Você está na página 1de 241

UNIVERSIDADE DE BRASLIA

INSTITUTO DE CINCIAS EXATAS


DEPARTAMENTO DE CINCIA DA COMPUTAO
ESPECIALIZAO EM GESTO DA SEGURANA DA INFORMAO E
COMUNICAES CEGSIC 2009/2011

ELZENCLEVER FREITAS DE AGUIAR

ANLISE DE CONFORMIDADE DA GESTO DE SEGURANA DA


INFORMAO E COMUNICAES DA COMPANHIA X COM A NORMA ABNT
27002

Braslia, OUTUBRO / 2011

Elzenclever Freitas de Aguiar

Anlise de Conformidade da Gesto de Segurana da Informao e


Comunicaes da COMPANHIA X com a norma ABNT 27002 (2005)

Braslia
2011

Elzenclever Freitas de Aguiar

Anlise de Conformidade da Gesto de Segurana da Informao e


Comunicaes da COMPANHIA X com a norma ABNT 27002 (2005)

Monografia apresentada ao Departamento


de
Cincia
da
Computao
da
Universidade de Braslia como requisito
parcial para a obteno do ttulo de
Especialista em Cincia da Computao:
Gesto da Segurana da Informao e
Comunicaes.
Orientador: Prof. Edilberto Magalhes Silva
Universidade de Braslia
Instituto de Cincias Exatas
Departamento de Cincia da Computao

Braslia
Setembro de 2011

Desenvolvido em atendimento ao plano de trabalho do Programa de


Formao de Especialistas para a Elaborao da Metodologia Brasileira
de Gesto da Segurana da Informao e Comunicaes - CEGSIC
2009/2011.
2011 Elzenclever Freitas de Aguiar. Qualquer parte desta publicao
pode ser reproduzida, desde que citada a fonte.

de Aguiar, Elzenclever Freitas


Anlise de Conformidade da Gesto de Segurana da Informao
e Comunicaes da COMPANHIA X com a norma ABNT 27002 (2005) /
Elzenclever Freitas de Aguiar. Braslia: O autor, 2011. 241 p.;
Ilustrado; 25 cm.
Monografia (especializao) Universidade de Braslia. Instituto de
Cincias Exatas. Departamento de Cincia da Computao, 2011.
Inclui Bibliografia.
1. segurana, informao, comunicaes, auditoria. 2. gesto,
conformidade. I. Ttulo.
CDU 004.056

Errata

Dedicatria

Dedico esse trabalho minha famlia, pelo apoio e amor incondicional, e pela
pacincia que demonstraram nos diversos momentos que tive de me afastar para
dar continuidade pesquisa.

Agradecimentos

A Deus por se fazer sempre presente em minha vida, e por continuamente me


disponibilizar novas oportunidades, assim como socorro nos momentos difceis.
A minha esposa Patricia pela pacincia, companheirismo e apoio incondicional.
Aos meus filhos Joo Gabriel e Gabriela, por continuamente me inspirarem a tentar
ser um homem melhor.
A meus pais Joo (In Memoriam) e Vera pelo amor e incentivo.
Ao meu orientador Prof. Edilberto Silva pelos conselhos e dicas preciosas.
Ao Sr. Plinio De Almeida, pelo apoio em todas as fases desse curso de psgraduao.
A empresa em que trabalho pelo apoio para a realizao desse trabalho.
A todos os professores e demais profissionais da UnB que se esforaram para nos
propiciar um curso de gesto de segurana da informao e comunicaes
desafiante e inspirador.
A todos os amigos que se fazem presentes, sejam nos bons ou maus momentos e,
tenho certeza, sempre que se fizer necessrio, e em especial, aos amigos Ftima,
Robson e Rubens pela prestimosa ajuda.

Lista de Figuras

Figura 2.1 - Ciclo PDCA (Fonte: ABNT 27001, 2006, p. vi). ...................................... 29
Figura 5.1 - Anlise de Aderncia em relao rea Poltica de SI da norma ABNT
27002 (2005). .......................................................................................................... 175
Figura 5.2 - Anlise de Aderncia em relao rea Organizando a SI da norma
ABNT 27002 (2005). ............................................................................................... 180
Figura 5.3 - Anlise de Aderncia em relao rea Controle de Segurana Fsica
e Ambiental da norma ABNT 27002 (2005). .......................................................... 184
Figura 5.4 - Anlise de Aderncia em relao rea Controle de Acesso da norma
ABNT 27002 (2005). ............................................................................................... 195
Figura 5.5 - Anlise de Aderncia em relao rea Gerenciamento das Operaes
e Comunicaes da norma ABNT 27002 (2005). ................................................... 208
Figura 5.6 - Anlise de Aderncia em relao seo 12.3 Controles Criptogrficos
da norma ABNT 27002 (2005). ............................................................................... 211
Figura 5.7 - Anlise de Aderncia em relao rea Aquisio, Desenvolvimento e
Manuteno de Sistemas de Informao da norma ABNT 27002 (2005). ............. 214
Figura 5.8 - Anlise de Aderncia em relao rea Gesto de Incidentes de
Segurana da Informao da norma ABNT 27002 (2005). .................................... 217
Figura 5.9 - Anlise de Aderncia em relao rea Conformidade da norma
ABNT 27002 (2005). ............................................................................................... 221
Figura 5.10 - Anlise de Aderncia em relao rea Gesto da Continuidade do
Negcio da norma ABNT 27002 (2005). ................................................................ 224
Figura 5.11 - Resaultado Geral da anlise de conformidade realizada. .................. 226
Figura 5.12 - Comparao entre as anlises de conformidade realizadas em 2008 e
2010/2011. .............................................................................................................. 226

Lista de Tabelas

Tabela 3.1 - Exemplo de planilha para a anlise de aderncia. ................................ 60


Tabela 4.1 - Anlise de conformidade em relao Poltica de Segurana da
Informao e Comunicaes. .................................................................................... 71
Tabela 4.2 - Anlise de conformidade em relao Organizao da SI. .................. 74
Tabela 4.3 - Anlise de conformidade em relao Segurana Fsica e do Ambiente.
.................................................................................................................................. 80
Tabela 4.4 - Anlise e avaliao de riscos de SI sobre o ativo Sistema A, da
COMPANHIA X. ...................................................................................................... 100
Tabela 4.5 - Probabilidade ...................................................................................... 103
Tabela 4.6 - Impacto................................................................................................ 103
Tabela 4.7 - Estimativa do Risco ............................................................................. 103
Tabela 4.8 - Avaliao de Risco .............................................................................. 103
Tabela 4.9 - Anlise de conformidade em relao ao Controle de Acesso. ............ 104
Tabela 4.10 - Anlise de conformidade e maturidade dos processos de TI em
relao ao COBIT (COBIT, 2000, p. 50).................................................................. 115
Tabela 4.11 - Anlise de conformidade em relao ao Gerenciamento das
Operaes e Comunicaes. .................................................................................. 122
Tabela 4.12 - Anlise de conformidade em relao utilizao de recursos
criptogrficos. .......................................................................................................... 131
Tabela 4.13 - Anlise de conformidade em relao Aquisio, Desenvolvimento e
Manuteno de Sistemas de Informao. ............................................................... 137
Tabela 4.14 - Anlise de conformidade em relao Gesto de Incidentes em SIC.
................................................................................................................................ 147

Tabela 4.15 - Anlise de conformidade em relao Auditoria de SIC. ................. 151


Tabela 4.16 - Anlise de conformidade em relao Gesto de Continuidade. ..... 161
Tabela 5.1- Nveis de probabilidade. ....................................................................... 190
Tabela 5.2 - Nveis de impacto. ............................................................................... 190
Tabela 5.3 - Estimativa do risco. ............................................................................. 191
Tabela 5.4 - Avaliao de risco. .............................................................................. 191
Tabela 5.5 - Estabelecimento dos planos de ao para tratamento de riscos. ....... 191
Tabela 5.6 - Avaliao de riscos de SI. ................................................................... 200
Tabela 5.7 - Nveis de risco versus prioridade e controles existentes ou sugeridos.
................................................................................................................................ 202

Sumrio

Errata........................................................................................................................... 5
Ata de Aprovao da Monografia ................................................................................ 6
Dedicatria .................................................................................................................. 7
Agradecimentos .......................................................................................................... 8
Lista de Figuras ........................................................................................................... 9
Lista de Tabelas ........................................................................................................ 10
Sumrio ..................................................................................................................... 12
Resumo ..................................................................................................................... 22
Abstract ..................................................................................................................... 23
1

Delimitao do Problema ................................................................................... 24


1.1

Introduo .................................................................................................... 24

1.2

Formulao da situao problema (Questes de pesquisa) ........................ 25

1.3

Objetivos e escopo ....................................................................................... 26

1.3.1

Objetivo Geral ........................................................................................ 26

1.3.2

Objetivos Especficos ............................................................................ 26

1.3.3

Escopo ................................................................................................... 26

1.4

Justificativa ................................................................................................... 27

1.5

Hipteses ..................................................................................................... 27

1.5.1

Hiptese sobre a utilizao do material terico e questes de suporte

dos protocolos de estudo de caso das disciplinas do curso CEGSIC 2009/2011


27
1.5.2
1.6
2

Hipteses sobre os requisitos de controle de SIC ................................. 27

Organizao do Trabalho ............................................................................. 27

Reviso de Literatura e Fundamentos ............................................................... 29


2.1

Sistemas, Informao e Comunicao ......................................................... 32

2.2

Infraestrutura de Tecnologia da Informao ................................................. 33

2.3

Poltica e Cultura de Segurana ................................................................... 35

2.4

Organizaes e Sistemas de Informao ..................................................... 36

2.5

Controles de Segurana Fsica e Ambiental ................................................ 38

2.6

Protocolos de Comunicao Humano-Mquina ........................................... 39

2.7

O Direito na Sociedade da Informao ........................................................ 40

2.8

Gerenciamento de Riscos de Segurana da Informao ............................. 42

2.9

Controle de Acesso ...................................................................................... 43

2.10

Aquisio e Implementao, Entrega e Suporte de Servios de TI .......... 44

2.11

Modelagem, Simulao e Dinmica de Sistemas ..................................... 46

2.12

Gerenciamento das Operaes e Comunicaes ..................................... 47

2.13

Criptografia e Infraestrutura de Chaves Pblicas ...................................... 49

2.14

Segurana no Desenvolvimento de Aplicaes ........................................ 50

2.15

Tratamento de Incidentes de Segurana .................................................. 51

2.16

Auditoria e Conformidade de Segurana da Informao .......................... 53

2.17

Gesto de Continuidade ........................................................................... 55

Metodologia........................................................................................................ 57

Resultados ......................................................................................................... 61
4.1

Sistemas, Informao e Comunicao ......................................................... 62

4.1.1

Tpicos tericos estudados e objetos pesquisados ............................... 62

4.1.2

Fontes para a pesquisa ......................................................................... 62

4.1.3

Hiptese posta prova: ......................................................................... 62

4.1.4

Dados coletados .................................................................................... 63

4.2

Infraestrutura de Tecnologia da Informao ................................................. 65

4.2.1

Tpicos tericos estudados e objetos pesquisados ............................... 65

4.2.2

Fontes para a pesquisa: ........................................................................ 65

4.2.3

Hiptese posta prova: ......................................................................... 66

4.2.4

Dados coletados .................................................................................... 66

4.3

Poltica e Cultura de Segurana ................................................................... 70

4.3.1

Tpicos tericos estudados e objetos pesquisados ............................... 70

4.3.2

Fontes para a pesquisa: ........................................................................ 71

4.3.3

Hiptese posta prova: ......................................................................... 71

4.3.4

Dados coletados .................................................................................... 71

4.4

Organizaes e Sistemas de Informao ..................................................... 73

4.4.1

Tpicos tericos estudados e objetos pesquisados ............................... 73

4.4.2

Fontes para a pesquisa: ........................................................................ 74

4.4.3

Hiptese posta prova: ......................................................................... 74

4.4.4

Dados coletados .................................................................................... 74

4.5

Controles de Segurana Fsica e Ambiental ................................................ 78

4.5.1

Tpicos tericos estudados e objetos pesquisados ............................... 78

4.5.2

Fontes para a pesquisa: ........................................................................ 79

4.5.3

Hiptese posta prova: ......................................................................... 80

4.5.4

Dados coletados .................................................................................... 80

4.6

Protocolos de Comunicao Humano-Mquina ........................................... 90

4.6.1

Tpicos tericos estudados e objetos pesquisados ............................... 90

4.6.2

Fontes para a pesquisa ......................................................................... 90

4.6.3

Hiptese posta prova: ......................................................................... 91

4.6.4

Dados coletados .................................................................................... 91

4.7

O Direito na Sociedade da Informao ........................................................ 95

4.7.1

Tpicos tericos estudados e objetos pesquisados ............................... 95

4.7.2

Fontes para a pesquisa ......................................................................... 96

4.7.3

Hiptese posta prova: ......................................................................... 96

4.7.4

Dados coletados .................................................................................... 96

4.8

Gerenciamento de Riscos de Segurana da Informao ............................. 99

4.8.1

Tpicos tericos estudados e objetos pesquisados ............................... 99

4.8.2

Fontes para a pesquisa ....................................................................... 100

4.8.3

Hiptese posta prova: ....................................................................... 100

4.8.4

Dados coletados .................................................................................. 100

4.9

Controle de Acesso .................................................................................... 103

4.9.1

Tpicos tericos estudados e objetos pesquisados ............................. 103

4.9.2

Fontes para a pesquisa: ...................................................................... 104

4.9.3

Hiptese posta prova: ....................................................................... 104

4.9.4

Dados coletados .................................................................................. 104

4.10

Aquisio e Implementao, Entrega e Suporte de Servios de TI ........ 114

4.10.1

Tpicos tericos estudados e objetos pesquisados ......................... 114

4.10.2

Fontes para a pesquisa: ................................................................... 114

4.10.3

Hiptese posta prova:.................................................................... 115

4.10.4

Dados coletados ............................................................................... 115

4.11

Modelagem, Simulao e Dinmica de Sistemas ................................... 119

4.11.1

Tpicos tericos estudados e objetos pesquisados ......................... 119

4.11.2

Fontes para a pesquisa .................................................................... 120

4.11.3

Hiptese posta prova:.................................................................... 120

4.11.4

Dados coletados ............................................................................... 120

4.12

Gerenciamento das Operaes e Comunicaes ................................... 121

4.12.1

Tpicos tericos estudados e objetos pesquisados ......................... 122

4.12.2

Fontes para a pesquisa .................................................................... 122

4.12.3

Hiptese posta prova:.................................................................... 122

4.12.4

Dados coletados ............................................................................... 122

4.13

Criptografia e Infraestrutura de Chaves Pblicas .................................... 130

4.13.1

Tpicos tericos estudados e objetos pesquisados ......................... 130

4.13.2

Fontes para a pesquisa: ................................................................... 131

4.13.3

Hiptese posta prova:.................................................................... 131

4.13.4

Dados coletados ............................................................................... 131

4.14

Segurana no Desenvolvimento de Sistemas de Informao ................. 136

4.14.1

Tpicos tericos estudados e objetos pesquisados ......................... 136

4.14.2

Tpicos tericos estudados e objetos pesquisados ......................... 136

4.14.3

Hiptese posta prova:.................................................................... 136

4.14.4

Dados coletados ............................................................................... 137

4.15

Tratamento de Incidentes de Segurana ................................................ 146

4.15.1

Tpicos tericos estudados e objetos pesquisados ......................... 146

4.15.2

Fontes para a pesquisa: ................................................................... 147

4.15.3

Hiptese posta prova:.................................................................... 147

4.15.4

Dados coletados ............................................................................... 147

4.16

Auditoria e Conformidade de Segurana da Informao ........................ 150

4.16.1

Tpicos tericos estudados e objetos pesquisados ......................... 150

4.16.2

Fontes para a pesquisa .................................................................... 150

4.16.3

Hiptese posta prova:.................................................................... 151

4.16.4

Dados coletados ............................................................................... 151

4.17

Gesto de Continuidade ......................................................................... 160

4.17.1

Tpicos tericos estudados e objetos pesquisados ......................... 160

4.17.2

Fontes para a pesquisa: ................................................................... 161

4.17.3

Hiptese posta prova:.................................................................... 161

4.17.4
5

Dados coletados ............................................................................... 161

Discusso......................................................................................................... 166
5.1

Sistemas, Informao e Comunicao ....................................................... 166

5.1.1

Aspectos positivos encontrados .......................................................... 166

5.1.2

Aspectos negativos encontrados ......................................................... 167

5.1.3

Anlise ................................................................................................. 168

5.2

Infraestrutura de Tecnologia da Informao ............................................... 168

5.2.1

Aspectos positivos encontrados .......................................................... 169

5.2.2

Aspectos negativos encontrados ......................................................... 170

5.2.3

Anlise ................................................................................................. 171

5.3

Poltica e Cultura de Segurana ................................................................. 172

5.3.1

Sobre o processo de elaborao da POSIC ........................................ 172

5.3.2

Sobre a adequao da POSIC aos requisitos de controle de Segurana

da Informao e Comunicaes da COMPANHIA X ........................................ 173


5.3.3

Sobre a adequao do Programa Corporativo de Conscientizao em

Segurana da Informao e Comunicaes s necessidades da COMPANHIA X


174
5.3.4
5.4

Anlise ................................................................................................. 174

Organizaes e Sistemas de Informao ................................................... 175

5.4.1

Sobre o comprometimento da direo do rgo com a Segurana da

Informao e Comunicaes ............................................................................ 176


5.4.2

Sobre a coordenao e responsabilidades de Segurana da Informao

e Comunicaes............................................................................................... 176
5.4.3

Sobre

Consultoria

Interna

em Segurana

da

Informao

Comunicaes ................................................................................................. 177


5.4.4

Sobre a cooperao entre a empresa e outras organizaes no que diz

respeito Segurana da Informao e Comunicaes .................................... 178


5.4.5

Sobre o acesso de terceiros informao produzida ou custodiada pela

COMPANHIA X ................................................................................................ 178

5.4.6
5.5

Anlise ................................................................................................. 179

Controles de Segurana Fsica e Ambiental .............................................. 181

5.5.1

Pontos positivos que mais se destacaram na pesquisa ...................... 181

5.5.2

Pontos negativos que mais se destacaram na pesquisa ..................... 183

5.5.3

Anlise ................................................................................................. 183

5.6

Protocolos de Comunicao Humano-Mquina ......................................... 184

5.6.1

Sobre a instituio ............................................................................... 185

5.6.2

Dados sobre as polticas e normas de Segurana da Informao e

Comunicaes vigentes ................................................................................... 185


5.6.3

Dados sobre os incidentes de segurana ............................................ 186

5.6.4

Dados e observaes sobre o comportamento dos funcionrios ........ 186

5.6.5

Anlise ................................................................................................. 187

5.7

O Direito na Sociedade da Informao ...................................................... 187

5.7.1

Sobre a natureza da abordagem dada ao relevante problema de conflito

entre privacidade e propriedade e as circunstncias internas e externas que a


compem ......................................................................................................... 187
5.7.2

Correlao da natureza da organizao, com a Gesto de SIC

(considerando seu nvel de maturidade), e a forma de tratamento da dicotomia


privacidade e propriedade ............................................................................. 188
5.7.3

Casos concretos em que houve a ecloso da dicotomia privacidade x

propriedade e discusso dos elementos que se fazem presentes (objetivos,


estruturais, subjetivos, eventuais) .................................................................... 188
5.7.4
5.8

Gerenciamento de Riscos de Segurana da Informao ........................... 189

5.8.1
5.9

Anlise ................................................................................................. 189

Anlise ................................................................................................. 192

Controle de Acesso .................................................................................... 193

5.9.1

Pontos positivos que mais se destacaram na pesquisa ...................... 193

5.9.2

Pontos negativos que mais se destacaram na pesquisa ..................... 194

5.9.3

Anlise ................................................................................................. 194

5.10

Aquisio e Implementao, Entrega e Suporte de Servios de TI ........ 195

5.10.1

Anlise dos dados do Domnio Aquisio e Implementao: ........... 196

5.10.2

Anlise dos dados do Domnio Entrega e Suporte de Servios: ...... 196

5.10.3

Anlise.............................................................................................. 199

5.11

Modelagem, Simulao e Dinmica de Sistemas ................................... 199

5.11.1

Quanto definio dos ativos a serem considerados: ..................... 199

5.11.2

Anlise.............................................................................................. 203

5.12

Gerenciamento das Operaes e Comunicaes ................................... 204

5.12.1

Sobre a instituio ............................................................................ 204

5.12.2

Anlise sobre a Gesto de TI ........................................................... 204

5.12.3

Sobre a implementao de controles relacionados ao processo de

gerenciamento de operaes e comunicaes ................................................ 204


5.12.4

Pontos positivos que mais se destacaram na pesquisa ................... 205

5.12.5

Pontos negativos que mais se destacaram na pesquisa .................. 206

5.12.6

Anlise.............................................................................................. 207

5.13

Criptografia e Infraestrutura de Chaves Pblicas .................................... 208

5.13.1

Sobre a organizao ........................................................................ 208

5.13.2

Sobre a utilizao de recursos tecnolgicos criptogrficos .............. 209

5.13.3

Sobre Stios Web e outros sistemas de informao ......................... 209

5.13.4

Sobre Ataques a Sistemas Criptogrficos ........................................ 209

5.13.5

Sobre a implementao de controles recomendados pela norma

ABNT 27002 (2005), no que diz respeito utilizao de recursos criptogrficos


210
5.13.6
5.14

Anlise.............................................................................................. 210

Segurana no Desenvolvimento de Aplicaes ...................................... 211

5.14.1

Sobre a implementao de controles relacionados aos processos

prticos de aquisio, desenvolvimento e manuteno de sistemas de


informao ....................................................................................................... 211

5.14.2

Pontos positivos ............................................................................... 212

5.14.3

Aspectos negativos: ......................................................................... 213

5.14.4

Anlise.............................................................................................. 213

5.15

Tratamento de Incidentes de Segurana ................................................ 214

5.15.1

Sobre a implementao de controles relacionados gesto de

incidentes de segurana da informao ........................................................... 215


5.15.2

Pontos negativos que mais se destacaram na pesquisa: ................. 216

5.15.3

Demais consideraes e resultados sobre a pesquisa: .................... 216

5.15.4

Anlise.............................................................................................. 216

5.16

Auditoria e Conformidade de Segurana da Informao ........................ 218

5.16.1

Sobre o processo de auditoria interna em segurana da informao

vigente na organizao: ................................................................................... 218


5.16.2

Pontos positivos ............................................................................... 218

5.16.3

Pontos negativos: ............................................................................. 219

5.16.4

Anlise.............................................................................................. 220

5.17

Gesto de Continuidade ......................................................................... 221

5.17.1

Sobre o processo de conformidade com normas e polticas de

segurana da informao e demais conformidades tcnicas ........................... 221


5.17.2

Pontos positivos: .............................................................................. 222

5.17.3

Pontos negativos: ............................................................................. 223

5.17.4

Anlise.............................................................................................. 223

5.18

Discusso em Relao s Hipteses ...................................................... 224

5.18.1

Hiptese sobre a utilizao do material terico e questes de suporte

dos protocolos de estudo de caso das disciplinas do curso CEGSIC 2009/2011


225
5.18.2
6

Hipteses sobre os requisitos de controle de SIC ............................ 225

Concluses e Trabalhos Futuros...................................................................... 227


6.1

Concluses................................................................................................. 227

6.2

Trabalhos Futuros ...................................................................................... 233

Referncias e Fontes Consultadas ......................................................................... 234


Apndice Trabalho Publicado pelo Autor ............................................................. 241

Resumo

opinio geral que a informao um dos ativos mais importantes de


qualquer organizao. Assim sendo, proteg-la um importante objetivo a ser
atingido. Nesse intuito, torna-se mister uma gesto de SIC eficiente e eficaz de
forma a mitigar ou eliminar os riscos para o negcio. Para atingir esse objetivo na
COMPANHIA X, foi definido, por meio desse trabalho de pesquisa, um modelo de
gesto de SIC utilizando-se de uma anlise de conformidade da gesto de
segurana da informao e comunicaes com a norma ABNT 27002 (2005),
balizando-se na legislao inerente segurana da informao e no material terico
e protocolos de estudo de caso das disciplinas do curso de especializao em
Gesto de Segurana da Informao e Comunicaes (CEGSIC 2009/2011). A
pesquisa tambm possibilitou a proposio de um conjunto de controles de SIC
aderentes legislao e s melhores prticas de gesto de SIC de forma a atender
os requisitos do negcio.

Palavras-chave:
conformidade.

segurana,

informao,

comunicaes,

auditoria,

gesto,

Abstract

It is general opinion that information is one of the most important assets of any
organization. Therefore, protecting it becomes an important goal to be accomplished.
To that end, it is urgent to manage the Information and Communication Security
(ICS) in an efficient and effective way in order to either to mitigate or to eliminate the
risks to the business. To achieve this goal in Company X, this research defined an
ICS management model base on the compliance analysis with ABNT 27002 (2005)
standard and the legislation inherent to the information security, in the theoretical
material, and case study protocols used in the specialization course in Management
of Information Security and Communications (CEGSIC 2009/2011). The research
also allowed the proposition of a set of ICS controls in compliance with the legislation
and ICS management best practice, in order to meet the business requirements.

Keywords:
compliance.

security,

information,

communications,

auditing,

management,

24

1 Delimitao do Problema

1.1 Introduo
de suma importncia que uma organizao identifique seus requisitos de
segurana; isto , todo e qualquer tipo de controle utilizado para atuar na diminuio
dos riscos ao negcio. A seleo dos controles depende dos critrios estabelecidos
pela organizao e pode se basear na legislao vigente, regulamentaes
nacionais ou internacionais, mtricas ou prticas estabelecidas por rgos de
reconhecida competncia. (BALDISSERA, 2007)
De acordo com a norma ABNT 27002 (2005), so exemplos de controles:
Questes relacionadas proteo de dados e privacidade de
informaes pessoais;
Proteo de registros organizacionais;
Direitos de propriedade intelectual;
O prprio documento da poltica de segurana;
Atribuio e distribuio de responsabilidades;
Conscientizao e treinamento em segurana da informao;
Gesto de vulnerabilidades tcnicas;
Gesto da continuidade do negcio; e
Gesto de incidentes de segurana da informao.
Alm disso, normas e legislaes (LEGISLAO, 2010) so apenas o ponto
de partida, pois as organizaes podem e devem escolher e estabelecer controles
que atendam s suas caractersticas nicas e que as diferenciam das demais.
Conseguir aderncia e conformidade a uma dessas normas, por si s, no
representa atingir maturidade em um processo de gesto de Segurana da

25
Informao e Comunicaes (SIC), mas assegura que os riscos sejam mitigados e
tratados e ainda que estejam sob contnua superviso. (SALGADO, SILVA e
BANDEIRA, 2004)
A fim de atingir esta conformidade, foi realizada na empresa COMPANHIA X,
em 2008, uma anlise de aderncia com a norma ABNT 27002 (2005), cujos
resultados denotaram que muito ainda h que ser feito em termos de Gesto de SIC.
Desde ento, vrias aes foram tomadas e muitas outras ainda esto por serem
executadas. Desta forma torna-se mister realizar uma nova anlise de aderncia e
conformidade referida norma no processo de implementao e implantao das
melhores prticas de Gesto em Segurana.
necessrio ter como base que apenas possuir a conformidade, com a
norma supracitada, no basta para se ter um modelo de gesto de segurana da
informao. Para isso, o governo federal publicou no dirio oficial de n 199, de 14
de outubro de 2008, a Instruo Normativa Complementar de n 2 (IN02, 2010), que
define a metodologia de gesto de SIC a ser utilizada na Administrao Pblica
Federal (APF), direta e indireta.
Esse trabalho, resultado da execuo de vrios estudos de caso, apresentar
uma proposta metodolgica com vistas a assegurar uma Gesto de SIC mais
eficiente e eficaz, tendo como referncia a metodologia de gesto de SIC baseada
no ciclo PDCA (Plan, Do, Check e Act), e que foi estabelecida pela norma ABNT
NBR ISO/IEC 27001:2006 (ABNT 27001, 2006). A escolha desta metodologia se
baseou em trs critrios: a) simplicidade; b) compatibilidade com a cultura de
segurana j sendo utilizada pelas empresas pblicas; e c) coerncia com as
prticas j adotadas nestas mesmas empresas.

1.2 Formulao da situao problema (Questes de pesquisa)


A Instruo Normativa do Gabinete de Segurana Institucional da Presidncia
da Repblica (GSIPR), n 1 (IN01, 2008), publicada no dirio oficial da unio no dia
18 de junho de 2008, especifica em seu artigo 1, a aprovao de orientaes para
Gesto de SIC que devero ser implementadas pelos rgos e entidades da APF,
direta e indireta. Entre estas orientaes, encontra-se a necessidade do
estabelecimento de polticas e normas de SIC.
No contexto da COMPANHIA X, o problema de pesquisa pode se resumir
seguinte pergunta:

26
Como atingir um modelo de SIC mais adequado, eficiente e eficaz para
a COMPANHIA, utilizando como referncia normas relacionadas SIC
atualmente reconhecidas e amplamente utilizadas pelo mercado, de
forma que se consiga mitigar ou at mesmo eliminar os riscos para o
negcio?

1.3 Objetivos e escopo


1.3.1 Objetivo Geral
Apresentar, por meio da execuo de vrios estudos de caso, um modelo de
SIC mais adequado, eficiente e eficaz para a COMPANHIA X, utilizando-se das
normas relacionadas SIC amplamente reconhecidas pelo mercado e que ajude a
mitigar, ou at mesmo eliminar os riscos para o negcio.
1.3.2 Objetivos Especficos
So objetivos especficos do trabalho:
Propor um conjunto de controles de segurana da informao e
comunicaes de forma que sejam aderentes s normas e legislao
inerentes ao assunto e que atendam s necessidades de negcio da
COMPANHIA X.
Verificar a aderncia e conformidade dos requisitos de controles de SIC
escolhidos e preconizados pelas normas e legislao referentes SIC
quando aplicados COMPANHIA X.
Avaliar a situao atual da Gesto de SIC da COMPANHIA X por meio
de anlises em seus ativos, por meio da utilizao de questes de
suporte adicionais para determinao de adequao aos requisitos de
segurana da informao importantes para o negcio da COMPANHIA
X.
1.3.3 Escopo
O escopo desse trabalho se restringir a analisar a organizao COMPANHIA
X que uma empresa de inteligncia que desenvolve estudos especializados,
visando o planejamento estratgico setorial do pais, e nesta organizao aos setores
de Tecnologia da Informao e Comunicaes, Recursos Humanos, Administrao
de Pessoal, Consultoria Jurdica e alguns setores voltados rea fim da empresa.

27

1.4 Justificativa
Esta pesquisa se justifica pela possibilidade de apoiar e agregar valor ao
processo de escolha, construo e implementao de uma metodologia de gesto
de SIC na COMPANHIA X, pois na empresa h somente at o momento, a Poltica
de Segurana da Informao e Comunicaes aprovada, no possuindo qualquer
outra norma de segurana implementada.
A pesquisa tambm agregar valor ao processo de escolha dos controles de
segurana que sejam mais pertinentes e que atendam aos requisitos de negcio da
COMPANHIA X e que ajudem a mitigar, ou eliminar os riscos e ameaas ao
ambiente informacional da empresa.

1.5 Hipteses
1.5.1 Hiptese sobre a utilizao do material terico e questes de suporte
dos protocolos de estudo de caso das disciplinas do curso CEGSIC
2009/2011
A utilizao do material terico e protocolos de estudo de caso das disciplinas
do curso de especializao em Gesto de Segurana da Informao e
Comunicaes (CEGSIC 2009/2011) corroboram com o referencial normativo e com
a legislao concernentes SIC, para o estabelecimento de uma anlise de
conformidade em SIC mais abrangente e eficaz.
1.5.2 Hipteses sobre os requisitos de controle de SIC
Os requisitos de controle de segurana da informao e comunicaes, ora
vigentes na COMPANHIA X so adequados e suficientes para atender aos requisitos
do negcio, e esto em conformidade com as normas e legislao inerentes ao
assunto.

1.6 Organizao do Trabalho


Este trabalho est organizado da seguinte forma:
O Captulo 1 trata da delimitao do problema, estabelecimento de
objetivos, apresentao da justificativa e estabelecimento de hipteses.
No Captulo 2, efetuada uma introduo gesto de SIC e so
aprofundados os temas e reas componentes do trabalho, dentre eles:

28
o Sees da norma ABNT 27002 (2005);
o Disciplinas componentes do CEGSIC 2009/2011, que se
correlacionam com o objeto de pesquisa deste trabalho e que
no esto diretamente contidas nas sees da supracitada
norma.
No Captulo 3 apresentada a metodologia da anlise de
conformidade realizada, e demais questes pertinentes a ela.
No captulo 4 so apresentados os resultados da anlise de
conformidade e demais questes levantadas pela pesquisa.
No captulo 5 realizada a anlise e interpretao dos dados da
pesquisa relacionando-os com os objetivos e hipteses de pesquisa.
No captulo 6 so reunidas as dedues retiradas dos resultados da
pesquisa e so apresentadas as indicaes de possveis trabalhos
futuros.

29

2 Reviso de Literatura e Fundamentos

A norma ABNT 27001 (2006) prove um modelo que visa estabelecer,


implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema
de Gesto de Segurana da Informao e Comunicaes (SGSIC). Esta norma est
baseada no PDCA (Plan-Do-Check-Act) que tem foco no ciclo de melhoria contnua
de qualidade, conforme pode ser visto na Figura 2.1, abaixo.
A notoriedade e importncia dessa norma podem ser percebidas em sua
indicao como referncia e balizamento utilizado na Instruo Normativa
Complementar n 02 (IN02, 2008), de 13 de outubro de 2008, que define a
metodologia de gesto de SIC a ser utilizada pelos rgos da APF, direta e indireta.

Figura 2.1 - Ciclo PDCA (Fonte: ABNT 27001, 2006, p. vi).


O modelo consiste de 4 fases principais, cujo detalhamento segue abaixo
(ABNT 27001, 2006; IN02, 2008).

30
1. Planejar: a fase de planejamento das aes de SIC a serem
implementadas, considerando-se os requisitos de negcio. Nessa fase,
as seguintes atividades devem ser executadas:
a. Definir escopo;
b. Definir abordagem de risco, com definio de metodologia de
gesto de riscos;
c. Identificar os riscos;
d. Analisar os riscos;
e. Identificar as opes para o tratamento do risco;
f. Selecionar as aes de SIC necessrias para tratar o risco;
g. Selecionar objetivos de controle e controles para o tratamento de
riscos.

Nessa

atividade,

utilizam-se

como

referncia

os

requisitos/controles de segurana definidos e recomendados


pela norma ABNT 27002 (2005);
h. Conseguir autorizao da direo para os riscos residuais;
i. Conseguir autorizao da direo para implementar e operar o
SGSI; e
j. Preparar declarao de aplicabilidade.
2. Implementar e operar: a fase de implementao das aes de SIC
planejadas na fase anterior. Nessa fase, as seguintes atividades
devem ser executadas:
a. Formular planos de metas para todos os objetivos das aes de
SIC aprovadas na fase anterior, levando em considerao a
criticidade e prioridade. Deve-se incluir a atribuio de
responsabilidades, prazos e os custos para implementao;
b. Obter autorizao para execuo dos planos de metas;
c. Implementar os planos de metas aprovados;
d. Medir a eficcia das aes de SIC implementadas;
e. Executar programas de conscientizao e treinamento;
f. Gerenciar as aes de SIC;
g. Gerenciar recursos reservados para as aes de SIC;
h. Implementar aes para deteco e resposta de incidentes de
SIC.

31
3. Monitorar e analisar: a fase de avaliao das aes de SIC
implementadas na fase anterior. Nessa fase, as seguintes atividades
devem ser executadas:
a. Executar procedimentos de avaliao e anlise crtica para
verificar se as aes de SIC esto sendo executadas como
planejado;
b. Analisar criticamente, com regularidade, a eficcia do SGSI;
c. Realizar auditorias internas para verificar conformidade dos
controles e requisitos de SIC;
d. Atualizar os planos e aes de SIC levando em considerao o
resultado das avaliaes e anlise critica realizada;
e. Registrar aes e eventos de SIC que possam impactar o
desempenho do SGSI.
4. Manter e melhorar: a fase de aperfeioamento das aes de SIC
monitoradas e avaliadas na anterior. Nessa fase, as seguintes
atividades devem ser executadas:
a. Propor direo da empresa a necessidade de implementao
das melhorias recomendadas pela fase anterior;
b. Implementar as melhorias aprovadas;
c. Comunicar efetivamente todas as melhorias, direo da
organizao e demais chefias afetadas pelas aes de SIC;
d. Assegurar que sejam alcanados os objetivos pretendidos com
as aes de SIC.
Na fase de planejamento, no que diz respeito seleo de aes e objetivos
de controles de SIC para tratamento do risco, utiliza-se as recomendaes e prticas
preconizadas nas onze sees da norma ABNT 27002 (2005) explicitadas abaixo:
Poltica de Segurana da Informao;
Organizando a SI;
Gesto de ativos;
Segurana em recursos humanos;
Segurana fsica e do ambiente;
Gesto das operaes e comunicaes;
Controle de acesso;

32
Aquisio, desenvolvimento e manuteno de sistemas de informao;
Gesto de incidentes de SI;
Gesto da continuidade do negcio; e
Conformidade.
Este trabalho considera mais algumas reas/sees que no eram
contempladas pela ABNT 27002 (2005), ou j eram tratadas como subtpicos dentro
de algumas sees da norma, como por exemplo, o tema criptografia, que era
tratado dentro da seo 12 - Aquisio, desenvolvimento e manuteno de sistemas
de informao, mas que devido sua importncia e relevncia para SIC deveria ser
tratado como uma seo parte, de forma a agregar mais valor ao planejamento e
implementao de um sistema de gesto de SIC. Com isso, essas novas sees ou
reas passariam a constar de processos de auditoria interna em SIC visando
assegurar uma gesto de SIC mais eficiente e eficaz de forma a reduzir os riscos
para o negcio.
Nos prximos subitens desse captulo sero denotadas todas as reas
consideradas pertinentes para compor um SGSI e que compuseram a auditoria de
SIC realizada nesse trabalho monogrfico.

2.1 Sistemas, Informao e Comunicao


Segundo Fernandes (2010a) ter uma compreenso sobre os conceitos
inerentes aos sistemas de informao, principalmente em relao aos sistemas de
misso crtica, serve como um importante instrumento de reflexo e insumo de
trabalho para o gestor de SIC.
Fernandes (2010a) define um sistema com um conjunto qualquer de partes
inter-relacionadas que formam um todo, com estruturas e comportamentos que
persistem ao longo do tempo. As estruturas representam a parte esttica dos
sistemas, normalmente consistindo de um conjunto de partes e dos limites que os
separam do ambiente em que se encontram. Os comportamentos representam a
parte dinmica dos sistemas, normalmente compostas pelos processos que se interrelacionam entre si e determinam um fluxo de informao entre as partes estruturais
dos sistemas.
H uma correlao entre sistemas e segurana segundo Fernandes (2010a),
em que a segurana consiste, em uma forma mais ampla, na adoo de um
conjunto de medidas e aes que visam manter integras as caractersticas de

33
qualquer sistema. Passando, este ltimo a se denominar sistema seguro ou
segurado, mantendo suas estruturas e comportamentos ao longo do tempo.
Ainda segundo Fernandes (2010a), h os sistemas de misso crtica que so
essenciais para o cumprimento das funes mais importantes da organizao; isto ,
sistemas que caso sofram os efeitos de alguma vulnerabilidade, podem impedir a
empresa de cumprir suas funes bsicas de negcio.
Ento, saber quais so os sistemas de misso crtica da instituio, seja
pblico ou privada, torna-se um importante fator na construo de um sistema de
gesto de SIC como um todo.
A fim de se averiguar se os requisitos de SIC de um determinado sistema de
misso crtica esto satisfatrios, ou em conformidade com o preconizado pelas
melhores prticas em gesto de SIC, pode-se utilizar a norma ABNT 27002 (2005) e
escolher, dentre suas 11 sees de controles de segurana, aqueles mais
relacionados ao sistema de misso crtica em anlise e verificar sua aplicabilidade,
grau de implementao e eficincia. Outro fator a ser levado em considerao e no
menos importante, diz respeito aos requisitos legais e normativos que podem
impactar sobremaneira o sistema de misso crtica em questo.

2.2 Infraestrutura de Tecnologia da Informao


Determinar se a infraestrutura de Tecnologia da Informao (TI) de uma
organizao atende aos requisitos de controle de Segurana da Informao e
Comunicaes que por sua vez atendero aos requisitos de negcio, no uma
questo trivial, principalmente pela amplitude e abrangncia deste tema. Para isso,
torna-se mister definir e conceituar corretamente este tpico.
Define-se em Arajo (2010), infraestrutura de TI como sendo a parte da TI
que suporta as aplicaes que sustentam todos os processos de negcio. A autora
ainda correlaciona realizao de tarefas da empresa com eficincia e eficcia com
equilbrio entre processos, pessoas e tecnologia a uma infraestrutura de TI bem
planejada.
O framework COBIT - Control Objectives for Information and related
Technology (COBIT, 2007), um guia de boas prticas, dirigido para a gesto de TI,
que divide-se em 4 domnios (Planejar e Organizar; Adquirir e Implementar; Entregar
e Dar Suporte; Monitorar e Avaliar). Esses 4 domnios contm 34 processos sendo
que no domnio de Planejamento e Organizao, o COBIT discorre sobre a

34
infraestrutura de TI em seu processo AI3, que versa sobre os objetivos de controle
relacionados aquisio e manuteno da infraestrutura de TI e sua importncia
para o negcio.
Esse processo estabelece controles para aquisio de infraestrutura de TI,
proteo e disponibilidade dos recursos da infraestrutura de TI, manuteno da
infraestrutura de TI e testes dos elementos da infraestrutura de TI. O processo enfim
descreve que a infraestrutura de TI deve ser considerada para que se atinjam os
melhores resultados e benefcios para o negcio (ESTRUTURA, 2010).
Analisar se a infraestrutura de TI atende aos requisitos de segurana do
negcio tambm envolve conhecer os elementos que compem a mesma. Segundo
Arajo (2010), a infraestrutura de TI composta de:
Instalaes prediais - em que devem ser observadas questes de
segurana da informao relacionadas ao fornecimento de energia
eltrica, climatizao/refrigerao dos ambientes e controle de acesso;
Computadores e equipamentos - em que no devem ser esquecidos os
requisitos de segurana que devem existir em equipamentos tais como:
estaes de trabalho, servidores, mainframes e clusters;
Software - em que devem ser observadas inmeras questes de
segurana no que diz respeito a software de sistema, software
aplicativo e software embarcado;
Redes e Telecomunicaes - em que devem ser observadas questes
de segurana relacionadas aos componentes da rede, tais como:
placas de rede, switchs, roteadores, cabeamento e telefonia; e
Sistemas de armazenamento e recuperao de dados - em que devem
ser observadas questes de segurana relacionadas a um servidor de
arquivos e a storages que normalmente so utilizados para grandes
volumes de dados.
A norma ABNT 27002 (2005), define que a infraestrutura de TI deve ser
considerada para que se atinjam resultados que visem a eficincia e eficcia,
gerando benefcios para o negcio. Ela especfica, no item 2 (Termos e definies),
subitem 2.4, que a infraestrutura um importante recurso de processamento da
informao. Em sua seo 10 (gerenciamento das operaes e comunicaes), so

35
recomendados controles que visam garantir a operao segura e a mais correta
possvel dos recursos de processamento da informao (ABNT 27002, 2005).
Apoiado nestas justificativas a pesquisa procura analisar os diversos
requisitos de SIC correlacionados infraestrutura da organizao.

2.3 Poltica e Cultura de Segurana


Segundo Smola (2003) informao o ativo mais valorizado em uma
empresa, pois se trata de insumo bsico de trabalho e para o processo de tomada
de deciso. Ento compartilhar essa informao e, em conseguinte, tomar todas as
medidas de segurana necessrias para proteger essa informao torna-se uma
importante misso para a gesto corporativa e, para a gesto de segurana da
informao e comunicaes.
A norma ABNT 27002 (2005) (conjunto de melhores prticas em Segurana
da Informao (SI) e que recomenda uma srie de controles de segurana de forma
que possam atender aos mais variados tipos de negcio) define SI como sendo a
preservao da confidencialidade, da integridade e da disponibilidade da
informao, assim como tambm de outras propriedades bsicas da informao
como autenticidade, responsabilidade e confiabilidade (ABNT 27002, 2005).
Uma definio mais atual pode ser encontrada na Instruo Normativa n 01,
de 13 de junho de 2008, publicada pelo Departamento de Segurana da Informao
e Comunicaes (DSIC), do GSIPR que define SIC como um conjunto de aes que
objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade
e a autenticidade das informaes (IN01, 2008).
Uma ao relevante no sentido de se viabilizar e tentar assegurar essas
propriedades bsicas da informao, relacionadas a SI, diz respeito ao
estabelecimento de uma Poltica de Segurana da Informao e Comunicaes
(POSIC), conforme pode ser observado no Decreto n 3.505 (BRASIL, 2000), de 13
de junho de 2000, que institui a Poltica de Segurana da Informao nos rgos e
entidades da Administrao Pblica Federal e determina, como um dos seus
objetivos, a promoo de aes necessrias implementao e manuteno da SI.
Observa-se tambm a recomendao que a direo das empresas estabelea
uma clara orientao e comprometimento com a Segurana da Informao por meio
da publicao, e manuteno, de uma POSIC cujo escopo e abrangncia atinjam a

36
toda a organizao, conforme um dos requisitos de controle de segurana dispostos
na seo 5 - Poltica de Segurana, item 5.1, da norma ABNT 27002 (2005).
A IN01 (2008) define a POSIC como um documento que precisa ser aprovado
pela autoridade mxima da organizao da APF, direta e indireta, e tambm
estabelece que a mesma deva ter como objetivos, fornecer diretrizes, critrios e
suporte administrativo suficientes implementao da SIC nas organizaes. Alm
disso, em seu artigo 5, inciso VII, a IN01 determina que de competncia de cada
empresa pblica aprovar sua POSIC e demais normas de SIC.
A Instruo Normativa Complementar n 03 (IN03, 2009) publicada pelo DSIC,
do GSIPR, estabelece diretrizes para elaborao de uma POSIC nos rgos e
entidades da administrao pblica federal e que a mesma deve ter, por objetivo
bsico, confirmar o comprometimento da alta direo das empresas na
implementao da gesto da segurana da informao e comunicaes por meio do
fornecimento

de

diretrizes

estratgicas,

atribuio

de

responsabilidades e

competncias e todo o apoio que seja necessrio.


Percebe-se a relevncia e a necessidade de se desenvolver e implantar uma
POSIC, no somente devido s questes impostas pela legislao, mas tambm
pelas recomendaes, efetuadas pelo mercado pblico e privado, assim como
tambm pela utilizao das melhores prticas preconizadas pelas normas, ademais
pela prpria necessidade de se viabilizar e garantir a segurana do ativo mais
precioso de uma organizao, que a informao.
Torna-se

um

importante

objetivo

ser

perseguido

atingido,

desenvolvimento e a implantao de uma Poltica de Segurana da Informao e


Comunicaes, que atenda s diretrizes e aos requisitos bsicos de SIC conforme
preconizados pela norma ABNT 27002 (2005), pelo Decreto 3505 (BRASIL, 2000),
pela Instruo Normativa 01 (IN01, 2008) e pela Instruo Normativa 03 (IN03,
2009).

2.4 Organizaes e Sistemas de Informao


A Segurana da Informao e Comunicaes est na agenda permanente
dos executivos, diretores e presidentes, sejam de empresas pblicas ou privadas,
pois todas, sem exceo, precisam lidar, manusear, processar e utilizar de um
insumo bsico de trabalho, que a informao. Proteger essa informao, no que
diz respeito s propriedades bsicas que ela deve apresentar (IN01, 2008), que so:

37
Disponibilidade, Integridade, Confidencialidade e Autenticidade, torna-se quase to
importante quanto misso bsica para a qual a empresa foi criada.
Para atingir o objetivo de proteger a informao precisa-se, primeiramente,
pensar em uma estrutura ou organizao de SIC de forma que ela possa ajudar a
planejar, desenvolver e executar todas as aes relacionadas segurana da
informao.
Veneziano (2010a) define organizao, de forma simplificada, como um
arranjo intencional de pessoas e de tecnologia que visa certo objetivo. Fontes (2008)
por sua vez, estabelece que uma empresa deva ter uma estrutura organizacional
responsvel pelo processo de gesto de SIC, viabilizando e garantindo a sua
implementao e manuteno.
A norma ABNT 27002 (2005), em sua seo relativa Organizao da
segurana da informao, estabelece que para gerenciar a segurana da
informao dentro de uma empresa conveniente se estabelecer uma estrutura
prpria que inicie e controle as implementaes de SIC como um todo.
Corroborando com isso, em 13 de junho de 2008, o GSIPR, por meio do DSIC,
publicou a Instruo Normativa n 01 (IN01, 2008), que disciplina a Gesto de SIC
na APF direta e indireta.
Essa instruo normativa, em seu artigo 5 determina, dentre outras coisas,
que cada empresa pblica, direta ou indireta, tome as seguintes providncias:
Estabelea um programa oramentrio especfico para as aes de SIC;
Institua um Comit de Segurana da informao e Comunicaes (CSIC);
Institua um Gestor de Segurana da informao e Comunicaes; e
Institua uma Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais (ETIR).
Alm disso, em seus artigos 6 e 7, a IN01 (2008) tambm especifica quais
so as responsabilidades e competncias tanto do CSIC quanto do Gestor de SIC.
Com essas determinaes, o governo federal vem salientar a premncia e a
importncia de que as empresas pblicas criem as estruturas organizacionais que
devam tratar de todos os aspectos relacionados SIC, no s para proteger,
possivelmente o bem mais valioso das empresas atualmente, que a informao,
como tambm para que todas estejam em conformidade com a legislao, e com
todo o conjunto de normas e melhores prticas em gesto de segurana.

38

2.5 Controles de Segurana Fsica e Ambiental


Vidal (2010) apresenta a seguinte viso do que segurana da informao
para a maioria dos executivos e empresrios: Segurana significa corrigir as falhas
no meu ambiente de tecnologia. Precisamos estar com o antivrus atualizado. O
prprio autor expressa a opinio que segurana no envolve somente o ambiente
tecnolgico.
Essa viso dos executivos realmente antiquada e deturpada e vem de uma
poca em que a tecnologia estava comeando a surgir e se expandir por todas as
reas das organizaes. Atualmente, percebe-se que a segurana da informao e
comunicaes no pode ser vista de forma isolada, ora vislumbrando-se somente as
necessidades de segurana fsica, ora vislumbrando-se as necessidades de
segurana relacionadas ao ambiente, e ora vislumbrando-se somente as
necessidades de segurana relacionadas parte lgica do negcio; isto ,
segurana no que diz respeito a hardware e software.
A seo da norma ABNT 27002 (2005) trata especificamente da questo de
Segurana Fsica e Ambiental e se subdivide em duas principais reas: reas
seguras e Segurana em equipamentos. A subseo de rea segura trata das
recomendaes para preveno do acesso fsico no autorizado, danos e
interferncias com as instalaes e demais informaes das empresas e
organizaes. A subseo de Segurana de equipamentos tem por objetivo tecer
recomendaes

que

visam

impedir

perdas,

danos,

furto

ou

roubo,

ou

comprometimentos de ativos e interrupo das atividades da empresa ou


organizao.
A Instruo Normativa Complementar de nmero 7 (IN07, 2010), publicada
pelo DSIC/GSIPR fornece inmeras diretrizes para implementao de controles de
acesso (fsico e lgico) relativos SIC e, o que antes era s um conjunto de
orientaes pertencentes a uma norma passa, ento, a ter um escopo e um peso
maior, devendo-se ser observada pelas empresas da APF.
Percebe-se, ento, que tomar todas as medidas para proteger a informao,
que insumo bsico de trabalho da instituio, uma importante meta a ser
perseguida e atingida. Para tanto, corrobora-se a este objetivo a necessidade de se
ter um ambiente empresarial seguro que no se preocupe somente com as questes
de segurana lgica, mas tambm as questes relacionadas segurana fsica.

39
Torna-se mister para qualquer empresa verificar se os seus requisitos de controle de
segurana da informao e comunicaes esto em conformidade com o
preconizado e sugerido pela seo Segurana fsica e do ambiente, da norma
ABNT 27002 (2005).

2.6 Protocolos de Comunicao Humano-Mquina


Atualmente, as empresas consideram a informao, alm do seu capital
humano, como um dos seus maiores ativos. A informao est intrinsecamente
ligada em todos os estgios corporativos, seja a nvel estratgico, ttico ou
operacional. Informaes de diferentes tipos e nveis de criticidade so utilizadas,
desde informaes necessrias para a compra de insumos bsicos para
operacionalizar a empresa, at informaes utilizadas pelo mais alto nvel
estratgico, que poderiam alterar, at mesmo, a misso da instituio.
Por esses motivos, torna-se relevante para uma organizao ter uma gesto
de SIC o mais eficiente e eficaz possvel. Nesse sentido, as empresas pblicas
podem utilizar a Instruo Normativa n 01 (IN01, 2008) que dentre suas principais
recomendaes, destaca-se a necessidade de cada empresa pblica instituir uma
Poltica de Segurana da Informao e Comunicaes (POSIC) e demais normativos
e aes que apoiem a gesto de SIC, dentre eles: atividades de gesto de riscos,
gesto de continuidade do negcio, tratamento de incidentes, tratamento da
informao, conformidade, credenciamento, segurana ciberntica, segurana fsica,
segurana lgica e segurana organizacional. Essas aes, se implementadas,
ajudariam a viabilizar e garantir as propriedades bsicas da informao que so: a
disponibilidade, integridade, confidencialidade e autenticidade (IN01, 2008).
Contudo, a implementao de muitas dessas aes no levam em
considerao um importante ponto de vista que, com certeza, culminaria por
minimizar ou eliminar fatos e aes que normalmente levariam os usurios a
adotarem comportamentos inseguros. Em Silva (2010b) denota-se a importncia da
compreenso do comportamento inseguro dos usurios, contemplando todo o fluxo
de trabalho das pessoas. O autor ressalta a Ergonomia como norteador para a
construo de uma gesto de SIC mais eficiente e eficaz e, dessa forma, coerente
com as atividades de trabalho.
Alves (2009) tambm corrobora com essa posio, afirmando que qualquer
tentativa para construo de um modelo de gesto de SIC eficiente dever abordar

40
as atitudes, conhecimento e comportamento dos servidores que tratam com as
informaes. Posio essa em sintonia com o frisado por Rocha (2008), que afirma
que o elo mais fraco da SIC justamente o ser humano.
Silva (2007) acaba por afirmar que pouco tem sido feito pelas empresas para
se identificar as causas e/ou fatores que levam os usurios a comportamentos
inseguros e menos ainda para buscar solues para essa problemtica.
Na maioria dos casos, as empresas costumam utilizar a legislao
relacionada SIC, as normas inerentes ao assunto e, um pouco de bom senso na
elaborao e implementao de sua gesto de SIC. Porm, a questo ergonmica
crucial e tambm deveria ser levada em considerao. Torna-se mister no se
esquecer de se estudar, pesquisar e levar em conta o que poderia levar os usurios
a adotarem comportamentos inseguros e um objetivo extremamente importante a
ser atingido em um projeto dessa natureza.

2.7 O Direito na Sociedade da Informao


Uma das discusses mais corriqueiras no meio corporativo, seja pblico ou
privado, ou na sociedade brasileira como um todo, diz respeito dicotomia entre o
direito de propriedade versus a privacidade, estando assim relacionada rea de
SIC. A norma ABNT 27002 (2005), que recomenda e sugere uma gama de
requisitos de controles relacionados SIC, descreve que essencial que uma
organizao, para identificar os seus necessrios requisitos ou controles de
segurana considere, dentre outras coisas, a legislao vigente, os estatutos,
regulamentaes e clusulas contratuais, sejam essas estabelecidas internamente
com os usurios da empresa, ou estabelecidos com fornecedores e prestadores de
servio terceirizados.
Em sua seo 15, que trata de Conformidade legal, subitem 15.1.2, a ABNT
27002 (2005) recomenda que sejam seguidas diretrizes para se elaborar polticas e
normas que tratem da conformidade com os direitos de propriedade intelectual e
defina o uso legal de software e de informao. No subitem 15.1.4, ela recomenda
que todas as questes legais concernentes privacidade e proteo de dados
estejam em conformidade com a legislao e dispostas em uma poltica de
privacidade e proteo de dados da organizao.
Massoco (2010) coloca essa questo em debate, quando explicita a seguinte
pergunta: Qual o limite entre a privacidade do funcionrio em seus e-mails e

41
navegaes em redes sociais, por exemplo, e a autoridade do empregador em
controlar seus acessos internet?. Ele afirma, que do ponto de vista legal,
geralmente o empregador responde civilmente pela utilizao de seus computadores
e demais recursos computacionais quando utilizados pelos seus empregados.
Em Justia (2008), apresenta-se uma matria de jornal em que a justia do
trabalho nega ao empregado privacidade na utilizao do e-mail funcional. O caso
chegou at o Tribunal Superior do Trabalho, em que o ministro acaba por afirmar
que o e-mail corporativo no se enquadra nos casos de sigilo de correspondncia,
conforme previstos na Constituio, porque uma ferramenta de trabalho.
Em Machado (2010) pode-se observar a mesma discusso. Porm o autor
coloca que se for deixado claro, em uma ampla e transparente poltica corporativa
para utilizao de recursos computacionais, de que toda e qualquer expectativa de
privacidade deve ser suprimida, a questo de propriedade passar a ser
prevalecente sobre a questo de privacidade.
No Brasil, a questo do direito de propriedade tratada na constituio
(BRASIL, 1988), em alguns incisos dispostos no art. 5; na lei 9279 (BRASIL, 1996),
que regula direitos e obrigaes relativas propriedade industrial; na lei 9609
(BRASIL, 1998a) que dispe sobre a proteo da propriedade intelectual de
programa de computador, sua comercializao no Pas, e d outras providncias; na
lei 9610 (BRASIL, 1998b), que altera, atualiza e consolida a legislao sobre direitos
autorais e d outras providncias e tambm no cdigo civil (BRASIL, 2002b), art.
932, inciso III. A questo da privacidade direito constitucional previsto no art. 5,
inciso XII.
Observando-se a dicotomia propriedade versus privacidade e tendo por base
os controles recomendados pela ABNT 27002 (2005), acaba-se por diminuir a
quantidade de incidentes, sejam intencionais ou no, e que acabam por
responsabilizar seu infrator, tanto de forma administrativa, civil ou penal. Contudo,
no basta s observarem-se as normas e a legislao relacionada ao direito de
propriedade e privacidade, mas tambm toda a legislao voltada SIC, como por
exemplo: o Decreto 3505 (BRASIL, 2000) que institui que todo rgo pblico deve
ter uma Poltica de Segurana da Informao; o Decreto 4553 (BRASIL, 2002) que
trata da classificao e trato de informaes sigilosas; a Instruo Normativa 01
(IN01, 2008) que disciplina a gesto de SIC na Administrao Pblica Federal; e
todas as demais Instrues Normas Complementares IN01 (2008) que tratam de

42
assuntos tais como a metodologia de gesto de SIC, gesto de incidentes de
segurana, gesto de riscos e controle de acesso.
Sendo assim, estar em conformidade com as normas, naquilo que for
relevante e necessrio para nossas organizaes, e tambm com a legislao
vigente, se torna no s uma obrigao, mas uma necessidade para que possamos
mitigar ou at mesmo eliminar os riscos para o negcio. Dessa forma, diminui-se as
oportunidades para possveis delitos e incidentes que acabaram por culminar em
responsabilidades administrativas, civis ou penais e a dicotomia propriedade versus
privacidade em que esta no seria um problema, mas sim algo tratado, explicitado e
amplamente divulgado a todos na organizao.

2.8 Gerenciamento de Riscos de Segurana da Informao


A norma ABNT 27001 (2006) define que uma organizao deve estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema
de Gesto de Segurana da Informao e tambm gerenciar os riscos a ela
inerentes. Ela tambm orienta que as organizaes utilizem o ciclo PDCA (PlanejarImplementar-Monitorar-Agir), de melhoria contnua, para gerenciar esse processo de
gesto. Na fase de Planejamento do ciclo, a norma estabelece, dentre outras coisas,
que a organizao deve:
Identificar os riscos;
Analisar e avaliar os riscos;
Identificar e avaliar as opes para o tratamento de riscos;
Selecionar objetivos de controle e controles para o tratamento de riscos; e
Obter a aprovao de possveis riscos residuais.
Essa nfase gesto de riscos torna-se relevante, pois at mesmo para o
desenvolvimento de uma POSIC que seja a mais eficiente e eficaz possvel,
demandaria uma anlise e avaliao de riscos antes de sua elaborao, pois assim
a poltica tenderia a no relegar aspectos e situaes que seriam importantes para o
negcio e para a SI como um todo.
Alm da norma supracitada, foi publicada em 2008, a norma ABNT 27005
(2008) que fornece diretrizes para a gesto de riscos de segurana da informao
nas organizaes, em consonncia com os requisitos estabelecidos pela norma
ABNT

27001

(2006).

Sendo

assim,

serve

como

um

detalhamento

das

43
recomendaes fornecendo, inclusive, todo o fluxo de atividades a serem
observados em uma boa anlise/avaliao de riscos.
No caso da APF foram publicadas a Instruo Normativa Complementar 02,
que trata da Metodologia de Gesto de SIC, e que tambm se utiliza da gesto de
riscos como um de seus pressupostos (IN02, 2008) e a Instruo Normativa
Complementar 04, que trata de estabelecer diretrizes para o processo de gesto de
riscos de segurana da informao, para as empresas pblicas, tanto da
administrao direta, quanto indireta (IN04, 2009).
Todas essas aes, normas e instrues normativas que trabalham a gesto
de riscos chamam a ateno para esse importante processo de gesto que passa a
ser crucial para qualquer empresa, seja pblica ou privada, na tentativa de se
reduzir, mitigar ou at mesmo eliminar os riscos para o negcio e para compor seu
sistema de gesto de SIC.

2.9 Controle de Acesso


Alguns anos atrs, a maioria das pessoas e a maioria das empresas, s se
preocupavam com a proteo de bens e informaes que normalmente estavam
dispostas na forma de documentos em papel, e que deviam ficar acondicionadas em
salas e recintos seguros. Porm, hoje para a maioria das empresas, o maior bem a
ser protegido a informao, que subsiste nas mais variadas formas (documentos
em papel, documentos eletrnicos) e acondicionadas nos mais diversos tipos de
mdias, hard disks, gavetas, pen drives e etc.. Ento proteger o acesso a essa
informao, seja de forma fsica ou lgica, se torna uma importante meta a ser
atingida.
Uma importante ferramenta para ajudar na delimitao de requisitos de
segurana, que ajudem no atingimento da meta previamente citada, a norma
ABNT 27002 (2005), que em sua seo 11, especfica para controle de acesso,
recomenda que o acesso informao, recursos de processamento das
informaes e processos de negcios sejam controlados com base nos requisitos de
negcio e segurana da informao. Essa seo contm inmeras recomendaes
que aps serem analisadas e verificadas, podem ser aplicadas na organizao.
Outra abordagem para o assunto pode ser vista em Fernandes (2010b), que
define o controle de acesso como conjunto de barreiras adotadas por uma
organizao, sejam elas barreiras fsicas ou lgicas, que visam a proteo dos

44
ativos da empresa contra acessos indevidos e que, ao mesmo tempo, s permitam o
acesso dos indivduos legitimamente autorizados. Nesse caso, considera-se a
informao o ativo mais importante a ser protegido.
Uma definio bem recente pode ser encontrada na Instruo Normativa
Complementar 07 (IN07, 2010) que define controle de acesso como o conjunto de
procedimentos, recursos e meios utilizados com a finalidade de conceder ou
bloquear o acesso. Essa instruo normativa tem, por finalidade, estabelecer
diretrizes para a implementao de controles de acesso relativos SIC e mais um
dos muitos instrumentos que podem ser utilizados para a construo de barreiras
fsicas ou lgicas que ajudem a construir um processo de controle de acesso
eficiente e eficaz.
Ento, conseguir responder pergunta Os requisitos de controle de
segurana da informao e comunicaes de uma organizao esto em
conformidade com o preconizado e sugerido pela seo Controle de Acesso, da
norma ABNT 27002 (2005)? pode contribuir, sobremaneira, no processo de
construo de uma boa gesto de SIC.

2.10 Aquisio e Implementao, Entrega e Suporte de Servios de


TI
Para proteger seu ativo principal, que a informao, todas as empresas,
sejam pblicas ou privadas, utilizam-se de diversos controles que tm por finalidade
viabilizar e assegurar a SIC.
A norma ABNT 27002 (2005) define controle como a forma de se gerenciar o
risco, forma essa que pode incluir a definio e utilizao de polticas,
procedimentos, diretrizes, prticas ou estruturas organizacionais. Esses controles
podem ser de natureza administrativa, tcnica, de gesto ou de ordem legal. A
prpria norma um grande conjunto de controles de segurana da informao,
distribudos em 11 sees (reas).
Contudo, s observar os controles e processos recomendados pela rea de
segurana, no permite uma viso abrangente de tudo o que necessrio para uma
boa gesto. Por isso, Rodrigues (2010) define a Governana como sendo a
capacidade de se gerenciar coletivamente todos os aspectos da Tecnologia da
Informao e Comunicaes (TIC) e que se relacionam diretamente com os

45
objetivos do negcio da organizao. Logo essa viso parece ser a mais adequada
para uma gesto mais adequada e abrangente dos controles.
Nesse sentido, suscita-se a relevncia do framework de governana de TI
denominado COBIT (Control Objectives for Information and related Technology).
Esse padro fornece boas prticas de governana por meio de um modelo de
domnios e processos que visam alinhar os objetivos de negcio com os objetivos de
TI, de forma que os investimentos de TI sejam otimizados, que seja assegurada a
entrega de servios e, tambm, que seja provido um conjunto de mtricas que
permitam avaliar a entrega e execuo dos processos, produtos e servios de TI
(COBIT, 2007).
O COBIT dividido em quatro domnios que, por sua vez contm diversos
processos. Dentre eles, destacam-se:
O domnio de Planejamento e Organizao estabelece processos que
observam o uso da tecnologia da informao e se isso colabora para que a
empresa atinja seus objetivos e metas.
O domnio Aquisio e Implementao permite o controle e identificao dos
requisitos de TI, da aquisio de tecnologia e como isso interage com os
objetivos de negcio da organizao. Tambm trata das questes
relacionadas aos requisitos e efeitos de mudanas no ambiente empresarial.
O domnio de Entrega e Suporte de Servios diz respeito a tudo relacionado
entrega de servios, tanto no que diz respeito ao servio fornecido por
colaboradores internos quanto fornecedores externos organizao.
O domnio de Monitorar e Avaliar permite monitorar toda gesto, incluindo
todos os processos e controles, viabilizando a Governana como um todo, e
averiguando se os objetivos de negcio esto realmente sendo alcanados.
Ento, se uma determinada organizao consegue responder pergunta Os
processos de TI ora praticados pela empresa esto em conformidade com os
controles recomendados pelos domnios Aquisio e Implementao e Entrega e
Suporte de Servios de TI, e em especial com os controles recomendados pelo
processo DS5 Assegurar a segurana dos servios, do framework COBIT?, pode
contribuir, sobremaneira, no processo de construo da gesto de SIC como um
todo (COBIT, 2007).

46

2.11 Modelagem, Simulao e Dinmica de Sistemas


Atualmente, para uma boa gesto de SIC j no basta mais que o gestor
tenha uma viso tradicionalmente linear e cartesiana. A prpria norma ABNT 27001
(2006) estabelece que a gesto de SIC deva ser vista, pensada e tratada como um
sistema integrado e com todas os elementos que compem a estrutura do sistema
se comunicando e interagindo em busca de um mesmo objetivo que a segurana
da informao. Logo, torna-se mister uma viso sistmica e integrada, de forma que
se explore a interdependncia desses elementos. Dessa forma, torna-se
extremamente interessante modelar a dinmica do sistema de gesto, identificandose as variveis que podem interferir em sua dinmica (CHAIM, 2010).
Chaim (2010) estabelece que por meio da construo de um modelo de SI
seria possvel se identificar, e analisar, as foras favorveis, ou desfavorveis, que
atuam na organizao. Para isso, preciso conceituar e definir melhor o que seria
um modelo e seus constituintes.
Segundo Sampaio (2010) a visualizao e compreenso do mundo real
uma tarefa extremamente complexa, denotando-se a necessidade de uma viso
mais simplificada e condizente com a realidade (um modelo). Isso seria atingido por
meio do pensamento sistmico e confluiria para a modelagem dinmica dos
sistemas. Sampaio (2010) define pensamento sistmico como uma tcnica de
resoluo de problemas que emprega modelos e simulaes de modo que as
alteraes em dados sistemas sejam percebidas e, se for o caso, sejam
realimentadas para o sistema. Para trabalhar com modelagem dinmica de sistemas
pode-se utilizar a tcnica de representao grfica denominada Diagrama Causal
que facilita a representao grfica do sistema, dos efeitos das variveis e da
interdependncia dos elementos (KIRKWOOD, 2010).
Em Tutorial (2010) define-se diagramas causais como a representao dos
elementos de um sistema e a relao entre eles. Utilizam a linguagem de elos
fechados que permitem mapear o modelo mental (entendimento do problema) do
sistema. Os diagramas permitem representar a relao entre cada par de conceitos
e facilitam a resoluo de problemas.
Kirkwood (2010), por sua vez, estabelece que por meio da retroalimentao
das informaes dos sistemas e da relao entre seus elementos possvel chegar

47
aos elementos que determinam os padres de comportamento do sistema como um
todo.
E exatamente em que ponto a modelagem, simulao e dinmica de sistemas
poderiam contribuir para a gesto de SIC? Para tentar responder a essa pergunta,
nesse trabalho ser utilizado um modelo de simulao de modo que se possa aferir
de que forma o modelo pode influenciar em uma melhor gesto de SIC.

2.12 Gerenciamento das Operaes e Comunicaes


Atualmente, no h uma empresa, seja pblica ou privada, que no considere
a relevncia e pertinncia de se realizar uma boa gesto de tecnologia da
informao. Uma das melhores referncias mundiais sobre o tema e que comprovam
a importncia desse tema, a biblioteca de melhores prticas em gerenciamento de
servios de TI, denominada ITIL (IT Infrastructure Library) que composta por
inmeros processos que podem e devem ser utilizados para uma boa gesto de TI,
em qualquer organizao (ITIL, 2000).
Gondim (2010) estabelece que a gesto de TI compreende as atividades
relativas operao da infraestrutura de TI, juntamente com a tecnologia necessria
para sua execuo. Dentre essas atividades, destaca-se a utilizao de mtodos,
procedimentos e ferramentas para a operao, administrao, manuteno e
provisionamento de servios e sistemas de informao e da prpria infraestrutura de
TI em si.
Gondim (2010) tambm define gesto de operaes e comunicaes como o
conjunto

de

atividades,

processos,

procedimentos e

recursos que

visam

disponibilizar e manter servios, sistemas e a infraestrutura que os suportam,


satisfazendo a todos os acordos de nvel de servio sejam eles estabelecidos com
fornecedores de servios internos e/ou externos. Sendo assim, disponibilizar
servios e sistemas torna-se uma importante meta a ser perseguida e, para atingi-la,
h de se considerar a utilizao de requisitos de controles de segurana da
informao, tais como os preconizados pela norma ABNT 27002 (2005), de forma a
se garantir as propriedades bsicas da informao, que so: a disponibilidade, a
integridade, a confidencialidade e a autenticidade.
Em sua seo 10, relativa Gerenciamento das operaes e comunicaes,
a norma ABNT 27002 (2005) recomenda a utilizao de requisitos/controles de
segurana da informao e comunicaes que, caso observados e implementados,

48
ajudariam a assegurar uma boa gesto de operao e, por conseguinte, uma boa
gesto de TI. Dentre os controles principais da supracitada seo, destacam-se:
Controles

referentes

aos

procedimentos

responsabilidades

operacionais, que visam garantir a operao segura e correta dos


recursos de processamento da informao;
Controles referentes ao gerenciamento de servios terceirizados, que
visam implementar e manter o nvel apropriado de SI e de entrega de
servios, conforme acordados com os fornecedores de servio;
Controles referentes ao planejamento e aceitao de sistemas, que
visam minimizar os riscos de falhas nos sistemas;
Controles referentes proteo contra cdigos maliciosos e cdigos
mveis, que visam proteo da integridade dos softwares e da
informao;
Controles referentes s cpias de segurana, que visam manter a
integridade e disponibilidade da informao e dos recursos de
processamento da informao;
Controles referentes ao gerenciamento da segurana em redes, que
visam garantir a proteo das informaes em redes e a proteo da
infraestrutura de suporte;
Controles referentes ao manuseio de mdias, que visam prevenir a
divulgao no autorizada, modificao, remoo ou destruio dos
ativos informacionais e evitar a interrupo das atividades do negcio;
Controles referentes troca de informaes, que visam manter a
segurana na troca de informaes, seja ela efetuada internamente
quanto externamente organizao;
Controles referentes aos servios de comrcio eletrnico, que visam
garantir a segurana de servios de comrcio eletrnico e sua
utilizao segura; e
Controles referentes ao monitoramento, que visam detectar atividades
no autorizadas de processamento da informao.
Para qualquer organizao, conseguir responder pergunta Como est a
adequao da implementao dos controles, como definidos na seo 10 da norma

49
ABNT 27002? contribuir, sobremaneira, no processo de construo da gesto de
SIC.

2.13 Criptografia e Infraestrutura de Chaves Pblicas


O decreto 4553 (BRASIL, 2002), que dispe sobre a salvaguarda de dados,
informaes, documentos e materiais sigilosos de interesse da segurana da
sociedade e do Estado, de 27 de dezembro de 2002, especifica em seu artigo 44,
pargrafo nico, que os dados e informaes sigilosos, constantes de documentos
produzidos em meio eletrnico, devem ser assinados e criptografados mediante o
uso de certificados digitais, emitidos pela Infraestrutura de Chaves Pblicas
Brasileira (ICP-Brasil). Logo, para se estar em conformidade com essa determinao
e, tambm, com inmeras outras de mesma natureza previstas na legislao, toda
empresa pblica deve saber manusear, utilizar e gerenciar recursos criptogrficos.
Contudo, estar em conformidade com a legislao no o nico motivo para
se utilizar a criptografia. A necessidade est em garantir algumas das propriedades
mais importantes da informao, que so: a disponibilidade, a integridade, a
confidencialidade e a autenticidade. Essa recomendao pode ser encontrada na
norma ABNT 27002 (2005), que em sua seo 10, especfica para gerenciamento de
operaes e comunicaes, subitem 10.8.1 (Polticas e procedimentos para troca de
informaes), em que recomenda a utilizao da criptografia para garantir as
propriedades bsicas de segurana da informao.
Pinheiro (2010) define criptografia como uma ferramenta de codificao que
pode ser utilizada para envio de mensagens seguras em redes eletrnicas. Campos
(2007) por sua vez, define criptografia como um controle que consiste em um
mecanismo de codificao da informao de forma que sua leitura se torne
impossvel sem a utilizao da chave apropriada. Segundo Nascimento (2011), o
objetivo da criptografia a troca segura e sigilosa de mensagens (informao) entre
duas partes, sem que uma terceira parte possa ter acesso informao que no
dizem respeito a ela.
Finalizando, ressalta-se o empenho do governo federal, no Brasil, para que as
empresas da APF utilizem-se de ferramentas e recursos criptogrficos. Isso pode ser
percebido pela publicao da Instruo Normativa Complementar de n 09 (IN09,
2010), de 19 de novembro de 2010, que estabelece orientaes especficas para o
uso de recursos criptogrficos como ferramenta de controle de acesso em SIC.

50
Desta forma, conseguir responder pergunta A criptografia usada de
maneira

adequada

para

assegurar

SIC

da

organizao?

contribuir,

sobremaneira, no processo de construo da gesto de SIC e no trato da


informao da forma mais indicada para o nvel de sigilo e confidencialidade
requeridos.

2.14 Segurana no Desenvolvimento de Aplicaes


Atualmente, quando as empresas abordam o assunto SIC, elas sempre
consideram, em primeira instncia, o que diz respeito segurana fsica
(infraestrutura fsica), patrimonial e controle de acesso fsico e, no que diz respeito
parte lgica, a tudo relacionado a controle de acesso lgico. Contudo, necessrio
verificar que requisitos de segurana so mandatrios e suficientes quando do
desenvolvimento ou aquisio de ferramentas de software, sejam elas software
bsico ou aplicativos.
Segundo Fontes (2008) as recomendaes dos controles necessrios para o
trato do desenvolvimento/aquisio de software com segurana, podem ser
encontradas na norma ABNT 27002 (2005), que em suas sees 10
Gerenciamento de operaes e comunicaes, e 12 Aquisio, desenvolvimento e
manuteno de sistemas de informao, estabelecem uma srie de diretrizes e
recomendaes que poderiam ser observadas pelas empresas. Segue o
detalhamento dos subitens abordados nessas duas sees:
Seo 10 Gerenciamento das operaes e comunicaes:
o Subitem 10.1.1: Segurana da documentao de sistemas;
o Subitem 10.1.3: Segregao de funes;
o Subitem 10.1.4: Separao dos recursos de desenvolvimento,
teste e de produo; e
o Subitem 10.3.2: Aceitao de sistemas.
Seo 12 Aquisio, desenvolvimento e manuteno de sistemas de
informao:
o Subitem 12.1 - Requisitos de segurana de sistemas de
informao;
o Subitem 12.2 - Procedimento correto nos aplicativos;
o Subitem 12.3 - Controles criptogrficos;
o Subitem 12.4 - Segurana dos arquivos do sistema; e

51
o Subitem 12.5 - Segurana em processos de desenvolvimento e
suporte.
Todos esses subitens tm, dentre outros objetivos, garantir que a segurana
seja parte integrante da metodologia de desenvolvimento/manuteno de sistemas
de informao ou de processos de aquisio de software.
Ainda segundo Fontes (2008), o desenvolvimento e manuteno de sistemas
devem considerar todos os aspectos contemplados pela SIC (controle de acesso,
necessidades de auditoria, recursos humanos e etc.) alm de:
Incluir aspectos de SIC em todas as fases do ciclo de desenvolvimento
e vida de um sistema;
Levantar como requisitos do sistema aspectos relacionados SIC; e
Considerar na fase de testes no s questes relacionadas ao
funcionamento do sistema/software, mas tambm testes de segurana.
Para se entender bem o conceito de SIC em desenvolvimento de software,
torna-se mister definir o que seria um sistema de informao. Campos (2007) define
sistema de informao como um processo que recebe informaes, as processa, e
as devolve, j processadas ou transformadas. Segundo o mesmo autor, os sistemas
de informao existem para apoiar as empresas e as pessoas que trabalham nelas.
Fernandes e Holanda (2010) dizem que um software deve sempre satisfazer
as necessidades dos usurios, no deve apresentar falhas e ser fcil de dar
manuteno. Alm disso, apresentam a ideia de que as vulnerabilidades presentes
nos softwares complementam as causas dos incidentes causados por falhas
humanas, sejam intencionais ou no.
Sendo assim, levar em considerao os requisitos de segurana, conforme
preconizados pelas normas e melhores prticas de segurana e desenvolvimento de
software disponveis no mercado, durante todo o ciclo de desenvolvimento de
software, altamente recomendvel para se viabilizar e assegurar uma gesto de
SIC mais eficiente e eficaz.

2.15 Tratamento de Incidentes de Segurana


Toda empresa, seja pblica ou privada tem uma misso institucional, um
objetivo principal de negcio a cumprir. Para isso, ela tece planos estratgicos,
tticos e operacionais. Contudo, no mundo globalizado e completamente
interconectado de hoje, o cumprimento desses planos e, em consequncia, o

52
atingimento de metas corporativas, est sujeito a todo tipo de ameaas que podem
explorar

as

vulnerabilidades

dos

ativos

computacionais/informacionais

das

organizaes. Um incidente de segurana da informao pode afetar todo o negcio,


trazendo prejuzos tangveis e intangveis para as empresas e, tambm, para a
sociedade em geral.
Segundo Campos (2007), um incidente de SI a ocorrncia de um evento
que pode causar a interrupo dos processos de negcio. Ele tambm define
ameaa como um agente externo ao ativo de informao que se aproveita das
vulnerabilidades; isto , fragilidades dos ativos de informao, que pode causar a
quebra das propriedades bsicas de segurana da informao, que so: a
Disponibilidade, a Integridade, a Confidencialidade e a Autenticidade.
Outra definio pode ser encontrada na norma ABNT 27002 (2005), que
define incidente de segurana da informao como um evento ou uma srie de
eventos de SI indesejados ou inesperados, que tm uma grande probabilidade de
comprometer as operaes do negcio.
Tratar os incidentes de SI de uma forma eficaz e eficiente torna-se, ento,
uma importante meta a ser perseguida pelas empresas. Isso pode ser percebido
pelos diversos processos de tratamento de incidentes que so relatados e
documentados em frameworks de gesto e governana, dentre eles: o ITIL (IT
Infraestructure Library) - Biblioteca de Infraestrutura de Tecnologia da Informao
que uma coletnea de melhores prticas para Gesto dos Servios de TI (ITIL,
2000); e o COBIT que um guia de boas prticas apresentado como framework,
dirigido para a governana de TI (COBIT, 2007).
A fim de tratar o assunto, as empresas podem utilizar, e seguir, as diretrizes,
recomendaes e prticas contidas:
Na norma (ABNT 27002, 2005), na seo 13 Gesto de incidentes de
segurana da informao;
No processo de Gerenciamento de Incidentes preconizado pelo ITIL
(ITIL, 2000);
No processo DS8 - Gerenciamento de Central de Servios e
Incidentes, preconizado pelo COBIT (COBIT, 2007);
Na Instruo Normativa Complementar n 05 (IN05, 2009), que
disciplina a criao de Equipes de Tratamento e Resposta a Incidentes
em Redes Computacionais (ETIR); e

53
Na Instruo Normativa Complementar n 08 (IN08, 2010), que
disciplina o gerenciamento de incidentes de segurana em redes de
computadores.
Contudo, mesmo com todas essas referncias para servirem de base para os
trabalhos e atividades de tratamento e gerenciamento de incidentes de segurana,
preciso considerar a explanao encontrada em Gondim (2010) que diz que o
tratamento e resposta a incidentes uma atividade multidisciplinar que normalmente
demanda recursos de diferentes reas das organizaes.
Sendo assim, uma boa gesto de incidentes, levando-se em considerao as
recomendaes contidas nas melhores prticas do mercado e na legislao vigente,
trabalhando de forma compartilhada com todas as reas de negcio, muito
contribuir para uma gesto de SI cada vez mais eficiente e eficaz.

2.16 Auditoria e Conformidade de Segurana da Informao


Nos dias de hoje, num contexto globalizado, perde-se o sentido falar no
conceito tradicional de fronteira entre naes, ideologias, tecnologias e etc. e, por
causa disso, toda e qualquer empresa, seja pblica ou privada, fica sujeita a toda
mirade de ameaas dispostas a explorarem as vulnerabilidades presentes nos
ativos de informao. Para eliminar, ou mitigar esses riscos, necessrio planejar,
implantar, monitorar e melhorar um Sistema de Gesto de Segurana da Informao
e Comunicaes (SGSIC).
Para se implantar um SGSIC pode-se usar como referncia o conjunto de
requisitos estabelecidos na norma ABNT 27001 (2006) que contm uma srie de
requisitos a serem observados para a implantao de um programa de gesto de
SIC eficiente e eficaz.
Voltando-se para pr-requisitos legais, orientaes para a adoo de um
SGSIC tambm podem ser encontradas na Instruo Normativa Complementar 02
(IN02, 2008), que define a metodologia de gesto de SIC utilizada pelos rgos e
entidades da APF, direta e indireta. Essa metodologia de gesto de segurana da
informao e comunicaes baseia-se no processo de melhoria contnua,
denominado

ciclo

PDCA

(Plan-Do-Check-Act),

estabelecido

pela

norma

supracitada (ABNT 27001, 2006).


Contudo, para a conduo desse processo, extremamente recomendvel
utilizar-se de uma auditoria interna, justamente para que se saiba em que estgio de

54
maturidade, conformidade, ou aderncia, uma determinada organizao encontrase. Para isso, pode-se utilizar normas amplamente divulgadas pelo mercado, ou a
prpria legislao vigente e que impacta diretamente no negcio da instituio.
Segundo Rodrigues e Fernandes (2010), a auditoria de SIC uma atividade
devidamente estruturada para examinar, de forma criteriosa, a situao dos
controles/requisitos de SIC. Esses controles servem para mitigar ou eliminar os
riscos a que os ativos informacionais estariam sujeitos. Essa posio tambm
corroborada por Campos (2007) que diz que a auditoria deve comprovar a eficcia, a
eficincia e a efetividade do SGSIC.
Ainda segundo Rodrigues e Fernandes (2010) a auditoria de SIC pode ser
classificada em trs tipos: de gesto, de desempenho operacional, e de
conformidade. A auditoria de gesto visa acompanhar se as aes a respeito de
itens de segurana esto sendo executadas. A auditoria de desempenho
operacional busca constatar se as aes de segurana esto ou no funcionando e
se os controles so eficientes e eficazes para a proteo dos ativos de informao.
A auditoria de conformidade, por sua vez, busca verificar se os controles de
segurana esto implementados e funcionais.
As auditorias internas (e tambm externas) devem ser executadas
rotineiramente visando monitorar a eficincia e eficcia do SGSIC. De acordo com a
Norma ABNT 27001 (2006), essa verificao do SGSI deve ser feita pelo menos
uma vez por ano. Um excelente conjunto de controles a ser utilizado nessas
auditorias pode ser encontrado na norma ABNT 27002 (2005), que contm uma
srie de requisitos e controles de segurana que podem ser utilizados pelas
organizaes e podem ser utilizados como parmetros para verificao de aderncia
e conformidade.
Sendo assim, observando-se todas as aes que devem ser tomadas em um
programa interno de auditoria em SIC, o auditor, alm de denotar os pontos fortes e
fracos da gesto de SIC como um todo, passa a ser visto como um aliado das
pessoas, departamentos e organizaes sendo auditadas e, com isso, contribuindo
para uma gesto de SIC cada vez mais eficiente e eficaz. Essa concluso tambm
compartilhada por Pinheiro (2011), cuja opinio a de que o auditor no pode ser
visto como um carrasco, mas sim como um aliado de seu auditado.

55

2.17 Gesto de Continuidade


Na ltima dcada vrios acidentes naturais, acidentais ou deliberados
aconteceram, dentre eles destacam-se: terremotos, tsunamis, incndios criminosos
ou acidentais e ataques terroristas. Alm disso, observa-se um aumento expressivo
e alarmante nos ataques e ameaas disponibilizadas no ambiente Web de forma
que todas as empresas no mundo, em contato com a internet, fiquem cada vez mais
vulnerveis.
Observando-se essas crescentes catstrofes, ameaas e ataques, percebese que extremamente salutar para qualquer empresa, seja pblica ou privada,
pensar em estratgias e alternativas que viabilizem a continuidade de seus servios
ou, pelo menos, apresentem resilincia; isto , mantenham seus servios a
patamares mnimos de qualidade e disponibilidade.
Para se trabalhar com continuidade de negcios necessrio conhecer a
definio de ameaa e vulnerabilidade. A norma ABNT 27002 (2005) define ameaa
como a causa potencial de um incidente indesejado, que pode resultar em dano para
um sistema ou organizao e vulnerabilidade como sendo a fragilidade de um ativo
ou grupo de ativos que pode ser explorada por uma ou mais ameaas.
Ainda de acordo com a norma ABNT 27002 (2005), um dos objetivos da
Gesto da Continuidade do Negcio (GCN) no permitir a interrupo das
atividades do negcio e proteger os processos crticos contra efeitos de falhas ou
desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso.
Nos dias de hoje, alcanar esse objetivo, torna-se uma importante meta a ser
atingida, no s visando evitar a perda de lucro das instituies privadas, mas
tambm a continuidade da prestao dos produtos e servios pelas empresas
pblicas, para a sociedade em geral.
Friedenhain (2008) define GCN como um processo contnuo que visa, a partir
da identificao de ameaas e impactos a que os rgos da APF esto sujeitos,
formular polticas, padres e procedimentos que os permitam preservar suas
atividades crticas e reputao, minimizando prejuzos decorrentes da interrupo de
suas operaes sociedade. Essa definio corroborada por Fontes (2008) que
diz que toda organizao deve estar preparada para enfrentar situaes de
contingncia que indisponibilizem seus recursos de informao.

56
Para atingir esses objetivos as empresas devem elaborar, implementar e
testar planos de continuidade de negcios. Nesse sentido, um importante
instrumento a ser utilizado a norma ABNT 15999-1 (2007) que fornece/recomenda
um sistema de continuidade de negcios e estabelece um ciclo de vida para a
gesto de continuidade de negcios.
Por ltimo, e no menos importante, cita-se a publicao da Instruo
Normativa Complementar n 06 (IN06, 2009) que estabelece diretrizes para a
Gesto de Continuidade de Negcios, nos aspectos relacionados SIC, nos rgos
e entidades da APF, como um importante instrumento que impulsiona as empresas
pblicas a tambm perceberem a relevncia sobre o tema e tomarem aes no
sentido de se garantir as propriedades bsicas de SIC, que so: a disponibilidade, a
integridade, a confidencialidade e a autenticidade.

57

3 Metodologia

As metas e atividades cumpridas pela pesquisa encontram-se descritas


abaixo:
Etapa 1: Levantamento de referencial terico;
Etapa 1.1: Leitura e sistematizao;
Etapa 2: Elaborao dos instrumentos de investigao;
Etapa 2.1: Construo dos instrumentos de investigao;
Etapa 2.2: Validao dos instrumentos de investigao;
Etapa 3: Produo e sistematizao dos dados;
Etapa 3.1: Aplicao dos instrumentos de investigao; e
Etapa 4: Anlise dos resultados.
Para a execuo das etapas 1 (levantamento de referencial terico) e 1.1
(Leitura e sistematizao), e das etapas 2 (elaborao dos instrumentos de
investigao), 2.1 (Construo dos instrumentos de investigao) e 2.2 (Validao
dos instrumentos de investigao), foi adotada a modalidade de pesquisa
exploratria. Foram adotados tambm como procedimentos tcnicos para sua
execuo uma anlise bibliogrfica, que ajudou a fundamentar teoricamente o
trabalho, uma anlise documental tomando como base o conjunto de normas e
legislao sobre o tema Segurana da Informao e Comunicaes e uma anlise
do material de aula das disciplinas do CEGSIC 2009-2011.
Tambm adotou-se a metodologia de estudo de caso proposta pelo mesmo
curso, cujo material serviu de apoio para a anlise de conformidade realizada para o
cumprimento dos objetivos propostos por esse trabalho monogrfico.

58
Para a execuo das etapas 3 (produo e sistematizao dos dados) e 3.1
(aplicao dos instrumentos de investigao) foram utilizadas as seguintes tcnicas
para coleta de dados:
Realizao de anlises de documentos:
o Memorandos;
o Ofcios de Comunicao Interna;
o Documentos administrativos.
Realizao de anlises de registros:
o De operaes e servios executados;
o Relacionados a processos e procedimentos operacionais.
Realizao de entrevistas, tanto de forma espontnea, quanto de forma
focada (com horrio marcado), com perguntas planejadas;
Aplicao de questionrios;
Observao direta das atividades e servios executados;
Observao participante.
Os dados coletados foram tratados de forma mista (qualitativa ou quantitativa,
dependendo da natureza do dado) e denotam os resultados dos diversos estudos de
caso realizados para a execuo desse trabalho monogrfico.
A anlise de dados (etapa 4) baseou-se nas onze sees de controles de
segurana da informao conforme descritos na norma ABNT 27002 (2005). Cada
uma das onze sees da norma ABNT 27002 (2005) compem-se por diversas
categorias, cada categoria com um objetivo de controle principal, dividido em um ou
mais controles que ajudam a atingir o objetivo de controle principal. Alm disso,
comps o conjunto de dados levantados, os resultados de questes de suporte
propostas pelos protocolos de estudo de caso das disciplinas do curso de gesto em
SIC, CEGSIC 2009-2011.
Foram envolvidos na pesquisa, participando das entrevistas, ou respondendo
aos questionrios, os profissionais das seguintes reas:
Tecnologia da Informao e Comunicaes (TIC)
RH;
Licitaes;
Gerncia de redes e infraestrutura de computadores;
Jurdico;

59
Gesto de contratos; e
Demais reas que se fizeram necessrias.
Para a execuo das etapas 3 e 4 (produo, sistematizao e anlise dos
dados e resultados), em relao s reas Poltica e Cultura de SIC, Organizaes e
Sistemas de Informao, Controles de Segurana Fsica e Ambiental, Controle de
Acesso, Gerenciamento das operaes e comunicaes, Criptografia e infraestrutura
de chaves pblicas, Segurana no desenvolvimento de aplicaes, Tratamento de
Incidentes de SI, Auditoria e conformidade de SI, e Gesto de continuidade no
servio pblico, foi utilizado o modelo de anlise de conformidade com a norma
27002 (2005), conforme desenvolvido por Salgado, Silva e Bandeira (2004), que
criaram um modelo de avaliao, baseado na confeco de planilhas, de acordo
com as seguintes sees da supracitada norma: Poltica de segurana, Segurana
organizacional, Classificao e controle dos ativos de informao, Segurana em
pessoas, e Segurana fsica e do ambiente.
Este modelo serviu de base na elaborao das planilhas das demais sees
especificadas pela norma, que so: Gerenciamento das operaes e comunicaes,
Controle de acesso, Desenvolvimento e manuteno de sistemas, Gesto de
incidentes de segurana da informao, Gesto da continuidade do negcio e
Conformidade. Segue na Tabela 3.1 um exemplo da planilha utilizada nas etapas 3 e
4.
Em cada planilha, foram atribudos pesos (coluna Peso) que denotavam a
importncia de um determinado item (requisito de segurana ou controle) por meio
da variao dos valores 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de
implantao em mdio prazo ou 5 (cinco) alta importncia com necessidade de
implantao em curto prazo . Logo em seguida, o item foi classificado quanto a sua
situao, que poderia variar de 0 (zero) a 3 (trs); isto , de uma completa ausncia
0 (zero), 1 (um) presena inexpressiva; 2 (dois) presena parcial e 3 (trs)
representando uma presena total do controle de segurana.
Na coluna valores foram pontuados os valores de referncia; isto , a maior
pontuao possvel multiplicando o peso pela maior pontuao de situao, e
tambm pontuados os valores apurados que seria a multiplicao do peso do item,
pela resposta dada aderncia ao requisito de controle, feita pelo usurio ou

60
responsvel. O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a
aderncia foi calculada pela relao entre o valor apurado e o valor de referncia.

Tabela 3.1 - Exemplo de planilha para a anlise de aderncia.


Valores
Domnio

Conformidade

Controle

Item

Conformidade
com
exigncias
legais
1.1

1.2

Perguntas

Existe a preocupao
de evitar violaes de
qualquer lei penal ou
civil, obrigaes
decorrentes de
estatutos, regulamentos
ou contratos e
quaisquer requisitos de
segurana?
A organizao est
sujeita a exigncias de
segurana decorrentes
de estatutos,
regulamentos ou
contratos. Isso
observado?

Classificao

Aderncia
(%)

Peso
Referncia

Apurado

15

15

100,0

15

15

100,0

Resumo

Evitar violaes
de leis penais
ou cveis, de
obrigaes
decorrentes de
estatutos,
regulamentos
ou contratos e
de quaisquer
requisitos de
segurana.

61

4 Resultados

Nos prximos subitens desse captulo sero denotadas todas as reas


consideradas pertinentes para compor um Sistema de Gesto de Segurana da
Informao (SGSI) e que compuseram a auditoria de Segurana da Informao e
Comunicaes (SIC) realizada nesse trabalho monogrfico.
Algumas reas basearam-se nas onze sees de controles de segurana da
informao conforme descritos na norma ABNT 27002 (2005). Alm disso, comps o
conjunto de dados levantados, os resultados de questes de suporte propostas
pelos protocolos de estudo de caso de algumas disciplinas do curso de psgraduao em gesto de segurana da informao e comunicaes (CEGSIC 20092011).
As seguintes reas foram abordadas:
Sistemas, Informao e Comunicao;
Infraestrutura de Tecnologia da Informao;
Poltica e Cultura de Segurana;
Organizaes e Sistemas de Informao;
Controles de Segurana Fsica e Ambiental;
Protocolos de Comunicao Humano-Mquina;
O Direito na Sociedade da Informao;
Gerenciamento de Riscos de Segurana da Informao;
Controle de Acesso;
Aquisio e Implementao, Entrega e Suporte de Servios de TI;
Modelagem, Simulao e Dinmica de Sistemas;
Gerenciamento das Operaes e Comunicaes;

62
Criptografia e Infraestrutura de Chaves Pblicas;
Segurana no Desenvolvimento de Sistemas de Informao;
Tratamento de Incidentes de Segurana;
Auditoria e Conformidade de Segurana da Informao; e
Gesto de Continuidade.

4.1 Sistemas, Informao e Comunicao


Para facilitar a anlise dos dados na rea de sistemas, informao e
comunicao foi realizado um levantamento de dados em um estudo de caso com a
seguinte questo de pesquisa: Os requisitos de controle de Segurana da
informao e Comunicaes (SIC) utilizados para garantir as propriedades bsicas
de Segurana do Sistema de Misso Crtica XPTO so suficientes e adequados para
atender aos requisitos do negcio e aos especificados pela legislao?.
4.1.1 Tpicos tericos estudados e objetos pesquisados
Foram estudados aspectos relacionados definio e utilizao de sistemas
de misso crtica e sua importncia para a SIC.
Foram coletadas as seguintes informaes:
Informaes sobre o projeto do sistema, sua concepo, manuteno e
utilizao; e
Informaes quanto aos aspectos legais aos quais o sistema est
sujeito.
4.1.2 Fontes para a pesquisa
Serviram como fontes para a pesquisa, em nvel documental: as normas
tcnicas inerentes rea de SIC; a legislao pertinente ao assunto. Em nvel de
capital humano: os colaboradores envolvidos na gerncia do sistema; os
colaboradores que utilizavam o sistema; a equipe de analistas e programadores do
sistema.
4.1.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: O conjunto de requisitos de segurana
da informao e comunicaes estabelecidos inicialmente para o sistema de misso
crtica XPTO so suficientes para atender aos requisitos de negcio estabelecidos e
os requisitos de controle preconizados pelas melhores prticas do mercado.

63
4.1.4 Dados coletados
Segue uma sntese dos dados levantados a partir de questionrios
submetidos, totalizando 4 emitidos e 2 respondidos, para se determinar se os
requisitos de segurana da informao e comunicaes, hoje estipulados para o
Sistema XPTO, so suficientes para garantir as propriedades bsicas da
Informao: Disponibilidade, Integridade, Confidencialidade e Autenticidade.
No questionrio abaixo, seguem as questes que serviram de suporte para a
pesquisa, com suas respostas:
a) Quais portarias e normas regem o sistema?
R: Diversas portarias publicadas por um ministrio especfico determinam as
especificidades e funcionamento do sistema.
b) Qual o impacto da indisponibilidade do sistema?
R: O impacto seria grande, pois traria grandes atrasos no processo.
c) Qual o impacto na imagem da COMPANHIA X se o sistema ficar indisponvel?
R: A imagem da empresa ficaria bastante comprometida junto aos principais
intervenientes, clientes e junto ao pblico em geral.
d) Quais as medidas empregadas para assegurar a continuidade de operao?
R: O processo pode ser conduzido de forma manual por meio do
acompanhamento de toda documentao que entregue de forma impressa.
Contudo, dessa forma o processo estaria sujeito a grandes atrasos e erros pelo
manuseio e controle da informao de forma manual.
e) Existe algum plano de contingncia caso os recursos tecnolgicos no estejam
disponveis para a operao do Sistema XPTO?
R: No existe plano de contingncia.
f) Qual o grau de sigilo das informaes tratadas pelo Sistema XPTO?
R: ( ) Reservada (dados ou informaes cuja revelao no autorizada possa
comprometer planos, operaes ou objetivos neles previstos ou referidos);
(X) Confidencial (dados ou informaes que, no interesse do Poder Executivo
e das partes, devam ser de conhecimento restrito e cuja revelao no
autorizada possa frustrar seus objetivos ou acarretar dano segurana da
sociedade e do Estado.);
(X) Ostensiva (sem classificao, cujo acesso pode ser franqueado).

64
g) As medidas adotadas para tratar com as informaes sigilosas esto
adequadas? Se no, por qu?
R: Sim, no que se refere informao digital, entretanto informao impressa
carece de implementao de processos de protocolos de recebimento e arquivo
da documentao.
h) Foi executado algum processo de gesto de risco para se determinar quais
controles de segurana da informao e comunicaes seriam necessrios?
R: No.
i) Os requisitos de controle de segurana da informao e comunicaes esto
adequados para garantir a disponibilidade, integridade, confidencialidade e
autenticidade das informaes utilizadas pelo Sistema XPTO? Se no, por qu?
De quais controles voc tem conhecimento? Quais controles adicionais voc
poderia sugerir para que se possa melhorar o nvel de segurana das
informaes e comunicaes no processo do Sistema XPTO?
R: Disponibilidade: a informao disponibilizada aos operadores em trs
ambientes no totalmente interligados entre si (sistema, Intranet, Microsoft
Outlook). Isto propicia um tempo maior de anlise dos processos.
executado o treinamento dos operadores do sistema. Alguns documentos so
recebidos pelo software de correio eletrnico e no diretamente pelo sistema.
Integridade: O Sistema XPTO ainda est em desenvolvimento, conforme
relacionado na apresentao de treinamento aos analistas. O Mdulo de
Administrao ainda no est completamente desenvolvido. Em pocas
especficas o sistema deve ser adaptado necessitando de alteraes e
adequaes s especificidades impostas pela legislao e recomendaes
tecidas pelo governo.
Confidencialidade: Sim, apenas os operadores tm o acesso.
Autenticidade:

Recebimento

de

documentao

por

email,

sendo

posteriormente enviada pessoa responsvel e com o devido nvel de


autorizao. A documentao armazenada em local apropriado. A
documentao impressa recebida, protocolada e enviada aos operadores
devidos para posterior encaminhamento, anlise e armazenamento.
Usurio responsvel: Permite o acompanhamento na fase de inscrio e
cadastramento dos clientes, durante a fase de anlise e processamento das

65
solicitaes dos clientes e aps o trmino do processamento. A manuteno
possvel a qualquer tempo. A verificao do cadastro dos clientes
segregada por rea.
Fragilidades:
O processo de recebimento e armazenamento e encaminhamento de
arquivos digitais pode ser prejudicado devido a esquecimentos por
parte do operador;
O Sistema XPTO no integrado a um sistema de protocolo
automatizado; e
H controle de recebimento impresso por mais de uma pessoa, com
fontes de controle separadas.

4.2 Infraestrutura de Tecnologia da Informao


Para facilitar a anlise dos dados na rea de infraestrutura de tecnologia da
informao foi realizado um levantamento de dados em um estudo de caso com a
seguinte questo de pesquisa: Como est organizada a infraestrutura de tecnologia
da informao na COMPANHIA X? A infraestrutura de TI na COMPANHIA X atende
aos requisitos de segurana da informao e comunicao do negcio?
4.2.1 Tpicos tericos estudados e objetos pesquisados
Foram estudados aspectos relacionados infraestrutura de tecnologia da
informao na organizao e sua importncia para a SIC, baseando-se nas
recomendaes preconizadas pelas normas e legislao vigentes.
Foram coletadas informaes sobre:
A empresa;
A infraestrutura de TI;
Elementos da infraestrutura de TI;
Computadores e equipamentos relacionados;
Equipamentos de redes e Telecom;
Os sistemas de armazenamento e recuperao; e
O Datacenter.
4.2.2 Fontes para a pesquisa:
Serviram como fontes para a pesquisa, em nvel documental: os documentos
que norteiam a rea de segurana da informao e comunicaes na organizao;

66
as normas tcnicas inerentes rea de SIC, mais especificamente a norma ABNT
27002 (2005); a legislao pertinente ao assunto; e registros organizacionais com
informaes sobre os elementos que compem a infraestrutura de TI. Em nvel de
capital humano: O Gestor de TI e Gestor de SIC; o coordenador da rea de
Infraestrutura e suporte; e o Gerente de rede.
4.2.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: A infraestrutura de TI atende aos
requisitos de segurana da informao e comunicaes do negcio.
4.2.4 Dados coletados
Seguem os dados levantados para se determinar se a Infraestrutura de TI
atende aos requisitos de SIC para o negcio.
No questionrio abaixo, seguem as questes que serviram de suporte para a
pesquisa, com suas respostas:
1)

Sobre funo, misso, clientes e intervenientes


a) Qual a misso da organizao?
R: As respostas sobre a funo, misso, clientes e intervenientes foram
omitidas por questes de confidencialidade de dados sensveis. Esse aspecto
tambm foi observado em outras questes de suporte aqui propostas. Nesse
caso, s so disponibilizadas informaes que no permitam identificar a
organizao objeto dessa pesquisa.
b) Quem so os intervenientes da organizao?
R: Alguns ministrios e rgos pblicos.
c) A que redes de organizaes ela est ligada? Quais so os nveis de
relacionamentos que a organizao estabelece com outras organizaes?
Que tipos e graus de dependncias a organizao tem de outras
organizaes?
R: A COMPANHIA X, a fim de bem cumprir sua misso, necessita,
diariamente, lidar com todo e qualquer tipo de informao, no s na
prospeco dessas informaes junto ao mercado, mas tambm junto a todos
os rgos da administrao pblica federal, de natureza direta ou indireta, e
tambm de ordem estadual e municipal que precisem fazer parte da cadeia
de informaes relacionadas a um importante setor estratgico nacional.

67
d) Que produtos, servios ou funes a organizao desempenha? Quais as
principais funes da organizao? Quais das funes levantadas esto
relacionadas ao cumprimento da misso da organizao?
R: Informao confidencial.
e) Que comportamentos organizacionais so tipicamente observveis pelos
clientes e intervenientes da organizao?
R: Tanto os clientes como o interveniente esperam que os produtos e servios
prestados pela COMPANHIA X primem pela exatido, preciso, eficincia e
eficcia.
2)

Sobre Infraestrutura de Tecnologia da Informao


a) Como vista a infraestrutura de TI na organizao?
R: Do ponto de vista de satisfao, a infraestrutura bem vista pelos
usurios.
b) H compreenso, dentro da organizao, da influncia da infraestrutura de TI
no cumprimento de sua misso?
R: Sim. A infraestrutura importante para o trabalho de todos.
c) A alta administrao v a infraestrutura de TI como elemento estratgico da
organizao?
R: Sim. Contudo, o grau de conscincia deveria ser um pouco maior do que
se tem hoje. Por exemplo, a organizao j poderia ter um comit executivo
de TI que tivesse a competncia de priorizar e julgar os projetos prioritrios de
TI.
d) Como so vistos os investimentos em infraestrutura de TI pela organizao?
Esses investimentos so associados aos resultados da organizao?
R: No so associados. Os investimentos so sempre bem aceitos. A
empresa associa mais os resultados aos recursos humanos que ela tem.
e) A cultura organizacional relaciona a infraestrutura de TI aos riscos
organizacionais?
R: No.
f) Existe a compreenso de que a infraestrutura de TI da organizao
elemento central da segurana da informao?

68
R: A empresa ainda no tem compreenso total do que Segurana da
Informao e Comunicaes.
g) Como as falhas em elementos da infraestrutura de TI afetam a prestao de
servios e confiabilidade da organizao?
R: Afetam bastante, pois a misso da empresa depende muito da
infraestrutura de TI.
h) Qual a relao entre a eficincia da organizao e sua infraestrutura de TI?
R: A infraestrutura de TI subsidia o capital humano na produo dos
resultados.
3)

Sobre os Elementos da Infraestrutura de TI


a) O fornecimento de energia eltrica e climatizao so vistos como elementos
de infraestrutura de TI?
R: No que diz respeito a elementos computacionais, sim.
b) O projeto da estrutura de fornecimento de energia eltrica foi desenvolvido
especificamente para o ambiente de TI? As instalaes eltricas atendem as
necessidade e criticidades dos servios de TI prestados pela organizao?
R: Sim, para ambas as perguntas.
c) O projeto eltrico segue as normas vigentes a respeito do assunto?
R: Sim.
d) A climatizao est corretamente dimensionada?
R: Sim.
e) Quais controles de acesso fsicos ao ambiente de TI esto implementados na
organizao? Como os controles de acesso so vistos na organizao?
R: So utilizadas fechaduras convencionais para o Datacenter. O controle de
acesso empresa utiliza biometria.

4)

Sobre Equipamentos da Infraestrutura de TI


a) Quais equipamentos compem a infraestrutura de TI da organizao?
R:

Servidores,

storage,

equipamentos

de

backup

(automatizado),

equipamentos de telecomunicaes, equipamentos de rede e equipamentos


de telefonia.

69
b) A implantao dos equipamentos de TI segue um projeto que visa ao
atendimento das necessidades de negcio?
R: Sim.
c) Mesmo os equipamentos de uso individual so vistos como componentes da
infraestrutura de TI da organizao? Esses equipamentos so vistos como
elemento necessrio eficiente prestao de servio pela organizao?
R: Sim, para ambas as perguntas.
d) Como composta a estrutura fsica da rede de computadores? Quais os
equipamentos utilizados? Existe projeto de rede que documente a estrutura
dos componentes da rede?
R: A estrutura fsica utiliza-se de switchs e o projeto documentado. Contudo
o documento no pode ser divulgado, pois sigiloso.
e) Os componentes fsicos de rede so adquiridos e implantados seguindo um
projeto? O projeto leva em considerao as necessidades de prestao de
servios da organizao?
R: Sim, para ambas as perguntas.
f) O cabeamento de rede segue normas adequadas?
R: Sim.
g) O

monitoramento

do

correto

funcionamento

dos

equipamentos

da

infraestrutura de TI feito? Os resultados do monitoramento so usados para


melhoria da infraestrutura de TI?
R: Sim, mas o processo est sendo aprimorado.
h) Como a estrutura de armazenamento e recuperao de dados utilizada na
organizao? utilizado storage?
R: utilizado storage baseado em harddisk e backup feito em fitas.
5)

Sobre o Datacenter
a) A organizao possui um Datacenter? Como ele est estruturado?
R: Sim. Com rea especfica contando com condicionamento eltrico e
ambiental, independente.
b) Existe a terceirizao de servios de Datacenter pela organizao?
R: No.

70
c) A implantao do Datacenter seguiu um projeto? O projeto foi feito seguindo
normas e padres adequados?
R: Sim.
d) O Datacenter foi projetado de forma a atender as necessidades do negcio?
O seu projeto seguiu alguma norma ou padro?
R: Sim, para a rea de eltrica e de ar-condicionado.
e) Qual a categoria do Datacenter da organizao?
R: Enterprise Datacenter (EDC)
f) Quais os servios prestados pelo Datacenter da organizao?
R: Servios de Rede e Segurana; Servios de Processamento; Servios de
Armazenamento; Servios de Aplicao; Servios de Alta disponibilidade;
Servios de Automao e Gerenciamento.
g) A topologia do Datacenter est de acordo com a norma TIA 9421?
R: No, s parcialmente.
h) Qual a classificao do DATACENTER, de acordo com a norma TIA 942?
R: Tier 22, com algumas restries.

4.3 Poltica e Cultura de Segurana


Para facilitar a anlise dos dados na rea de poltica e cultura de segurana
foi realizado um levantamento de dados em um estudo de caso com a seguinte
questo de pesquisa: A Poltica de Segurana da Informao e Comunicaes da
COMPANHIA X adequada para atender aos requisitos de segurana da
informao e comunicaes do negcio e aos especificados pela legislao?.
4.3.1 Tpicos tericos estudados e objetos pesquisados
Foram estudados todos os aspectos da seo 5 Poltica de Segurana da
Informao, da norma da ABNT 27002 (2005) e, tambm, todos os aspectos da
Instruo Normativa Complementar 03 (IN03, 2009).
1

Norma que norteia a construo de Datacenters por partes que so integrveis. Ela define
padres para: layout e espao fsico, infraestrutura de cabeamento, condies ambientais e
classificao por nveis de disponibilidade (ARAUJO, 2010).
2

Classificao de Datacenter que prev a redundncia dos equipamentos de telecomunicaes


do DATACENTER e da operadora, dos dispositivos da LAN-SAN (ARAUJO, 2010).

71
Foram coletadas informaes sobre:
A Poltica de Segurana da Informao e Comunicaes da empresa
(POSIC);
A organizao da Segurana da Informao e Comunicaes na
COMPANHIA X; e
O Programa de Conscientizao em Segurana da Informao e
Comunicaes.
4.3.2 Fontes para a pesquisa:
Serviram como fontes para a pesquisa, em nvel documental: as normas
tcnicas inerentes rea de SIC; a legislao pertinente ao assunto; os registros
organizacionais com informaes sobre a POSIC e sobre o Programa Corporativo
de Conscientizao em Segurana da Informao e Comunicaes. Em nvel de
capital humano: Gestor de TI e Gestor de SIC e o Secretrio-executivo do Comit de
Segurana da Informao e Comunicaes.
4.3.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: A Poltica de Segurana da Informao
e Comunicaes adequada para atender aos requisitos de controle de Segurana
da Informao e Comunicaes da COMPANHIA X.
4.3.4 Dados coletados
Seguem as informaes sobre a Poltica de Segurana da Informao e
Comunicaes e a anlise de conformidade dos controles relacionados segurana
da informao e comunicaes, a fim de se determinar se esto em conformidade
com as recomendaes e requisitos de segurana preconizados pela norma ABNT
27002 (2005). Segue, na Tabela 4.1, a consolidao das entrevistas realizadas.

Tabela 4.1 - Anlise de conformidade em relao Poltica de Segurana da


Informao e Comunicaes.
Valores
Referncia Apurado

Aderncia
(%)

Domnio

Controle

Item

Perguntas

Classificao

Peso

POLTICA DE
SEGURANA
DA
INFORMAO

Poltica de
Segurana das
Informaes
(A.5.1)

1.1

oferecida orientao e suporte


administrao para a segurana
das informaes?
A administrao estabelece uma
diretriz de poltica bem definida e
demonstra o seu apoio e
compromisso com a segurana
das informaes, por meio da
emisso e manuteno de uma

15

10

66,7

15

15

100,0

1.2

72
Domnio

Controle

Documento de
Definio da
Poltica de
Segurana das
Informaes
(A.5.1.1)

Item

2.1

2.2

2.3

2.4

2.5

2.6

Poltica
Reviso e
Avaliao
(A.5.1.2)

3.1

3.2

3.3

Perguntas

poltica de segurana das


informaes em toda a
organizao?
A poltica aprovada pela
administrao, publicada e
divulgada para todos os
empregados, da maneira
apropriada?
Foi firmado compromisso da
administrao que descreve a
abordagem da organizao
quanto ao gerenciamento da
segurana das informaes?
divulgado aos usurios em toda
a organizao, de uma forma
relevante, acessvel e
compreensvel ao pblico alvo?
So includas pelo menos
orientaes como definio da
segurana das informaes, seus
objetivos globais e escopo e da
importncia da segurana como
um mecanismo capacitador para o
compartilhamento de informaes,
declarao da inteno da
administrao, apoiando as metas
e os princpios da segurana das
informaes, breve explicao
das polticas de segurana, dos
princpios, normas e requisitos de
conformidade que sejam de
especial importncia para a
organizao (cumprimento de
exigncias legais e contratuais,
requisitos de treinamento em
segurana, preveno e deteco
de vrus e outros softwares mal
intencionados, gerenciamento da
continuidade dos negcios,
consequncias de violaes da
poltica de segurana)?
So definidas responsabilidades
gerais e especficas pelo
gerenciamento da segurana das
informaes, incluindo a
comunicao de incidentes de
segurana?
Existem referncias
documentao que poder apoiar
a poltica como,por exemplo,
polticas e procedimentos de
segurana mais detalhados para
determinados sistemas de
informaes ou normas de
segurana s quais os usurios
deveriam obedecer?
A poltica tem um "dono" que
responsvel por sua manuteno
e reviso de acordo com um
processo de reviso definido?
So asseguradas revises em
resposta a quaisquer mudanas
que afetem as bases da avaliao
original dos riscos?
Existem revises peridicas,
programadas, quanto eficcia
dapoltica, demonstrada pela
natureza e pelo nmero e impacto
dos incidentes de segurana
registrados, custo dos controles e
seu impacto sobre a eficincia da
empresa e efeitos das mudanas
tecnolgicas?

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

15

100,0

15

10

66,7

15

10

66,7

15

10

66,7

15

10

66,7

15

33,3

15

15

100,0

15

10

66,7

15

10

66,7

73
Domnio

Controle

Item

Perguntas

Classificao

Peso

Aderncia Geral: "Poltica de Segurana da Informao"

Valores
Referncia Apurado

165

120

Aderncia
(%)

72,7

Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.

Seguem abaixo outras questes que tambm serviram de suporte para a


pesquisa, com suas respostas:
a) Como avalia o processo de Gesto de SIC como um todo?
R: Ainda no foram vencidas as 3 primeiras metas do projeto, que so:
Desenvolver, aprovar e implantar a Poltica: Item j executado; Ter as normas
complementares definidas e aprovadas. Item ainda no executado; Ter todo o
processo implementado e funcionando, sendo continuamente avaliado e
aperfeioado.
b) Voc considera que o projeto de implantao da gesto de SIC est sendo bem
conduzido, e com um prazo de implantao adequado?
R: Considero que o projeto est sendo conduzido no prazo vivel e possvel e
que est atendendo s expectativas.

4.4 Organizaes e Sistemas de Informao


Para facilitar a anlise dos dados na rea de organizaes e sistemas de
informao foi realizado um levantamento de dados em um estudo de caso com a
seguinte questo de pesquisa: A forma como est organizado o sistema de gesto
de Segurana da Informao e Comunicaes na COMPANHIA X atende aos
requisitos de segurana da informao e comunicaes do negcio?.
4.4.1 Tpicos tericos estudados e objetos pesquisados
Foram estudados todos os aspectos da seo 6 Organizando a segurana
da informao, da norma da ABNT 27002 (2005) e, tambm, todos os aspectos da
Instruo Normativa n 01 (IN01, 2008).
Foram coletadas informaes sobre:

74
A organizao da Segurana da Informao e Comunicaes na
COMPANHIA X;
O Comit de Segurana da Informao e Comunicaes da empresa;
A Coordenao de Segurana da Informao e Comunicaes e sobre
as

Responsabilidades

quanto

Segurana

da

Informao

Comunicaes;
A consultoria Interna em Segurana da Informao e Comunicaes;
A cooperao entre organizaes no que diz respeito Segurana da
Informao e Comunicaes; e
As questes de Segurana da Informao e Comunicaes no que diz
respeito ao acesso de terceiros.
4.4.2 Fontes para a pesquisa:
Serviram como fontes de informao para a coleta de dados, em nvel
documental: as normas tcnicas inerentes rea de SIC, mais especificamente a
norma ABNT 27002 (2005); a Instruo Normativa n 01 (IN01, 2008), a legislao
pertinente ao assunto; e os registros organizacionais com informaes sobre os
elementos que compem a organizao de SIC. Em nvel de capital humano: o
Gestor de TI; o Coordenador da rea de Infraestrutura e suporte; o Coordenador da
rea de Departamento Pessoal e RH; e o Coordenador da rea de Licitaes.
4.4.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: A forma como est organizado o
sistema de gesto de Segurana da Informao e Comunicaes na COMPANHIA X
atende aos requisitos de segurana da informao e comunicaes do negcio.
4.4.4 Dados coletados
Seguem as informaes sobre a organizao da SI e a anlise de
conformidade dos controles, a fim de se determinar se esto em conformidade com
as recomendaes e requisitos de segurana preconizados pela norma ABNT 27002
(2005). Segue, na Tabela 4.2, a consolidao das entrevistas realizadas.

Tabela 4.2 - Anlise de conformidade em relao Organizao da SI.


Domnio

Controle

Item

Perguntas

Classificao

Peso

ORGANIZAO Comit de
DA
Segurana

1.1

Existem comits de
administrao de segurana da

Valores
Referncia Apurado

15

15

Aderncia
(%)

100,0

75
Domnio

SEGURANA
DA
INFORMAO

Controle

Item

(A.6.1)
1.2

1.3

1.4

1.5

1.6

1.7

1.8

Coordenao
e
Responsabilid
ades da
Segurana
das
Informaes
(A.6.1.1;
A.6.1.2;
A.6.1.3 e
A.6.1.4)

2.1

2.2

2.3

2.4

2.5

2.6

2.7

2.8

2.9

Perguntas

informao com lderes


gerenciais?
Atualmente, so estabelecidos
contatos com especialistas
externos em segurana?
Caso exista o comit, ele
possui abordagem
multidisciplinar em relao
segurana?
Dentre as atribuies do
Comit est a reviso e
submisso da poltica de
segurana das informaes e
das responsabilidades globais
Diretoria Executiva?
A monitorao de mudanas
significativas na exposio dos
ativos de informao feita?
A reviso e monitorao de
incidentes de segurana tem
sido tratada pelo comit de
forma adequada?
So realizadas iniciativas
relevantes para aperfeioar a
segurana das informaes?
Existe um gerente responsvel
por todas as atividades
relacionadas com a segurana?
Foram estabelecidos papis e
responsabilidades especficas
para a segurana das
informaes em toda a
organizao?
Foram estabelecidas
metodologias e processos
especficos de segurana das
informaes, como por
exemplo a avaliao de riscos
e sistema de classificao das
informaes?
Foram estabelecidas e
apoiadas iniciativas de
segurana das informaes em
mbito de toda a organizao,
como por exemplo programa de
conscientizao de segurana?
Atualmente, a segurana faz
parte do processo do
planejamento das informaes?
avaliada a adequao e
coordenada a implementao
de controles especficos de
segurana das informaes
para novos sistemas ou
servios?
Os incidentes de segurana
das informaes so tratados
de forma correta?
As responsabilidades pela
proteo de ativos individuais e
pela execuo de processos
especficos de segurana esto
claramente definidas?
A poltica atual fornece
diretrizes gerais sobre a
atribuio de papis e
responsabilidades de
segurana dentro da
organizao?
O gerente de segurana da
informao assume
responsabilidade global pelo
desenvolvimento e

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

0,0

15

15

100,0

15

15

100,0

15

10

66,7

15

0,0

15

15

100,0

15

15

100,0

15

0,0

15

0,0

15

10

66,7

15

10

66,7

15

0,0

15

10

66,7

15

33,3

15

15

100,0

15

10

66,7

76
Domnio

Controle

Item

2.10

2.11

2.12

2.13

2.14

2.15

2.16

2.17

Consultoria
Interna
(A.6.1.1)

3.1
3.2

3.3

3.4

3.5

Cooperao
entre
organizaes
(A.6.1.7)

4.1

4.2
Reviso da
Segurana

5.1

Perguntas

implementao da segurana e
concedido apoio
identificao e implementao
dos controles?
Existe um gestor para cada
ativo de informao, que o
responsvel pela sua
segurana no dia-a-dia?
As reas de responsabilidade
de cada gerente esto
claramente definidas?
Os diversos ativos e processos
de segurana associados a
cada sistema individual esto
identificados e claramente
definidos?
No caso do gerente
responsvel por cada ativo ou
processo de segurana, os
detalhes dessa
responsabilidade esto
documentados?
Os nveis de autorizao esto
claramente definidos e
documentados?
Atualmente, estabelecido um
processo de autorizao
gerencial para as instalaes
de processamento de
informaes?
A administrao de usurios,
autorizao, sua finalidade e
utilizao so feitas de forma
segura?
concedida autorizao para o
uso de equipamentos pessoais
de forma criteriosa?
Existe um consultor interno de
segurana experiente?
Essa pessoa tambm tem
acesso a consultores externos
apropriados para lhe dar
assistncia em assuntos fora
de sua rea de experincia?
O consultor interno tem acesso
direto a todos os nveis de
gerncia dentro da
organizao?
Os casos de suspeita de
incidente ou violao de
segurana so tratados de
forma correta?
Investigaes internas de
segurana executadas sob o
controle da administrao
podem requerer consultoria
para aconselhar, liderar ou
realizar a investigao. Isso
ocorre?
Atualmente, so mantidos
contatos com autoridades
policiais, rgos reguladores,
provedores de servios de
informaes e operadoras de
telecomunicaes para garantir
a tomada rpida de
providncias e a obteno de
orientao em caso de um
incidente de segurana?
Existe filiao a associaes de
segurana ?
A implementao da poltica de
segurana deve ser revista por

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

33,3

15

33,3

15

33,3

15

0,0

15

33,3

15

33,3

15

33,3

15

15

100,0

15

15

100,0

15

0,0

33,3

15

33,3

33,3

15

0,0

15

0,0

15

0,0

77
Domnio

Controle

Item

(A.6.1.8)

Acesso de
terceiros
(A.6.2.3)

6.1

6.2

6.3

6.4

6.5

6.6

6.7

6.8

6.9

6.10

Perguntas

um rgo independente, para


dar a garantia de que as
prticas organizacionais
refletem corretamente a poltica
e que elas so viveis e
eficazes. J foi realizada
alguma reviso na poltica
atual?
O controle de acesso fsico de
terceiros feito de forma
correta?
Nos casos em que os negcios
exigem o acesso de terceiros,
deve ser feita uma avaliao de
riscos para determinar as
implicaes de segurana e os
requisitos de controle. J foi
desenvolvida essa anlise ?
Os controles esto acertados e
definidos em contrato com o
terceiro?
Os contratos que concedem
acesso a terceiros incluem
disposies para a designao
de outros participantes
qualificados e as condies
para o seu acesso?
Existem terceiros que prestam
servios a organizao e no
esto localizados no site, mas
podem ter acesso fsico e
lgico?
A administrao da segurana
est adequada e no est
sendo colocada em risco pelo
acesso de terceiros?
Existe uma poltica definida
para terceiros que ficam
localizados no site durante um
determinado tempo, definido
em contrato como: pessoal de
manuteno e suporte de
hardware e software, pessoal
de limpeza, fornecimento de
refeies, guardas de
segurana e outros servios de
suporte terceirizados,
estagirios e outras nomeaes
ocasionais em curto prazo e
consultores?
O acesso de terceiros s
instalaes de processamento
de informaes da organizao
baseado em contrato formal
que contenha referncia a
todos os requisitos de
segurana para assegurar a
conformidade com as polticas
e normas de segurana da
organizao?
Est especificado no contrato
que a organizao receber
indenizao por parte de seu
fornecedor, caso ocorra algum
incidente causado por algum
funcionrio do prestador de
servios?
Est especificado no contrato
que a organizao ter direito
de monitorar e revogar as
atividades de usurio, o direito
de auditar as responsabilidades
contratuais ou de fazer com

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

33,3

15

33,3

15

10

66,7

15

10

66,7

15

10

66,7

15

10

66,7

15

15

100,0

15

10

66,7

15

15

100,0

15

15

100,0

78
Domnio

Controle

Item

6.11

Perguntas

Classificao

Peso

que tal auditoria seja realizada


por um terceiro?
Nos casos em que a
responsabilidade pelo
processamento das
informaes foi confiada a uma
organizao externa, existe a
tentativa de garantir a
segurana das informaes?

Aderncia Geral: "Organizando a Segurana da Informao"

Valores
Referncia Apurado

Aderncia
(%)

15

15

100,0

633

334

52,8

Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.

Segue abaixo outra questo que tambm serviu de suporte para a pesquisa,
com sua resposta:
a) Como avalia a organizao da gesto de SIC na COMPANHIA X?
R: Considero que a empresa apresentou melhorias na organizao de SIC de
2008 at o momento. Contudo muitos aprimoramentos e condues de novas
aes esto por vir.

4.5 Controles de Segurana Fsica e Ambiental


Para facilitar a anlise dos dados na rea de controles de segurana fsica e
ambiental foi realizado um levantamento de dados em um estudo de caso com a
seguinte questo de pesquisa: Os requisitos de controle de segurana da
informao e comunicaes da COMPANHIA X esto em conformidade com o
preconizado e sugerido pela seo Segurana fsica e do ambiente, da norma
ABNT 27002 (2005)?.
4.5.1 Tpicos tericos estudados e objetos pesquisados
Foram estudados todos os aspectos da seo 9 Segurana Fsica e do
Ambiente, da norma da ABNT 27002 (2005) e, tambm, todos os aspectos da
Instruo Normativa Complementar 07 (IN07, 2010).
Foram coletadas informaes sobre:
A Segurana fsica e do ambiente na organizao;

79
As reas seguras da empresa;
Os permetros de segurana;
Os controles fsicos de entrada;
A proteo das instalaes;
Os controles de segurana nas instalaes (escritrios e salas);
O trabalho em reas seguras;
O isolamento das reas de entrega e de carregamento;
A segurana dos equipamentos;
A localizao e proteo dos equipamentos;
O suprimento de energia eltrica;
A segurana do cabeamento;
A segurana na manuteno dos equipamentos;
A segurana dos equipamentos fora das instalaes;
A segurana no descarte ou na reutilizao de equipamentos;
A Poltica de mesa vazia e tela vazia;
As questes de segurana relacionadas retirada de bens;
A preveno e combate a incndios;
As condies gerais de segurana da edificao;
As condies gerais de segurana relacionados com evacuaes;
O suprimento de energia;
As condies de segurana do sistema de ar-refrigerado; e
As condies gerais de segurana relacionados com o suprimento de
gua.
4.5.2 Fontes para a pesquisa:
Serviram como fontes para a pesquisa, em nvel documental: os registros
organizacionais com informaes sobre os elementos que compem a segurana
fsica e do ambiente.; as normas tcnicas inerentes rea de SIC, mais
especificamente a norma ABNT 27002 (2005); a Instruo Normativa Complementar
07/2010 (IN07, 2010), e a legislao pertinente ao assunto. Em nvel de capital
humano: o Gestor de TIC; e o Coordenador da rea de Infraestrutura e suporte.

80
4.5.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: Os requisitos de controle de segurana
da informao e comunicaes relacionados segurana fsica e do ambiente esto
adequados para a COMPANHIA X.
4.5.4 Dados coletados
Seguem as informaes sobre segurana fsica e ambiente e a anlise de
conformidade

dos

controles

relacionados

segurana

da

informao

comunicaes, a fim de se determinar se esto em conformidade com as


recomendaes e requisitos de segurana preconizados pela norma ABNT 27002
(2005). Segue, na Tabela 4.3, a consolidao das entrevistas realizadas.

Tabela 4.3 - Anlise de conformidade em relao Segurana Fsica e do Ambiente.


Domnio

SEGURANA
FSICA E DO
AMBIENTE

Controle

Permetro de
Segurana
(A.9.1.1)

Valores
Referncia Apurado

Aderncia
(%)

Item

Perguntas

Classificao

Peso

1.1

Existe proteo fsica com


barreiras fsicas em volta das
instalaes da empresa e dos
equipamentos de
processamento de
informaes?
As barreiras estabelecem um
permetro de segurana correto
para aumentar a proteo total
oferecida?
So utilizados permetros de
segurana para proteger as
reas que contm
equipamentos de
processamento de
informaes?
Existem barreiras, paredes,
portes de entrada controlados
por carto ou uma mesa com
recepcionista, que constituam
um permetro de segurana?
O permetro do edifcio ou site
que contm reas crticas
fisicamente slido?
Existem brechas no permetro
ou reas que permitam uma
penetrao fcil?
As paredes externas so de
construo slida?
As portas externas so
devidamente protegidas contra
o acesso no autorizado, com
mecanismos de controle,
barras, alarmes, fechaduras e
etc.?
Existe rea de recepo com
pessoal ou outro meio de
controle do acesso fsico ao site
ou ao edifcio?
Somente pessoal autorizado
tem acesso aos sites e
edifcios?
As barreiras fsicas so
estendidas, se necessrio, do
piso bruto ao teto bruto, para

15

15

100,0

15

15

100,0

15

0,0

15

10

66,7

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

15

33,3

1.2

1.3

1.4

1.5

1.6

1.7
1.8

1.9

1.10

1.11

81
Domnio

Controle

Item

1.12

Controles
fsicos de
entrada
(A.9.1.2)

2.1

2.2

2.3

2.4

2.5

2.6

Proteo das
instalaes
(A.9.1.4)

3.1

3.2

3.3

3.4

Controle de
segurana em
escritrios,
salas e demais
instalaes
(A.9.1.3)

4.1

4.2

Perguntas

impedir o acesso no
autorizado e contaminao
ambiental, que pode ser
causada no Data Center,
central de telefonia, unidade
certificadora, arquivos de
documentos sensveis e
estratgicos?
Existem portas corta-fogo no
permetro de segurana? Elas
so equipadas com alarme e
fecham automaticamente?
As reas seguras so
protegidas por controles de
entrada apropriados?
O acesso a informaes e
equipamentos sensveis
controlado e restrito ao pessoal
autorizado?
Existem controles de
autenticao, como cartes
magnticos com nmero de
identificao pessoal (PIN) e/ou
biometria para autorizar e
validar todos os acessos?
As trilhas de auditoria de todos
os acessos so guardadas local
em seguro?
exigido que o pessoal utilize
alguma forma de identificao
visvel e que interpele pessoas
estranhas no acompanhadas e
qualquer pessoa que no esteja
usando uma identificao
visvel?
Os direitos de acesso a reas
seguras so revistos e
atualizados regularmente?
Para a proteo das
instalaes, existe a
preocupao de rea segura
como salas trancadas ou vrias
salas dentro de um permetro
fsico de segurana, que podem
ser trancadas e que disponham
de arquivos de ao com tranca
ou cofres?
A escolha e o projeto de uma
rea segura devem levar em
conta a possibilidade de danos
causados pelos riscos ou
vulnerabilidades. Isso
observado?
So levados em conta os
regulamentos e normas
relevantes de sade e
segurana?
So levadas em considerao
eventuais ameaas
segurana causadas por
instalaes vizinhas, como
infiltraes, vazamento de gua
proveniente de outra rea e
etc.?
Os equipamentos crticos esto
em local no acessvel ao
pblico?
Os prdios so discretos e
indicam o mnimo possvel a
sua finalidade, sem sinais
visveis, dentro ou fora do
edifcio, que identifiquem a
presena de atividades de

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

10

66,7

15

15

100,0

15

15

100,0

15

10

66,7

15

10

66,7

15

33,3

15

0,0

15

15

100,0

15

0,0

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

82
Domnio

Controle

Item

4.3

4.4

4.5

4.6

4.7

4.8

4.9

4.10

O trabalho em
reas seguras
(A.9.1.5)

5.1

5.2

5.3

5.4

5.5

5.6

Perguntas

processamento de
informaes?
Funes e equipamentos de
suporte, (fotocopiadoras e fax),
ficam num local apropriado
dentro da rea segura, para
evitar pedidos de acesso que
poderiam comprometer as
informaes?
So implementados sistemas
apropriados de deteco de
intrusos, instalados segundo
padres
profissionais e testados
regularmente, para cobrir todas
as portas externas e as janelas
acessveis?
As reas no ocupadas
dispem de alarme armado
permanentemente?
Equipamentos administrados
pela organizao ficam
fisicamente separados dos
equipamentos administrados
por terceiros?
As listas de pessoal e listas
telefnicas internas que
identificam a localizao dos
equipamentos de
processamento de informaes
sensveis ficam em local no
acessvel ao pblico?
Materiais perigosos ou
combustveis so armazenados
de modo seguro e a uma
distncia adequada de uma
rea segura?
Os suprimentos em grande
volume so armazenados
dentro de uma rea segura,
somente sendo requisitados
medida que forem sendo
utilizados?
Os equipamentos e mdia de
backup so localizados a uma
distncia segura, para que no
sejam danificados em caso de
um acidente no site principal?
Existem controles e diretrizes
adicionais para aumentar a
segurana de uma rea
sensvel?
Existem controles para o
pessoal e/ou para terceiros que
trabalham dentro da rea
segura?
Atividades de terceiros no
devem ser executadas nesta
rea. Isso observado?
O pessoal s sabe da
existncia de uma rea segura
e das atividades nela
executadas numa base de
necessidade de saber?
evitado o trabalho no
supervisionado em reas
seguras, tanto por motivos de
segurana como para no dar
oportunidade a atividades mal
intencionadas?
As reas seguras desocupadas
so trancadas fisicamente e
inspecionadas periodicamente?

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

10

66,7

15

0,0

15

0,0

15

15

100,0

15

15

100,0

0,0

15

15

100,0

15

10

66,7

15

10

66,7

15

10

66,7

15

10

66,7

15

15

100,0

15

10

66,7

15

10

66,7

83
Domnio

Controle

Classificao

Peso

5.7

O acesso ao suporte de
terceiros restrito s reas
seguras ou aos equipamentos
de processamento de
informaes sensveis e
somente quando necessrio?
O acesso autorizado e
monitorado?
Existem barreiras e permetros
adicionais de controle de
acesso fsico entre reas com
diferentes requisitos de
segurana dentro do permetro
de segurana?
proibida a presena de
equipamento fotogrfico, de
vdeo, udio ou gravao, a no
ser com autorizao?
As reas de entregas e de
carregamento so controladas
e isoladas dos equipamentos
de processamento
deinformaes, a fim de evitar o
acesso no autorizado?
Os requisitos de segurana
para tais reas so
determinados por uma
avaliao dos riscos?
O acesso a uma rea de
armazenagem provisria, a
partir do exterior de um edifcio,
restrito ao pessoal
identificado e autorizado?
A rea de armazenagem
provisria projetada de tal
maneira que os suprimentos
possam ser descarregados
sem que o pessoal de entrega
tenha acesso a outras partes do
edifcio?
O material recebido registrado
ao entrar no site?
Os equipamentos so
localizados ou protegidos de
modo a reduzir o risco das
ameaas e perigos do meioambiente e as oportunidades de
acesso no autorizado?
Os equipamentos so
localizados de modo a
minimizar o acesso
desnecessrio s reas de
trabalho?
Os equipamentos de
processamento e
armazenagem de informaes
que manuseiam dados
sensveis so posicionados de
modo a minimizar o risco de
olhares indiscretos durante o
uso?
Os itens que requerem
proteo especial so isolados
a fim de reduzir o nvel geral de
proteo necessrio?
So adotados controles para
minimizar o risco de ameaas
potenciais, incluindo furto;
incndio; explosivos; fumaa;
gua (ou falha no
abastecimento); poeira;
vibrao; efeitos qumicos;
interferncia no suprimento de

15

15

100,0

15

33,3

15

15

100,0

15

15

100,0

15

15

100,0

15

0,0

15

15

100,0

15

10

66,7

15

15

100,0

15

10

66,7

15

10

66,7

15

0,0

15

10

66,7

15

10

66,7

5.9

5.10

6.1

6.2

6.3

6.4

6.5
Localizao e
proteo dos
equipamentos
(A.9.2.1)

Aderncia
(%)

Perguntas

5.8

Isolamento das
reas de
entregas e de
carregamento
(A.9.1.6)

Valores
Referncia Apurado

Item

7.1

7.2

7.3

7.4

7.5

84
Domnio

Controle

Item

7.6

7.7

7.8

Suprimento de
energia eltrica
(A.9.2.2)

8.1

8.2

8.3

8.4

8.5

8.6

8.7

8.8

8.9
8.10

8.11

8.12
Segurana do
cabeamento
(A.9.2.3)

9.1

9.2

Perguntas

fora; radiao
eletromagntica?
A organizao estabelece uma
poltica referente aos atos de
comer, beber e fumar nas
instalaes de processamento
de informaes ou em sua
proximidade?
So monitoradas as condies
ambientais quanto a fatores que
poderiam afetar negativamente
a operao dos equipamentos
de processamento de
informaes?
So levados em conta o
impacto de um acidente em
instalaes prximas, como por
exemplo um incndio no prdio
vizinho, vazamento de gua do
telhado ou em pavimentos do
subsolo, ou uma exploso na
rua?
Existe suprimento adequado de
eletricidade que atenda s
especificaes do fabricante
dos equipamentos?
Existem mltiplas fontes de
alimentao para evitar que o
suprimento dependa de uma
nica fonte?
Existe suprimento de energia
prova de interrupes (UPS =
sistema no-break)?
Existe planejamento de
contingncia indicando as
providncias a tomar em caso
de falha do UPS?
So realizados testes regulares
dos equipamentos para
assegurar que ele tenha a
capacidade adequada?
Os equipamentos so testados
de acordo com as
recomendaes do fabricante?
As chaves de fora de
emergncia esto localizadas
perto das sadas de emergncia
das salas de equipamentos?
Existe iluminao de
emergncia para o caso de falta
de fora?
Os prdios so equipados com
para-raios?
As instalaes eltricas do
prdio e as instalaes
destinadas aos equipamentos
de energia esto em boas
condies e no oferecem
perigo?
Existe exclusividade das
instalaes eltricas no Data
Center?
Existe um plano de manuteno
para a rede eltrica?
As linhas de fora e as linhas
de telecomunicaes que
entram nos equipamentos de
processamento de informaes
so subterrneas sempre que
possvel ou tm proteo
alternativa adequada?
O cabeamento das redes
protegido contra interceptao

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

33,3

15

10

66,7

15

15

100,0

15

15

100,0

15

33,3

15

10

66,7

15

33,3

15

15

100,0

15

15

100,0

15

0,0

15

33,3

15

15

100,0

15

15

100,0

15

10

66,7

15

10

66,7

15

15

100,0

15

15

100,0

85
Domnio

Controle

Item

9.3

9.4

9.5
9.6

Manuteno
dos
equipamentos
(A.9.2.4)

10.1

10.2

10.3

10.4

10.5

10.6

Segurana dos
equipamentos
fora das
instalaes
(A.9.2.5)

11.1

11.2

11.3

11.4

11.5

Perguntas

no autorizada ou danos (pelo


uso de condutes ou evitando
trajetos que passem por reas
pblicas)?
Os cabos de fora ficam
separados dos cabos de
comunicaes para evitar
interferncias?
Existem condutes blindados e
salas ou caixas trancadas em
pontos de inspeo e pontos
terminais?
feito o uso de rotas ou meios
de transmisso alternativos?
Existem cabos com sistemas de
varredura para detectar a
presena de dispositivos no
autorizados?
Os equipamentos recebem
manuteno correta para
assegurar sua disponibilidade e
integridade permanente?
Os equipamentos recebem
manuteno com a
periodicidade e de acordo com
as especificaes
recomendadas pelo fabricante?
A manuteno e os reparos do
equipamento somente so
executados por pessoal de
manuteno autorizado?
mantido um registro de todos
os defeitos suspeitos ou reais e
de toda a manuteno
preventiva e corretiva
executada?
So adotados controles
apropriados quando
equipamentos saem do site
para fins de manuteno?
So cumpridas todas as
exigncias estipuladas nas
aplices de seguros?
O uso de qualquer equipamento
fora das instalaes da
organizao, para fins de
processamento de informaes,
feito somente quando
autorizado pela gerncia?
O grau de segurana
proporcionado equivalente ao
do equipamento utilizado no
site para os mesmos fins,
levando em conta os riscos do
trabalho fora das instalaes da
organizao?
O equipamento de
processamento de informaes
(todas as formas de
computadores pessoais,
agendas eletrnicas, telefones
celulares, papel ou outros
meios) que ficam na posse da
pessoa para trabalho a
domiclio ou que so
transportados para fora do local
normal de trabalho tem
procedimento de segurana?
Os equipamentos e as mdias
retiradas das instalaes da
organizao tm superviso em
lugares pblicos?
Os computadores portteis so

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

15

100,0

15

15

100,0

15

15

100,0

15

0,0

15

15

100,0

15

15

100,0

15

15

100,0

15

10

66,7

15

33,3

0,0

15

15

100,0

15

10

66,7

15

10

66,7

15

0,0

15

33,3

86
Domnio

Controle

Item

11.6

11.7

11.8

Segurana no
descarte ou na
reutilizao de
equipamentos
(A.9.2.6)

12.1

12.2

12.3

12.4

Poltica de
mesa vazia e
tela vazia
(A.11.3.3)

13.1

13.2

13.3

13.4

Diretrizes de

14.1

Perguntas

transportados como bagagem


de mo e disfarados sempre
que possvel, quando se viaja?
So observadas a qualquer
tempo as instrues do
fabricante para a proteo dos
equipamentos (ex.: proteo
contra a exposio a campos
eletromagnticos intensos)?
Os controles para o trabalho a
domiclio so determinados por
uma avaliao dos riscos, e so
adotados controles adequados
conforme necessrio (ex.:
arquivos de ao trancados,
poltica de mesa vazia e
controles de acesso a
computadores)?
Existe uma cobertura de
seguros adequada para
proteger o equipamento quando
fora do site?
Existem cuidados no descarte
ou na reutilizao de
equipamentos?
Sistemas de armazenagem que
contenham informaes
sensveis so destrudos
fisicamente ou sobregravados
de maneira segura em vez de
se usar a funo normal delete?
Todos os itens de equipamento
que contenham mdia de
armazenagem, como, por
exemplo, discos rgidos, so
verificados para garantir que
todos dados sensveis e
softwares licenciados tenham
sido retirados ou sobregravados
antes do descarte?
No caso de dispositivos de
armazenagem danificados que
contenham dados sensveis,
existe uma avaliao dos riscos
para determinar se o item deve
ser destrudo, consertado ou
descartado?
A organizao adota poltica de
mesa vazia para documentos e
mdia de armazenagem
removveis?
adotada poltica de tela vazia
para os equipamentos de
processamento de informaes,
a fim de reduzir os riscos de
acesso no autorizado a
informaes e de perda ou
dano s informaes durante o
horrio normal de trabalho e
fora dele?
So levadas em considerao
as classificaes de segurana
das informaes, os riscos
correspondentes e os aspectos
culturais da organizao?
tomado cuidado para que
informaes no sejam
deixadas em cima de mesas,
podendo ser danificadas ou
destrudas em caso de
catstrofes, como incndios,
inundaes ou exploses?
Os documentos e mdia de

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

33,3

15

0,0

15

0,0

15

10

66,7

15

10

66,7

15

15

100,0

15

33,3

15

0,0

15

0,0

15

0,0

15

0,0

15

10

66,7

87
Domnio

Controle

Item

proteo
(A.11.3.3)

14.2

14.3

14.4

14.5

14.6

Retirada de
bens
(A.9.2.7)

15.1

15.2

Equipamentos
de preveno e
combate a
incndios
(A.9.1.4)
Localizao
dos
equipamentos
de combate a
incndios
(A.9.1.4)

16.1

16.2
16.3
17.1
17.2
17.3

17.4
Distncia de
equipamentos,
produtos ou
locais crticos
(A.9.2.1)

18.1
18.2

18.3

18.4

18.5

Perguntas

computador so armazenados
em estantes apropriadas e
trancadas em outras formas de
moblia de segurana, quando
no estiverem em uso,
principalmente fora do horrio
de expediente?
Informaes empresariais
sensveis ou crticas ficam
trancadas (preferivelmente em
um cofre ou arquivo prova de
fogo) quando no em uso,
principalmente quando no
houver ningum no escritrio?
Os computadores pessoais e
terminais de computador, bem
como as impressoras, ficam
logged-on na ausncia do
operador e protegidos por
bloqueios de teclas, senhas ou
outros controles quando no
estiverem em uso?
Os postos de correspondncia
recebida e enviada e as
mquinas de fax e telex sem a
presena do operador so
protegidos?
As copiadoras so trancadas
(ou protegidas de algum outro
modo contra o uso no
autorizado) fora do horrio
normal de expediente?
Informaes sensveis ou
confidenciais, quando
impressas, so retiradas das
impressoras imediatamente?
Os equipamentos, as
informaes ou o software no
podem sair do site sem
autorizao. Isso verificado?
Quando necessrio e
apropriado, a sada e a
devoluo dos equipamentos
so registradas?
Os equipamentos e os
materiais de combate so
compatveis com o ambiente?
A quantidade existente
suficiente?
Existe contingncia?
A localizao adequada e o
acesso livre?
conferida a validade das
cargas?
As portas de incndio possuem
sensores e alarmes e mola para
fechamento automtico?
Existem detectores de fumaa
sob o piso falso e no teto?
A remoo de lixo diria?
Periodicamente verificada a
necessidade de efetuar
dedetizao e desratizao?
As cestas de lixo so de metal
com tampa com objetivo de
abafar princpios de incndio?
proibida a execuo de
trabalho que gerem poeira na
rea dos equipamentos?
Os quadros de conexes
telefnicas so trancados para
o acesso somente permitido ao
pessoal autorizado?

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

33,3

15

33,3

33,3

0,0

15

10

66,7

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

3
3

5
5

15
15

15
15

100,0
100,0

15

15

100,0

15

0,0

15

10

66,7

3
3

5
5

15
15

15
15

100,0
100,0

15

0,0

15

15

100,0

15

15

100,0

88
Domnio

Controle

Condies
gerais de
segurana da
edificao

Condies
gerais de
segurana
relacionados
com a
edificao

Condies
gerais de
segurana
relacionados
com
evacuaes

Disposio e
infra-estrutura
das edificaes
destinadas
funo.
Suprimento de
energia
(A.9.2.2)

Item

19.1

Perguntas

Os detectores de fumaa so
mantidos e testados de forma
programada?
19.2 Existe sensor de temperatura e
umidade do ar?
19.3 As placas do piso falso so
facilmente removveis para
permitir verificao de fogo e
fumaa?
19.4 O alarme de incndio toca na
vigilncia?
19.5 Existem plantas de localizao
dos extintores e detectores?
20.1 Existe sensoriamento de portas,
janelas, dutos e superviso
predial?
20.2 Existe sala central de controle
de segurana bem localizada e
com qualificao pessoal ?
20.3 O monitoramento do permetro
e reas externas ao prdio
feito via CFTV?
20.4 Existe um servio de vigilncia
de 24 horas, inclusive nos fins
de semana e feriados?
20.5 As sadas de emergncia so
verificadas em relao
usabilidade periodicamente?
20.6 As portas para a rea do Data
Center so mantidas fechadas?
20.7 Existem alarmes para informar
a vigilncia a violao de portas
e acessos a reas do Data
Center?
20.8 feito um rodzio peridico
entre os recepcionistas?
20.9 A rede de iluminao est bem
distribuda e de boa
qualidade?
20.10 O corpo de vigilantes possui um
manual com procedimentos de
emergncia?
20.11 Existe um sistema de
claviculrio no corpo de
vigilantes?
20.12 H um controle rigoroso das
chaves das portas?
21.1 Existe procedimento de
evacuao?
21.2 As sadas de emergncia esto
livres e desimpedidas e em
boas condies?
21.3 Existe iluminao de
emergncia e sinalizao
adequada ( feito teste)?
21.4 Existem telefones internos de
emergncia para comunicao
de sinistros?
21.5 Existe um sistema de alarme
para fazer a evacuao dos
prdios?
22.1 Quadros de luz e iluminao
esto localizados em local
adequado?
22.2 Existe controle de temperatura
nas imediaes do permetro?
23.1 Quedas de tenso frequentes,
oscilaes e sobrecargas so
evitadas?
23.2 As instalaes eltricas do
prdio e as instalaes
destinadas aos equipamentos

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

15

0,0

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

15

33,3

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

66,7

15

15

100,0

15

10

66,7

15

15

100,0

89
Domnio

Controle

Item

23.3

23.4
Arcondicionado
(A.9.2.2)

24.1

24.2

24.3

24.4
24.5

24.6

24.7
24.8

24.9
24.10

24.11

24.12
24.13
24.14

24.15

Condies
gerais de
segurana
relacionados
com
suprimento de
gua
(A.9.2.2)

25.1

25.2

25.3
25.4

25.5

25.6

Perguntas

de energia esto em boas


condies e no oferecem
perigo?
Existe exclusividade das
instalaes eltricas no Data
Center?
Existe um plano de manuteno
para a rede eltrica?
A qualidade das instalaes e
manuteno dos equipamentos
e nvel de rudo satisfatria?
No deve haver possibilidade
de entrada de gases por meio
dos dutos de ar condicionado.
Essa possibilidade eliminada?
As chaves de emergncia
desligam o sistema de arcondicionado?
O sistema de climatizao
exclusivo?
compartilhado com rea e/ou
tipo de equipamentos
inadequados?
O dimensionamento do
equipamento de arcondicionado adequado?
H redundncias (e reservas) e
simulaes peridicas?
As aberturas externas (troca de
ar) proporcionam uma
adequada renovao?
Existem dampers corta-fogo e
gases no interior dos dutos?
Os equipamentos de arcondicionado esto instalados
em compartimentos fechados
(com acesso somente ao
pessoal autorizado)?
As tomadas de ar so
protegidas contra
contaminao?
Existem alarmes nos sistemas
de ar condicionado?
Os dutos do ar condicionado
so de material retardante?
Os instrumentos de comando
do sistema de ar-condicionado
esto protegidos evitando
manuteno no autorizada?
Existem plantas com
especificaes de toda a rede
de ar-condicionado?
O prdio est em boas
condies em relao
umidade, infiltraes,
vazamentos de canalizaes e
goteiras?
garantida a qualidade das
instalaes hidrulicas
(vazamentos, infiltraes)?
Existem plantas atualizadas da
rede hidrulica?
Quanto a drenagens sob o piso
elevado, a proteo em relao
ao piso superior esta em boas
condies?
Os encanamentos, exceto os
necessrios, foram retirados do
piso falso em reas sob o
computador?
Existe escoamento de gua e
drenagem adequada para

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

10

66,7

15

10

66,7

15

10

66,7

15

10

66,7

15

15

100,0

15

15

100,0

15

0,0

15

15

100,0

66,7

15

15

100,0

15

15

100,0

15

10

66,7

15

0,0

15

0,0

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

15

0,0

15

10

66,7

15

15

100,0

90
Domnio

Controle

Item

Perguntas

Classificao

Peso

impedir inundao na sala do


computador?
Aderncia Geral: "Segurana Fsica e Ambiente"

Valores
Referncia Apurado

2406

1720

Aderncia
(%)

71,5

Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.

4.6 Protocolos de Comunicao Humano-Mquina


Para facilitar a anlise dos dados na rea de protocolos de comunicao
humano-mquina foi realizado um levantamento de dados em um estudo de caso
com a seguinte questo de pesquisa: A anlise ergonmica do trabalho, executada
sobre uma rea especfica da empresa, permitir identificar por que as pessoas se
comportam de maneira que acabem por expor as informaes institucionais a riscos
e ameaas?.
4.6.1 Tpicos tericos estudados e objetos pesquisados
Foram estudados aspectos relacionados relao humano-mquina,
envolvendo conceitos inerentes rea de ergonomia e sua importncia para a SIC.
Foram coletadas informaes sobre:
A organizao;
As polticas e normas de Segurana da Informao e Comunicaes
vigentes;
Os incidentes de segurana;
As observaes sobre o comportamento dos funcionrios.
4.6.2 Fontes para a pesquisa
Serviram como fontes para a pesquisa, em nvel documental: as normas
tcnicas inerentes rea de SIC; a legislao pertinente ao assunto; registros
organizacionais relacionados s informaes coletadas acima; e a observao
sistemtica da rea sendo pesquisada. Em nvel de capital humano: o coordenador
da rea sendo pesquisada, e os demais tcnicos envolvidos.

91
4.6.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: A Anlise Ergonmica do Trabalho,
um importante instrumento para a construo da gesto de SIC.
4.6.4 Dados coletados
Seguem os dados levantados para se obter uma melhor compreenso sobre
os comportamentos inseguros dos usurios e a forma como afetam a SIC.
No questionrio abaixo, seguem as questes que serviram de suporte para a
pesquisa, conforme propostas por Silva (2010b), com suas respostas. Para o
levantamento de dados sobre a organizao s constam as questes de suporte
utilizadas, as respostas foram omitidas pois permitiriam identificar a organizao em
estudo.
1) Sobre a organizao:
a)

Qual a misso, a viso e os valores institucionais?

b)

Quais as principais atribuies da instituio?

c)

Quais as principais atribuies do setor a ser pesquisado?

d)

Quais so as principais variveis ambientais, organizacionais, inter e

intraindividuais do contexto de trabalho a ser pesquisado?


e)

Quais so as principais variaes de curto e longo prazo, sazonais e

no previstas a que o trabalho est sujeito?


f)

Como o contexto de trabalho a ser analisado, em termos de

hierarquias e atribuies?
g)

Como o contexto de trabalho a ser analisado, em termos de arranjo

fsico e equipamentos?
h)

Qual a maneira como o ambiente e os equipamentos so utilizados

durante o processo de trabalho pelas pessoas da equipe?


i)

Qual a relao do uso desse espao e equipamentos com as normas

de segurana vigentes?
j)

Quais so os conhecimentos necessrios realizao do trabalho?

k)

Como concebida a tarefa no processo de produo?

l)

Como se aplicam as normas de segurana da informao e das

comunicaes nesses contextos?


m)

O processo de produo dividido em pequenas etapas e cada tarefa

restrita?

92
n)

Est prevista a cooperao com os colegas ou a ao deve ser

desenvolvida de maneira individual?


2) Sobre as polticas e normas de Segurana da Informao e Comunicaes
vigentes:
a)

Quais so as polticas de segurana da informao

das

comunicaes vigentes na instituio?


b)

Quais so as normas, padres, diretrizes, procedimentos, prticas e

rotinas propostos?
c)

Quais so as leis e regulamentos a que esto submetidos?

d)

Quais so os controles em nveis de gesto, operacionais e tcnicos

existentes?
e)

Qual o contexto de sua concepo como equipe responsvel,

referencial

adotado,

processo

de

formulao

sensibilizao

dos

funcionrios?
R: Segue uma sntese das respostas: Para a elaborao da POSIC da
COMPANHIA X, levou-se em considerao a norma ABNT 27002 (2005),
referente ao conjunto de melhores prticas em SIC, norma esta que sugere e
indica requisitos de controle de Segurana da Informao e Comunicaes
que podem ser indicados para atenderem aos requisitos de segurana
impostos pelo negcio e pela legislao. Tambm foram observadas as
diretrizes impostas pela Instruo Normativa 01 (IN01, 2008), elaborada pelo
Departamento de Segurana da Informao e Comunicaes do Gabinete de
Segurana Institucional da Presidncia da Repblica.
A POSIC foi elaborada pelo Comit de Segurana da Informao e
Comunicaes que, por sua vez, coordenado pelo Gestor de SIC. Aps
amplo debate e aprovao no mbito do comit, a POSIC foi encaminhada
para apreciao e aprovao por parte da Diretoria Executiva da empresa. A
POSIC foi aprovada pela Diretoria Executiva da empresa e disponibilizada na
intranet da organizao.
No incio de 2010 teve incio o planejamento do Programa Corporativo
de Conscientizao em Segurana da Informao e Comunicaes, que foi
elaborado pelo Comit de SIC. Aps amplo debate, foi aprovado e
encaminhado para aprovao pela Diretoria Executiva (DE) da empresa que
aps analis-lo o aprovou.

93
O programa teve incio em 2010 e foi dividido em duas etapas. A
primeira etapa teve incio com a aplicao de um Seminrio de SIC, que teve
como uma das suas principais atividades, uma palestra que abordou
profundamente a POSIC, explicando em detalhes cada artigo da mesma.
Foram preparados materiais para divulgao e reforo do contedo do
Seminrio. A carga horria desta primeira etapa do seminrio foi de 3 horas.
A segunda etapa consta de um treinamento em Segurana para a
Internet, com uma durao total de 6 horas. O treinamento ter notas de aula,
material didtico disponvel de forma impressa e digital e apoio da equipe
tcnica da empresa. Um dos objetivos dessa etapa melhorar o nvel de
conscientizao
comunicaes,

dos
e

usurios

os

riscos

sobre
inerentes

segurana

da

utilizao

informao
dos

recursos

computacionais, principalmente a Internet.


O Programa entrou em um ciclo contnuo de melhorias e dever ser
aplicado tambm a todos os novos usurios que vierem a ingressar na
empresa. Vale ressaltar que a presena de todos os usurios da empresa,
nas duas etapas do Programa, obrigatria.
3) Seguem os dados sobre os incidentes de segurana:
a)

Existem registros oficiais de incidentes de segurana na instituio?

b)

Como eles so computados?

c)

Quais so os incidentes ocorridos?

d)

Quais esto diretamente associados ao comportamento inseguro?

e)

Existe um padro, como problemas mais frequentes?

f)

A maneira como os registros so feitos compreende todas as normas

de segurana prescritas?
g)

Quais problemas relacionados aos incidentes no so registrados

oficialmente pela instituio?


h)

Existe alguma maneira de medi-los indiretamente?

i)

Quais as consequncias para a instituio?

j)

As pessoas foram responsabilizadas pelo comportamento inseguro?

k)

Os procedimentos de segurana foram modificados/adequados?

l)

Quais so as situaes que devem ser observadas na prxima etapa

do trabalho?

94
R: Segue uma sntese das respostas: Em meados de abril de 2009, foi
implantada

uma

nova

ferramenta

de

antivrus,

com

administrao

centralizada, que conta com inmeros recursos novos. A partir da instalao


da ferramenta, passou-se a adotar uma anlise mais rigorosa dos logs e
alertas de segurana, denotando-se infestaes por vrus, trojans e etc.
No perodo de coleta de dados da pesquisa no ocorreram problemas mais
graves, s deteco de vrus pelas engines da ferramenta antivrus. Ressaltase que ainda no foi implantada uma Equipe de Tratamento e Resposta a
Incidentes em Redes Computacionais (ETIR) e ainda no foi especificado
nenhum processo para gesto de incidentes. Tambm est no planejamento
a criao de uma norma para gesto de incidentes.
4) Dados e observaes sobre o comportamento dos funcionrios. Deve-se
observar o comportamento das pessoas ao longo da atividade:
a)

Quais so as modalidades de observao adequadas situao

selecionada?
b)

Qual a prescrio para a atividade a ser observada?

c)

Quais os suportes disponveis?

d)

Como se d o processo de trabalho do sujeito observado?

e)

Quais as suas aes?

f)

Quais as suas posturas?

g)

Quais so as suas verbalizaes?

h)

Houve comunicao?

i)

Quais so os interlocutores?

j)

Qual a relao das aes com as prescries de segurana?

k)

Houve comportamento inseguro?

l)

O que levou a pessoa a se comportar dessa maneira?

m)

Qual a frequncia desse comportamento?

n)

A pessoa tem conscincia dos procedimentos de segurana da

informao vigentes?
R: Segue uma sntese das respostas: Apesar dos processos e tarefas de
trabalho dos funcionrios estarem bem documentadas, alguns colaboradores
preferem perguntar ao colega do lado, ao invs de checar a documentao,
sobre como executar uma determinada rotina. Alm disso, tarefas que

95
deveriam ser executadas rotineiramente, aps um determinado perodo, so
esquecidas ou executadas fora do tempo correto.
Privilgios

demais

nos

recursos

computacionais

podem

levar

os

colaboradores a tentarem instalar ou executar programas que no esto


correlacionados com suas atividades e a tentar observar informaes que
normalmente no seriam permitidas. Aps a observao de alguns incidentes
foram revistos nveis de permisso e a que recursos para evitar que tais
comportamentos inseguros voltassem a ocorrer.
So executadas tarefas que depois de finalizadas no sofrem um processo de
auditoria para saber se foram realizadas de forma eficaz e eficiente. Ocorre
que tarefas so executadas parcialmente e dadas como encerradas. Alm
disso, o fechamento da solicitao de servio no executado pelo usurio
solicitante, mas sim pelo tcnico prestador do servio. Esse processo s
documentado por mensagem enviada pelo prprio tcnico informando que o
servio foi atendido. Dessa forma, o fechamento do incidente se d de uma
forma que no recomendada pela biblioteca de melhores prticas de gesto
de servios de TI,

denominada ITIL (ITIL, 2000), que preconiza que o

fechamento de uma solicitao de servio, ou de um incidente, s ocorra com


a aprovao final do usurio.

4.7 O Direito na Sociedade da Informao


Para facilitar a anlise dos dados na rea do direito na sociedade da
informao foi realizado um levantamento de dados em um estudo de caso com a
seguinte questo de pesquisa: Que tipo de tratamento a organizao atribui
dicotomia propriedade versus privacidade?.
4.7.1 Tpicos tericos estudados e objetos pesquisados
Foram estudados aspectos relacionados dicotomia propriedade versus
privacidade e sua importncia para a SIC.
Foram coletadas informaes sobre:
A organizao cenrio do problema;
O modelo de comunicao corporativa;
As equipes de coordenao da segurana ostensiva e investigativa; e
Os pontos de conflito.

96
4.7.2 Fontes para a pesquisa
Serviram como fontes para a pesquisa, em nvel documental: as normas
tcnicas inerentes rea de SIC; a legislao pertinente ao assunto; os registros
organizacionais com informaes relacionados s categorias de dados levantadas; e
as observaes sobre o comportamento dos funcionrios. Em nvel de capital
humano: o coordenador da rea de consultoria jurdica, e o Gestor de SIC.
4.7.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: O problema da dicotomia privacidade
versus propriedade conduzido de forma satisfatria na COMPANHIA X.
4.7.4 Dados coletados
Seguem os dados levantados para se obter uma melhor compreenso sobre
a forma como tratada a dicotomia privacidade versus propriedade na COMPANHIA
e sua importncia para a SIC.
No questionrio abaixo, seguem as questes que serviram de suporte para a
pesquisa, conforme propostas por Machado (2010), em seu protocolo de estudo de
caso. Uma sntese das respostas so dispostas ao final do questionrio., com suas
respostas.
1) Sobre a organizao cenrio do problema
a)

Qual a sua organizao? Que tipo de organizao a sua?

b)

A estrutura de poder em sua organizao centralizada ou pautada

por

distribuio:

desconcentrao

(desdobramento

em

unidades

independentes) ou descentralizao (adequada e organizada delegao de


poder)?
c)

Sua organizao conta com uma poltica de segurana da informao?

Sua organizao conta com uma poltica de gesto do conhecimento3? Sua


organizao conta com uma Poltica de Propriedade Intelectual?
2) Sobre o modelo de comunicao corporativa
a)

Sua organizao se utiliza de assets informacionais4?

b)

Sua organizao produz assets informacionais?

A poltica de gesto do conhecimento busca influenciar o bom desempenho de uma empresa


gerenciando suas informaes, nos mais diversos meios em que a mesma se situa
(CONHECIMENTO, 2011).
4

Segundo a ABNT 27002 (2005) qualquer coisa que tenha valor para a organizao.

97
c)

Qual o modelo estrutural dos sistemas de comunicao de sua

organizao?
d)

Qual o perfil dos usurios de sistemas de comunicao em sua

organizao?
e)

Qual o nvel de controle no uso dos sistemas de comunicao de sua

organizao?
3) Sobre as equipes de coordenao da segurana ostensiva e investigativa
a)

Sua organizao conta com adequado sistema de Resposta a

Incidentes?
b)

Sua organizao terceiriza o sistema de Resposta a Incidentes?

c)

Sua organizao conta com adequada equipe forense computacional?

d)

Sua organizao terceiriza a equipe forense computacional?

e)

Quem realiza a atividade forense computacional a equipe de

Resposta a Incidentes?
4) Sobre o ponto de conflito
a)

De que forma os processos de trabalho, em sua organizao,

interagem com interesses ou facilidades pessoais dos colaboradores


informacionais?
b)

H histrico de conflito entre interesses e facilidades pessoais e

interesses de servio (exemplo: conflito decorrente de falta funcional praticada


por empregado no uso de sistema de comunicao; conflito decorrente de
atuao considerada invasiva da privacidade pessoal de colaboradores por
parte da gesto organizacional)?
c)

No(s) conflito(s) observado(s), que elementos informadores das

circunstncias organizacionais (quanto ao modelo estrutural, quanto ao perfil


de utilizadores e quanto ao nvel de controle) estavam mais presentes e com
que nfase?
d)

Na abordagem dada pela organizao e pelos envolvidos ao(s) caso(s)

concreto(s), prevaleceu o uso de elementos de dominao institucional e


poltica (seja da organizao para com o administrado, seja do sindicato para
com a administrao) ou prevaleceram as abordagens de ordem tcnica,
disciplinar e objetiva, no trato do incidente?

98
R: A organizao uma empresa pblica, ligada ao Ministrio Y. O regime de
contratao dos funcionrios celetista, e a empresa estritamente
centralizada.
A empresa conta com uma Poltica de Segurana da informao e
Comunicaes (POSIC) aprovada desde 2009. Contudo, o Programa
Corporativo

de

Conscientizao

em

Segurana

da

Informao

Comunicaes teve incio, na segunda quinzena de setembro de 2010.


A POSIC foi elaborada pelo Comit de Segurana da Informao e
Comunicaes, que consta com representantes de todas as diretorias, da
consultoria jurdica, da rea de tecnologia da informao, alm do Gestor de
SIC. Aps meses de trabalho, discusso e aprovao no comit a POSIC foi
submetida e aprovada pela Diretoria Executiva. Tanto na POSIC quanto no
contrato

de

trabalho

dos funcionrios

existem

artigos e

clusulas,

respectivamente, que tratam das questes de propriedade intelectual e


privacidade.
A empresa no tem uma poltica de gesto do conhecimento e nem
uma poltica de propriedade intelectual.
Na utilizao do modelo de comunicao corporativa, a organizao
produz e se utiliza de assets informacionais. Ela utiliza-se do modelo
estrutural simplificado, s utilizando do email e est em vias de licitar um
sistema adequado de protocolo, o que possibilitar que a mesma migre para o
modelo complexo. O perfil dos usurios do sistema de comunicao o
pleno, pois o meio de comunicao disponibilizado igualmente a todos os
usurios. Quanto ao nvel de controle dos sistemas de comunicao
corporativa, a empresa encontra-se no nvel secundrio, utilizando-se de
senhas para controle de acesso, com regras claras de utilizao. Contudo,
intenciona migrar, em mdio prazo, para o nvel de controle tercirio em que
se buscar manter uma forte consonncia das regras estabelecidas com a
prtica realizada.
A organizao ainda no conta com um adequado sistema de resposta
a incidentes, ressentindo-se da falta de uma ferramenta que automatize o
controle e uso das equipes que tratam os incidentes. O suporte de 1 nvel
que atende aos incidentes inicialmente terceirizado, e tm que seguir

99
procedimentos mapeados em processos e cumprir o acordo de nvel de
servio especificado em contrato.
A empresa ainda no conta com uma adequada equipe forense
computacional e nem terceiriza o servio (pelo menos ainda no foi
necessrio). Quem realiza algumas tarefas de percia forense o prprio
Gestor de SIC, mas no de forma completa e nem sistematizada. Ainda no
foi estabelecida uma Equipe de Tratamento e Resposta a Incidentes em
Redes Computacionais na instituio.
Os processos de trabalho acabam por interagir com interesses ou
facilidades pessoais dos usurios. Contudo, isso no formalmente definido e
tratado caso a caso. Ocorreram poucos casos de conflitos entre interesses
e facilidades pessoais e interesses de servio. Em um dos casos, prevaleceu
a questo do nvel de controle, em que foi solicitada uma senha importante de
um computador que estava remoto (fora da organizao), e o tcnico de
suporte acabou passando a senha solicitada sem cumprir os devidos
protocolos e cuidados e sem consultar o devido nvel hierrquico que poderia
autorizar a execuo da atividade. Na abordagem aos problemas encontrados
sempre prevaleceu a abordagem tcnica.
Na empresa, a consultoria jurdica trabalha de forma consultiva,
orientando o gestor e os usurios em questes em tese, em questes in
concreto, de forma colaborativa em projetos e servios e tambm de forma
contenciosa, em processos administrativos e/ou judiciais.

4.8 Gerenciamento de Riscos de Segurana da Informao


Para facilitar a anlise dos dados na rea de gerenciamento de riscos de
segurana da informao foi realizado um levantamento de dados em um estudo de
caso com a seguinte questo de pesquisa: A efetivao do processo de gesto de
risco sobre um ativo informacional da organizao poder contribuir para a correta
indicao dos controles de segurana que sejam realmente necessrios e
suficientes?.
4.8.1 Tpicos tericos estudados e objetos pesquisados
Foram estudados os aspectos tericos da gesto de riscos e os conceitos
inerentes ao processo de gesto de riscos foram aplicados sobre o objeto Sistema
A da organizao.

100
Foram coletadas informaes sobre:
A implementao fsica do sistema; e
A implementao lgica do sistema.
4.8.2 Fontes para a pesquisa
Serviram como fontes para a pesquisa, em nvel documental: os documentos
que norteiam a utilizao do Sistema A; as normas tcnicas inerentes rea de
SIC; a legislao pertinente ao assunto. Em nvel de capital humano: O gerente da
rede e o Gestor de SIC.
4.8.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: O processo de gesto de riscos
imprescindvel para a escolha dos controles de segurana da informao e
comunicaes a serem implantados sobre um ativo informacional da COMPANHIA
X.
4.8.4 Dados coletados
Segue na Tabela 4.4 os resultados consolidados dos dados obtidos
aplicando-se a metodologia de gesto de riscos de SI sobre um importante ativo da
COMPANHIA X. Na Tabela 4.5, Tabela 4.6, Tabela 4.7 e Tabela 4.8 seguem os
critrios utilizados para anlise e avaliao dos riscos.
Tabela 4.4 - Anlise e avaliao de riscos de SI sobre o ativo Sistema A, da
COMPANHIA X.
ID

AMEAA

Fogo

Poeira

Falha do arcondicionado
Interrupo do
sistema de
energia
Furto de mdia
ou documentos
Furto de mdia
ou documentos
Furto de mdia
ou documentos

VULNERABILIDADE

Falta de um
processo de gesto
de continuidade
Sensibilidade
poeira, sujeira

Possibilidade de
superaquecimento
dos equipamentos
Fornecimento de
energia instvel
Armazenamento
no protegido
Armazenamento de
cpias no
controlada
Ineficincia dos
mecanismos de
proteo fsica no
prdio e portas

RISCO

Falta de
disponibilidade da
Informao
Falha do
equipamento
causando falta de
disponibilidade
Falta de
disponibilidade da
Informao
Falta de
disponibilidade da
Informao
Falta de
confidencialidade da
informao
Falta de
confidencialidade da
informao
Falta de
confidencialidade da
informao

PROBABILIDADE

IMPACTO

NVEL DE
RISCO

PRIORIDADE

101
ID

10

11

12

13

14

15

16

17

18

19

20

21

22

AMEAA

Furto de mdia
ou documentos

Furto de mdia
ou documentos

Furto de mdia
ou documentos

Furto de
equipamentos

Furto de
equipamentos

Furto de
equipamentos

VULNERABILIDADE

Trabalho no
supervisionado de
pessoal de limpeza
ou de terceirizados
Poltica de mesas e
telas limpas
inexistente ou
insuficiente
Insuficincia de
mecanismos para o
monitoramento de
violaes da
segurana
Insuficincia de
mecanismos de
proteo fsica no
prdio e portas

Insuficincia de um
processo disciplinar
no caso de
incidentes
relacionados
segurana da
informao
Inexistncia de
uma poltica formal
sobre o uso de
computadores
mveis

Dados de fontes Inexistncia de um


no confiveis
processo formal
para autorizao
das informaes
disponveis
publicamente
Defeito de
Inexistncia de um
equipamento
plano de
continuidade
Saturao do
Gerenciamento de
sistema de
rede inadequado
informao
ou no finalizado
Defeito de
Inexistncia de um
software
controle eficaz de
mudana
Uso no
Inexistncia de
autorizado de
relatrios de
equipamento
gerenciamento que
apontem o uso no
autorizado de
equipamento
Uso no
Conexes de redes
autorizado de
pblicas
equipamento
desprotegidas

Uso no
autorizado de
equipamento
Uso no
autorizado de
equipamento

Uso de cpias
de software
falsificadas ou
ilegais

Inexistncia de
polticas para o uso
correto de troca de
mensagens
Inexistncia de
procedimentos para
o relato de
fragilidades ligadas
segurana
Insuficincia de
procedimentos para
garantir a
conformidade com

RISCO

Falta de
confidencialidade da
informao
Falta de
confidencialidade da
informao
Falta de
confidencialidade da
informao

Pode afetar a
disponibilidade,
integridade,
confidencialidade e
autenticidade da
informao
Pode afetar a
disponibilidade,
integridade,
confidencialidade e
autenticidade da
informao
Pode afetar a
disponibilidade,
integridade,
confidencialidade e
autenticidade da
informao
Pode afetar a
integridade e
autenticidade da
informao

Pode afetar a
disponibilidade da
informao
Pode afetar a
disponibilidade da
informao
Pode afetar a
disponibilidade
Pode afetar a
disponibilidade,
integridade,
confidencialidade e
autenticidade da
informao
Pode afetar a
disponibilidade,
integridade,
confidencialidade e
autenticidade da
informao
Pode afetar a
confidencialidade da
informao
Pode afetar a
Disponibilidade,
Integridade,
Confidencialidade e
Autenticidade (DICA)
da Informao
Pode afetar a DICA

PROBABILIDADE

IMPACTO

NVEL DE
RISCO

PRIORIDADE

102
ID

AMEAA

VULNERABILIDADE

RISCO

PROBABILIDADE

IMPACTO

NVEL DE
RISCO

PRIORIDADE

os direitos de
propriedade
intelectual
23

24

25

26

27

28

29

30

31

32

33

34

35

Comprometimento dos
dados

Erro durante o
uso

Erro durante o
uso
Erro durante o
uso
Erro durante o
uso

Erro durante o
uso

Erro durante o
uso

Abuso de
direitos

Abuso de
direitos
Abuso de
direitos

Abuso de
direitos

Abuso de
direitos

Abuso de
direitos

Utilizar programas
aplicativos com
conjunto errado de
dados (referentes a
um outro perodo)
Documentao
insuficiente

Uso incorreto de
software e
hardware
Falta de
conscientizao em
segurana
Ausncia de
registros nos
arquivos de
auditoria (logs) de
administradores e
operadores
Inexistncia de
procedimentos para
manipulao de
informaes
classificadas

Ausncia das
responsabilidades
ligadas
segurana da
informao nas
descries de
cargos e funes
No execuo de
logout/bloqueio ao
se deixar uma
estao de trabalho
desassistida
Insuficincia de
trilhas de auditoria
Atribuio errnea
de direitos de
acesso

Insuficincia do
procedimento
formal para o
registro e a
remoo de
usurios
Inexistncia de
processo formal
para anlise crtica
de direitos de
acesso
(superviso)
Inexistncia de
procedimento de
monitoramento das
instalaes de
processamento de
informaes

Pode afetar a
integridade da
informao

Armazenamento
inapropriado. Pode
afetar a
disponibilidade da
informao e falta de
conformidade legal
Perda de tempo na
execuo da
atividade
Pode afetar a DICA

Quebra de segurana
sem possibilidade de
auditoria

Armazenamento
inapropriado. Pode
afetar a
disponibilidade e a
confidencialidade da
informao e falta de
conformidade legal
Pode afetar a DICA

Pode afetar a DICA

Quebra de segurana
sem possibilidade de
auditoria
Pode afetar a
disponibilidade,
integridade e
confidencialidade da
informao
Pode afetar a
disponibilidade,
integridade e
confidencialidade da
informao
Pode afetar a
disponibilidade,
integridade e
confidencialidade da
informao
Pode afetar a DICA

103
ID

36

AMEAA

Indisponibilidad
e de recursos
humanos

VULNERABILIDADE

Ausncia de
recursos humanos

RISCO

IMPACTO

NVEL DE
RISCO

PRIORIDADE

Pode afetar a
disponibilidade da
informao

Legenda:
Tabela 4.5 - Probabilidade
PROBABILIDADE
Muito baixa
Baixa
Mdia
Alta
Muito alta

PROBABILIDADE

Tabela 4.6 - Impacto

VALOR
1
2
3
4
5

IMPACTO
Desprezvel
Baixo
Crtico
Grave
Gravssimo

VALOR
1
2
3
4
5

Tabela 4.7 - Estimativa do Risco

Impacto

PROBABILIDADE
Muito Baixa
(improvvel)
Desprezvel
Baixo
Crtico
Grave
Gravssimo

1
2
3
4
5

Baixa
(Pouco
provvel)
2
3
4
5
6

Mdia
(Possvel)

Alta
(Provvel)

Muito Alta
(Frequente)

3
4
5
6
7

4
5
6
7
8

5
6
7
8
9

Tabela 4.8 - Avaliao de Risco


NVEL DE
RISCO
1a3
4a6
7a9

DESCRIO
Implementar as aes de SIC a longo prazo
Implementar as aes de SIC a mdio prazo
Implementar as aes de SIC imediatamente

Legenda
L
M
I

4.9 Controle de Acesso


Para facilitar a anlise dos dados na rea de controle de acesso foi realizado
um levantamento de dados em um estudo de caso com a seguinte questo de
pesquisa: Os requisitos de controle de segurana da informao e comunicaes
da COMPANHIA X esto em conformidade com o preconizado e sugerido pela
seo Controle de Acesso, da norma ABNT 27002 (2005)?.
4.9.1 Tpicos tericos estudados e objetos pesquisados
Foram estudados todos os aspectos da seo 11- Controle de Acessos, da
norma da ABNT 27002 (2005) e, tambm, todos os aspectos da Instruo Normativa
Complementar 07 (IN07, 2010).
Foram coletadas informaes sobre:

104
O controle de acesso lgico e fsico hoje implementados na
organizao.
4.9.2 Fontes para a pesquisa:
Serviram como fontes para a pesquisa, em nvel documental: os documentos
que norteiam a sistemtica de controle de acesso na organizao; as normas
tcnicas inerentes rea de SIC; a legislao pertinente ao assunto. Em nvel de
capital humano: o Gestor de SIC e o Coordenador da rea de RH.
4.9.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: Os requisitos de controle de segurana
da informao e comunicaes, relacionados a Controle de Acesso, esto
adequados para a COMPANHIA X.
4.9.4 Dados coletados
Seguem as informaes sobre o processo de controle de acesso e a anlise
de conformidade dos controles relacionados segurana da informao e
comunicaes, a fim de se determinar se esto em conformidade com as
recomendaes e requisitos de segurana preconizados pela norma ABNT 27002
(2005). Segue, na Tabela 4.9, o resultado consolidado dos dados obtidos.

Tabela 4.9 - Anlise de conformidade em relao ao Controle de Acesso.


Domnio

CONTROLE
DE ACESSO

Controle

Requisitos do
negcio e
poltica
(A.11.1.1)

Valores
Referncia
Apurado

Aderncia
(%)

Item

Perguntas

Classificao

Peso

1.1

As regras para controle de


acesso e direitos para cada
usurio ou grupo de usurios
esto claramente estabelecidas
no documento da poltica de
controle de acesso?
A poltica leva em considerao:
requisitos de segurana de
aplicaes especficas do
negcio; identificao de toda
informao referente s
aplicaes do negcio; polticas
para autorizao e distribuio
de informao, com a
necessidade de se conhecer a
forma de se classificar a
informao; compatibilidade
entre os controles de acesso e
as polticas de classificao da
informao, dos diferentes
sistemas e redes; legislao
vigente e qualquer obrigao
contratual considerando a
proteo do acesso a dados ou
servios; perfil de acesso de
usurio-padro para categorias
comuns de trabalho?

15

0,0

15

0,0

1.2

105
Domnio

Controle

Regras de
controle de
acesso
(A.11.1.1)

Aderncia
(%)

Perguntas

Classificao

Peso

1.3

feito o gerenciamento dos


direitos de acesso em todos os
tipos de conexes disponveis
em um ambiente distribudo e
conectado em rede?
Existe diferenciao entre as
regras que sempre devem ser
cumpridas das regras opcionais
ou condicionais?
So estabelecidas regras na
premissa "Tudo deve ser
proibido a menos que
expressamente permitido" ao
invs da premissa "Tudo
permitido a menos que
expressamente proibido"?
Ocorre a diferenciao entre
regras que requerem aprovao
do administrador ou outro
funcionrio antes da liberao
daquelas que no necessitam
de tal aprovao?
O processo formal de registro
de usurio inclui utilizao de
identificador de usurio (ID)
nico, de forma que cada
usurio possa ser identificado e
feito responsvel por suas
aes?
feita a verificao de que o
usurio tem autorizao do
proprietrio do sistema para a
utilizao do sistema de
informao ou servio?
verificado se o nvel de
acesso concedido est
adequado aos propsitos do
negcio e est consistente com
a poltica de segurana da
organizao?
entregue aos usurios um
documento escrito descrevendo
seus direitos de acesso e
coletada sua assinatura
indicando que eles entenderam
as condies de seus direitos
de acesso?
garantido de que o provedor
de servio no fornecer
direitos de acesso at que os
procedimentos de autorizao
sejam concludos?
realizada manuteno formal
no registro de todas as pessoas
cadastradas para usarem os
servios?
executada a remoo
imediata dos direitos de acesso
de usurios que tenham
mudado de funo ou sado da
organizao?
verificado periodicamente a
no ocorrncia ou atribuio de
IDs redundantes? Deve ser
garantido que no ocorram
identificadores redundantes.
considerada a incluso de
clusulas nos contratos de
funcionrios e de servios que
especifiquem as sanes em
caso de tentativa de acesso no
autorizado por funcionrio ou
prestador de servio?

15

10

66,7

33,3

15

10

66,7

15

10

66,7

15

15

100,0

15

10

66,7

15

33,3

15

0,0

15

33,3

15

33,3

15

10

66,7

15

15

100,0

15

33,3

2.1

2.2

2.3

Registro de
usurio
(A.11.2.1)

Valores
Referncia
Apurado

Item

3.1

3.2

3.3

3.4

3.5

3.6

3.7

3.8

3.9

106
Domnio

Valores
Referncia
Apurado

Aderncia
(%)

Controle

Item

Perguntas

Classificao

Peso

Gerenciamento
de privilgios
(A.11.2.2)

4.1

As categorias de funcionrios e
os privilgios associados a cada
produto do sistema (sistemas
operacionais, aplicativos, banco
de dados e etc.) so
identificados?
Os privilgios de uso so
concedidos exclusivamente
conforme a necessidade?
O desenvolvimento e o uso de
rotinas do sistema so
incentivadas de forma a evitar
a necessidade de se fornecer
privilgios aos usurios?
Privilgios so estabelecidos
para uma identidade de usurio
diferente daquelas usadas
normalmente para os negcios?
feita a solicitao aos
usurios que assinem uma
declarao a fim de manter a
confidencialidade de sua senha
pessoal e das senhas de grupo
de trabalho? Estas questes
podem estar implcitas nos
contratos de trabalho.
O usurio obrigado a trocar
sua senha na primeira vez que
acessa os sistemas?
No caso do usurio esquecer
sua senha, uma nova senha s
permitida aps a identificao
positiva do usurio?
As senhas temporrias so
fornecidas de forma segura
para os usurios? Evitar o uso
de email desprotegido e o uso
de prestadores de servio.
Os direitos de acesso dos
usurios so analisados
criticamente a intervalos
regulares e aps quaisquer
mudanas? (sugere-se aps um
perodo de seis meses)
As autorizaes para direitos de
acesso privilegiado so
analisadas periodicamente?
(sugere-se trs meses)
Os usurios recebem
treinamento ou recebem
instrues quanto s boas
prticas de segurana na
seleo e uso de senhas?
Os usurios so informados
para: manter a
confidencialidade das senhas;
evitar o registro das senhas em
papel; alterar a senha sempre
que existir qualquer indicao
de possvel comprometimento
do sistema ou da prpria senha;
que sejam fceis de lembrar;
no sejam baseadas em coisas
que outras pessoas possam
facilmente adivinhar ou obter a
partir de informaes pessoais,
por exemplo nomes, nmeros
telefnicos, datas de
nascimento; isentas de
caracteres idnticos
consecutivos ou de grupos de
caracteres somente numricos
ou alfabticos; alterar a senha

15

15

100,0

15

15

100,0

15

15

100,0

15

15

100,0

15

0,0

15

15

100,0

15

15

100,0

15

10

66,7

15

0,0

15

0,0

15

15

100,0

15

10

66,7

4.2

4.3

4.4

Gerenciamento
de senha dos
usurios
(A.11.2.3)

5.1

5.2

5.3

5.4

Anlise crtica
dos direitos de
acesso do
usurio
(A.11.2.4)

6.1

6.2

Uso de senhas
(A.11.3.1)

7.1

7.2

107
Domnio

Controle

Item

Perguntas

Valores
Referncia
Apurado

Aderncia
(%)

Classificao

Peso

15

10

66,7

15

10

66,7

15

15

100,0

15

10

66,7

15

0,0

15

0,0

66,7

15

15

100,0

em intervalos regulares ou
baseando-se no nmero de
acessos e evitar a reutilizao
de senhas antigas; alterar
senhas temporrias no primeiro
acesso ao sistema; no incluir
senhas em processos
automticos de acesso ao
sistema, por exemplo
armazenadas em macros; no
compartilhar senhas
individuais?

7.3

Equipamento
de usurio sem
monitorao
(A.11.3.2)

Poltica de
utilizao dos
servios de
rede (A.11.4.1)

Rota de rede
obrigatria
(A.11.4.7)

Os usurios que precisem ter


acesso a mltiplas plataformas
ou servios e tiverem que
manter vrias senhas,so
orientados a utilizar uma senha
nica de qualidade para todos
os servios que proverem um
nvel razovel de proteo de
armazenamento de senhas?
8.1 verificada a necessidade de
proteo de estaes de
trabalho e servidores no
monitorados por um longo
perodo de tempo quanto a
acesso no autorizado?
8.2 Os usurios so informados
para encerrarem as sesses
ativas, a menos que elas
possam ser protegidas por meio
de um mecanismo de bloqueio,
por exemplo tela de proteo
com senha?
8.3 Os usurios so informados
quanto a importncia de
efetuarem o processo correto
de desconexo quando
conectados a computadores
remotos?
9.1 Foi formulada uma poltica que
considere o uso de redes e
seus servios e que inclui:
redes e servios de rede aos
quais o acesso permitido;
procedimentos de autorizao
para a determinao de quem
tem acesso a que redes e a
quais servios de rede;
procedimentos e controles de
gerenciamento para proteger o
acesso s conexes e servios
de rede?
9.2 A poltica de utilizao dos
servios de rede consistente
com a poltica de controle de
acesso do negcio?
10.1 So levadas em considerao a
limitao das opes de menu e
submenu para usurios
individuais?
10.2 imposto o uso de sistemas de
aplicao especficos e/ou
gateways de segurana para
usurios de redes externas?

108
Domnio

Controle

Autenticao
para conexo
externa do
usurio
(A.11.4.2)
Autenticao
de n
(A.11.4.2)
Proteo de
portas de
diagnstico
remotas
(A.11.4.4)

Segregao de
redes
(A.11.4.5)

Controle de
conexes de
rede (A.11.4.6)

Controle do
roteamento de
rede (A.11.4.7)

Item

Perguntas

10.3 efetuado o controle ativo das


origens permitidas para
comunicao com destinos por
meio de gateways de segurana
ou firewall?
10.4 feita restrio de acesso
rede por meio do
estabelecimento de domnios
lgicos separadas, por exemplo,
por meio de vpns para grupos
de usurios dentro da
organizao?
11.1 O nvel de proteo e o mtodo
de autenticao requeridos
foram determinados aps uma
avaliao de risco?
11.2 utilizada criptografia para
conexo externa de usurios?
12.1 As conexes a sistemas
remotos de computadores so
autenticadas?
13.1 Muitos computadores e
sistemas de comunicao esto
instalados com recursos que
permitem o diagnstico remoto
por dia-up para manuteno.
Neste caso, ela est protegida
por um mecanismo de
segurana apropriado? (chave
de bloqueio e um procedimento
para garantir que elas sejam
acessveis somente por meio de
um acordo entre o gestor dos
servios computadorizados e o
pessoal de suporte de
hardware/software que solicitou
o acesso)
14.1 No caso de uma rede muito
grande, ela foi dividida em
domnios lgicos separados,
cada um dos quais protegidos
por um permetro de segurana
separado? Neste caso a
comunicao e o trafego de
informao entre eles se d por
meio de um gateway seguro
(firewall)?
14.2 Existe a necessidade de
interligao ou
compartilhamento de recursos
de rede e de processamento de
informaes entre parceiros de
negcios?
14.3 O critrio para segregao da
rede em domnios se baseia na
poltica de controle de acesso e
nos requisitos de acesso?
15.1 So estabelecidos controles
quanto capacidade de
conexo de rede dos usurios?
Exemplos de aplicaes em que
estes controles poderiam se
aplicar: correio eletrnico;
transferncia unidirecional e
bidirecional de arquivos; acesso
rede associado hora do dia
ou data.
16.1 Existem controles de
roteamento que garantam que
as conexes de computador e o
fluxo de informaes no violem
a poltica de controle de acesso
das aplicaes do negcio?

Valores
Referncia
Apurado

Aderncia
(%)

Classificao

Peso

66,7

0,0

15

10

66,7

15

15

100,0

100,0

15

15

100,0

0,0

15

33,3

0,0

15

10

66,7

66,7

109
Domnio

Controle

Segurana dos
servios de
rede
Identificao
automtica de
terminal
(A.11.4.3)

Procedimentos
de entrada no
sistema (logon) (A.11.5.1)

Identificao e
autenticao de
usurio
(A.11.5.2)

Item

Perguntas

16.2 Os controles de roteamento so


baseados em fontes confiveis
e mecanismos de checagem de
endereo de destino?
16.3 Os implementadores deste
controle esto cientes do poder
dos mecanismos utilizados?
17.1 fornecida uma descrio clara
dos atributos de segurana de
todos os servios usados?
18.1 A identificao automtica de
terminais utilizada para que
sesses s possam ser
inicializadas a partir de
localizaes particulares ou de
terminais de computadores
especficos?
19.1 Os cuidados/procedimentos
relacionados abaixo quanto ao
processo de entrada no sistema
so verificados? Identificadores
de sistema ou de aplicaes
no devem ser mostrados at
que o processo de entrada no
sistema tenha sido concludo;
deve ser mostrado um aviso
que somente pessoas
autorizadas devem obter
acesso ao computador; no
devem ser fornecidas
mensagens de ajuda durante o
procedimento de entrada no
sistema; as informaes de
entrada no sistema s devem
ser validadas quando todos os
dados de entrada estiverem
completos e caso ocorra uma
condio de erro, o sistema no
deve indicar que parte do dado
de entrada est correta ou
incorreta; o nmero de entradas
sem sucesso no sistema deve
ser limitado (recomend-se um
mximo de trs tentativas), com
registro das tentativas de
acesso invlidas e imposio de
tempo de espera antes de
permitir novas tentativas.
19.2 Quando do sucesso no
procedimento de entrada no
sistema mostrada a ltima
data e hora de entrada no
sistema com sucesso e
detalhes de qualquer tentativa
sem sucesso desde o ltimo
procedimento efetuado com
sucesso?
20.1 Os identificadores dos usurios
fornecem algum indicador do
nvel de privilgio dos mesmos?
20.2 Em alguma circunstncia
excepcional, com claros
benefcios para o negcio,
ocorre a utilizao de um ID
compartilhado por um grupo de
usurios ou para um trabalho
especfico?
20.3 Para o caso citado acima, existe
uma documentao com a
aprovao do gestor?

Valores
Referncia
Apurado

Aderncia
(%)

Classificao

Peso

66,7

66,7

15

0,0

66,7

15

15

100,0

0,0

15

10

66,7

66,7

33,3

110
Domnio

Controle

Sistema de
gerenciamento
de senhas
(A.11.5.3)

Uso de
programas
utilitrios
(A.11.5.4)

Alarme de
intimidao
para a
salvaguarda de
usurios
(A.13.1.1)
Desconexo de
terminal por
inatividade

Limitao do
tempo de
conexo
(A.11.5.6)

Restrio de
acesso

Item

Perguntas

Valores
Referncia
Apurado

Aderncia
(%)

Classificao

Peso

21.1 A organizao utiliza um bom


sistema de gerenciamento de
senhas que: obrigue o uso de
senhas individuais, permita que
os usurios escolham suas
prprias senhas, os usurios
utilizem senhas de qualidade, a
troca de senha seja efetuada
periodicamente, mantenha
registro de senhas anteriores e
bloqueio a utilizao das
mesmas, no mostre as senhas
na tela quando digitadas,
armazena os arquivos de senha
separadamente dos dados de
sistema e de aplicao,
armazena as senhas na forma
cifrada?
21.2 As senhas padres definidas
pelos fabricantes so alteradas
o mais rpido possvel?
22.1 considerado o uso de
procedimentos de autenticao
para utilitrios de sistema?
22.2 A utilizao dos utilitrios de
sistemas limitada a um
nmero mnimo de usurios
confiveis e autorizados?
22.3 efetuado o registro de todo o
uso dos utilitrios de sistema?
22.4 Foram definidos e
documentados todos os nveis
de autorizao necessrios
para os utilitrios de sistema?
22.5 Todos os software utilitrios e
demais sistemas
desnecessrios so removidos?
23.1 Foram estabelecidas as
responsabilidades e os
procedimentos para responder
a um alarme de intimidao?

15

10

66,7

15

15

100,0

15

15

100,0

15

15

100,0

33,3

33,3

100,0

0,0

24.1 Os recursos de desconexo por


tempo prevem a limpeza de
tela do terminal e o
encerramento das sesses do
aplicativo e da rede aps um
perodo definido de inatividade?
24.2 O prazo de tempo para o
desligamento reflete os riscos
de segurana da rea?
25.1 O recurso de limitao do
tempo de conexo utilizado
para aplicaes sensveis,
especialmente aquelas com
terminais instalados em locais
de alto risco?
25.2 So utilizados blocos
(intervalos) de tempo
predeterminados para
transmisso de arquivos em lote
ou sesses regulares interativas
de curta durao
25.3 Ocorre restrio dos horrios de
conexo s horas normais de
expediente, se no houver
necessidades para horas extras
ou trabalhos fora do horrio de
trabalho?
26.1 So fornecidos menus para
controlar o acesso s funes

66,7

66,7

0,0

0,0

0,0

66,7

111
Domnio

Controle

informao
(A.11.6.1)

Isolamento de
sistemas
sensveis
(A.11.6.2)

Registro (log)
de eventos
(A.10.10.1)

Monitorao do
uso do sistema
Procedimentos
e reas de risco
(A.10.10.2)

Item

Perguntas

Valores
Referncia
Apurado

Aderncia
(%)

Classificao

Peso

66,7

15

10

66,7

15

10

66,7

15

0,0

33,3

15

15

100,0

15

15

100,0

33,3

15

33,3

66,7

66,7

15

10

66,7

dos sistemas de aplicao?


26.2 Restringe-se o conhecimento de
informaes ou funes da
aplicao s quais o usurio
no tem autoridade de acesso,
por meio da construo de
manuais direcionados s suas
necessidades?
26.3 Os direitos dos usurio de
leitura, escrita, deleo e
execuo so controlados?
26.4 Assegura-se que as sadas dos
sistemas de aplicao que
tratam informaes sensveis
contm somente informaes
relevantes a estas sadas e so
enviadas para terminais e locais
autorizados?
27.1 A sensibilidade de um sistema
de informao explicitamente
identificada e documentada pelo
seu proprietrio?
27.2 Quando uma aplicao sensvel
seja executada em um
ambiente compartilhado, feita
uma identificao dos sistemas
de aplicao que
compartilharam recursos com
ela? coletada a concordncia
do proprietrio da aplicao
sensvel?
28.1 Os registros de auditoria
incluem identificao dos
usurios, datas e horrios de
entrada e sada no sistema,
identidade do terminal ou,
quando possvel sua
localizao?
28.2 Ficam registradas as tentativas
de acesso aceitas e rejeitadas?
28.3 Os registros de acesso a outros
recursos, tanto com sucesso
como as de insucesso, tambm
so armazenadas?
28.4 Os requisitos para coleta de
evidncias so seguidos?
29.1 So considerados os acessos
autorizados e so registrados
detalhes tais como:
identificao do usurio, a data
e horrio dos eventos-chave,
tipo do evento, arquivos
acessados, programas ou
utilitrios utilizados?
29.2 Em relao s operaes
privilegiadas, foi registrado se a
operao foi efetuada por uma
conta de supervisor? Perodo
de inicializao e finalizao do
sistema? Foi registrada a
conexo e desconexo de
dispositivos de entrada e sada?
29.3 Em relao s tentativas de
acesso no autorizado, foram
registradas as tentativas que
falharam? A violao da poltica
de acesso foi registrada? Foram
analisados os logs de gateway
e firewalls?

112
Domnio

Controle

Monitorao do
uso do sistema
- Fatores de
risco
(A.10.10.2)

Monitorao do
uso do sistema
- Registro e
anlise crtica
dos eventos
(A.10.10.3 e
A.10.10.4)

Sincronizao
dos relgios (A.
10.10.6)

Computao
mvel
(A.11.7.1)

Item

Perguntas

29.4 So verificados os alertas ou


mensagens do console? As
excees do sistema so
registradas? So verificados os
alarmes do gerenciamento da
rede?
30.1 Na efetuao da anlise de
risco, so levados em
considerao a criticidade dos
processos de aplicao? O
valor, sensibilidade ou
criticidade da informao
envolvida? A experincia
anterior com infiltraes e uso
imprprio do sistema? A
extenso da interconexo dos
sistemas, principalmente com
redes pblicas?
31.1 So utilizados utilitrios de
sistema ou ferramentas de
auditoria apropriados para a
execuo de consultas aos
registros de logs?
31.2 feita uma segregao de
funes entre as pessoas que
analisam os logs daqueles que
executam as atividades que
esto sendo monitoradas?
31.3 dada uma ateno especial
segurana dos registros de
logs, pois se os mesmos forem
alterados levaro concluses
errneas?
31.4 So tomadas providncias
quanto aos cuidados para que
no ocorra a desativao do
registro dos logs?
31.5 verificado se as mensagens
originais no so alteradas?
31.6 feita a verificao se os
arquivos no esto sendo
editados ou excludos?
31.7 verificado o esgotamento do
meio magntico do arquivo de
registros de logs? Falhas no
registro de eventos?
verificada a sobreposio do
prprio arquivo?
32.1 Os relgios dos computadores
so ajustados por meio de
algum mecanismo de tempo
real?
32.2 Existe algum procedimento para
verificar inconsistncias e que
corrija variaes caso
necessrio?
33.1 A poltica quanto utilizao de
recursos de computao mvel
(notebooks, palmtops, laptops e
telefones celulares) incluem
requisitos para proteo fsica,
controles de acesso, tcnicas
de criptografia, cpias de
segurana e proteo contra
vrus?
33.2 A poltica citada na pergunta
anterior inclui regras e avisos
sobre a conexo de recursos
mveis rede e orientao
quanto ao uso em locais
pblicos?

Valores
Referncia
Apurado

Aderncia
(%)

Classificao

Peso

66,7

15

33,3

15

10

66,7

15

15

100,0

15

10

66,7

15

10

66,7

15

15

100,0

15

15

100,0

15

10

66,7

15

15

100,0

15

15

100,0

15

0,0

15

0,0

113
Domnio

Controle

Trabalho
remoto
(A.11.7.2)

Item

Perguntas

33.3 So estabelecidas protees


para evitar o acesso no
autorizado ou a divulgao de
informaes armazenadas e
processadas nos recursos
mveis?
33.4 Quando utilizando a
computao mvel em locais
pblicos toma-se cuidados
quanto ao risco de captao por
pessoas no autorizadas?
33.5 So estabelecidos
procedimentos contra software
maliciosos? Caso se necessite
de algum software para isso, ele
est sempre atualizado?
33.6 Existe proteo adequada
contra perda ou roubo de
informaes? Caso ocorram,
existe algum processo de
recuperao rpida e fcil das
informaes?
33.7 O acesso remoto s
informaes do negcio por
meio de redes pblicas, usando
os recursos de computao
mvel se d somente aps o
sucesso em processo de
identificao e autenticao e
com os mecanismos de controle
de acesso apropriados?
33.8 So tomados cuidados para
proteger fisicamente contra
roubo os equipamentos
moveis? Especialmente em
viagens e trabalhos fora da
organizao?
33.9 efetuado treinamento
adicional quanto segurana e
utilizao de equipamentos
mveis, pelos respectivos
usurios?
34.1 O trabalho remoto autorizado
e controlado pelo gestor? As
providncias adequadas a este
tipo de trabalho foram tomadas?
34.2 A organizao desenvolveu
polticas, procedimentos e
normas para controlar as
atividades do trabalho remoto?
Esto de acordo com a poltica
de segurana da organizao?
34.3 levado em conta a ameaa de
acesso no autorizado
informao ou aos recursos por
outras pessoas que utilizam o
local (familiares e amigos)?
34.4 Foi elaborada uma definio do
trabalho permitido, estipulando
as horas de trabalho, a
classificao da informao que
pode ser tratada e os sistemas
internos e servios que o
funcionrio autorizado a obter
acesso?
34.5 Foi provisionado equipamento
de comunicao apropriado,
incluindo mtodos de acesso
remoto seguro?
34.6 Foram estabelecidos os
procedimentos para cpia de
segurana e continuidade do
negcio?

Valores
Referncia
Apurado

Aderncia
(%)

Classificao

Peso

15

15

100,0

15

10

66,7

15

15

100,0

15

10

66,7

15

10

66,7

15

33,3

15

0,0

15

10

66,7

0,0

33,3

33,3

15

15

100,0

100,0

114
Domnio

Controle

Item

Perguntas

Classificao

34.7 Est prevista a auditoria e


2
monitorao da segurana?
34.8 Esta prevista a revogao de
3
autoridade, de direitos de
acesso e devoluo do
equipamento quando as
atividades de trabalho remoto
cessarem?
Aderncia Geral: "Controle de Acesso"

Peso

Valores
Referncia
Apurado

Aderncia
(%)

15

10

66,7

15

15

100,0

1305

810

62,1

Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.

4.10 Aquisio e Implementao, Entrega e Suporte de Servios de


TI
Para facilitar a anlise dos dados na rea de aquisio, implementao,
entrega e suporte de servios de TI foi realizado um levantamento de dados em um
estudo de caso com a seguinte questo de pesquisa: Os processos de TI ora
praticados pela empresa esto em conformidade com os controles recomendados
pelos domnios Aquisio e Implementao e Entrega e Suporte de Servios de TI
do framework COBIT?.
4.10.1 Tpicos tericos estudados e objetos pesquisados
Foram estudados todos os 20 controles de alto nvel do COBIT referentes aos
domnios descritos na Tabela 4.10.
Foram coletadas informaes sobre:
Os processos operacionais de TI hoje vigentes na COMPANHIA X.
4.10.2 Fontes para a pesquisa:
Serviram como fontes para a pesquisa, em nvel documental: os documentos
referentes aos processos de trabalho da rea de TIC; as normas tcnicas inerentes
rea de SIC; as normas internas da empresa; o documento referente ao framework
de governana COBIT 4.1. Em nvel de capital humano: o Gestor de SIC.

115
4.10.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: Os processos de TI ora praticados pela
empresa esto em conformidade com os controles recomendados pelos domnios
Aquisio e Implementao e Entrega e Suporte de Servios de TI do framework
COBIT.
4.10.4 Dados coletados
Seguem as informaes sobre os processos praticados pela TI e sua
conformidade

com os controles e recomendaes do

framework COBIT,

relacionados aos domnios Aquisio e Implementao, Entrega e Suporte de


servios. Segue na Tabela 4.10, o resultado consolidado dos dados obtidos.

Tabela 4.10 - Anlise de conformidade e maturidade dos processos de TI em

Auditado

Formalidade

Outra rea executa?

Domnios e Processos do Cobit

A TI executa?

Maturidade

Importncia

Item

relao ao COBIT (COBIT, 2000, p. 50).

Referncia - traduo do autor baseado no


COBIT (2000, p. 50)

AQUISIO E IMPLEMENTAO
1

AI1

IDENTIFICAR SOLUES
AUTOMATIZADAS

AI2

ADQUIRIR E MANTER
APLICATIVOS DE
SOFTWARE

AI3

ADQUIRIR E MANTER A
INFRA-ESTRUTURA DE
TECNOLOGIA

A necessidade para novas aplicaes ou funes


requer uma anlise antes da aquisio ou criao
para assegurar que os requerimentos do negcio
so satisfeitos numa abordagem efetiva e eficiente.
Este processo cobra a definio das necessidades,
considerando fontes alternativas, reviso da
viabilidade tecnolgica e econmica, execuo de
anlise de risco e anlise de custo / beneficio e a
concluso de uma deciso final de fazer ou
comprar. Todos estes passos habilitam a
organizao de minimizar os custos de adquirir e
implementar solues, enquanto asseguram que
estes habilitam o negcio de atingir seus objetivos.
Aplicaes devem estar disponveis em linha com os
requerimentos de negcio. Este processo envolve o
desenho de aplicaes, a incluso apropriada de
controles de aplicao e requerimentos de
segurana e o atual desenvolvimento e configurao
conforme os padres. Isso permite as organizaes
de suportar apropriadamente as operaes de
negcio com as corretas aplicaes automatizadas.
Nas Organizaes deve haver um processo para a
aquisio, implementao e atualizao da
infraestrutura tecnolgica. Isso requer uma
abordagem planejada para a aquisio, manuteno
e proteo da infraestrutura em linha com as
estratgias tecnolgicas acordadas e a proviso de
ambientes de desenvolvimento e teste. Isso
assegura que o suporte tecnolgico operacional
suporta as aplicaes de negcio.

AI4

HABILITAR A OPERAO
E USO

AI5

ADQUIRIR RECURSOS DE
TI

AI6

GERENCIAR MUDANAS

AI7

INSTALAR E
HOMOLOGAR SOLUES
E MUDANAS

Formalidade

Maturidade

Auditado

Importncia

Domnios e Processos do Cobit

Outra rea executa?

Item

A TI executa?

116

Referncia - traduo do autor baseado no


COBIT (2000, p. 50)

Conhecimento sobre novos sistemas necessita de


ser disponibilizado. Este processo requer a
produo de documentao e manuais para
usurios e TI e prover treinamento que assegura o
uso e a operao apropriado de aplicaes e
infraestrutura.
Recursos de TI, inclusive pessoas, hardware,
software e servios, necessitam ser obtidos. Isso
requer uma definio e sano de procedimentos de
aquisio, a seleo de fornecedores e a realizao
de arranjos contratuais. Fazer assim assegura que a
organizao tem todos os recursos de TI requeridos
em tempo e de maneira efetivo em custo.
Todas as mudanas, inclusive mudanas
emergenciais e correes, relacionados
infraestrutura e aplicaes dentro de um ambiente
de produo precisam ser gerenciados formalmente
de uma maneira controlada. Mudanas (incluindo
procedimentos, processos, sistemas e parmetros
de servios) precisam ser registradas, avaliadas e
autorizadas antes de implementar e revisadas em
relao dos resultados planejados em seguida da
implementao. Isso assegura a mitigao de riscos
de impactos negativos sobre a estabilidade ou
integridade de ambientes produtivos.
Novos sistemas precisam ser feitos operacionais
uma vez que o desenvolvimento completo. Isso
requer testes apropriados em um ambiente dedicado
com dados de teste relevantes, definio da
introduo e instrues de migrao, planejamento
de liberaes, promoo atual para a produo e
revises ps-implementao. Isso assegura que
sistemas operacionais esto em linha com as
expectativas e resultados acordados.

ENTREGA E SUPORTE
8

DS1

DEFINIR E GERENCIAR
NVEIS DE SERVIO

DS2

GERENCIAR SERVIOS
DE TERCEIROS

10

DS3

GERENCIAR
DESEMPENHO E
CAPACIDADE

Comunicao efetiva entre a gerncia da TI e os


clientes do negcio, em relao dos servios
requeridos, habilitado por meio da documentao
e do acordo de servios da TI e nveis de servios.
Este processo tambm inclui o monitoramento e o
reporte em tempo para os stakeholders sobre o
cumprimento dos nveis de servios. Este processo
habilita o alinhamento entre os servios da TI o os
requerimentos de negcio associados.
A necessidade de assegurar que servios providos
por terceiros atendem os requerimentos do negcio
requer um processo efetivo de gerenciamento de
terceiros. Este processo efetuado com papeis
claramente definidos, responsabilidades e
expectativas em acordos com terceiros, como
tambm com reviso e monitoramento destes
acordos para efetividade e conformidade.
Gerenciamento efetivo de servios de terceiros
minimiza os riscos de negcio associados com
fornecedores no conformes.
A necessidade de gerenciar o desempenho e a
capacidades dos recursos de TI requer um processo
para rever periodicamente o desempenho e a
capacidade atual dos recursos da TI. Este processo
inclui a previso das futuras necessidades baseada
na carga de trabalho, requerimentos de
armazenamento e de contingncia. Este processo
provm a garantia que os recursos da informtica,

Formalidade

Auditado

Outra rea executa?

Domnios e Processos do Cobit

A TI executa?

Maturidade

Importncia

Item

117

Referncia - traduo do autor baseado no


COBIT (2000, p. 50)

que suportam os requerimentos de negcio, so


continuamente avaliados.

11

DS4

ASSEGURAR A
CONTINUIDADE DO
SERVIO

12

DS5

GARANTIR A
SEGURANA DOS
SISTEMAS

13

DS6

IDENTIFICAR E ALOCAR
CUSTOS

14

DS7

EDUCAR E TREINAR
USURIOS

15

DS8

GERENCIAR O SERVICE
DESK E INCIDENTES

A necessidade de prover servios contnuos de TI


requer o desenvolvimento, manuteno e testes de
planos de continuidade da TI, armazenamento
externo de backup e treinamento peridico para o
plano de continuidade. Um processo efetivo da
continuidade de servio minimiza a probabilidade e o
impacto de interrupes maiores de servio sobre
funes e processos de negcio.
A necessidade de manter a integridade da
informao e proteger os ativos da TI requer um
processo de gerenciamento de segurana. Este
processo inclui estabelecer e manter papeis e
responsabilidades, polticas, padres e
procedimentos da segurana de TI. Gerenciamento
da segurana tambm inclui realizar monitoramento
da segurana, testes peridicos e implementar
aes corretivas para identificar fraquezas ou
incidentes de segurana. Um gerenciamento efetivo
de segurana proteja todos os ativos da TI para
minimizar o impacto sobre o negcio das
vulnerabilidades e incidentes de segurana.
A necessidade para um justo e imparcial sistema de
alocar custos para o negcio requer a medio
exata de custos da TI e acordos com usurios de
negcio para uma alocao correta. Este processo
inclui a criao e operao de um sistema de
captura, alocao e reporte dos custos da TI para os
usurios de servios. Um sistema justo de alocao
habilita o negcio de fazer mais decises informadas
em relao do uso de servios da TI.
Educao efetiva de todos os usurios de sistemas
de TI, incluindo estes dentro da TI, requer a
identificao das necessidades de treinamento de
cada grupo de usurios. Em adio da identificao
da necessidade, este processo inclua a definio e
execuo de uma estratgia para um treinamento
efetivo e medio de resultados. Um programa
efetivo de treinamento aumenta o uso efetivo da
tecnologia com a reduo de erros de usurios,
aumenta a produtividade e aumenta a conformidade
com controles chaves como as medidas de
segurana de usurios.
Respostas em tempo efetivos para as perguntas e
problemas dos usurios da TI requerem uma central
de servio bem desenhada e implementada e um
processo de gerenciamento de incidentes. Este
processo inclua a implementao da funo da
central de servios com registro, escalao,
tendncias, anlise de causas raiz e resoluo de
incidentes. O benefcio para o negcio inclua um
aumento de produtividade por meio da resoluo
rpido das perguntas dos usurios. Em adio, o
negcio pode enderear causas raiz (como um
pobre treinamento de usurios) por meio de um
reporte efetivo.

DS9

GERENCIAR A
CONFIGURAO

17

DS10

GERENCIAR PROBLEMAS

18

DS11

GERENCIAR DADOS

19

DS12

GERENCIAR O AMBIENTE
FSICO

20

DS13

GERENCIAR OPERAES

SG

Formalidade

Maturidade

16

Auditado

Importncia

Domnios e Processos do Cobit

Outra rea executa?

Item

A TI executa?

118

Referncia - traduo do autor baseado no


COBIT (2000, p. 50)

Assegurar a integridade da configurao de


hardware e software requer de estabelecer e manter
um preciso e completo repositrio da configurao.
Este processo inclua a coleta inicial de informao
da configurao, estabelecer referncias, verificar e
auditar a informao da configurao e atualizar o
repositrio da configurao quando necessrio.
Gerenciamento efetivo da configurao facilita a
disponibilidade maior do sistema, minimizar
assuntos de produo e resolver estes assuntos
mais rpidos.
Um gerenciamento efetivo de problemas requer a
identificao e classificao de problemas, anlise
da causa raiz e resoluo de problemas. O processo
do gerenciamento de problemas tambm inclua a
identificao de recomendaes para melhorar a
manuteno de registros de problemas e revisar o
status de aes corretivas. Um processo do
gerenciamento de problemas efetivo melhora nveis
de servio, reduz custos e melhora a convenincia e
satisfao.
Gerenciamento efetivo de dados requer a
identificao de requerimentos para dados. O
processo de gerenciamento de dados tambm inclua
estabelecer procedimentos efetivos para gerenciar a
biblioteca de mdias, backup e recuperao e
disponibilizar mdias apropriadas. Gerenciamento
efetivo de dados ajuda assegurar a qualidade,
oportunidade e disponibilidade de dados do negcio.
A proteo para equipamentos de computao e
pessoal requer instalaes bem desenhadas e bem
gerenciadas. O processo de gerenciar o ambiente
fsico inclua de definir os requerimentos para um
lugar fsico, seleo de instalaes apropriadas e
desenho efetivo dos processos para monitorar
elementos ambientais e gerenciar o acesso fsico.
Gerenciamento efetivo do ambiente fsico reduz
interrupes do negcio devida de danos nos
equipamentos de computao e no pessoal.
Processamento completo e exato de dados requer o
gerenciamento efetivo do processamento de dados
e a manuteno de hardware. Este processo inclui a
definio de polticas e procedimentos operacionais
para um gerenciamento efetivo da programao do
processamento, proteo de output sensitivo,
monitoramento da infraestrutura e manuteno
preventiva de hardware. Gerenciamento efetivo da
operao ajuda de manter a integridade de dados e
reduz atrasos no negcio e custos da operao da
TI.

Legenda:
Importncia: O quanto importante para a organizao - 1 (no importante); 2 (pouco importante); 3 (importante); 4 (mdia
importncia); 5 (muito importante).
Grau de Maturidade: 0 (Inexistente - No so aplicados processos de gesto); 1 (Inicial
hoc) e no organizados; 2 (Repetitivo

- Os processos so eventuais (ad

- Os processos seguem um padro regular); 3 (Definido

documentados e divulgados); 4 (Gerenciado

Os

processos

esto

- Os processos so monitorados e mensurados); 5 (Otimizado - As melhores

prticas so seguidas e automatizadas.


Responsabilidade por executar o processo: rea de TI ou outra rea.
O processo Auditado: Sim (S), No (N) ou ?;

Formalidade

Auditado

Outra rea executa?

Domnios e Processos do Cobit

A TI executa?

Maturidade

Importncia

Item

119

Referncia - traduo do autor baseado no


COBIT (2000, p. 50)

O processo est formalizado: Existe um contrato, um Acordo de Nvel de Servio (ANS) ou um procedimento claramente
documentado (Sim (S), No (N) ou ?).

4.11 Modelagem, Simulao e Dinmica de Sistemas


Para facilitar a anlise dos dados na rea de modelagem, simulao e
dinmica de sistemas foi realizado um levantamento de dados em um estudo de
caso com a seguinte questo de pesquisa: Utilizando-se a dinmica de sistemas
possvel construir um modelo que explique e relacione o prestgio do gestor, com o
desenvolvimento de novos sistemas e com a segurana da informao e
comunicaes?.
4.11.1 Tpicos tericos estudados e objetos pesquisados
Foram estudados os aspectos tericos sobre modelagem, simulao e
dinmica de sistemas, dentre esses: Pensamento sistmico, Diagramas de Ciclos de
Causalidade, Diagramas de Estoques e Fluxo, Ciclos de Reforo e Equilbrio, e
Arqutipos.
Foram coletadas informaes sobre:
As principais vulnerabilidades, controles de segurana e ataques
sofridos por seus principais sistemas;
Informaes sobre a metodologia de desenvolvimento de sistemas;
Os custos realizados pelo gestor para manter a segurana e a
disponibilidade de seus principais sistemas; e
A disponibilidade dos sistemas.
O modelo de simulao do sistema que relaciona as variveis prestgio
do gestor, vulnerabilidades, sistemas, ataques, controles, custos e
disponibilidade.

120
4.11.2 Fontes para a pesquisa
Serviram como fontes para a pesquisa, em nvel documental: um conjunto de
dados pesquisados na organizao e as normas internas que regulam os sistemas.
Em nvel de capital humano: o Gestor de SIC.
4.11.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: A implementao de controles para
prevenir a indisponibilidade de sistemas e reduzir as vulnerabilidades do ambiente
faz com que o prestgio do gestor da organizao aumente.
4.11.4 Dados coletados
Seguem abaixo os resultados consolidados dos dados obtidos.
R: Durante a pesquisa foram denotadas inmeras vulnerabilidades, em que
algumas j eram de conhecimento da equipe de gesto de SIC, e outras foram
explicitadas. Para cada vulnerabilidade denotada acentuou-se a existncia ou
necessidade de implementao de um controle especfico. Porm, ainda no foram
confeccionados os planos de ao para a implementao para a maioria dos
controles. Contudo, o que j foi implementado foi de maneira planejada seguindo
uma linha estratgica. Esse item influi de forma positiva no prestgio do gestor, pois
os usurios entendem as dificuldades a serem subjugadas por uma empresa pblica
para aquisio e implementao de solues.
Quanto s informaes sobre possveis ataques que explorassem as
vulnerabilidades aos ativos informacionais no foram encontrados dados histricos
documentados e nem um processo formalmente institudo que tratasse a questo.
H um controle forte de preveno contra vrus e demais malwares (software mal
intencionados) com uma poltica de utilizao de antivrus, com atualizao
constante, atualizao de demais softwares bsicos e aplicativos das estaes de
trabalho e servidores e dos software de firmware (software utilizado internamente em
placas controladoras de dispositivos de hardware) necessrios. Denota-se aqui a
premncia de instituio de uma Equipe de Tratamento de Incidentes em Redes
Computacionais (ETIR) e definio de seus procedimentos e tarefas. Salienta-se
que o feedback passado para o gestor de TI sobre o nvel de segurana adotado na
empresa muito bom e a maioria dos usurios confia na segurana da infraestrutura
de TI.

121
A questo dos custos e oramentos levada bem a srio e so observados
perodos especficos para a confeco do oramento e execuo do mesmo. Porm
no h uma rubrica especfica para SIC. O gestor de TI centraliza o oramento de TI
das outras reas e ajuda na elaborao de instrumentos que norteiem o processo
licitatrio e de compra das diversas solues necessrias para a empresa. Essa
questo tambm ajuda para elevar o prestgio do gestor.
Quanto disponibilidade dos produtos e servios h uma grande
preocupao

que

seja

garantida

caractersticas

e/ou

nveis

bsicos

de

disponibilidade para todos os produtos e servios, porm essa questo encontra


inmeras dificuldades, tais como:
problemas

oramentrios, de execuo de servios por parte de

fornecedores no comprometidos com o servio contratado e/ou oferecido;


questes inerentes gesto de recursos humanos no que diz respeito
disponibilidade de recursos para execuo das tarefas e projetos de forma
que sempre se tenha um backup humano para a execuo de qualquer tarefa
crtica para o negcio; isto , no deve existir tarefa que s seja executada
por uma determinada pessoa.
Agora no que diz respeito disponibilidade de recursos de hardware e
software, sempre que possvel, utilizam-se de recursos que tenham redundncia e
permitam um nvel especfico de resilincia, como por exemplo, utilizao de
servidores que disponham de duas fontes de alimentao, utilizem tecnologia RAID
(Redundant Array of Inexpensive Disks), utilizao de mais de um servidor para a
execuo de tarefas crticas e utilizao de recursos de virtualizao, para tambm
se trabalhar com a resilincia dos servios. Devido tentativa de sempre pensar na
disponibilidade necessria para a infraestrutura de TI salienta-se que essa questo
tambm colabora para o prestgio do gestor.

4.12 Gerenciamento das Operaes e Comunicaes


Para facilitar a anlise dos dados na rea de gerenciamento das operaes e
comunicaes foi realizado um levantamento de dados em um estudo de caso com
a seguinte questo de pesquisa: Como est a adequao da implementao dos
controles, como definidos na seo 10 da norma ABNT 27002 (2005), na
COMPANHIA X?.

122
4.12.1 Tpicos tericos estudados e objetos pesquisados
Foram estudados todos os aspectos da seo 10 Gerenciamento das
Operaes e Comunicaes, da norma da ABNT 27002 (2005).
Foram coletadas informaes sobre:
A gesto de TI; e
A

implementao

de

controles

relacionados

ao

processo

de

gerenciamento de operaes e comunicaes;


4.12.2 Fontes para a pesquisa
Serviram como fontes para a pesquisa, em nvel documental: os documentos
que norteiam o processo de gerenciamento das operaes e comunicaes na
organizao; as normas tcnicas inerentes rea de SIC, mais especificamente a
norma ABNT 27002 (2005); a legislao pertinente ao assunto; registros e
documentos sobre a organizao; registros e documentos sobre a funo, misso,
clientes e intervenientes; registros e documentos sobre a Gesto de Tecnologia da
Informao. Em nvel de capital humano: o Gestor de SIC, que tambm o Gestor
de TI da organizao.
4.12.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: Os requisitos de controle de segurana
da informao e comunicaes, relacionados ao gerenciamento de operaes e
comunicaes esto adequados para a COMPANHIA X..
4.12.4 Dados coletados
Seguem as informaes sobre o processo de gerenciamento de operaes e
comunicaes e a anlise de conformidade dos controles relacionados segurana
da informao e comunicaes, a fim de se determinar se esto em conformidade
com as recomendaes e requisitos de segurana preconizados pela norma ABNT
27002 (2005). Segue, na Tabela 4.11, a consolidao das entrevistas realizadas.

Tabela 4.11 - Anlise de conformidade em relao ao Gerenciamento das


Operaes e Comunicaes.
Controle

Item

Documentao
dos procedimentos
de operao
(A.10.1.1)

1.1

1.2

Perguntas

Existem instrues detalhadas para


execuo, processamento e
tratamento da informao?
So estipulados requisitos de

Valores
Referncia
Apurado

Classificao

Peso

Aderncia (%)

15

0,0

15

33,3

123
Controle

Item

1.3

1.4

1.5

1.6

Controle de
mudanas
operacionais
(A.10.1.2)

2.1

2.2

2.3

2.4

Segregao de
funes (A.10.1.3)

3.1
3.2

3.3

Separao dos
ambientes de
desenvolvimento e
de produo
(A.10.1.4)

4.1

4.2

4.3

4.4

4.5

Gesto de
recursos

5.1

Perguntas

sincronismo e interdependncia com


outros sistemas, incluindo hora mais
cedo de incio e a hora mais tarde de
trmino?
Existem instrues para tratamento
de erros e excees e restrio de
uso dos recursos do sistema?
possvel o contato com tcnicos do
suporte para casos de dificuldades
tcnicas ou problemas no sistema?
Existem instrues para
movimentao de sada de produtos
especiais com utilizao de
formulrios apropriados?
So estipulados procedimentos para
reincio e recuperao para o caso de
falha no sistema?
Existe um controle satisfatrio de
todas as mudanas de equipamentos,
software ou procedimentos?
Os programas que esto em
produo esto submetidos a um
controle especfico de modificaes?
mantida uma trilha de auditoria
quando da mudana de programas,
com todas as informaes
relevantes?
Ocorre identificao e registro de
modificaes significativas? Alm
disso, prossegue-se com avaliao
de impacto potencial de tais
mudanas?
A auditoria de segurana permanece
como uma atividade independente?
Atividades que requeiram
cumplicidade e para a concretizao
de uma fraude so segregadas?
Exemplo: emisso de um pedido de
compra e a confirmao do
recebimento da compra.
So tomadas providncias para
diminuir a possibilidade de conluios
fazendo o planejamento de controles
que envolvam duas ou mais
pessoas?
So tomadas providncias para que o
pessoal de desenvolvimento e testes
no introduzam cdigos no testados
ou no autorizados no ambiente de
produo, ou mesmo alterem os
dados reais do sistema?
So tomados cuidados no acesso por
parte do pessoal de desenvolvimento
e testes, ao ambiente de produo,
no que diz respeito a acesso a
informaes confidenciais?
Os software em desenvolvimento e
os software em produo so
rodados em processadores
diferentes, domnios diferentes e
diretrios diferentes?
So mantidos inacessveis ao
ambiente de produo, os editores,
compiladores e outros programas e
utilitrios, caso no sejam
necessrios?
Os usurios usam senhas diferentes
e as telas de abertura exibem
mensagens de identificao
apropriada nos diferentes ambientes?
As aplicaes crticas e sensveis e
que precisam ser processadas

Valores
Referncia
Apurado

Classificao

Peso

Aderncia (%)

15

0,0

15

10

66,7

0,0

15

33,3

15

10

66,7

66,7

33,3

15

33,3

15

33,3

15

10

66,7

15

10

66,7

15

10

66,7

15

10

66,7

15

15

100,0

15

15

100,0

66,7

33,3

124
Controle

Item

terceirizados
(A.10.2.1 a
A.10.2.3)

5.2

5.3
5.4

5.5

Planejamento de
capacidade
(A.10.3.1)

6.1

6.2

6.3

Aceitao de
sistemas
(A.10.3.2)

7.1

7.2

7.3

7.4

7.5

7.6

Controles contra
software malicioso
(A.10.4.1)

8.1

8.2

8.3

8.4

8.5

Perguntas

internamente so identificadas?
obtida a aprovao dos gestores ou
responsveis pelos processos e
sistemas?
So vistas as implicaes no plano
de continuidade do negcio?
So estabelecidas normas de
segurana e a conformidade com
essas normas so verificadas?
So estabelecidos procedimentos e
estabelecidas as responsabilidades
no que diz respeito a reportar e tratar
incidentes de segurana?
Os requisitos operacionais dos novos
sistemas so estabelecidos,
documentados e testados antes da
sua aceitao e uso?
As demandas de capacidade so
monitoradas e as produes de carga
de produo futura so feitas de
modo a garantir a disponibilidade da
capacidade adequada de
processamento e armazenamento?
As projees levam em considerao
os requisitos de novos negcios e
sistemas e as tendncias atuais e
projetadas do processamento de
informao da organizao?
Os requisitos de desempenho e de
demanda de capacidade
computacional so levados em
considerao?
So estabelecidos controles para
recuperao de erros, procedimentos
de reinicializao e planos de
contingncia?
So estabelecidos padres
operacionais para os novos
sistemas? Estes procedimentos so
testados?
So coletadas evidncias que o novo
sistema no afetar de forma adversa
os sistemas j existentes,
principalmente em perodos de pico
de demanda de processamento?
Foi considerado o impacto do novo
sistema na segurana da organizao
como um todo?
Foi considerado a necessidade de
treinamento e uso adequado do novo
sistema?
Existe uma poltica formal que exija
conformidade com as licenas de uso
de software e que proba o uso de
software no autorizado?
Existe uma poltica formal para
proteo de riscos associados
importao de arquivos e software?
Foi feita a instalao de software de
deteco e remoo de vrus cuja
atualizao seja regular?
So feitas anlises crticas regulares
de software e de dados dos sistemas
que suportam processos crticos do
negcio? A presena de qualquer
arquivo ou autorizao no
autorizada deve ser formalmente
investigada.
feita a verificao de qualquer
arquivo recebido em meio magntico
vindo de origem desconhecida ou no
autorizada? O mesmo ocorre em

Valores
Referncia
Apurado

Classificao

Peso

Aderncia (%)

15

10

66,7

15

0,0

15

33,3

15

33,3

15

33,3

15

33,3

15

33,3

15

10

66,7

15

10

66,7

15

33,3

15

33,3

15

0,0

15

33,3

15

10

66,7

15

33,3

15

15

100,0

15

10

66,7

15

15

100,0

125
Controle

Item

8.6

8.7

Cpias de
segurana
(A.10.5.1)

9.1

9.2

9.3

9.4

9.5

9.6

9.7

9.8

Registros de
operao

10.1

10.2

Perguntas

arquivos recebidos por email ou


importados de outras fontes? A
verificaes ocorrem nos servidores
da rede, nas estaes pessoais e
etc?
O plano de contingncias contempla
procedimentos adequados para
recuperao em caso de ataques de
vrus, incluindo procedimentos para
salva e recuperao dos dados
Existem procedimentos para a
verificao de toda informao
relacionada a software malicioso e
garantia de que os alertas sejam
precisos e informativos?
Cpias de segurana dos dados e
software essenciais ao negcio so
feitas regularmente?
So disponibilizados recursos e
instalaes alternativos para garantir
que todos os dados e sistemas
aplicativos essenciais ao negcio
possam ser recuperados aps um
desastre?
Os backups de sistemas individuais
so testados regularmente, de
maneira a satisfazer os requisitos
estipulados no plano de continuidade
do negcio?
Um nvel mnimo de cpias de
segurana, juntamente com um
controle consistente e atualizado
dessas cpias e com a
documentao dos procedimentos de
recuperao, so mantidos em um
local remoto, a uma distncia
suficiente para livr-lo de qualquer
dano que possa ocorrer na instalao
principal?
So dadas s cpias de segurana
um nvel adequado de proteo fsica
e ambiental compatveis com o
ambiente principal? Os controles
adotados para as mdias no ambiente
secundrio so equivalentes aos
adotados no ambiente principal?
As mdias utilizadas para as cpias
so periodicamente testadas, a fim de
se garantir a confiabilidade?
Os procedimentos de recuperao
so verificados e testados
periodicamente para assegurar que
sejam efetivos e que possam ser
aplicados integralmente dentro dos
prazos estipulados para
recuperao?
So especificados perodos de
reteno para informaes essenciais
ao negcio? Existem requerimentos
para arquivamento de cpias de
segurana com reteno
permanente?
Os registros do pessoal de operao
incluem horrio de incio e fim dos
processamentos, erros e aes
corretivas adotadas nos
processamentos, confirmao do
correto tratamento dos arquivos de
dados e dos resultados gerados nos
processamentos e identificao de
quem est efetuando a operao?
Os registros de atividades dos

Valores
Referncia
Apurado

Classificao

Peso

Aderncia (%)

15

33,3

15

33,3

15

15

100,0

15

10

66,7

15

33,3

15

10

66,7

15

33,3

15

0,0

15

33,3

15

33,3

0,0

0,0

126
Controle

Controles da rede
(A.10.6.1)

Item

11.1

11.2

11.3

11.4

Gerenciamento de
mdias removveis
(A.10.7.1)

12.1

12.2

Descarte de
mdias (A.10.7.2)

13.1

13.2

Procedimentos
para tratamento de
informao
(A.10.7.3)

14.1

14.2

14.3

14.4

14.5

Segurana da
documentao dos
sistemas
(A.10.7.4)

15.1
15.2

15.3

Acordos para a
troca de

16.1

Perguntas

operadores so submetidos
checagem regular e independente?
A responsabilidade operacional sobre
a rede segregada da operao dos
computadores?
So estabelecidos procedimentos e
responsabilidades para o
gerenciamento de equipamentos
remotos, incluindo equipamentos nas
instalaes dos usurios?
So estabelecidos controles
especiais para salvaguardar a
confidencialidade e integridade dos
dados dos dados que trafegam por
redes pblicas, e para proteger os
respectivos sistemas?
Existem controles especiais que
mantenham a disponibilidade dos
servios de rede e dos computadores
conectados?
O contedo de qualquer meio
magntico, quando no mais
necessrio organizao e quando
venha a ser retirado da empresa,
apagado?
solicitada autorizao para retirada
de qualquer mdia da organizao?
mantida uma trilha de auditoria
dessas solicitaes?
As mdias que contm informaes
sensveis so descartadas de forma
segura e protegida? Exemplos de
mdias: documentos em papel;
gravao de voz ou de outro tipo;
relatrios impressos; fitas
magnticas; discos removveis e
cartuchos; meio de armazenamento
tico; listagem de programas; dados
de teste; documentao de sistemas.
O descarte de itens sensveis
registrado, mantendo uma trilha de
auditoria?
Todos os meios magnticos so
tratados e identificados indicando o
nvel de classificao?
H restrio de acesso para prevenir
o acesso de pessoas no
identificadas ou autorizadas?
Existe um registro formal dos
destinatrios autorizados dos dados?
Existe uma anlise crtica e peridica
desta lista?
Pode-se garantir que a entrada de
dados completa, o processamento
seja devidamente concludo e que as
sadas sejam validadas?
As mdias so armazenadas em
ambientes compatveis com as
especificaes dos fabricantes?
A documentao dos sistemas
guardada de forma segura?
Existe uma relao das pessoas
autorizadas pelo gestor da aplicao
a terem acesso documentao do
sistema? Existe a preocupao dessa
lista ser a menor possvel?
Documentaes de sistemas
mantidas ou fornecidas por redes
pblicas so protegidas de forma
apropriada?
So definidas responsabilidades pelo
controle e comunicao de

Valores
Referncia
Apurado

Classificao

Peso

Aderncia (%)

15

15

100,0

15

10

66,7

15

15

100,0

15

15

100,0

15

15

100,0

33,3

15

33,3

15

0,0

15

15

100,0

15

10

66,7

15

0,0

15

10

66,7

15

10

66,7

15

10

66,7

15

10

66,7

66,7

15

33,3

127
Controle

Item

informaes e
software
16.2

16.3
16.4
16.5

Segurana de
mdias em trnsito
(A.10.8.3)

17.1

17.2

17.3

Segurana do
comrcio
eletrnico
(A.10.9.1)

18.1

18.2

18.3

18.4

18.5

Riscos de
segurana

19.1

19.2

Perguntas

transmisses, expedies e
recepes?
So estabelecidos padres tcnicos
mnimos para embalagem e
transmisso?
estabelecido um padro para
identificao dos portadores?
So estabelecidas responsabilidades
e nus no caso de perda de dados?
So estabelecidos controles
especiais para proteo de itens
sensveis, tais como chaves
criptogrficas?
A utilizao de transporte ou de
servio de mensageiro confivel?
definida uma relao de portadores
autorizados em concordncia com os
gestores? Existe um procedimento
para identificao dos portadores?
A embalagem suficiente para
proteger o contedo contra qualquer
dano fsico que possa ocorrer durante
o transporte? A embalagem e
transporte feito de acordo com
especificaes dos fabricantes?
So adotados controles especiais,
quando se fazem necessrios, para
proteger informaes crticas contra
divulgao no autorizada ou
modificaes? Exemplo: uso de
assinatura digital e de criptografia,
diviso do contedo para mais de
uma entrega e expedio por rotas
distintas, entrega em mos.
Em relao autenticao,
requerido um nvel de confiana pelo
cliente e pelo comerciante para se
garantir a identidade de cada um?
Existe autorizao para quem pode
estabelecer preos, emitir ou assinar
documentos comerciais chave? Os
parceiros do negcio tomam
conhecimento disto?
Existem requisitos de
confidencialidade, integridade e prova
de envio e recebimento de
documentos-chave?
Os sistemas comerciais pblicos
divulgam seus termos comerciais
para seus clientes?
considerada a capacidade de
resilincia a ataques dos
computadores centrais utilizados no
comrcio eletrnico e as implicaes
na segurana de qualquer conexo
que seja necessria na rede de
telecomunicaes para sua
implementao?
Foram criados controles para se
reduzir riscos tais como:
vulnerabilidade das mensagens ao
acesso no autorizado, modificao
ou negao do servio;
vulnerabilidade a erros tais como
endereamento e direcionamento
incorretos, falta de confiabilidade e
disponibilidade do servio; impacto da
mudana do meio de comunicao
nos processos do negcio, tal como o
aumento da velocidade dos
encaminhamentos?
So levadas em considerao

Valores
Referncia
Apurado

Classificao

Peso

Aderncia (%)

15

33,3

15

0,0

15

0,0

15

0,0

15

33,3

15

0,0

15

0,0

0,0

0,0

0,0

0,0

0,0

15

10

66,7

15

0,0

128
Controle

Item

19.3

19.4

Poltica de uso do
correio eletrnico
(A.10.8.1)

20.1

20.2

20.3

20.4

20.5

20.6

Segurana dos
sistemas
eletrnicos de
escritrio
(A.10.8.5)

21.1

21.2

21.3

21.4

21.5

21.6

Sistemas
disponveis
publicamente
(A.10.9.3)

22.1

22.2

22.3

Perguntas

questes legais relacionadas a


necessidade potencial de prova de
origem, envio, entrega e aceitao?
tomado cuidado com as
implicaes da divulgao externa de
listas de funcionrios?
Existe algum controle sobre o acesso
dos usurios remotos s contas de
correio eletrnico?
So divulgadas informaes quanto
ataques ao correio eletrnico por
vrus e possibilidades de
interceptao?
So divulgadas informaes quanto
proteo de anexos de correio
eletrnico?
Os funcionrios recebem orientao
de quando no se deve utilizar o
correio eletrnico?
Os funcionrios tm cincia de suas
responsabilidades quando do envio
de mensagens difamatrias, uso do
correio eletrnico para atormentar
pessoas ou fazer compras no
autorizadas?
So utilizadas tcnicas de criptografia
para proteger a confidencialidade e
integridade das mensagens
eletrnicas?
H uma preocupao quanto
necessidade de reteno de
mensagens que, se guardadas
podem ser utilizadas em caso de
litgio?
Existe a preocupao quanto a
vulnerabilidades da informao nos
sistemas de escritrio, como por
exemplo, gravao de chamadas
telefnicas, confidencialidade das
chamadas, armazenamento de faxes,
abertura de correio, distribuio de
correspondncia?
Existe uma poltica e controles
apropriados para gerenciar o
compartilhamento de informaes?
Ocorre a restrio de acesso a
informaes de trabalho relacionadas
com indivduos especficos, ou a
grupos de trabalho de projetos
sensveis?
Existe uma categorizao de
funcionrios, fornecedores ou
parceiros nos negcios autorizados a
usar o sistema e as localidades a
partir das quais se obtm acesso aos
mesmos?
Ocorre a reteno e cpia de
segurana das informaes mantidas
no sistema?
So estabelecidos requisitos e
acordos de recuperao e
contingncia?
Existe um processo de autorizao
formal antes da publicao de uma
informao?
Software, dados e outras informaes
que requeiram um alto nvel de
integridade, expostos em um sistema
pblico, esto protegidos por
mecanismos apropriados tais como
assinaturas digitais?
No caso de sistemas de publicao

Valores
Referncia
Apurado

Classificao

Peso

Aderncia (%)

15

15

100,0

15

15

100,0

15

33,3

15

33,3

15

33,3

15

10

66,7

15

0,0

15

10

66,7

15

33,3

15

10

66,7

15

15

100,0

15

10

66,7

15

15

100,0

15

10

66,7

15

10

66,7

15

10

66,7

15

10

66,7

129
Controle

Item

22.4

Perguntas

eletrnica que permitam retorno


(feedback) e entrada direta de
informao existe o cuidado de que: a
informao seja obtida em
conformidade com a legislao
relacionada proteo de dados; a
entrada e o processamento de dados
seja feita na forma completa e no
devido tempo; as informaes
sensveis sejam protegidas durante o
processo de coleta e quando
armazenadas?
Existe a preocupao, no caso de
sistemas que divulguem informaes,
que no se permita o acesso casual
s redes nas quais esses sistemas
estejam conectados?

Classificao

Peso

Aderncia Geral: "Gesto das Operaes e Comunicaes"

Valores
Referncia
Apurado

Aderncia (%)

15

15

100,0

1302

658

50,5

Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa aus ncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.

Seguem abaixo outras questes que tambm serviram de suporte para a


pesquisa, com suas respostas:
1) Seguem os dados sobre a Gesto de TI na organizao:
a) H compreenso, dentro da organizao, da influncia da gesto de TI no
cumprimento de sua misso?
R: Sim. Uma boa parte da organizao tem conscincia de que a gesto de TI
importante para o trabalho de todos.
b) A alta administrao v a gesto de TI como elemento estratgico da
organizao?
R: Sim, mas ainda no como seria necessrio.
c) Como so vistos os investimentos em gesto de TI pela organizao? Esses
investimentos so associados aos resultados da organizao?
R: So associados. Os investimentos so sempre bem aceitos. A empresa
associa mais os resultados aos recursos humanos que ela tem.
d) A cultura organizacional relaciona a gesto de TI aos riscos organizacionais?
R: Sim.

130
e) Existe a compreenso de que a gesto de TI da organizao elemento
central da segurana da informao?
R: A empresa ainda no tem compreenso total do que SIC.
f) Como as falhas em elementos da gesto de TI afetam a prestao de
servios e confiabilidade da organizao?
R: Uma m gesto de TI no garantir que os produtos e servios de TI
necessrios ao negcio sejam entregues e estejam disponveis quando
necessrios.
g) Qual a relao entre a eficincia da organizao e sua gesto de TI?
R: A gesto de TI visa atender a todos os requisitos do negcio, da maneira
mais eficaz e eficiente possvel, com o menor nvel de risco. Como todas as
reas da empresa utilizam-se de recursos computacionais, h uma relao
total de uma boa gesto de TI, com a eficincia da organizao.
h) Os processos e procedimentos relacionados a gesto de TI so repetveis?
Esto definidos? So gerenciados utilizando mtricas? So otimizados
segundo as mtricas adotadas?
R: Ainda no. Estamos em processo de implantao das melhores prticas de
gerenciamento e governana de TI.

4.13 Criptografia e Infraestrutura de Chaves Pblicas


Para facilitar a anlise dos dados na rea de Criptografia e Infraestrutura de
Chaves Pblicas foi realizado um levantamento de dados em um estudo de caso
com a seguinte questo de pesquisa: A criptografia utilizada de maneira
adequada na COMPANHIA X?.
4.13.1 Tpicos tericos estudados e objetos pesquisados
Foram estudados todos os aspectos da utilizao de criptografia na
organizao.
Foram coletadas informaes sobre:
A utilizao da criptografia na organizao;
A utilizao e disponibilizao de recursos tecnolgicos criptogrficos;
A utilizao de recursos criptogrficos em stios Web e em outros
sistemas de informao; e
Incidentes de segurana inerentes aos sistemas criptogrficos.

131
4.13.2 Fontes para a pesquisa:
Serviram como fontes para a pesquisa, em nvel documental: os documentos
que norteiam a rea de SIC; as normas tcnicas inerentes rea de SIC; a
legislao pertinente ao assunto. Em nvel de capital humano: o Gestor de SIC.
4.13.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: A utilizao de recursos criptogrficos
est adequada e suficiente para viabilizar e assegurar a SIC na COMPANHIA X..
4.13.4 Dados coletados
Seguem as informaes sobre a implementao de controles relacionados
criptografia, a fim de se determinar se esto em conformidade com as
recomendaes e requisitos de segurana preconizados pela norma ABNT 27002
(2005). Segue, na Tabela 4.12, a consolidao das entrevistas realizadas.

Tabela 4.12 - Anlise de conformidade em relao utilizao de recursos


criptogrficos.
Domnio

Criptografia

Controle

Poltica para
o uso de
controles de
criptografia
(A.12.3.1)

Item

7.1

7.2

7.3

7.4

Criptografia
(A.12.3.1)

8.1

Valores
Referncia Apurado

Aderncia
(%)

Perguntas

Classificao

Peso

Foi efetuada uma avaliao de


riscos para determinar o nvel de
proteo que deve ser dado
informao?
A avaliao citada acima foi
utilizada para determinar se um
controle criptogrfico apropriado,
que tipo de controle deve ser
aplicado e para que propsito e
processos do negcio?
Foi desenvolvida uma poltica de
uso de controles de criptografia
para a proteo das informaes?
Ela necessria para se maximizar
os benefcios e minimizar os riscos
das tcnicas criptogrficas e para
se evitar o uso imprprio ou
incorreto.
No desenvolvimento da poltica,
foram considerados: enfoque da
direo frente ao uso dos controles
de criptografia por meio da
organizao; enfoque utilizado para
o gerenciamento de chaves,
incluindo mtodos para tratar a
recuperao de informaes
criptografadas em casos de chaves
perdidas, expostas ou danificadas;
regras e responsabilidades; normas
a serem adotadas para a efetiva
implementao por meio da
organizao (qual soluo
utilizada para qual processo do
negcio)?
A avaliao de risco foi utilizada
para se identificar o nvel
apropriado de proteo e levou-se

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

132
Domnio

Controle

Item

8.2

8.3

8.4

8.5

Assinatura
digital
(A.12.3.1)

9.1

9.2

9.3
9.4

9.5

9.6

Gerenciame
nto de
chaves Proteo de
chaves
criptogrfica
s (A.12.3.2)

10.1

10.2
10.3

10.4

Perguntas

em conta o tipo e a qualidade do


algoritmo de codificao a ser
utilizado e o tamanho das chaves
criptogrficas a serem utilizadas?
Foi dada ateno s
regulamentaes e restries
nacionais que possam ter
implicaes no uso das tcnicas
criptogrficas em diferentes partes
do mundo e com o fluxo de
informaes codificadas alm da
fronteira?
Foram considerados os controles
aplicados exportao e
importao de tecnologias de
criptografia?
Foi procurada assessoria
especializada para a identificao
do nvel de proteo apropriado,
para seleo dos produtos mais
adequados que fornecero a
proteo necessria e a
implementao de um sistema
seguro de gerenciamento de
chaves?
Foi procurada assessoria legal para
expedio de parecer no que diz
respeito s leis e regulamentaes
aplicveis organizao que
pretende usar criptografia?
Existe a necessidade de se
verificar quem assinou um
documento eletrnico e checar se o
contedo de um documento
eletrnico assinado foi modificado?
So tomados cuidados para se
proteger a confidencialidade da
chave privada? Convm que esta
chave seja mantida em segredo.
tomado cuidado com a
integridade da chave pblica?
As chaves criptogrficas usadas
para assinaturas digitais so
diferentes daquelas usadas para
criptografia?
So levadas em considerao
qualquer legislao relacionada s
condies sob as quais uma
assinatura digital possui valor
legal?
Foi buscado um aconselhamento
legal que levou em considerao
as leis e regulamentaes que se
aplicam s organizaes que
pretendem usar assinaturas
digitais?
Foi implantado um sistema de
gerenciamento de chave que
suporte o uso, pela organizao, da
tcnica de criptografia de chave
secreta?
garantido que as chaves secretas
so mantidas em segredo?
Foi implantado um sistema de
gerenciamento de chave que
suporte o uso, pela organizao, da
tcnica de criptografia de chave
pblica?
Todas as chaves so protegidas
contra modificao e destruio e
protegidas contra divulgao no
autorizada?

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

33,3

15

33,3

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

33,3

15

10

66,7

133
Domnio

Controle

Gerenciame
nto de
chaves Normas,
procediment
os e
mtodos
(A.12.3.2)

Valores
Referncia Apurado

Aderncia
(%)

Item

Perguntas

Classificao

Peso

10.5

Existe proteo fsica para


equipamentos usados na gerao,
armazenamento e arquivamento de
chaves?
Foram criadas normas
procedimentos e mtodos que
tratem: da gerao de chaves para
diferentes sistemas criptogrficos e
diferentes aplicaes; gerao e
obteno de certificados de chave
pblica; distribuio de chaves para
usurios predeterminados,
incluindo como as chaves devem
ser ativadas quando recebidas;
armazenamento de chaves;
modificao ou atualizao de
chaves; tratamento de chaves
comprometidas; revogao de
chaves; recuperao de chaves
perdidas ou corrompidas visando o
gerenciamento da continuidade do
negcio; arquivamento de chaves;
destruio de chaves; registros e
logs de auditoria das atividades
com as chaves?
As chaves tm datas de ativao e
desativao definidas para que s
possam ser utilizadas no perodo
estipulado?
So considerados procedimentos
legais para acessar chaves
criptogrficas caso seja necessria
a apresentao de informao
descriptografada como evidncia
no julgamento de uma causa?
So utilizados certificados de
chaves pblicas para evitar que
algum falsifique uma assinatura
digital por meio da troca da chave
pblica do usurio pela sua
prpria?
O processo que gerou o certificado
de chave pblica confivel?
Os Acordos de Nvel de Servio ou
contratos com fornecedores
externos de servio de criptografia
cobrem questes relacionadas com
a responsabilidade civil, a
confiabilidade dos servios e o
tempo de resposta para o
fornecimento dos servios
contratados?

15

10

66,7

15

0,0

15

10

66,7

15

0,0

15

0,0

15

10

66,7

15

0,0

390

55

14,1

11.1

11.2

11.3

11.4

11.5
11.6

Aderncia Geral: "Criptografia e Infraestrutura de Chaves Pblicas"

Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.

Seguem abaixo outras questes que tambm serviram de suporte para a


pesquisa, com suas respostas:

134
1) Sobre a organizao
a) A sua organizao precisa usar criptografia?
R: Sim.
b) Que servios da sua organizao precisam de criptografia?
R: Para utilizao de dispositivos mveis (notebooks, pendrives, etc.);
Email.
c) Que informaes e documentos da sua organizao precisam de
criptografia?
R: Todos os documentos com algum nvel de sigilo e que precisassem
ficar armazenados em dispositivos mveis.
d) Que tipo de criptografia? Simtrica? Assimtrica? Funes de hash?
R: Principalmente a assimtrica.
e) Que

requisitos?

Confidencialidade,

Autenticidade,

no

repdio,

integridade, anonimato?
R: Confidencialidade, autenticidade e integridade.
f) Porque tais servios precisam de criptografia?
R: Pela sensitividade das informaes tratadas e, tambm, pelo fato de
serem depositrias das informaes de terceiros.
g) H plano de classificao de informao quanto ao sigilo, que permitam
orientar os usos da criptografia em sua organizao?
R: Ainda no.
h) H uma poltica para uso de criptografia na organizao?
R: No.
i) H discusses sobre o uso de criptografia na sua organizao?
R: As discusses ainda so incipientes.
2) Sobre recursos tecnolgicos criptogrficos
a) A sua organizao emprega recursos criptogrficos?
R: Sim, temos acesso seguro utilizando-se de SSL.
b) A sua organizao desenvolve recursos criptogrficos?
R: No.

135
c) A sua organizao gerencia recursos criptogrficos?
R: Sim.
d) A sua organizao adquire recursos criptogrficos?
R: Sim.
e) Que tipo de cifras sua organizao utiliza?
R: Informao no disponibilizada.
f) Os recursos criptogrficos so geridos conforme algum modelo?
R: No.
g) H necessidade de criptografia de chave privada na sua organizao?
R: Sim, pretende-se utilizar.
h) H necessidade de criptografia de chave pblica na sua organizao?
R: Sim, pretende-se utilizar.
i) A sua organizao usa os servios da ICP Brasil?
R: No.
j) H recursos humanos disponveis para gerir o uso da criptografia em sua
organizao?
R: Ainda no sabemos dos recursos que sero necessrios.
3) Sitio Web e outros sistemas de informao
a) A sua organizao usa o protocolo https para conferir sigilo as
comunicaes com os usurios do stio?
R: Sim.
b) Os

certificados

digitais

da

sua

organizao

so

gerenciados

adequadamente?
R: No so da cadeia ICP.
4) Sobre Ataques a Sistemas Criptogrficos
a) Os sistemas criptogrficos da sua organizao so muito vulnerveis a
ataques?
R: Informao no disponibilizada.
b) H medidas de proteo em discusso?
R: Sim.

136
c) H anlise de risco?
R: No.
d) H tratamento de incidentes relacionados com perda de sigilo?
R: Est em estruturao.

4.14 Segurana no Desenvolvimento de Sistemas de Informao


Para facilitar a anlise dos dados na rea de segurana no desenvolvimento
de Sistemas de Informao foi realizado um levantamento de dados em um estudo
de caso com a seguinte questo de pesquisa: Como est a adequao da
implementao dos controles, como definidos na seo 12 da norma ABNT 27002
(2005), na COMPANHIA X?.
4.14.1 Tpicos tericos estudados e objetos pesquisados
Foram

estudados

todos

os

aspectos

da

seo

12

Aquisio,

desenvolvimento e manuteno de sistemas de informao, da norma da ABNT


27002 (2005).
Foram coletadas informaes sobre:
A metodologia de desenvolvimento de sistemas;
Relacionadas SIC e sua relao com a aquisio e desenvolvimento
de sistemas; e
A implementao dos controles de SIC.
4.14.2 Tpicos tericos estudados e objetos pesquisados
Serviram como fontes para a pesquisa, em nvel documental: os documentos
que norteiam o processo de aquisio, desenvolvimento e manuteno de sistemas
de informao na organizao; as normas tcnicas inerentes rea de SIC, mais
especificamente a norma ABNT 27002 (2005); e a legislao pertinente ao assunto.
Em nvel de capital humano: o Gestor de SIC e o Responsvel pela rea de
desenvolvimento de Sistemas de Informao
4.14.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: Os requisitos de controle de segurana
da informao e comunicaes, relacionados aquisio, desenvolvimento e
manuteno de sistemas de informao esto adequados para a COMPANHIA X.

137
4.14.4 Dados coletados
Seguem as informaes sobre a implementao de controles relacionados
aquisio, desenvolvimento e manuteno de sistemas, a fim de se determinar se
esto em conformidade com as recomendaes e requisitos de segurana
preconizados pela norma ABNT 27002 (2005). Segue, na Tabela 4.13, a
consolidao das entrevistas realizadas.

Tabela 4.13 - Anlise de conformidade em relao Aquisio, Desenvolvimento e


Manuteno de Sistemas de Informao.
Valores
Referncia Apurado

Aderncia
(%)

Domnio

Controle

Item

Perguntas

Classificao

Peso

AQUISIO,
DESENVOLVIMENT
O E MANUTENO
DE SISTEMAS DE
INFORMAO

Anlise e
especificao
dos requisitos
de segurana
(A.12.1.1)

1.1

Na especificao dos
requisitos do negcio para
os novos sistemas, ou
melhorias nos sistemas j
existentes, tambm so
especificados os requisitos
de controle?
Consideraes
semelhantes so aplicadas
quando se avaliando
pacotes de software para
as aplicaes do negcio?
Os requisitos e controles
de segurana refletem o
valor, para o negcio, dos
ativos de informao
envolvidos? levado em
conta o dano potencial ao
negcio, resultante de falha
ou ausncia de segurana?
A estrutura para analisar os
requisitos de segurana e
identificar os controles que
os satisfazem est na
avaliao de risco? E no
gerenciamento de risco?
Validaes so aplicadas
na entrada das transaes
de negcio, nos dados
permanentes (nomes e
endereos, limites de
crdito, nmeros de
referncia de clientes) e
nas tabelas de parmetros
(razo de converso de
moeda, taxas de
impostos)?
Existe deteco de erros
de entrada tais como:
valores fora dos limites
aceitveis, caracteres
invlidos nos campos de
dados, dados ausentes ou
incompletos, dados
excedendo os volumes
mximos e mnimos,
controle de dados no
autorizados ou
inconsistentes?
executada uma anlise
crtica peridica dos
arquivos de dados que
confirmem sua validade e

15

10

66,7

15

10

66,7

15

10

66,7

15

0,0

15

10

66,7

15

10

66,7

0,0

1.2

1.3

1.4

Validao de
dados de
entrada
(A.12.2.1)

2.1

2.2

2.3

138
Domnio

Controle

Item

2.4

2.5

2.6

Controle do
processament
o interno reas de
risco
(A.12.2.2)

3.1

3.2

Controle do
processament
o interno Checagens e
controles
(A.12.2.2)

4.1

4.2

4.3

4.4
4.5

4.6

4.7

Autenticao
de

5.1

Perguntas

integridade?
feita inspeo das cpias
de documentos de entrada
de dados para verificar
qualquer modificao no
autorizada dos dados de
entrada?
So estabelecidos
procedimentos de resposta
validao de erros?
So definidas as
responsabilidades de todo
pessoal envolvido no
processo de entrada de
dados?
O projeto de aplicaes
garante que restries so
implementadas para
minimizar o risco de falhas
de processamento que
podem levar perda da
integridade?
So includos
procedimentos que
previnam a execuo de
programas na ordem
errada ou execuo aps
falhas no processamento
anterior?
So estabelecidos
controles de sesso para
acesso formulrios de
sistema para validao de
usurios?
So estabelecidos
controles para reconciliar o
balano dos arquivos de
dados, aps transaes de
atualizao?
So estabelecidos
controles de
balanceamento para
checagem dos balanos de
abertura contra os
balanos de fechamento
anteriores, tais como:
controles entre execuo e
totalizadores de
atualizao de arquivo?
Os dados gerados pelo
sistema so validados?
efetuada a checagem da
integridade de dados ou de
software trazidos ou
enviados entre computador
central e remoto?
efetuada checagem para
garantir que os programas
de aplicao so
executados no horrio
correto?
efetuada checagem para
garantir que os programas
esto executando na
ordem correta e terminando
em caso de falha e que o
processamento
subsequente ficar
suspenso at que o
problema esteja
solucionado?
considerada a
autenticao de

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

0,0

15

10

66,7

15

15

100,0

15

10

66,7

15

10

66,7

15

10

66,7

0,0

15

0,0

15

10

66,7

0,0

15

10

66,7

0,0

15

10

66,7

139
Domnio

Controle

Item

mensagem
(A.12.2.3)

5.2

5.3

Validao dos
dados de
sada
(A.12.2.4)

6.1

6.2

6.3

6.4

6.5

Poltica para
o uso de
controles de
criptografia
(A.12.3.1)

7.1

7.2

7.3

Perguntas

mensagens para
aplicaes em que exista
requisitos de segurana
para proteger a integridade
do contedo da
mensagem, por exemplo:
transferncia eletrnica de
fundos, especificaes,
contratos, propostas e
outros com importncia
significativa?
Foi efetuada uma avaliao
de riscos de segurana
para determinar se a
autenticao de
mensagens necessria e
para identificar o mtodo
mais apropriado de
implementao?
Tcnicas de criptografia
so utilizadas como meios
apropriados de
implementao de
autenticao de
mensagem?
efetuada a verificao de
plausibilidade pata testar
se o dado de sada
razovel?
So utilizados contadores
de controle de
reconciliao, que
garantam o processamento
de todos os dados?
So fornecidas
informaes suficientes
para um leitor ou para um
sistema de processamento
subsequente poder
determinar a exata,
completa e precisa
classificao da
informao?
Foram includos
procedimentos que
respondam aos testes de
validao de sada?
Foram definidas as
responsabilidades de todo
o pessoal envolvido com o
processo de sada de
dados?
Foi efetuada uma avaliao
de riscos para determinar o
nvel de proteo que deve
ser dado informao?
A avaliao citada acima
foi utilizada para determinar
se um controle criptogrfico
apropriado, que tipo de
controle deve ser aplicado
e para que propsito e
processos do negcio?
Foi desenvolvida uma
poltica de uso de controles
de criptografia para a
proteo das informaes?
Ela necessria para se
maximizar os benefcios e
minimizar os riscos das
tcnicas criptogrficas e
para se evitar o uso
imprprio ou incorreto.

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

0,0

15

10

66,7

15

10

66,7

33,3

0,0

15

10

66,7

15

33,3

15

0,0

15

0,0

15

0,0

140
Domnio

Controle

Criptografia
(A.12.3.1)

Aderncia
(%)

Perguntas

Classificao

Peso

7.4

No desenvolvimento da
poltica, foram
considerados: enfoque da
direo frente ao uso dos
controles de criptografia
por meio da organizao;
enfoque utilizado para o
gerenciamento de chaves,
incluindo mtodos para
tratar a recuperao de
informaes criptografadas
em casos de chaves
perdidas, expostas ou
danificadas; regras e
responsabilidades; normas
a serem adotadas para a
efetiva implementao por
meio da organizao (qual
soluo utilizada para
qual processo do negcio)?
A avaliao de risco foi
utilizada para se identificar
o nvel apropriado de
proteo e levou-se em
conta o tipo e a qualidade
do algoritmo de codificao
a ser utilizado e o tamanho
das chaves criptogrficas a
serem utilizadas?
Foi dada ateno s
regulamentaes e
restries nacionais que
possam ter implicaes no
uso das tcnicas
criptogrficas em diferentes
partes do mundo e com o
fluxo de informaes
codificadas alm da
fronteira?
Foram considerados os
controles aplicados
exportao e importao
de tecnologias de
criptografia?
Foi procurada assessoria
especializada para a
identificao do nvel de
proteo apropriado, para
seleo dos produtos mais
adequados que fornecero
a proteo necessria e a
implementao de um
sistema seguro de
gerenciamento de chaves?
Foi procurada assessoria
legal para expedio de
parecer no que diz respeito
s leis e regulamentaes
aplicveis organizao
que pretende usar
criptografia?
Existe a necessidade de se
verificar quem assinou um
documento eletrnico e
checar se o contedo de
um documento eletrnico
assinado foi modificado?
So tomados cuidados
para se proteger a
confidencialidade da chave
privada? Convm que esta
chave seja mantida em
segredo.

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

33,3

8.1

8.2

8.3

8.4

8.5

Assinatura
digital
(A.12.3.1)

Valores
Referncia Apurado

Item

9.1

9.2

141
Domnio

Controle

Classificao

Peso

9.3

tomado cuidado com a


integridade da chave
pblica?
As chaves criptogrficas
usadas para assinaturas
digitais so diferentes
daquelas usadas para
criptografia?
So levadas em
considerao qualquer
legislao relacionada s
condies sob as quais
uma assinatura digital
possui valor legal?
Foi buscado um
aconselhamento legal que
levou em considerao as
leis e regulamentaes que
se aplicam s organizaes
que pretendem usar
assinaturas digitais?
Foi implantado um sistema
de gerenciamento de
chave que suporte o uso,
pela organizao, da
tcnica de criptografia de
chave secreta?
garantido que as chaves
secretas so mantidas em
segredo?
Foi implantado um sistema
de gerenciamento de
chave que suporte o uso,
pela organizao, da
tcnica de criptografia de
chave pblica?
Todas as chaves so
protegidas contra
modificao e destruio e
protegidas contra
divulgao no autorizada?
Existe proteo fsica para
equipamentos usados na
gerao, armazenamento e
arquivamento de chaves?
Foram criadas normas
procedimentos e mtodos
que tratem: da gerao de
chaves para diferentes
sistemas criptogrficos e
diferentes aplicaes;
gerao e obteno de
certificados de chave
pblica; distribuio de
chaves para usurios
predeterminados, incluindo
como as chaves devem ser
ativadas quando recebidas;
armazenamento de chaves;
modificao ou atualizao
de chaves; tratamento de
chaves comprometidas;
revogao de chaves;
recuperao de chaves
perdidas ou corrompidas
visando o gerenciamento
da continuidade do
negcio; arquivamento de
chaves; destruio de
chaves; registros e logs de
auditoria das atividades
com as chaves?
As chaves tm datas de

15

33,3

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

33,3

15

10

66,7

15

10

66,7

15

0,0

15

10

66,7

9.5

9.6

10.1

10.2

10.3

10.4

10.5

Gerenciament
o de chaves Normas,
procedimento
s e mtodos
(A.12.3.2)

Aderncia
(%)

Perguntas

9.4

Gerenciament
o de chaves Proteo de
chaves
criptogrficas
(A.12.3.2)

Valores
Referncia Apurado

Item

11.1

11.2

142
Domnio

Controle

Item

11.3

11.4

11.5

11.6

Controle de
software
operacional
(A.12.4.1)

12.1

12.2

12.3

12.4

12.5

12.6

Proteo de
dados de
teste do

13.1

Perguntas

ativao e desativao
definidas para que s
possam ser utilizadas no
perodo estipulado?
So considerados
procedimentos legais para
acessar chaves
criptogrficas caso seja
necessria a apresentao
de informao
descriptografada como
evidncia no julgamento de
uma causa?
So utilizados certificados
de chaves pblicas para
evitar que algum falsifique
uma assinatura digital por
meio da troca da chave
pblica do usurio pela sua
prpria?
O processo que gerou o
certificado de chave pblica
confivel?
Os Acordos de Nvel de
Servio ou contratos com
fornecedores externos de
servio de
criptografia,cobrem
questes relacionadas com
a responsabilidade civil, a
confiabilidade dos servios
e o tempo de resposta para
o fornecimento dos
servios contratados?
A atualizao das
bibliotecas de programa da
produo ocorre apenas
por um bibliotecrio
nomeado e sob autorizao
gerencial apropriada?
O sistema operacional
mantm somente cdigo
executvel?
Algum cdigo executvel
foi implantado no sistema
operacional antes de serem
obtidas evidncias do
sucesso dos testes e
aceitao do usurio? (A
biblioteca com os
programas-fonte s pode
ser atualizada aps o
sucesso com os testes
correspondentes).
mantido um registro (log)
de auditoria para todas as
atualizaes de bibliotecas
de programa em produo?
As verses anteriores dos
software so mantidas
como medida de
contingncia?
O acesso fsico ou lgico
s dado a fornecedores
por motivo de suporte e s
quando necessrio?
solicitada a aprovao da
gerncia? A atividade dos
fornecedores
monitorada?
Nos testes, evitado o uso
de bases de dados de
produo contendo

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

0,0

15

0,0

15

10

66,7

15

0,0

15

33,3

15

15

100,0

15

33,3

15

0,0

15

33,3

15

33,3

15

10

66,7

143
Domnio

Controle

sistema
(A.12.4.2)

Item

13.2

13.3

Controle de
acesso a
bibliotecas de
programafonte
(1.12.4.3)

14.1

14.2

14.3

14.4

14.5

14.6

14.7

14.8

Perguntas

informaes pessoais?
Caso no seja possvel
deixar de usar informaes
pessoais da base de
produo nos teste, ocorre
a despersonalizao antes
do uso?
Os controles abaixo so
aplicados para aplicao
de dados de produo
quando os mesmos so
utilizados para testes?
Utilizao dos mesmos
procedimentos de controle
de acesso aplicados aos
sistemas de produo nos
sistemas de testes;
Existncia de uma
autorizao separada cada
vez que for necessria a
cpia para teste de uma
informao em produo;
Apagar dos sistemas de
teste as informaes de
produo logo aps o
trmino dos testes;
Utilizao de uma trilha de
auditoria toda vez que se
fizer necessrio a cpia e o
uso de informaes de
produo para fins de
teste.
evitada a manipulao da
biblioteca de programasfonte em ambiente de
produo?
Foi designado um
responsvel pela biblioteca
de programas-fonte de
cada aplicao?
So tomadas providncias
para que a equipe de
suporte de tecnologia da
informao no tenha
acesso ilimitado s
bibliotecas de cdigofonte?
Programas em
desenvolvimento, ou em
manuteno, so mantidos
em locais diferentes da
biblioteca de programasfonte que estiverem em
produo?
A atualizao das
bibliotecas de programafonte e a distribuio de
programas-fonte para os
programadores s so
efetuadas pelo responsvel
designado em manter a
biblioteca? Ocorre a
autorizao do gestor de
tecnologia para isso?
A lista de programas
mantida em um ambiente
seguro?
mantido um registro de
auditoria que contenha
todos os acessos s
bibliotecas de programafonte?
As verses antigas de

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

0,0

0,0

15

15

100,0

15

15

100,0

15

10

66,7

15

33,3

15

10

66,7

15

10

66,7

15

0,0

15

0,0

144
Domnio

Controle

Procedimento
s de controle
de mudanas
(A.12.5.1)

Item

Perguntas

programa-fonte so
arquivadas com uma
indicao clara e precisa
da data e perodo em que
estiveram em produo,
junto com todo o respectivo
software de suporte,
controle de tarefa,
definies de dados e
procedimentos?
15.1 Existem procedimentos
formais de controle de
mudanas que garantam
que os procedimentos de
segurana e controle no
so comprometidos e que
garantam que os
programadores de suporte
s tm acesso s partes do
sistema que so
necessrias ao seu
trabalho?
15.2 garantido que qualquer
mudana somente ser
implementada aps
aprovao e implementada
somente por usurios
autorizados?
15.3 executada uma anlise
crtica dos controles e
procedimentos para
garantir que os mesmos
no sero comprometidos
pelas mudanas?
15.4 So identificados todos os
software de computador,
informaes, entidades de
base de dados e hardware
que necessitem de
correo?
15.5 garantido que o usurio
autorizado aceite as
modificaes antes de
qualquer implementao?
15.6 garantido que a
implementao ocorrer
com o mnimo de
transtorno para o negcio e
no tempo certo?
15.7 garantido que a
documentao do sistema
seja atualizada ao final de
cada modificao? A
documentao antiga
arquivada ou destruda?
15.8 efetuado o controle de
verso para todas as
atualizaes de software?
15.9 Mantm-se uma trilha de
auditoria para toda
modificao requerida?
15.10 garantido que a
documentao de
operao e os
procedimentos de usurio
so modificados conforme
necessrio, de forma a
adequarem as
modificaes efetuadas?
15.11 utilizado um ambiente no
qual os usurios testam
novos software segregados
dos ambientes de

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

0,0

15

10

66,7

15

0,0

15

33,3

15

10

66,7

15

10

66,7

15

33,3

15

33,3

15

10

66,7

15

0,0

15

10

66,7

145
Domnio

Controle

Anlise crtica
das
mudanas
tcnicas do
sistema
operacional
da produo
(A.12.5.2)

Item

16.1

16.2

16.3

Restries
nas
mudanas
dos pacotes
de software
(A.12.5.3)

17.1

17.2

17.3

Covert
channels e
cavalo de
Tria
(A.12.5.4)

18.1

18.2

18.3
18.4

18.5

18.6

Perguntas

desenvolvimento e de
produo?
So efetuadas anlises
crticas dos procedimentos
de controle e integridade
da aplicao, que garantam
que no sejam
comprometidas pelas
mudanas efetuadas ao
sistema operacional?
O planejamento e o
oramento anual prevm o
suporte necessrio para
cobrir as revises e testes
dos sistemas devido s
modificaes dos sistemas
operacionais?
garantido que as
modificaes so
efetuadas no plano de
continuidade do negcio?
Se as modificaes do
pacote de software so
essenciais, os pontos a
seguir so levados em
considerao? Risco de
comprometimento dos
controles embutidos e da
integridade dos processos;
necessria obteno do
consentimento do
fornecedor; possibilidade
de obter a modificao
necessria diretamente
como atualizao padro
do programa; impacto de a
organizao se tornar no
futuro responsvel pela
manuteno do software
como resultado da
modificao.
O software original retido
e as modificaes so
efetuadas em uma cpia
claramente identificada?
Todas as modificaes so
testadas e documentadas,
de forma a poderem ser
reaplicadas, se
necessrio?
Os programas so
comprados apenas de
fontes conhecidas e
idneas?
Quando possvel,
efetuada a compra de
programas em cdigofonte, de forma que o
cdigo seja verificado?
So utilizados produtos que
j tenham sido avaliados?
Todo o cdigo-fonte
inspecionado antes de
entrar em produo?
Uma vez que o programa
esteja instalado,
controlado o acesso ao
cdigo e a modificao do
mesmo?
utilizado pessoal de
comprovada confiana para
trabalhar com os sistemaschave?

Valores
Referncia Apurado

Aderncia
(%)

Classificao

Peso

15

0,0

15

0,0

15

0,0

15

10

66,7

15

0,0

15

0,0

15

15

100,0

15

0,0

15

10

66,7

15

0,0

15

0,0

15

15

100,0

146
Domnio

Controle

Item

Desenvolvime
nto
terceirizado
de software
(A.12.5.5)

19.1

19.2

19.3

19.4

19.5

Perguntas

Classificao

Peso

Valores
Referncia Apurado

Existem acordos sobre


0
5
licenas, propriedade do
cdigo-fonte e direitos de
propriedade intelectual?
certificada a qualidade e
0
5
exatido do trabalho
implementado? Existem
direitos de acesso para
auditoria dessa qualidade e
exatido?
Existem acordos que
0
5
prevejam falhas por parte
dos prestadores de
servio?
So estabelecidos
0
5
requisitos contratuais de
qualidade de cdigo?
So efetuados testes antes
0
5
da instalao para
deteco de cavalos de
tria?
Aderncia Geral: "Aquis., Desenv. e Manuteno
de Sistemas"

Aderncia
(%)

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

1395

452

32,4

Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.

4.15 Tratamento de Incidentes de Segurana


Para facilitar a anlise dos dados na rea de Tratamento de Incidentes de
Segurana foi realizado um levantamento de dados em um estudo de caso com a
seguinte questo de pesquisa: Como est a adequao da implementao dos
controles, como definidos na seo 13 da norma ABNT 27002 (2005), referente
gesto de incidentes de segurana da informao, na COMPANHIA X?.
4.15.1 Tpicos tericos estudados e objetos pesquisados
Foram estudados todos os aspectos da seo 13 Gesto de incidentes de
segurana da informao, da norma da ABNT 27002 (2005), assim como as
Instrues Normativas Complementares de n 05 (Criao de Equipes de
Tratamento de Incidentes em Redes Computacionais) e de n 08 (Gesto de
Equipes de Tratamento de Incidentes em Redes Computacionais).
Foram coletadas informaes sobre:
A metodologia de gesto de incidentes de segurana;

147
O tratamento de incidentes de segurana; e
A implementao dos controles de SIC.
4.15.2 Fontes para a pesquisa:
Serviram como fontes para a pesquisa, em nvel documental: os documentos
que norteiam a gesto de incidentes de segurana da informao na organizao;
as normas tcnicas inerentes rea de SIC, mais especificamente a norma ABNT
27002 (2005); a legislao pertinente ao assunto. Em nvel de capital humano: o
Gestor de SIC e o Responsvel pela rea de suporte e infraestrutura de redes
computacionais.
4.15.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: Os requisitos de controle de segurana
da informao e comunicaes, relacionados gesto de incidentes de segurana
da informao esto adequados para a COMPANHIA X..
4.15.4 Dados coletados
Seguem as informaes sobre a implementao de controles relacionados
gesto de incidentes de segurana da informao, a fim de se determinar se esto
em conformidade com as recomendaes e requisitos de segurana preconizados
pela norma ABNT 27002 (2005). Segue, na Tabela 4.14, a consolidao das
entrevistas realizadas.

Tabela 4.14 - Anlise de conformidade em relao Gesto de Incidentes em SIC.


Valores
Referncia
Apurado

Aderncia
(%)

Domnio

Controle

Item

Perguntas

Classificao

Peso

GESTO DE
INCIDENTES
DE
SEGURANA

Reao a
incidentes de
segurana e
falhas
(A.13.1.1)

1.1

So tomadas medidas visando


minimizar os prejuzos
causados por incidentes de
segurana e falhas e
monitorados tais incidentes?
Os incidentes que afetarem a
segurana so comunicados o
quanto antes, por meio dos
canais administrativos
apropriados?
Empregados e subcontratados
so informados sobre os
procedimentos de
comunicao dos diversos
tipos de incidentes, como
violao de segurana,
ameaas, pontos fracos ou
falhas de funcionamento que
podem ter impacto sobre a
segurana dos ativos da
organizao?
exigido que se comunique

33,3

33,3

66,7

100,0

1.2

1.3

1.4

148
Domnio

Controle

Item

1.5

1.6

1.7

1.8

1.9

Comunicao
de incidentes
de segurana
(A.13.1.2)

2.1

2.2

Comunicao
de pontos
fracos de
segurana
(A.13.1.2)

3.1

3.2

3.3

3.4

Aprendendo
com os
incidentes
(A.13.2.2)

4.1

4.2

Perguntas

quaisquer incidentes
observados ou suspeitos, com
a mxima rapidez, ao ponto de
contato designado?
estabelecido processo
disciplinar formal para lidar
com empregados que
cometem violaes de
segurana?
Os incidentes de segurana
so investigados para
apurao da causa e tomada
de ao corretiva?
executada uma anlise
crtica sobre os registros de
falha para assegurar que as
mesmas foram
satisfatoriamente resolvidas?
executada uma anlise
crtica sobre as medidas
corretivas adotadas para
assegurar que no ocorreram
comprometimentos e que as
aes tenham sido
devidamente autorizadas?
So recolhidas provas o
quanto antes, aps a
ocorrncia de um incidente?
So implementados
procedimentos adequados de
feedback, para assegurar que
as pessoas que comunicaram
incidentes sejam informadas
dos resultados, depois que o
incidente foi atendido e
encerrado?
Os incidentes so utilizados no
treinamento de
conscientizao dos usurios,
sobre o que poderia acontecer,
como reagir a tais incidentes e
como evit-los no futuro?
Os usurios de servios de
informaes anotam e
comunicam pontos fracos de
segurana observados ou
suspeitos, e quaisquer
ameaas a sistemas ou
servios?
Essas questes so
comunicadas sua gerncia
ou diretamente ao seu
provedor de servios, com a
mxima rapidez?
dito aos usurios que eles
no devem, em hiptese
alguma, tentar provar um ponto
fraco de que suspeitam?
informado que o teste de um
ponto fraco poderia ser
interpretado como um uso
abusivo potencial do sistema?
So implementados
mecanismos para permitir a
quantificao e monitorao
dos tipos, volumes e custos de
incidentes e falhas de
funcionamento?
Por meio dessas informaes,
so identificados incidentes ou
falhas repetidas ou de alto
impacto?

Valores
Referncia
Apurado

Aderncia
(%)

Classificao

Peso

66,7

15

10

66,7

33,3

15

33,3

0,0

0,0

15

10

66,7

15

33,3

15

33,3

15

10

66,7

15

0,0

15

0,0

15

0,0

149
Domnio

Controle

Item

Perguntas

Classificao

Peso

4.3

indicada a necessidade de
0
controles aperfeioados ou
adicionais para limitar a
frequncia, os danos e o custo
de futuras ocorrncias, ou se
leva em considerao no
processo de reviso da poltica
de segurana?
Procedimentos 5.1
Foram estabelecidos
1
para o
procedimentos que cubram
gerenciamento
potenciais incidentes de
de incidentes
segurana, tais como: falhas
(A.13.2.1)
dos sistemas de informao e
inoperncia de servios; no
obteno de servio; erros
resultantes de dados
incompletos ou inconsistentes;
violao de confidencialidade?
5.2
Tambm so contemplados
0
procedimentos, alm do plano
de contingncia, para: anlise
e identificao das causas dos
incidentes; medidas para
prevenir a recorrncia do
incidente; coleta de trilhas de
auditoria e evidncias
similares?
5.3
Evidncias similares e trilhas
1
de auditoria so coletadas
para: uso como evidncia para
o caso de uma possvel
violao de contrato ou de
normas reguladoras, ou em
casos de crimes; como base
para negociao ou pedidos de
ressarcimento por parte de
fornecedores?
5.4
S pessoal estritamente
2
identificado e autorizado est
liberado para acesso a
sistemas e dados em
produo?
5.5 Todas as aes de emergncia
1
adotadas so documentadas
em detalhe?
Aderncia Geral: "Gesto de Incidentes de Segurana"

Valores
Referncia
Apurado

Aderncia
(%)

15

0,0

15

33,3

15

0,0

33,3

15

10

66,7

15

33,3

264

87

33,0

Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela r elao entre o valor apurado e
o valor de referncia.

Seguem abaixo outras questes que tambm serviram de suporte para a pesquisa:
a) Quais as necessidades da organizao referentes preparao para Tratamento
e Resposta a Incidentes de SIC (TRISC)?
R: A organizao precisa aprovar normativo interno que estabelea diretrizes e
metas a serem atingidas para o TRISC.

150
b) Dentre as medidas necessrias e aplicveis, quais esto implementados?
R: O normativo interno que disciplinar a gesto de incidentes encontra-se pronto
e j foi aprovado pelo comit de SIC e pelo departamento jurdico. S falta ser
aprovado pela direo da empresa.
c) H a necessidade de uma equipe dedicada a TRISC?
R: Inicialmente, pelo tamanho e porte da instituio no se justifica uma equipe
dedicada exclusivamente a essa funo.
d) H a necessidade de formao de pessoal referente a TRISC?
R: Sim, h a necessidade de especializao na rea.

4.16 Auditoria e Conformidade de Segurana da Informao


Para facilitar a anlise dos dados na rea de auditoria e conformidade de SI
foi realizado um levantamento de dados em um estudo de caso com a seguinte
questo de pesquisa: Como organizada a auditoria de segurana da informao e
comunicaes na COMPANHIA X e porque est estruturada da forma em que se
encontra?.
4.16.1 Tpicos tericos estudados e objetos pesquisados
Foram estudados todos os aspectos da seo 15 Conformidade, da norma
da ABNT 27002 (2005), e demais aspectos relacionados aos trs tipos de auditoria
(gesto, desempenho operacional e conformidade).
Foram coletadas informaes sobre:
A conformidade com requisitos legais, sobre a conformidade com
normas e polticas de segurana da informao e conformidade
tcnica;
A auditoria de sistemas de informao; e
Os trs tipos de auditoria (gesto, desempenho operacional e
conformidade) e suas aplicaes na organizao.
4.16.2 Fontes para a pesquisa
Serviram como fontes para a pesquisa, em nvel documental: os documentos
que norteiam a gesto de incidentes de segurana da informao na organizao;
as normas tcnicas inerentes rea de SIC, mais especificamente a norma ABNT

151
27002 (2005); a legislao pertinente ao assunto. Em nvel de capital humano: o
Gestor de SIC.
4.16.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: Os requisitos de controle de segurana
da informao e comunicaes, relacionados conformidade e auditoria interna
esto adequados para a COMPANHIA X..
4.16.4 Dados coletados
Seguem as informaes sobre a implementao de auditorias e anlises de
conformidades

de

controles

relacionados

segurana

da

informao

comunicaes, a fim de se determinar se esto em conformidade com as


recomendaes e requisitos de segurana preconizados pela norma ABNT 27002
(2005). Segue, na Tabela 4.15, a consolidao das entrevistas realizadas.

Tabela 4.15 - Anlise de conformidade em relao Auditoria de SIC.


Domnio

Controle

CONFORMIDADE Conformidade
com exigncias
legais
(A.15.1)

Item

1.1

1.2

1.3

1.4

Identificao da
legislao
aplicvel
(A.15.1.1)

2.1

2.2

Preservao
dos registros
da organizao
(A.15.1.3)

3.1

3.2

Perguntas

Classificao

Peso

Valores
Referncia Apurado

Aderncia
(%)

Existe a preocupao de evitar


violaes de qualquer lei penal
ou civil, obrigaes decorrentes
de estatutos, regulamentos ou
contratos e quaisquer requisitos
de segurana?
A organizao est sujeita a
exigncias de segurana
decorrentes de estatutos,
regulamentos ou contratos. Isso
observado?
Existe uma consultoria sobre
exigncias legais especficas
junto ao departamento jurdico
da organizao ou com
advogados externos
devidamente qualificados?
So analisadas as exigncias
legislativas que variam de um
Pas para outro? (fluxos de
dados que atravessam
fronteiras)
So observadas as exigncias
relevantes impostas por lei, por
rgos reguladores ou por
contrato, definidas
explicitamente e documentadas
por sistema de informao?
Os controles especficos e as
responsabilidades individuais
pelo atendimento a estas
exigncias esto definidos e
documentados?
Os registros da organizao
so protegidos contra perda,
destruio e falsificao?

15

15

100,0

15

10

66,7

15

15

100,0

0,0

15

10

66,7

15

33,3

15

10

66,7

Os registros so arquivados de
modo seguro para atender a

15

10

66,7

152
Domnio

Controle

Item

3.3

3.4

3.5

3.6

3.7

3.8

3.9

3.10

3.11

3.12

3.13

Perguntas

exigncias da lei ou de rgos


reguladores?
Os registros que podem ser
exigidos para comprovar que a
organizao opera de acordo
com as normas da lei ou de
rgos reguladores ou para
assegurar uma defesa
adequada em um eventual
processo civil ou criminal ou
para confirmar a situao
financeira de uma organizao
para os seus acionistas, scios
e auditores, esto protegidos
de forma segura?
observado o perodo de
reteno das informaes e dos
dados a serem conservados
que so estabelecidos pelas
leis ou regulamentos do pas?
Registros contbeis, de bancos
de dados, de transaes, de
auditoria e procedimentos
operacionais so protegidos de
forma segura?
Cada tipo de registro tem
exigncias especficas quanto a
perodo de reteno e tipo de
veculo de armazenagem,
como: papel, microficha,
suportes magnticos ou
pticos. Isso observado?
So consideradas as
possibilidades de deteriorao
dos suportes utilizados na
armazenagem de registros?
Nos casos de armazenagem
por meios eletrnicos, esto
inclusos os procedimentos para
assegurar a capacidade de
acessar dados - legibilidade
dos suportes fsicos como dos
formatos - durante todo o
perodo de reteno, como
garantia contra a perda
decorrente de futuras
mudanas de tecnologia?
Atualmente so escolhidos
sistemas de armazenagem em
que os dados necessrios
possam ser recuperados de um
modo aceitvel para um
tribunal? Os registros exigidos
podem ser recuperados dentro
de um tempo aceitvel e num
formato aceitvel?
realizada destruio
apropriada dos registros aps a
expirao de perodo, se no
forem mais necessrios
organizao?
Existem diretrizes sobre a
reteno, armazenagem,
manuseio e descarte de
registros e informaes?
Existe um programa de
reteno que identifique os
tipos dos registros essenciais e
por quanto tempo eles devem
ser conservados?
mantido um inventrio das
fontes de informaes-chave?

Classificao

Peso

Valores
Referncia Apurado

Aderncia
(%)

15

10

66,7

15

10

66,7

15

10

66,7

15

0,0

0,0

15

33,3

15

10

66,7

0,0

15

0,0

0,0

15

0,0

153
Domnio

Controle

Item

Perguntas

Conformidade
com a poltica
de segurana
(A.15.2.1)

3.14 Foram implementados


controles de segurana
apropriados para proteger
registros e informaes
essenciais contra perda,
destruio e falsificao?
4.1 Os gerentes podem assegurar
que todos os procedimentos de
segurana dentro de sua rea
de responsabilidade so
executados corretamente?
4.2 realizada regularmente uma
reviso em todas as reas da
organizao para assegurar
conformidade com as polticas
e normas de segurana?

Classificao

Peso

15

10

66,7

15

33,3

15

0,0

288

135

46,9

Aderncia Geral: "Conformidade"

Valores
Referncia Apurado

Aderncia
(%)

Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.

Alm dos levantamentos feitos acima, a auditoria de conformidade tambm


est sendo realizada em relao s sees da norma ABNT 27002 (2005), conforme
pode ser observado abaixo. Contudo, seus resultados foram apontados nas demais
sees deste captulo, e sempre correlacionados com os objetivos destas.
Domnio/reas de Segurana:
Poltica de Segurana da Informao e Comunicaes;
Organizando a Segurana da Informao e Comunicaes;
Gesto de ativos;
Segurana em recursos humanos;
Segurana fsica e do ambiente;
Gerenciamento das operaes e comunicaes;
Controle de acesso;
Aquisio, desenvolvimento e manuteno de sistemas de informao;

154
Gesto de incidentes de Segurana da Informao;
Gesto da continuidade do negcio; e
Conformidade.
Seguem abaixo outras questes que tambm serviram de suporte para a
pesquisa, com suas respostas:
1) Sobre a organizao, funo, misso, clientes e intervenientes:
a) Quem so os intervenientes da organizao diretamente afetados pelas
atividades de auditoria de segurana da informao?
R: No h um interveniente diretamente afetado pela auditoria de segurana
da informao.
b) Que produtos, servios ou funes a organizao desempenha? Quais as
principais funes da organizao? Quais das funes levantadas esto
relacionadas a auditoria de segurana da informao?
R: A auditoria de segurana da informao deveria perpassar por todas as
funes da empresa, uma vez que todas as reas utilizam a informao,
como insumo bsico de trabalho. Contudo, isso ainda no uma realidade.
c) Quem so os clientes da organizao? Com quem se relaciona? Quais as
expectativas dos clientes da organizao acerca das funes por ela
desempenhadas? Resultados de auditoria influenciam essas expectativas?
R: Os resultados das auditorias de segurana no influenciam as expectativas
dos clientes, pois seus resultados ainda no so divulgados e s so
utilizados internamente para direcionar o planejamento e andamento dos
projetos da rea de segurana da informao e comunicaes.
d) Que comportamentos organizacionais so tipicamente observveis pelos
clientes e intervenientes da organizao envolvidos com segurana da
informao?
R: Tanto os clientes como o interveniente esperam que os produtos e
servios prestados pela COMPANHIA X primem pela exatido, preciso,
eficincia e eficcia e garantam as propriedades bsicas da informao
relacionadas segurana, que so: a disponibilidade, a integridade, a
confidencialidade e a autenticidade.

155
e) Que tempos (periodicidade das aes) tpicos so exibidos pela organizao
no desempenho de suas funes de auditoria? Quais os ciclos de
desempenho de funes junto aos clientes? Com que sazonalidade as
funes de auditoria so desempenhadas?
R: As auditorias de segurana so executadas a cada dois anos, ou sempre
que se fizer necessrio.
2) Sobre a auditoria de Gesto de Segurana da Informao
a) Se a sua organizao j tem o trabalho de auditoria de gesto da segurana
da informao, como essa auditoria est organizada?
R: A auditoria de segurana da informao foi desenvolvida inicialmente
dentro da rea de tecnologia da informao e comunicaes e hoje est
sendo realizada no mbito do comit de segurana da informao e
comunicaes.
b) Qual a viso dos dirigentes da sua organizao em termos de posicionamento
da auditoria de segurana na estrutura organizacional? Estratgico, ttico ou
operacional.
R: A auditoria como um todo ainda no teve repercusso na alta direo. S
est balizando os trabalhos da rea de segurana como um todo.
c) Existe um comit, comisso ou grupo de trabalho permanentemente
preocupados em discutir a auditoria de segurana da informao e os
impactos de seus resultados nos rumos da organizao?
R: A auditoria de segurana ainda no amplamente discutida no comit de
segurana, mas debatida com o Gestor de SIC.
d) A sua organizao possui planejamento estratgico? A auditoria de
segurana da informao parte desse processo?
R: A organizao ainda no possui planejamento estratgico.
e) Voc j participou da elaborao de um plano de auditoria de segurana da
informao? Sua rea foi contemplada no plano?
R: A auditoria de segurana contempla todas as reas especificadas pela
norma ABNT 27002 (2005) e o secretrio-executivo do comit de SIC foi o
autor do processo.

156
f) Quais so os nveis de relacionamentos que os auditores estabelecem com
as outras reas da organizao? Existem segregao de funes?
R: Todas as reas mostram-se muito solicitas quando so inquiridas a
participar do processo de auditoria. Ainda no existe segregao de funo.
g) Que tipos e graus de dependncias a organizao tem da auditoria de
segurana da informao para decidir sobre os negcios ou misso?
R: No h grau de dependncia.
h) Na sua organizao voc produtor ou consumidor da informao? Nos dois
casos, voc poderia realizar trabalhos de auditoria?
R: Sou produtor e consumidor de informao. Sim, poderia realizar trabalhos
de auditoria.
i) Se produtor de informaes voc segue algum padro predefinido? Se
consumidor, que normas voc obedece para que a informao chegue at o
processo decisrio?
R: No existem normas e processos estabelecidos para esse propsito.
j) Que dados de monitoramento so coletados pela rea de gesto de
segurana informao? Em que estgio se encontra esse monitoramento e
como seus resultados so retroalimentados para a alta administrao?
R: O monitoramento encontra-se em fase de planejamento.
k) Existe algum mecanismo organizacional (comit, comisso, grupo de trabalho
etc.) que esteja em funcionamento na sua organizao, exclusivamente
preocupado com segurana dos ativos de informao?
R: Existe o comit de segurana da informao e comunicaes. Alm dela, a
diretoria como um todo tambm se preocupa com a proteo dos ativos de
informao.
3) Sobre a auditoria de desempenho operacional
a) Como funciona um modelo de auditoria de desempenho operacional na sua
organizao?
R: Hoje a auditoria de segurana tenta verificar a importncia do controle de
segurana da informao para a organizao e o quanto ele est
implantado/executado; isto , se ele plenamente executado, parcialmente

157
executado, ou se ainda no foi implantado. Contudo, ainda no est sendo
levado em conta sua eficincia e eficcia.
Os pontos de controle relacionados gesto das operaes e comunicaes,
conforme preconizados pela norma ABNT 27002 (2005)

tambm so

avaliados.
b) H compreenso, dentro da organizao, de que a complexidade da auditoria
poderia ser melhor tratada se adotasse um plano de desempenho para toda a
organizao?
R: No.
c) Sua organizao valoriza a informao como um ativo que se deve proteger
como um bem de capital? At que ponto a organizao considera a
informao como um ativo crtico sem o qual muitas das suas operaes no
poderiam ser realizadas?
R: A empresa tem plena noo disso, inclusive, no seminrio de SIC essa
questo abordada.
d) Como a confiabilidade ou a falta de confiabilidade nas informaes afetariam
economicamente ou socialmente a sua organizao? A sua organizao j
avaliou o impacto financeiro e social?
R: A falta de confiabilidade afetaria muito a organizao, pois no teria mais a
confiana das empresas que depositam/entregam informaes, muitas vezes,
com alto valor estratgico para o pais.
e) Quem faz parte (atores) da definio dos processos que apiam a produo,
transmisso, guarda e o fluxo de informao?
R: Os gestores das reas. Contudo, os processos ainda no so mapeados
na maior parte da organizao.
f) Existem

processos

ou

macroprocessos

de

auditoria

desenhados

oficializados perante os altos dirigentes que permitem a execuo da auditoria


de forma segura e relativamente previsvel?
R: De auditoria de segurana da informao, no.
g) Como as normas ABNT 27001 e 27002 esto sendo utilizadas na sua
organizao? Elas so uma forma eficaz de se implementar as escolhas que
j foram feitas pela sua organizao quanto a mtodos de auditoria?

158
R: Elas so integralmente utilizadas e so um importante instrumento para a
gesto de segurana da informao e comunicaes. Servem como
referncia e como fonte dos controles de segurana a serem utilizados na
organizao.
h) Como a entrega de resultados da auditoria de segurana da informao
planejada e comunicada na sua organizao? Existem instncias que
analisam esses resultados para posterior retroalimentao nas operaes de
segurana?
R: O resultado da auditoria entregue ao Gestor de SIC, tambm serve de
insumo para os trabalhos a serem executados pelo secretrio-executivo do
comit de SIC.
i) Em que grau de aderncia est a forma de organizao de auditorias de
segurana da informao proposta no texto base em relao aquela adotada
pela sua organizao?
R: Em um nvel razovel de aderncia.
j) As informaes obtidas com os processos de auditoria de segurana da
informao so transformadas em insumo para os requisitos de negcio de
sua organizao?
R: Ainda no, mas os requisitos de negcio servem de insumo para a
auditoria de segurana.
k) Existem medidas de desempenho (indicadores) para a auditoria implantada
na sua organizao?
R: Ainda no.
4) Sobre a auditoria de conformidade
a) Qual o modelo de poltica de segurana da informao da organizao?
usada e difundida como referncia para as aes de segurana?
R: No caso da COMPANHIA X, levou-se em considerao para a elaborao
da POSIC em vigor, a norma ABNT 27002 (2005), referente ao conjunto de
melhores prticas em Segurana da Informao e Comunicaes (SIC),
norma esta que sugere e indica requisitos de controle de segurana da
informao e comunicaes que podem ser indicados para atenderem aos
requisitos de segurana impostos pelo negcio e pela legislao. Tambm

159
foram observadas as diretrizes impostas pela Instruo Normativa 01,
elaborada pelo Departamento de Segurana da Informao e Comunicaes
do Gabinete de Segurana Institucional da Presidncia da Repblica.
A POSIC foi elaborada pelo Comit de Segurana da Informao e
Comunicaes que, por sua vez, coordenado pelo Gestor de SIC. Aps
amplo debate e aprovao no mbito do comit, a POSIC foi encaminhada
para apreciao e aprovao por parte da Diretoria da empresa. Salienta-se
que o comit formado por representantes de todas as Diretorias da
empresa, e por um membro do Departamento Jurdico.
A POSIC foi aprovada pela Diretoria da empresa em 2009 e foi
disponibilizada na intranet da organizao.
Foi aprovado o Programa Corporativo de Conscientizao em Segurana da
Informao e Comunicaes, elaborado pelo Comit de SIC, que tem como
objetivos,

divulgar

POSIC,

dar

incio

uma

sensibilizao

dos

colaboradores no que diz respeito SIC e dar continuidade na formao e


aprofundamento do conhecimento de todos sobre esse tema. O Programa
entrou em um ciclo contnuo de melhorias e deve ser aplicado tambm a
todos os novos usurios que ingressam na empresa.
b) Como se d a discusso sobre a definio de padres de referncia para
testes de conformidade?
R: Ainda no h discusso. Existe um modelo pensado e sugerido pelo
secretrio-executivo do comit de SIC e alinhado com o Gestor de SIC.
c) Quem so os intervenientes que aprovam os padres e tm alguma influncia
sobre as modificaes que devem ser realizadas ?
R: O Gestor de SIC e dependendo da situao o comit de SIC.
d) Quais so as providncias tomadas pela organizao para situaes de no
conformidade?
R: Por enquanto tem-se conduzido a construo dos instrumentos normativos
que apoiaro a poltica de segurana da informao e comunicaes. Em
seguida, devero ser estabelecidos os planos de ao que trataro as no
conformidades.

160
e) Qual a poltica de documentao utilizada pela organizao? Existe um
padro definido para toda a organizao?
R: Ainda no. Esse assunto ser objeto de uma futura licitao a fim de que
se contrate empresa especializada para tratar do assunto.
f) Os sistemas de informao desenvolvidos ou adquiridos na sua organizao
segue algum tipo de metodologia padronizada? Se sim, como a organizao
verifica se h no conformidades?
R: No.
g) Existem procedimentos para proteo dos ativos de informao da sua
organizao com base em especificaes tcnicas?
R: Sim, no geral procura-se seguir as orientaes das normas da ABNT, nos
mais diversos temas.
h) Sua organizao utiliza prticas como COBIT, ITIL, PMBOK no que diz
respeito s questes de segurana ou ela prpria desenvolveu as suas
prticas?
R: Os conceitos de alguns desses frameworks so utilizados. Contudo, no
dispe de ferramentas de software que automatizem os processos.
i) O processo de seleo existente para o pessoal que ir trabalhar diretamente
com ativos de informao segue procedimentos padronizados?
R: No. A contratao se d por concurso pblico.

4.17 Gesto de Continuidade


Para facilitar a anlise dos dados na rea de gesto de continuidade foi
realizado um levantamento de dados em um estudo de caso com a seguinte questo
de pesquisa: A COMPANHIA X est preparada para implantar uma cultura de GCN
com base na Instruo Normativa Complementar n 06/2009, do GSI e tambm
aderente ao preconizado pela norma ABNT 27002 (2005)?.
4.17.1 Tpicos tericos estudados e objetos pesquisados
Foram estudados todos os aspectos da seo 14 Gesto da Continuidade
do Negcio, da norma da ABNT 27002 (2005) e, tambm, todos os aspectos da
Instruo Normativa Complementar 06 (IN06, 2009).
Foram coletadas informaes sobre:

161
A conformidade com normas e polticas de segurana da informao e
demais conformidades tcnicas; e
Os pr-requisitos para a implementao da gesto de continuidade de
negcios.
4.17.2 Fontes para a pesquisa:
Serviram como fontes para a pesquisa, em nvel documental: os documentos
que norteiam a rea de segurana da informao e comunicaes na organizao;
as normas tcnicas inerentes rea de SIC, mais especificamente a norma ABNT
27002 (2005); a Instruo Normativa Complementar 06/2009 (DSIC/GSI/PR), e a
legislao pertinente ao assunto. Em nvel de capital humano: o Coordenador da
rea de RH e Servios Gerais.
4.17.3 Hiptese posta prova:
A seguinte hiptese foi posta prova: Os requisitos de controle de segurana
da informao e comunicaes, relacionados continuidade do negcio esto
adequados para a COMPANHIA X..
4.17.4 Dados coletados
Seguem as informaes sobre o processo de gesto de continuidade de
negcios e a anlise de conformidade dos controles relacionados segurana da
informao e comunicaes, a fim de se determinar se esto em conformidade com
as recomendaes e requisitos de segurana preconizados pela norma ABNT 27002
(2005). Segue, na Tabela 4.16, a consolidao das entrevistas realizadas.

Tabela 4.16 - Anlise de conformidade em relao Gesto de Continuidade.


Domnio

Controle

GESTO DA
Gesto da
CONTINUIDADE continuidade do
DO NEGCIO
negcio
(A.14.1.1)

Item

Perguntas

1.1

Existe um processo de gesto


da continuidade do negcio e
que esteja implantado visando
o desenvolvimento e a
manuteno da continuidade
do negcio?
H o entendimento dos riscos
a que a organizao est
exposta, no que diz respeito
sua probabilidade e impacto
incluindo identificao e
priorizao dos processos
crticos do negcio?
Existe entendimento sobre o
impacto que a interrupo do
processamento de
informaes trar sobre o
negcio? Existem solues

1.2

1.3

Classifica
o

Peso

Valores
Referncia
Apurado

Aderncia
(%)

15

0,0

15

0,0

15

0,0

162
Domnio

Controle

Item

1.4

1.5

1.6

1.7

Continuidade
do negcio e
anlise de
impacto
(A.14.1.2)

2.1

2.2

2.3

2.4

Documentao
e
implementao
de planos de
continuidade
(A.14.1.3)

3.1

Estruturao do
plano de
continuidade do
negcio
(A.14.1.4)

4.1

4.2

Perguntas

que podem tratar do mais


simples ao mais complexo
incidente que podem ocorrer e
coloquem em risco a
continuidade do negcio?
Foi considerada a contratao
de seguro compatvel e que
faa parte do processo de
continuidade?
Os planos de continuidade so
detalhados e documentados e
alinhados com a estratgia do
negcio?
Os planos e procedimentos de
continuidade so regularmente
atualizados e testados?
A responsabilidade pelo
processo de gesto da
continuidade do negcio
atribuda a um nvel adequado
dentro da organizao?
Eventos tais como falha de
equipamentos, inundaes e
incndios so identificados
como fontes de interrupo do
negcio e prossegue-se com
uma avaliao de risco para a
determinao do impacto das
interrupes (dano versus
perodo de recuperao)?
Os responsveis pelos
processos e recursos do
negcio envolvem-se na
avaliao de risco e no
processo de gesto da
continuidade do negcio?
A avaliao considera todos
os processos do negcio e
no se limita aos recursos e
instalaes de processamento
da informao?
Aps a avaliao dos riscos,
foi desenvolvido um plano
estratgico para adoo do
plano de continuidade? O
plano foi validado pela
Direo?
O processo de planejamento
da continuidade do negcio
leva em considerao:
Identificao e concordncia
de todas as responsabilidades
e procedimentos de
emergncia? dada ateno
especial a dependncias
externas e contratos
existentes? Documentao
dos processos e
procedimentos acordados?
Ocorre treinamento adequado
do pessoal envolvido nos
procedimentos e processos de
emergncia?
So consideradas as
condies para ativao dos
planos, os quais descrevem os
processos a serem seguidos
previamente a sua ativao ?
(Como se avalia a situao?
Quem deve ser acionado?)
So considerados os
procedimentos de emergncia

Classifica
o

Peso

Valores
Referncia
Apurado

Aderncia
(%)

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

163
Domnio

Controle

Item

4.3

4.4

4.5

4.6

Teste dos
planos
(A.14.1.5)

5.1

5.2

5.3

5.4

5.5

5.6

Manuteno e
reavaliao do
planos
(A.14.1.5)

6.1

6.2

Perguntas

que descrevem as aes a


serem tomadas aps a
ocorrncia dos incidentes? Os
procedimentos levam em
questo a gesto de relaes
pblicas e o contato com
autoridades pblicas
(bombeiro, polcia e outras
autoridades)?
So considerados os
procedimentos de recuperao
e as aes necessrias para a
transferncia das atividades
essenciais do negcio ou os
servios de infraestrutura para
localidades alternativas
temporrias visando a
restaurao das atividades do
negcio em um tempo
razovel?
So desenvolvidas atividades
educativas e de
conscientizao que criem um
entendimento do processo de
continuidade do negcio e que
o ajudem a tornar efetivo?
feita a designao das
responsabilidades individuais,
que descreva quem
responsvel pelo que no
plano? Suplentes so
estabelecidos?
A atividade de recuperao de
alguns servios tcnicos tais
como: instalaes de
comunicaes, so de
responsabilidade de seus
respectivos fornecedores?
Os testes so efetuados
levando em considerao
diversos cenrios diferentes?
Simulaes so efetuadas
visando o treinamento do
pessoal em suas atividades
ps-crise?
So feitos testes de
recuperao tcnica que
garantam que os sistemas de
informao possam ser
efetivamente recuperados?
So efetuados os testes de
recuperao nos locais
alternativos visando a
continuidade do negcio?
So efetuados testes dos
recursos, servios e
instalaes de fornecedores
para que se garanta que os
servios e produtos fornecidos
atendam aos requisitos
contratados?
Um ensaio geral efetuado
visando testar se a
organizao, pessoal,
equipamentos, recursos e
processos esto aptos a
enfrentar interrupes?
As responsabilidades pelas
anlises crticas e peridicas
no plano so definidas e
estabelecidas?
As mudanas nas atividades

Classifica
o

Peso

Valores
Referncia
Apurado

Aderncia
(%)

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

15

0,0

164
Domnio

Controle

Item

6.3

Perguntas

Classifica
o

do negcio so imediatamente
contempladas, ou atualizadas,
no plano de continuidade?
So levadas em considerao
0
as situaes que podem
demandar atualizao do
plano, tais como: aquisio de
novo equipamento,
atualizao de sistemas
operacionais, aplicativos,
alterao de pessoal,
alterao de endereos ou
nmeros telefnicos,
alteraes de estratgias de
negcio, mudanas na
legislao, mudana na
localizao de recursos, troca
de fornecedores ou mudana
de contrato?
Aderncia Geral: "Gesto Da Continuidade
do Negcio"

Peso

Valores
Referncia
Apurado

Aderncia
(%)

15

0,0

405

0,0

Legenda:
Classificao (pontuao dada pelo cliente quanto situao do controle): 0 (zero) completa ausncia, 1 (um) presena
inexpressiva; 2 (dois) presena parcial e 3 (trs) presena total do controle de segurana.
Peso (importncia de um determinado controle/requisito de segurana): 0 (zero) nenhuma importncia, sem necessidade de
implantao pela instituio; 2 (dois) mdia importncia com necessidade de implantao em mdio prazo ou 5 (cinco) alta
importncia com necessidade de implantao em curto prazo.
Valor de referncia: a maior pontuao possvel multiplicando o peso do controle pela maior pontuao de classificao (3);
Valor apurado: multiplicao do peso do item, pela classificao de situao do controle respondida pelo usurio.
O ndice de conformidade pode variar de 0 (zero) a 15 (quinze) e a aderncia calculada pela relao entre o valor apurado e
o valor de referncia.

Seguem abaixo outras questes que tambm serviram de suporte para a


pesquisa, com suas respostas:
a) H um plano de continuidade de negcios em sua organizao?
R: No.
b) Como o comprometimento da direo e das chefias maiores do rgo com a
GCN?
R: Esto preocupados com essa questo.
c) Os colaboradores conhecem, compreendem e aplicam conceitos de GCN?
R: No.
d) H uma cultura de GCN disseminada e implantada?
R: No.
e) Como se aplicaria a Norma Complementar n 06 (IN06, 2009), em sua
organizao? Quais as dificuldades?
R: Seria de extrema valia, pois serviria como balizamento para a elaborao do
instrumento normativo interno referente continuidade dos negcios. As
dificuldades estariam relacionadas mobilizao das pessoas e, da Direo, no
sentido de se viabilizar recursos suficientes e necessrios para esse projeto.

165
f) Quais atividades e setores da organizao esto mais diretamente relacionados
misso do rgo, ou seja, quais os setores e atividades prioritrios para a
implantao de uma cultura de GCN?
R: Todas as reas da empresa so importantes e deveriam participar de todas as
etapas do projeto de GCN.
g) H uma cultura de GCN disseminada e implantada nos fornecedores e parceiros
de sua organizao?
R: Se for um requisito que o fornecedor tenha recursos/processos de GCN
especificado no edital que dar margem licitao. Depois, essa questo
averiguada durante a prestao de servios.

166

5 Discusso

Neste captulo segue a anlise e interpretao dos dados da pesquisa


descritos no captulo 4. Para cada rea pesquisada so ressaltadas as evidncias
que esclarecem as questes levantadas por meio de anlises quantitativas ou
qualitativas das informaes e dados obtidos, relacionando os resultados com os
objetivos, questes e hipteses de pesquisa.

5.1 Sistemas, Informao e Comunicao


A anlise dos requisitos de Segurana da Informao e Comunicaes (SIC)
do sistema de misso crtica em questo contemplou desde o planejamento do
sistema, passando pelo seu desenvolvimento e implementao, chegando at o
momento atual, com a anlise da questo operacional e documental do mesmo.
5.1.1 Aspectos positivos encontrados
Foram levantados inmeros requisitos de controle de segurana da
informao e comunicaes, dentre esses:
Utilizao de controles para tratamento de dados de entrada e de
sada, com formulrios automatizados de resposta, para o caso do
usurio entrar com uma informao errada em um campo que no seja
apropriado;
Criao e utilizao de processo para averiguar se os candidatos a
clientes identificam-se com um conjunto mnimo de dados corretos e
necessrios, de forma que o processo de cadastramento dos mesmos
comece de forma apropriada;
Utilizao de controles de acesso lgico que permitam que os usurios
utilizem contas e senhas nicas, que sejam enviadas automaticamente

167
logo aps o incio do processo e, sempre que houver a troca de senha
solicitada pelo prprio usurio;
Utilizao de controles fsicos para tratar o recebimento de documentos
e informaes referentes a cada projeto;
Utilizao de backup centralizado e automatizado;
Efetivao de Controle de acesso lgico do cliente que precisa efetivar
carga dos dados no sistema, com login individual;
Utilizao de perfis de segurana para garantir diferentes nveis de
autorizao para uso e consulta do sistema; e
Utilizao

de

respostas

padronizadas

automatizadas

para

comunicao de pendncias e exigncias junto aos clientes. O


histrico dessas mensagens fica gravado no ambiente principal do
sistema.
5.1.2 Aspectos negativos encontrados
Seguem os aspectos negativos que mais se destacaram:
No realizao de uma anlise de riscos para avaliao real das
ameaas e vulnerabilidades existentes. O processo de gesto de riscos
indicaria o plano de tratamento ideal para mitigar, ou at mesmo
eliminar os riscos existentes;
No realizao de um processo de classificao da informao
conforme indicado pelo conjunto de melhores prticas em segurana
da informao e comunicaes. Todas as informaes so tratadas
como confidenciais, mas o processo ainda no est adequado;
Alguns subprocessos internos para tratamento da informao fsica no
esto documentados e dependem de conhecimento exclusivo de
poucos colaboradores;
O sistema de protocolo de recebimento de documentos fsicos no est
automatizado e integrado ao ambiente principal do sistema;
Algumas intervenes na utilizao do sistema, que deveriam ser
realizadas

pelos

usurios,

so

executadas

pela

equipe

de

desenvolvimento de sistemas;
Necessidade de documentar melhor as reunies de tomadas de
deciso, no que diz respeito implementao de melhorias e

168
correes impostas pela legislao, inclusive no que diz respeito
realizao interna entre a equipe de anlise e de desenvolvimento; e
Falta de mapeamento do fluxo de trabalho dos usurios assistentes.
5.1.3 Anlise
A pesquisa teve um importante fator no detalhamento dos principais requisitos
de segurana atualmente postos em prtica pelo sistema XPTO. Diversos aspectos
positivos foram encontrados, contudo, tambm percebe-se pelas respostas aos
questionrios, e pela avaliao das entrevistas, que muito ainda h que ser feito
para se viabilizar e assegurar a SIC das informaes do sistema de misso crtica
em questo.
A pesquisa tambm servir como base para uma futura anlise de riscos que
ajudar a levantar as vulnerabilidades e possveis aes para mitigao ou
eliminao das mesmas.
importante denotar que algumas das vulnerabilidades detectadas durante a
pesquisa j foram tratadas pelos usurios e deixaram de existir.
A pesquisa denotou que os requisitos de segurana da informao e
comunicaes sendo atualmente utilizados no sistema de misso crtica XPTO so
funcionais, mas ainda h muito o que se fazer para se garantir plenamente as
propriedades bsicas da informao, que so a disponibilidade, integridade,
confidencialidade e autenticidade.
A hiptese O conjunto de requisitos de segurana da informao e
comunicaes estabelecidos inicialmente para o sistema de misso crtica XPTO
so suficientes para atender aos requisitos de negcio estabelecidos e os requisitos
de controle preconizados pelas melhores prticas do mercado, inicialmente
proposta fica, ento, refutada, pois os controles ainda no so plenamente
suficientes para assegurar todas as propriedades de SIC.
Sendo assim, levar em considerao dados e informaes advindos de
sistemas de misso critica torna-se uma atividade de extrema importncia para a
construo de um sistema de gesto de SIC eficiente e eficaz.

5.2 Infraestrutura de Tecnologia da Informao


Durante a pesquisa foram levantados dados concernentes infraestrutura de
TI que contemplaram:

169
A empresa em si, como misso, funes, clientes, intervenientes,
processos, produtos, servios, funes e negcios que realiza;
A infraestrutura de TI, incluindo informaes sobre investimento, viso
estratgica, e relao com a cultura organizacional;
Os elementos da infraestrutura de TI, como por exemplo: estrutura
eltrica, climatizao e controles de acesso fsico;
Os computadores e demais equipamentos relacionados, desktops,
laptops, servidores, clusters e storage;
Os equipamentos de rede e Telecom;
Os sistemas de armazenamento e recuperao; e
O Datacenter da organizao.
5.2.1 Aspectos positivos encontrados
As informaes iniciais demonstram que a implantao da infraestrutura de TI
tem seguido um projeto inicial que tem se baseado nas normas e melhores prticas
de cada rea correlacionada (rede, eltrica, refrigerao e etc.) e tem procurado
mitigar e reduzir os riscos e vulnerabilidades ao negcio.
Cada compra de equipamento precedida de um processo que demanda um
projeto, uma nota tcnica, que esteja previsto no oramento (normalmente feito no
ano anterior), que atenda a uma necessidade do negcio e que esteja dentro dos
padres e normas de funcionamento e segurana.
Antes de serem colocados em produo os equipamentos so testados at
que sejam finalmente homologados e normalmente sua manuteno fica
subordinada a um SLA (Service Level Agreement) regido por um contrato. A partir
de ento feita a gesto comercial e tcnica do contrato, com fiscais diferentes para
cada rea.
Existe uma documentao bem detalhada da infraestrutura de rede, cujo
projeto apresenta vrios cuidados quanto necessidade de resilincia e
continuidade, apresentando sempre que possvel mais de uma rota de comunicao
entre dois ativos do backbone principal.
A distribuio dos servidores fsicos e virtuais pelos respectivos servios
prestados documentada. Alm disso, tem-se buscado documentar o processo de
instalao de cada um dos servidores, o que serviria de base para a elaborao de
um disaster recovery.

170
No que diz respeito ao fornecimento de energia, utilizam-se no-breaks, com
bateria suficiente para atender a at duas horas de falta de abastecimento e as
cargas so distribudas pelos circuitos. O projeto eltrico foi conduzido por
profissional habilitado e documentado.
Quanto refrigerao, tambm buscou-se consultoria externa para o correto
dimensionamento e ter-se redundncia. Tanto o projeto eltrico e de ar-condicionado
esto adequados e so suficientes para atender aos requisitos do negcio.
O prdio e o condomnio em que hoje se situa o escritrio-central da empresa,
utiliza o conceito de prdio inteligente e utiliza-se de uma srie de medidas de
segurana que valem para todas as empresas do edifcio, dentre essas medidas
destacam-se:
Controle de acesso por meio de catraca na entrada do edifcio,
exigindo-se a passagem de crach por parte dos colaboradores e a
identificao dos visitantes a fim de que consigam entrar no prdio;
Os corredores do hall dos elevadores e das reas comuns so servidos
por cmeras;
Realizao de pelo menos dois exerccios de simulao de incndio ao
ano;
Existncia de brigada de incndios;
Extintores testados e verificados dentro de uma regularidade prevista; e
Existncia de Sprinklers em todas as reas;
O Datacenter foi completamente remodelado utilizando-se de princpios
de redundncia em relao aos sistemas de:
o Fornecimento de energia eltrica;
o ar-condicionado; e
o Nobreaks.
5.2.2 Aspectos negativos encontrados
Seguem os aspectos negativos que mais se destacaram:
O processo de instalao dos servidores no est completamente
documentado;

171
No adoo de uma biblioteca de melhores prticas de gesto de
servios de TI, como o ITIL5, a fim de se aprimorar os processos hoje
em funcionamento6;
Falta de um catlogo de servios que permita denotar que ativos da
infraestrutura so mais crticos para o negcio (conforme preconizado
pelas melhores prticas em gerenciamento de TI); e
No realizao de anlise de riscos sobre os ativos da infraestrutura de
TI de forma a se levantar as vulnerabilidades e ameaas que podem
atuar sobre os ativos da infraestrutura de TI.
5.2.3 Anlise
Finalizando, com os dados e informaes levantadas conseguiu-se responder
questo de pesquisa Como est organizada a infraestrutura de tecnologia da
informao na COMPANHIA X? A infraestrutura de TI na COMPANHIA X atende aos
requisitos de segurana da informao e comunicao do negcio?, desse estudo
de caso, por meio do conhecimento de como est organizada a infraestrutura de TI e
que a mesma est parcialmente atendendo aos requisitos de segurana da
informao e comunicaes do negcio, com algumas ressalvas, que precisam ser
tratadas to logo possvel.
Com isso, a hiptese A infraestrutura de TI atende aos requisitos de
segurana da informao e comunicaes do negcio, proposta nesse estudo, fica
parcialmente comprovada.
Uma maneira de mudar essa situao seria por meio da adoo de uma
ferramenta que possa automatizar os processos de gesto de TI. Destacam-se
abaixo, exemplos de processos que poderiam ser implantados e automatizados.
Esses processos baseiam-se na verso 2 do ITIL7 (2000). Outros :
Gesto de incidentes;
Gesto de Problemas;
5

(IT Infraestructure Library) - Biblioteca de Infraestrutura de Tecnologia da Informao que uma


coletnea de melhores prticas para Gesto dos Servios de TI (ITIL, 2000).
6
Esses processos hoje so executados parcialmente, de forma manual ou semiautomtica
precisando de aprimoramento e da utilizao de uma ferramenta de software para automatizao e
operao.
7

O ITIL hoje encontra-se na verso 3, com um nmero bem maior de processos, quando comparado
com a verso 2. Contudo, a verso 2 implementada por um grande nmero de fornecedores de
software do mercado.

172
Gesto de Mudanas;
Gesto de Liberaes
Gesto de Configurao;
Gesto de Nvel de Servios;
Gesto Financeira;
Gesto de Disponibilidade
Gesto da Capacidade; e
Gesto de Continuidade.
Por conseguinte, levar em considerao dados e informaes relacionados
infraestrutura de TI tambm de extrema importncia para a construo de um
sistema de gesto de SIC eficiente e eficaz.

5.3 Poltica e Cultura de Segurana


Segue a anlise dos fatos e evidncias.
5.3.1 Sobre o processo de elaborao da POSIC
No caso da COMPANHIA X, levou-se em considerao para a elaborao da
POSIC em vigor, a norma ABNT 27002 (2005), referente ao conjunto de melhores
prticas em Segurana da Informao e Comunicaes (SIC), norma esta que
sugere e indica requisitos de controle de segurana da informao e comunicaes
que podem ser indicados para atenderem aos requisitos de segurana impostos pelo
negcio e pela legislao.
Tambm foram observadas as diretrizes impostas pela Instruo Normativa
01 (IN01, 2008), elaborada pelo Departamento de Segurana da Informao e
Comunicaes do Gabinete de Segurana Institucional da Presidncia da Repblica.
A POSIC foi elaborada pelo Comit de Segurana da Informao e
Comunicaes que, por sua vez, coordenado pelo Gestor de SIC. Aps amplo
debate e aprovao no mbito do comit, a POSIC foi encaminhada para apreciao
e aprovao por parte da Diretoria Executiva da empresa. Salienta-se que o comit
formado por representantes de todas as Diretorias da empresa, e por um membro
da Consultoria Jurdica.
A POSIC foi aprovada pela Diretoria Executiva da empresa em 2009 e foi
disponibilizada na intranet da organizao.

173
5.3.2 Sobre a adequao da POSIC aos requisitos de controle de Segurana
da Informao e Comunicaes da COMPANHIA X
Para verificao da adequao da POSIC, aos requisitos de controle de
Segurana da Informao e Comunicaes (SIC) da COMPANHIA X, foi realizada
uma anlise de aderncia e conformidade com a norma ABNT 27002, quanto
seo Poltica de Segurana da Informao, analisando-se os requisitos de controle
sugeridos ou recomendados. Estes requisitos deram margem criao das
questes que foram analisadas.
Por meio das respostas foi obtida uma descrio mais detalhada da
abrangncia da POSIC avaliando se a mesma estava aderente aos requisitos de
controle de segurana da informao e comunicaes preconizados pela norma. O
ndice de aderncia final alcanado foi de 72,7% que indica o esforo at ento
realizado pela empresa para estar aderente s melhores prticas de SIC
preconizadas pelo mercado e sua inteno de cumprir as determinaes da
legislao.
Vale salientar que uma anlise de aderncia similar a esta, em relao
mesma seo da norma ABNT 27002 (relativo POSIC), realizada em dezembro de
2008, atingiu o valor de 9,1% de conformidade, o que representa que desta data, at
o momento, ocorreu uma grande melhoria no processo de gesto de SIC como um
todo.
Sendo assim, considera-se a POSIC da COMPANHIA X adequada no
atendimento dos requisitos de segurana impostos pelo negcio. Contudo, os itens
que obtiveram classificao 2 (presena parcial do controle de segurana da
informao) precisam ser aprimorados, o que deve ser atingido com o
desenvolvimento e implantao das normas de segurana complementares que
apoiaro a POSIC, dentre estas:
Norma para Utilizao de Recursos Computacionais;
Norma para Controle de Acesso;
Norma para Gesto de Ativos;
Norma referente Segurana Fsica e do Ambiente;
Norma para Gesto das Operaes e Comunicaes;
Norma para Aquisio, Desenvolvimento e Manuteno de Sistemas
de Informao;

174
Norma para Gesto de Incidentes;
Norma para Gesto da Continuidade do Negcio; e
Norma para Gesto de Conformidade.
5.3.3 Sobre a adequao do Programa Corporativo de Conscientizao em
Segurana da Informao e Comunicaes s necessidades da
COMPANHIA X
O Programa Corporativo de Conscientizao em Segurana da Informao e
Comunicaes foi elaborado pelo Comit de SIC e aps amplo debate, foi aprovado
e encaminhado para aprovao pela Diretoria Executiva (DE) da empresa.
O programa teve incio em 2010 e foi dividido em duas etapas. A primeira
etapa iniciou com a aplicao de um Seminrio de SIC, que teve como uma das
suas principais atividades, uma palestra que abordou profundamente a POSIC,
explicando em detalhes cada artigo da mesma. Foram preparados materiais para
divulgao e reforo do contedo do Seminrio. A carga horria desta primeira etapa
do seminrio foi de 3 horas.
A segunda etapa engloba um treinamento em Segurana para a Internet, com
uma durao total de 6 horas. O treinamento ter notas de aula, material didtico
disponvel de forma impressa e digital e apoio da equipe tcnica da empresa. Um
dos objetivos dessa etapa melhorar o nvel de conscientizao dos usurios sobre
segurana da informao e comunicaes, e os riscos inerentes utilizao dos
recursos computacionais, principalmente a Internet.
O Programa entrou em um ciclo contnuo de melhorias e deve ser aplicado
tambm a todos os novos usurios que vierem a ingressar na empresa. Alm disso,
a presena de todos os usurios da empresa, nas duas etapas do Programa,
obrigatria.
5.3.4 Anlise
Com as medidas adotadas, considera-se adequado o Programa Corporativo
de Conscientizao em Segurana da Informao e Comunicaes.
Segue na Figura 5.1 uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Poltica de
Segurana da Informao, analisando-se os requisitos de controle recomendados.

175

POLTICA DE SEGURANA DA INFORMAO


POLTICA DE SI
(A.5.1)
100
50

REFERNCIA
APURADO

0
POLTICA - REVISO
E AVALIAO
(A.5.1.2)

DOCUMENTO DE
DEFINIO DA POSIC
(A.5.1.1)

Figura 5.1 - Anlise de Aderncia em relao rea Poltica de SI da norma ABNT


27002 (2005).
Finalizando, com os dados e informaes levantadas conseguiu-se responder
questo de pesquisa A Poltica de Segurana da Informao e Comunicaes da
COMPANHIA X adequada para atender aos requisitos de segurana da
informao e comunicaes do negcio e aos especificados pela legislao?,
chegando-se concluso que a POSIC da COMPANHIA X adequada para aos
requisitos de segurana da informao e comunicaes do negcio e aos
especificados pela legislao, comprovando a hiptese A Poltica de Segurana
da Informao e Comunicaes adequada para atender aos requisitos de controle
de Segurana da Informao e Comunicaes da COMPANHIA X. Contudo, a
POSIC ainda apresenta algumas restries (todos os itens classificados com a nota
2 ou 1) que precisam ser tratadas to logo possvel.
Sendo assim, ter uma POSIC bem elaborada, baseada na legislao e nas
recomendaes das normas de melhores prticas de gesto de SIC, que seja
aprovada pela direo, e amplamente divulgada pela organizao, tambm torna-se
uma atividade de extrema importncia para a construo de um sistema de gesto
de SIC eficiente e eficaz.

5.4 Organizaes e Sistemas de Informao


Segue a anlise dos fatos e evidncias.
Para verificar se a forma como est organizado o sistema de gesto de
Segurana da Informao e Comunicaes na COMPANHIA X

atende aos

requisitos de segurana da informao e comunicaes do negcio, foi realizada

176
uma anlise de aderncia e conformidade com a norma ABNT 27002 (2005) quanto
seo Organizando a Segurana da Informao, analisando-se os requisitos de
controle sugeridos ou recomendados.
Estes requisitos deram margem criao das questes que foram analisadas.
Alm disso, outras informaes coletadas nos registros e demais documentos da
instituio foram levados em considerao na anlise.
5.4.1 Sobre o comprometimento da direo do rgo com a Segurana da
Informao e Comunicaes
O comprometimento da direo da empresa com a Segurana da Informao
e Comunicaes efetivamente documentado e expressado por meio de um artigo
contido na POSIC da empresa, que denota todo o apoio e aes a serem
observadas pela mesma, para se garantir e viabilizar a SIC.
Art. # - A Direo Executiva da COMPANHIA X, no uso de suas
prerrogativas, de acordo com orientaes e conformidades que se fazem
necessrias em razo do Decreto n 3.505, de 13 de Junho de 2000, e da
Instruo normativa GSI n 1, de 13 de Junho de 2008, compromete-se a:.
(Art. #, Poltica de Segurana da Informao e Comunicaes da
COMPANHIA X)

Alm disso, as notas aferidas pela anlise de aderncia norma ABNT 27002
(2005), referente ao controle Comit de Segurana, denotam a existncia do
comit e que o mesmo est atuando ativamente, j tendo elaborado e aprovado a
POSIC, junto Diretoria Executiva (DE) da empresa.
As perguntas que receberam classificao 3 (presena total do controle de
segurana) expressam que o item em questo est plenamente presente na
instituio.
Todas as aes do Comit necessitam de aprovao da diretoria executiva o
que denota o comprometimento da direo com o assunto SIC. A DE instituiu o
comit tendo uma abordagem multidisciplinar, com representantes de cada diretoria
e, tambm, instituiu o cargo de gestor de SIC, atribuindo essa funo a um
colaborador da empresa. Por ltimo, ressalta-se que a DE aprovou a implantao de
um Programa Corporativa de Conscientizao em SIC e que teve incio em 2010.
5.4.2 Sobre a coordenao e responsabilidades de Segurana da Informao e
Comunicaes
Seguem abaixo os pontos positivos levantados:

177
Em 2008, foi nomeado um gestor de SIC. Suas atribuies e
competncias esto descritas nos artigos contidos na POSIC da
empresa.
Em alguns artigos da POSIC tambm so estabelecidas as
responsabilidades do Gestor da Informao e do Custodiante da
informao.
O Gestor de SIC atua ativamente e coordena o CSIC. Ele tambm atua
junto equipe de infraestrutura e suporte tomando medidas
preventivas e corretivas quanto aos incidentes de SIC.
Seguem abaixo os pontos negativos levantados:
As responsabilidades pelos ativos individuais no esto claramente
definidas;
No avaliado adequadamente a implementao de controles
especficos de segurana da informao e comunicaes para novos
sistemas e servios;
No estabelecido nenhum processo de gesto de riscos e
classificao das informaes, e sem isso, fica difcil estabelecer
corretamente as responsabilidades pelos ativos.
As notas aferidas pela anlise de aderncia norma ABNT 27002
(2005), referente ao controle Coordenao e Responsabilidades da
Segurana da Informao, denotam que vrios itens receberam
pontuao, mas a grande maioria recebeu a classificao 1, o que
representa uma presena inexpressiva do controle de segurana em
questo e que muito ainda h que ser feito at se atingir a classificao
3 (presena total do controle de segurana).
5.4.3 Sobre

Consultoria

Interna

em

Segurana

da

Informao

Comunicaes
A empresa mantm hoje em seus quadros consultoria especializada em SIC.
Contudo, a anlise de aderncia norma ABNT 27002 (2005) em relao aos itens
do controle Consultoria interna apresentou notas muito baixas denotando que os
processos hoje sendo executados pelos respectivos profissionais precisam de
aprimoramento e formalismo.

178
Recomenda-se a implantao de processos para gesto de incidentes, com
foco especial em incidentes relacionados SIC, gesto de problemas, gesto de
mudanas e gesto de nvel de servios. Tambm recomenda-se que todas as
atividades e processos desempenhados por estes profissionais sejam mapeados e o
conhecimento envolvido na execuo das tarefas seja documentado.
5.4.4 Sobre a cooperao entre a empresa e outras organizaes no que diz
respeito Segurana da Informao e Comunicaes
Seguem abaixo os pontos positivos levantados:
Execuo de aes visando a continuidade do negcio e dos servios
de TI, dentre elas:
o Backup em fita disponibilizado em local fora do site principal da
empresa;
o Poltica de backup que, no momento, est sendo aprimorada;
o Utilizao de ferramenta de software para gesto do backup,
assim como de uma unidade de fita robotizada, com vrios
drives para gravao e grande capacidade; e
o Especificao de termos de referncia que sempre tenham
acordos de nvel de servio bem definidos e que contemplem o
tempo de retorno de equipamentos, produtos e servios
operao normal de trabalho.
Seguem abaixo os pontos negativos levantados:
A anlise de aderncia norma ABNT 27002 (2005) em relao ao
item de controle Cooperao entre organizaes apresentou nota
zero (completa ausncia do controle de segurana) para as duas
perguntas deste tpico; e
No h um processo formal de gesto de continuidade estabelecido e
nem um plano de recuperao de desastres implementado.
5.4.5 Sobre o acesso de terceiros informao produzida ou custodiada pela
COMPANHIA X
Seguem abaixo os pontos positivos levantados:
Diversos aspectos relacionados SIC normalmente so tratados em
todos os contratos externos estabelecidos, tais como: questes de
confidencialidade da informao produzida ou custodiada pela

179
empresa; questes de propriedade industrial, questes relacionadas
continuidade e garantia dos servios ou produtos;
O controle de acesso atualmente utiliza biometria;
Existem sensores de movimento espalhados em alguns pontos
estratgicos que alertam a sala de controle do condomnio em caso de
movimentos em horrios fora do horrio;
Est em vigor uma POSIC vlida e aplicvel para todos os usurios da
empresa, sejam internos, terceirizados, fornecedores de produto ou
servio. Inclusive, os funcionrios terceirizados iro participar do
Programa Corporativo de Conscientizao em SIC; e
As notas aferidas pela anlise de aderncia norma ABNT 27002
(2005), referente ao controle Acesso de terceiros, foram razoveis;
isto

somente

dois controles receberam nota

(presena

inexpressiva do controle) dentre 11 controles verificados. Esses


controles precisam ser aprimorados.
Seguem abaixo os pontos negativos:
Necessidade de se iniciar e por em prtica um processo de gesto de
riscos, para se determinar com mais preciso as implicaes de
segurana e os requisitos de controle necessrios;
Falta de um sistema de Circuito Fechado de Televiso (CFTV)
abrangente e que ajude a monitorar os permetros de segurana mais
crticos;
Em determinados momentos, fora do horrio normal de trabalho,
encontram-se s prestadores de servio terceirizados no ambiente
empresarial;
Inexistncia de normas ou polticas de mesa limpa e tela vazia,
conforme preconizado pela norma ABNT 27002 (2005); e
O processo de comunicao/cooperao entre organizaes ainda no
foi iniciado.
5.4.6 Anlise
Por meio das respostas foi obtida uma descrio detalhada de como est
organizada a gesto de segurana da informao e comunicaes na COMPANHIA
X, e possibilitou determinar se a mesma est aderente aos requisitos de controle de

180
segurana da informao e comunicaes. O ndice de aderncia final alcanado,
nas categorias detalhadas na seo 4.4.4 (desse trabalho monogrfico), foi de
52,8% o que denota o esforo at ento realizado pela empresa para estar aderente
s melhores prticas de SIC preconizadas pelo mercado e sua inteno de cumprir
as determinaes da legislao.
Segue na Figura 5.2 uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Organizando a
Segurana da Informao, analisando-se os requisitos de controle recomendados.

ORGANIZANDO A SEGURANA DA INFORMAO


COMIT DE SEGURANA
(A.6.1)

300

ACESSO DE TERCEIROS
(A.6.2.3)

200

100

COORDENAO E
RESPONSABILIDADES DA
SI (A.6.1.1; A.6.1.2;
A.6.1.3; A.6.1.4)

0
REVISO DA SEGURANA
(A.6.1.8)

CONSULTORIA INTERNA
(A.6.1.1)
COOPERAO ENTRE
ORGANIZAES (A.6.1.7)

REFERNCIA
APURADO

Figura 5.2 - Anlise de Aderncia em relao rea Organizando a SI da norma


ABNT 27002 (2005).
Com os dados e informaes levantadas conseguiu-se responder questo
de pesquisa A forma como est organizado o sistema de gesto de Segurana da
Informao e Comunicaes na COMPANHIA X atende aos requisitos de segurana
da informao e comunicaes do negcio?, desse estudo de caso, chegando-se
concluso que a forma como est organizado o sistema de gesto de Segurana da
Informao e Comunicaes na COMPANHIA X atende aos requisitos de segurana
da informao e comunicaes do negcio e aos especificados pela legislao,
comprovando a hiptese proposta. Contudo, denota-se que ainda h muito que se
fazer para que se chegue a uma taxa de aderncia e conformidade, com a norma
ABNT 27002 (2005), mais adequada.
Sendo assim, organizar a SIC de forma aderente s melhores prticas e de
acordo com a legislao contribui sobremaneira para a construo de um sistema de
gesto de SIC eficiente e eficaz.

181

5.5 Controles de Segurana Fsica e Ambiental


Para verificar se os requisitos de controle de Segurana da Informao e
Comunicaes relacionados Segurana Fsica e Ambiental, da COMPANHIA X,
esto em conformidade com os requisitos de segurana da informao e
comunicaes do negcio, foi realizada uma anlise de aderncia e conformidade
com a norma ABNT 27002 (2005) quanto seo Segurana Fsica e do
Ambiente. Estes requisitos deram margem criao das questes que foram
analisadas no captulo 4.
Por meio das respostas, foi obtida uma descrio detalhada de como est
implementada a Segurana Fsica e ambiente na COMPANHIA X, e determinado se
a mesma est aderente aos requisitos de controle de segurana da informao e
comunicaes. O ndice de aderncia final alcanado foi de 71,5% o que denota o
esforo at ento realizado pela empresa para estar aderente s melhores prticas
de SIC preconizadas pelo mercado e sua inteno de cumprir as determinaes da
legislao.
5.5.1 Pontos positivos que mais se destacaram na pesquisa
Seguem abaixo os pontos positivos levantados:
Apesar da empresa no utilizar o termo Permetro de segurana, ele
efetivamente

existe

vrias

recomendaes

da

norma

so

observadas, tais como:

Somente pessoal autorizado tem acesso ao edifcio;

Existe rea de recepo com pessoal e porta com recurso de


ativao por biometria;

O acesso s reas crticas e sensveis controlado;

O controle fsico de entrada efetuado por meio de algumas


aes, como por exemplo:
Necessidade de utilizao de crach de identificao
e passagem do mesmo em catraca para se ter o
acesso liberado; e
As trilhas de auditoria dos acessos so guardadas em
local seguro.

Os equipamentos crticos ficam em local no acessvel ao pblico;

182
Os equipamentos administrados pela organizao ficam fisicamente
separados dos equipamentos administrados por terceiros;
evitado o trabalho no monitorado em reas seguras;
As reas de entrega e de carregamento so isoladas;
So tomados cuidados quanto localizao e proteo dos
equipamentos;
O suprimento de energia eltrica adequado e satisfatrio;
utilizado No-break (Uninterruptible Power Supply - UPS) para toda a
rea do Datacenter;
O cabeamento de rede e eltrica foi lanado seguindo as normas
referentes rea;
Os cabos de fora ficam fisicamente separados dos cabos eltricos;
Os equipamentos recebem manuteno com a periodicidade e de
acordo com as especificaes recomendadas pelo fabricante;
A utilizao de qualquer equipamento da empresa, fora de suas
instalaes, s ocorre com autorizao da chefia imediata do usurio;
So tomados cuidados quanto ao descarte e reutilizao de
equipamentos;
A retirada de bens da empresa s ocorre com autorizao;
A dedetizao efetuada com regularidade;
Existem planos de escape para casos de incndio, com realizao de
treinamentos espordicos e planejados;
As sadas de emergncia so verificadas em relao usabilidade
periodicamente;
Existem

linhas

telefnicas

analgicas

interligando

as

centrais

telefnicas da empresa, com a da empresa que administra o


condomnio em que a organizao est situada. Essa interligao
serve para a comunicao de sinistros;
Existe controle automatizado de temperatura;
Existem alarmes no sistema de ar-condicionado; e
O sistema de climatizao do Datacenter exclusivo. O prdio est em
boas condies em relao umidade, infiltraes e vazamentos.

183
5.5.2 Pontos negativos que mais se destacaram na pesquisa
Seguem os pontos negativos levantados:
No foi realizada anlise de risco para determinar os permetros de
segurana que efetivamente precisariam ser mais bem controlados;
H a necessidade de se rever, com uma menor periodicidade, os
direitos de acesso fsico;
necessrio rever o local e a distncia para a disponibilizao das fitas
de backup, conforme preconizado pela norma ABNT 27002 (2005) ;
Falta estabelecer uma poltica ou norma referente aos atos de comer e
beber prximo aos equipamentos;
necessrio se implementar os processos de gesto de continuidade
e planos de recuperao de desastres para tratar, inclusive, questes
relacionadas ao ar-condicionado, suprimento de energia eltrica e etc.
Existem aes sendo tomadas, mas que demandam um maior
formalismo; e
Precisam-se

estabelecer

controles

mais

aprimorados

para

equipamentos que necessitem ser removidos da empresa para


manuteno.
5.5.3 Anlise
Com os dados e informaes levantadas conseguiu-se responder questo
de pesquisa Os requisitos de controle de segurana da informao e comunicaes
da COMPANHIA X esto em conformidade com o preconizado e sugerido pela
seo Segurana fsica e do ambiente, da norma ABNT 27002 (2005)?, desse
estudo de caso, chegando-se concluso que os requisitos de controle de
segurana da informao e comunicaes da COMPANHIA X esto em
conformidade com o preconizado e sugerido pela seo Segurana fsica e do
ambiente, da norma ABNT 27005 (2005), comprovando a hiptese Os requisitos
de controle de segurana da informao e comunicaes relacionados segurana
fsica e do ambiente esto adequados para a COMPANHIA X.
Entretanto, muitos controles de segurana ainda no receberam a pontuao
mxima, denotando que aes precisam ser tomadas para otimiz-los e tambm
para que a taxa de aderncia final atinja valores superiores aos 71,5% aferidos.

184
Segue na Figura 5.3 uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Controles de
Segurana Fsica e Ambiental, analisando-se os requisitos de controle sugeridos ou
recomendados.
SEGURANA FSICA E DO AMBIENTE
PERMETRO DE SEGURANA (A.9.1.1)
COND. GERAIS DE SEG. RELACIONADOS COM
CONTROLES FSICOS DE ENTRADA (A.9.1.2)
250
SUPRIMENTO DE GUA (A.9.2.2)
AR-CONDICIONADO (A.9.2.2)
PROTEO DAS INSTALAES (A.9.1.4)

SUPRIMENTO DE ENERGIA (A.9.2.2)

DISPOSIO E INFRAEST. DAS EDIFICAES


DESTINADAS FUNO.

200

CONTROLE DE SEG. EM ESCRIT., SALAS E


DEMAIS INSTAL. (A.9.1.3)

150

O TRABALHO EM REAS SEGURAS (A.9.1.5)

100

CONDIES GERAIS DE SEGURANA


RELACIONADOS COM EVACUAES

ISOLAM. DAS REAS DE ENTREGAS E DE


CARREGAMENTO (A.9.1.6)

50
CONDIES GERAIS DE SEGURANA
RELACIONADOS COM A EDIFICAO

LOCALIZAO E PROTEO DOS


EQUIPAMENTOS (A.9.2.1)

CONDIES GERAIS DE SEGURANA DA


EDIFICAO (A.9.2.1)

SUPRIMENTO DE ENERGIA ELTRICA (A.9.2.2)

DISTNCIA DE EQUIPAMENTOS, PRODUTOS


OU LOCAIS CRTICOS (A.9.2.1)

SEGURANA DO CABEAMENTO (A.9.2.3)

LOCALIZAO DOS EQUIPAMENTOS DE


COMBATE A INCNDIOS (A.9.1.4)

MANUTENO DOS EQUIPAMENTOS (A.9.2.4)

EQUIPAMENTOS DE PREVENO E COMBATE


A INCNDIOS (A.9.1.4)
RETIRADA DE BENS (A.9.2.7)
DIRETRIZES DE PROTEO (A.11.3.3)

SEGURANA DOS EQUIPAMENTOS FORA DAS


INSTALAES (A.9.2.5)
SEG. NO DESC. DE EQUIP. (A.9.2.6)
POLTICA DE MESA VAZIA E TELA VAZIA
(A.11.3.3)

REFERNCIA
APURADO

Figura 5.3 - Anlise de Aderncia em relao rea Controle de Segurana Fsica


e Ambiental da norma ABNT 27002 (2005).
Sendo assim, ter requisitos de segurana da informao e comunicaes
relacionados segurana fsica e ambiente, implantados e em funcionamento, tornase um objetivo importante a ser perseguido de forma a contribuir para a construo
de um sistema de gesto de SIC eficiente e eficaz.

5.6 Protocolos de Comunicao Humano-Mquina


Para verificar porque as pessoas se comportam de maneira que acabam por
expor as informaes institucionais a riscos e ameaas, foi utilizada a anlise
ergonmica do trabalho executada sobre uma rea especfica da COMPANHIA X

185
5.6.1 Sobre a instituio
A COMPANHIA X uma empresa sem vcios administrativos e, em parte, se
comporta quase como uma empresa privada. Porm muita coisa ainda precisa ser
feita, tais como:
Necessidade de se elaborar o seu planejamento estratgico;
Necessidade de se implantar um escritrio de projetos;
Necessidade de se implantar ferramentas que documentem e
automatizem processos, tarefas e atividades;
Criar um conjunto de normas que atendam aos processos levantados e
mapeados pelo outro projeto;
importante ressaltar que medidas esto sendo tomadas para a execuo
dos processos citados acima. Contudo, salienta-se a urgncia e a importncia que
tais aes teriam para a mitigao dos comportamentos inseguros, reduzindo,
assim, vulnerabilidades e riscos ao negcio.
5.6.2 Dados sobre as polticas e normas de Segurana da Informao e
Comunicaes vigentes
O processo de confeco da POSIC levou em considerao tanto a legislao
vigente quanto normas consagradas pelo mercado. Alm disso, sua elaborao
levou em considerao a opinio de representantes de todas as diretorias, alm de
comparaes com outros modelos de POSIC vigentes em outras empresas.
O Programa Corporativo de Conscientizao em SIC est bem estruturado e
o planejamento de sua execuo foi bem detalhado. Porm salienta-se que no
foram levados em considerao na elaborao da POSIC (pelo menos no de forma
oficial), as questes ergonmicas que poderiam levar os usurios a cometerem atos
inseguros. Alm disso, algumas das diretrizes ainda no so amparadas por normas
e no tm procedimentos que os apoiem; isto , ainda no h como exigir que tal
diretriz seja seguida por falta de documento normativo interno ou procedimental.
Ressalta-se que esse fato pode ser fonte de inmeros comportamentos
inseguros por parte dos usurios, pois os mesmos ainda no tm todas as suas
obrigaes e responsabilidades relativas SIC definidas. Fica difcil cobrar por algo
que ainda no foi normatizado.

186
5.6.3 Dados sobre os incidentes de segurana
Existe um proposta de norma para gesto de incidentes em redes
computacionais em estgio final de aprovao por parte do comit de SIC e,
tambm um esboo de processo para gesto de incidentes e problemas em
elaborao. A gesto dos incidentes atuais carece de uma ferramenta que
automatize os trabalhos e processos. A implantao da Equipe de Tratamento de
Incidentes em Redes Computacionais (ETIR) e a observncia das diretrizes e
recomendaes da Instruo Normativa Complementar de n 8, de 24 de agosto de
2010 (IN08, 2010) deve contribuir, e muito, para a diminuio dos comportamentos
inseguros dos tcnicos de suporte. A falta de uma ferramenta que automatize o
processo de gesto de incidentes tambm dificulta a administrao e monitorao
dos acordos de nvel de servio (SLAs).
5.6.4 Dados e observaes sobre o comportamento dos funcionrios
Apesar do setor em anlise ser um dos poucos com os processos
completamente mapeados e 100% atualizados, alguns funcionrios apresentaram
comportamento inseguro. Por exemplo: mais fcil e mais rpido perguntar algo ao
colega ao lado, do que procurar o documento em que conste o que deve realmente
ser feito. Alm disso, a premissa de que s deve ser dado o nvel de privilgios que
o funcionrio realmente precisa verdadeira, pois privilgios demais tambm
ocasionam ou facilitam o comportamento inseguro.
Outro ponto relevante a importncia da utilizao de uma ferramenta
automatizada que escalone automaticamente um incidente que esteja aberto e que
tenha sido esquecido pelos funcionrios, sem ser atendido. Isso facilitaria que os
acordos de nvel de servio fossem atendidos e que no ocorressem quebras
contratuais por no atendimento de nvel de servio.
Deve-se verificar na entrada de novos colaboradores, na equipe do prestador
de servio, se so executados os treinamentos e preenchimento de checklist de
itens que no podem ser esquecidos sobre a empresa, seu modo de operao e
recursos e ferramentas de trabalho.
Um ponto positivo a cobrana de termo de responsabilidade e
confidencialidade assinados, por cada funcionrio que entra na equipe, e seu
arquivamento junto aos demais documentos contratuais. No contrato com o

187
fornecedor de servio tambm buscou-se detalhar os servios que deveriam ser
prestados e as questes relativas SIC.
5.6.5 Anlise
Com essa pesquisa, os seguintes resultados foram alcanados:
Foi obtida uma melhor compreenso sobre os comportamentos
inseguros dos usurios;
Foram apresentadas sugestes de solues para os problemas
identificados; e
Ficou comprovada a hiptese de que a anlise ergonmica do
trabalho um importante instrumento da gesto de SIC.
Pode-se, ento, afirmar que a COMPANHIA X atende aos requisitos de SIC
relacionados anlise ergonmica do trabalho.
Sendo assim, levar em considerao todos os aspectos humanos, vistos pela
tica da anlise ergonmica do trabalho, contribui sobremaneira para a construo
de um sistema de gesto de SIC eficiente e eficaz.

5.7 O Direito na Sociedade da Informao


Segue a anlise dos fatos e evidncias de forma a tentar responder
pergunta sobre que tipo de tratamento a COMPANHIA X atribui dicotomia
propriedade versus privacidade.
5.7.1 Sobre a natureza da abordagem dada ao relevante problema de conflito
entre privacidade e propriedade e as circunstncias internas e
externas que a compem
O problema do conflito entre privacidade e propriedade de suma
importncia para a gesto da empresa, pois para o cumprimento de sua misso
institucional, so produzidos e manuseados inmeros ativos informacionais.
A empresa lida o tempo todo com diversos tipos de informao, com
diferentes nveis de confidencialidade. Ela tambm produz muita informao. Por
isso, h a necessidade de se definir quem o proprietrio das informaes
produzidas ou custodiadas pela e na empresa. Esse assunto tratado desde o
contrato de trabalho, com diversas clusulas voltadas propriedade intelectual dos
trabalhos produzidos na empresa e, tambm na prpria POSIC, j em vigor.

188
Na POSIC tambm so abordados tpicos relacionados privacidade e uso
dos recursos informacionais da empresa. Alm disso, tambm esto sendo
produzidas normas que complementaro a POSIC e abordaram questes
relacionadas propriedade e privacidade com maiores detalhes.
5.7.2 Correlao da natureza da organizao, com a Gesto de SIC
(considerando seu nvel de maturidade), e a forma de tratamento da
dicotomia privacidade e propriedade
A empresa atribui elevada importncia ao assunto e j tomou diversas
medidas, nos ltimos anos, para bem implementar a gesto de SIC. Descrevem-se
abaixo algumas dessas medidas:
Aprovao, por parte da Diretoria Executiva, de uma POSIC;
Instituio

de

um

Comit

de

Segurana

da

Informao

Comunicaes;
Instituio da funo e escolha de um Gestor de Segurana da
Informao e Comunicaes; e
Desenvolvimento e implantao de um Programa Corporativo de
Conscientizao em Segurana da Informao e Comunicaes.
A empresa encontra-se em um nvel de maturidade em gesto de SIC ainda
baixo. Porm, salienta-se que est seguindo um projeto consistente para a
implantao de uma gesto eficaz e eficiente. Sugere-se, sobre essa questo, a
verificao se a velocidade de implantao da gesto de SIC como um todo est
adequada se confrontada com a importncia de seus ativos informacionais.
5.7.3 Casos concretos em que houve a ecloso da dicotomia privacidade x
propriedade e discusso dos elementos que se fazem presentes
(objetivos, estruturais, subjetivos, eventuais)
Aconteceram dois casos em que a dicotomia privacidade versus propriedade
foi observada. Por questes de sigilo eles no sero detalhados na pesquisa. Porm
observou-se que todos eles so sempre tratados sob o ponto de vista tcnico e sob
o ponto de vista jurdico.
Respondendo mais diretamente a questo de pesquisa Que tipo de
tratamento a organizao atribui dicotomia propriedade versus privacidade?
pode-se afirmar que a empresa atribui muita importncia ao assunto, uma vez que
seu insumo bsico de trabalho a informao. Ento tudo o que diz respeito

189
dicotomia propriedade versus privacidade recebe um alto grau de importncia, com
imediato tratamento.
Aes importantes j foram tomadas, tais como as clausulas especificadas
nos contratos de trabalho dos empregados, inerentes direito autoral, propriedade
intelectual, utilizao de recursos e confidencialidade. Alm disso, esses aspectos
tambm foram inseridos na POSIC da organizao.
5.7.4 Anlise
A empresa conta com um excelente apoio da consultoria jurdica, salientandose aqui a importncia de se atualizar e continuamente aperfeioar a equipe no
aspecto direito na sociedade da informao, em que sero tratados diversos
aspectos correlacionando a disciplina do direito tradicional com as novas
caractersticas e ponderaes inerentes cincia da informao e computao.
Com isso, tambm ser aprofundada os conhecimentos necessrios para se lidar
com a dicotomia propriedade versus privacidade.
Sendo

assim,

fica

comprovada

hiptese

que

empresa

trata

satisfatoriamente a dicotomia privacidade versus propriedade e que levar em


considerao aspectos correlacionados ao direito na sociedade da informao
contribui sobremaneira para a construo de um sistema de gesto de SIC eficiente
e eficaz.

5.8 Gerenciamento de Riscos de Segurana da Informao


Apesar das recomendaes sobre a importncia da gesto de riscos para a
gesto de segurana da informao e comunicaes, contidas na norma 27005
(2008), e na Instruo Normativa 04 (IN04, 2009), a COMPANHIA X ainda no se
utiliza de nenhuma metodologia ou processo para gesto e mitigao dos riscos
para seus ativos informacionais.
Contudo, a fim de provar a hiptese de que O processo de gesto de riscos
imprescindvel para a escolha dos controles de segurana da informao e
comunicaes a serem implantados sobre um ativo informacional. e dessa forma,
se torna imprescindvel para a gesto de segurana da informao e comunicaes
da organizao, utilizou-se nessa pesquisa os seguintes critrios:
Necessidade de se definir os nveis de probabilidade das ameaas;

190
Necessidade de se definir os nveis de impacto ao negcio caso a
ameaa se concretize sobre o ativo sendo pesquisado;
Necessidade de se definir os nveis de estimativa do risco;
Necessidade de se definir os nveis de avaliao do risco;
Constatao da existncia de possveis ameaas e vulnerabilidades
relacionadas ao ativo sendo pesquisado e a correta classificao do
nvel de prioridade do risco; e
Indicao de planos de ao para tratamento dos riscos.
Para a pesquisa foi escolhido um importante ativo informacional como objeto
da gesto de riscos efetuada. Para a anlise dos dados considerou-se a execuo
das atividades descritas no processo de gesto de riscos, conforme preconizados
pela norma ABNT 27005 (2008).
Dando incio ao processo, na definio do escopo e na definio das demais
consideraes que seriam levadas em conta para a anlise/avaliao dos riscos
foram escolhidas as classificaes estabelecidas na Tabela 5.1, na Tabela 5.2, na
Tabela 5.3 e na Tabela 5.4.

Tabela 5.1- Nveis de probabilidade.


PROBABILIDADE
Muito baixa
Baixa
Mdia
Alta
Muito alta

VALOR
1
2
3
4
5

DESCRIO
Muito improvvel de ocorrer (01 a 10%)
Improvvel de ocorrer (11 a 30%)
Ocorre ocasionalmente (31 a 70%)
Provvel de ocorrer (71 a 90%)
Ocorre frequentemente (91 a 100%)

Tabela 5.2 - Nveis de impacto.


IMPACTO
Desprezvel
Baixo

VALOR
1
2

Crtico
Grave

3
4

Gravssimo

DESCRIO
Os danos so insignificantes para a organizao
A organizao consegue reparar os danos com seus prprios
recursos
A recuperao dos danos extrapola os recursos da organizao
Danos que venham a manchar a imagem do rgo ou gerar algum
incidente grave
Destruio irreparvel da imagem do rgo e oferece risco de
morte dos seus servidores

191
Tabela 5.3 - Estimativa do risco.
Muito Baixa
(improvvel)
Impacto

Desprezvel
Baixo
Crtico
Grave
Gravssimo

1
2
3
4
5

Baixa
(Pouco
provvel)
2
3
4
5
6

PROBABILIDADE
Mdia
Alta
(Possvel)
(Provvel)
3
4
5
6
7

Muito Alta
(Frequente)

4
5
6
7
8

5
6
7
8
9

Tabela 5.4 - Avaliao de risco.


NVEL DE
RISCO
1a3
4a6
7a9

DESCRIO

Legenda

Implementar as aes de SIC a longo prazo


Implementar as aes de SIC a mdio prazo
Implementar as aes de SIC imediatamente

L
M
I

Para cada risco, decorrente da possibilidade de uma ameaa atuar sobre uma
vulnerabilidade do ativo sendo pesquisado, sugerem-se determinados planos de
ao que so, na verdade, controles de segurana que seriam apropriados para
mitigar ou at mesmo eliminar o risco. A implementao desses planos de ao
devem obedecer ordem de prioridade dada pela fase de avaliao do risco e
constantes da coluna prioridade.
Para fins de exemplificao de que a gesto de riscos extremamente
relevante para a gesto de segurana da informao e comunicaes e, para
atender aos propsitos desse trabalho de pesquisa, sero sugeridos apenas os
planos de ao para tratar os seis primeiros riscos apreendidos, denotados na
Tabela 5.5.
Tabela 5.5 - Estabelecimento dos planos de ao para tratamento de riscos.
ID

AMEAA

VULNERABILIDADE

RISCO

PRIORIDADE

AES DE SIC

RESPONSVEL

PRAZO

Fogo

Falta de um
processo de gesto
de continuidade

Falta de
disponibilidade
da Informao

Elaborao e
implementao de um
processo de Gesto de
Continuidade do
Negcio;
Elaborao de norma
para Segurana Fsica
e Ambiente e que
contemple a seo
9.1.4 Proteo contra
ameaas externas e do
meio ambiente (ABNT
27002).

DE/CSIC

1 ano

Poeira

Sensibilidade
poeira, sujeira

Falha do
equipamento
causando falta
de

Elaborao de norma
para Segurana Fsica
e Ambiente e que
contemple a seo

CSIC/DE

4 meses

192
ID

AMEAA

VULNERABILIDADE

RISCO

PRIORIDADE

AES DE SIC

RESPONSVEL

PRAZO

Superintend
ncia A

3 meses

Superintend
ncia A

3 meses

CSIC/DE

6 meses

CSIC

3 meses

9.2.1 Instalao e
proteo do
equipamento (ABNT
27002).

disponibilidade

Falha do
arcondicion
ado

Possibilidade de
superaquecimento
dos equipamentos

Falta de
disponibilidade
da Informao

Interrup
o do
sistema
de
energia

Fornecimento de
energia instvel

Falta de
disponibilidade
da Informao

Furto de
mdia ou
document
os

Armazenamento
no protegido

Falta de
confidencialida
de da
informao

Furto de
mdia ou
document
os

Armazenamento de
cpias no
controladas

Falta de
confidencialida
de da
informao

Trmino de obras e
estabelecimento do
processo para
monitorao
automtica e
manuteno do sistema
de refrigerao. As
necessidades de
controles do sistema de
ar-refrigerado devem
ser includas na norma
para Segurana Fsica
e Ambiente e devem
contemplar os controles
sugeridos pela
respectiva seo da
norma ABNT 27002.
Elaborao de plano de
monitorao e
manuteno da rede
eltrica e fornecimento
de energia estabilizada.
Devem ser includos na
monitorao e
manuteno peridica:
Estabilizadores, Nobreaks, Trafos e
quadros eltricos.
Essas necessidades
devem ser includas na
norma para Segurana
Fsica e Ambiente e
devem contemplar os
controles sugeridos
pela respectiva seo
da norma ABNT 27002
Elaborao de
instrumento normativo
relacionado a Controle
de Acesso e Utilizao
de Recursos
Computacionais que
contemplem, no
mnimo, o estabelecido
na seo 11 Controle
de Acesso (ABNT
17799)
Elaborao de
instrumento normativo
relacionado a
Gerenciamento de
operaes e
comunicaes que
contemplem, no
mnimo, o estabelecido
na seo 10.5 Cpias
de Segurana (ABNT
27002)

5.8.1 Anlise
Pela anlise na Tabela 5.5 fica comprovada a hiptese que o processo de
gesto de riscos imprescindvel para a escolha dos controles de segurana da
informao e comunicaes a serem implantados sobre um ativo informacional, pois

193
todos os planos de ao selecionados para mitigao ou eliminao dos riscos so
requisitos de controles de segurana da informao estipulados pela norma ABNT
27002 (2005) e que acabam por corroborar para gesto de SIC eficiente e eficaz.

5.9 Controle de Acesso


Para verificar se os requisitos de controle de segurana da informao e
comunicaes, relacionados a Controle de Acesso esto adequados para a
COMPANHIA X, foi realizada uma anlise de aderncia e conformidade com a
norma ABNT 27002 (2005) quanto seo Controle de Acesso, analisando-se os
requisitos de controle sugeridos ou recomendados. Estes requisitos deram margem
criao das questes que foram analisadas.
Por meio das respostas, foi obtida uma descrio mais detalhada de como
est estruturado o processo de Controle de Acesso na COMPANHIA X, e se o
mesmo estava aderente aos requisitos de controle de segurana da informao e
comunicaes.
O ndice de aderncia final alcanado foi de 62,1% o que denota que os
requisitos de controle de segurana da informao e comunicaes, vigentes na
empresa, relacionados controle de acesso, ainda no esto adequados para a
COMPANHIA X e em consonante, ainda no apresentam uma adequada
conformidade com o preconizado e sugerido pela seo Controle de Acesso, da
norma ABNT 27002 (2005). Ainda h muito a ser feito para que esse nvel de
aderncia chegue, a pelo menos, 80% de aderncia.
5.9.1 Pontos positivos que mais se destacaram na pesquisa
Seguem abaixo os pontos positivos levantados:
feito o gerenciamento dos direitos de acesso em todos os tipos de
conexes disponveis;
Utiliza-se ID nico, de forma que cada usurio possa ser identificado.
Casos de utilizao de ID compartilhado so raros e necessitam ser
expressamente autorizados e justificados;
Os privilgios associados a cada produto do sistema (sistemas
operacionais, aplicativos, banco de dados e etc.) so identificados;
Os privilgios de uso so concedidos exclusivamente conforme a
necessidade;

194
O usurio obrigado a trocar de senha na primeira vez que acessa os
sistemas;
Os usurios so informados para encerrarem as sesses ativas, caso
precisem se ausentar, mesmo por curtos perodos de tempo; e
Todos os usurios da organizao esto participando do Programa
Corporativo de Conscientizao em Segurana da Informao, que
dentre vrios assuntos, divulga a Poltica de Segurana da Informao
e

Comunicaes

chama

ateno

para

vrias

ameaas

vulnerabilidades relacionadas ao controle de acesso lgico e fsico.


OBS: Alguns pontos positivos referente ao controle de acesso foram levantados na
seo 5.5.1 (deste trabalho de pesquisa), referente rea de Segurana fsica e
Ambiente, da norma ABNT 27002 (2005), e no sero repetidos nesse tpico.
5.9.2 Pontos negativos que mais se destacaram na pesquisa
Seguem abaixo os pontos negativos levantados:
Falta de uma Norma para Controle de Acesso que especifique
claramente as obrigaes de todos os usurios perante os requisitos
de segurana relacionados ao acesso fsico e lgico;
No entregue aos usurios um documento escrito descrevendo seus
direitos de acesso e que possibilite a coleta de sua assinatura
indicando que entendeu as condies de seus direitos de acesso;
A organizao necessita utilizar amplamente a tecnologia de certificado
e assinatura digital;
Os direitos de acesso dos usurios no so revistos periodicamente;
Falta de uma poltica de mesa limpa e tela limpa conforme preconizado
pela norma ABNT 27002 (2005); e
Os cuidados quanto localizao e proteo dos equipamentos ainda
no esto adequados.
5.9.3 Anlise
Com os dados e informaes levantadas, a hiptese de que os requisitos de
controle de segurana da informao e comunicaes relacionados a Controle de
Acesso, esto adequados para a COMPANHIA X, fica parcialmente comprovada,

195
pois a aderncia de 62,1%, s recomendaes da norma ABNT 27002 (2005), no
est adequada.
Segue na Figura 5.4, uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Controle de
Acesso, analisando-se os requisitos de controle sugeridos ou recomendados.

CONTROLE DE ACESSO
Requisitos do negcio e poltica (A.11.1.1)
Trabalho remoto (A.11.7.2)
Regras de controle de acesso (A.11.1.1)
140
Computao mvel (A.11.7.1)
Registro de usurio (A.11.2.1)
Sincronizao dos relgios (A. 10.10.6)

Monitorao do uso do sistema - Registro


e anlise crtica dos eventos (A.10.10.3 e
Monitorao do uso do sistema - Fatores
de risco (A.10.10.2)
Monitorao do uso do sistema Procedimentos e reas de risco

120

100
80

Gerenciamento de privilgios (A.11.2.2)

Gerenciamento de senha dos usurios


(A.11.2.3)
Anlise crtica dos direitos de acesso do
usurio (A.11.2.4)

Uso de senhas (A.11.3.1)

60

Equipamento de usurio sem


monitorao (A.11.3.2)

40

Registro (log) de eventos (A.10.10.1)

20

Isolamento de sistemas sensveis


(A.11.6.2)

Poltica de utilizao dos servios de rede


(A.11.4.1)

0
Restrio de acesso informao
(A.11.6.1)

Rota de rede obrigatria (A.11.4.7)

Autenticao para conexo externa do


usurio (A.11.4.2)

Limitao do tempo de conexo (A.11.5.6)

Desconexo de terminal por inatividade

Alarme de intimidao para a salvaguarda


de usurios (A.13.1.1)

Uso de programas utilitrios (A.11.5.4)


Sistema de gerenciamento de senhas
(A.11.5.3)

Autenticao de n (A.11.4.2)

Proteo de portas de diagnstico


remotas (A.11.4.4)

Segregao de redes (A.11.4.5)


Controle de conexes de rede (A.11.4.6)

Controle do roteamento de rede


Ident. e autent. de usurio (A.11.5.2)
(A.11.4.7)
Procedimentos de entrada no sistema
Segurana dos servios de rede
(A.11.5.1)
Identificao automtica de terminal
(A.11.4.3)

Referncia
Apurado

Figura 5.4 - Anlise de Aderncia em relao rea Controle de Acesso da norma


ABNT 27002 (2005).
Sendo assim, fica claro que ter um controle de acesso aderente s melhores
prticas de gesto de SIC e de acordo com a legislao contribui sobremaneira para
a construo de um sistema de gesto de SIC eficiente e eficaz.

5.10 Aquisio e Implementao, Entrega e Suporte de Servios de


TI
Para comprovar a hiptese da rea de aquisio e implementao, entrega e
suporte de servios de TI foi realizada uma anlise de conformidade dos processos
de TI ora praticados pela empresa com os controles e processos recomendados
pelo framework COBIT.

196
Segue a anlise dos fatos e evidncias. Foram analisados a conformidade da
organizao com os processos dos domnios Aquisio e Implementao e Entrega
e Suporte.

5.10.1 Anlise dos dados do Domnio Aquisio e Implementao:


A organizao ainda no tem planejamento estratgico o que dificulta
delimitar apropriadamente os objetivos de negcio. Contudo, visando atingir sua
misso bsica, foi elaborado em 2005 um Plano para Implantao da Infraestrutura
de TI que visava delimitao de todos os recursos que seriam necessrios para
operacionalizao da empresa de forma que possibilitasse a produo e entrega de
seus produtos finais para a sociedade.
O plano abordava recursos necessrios de:
Hardware (para

uso

pessoal, infraestrutura

de rede,

storage,

processamento cientfico e etc.);


Software (Aplicativos para a rea fim, automatizao de escritrio e
gesto de servios); e
Pessoal para fornecimento de servios de suporte e desenvolvimento
de sistemas.
O plano foi seguido at o ano de 2010 e j se faz necessria uma atualizao.
Na verdade o que se percebe como mais premente a necessidade da elaborao
do Plano Diretor de TI.
A gesto de mudanas ainda no realizada de forma formal, pois demanda
a compra de uma ferramenta de software que permita a automatizao do processo.
5.10.2 Anlise dos dados do Domnio Entrega e Suporte de Servios:
O gerenciamento de nvel de servio feito com muito critrio e utiliza-se de
normativo no que se refere funo do fiscal do servio e/ou contrato. O processo
est documentado, incluindo a disponibilizao de fluxograma. Contudo, carece da
disponibilizao de uma ferramenta que automatize o processo e facilite a gesto
tcnica dos servios.
O gerenciamento de capacidade feito de forma informal e no sistematizada
o que possibilita a ocorrncia de falhas humanas. Contudo, certos recursos crticos
para a organizao sofrem uma vigilncia mais constante, no que diz respeito
gesto da capacidade.

197
A gesto de continuidade no formalizada. So executadas diversas aes
e cuidados no que diz respeito a esse assunto, mas carece de formalizao e
elaborao e testes de planos de recuperao de desastres e continuidade do
negcio.
efetuada a gesto da central de servios, mas a falta de uma ferramenta de
software que automatize a gesto de incidentes, problemas, configurao e gesto
de ativos e mudanas, prejudica a boa execuo dos servios. Porm a rea tem
processos 100% mapeados e s so executadas as aes previstas nos mesmos.
Agora, apesar da empresa no precisar estar em conformidade com a
Instruo Normativa n04 (IN04, 2010), pois ela da administrao indireta,
descrevem-se abaixo os artigos em que a COMPANHIA X estaria em conformidade,
caso isso fosse necessrio:
Conformidade quanto ao artigo 3 (necessidade de elaborao da
estratgia geral de TI e do Plano Diretor de TI):
o Apesar da COMPANHIA X no possuir um PDTI formalizado, ela
apresentou um Plano de Implantao da Infraestrutura de
Tecnologia da Informao que norteou a implantao e
contratao de servios de TI nos

primeiros anos da

organizao;
Conformidade quanto ao artigo 5 (no contratao de mais de uma
soluo de TI em um nico contrato e necessidade de superviso
exclusiva de servidor do rgo quando da contratao de suporte
tcnico para processos de planejamento e avaliao da qualidade das
solues de TI):
o As orientaes desse artigo so observadas;
Conformidade quanto ao artigo 7 (vedao de estabelecimento de
vnculo de subordinao com funcionrios da contratada, de prever
remunerao dos funcionrios da contratada e etc.):
o As orientaes desse artigo so observadas, pois podemos
especificar o servio, mas no podemos cobrar ou especificar
para o fornecedor, o quantitativo de funcionrios que ele ir
utilizar, salrio dos seus funcionrios, efetuar gastos no
previstos na contratao, solicitar servios no especificados no
edital;

198
Conformidade quanto ao artigo 8 (As contrataes de solues de TI
devem seguir as fases de planejamento da contratao, seleo de
fornecedor e gerenciamento do contrato):
o As trs fases contempladas nesse artigo so executadas, porm
os servios geralmente so contratados por meio de prego
eletrnico. As equipes que efetuam cada uma dessas etapas
normalmente so segregadas;
Conformidade quanto aos artigos 9, 10, 11, 12, 13 e 14 (nesses artigos
so detalhados as atividades e procedimentos que so necessrios na
fase de planejamento da contratao):
o As orientaes desses artigos so observadas.
Conformidade quanto aos artigos 15 (aborda a estratgia da
contratao, sua anlise de viabilidade e etc.) e 16 (anlise de risco do
processo de contratao):
o No so observados formalmente;
Conformidade quanto ao artigo 17 (aborda que o termo de referncia
ou projeto bsico deve ser elaborado a partir da anlise de viabilidade
da contratao8, do plano de sustentao9, da estratgia da
contratao10 e da anlise de riscos11):
o De certa forma, as orientaes desse artigo so observadas,
pois existe um processo formal para planejamento, execuo e
fiscalizao da contratao, inclusive com segregao de
funes. A exceo encontra-se na anlise de riscos, pois no
efetuada;
Conformidade quanto aos artigos 19 (disponibilizao do termo de
referncia consulta pblica para avaliao) e 20 (observao da
legislao para seleo do fornecedor):
o As orientaes desses artigos so observadas.
8

Documento que demonstra a viabilidade tcnica e econmica da contratao. (IN04, 2010)


Documento que contm as informaes necessrias para garantir a continuidade do negcio
durante e aps a implantao da Soluo de Tecnologia da Informao, bem como aps o
encerramento do contrato. (IN04, 2010)
10
Documento contendo a definio de critrios tcnicos, obrigaes contratuais, responsabilidades
e definies de como os recursos humanos e financeiros sero alocados para atingir o objetivo da
contratao. (IN04, 2010)
11
Documento que contm a descrio, a anlise e o tratamento dos riscos e ameaas que possam
vir a comprometer o sucesso em todas as fases da contratao. (IN04, 2010)
9

199
5.10.3 Anlise
Com os dados e informaes levantadas conseguiu-se responder questo
de pesquisa Os processos de TI ora praticados pela empresa esto em
conformidade com os controles recomendados pelos domnios Aquisio e
Implementao e Entrega e Suporte de Servios de TI do framework COBIT?,
chegando-se concluso que os processos de TI ainda no esto em
conformidade com os controles recomendados, refutando a hiptese proposta.
Sendo assim, estar aderente aos processos preconizados pelos domnios
aquisio e implementao, entrega e suporte de servios de TI, do framework
COBIT, torna-se um importante objetivo a ser atingido e seria de extrema
importncia para a construo de um sistema de gesto de SIC eficiente e eficaz.

5.11 Modelagem, Simulao e Dinmica de Sistemas


Para ajudar a provar a hiptese de que a implementao de controles para
prevenir a indisponibilidade de sistemas e reduzir as vulnerabilidades do ambiente
aumenta o prestgio do gestor de SIC da COMPANHIA X e com isso demonstre que
o uso de dinmica de sistemas para modelagem pode ser til para a gesto de SIC
como um todo, foi proposto um modelo na forma de uma anlise de risco
simplificada da segurana da informao, que utilizou as seguintes variveis: os
sistemas, os ataques, os controles e os custos envolvidos.
Para a anlise dos dados considerou-se a execuo das atividades descritas
no processo de gesto de riscos, conforme preconizados pela norma ABNT 27005
(2008).
5.11.1 Quanto definio dos ativos a serem considerados:
Foram utilizados ativos que pudessem fornecer informaes relevantes sobre
as variveis utilizadas no modelo de avaliao do prestgio do gestor, dentre elas:
Sistemas da organizao;
Infraestrutura do CPD;
Poltica de controle de acesso lgico e fsico;
Hardware disponibilizado;
Desenvolvedores do sistema; e
Administradores da infraestrutura.

200
Dando prosseguimento ao processo, na definio do escopo e na definio
das demais consideraes que seriam levadas em conta para a anlise/avaliao
dos riscos foram escolhidas as classificaes definidas no item 5.8, estabelecidas na
Tabela 5.1, na Tabela 5.2, na Tabela 5.3 e na Tabela 5.4.
Seguem, na Tabela 5.6, as vulnerabilidades detectadas e as ameaas que
poderiam explor-las resultando em riscos para a segurana da informao:
Tabela 5.6 - Avaliao de riscos de SI.
ID

R1

R2

R3

R4

R5

R6

R7

R8

R9

R10

R11

R12

AMEAA

Fogo

Falha do arcondicionado
Interrupo do
sistema de
energia
Furto de
equipamentos

Furto de
equipamentos

Dados de fontes
no confiveis

Defeito de
equipamento
Saturao do
sistema de
informao
Defeito de
software
Uso no
autorizado de
equipamento

Uso no
autorizado de
equipamento
Uso de cpias de
software
falsificadas ou
ilegais

VULNERABILIDADE

Falta de um
processo de gesto
de continuidade
Possibilidade de
superaquecimento
dos equipamentos
Fornecimento de
energia instvel
Insuficincia de
mecanismos de
proteo fsica no
prdio e portas

Insuficincia de um
processo disciplinar
no caso de
incidentes
relacionados
segurana da
informao
Inexistncia de um
processo formal
para autorizao
das informaes
disponveis
publicamente
Inexistncia de um
plano de
continuidade
Gerenciamento de
rede inadequado ou
no finalizado
Inexistncia de um
controle eficaz de
mudana
Inexistncia de
relatrios de
gerenciamento

Inexistncia de
polticas para o uso
correto de troca de
mensagens
Insuficincia de
procedimentos para
garantir a
conformidade com
os direitos de
propriedade
intelectual

RISCO

Falta de
disponibilidade
da Informao
Falta de
disponibilidade
da Informao
Falta de
disponibilidade
da Informao
Pode afetar a
disponibilidade,
integridade,
confidencialidade
e autenticidade
da informao
Pode afetar a
disponibilidade,
integridade,
confidencialidade
e autenticidade
da informao
Pode afetar a
integridade e
autenticidade da
informao

Pode afetar a
disponibilidade
da informao
Pode afetar a
disponibilidade
da informao
Pode afetar a
disponibilidade
Pode afetar a
disponibilidade,
integridade,
confidencialidade
e autenticidade
da informao
Pode afetar a
confidencialidade
da informao

PROBABILIDADE

IMPACTO

NVEL DE RISCO

PRIORIDADE

Pode afetar a
DICA

201
ID

R13

R14

R15

R16

R17

R18

R219

R20

R21

R22

R23

R24

AMEAA

VULNERABILIDADE

Comprometimento
dos dados

Utilizar programas
aplicativos com
conjunto errado de
dados (referentes a
um outro perodo)
Erro durante o uso Documentao
insuficiente

Erro durante o uso Falta de


conscientizao em
segurana
Erro durante o uso Ausncia de
registros nos
arquivos de
auditoria (logs) de
administradores e
operadores
Erro durante o uso Inexistncia de
procedimentos para
manipulao de
informaes
classificadas

Abuso de direitos

Abuso de direitos

Abuso de direitos

Abuso de direitos

Abuso de direitos

Abuso de direitos

Indisponibilidade
de recursos
humanos

No execuo de
logout/bloqueio ao
se deixar uma
estao de trabalho
desassistida
Insuficincia de
trilhas de auditoria

Atribuio errnea
de direitos de
acesso

Insuficincia do
procedimento formal
para o registro e a
remoo de
usurios
Inexistncia de
processo formal
para anlise crtica
de direitos de
acesso (superviso)
Inexistncia de
procedimento de
monitoramento das
instalaes de
processamento de
informaes
Ausncia de
recursos humanos

RISCO

Pode afetar a
integridade da
informao

Armazenamento
inapropriado.
Pode afetar a
disponibilidade
da informao e
falta de
conformidade
legal
Pode afetar a
DICA
Quebra de
segurana sem
possibilidade de
auditoria

Armazenamento
inapropriado.
Pode afetar a
disponibilidade e
a
confidencialidade
da informao e
falta de
conformidade
legal
Pode afetar a
DICA

Quebra de
segurana sem
possibilidade de
auditoria
Pode afetar a
disponibilidade,
integridade e
confidencialidade
da informao
Pode afetar a
disponibilidade,
integridade e
confidencialidade
da informao
Pode afetar a
disponibilidade,
integridade e
confidencialidade
da informao
Pode afetar a
DICA

Pode afetar a
disponibilidade
da informao

PROBABILIDADE

IMPACTO

NVEL DE RISCO

PRIORIDADE

Legenda:
Probabilidade: probabilidade de que uma ameaa atue sobre uma vulnerabilidade. Pode assumir os valores 1 (muito baixa); 2
(baixa); 3 (mdia); 4 (alta) e 5 (muito alta).
Impacto: mudana adversa no nvel obtido dos objetivos de negcio. Pode assumir os valores 1 (desprezvel); 2 (baixo); 3
(crtico); 4 (grave) e 5 (gravssimo).
Nvel de risco: Estimativa do risco considerando a probabilidade de que uma ameaa atue em uma vulnerabilidade e seu
impacto na organizao.
Prioridade: prioridade para tratamento do risco levando em considerao os nveis de risco. Pode assumir os seguintes

202
ID

AMEAA

VULNERABILIDADE

RISCO

PROBABILIDADE

IMPACTO

NVEL DE RISCO

PRIORIDADE

valores:
Para nveis de risco de 1 a 3: L (implementao de aes a longo prazo);
Para nveis de risco de 4 a 6: M (implementao de aes a mdio prazo); e
Para nveis de risco de 7 a 9: I (implementao de aes a curto prazo).

Na Tabela 5.7, para cada risco, decorrente da possibilidade de uma ameaa


atuar sobre uma vulnerabilidade dos ativos sendo pesquisados, verifica-se a
existncia ou sugerem-se determinados planos de ao que so, na verdade,
controles de segurana que seriam apropriados para mitigar, ou at mesmo, eliminar
o risco.
A implementao desses planos de ao devem obedecer ordem de
prioridade dada pela fase de avaliao do risco e constantes da coluna prioridade.
Tabela 5.7 - Nveis de risco versus prioridade e controles existentes ou sugeridos.
R1

NVEL DE
RISCO
4

R2

R3

R4

R5
R6

4
3

M
L

R7

R8

R9
R10

2
4

L
M

R11

R12

R13

R14

ID

PRIORIDADE CONTROLE EXISTENTE OU SUGERIDO


M

necessrio a elaborao e implementao de um processo de Gesto de


Continuidade do Negcio;
necessrio a elaborao de norma para Segurana Fsica e Ambiente e que
contemple a seo 9.1.4 Proteo contra ameaas externas e do meio ambiente
(ABNT 27002).
necessrio terminar a obra do novo CPD e estabelecimento do processo para
monitorao automtico e manuteno do sistema de refrigerao. As necessidades de
controles do sistema de ar-refrigerado devem ser includas na norma para Segurana
Fsica e Ambiente e devem contemplar os controles sugeridos pela respectiva seo da
norma ABNT 27002. O sistema de ar refrigerado hoje monitorado pela rea
responsvel pelo mesmo, pela rea de TI, e pela administrao do condomnio. Caso
ocorra algum problema os responsveis so avisados independentemente do dia e
horrio.
necessrio elaborar plano de monitorao e manuteno da rede eltrica e
fornecimento de energia estabilizada. Devem ser includos na monitorao e
manuteno peridica: Estabilizadores, no-breaks e quadros eltricos. Essas
necessidades devem ser includas na norma para Segurana Fsica e Ambiente e
devem contemplar os controles sugeridos pela respectiva seo da norma ABNT 27002.
necessrio elaborar Instrumento Normativo referente Controle de Acesso Fsico de
forma que contemple os controles sugeridos pela norma ABNT 27002 e tambm pela
Instruo Normativa Complementar 07 (IN07, 2010).
H controle de acesso por meio de catraca, do edifcio, e recepcionistas nas portarias.
O controle de entrada pelas portas segue restrio de horrio parametrizada pela
gesto.
Mesma caso do R4.
Elaborar processo normativo que estabelea a necessidade de utilizao de assinatura
digital, certificado digital e uso de criptografia sempre que se fizer necessrio.
Hoje, realizado anualmente, ou semestralmente (dependendo do caso) a manuteno
preventiva dos equipamentos (notebooks, computadores e impressoras). necessrio
considerar a disponibilizao de equipamentos redundantes em um plano de
continuidade.
necessrio elaborar e implementar um processo de gesto de capacidade. O
monitoramento dos recursos e sistemas feito de forma informal e no peridica (s
vezes diria, s vezes semanal, ou at mesmo mensal).
necessrio elaborar e implementar um processo de gesto de mudana.
necessrio se analisar com mais formalidade e periodicidade os logs dos sistemas e
equipamentos.
Elaborao de instrumento normativo e estabelecimento de procedimentos para troca
de mensagens.
S autorizada a instalao de softwares existentes na biblioteca de software
homologada para a empresa. S alguns tcnicos so habilitados a realizarem esse
procedimento. necessrio elaborar e implementar processo de gesto de
configurao e inventrio.
So utilizadas controles para verificao de entrada e sada de dados e verificado
constantemente se os dados correspondem ao perodo correto.
disponibilizada documentao sobre a utilizao e operao dos sistemas. Contudo, o

203
ID

NVEL DE
RISCO

R15

R16
R17

4
5

M
M

R18

R19

R20

R21

R22

R23

R24

PRIORIDADE CONTROLE EXISTENTE OU SUGERIDO


processo de elaborao de documentao pode melhorar.
Todos os usurios passam por treinamento para sensibilizao e conscientizao de
assuntos relacionados segurana da informao e cuidados que devem ser tomados
para se cuidar das propriedades bsicas da informao: Disponibilidade, Integridade,
Confidencialidade e Autenticidade.
Os logs ficam armazenados e so analisados em um processo ainda no formalizado.
No h um processo formal para classificao da informao. Contudo, as informaes
ou so classificadas como ostensivas, ou como confidenciais. No caso de informaes
confidenciais so observadas as determinaes e recomendaes do gestor da
informao. Suas competncias so especificadas na POSIC da empresa.
Esse assunto abordado no Seminrio de Segurana da Informao e Comunic aes,
que por sua vez faz parte do Programa Corporativo de Conscientizao em Segurana
da Informao e Comunicaes.
So estabelecidas diversas trilhas de auditoria e as anlises ocorrem de forma no
sistematizada.
Os direitos de acesso s so atribudos aps autorizao do gestor do sistema e/ou
informao.
H um procedimento estabelecido para o registro e a remoo de usurios. Contudo
esse procedimento ainda pode ser melhorado.
No executada uma reviso peridica dos direitos de acesso. necess rio
estabelecer um procedimento formal para isso.
Atualmente ocorre o monitoramento do ambiente de ar-condicionado e temperatura.
Mas outras formas de monitoramento e controle precisam ser elaboradas e
implementadas.
necessrio realizar novos concursos para composio do quadro de funcionrios.
So fornecidos treinamentos sobre o ambiente operacional dos usurios e tambm
sobre suas ferramentas de trabalho.

Legenda:
Nvel de risco: Estimativa do risco considerando a probabilidade de que uma ameaa atue em uma vulnerabilidade e seu
impacto na organizao.
Prioridade: prioridade para tratamento do risco levando em considerao os nveis de risco. Pode assumir os seguintes
valores:
Para nveis de risco de 1 a 3: L (implementao de aes a longo prazo);
Para nveis de risco de 4 a 6: M (implementao de aes a mdio prazo); e
Para nveis de risco de 7 a 9: I (implementao de aes a curto prazo).

5.11.2 Anlise
A hiptese A implementao de controles para prevenir a indisponibilidade
de sistemas e reduzir as vulnerabilidades do ambiente faz com que o prestgio do
gestor de SIC da organizao aumente e, tambm, se consiga uma gesto de SIC
mais eficiente e eficaz. fica comprovada, pois as inmeras tentativas de
estabelecer controles que minimizem vulnerabilidades e garantam as propriedades
bsicas de segurana da informao so muito valorizadas e cobradas pelos
usurios dos sistemas.
A anlise de riscos simplificada foi uma excelente ferramenta que ajudou a
denotar alguns dos controles hoje em voga na empresa e os que ainda so
necessrios. Todos esses cuidados ajudam a viabilizar um bom nvel de
disponibilidade dos sistemas o que acaba por aumentar o prestgio do gestor.
Sendo assim, fica claro que utilizar a modelagem, simulao e dinmica de
sistemas contribui sobremaneira para a construo de um sistema de gesto de SIC
eficiente e eficaz.

204

5.12 Gerenciamento das Operaes e Comunicaes


Segue a anlise dos fatos e evidncias.
5.12.1 Sobre a instituio
A COMPANHIA X uma empresa que se comporta quase como uma
empresa privada. Porm muita coisa ainda precisa ser feita, tais como: Terminar seu
planejamento estratgico, implantar um escritrio de projetos, implantar ferramentas
que documentem e automatizem processos, tarefas e atividades, com isso
viabilizando uma boa gesto de operaes e comunicaes.
5.12.2 Anlise sobre a Gesto de TI
A Gesto de TI extremamente importante para o atingimento das metas e
funes institucionais e acaba por interagir com todas as reas da empresa.
Contudo, a maioria de seus processos no est formalizada e, no momento,
percebe-se a premncia e urgncia de implantao das melhores prticas e
frameworks de gerenciamento de servios de TI e governana de TI. Isso,
possivelmente, mitigar riscos, aumentando a eficincia e eficcia dos servios
prestados e culminar por agregar mais valor ao negcio.
5.12.3 Sobre a implementao de controles relacionados ao processo de
gerenciamento de operaes e comunicaes
Para ajudar na verificao da hiptese se os requisitos de controle de
segurana da informao e comunicaes, relacionados ao gerenciamento de
operaes e comunicaes esto adequados para a COMPANHIA X, foi realizada
uma anlise de aderncia e conformidade com a norma ABNT 27002 (2005) quanto
seo Gerenciamento das Operaes e Comunicaes, analisando-se os
requisitos de controle sugeridos ou recomendados. Estes requisitos deram margem
criao das questes (perguntas) que foram analisadas.
Por meio das respostas, foi obtida uma descrio mais detalhada de como
est estruturado o processo de Gerenciamento das operaes e comunicaes na
COMPANHIA X, e se o mesmo estava aderente aos requisitos de controle de
segurana da informao e comunicaes. O ndice de aderncia final alcanado foi
de 50,5% o que denota o esforo at ento realizado pela empresa para estar
aderente s melhores prticas de SIC preconizadas pelo mercado e sua inteno de

205
cumprir as determinaes da legislao. Contudo esse valor ainda est muito abaixo
do que poderia ser considerado adequado.
5.12.4 Pontos positivos que mais se destacaram na pesquisa
Seguem abaixo os pontos positivos levantados:
Existe a possibilidade de estabelecimento de contato com tcnicos de
suporte de 3 nvel (com mais especialidades) para o acompanhamento
e soluo de dificuldades tcnicas ou soluo de problemas nos
sistemas;
Os programas que esto em execuo sofrem um controle especfico
de modificaes; isto , s so disponibilizados para produo as
verses de programas devidamente testados e homologados;
Atividades

ou

funes

que

facilitariam

cumplicidade

para

concretizao de fraudes so segregadas;


Os software em desenvolvimento e os software em produo so
executados em ambientes e mquinas servidoras separadas;
necessrio aprovao por parte dos gestores dos sistemas para que
sejam dados acessos aos mesmos;
Os requisitos de desempenho e de demanda de capacidade
computacional so levados em considerao para a aceitao de
sistemas;
utilizado software antivrus em todas as estaes de trabalho,
servidores e notebooks, com a gesto centralizada feita por meio de
console nico;
Atualizao regular do antivrus, sistemas operacionais e demais
software aplicativos, realizada de forma automatizada;
realizado backup diria de todos os dados e informaes essenciais
ao negcio;
A responsabilidade operacional pela rede segregada de sua
utilizao normal;
So

estabelecidos

controles

especiais

para

salvaguarda

da

confidencialidade e integridade dos dados que trafegam por redes


pblicas;

206
So utilizados controles especiais para viabilizar a disponibilidade dos
servios de rede e dos computadores conectados;
O contedo de qualquer meio magntico, quando no mais necessrio
organizao apagado;
A documentao dos sistemas guardada de forma segura;
Toma-se

cuidado

para

no

divulgao

externa

de

listas

de

funcionrios;
H uma preocupao quanto necessidade de reteno de
mensagens, seja para trabalho, ou para serem utilizadas como provas
em casos de litgio;
Ocorre a restrio de acesso s informaes de trabalho relacionadas
com indivduos especficos ou grupos de trabalho; e
Ocorre um processo de autorizao formal antes da publicao de uma
informao.
5.12.5 Pontos negativos que mais se destacaram na pesquisa
Seguem os pontos negativos que mais se destacaram:
No existe um processo formalizado para classificao da informao.
Logo,

no

existem

instrues

detalhadas

para

execuo,

processamento, manuseio e tratamento da informao;


No so documentados procedimentos para reincio e recuperao
para o caso de falhas nos sistemas;
No ocorre de forma adequada a identificao e registro de
modificaes

significativas.

avaliao

de

impacto

de

tais

modificaes no formal;
As aplicaes crticas e sensveis no so formalmente identificadas;
No foram criadas ou disponibilizadas normas de segurana que
apoiem a Poltica de Segurana da informao e Comunicaes da
empresa;
No existe plano de continuidade de negcios e plano de recuperao
de desastres, s o procedimento de backup;
A

gesto

de

capacidade

no

formalizada,

ocorrendo

esporadicamente e da utilizao de poucos recursos de monitorao


com feedback automatizado;

207
No considerado o impacto de novos sistemas na segurana da
informao e comunicaes como um todo;
No h um processo de gesto de riscos institudo na organizao;
Os backups no so testados regularmente e no h um plano de
testes estabelecido;
O descarte de itens sensveis no registrado;
No so estabelecidas responsabilidades para o caso de perda de
dados; e
Ainda no h um processo formalizado para troca de mensagens
utilizando-se de criptografia e assinatura digital.
5.12.6 Anlise
Com os dados e informaes levantadas conseguiu-se responder questo
de pesquisa desse estudo de caso, chegando-se concluso que os requisitos de
controle de segurana da informao e comunicaes da COMPANHIA X ainda no
esto adequadamente em conformidade com o preconizado e sugerido pela
seo Gerenciamento das Operaes e Comunicaes, da norma ABNT 27005
(2005). Refutando a hiptese proposta nesse estudo. Ainda h muito o que ser feito
para que a taxa de aderncia final atinja, pelo menos 80%.
Segue na Figura 5.5 uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Gerenciamento
das Operaes e Comunicaes, analisando-se os requisitos de controle sugeridos
ou recomendados.

208

GERENCIAMENTO DAS OPERAES E COMUNICAES


DOCUMENTAO DOS PROCEDIMENTOS
DE OPERAO (A.10.1.1)
CONTROLE DE MUDANAS
120
OPERACIONAIS (A.10.1.2)

SISTEMAS DISPONVEIS PUBLICAMENTE


(A.10.9.3)
SEGURANA DOS SISTEMAS
ELETRNICOS DE ESCRITRIO (A.10.8.5)
POLTICA DE USO DO CORREIO
ELETRNICO (A.10.8.1)

100
80

SEGREGAO DE FUNES (A.10.1.3)

SEPARAO DOS AMBIENTES DE


DESENVOLVIMENTO E DE PRODUO
(A.10.1.4)

60

GESTO DE RECURSOS TERCEIRIZADOS


(A.10.2.1 A A.10.2.3)

RISCOS DE SEGURANA

40
SEGURANA DO COMRCIO ELETRNICO
(A.10.9.1)

PLANEJAMENTO DE CAPACIDADE
(A.10.3.1)

20
0

SEGURANA DE MDIAS EM TRNSITO


(A.10.8.3)

ACEITAO DE SISTEMAS (A.10.3.2)

ACORDOS PARA A TROCA DE


INFORMAES E SOFTWARE

CONTROLES CONTRA SOFTWARE


MALICIOSO (A.10.4.1)

SEGURANA DA DOCUMENTAO DOS


SISTEMAS (A.10.7.4)

CPIAS DE SEGURANA (A.10.5.1)

PROCEDIMENTOS PARA TRATAMENTO


DE INFORMAO (A.10.7.3)

REGISTROS DE OPERAO

DESCARTE DE MDIAS (A.10.7.2)

CONTROLES DA REDE (A.10.6.1)


GERENCIAMENTO DE MDIAS
REMOVVEIS (A.10.7.1)

REFERNCIA

APURADO

Figura 5.5 - Anlise de Aderncia em relao rea Gerenciamento das Operaes


e Comunicaes da norma ABNT 27002 (2005).
Sendo assim, ter requisitos de segurana da informao e comunicaes
relacionados ao gerenciamento de operaes e comunicaes, implantados e em
funcionamento, torna-se um objetivo importante a ser perseguido de forma a
contribuir para a construo de um sistema de gesto de SIC eficiente e eficaz.

5.13 Criptografia e Infraestrutura de Chaves Pblicas


Segue a anlise dos fatos e evidncias de forma a tentar responder a
pergunta se a criptografia utilizada de maneira adequada na COMPANHIA X.
5.13.1 Sobre a organizao
A organizao precisa utilizar criptografia, principalmente para a salvaguarda
de dados e informaes disponibilizadas em dispositivos mveis, dentre eles:
PDAs, notebooks, pendrives e etc. Alm disso, tambm precisa utilizar
criptografia para a troca de informaes classificadas com algum nvel de
sigilo, entre duas ou mais partes;

209
A empresa precisa utilizar criptografia simtrica para troca de informaes
entre colaboradores da prpria organizao, e assimtrica, quando for
necessria a troca de informaes, classificadas com algum nvel de sigilo,
com clientes externos empresa;
As seguintes propriedades relacionadas SIC precisam ser observadas
quando do trato com informaes classificadas com algum nvel de sigilo:
Confidencialidade, Autenticidade e Integridade;
Ainda no h um processo formal de classificao da informao estabelecido
na empresa; e
Ainda no foi criada uma poltica de uso de recursos criptogrficos na
empresa. Porm j teve incio a sua utilizao.
5.13.2 Sobre a utilizao de recursos tecnolgicos criptogrficos
A empresa j adquiriu alguns certificados para alguns funcionrios da
empresa, pois suas funes e cargos exigiam tais recursos. Tambm foram
adquiridos certificados para os stios Web.
5.13.3 Sobre Stios Web e outros sistemas de informao
A empresa usa o protocolo HTTPS para conferir sigilo s comunicaes com
os usurios; e
Os

certificados

digitais

da

empresa

ainda

no

so

gerenciados

adequadamente.
5.13.4 Sobre Ataques a Sistemas Criptogrficos
So utilizadas ferramentas computacionais centralizadas para tratamento e
preveno de malware;
Foi dado incio estruturao e formalizao de uma Equipe de Tratamento e
Resposta Incidentes em Redes Computacionais (ETIR) que ter, dentre
suas atribuies, a de tratar incidentes relacionados perda de sigilo; e
No foi executada nenhuma anlise de risco para se determinar que
ferramenta ou recurso criptogrfico se utilizar.

210
5.13.5 Sobre a implementao de controles recomendados pela norma ABNT
27002 (2005), no que diz respeito utilizao de recursos criptogrficos
Para ajudar na verificao da hiptese se a utilizao de recursos
criptogrficos est adequada e suficiente para viabilizar e assegurar a SIC na
COMPANHIA X, foi realizada uma anlise de aderncia e conformidade com a
norma ABNT 27002 (2005) quanto seo Aquisio, desenvolvimento e
manuteno de sistemas de informao, subitem 12.3 Controles criptogrficos,
analisando-se os requisitos de controle sugeridos ou recomendados. Estes
requisitos deram margem criao das questes que foram analisadas.
5.13.6 Anlise
Por meio das respostas, foi obtida uma descrio mais detalhada de como
est estruturada a utilizao de recursos de criptografia na organizao e se
estavam aderentes aos requisitos de segurana da informao e comunicaes. O
ndice de aderncia final alcanado foi de 14,1% o que denota que a utilizao de
recursos criptogrficos ainda insipiente e que muito ainda h que ser feito
nessa rea, o que acaba por refutar a hiptese A utilizao de recursos
criptogrficos est adequada e suficiente para viabilizar e assegurar a SIC na
COMPANHIA X.
Segue na Figura 5.6 uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Controles
Criptogrficos, analisando-se os requisitos de controle sugeridos ou recomendados.

211

CRIPTOGRAFIA
Poltica para o uso de
controles de
criptografia
(A.12.3.1)
90
80
70
60
50
40
30
20
10
0

Gerenciamento de
chaves - Normas,
procedimentos e
mtodos (A.12.3.2)

Gerenciamento de
chaves - Proteo de
chaves criptogrficas
(A.12.3.2)

Criptografia
(A.12.3.1)
REFERNCIA
APURADO

Assinatura digital
(A.12.3.1)

Figura 5.6 - Anlise de Aderncia em relao seo 12.3 Controles Criptogrficos


da norma ABNT 27002 (2005).
Sendo assim, ter requisitos de segurana da informao e comunicaes
relacionados utilizao de recursos de criptografia, implantados e em
funcionamento, torna-se um objetivo importante a ser perseguido de forma a
contribuir para a construo de um sistema de gesto de SIC eficiente e eficaz.

5.14 Segurana no Desenvolvimento de Aplicaes


Segue a anlise dos fatos e evidncias.
5.14.1 Sobre a implementao de controles relacionados aos processos
prticos de aquisio, desenvolvimento e manuteno de sistemas de
informao
Para ajudar na verificao da hiptese se os requisitos de controle de
segurana

da

informao

comunicaes,

relacionados

aquisio,

desenvolvimento e manuteno de sistemas de informao esto adequados para a


COMPANHIA X, foi realizada uma anlise de aderncia e conformidade com a
norma ABNT 27002 (2005) quanto seo Aquisio, desenvolvimento e
manuteno de sistemas de informao, analisando-se os requisitos de controle

212
sugeridos ou recomendados. Estes requisitos deram margem criao das
questes que foram analisadas.
5.14.2 Pontos positivos
Seguem os pontos positivos que mais se destacaram na pesquisa:
Na especificao dos requisitos do negcio para os novos sistemas,
so especificados os controles de segurana necessrios;
So aplicadas validaes de dados de entrada;
So estabelecidos procedimentos de resposta validao de erros;
So definidas as responsabilidades de todo o pessoal envolvido no
processo de entrada de dados;
Os dados de sada dos sistemas so validados e sua plausibilidade
verificada;
Os programas que esto em execuo sofrem um controle especfico
de modificaes;
Atividades

ou

funes

que

facilitariam

cumplicidade

para

concretizao de fraudes so segregadas;


Os software em desenvolvimento, teste e em produo so rodados
em ambientes e mquinas servidoras separadas;
necessrio aprovao por parte dos gestores dos sistemas para que
sejam dados acessos aos mesmos;
Atualizao regular de antivrus, sistemas operacionais e demais
software aplicativos, de forma automatizada;
A responsabilidade operacional pela rede segregada de sua
utilizao

normal

assim

como

as

responsabilidades

dos

analistas/programadores, em relao aos arquitetos de dados e DBAs;


So

estabelecidos

controles

especiais

para

salvaguarda

da

confidencialidade e integridade dos dados que trafegam por redes


pblicas;
A documentao dos sistemas guardada de forma segura;
A

empresa

comunicaes

usa

com

protocolo
os

HTTPS para

usurios

destes

disponibilizados pela extranet da organizao; e

conferir
com

os

sigilo

sistemas

213
evitada a manipulao da biblioteca de programas-fonte em
ambiente de produo.
5.14.3 Aspectos negativos:
Seguem os aspectos negativos que mais se destacaram na pesquisa:
A identificao e registro de modificaes significativas no ocorrem de
forma adequada. A avaliao de impacto de tais modificaes no
formal;
As aplicaes crticas e sensveis no so formalmente identificadas;
No foram criadas ou disponibilizadas normas de segurana que
apoiem a Poltica de Segurana da informao e Comunicaes da
empresa no que diz respeito a desenvolvimento de sistemas;
Ainda no h um processo formal de classificao da informao
estabelecido na empresa. Dessa forma as informaes utilizadas pelos
sistemas ou so confidenciais, ou ostensivas.
No considerado o impacto de novos sistemas na segurana da
informao e comunicaes como um todo;
No h um processo de gesto de riscos institudo na organizao de
forma que pudesse ser levado em conta na especificao dos controles
de segurana dos novos sistemas; e
Ainda no foi criada uma poltica de uso de recursos criptogrficos na
empresa. Porm sua utilizao j teve incio.
OBS: importante salientar que alguns estudos de caso j citados, tambm
serviram de base para essa pesquisa, tais como o tpico relacionado ao
gerenciamento de operaes e comunicaes e ao tpico de criptografia e
infraestrutura de chaves pblicas.
5.14.4 Anlise
Por meio das respostas, foi obtida uma descrio mais detalhada de como
est estruturado o processo de Aquisio, desenvolvimento e manuteno de
sistemas de informao na COMPANHIA X, e se o mesmo estava aderente aos
requisitos de controle de segurana da informao e comunicaes. O ndice de
aderncia final alcanado foi de 32,4%. Contudo esse valor ainda est muito abaixo
do que poderia ser considerado adequado. Dessa forma, fica refutada a hiptese

214
Os requisitos de controle de segurana da informao e comunicaes,
relacionados aquisio, desenvolvimento e manuteno de sistemas de
informao esto adequados para a COMPANHIA X, proposta nesse estudo de
caso.
Segue na Figura 5.7 uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Aquisio,
desenvolvimento e manuteno de sistemas de informao, analisando-se os
requisitos de controle sugeridos ou recomendados.

AQUIS., DESENV. E MANUT. DE SIST. DE INFORMAO


Anlise e especificao dos requisitos
de segurana (A.12.1.1)
Desenvolvimento terceirizado de
Validao de dados de entrada
180
software (A.12.5.5)
(A.12.2.1)
160
Covert channels e cavalo de Tria
Controle do processamento interno (A.12.5.4)
reas de risco (A.12.2.2)
140
Restries nas mudanas dos pacotes
de software (A.12.5.3)

120
100

Controle do processamento interno Checagens e controles (A.12.2.2)

80
Anlise crtica das mudanas tcnicas
do sistema operacional da produo
(A.12.5.2)

60
Autenticao de mensagem (A.12.2.3)

40
20

Procedimentos de controle de
mudanas (A.12.5.1)

Controle de acesso a bibliotecas de


programa-fonte (1.12.4.3)
Proteo de dados de teste do sistema
(A.12.4.2)
Controle de software operacional
(A.12.4.1)
Gerenciamento de chaves - Normas,
procedimentos e mtodos (A.12.3.2)

0
Validao dos dados de sada (A.12.2.4)

Poltica para o uso de controles de


criptografia (A.12.3.1)

Criptografia (A.12.3.1)
Assinatura digital (A.12.3.1)
Gerenciamento de chaves - Proteo
de chaves criptogrficas (A.12.3.2)

Referncia
Apurado

Figura 5.7 - Anlise de Aderncia em relao rea Aquisio, Desenvolvimento e


Manuteno de Sistemas de Informao da norma ABNT 27002 (2005).
De qualquer forma, salienta-se a necessidade de ter requisitos de segurana
da informao e comunicaes relacionados aquisio, desenvolvimento e
manuteno de sistemas de informao, implantados e em funcionamento, e isso
torna-se um objetivo importante a ser perseguido de forma a contribuir para a
construo de um sistema de gesto de SIC eficiente e eficaz.

5.15 Tratamento de Incidentes de Segurana


Para ajudar na verificao da hiptese se os requisitos de controle de
segurana da informao e comunicaes, relacionados gesto de incidentes de

215
segurana da informao esto adequados para a COMPANHIA X, foi realizada
uma anlise de aderncia e conformidade com a norma ABNT 27002 (2005)
especialmente quanto seo 13 - Gesto de incidentes de segurana da
informao, analisando-se os requisitos de controle sugeridos ou recomendados.
Estes requisitos deram margem criao das questes que foram analisadas.
Por meio das respostas, foi obtida uma descrio mais detalhada de como
est estruturado o processo de Gesto de incidentes de segurana da informao
na COMPANHIA X, e se o mesmo estava aderente aos requisitos de controle de
segurana da informao e comunicaes. O ndice de aderncia final alcanado foi
de 33,0%. Contudo esse valor ainda est muito abaixo do que poderia ser
considerado adequado.
5.15.1 Sobre a implementao de controles relacionados gesto de
incidentes de segurana da informao
Seguem abaixo os pontos positivos que mais se destacaram na pesquisa:
So tomadas medidas visando minimizar prejuzos causados por
incidentes de segurana;
Incidentes que afetam a segurana da informao so comunicados o
quanto antes. Todos os empregados e terceirizados so informados
sobre o procedimento de comunicao;
Os incidentes de segurana so investigados para apurao de causa
e tomada de ao corretiva;
Os incidentes so utilizados no treinamento de conscientizao dos
usurios, sobre o que poderia acontecer, como reagir a tais incidentes
e como evit-los no futuro;
S pessoal devidamente autorizado est liberado para ter acesso
dados e sistemas em produo;
Est em elaborao uma norma para Gesto de Incidentes de
Segurana da Informao e Comunicaes;
Est sendo planejada a instituio de uma Equipe de Tratamento e
Resposta

Incidentes

em Redes

Computacionais (ETIR).

documento de constituio da ETIR j se encontra pronto e foi


submetido ao Gestor de SIC; e

216
Foi criado e institudo um Programa Corporativo de Conscientizao
em Segurana da Informao e Comunicaes que tem por objetivo
tratar de forma continuada a conscientizao e sensibilidade de todos
os empregados da COMPANHIA X no que diz respeito ao assunto SIC,
utilizando-se de palestras, cartazes, emails, e etc.
5.15.2 Pontos negativos que mais se destacaram na pesquisa:
Seguem os pontos negativos que mais se destacaram:
No so recolhidas provas e evidncias de imediato, ou da maneira
que seria mais adequada, aps a ocorrncia de alguns incidentes de
segurana;
No h um processo formal, que siga as recomendaes das melhores
prticas de Gerenciamento de servios e governana de TI
(ITIL/COBIT) institudo;
No so implementados mecanismos que permitam a quantificao,
monitorao dos tipos, volumes e custos de incidentes de segurana;
No h identificao de incidentes recorrentes;
Ainda no foram estabelecidos procedimentos que cubram alguns
potenciais incidentes de segurana;
No existem procedimentos estabelecidos para coleta de evidncias. O
conhecimento para isso ad hoc;e
No h plano de continuidade de negcios implementado.
5.15.3 Demais consideraes e resultados sobre a pesquisa:
Na poca que o levantamento de dados foi realizado havia previso da
aprovao da norma para Gesto de incidentes com formalizao da Equipe de
Tratamento de Incidentes em Redes Computacionais;
A organizao escolheu formalizar o processo de compra de ferramenta de
software que permitir instituir e automatizar o processo de gesto de incidentes,
gesto de problemas, gesto de configurao e gesto de mudanas, de acordo
com as melhores prticas preconizadas pelo ITIL.
5.15.4 Anlise
A organizao necessita de uma ETIR, no s para estar adequada ao que
preconizado pela legislao (Instruo normativa n 01 de 13 de junho de 2008

217
IN01/DSIC/GSIPR),

mas tambm para

tratar

adequadamente

aos sempre

crescentes riscos de segurana da informao e comunicao.


Alm disso, segue na Figura 5.8 uma representao grfica da anlise de
aderncia e conformidade com a norma ABNT 27002 (2005), quanto seo
Gesto de Incidentes de Segurana da Informao, analisando-se os requisitos de
controle sugeridos ou recomendados.

GESTO DE INCIDENTES DE SEGURANA


Reao a
incidentes de
segurana e
falhas (A.13.1.1)
80
60
Procedimentos
para o
gerenciamento de
incidentes
(A.13.2.1)

40

20
0

Comunicao de
incidentes de
segurana
(A.13.1.1)

Referncia
Aprendendo com
os incidentes
(A.13.2.2)

Comunicao de
pontos fracos de
segurana
(A.13.1.2)

Apurado

Figura 5.8 - Anlise de Aderncia em relao rea Gesto de Incidentes de


Segurana da Informao da norma ABNT 27002 (2005).
Conclui-se que os requisitos de controle de segurana da informao e
comunicaes, relacionados gesto de incidentes de segurana da
informao, ainda no esto adequados para a COMPANHIA X, refutando, dessa
forma, a hiptese Os requisitos de controle de segurana da informao e
comunicaes, relacionados gesto de incidentes de segurana da informao
esto adequados para a COMPANHIA X. Contudo, ressalta-se que diversas aes
esto em curso visando a melhoria do processo e uma gesto de incidentes mais
eficiente e eficaz.
Sendo assim, ter requisitos de segurana da informao e comunicaes
relacionados gesto de incidentes de segurana da informao, implantados e em
funcionamento, torna-se um objetivo importante a ser perseguido de forma a
contribuir para a construo de um sistema de gesto de SIC eficiente e eficaz.

218

5.16 Auditoria e Conformidade de Segurana da Informao


Segue a anlise inicial dos fatos e evidncias:
5.16.1 Sobre o processo de auditoria interna em segurana da informao
vigente na organizao:
Para ajudar na verificao da hiptese se os requisitos de controle de
segurana da informao e comunicaes, relacionados conformidade e auditoria
interna esto adequados para a COMPANHIA X, foi realizada uma anlise de
aderncia e conformidade com a norma ABNT 27002 (2005) especialmente quanto
seo 15 - Conformidade, analisando-se os requisitos de controle sugeridos ou
recomendados. Estes requisitos deram margem criao das questes que foram
analisadas.
5.16.2 Pontos positivos
Seguem os pontos positivos que mais se destacaram na pesquisa:
Existe, por parte da instituio, uma grande preocupao em evitar
violaes de qualquer lei penal ou civil, ou obrigaes decorrentes de
estatutos, regulamentos e contratos;
A instituio detm uma consultoria jurdica interna que a aconselha e
assessora em aspectos legais relacionados contratao, compra,
licitao de produtos ou servios e tambm em aspectos quanto
legislao

trabalhista

quanto

legislao

relacionada

ao

cumprimento da misso institucional;


Os registros da organizao so protegidos contra perda, destruio e
falsificao;
Os registros so arquivados digitalmente de modo seguro visando
atender as exigncias da legislao ou de rgos reguladores e que
passem para a custdia da organizao dados e informaes
classificadas com algum nvel de sigilo;
A auditoria interna de gesto, desempenho operacional e conformidade
foi realizada inicialmente, no final de 2008, e agora, vem sendo
paulatinamente realizada, por este pesquisador em SIC, s que agora
com conhecimentos mais abrangentes e aprofundados nas reas e
subdomnios de SIC que compem a auditoria;

219
H a percepo, por parte do secretario executivo do comit de SIC de
que a auditoria de segurana deveria perpassar por todas as funes
da organizao;
Tanto os empregados, quanto os clientes da organizao se
preocupam com a questo de segurana da informao;
A auditoria de segurana perpassa por todas as reas preconizadas
pela norma ABNT 27002 (2005). Atualmente so analisados mais de
600 requisitos de segurana;
A organizao detm um Programa Corporativo de conscientizao em
SIC em funcionamento, em que algumas aes j se encontram
aprovadas no nvel de direo, com a participao obrigatria de todos
os colaboradores e empregados;
Os resultados das auditorias internas em SIC so entregues ao Gestor
de SIC e servem de insumo de trabalho para o secretario executivo do
comit de SIC; e
A

organizao

tem Poltica

de

Segurana

da

Informao

Comunicaes aprovada pela sua Diretoria Executiva e amplamente


divulgada para seus empregados e demais colaboradores.
5.16.3 Pontos negativos:
Seguem os pontos negativos que mais se destacaram na pesquisa:
Controles especiais e responsabilidades individuais pelo atendimento a
estatutos, regulamentaes ou clusulas contratuais nem sempre esto
definidos e documentados;
No h um processo formal de classificao da informao institudo
na

organizao.

Sendo

assim,

auditagem de

desempenho

operacional para o tratamento correto da informao classificada com


algum nvel de sigilo no apresenta um bom resultado. Por exemplo,
no so estabelecidos perodos de armazenagem, tipo de veculo para
armazenagem e, at mesmo de descarte da informao;
No foi estabelecido um perodo de reteno para tipos de registros
essenciais para a organizao e nem por quanto tempo eles devem ser
conservados;

220
No h como garantir que todos os procedimentos de segurana so
executados dentro das diversas reas da empresa;
Ainda

no

foram

estabelecidos

processos

para

gesto

operacionalizao da SIC;
Os resultados da auditoria de segurana ainda no so oficialmente
divulgados pela organizao;
A organizao no tem planejamento estratgico o que inviabiliza a
construo de Plano Diretor de Segurana da Informao e
Comunicaes de forma que seja mais aderente ao negcio; e
Ainda no foram definidos parmetros de monitoramento para o
processo de gesto de SIC.

Como ilustrao do processo de auditoria interna realizado na empresa, no


final de 2008, segue abaixo a concluso salientada ao final da auditoria:
Foi realizada uma ampla anlise de aderncia e conformidade norma
NBR 27002 (2005) na COMPANHIA X, na tentativa de se auditar o que j
foi feito e o que ainda falta ser realizado no quesito Segurana da
Informao e Comunicao na empresa. Procurou-se seguir orientaes
mandatrias preconizadas pela legislao, principalmente referentes ao
Decreto n 3.505, de 13 de Junho de 2000 e tambm a Instruo normativa
GSI N 1, DE 13 DE JUNHO DE 2008.
Esta mesma anlise de aderncia possibilitou o estabelecimento de
requisitos de controle que deram margem construo do documento que
contm os princpios bsicos para gesto da SIC na COMPANHIA X.
Os resultados apresentados denotam a urgncia da elaborao, com
posterior execuo, de planos de ao voltados a melhorarem os valores
de aderncia dos requisitos de segurana preconizado pela norma aos
colocados em prtica na COMPANHIA X.

5.16.4 Anlise
A hiptese Os requisitos de controle de segurana da informao e
comunicaes, relacionados conformidade e auditoria interna esto adequados
para a COMPANHIA X. fica parcialmente comprovada, pois um ndice de
conformidade com os requisitos de segurana da informao preconizados pela
norma NBR 27002 (2005), relacionados auditoria de segurana da informao,
46,9% no se caracteriza ainda como um resultado final de amadurecimento da rea

221
de gesto de SIC. Entretanto, tambm denota que muitas aes j foram tomadas e
que, pelo menos, metade do caminho j foi percorrida na busca de uma boa gesto
de SIC.
Segue na Figura 5.9 uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Conformidade,
analisando-se os requisitos de controle sugeridos ou recomendados.

CONFORMIDADE
Conformidade com
exigncias legais
(A.15.1)
200
150
100
Conformidade com
a poltica de
segurana
(A.15.2.1)

50
0

Identificao da
legislao aplicvel
(A.15.1.1)

Referncia

Preservao dos
registros da
organizao
(A.15.1.3)

Apurado

Figura 5.9 - Anlise de Aderncia em relao rea Conformidade da norma


ABNT 27002 (2005).
Sendo assim, ter requisitos de segurana da informao e comunicaes
relacionados auditoria e conformidade de SIC, implantados e em funcionamento,
torna-se um objetivo importante a ser perseguido de forma a contribuir para a
construo de um sistema de gesto de SIC eficiente e eficaz.

5.17 Gesto de Continuidade


Segue a anlise inicial dos fatos:
5.17.1 Sobre o processo de conformidade com normas e polticas de
segurana da informao e demais conformidades tcnicas
A fim de validar se a hiptese quanto aos requisitos de controle de segurana
da informao e comunicaes, relacionados continuidade do negcio esto
adequados para a COMPANHIA X, foi realizada uma anlise de aderncia e

222
conformidade com a norma ABNT 27002 (2005), em especial quanto seo 14 Gesto da Continuidade do Negcio, analisando-se os requisitos de controle
sugeridos ou recomendados. Estes requisitos deram margem criao das
questes que foram analisadas.
Por meio das respostas, foi obtida uma descrio mais detalhada de como
est estruturado o processo de continuidade do negcio na COMPANHIA X, e se o
mesmo estava aderente aos requisitos de controle de segurana da informao e
comunicaes. O ndice de aderncia final alcanado foi de 0 (zero por cento)%.
5.17.2 Pontos positivos:
Seguem os pontos positivos levantados:
A pesquisa permitiu o conhecimento de conceitos e requisitos
relacionados continuidade de negcios preconizados pelas melhores
prticas do mercado: norma ABNT 27002 (2005), norma ABNT 27001
(2006) e norma ABNT 15999 (2007) e das diretrizes e recomendaes
da instruo normativa complementar 06 (IN06, 2009);
A empresa j criou, aprovou e amplamente divulgou sua Poltica de
Segurana da Informao e Comunicaes;
Vrias normas de segurana que serviro como apoio para a Poltica
de Segurana da Informao esto em desenvolvimento;
A empresa j tem um Programa de Conscientizao em Segurana da
Informao e Comunicaes em funcionamento, em que todos os
colaboradores e empregados novos tm que participar para serem
apresentados Poltica de Segurana e a outros conceitos de
segurana;
A rede de computadores e seus diversos componentes so
administrados seguindo-se uma rotina definida, e com diversos
procedimentos documentados;
Os usurios no tm autorizao e no conseguem instalar software
em seus prprios computadores. S so instalados programas que
estejam presentes na biblioteca de software homologados e com o
devido nvel de autorizao;
O software antivrus tem controle e gesto centralizada, atingindo
ambiente Web, email, sistema de arquivos e banco de dados o que

223
mitiga o risco de contaminao em escala por algum vrus. Essa ao
diminui a probabilidade de ter que se acionar planos de continuidade
devido a esses tipos de ameaas;
O backup feito regularmente e fica um conjunto de fitas armazenado
mensalmente fora das instalaes da empresa;
utilizada virtualizao de servidores visando otimizao de recursos,
e continuidade no fornecimento de servios; e
O prprio usurio tem recursos sua disposio para restaurar
arquivos perdido ou alterados em alguns dos drives de rede. A
possibilidade de recuperao de aproximadamente 1 ms.
5.17.3 Pontos negativos:
Seguem os pontos negativos levantados:
No h um processo de gesto de continuidade de negcios institudo;
No h plano de continuidade formalizado;
Os colaboradores, como um todo, no compreendem toda a
abrangncia e importncia da gesto de continuidade de negcios;
No h formalizao do conhecimento dos ativos de informao mais
crticos para a organizao;
No h cultura de gesto de continuidade de negcios disseminada e
implantada;
A maioria dos processos de negcio no so mapeados ou
documentados;
No h um processo de gesto de riscos implantado na organizao;
Ainda no foi realizado nenhuma Anlise de Impacto ao Negcio na
organizao; e
As aes para a implantao de um processo formal de gesto de
continuidade de negcios ainda no tiveram incio.
5.17.4 Anlise
Os resultados apresentados denotam a urgncia da elaborao, com
posterior execuo, de planos de ao voltados a melhorarem os valores de
aderncia, dos requisitos de segurana preconizados pela norma ABNT 27002
(2005), aos colocados em prtica na COMPANHIA X. Dessa forma, a hiptese

224
proposta fica refutada, pois um ndice de conformidade com os requisitos de
segurana da informao relacionados continuidade de negcios, de 0% (zero por
cento) indica que muito ainda h que ser feito nesse sentido e que aes urgentes
deveriam ser tomadas.
Segue na Figura 5.10 uma representao grfica da anlise de aderncia e
conformidade com a norma ABNT 27002 (2005), quanto seo Gesto da
Continuidade do Negcio, analisando-se os requisitos de controle sugeridos ou
recomendados.

GESTO DA CONTINUIDADE DO NEGCIO

Manuteno e
reavaliao do
planos (A.14.1.5)

Gesto da
continuidade do
negcio (A.14.1.1)
120
100
80
60
40
20
0

Continuidade do
negcio e anlise
de impacto

Document. e
implement. de
planos de

Teste dos planos


(A.14.1.5)

Referncia
Apurado

Estruturao do
plano de
continuidade do

Figura 5.10 - Anlise de Aderncia em relao rea Gesto da Continuidade do


Negcio da norma ABNT 27002 (2005).
Sendo assim, ter requisitos de segurana da informao e comunicaes
relacionados gesto de continuidade dos negcios, implantados e em
funcionamento, torna-se um objetivo importante a ser perseguido de forma a
contribuir para a construo de um sistema de gesto de SIC eficiente e eficaz.

5.18 Discusso em Relao s Hipteses


Seguem as anlises concernentes s hipteses propostas no captulo 1
desse trabalho de pesquisa.

225
5.18.1 Hiptese sobre a utilizao do material terico e questes de suporte
dos protocolos de estudo de caso das disciplinas do curso CEGSIC
2009/2011
A hiptese A utilizao do material terico e protocolos de estudo de caso
das disciplinas do curso de especializao em Gesto de Segurana da Informao
e Comunicaes (CEGSIC 2009/2011) corroboram com o referencial normativo e
com a legislao concernentes SIC, para o estabelecimento de uma anlise de
conformidade em SIC mais abrangente e eficaz ficou comprovada, pois as
questes de suporte sugeridas e apresentadas, nos diversos protocolos de pesquisa
de cada disciplina do curso de ps-graduao em Gesto de SIC (CEGSIC
2009/2011), forneceram um excelente material para conduo e complementao da
pesquisa exploratria efetuada, ajudando na execuo da anlise de conformidade
e, dessa forma, a alcanar um dos objetivos desse trabalho.
5.18.2 Hipteses sobre os requisitos de controle de SIC
A hiptese Os requisitos de controle de segurana da informao e
comunicaes, ora vigentes na COMPANHIA X so adequados e suficientes para
atender aos requisitos do negcio, e esto em conformidade com as normas e
legislao inerentes ao assunto foi refutada pela constatao dos resultados
dos diversos estudos de caso.
Para uma melhor visualizao dos resultados segue, na Figura 5.11, um
quadro resumo da anlise de conformidade realizada nesse trabalho de pesquisa,
denotando-se os valores de referncia por rea ou domnio de segurana, e os
valores apurados na COMPANHIA X.

226

DOMNIO DE SEGURANA

PSIC
2500
Conformidade

Org. a SI

2000

1500
Gesto da continuidade
do negcio

Gesto de ativos

1000
500

Referncia

Gesto de incidentes de
SI

Apurado

Seg. em RH

Aquis., desenv. e
manut. de sist. de
informao

Seg. fsica e do
ambiente

Controle de acesso

Gerenc. das operaes


e comunicaes

Figura 5.11 - Resaultado Geral da anlise de conformidade realizada.


Na Figura 5.12, segue uma comparao do resultado da anlise de
conformidade realizada no final de 2008, com o resultado da anlise de
conformidade fruto desse trabalho de pesquisa.

COMPARAO ENTRE ANLISES DE CONFORMIDADE


PSIC
Conformidade

80
60
40

Org. a SI
Gesto de ativos

20
Gesto de
incidentes de SI
Aquis., desenv. e
manut. de sist.
Controle de
acesso

0
Seg. em RH
Seg. fsica e do
ambiente

Aderncia em 2008
Aderncia em 2011-2011

Figura 5.12 - Comparao entre as anlises de conformidade realizadas em 2008 e


2010/2011.

227

6 Concluses e Trabalhos Futuros

6.1 Concluses
Para comprovar ou refutar as hipteses, de que a utilizao do material
terico e questes de suporte dos protocolos de estudo de caso das disciplinas do
curso CEGSIC 2009/2011 corroboram o referencial normativo e a legislao
concernentes SIC, para o estabelecimento de uma anlise de conformidade em
SIC mais abrangente e eficaz, e, tambm, que os requisitos de controle de SIC
vigentes na COMPANHIA X so adequados e suficientes para atender aos requisitos
do negcio, e esto em conformidade com as normas e legislao inerentes ao
assunto, levantaram-se dados em diversos estudos de caso, que se basearam em
auditorias de Segurana da Informao e Comunicaes, tendo como referncia a
norma ABNT 27002 (2005), alm de diversas questes de suporte tecidas em cada
uma das disciplinas do curso CEGSIC, em questo.
A pesquisa ressaltou a importncia de considerar as 11 reas principais da
supracitada norma, em uma auditoria de SIC, e tambm demonstrou a relevncia de
se utilizar as demais disciplinas do curso de Gesto em SIC, promovido pelo GSIC
na UnB. Descrevem-se abaixo, em relao a cada rea pesquisada, o resultado de
comprovao ou refutao das hipteses, e uma sntese das principais
recomendaes que podem ser inferidas por meio da anlise dos dados realizada no
captulo 5.
Quanto aos sistemas de informao e Comunicao foi demonstrado que o
conjunto de requisitos de SIC estabelecido para um importante sistema de misso
crtica da organizao no estava adequado aos requisitos do negcio refutando a
hiptese inicialmente proposta.
Em relao a este item, recomendam-se as seguintes aes: determinar
quais so os principais sistemas de misso crtica da organizao e analisar se seus
controles de segurana so adequados para atender aos requisitos do negcio;

228
Elaborar e implementar processo formal para classificao de informao; mapear
todos os processos de trabalho da organizao; e elaborar processo de gesto de
riscos de SIC.
Quanto a infraestrutura de tecnologia da informao, comprovou-se
parcialmente a hiptese de que a infraestrutura de tecnologia da informao atende
aos requisitos de SIC do negcio.
Em relao a este item, recomendam-se as seguintes aes: executar a
gesto dos riscos dos principais ativos da infraestrutura de Tecnologia da
Informao; adotar a biblioteca de melhores prticas de gesto de servios de TI
(ITIL, 2000) focando principalmente nos processos da rea de suporte (gesto de
configurao, gesto de incidentes, gesto de problemas, gesto de mudanas e
gesto de liberao), pois tm maior influncia sobre os ativos da informao.
Quanto poltica e cultura de segurana ficou comprovada a hiptese de que
a Poltica de SIC (POSIC) da COMPANHIA X adequada aos requisitos de
segurana do negcio.
Em relao a este item, recomendam-se as seguintes aes: elaborar,
aprovar e implementar normas de SIC que apoiem o cumprimento da POSIC.
Quanto organizaes e sistemas de informao comprovou-se a hiptese
sobre a boa organizao do sistema de gesto de SIC, e que o mesmo atende aos
requisitos de segurana do negcio.
Em relao a este item, recomendam-se as seguintes aes: melhorar a
interao com outras instituies para troca de informaes referentes SIC;
implantar sistema de CFTV para monitoramento dos permetros mais crticos; iniciar
e implementar processo de gesto de riscos para se determinar quais os controles
de SIC so realmente necessrios.
Quanto aos Controles de Segurana Fsica e Ambiental foi demonstrado que
a hiptese de que os requisitos de SIC relacionados segurana fsica e ambiente
esto adequados para a COMPANHIA X, ficou comprovada.
Em relao a este item, recomendam-se as seguintes aes: elaborar,
implementar e testar planos de continuidade de negcios e planos de recuperao
de desastres; realizar anlise e gesto de riscos para determinar permetros de
segurana que precisam de mais ateno; e rever com menor periodicidade os
direitos de acesso fsico.

229
Quanto ao Protocolo de Comunicao Humano-Mquina foi demonstrada a
comprovao da hiptese de que a anlise ergonmica do trabalho um importante
instrumento da gesto de SIC.
Em relao a este item, recomendam-se as seguintes aes: definir,
normatizar e cobrar obrigaes e responsabilidades dos usurios quanto ao assunto
SIC; elaborar e implementar processo de gesto de incidentes, apoiado pela criao
de uma equipe de tratamento de incidentes em redes computacionais de forma a se
pesquisar fatores e motivos que podem levar aos usurios a terem comportamentos
inseguros; elaborar e implementar metodologia de gerenciamento de projetos de
forma a reduzir comportamentos inseguros na execuo dos projetos; criar e
implementar escritrio de processos, com a incumbncia de mapear e normatizar
todos os processos da organizao.
Quanto ao Direito na Sociedade da Informao foi demonstrada a importncia
desse tema para a gesto de SIC e, tambm foi comprovada a hiptese de que a
empresa trata satisfatoriamente a dicotomia privacidade e propriedade. Em relao a
este item, recomendam-se as seguintes aes: instituir processo contnuo de
formao de pessoal na rea de Direito na Sociedade da Informao.
Quanto ao Gerenciamento de Riscos de Segurana da Informao foi
demonstrada a comprovao da hiptese de que o processo de gesto de riscos
imprescindvel para a escolha dos controles de SIC a serem aplicados em um ativo
informacional, assim como foi denotada sua importncia para a gesto de SIC.
Em relao a este item, recomendam-se as seguinte aes: elaborar, aprovar
e implementar norma de gesto de riscos de SI; elaborar e implementar metodologia
de gesto de riscos de SI; treinar todo o corpo tcnico e administrativo na
metodologia de gesto de riscos.
Quanto ao Controle de acesso foi demonstrado a comprovao parcial da
hiptese de que os controles de SIC relacionados controle de acesso esto
adequados para a COMPANHIA X.
Em relao a este item, recomendam-se as seguintes aes: elaborar,
aprovar e implementar norma de controle de acesso; utilizar amplamente a
tecnologia de certificado e assinatura digital; utilizar uma poltica de tela limpa e
mesa limpa e fornecer recursos para apoi-las.
Quanto Aquisio e Implementao, Entrega e Suporte de Servios de TI foi
demonstrada a refutao da hiptese de que os controles praticados e em uso pela

230
TI esto em conformidade com os controles recomendados pelos domnios
Aquisio e Implementao e Entrega e Servios de TI do COBIT (2007). Contudo
ficou denotada a importncia desses domnios para a gesto de SIC.
Em relao a este item, recomendam-se as seguintes aes: implementar o
planejamento estratgico institucional para que, em seguida, se possa implementar
o planejamento estratgico de TI, o Plano Diretor de TI e o Plano Diretor de SIC;
implementar os processos de gesto de nvel de servio, gesto de capacidade,
gesto de continuidade e demais processos citados nos domnios de aquisio e
implementao, entrega e suporte de servios de TI do COBIT (2007).
Quanto Modelagem, Simulao e Dinmica de Sistemas foi demonstrada a
comprovao da hiptese de que a implementao de controles para prevenir a
indisponibilidade de sistemas, acaba por reduzir as vulnerabilidades do ambiente, e
em consequncia aumenta o prestgio do gestor. Dessa forma ficou denotada a
importncia da modelagem, e simulao de sistemas para a gesto de SIC.
Em relao a este item, recomenda-se a seguinte ao: utilizar um processo
de gesto de riscos simplificado para uma abordagem inicial para a modelagem de
sistemas.
Quanto ao Gerenciamento das Operaes e Comunicaes foi demonstrada
a refutao da hiptese de que os requisitos de SIC da COMPANHIA X esto em
conformidade

com

os

controles

recomendados

sugeridos

pela

seo

Gerenciamento das Operaes e Comunicaes da norma ABNT 27002 (2005).


Em relao a este item, recomendam-se as seguintes aes: elaborar e
implementar processo de classificao da informao; elaborar e implementar
processo de gesto de mudanas; elaborar e implementar metodologia de gesto de
riscos; elaborar e implementar processo de gesto de continuidade de negcios e
planos de recuperao de desastres; elaborar e implementar normas que apoiem o
gerenciamento das operaes e comunicaes.
Quanto Criptografia e Infraestrutura de Chaves Pblicas foi demonstrada a
refutao da hiptese de que a utilizao de recursos criptogrficos est adequada
para a COMPANHIA X. Contudo, ficou denotada a importncia desse tema para a
gesto de SIC.
Em relao a este item, recomendam-se as seguintes aes: adquirir
certificados de empresas pertencentes infraestrutura de chaves pblicas Brasil;

231
utilizar assinatura digital; elaborar e implementar normas relacionadas utilizao de
recursos de criptografia.
Quanto Segurana no Desenvolvimento de Aplicaes foi demonstrada a
refutao da hiptese de que os requisitos de controles de SIC, relacionados
aquisio, desenvolvimento e manuteno de sistemas de informao esto
adequados para a COMPANHIA X.
Em relao a este item, recomendam-se as seguintes aes: elaborar e
implementar processo de gesto de mudanas; elaborar, aprovar e implementar
norma e metodologia de desenvolvimento de sistemas; utilizar processo formal de
classificao da informao; utilizar processo de gesto de riscos de SI para analisar
controles de SIC necessrios e suficientes.
Quanto ao Tratamento de Incidentes de Segurana foi demonstrada a
refutao da hiptese de que os requisitos de controles de SIC relacionados
gesto de incidentes de SI esto adequados para a COMPANHIA X. Contudo,
chama-se a ateno que um tratamento eficiente e eficaz dos incidentes de
segurana muito contribui para a gesto de SIC.
Em relao a este item, recomendam-se as seguintes aes: elaborar,
aprovar e implementar norma de gesto de incidentes de SIC; instituio e
formalizao de uma equipe de tratamento de incidentes em redes computacionais;
implementao de processo de gesto de incidentes de acordo com as melhores
prticas de gesto de servios (ITIL, 2000) e COBIT (2007); elaborar, implementar e
testar planos de continuidade de negcios e planos de recuperao de desastres.
Quanto Auditoria e Conformidade de Segurana da Informao foi
demonstrada a comprovao parcial da hiptese de que os requisitos de controle de
SIC, relacionados conformidade e auditoria interna esto adequados para a
COMPANHIA X. Contudo, denota-se a importncia desse tema para a gesto de
SIC, pois por meio dele que se pode verificar em que estgio de
amadurecimento encontra-se a organizao, ou que controles so necessrios e
suficientes para assegurar a SIC e o cumprimento dos objetivos do negcio.
Em relao a este item, recomendam-se as seguintes aes: divulgar
apropriadamente auditorias de SIC realizadas; definir parmetros de monitorao do
processo de gesto de SIC.
Quanto Gesto da Continuidade foi demonstrada a refutao da hiptese de
que os requisitos de controle de SIC relacionados continuidade do negcio esto

232
adequados para a COMPANHIA X. Apesar da importncia desse tema para a gesto
de SIC, e para o prprio negcio em si, a nota apreendida denota a urgncia do
estabelecimento de planos de ao que efetivamente mudem essa situao.
Recomendam-se as seguintes aes: elaborar, aprovar e implementar norma
para gesto de continuidade de negcios; instituir comit ou grupo de trabalho para
analisar as questes inerentes continuidade de negcios, instituir e atribuir o cargo
de gestor de continuidade de negcios que ser o responsvel pela coordenao da
rea de continuidade de negcios (em um primeiro momento essa coordenao
pode ficar a cargo do Gestor de SIC at que seja definido o responsvel definitivo);
instituir escritrio de processos de forma que sejam mapeados todos os processos
da organizao; criar normativo para operacionalizar os processos mapeados;
realizar uma Anlise de Impacto no Negcio (AIN); realizar anlise de riscos sobre
os principais ativos apontados pela AIN.
Por meio dos estudos de caso citados acima, cujos levantamentos de dados
foram documentados no captulo 4, das demais consideraes tecidas durante a
anlise efetuada no captulo 5, chega-se a uma resposta questo de pesquisa
inicialmente proposta, de que a forma de atingir um modelo de SIC mais adequado,
eficiente e eficaz para a COMPANHIA X perpassa pela adoo de um sistema de
gesto de SIC aderente s melhores prticas de gesto de segurana, tal como
preconizado pela norma 27001 (2006), pela norma 27002 (2005), e tambm pela
Instruo Normativa n 02 (IN02, 2009).
Sendo assim, os objetivos propostos pela pesquisa foram alcanados, dentre
eles:
Apresentao de um modelo de gesto de SIC que contempla as onze
sees da norma ABNT 27002 (2005), complementado com as
disciplinas do curso de gesto de SIC (CEGSIC 2009/2011) e as
demais disciplinas.
Proposio de um conjunto de controles de SIC aderentes legislao
e s melhores prticas de gesto de SIC de forma a atender os
requisitos do negcio;
Realizao de anlise de conformidade e aderncia dos requisitos de
controles de SIC escolhidos e preconizados pelas normas e legislao
referentes SIC;

233
Avaliao geral da situao atual da gesto de SIC da COMPANHIA X
por meio de anlises em seus ativos.
Dessa forma, a pesquisa agregou valor ao processo de escolha, construo e
implementao de uma metodologia de gesto de SIC na COMPANHIA X.

6.2 Trabalhos Futuros


Como trabalho futuro sugere-se a implementao de planilhas ou sistema de
informao equivalente que facilitem o processo de auditoria de SIC conforme Erro!
Fonte de referncia no encontrada. (contida no captulo 3 desse trabalho de
pesquisa). Esta planilha deve permitir a anlise de aderncia e conformidade, em
que cada requisito de controle de SIC redigido na forma de uma pergunta,
recebendo em sequncia, um peso (denotando a importncia do controle de
segurana) e uma classificao (pontuao dada pelo usurio quanto implantao
do controle de segurana), um valor de referncia).
Dessa forma, sugere-se a elaborao desta soluo para as seguintes reas:
Sistemas, Informao e Comunicao;
Infraestrutura de Tecnologia da Informao;
Protocolos de Comunicao Humano-Mquina;
Direito na Sociedade da Informao;
Gerenciamento de Riscos de Segurana da Informao;
Aquisio e Implementao, Entrega e Suporte de Servios de TI; e
Modelagem, Simulao e Dinmica de Sistemas.

234

Referncias e Fontes Consultadas

ABNT - ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Gesto de


continuidade de negcios: Parte 1 - Cdigo de Prtica: ABNT NBR 159991:2007. Errata 1, de 01.02.2008. Rio de Janeiro, 2008.
ABNT - ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Tecnologia da
informao - Tcnicas de segurana Cdigo de prtica para a gesto da
segurana da informao - Requisitos: ABNT NBR ISO/IEC 17799:2005. 2a.
ed. Rio de Janeiro, 2005.
ABNT - ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Tecnologia da
informao - Tcnicas de segurana - Cdigo de prtica para a gesto da
segurana da informao: ABNT NBR ISO/IEC 27002:2005. 2a. ed. Rio de
Janeiro, 2005.
ABNT - ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Tecnologia da
informao - Tcnicas de segurana - Sistemas de gesto de segurana da
informao - Requisitos: ABNT NBR ISO/IEC 27001:2006. 1. ed. Rio de
Janeiro, 2006.
ABNT - ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Tecnologia da
informao - Tcnicas de segurana - Gesto de riscos de segurana da
informao: ABNT NBR ISO/IEC 27005:2008. 1a. ed. Rio de Janeiro, 2008.
ALVES, R. do Carmo das N. Um Modelo de Anlise do Comportamento de
Segurana de Servidores da Administrao Pblica Federal Brasileira. [S.l.], 6
2009. Monografia de Concluso de Curso (Especializao) Departamento de
Cincia da Computao, Instituto de Cincias Exatas, Universidade de Braslia.
ARAJO, Aletia Patrcia Favacho. Infra-Estrutura de TI: GSIC201 (Notas de Aula),
V.2. Curso de Especializao em Gesto da Segurana da Informao e
Comunicaes: 2009/2011. Departamento de Cincias da Computao da
Universidade de Braslia. 2010. 40 p.
BALDISSERA, T. A. Gesto da segurana da informao em colgios: uma anlise
da utilizao da norma NBR ISO/IEC 17799. Dissertao de mestrado. PsGraduao em Engenharia de Produo, rea de concentrao em Tecnologia

235
da Informao, da Universidade Federal de Santa Maria (UFSM,RS), Santa
Maria, RS, Brasil. 2007.
BRASIL. Constituio, 1988. Disponvel em:
<http://www.planalto.gov.br/ccivil_03/constituicao/constitui%C3%A7ao.htm>.
Acesso em: Setembro de 2010.
BRASIL. Lei n 9.279, de 14 de maio de 1996: Regula direitos e obrigaes relativos
propriedade industrial. Disponvel em:
<http://www.planalto.gov.br/ccivil/leis/l9279.htm>. Acesso em: Setembro de
2009.
BRASIL. Lei N 9.609, de 19 de fevereiro de 1998: Dispe sobre a proteo da
propriedade intelectual de programa de computador, sua comercializao no
Pas, e d outras providncias. Disponvel em:
<http://www.planalto.gov.br/ccivil_03/Leis/L9609.htm>. Acesso em: Setembro
de 2009.
BRASIL. Lei n 9.610, de 19 de fevereiro de 1998: Altera, atualiza e consolida a
legislao sobre direitos autorais e d outras providncias. Disponvel em:
<http://www.planalto.gov.br/ccivil/Leis/L9610.htm>. Acesso em: Setembro de
2010.
BRASIL. Decreto No. 3.505, de 13 de junho de 2000: Institui a poltica de segurana
da informao nos rgos e entidades da administrao pblica federal.
Braslia, 2000. Disponvel em: <http:www:planalto:gov:br/ccivil
03/decreto/D3505:htm>. Acesso em: Agosto de 2010.
BRASIL. Decreto n 4.553, de 27 de dezembro de 2002: Dispe sobre a salvaguarda
de dados, informaes, documentos e materiais sigilosos de interesse da
segurana da sociedade e do Estado, no mbito da Administrao Pblica
Federal. Disponvel em:
<http://www.planalto.gov.br/ccivil_03/decreto/2002/D4553.htm>. Acesso em:
Agosto de 2010.
BRASIL. Lei n 10.406, de 10 de janeiro de 2002: Institui o Cdigo Civil. Disponvel
em: < http://www.planalto.gov.br/ccivil/leis/2002/L10406.htm >. Acesso em:
Agosto de 2010.
CAMPOS, A. Sistemas de Segurana da Informao: controlando os riscos. 2. Ed Florianpolis: Visual Books, 2007.
CHAIM, Ricardo Matos. Modelagem, Simulao e Dinmica de Sistemas: GSIC003
V.1.1. (Notas de Aula). Curso de Especializao em Gesto da Segurana da
Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2010. 48 p.
COBIT. Implementation Tool Set. 3 ed. USA, 2000. Disponvel em:
<http://www.itgi.org>. Acesso em: Janeiro de 2008.

236

COBIT. It Governance Institute. COBIT 4.1. 4.1. ed. USA, 2007. Disponvel em:
<http://www.itgi.org>. Acesso em: Julho de 2010.
CONHECIMENTO. Gesto do Conhecimento. Disponvel em:
<http://pt.wikipedia.org/wiki/Gest%C3%A3o_do_conhecimento>. Acesso em :
Agosto de 2011.
ESTRUTURA. Estrutura do COBIT. Disponvel em:
<http://pt.wikipedia.org/wiki/CobiT>. Acesso em: Julho de 2010.
FERNANDES, Jorge Henrique Cabral. Sistemas, Informao e Comunicao:
GSIC050 (Notas de Aula). Curso de Especializao em Gesto da Segurana
da Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2010. 51 p.
FERNANDES, Jorge Henrique Cabral. Controle de Acessos: GSIC211 (Notas de
Aula). Curso de Especializao em Gesto da Segurana da Informao e
Comunicaes: 2009/2011. Departamento de Cincias da Computao da
Universidade de Braslia. 2010. 32 p.
FONTES, E. L. G.. Praticando a segurana da informao. Rio de janeiro: Brasport,
2008.
FRIEDENHAIN, V. Um estudo sobre mtodos e processos para a implantao da
gesto de continuidade de negcios aplicveis a rgos da administrao
pblica federal brasileira. [S.l.], 12 2008. 56 p. Monografia de Concluso de
Curso (Especializao) - Departamento de Cincia da Computao, Instituto de
Cincias Exatas, Universidade de Braslia.
GONDIM, Joo Jos Costa. Gerenciamento das Operaes e Comunicaes:
GSIC602 (Notas de Aula). Curso de Especializao em Gesto da Segurana
da Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2010. 23 p.
GONDIM, Joo Jos Costa. Tratamento de Incidentes de Segurana: GSIC651
(Notas de Aula). Curso de Especializao em Gesto da Segurana da
Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2010. 23 p.
HOLANDA, Maristela Terto; FERNANDES, Jorge Henrique Cabral. Segurana no
Desenvolvimento de Aplicaes: GSIC701 (Notas de Aula). Curso de
Especializao em Gesto da Segurana da Informao e Comunicaes:
2009/2011. Departamento de Cincias da Computao da Universidade de
Braslia. 2010. 43 p.
IN01. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa N. 1, de
13 de junho de 2008: Disciplina a gesto de segurana da informao e

237
comunicaes na administrao pblica federal, direta e indireta, e d outras
providncias. Braslia, junho 2008. Disponvel em:
<http://dsic.planalto.gov.br/legislacaodsic>. Acesso em: Agosto de 2009.
IN02. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa
Complementar n 2, de 13 de outubro de 2008: Defini a metodologia de gesto
de segurana da informao e comunicaes utilizada pelos rgos e
entidades da Administrao Pblica Federal, direta e indireta. Braslia, outubro
2008. Disponvel em
<http://dsic.planalto.gov.br/documentos/nc_2_metodologia.pdf>. Acesso em:
Junho de 2009.
IN03. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa
Complementar n 3, de 30 de junho de 2009: Estabelece diretrizes, critrios e
procedimentos para elaborao, institucionalizao, divulgaoe atualizao da
Poltica de Segurana da Informao e Comunicaes (POSIC) nos rgos e
entidades da Administrao Pblica Federal, direta e indireta. Braslia, junho
2009. Disponvel em <http://dsic.planalto.gov.br/documentos/nc_3_psic.pdf>.
Acesso em: Julho de 2009.
IN04. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa
Complementar n 4, de 14 de agosto de 2009: Estabelece diretrizes para o
processo de Gesto de Riscos de Segurana da Informao e Comunicaes
GRSIC nos rgos ou entidades da Administrao Pblica Federal, direta e
indireta. Braslia, agosto 2009. Disponvel em
<http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf>. Acesso em: Agosto
de 2009.
IN04. Secretaria de Logstica e Tecnolgia da Informao. Instruo Normativa n 4,
de 12 de novembro de 2010. Dispe sobre o processo de contratao de
Solues de Tecnologia da Informao pelos rgos integrantes do Sistema de
Administrao dos Recursos de Informao e Informtica (SISP) do Poder
Executivo Federal. Disponvel em
<http://www.in.gov.br/visualiza/index.jsp?data=16/11/2010&jornal=1&pagina=69
&totalArquivos=88>. Acesso em: Outubro de 2010.
IN05. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa
Complementar n 5, de 14 de agosto de 2009: Disciplina a criao de Equipe
de Tratamento e Resposta a Incidentes em Redes Computacionais ETIR nos
rgos e entidades da Administrao Pblica Federal, direta e indireta. Braslia,
agosto 2009. Disponvel em
<http://dsic.planalto.gov.br/documentos/nc_05_etir.pdf>. Acesso em: Agosto de
2009.
IN06. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa

238
Complementar n 6, de 11 de novembro de 2009: Estabelece diretrizes para
Gesto de Continuidade de Negcios, nos aspectos relacionados Segurana
da Informao e Comunicaes, nos rgos e entidades da Administrao
Pblica Federal, direta e indireta. Braslia, novembro 2009. Disponvel em <
http://dsic.planalto.gov.br/documentos/nc_6_gcn.pdf>. Acesso em: Novembro
de 2009.
IN07. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa
Complementar n 7, de 06 de maio de 2010: Estabelece diretrizes para
implementao de controles de acesso relativos Segurana da Informao e
Comunicaes nos rgos e entidades da Administrao Pblica Federal,
direta e indireta. Braslia, maio 2010. Disponvel em <
http://dsic.planalto.gov.br/documentos/nc_7_controle_acesso.pdf>. Acesso em:
Maio de 2010.
IN08. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa
Complementar n 8, de 19 de agosto de 2010: Disciplina o gerenciamento de
Incidentes de Segurana em Redes de Computadores realizado pelas Equipes
de Tratamento e Resposta a Incidentes de Segurana em Redes
Computacionais - ETIR dos rgos e entidades da Administrao Pblica
Federal, direta e indireta. Braslia, agosto 2010. Disponvel em <
http://dsic.planalto.gov.br/documentos/nc_8_gestao_etir.pdf>. Acesso em:
Agosto de 2010.
IN09. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa
Complementar n 9, de 19 de novembro de 2010: Estabelece orientaes
especficas para o uso de recursos criptogrficos como ferramenta de controle
de acesso em Segurana da Informao e Comunicaes, nos rgos ou
entidades da Administrao Pblica Federal, direta e indireta. Braslia,
novembro 2010. Disponvel em: <
http://dsic.planalto.gov.br/documentos/nc_7_controle_acesso.pdf>. Acesso em:
Novembro de 2010.
ITIL. Information Technology Infrastructure Library: Service Support. Inglaterra:
Office for Government Commerce - OGC. 2000.
JUSTIA. Justia do trabalho nega a empregado direito de privacidade em e-mail
funcional. Jornal O Globo. Rio de Janeiro. 09 de junho de 2008. Disponvel em:
<http://oglobo.globo.com/economia/mat/2008/06/09/justica_do_trabalho_nega_
empregado_direito_de_privacidade_em_e-mail_funcional-546717365.asp.>
Acesso em: Setembro de 2010.
KIRKWOOD, Craig. System Dynamics Methods: A Quick Introduction. Disponvel
em: <http://www.public.asu.edu/~kirkwood/sysdyn/SDIntro/SDIntro.htm>.
Acesso em: Novembro 2010.

239
LEGISLAO. Legislao de Segurana da Informao e Comunicaes.
Disponvel em: <http://dsic.planalto.gov.br/legislacaodsic>. Acesso em: Maio de
2010.
MACHADO, Ulysses Alves de Levy. Direito na Sociedade da Informao: GSIC102
(Notas de Aula). Curso de Especializao em Gesto da Segurana da
Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2010. 20 p.
MASSOCO, L. C. Privacidade e vigilncia no uso da internet em empresas.
Disponvel em: <http://www.grande.adv.br/node/253>. Acesso em: Setembro
de 2010.
NASCIMENTO, Anderson Clayton. Criptografia e Infraestrutura de Chaves Pblicas:
GSIC250 (Notas de Aula). Curso de Especializao em Gesto da Segurana
da Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2011. 44 p.
PINHEIRO, J. M. dos S. Palestra sobre Auditoria de Segurana em TI: Aliada ou
Inimiga proferida no 14 Congresso de Auditoria de TI, Segurana da
Informao e Governana, no Rio de Janeiro, em 28 de maro de 2011.
PINHEIRO, P. P. Direito Digital. 4 Ed. rev., So Paulo: Saraiva, 2010.
ROCHA, P. C. C. Segurana da Informao - Uma Questo No Apenas
Tecnolgica. [S.l.], 12 2008. Monografia de Concluso de Curso
(Especializao) - Departamento de Cincia da Computao, Instituto de
Cincias Exatas, Universidade de Braslia.
RODRIGUES, Roberto Wagner da Silva. Aquisio e Implementao, Entrega e
Suporte de Servios de TI: GSIC275 V.1.1. (Notas de Aula). Curso de
Especializao em Gesto da Segurana da Informao e Comunicaes:
2009/2011. Departamento de Cincias da Computao da Universidade de
Braslia. 2010. 46 p.
RODRIGUES, Roberto Wagner da Silva; FERNANDES, Jorge Henrique Cabral.
Auditoria e Conformidade de Segurana da Informao: GSIC345 (Notas de
Aula). Curso de Especializao em Gesto da Segurana da Informao e
Comunicaes: 2009/2011. Departamento de Cincias da Computao da
Universidade de Braslia. 2010. 57 p.
SALGADO, I. J. C.; SILVA, R. S. da; BANDEIRA, R. Anlise de segurana fsica em
conformidade com a norma ISO/IEC 17799. Monografia apresentada como
requisito parcial, para a concluso do curso de Tecnologia em Segurana da
Informao das Faculdades Integradas Icesp. 2004. 325 p.
SAMPAIO, F. Dinmica de sistemas e modelagem computacional. Disponvel em:
<http://www.nce.ufrj.br/ginape/jlinkit/modelagem1.htm>. Acesso em: Novembro
de 2010.

240
SMOLA, M. Gesto da segurana da informao: Uma viso executiva. Elsevier,
2003 9 reimpresso, 154 p.
SILVA, D. R. P. A memria humana no uso de senhas. Tese de Doutorado.
Faculdade de Psicologia. Programa de Ps-Graduao em Psicologia. PUCRS,
2007. Disponvel on line em
http://tede.pucrs.br/tde_busca/arquivo.php?codArquivo=1081. Acesso em 25 de
agosto de 2010.
SILVA, Tiago Barros Pontes. Protocolos de Comunicao Homem-Mquina:
GSIC601 (Notas de Aula). Curso de Especializao em Gesto da Segurana
da Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2010. 28 p.
TUTORIAL. Tutorial sobre dinmica dos Sistemas NCE UFRJ. Disponvel em:
<http://www.nce.ufrj.br/ginape/wlinkit//tutorial/temasrelacionados.htm>. Acesso
em: Novembro de 2010.
VENEZIANO, Wilson Henrique. Organizaes e Sistemas de Informao: GSIC051
(Notas de Aula). Curso de Especializao em Gesto da Segurana da
Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2010. 13 p.
VIDAL, Flvio de Barros. Controles de Segurana Fsica e Ambiental: GSIC202
(Notas de Aula). Curso de Especializao em Gesto da Segurana da
Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2010. 29 p.

241

Apndice Trabalho Publicado pelo


Autor

AGUIAR, E.F. Uma Viso Ergonmica para a Gesto de Segurana da Informao e


Comunicaes12. In: Encontro de Tecnologia da Informao do Setor Eltrico
Brasileiro, Angra dos Reis RJ. 2010.

12

O artigo no far parte da monografia devido a preservao e sigilo.