Gestão Da Segurança Da Informação: Analise Da Segurança Da Informação em Uma Empresa de Médio Porte

CENTRO UNIVERSITRIO SENAC
Saulo Pires de Souza
GESTO DA SEGURANA DA INFORMAO:

ANALISE DA SEGURANA DA INFORMAO EM
UMA EMPRESA DE MDIO PORTE
So Paulo
2016
Gesto da segurana da informao: Analise da segurana da informao em

uma empresa de mdio porte
Trabalho de Concluso de Curso

apresentado
ao
Centro
Universitrio Senac Campus

Santo Amaro, como exigncia
parcial para obteno do grau de
Especialista
em
Gesto
Governana da Tecnologia da
Informao.
Este Trabalho foi desenvolvido nas

disciplinas Trabalho de Concluso
de Curso I e II e mediado pelo
Professor Adriano Marchetti Cillo.
So Paulo
2016
Ficha catalogrfica elaborada pela Biblioteca do Centro Universitrio Senac
Souza, Saulo Pires de
Gesto da segurana da informao: analise da segurana

da informao em uma empresa de mdio porte / Saulo
Pires de Souza. Palmas (TO), 2016.
96 f.: il.; color.
Orientador: Adriano Marchetti Cillo.
Trabalho de Concluso de Curso (Especializao em Gesto e
Governana da Tecnologia da Informao) Centro
Universitrio Senac Santo Amaro, polo Palmas (TO), 2016.
Segurana da informao, Gesto da Segurana da informao,
Gesto de Riscos.
Marchetti Cillo, Adriano (orient.) II.Ttulo
Gesto da segurana da informao: analise da

segurana da informao em uma empresa de mdio
porte.
Trabalho de Concluso de Curso apresentado ao Centro

Universitrio Senac Campus Santo Amaro, como
exigncia parcial para obteno do grau de Especialista
em Gesto e Governana da Tecnologia da Informao.
Orientador Prof. Adriano Marchetti Cillo
A banca examinadora dos Trabalhos de Concluso, em sesso pblica realizada

em ______/______/______, considerou o(a) candidato(a):
1) Examinador(a)
2) Examinador(a)
3) Presidente
Dedico este trabalho

A Deus,
pelo cuidado e amor.
A meus pais,
pela educao e oportunidade.
A minha esposa,
que sempre esteve ao meu lado
nos momentos mais difceis.
A minha irm,
pelos sbios conselhos.
A meus amigos,
que sempre posso contar.
AGRADECIMENTOS
A Deus pelo dom da vida, pela ajuda e proteo, pela Sua fora e presena
constante, e por me guiar concluso de mais uma preciosa etapa de minha vida;
minha me Maria Cleide Pires de Souza e ao meu pai Tarciso de Souza
Pinto responsveis diretos por cada uma de minhas realizaes.
minha esposa, Mariane de Morais Arajo, e a minha irm, Sarah Mary
Pires de Souza, pelo apoio em todos os momentos em que precisei.
A todos os professores do curso de Gesto e Governana da Tecnologia
da Informao, que muito contriburam com meu aprendizado.
Aos amigos que me acompanharam durante essa caminhada cheia de
desafios.
Agradeo a todos que no citei aqui, mas que colaboraram direta ou
indiretamente.
Por fim, ao Centro Universitrio SENAC por ter disponibilizado a estrutura
necessria para que eu passasse este perodo da minha vida aprendendo a ser um
profissional mais qualificado.
Sabei escutar, e podeis ter a certeza de que o silncio produz, muitas vezes, o
mesmo efeito que a cincia.
Napoleo Bonaparte
RESUMO
Com a utilizao dos computadores em diversas organizaes, as informaes

comearam a se concentrar em um nico lugar e o grande volume dessas
informaes passou a ser um problema para a segurana. Os riscos aumentaram
com o uso dos microcomputadores, a utilizao de redes locais e remotas, a
abertura comercial da Internet e a disseminao da informtica para diversos
setores da sociedade.
A gesto da segurana da informao trata-se de um tema importante para as
empresas e seus gestores, devido ao fato da informao ser um recurso necessrio
para o sucesso de praticamente qualquer tipo de negcio atual. Com a maior
divulgao de incidentes e fraudes envolvendo informaes armazenadas em
recursos de tecnologia, a maior disseminao dos conceitos e ferramentas de
segurana da informao e sua utilizao cada vez mais frequente pelas
organizaes independentemente de seu porte, o tema ganhou relevncia
empresarial nos ltimos anos.
Este trabalho apresenta um estudo de caso sobre a Gesto de Segurana da
informao em uma empresa de mdio porte, onde foram analisados os objetivos
de controle relacionados segurana da informao. Foram coletadas as
informaes por meio de visitas ao local (empresa de mdio porte no ramo de
educao). So explanados os principais problemas, e apontado solues para os
principais pontos problemticos encontrados. So feitas anlises quanto
conformidade da gesto da segurana da informao da empresa em relao s
normas da famlia NBR ISO/IEC 27000. Por fim, foi construdo um relatrio com
base na gesto de riscos.
Palavras-chave: Segurana da informao, Gesto da Segurana da informao,

Gesto de Riscos
ABSTRACT
With the use of computers in various organizations, information began to focus in

one place and the sheer volume of this information has become a problem for safety.
The risks increased with the use of computers, the use of local and remote networks,
the trade openness of the Internet and the spread of information technology to
various sectors of society.
The information security management it is an important issue for companies and
their managers, due to the fact that information is a necessary resource for the
success of almost any type of current business. With greater disclosure of incidents
and fraud involving information stored in technology resources, the further spread
of the concepts and information security tools and their increasingly frequent use by
organizations regardless of their size, the issue gained business importance in
recent years.
This paper presents a case study on information security management in a mediumsized company where the control objectives related to information security were
analyzed. We collected the information through site visits (medium-sized company
in the education sector). They are explained the main problems, and pointed out
solutions to major trouble spots found. Analyzes are made as to whether the
company's information security management in relation to the requirements of ISO
family / IEC 27000. Finally, a report was built on risk management.
Keywords: Information
Management
Security,
Information
Security
Management,
Risk
LISTA DE ILUSTRAES
Figura 1 Segurana da Informao: Trade CIA...............................................22
Figura 2 Quadro de Ameaas...........................................................................28
Figura 3 Princpios Bsicos do COBIT..............................................................38
Figura 4 Organograma Geral............................................................................53
Figura 5 Organograma Tecnologia da Informao...........................................54
LISTA DE GRFICOS
Grfico 1 Fatores motivadores de adoo GSI...................................................63
Grfico 2 Fatores inibidores de adoo GSI.......................................................63
Grfico 3 Motivadores versus Inibidores de adoo da GSI...............................64
Grfico 4 Porcentagem de risco por sesso.......................................................67
Grfico 5 Porcentagem de impacto por sesso..................................................68
Grfico 6 Porcentagem plano de resposta aos riscos........................................70
LISTA DE TABELAS
Tabela 1 Piores senhas de 2015........................................................................30
Tabela 2 Camada fsica......................................................................................59
Tabela 3 Camada lgica.....................................................................................60
Tabela 4 Camada humana..................................................................................60
Tabela 5 Analise de fatores Motivadores e Inibidores das trs camadas...........61
Tabela 6 Identificao de Eventos......................................................................65
Tabela 7 Nveis de Impacto................................................................................66
Tabela 8 Nveis de Probabilidade.......................................................................66
Tabela 9 Clculo de Impacto e Probabilidade....................................................66
Tabela 10 Aceitar, mitigar, eliminar ou Terceirizar o risco..................................69
Tabela 11 Plano de Ao....................................................................................70
Tabela 12 Controles selecionados do COBIT.....................................................80
LISTA DE ABREVIATURAS E SIGLAS
ABNT
Associao Brasileira de Normas Tcnicas
COBIT
Control Objectives for Information and Related Technology
ERP
Enterprise Resource Planning
IEC
International Electrotechnical Comission
ISACF
Information Systems Audit and Control Foundation
ISO
International Organization for Standardization
ITIL
Information Technology Infrastructure Library
NBR
Norma Brasileira
PDCA
Planejamento, Execuo, Controle e Ao
GSI
Gesto de Segurana da Informao
SGSI
Sistema de Gesto de Segurana da Informao
TI
Tecnologia da Informao
SUMRIO
1.INTRODUO....16
1.1. Tema..................................................................................................................17
1.2. Justificativa ........................................................................................................17
1.3. Objetivos ............................................................................................................18
1.3.1. Objetivo geral ..............................................................................................18
1.3.2. Objetivos especficos ..................................................................................18
1.4. Problema de pesquisa........................................................................................19
1.5. Delimitao do problema de pesquisa................................................................20
2. SEGURANA DA INFORMAO................................................................................21
2.1. Consideraes Iniciais .......................................................................................21
2.2. Viso Geral..21
2.3. Princpios Bsicos..22
2.4. Conceito de Segurana da Informao ..............................................................24
2.5. Ameaas Segurana da Informao ...............................................................28
2.5.1. Tipos de Ameaas.......................................................................................28
2.6. Mecanismos de Segurana ................................................................................28
2.7. Gesto de Riscos ...............................................................................................31
2.7.1. Ameaas .....................................................................................................33
2.8. COBIT ................................................................................................................36
2.8.1. Misso e Objetivo ........................................................................................37
2.8.2. Princpios ....................................................................................................38
2.8.3. Modelo de maturidade do COBIT ................................................................39
2.9. Normas ABNT NBR ISO/IEC da srie 27000 .....................................................39
2.9.1. Termos Definidos na Norma ........................................................................40
2.9.2. Abordagem de processos............................................................................42
2.9.3. ABNT NBR ISO/IEC 27001 .........................................................................43
2.9.4. ABNT NBR ISO/IEC 27002 .........................................................................44
2.9.5. ABNT NBR ISO/IEC 27005 .........................................................................45
2.10. CONCEITO ERRNEOS ACERCA DA SEGURANA . ...................................46

2.11. Poltica de Segurana da Informao ...............................................................47
2.12. Atributos e vantagens da poltica da segurana . ..............................................48
2.13. ABNT NBR ISO/IEC 17799:2005 . .....................................................................48
3. METODOLOGIA............................................................................................................52
3.1. Natureza da Pesquisa . ........................................................................................52
3.2. Mtodos e Tcnicas da pesquisa . .......................................................................52
3.3. Caracterizao da empresa . ...............................................................................53
3.4. Definio do Escopo do projeto. ..........................................................................54
3.5. Anlise .................................................................................................................55
3.5.1. Fatores positivos da empresa. ......................................................................55
3.5.2. Pontos negativos da empresa . .....................................................................55
3.5.3. Fatores crticos . ............................................................................................56
3.6. Governana de T.I. na empresa Anonymous company . .....................................57
3.7. Alinhamento da Gesto de Risco . .......................................................................58
4. ANLISE DOS DADOS.................................................................................................59
4.1. Ferramentas e tcnicas de gesto da segurana da Informao . ......................59
4.1.1. Camada Fsica . ............................................................................................59
4.1.2. Camada lgica . ............................................................................................60
4.1.3. Camada humana . .........................................................................................60
4.2. Fatores motivadores e inibidores . .......................................................................61
4.3. Estabelecimento do Contexto de Risco ...............................................................64
4.4. Identificao de Eventos . ....................................................................................65
4.5. Avaliao de Risco. . ............................................................................................66
4.6. Plano de Respostas aos Riscos . .........................................................................69
4.7. Manuteno e Monitoramento do Plano de ao . ..............................................70
4.8. Relatrio final para a empresa . ...........................................................................73
5. CONCLUSO................................................................................................................75
6. REFERNCIAS.............................................................................................................76
APNDICE A Controles do COBIT.................................................................................80
16
1.
INTRODUO
Os riscos aumentaram com o uso dos microcomputadores, a utilizao de redes

locais e remotas, a abertura comercial da Internet e a disseminao da informtica
para diversos setores da sociedade. Com a utilizao dos computadores em
diversas organizaes, as informaes comearam a se concentrar em um nico
lugar e o grande volume dessas informaes passou a ser um problema para a
segurana.
De forma geral, os mesmos riscos presentes em um ambiente de
grandes computadores tambm existem em ambientes de
microcomputadores ou redes, porm, devido arquitetura aberta
das plataformas do tipo PC e similares esses equipamentos e seus
softwares so essencialmente inseguros. (CARUSO e STEFFEN,
1999).
A Segurana da informao a proteo da informao de vrios tipos de

ameaas para garantir a continuidade do negcio, minimizar o risco ao negcio,
maximizar o retorno sobre os investimentos e as oportunidades de negcio. Definir,
alcanar, manter e melhorar a segurana da informao pode ser atividade
essencial para assegurar a competitividade da empresa no mercado (ABNT NBR
ISO/IEC 27002, 2013).
A Segurana da informao se tornou alvo de discusses em todo o
mundo. Nas mdias empresas a Segurana ainda menor por falta de pessoal
qualificado, e falta de adoo de medidas preventivas. A tecnologia est presente
em todas as atividades de hoje em dia, e o diferencial das empresas poder dar
ao cliente e fornecedores um nvel adequado de Segurana.
Embora as organizaes tenham-se beneficiado desse avano e
principalmente do uso da Internet, utilizando sua infraestrutura para economizar
custos de comunicao, facilidades na divulgao de produtos, ganho de tempo na
maior agilidade das operaes com bancos, fornecedores e clientes, a Internet
de uso pblico o que a torna disponvel praticamente a qualquer pessoa, podendo
ser utilizada com m inteno. Portanto, a segurana das informaes das
empresas fica comprometida e fcil de ser explorada, tornando-se assim importante
17
gerenci-la para uso eficiente dos seus sistemas internos e a garantia da

continuidade do negcio.
A empresa na qual se sucedeu os estudos restringiu e manteve sigilo a
algumas informaes e preferiu no ser identificada. Assim adotou-se como
pseudnimo Anonymous company para preservar o propsito do estudo. A
justificativa para este trabalho manifesta-se na importncia de se avaliar como est
estabelecida a Gesto de Segurana da informao em empresas de mdio porte
com base na empresa Anonymous company.
Vrias categorizaes existem para definir o porte da empresa. O Estatuto
Nacional da Microempresa e da Empresa de Pequeno Porte, institudo pela Lei
Complementar n 123 de 14/12/2006, utiliza o valor do faturamento anual. O Servio
Brasileiro de Apoio Microempresa (SEBRAE) alm de utilizar o faturamento,
utilizase tambm do nmero de pessoas ocupadas. Para este trabalho a
categorizao usada para a mdia empresa foi o nmero de empregados, conforme
definido pelo Centro de Indstria do Estado de So Paulo (CIESP), sendo:
Pequena empresa - de 10 a 99 empregados;
Mdia empresa - entre 100 e 499 empregados.

Sendo assim a Anonymous company se enquadra como uma mdia
empresa ou empresa de mdio porte, pois possui em seu quadro de funcionrios

em torno de 450 empregados ativos.
H 25 anos no mercado, a empresa hoje, encontra-se atrasada em relao
s outras empresas que esto ligadas as novas tecnologias e a importncia da
segurana de suas informaes. Este trabalho tem como principal objetivo auxiliar
a empresa nos seus pontos negativos e, apresentar sugestes de melhoria cabveis
dentro das normas da famlia NBR ISO/IEC 27000.
1.1.
Tema
Gesto da segurana da informao: analise da segurana da informao em uma

empresa de mdio porte.
1.2.
Justificativa
18
A justificativa para este trabalho manifesta-se na importncia de se avaliar como

est estabelecida a Gesto de Segurana da informao em empresas de mdio
porte.
A maioria das empresas hoje de mdio porte, encontram-se defasadas em
relao s outras empresas maiores que esto atentas as novas tecnologias e a
importncia da segurana de suas informaes.
Este estudo mostra-se importante porque pouca literatura referente
adoo da gesto da segurana da informao encontrada, principalmente
destinado a empresas de mdio porte no Brasil. Assim, o desenvolvimento de
pesquisas sobre o tema pode fornecer resultados que ajudem a melhor
entendimento do valor das informaes empresariais, os riscos e as ameaas, o
impacto nos negcios e os fatores motivadores ou inibidores relacionados a sua
adoo em mdias empresas.
A gesto da segurana da informao envolve no s recursos
tecnolgicos, mas tambm recursos humanos e culturais da organizao. Assim
sua correta gesto pode ajudar a evitar fraudes financeiras, perda da imagem e
confiana por parceiros, fornecedores e clientes.
1.3.
Objetivos
Este trabalho tem como principal objetivo auxiliar a empresa de mdio porte a
identificar seus pontos negativos e, colaborar com sugestes de melhoria cabveis
para assim evoluir sua gesto da segurana da informao.
1.3.1. Objetivo geral

O objetivo deste estudo apresentar um estudo de caso sobre a Gesto de
Segurana da informao no setor de TI em uma empresa de mdio porte.
Como resultado, pretende-se propor um relatrio a empresa objeto deste
estudo com melhoria nas boas prticas de segurana da informao.
1.3.2. Objetivos especficos
19
Fazer a anlise de Gesto de Risco com base em uma empresas de mdio

porte;
Apresentar as caractersticas do COBIT;
Observar e analisar os controles de segurana da informao encontrados

em determinadas organizaes relativos poltica de segurana da
informao;
Apresentar a Segurana da Informao e sua importncia dentro do

ambiente empresarial;
Analisar fatores crticos de sucesso Gesto de Segurana da Informao

em uma empresa de mdio porte, como por exemplo, o apoio da alta
administrao, a participao de todas as reas e a conscientizao e
capacitao em Segurana da Informao;
Propor um relatrio de melhoria das boas prticas de Gesto de Segurana

da informao;
1.4.
Problema de pesquisa
Com a utilizao dos computadores em diversas organizaes, as informaes

comearam a se concentrar em um nico lugar e o grande volume dessas
informaes passou a ser um problema para a segurana. Os riscos aumentaram
com o uso dos microcomputadores, a utilizao de redes locais e remotas, a
abertura comercial da Internet e a disseminao da informtica para diversos
setores da sociedade.
Embora as organizaes tenham-se beneficiado desse avano e
principalmente do uso da Internet, utilizando sua infraestrutura para economizar
custos de comunicao, facilidades na divulgao de produtos, ganho de tempo na
maior agilidade das operaes com bancos, fornecedores e clientes, a Internet
de uso pblico o que a torna disponvel praticamente a qualquer pessoa, podendo
ser utilizada com m inteno. Portanto, a segurana das informaes das
empresas fica comprometida e fcil de ser explorada, tornando-se assim importante
20
gerencia-la para uso eficiente dos seus sistemas internos e a garantia da

continuidade do negcio.
A gesto da segurana da informao trata-se de um tema importante para
as empresas e seus gestores, devido ao fato da informao ser um recurso
necessrio para o sucesso de praticamente qualquer tipo de negcio atual. Com a
maior divulgao de incidentes e fraudes envolvendo informaes armazenadas
em recursos de tecnologia, a maior disseminao dos conceitos e ferramentas de
segurana da informao e sua utilizao cada vez mais frequente pelas
organizaes independentemente de seu porte, o tema ganhou relevncia
empresarial nos ltimos anos. O trabalho buscara o aperfeioamento de
conhecimentos a fim de contribuir com a comunidade acadmica e empresarial
para melhor entendimento do assunto visando descrever os principais motivos que
levam as organizaes a adotarem controles e medidas para gesto da segurana
da informao.
1.5.
Delimitao do problema de pesquisa
O problema de pesquisa tratado neste trabalho : Que elementos so capazes de

influenciar a admisso da gesto da segurana da informao por mdias
empresas?
21
2. SEGURANA DA INFORMAO
2.1.
Consideraes Iniciais
Neste captulo, ser apresentado o referencial terico que serviu como base para
este estudo.
Para construo do referencial terico deste trabalho, primeiramente foi
pesquisado na literatura da rea o conceito de segurana da informao e os dados
mais recentes sobre incidentes envolvendo o tema; em seguida procurou-se
levantar o valor das informaes organizacionais, sua forma de classificao e sua
importncia para a continuidade do negcio.
Foram reunidos os conceitos e definies de Segurana da Informao,
classificao da informao, a importncia da Segurana da Informao no
contexto empresarial e os tipos de Segurana. Vrios autores foram consultados
sobre o uso de TI em medias empresas e gesto da segurana da informao, bem
como os fatores de sucesso e insucesso para sua implementao e os
influenciadores para sua adoo.
2.2.
Viso Geral
Entende-se por informao qualquer contedo ou conjunto de dados com valor para
determinada organizao ou pessoa, sendo esta, um recurso de extremo valor na
sociedade atual. Com a utilizao de sistemas informatizados conectados e
integrados atravs das redes, as informaes armazenadas e trafegadas dentre
estes esto, de uma forma ou de outra, vulnerveis e sujeitas a ameaas diversas
que possam comprometer a integridade destes sistemas, tambm como a
segurana das entidades e outras informaes a elas concernentes. A segurana
da informao nesse contexto se mostra essencial, e at mesmo crtica em alguns
casos, para que a consistncia dos sistemas no seja afetada, garantindo a
reduo de riscos de fraudes, erros, vazamento, roubo e uso indevido e uso
indevido de informaes. A segurana pode ser afetada por certos comportamentos
de seus usurios, pelo ambiente ou estrutura que a cerca, ou por sujeitos mal-
22
intencionados com o objetivo de furtar, destruir ou alterar alguma informao.

Existem nveis de segurana que podem ser estabelecidos, tais como identificados
em polticas de segurana para garantir que o nvel de segurana que se deseja
estabelecer seja mantido. Para a construo de uma poltica de segurana existem
alguns fatores que devem ser considerados, tais quais, riscos, benefcios, custos e
esforos de implementao dos mecanismos.
2.3.
Princpios Bsicos
Os princpios bsicos da segurana da informao so representados pela trade

conhecida
por
CIA:
Confidencialidade,
Integridade
Disponibilidade
(Confidentiality, Integrity and Availability).
Figura 1 Segurana da Informao: Trade CIA
Estes principais atributos do conceito de segurana de informao orientam

a anlise, o planejamento e a implementao da segurana para um determinado
conjunto de informaes que se deseja proteger, e so definidos a seguir:
Integridade
A integridade dos dados refere-se certeza de que os dados no so
adulterados, destrudos ou corrompidos. a certeza de que os dados no
sero modificados por pessoas no autorizadas. Existem basicamente dois
23
pontos durante o processo de transmisso no qual a integridade pode ser

comprometida: durante o carregamento de dados e/ou durante o
armazenamento ou coleta do banco de dados.
Confidencialidade
A confidencialidade dos dados significa que estes esto disponveis apenas
para as partes apropriadas, que podem ser partes que requerem acesso a
dados ou partes que so confiveis. Os dados que tm sido mantidos
confidenciais so aqueles que no foram comprometidos por outras partes;
dados confidenciais no so divulgados a pessoas que no necessitam ou
que no deveriam ter acesso a eles.
Garantir a confidencialidade significa que a informao organizada em
termos de quem deveria ter acesso, bem como a sua sensibilidade.
Entretanto, a quebra de sigilo pode ocorrer atravs de diferentes meios,
como por exemplo, a engenharia social.
Disponibilidade
A disponibilidade dos dados e da informao significa que esta est
disponvel quando for necessria. Para que um sistema demonstre
disponibilidade, deve dispor um sistema computacional, de controles de
segurana e canais de comunicao de bom funcionamento. A maioria dos
sistemas disponveis so acessveis em todos os momentos e tem
garantias contra falhas de energia, desastres naturais, falhas de hardware
e atualizaes de sistemas.
A disponibilidade um grande desafio em ambientes colaborativos como
tais ambientes devem ser estveis e continuamente mantidos. Tais
sistemas tambm deve permitir que os usurios acessem as informaes
necessrias com o tempo de espera pequeno. Sistemas redundantes pode
ser posto em prtica para oferecer um alto nvel de fail-over. O conceito de
disponibilidade pode tambm referir-se a usabilidade de um sistema.
Segurana da informao refere-se preservao da integridade e do
sigilo, quando a informao armazenada ou transmitida. Violaes de
segurana da informao ocorrem quando as informaes so acessadas
24
por pessoas no autorizadas ou festas. Violaes podem ser o resultado

de aes de hackers, as agncias de inteligncia, os criminosos,
concorrentes, funcionrios ou outros. Alm disso, pessoas que valorizam e
desejam preservar a sua privacidade est interessado em segurana da
informao.
(BROOK, 2010)
2.4.
Conceito de Segurana da Informao
Segurana da informao, conforme Beal (2005), o processo de proteo da

informao das ameaas a sua integridade, disponibilidade e confidencialidade.
Smola (2003) define segurana da informao como uma rea do conhecimento
dedicada proteo de ativos da informao contra acessos no autorizados,
alteraes indevidas ou sua indisponibilidade. A ISO/IEC 17799:2005, em sua
seo introdutria define segurana da informao como a proteo da informao
de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o
risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades
de negcio. Assim, podemos definir segurana da informao como a rea do
conhecimento que visa proteo da informao das ameaas a sua integridade,
disponibilidade e confidencialidade a fim de garantir a continuidade do negcio e
minimizar os riscos.
Beal (2005) e Smola (2003) asseveram que o objetivo da segurana da
informao preservar os ativos de informao quanto a sua confidencialidade,
integridade e disponibilidade:
A confidencialidade da informao a garantia de que somente pessoas

autorizadas tero acesso a ela, protegendo-a de acordo com o grau de
sigilo do se contedo;
A integridade da informao tem como objetivo garantir a exatido da

informao, assegurando que pessoas no autorizadas possam modificla, adicion-la ou remov-la, seja de forma intencional ou acidental;
25
A disponibilidade garante que os autorizados a acessarem a informao

possam faz-lo sempre que necessrio.
Legalidade - garantia de que a informao foi produzida em conformidade

com a lei;
Autenticidade - garantia de que num processo de comunicao os

remetentes sejam exatamente o que dizem ser e que a mensagem ou
informao no foi alterada aps o seu envio ou validao.
Para Beal (2005), o objetivo legalidade melhor classificado como objetivo

organizacional, assim como o objetivo de uso legtimo da informao citados por
outros autores, pois deles derivam os requisitos de segurana da informao.
Quanto ao objetivo: autenticidade, a autor o entende necessrio somente
quando usado num processo de transmisso de informaes, e estabelece alguns
objetivos adicionais relativos segurana da comunicao:
Integridade do contedo;
Irretratabilidade da comunicao;
Autenticidade do emissor e do receptor;
Confidencialidade do contedo;
Capacidade de recuperao do contedo pelo receptor.

Smola (2003) adverte sobre a expresso Segurana da Informao,
dizendo que por si s, um termo duplo, podendo assumir dupla interpretao:

segurana como uma prtica adotada para tornar-se um ambiente seguro ou o
resultado da prtica adotada, objetivo a ser alcanado. O autor cita exemplos:
Segurana como meio a segurana da informao visa garantir a

confidencialidade,
impossibilidade
de
integridade
agentes
disponibilidade
participantes
em
da
informao,
transaes
ou
a
na
comunicao repudiem a autoria de suas mensagens, a conformidade com

a legislao vigente e a continuidade dos negcios;
26
Segurana como fim a segurana da informao alcanada por meio

de prticas e polticas voltadas a uma adequada padronizao operacional
e gerencial dos ativos, e processos que manipulem e executem a
informao.
Para Cernev (2005), deve-se tomar cuidado com a definio de segurana

pela confuso corrente do termo com risco, privacidade e confiana. No caso da
confiana explicam: confiana engloba e significa muito mais do que segurana.
Confiana o pilar de sustentao de qualquer negcio ou empreendimento,
tradicional ou eletrnico, dentro ou fora da Internet, sendo a segurana um dos seus
principais construtos.
Existem alguns termos relacionados gesto da segurana da informao
que merecem ateno; so eles (SMOLA, 2003; BEAL, 2005):
Ativo: tudo aquilo que tem valor para a organizao;
Ameaa: expectativa de acontecimentos acidental ou proposital, causado

por um agente, que pode afetar um ambiente, sistema ou ativo de
informao. algo normalmente externo ao ativo que se quer proteger
(falha de energia, fogo, vrus);
Vulnerabilidade: fragilidade que poderia ser explorada por uma ameaa

para concretizar um ataque. Est associada ao prprio ativo, podendo ser
decorrente de uma srie de fatores, como falta de treinamento, falta de
manuteno, falha nos controles de acesso etc.;
Impacto: efeito ou consequncia de um ataque ou incidente para a

organizao;
Ataque: evento decorrente da explorao de uma vulnerabilidade por uma

ameaa. Exemplos de ataque: digitao incorreta de dados pelo usurio,
vazamento de informaes, incluso indevida no sistema de pagamento de
compra fictcia;
27
Incidente: fato (ou evento) decorrente da ao de uma ameaa, que

explora uma ou mais vulnerabilidades, levando perda de princpios da
segurana da informao: confidencialidade, integridade e disponibilidade.
Boran (1996) e Abreu (2001) classificam a informao em nveis de

prioridade, respeitando a necessidade de cada empresa assim como a importncia
da classe de informao para a manuteno das atividades da empresa:
Pblica: Informao que pode vir a pblico sem maiores consequncias ao

funcionamento normal da empresa, e cuja integridade no vital.
Interna: O acesso livre a este tipo de informao deve ser evitado, embora
as consequncias do uso no autorizado no sejam por demais srias. Sua
integridade importante, mesmo que no seja vital.
Confidencial: Informao restrita aos limites da empresa, cuja divulgao

ou perda pode levar a desequilbrio operacional, e eventualmente, a perdas
financeiras ou de confiabilidade perante o cliente externo.
Secreta: Informao crtica para as atividades da empresa, cuja integridade

deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um
nmero reduzido de pessoas. A segurana desse tipo de informao vital
para a empresa.
A Segurana da Informao a rea do conhecimento dedicada proteo

de ativos da informao contra acessos no autorizados, alteraes indevidas ou
sua indisponibilidade. Os ativos so recursos, pessoas, bens e servios, que a
empresa possui e que geram receita (SMOLA, 2003).
A Segurana da Informao um ponto importante, pois ela defende um
dos principais ativos das organizaes, suas informaes. H uma enorme
necessidade de garantir a segurana deste ativo. Entretanto, ainda hoje a
segurana tratada de maneira superficial por grande parte das organizaes. No
recebendo a devida importncia e sem a definio de uma boa estratgia de
segurana, so utilizadas tcnicas parciais ou incompletas que podem aumentar a
vulnerabilidade da organizao (NAKAMURA; GEUS, 2007).
28
A mudana e o crescimento da tecnologia dos computadores tomam conta

dos ambientes de escritrio, quebram o paradigma e chegam a qualquer lugar do
mundo, atravs dos computadores portteis e da rede mundial de computadores: a
Internet (SMOLA, 2003).
2.5.
Ameaas Segurana da Informao
Ameaa so agentes ou condies que causam incidentes que comprometem as

informaes e seus ativos por meio de explorao de vulnerabilidades, provocando
perdas de confidencialidade, integridade e disponibilidade, consequentemente,
causando impactos aos negcios de uma organizao (SMOLA, 2003).
2.5.1. Tipos de Ameaas
As ameaas de segurana podem ser divididas em ameaas humanas e ameaas
naturais causadas por desastres da natureza conforme ilustrado na Figura 2. As
Ameaas humanas podem ser intencionais, ou seja, provocadas de propsito, e
ameaas no intencionais provocados por treinamento falho, por exemplo.
Figura 2 Quadro de Ameaas. Fonte: SMOLA, 2003.
2.6.
Mecanismos de Segurana
29
Um meio de se aplicar e suportar os princpios bsicos de segurana da informao

a utilizao de mecanismos e controles (fsicos e lgicos), que podem ser
encontrados em:
Controles fsicos
Controles fsicos podem ser definidos como barreiras que limitam o contato
ou acesso direto informao ou infraestrutura qual garante a sua
existncia.
Exemplos de mecanismos de controles fsicos: portas, trancas, paredes,
blindagens.
Controles lgicos
Controles lgicos podem ser definidos como barreiras que impedem ou
limitam acesso informao em meio eletrnico.
Exemplos de mecanismos de controles lgicos: criptografia, assinatura
digital, autenticao.
Controladores lgicos so apoiados por mecanismos de segurana tais
como a criptografia e a assinatura digital, porm mais comum encontrar
na Internet, limitadores e controladores de acesso para autenticao de
usurios, por meio de um sistema de senhas.
Da Silva e Stein (2007) discutem, contudo, que os requisitos para a
elaborao de uma senha segura esbarram na capacidade cognitiva de
seus usurios, dando origem a inmeros problemas.
Senhas
Uma senha um mecanismo de autenticao, utilizada no processo de
verificao de identidade do usurio, assegurando que este quem
realmente diz ser.
Uma senha mal elaborada, fcil de ser decifrada, pode ser obtida por
sujeitos mal-intencionados, e uma vez que autenticado como outra pessoa,
obter informaes privilegiadas e desferir ataques sem ser identificada.
30
Em um levantamento realizado por uma companhia privada que vende

servios e produtos (softwares) para senhas, foram divulgadas as piores
senhas do ano de 2015, mostradas na tabela a seguir Tabela 1.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
123456
password
12345678
qwerty
12345
123456789
football
1234
1234567
baseball
welcome
1234567890
abc123
111111
1qaz2wsx
dragon
master
monkey
letmein
login
princess
qwertyuiop
solo
passw0rd
starwars
Tabela 1 Piores senhas de 2015 (Fonte: SplashData).
Estas senhas refletem a preocupao citada anteriormente, mostrando que

os usurios preferem a criao de senhas fracas, o que os deixam mais vulnerveis
a ataques, criao de senhas mais complexas e, portanto, mais difceis de serem
decifradas, o que as tornam mais seguras. A segurana da informao neste caso,
esbarram no componente humano.
31
Algumas recomendaes gerais para o gerenciamento de senhas na

Internet, so dadas pelo Centro de Atendimento a Incidentes de Segurana
(CAIS/RNP)
Use pelo menos 8 caracteres na sua senha. Utilize nmeros, letras
maisculas e minsculas, alguns caracteres especiais (_ e - so
os mais indicados). Os sites normalmente indicam se a senha que
voc escolheu Forte ou no. Escolha senhas que indiquem
Strong (Forte) ou Very Strong (Muito forte). No use a mesma
senha de outros servios!
Use um software para gerenciar suas senhas. (...) troque sua senha
com frequncia, especialmente quando utilizar o servio de redes
sociais em locais pblicos como redes Wi-Fi de aeroportos,
eventos, lan houses ou no computador de outra pessoa.
(CAIS/RNP, 2011, p.2)
2.7.
Gesto de Riscos
A implementao da metodologia de avaliao dos riscos envolve a identificao

dos ativos, das ameaas, das vulnerabilidades e dos riscos, avaliando e
selecionando medidas de segurana para reduzir os riscos e para implementar
medidas que assegurem a segurana (VELLANI, 2006).
Para identificar o risco necessrio especificar todas as ameaas e
vulnerabilidades que podem afetar a segurana dos sistemas de informao em
todo o seu ciclo de vida (HAMPSHIRE; TOMIMURA, 2004).
A avaliao de riscos procura identificar os riscos de segurana envolvidos
com a confiana em um sistema definido. Com a implementao da metodologia
de avaliao de riscos, possvel aumentar a eficincia operacional reduzindo
assim as perdas, fraudes, falhas, acidentes, conduzindo a organizao melhoria
dos seus processos (MAYER; FAGUNDES, 2008). Com base no entendimento de
alguns fatores como os ativos, as ameaas e as vulnerabilidades so possveis
identificar a exposio a um risco (VELLANI, 2006).
Fontes (2006) alerta para o constante crescimento de incidentes de
segurana da informao, principalmente no Brasil. De forma crescente as
32
organizaes esto potencialmente mais expostas a novas formas de ataques,

independentemente do porte ou do tipo de negcio.
Devido alta complexidade e ao alto custo de manter os ativos da
informao
salvos de
ameaas
sua
confidencialidade, integridade e
disponibilidade, importante adotar um enfoque de gesto baseado nos riscos

especficos para o negcio. (Beal, 2005).
O risco a probabilidade de ocorrncia de um evento adverso para uma
determinada situao esperada. Smola (2003) o define como: a probabilidade de
que agentes, que so ameaas, explorem vulnerabilidades, expondo os ativos a
perdas de confidencialidade, integridade e disponibilidade, e causando impacto nos
negcios. Os impactos so limitados por medidas de segurana, que ajudam a
diminuir o risco. Para demonstrar essa relao, o autor prope a seguinte equao
do risco de segurana da informao:
Hitt (2005), a gesto do risco estratgica, pois influencia diretamente as

capacidades e competncias essenciais da empresa, com maior nfase nos riscos
administrativo e individual. Os riscos interagem com a realidade e so fatos na vida
corporativa, uma vez que resultados incertos so reflexos de decises gerenciais.
Gesto do risco o conjunto de processos que permite s
organizaes identificar e implementar as medidas de proteo
necessrias para diminuir os riscos a que esto sujeitos os seus
ativos de informao, e equilibr-los com os custos operacionais e
financeiros envolvidos. (BEAL, 2005).
As ameaas somadas s vulnerabilidades quando mal gerenciadas

facilitam o ataque a um ativo da informao. Um ataque concludo gera o incidente
de segurana que culmina em um impacto para os negcios da organizao. As
seguintes medidas podem ser implementadas para melhor gerenciar o risco:
33
MEDIDAS PREVENTIVAS: reduzem a probabilidade de uma ameaa se

concretizar ou diminuem o grau de vulnerabilidade do ambiente, ativo ou
sistema; reduzindo assim a probabilidade de um ataque e/ou sua
capacidade de gerar efeitos adversos na organizao. Exemplos de
medidas preventivas:
Poltica de segurana;
Controles de acesso fsicos e lgicos;
Programas de conscientizao e treinamento; etc.
MTODOS DETECTIVOS: expem ataques ou incidentes e disparam

medidas reativas, tentando evitar a concretizao do dano, reduzi-lo ou
impedir que se repita. Exemplos de mtodos detentivos:
Monitorao da rede;
Sistemas de deteco de intrusos;
Auditorias; etc.
MEDIDAS REATIVAS: reduzem o impacto de um ataque ou incidente. So

medidas tomadas durante ou aps a ocorrncia do evento. Exemplos de
medidas reativas:
Ao legal;
Restaurao do servio;
Procedimentos de resposta a incidentes; etc.
2.7.1. Ameaas
Desde que os computadores comearam a ser usados, as tentativas de acesso no
autorizado a eles existem; entretanto, foi s aps o uso comercial da
Internet que o problema se tornou mais crtico. Associados a essas ameaas
encontram-se alguns termos que se tornaram manchetes de publicaes
destinadas ao pblico especializado em informtica e at na imprensa noespecializada:
(CARUSO e STEFFEN, 1999).
Hackers so em geral jovens e adolescentes, amadores aficionados por

informtica, normalmente com alto grau de inteligncia e capacitao no
34
ramo, cuja principal diverso conseguir ultrapassar as barreiras de

acesso aos grandes sistemas de computao que operam em rede,
principalmente na Internet. Em uma outra definio, hacker o indivduo
que conhece muito sobre tecnologia, mas que no usa seus conhecimentos
para o mal, enquanto que o termo cracker, define o aficionado por
tecnologia que usa seus conhecimentos para praticar violaes de
sistemas e roubo de informaes, de forma a obter proveito prprio ou para
terceiros.
Vrus so programas de computador capazes de se reproduzir, se

autocopiando para disquetes, unidades de redes ou anexos de e-mail.
Geralmente, destroem os programas e arquivos de seu computador, ou
simplesmente o atrapalham deixando seu micro mais lento.
Worm uma subclasse de vrus que geralmente se alastra sem a ao

do usurio e distribui cpias completas de si mesmo atravs das redes. Um
worm pode consumir memria e largura de banda de rede, o que pode
travar o computador.
Cavalo de Tria deve seu nome ao fato de funcionar baseado em

estratgia similar contada pela mitologia grega. Atualmente o cavalo virou
um programa e a Tria um computador. Conhecidos tambm como Trojan
Houses, estes programas so construdos de tal maneira que, uma vez
instalados nos computadores, abrem portas no computador infectado,
tornando possvel o acesso de hackers.
Backdoors existe uma confuso entre o que um backdoor e um trojan,

principalmente porque os problemas provocados por ambos so
semelhantes. Um trojan um programa que cria deliberadamente um
backdoor em seu computador. Eles so abertos devido a defeitos de
fabricao ou falhas no projeto, isto pode acontecer tanto acidentalmente
como propositalmente.
SPAM o envio em massa de mensagens de e-mails no-solicitadas,

algumas inofensivas, outras com contedo publicitrio, porm, alguns
invasores utilizam-se de SPAM para distribuio de cdigos maliciosos.
35
Spyware um programa instalado no computador do usurio sem seu

consentimento que captura informaes atravs de tudo que digitado no
teclado, seus costumes na Internet e informaes pessoais para depois
enviar a uma entidade externa na Internet. Podem ser desenvolvidos por
empresas que desejam monitorar os hbitos do usurio e depois vend-los
na Internet.
Outra ameaa muito frequente e que no depende necessariamente de
recursos de TI a engenharia social. Engenharia Social a tcnica de aproveitarse da boa-f das pessoas para obter informaes que possibilitem ou facilitem o
acesso aos recursos computacionais de uma organizao por parte de usurios
no autorizados. Fontes (2006) define engenharia social como: o conjunto de
procedimentos e aes que so utilizados para adquirir informaes de uma
organizao ou de uma pessoa por meio de contatos falsos sem o uso da fora, do
arrombamento fsico ou de qualquer brutalidade.
Existem diversas formas de se efetuar um ataque de engenharia social,
mas todas elas tm em comum a caracterstica de usarem basicamente psicologia
e perspiccia para atingir os seus propsitos. Atualmente, as mais populares so:
Usar telefone ou e-mail para se fazer passar por uma pessoa ou instituio
que precisa de determinadas informaes para resolver um suposto
problema;
Enviar programas maliciosos ou instrues especialmente preparadas,

com o objetivo de abrir brechas na segurana da rede ou coletar o mximo
de informaes possveis sobre ela. Essa tcnica ficou conhecida como
Phishing, pois leva a vtima at uma pgina falsa na Internet, que pode
instalar um trojan no computador da vtima. Em outros casos pode ser de
uma instituio financeira, com a qual geralmente a vtima possui
relacionamento, fazendo que fornea seus dados como agncia, conta e
senha, para depois efetuar fraudes eletrnicas. Tambm conhecido como
Phishing Scam ou somente Scam.
36
A principal e mais coerente maneira de se prevenir contra estes ataques

orientando os usurios e administradores de redes e sistemas sobre como agir
nestas situaes.
2.8.
COBIT
O COBIT (Control Objectives for Information and Related Technology) foi criado em
1994 pelo ITGI (IT Governance Institute) com a finalidade de ajudar a aperfeioar
informaes sobre investimentos e a prover medidas para o tratamento de
necessidades das organizaes. O modelo passou por diversas evolues e, em
2007, foi publicada a verso 4.1, que ser abordada neste trabalho.
Conforme explica o ITGI (2007):
O COBIT focado no que necessrio para atingir um adequado
controle e gerenciamento de T.I. e est posicionado em elevado
nvel. O COBIT foi alinhado e harmonizado com outros padres e
boas prticas de T.I. mais detalhados. O COBIT atua como um
integrador desses diferentes materiais de orientao, resumindo os
principais objetivos sob uma metodologia que tambm est
relacionada aos requisitos de governana e de negcios. O COSO
(e outra metodologias similares) geralmente aceito como uma
metodologia de controle interno para corporaes. O COBIT um
modelo de controles internos geralmente aceitos para a rea de T.I.
Dentre os vrios benefcios em se adotar o COBIT, encontram-se:
Esclarecimento de responsabilidades na organizao de T.I.;
Especificao das necessidades e os controles de T.I.;
Fornecimento de diretrizes para o gerenciamento de riscos;
Fornecimento de um modelo de boas prticas conhecido e disseminado;
Viabilizao da medio de metas de desempenho da organizao de T.I.
Segundo Fagundes (2004) o COBIT um guia para a gesto de TI

recomendado pelo ISACF (Information Systems Audit and Control Foundation).
37
Inclui recursos tais como, sumrio executivo, framework, controle de objetivos,

mapas de auditoria, conjunto de ferramentas de implementao e guia com
tcnicas de gerenciamento. As prticas de gesto do COBIT so recomendadas
pelos peritos em gesto de TI que ajudam a otimizar os investimentos de TI e
fornecem mtricas para avaliao dos resultados.
O COBIT (2007) tem um conjunto de ferramentas eficazes focadas no
controle dos processos, dando o diagnstico do que fazer, mas no como fazer,
questo que ter de ser resolvida com a ajuda das melhores prticas de outras
metodologias. um modelo abrangente, sua utilizao independe da plataforma de
TI utilizada, ou ramo da empresa. O COBIT um instrumento de apoio para
desenhar, melhorar ou auditar processos, dizendo o que o processo deve ter.
O COBIT composto por quatro reas distintas (Planejamento e
Organizao, Aquisio e Implementao, Entrega e Suporte, Monitorao e
Suporte). Em cada uma destas reas definida uma srie de processos que visam
garantir o controle de todas as etapas. O COBIT possui 34 objetivos de controle de
alto nvel e 215 objetivos de controle detalhados (processos), sendo atualmente o
framework mais completo para Governana de TI. O COBIT tambm orienta sobre
as melhores prticas de gesto para cada rea da organizao de TI. Entretanto, o
COBIT no descreve detalhadamente os procedimentos, mesmo porque cada
organizao tem suas prprias caractersticas. (ITGI, 2007).
2.8.1. Misso e Objetivo

Pesquisar, desenvolver, publicar e promover um modelo de
controle para governana de T.I. atualizado e internacionalmente
reconhecido para ser adotado por organizaes e utilizado no diaa-dia por gerentes de negcios, profissionais de T.I. e profissionais
de avaliao. (ITGI, 2007).
Dentre os objetivos do COBIT encontram-se a orientao ao negcio, o

direcionamento da Governana de T.I., relacionando processos, recursos e
38
informaes de T.I. aos objetivos e estratgias de negcio e o sucesso na entrega

dos produtos e servios de T.I. a partir das necessidades do negcio.
Conforme explica a T.I. Exames (2008), o COBIT um framework que
fornece as melhores prticas para o gerenciamento de processos de T.I.,
estruturado de uma forma gerencivel e lgica, atendendo as vrias necessidades
de gesto da organizao, tratando os riscos de negcio, questes tcnicas,
necessidades de controle e mtricas de desempenho.
2.8.2. Princpios
De acordo com o ITGI (2007), o modelo COBIT baseado nos seguintes princpios:
Prover a informao de que a organizao precisa para atingir os seus objetivos,
as necessidades para investir, gerenciar e controlar os recursos de T.I. usando um
conjunto estruturado de processos para prover os servios que disponibilizam as
informaes
necessrias
para
organizao.
Tais
esquematizados na Figura 3.
Figura 3 Princpios Bsicos do COBIT

Fonte: ITGI (2007).
princpios
esto
39
O princpio do COBIT assegurar que os recursos de T.I. estaro alinhados

com os objetivos da organizao e vincular as expectativas dos gestores de T.I.
com suas responsabilidades.
2.8.3. Modelo de maturidade do COBIT
De acordo com o ITGI (2007), no COBIT, existe uma forma que auxilia os gestores
saber como sua organizao se situa no mercado, em relao aos concorrentes,
as melhores prticas existentes e identificar o que necessrio para alcanar um
nvel de gesto adequado para os processos de TI.
Para cada processo de TI relacionado um dos nveis do modelo de
maturidade:
No existente: Carncia completa de qualquer processo reconhecido.
Inicial: organizao reconhece que tem problemas, porm os mesmos

so resolvidos pontualmente, sem padronizao.
Repetido: Os problemas so resolvidos com envolvimento da TI, inclusive

o nvel de gerncia. Porm no existe um processo definido, tendo prticas
Governana como meta. As informaes concentram-se nos indivduos.
Definido: Definido e documentado uma estrutura de processo para

superviso da gerncia, baseado nos princpios das boas prticas.
Administrado: Nesta etapa so tomadas aes corretivas quando existem

desvios dos objetivos. Os processos esto seguindo seu fluxo normal, e
podem ocorrer melhorias nestes, quando necessrio.
Otimizado: Boas prticas de governana so seguidas. H uma harmonia

entre a TI e objetivos da empresa existindo um controle efetivo das
estratgias de TI.
2.9.
Normas ABNT NBR ISO/IEC da srie 27000
O objetivo da Gesto de Segurana de Informao manter a qualidade das

informaes. E a qualidade dessas informaes depende da confidencialidade,
40
integridade e disponibilidade das mesmas. Esse princpio foi desenvolvido de modo

a se tornar o padro global de SI: o conjunto de ISO/IEC 27000.
A srie ISO 27000 constitui um padro de certificao de sistemas de
gesto promovido pelo International Organization for Standardization (ISO), neste
caso aplica-se implementao de Sistemas de Gesto de Segurana da
Informao (SGSI), atravs do estabelecimento de uma poltica de segurana, de
controlos adequados e da gesto de riscos.
Esta norma serve de apoio s organizaes de qualquer sector, pblico ou
privado, para entender os fundamentos, princpios e conceitos que permitem uma
melhor gesto dos seus ativos de informao.
A famlia de normas da ISO/IEC 27000 inclui padres que definem os
requisitos para um SGSI e para a certificao desses sistemas e prestam apoio
direto e orientao detalhada para os processos e requisitos do ciclo PDCA.
A ISO 27000 contm termos e definies utilizados ao longo da srie
27000. A aplicao de qualquer padro necessita de um vocabulrio claramente
definido, para evitar diferentes interpretaes de conceitos tcnicos e de gesto.
2.9.1. Termos Definidos na Norma
Controlo de acesso meios para assegurar que o acesso a ativos est

autorizado e restringido com base no trabalho e em requisitos de
segurana;
Responsabilidade responsabilidade de uma entidade pelas suas aes

e decises;
Ativos qualquer coisa que tenha valor para a organizao (informao,

software, o prprio computador, servios, as pessoas, entre outros);
Atacar tentar destruir, alterar, expor, inutilizar, roubar ou obter acesso

no autorizado ou fazer uso no autorizado de um ativo;
Autenticao prestao de garantia de que uma caracterstica

reclamada por uma entidade correta;
41
Autenticidade propriedade que nos diz que uma entidade aquilo que
realmente afirma ser;
Disponibilidade propriedade de ser acessvel e utilizvel por uma

entidade autorizada;
Confidencialidade propriedade que garante que a informao no est

disponvel ou revelada a indivduos no autorizados, entidades ou
processos;
Controlar meio de gesto de risco, incluindo as polticas de

procedimentos, diretrizes, prticas ou estruturas organizacionais, que
podem ser de natureza administrativa, tcnica, de gesto ou de natureza
legal;
Ao corretiva ao para eliminar a causa de uma no conformidade

detectada ou outra situao indesejvel;
Diretriz recomendao do que esperado que seja feito a fim de alcanar

um objetivo;
Segurana
da
Informao
preservao
da
confidencialidade,
integridade e disponibilidade das informaes
Sistema de Gesto de Segurana de Informao parte do sistema de

gesto global, com base numa abordagem de risco de negcio, para
estabelecer, implementar, operar, monitorizar, rever, manter e melhorar a
segurana da informao.
Risco de Segurana da Informao potencial que uma ameaa explore

uma vulnerabilidade de um ativo ou grupo de ativos e, assim, causar danos
organizao;
Integridade propriedade de proteger a exatido de ativos;
Sistema de Gesto mbito das polticas, procedimentos, diretrizes e

recursos associados para alcanar os objetivos de uma organizao;
Poltica inteno e direo geral como formalmente expressas pela

gesto;
Processo conjunto de atividades inter-relacionadas ou interativas que

transformam insumos em produtos;
42
Risco- combinao da probabilidade de um evento e das suas

consequncias;
Evento ocorrncia de um determinado conjunto de circunstncias;
Anlise de risco uso sistemtico de informaes para identificar fontes

e estimar a ocorrncia de um risco;
Gesto de risco atividades coordenadas para dirigir e controlar uma

organizao em relao a um determinado risco;
Ameaa causa potencial de um incidente indesejado, o que pode resultar

em danos para um sistema ou entidade;
Vulnerabilidade fraqueza de um ativo ou controlo, que pode ser

explorado por ameaa.
2.9.2. Abordagem de processos

Um processo a transformao de entradas em sadas que utilizam um conjunto
de atividades inter-relacionadas ou em interao. A sada de um processo pode
automaticamente dar incio a um novo processo, isto feito normalmente de forma
planeada e em condies controladas.
Na famlia de normas de SGSI, a abordagem do processo para o SGSI
baseia-se na explorao do princpio adoptado nas normas ISO de gesto do
sistema, conhecido como processo PDCA: Plan Do Check Act.
PLAN - Planear significa estabelecer os objetivos e fazer planos

(analisando a situao da organizao, estabelecendo os objetivos e
desenvolvendo planos para os alcanar).
DO - Os planos so postos em prtica e implementados (fazer o que foi

planeado para fazer).
CHECK - Verificao dos resultados (monitorizao da realizao dos

objetivos planeados).
ACT - As atividades so corrigidas e melhoradas (aprender com os erros).
43
A implementao de um SGSI tem como principal resultado a reduo dos

riscos de segurana da informao, ou seja, reduzir a probabilidade de ocorrerem
incidentes a nvel de segurana da informao e consequentemente reduzir os seus
impactos.
2.9.3. ABNT NBR ISO/IEC 27001

A adoo de um SGSI deve ser uma deciso estratgica para uma organizao. A
norma ISO/IEC 27001 foi preparada para prover um modelo para estabelecer,
implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gesto
de Segurana da Informao (SGSI). A especificao e implementao do SGSI
de uma organizao, so influenciadas pelas suas necessidades e objetivos,
exigncias de segurana, os processos empregados e o tamanho e estrutura da
organizao (ISO/IEC 27001, 2013, p.1). Segundo a norma ISO/IEC 27001, a
aplicao de um sistema de processos dentro de uma organizao, junto com a
identificao e interaes destes processos, e sua gesto, pode ser chamada de
abordagem de processo. A abordagem de processo para a gesto da segurana
da informao apresentada nesta norma encoraja que seus usurios enfatizem a
importncia de:
Entendimento dos requisitos de segurana da informao de uma

organizao e da necessidade de estabelecer uma poltica e objetivos para
a segurana de informao;
Implementao e operao de controles para gerenciar os riscos de

segurana da informao de uma organizao no contexto dos riscos de
negcio globais da organizao;
Monitorao e reviso do desempenho e efetividade do SGSI; e
Melhoria contnua baseada em medidas objetivas.
O SGSI projetado para assegurar a seleo de controles de segurana

adequados para proteger os ativos de informao e proporcionar confiana s
partes interessadas (ISO/IEC 27001, 2013).
44
A norma ISO/IEC 27001 adota o modelo de processo "Plan-Do-CheckAct

(PDCA), que aplicado para estruturar todos os processos do SGSI. Um SGSI
considera as entradas de requisitos de segurana de informao e as expectativas
das partes interessadas, e como as aes necessrias e processos de segurana
da informao produzidos resultam no atendimento a estes requisitos e
expectativas (ISO/IEC 27001, 2013).
A norma ISO/IEC 27001 ser utilizada como auxlio na avaliao de
conformidade e na sugesto de melhorias, pois ela enfoca objetivos de controles
importantes no contexto empresarial.
A norma ISO 27002 a partir de julho de 2007 o novo nome da norma ISO 17799.
Esta norma um guia de boas prticas que descreve os objetivos de controlo e os
controlos recomendados para a Segurana da Informao.
O Cdigo de Boas Prticas ISO/IEC 27002 fornece uma estrutura para
avaliar os sistemas de gesto de segurana da informao, baseada em um
conjunto de diretrizes e princpios que tm sido adotadas por empresas, governos
e organizaes empresariais em todo o mundo (ISO/IEC 27002, 2013).
A norma ISO/IEC 27002 est estruturada em 11 sees, cada uma destas
constituda por categorias de segurana da informao, sendo que cada categoria
tem um objetivo de controle definido, um ou mais controles que podem ser
aplicados para atender ao objetivo de controle, as descries dos controles, as
diretrizes de implementao e informaes adicionais. Ao todo, so 133 controles
divididos em (1) poltica de segurana da informao, (2) organizao da segurana
da informao, (3) gesto de ativos, (4) segurana em recursos humanos, (5)
segurana fsica e de ambiente, (6) gerenciamento das operaes e comunicaes,
(7) controle de acesso, (8) aquisio, desenvolvimento e manuteno de sistemas
de informao, (9) gerenciamento de incidentes de segurana da informao, (10)
gerenciamento da continuidade do negcio e (11) conformidade legal. A norma
ISO/IEC 27002 ser utilizada como auxlio na elaborao da Poltica de Segurana
45
A norma ISO 27005 estabelece diretrizes para a gesto de risco em Segurana da

Informao, fornecendo indicaes para implementao, monitorizao e melhoria
contnua do sistema de controlos. Para compreendermos melhor esta norma
importante perceber os conceitos, modelos e processos descritos nas normas ISO
27001 e ISO 27002. A norma 27005 aplicada a todos os tipos de organizaes
que se destinam a gerir os riscos que possam comprometer a segurana das suas
informaes.
Uma abordagem sistemtica de Gesto de Riscos de Segurana da
informao necessria para se identificar as necessidades da organizao em
relao aos requisitos de segurana da informao, e para criar um sistema de
gesto de segurana da informao (SGSI) que seja eficaz (ISO/IEC 27005, 2013,
p.6). Ainda, de acordo com a ISO/IEC 27005 convm que a Gesto de Riscos de
Segurana da informao contribua para:
Identificao de riscos;
Anlise/avaliao de riscos em funo das consequncias ao negcio e da

probabilidade de sua ocorrncia;
Comunicao e entendimento da probabilidade e das consequncias

destes riscos;
Estabelecimento da ordem prioritria para tratamento do risco;
Priorizao das aes para reduzir a ocorrncia dos riscos;
Envolvimento das partes interessadas quando as decises de gesto de

riscos so tomadas e mantidas informadas sobre a situao da gesto de
riscos;
Eficcia do monitoramento do tratamento do risco;
Monitoramento e a anlise crtica regular de riscos e do processo de gesto

dos mesmos;
Coleta de informaes de forma a melhorar a abordagem da gesto de

riscos;
46
Treinamento de gestores e pessoal a respeito dos riscos e das aes para

mitig-los.
O processo de gesto de riscos de segurana da informao pode ser
aplicado organizao como um todo a uma rea especfica da organizao, por

exemplo: um departamento, uma localidade, um servio, a um sistema de
informaes, a controles j existentes, planejados ou apenas a aspectos
particulares de um controle, por exemplo: plano de continuidade de negcios
(ISO/IEC 27005, 2013, p.5).
2.10. CONCEITO ERRNEOS ACERCA DA SEGURANA
Segundo Caruso e Steffen (1999), existem algumas concepes errneas sobre

segurana que foram criadas com o tempo dentro das empresas e que merecem
esclarecimento:
Uma vez implantada a segurana, as informaes esto seguras: a

segurana nunca ser um produto acabado, pois reflete o atual ambiente
de informaes das organizaes modernas, altamente dinmico.
A implantao da segurana um processo simples: a implantao da

segurana deve ser um processo gradual; o maior esforo recai sobre os
usurios dos sistemas de informao, pois neles que reside o
conhecimento do que importante para ser protegido.
A segurana um assunto de exclusiva responsabilidade da rea de

segurana: o proprietrio das informaes que deve avaliar o que deve
ou no ser protegido; dessa forma, a segurana tambm passa a ser
assunto de sua responsabilidade.
A estrutura de segurana relativamente esttica: da mesma maneira que

outras estruturas na empresa sofrem mudanas, a estrutura de segurana
deve ser dinmica o suficiente para acompanhar tais mudanas.
47
Smola (2003) contribui com a viso de Caruso e Steffen (1999) afirmando que
muitos erros so praticados na gesto da segurana da informao pela viso
mope e a percepo distorcida do problema, pois muitos gestores enxergam
somente os problemas associados tecnologia como: Internet, redes,
computadores, e-mail, vrus e hacker. Em funo desse entendimento parcial, o
autor lista uma srie de concepes errneas acerca da gesto da segurana da
informao:
Atribuir exclusivamente rea tecnolgica a segurana da informao;
Posicionar hierarquicamente essa equipe abaixo da diretoria de TI;
Definir investimentos subestimados e limitados abrangncia dessa

diretoria;
Elaborar planos de ao orientados reatividade;
No perceber a interferncia direta da segurana com o negcio;
Tratar as atividades como despesa e no como investimento;
Adotar ferramentas pontuais como medida paliativa;
Satisfazer-se com a sensao de segurana provocada por aes isoladas;
No cultivar corporativamente a mentalidade de segurana;
Tratar a segurana como um projeto e no como um processo.
2.11. Poltica de Segurana da Informao

O objetivo da Poltica de Segurana da informao prover uma orientao e apoio
da alta direo para a Segurana da Informao de acordo com os requisitos do
negcio e com as leis e regulamentaes pertinentes (ISO/IEC 27002:2013).
A Poltica de Segurana atribuir os direitos e responsabilidades s
pessoas que lidam com os recursos computacionais da empresa e com as
informaes nelas armazenados (CERT.BR, 2006). Para Ferreira e Arajo (2008,
p. 36), a Poltica de Segurana define o conjunto de normas, mtodos e
procedimentos utilizados para a manuteno da segurana da informao,
48
devendo ser formalizada e divulgada a todos os usurios que fazem uso dos ativos
de informao.
Os itens mais importantes para manter a Segurana da informao da
empresa so: elaborar a Poltica de Segurana e o gerenciamento de suporte
adequados, seguido do nvel de conscientizao dos funcionrios (ASCIUTTI,
2012).
2.12. Atributos e vantagens da poltica da segurana

De acordo com a Norma NBR ISO/IEC 27002, deve-se garantir que os usurios
estejam cientes das ameaas e das preocupaes de segurana da informao e
estejam equipados para apoiar a poltica de segurana da organizao durante a
execuo normal de seu trabalho.
Em outras palavras, todos os funcionrios da empresa devem ter
conhecimento da existncia da Poltica de Segurana, pois mesmo existindo
diversas tecnologias destinadas a proteo dos ativos de informao, o elemento
humano fundamental para que a Poltica de Segurana seja implementada
eficazmente.
2.13. ABNT NBR ISO/IEC 17799:2005

A fim de implementar e normalizar a atuao das empresas na gesto da
segurana da informao, em 1989, o Commercial Computer Security Center,
rgo ligado ao departamento de indstria e comrcio do Reino Unido, publicou a
primeira verso do Cdigo para Gerenciamento de Segurana da Informao PD0003. Seis anos depois, este cdigo foi revisado e publicado como uma British
Standard, denominado BS 7799, que apresentava as melhores prticas em
controles de segurana para auxiliar as organizaes comerciais e de governo na
implantao e crescimento da segurana da informao. (OLIVA e OLIVEIRA,
2003).
Devido ao interesse internacional em uma norma de segurana da
49
informao, a BS 7799-1:1999 foi submetida a International Organization for

Standardization (ISO), organizao internacional que aglomera os grmios de
padronizao/normalizao de 148 pases. Em dezembro de 2000 a parte 1 BS
7799-1:1999 foi publicada como norma internacional ISO 17799:2000. Em 2001,
a Associao Brasileira de Normas Tcnicas - ABNT, publicou a verso brasileira
da ISO 17799:2000 que ficou com a denominao de NBR/ISO 17799 Cdigo
de Prtica para a Gesto da Segurana da Informao. Em setembro de 2005, a
norma foi revisada e publicada como NBR ISO/IEC 17799:2005. (ISO 17799,
2005).
A norma ISO/IEC 17799:2005 define 127 controles que compem o
escopo do Sistema de Gesto de Segurana da Informao (Information Security
Management System ISMS) agrupados em 11 sees de controles, conforme
descrito abaixo:
1. Poltica de Segurana da Informao: recomendaes para a
formalizao de uma poltica. Contendo: diretrizes, princpios e regras que
iro prover orientao e apoio para implantao e manuteno da
segurana. Caruso e Steffen (1999) afirmam que a correta implantao de
uma poltica de segurana pode ser resumida em trs aspectos: reduo
da probabilidade de ocorrncia, reduo dos danos provocados por
eventuais ocorrncias, e criao de procedimentos para se recuperar de
eventuais danos;
2. Organizao da Segurana da Informao: recomendaes para o
estabelecimento de uma estrutura de gesto para planejar e controlar a
implementao da segurana da informao na organizao; (BEAL,
2005, p. 33)
3. Gesto de Ativos: recomendaes sobre a realizao de inventrio dos
ativos informacionais e atribuio de responsabilidades pela manuteno
dos controles necessrios para proteg-los;
4. Segurana em Recursos Humanos: recomendaes para reduzir os
riscos de erro humano, roubo, fraude ou uso indevido das instalaes;
50
5. Segurana Fsica e do Ambiente: recomendaes para a proteo dos

recursos e instalaes de processamento de informaes crticas ou
sensveis ao negcio contra acesso no autorizado, dano ou interferncia;
6. Gesto das Operaes e Comunicaes: recomendaes para garantir
a operao correta e segura dos recursos de processamento de
informaes e proteger a integridade de servios e informaes;
7. Controle de Acesso: recomendaes para a monitorao e o controle do
acesso a recursos computacionais, para proteg-los contra abusos
internos e ataques externos;
8. Aquisio,
Desenvolvimento
Manuteno
de
Sistemas
de
Informao: recomendaes para o uso de controles de segurana em

todas as etapas do ciclo de vida foram que, com todos os esforos de TI,
tudo seja implementado e mantido com a segurana em mente, usando
controles de segurana em todas as etapas do processo;
9. Gesto de Incidentes da Segurana da Informao: recomendaes
para notificao de fragilidades e eventos de segurana da informao,
responsabilidades e procedimentos e coleta de evidncias.
10. Gesto da Continuidade do Negcio: recomendaes para preparar a
organizao para neutralizar as interrupes s atividades comerciais e
proteger os processos crticos em caso de ocorrncia de falha ou desastre;
11. Conformidade: recomendaes para a preservao da conformidade
com requisitos legais (tais como direitos autorais e direito privacidade),
com normas e diretrizes internas e com os requisitos tcnicos de
segurana.
H uma seo introdutria na norma que trata da Anlise, Avaliao e
Tratamento de Riscos a fim de orientar na identificao, quantificao e priorizao
do gerenciamento do risco, bem com os critrios definidos para aceitar o risco ou
no (ISO 17799, 2005).
51
A adequao de qualquer empresa norma ISO/IEC 17799:2005 garante

conformidade com as melhores prticas em gesto da segurana da informao.
As normas so criadas para estabelecer diretrizes e princpios para melhorar a
gesto de segurana nas empresas e organizaes. (HOLANDA, 2006).
52
3.
METODOLOGIA
Este captulo abordar a caracterizao da empresa, bem como a definio de

escopo do projeto e outros pontos acerca da organizao.
3.1.
Natureza da Pesquisa
O mtodo exploratrio foi utilizado na fase inicial desta pesquisa, visto que o
objetivo maior no foi o de resolver um problema, mas sim caracteriz-lo, com base
no relatrio que ser gerado como resultado. Envolver levantamento bibliogrfico,
observao do ambiente de estudo, e contato com pessoas. Este trabalho pode ser
caracterizado como uma pesquisa exploratria, pois visa familiaridade com os
problemas com vistas a torn-lo explcito. Quanto abordagem, este trabalho
uma pesquisa qualitativa, visto que no faz uso de mtodos e tcnicas estatsticas,
o ambiente natural a fonte direta para coleta de dados. Quanto aos
procedimentos, este trabalho pode ser caracterizado como um estudo de caso
nico. A tcnica para coleta de dados ser a observao.
3.2.
Mtodos e Tcnicas da pesquisa
Para realizao do estudo e coleta dos dados e informaes foi utilizada a pesquisa
de campo.
De acordo com GIL (1993), as pesquisas de campo caracterizam-se pela
interrogao direta das pessoas cujo comportamento se deseja conhecer.
Basicamente, procede-se solicitao de informaes a um grupo significativo de
pessoas acerca do problema estudado para, em seguida, mediante anlise
quantitativa, obtm-se as concluses correspondentes aos dados coletados.
Conforme descreve MARCONI e LAKATOS (1999):
A pesquisa de campo aquela utilizada com o objetivo de
conseguir informaes e/ou conhecimentos acerca de um problema
para o qual se procura uma resposta, ou de uma hiptese que se
queira comprovar, ou, ainda, descobrir novos fenmenos ou as
53
relaes entre eles. Consiste na observao de fatos e fenmenos

tal como ocorrem espontaneamente, na coleta de dados a eles
referentes e no registro de variveis que se presumem relevantes,
para analis-los.
De acordo com os autores, h vantagens e limitaes neste tipo de

pesquisa. Como vantagens, destaca-se que (a) os documentos constituem-se de
fontes ricas e estveis de dados, (b) baixos custos (exigem praticamente apenas
disponibilidade de tempo do pesquisador) e (c) no exigem contato com os sujeitos
da pesquisa. Como limitao, as crticas mais frequentes referem-se no
representatividade e subjetividade dos dados.
3.3.
Caracterizao da empresa
A empresa Anonymous company foi fundada em fevereiro de 1990 e atua como

Instituio de Ensino Superior em forma de fundao. A atual instituio possui
quatro campi universitrios e emprega mais de 450 funcionrios.
dividida em departamentos conforme figura abaixo:
Figura 4 Organograma Geral. Fonte: Documentao da empresa
54
3.4.
Definio do Escopo do projeto
O setor de tecnologia da informao ainda se encontra defasado com relao ao

restante da empresa, sem processos definidos, com um espao de trabalho
limitado, pouco investimento por parte da Alta Administrao na rea de inovao
e segurana da informao.
composto por vinte e trs funcionrios, os quais esto distribudos
conforme a Figura 5:
Figura 5 Organograma Tecnologia da Informao
O processo de tomada de deciso baseado nas expectativas e nos

conhecimentos que os funcionrios possuem e na atual disponibilidade de
recursos da organizao. A Alta Administrao centraliza as decises da
empresa.
Gartner (2005) em sua pesquisa afirma que o ideal seria que a cada 100
funcionrios, houvesse de 5 a 7 funcionrios de TI. Sendo assim o quantitativo de
funcionrios na rea de TI da Anonymous company correspondente a quantidade
de demanda, porm constatado uma certa dificuldade em se definir o papel de
cada funcionrio nesse setor.
55
3.5.
Anlise
A partir da anlise, pode-se verificar se a gesto da segurana da informao

tratada formalmente, atravs de uma rea de gesto especfica, ou se as
responsabilidades sobre o assunto se encontram distribudas entre as diversas
reas na empresa Anonymous company, fazendo possvel identificar os fatores
positivos e negativos como os fatores crticos.
3.5.1. Fatores positivos da empresa
Os principais fatores positivos encontrados so:
A empresa possui 26 anos de mercado e conhecida pela difuso gratuita

e de qualidade do ensino superior.
Os funcionrios do setor de TI trabalham em equipe e tem muita facilidade

de comunicao, tambm so formados e capacitados para atuarem na
rea.
O nmero satisfatrio de funcionrios no setor de TI dado demanda de

servio;
Servidores da empresa esto posicionados em locais adequados e

inacessveis a pessoas no autorizadas.
3.5.2. Pontos negativos da empresa

Os principais fatores negativos encontrados so:
No existe controle de acesso empresa, com entrega de crach para

visitante, cmeras de segurana na portaria para controle;
As falhas nas instalaes de cabeamento, expostos ao tempo e de fcil

manuseio por qualquer pessoa. Esse problema poderia ser maior se
houvesse a interferncia de agentes mal-intencionados suspendendo os
servios, ou adicionando equipamento pessoais nos switches expostos,
56
causando a parada de algum setor e consequentemente prejuzos

financeiros e atrasos nos trabalhos;
A inexistncia de um documento definindo as tarefas dos funcionrios, bem

como falta do mapeamento dos processos;
Os usurios tm carncia no uso dos recursos computacionais de nvel

bsicos, como cpias de arquivos de pasta, renomear arquivos,
conhecimentos nas ferramentas RM/Protheus;
O espao fsico limitado e, existem outros problemas como, delimitao da

sala por divisrias onde os ativos ficam expostos. Os funcionrios trabalham
em espao mnimo, e se posicionam de maneira incorreta.
3.5.3. Fatores crticos

Como foi visto no tpico anterior sobre controles essenciais para toda organizao,
deve-se considerar tambm a dificuldade em estabelecer esses controles dentro
da empresa. Os seguintes fatores so geralmente crticos para o sucesso da
implementao da segurana da informao dentro de uma organizao (ISO/IEC
27002:2013):
Poltica de segurana da informao, objetivos e atividades, que reflitam os

objetivos do negcio;
Uma abordagem e uma estrutura para a implementao, manuteno,

monitoramento e melhoria da segurana da informao que seja consistente
com a cultura organizacional;
Comprometimento e apoio visvel de todos os nveis gerenciais;
Um bom entendimento dos requisitos de segurana da informao, da

anlise/avaliao de risco e de gesto de risco;
Divulgao eficiente da segurana da informao para todos os gerentes,

funcionrios e outras partes envolvidas para alcanar a conscientizao;
57
Distribuio de diretrizes e normas sobre a poltica de segurana da

informao para todos os gerentes, funcionrios e outras partes envolvidas;
Proviso de recursos financeiros para as atividades de gesto da segurana

da informao;
Proviso da conscientizao, treinamento e educao adequados;
Estabelecimento de um eficiente processo de gesto de incidentes de

segurana da informao.
Os fatores acima mencionados so aplicveis a este estudo de caso,

principalmente pela cultura organizacional e pela escassez de recursos financeiros.
3.6.
Governana de T.I. na empresa Anonymous company
Dentro da organizao, a diretoria da Tecnologia da Informao responsvel por

todas as funes de informtica (Redes, Desenvolvimento de sistemas, suporte ao
usurio, entre outras).
Verifica-se que a empresa Anonymous company no possui um processo
de governana estabelecido para gerir a evoluo da empresa nos aspectos de
Gesto de Riscos. Percebe-se assim, que no existe apurao de indicadores que
mostrem resultados mensurveis para a empresa, que no h processos definidos
para adoo, desenvolvimento e amadurecimento da gesto de riscos e que a falta
da obrigatoriedade desse monitoramento torna a empresa vulnervel a perdas que
poderiam ser evitadas.
Dessa forma, tem-se por objetivo estabelecer o processo de Governana
que permita gerenciar os possveis riscos por meio da definio de metas de
controle, qualidade e prazo para impulsionar o crescimento da organizao.
A Governana visa estabelecer processos para tomada de decises,
suportados por informao fidedigna, em diferentes nveis hierrquicos, tornando
os tomadores de decises capazes de tomar, patrocinar e direcionar as decises
58
corretas. Atravs do processo de governana para a Gesto de Riscos, ser

possvel antecipar possveis problemas, minimizando impactos / indisponibilidades.
A operacionalizao da governana prope uma estrutura transparente
atravs de indicadores e consolidao de resultados que direcionam a tomada de
deciso, com mecanismos alinhados direo do negcio e aos objetivos da
empresa Anonymous company, definindo papis e responsabilidades e ampliando
a atuao da liderana no amadurecimento da Gesto de Riscos.
3.7.
Alinhamento da Gesto de Risco
O alinhamento da gesto de risco consiste em estabelecer uma estrutura de gesto

de risco de tecnologia da Informao alinhada com a estrutura de gesto de risco
da organizao.
A empresa Anonymous company no possui uma gesto de risco em
nenhum aspecto; porm, existe uma conscientizao da necessidade da anlise,
sendo iniciada com a gesto de riscos de tecnologia da Informao.
O processo de gesto de risco pode ser dividido em etapas para facilitar a
sua implementao, bem como estabelecer os resultados esperados em cada uma
delas.
59
4.
ANLISE DOS DADOS
A pesquisa foi realizada entre os meses de janeiro e junho de 2016. Foram

realizadas entrevistas e questionrios presenciais a empresas da amostra.
4.1.
Ferramentas e tcnicas de gesto da segurana da Informao
Os resultados apresentados a seguir, das ferramentas e tcnicas de gesto da

segurana da informao, foram divididos nas trs camadas da gesto da
segurana da informao: fsica, lgica e humana.
4.1.1. Camada Fsica
Nove questes foram formuladas para representar a camada fsica com base nas
sees (tabela 2): Gesto das operaes e comunicaes, Segurana fsica e do
ambiente, Controle de acesso, Gesto de incidentes de segurana da informao;
presentes na norma ISO/IEC 17799:2005.
FERRAMENTAS/TCNICAS
Possui
Antivirus
No possui
Sistema de backup
Firewall
X
X
Equipamento para proteo de falhas na energia

eltrica
Nome de usurio, senha individual e secreta para

acesso a rede
Sala de servidores protegida e em local restrito

Descarte seguro da mdia removvel
X
X
Monitoramento e anlise crtica dos registros (logs)
Canais de comunicao para registro de eventos de

segurana
Tabela 2 camada fsica
60
4.1.2. Camada lgica
Na camada lgica, foram elaboradas trs perguntas todas pertencentes seo da

norma ISO/IEC 17799:2005 - Aquisio, Desenvolvimento e Manuteno de
Sistemas de Informao.
FERRAMENTAS/TCNICAS
Possui
Atualizao de software para correo de falhas de

segurana
Criptografia em banco de dados e/ou para troca de

informaes
Superviso do desenvolvimento terceirizado de

software com requisitos para controles de segurana
da informao
No
possui
Tabela 3 camada lgica
4.1.3. Camada humana

A camada humana representa o maior desafio para a gesto da segurana da
informao, devido complexidade do elemento humano e s inmeras variveis
presentes em seu comportamento. Nesta camada, oito questes enunciadas no
questionrio e extradas das sees: Poltica de segurana da informao, Gesto
de ativos, organizando a segurana da informao, Segurana em Recursos
Humanos e Gesto da continuidade do negcio da norma NBR ISO/IEC
17999:2005.
FERRAMENTAS/TCNICAS
Possui No possui
Regras para uso da informao e dos recursos de TI
X
X
Controle dos direitos de propriedade intelectual

Aviso aos usurios sobre o monitoramento dos recursos
de TI
Contratos com terceiros com termos claros relativos a
segurana
Poltica de segurana da informao
X
X
X
61
Classificao da informao
X
X
X
Conscientizao, educao e treinamento em segurana

Plano de recuperao de desastres e contingncia
Tabela 4 camada humana
4.2.
Fatores motivadores e inibidores

Alm de levantar as principais ferramentas e tcnicas utilizadas pela
empresa pesquisada, este trabalho verificou os fatores motivadores e inibidores

para uso e aplicao da gesto da segurana da informao, pesquisando os
seguintes fatores (Conforme a tabela 5):
Motivadores:
1. Recomendao de um especialista externo ou fornecedor da rea;
2. Incidente de segurana ocorrido anteriormente;
3. Conscincia do prprio gestor (no sentido de o mesmo conhecer a
importncia das ferramentas/tcnicas para a adoo da gesto da
segurana da informao);
4. Para evitar possveis perdas financeiras ou operacionais.
Inibidores:
1. Valor do investimento;
2. Dificuldade em mensurar a relao custo/benefcio do investimento;
3. Falta de conhecimentos sobre ferramentas ou tcnicas de defesa;
4. Cultura organizacional.
FATORES
MOTIVADORES
INIBIDORES
Camada Fsica
Antivrus
Sistema de backup
Firewall
Equipamento para proteo de falhas na energia
eltrica
Nome de usurio, senha individual e secreta
para acesso a rede
4
3
2
3
62
1
4
Sala de servidores protegida e em local restrito

Descarte seguro da mdia removvel
Monitoramento e anlise crtica dos registros
(logs)
Canais de comunicao para registro de eventos
de segurana
Camada Lgica
1
1
Atualizao de software para correo de falhas

de segurana
Criptografia em banco de dados e/ou para troca

de informaes
Superviso do desenvolvimento terceirizado de

software com requisitos para controles de
segurana da informao
Camada Humana
Regras para uso da informao e dos recursos
de TI
4
2
Controle dos direitos de propriedade intelectual

Aviso aos usurios sobre o monitoramento dos
recursos de TI
Contratos com terceiros com termos claros
relativos a segurana
Poltica de segurana da informao
Conscientizao, educao e treinamento em
segurana
Plano de recuperao de desastres e
contingncia
1
3
4
2
1
Tabela 5 Analise de fatores Motivadores e Inibidores das trs camadas
Conforme o grfico 1, o fator que mais motivou a adoo da gesto da

segurana da informao, foi a conscincia do prprio gestor com quatro
ocorrncias.
63
Fatores motivadores de adoo GSI

5
4
3
2
1
0
Recomendao de um especialista
Incidente de segurana
Conscincia do prprio gestor
Para evitar possveis perdas financeiras
Grfico 1 Fatores motivadores de adoo GSI.
Conforme o grfico 2, o fator que mais inibiu a adoo da gesto da

segurana da informao, foi o valor do investimento com seis ocorrncias.
Fatores inibidores de adoo GSI
7
6
5
4
3
2
1
0
Valor do investimento
Dificuldade em mensurar
Falta de conhecimentos sobre ferramentas
Cultura organizacional
Grfico 2 Fatores inibidores de adoo GSI.
Conforme o grfico 3, os fatores inibidores da adoo da gesto da

tecnologia da informao so quase o dobro (35% motivadores versus 65%
inibidores) na empresa.
64
MOTIVADORES VERSUS INIBIDORES DE ADOO DA GSI

MOTIVADORES; 7;
35%
MOTIVADORES
INIBIDORES
INIBIDORES; 13;
65%
Grfico 3 Motivadores versus Inibidores de adoo da GSI.
4.3.
Estabelecimento do Contexto de Risco
O estabelecimento do conhecimento do risco busca identificar o objetivo da

avaliao e os critrios pelos quais os riscos so avaliados.
Com base nas informaes recolhidas na empresa e as informaes
encontradas na norma NBR ISO/IEC 27005:2013 Tecnologia da informao
Tcnicas de segurana Gesto de riscos de segurana da informao foi possvel
o preenchimento das tabelas e grficos.
Esse estudo tem como objetivo estabelecer o conhecimento real da
situao da empresa, a identificao de vulnerabilidades, ameaas e riscos da rea
de tecnologia da informao.
Para anlise de risco, foi feita uma diviso para melhor identificao das
ameaas, conforme descrito abaixo:
Data Center: Inventrios, distribuies, controle de manuteno, controle

de falhas, roteamento de cabos, facilidade de acesso, condies
ambientais;
Segurana da Informao: Polticas de Acesso, poltica de senha,

procedimento de suspenso e reativao, regras de segurana, etc
65
Internet: Nveis de Segurana, firewall, antivrus, comrcio eletrnico, sites

restritos, filtros de contedo, etc
Sistema e Rede: Integridade dos dados, acesso restrito, backup,

indisponibilidade, etc.
4.4.
Identificao de Eventos
A identificao dos eventos deve possibilitar o entendimento dos contextos em que

os eventos podem ocorrer, os fatores que permitam reconhec-las.
Para isso foi realizado uma reunio com os gestores de T.I., e um analista
para realizar o levantamento dos dados referente aos riscos, separados por
sesses tabela 6.
Sesso
Eventos
Acesso Fsico no autorizado ao Data Center
Danos aos discos fsicos
Destruio de dados, discos, documentos, relatrios
Falha do hardware
Data Center
Cabeamento no estruturado
Energia do Data Center
Acesso irrestrito a documentos eletrnicos
Ataque de vrus
Segurana da Informao
Alterao indevida de informaes

Falta de conscientizao em riscos por parte da Alta
Administrao
Poltica de Segurana incompleta
Hackers, Crackers, Criminosos Profissionais
Analisador de pacotes na rede vulnerveis
Redes sem fio Wireless
Internet
Programas para Acesso Remoto

Acesso a site irrestrito
Proteo e-mail
Perda de arquivos
Falha de programa aplicativo, sistema operacional, etc
Sistema e Rede
Indisponibilidade dos sistemas

Queda do link de Internet
Tabela 6 Identificao de Eventos
66
4.5.
Avaliao de Risco
Aps o levantamento dos eventos, foram mapeados e compilados os riscos

pertencentes as operaes de T.I., e classificados pela probabilidade e impacto,
conforme demostrados nas tabelas 7 e 8.
Nvel
Impacto
Crtico
Srio
Moderado
Menor
1
Negligencivel
Tabela 7 Nveis de Impacto Fonte: FAGUNDES (2011)
Nvel
Probabilidade
Altamente provvel
Muito provvel
Provvel
Pouco provvel
1
Improvvel
Tabela 8 Nveis de Probabilidade Fonte: FAGUNDES (2011)
O risco e calculado pela multiplicao do impacto versus a probabilidade,

obtendo assim o valor do risco para cada uma das vulnerabilidades, sendo quanto
prximo de 25 for o valor maior o risco, conforme a tabela 9.
Sesso
Data Center
Segurana da
Informao
Eventos
Impacto
Prob.
Risco
Acesso fsico no autorizado ao Data Center
Danos aos discos fsicos
Destruio de dados, discos, documentos,

relatrios
Falha do hardware
Acesso irrestrito a documentos eletrnicos
Ataque de vrus
20
15
10
16
10
10
10
25
10
Falta de conscientizao em riscos por parte

da Alta Administrao
15
20
67
Internet
Sistema e Rede
Hackers, Crackers, Criminosos Profissionais
Analisador de pacotes na rede vulnerveis
Programas para acesso remoto
Proteo e-mail no funcional
Perda de arquivos
Falha de programa aplicativo, sistema

operacional, etc.
Indisponibilidade dos sistemas
15
16
20
12
15
5
20
12
15
15
Tabela 9 Clculo de Impacto e Probabilidade
Aps a anlise foi identificado que a rea mais exposta a risco a de

Segurana da Informao, com 64%, conforme mostrado no grfico 4.
Porcentagem de Risco por sesso

66%
64%
62%
60%
58%
56%
54%
52%
50%
48%
Data Center
Segurana da Informao
Internet
Sistema e Rede
Grfico 4 Porcentagem de risco por sesso
Aps a anlise foi identificado que o nvel de impacto crtico o mais

relatado nas sesses da empresa, com 71% de ocorrncias, conforme mostrado
no grfico 5.
68
Porcentagem de Impacto po sesso

80%
71%
70%
60%
50%
40%
30%
19%
20%
10%
10%
0%
0%
0%
Crtico
Srio
Moderado
Menor
Negligencivel
Grfico 5 Porcentagem de impacto por sesso
Com o grfico Distribuio dos impactos possvel verificar que existem

quinze ativos considerados de nvel Crtico (Acesso fsico no autorizado ao Data
Center, Falta de conscientizao em riscos por parte da Alta Administrao, Acesso
a site irrestrito, Falha do hardware, Analisador de pacotes na rede vulnerveis,
Programas para acesso remoto, Falha de programa aplicativo, sistema operacional,
Danos aos discos fsicos, Destruio de dados, discos, documentos, relatrios,
Cabeamento no estruturado, Iluminao Data Center, Acesso irrestrito a
documentos eletrnicos, Ataque de vrus, Alterao indevida de informaes,
Poltica de Segurana incompleta). Quatro ativos de nvel Srio (Hackers, Crackers,
Criminosos Profissionais, Redes sem fio Wireless, Proteo e-mail no funcional,
Perda de arquivos). Dois ativos de nvel Moderado (Indisponibilidade dos sistemas,
Queda do link de Internet). No possui ativos de nvel Menor ou Negligencivel.
69
4.6.
Plano de Respostas aos Riscos
O Plano de Respostas aos Riscos o plano que define qual estratgia ser
adotada para cada risco identificado conforme a tabela 10. Estas estratgias podem
ser:
Aceitar o risco: nenhuma ao tomada para evitar o risco, minimizar seus

efeitos, etc.
Mitigar o risco: so tomadas aes para minimizar o impacto do risco ao

projeto, caso ele ocorra.
Eliminar ou prevenir o risco: so tomadas aes para eliminar a

probabilidade de ocorrncia do risco.
Transferir o risco: esta estratgia significa transferir outra parte, a

responsabilidade pelo risco. Um exemplo a contratao de seguros.
Segue abaixo o Plano de Resposta aos Riscos da empresa Anonymous company:

Sesso
Risco
Aceitar
Mitigar Eliminar
Acesso Fsico no autorizado ao

Data Center
Danos aos Discos Fsicos
Data Center
Destruio de dados,
discos, documentos,
relatrios
Falha do hardware
X
X
X
X
X
X
Acesso irrestrito a
documentos eletrnicos
Ataque de vrus
Segurana da
Informao
Internet
Transferir
X
X
Falta de conscientizao em
riscos por parte da Alta
Administrao
Hackers, Crackers,
Criminosos Profissionais
Analisador de pacotes na
rede vulnerveis
70
Programas para acesso remoto
X
X
Proteo e-mail no funcional
X
X
X
X
Perda de arquivos
Sistema e
Rede
Falha de programa aplicativo,

sistema
operacional,
Indisponibilidade
dos etc
sistemas

Tabela 10 Aceitar, mitigar, eliminar ou Terceirizar o risco.
Aps a anlise foi identificado para o plano de resposta aos riscos, a

escolha da estratgia mais expressiva ser mitigar, com 52% de ocorrncias,
conforme mostrado no grfico 6.
Porcentagem plano de respostas aos riscos

60%
52%
50%
38%
40%
30%
20%
10%
5%
5%
0%
Mitigar
Eliminar
Aceitar
Transferir
Grfico 6 Porcentagem plano de resposta aos riscos
4.7.
Manuteno e Monitoramento do Plano de ao
Para cada sesso foi especificado como est a situao atualmente e as

orientaes necessrias para o Plano de Ao tabela 11.
Risco
Acesso Fsico no
autorizado ao Data
Center
Atualmente
Desejvel
O Acesso controlado apenas Biometria (acesso digital, voz

por uma porta com tranca
ou face), Porta reforada com
normal.
ao e com sub portas.
71
A servidores no tem
contingncia, sistema precrio
Danos aos Discos
de discos rgidos.
Fsicos
Destruio de dados,
O Backup feito em discos
Data Center discos, documentos,
rgidos.
relatrios
Falha do Hardware
Cabeamento no
estruturado
Segundo registros, ocorrem

muitos erros nas placas das
controladoras e no so todos
servidores que possuem
controladoras.
Ataque de Vrus
Realizar backup externo e

armazenar as fitas em outro
local.
Fazer um Check-up e
monitoramentos nas placas
controladoras e adquirir
novas.
Os cabos de redes so
identificados faltado apenas Controle mais rgido quanto a
organizao na disposio dos organizao do cabeamento.
mesmos.
Nobreaks no possuem bateria,

atualmente se usa bateria de
Energia Data Center
carro. Possui gerador de
energia.
Acesso irrestrito a
documentos
eletrnicos
Realizar espelhamento dos

servidores. Backup
distribudo.
Adquirir novas baterias e

realizar manuteno nos
nobreaks.
Existe uma proteo nos dados

(Windows Server como
Documentar e disponibilizar o
gerenciador de acesso), porm
acesso aos dados.
no documentada.
No existe um antivrus
licenciado, sendo utilizado o Adquirir licenas de antivrus.
nativo da Microsoft.
No se tem registro, no h
Documentar acessos e
estipular data para retirar

Alterao indevida de documentao nem data para
retirada
de
acesso.
acessos.
informaes
Segurana
Falta de
Enviar documentao, e
da
conscientizao em A Alta Administrao no tem
marcar reunies para
Informao riscos por parte da plena conscincia da gesto de
tecnologia da informao.
esclarecimento do assunto.
Alta Administrao
No possui poltica definida de
Poltica de Segurana segurana da informao e nem

incompleta
documentao.
Hackers, Crackers,
Criminosos
Profissionais
Analisador de
Pacotes na Rede
vulnerveis
Os funcionrios no esto
capacitados para lidar com
ataques.
No possuem software.
Revisar poltica de
segurana, criar e
disponibilizar documento.
Oferecer treinamentos para

os colaboradores.
Adquirir software de
monitoramento e treinamento.
72
Internet
Redes sem fio

Wireless
Programas para
acesso remoto
Acesso a site
irrestrito
Proteo e-mail no
funcional
A rede wireless protegida por

senha, mas no existe poltica
Criar procedimento para troca
para a troca peridica da senha
de senha e monitoramento de
e nem monitoramento de
acesso.
acesso.
A empresa possui um software
Pesquisar no mercado e
livre de acesso remoto que no adquirir licena de software
100% seguro.
para acesso remoto confivel.
no feito levantamento para
bloqueio de sites, no h
documentao e nem
programao que isso realizado.
Planejar projeto para

implantao de Exchange
com proteo.
Tem-se uma satisfao por

O e-mail atualmente externo
parte do gerenciamento do eno servidor Google.
mail.
Perda de arquivos
O backup feito via rede no

servidor.
Realizar projeto para

monitoramento e controle dos
backups.
Falha de programa
aplicativo, sistema
operacional, etc.
No tem controle e preveno.
Realizar projeto para

preveno.
Sistema e
Indisponibilidade dos Servidores ainda no possuem
Rede
Realizar projeto para duplicar
duplicao.
sistemas
servidor.
Queda do Link de
Internet
Atualmente a empresa possui

dois links de internet, sendo que
se um cair o outro assume.
Aumentar a velocidade do
link de backup.
Tabela 11 Plano de Ao
As tabelas e os grficos acima, comprovam a necessidade de mudana na

empresa, principalmente do departamento de tecnologia. Mostram tambm, que se
forem seguidas as orientaes demonstradas nesse projeto, atravs do uso de
normas e procedimentos, os riscos podem ser diminudos consideravelmente.
De forma geral, este projeto contribuiu para que houvesse na empresa uma
conscientizao da importncia do setor de TI, que antes era considerado um setor
tcnico, e no como uma estratgia de negcios. Foi possvel identificar os pontos
fortes e fracos na Gesto da Segurana da Informao e nos processos da empresa
coletando dados atravs da observao, entrevista e pesquisa.
A empresa ainda no gerencia os riscos de segurana da informao aos
quais est exposto, o que pode ser decorrente da ausncia da poltica de segurana
da informao e tambm pelo fato da segurana da informao ainda no ser
73
tratada como estratgica. Existem apenas medidas emergenciais que tentam tratar
estes riscos e na maioria das vezes acontecem de forma intuitiva, no chegando a
ser um processo formal definido.
Embora a organizao Anonymous company tenha dado um grande passo
abrindo espao para este estudo e, colaborar para a elaborao da poltica de
segurana da informao, a mudana de cultura para que a segurana da
informao seja vista como organizacional e no apenas como algo imposto pela
TI um fator importante que deve ser observado.
O projeto ser utilizado pela Anonymous company para projetos internos,
buscando a melhoria no s no setor de TI, mas na empresa como um todo.
No Apndice A esto os controles do COBIT que foram selecionados
segundo a deficincia da empresa. O propsito da utilizao do COBIT utiliz-lo
como instrumento de apoio, pois essa ferramenta permite boas prticas para
controles de TI em toda a empresa. Esses objetivos de controle sero um auxlio
para mapear os processos de forma mais detalhadas.
Os controles do COBIT foram selecionados atravs das deficincias mais
urgentes percebidas na empresa.
4.8.
Relatrio final para a empresa
A anlise feita na empresa foi para colaborar no entendimento da

importncia da Gesto da Segurana da Informao no mbito empresarial.
Como resultado foi proposta uma Poltica de Segurana que deve ser
implantada na empresa e utilizada por todos os funcionrios, atualizando
constantemente o documento conforme as necessidades da empresa e
comunicando essas mudanas a empresa toda.
indicado que a empresa utilize a referncia Boas Prticas em Segurana
da Informao, elaborado pelo Tribunal de Contas da Unio, pois um manual
completo
embasado
em
normas,
pode
ser
encontrado
no
site
http://portal2.tcu.gov.br/portal/pls/portal/docs/2511466.PDF. Bem como se sugere a

utilizao das normas 27001 e 27002 como auxlio nas tarefas dirias.
74
Todo o contedo que foi criado ao decorrer deste trabalho ser repassado
a empresa.
Controles do COBIT tambm foram sugeridos neste trabalho e podem ser
consultados pela empresa.
De maneira geral, o primeiro passo definir pessoas responsveis que faro
parte de um comit para discutir junto a Alta Administrao as necessidades do setor
de TI e mostrar como isso afetaria no bom andamento da empresa. O segundo
passo, utilizar a Poltica de Segurana elaborada como base e adicionar itens de
interesse da empresa. Comunicar a Poltica o passo seguinte. O projeto pode ser
utilizado como uma base para que as mudanas ocorram.
75
5.
CONCLUSO
Foi apresentada uma viso geral sobre a Gesto da Segurana da Informao e os

modelos que auxiliam na Segurana da Informao com o intuito de apresentar as
definies feitas por alguns autores. Nos ltimos anos, as organizaes no medem
esforos para proteger seus ativos dado ao grande crescimento no uso da Internet.
O gerenciamento e anlise de risco uma questo estratgica para as
organizaes, portanto este processo deve ser medido, para posteriormente ser
melhorado e amplamente compreendido.
visvel a grande dificuldade em modificar a cultura organizacional de uma
empresa. Para desenvolver este trabalho foram encontradas algumas dificuldades,
como falta de procedimentos documentados no setor, a falta de descrio de
funo do funcionrio, entre outras.
Todos os problemas possveis foram considerados durante a elaborao
deste projeto, por isso, as sugestes de que as mudanas sejam feitas de forma
gradual, para que se tenha um bom resultado.
Para a empresa, foi possvel constatar que o setor de TI muito importante
(o crebro da empresa) e, sem o perfeito funcionamento desse setor, toda a
empresa se torna um caos, e consequentemente com menos alunos que sua
base de funcionamento. Com este trabalho vai ser possvel definir mais
responsabilidades e limites, devendo sempre buscar a atualizao deste
documento.
Os funcionrios, inclusive a alta administrao da empresa, esto
conscientes que preciso mudar para competir com outras empresas, e que este
projeto apenas um passo inicial.
Como trabalhos futuros ficam as propostas de estudo, analisando o
trabalho desenvolvido, a criao, implantao e acompanhamento da Poltica de
Segurana na empresa. Mapear e modelar os processos do setor de TI, bem como
sua definio.
Vale ressaltar que a expectativa do grupo e da organizao pela
implantao real das aes sugeridas nesse trabalho.
76
6.
REFERNCIAS
ABREU, Dimitri. Melhores Prticas para Classificar as Informaes. Mdulo e

Security Magazine. So Paulo, agosto. Disponvel em <
http://www.modulo.com.br> Acesso em: 25 abril 2016.
ASCIUTTI, C. A. Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a
administrao pblica, 2013. Acesso em 17 maro 2016.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS NBR 27001 - Tecnologia
da informao Tcnicas de Segurana Requisitos - Disponvel em:
<http://homes.dcc.ufba.br/~martiniano/LabDeRedes/Normas/NBR_ISO27001.pdf>
. Acesso em 12 abril 2016.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS NBR 27002. - Tecnologia
da informao - Cdigo de prtica para a gesto da segurana da
informao - Disponvel em: <http://www.eservices.com.br/portal/artigos/nbriso17799r1.pdf>. Acesso em 15 abril 2016.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR 27005. Tecnologia
da informao - Tcnicas de segurana - Gesto de riscos de segurana da
informao. Rio de Janeiro, 2013.
BEAL, Adriana. Segurana da Informao: princpios e melhores prticas
para a proteo dos ativos de informao nas organizaes So Paulo:
Atlas, 2005.
BRAGANA, C. E. B. A. - Segurana da Informao e privacidade de
informaes de pacientes de instituies de sade: uma anlise exploratria
da privacidade percebida pelos profissionais - Disponvel em:
<http://www.anpad.org.br/admin/pdf/ADI2653.pdf>. Acesso em 13 maro 2016.
BROOK, Jon-Michael C. CIA Triad. CIPP Guide, Estados Unidos da Amrica.
Disponvel em <http://www.cippguide.org/2010/08/03/cia-triad>. Acesso em: 10
abril 2016.
77
CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em Informtica e de

Informaes So Paulo: Editora SENAC So Paulo, 1999.
CERNEV, Adrian Kemmer; LEITE, Jaci Corra. Segurana na Internet: a
percepo dos usurios como fator de restrio ao comrcio eletrnico no
Brasil ENANPAD, 2005.
CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurana no Brasil, Prticas de Segurana para Administradores de Redes
Internet. Disponvel em:< http://www.cert.br/docs/seg-adm-redes/segadmredes.html#subsec2.1 >. Acesso em: em 09 maio 2016.
CORRA, R. M. - Um estudo de caso sobre a gesto da segurana da
informao em uma empresa privada - Disponvel em:
<http://www.bsi.ufla.br/wp-content/uploads/2014/09/Renata-MicheleCorrea_Monografia_e_TabelaExcel_1207.pdf>. Acesso em 05 maro 2016.
DA SILVA, Denise R. P.; STEIN, Lilian M. Segurana da informao: uma
reflexo sobre o componente humano. Cincias & Cognio, Porto Alegre,
RS, v. 10, p. 46 53, mar. 2007. Disponvel em <
http://www.sumarios.org/sites/default/files/pdfs/52416_6138.PDF>. Acesso em: 18
abril 2016.
DOURADO, L. - COBIT 5 Framework de Governana e Gesto Corporativa de
TI - Disponvel em:
<http://www.gestaoporprocessos.com.br/wpcontent/uploads/2014/06/2APOSTILACOBIT-5-v1.1.pdf>. Acesso em 15 maio 2016.
VORA, J. E. R. B. - Desenvolvimento de um modelo de Poltica de
Segurana da Informao em conformidade com a Gesto de Riscos Disponvel em:
<http://bdigital.cv.unipiaget.org:8080/jspui/bitstream/10964/447/1/Jailson%20%C3
%89vora%20ESI.pdf>. Acesso em 02 maio 2016.
78
FAGUNDES, E. COBIT, Um Kit Ferramentas para excelncia de T.I.

eFagundes.com, 2011. Disponvel em:
<http://www.efagundes.com/arT.I.gos/COBIT.htm>. Acesso em 07 abril 2016.
FERREIRA, F. N. F.; ARAJO, M. T. de. Poltica de Segurana da Informao:
Guia prtico para elaborao e implementao. 2. ed. Cincia Moderna, 2008.
FONTES, Edison. Segurana da Informao: o usurio faz a diferena So
Paulo: Saraiva, 2006.
GARTNER. Qual o tamanho ideal de uma equipe de TI. Disponvel em:
<http://pt.scribd.com/doc/22719689/Qual-e-o-tamanho-ideal-de-uma-equipe-deTI>. Acesso em 20 maio 2016.
GESTO DA SEGURANA DA INFORMAO E COMUNICAES Srie
Segurana da Informao, Braslia 2010 - Disponvel em:
<http://dsic.planalto.gov.br/documentos/publicacoes/3_Livro_GSIC_UNB.pdf>.
Acesso em 13 maio 2016.
GIL, A. L. Segurana em informtica. 5. Ed. So Paulo: Atlas S.A, 1995.
MARCONI, M. de A.; LAKATOS, E. M. Tcnicas de pesquisa. 4. Ed. So Paulo:
Atlas S.A, 1999.
HITT, Michael A.; IRELAND, R. Duane; HOSKISSON, Robert E. Administrao
Estratgica So Paulo: Pioneira Thomson Learning, 2005.
ISACA. CobiT 4.1: modelo, objetivos de controle, diretrizes de
gerenciamento e modelos de maturidade. EUA, abr. 2010. Disponvel em:
<http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBIT6/
Obtain_COBIT/Obtain_COBIT.htm>. Acesso em: 25 abril 2016.
ISO 17799. ABNT NBR ISO/IEC 17799:2005 Tecnologia da Informao
Tcnicas de segurana Cdigo de prtica para a gesto da segurana da
Informao Rio de Janeiro: ABNT, 2005.
ITGI (Steering Committee and IT Governance Institute). Cobit Framework,
Technical Report, 2007.
79
MONTEIRO, I. L. C. O. - Proposta de um guia para elaborao de polticas de

segurana da informao e comunicaes em rgos da administrao
pblica federal - Disponvel em:
<http://dsic.planalto.gov.br/documentos/cegsic/monografias_1_turma/ina_lucia.pdf
>. Acesso em 13 maio 2016.
NAKAMURA, Emilio Tissato; GEUS, Paulo Lcio de. Segurana de redes em
ambientes cooperativos. So Paulo: Novatec, 2007.
OLIVA, Rodrigo Polydoro; OLIVEIRA, Mrian. Elaborao, Implantao e
Manuteno de Poltica de Segurana por Empresas no Rio Grande do Sul
em relao s recomendaes da NBR/ISO17799 ENANPAD, 2003.
RNP. Segurana em Redes Sociais: recomendaes gerais. CAIS/RNP, Rio
de Janeiro, set. 2011. Disponvel em
<http://www.rnp.br/_arquivo/cais/Seguranca_em_Redes_Sociais.pdf>. Acesso
em: 24 abril 2016.
SMOLA, Marcos. Gesto da Segurana da Informao: uma viso executiva
- 2003.
VELLANI, K. H. Strategic Security Management: A Risk Assessment Guide
for Decision Makers. [S.I.] USA: Elsevier.
WIKIPDIA. A enciclopdia livre - Segurana da informao - Disponvel em:
<https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o
>. Acesso em 23 maio 2016.
80
APNDICE A Controles do COBIT

Foram selecionados Objetivos de Controle que podem colaborar com a empresa,
seguidos de justificativas e o nvel de maturidade, so eles:
Justificativas
PO1.1 Gerenciamento de
preciso gerenciar todos os

recursos de TI da melhor
maneira
PO1.2 Alinhamento
Valor da TI entre
TI e Negcio
importante que a empresa

reconhea o envolvimento da
TI nos negcios
PO1.3 Avaliao da
Capacidade e
Desempenho Correntes
preciso avaliar quanto custa

a TI para a empresa, pontos
fortes e fragilidades
PO1.4 Plano Estratgico

de TI
Como a TI vai colaborar com a

empresa? Deve ser definido
nesse plano
PO1.5 Planos Tticos de TI
A empresa precisa definir

como a TI vai ajudar, o que vai
ser preciso e como ser feito
PO1.6 Gerenciamento do
Portflio de TI
Gerenciar os
Investimentos de TI para
atingir os objetivos estratgicos
especficos de negcios
Definir a Arquitetura da Informao
PO2
Falta estabelecer e manter um

PO2.1 Modelo de
modelo de informao da
Arquitetura da
organizao
Informao da organizao
PO2.3 Esquema de
Classificao de Dados
Classificar os dados para

definir tipos de acesso
Integridade
Assegurar a integridade do
banco de dados e todos os
arquivos e dados da empresa
Modelo
Maturidade
1 Inicial: A necessidade conhecida, mas o planejamento feito

caso a caso
Objetivos de controle
2 Repetvel, porm intuitivo: Procedimentos

ainda
que
informais e intuitivos so seguidos
por
diferentes
pessoas dentro da organizao.
Definir um Plano Estratgico de TI
PO1
Controles
de
PO3.3 Monitoramento de
Regulamentos e
Tendncias Futuras
Monitorar as tendncias de
tecnologia, infraestrutura.
PO4.1 Estrutura de
Processos de TI
Falta mapear e estruturar os

processos de TI
PO4.2 Comit Estratgico

de TI
Falta definir um comit

estratgico de TI
PO4.3 Comit Executivo

de TI
Falta definir um comit

executivo
PO4.4 Posicionamento
Organizacional da rea de
TI
Falta posicionar a rea de TI

na estrutura geral
organizacional
PO4.5 Estrutura
Organizacional de TI
Falta estabelecer um processo

para revisar periodicamente a
estrutura organizacional e
ajustar os requisitos de
pessoal
PO4.6 Definio de Papis

Falta definir papis e
e responsabilidades e comunicar
para todo o pessoal
Responsabilidades
PO4.8
Responsabilidades por
Riscos, Segurana,
Conformidade
Falta definir um
Responsvel pela Segurana
da informao
PO 4.9 Proprietrios de
Dados e sistemas
Falta definir um responsvel

para tomar
Decises sobre a
PO 4.10 Superviso
Falta controle para assegurar

que os papis e
responsabilidades sejam
exercidos adequadamente.
1 Inicial: As reas e atividades de TI so reativas e implementadas de maneira

inconsistente. A TI envolvida apenas nos estgios finais dos projetos de
negcio. A rea de TI considerada uma rea de apoio, sem uma perspectiva
geral da organizao. H um entendimento implcito da necessidade de uma
organizao de TI, entretanto os papis e responsabilidades no so
formalizados nem impostos.
Determinar o Direcionamento Tecnolgico

Definir os Processos, Organizao e os Relacionamentos de TI
PO4
PO3
PO3.2 Plano de
Falta um plano de investimento
Infraestrutura Tecnolgica
em pessoal e sistemas de
informao
0 Inexistente: no h conscientizao da importncia de um

planejamento de infraestrutura.
81
82
PO4.11 Segregao de
Funes
Separar papis e
responsabilidades que reduza
a possibilidade de um nico
indivduo subverter um
processo crtico. A gerncia
tambm deve se certificar de
que o pessoal esteja
executando apenas tarefas
autorizadas relevantes aos
seus respectivos cargos e
posies.
PO4.12 Recrutamento de
pessoal de TI
Avaliar os requisitos de
contratao e garantir que a
rea de TI tenha quantidade
suficiente de pessoal para
suportar de forma adequada os
objetivos e metas de negcios.
PO4.13 Pessoal Chave de

TI
Falta definir pessoal- chave e

minimizar o excesso de
confiana em um nico
individuo
PO4.14 Polticas e
Procedimentos para
Pessoal Contratado
Definir e implementar polticas

e procedimentos para controlar
as atividades de consultores e
outros contratados da rea de
TI visando assegurar a
proteo dos ativos de
informao da organizao e o
Cumprimento das exigncias
contratuais firmadas
PO4.15
Relacionamentos
Estabelecer e manter uma

estrutura otimizada de
coordenao,
PO5.1 Estrutura da
Administrao Financeira
Falta estabelecer uma

estrutura financeira
PO5.2 Priorizao dentro

do Oramento de TI
Falta um processo para alocar

os recursos de TI de maneira
adequada
PO5.3 Processo de
Oramento de TI
Definir prioridades no
oramento
investi
mento
s de
TI
P
O
Gerenciar5os
comunicao e conexo entre

a funo de TI e diversos
outros interesses dentro ou
fora da rea de TI;
1 Inicial: A
organizao
reconhece a
necessidade de
gerenciar o
investimento em TI,
mas comunicada
inconsistentement
e. As decises so
focadas
Comparar custo com

benefcios reais
PO6.1 Poltica de TI e
Ambiente de Controle
Falta poltica de segurana
PO6.2 Risco de TI
Corporativo e Estrutura
Interna de Controle
Falta controle de Riscos
Polticas de TI
Falta gerenciamento de
polticas de TI
PO6.4 Distribuio da
Poltica
Falta assegurar que as

polticas de TI sejam impostas
e distribudas para todo o
pessoal
PO6.5 Comunicao dos

objetivos e Diretrizes de TI
Falta comunicao para

conscientizao e
Entendimento dos objetivos
PO 7.1 Recrutamento e
Reteno de Pessoal
Falta padro na contratao do

pessoal de TI
PO 7.2 Competncias
Pessoais
Falta avaliao de
competncia pessoal
PO7.3 Preenchimento de
Vagas
Falta definir, monitorar e

supervisionar funes
PO 7.4 Treinamento de
Pessoal
Falta treinamento eficaz
PO 7.5 Dependncia de
Indivduos
PO 7.6 Procedimentos de
Liberao de Pessoal
Falta definir funes

Falta incluir anlise de
antecedentes no processo de
recrutamento de TI.
PO 7.7 Avaliao de
Desempenho Profissional
Falta avaliar o desempenho

periodicamente
PO 7.8 Mudana e
Desligamento de Cargo
Falta poltica de desligamento
operacionalmente.
0 Inexistente: Direo no estabeleceu um

ambiente de controle da informao. No h
reconhecimento da necessidade de estabelecer um
conjunto de polticas, padres, procedimentos e
processos de conformidade.
Custo
1
Inicial:
a
administrao reconhece a
necessidade
de
gerenciamento
dos recursos
humanos de TI
Comunicar as Diretrizes e Expectativas da

Diretoria
Gerenciar os Recursos Humanos de
TI
PO7
PO6
83
Avaliar e Gerenciar os Riscos de TI
PO 9.1 Alinhamento da
gesto de riscos de TI e de
negcios

estrutura de gesto de riscos
de TI alinhada com a da
organizao
PO 9.2
Estabelecimento do
Contexto de risco
Falta estabelecer o contexto

ao qual a estrutura de
avaliao de riscos
aplicada
PO 9.3 Identificao de
Eventos
Falta manter histrico dos

riscos relevantes
PO 9.4 Avaliao de Risco
Falta avaliar regularmente a

probabilidade e o impacto de
todos os riscos identificados
PO 9.5 Resposta ao risco
Falta desenvolver e manter

um processo de respostas
aos riscos.
PO 9.6 Manuteno e
monitoramento do plano
de ao de risco
Falta planejar as atividades

de controle para implementar
as respostas aos riscos
AI1 Definio e Manuteno

de Requisitos Tcnicos e
funcionais de negcio
Falta identificar os requisitos

tcnicos e funcionais do
negcio cobrindo todo
escopo de todas
as
iniciativas
1Inicial: Os requisitos
no so
documentados. H
uma conscincia da
necessrias para obter os

resultados esperados de
investimentos em TI
Necessidade de definir
os requisitos e identificar
as solues.
Solues Automatiz
AI1
PO9
84
AI1.2 Relatrio de Anlise

de Risco
Falta documentar os riscos

associados ao negcio
0. Inexistente:
Gerenciar riscos no
considerado
relevante para
adquirir solues ou
entregar
servios de TI
Adquirir e Manter Infraestrutura de Tecnologia

Habilitar Operao e Uso
AI4
AI3
85
AI3.1 Plano de
Aquisio de Infraestrutura
tecnolgica
Falta um plano para

aquisio, implementao e
Manuteno da infraestrutura
tecnolgica que satisfaa aos
requisitos tcnicos e
funcionais estabelecidos do
negcio e esteja de acordo
com a direo tecnolgica da
organizao.
AI3.2 Infraestrutura de
recursos, proteo e
disponibilidade
Falta implementar controles

internos, medidas de
segurana e auditabilidade
durante a configurao,
integrao e manuteno de
hardware e software da
infraestrutura para proteger
os recursos e assegurar
disponibilidade e integridade.
AI 3.3 Manuteno da
infraestrutura
Falta um plano de
manuteno da infraestrutura
AI 4.1 Planejamento para

solues operacionais
Falta desenvolver um plano

para identificar e documentar
todos os aspectos tcnicos, a
capacidade operacional e os
nveis de servios
AI 4.2 Transferncia de
necessrios para que todos
Conhecimento ao
que iro operar, utilizar e
gerenciamento do negcio
manter as solues
automatizadas
AI4.3 Transferncia de
conhecimentos dos
usurios finais
A
I
5
Adquirir recursos
de TI
AI 4.4 Transferncia de
conhecimento s equipes
de operaes e suporte
AI5.1 Controle de
Aquisies
AI 5.3 Seleo de
Fornecedores
Possam exercer suas

responsabilidades.
1 Inicial: Existe
conscincia de que a
infraestrutura de TI
importante, no h
nenhuma abordagem
consistente.
1 Inicial: H
conscincia de que a
documentao de
processos
necessria. A
documentao
ocasionalmente
produzida e
inconsistentement
e distribuda a
grupos limitados.
Falta acompanhamento para 0 Inexistente: No h

assegurar que a aquisio de
nenhum
processo definido de
Infraestrutura, hardware,
aquisio de recursos
software satisfaa os
de TI.
requisitos de negcios.
Falta uma seletiva de

fornecedores com opes
viveis.
86
AI 5.4 Aquisio de
Recursos de TI
Gerenciar Mudanas
AI6
AI 6.1 Padres e
Procedimentos de Mudana
Falta uma documentao

para aquisio de recursos de
TI.
Falta acompanhamento e
documentao.
AI 6.2 Avaliao de
Impacto, priorizao e
autorizao.
AI 6.3 Mudanas de
Emergncia
0 Inexistente: No h
um processo de
gerenciamento de
mudanas
formalmente
estabelecido, e as
mudanas podem ser
feitaspraticamente
sem nenhum controle.
AI 6.4 Acompanhamento de
Status e Relatrios de
Mudanas
AI 7.1 Treinamento
Falta treinamento consistente.
AI 7.2 Plano de teste
Falta definir papis e

responsabilidade na TI
AI 7.5 Converso de dados

e sistemas
Falta planejamento na
migrao de dados e
procedimentos de retorno
situao anterior e de
recuperao de falhas.
DS1.1 Estrutura de gesto de Falta definir um modelo de

nveis de servios
acordo de nveis de servios
(SLAs) entre empresa e
provedor.
DS 1.2 definio de servios
Falta portflio de servios

executados pela TI
DS 1.4 Acordos de nvel

operacional
Falta definir como sero

feitos os servios.
DS 1.5 monitoramento e
relatrio de realizaes de
nvel de servio
Falta um controle de
desempenho e andamento
de servio
1 Inicial: Existe a
conscincia da
necessidade. As
abordagens de testes
variam.
0 Inexistente: A direo no reconhece a

necessidade de um processo para definir os
nveis de servio. No so atribudas
responsabilidades para monitor-los.
Instalar e Homologar
Solues e Mudanas
Definir e Gerenciar Nveis de Servios
DS1
AI7
AI 6.5 Finalizao da
Mudana e
Documentao
Falta identificar todos os

servios terceirizados e
categoriz-los de acordo
com o tipo, a importncia e
a criticidade. Manter
documentao formal dos
relacionamentos tcnicos e
organizacionais
contemplando papis e
responsabilidades, metas,
produtos esperados e as
credenciais dos
representantes desses
fornecedores
DS 2.3 Gerenciamento dos

riscos do fornecedor
Garantir que os contratos

estejam em conformidade
com os padres universais
de negcios de acordo com
as exigncias legais e
regulamentares.
DS 2.4 Monitoramento de
desempenho do fornecedor
Estabelecer um processo
para monitorar a prestao
do servio de modo a
assegurar que o fornecedor
atenda aos requisitos
atuais do
2 Repetvel, porm intuitivo: O processo para supervisionar os fornecedores de servios

terceirizados, riscos associados e entrega dos servios informal. utilizado um contrato pro
forma assinado, contendo termos e condies padronizados pelos distribuidores/vendedores
(por exemplo, a descrio dos servios a serem prestados). Relatrios dos servios prestados
so disponibilizados, mas no satisfazem aos objetivos do negcio.
DS 2.1 Identificao do
relacionamento com todos os
fornecedores
Gerenciar Servios de Terceiros
DS2
87
DS 3.1 desempenho e
planejamento de capacidade
Falta estabelecer um
processo de planejamento
para a realizao de anlise
crtica do desempenho e da
capacidade dos recursos de
TI,
DS 3.2 capacidade e
desempenho atuais
Realizar a anlise crtica do

desempenho e a
capacidade atual dos
recursos de TI
DS 3.3 capacidade e
desempenho futuros
Identificar as tendncias de
carga de trabalho e realizar
previses para orientar o
plano de capacidade e
desempenho.
1 Inicial: A medida tomada no sentido do

gerenciamento de desempenho e de capacidade
tipicamente reativa. O processo de planejamento
de capacidade e desempenho informal
D
S
3
Gerenciar capacidade de
desempenho
negcio.
88
A Direo deve assegurar

que os planos de
contingncia viabilizem
apropriadamente a
disponibilidade, a
capacidade e o
desempenho de cada
recurso de TI.
DS 3.5 monitoramento e
relatrio
Monitorar constantemente o
desempenho e a
capacidade dos recursos de
TI
D
S
4
A
s
s
e
g
u
r
a
r
a
c
o
n
t
i
n
u
i
d
a
d
e
d
e
s
e
1 Inicial: as responsabilidades pela continuidade dos
r servios so informais e
a autoridade ra exercer essas responsabilidades
limitada.
v
i
o
s
DS 3.4 Disponibilidade de
recursos de TI
DS 4.1 estruturas de
continuidade
O modelo deve orientara

estrutura organizacional
quanto ao gerenciamento da
continuidade, contemplando
papis, tarefas e
responsabilidades dos
provedores de servio
internos e externos, seus
gerenciamentos, clientes e
as regras e estruturas para
documentar, testar e
executar planos de
recuperao de desastres e
continuidade de TI.
DS 4.2 Planos de
continuidade de TI
Desenvolver planos de
continuidade de TI com
base na estrutura e
projetados para reduzir o
impacto de uma grande
interrupo de funes e
processos de negcio
fundamentais.
89
DS 4.3 recursos crticos de TI
Dar ateno especial aos

itens mais crticos no plano
de continuidade de TI para
assegurar a capacidade de
restabelecimento e definir
prioridades em situaes de
recuperao
DS 4.4 Manuteno do plano

de continuidade de TI
essencial que as
mudanas nos
Procedimentos e
responsabilidades sejam
comunicadas claramente e
de forma oportuna.
DS 4.5 Teste do plano de

continuidade de TI
Testar o plano de
continuidade de TI
regularmente para
assegurar que os sistemas
de TI possam
Ser efetivamente
recuperados
DS 4.6 treinamentos do plano
de continuidade de TI
Assegurar que todas as

partes envolvidas recebam
treinamento regular sobre os
procedimentos, papis e
respectivas
responsabilidades no caso
de um incidente ou
desastre.
DS 4.7 Distribuio do plano

de continuidade
Falta gerenciar para que os

planos estejam
apropriadamente
disponveis s partes
interessadas e autorizados
quando e onde necessrio.
DS 4.8 Recuperao e
retomada dos servios de TI
Planejar as aes a serem

executadas nos momentos
de recuperao e
retomadas dos servios de
TI. Isto pode incluir ativao
de backup sites,
Armazenar remotamente
todas as mdias de cpias
de segurana crticas,
documentao e outros
recursos de TI necessrios
para a recuperao da TI e
os planos de continuidade
de negcio.
DS 5.1 gestes da segurana

de TI
DS 5.2 planos de segurana
de TI
Falta documentao
DS 5.3 Gesto de identidade

DS 5.4 gestes de contas de
usurio
DS 5.5 testes de segurana,
vigilncia e monitoramento
Inicial:
A
organizao reconhece a
necessidade de segurana de TI. A
conscincia da necessidade de segurana
depende principalmente das pessoas. A
segurana de TI tratada de forma reativa
e no
DS 4.9 Armazenamento de
cpias de segurana em
locais remotos
Assegurar a segurana dos servios
DS5
90
DS 5.6 Definio de Incidente

de segurana
DS5.7 Proteo da tecnologia
de segurana
DS 5.8 gestes de chave
criptogrfica
DS 5.9 preveno, deteco
e correo de software
malicioso
DS 5.10 Segurana de rede
DS 6.1 definies de servios
Identificar todos os custos

de TI e associa- ls aos
servios de TI, sustentando
um modelo transparente de
custeio.
DS 6.2 Contabilidade de TI
Coletar e alocar os custos

vigentes de acordo com o
modelo de custo definido.
1 Inicial: Os custos de TI so
alocados
como
custo
operacional geral.
Identificar e alocar custos
DS6
DS 5.11 comunicaes de
dados confidenciais
Estabelecer e atualizar
regularmente um currculo
para cada grupo-alvo de
empregados,
DS7.2 Entrega de
treinamento e ensino
Registrar
inscries
(Incluindo pr-requisitos),
frequncia de participao e
avaliaes de desempenho.
DS 7.3 Avaliao do
treinamento recebido
Avaliar o contedo do
ensino e do treinamento
recebidos no que diz
respeito a relevncia,
qualidade, efetividade,
absoro e reteno do
conhecimento, custo e valor.
DS 8 Central de servio

central de servio, que a
interface entre o usurio e a
TI, para registrar,
comunicar, despachar e
analisar todos os chamados,
incidentes reportados,
solicitaes de servios e
demanda de informaes
DS 8.2 Registro dos

chamados dos clientes
Falta um sistema que

permitam o registro e o
rastreamento de ligaes,
incidentes, solicitaes de
servios e necessidade de
informaes
DS 8.3 Escalonamento de
incidentes
Estabelecer os
Procedimentos da central de
servio para que os
incidentes que no podem
ser resolvidos
imediatamente sejam
adequadamente
encaminhados, e solues
temporrias sejam
implementadas, se
aplicvel.
2 Repetvel, porm Intuitivo: H conscincia na organizao da

necessidade de um programa de ensino e treinamento e de
processos associados.
DS 7.1 identificaes das

necessidades de ensino e
treinamento
0 Inexistente: H uma completa falta de processo de gerenciamento de incidente. A

organizao no reconhece que h uma questo a ser tratada.
Educar e treinar os usurios
D
S
8
Gerenciar a central de servio e os incidentes
DS7
91
DS 8.4 Encerramento de
incidentes
Estabelecer procedimentos
para o monitoramento
peridico do encerramento
de chamados de clientes.
Tambm registrar e relatar
incidentes no solucionados
(erros j conhecidos e
alternativas existentes) para
prover informaes visando
o adequado gerenciamento
dos problemas.
DS 8.5 Relatrios e anlises

de tendncias
Gerar relatrios de
atividades da central de
servio,
DS 9.1 repositrios de
Estabelecer uma ferramenta
configurao e perfis bsicos de suporte e um repositrio
central para conter todas as
informaes relevantes
sobre os itens de
configurao.
DS 9.2 identificao e
manuteno dos itens de
configurao
Implantar procedimentos de
configurao para suportar
a Direo e registrar todas
as alteraes no repositrio
de configuraes.
DS 9.3 revises da
integridade de configurao
Periodicamente revisar os
dados de configurao para
verificar e confirmar a
integridade da configurao
atual e histrica.
0 Inexistente: A Diretoria no tem uma viso dos benefcios de

contar com um processo implementado capaz de reportar e
gerenciar a infraestrutura de TI, no que se refere a
configuraes de hardware e de software.
Gerenciar a configurao
DS9
92
Implementar processos para

reportar e classificar os
problemas identificados
como parte do
gerenciamento de
incidentes
DS 10.2 Rastreamento e
resoluo de problemas
O sistema de
gerenciamento de
problemas deve fornecer
recursos de trilha de
auditoria adequados que
permitam o rastreamento, a
anlise e a identificao da
causa-raiz de todos os
problemas reportados,
DS 11.1 Requisitos de
negcio para o
gerenciamento de dados
Estabelecer arranjos para

assegurar que todos os
dados esperados sejam
recebidos, processados de
maneira completa, precisa e
no tempo apropriado e que
toda sada seja entregue de
acordo com os requisitos de
negcio.
DS 11.2 Arranjos de
armazenamento e reteno
Definir e implementar
procedimentos para um
efetivo e eficiente
armazenamento de dados,
reteno e arquivamento
para atender aos objetivos
de negcio, poltica de
segurana da organizao e
s exigncias regulatrias.
DS 11.3 Sistemas de
gerenciamento de biblioteca
de mdia
procedimentos para manter
um inventrio de mdia
local, assegurando sua
usabilidade e integridade.
DS 11.5 Backup e
restaurao
Falta documentao mais

detalhada.
0 Inexistente: No h conscientizao da
necessidade de gerenciamento de problemas
tampouco h diferenciao entre problemas e
incidentes. Portanto, no h tentativa de
identificar a origem dos incidentes.
DS 10.1 Identificar e
classificar os problemas
1 Inicial:
responsa
bilidade final
pelo gerencia
mento
Gerenciar os problemas
Gerencia
r os dados
DS11
DS10
93
Definir e estabelecer
polticas e procedimentos
para identificar e aplicar
requisitos de segurana
aplicveis ao recebimento,
processamento,
armazenamento fsico e
sada de dados para
atender aos objetivos de
negcio, poltica de
segurana da organizao e
a exigncias regulatrias
DS 12.1 selees do local e

layout
Definir e selecionar o local

para os equipamentos de TI.
DS 12.2 Medidas de
segurana fsica
medidas de segurana fsica
alinhadas com os requisitos
de negcio para proteger o
local e os ativos fsicos
DS 12.3 Acesso fsico
Os acessos a instalaes,
prdios e reas devem ser
justificados, autorizados,
registrados e monitorados.
DS 12.4 Proteo contra

fatores ambientais
Projetar e implementar
medidas de proteo contra
fatores ambientais
DS 12.5 gerenciamentos de
instalaes fsicas
Gerenciar as instalaes
fsicas, incluindo
equipamentos de energia e
comunicao,
DS 13.1 procedimentos e
instrues de operaes
Definir, implementar e
manter procedimentos
padronizados para as
operaes de TI e
assegurar que a equipe de
operaes esteja
familiarizada com todas as
atividades operacionais
relevantes
DS 13.3 monitoramentos da
infraestrutura de TI
procedimentos para
monitorar a infraestrutura de
TI e eventos relacionados.
2 Repetvel: A segurana fsica um processo informal conduzido por um

pequeno grupo de funcionrios com alto nvel de preocupao com a
proteo das instalaes fsicas. Os procedimentos de manuteno
das instalaes no esto bem documentados e se baseiam em boas
prticas de poucos indivduos.
DS 11.6 Requisitos de
segurana para o
gerenciamento de dados
1 Inicial: A organizao reconhece a

necessidade de estruturao das
funes de suporte de TI. Poucos
procedimentos padres esto
estabelecidos, e as atividades de
operao so reativas por natureza. A
maioria dos processos operacionais
programada informalmente, e solicitaes
do processamento so aceitas sem
prvia validao.
Gerenciar o ambiente fsico
D
S
1
Gerenciar
3 as operaes
DS12
94
DS 13.5 Manuteno
preventiva de hardware
procedimentos para
assegurar a manuteno da
infraestrutura em tempo
hbil para reduzir a
frequncia e o impacto de
falhas ou degradao de
desempenho.
ME 1.4 avaliao de
desempenho
Analisar periodicamente o
desempenho com base nas
metas, executar anlise de
causa-raiz dos problemas e
iniciar ao corretiva para tratar
as causas ocultas.
ME 1.6 aes corretivas
Identificar e iniciar aes

corretivas com base no
monitoramento, na avaliao e
nos relatrios de desempenho.
ME 2.1 monitoramentos da
estrutura de controles
internos
Falta monitoramento
ME 2.2 Reviso Gerencial
Falta avaliao dos controles

internos de TI
ME 2.5 garantias dos

controles internos
Garantir a abrangncia dos

controles internos
ME 2.7 aes corretivas
Identificar, iniciar, monitorar e

implementar aes corretivas
com base nas avaliaes e nos
relatrios de controle
ME 4.1 estabelecimentos de
uma estrutura de
governana de TI
Definir, estabelecer e alinhar a

estrutura de governana de TI
com a governana
organizacional e o ambiente de
controle.
1
Inicial:
Normalmente
o
monitoramento implementado
como resposta a um incidente que
tenha causado algum tipo de perda ou
embarao organizao.
Estabelecer proteo fsica

apropriada, prticas de
controle e gerenciamento de
inventrio sobre ativos
crticos de TI
A Direo de TI no atribuiu
formalmente a responsabilidade pela
eficcia do monitoramento dos controles
internos.
DS 13.4 documentos
confidenciais e dispositivos
de sada
1 Inicial:
H
reconheci
mento de
que
Monitorar e Avaliar o
Desempenho
Monitorar e Avaliar os Controles Internos
Prover a
Governan
a de TI
ME4
ME2
ME1
95
96
ME 4.2 alinhamentos
estratgico
Trabalhar com o conselho

diretor para definir e
implementar as estruturas de
governana, como um comit de
estratgia de TI, para dar
direo estratgica ao
gerenciamento relativo a TI,
ME 4.4 gerenciamentos de
recursos
Supervisionar o investimento, o
uso e a alocao dos recursos
de TI por meio de avaliaes
peridicas
ME 4.5 gestes de riscos

ME 4.6 medies de
desempenho
Falta uma gesto de Riscos

Confirmar se os objetivos
acordados de TI foram atingidos
ou excedidos ou se o progresso
na direo dos objetivos de TI
atende as expectativas
Tabela 12 Controles selecionados do COBIT

Gestão Da Segurança Da Informação: Analise Da Segurança Da Informação em Uma Empresa de Médio Porte

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Gestão Da Segurança Da Informação: Analise Da Segurança Da Informação em Uma Empresa de Médio Porte

Enviado por

Direitos autorais:

Formatos disponíveis

CENTRO UNIVERSITRIO SENAC

Saulo Pires de Souza

GESTO DA SEGURANA DA INFORMAO:

Saulo Pires de Souza

Gesto da segurana da informao: Analise da segurana da informao em

Trabalho de Concluso de Curso

Universitrio Senac Campus

Este Trabalho foi desenvolvido nas

Ficha catalogrfica elaborada pela Biblioteca do Centro Universitrio Senac

Souza, Saulo Pires de

Gesto da segurana da informao: analise da segurana

Saulo Pires de Souza

Gesto da segurana da informao: analise da

Trabalho de Concluso de Curso apresentado ao Centro

Orientador Prof. Adriano Marchetti Cillo

A banca examinadora dos Trabalhos de Concluso, em sesso pblica realizada

Dedico este trabalho

Com a utilizao dos computadores em diversas organizaes, as informaes

Palavras-chave: Segurana da informao, Gesto da Segurana da informao,

With the use of computers in various organizations, information began to focus in

LISTA DE ABREVIATURAS E SIGLAS

Associao Brasileira de Normas Tcnicas

Control Objectives for Information and Related Technology

Enterprise Resource Planning

International Electrotechnical Comission

Information Systems Audit and Control Foundation

International Organization for Standardization

Information Technology Infrastructure Library

Planejamento, Execuo, Controle e Ao

Gesto de Segurana da Informao

Sistema de Gesto de Segurana da Informao

2.10. CONCEITO ERRNEOS ACERCA DA SEGURANA . ...................................46

Os riscos aumentaram com o uso dos microcomputadores, a utilizao de redes

A Segurana da informao a proteo da informao de vrios tipos de

gerenci-la para uso eficiente dos seus sistemas internos e a garantia da

Pequena empresa - de 10 a 99 empregados;

Mdia empresa - entre 100 e 499 empregados.

empresa ou empresa de mdio porte, pois possui em seu quadro de funcionrios

Gesto da segurana da informao: analise da segurana da informao em uma

A justificativa para este trabalho manifesta-se na importncia de se avaliar como

1.3.1. Objetivo geral

1.3.2. Objetivos especficos

Fazer a anlise de Gesto de Risco com base em uma empresas de mdio

Apresentar as caractersticas do COBIT;

Observar e analisar os controles de segurana da informao encontrados

Apresentar a Segurana da Informao e sua importncia dentro do

Analisar fatores crticos de sucesso Gesto de Segurana da Informao

Propor um relatrio de melhoria das boas prticas de Gesto de Segurana

Com a utilizao dos computadores em diversas organizaes, as informaes

gerencia-la para uso eficiente dos seus sistemas internos e a garantia da

Delimitao do problema de pesquisa

O problema de pesquisa tratado neste trabalho : Que elementos so capazes de

intencionados com o objetivo de furtar, destruir ou alterar alguma informao.

Os princpios bsicos da segurana da informao so representados pela trade

(Confidentiality, Integrity and Availability).

Figura 1 Segurana da Informao: Trade CIA

Estes principais atributos do conceito de segurana de informao orientam

pontos durante o processo de transmisso no qual a integridade pode ser

por pessoas no autorizadas ou festas. Violaes podem ser o resultado

Conceito de Segurana da Informao

Segurana da informao, conforme Beal (2005), o processo de proteo da

A confidencialidade da informao a garantia de que somente pessoas

A integridade da informao tem como objetivo garantir a exatido da