e manuteno de sistemas, tambm

contribui para manuteno da PSI.

3.6 Tipos de controles implementados em segurana da informao

A gesto de segurana da informao na sua aplicabilidade responsvel

pelo controle quantitativo, qualitativo e de desempenho dos SI nas organizaes.
Esses controles so fundamentais na gesto quando so eficazes e proporcionam
segurana, portanto, devem ser implementados em todos os recursos e elementos
do SI, seguindo a PSI da organizao, bem como as melhores prticas globais em
segurana da informao.
A segurana lgica e fsica utiliza os controles com o objetivo de minimizar
erros, fraudes, destruio nos SI, garantir a qualidade, reduzir o impacto, prevenir
contra ameaas e controlar as vulnerabilidades, monitorando o ciclo da informao e
o acesso s instalaes de hardwares.
OBrien (2004, p. 401) classifica os trs principais tipos de controles que
devem ser desenvolvidos e implementados na cultura de segurana de uma
organizao para garantir a qualidade da segurana da informao dos SI, so eles:

Controles dos sistemas administram o desempenho e a segurana

do SI, formados por dispositivos e mtodos criados com o objetivo de
garantir, restringir e validar com preciso as atividades de entrada,
processamento,

armazenamento

sada,

atravs

de

senhas,

48

comparao de registros e outros cdigos de segurana desenvolvidos

para identificar o correto processamento e armazenamento dos dados,
para que, os produtos da informao estejam completos e disponveis
aos usurios autorizados;

Controles de procedimentos - procedimentos-padro, documentao,

requisitos de autorizao e auditoria, elaborados com o objetivo de
orientar como os recursos dos SI, correio eletrnico e redes da
organizao devem ser operados com segurana no desenvolvimento
das atividades;

Controles de instalao proteo fsica, controles de falhas,

telecomunicaes e seguros, executados atravs da segurana de
redes com softwares de monitoramento, criptografia, firewalls e
antivrus,

constitudos

de

mtodos

criados

para

proteo

de

instalaes de hardwares e redes, contra perdas ou destruio,

provocadas por ameaas naturais, involuntrias ou voluntrias.

Para Ferreira (2003, p. 97) os controles so classificados em duas

categorias, sejam de mtodos ou no, a saber:

Controles preventivos previnem tentativas de violao a PSI,

implementado mecanismos de controle de acesso como criptografia e
autenticao;

Controles detectivos visualizam e informam sobre tentativas de

violao a PSI, incluindo procedimentos de auditoria, firewalls e
antivrus para detectar intrusos.

49

3.7 Treinamento e sensibilizao em segurana da informao

Os recursos humanos, por serem considerados o elo mais frgil do SI,

precisam ser treinados, conscientizados e sensibilizados para a necessidade e a
responsabilidade de criar e manter a segurana da informao no ambiente
organizacional no desenvolvimento das atividades. Esse processo pode parecer, ou
ser difcil de ser executado, pelo fato do ser humano ser complexo, dotado de
iniciativas, criatividade e sofrer influncias de fatores externos, mas o nvel de
conhecimento e o perfil dos funcionrios tm grande valor nesse contexto.
A especificao e criao de diretrizes, normas e procedimentos para
criao, manuseio, armazenamento, transporte e descarte, recursos de auditorias e
autenticao no garantem uma segurana eficiente para o ambiente e os SI, se a
cpula da organizao no estiver comprometida e os usurios envolvidos, para
implementao da PSI.
Segundo Smola, (2003, p. 130) essa fragilidade precisa ser tratada de
forma gradativa, com intuito de criar uma cultura de segurana, integrando as
atividades dos usurios e comprovando que essa ao um instrumento de
autoproteo

que

deve

ser

compartilhada

por

todos

entendida

como

responsabilidade de cada indivduo. Somente dessa forma as organizaes tero

verdadeiros aliados na batalha de reduo dos riscos e na gesto de segurana da
informao.

50

Existem inmeras formas para as organizaes construrem a cultura de

segurana no seu ambiente interno com propagao para o externo. Isso pode ser
feito atravs de seminrios abertos voltados para o compartilhamento e percepo
dos riscos que podem causar impactos potenciais no negcio; campanhas de
divulgao, atravs de correio eletrnico, proteo de telas, informativos,
comunicados internos e outros que apresentem os padres, critrios e instrues
alinhados s necessidades do negcio; cursos de capacitao de acordo com o
perfil de cada profissional, pois alguns necessitam do conhecimento de conceitos,
mtodos e tcnicas bsicas, mdias ou avanadas, dependendo tambm da rea. O
termo de responsabilidade um instrumento fundamental para a formao da
cultura, pois alm de formalizar o compromisso e o entendimento, divulga as
punies cabveis pelo desvio de conduta.
A organizao precisa dispor de um processo disciplinar aplicvel a
pessoas que tenham violado polticas ou procedimentos de segurana. A
expectativa de punio essencial para ajudar a inibir comportamentos
que podem acarretar desrespeito s normas de segurana. (BEAL, 2005, p.
79).

Esse processo para ser eficaz requer planejamento, implementao,

manuteno e anlise, contnuos, sensibilizando e capacitando, do contrrio tudo
ser invivel na formao e desenvolvimento da maturidade da cultura de
segurana, tornando-o mais vulnervel a novas situaes de riscos, devido
velocidade com que surgem as falhas de segurana.
Ferreira (2003, p. 30) afirma que, de acordo com a norma tcnica NBR
ISO/IEC 17799:2001 Cdigo de Prtica para Gesto de Segurana da Informao,
seo 6.2, o treinamento deve garantir que os usurios estejam cientes das
ameaas e da preocupao de segurana da informao e equipados para apoiar a

51

PSI da organizao durante a execuo normal do seu trabalho. Prestadores de

servios e fornecedores tambm devem receber treinamentos e atualizaes
regulares sobre a PSI.

52

4 DESAFIOS

TICOS

DAS

TECNOLOGIAS

DA

INFORMAO

IMPLEMENTADAS NOS SI

Constantes mudanas tm ocorrido nos SI em decorrncia da revoluo

da TI que ampliou a capacidade para adquirir, manipular, armazenar e transmitir
informaes. Essas mudanas radicais tm causado grandes impactos nas
organizaes, devido a conceitos, princpios, planos, polticas e controles de
segurana adotados e implementados nos SI utilizando recursos da TI. Muitas
vezes, sem informar, treinar e sensibilizar os usurios responsveis no
desenvolvimento das atividades do ciclo da informao do negcio.
Esse processo falho decorre da falta de planejamento e, portanto, tem
provocando questes ticas que esto envolvidas nas tomadas de decises
estratgicas no investimento em recursos de TI que podem afetar o desempenho do
negcio da organizao.

4.1 TI e os desafios ticos no ambiente organizacional

Para OBrien (2004, p. 413) importante que a gesto de segurana

compreenda as dimenses ticas do trabalho em organizaes e da utilizao da
tecnologia, porque nas tomadas de decises quanto ao uso da TI, pode haver uma
dimenso tica que precisa ser considerada, pois as pessoas utilizam filosofias

53

ticas bsicas como: egosmo, lei natural, utilitarismo e o respeito pelas pessoas ou
defendem valores ticos nas decises.
O desenvolvimento da TI e a aplicao dos seus recursos disponveis nas
organizaes tm gerado muitas situaes de carter tico no ambiente
organizacional, que vem tornando-se a cada dia mais complexo, com definies de
certo ou errado nem sempre claras no PDS elaborado com as polticas de
segurana e os tipos de controles adotados para implementao pela gesto de
segurana da informao.
Definir o cdigo tica, que um conjunto de princpios da organizao,
fundamental para servir de guia nas tomadas de decises na gesto de segurana,
considerando os princpios e as questes ticas. Segundo Turban, Rainer e Potter
(2003, p. 503) a diversidade de aplicaes de TI e o crescente desenvolvimento
criaram diversas questes ticas que foram estruturadas por R. O . Manson e outros
em quatro categorias, que so:

Privacidade coleta, armazenagem e disseminao de informaes

sobre os indivduos;

Preciso autenticidade, fidelidade, preciso das informaes

coletadas e processadas;

Propriedade valor intelectual da informao;

Acessibilidade direito de acesso informao ou pagamento pelo

acesso.

As organizaes e, conseqentemente, a gesto de segurana devem

estar preparadas para elaborar e implementar regras e para monitorar e controlar o

54

ciclo da informao no SI da organizao, considerando os princpios e filosofias

ticos da instituio. Isso deve ser compartilhando com cada ser humano
comprometido ou envolvido nos processos do negcio da organizao, visto que so
diversos os modelos ticos utilizados pelos seres humanos na aplicao das suas
filosofias ticas nas escolhas feitas diariamente, seja na vida pessoal ou no trabalho.
O ser humano, no seu desenvolvimento, passa por diversos estgios da
revoluo moral que est dividida em vrios ambientes, conforme Figura 11, at
absorver um nvel de raciocnio tico capaz de perceber que necessariamente o que
no tico, ilegal.

Ambiente de trabalho
Metas empresariais
Poltica declarada
Cultura empresarial
Ambiente social

Ambiente governamental
Legislao
Agncias
administrativas
Sistema judicial

Ambiente profissional
Cdigos de conduta
Requisitos de
credenciamento
Encontros
profissionais
Ambiente pessoal

Processo de deciso
Aquisio e
processamento de
informaes
Processo cognitivo
Prmios percebidos
Perdas percebidas

Comportamento tico
Deciso
Comportamento antitico

Grupos de colegas
Famlia
Ambiente social
Valores religiosos
Valores humanistas
Valores culturais
Valores sociais

Atributos individuais
Nvel moral
Metas pessoais
Auto-imagem
Experincia de vida
Personalidade

Figura 11 Fatores que podem afetar nosso processo de tomada de deciso, adaptado de OBrien
(2004, p. 414) .

55

Os desafios ticos da TI nas organizaes podem ser minimizados

quando o treinamento, a conscientizao, a sensibilizao e a publicao do PDS
so realizados e aplicados desde a seleo e admisso dos profissionais da
organizao, at o relacionamento com fornecedores e a formao de parcerias.
O cdigo de prtica NBR ISO/IEC 17799 define que a gesto da segurana
envolvendo pessoas tem como objetivo reduzir os riscos de erro humano,
roubo, fraude ou uso indevido das instalaes da corporao. Assim, a
norma recomenda que estas medidas sejam tomadas na fase de
recrutamento, includas em contrato e monitoradas durante a vigncia de
cada contrato de trabalho. (Mdulo Security Magazin, 2005).

Situaes controversas, como monitorao de correio eletrnico ou uso

de cmeras e gravao de conversas telefnicas, tm gerado processos trabalhistas
e judiciais em todo no Brasil, influenciados na maioria dos casos, pela falta de
definies ticas das organizaes e dos profissionais.
A monitorao por computador tem sido criticada como uma invaso de
privacidade dos funcionrios porque em muitos casos, eles no sabem que
esto sendo monitorados ou no sabem como a informao est sendo
utilizada. (OBRIEN, 2004, p. 418).

Segundo Rocha (2005), esse cenrio precisa ser analisado levando-se em

conta a privacidade das organizaes, os seus segredos comerciais e industriais.
"Por isso, ela tem a legtima expectativa e direito de fiscalizar o cumprimento de
regras de sigilo, monitorando o uso de sua rede e dos recursos que disponibiliza aos
profissionais. As leis que garantem a privacidade e a lei que reprime a concorrncia
desleal, Lei 9.279, em seu artigo 195, autorizam o monitoramento, atendendo o
requisito previsto na Lei 9.296", aponta Gilberto Martins de Almeida, advogado e
professor de Direito da Informtica da PUC-Rio.
Cabe s organizaes protegerem seu ambiente, seu patrimnio e seus
ativos, utilizando os recursos legais de TI na gesto de segurana, conforme as

56

normas nacionais e internacionais para atingir os objetivos, gerando impactos

positivos e visveis para o desempenho das organizaes e reduzindo os nveis de
incerteza para tomada de deciso. Os usurios ou profissionais, tambm devem ter
a responsabilidade de implementar princpios e filosofias ticas da TI, e de
assumirem, seja na vida pessoal ou profissional, em qualquer ambiente, esse
procedimento que vital para as organizaes, usurios e profissionais na utilizao
dos SI.

57

5 CONCLUSO

A evoluo da informao, o desenvolvimento e a implementao de SI e

dos recursos da TI proporcionam s organizaes, profissionais, usurios e a
sociedade maior capacidade para ampliar, adquirir, manipular e comunicar
informaes referentes aos negcios, vida profissional e pessoal de todos.
Toda essa evoluo progride com velocidade tornando-se de grande
importncia, principalmente nas estruturas e nos ambientes organizacionais, que
sofreram vrias mudanas com o objetivo de gerenciar de modo eficiente suas
informaes. Logo, o gerenciamento das informaes, atravs dos SI utilizando os
recursos da TI, foi necessrio para garantir rapidez nos processos realizados pelos
componentes e recursos de um SI, que se desenvolveram em razo da evoluo do
conhecimento humano.
Os

SI

tornaram-se

importantes

nas

estruturas

organizacionais,

contribuindo com o gerenciamento e a classificao das informaes teis nas

tomadas de decises estratgicas, tticas e operacionais no desenvolvimento dos
negcios. Esse contexto motivou as organizaes a divulgarem e compartilharem
informaes e resultados do processamento dos dados coletados importantes ao
segmento do negcio.
A globalizao trouxe a Era da Informao que agregou valor s
informaes das organizaes, criando diversos desafios para estas e seus
profissionais que realizam operaes atravs dos recursos de software, hardware,
redes e dados dos SI, provocando a concorrncia dos interesses legais e ilegais nos
ambientes internos e externos das instituies.

58

Um dos desafios das organizaes foi adotar e implementar mtodos para

garantir a segurana da informao que um conjunto de diretrizes, normas e
procedimentos aplicados em todos os movimentos do ciclo de vida da informao de
acordo com o negcio desenvolvido. Esse desafio exigiu melhor planejamento dos
gestores de toda estrutura organizacional e a elaborao do PDS, que estabelece os
tipos de controles a serem implementados no SI e as PSI a serem seguidas no
processamento dos dados e gerenciamento da informao.
No entanto a simples criao de normas ou implantao de ferramentas
de segurana no suficiente para minimizar os riscos de incidentes de segurana
(ataques, vazamento de informao, infestao por vrus, etc), e sim a adoo de
um completo processo de gesto da segurana, dinmico e participativo que inclui a
definio de responsabilidades de todos os elementos envolvidos no processo da
informao com base na poltica de segurana.
As metodologias de segurana da informao devem ser adotadas
considerando as normas, processos e caractersticas tcnicas e no tcnicas da
segurana dos sistemas para seu manuseio e proteo. Porm, muitas
organizaes tm ignorado o valor de suas informaes, a necessidade de manter a
metodologia de segurana e at mesmo de investimento, por considerarem estas
despesas que no traro retorno sobre investimento, viso que no contribui com
eficcia para a gesto da informao, maior ativo das organizaes.
A falta de critrios, planejamento e investimentos nos recursos dos SI, na
admisso, treinamentos e sensibilizao dos profissionais e usurios finais, tm
causado grandes prejuzos s organizaes de diferentes segmentos no mercado.
Essa necessidade tambm tem criado desafios ticos para as organizaes que

59

adotam metodologias de segurana e recursos da TI com objetivos de garantir a

segurana das informaes. As dimenses ticas devem ser consideradas pelas
organizaes na elaborao e implementao da metodologia de segurana,
atenuando os efeitos nocivos da TI, analisando os aspectos da segurana e as
vulnerabilidades existentes na estrutura tecnolgica dos sistemas de informao.
Os recursos humanos, que compreendem todos os profissionais e
usurios finais dos SI, considerados o mais frgil elo da segurana da informao,
precisam cumprir as diretrizes, as normas e procedimentos estabelecidos no
ambiente organizacional, atravs da metodologia adotada e contribuir para o
desenvolvimento da cultura de segurana da informao, considerando as
dimenses e filosofias ticas pessoais e organizacionais.
O sucesso na implementao e manuteno da segurana da informao,
essencialmente, no carece da formao de um departamento de comit de
segurana na estrutura organizacional, da aquisio de sistemas ou recursos de TI
com configuraes avanadas, mas do comprometimento do nvel estratgico da
organizao, do envolvimento dos profissionais e usurios finais treinados e
capacitados, de SI estruturado, dos recursos de TI adotados e implementados
conforme a necessidade do negcio desenvolvido pela organizao.

60

REFERNCIAS

ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 17799:

tecnologia da informao - cdigo de prtica para a gesto da segurana da
informao. Rio de Janeiro, 2001.

BEAL, Adriana. Gesto estratgica da informao: como transformar a informao

e a tecnologia da informao em fatores de crescimento e de alto desempenho nas
organizaes. So Paulo: Atlas, 2004.

____________. Segurana da informao: princpios e melhores prticas para a

proteo dos ativos de informao nas organizaes. So Paulo: Atlas, 2005.

BIO, Srgio Rodrigues. Sistemas de informao: um enfoque gerencial. So Paulo:

Atlas, 1996.

BORGES, Andr. Benefcio de TI desconhecido por 68% dos CEOs. Disponvel

em: <http://seminarios.idg.com.br/m5.asp>. Acesso em: 4 set. 2005.

FERREIRA, Fernando Nicolau Freitas. Segurana da informao. Rio de Janeiro:

Cincia Moderna, 2003.

GIL, Antnio de Loureiro. Segurana em informtica. 2. ed. So Paulo: Atlas, 1998.

GONALVES, Lus Rodrigues de Oliveira. Pequeno histrico sobre o surgimento

das normas de segurana. Disponvel em: <http://www.modulo.com.br/iso17979>.
Acesso em: 5 set. 2005.

61

MANS, Antnio Vico. Administrao de sistemas de informao. So Paulo:

rica, 1999.

NAHUZ, Ceclia dos Santos. Manual para normalizao de monografias. 3. ed.

ver. atual. e ampl. So Lus, 2002.

OBRIEN, J. A. Sistemas de informao e as decises gerenciais na era da

internet. Traduo de Cid Knipel Moreira. So Paulo: Saraiva, 2004.

ROCHA, Luis Fernando. Monitoramento do e-mail corporativo: justificativas

legais para o monitoramento. Disponvel em:
<http://www.modulo.com.br/noticia.jsp>. Acesso em: 6 set. 2005.

SMOLA, Marcos. Gesto da segurana da informao: viso executiva da

segurana da informao: aplicada ao Security Officer/Marcos Smola e Mdulo
Security Solutions S.A. Rio de Janeiro: Campus, 2003.

STAIR, R. M.; REYNOLDS, G. W. Princpios de sistemas de informao.

Traduo de Alexandre M. de Oliveira. 4. ed. Rio de Janeiro: LTC, 2002.

TURBAN, Efrain; RAINER, K. R.; POTTER, Jr., R. E. Administrao de tecnologia

da informao. Traduo de Tereza Cristina Felix de Souza. Rio de Janeiro:
Elsevier, 2003.

62

GLOSSRIO

BRAINSTORMING - forma coletiva de gerao de novas idias atravs da

contribuio e participao de um grupo.

CORE-BUSINESS - expresso que define o negcio central de uma dada empresa.

EXTRANETS - redes seguras que vinculam parceiros de negcios e intranets

atravs da internet.

FEEDBACK - uma mudana de estado de um componente de um sistema que

produz uma interao, reduzindo ou aumentando a resposta do sistema no qual
ele est incorporado.

FIREWALLS - dispositivo de segurana que controla o acesso aos sistemas internos

e externos, atravs de regras definidas.

CRACKERS - pessoas no autorizadas que acessam, invadem os sistemas de

computadores.

HARDWARE - equipamento fsico, usado nos sistemas de computadores.

INTERNET - uma grande rede eletrnica de telecomunicaes que conecta

computadores.

INTRANETS uma rede privada que utiliza o software e os protocolos da internet,

ou seja, uma internet privada.

63

KNOW-HOW

KNOW-WHY

tcnicas,

conhecimentos

ou

capacidades

desenvolvidos por usurios finais, profissionais ou empresas que geram

questionamentos, na existncia de novos conceitos.

MAINFRAMES computador relativamente grande, usado por corporaes para o

processamento de dados centralizados e manuteno de grandes bancos de
dados.

MARKET SHARE - expresso que significa participao no mercado.

SOFTWARE um conjunto de instrues do computador, que orienta um sistema de

computadores a executar atividades de processamento de informaes.

TIME-SHARING - computadores de tempo compartilhado, ou seja, que permitem

mais de uma pessoa, ou usurio, usar seus recursos ao mesmo tempo.