Faculdade ICESP - 2004 - Análise de Segurana Física em Conformidade Com A Norma NBR ISO IEC 17799 PDF

FACULDADES INTEGRADAS ICESP
CURSO DE TECNOLOGIA EM SEGURANA DA INFORMAO
IVAN JORGE CHUERI SALGADO

RONALDO BANDEIRA
RIVANILDO SANCHES DA SILVA
Anlise de Segurana Fsica em Conformidade com a Norma

ABNT NBR ISO/IEC 17799
BRASLIA
2004
RONALDO BANDEIRA

Monografia apresentada como requisito parcial, para a concluso do

curso de Tecnologia em Segurana da Informao.
Orientador: Prof. Reinaldo Mangialardo
BRASLIA
2004
FACULDADES INTEGRADAS ICESP
CURSO DE TECNOLOGIA EM SEGURANA DA INFORMAO

RONALDO BANDEIRA

Monografia apresentada como requisito parcial, para a concluso do

curso de Tecnologia em Segurana da Informao.
Aprovada por:
_________________________________________
Prof. Reinaldo Mangialardo
_________________________________________
Prof.
_________________________________________
Prof.
BRASLIA
2004
DEDICATRIA
Ivan Jorge Chueri Salgado:
Ao meu filho Rodrigo, que, com apenas 10 anos de idade, teve maturidade, sabedoria e
respeito aos limites impostos pelas necessidades acadmicas e desenvolvimento humano.
Ronaldo Bandeira:
A meus pais e minha namorada, pela pacincia, dando-me todo o apoio necessrio
concluso desta obra.
Rivanildo Sanches da Silva:
Dedico este trabalho aos meus pais e minha famlia, que sempre me apoiaram e estiveram ao
meu lado em todos os momentos e principalmente a Deus que me deu a oportunidade de viver
todos estes instantes de minha vida.

AGRADECIMENTOS
Ivan Jorge Chueri Salgado:
Ana Maria Azevedo, pelo incentivo na minha retomada aos estudos e pela pacincia diante
das dificuldades impostas pela falta de ateno e dedicao famlia, e tambm, ao meu
amigo Ronaldo que dividiu grande parte das incertezas e dos momentos mais brilhantes desta
obra.
Ronaldo Bandeira:
Ao meu amigo Ivan, pela grande contribuio do seu conhecimento a esta obra, e pelo seu
empenho.
Rivanildo Sanches da Silva:
A Deus, aos nossos amigos que contriburam para realizao deste trabalho, aos professores
Reinaldo Mangialardo e professora Paula pelo apoio e dedicao.

LISTA DE ABREVIATURAS
ABNT Associao Brasileira de Normas Tcnicas

BS British Standard (Padro Britnico)
CFTV Circuito Fechado de TV
CPD Centro de Processamento de Dados
CPU - Unidade Central de Processamento
IEC - International Electrotechnical Commission (Comisso Eletrotcnica Internacional)
ISO International Organization for Standardization (Organizao Internacional de
Padronizao)
NFPA National Fire Protection Association (Associao Nacional de Proteo Contra
Fogo)
PCN Plano de Continuidade de Negcio
PIN - Personal identification number (Nmero de identificao individual)
UPS Uninterruptable Power Supply (Suprimento Ininterrupto de Energia)
SUMRIO
1 INTRODUO ........................................................................................................... 11
1.1 Justificativa .............................................................................................................. 17
1.2 Objetivos.................................................................................................................. 20
1.3 Escopo do Projeto..................................................................................................... 22
1.3.1 Descrio das reas envolvidas ............................................................................. 22
1.4 ESTRUTURA ORGANIZACIONAL ...................................................................... 24
1.5 RECURSOS DO PROJETO ..................................................................................... 26
1.6 REFERENCIAL TERICO ..................................................................................... 26
1.7 METODOLOGIA .................................................................................................... 27
2 SEGURANA E SEUS COMPONENTES .................................................................. 31
2.1 Poltica de segurana ................................................................................................ 43
2.2 Segurana organizacional ......................................................................................... 45
2.2.1 Infra-estrutura da segurana da informao........................................................... 45
2.2.2 Segurana no acesso de prestadores de servios.................................................... 49
2.3 Classificao e controle dos ativos de informao .................................................... 51
2.4 Segurana em pessoas .............................................................................................. 53
2.5 Segurana fsica e do ambiente................................................................................. 58
2.5.1 reas de segurana ............................................................................................... 60
2.5.2 Segurana dos equipamentos ................................................................................ 67
2.5.3 Controles gerais.................................................................................................... 74
2.6 Conformidade .......................................................................................................... 76
2.6.1 Conformidade com requisitos legais ..................................................................... 76
2.7 Anlise da poltica de segurana e da conformidade tcnica ..................................... 80
2.8 Mecanismos e dispositivos de segurana .................................................................. 82
2.8.1 Infra-Estrutura do Data Center ............................................................................. 82
2.8.2 Acesso ao CPD..................................................................................................... 86
3 ESTUDO DE CASO .................................................................................................... 92
3.1 Poltica de segurana ................................................................................................ 92
3.1.1 Situao Atual em Relao Poltica de Segurana .............................................. 92
3.1.1.1 Comit Gestor ...................................................................................................... 92
3.1.2 Recomendaes quanto Poltica de Segurana.................................................... 93
3.1.3 Plano de Ao ...................................................................................................... 95
3.2 Segurana organizacional ......................................................................................... 98
3.2.1 Responsabilidades do Comit de Segurana.......................................................... 99
3.2.2 Coordenao do Comit de Segurana na ELECTRA ......................................... 100
3.2.3 Situao Atual em relao Segurana Organizacional ...................................... 102
3.2.4 Recomendaes quanto Segurana Organizacional da ELECTRA ................... 104
3.2.5 Plano de Ao .................................................................................................... 106
3.3 Classificao e controle dos ativos de informao .................................................. 112
3.3.1 Classificao das informaes ............................................................................ 115
3.3.2 Recomendaes sobre os Ativos e Classificao das informaes....................... 119
3.3.3 Plano de Ao .................................................................................................... 119
3.4 Segurana em pessoas ............................................................................................ 124
3.4.1 Terceirizao...................................................................................................... 127
3.4.2 Fatores humanos................................................................................................. 129
3.4.3 Situao atual em relao Segurana em Pessoas/Fatores Humanos ................. 135
3.4.4 Recomendaes em relao Segurana em Pessoas .......................................... 136
3.4.5 Plano de Ao .................................................................................................... 139
3.5 Segurana fsica e do ambiente............................................................................... 148
3.5.1 Segurana em equipamentos............................................................................... 155
3.5.2 Suprimento de energia eltrica............................................................................ 158
3.5.3 Manuteno dos equipamentos ........................................................................... 161
3.5.4 Diretrizes de proteo......................................................................................... 164
3.5.5 Situao atual do Data Center em relao Segurana Fsica............................. 165
3.5.6 Recomendaes de Segurana Fsica do Data Center ......................................... 177
3.5.6.1 Recomendaes especficas da ELECTRA .......................................................... 177
3.5.6.2 Recomendaes especficas do Data Center ....................................................... 179
3.5.7 Plano de Ao .................................................................................................... 191
3.6 Conformidade ........................................................................................................ 214
3.6.1 Preservao dos registros da ELECTRA ............................................................. 216
3.6.2 Situao atual em relao Conformidade.......................................................... 220
3.6.3 Recomendaes sobre a conformidade................................................................ 223
3.6.4 Plano de Ao .................................................................................................... 224
3.7 Plano de Ao Geral (Todos os Mdulos Analisados)............................................. 226
4 ANLISE DE RESULTADOS .................................................................................. 229
5 CONCLUSO ........................................................................................................... 230
6 REFERNCIAS BIBLIOGRFICAS ........................................................................ 232
APNDICE A ................................................................................................................... 234
APNDICE B.................................................................................................................... 239
APNDICE C.................................................................................................................... 251
APNDICE D ................................................................................................................... 307
ANEXO A ......................................................................................................................... 312
ANEXO B ......................................................................................................................... 322
GLOSSRIO..................................................................................................................... 323
LISTA DE FIGURAS
Figura 1 - Evoluo da Norma BS 17799 ............................................................................. 12
Figura 2 - Principais ameaas segurana da informao..................................................... 14
Figura 3 - Principais pontos de invaso ................................................................................ 15
Figura 4 - Principais medidas de segurana j implementadas .............................................. 15
Figura 5 - Organograma Geral da ELECTRA....................................................................... 22
Figura 6 - Ciclo da Segurana da Informao ....................................................................... 39
Figura 7 - Layout atual do piso da garagem ........................................................................ 235
Figura 8 - Layout atual do piso do Data Center.................................................................. 235
Figura 9 - Layout atual do pavimento trreo ....................................................................... 236
Figura 10 - Layout atual do pavimento tipo ........................................................................ 236
Figura 11`- Sugesto de layout para o 2o. Sub-solo - Garagem........................................... 237
Figura 12 - Sugesto de layout para o 1o. Sub-solo ............................................................ 237
Figura 13 - Sugesto de layout para o pavimento Trreo .................................................... 238
Figura 14 - Sugesto de layout para o pavimento Tipo ....................................................... 238
LISTA DE TABELAS
Tabela 1 - Resultado estimado decorrentes da implementao do plano de ao................. 229

RESUMO
Segurana um termo que transmite conforto e tranqilidade a quem desfruta de
seu estado. O produto segurana difcil de ser obtido quando se fala em segurana de
informaes, dispostas na forma fsica (em papel), eletrnica (nos meios de
transmisso ou de armazenamento) e nas pessoas. Buscar uma segurana absoluta o
objetivo maior. Entretanto, implica em controlar todas as variveis que integram esse
universo, tornando isto praticamente impossvel. Os caminhos que possibilitam
alcanar o objetivo de tornar algo seguro resultam de esforos da comunidade,
composta por entidades pblicas e privadas em todo o mundo, que estabeleceram um
documento que padroniza, atravs de recomendaes, uma boa gesto da segurana.
Este documento deu origem BS 7799-1995, que foi instituda no Brasil pela ABNT -
Associao Brasileira de Normas Tcnicas atravs da ISO/IEC 17799-2000. A
segurana da informao estruturada por diversos componentes, entre eles a
segurana fsica. A segurana fsica auxilia e contribui essencialmente para a
segurana de informaes, e sem ela os esforos para o estabelecimento de um
ambiente lgico seguro seriam perdidos.
Palavras-chave: Segurana Fsica, ISO/IEC 17799, Poltica de segurana,

Segurana Organizacional, Classificao e Controle dos Ativos, Segurana
em Pessoas, Segurana Fsica e do Ambiente, Conformidade, Controle de
Acesso, Riscos, Data Center, Sala-cofre, Integridade, Confidencialidade,
Disponibilidade e Legalidade.
ABSTRACT
Security is a word which transmits a sense of comfort and peace to everyone.
The product Security is much harder to obtain when it comes to Information. In this
case, there is a huge variety of products which comes in a diversity of forms: Physical
security (paper), electronic security (data transmissions and storage) and even people
security. To seek absolute security is a major goal, but it implies in controlling each
and every variable that integrate this universe; something practically impossible to
accomplish. The paths that make this major goal possible to achieve are a result of
joint efforts, both public and private throughout the world, which established a
document whose purpose is to standardize good security procedures. This document
origined the BS 7799-1995, established in Brazil by ABNT Associao Brasileira de
Normas Tcnicas through the ISO/IES 17799-2000. The safety of the information is
structured by several components. One of them, physical security, aids specifically the
information security aspect. Without it, efforts to stabelish a safe data environment
would be worthless.
Keywords: Physical Security, ISO/IEC 17799, Security Policy, Security

Organization, Asset Classification and Control, Personnel Security, Physical
and Environmental Security, Compliance, Access Control, Risks, Data
Center, IT Security Room, Integrity, Confidentiality and legality.
11
1 INTRODUO
A segurana da informao um bem diretamente relacionado aos negcios de
uma organizao. Seu principal objetivo garantir o funcionamento da organizao
frente s possibilidades de incidentes, evitando prejuzos, aumentando a produtividade,
provendo maior qualidade aos clientes e vantagens em relao aos seus competidores
evidenciando a reputao da organizao.
A informao pode ser encontrada sob diversas formas: escrita, eletrnica e
impressa. Podem ser transmitidas por diferentes canais como e-mail, correio, filmes,
falada, rdio, TV etc. Seja qual for sua forma de existncia ou modo pelo qual
transmitida a informao deve ser protegida.
Segundo Moreira (2001, p.2):
[...] tecnologias e avanos tm colocado muitas empresas em uma

posio delicada em alguns casos. Problemas de origem interna e externa
tm marcado presena no dia-a-dia, principalmente nas Organizaes que
no possuem Polticas de Segurana implementadas.
A comunidade internacional composta por entidades governamentais, e at
mesmo privadas, preocupadas com esta questo da segurana, iniciou, ainda de forma
isolada, propostas para tratar o assunto, principalmente nos 12 ltimos anos com a
criao, em 1995, da norma como a BS 17799-1 e evoluda para a verso BS 17799 1-
2 em 1999, que passou a ser padro mundial seguido pelas empresas e governos.
Surgiu ento a norma NBR ISO/IEC 17799 em 2000, vigorando a partir de setembro
deste mesmo ano. A figura abaixo mostra a evoluo.

12
Fonte: www.febraban.org.br/Palestras em 02/11/2004

Figura 1 - Evoluo da Norma BS 17799
Quando se fala em proteger um bem ou ativo de informao significa que este
possui um valor para o seu proprietrio. Os ativos de informao podem ser:
Servios: processamento de dados, comunicao e fornecimento de
energia;
Sistemas computadorizados: aplicativos, sistemas bsicos, ferramentas
de desenvolvimento;
Equipamentos: computadores, equipamentos de comunicao de dados,
mdias (fitas e discos), equipamentos de fornecimento de energia
alternativa, cofres;
Documentos: contratos, demonstraes financeiras;

13
Pessoas: funcionrios, terceiros e clientes;
Imagem e reputao da organizao;
Informaes: arquivos, bancos de dados, documentao de sistemas,
material de treinamento, procedimentos, Plano de Continuidade dos
Negcios, relatrios, telas, mdias, mensagens eletrnicas, registros de
dados, arquivos de dados.
Edificaes: edifcios, lojas, indstrias, depsitos, containeres, silos,
centrais geradoras, linhas de distribuio, torres, etc.
Para alcanar os objetivos propostos, a norma prev a preservao de trs
componentes bsicos que so:
Confidencialidade;
Integridade;
Disponibilidade.
A segurana fsica um dos principais componentes da segurana da
informao, sem a qual todo o esforo despendido na proteo lgica torna-se ineficaz,
pois haveria grande possibilidade de que um incidente, incndio, roubo, sabotagem,
interrupo do fornecimento de energia, problemas com climatizao, inundao,
interrupo no abastecimento de gua etc, pudessem ocorrer comprometendo a
continuidade do negcio a partir da no preservao dos trs componentes bsicos
citados acima.
14
Alm desses pode-se citar a Legalidade como outro componente que visa o
enquadramento da organizao no mbito legal, sendo abrangido por leis federais,
estaduais, municipais e a poltica de segurana da organizao.
Segundo Dias (2000, p.107):
A falta de controles ambientais adequados pode provocar danos aos

equipamentos, causados por desastre natural, picos de energia, descarga
eltrica de um raio, temperaturas extremas ou eletricidade esttica. Pode
ainda ocorrer perda de dados devido s falhas ou falta de fornecimento de
energia. A indisponibilidade dos sistemas computacionais pode acarretar
problemas econmicos e perda de competitividade da empresa no mercado.
Estatsticas
Algumas estatsticas sero apresentadas para um melhor entendimento sobre a
importncia da segurana fsica no contexto da segurana da informao e esto
baseados na 9a Pesquisa de Segurana da Informao Mdulo (2003) conforme
abaixo:
Figura 2 - Principais ameaas segurana da informao

15
As Falhas na Segurana Fsica foram apontadas por 37% dos entrevistados como
uma das principais ameaas, mostrando que atualmente a Segurana Fsica faz parte
da preocupao do Security Officer.
Figura 3 - Principais pontos de invaso
A invaso Fsica corresponde a 6% dos principais pontos de invaso, mostrando
que a Segurana Fsica to importante quanto a lgica, pois quando indevidamente
implementada, ocasiona vulnerabilidades a empresas.
Figura 4 - Principais medidas de segurana j implementadas

16
A Segurana Fsica na Sala de Servidores corresponde a 63% das medidas de
segurana j implementadas. A tendncia que a implementao da Segurana Fsica
na Sala de Servidores ganhe mais posies neste ranking nos prximos anos.
Definio
O assunto abordado sobre a Segurana Fsica, pois esta relegada ao segundo
escalo da Segurana da Informao.
Delimitao
Este projeto tem como objetivo abordar um estudo e uma anlise de Segurana
Fsica em conformidade com a Norma ISO/IEC 17799. Sero esclarecidos, em mbito
geral, conceitos necessrios para que uma empresa consiga alcanar o mais alto nvel
de Segurana Fsica, atendendo a situaes dos mais diversos gneros com polticas
especificas de atualizao tecnolgica, Poltica de Segurana da Informao e
acompanhando as tendncias do mercado.
Esclarecimentos
A organizao analisada receber o nome fictcio de ELECTRA a pedido de sua
direo para preservar sua integridade e imagem junto a seus clientes e fornecedores.
Este trabalho no visa certificar a empresa analisada com a Certificao BS
7799. O objetivo apenas fazer uma avaliao de Segurana Fsica, diminuindo, ao
mximo, a possibilidade de ocorrncia de um incidente de Segurana Fsica.

17
Relacionamento com outros trabalhos
Espera-se que este trabalho possa contribuir como fonte de consulta e discusses
futuras sobre o assunto, tendo em vista a escassez de pesquisa abordando de uma
forma geral e ampla este tema em um nico documento. So encontrados apenas
estudos isolados, com o foco em um ou outro tpico, no mantendo uma relao direta
com o contexto de Segurana Fsica em sua concepo total.
Objetivos e finalidades da pesquisa
O objetivo identificar e classificar a situao atual de uma organizao
levando-se em conta a Norma ISO/IEC 17799, em seus mdulos que tratam
especificamente de Segurana Fsica, e propor aes que minimizem os problemas
encontrados.
1.1 Justificativa
A proteo das informaes no pode se restringir apenas aos meios lgicos,
mas deve contar com um ambiente fsico seguro.
Conseguir um ambiente fsico seguro exige um estudo rigoroso e que considera
os aspectos comportamentais e culturais das pessoas, as caractersticas fsicas do local,
a poltica, as normas e procedimentos internos. Alm disso, devem ser considerados os
agentes externos ao permetro da ELECTRA, considerando as suas vizinhanas mais
prximas, compondo um sistema complexo. A inexistncia de uma poltica de

18
segurana no permite que se determinem as diretrizes, normas e os procedimentos
que apiam as decises da alta gerncia.
O principal motivo deste trabalho sugerir solues de segurana fsica para que
os riscos existentes sejam fortemente diminudos, j que a situao atual da segurana
delicada.
Segundo a Mdulo Security (2004, www.modulo.com.br):
O Computer Emergency Response Team (CERT/CC), centro de

pesquisas em segurana na Internet da Universidade de Carnegie Mellon,
divulgou nesta semana as estatsticas dos incidentes de segurana registrados
em 2003. O levantamento revela um aumento de cerca de 55 mil incidentes
em relao aos nmeros obtidos em 2002.
De acordo com o estudo, em 2003 foram registrados 137.529 ataques

contra 82.094 em 2002. O CERT define "ataques" como tentativas
(frustradas ou no) de entrar em locais no autorizados.
Em relao s vulnerabilidades reportadas para o centro, o ano de

2003 apresentou uma queda no nmero de falhas de segurana se
compararmos com os ndices de 2002 (o total caiu de 4.129 para 3.784). De
1988 at 2003, o centro de pesquisas j registrou um total de 319.992
incidentes de segurana.
Relevncia
Este projeto tem relevncia uma vez identificada a ausncia de manuteno
evolutiva da poltica de segurana e tambm da segurana fsica, o que torna oportuno
o estudo de alternativas para proteo fsica dos principais ativos como informaes,
equipamentos e pessoas, em razo da sua respectiva importncia. Ainda pode-se
salientar o baixo nvel de tolerncia a falhas, que no permite interrupes no
planejadas no fornecimento do servio, j que seu SLA (Service Level Agreement
acordo de nvel de servio) exige 99,999% de disponibilidade anual
(aproximadamente 5 minutos), controle ostensivo s salas de monitorao e controle
dos servios vitais da ELECTRA.

19
Relao Custo x Benefcio
Os fatores de destaque deste trabalho em relao aos benefcios e seus
respectivos custos so:
Tornar a monitorao e o controle sobre os acessos fsicos mais efetivos,
investindo em equipamentos de vdeo, catracas e portas com sensores de
identificao individual, sensores de presena, com isso diminuindo a
equipe de vigilantes existente e conseqentemente baixando os custos
com pessoal, possibilitando executar o controle 24 horas por dia e 365
dias por ano, sem perda de qualidade e contando com equipamentos de
baixo ndice de manuteno;
Proporcionar um ambiente mais seguro para o armazenamento,
processamento e monitorao das reas crticas atravs da utilizao de
dispositivos de identificao biomtrica em operao conjunta aos
sistemas de identificao por senhas, diminuindo sensivelmente os riscos
e ameaas de acessos indevidos;
Atualmente, estimam-se os custos com segurana na ordem de R$
700.000,00 e um risco calculado por indisponibilidade do servio na
ordem de R$ 20.000.000,00 que deixariam de ser faturados por dia de
interrupo, considerando um total de 7 milhes de clientes mensalmente
a um consumo mdio de R$ 85,00 por ms, conseqente queda do
faturamento, sem se considerar as multas decorrentes do no
cumprimento da legislao vigente, de possveis prejuzos financeiros
aos seus clientes pela ausncia do servio e danos sua imagem;

20
Quando implementadas as medidas recomendadas espera-se uma reduo
dos custos mensais com pessoal na ordem de R$ 30.000,00 por ms,
correspondendo a 20 funcionrios, e uma reduo de 90% dos riscos de
interrupo decorrentes de falhas da segurana fsica.
Segundo Moreira, (2001, p.120), No existem ambientes 100% seguros. Um
nvel alto de proteo pode consumir grandes somas financeiras. Dessa forma,
necessrio encontrar o equilbrio entre o nvel desejvel de segurana e o oramento
disponvel..
1.2 Objetivos
Objetivo Geral
Executar uma anlise de conformidade com a norma ABNT NBR ISO/IEC
17799 voltada a Segurana Fsica, propondo solues para minimizar os riscos
identificados1.
Objetivos Especficos
Identificar os mecanismos de controle dos acessos das pessoas s
dependncias da ELECTRA;
Identificar os fatores de layout que influenciam a segurana fsica das
reas restritas;
1
Esta anlise no tem como objetivo certificar a ELECTRA em relao norma BS 7799.
21
Identificar os fatores na infra-estrutura de suporte e monitorao que
influenciam na segurana fsica;
Identificar os fatores que, decorrentes da ausncia ou da inadequada
aplicao da poltica, normas e procedimentos que influenciam na
segurana fsica;
Identificar os fatores ligados localizao geogrfica que interferem na
segurana fsica da ELECTRA;
Identificar os fatores relacionados s ms instalaes hidrulicas,
eltricas, gs, climatizao, preveno e combate a incndio, etc, que
influenciam na segurana fsica da ELECTRA;
Identificar os fatores relacionados gerao, transporte e armazenamento
fsico de informaes na ELECTRA, que interferem na segurana fsica;
Propor correes e melhorias aos controles, processos, poltica,
comunicao interna, sinalizao de segurana, identificao dos
funcionrios, terceirizados, equipamentos proprietrios e terceirizados,
etc.
22
1.3 Escopo do Projeto
1.3.1 Descrio das reas envolvidas
Estrutura organizacional
Presidente
Diretoria Diretoria Diretoria Diretoria

RH Tecnologia Comercial Financeira
Gerncia 1 Gerncia 2 Gerncia 3 Gerncia 4 Gerncia 5
Figura 5 - Organograma Geral da ELECTRA
O desenvolvimento deste projeto depende essencialmente do apoio de toda a
ELECTRA, nos seus diferentes nveis hierrquicos, partindo-se da presidncia e se
dirigindo a todas as camadas inferiores.
reas que sero objetos de estudo
So escopo deste trabalho todas as reas que de alguma forma contribuem para o
acesso aos ambientes crticos, que esto descritas abaixo:
Hall de entrada do piso Trreo;

23
Hall de entrada dos elevadores social e de servio no piso da garagem
situado no subsolo;
Acesso ao estacionamento interno de uso comum e carga/descarga;
Hall de entrada dos elevadores social e de servio dos pavimentos;
Entradas principais dos pavimentos;
Pavimento da cobertura;
Outros pavimentos estratgicos que contem equipamentos de controle e
infra-estrutura;
Salas estratgicas por conter documentos, equipamentos como
servidores, ativos de rede e gerncia alm e das salas da alta
administrao;
Armrios, eletrocalhas, pisos elevados e quadros de luz, cabos de
transmisso de energia e dados, telefonia etc;
Condies gerais de iluminao, conservao e limpeza dos diversos
pavimentos;
Condies gerais dos equipamentos de combate a incndio como
extintores, hidrantes, sprinklers (jatos de gua acionados
automaticamente em caso de incndio), detectores de fumaa, suas
respectivas distribuies considerando os diversos tipos de materiais
inflamveis;
reas de acesso comuns aos andares;

24
Condies de acesso s sadas de emergncia, sinalizao e proteo
contra entrada no permitida;
Verificao de documentao exposta e sem controle;
Inspeo da sala de controle, das cmeras existentes, catracas/portas, com
controle de acesso por mecanismo de identificao pessoal e individual;
1.4 ESTRUTURA ORGANIZACIONAL
Modelo de Negcio
A organizao analisada receber o nome fictcio de ELECTRA a pedido de sua
direo para preservar sua integridade e imagem junto a seus clientes e fornecedores.
Seu modelo de negcio se baseia no provimento dos servios de abastecimento
de energia eltrica. A ELECTRA a responsvel pela gesto do negcio em nvel
nacional.
A estrutura organizacional existende na ELECTRA robusta e hierarquizada,
permitindo uma administrao mais eficiente e atendendo as melhores prticas na
administrao empresarial.
Faz parte desta estrutura hierrquica o presidente, diretores executivos, diretores
adjuntos, gerncia e coordenaes.

25
Estrutura de Segurana Existente
A ELECTRA conta com uma poltica de segurana desatualizada, criada h
cerca de 20 anos e por isso no plenamente seguida, pois no retrata mais a situao
atual. Isto se deve evoluo tecnolgica ocorrida neste perodo. Hoje, esto a
disposio equipamentos e dispositivos de controles para segurana fsica de alta
tecnologia e confiabilidade. Outro fator que contribuiu fortemente para esta situao
originou-se das mudanas arquitetnicas decorrentes das necessidades crescentes do
negcio.
A ELECTRA no dispe de planos de segurana e o plano de contingncia
encontra-se desatualizado pelos mesmos motivos apresentados acima, isto , caso
acontea algum incidente grave poder ocorrer a paralisao total da ELECTRA.
Estrutura de Tecnologia
A ELECTRA possui uma estrutura robusta de processamento de dados em um
Data Center central, acessados por redes locais Ethernet 100Mb e o backbone de 1Gb.
Dentro desta estrutura existem 100 servidores plataforma Windows, 40 servidores
plataforma Linux/Unix e um Mainframe. Na matriz, as estaes de trabalho esto
distribudas em dois blocos de edifcios de 12 andares cada, As estaes encontram-se
distribudas nesses blocos e totalizam cerca de 800 equipamentos.
Existem sete filiais, cada uma com sua estrutura prpria de rede, mas
convergindo suas conexes para a matriz, acessando o CPD central. Existe um backup
site fora de uso, conectado ao CPD central. O nmero de estaes existentes nas filiais
da ordem de 550 equipamentos sem considerar as impressoras e outros dispositivos
inteligentes de controles de acesso fsico e alarme contra incndio.

26
1.5 RECURSOS DO PROJETO
Instalaes
Uma sala com dois computadores e uma impressora em rede com comunicao
externa para Internet e servio de e-mail.
Softwares necessrios
Editor de textos, planilha de clculo, browser de apresentao.
Recursos humanos
Um engenheiro civil;
Um engenheiro de segurana do trabalho;
1.6 REFERENCIAL TERICO
Para o desenvolvimento deste trabalho sero utilizadas:
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Cdigo de Prtica
para a Gesto da Segurana da Informao. NBR ISO/IEC 17799:So Paulo,2001.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Critrios de
Segurana Fsica Relativos ao Armazenamento de dados. NB 1334:1990.

27
DECRETO FEDERAL 3.505, de 13 DE JUNHO DE 2000.
LEI 2.572, DE 20 DE JULHO DE 2000.
PLANILHA DE LEVANTAMENTO DOS PONTOS RELAVANTES DE
SEGURANA FSICA.
1.7 METODOLOGIA
Questionrio (APNDICE C)
Existe um questionrio para cada um dos mdulos da norma utilizados na
anlise:
Poltica de segurana
Segurana organizacional
Classificao e controle dos ativos de informao
Segurana em pessoas
Segurana fsica e do ambiente
Cada mdulo dividido em itens em subitens.
As perguntas so baseadas da norma ISO/IEC 17799.
Definio dos parmetros da avaliao:

28
Cada item avaliado recebe uma ponderao que foi acordada juntamente
com a ELECTRA, sendo:
0 (zero) sem importncia;
2 (dois) mdia importncia;
5 (cinco) muito importante.
A situao atual de cada item classificada conforme o critrio abaixo, que foi
acordado com a ELECTRA:
No atende
0 (zero) Ausncia total
1 (um) Presena inexpressiva
Sim atende
2 (dois) Presena parcial
3 (trs) Presena total
O clculo feito item a item atravs do produto do peso do item por sua
pontuao de presena. Os totais dos itens so somados para compor subtotal do ponto
analisado. Estes subtotais so somados e faro a composio da aderncia geral do
mdulo analisado.
Os percentuais so calculados levando-se em conta os mximos pontos de cada
item, que so totalizados conforme descrito acima.

29
Descrio dos campos da planilha:
Valores de Referncia: Maior pontuao possvel, resultado da operao
do produto dos mximos valores da situao e peso;
Valores Apurados: o resultado do produto dos valores da situao e o
peso onde estiver demarcado;
Aderncia: Percentual de aderncia do mdulo, item e subitem.
Legenda: Objetivo do item.
Metodologia da anlise
Anlise on-site:
Fotos (APNDICE B): so tiradas fotos de pontos relevantes como
vulnerabilidades, reas crticas, ambientes, todas as dependncias do
Data Center e todos os andares do prdio, naquilo que poderia ser de
interesse da anlise.
Vistorias e levantamentos: So feitas vistorias nos ambientes para colher
informaes relevantes.
Entrevistas: So feitas entrevistas com diretores, gerentes e funcionrios
(inclusive terceirizados). utilizado um questionrio (baseado na norma
ISO/IEC 17799).
30
Situao Atual: apresentada a situao encontrada na empresa em relao a
Segurana da Informao, levando-se em considerao o que pode ser mantido, o que
pode ser aperfeioado e o que deve ser mudado.
Recomendaes: So feitas recomendaes de melhorias na Segurana da
Informao, de acordo com o verificado na situao atual.
Plano de Ao: So recomendaes mais profundas visando melhorias na
Segurana da Informao da empresa, que ajudam a orientar e determinar a atuao
gerencial apropriada s prioridades para o gerenciamento dos riscos Segurana da
Informao. Serve como auxlio na implementao de controles que oferecem
proteo contra os riscos identificados.
Observaes:
A anlise baseada na Norma ISO/IEC 17799.
A anlise atende ao Decreto Federal 3.505 e Lei 2.572 do GDF.
O objetivo da metodologia identificar as necessidades de Segurana da
Informao apropriadas para a empresa analisada.

31
2 SEGURANA E SEUS COMPONENTES
Segurana da informao
O termo Segurana da Informao muito abrangente e requer uma definio
para o seu correto entendimento, permitindo estabelecer o escopo do desenvolvimento
desta obra.
Segundo a NBR ISO/IEC 17799 (2000, p.1):
A informao um ativo que, como qualquer outro ativo importante

para os negcios, tem um valor para a organizao e conseqentemente
necessita ser adequadamente protegida. A segurana da informao protege
a informao de diversos tipos de ameaas para garantir a continuidade dos
negcios, minimizar os danos aos negcios e maximizar o retorno dos
investimentos e as oportunidades de negcio. A informao pode existir em
muitas formas. Ela pode ser impressa ou escrita em papel, armazenada
eletronicamente, transmitida pelo correio ou atravs de meios eletrnicos,
mostrada em filmes ou falada em conversas. Seja qual for a forma
apresentada ou o meio atravs do qual a informao compartilhada ou
armazenada, recomendado que ela seja sempre protegida adequadamente.
A segurana da informao aqui caracterizada pela preservao de:
a) confidencialidade: garantia de que a informao acessvel

somente por pessoas autorizadas a terem acesso;
b) integridade: salvaguarda da exatido e completeza da informao e

dos mtodos de processamento;
c) disponibilidade: garantia de que os usurios autorizados obtenham

acesso informao e aos ativos correspondentes sempre que necessrio.
Segurana da informao obtida a partir da implementao de uma

srie de controles, que podem ser polticas, prticas, procedimentos,
estruturas organizacionais e funes de software. Estes controles precisam
ser estabelecidos para garantir que os objetivos de segurana especficos da
organizao sejam atendidos.
Todo projeto de Segurana de Informaes procura abranger pelo

menos os processos mais crticos do negcio em questo.
32
O resultado esperado de um trabalho como este , sem dvida, que no

mnimo todos os investimentos efetuados devam conduzir para: Reduo da
probabilidade de ocorrncia de incidentes de segurana; Reduo dos
danos/perdas causados por incidentes de segurana; Recuperao dos danos
em caso de desastre/incidente.
O objetivo da segurana, no que tange informao, a busca da

disponibilidade, confidencialidade e integridade dos seus recursos e da
prpria informao.
Portanto, a segurana da informao tem como objetivo principal proteger a
informao frente aos diversos tipos de ameaas. Para tanto, necessrio que sejam
definidos os ativos mais crticos a serem protegidos possibilitando a continuidade dos
negcios com o menor nmero de interferncias e interrupes possvel garantindo a
qualidade do produto ou servio ofertado dentro dos prazos acordados com seus
clientes, refletindo positiva e diretamente na boa imagem da ELECTRA frente a seus
clientes.
A segurana da informao, segundo a NBR ISO/IEC 17799 (2000, p.1), em
seus captulos, presume a implementao de segurana de forma distinta conforme os
captulos abaixo:
3. Poltica de Segurana;
4. Segurana Organizacional;
5. Classificao e controle dos ativos de informao;
6. Segurana em pessoas;
7. Segurana Fsica e do ambiente;
8. Gerenciamento das operaes e comunicaes;

33
9. Controle de acesso;
10. Desenvolvimento e manuteno de sistemas;
11. Gesto da continuidade do negcio;
12. Conformidade.
Destes captulos sero utilizados para compor esta obra os seguintes:
3. Poltica de Segurana;
4. Segurana Organizacional
5. Classificao e controle de ativos de informao;
6. Segurana em pessoas;
7. Segurana Fsica e do Ambiente;
12. Conformidade
Estes captulos sero desenvolvidos mais frente nesta obra.
Como proteger a informao
Inicialmente necessrio que se saibam quais so os problemas de segurana e o
que deve ser feito, se vivel, para solucionar esses problemas. Desta forma deve ser
realizada uma anlise de riscos na ELECTRA. Detectados os riscos e as
vulnerabilidades, deve avali-los para mensurar a probabilidade de ocorrncia e o
impacto que eles possam vir a causar ELECTRA.

34
a partir das anlises de riscos que a ELECTRA vai orientar as medidas a
serem tomadas e os controles a serem estabelecidos a fim de proteger sua informao e
manter o pleno funcionamento dos negcios. De acordo com o a probabilidade de
acontecimento de um incidente, medidas preventivas sero tomadas ou no, levando
em conta o custo de implementao de tais medidas.
A escolha dos controles a serem estabelecidos para diminuir os riscos em nvel
aceitvel baseada, inicialmente, na anlise de riscos, mas tem um como um grande
obstculo o custo de sua implementao e uma dificuldade adicional de ser
implementada em empresas pequenas por terem uma estrutura muito centralizada.
importante lembrar que cada empresa tem suas especificidades e por isso as medidas
de segurana a serem tomadas diferem de caso em caso.
Pilares da segurana
A segurana da informao, conforme descrito acima, baseia-se em
caractersticas que estabelecem condies mnimas de uso da informao que so a
disponibilidade, confidencialidade e integridade. Podemos ainda citar mais uma
caracterstica que a legalidade.
Para que uma informao esteja segura devem ser observados os fatores que
influenciam cada uma dessas caractersticas.
As caractersticas citadas acima sero detalhadas para tornar claro o seu
entendimento e importncia na segurana da informao.
Disponibilidade: para que seja utilizada a informao ou o ativo precisa estar
disponvel e acessvel a quem tenha o privilgio de uso.

35
Confidencialidade: uma informao ou um ativo s pode ser acessado por quem
est autorizado a obter ou manter suas informaes.
Integridade: uma informao tem que ser oferecida ao seu usurio de forma
ntegra, ou seja, que no tenha sido modificada por qualquer pessoa ou processo no
autorizado.
Legalidade: Conformidade com a legislao vigente.
Disponibilidade: garantia de que os usurios autorizados obtenham

acesso informao e aos ativos correspondentes sempre que necessrio.
Confidencialidade: garantia de que a informao acessvel somente

por pessoas autorizadas a terem acesso;
Integridade: salvaguarda da exatido e completeza da informao e

dos mtodos de processamento;
Disponibilidade: ([...] a informao deve estar disponvel para a

pessoa certa e no momento em que ela precisar.); Integridade: (Consiste em
proteger a informao contra qualquer tipo de alterao sem a autorizao
explcita do autor da mesma.); Confidencialidade: ([...] a propriedade que
visa manter o sigilo, o segredo ou a privacidade das informaes evitando
que pessoas, entidades ou programas no autorizados tenham acesso s
mesmas.)
Normas, leis e decretos
A Constituio a lei maior de uma nao que dita as principais regras que
devero ser seguidas pelos cidados. Apenas a Constituio no capaz de abranger
todas as situaes. preciso que seja complementada com leis ordinrias e especficas
que tratam as situaes particulares considerando a diversidade dos assuntos.
Constituio: Lei fundamental e suprema dum Estado, que contm

normas e respeitantes formao dos poderes polticos, forma de governo,
36
distribuio de competncias, direitos e deveres dos cidados, etc.

(Dicionrio Aurlio da Lngua Portuguesa, 2a Edio, p.460).
Portanto, h um regimento supremo que confere responsabilidades aos cidados
e suas competncias. Dessa forma, cada competncia pode ser tangida por leis
especficas.
Na tecnologia da informao, mais especificamente na segurana da informao
no diferente. necessria a existncia de leis que regulem e padronizem a forma
com a qual os usurios relacionaro com as organizaes e seus ativos de informao.
As leis atuam nos mbitos federal, estadual, municipal ou mesmo organizacional. Esta
ltima a que estabelece uma poltica dentro de uma instituio.
A utilizao da informao pelo usurio ocorre de diversas maneiras, atravs de
um computador conectado em rede (Internet), utilizando o sistema de sua organizao,
manipulando papis, transportando informaes em mdias, armazenando mdias etc.
Para que as informaes sejam mantidas asseguradas preciso que alguns
cuidados sejam tomados. A implementao de uma poltica de segurana institucional,
suas normas e procedimentos so essenciais para diminuir a possibilidade de algum
incidente que comprometa a ELECTRA. As normas, leis e decretos federais, estaduais
e municipais vm servir de suporte para a correta implantao da poltica de
segurana.
Dessa forma podemos destacar algumas normas, leis e decretos que esto
presentes e atuantes na legislao brasileira que so:
NBR ISO/IEC 17799: Esta Norma equivalente ISO/IEC 17799:2000.
Esta Norma contm o anexo A, de carter informativo. O anexo A foi
incorporado a esta traduo da ISO/IEC 17799:2000, a fim de prestar

37
informaes na descrio de termos na lngua inglesa mantidos nesta
Norma, por no possurem traduo equivalente para a lngua
portuguesa. Esta Norma fornece recomendaes para gesto da
segurana da informao para uso por aqueles que so responsveis pela
introduo, implementao ou manuteno da segurana em suas
organizaes. Tem como propsito prover uma base comum para o
desenvolvimento de normas de segurana organizacional e das prticas
efetivas de gesto da segurana e prover confiana nos relacionamentos
entre as organizaes. Convm que as recomendaes descritas nesta
Norma sejam selecionadas e usadas de acordo com a legislao e as
regulamentaes vigentes;
Decreto No 3.505, de 13 de junho de 2000: Institui a Poltica de
Segurana da Informao nos rgos e entidades da Administrao
Pblica Federal, ANEXO A;
Lei No 2.572, de 20 de julho de 2000: Dispe sobre a preveno das
entidades pblicas do Distrito Federal com relao aos procedimentos
praticados na rea de informtica, ANEXO A;
Lei No 234 de 1996: Dispe sobre crime contra a inviolabilidade de
comunicao de dados de computador. (Segurana e Auditoria da
Tecnologia da Informao, Claudia Dias, Axcel Books, p.46).
Portanto, as normas, leis e decretos servem de base para o desenvolvimento e
concluso desta obra permitindo doutrinar o uso e estabelecer padres de segurana da
informao. Observa-se que as leis e decretos esto focados s empresas pblicas,

38
ficando desamparadas as empresas privadas, que se referenciam aos recursos
existentes.
Riscos
Alguns conceitos necessitam ser expostos para o correto entendimento do que
risco e suas implicaes.
Segundo Galvo e Poggi (2002, p.5):
Um ativo algo que tem valor para a empresa, e portanto precisa ser
protegido. Os ativos podem ser fsicos (computadores, equipamentos, infra-
estruturas de transmisso de dados, prdios, etc), softwares, informaes
(documentos, bancos de dados, etc), processos, pessoas, e at mesmo
intangveis (por exemplo, a imagem da empresa). muito importante avaliar
periodicamente o grau de risco dos ativos, porque eles so o suporte de
negcios da empresa.
Quando se fala em segurana, seja patrimonial, de informaes ou

qualquer outro ativo a ser preservado, logo se pensa, do qu se deve proteger
este ativo?
A resposta mais bvia que se deve proteger de tudo aquilo que

venha ameaar o ativo em questo. A possibilidade de que uma ameaa
venha a causar danos ao ativo recebe o nome de risco.
J que os ativos possuem valor para a empresa, este valor precisa ser
avaliado de alguma forma. Esta avaliao pode ser quantitativa, quando
existem dados disponveis, ou qualitativa, onde feita uma estimativa da
relevncia do ativo para os componentes ou processos do negcio que ele
suporta.
Uma ameaa um agente ou causa potencial de incidentes que pode

ocasionar danos aos ativos, atravs da explorao de vulnerabilidades. Com
relao s fontes, as ameaas podem ser humanas (acidentais ou deliberadas)
ou ambientais. O acesso no autorizado a dados confidenciais uma ameaa
humana deliberada, um erro de parametrizao em um sistema E.R.P. por
parte do operador pode ser acidental, e um terremoto uma ameaa
ambiental.
Uma vulnerabilidade pode ser entendida como sendo uma fragilidade

qualquer do ativo que pode ser explorada por uma ameaa.
39
baseado
NEGCIO INFORMAO
sujeita
protegem
contm contm
MEDIDAS VULNERABILIDADE
DE diminuem
SEGURANA aumentam
permitem
RISCOS
reduzem
aumentam aumentam
IMPACTOS AMEAAS
NO
NEGCIO
aumentam
comprometem
causam INTEGRIDADE
CONFIDENCIALIDADE
DISPONIBILIDADE
Fonte: Dias (2000, p.21)

Figura 6 - Ciclo da Segurana da Informao
Segundo o dicionrio Priberam (02/11/2004, www.priberam.pt), o

termo risco definido como: perigo; possibilidade de correr perigo.
Segundo Galvo e Poggi (2002, p.6), Denominamos risco ao

potencial que uma ameaa tem de explorar vulnerabilidades em um ativo.
Este potencial resulta da probabilidade de que esta explorao venha a
efetivamente a ocorrer, e do impacto resultante..
40
Galvo e Poggi, White Paper, 2002

Figura 5 - Risco como Probabilidade x Impacto
Caso uma ameaa venha a se confirmar como um evento concreto e possibilitar
um dano ao bem, preciso se estimar qual a extenso do mesmo.
Estes aspectos so tangidos por um processo de anlise de risco que considera
algumas variveis como componentes que atuam diretamente ao risco que so: valor
do bem e seus componentes, possveis causas, possibilidade de ocorrncia e extenso
do dano.
A anlise de risco uma considerao sistemtica de: a) do impacto

nos negcios como resultado de uma falha de segurana, levando-se em
conta as potenciais conseqncias da perda de confidencialidade, integridade
ou disponibilidade da informao ou de outros ativos; b) da
probabilidade de tal falha realmente ocorrer luz das ameaas e
vulnerabilidades mais freqentes e nos controles atualmente implementados.
A anlise de risco consiste em um processo de identificao e

avaliao dos fatores de risco presentes e de forma antecipada no Ambiente
41
Organizacional, possibilitando uma viso do impacto negativo causado aos

negcios.
As medidas de segurana no podem assegurar 100% de proteo, e a

organizao deve analisar a relao custo/beneficio de todas. A organizao
precisa achar o nvel de risco ao qual estar disposta a correr. Este processo
deve proporcionar as seguintes informaes:
Pontos vulnerveis do ambiente;
Ameaas potenciais ao ambiente;
Incidentes de segurana causados pela ao de cada ameaa;
Impacto negativo para o negcio a partir da ocorrncia dos

incidentes provveis de segurana;
Riscos para o negcio a partir de cada incidente de segurana;
Medidas de proteo adequadas para permitir ou diminuir o impacto

de cada incidente.
Os maiores riscos so aqueles que no vemos ou no conhecemos;

assim o conhecimento do ambiente, e das reais necessidades, tem um papel
to ou mais importante do que as ferramentas que eventualmente venhamos
a utilizar.
Segundo Dias (2000, p.69), Normalmente os impactos so analisados sob dois
aspectos: curto prazo e longo prazo, em funo do tempo em que o impacto, causado
por uma ameaa, permanece afetando os negcios da instituio..
Segundo o Galvo e Poggi, (2002, p.5), Se o hacker conseguir acesso indevido
a dados confidenciais, ter ocorrido um incidente de segurana, que certamente ter
conseqncias. Damos o nome de impacto ao resultado deste incidente..
Analisando impactos e calculando riscos
Existem diversas formas de se analisar os impactos, uma delas classificando-
os. Apenas para ilustrar, abaixo est uma classificao que pode ser utilizada em
diversas situaes.
42
Os impactos devem ser classificados para que sejam adequadamente entendidos
pelos gestores de uma organizao, ento ser considerada a seguinte classificao:
0 Impacto irrelevante;
1 Efeito pouco significativo, sem afetar a maioria dos processos de negcios
da ELECTRA;
2 Sistemas no disponveis por um determinado perodo de tempo, podendo
causar perda de credibilidade junto aos clientes e pequenas perdas financeiras;
3 Perdas financeiras de maior vulto e perda de clientes para a concorrncia;
4 Efeitos desastrosos, porm sem comprometer a sobrevivncia da ELECTRA;
5 Efeitos desastrosos, comprometendo a sobrevivncia da ELECTRA.
Alm do nvel do impacto, podem ser definidos vrios tipos de impactos
intrinsecamente relacionados aos negcios, que devem ser definidos pelas pessoas que
mais o conhecem. Os tipos de impactos considerados so:
0 Ameaa completamente improvvel de ocorrer;
1 Probabilidade de a ameaa ocorrer menos de uma vez por ano;
2 Probabilidade de a ameaa ocorrer pelo menos uma vez por ano;
3 Probabilidade de a ameaa ocorrer pelo menos uma vez por ms;
4 Probabilidade de a ameaa ocorrer pelo menos uma vez por semana;
5 Probabilidade de a ameaa ocorrer diariamente.

43
2.1 Poltica de segurana
A poltica de segurana tem como objetivo fornecer direo da ELECTRA
subsdios para o estabelecimento e manuteno da segurana da informao.
A direo da ELECTRA deve participar desde a elaborao da poltica at a sua
divulgao contando com o seu apoio irrestrito. Sua escrita deve ser simples
apresentando os assuntos de forma clara para que seja compreendida por todos na
ELECTRA. A poltica deve ser constantemente atualizada acompanhando a
modernizao tecnolgica, as mudanas organizacionais de infra-estrutura e de
recursos humanos estando completamente alinhada aos objetivos do negcio e porte
da ELECTRA.
Segundo a NBR ISO/IEC 17799 (2000, p.4), no seu captulo 3 Poltica de
Segurana, diz: Objetivo: Prover direo uma orientao e apoio para a segurana
da informao.
Ainda segundo a norma NRB ISO/IEC 17799 (2000, p.4), recomenda-se que
algumas orientaes seja includas em seu documento:
a) definio de segurana da informao, resumo das metas e escopo e

a importncia da segurana como um mecanismo que habilita o
compartilhamento da informao (ver introduo);
b) declarao do comprometimento da alta direo, apoiando as metas

e princpios da segurana da informao;
c) breve explanao das polticas, princpios, padres e requisitos de

conformidade de importncia especfica para a organizao, por exemplo:
1) conformidade com a legislao e clusulas contratuais;
2) requisitos na educao de segurana;

44
3) preveno e deteco de vrus e software maliciosos;
4) gesto da continuidade do negcio;
5) conseqncias das violaes na poltica de segurana da

informao;
d) definio das responsabilidades gerais e especficas na gesto da

segurana da informao, incluindo o registro dos incidentes de segurana;
e) referncias documentao que possam apoiar a poltica, por

exemplo, polticas e procedimentos de segurana mais detalhados de
sistemas de informao especficos ou regras de segurana que convm que
os usurios sigam.
Portanto, a poltica de segurana um conjunto de princpios que do suporte
gesto da segurana de informaes perante a alta gerncia e o corpo tcnico da
ELECTRA, dividindo-se em normas que ditam as diretrizes gerais da poltica, as
normas.
Documento da poltica de segurana
O documento requer a sua aprovao por parte da direo da ELECTRA,
devendo ser publicado e comunicado de forma adequada para todos os funcionrios.
Segundo a norma NBR ISO/IEC 17799 (2000, p.4), a norma deve conter:
a) definio de segurana da informao, resumo das metas e escopo e

a importncia da segurana como um mecanismo que habilita o
compartilhamento da informao (ver introduo);
b) declarao do comprometimento da alta direo, apoiando as metas

e princpios da segurana da informao;
c) breve explanao das polticas, princpios, padres e requisitos de

conformidade de importncia especfica para a organizao, por exemplo:
1) conformidade com a legislao e clusulas contratuais;
2) requisitos na educao de segurana;
3) preveno e deteco de vrus e software maliciosos;
4) gesto da continuidade do negcio;

45
5) conseqncias das violaes na poltica de segurana da

informao;
d) definio das responsabilidades gerais e especficas na gesto da

segurana da informao, incluindo o registro dos incidentes de segurana;
e) referncias documentao que possam apoiar a poltica, por

exemplo, polticas e procedimentos de segurana mais detalhados de
sistemas de informao especficos ou regras de segurana que convm que
os usurios sigam.
A constante preocupao na divulgao da poltica, como meio para
conscientizao dos funcionrios sobre seu contedo e suas obrigaes, deve ser
preservada, reciclando o conhecimento aos que permanecerem na ELECTRA e
fidelizando aqueles que acabaram de ser contratados.
Deve ser eleito um responsvel pela manuteno do documento e anlise crtica
atravs de um processo definido.
2.2 Segurana organizacional
Seu objetivo gerenciar a segurana da organizao. A norma NBR ISO/IEC
17799 recomenda a implementao de uma gerncia e que promova a implantao e o
controle da segurana da informao na organizao.
2.2.1 Infra-estrutura da segurana da informao
Uma poltica de segurana fundamental para apoiar e estabelecer os nveis de
conhecimento atravs de treinamentos constantes para novos funcionrios ou terceiros
que venham a desempenhar alguma atividade na organizao.

46
Gesto do frum de segurana da informao
Compete organizao eleger um frum representativo que estabelea as
diretrizes de segurana, responsveis e suas competncias.
Segundo Dias (2000, p.79):
O gerente de segurana deve ter em mente trs princpios bsicos:

prevenir o acesso de pessoas no autorizadas aos sistemas e informaes;
impedir que aqueles que conseguirem acesso, autorizado ou no, danifiquem
ou adulterem qualquer coisa; e, uma vez ocorrida a contingncia, estar
preparado para identificar suas causas, recuperar os sistemas e dados e
modificar os controles para que o problema no torne a acontecer.
Coordenao da segurana da informao
Composta por uma equipe multidisciplinar, a coordenao da implantao
estabelece os controles da segurana da informao, nos quais:
Busca das regras e responsabilidades especficas para a segurana da
informao;
Busca as metodologias e processos especficos para a segurana da
informao, tais como avaliao de risco e sistema de classificao de
segurana;
Busca e apia iniciativas de segurana da informao aplicveis por toda
a organizao, como por exemplo programa da conscientizao em
segurana;
Garante que a segurana seja parte do processo de planejamento da
informao;
47
Avalia a adequao e coordena a implementao de controles especficos
de segurana da informao para novos sistemas ou servios;
Analisa criticamente incidentes de segurana da informao;
Promove a visibilidade do suporte aos negcios para segurana da
informao atravs da organizao.
Atribuio das responsabilidades em segurana da informao
recomendado que a responsabilidade pela atribuio de segurana aos ativos
sejam definidas de forma clara e que cada ativo, fsico e de informao, tenha um
gestor responsvel. Compete ao gestor eleger ou no um proprietrio para um ativo, e
este pode delegar a outro, entretanto sem se eximir de suas responsabilidades.
Processo de autorizao para as instalaes de processamento da
informao
Convm que qualquer instalao, seja hardware ou software, seja
convenientemente aprovada pelo gestor do recurso/ambiente, preservando a
integridade do recurso/ambiente.
Consultoria especializada em segurana da informao
Recomenda-se a utilizao de um consultor especialista. Nem todas as
organizaes dispem de um, podendo buscar externamente tal profissional atravs da

48
recomendao de um colaborador que coordenar todo o conhecimento e as
experincias, garantindo a consistncia e auxiliando nas tomadas de deciso.
Em caso de incidentes o consultor poder compor a equipe de investigao
auxiliando na identificao das ameaas e das vulnerabilidades, at mesmo propondo
mudanas direo.
Cooperao entre organizaes
Convm que sejam mantidos contatos apropriados com autoridades legais,
organismos reguladores, provedores de servio de informao e operadores de
telecomunicaes, de forma a garantir que aes adequadas e apoio especializado
possam ser rapidamente acionados na ocorrncia de incidentes de segurana. De forma
similar, convm que a filiao a grupos de segurana e a fruns setoriais seja
considerada.
Convm que trocas de informaes de segurana sejam restritas para garantir
que informaes confidenciais da organizao no sejam passadas para pessoas no
autorizadas.
Anlise critica independente da segurana da informao
O documento da poltica de segurana da informao estabelece a poltica e as
responsabilidades pela segurana da informao. Convm que a sua implementao
seja analisada criticamente, de forma independente, para fornecer garantia de que as
prticas da organizao reflitam apropriadamente a poltica, e que esta seja adequada e
eficiente.
49
Tal anlise crtica pode ser executada pela auditoria interna, por um gestor
independente ou por uma organizao prestadora de servios especializada em tais
anlises crticas, onde estes possurem habilidade e experincia apropriadas.
2.2.2 Segurana no acesso de prestadores de servios
Identificao dos riscos no acesso de prestadores de servio;
Tipos de acesso;
o Acesso fsico: qualquer acesso aos ambientes crticos,
Data Center, almoxarifado, armrios de equipamentos e
cabeamentos, sala dos diretores, sala de gerncia e
controle de alarmes etc, deve ser controlado e autorizado
atravs de mecanismos e dispositivos biomtricos, caso
a situao exija.
Razes para o acesso;
o Necessidade de manuteno e suporte mediante contrato
estabelecido entre as partes;
o Parcerias no desenvolvimento de produtos ou negcios
onde h necessidade de estudos em conjunto;
o A cada tipo de acesso devem ser estudados os ativos de
informao envolvidos, sua criticidade e valores para a

50
organizao, assim dimensionando o correto controle
para o acesso dos terceiros.
Contrato para servios internos;
o Existem diversos prestadores de servios, equipes de
suporte e manuteno, pessoal de limpeza, estagirios,
sub-locao de servios;
o recomendvel que o contrato possua clusulas de
confidencialidade e penalidade caso seja descumprido
no todo ou em parte;
o recomendvel responsabilizar o contratado por toda e
qualquer mudana no quadro de seus colaboradores que
possuem acessos ELECTRA;
o recomendvel que os acessos expirem nas datas em
que os contratos deixam de ser vlidos.
Requisitos de segurana nos contratos com prestadores de servios;
Convm que todo e qualquer acesso de terceiros ELECTRA
seja baseado em contrato formal que fornea as informaes
necessrias ao cumprimento da poltica de segurana da
ELECTRA;
Recomenda-se que todos os ativos envolvidos estejam
declarados em contrato, sendo os contratados responsabilizados
por danos causados aos mesmos;

51
2.3 Classificao e controle dos ativos de informao
Os objetivos desta seo so definir a classificao, o registro e o controle das
informaes da organizao.
Contabilizao dos ativos de informao
A contabilizao tem como objetivo manter a proteo adequada dos ativos de
informao da organizao. Por isso, faz-se necessrio inventariar todos os ativos de
informao para garantir que a proteo seja mantida de forma correta.
A informao deve possuir um proprietrio responsvel e identificado. A ele
atribuda a responsabilidade pelo controle da implementao e manuteno.
Inventrio dos ativos de informao
O objetivo do inventrio dos ativos da informao garantir a implementao
efetiva e correta das protees. Assim, necessrio que a organizao seja capaz de
identificar seus ativos de informao, com seus respectivos valores e importncia, e
cujos nveis de proteo implementados estejam relacionados diretamente com eles.
Para tanto, se faz necessrio estruturar e manter um inventrio dos principais ativos
associados com seus respectivos sistemas de informao. Cada ativo de informao e
seu respectivo proprietrio devem estar claramente identificado, assim como a
classificao de segurana desse ativo deve estar acordada e documentada, juntamente
com sua localizao atual (dado importante para o plano de contingncia).

52
Classificao da informao
O objetivo da classificao da informao garantir que os ativos de informao
recebam um nvel adequado de proteo, pois a informao possui vrios nveis de
sensibilidade e criticidade. A informao deve ser classificada para indicar a
importncia, a prioridade e o nvel de proteo. Pode ser que informaes mais
sensveis recebam um nvel adicional de proteo ou um tratamento especial. Um
sistema de classificao da informao deve ser usado com intuito de definir nveis
mais adequados de proteo.
Recomendaes para classificao
recomendado que a classificao da informao e seus respectivos controles
de proteo levem em considerao as necessidades de compartilhamento ou restrio
da informao com seus respectivos impactos nos negcios. A informao deve ser
classificada e rotulada de acordo com seu valor, sensibilidade e criticidade, e esta
rotulao deve ser feita de forma bem criteriosa, para evitar classificaes que no
condizem com a realidade da informao.
As regras de classificao devem, ainda, levar em considerao que algumas
informaes no devem possuir uma classificao fixa, pois sua sensibilidade varia
com o tempo, e que sua rotulao pode ser modificada de acordo com uma poltica
predeterminada.
Ateno especial deve ser dada interpretao dos rtulos nas informaes de
terceiros, para averiguar se as definies destes so as mesmas utilizadas pela
organizao.
53
A responsabilidade pela classificao da informao e sua reviso peridica
devem ficar a cargo de seu autor ou do proprietrio responsvel por ela.
Rtulos e tratamento da informao
importante definir os procedimentos para rotular a informao em
conformidade com a poltica de classificao da informao adotada pela organizao.
Cada classificao deve abranger as atividades de cpia, armazenamento e tipos de
transmisso a que a informao est sujeita, e ainda, como e quando dever ser
executada a destruio de sua mdia.
2.4 Segurana em pessoas
Os objetivos desta seo so: reduzir os riscos de falha humana, roubo, fraude ou
uso imprprio das instalaes; assegurar que os usurios, de acordo com seus cargos,
estejam cientes das ameaas segurana da informao; assegurar que os usurios
estaro preocupados e treinados em apoiar a poltica de segurana da informao no
desenvolvimento rotineiro de suas tarefas, ajudando a minimizar os danos de
incidentes e o mau funcionamento da segurana, sabendo como agir em caso de
incidentes.
Segurana nos recursos e na definio de trabalho
O objetivo da segurana nos recursos e na definio de trabalho reduzir os
riscos de falha humana, roubo, fraude ou uso indevido das instalaes. Isso exige que
54
todos os funcionrios, terceiros e usurios das instalaes de processamento da
informao assinem um acordo de sigilo.
Na sua fase de manuteno, as responsabilidades de segurana devem ser
atribudas aos funcionrios e terceiros ainda durante o processo de recrutamento e
contratao, includas em contrato e monitoradas ininterruptamente.
Incluso da segurana nas responsabilidades de trabalho
Regras de responsabilidades de segurana devem ser documentadas de acordo
com a poltica de segurana da informao da organizao. A poltica de segurana
deve tambm incluir as responsabilidades gerais pela sua implementao e
manuteno, bem como qualquer responsabilidade especfica para a proteo de
determinados ativos de informao ou pela execuo de determinados processos e
atividades de segurana.
Poltica de pessoal
necessrio verificar, no momento de sua contratao ou promoo, a
idoneidade de funcionrios que de alguma maneira tero acesso s informaes
consideradas sensveis ou sigilosas. Para aqueles funcionrios que ocupam cargos
revestidos de autoridade, e que tm tambm acessos a essas informaes, necessrio
que a checagem seja refeita periodicamente. Os funcionrios novos e sem experincia,
que tm autorizao para acesso a sistemas sensveis devem passar por um perodo de
avaliao e superviso. Um processo similar de seleo deve ser feito para
funcionrios temporrios e fornecedores. No caso em que os recursos humanos so
fornecidos por agncias de RH, o contrato entre a agncia e a organizao deve

55
especificar claramente a responsabilidade da agncia pela seleo e verificao da
idoneidade dos funcionrios.
Acordos de confidencialidade
Os acordos de confidencialidade so importantes para ressaltar o sigilo da
informao. Eles devem fazer parte dos termos e condies iniciais de contratao e,
alm disso, devem continuar a ter validade, mesmo aps o encerramento do contrato
de trabalho. Funcionrios temporrios e fornecedores devem possuir acordos
semelhantes.
Termos e condies de trabalho
Os termos e condies de trabalho devem determinar as responsabilidades dos
funcionrios pela segurana da informao e devem incluir as aes a serem tomadas
em caso de desrespeito ao acordo. Devem determinar, tambm, como sero tratados os
direitos legais do funcionrio com relao s informaes por ele criadas na execuo
de suas tarefas.
Treinamento dos usurios
O treinamento visa garantir que os usurios estaro cientes das ameaas e das
preocupaes de segurana da informao e estaro aptos a apoiar a poltica de
segurana da organizao durante a execuo normal de suas tarefas. Para tanto, eles
devem ser treinados nos procedimentos de segurana e no uso correto das instalaes
de processamento da informao.
56
Educao e treinamento em segurana da informao
Todos os funcionrios e terceiros devem receber internamente treinamento e
atualizaes adequados sobre as polticas e procedimentos organizacionais antes que a
eles seja disponibilizado qualquer servio ou acesso. O treinamento ministrado pelos
multiplicadores da ELECTRA.
Respondendo aos incidentes de segurana e ao mau funcionamento
A resposta aos incidentes de segurana e ao mau funcionamento tem como
funo monitorar tais incidentes com o intuito de minimizar os danos causados, alm e
aprender com eles. Assim, esses incidentes devem ser notificados o mais rpido
possvel, atravs dos canais apropriados. Todos os funcionrios e prestadores de
servios devem conhecer os procedimentos a serem tomados no caso da ocorrncia ou
suspeita de algum tipo de incidente e devem ser conscientizados a comunic-lo o mais
rpido possvel aos canais apropriados.
A organizao deve tambm estabelecer um processo disciplinar formal para
tratar os funcionrios que cometam violaes de segurana.
Notificao dos incidentes de segurana
Um procedimento de notificao formal deve ser estabelecido, junto com o
procedimento de resposta ao incidente, estabelecendo as aes a serem tomadas.
Todos os funcionrios devem estar conscientes dos procedimentos e de report-los o
mais rpido possvel. Processos de realimentao (feedback) devem ser
implementados para assegurar que os relatrios de incidentes sejam notificados

57
juntamente com os resultados obtidos aps o incidente ser tratado. Tais incidentes
podem ser usados nos treinamentos de usurios.
Notificando falhas na segurana
Os usurios devem ser instrudos a comunicar qualquer falha ou ameaa de
segurana ocorrida, ou mesmo uma suspeita, a seus superiores, ou diretamente aos
provedores de servio. Deve ser informado aos usurios, que, em nenhuma
circunstncia, eles devem tentar verificar uma falha suspeita, sob pena de que isso
possa ser interpretado como potencial uso imprprio do sistema.
Notificando o mau funcionamento de software
Devem ser estabelecidos procedimentos para notificao de mau funcionamento
de software. Os usurios no devem tentar remover o software suspeito, a menos que
sejam autorizados, pois a organizao dever possuir pessoal capacitado para tratar de
sua recuperao.
Aprendizagem com os incidentes
Devem existir mecanismos que permitam monitorar, qualificar, quantificar os
incidentes e maus funcionamentos. Isso servir para ajudar a identificar as
necessidades de melhorias nos controles de segurana existentes ou para serem
levados em considerao, quando for realizado o processo de reviso da poltica de
segurana.
Processo disciplinar
58
Deve ser previsto processo disciplinar formal para os funcionrios que tenham
violado as polticas e os procedimentos de segurana. Muitas vezes, a existncia desse
processo pode dissuadir funcionrios que estejam inclinados a desrespeitar os
procedimentos de segurana. necessrio que qualquer punio esteja enquadrada nas
leis vigentes.
2.5 Segurana fsica e do ambiente
Segundo a norma NBR ISO/IEC 17799 (2000,p.14):
O objetivo da segurana fsica : Prevenir acesso no autorizado,

dano e interferncia s informaes e instalaes fsicas da organizao.
Convm que os recursos e instalaes de processamento de informaes
crticas ou sensveis do negcio sejam mantidos em reas seguras, protegidas
por um permetro de segurana definido, com barreiras de segurana
apropriadas e controle de acesso. Convm que estas reas sejam fisicamente
protegidas de acesso no autorizado, dano ou interferncia. Convm que a
proteo fornecida seja proporcional aos riscos identificados. Polticas de
mesa limpa e tela limpa so recomendadas para reduzir o risco de acesso no
autorizado ou danos a papis, mdias, recursos e instalaes de
processamento de informaes.
Segundo Maia (2002, www.modulo.com.br ):
As ameaas internas podem ser consideradas como o risco nmero um

segurana dos recursos computacionais. Um bom programa de segurana
fsica o passo inicial para a defesa da corporao no sentido de proteger as
suas informaes contra acessos indevidos. Este programa deve iniciar
atravs da realizao de uma anlise de risco. Uma visita s dependncias da
empresa pode fornecer resultados interessantes. Os seguintes elementos
devem ser checados durante esta anlise: portas das salas trancadas, mesas e
armrios trancados, estaes de trabalho protegidas contra acessos
indevidos, disposio e proteo das mdias magnticas de armazenamento,
cabeamento de rede padronizado e seguro, informaes protegidas (em meio
magntico e papel), documentos sobre as mesas, descarte de informaes (se
existem trituradoras de papis), reas de circulao de visitantes, reas
restritas etc.
Uma lista das ameaas de segurana fsica poderia conter os seguintes

itens:
59
Incndio (fogo e fumaa);
gua (vazamentos, corroso, enchentes);
Tremores e abalos ssmicos;
Tempestades, furaces;
Terrorismo;
Sabotagem e vandalismo;
Exploses;
Roubos, furtos;
Desmoronamento de construes;
Materiais txicos;
Interrupo de energia (bombas de presso, ar-condicionado,

elevadores);
Interrupo de comunicao (links, voz, dados);
Falhas em equipamentos;
Outros.
Aps este levantamento, o resultado da anlise deve apontar o grau do

risco a que a empresa est exposta em decorrncia das ameaas referentes
segurana fsica. De acordo com as reas de maior risco (aquelas que podem
causar prejuzos ao negcio se um evento motivado por falha na segurana
fsica acontecer), os investimentos devem ser direcionados para que o risco
seja minimizado.
Por exemplo, pode ser que haja a necessidade de se adquirir

equipamentos de controle de acesso baseado em autenticao biomtrica
para reas crticas e de circulao restrita, como sala de servidores, alta
direo da empresa etc. As medidas de correo e equipamentos necessrios
devem ser adquiridos com base no custo-benefcio que proporcionam. Para
alguns casos, o prejuzo decorrente de um evento inferior ao valor do
investimento a ser feito nas medidas de correo, o que nos faz enxergar
com clareza que neste caso, o melhor seria ignorar o risco.
Para estas e outras decises que envolvam investimento em segurana,

a participao do Security Officer da empresa fundamental. Com sua viso
estratgica a respeito dos processos de negcio da empresa, o responsvel
pela segurana saber determinar onde e de que forma a empresa dever
investir para minimizar os riscos. O direcionamento da origem destes
investimentos tambm de suma importncia, uma vez que a rea de TI no
deve ser a responsvel pela verba destinada compra de dispositivos de
controle de acesso fsico do Departamento Financeiro de uma empresa, por
exemplo.
60
A grande mensagem que deixamos aqui que a segurana fsica da

empresa to importante quanto a segurana no ambiente de tecnologia, e
no deve, de forma alguma, ser deixada de lado. Em relao segurana da
informao, no devemos contar com o fator sorte.
Portanto, para se obter um ambiente fsico seguro alguns pontos devem ser
observados. Segundo a norma NBR ISO/IEC 17799 (2000, p14), seguem os pontos a
serem analisados:
2.5.1 reas de segurana
Prevenir acesso no autorizado, dano e interferncia s informaes e instalaes
fsicas da organizao. Convm que os recursos e instalaes de processamento de
informaes crticas ou sensveis do negcio sejam mantidos em reas seguras,
protegidas por um permetro de segurana definido, com barreiras de segurana
apropriadas e controle de acesso. Convm que estas reas sejam fisicamente
protegidas de acesso no autorizado, dano ou interferncia. Convm que a proteo
fornecida seja proporcional aos riscos identificados. Polticas de mesa limpa e tela
limpa so recomendadas para reduzir o risco de acesso no autorizado ou danos a
papis, mdias, recursos e instalaes de processamento de informaes.
Permetro de segurana fsica
A proteo fsica pode ser alcanada atravs da criao de diversas barreiras
fsicas em torno da propriedade fsica do negcio e de suas instalaes de
processamento da informao. Cada barreira estabelece um permetro de segurana,
contribuindo para o aumento da proteo total fornecida. Convm que as organizaes

61
usem os permetros de segurana para proteger as reas que contm os recursos e
instalaes de processamento de dados. Um permetro de segurana qualquer coisa
que estabelea uma barreira. Por exemplo, uma parede, uma porta com controle de
entrada baseado em carto ou mesmo um balco de controle de acesso com registro
manual. A localizao e a resistncia de cada barreira dependem dos resultados da
avaliao de risco. Recomenda-se que as seguintes diretrizes e controles sejam
considerados e implementados nos locais apropriados.
a) Convm que o permetro de segurana esteja claramente definido.
b) Convm que o permetro de um prdio ou local que contenha recursos de
processamento de dados seja fisicamente consistente (isto , no podem
existir brechas onde uma invaso possa ocorrer facilmente). Convm que
as paredes externas do local possuam construo slida e todas as portas
externas sejam protegidas de forma apropriada contra acessos no
autorizados, como, por exemplo, mecanismos de controle, travas,
alarmes, grades etc.
c) Convm que uma rea de recepo ou outro meio de controle de acesso
fsico ao local ou prdio seja usado. Convm que o acesso aos locais ou
prdios seja restrito apenas ao pessoal autorizado.
d) Convm que barreiras fsicas sejam, se necessrio, estendidas da laje do
piso at a laje superior, para prevenir acessos no autorizados ou
contaminao ambiental, como as causadas por fogo e inundaes.
e) Convm que todas as portas de incndio no permetro de segurana
possuam sensores de alarme e mola para fechamento automtico.

62
Controles de Entrada Fsica
Convm que as reas de segurana sejam protegidas por controles de entrada
apropriados para assegurar que apenas pessoas autorizadas tenham acesso liberado.
Recomenda-se que os seguintes controles sejam considerados:
a) Convm que visitantes das reas de segurana sejam checados quanto
permisso para ter acesso e tenham registradas data e hora de sua entrada
e sada. Convm que essas pessoas obtenham acesso apenas s reas
especficas, com propsitos autorizados e que esses acessos sigam
instrues baseadas nos requisitos de segurana e procedimentos de
emergncia prprios da rea considerada.
b) Convm que o acesso s informaes sensveis, instalaes e recursos de
processamento de informaes seja controlado e restrito apenas ao
pessoal autorizado. Convm que os controles de autenticao, como por
exemplo, cartes com PIN sejam usados para autorizar e validar qualquer
acesso. Convm ainda que seja mantida em segurana uma trilha de
auditoria contendo todos os acessos ocorridos.
c) Convm que todos os funcionrios utilizem alguma forma visvel de
identificao e sejam incentivados a informar segurana sobre a
presena de qualquer pessoa no identificada ou de qualquer estranho
no acompanhado.
d) Convm que os direitos de acesso s reas de segurana sejam
regularmente revistos e atualizados.

63
Segurana em escritrios, salas e instalaes de processamento
Uma rea de segurana pode ser um escritrio fechado ou diversas salas dentro
de um permetro de segurana fsica, que podem estar fechadas ou podem conter
armrios fechados ou cofres. Convm que a seleo e o projeto de uma rea de
segurana levem em considerao as possibilidades de dano causado por fogo,
inundaes, exploses, manifestaes civis e outras formas de desastres naturais ou
causados pelo homem. Convm que tambm sejam levados em considerao as
regulamentaes e padres de segurana e sade. Tambm devem tratar qualquer
ameaa originada em propriedades vizinhas, como por exemplo vazamento de gua de
outras reas. Recomenda-se que os seguintes controles sejam considerados:
a) Convm que as instalaes crticas sejam localizadas de forma a evitar o
acesso pblico.
b) Convm que os prdios sejam sem obstrues em seu acesso, com
indicaes mnimas do seu propsito, sem sinais bvios, tanto fora
quanto dentro do prdio, da presena de atividades de processamento de
informao.
c) Convm que os servios de suporte e equipamentos, como por exemplo
fotocopiadoras e mquinas de fax sejam instalados de forma apropriada
dentro de reas de segurana para evitar acesso que possa comprometer a
informao.
d) Convm que as portas e janelas sejam mantidas fechadas quando no
utilizadas e que sejam instaladas protees externas, principalmente
quando essas portas e janelas se localizarem em andar trreo.

64
e) Convm que os sistemas de deteco de intrusos sejam instalados por
profissionais especializados e testados regularmente, de forma a cobrir
todas as portas externas e janelas acessveis. Convm que as reas no
ocupadas possuam um sistema de alarme que permanea sempre ativado.
Convm que esses cuidados tambm cubram outras reas, como por
exemplo a sala de computadores ou salas de comunicao.
f) Convm que as instalaes de processamento da informao gerenciadas
pela organizao fiquem fisicamente separadas daquelas gerenciadas por
prestadores de servio.
g) Convm que os arquivos e as listas de telefones internos que identificam
os locais de processamento das informaes sensveis no sejam de
acesso pblico.
h) Convm que os materiais combustveis ou perigosos sejam guardados de
forma segura a uma distncia apropriada de uma rea de segurana.
Convm que os suprimentos volumosos, como material de escritrio, no
sejam guardados em uma rea de segurana, a menos que requeridos.
i) Convm que os equipamentos de contingncia e meios magnticos de
reserva (backup) sejam guardados a uma distncia segura da instalao
principal para evitar que desastres neste local os afetem.
Trabalhando em reas de segurana
Manuais e controles adicionais podem ser necessrios para melhorar as
condies de uma rea de segurana. Isso inclui controles tanto para o pessoal da
65
organizao como para prestadores de servios que trabalham em reas de segurana,
assim como para atividades terceirizadas que possam ocorrer nessa rea. Recomenda-
se que os seguintes itens sejam considerados.
a) Convm que os funcionrios s tenham conhecimento da existncia de
rea de segurana ou de atividades dentro dela quando necessrio.
b) Convm que se evite trabalho sem superviso nas reas de segurana,
tanto por razes de segurana como para prevenir oportunidades para
atividades maliciosas.
c) Convm que as reas de segurana desocupadas sejam mantidas
fisicamente fechadas e verificadas periodicamente.
d) Convm que pessoal de servio de suporte terceirizado tenha acesso
restrito s reas de segurana ou s instalaes de processamento de
informaes sensveis somente quando suas atividades o exigirem.
Convm que este acesso seja autorizado e monitorado. Barreiras e
permetros adicionais para controlar o acesso fsico podem ser
necessrios em reas com diferentes requisitos de segurana dentro de
um mesmo permetro de segurana.
e) Convm que no se permitam o uso de equipamentos fotogrficos, de
vdeo, de udio ou de outro equipamento de gravao, a menos que seja
autorizado.
66
Isolamento das reas de expedio e cargas
Convm que as reas de expedio e de carregamento sejam controladas e se
possvel isoladas das instalaes de processamento da informao, com o objetivo de
evitar acessos no autorizados. Convm que os requisitos de segurana sejam
determinados a partir de uma avaliao de risco. Recomenda-se que os seguintes itens
sejam considerados:
a) Convm que o acesso rea de movimentao e suporte (carga e
descarga) externa ao prdio seja restrito somente ao pessoal identificado
e autorizado.
b) Convm que esta rea seja projetada de forma que os suprimentos
possam ser descarregados sem que o pessoal responsvel pela entrega
tenha acesso s outras partes do prdio.
c) Convm que a(s) porta(s) externa(s) destas reas seja(m) mantida(s)
protegida(s) quando as portas internas estiverem abertas.
d) Convm que o material de entrada seja inspecionado contra potenciais
perigos [ver 7.2.1 d)], antes de ser transportado dessa rea para a rea na
qual ser utilizado.
e) Convm que o material recebido seja registrado, se apropriado (ver 5.1),
quando da sua recepo.

67
2.5.2 Segurana dos equipamentos
Objetivo: Prevenir perda, dano ou comprometimento dos ativos e a interrupo
das atividades do negcio.
Convm que os equipamentos sejam fisicamente protegidos contra ameaas
sua segurana e perigos ambientais. A proteo dos equipamentos (incluindo aqueles
utilizados fora das instalaes fsicas da organizao) necessria para reduzir o risco
de acessos no autorizados a dados e para proteo contra perda ou dano. Convm que
esta proteo considere os equipamentos instalados e os em alienao. Controles
especiais podem ser exigidos para proteo contra perigos ou acessos no autorizados
e para salvaguardar as instalaes de suporte, como o fornecimento de energia eltrica
e cabeamento.
Instalao e proteo dos equipamentos
Convm que os equipamentos sejam instalados ou protegidos para reduzir o
risco de ameaas ambientais, perigos e oportunidades de acesso no autorizado.
Recomenda-se que os seguintes itens sejam considerados:
a) Convm que os equipamentos sejam instalados de forma a reduzir
acessos desnecessrios rea de trabalho.
b) Convm que as instalaes de processamento e armazenamento de
informao que tratam de informaes sensveis sejam posicionadas de
maneira a reduzir riscos de espionagem de informaes durante o seu
uso.
68
c) Convm que os itens que necessitem de proteo especial sejam isolados
para reduzir o nvel geral de proteo exigida.
d) Convm que sejam adotados controles, de forma a minimizar ameaas
potenciais, incluindo:
Roubo;
Fogo;
Explosivos;
Fumaa;
gua (ou falha de abastecimento);
Poeira;
Vibrao;
Efeitos qumicos;
Interferncia no fornecimento eltrico;
Radiao eletromagntica.
e) Convm que uma organizao considere polticas especficas para
alimentao, bebida e fumo nas proximidades das instalaes de
processamento da informao.
69
f) Convm que aspectos ambientais sejam monitorados para evitar condies
que possam afetar de maneira adversa operao das instalaes de
g) Convm que uso de mtodos de proteo especial, como capas para
teclados, seja considerado para equipamentos em ambiente industrial.
h) Convm que o impacto de um desastre que possa ocorrer nas proximidades
da instalao, como por exemplo um incndio em um prdio vizinho,
vazamentos de gua no telhado ou em andares abaixo do nvel do cho ou
exploses na rua tambm seja considerado.
Fornecimento de energia
Convm que os equipamentos sejam protegidos contra falhas de energia e outras
anomalias na alimentao eltrica. Convm que um fornecimento de energia
apropriado ocorra em conformidade com as especificaes do fabricante do
equipamento. Algumas opes para alcanar a continuidade do fornecimento eltrico
incluem:
a) Alimentao mltipla para evitar um nico ponto de falha no fornecimento
eltrico;
b) No-break (Uninterruptable Power Supply - UPS);
c) Gerador de reserva. recomendado o uso de no-break em equipamentos
que suportem atividades crticas para permitir o encerramento ordenado ou
a continuidade do processamento. Convm que os planos de contingncia
contenham aes a serem tomadas em casos de falha no no-break. Convm

70
que esse tipo de equipamento seja periodicamente verificado, de forma a
garantir que ele esteja com a capacidade adequada, e testado de acordo com
as recomendaes do fabricante. Convm que um gerador de reserva seja
considerado se o processamento requer continuidade, em caso de uma falha
eltrica prolongada. Se instalados, convm que os geradores sejam testados
regularmente de acordo com as instrues do fabricante. Convm que um
fornecimento adequado de leo esteja disponvel para assegurar que o
gerador possa ser utilizado por um perodo prolongado. Adicionalmente,
convm que se tenham interruptores eltricos de emergncia localizados
prximo s sadas de emergncia das salas de equipamentos para facilitar o
desligamento em caso de emergncia. Convm que iluminao de
emergncia esteja disponvel em casos de falha da fonte eltrica primria.
Convm que proteo contra relmpagos seja usada em todos os prdios e
que filtros de proteo contra raios sejam instalados para todas as linhas de
comunicao externas.
Segurana do cabeamento
Convm que o cabeamento eltrico e de telecomunicao que transmite dados ou
suporta os servios de informao seja protegido contra interceptao ou dano.
a) Convm que as linhas eltricas e de telecomunicaes das instalaes de
processamento da informao sejam subterrneas, onde possvel, ou
sejam submetidas proteo alternativa adequada.

71
b) Convm que o cabeamento da rede seja protegido contra interceptaes
no autorizadas ou danos, por exemplo pelo uso de condutes ou evitando
a sua instalao atravs de reas pblicas.
c) Convm que os cabos eltricos fiquem separados dos cabos de
comunicao para prevenir interferncias.
d) Convm que para sistemas crticos ou sensveis sejam utilizados alguns
controles adicionais, tais como:
1) Instalao de condutes blindados e salas ou gabinetes trancados nos
pontos de inspeo e terminais;
2) Uso de rotas e meios de transmisso alternativos;
3) Uso de cabeamento de fibra ptica;
4) Varredura inicial para identificar dispositivos no autorizados conectados
aos cabos.
Manuteno dos equipamentos
Convm que a manuteno correta dos equipamentos garanta a continuidade da
disponibilidade e integridade dos mesmos. Recomenda-se que os seguintes itens sejam
considerados:
a) Convm que os equipamentos tenham manuteno de acordo com
intervalos e especificaes do fabricante.
b) Convm que apenas pessoal autorizado execute reparos e servios nos
equipamentos.
72
c) Convm que se mantenham registros de todas as falhas suspeitas ou
ocorridas e de toda manuteno corretiva e preventiva.
d) Convm que controles apropriados sejam utilizados quando do envio de
equipamentos para manuteno fora da instalao fsica (ver tambm
7.2.6, considerando dados excludos, apagados e sobrepostos). Convm
que todos os requisitos impostos pelas aplices de seguro sejam
atendidos.
Segurana de equipamentos fora das instalaes
Independentemente de quem seja o proprietrio, convm que o uso de qualquer
equipamento para o processamento da informao fora das instalaes da organizao
seja autorizado pela direo. Convm que a segurana fornecida seja equivalente
quela oferecida aos equipamentos utilizados dentro da organizao para o mesmo
propsito, levando-se em conta os riscos de se trabalhar fora das instalaes da
organizao. Os equipamentos de processamento de informao incluem todas as
formas de computadores pessoais, agendas eletrnicas, telefones mveis, papis ou
outros, que so levados para se trabalhar em casa ou para fora do ambiente normal de
trabalho. Recomenda-se que os seguintes itens sejam considerados:
a) Convm que equipamento e mdias levados para fora das instalaes no
sejam deixados desprotegidos em reas pblicas. Convm que
computadores portteis sejam carregados como bagagem de mo e
disfarados sempre que possvel nas viagens.

73
b) Convm que as instrues dos fabricantes para proteo dos
equipamentos sejam sempre observadas, como por exemplo proteo
contra exposio a campos magnticos intensos.
c) Convm que os controles para trabalho em casa sejam determinados
atravs da avaliao de risco e os controles apropriados aplicados
conforme a necessidade, como por exemplo gabinetes de arquivo
fechados, poltica de mesa limpa e controles de acesso aos computadores.
d) Convm que se use uma cobertura adequada de seguro para proteger os
equipamentos existentes fora das instalaes da organizao. Os riscos
de segurana, como por exemplo de dano, roubo e espionagem, podem
variar consideravelmente conforme a localizao e convm que sejam
levados em conta na determinao dos controles mais apropriados.
Maiores informaes sobre a proteo de equipamentos mveis podem
ser encontradas em 9.8.1.
Reutilizao e alienao segura de equipamentos
A informao pode ser exposta pelo descuido na alienao ou reutilizao de
equipamentos (ver tambm 8.6.4). Convm que dispositivos de armazenamento que
contenham informao sensvel sejam destrudos fisicamente ou sobrescritos de forma
segura ao invs da utilizao de funes-padro para a excluso.
Convm que todos os itens de equipamentos que possuem meios de
armazenamento, como por exemplo discos rgidos, sejam checados para assegurar que
toda informao sensvel e software licenciado foram removidos ou sobrepostos antes
da alienao do equipamento. Dispositivos de armazenamento danificados contendo

74
informaes sensveis podem necessitar de uma avaliao de riscos para se determinar
se tais itens deveriam ser destrudos, reparados ou descartados.
2.5.3 Controles gerais
Objetivo: Evitar exposio ou roubo de informao e de recursos de
Convm que informaes e recursos de processamento da informao sejam
protegidos de divulgao, modificao ou roubo por pessoas no autorizadas e que
sejam adotados controles de forma a minimizar sua perda ou dano. Os procedimentos
para manuseio e armazenamento esto considerados em 8.6.3.
Poltica de mesa limpa e tela limpa
A organizao deve considerar a adoo de uma poltica de mesa limpa para
papis e mdias removveis e uma poltica de tela limpa para os recursos de
processamento da informao, de forma a reduzir riscos de acesso no autorizado,
perda e danos informao durante e fora do horrio normal de trabalho. A poltica
deve levar em considerao as classificaes da segurana das informaes, os riscos
correspondentes e os aspectos culturais da organizao.
As informaes deixadas em mesas de trabalho tambm so alvos provveis de
danos ou destruio em um desastre como incndio, inundaes ou exploses.

75
a) Onde for apropriado, convm que papis e mdias de computador sejam
guardados, quando no estiverem sendo utilizados, em gavetas
adequadas, com fechaduras e/ou outras formas seguras de mobilirio,
especialmente fora do horrio normal de trabalho.
b) Informaes sensveis ou crticas ao negcio, quando no forem
requeridas, devem ser guardadas em local distante, de forma segura e
fechada (de preferncia em um cofre ou arquivo resistente a fogo),
especialmente quando o escritrio estiver vazio.
c) Computadores pessoais, terminais de computador e impressoras no
devem ser deixados ligados quando no assistidos e devem ser
protegidos por senhas, chaves ou outros controles quando no estiverem
em uso.
d) Pontos de recepo e envio de correspondncias e mquinas de fax e
telex no assistidas devem ser protegidos.
e) Copiadoras devem ser travadas (ou de alguma forma protegidas contra o
uso no autorizado) fora do horrio normal de trabalho.
f) Informaes sensveis e classificadas, quando impressas, devem ser
imediatamente retiradas da impressora.
Remoo de propriedade
Equipamentos, informaes ou software no devem ser retirados da organizao
sem autorizao. Quando necessrio e apropriado, os equipamentos devem ser
desconectados e conectados novamente no seu retorno. Inspees pontuais devem ser

76
realizadas de forma a detectar a remoo no autorizada de propriedade. As pessoas
devem estar cientes de que inspees pontuais sero realizadas seguindo um plano de
auditoria.
2.6 Conformidade
Os objetivos desta sesso so evitar, por parte da organizao, as seguintes
violaes: s leis civis ou criminais; s obrigaes legais ou contratuais de propriedade
intelectual; de segurana a sistemas e informaes de terceiros. Tambm visa a
maximizar a efetividade e minimizar a interferncia em sistema de auditagem.
2.6.1 Conformidade com requisitos legais
O projeto, a operao, o uso e a gesto de sistemas de informao podem estar
sujeitos a requisitos de segurana contratuais, regulamentares ou estatutrios. Por isso,
necessrio identificar os aspectos legais para evitar a violao de qualquer lei
criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer
requisitos de segurana.
Consultoria em requisitos legais pode ser procurada em organizaes de
consultoria jurdica ou com profissionais liberais adequadamente qualificados.
importante lembrar que os requisitos legais variam de pas para pas e se aplicam
tambm para a informao criada em um pas e transmitida para outro.

77
Identificao da legislao vigente
Estatutos, regulamentaes ou obrigaes contratuais relevantes devem ser
explicitamente definidos e documentados para cada sistema de informao, bem como
os controles e as responsabilidades especficas para atender a esses requisitos.
Direitos de propriedade intelectual
Procedimentos apropriados devem ser implantados para garantir a conformidade
com as restries legais quanto propriedade intelectual.
Legislao, regulamentao e clusulas contratuais podem estabelecer restries
para a cpia de material, evitando a transgresso aos direitos autorais.
Produtos de software proprietrios so normalmente fornecidos de acordo com
um contrato de licenciamento que restringe o seu uso, cpia e instalao.
Para se evitar a transgresso dos contratos de licenciamento, uma poltica de
conformidade de direito autoral deve ser implementada para definir o uso legal de
produtos de software ou de informao.
Proteo de registros organizacionais
A proteo de registros importantes de uma organizao muito importante para
se evitar perdas, destruio e falsificao dos mesmos. Alm disso, alguns registros
precisam ser retidos de forma segura para atender a requisitos estatutrios ou
regulamentaes, assim como para apoiar as atividades essenciais da organizao.
Para isso, sistemas de armazenagem confiveis de registros organizacionais devem ser
previstos.
78
Esses sistemas de armazenagem devem ser escolhidos de modo que o dado
solicitado possa ser recuperado de forma legal e aceitvel.
E, por ltimo, o sistema de armazenamento e manuseio deve assegurar a clara
identificao dos registros e seus respectivos perodos de reteno estatutrios e
regulamentares. Deve permitir, ainda, a destruio apropriada dos registros aps esses
perodos, caso no sejam mais necessrios organizao.
Proteo de dados e privacidade da informao pessoal
Alguns pases possuem leis que estabelecem controles no processamento e na
transmisso de dados pessoais. Alguns desses controles dizem respeito
responsabilidade na armazenagem e divulgao desses dados.
Estar em conformidade legal com essas leis requer estrutura e controles
apropriados. Normalmente, isso alcanado atravs da indicao de um responsvel
pela proteo de dados, o qual dever oferecer orientaes para gerentes, usurios e
prestadores de servio a respeito de como tratar legalmente este tipo de informao.
Porm, de responsabilidade do proprietrio do dado notificar ao responsvel sobre
qualquer proposta de armazenamento de informaes pessoais em arquivo estruturado
e garantir a capacitao nos princpios de proteo de dados definidos na legislao
vigente.
79
Preveno contra uso imprprio das instalaes de processamento da
informao
Qualquer uso das instalaes de processamento de dados para propsitos outros
que no os do negcio, sem a devida autorizao, ser considerado como imprprio. E
sua ocorrncia dever ser passvel de punio.
Atualmente, o uso imprprio de computadores est se tornando crime previsto
em lei. Por isso, funcionrios e terceiros que utilizam as instalaes da organizao
devem ser alertados sobre tal procedimento e devem ter conhecimento do escopo exato
de suas permisses e do fato de que nenhum acesso permitido sem a devida
autorizao.
No momento da conexo inicial, deve ser informado ao usurio, na tela do
computador, que o sistema ao qual ele est acessando privado e que no so
permitidos acessos no autorizados. Assim, ao se conectar ele estar de acordo com
isto.
Regulamentao de controles criptogrficos
Alguns pases tm estabelecido acordos, leis, regulamentaes e outros
instrumentos para controlar o acesso ou uso de controles criptogrficos.
Consultoria jurdica deve ser obtida para garantir a conformidade desse processo
com a legislao nacional vigente e tambm para opinar sobre a transferncia de
informaes cifradas ou controles criptogrficos para outros pases.

80
Coleta de evidncias
Um processo jurdico contra pessoa ou organizao deve estar embasado em
evidncias adequadas. Quando ele for de ordem interna, as evidncias necessrias
devero estar definidas nos procedimentos internos. Quando for de ordem externa, as
evidncias necessrias devem estar de acordo com as regras estabelecidas pela lei ou
tribunal de justia especficos da localidade onde o caso ser julgado.
Para se obter a admissibilidade da evidncia, as organizaes devem garantir que
seus sistemas de informao estejam em conformidade com qualquer norma ou cdigo
de prtica publicados.
Por outro lado, para o proprietrio obter qualidade e inteireza da evidncia, um
bom registro (log) de evidncia necessrio. Quando o incidente detectado, pode
no ser bvio que resultar num possvel processo jurdico. Pode ser, tambm, que a
evidncia necessria seja destruda acidentalmente antes que seja percebida a
seriedade do incidente. conveniente acionar um advogado ou a polcia, to logo seja
constatada a necessidade de processos jurdicos, bem como obter consultoria
especializada sobre as evidncias necessrias.
2.7 Anlise da poltica de segurana e da conformidade tcnica
A segurana dos sistemas de informao deve estar em constante reviso para
garantir a conformidade dos sistemas com as polticas e normas de segurana da
organizao.
81
Conformidade com a poltica de segurana
Os gerentes devem garantir que todos os procedimentos de segurana estejam
sendo executados dentro de sua rea de responsabilidade.
Os proprietrios dos sistemas de informao devem apoiar as anlises crticas
peridicas de conformidade dos seus sistemas com as normas, polticas e requisitos de
segurana apropriados.
Verificao da conformidade tcnica
Sistemas de informao devem ter periodicamente verificados na sua
conformidade com as normas de segurana implantadas. A verificao de
conformidade tcnica envolve a anlise dos sistemas operacionais para garantir que
controles de equipamentos e software foram corretamente implementados. A
verificao de conformidade deve ser sempre executada ou acompanhada por pessoas
competentes e especializadas.
Consideraes quanto auditoria de sistemas
Devem existir controles para proteo dos sistemas operacionais e das
ferramentas de auditoria quando da realizao de auditorias de sistema, no intuito de
maximizar a eficcia e minimizar a interferncia do processo de auditoria no sistema.
necessrio, tambm, proteger a integridade e prevenir o uso imprprio das
ferramentas de auditoria.
82
Requisitos e atividades de auditoria que exijam a verificao nos sistemas
operacionais devem ser cuidadosamente planejados e acordados para minimizar os
riscos de interrupo dos ambientes crticos.
Acessos s ferramentas de auditoria de sistema devem ser protegidos contra uso
imprprio ou comprometimento. Estas ferramentas devem estar isoladas dos
ambientes de desenvolvimento e de produo e no devem ser manipuladas em reas
de acesso de usurios, a menos que forneam um nvel apropriado de proteo.
2.8 Mecanismos e dispositivos de segurana
2.8.1 Infra-Estrutura do Data Center
Sala-Cofre
Segundo Brasiliano (2004), a sala-cofre uma soluo mundialmente adotada
pelos Data Centers. Ela composta por uma clula hermtica e de mltiplas camadas
de proteo para distribuio e absoro de impacto, presso e calor..
A concepo da sala-cofre, no que diz respeito proteo composta por uma
cmara externa refratria (a prova de temperaturas at 1000 C) e uma clula interna
hermtica (estanque a gases e lquidos) que tem capacidade de absoro de calor. A

83
envasadura entre as clulas externas e internas permite distribuio de presses e calor
para otimizar a capacidade de resistir a todos tipos de sinistros.
A sala-cofre deve ser uma soluo sob medida, sendo a cmara externa
construda na rea em alvenaria e concreto, com aproveitamento de lajes e paredes
existentes ou pode ser composta por elementos pr-fabricados. A clula interna pr-
fabricada em painis com 3 cm de espessura em chapa de ao. Os painis da lateral,
teto e fundo so montados dentro, mas independente da cmara externa e unidos por
pontos de solda MIG (material inerte gs). As juntas so flexveis para poder
absorver deformaes sem perder o isolamento.
O acesso sala-cofre protegido por uma porta refratria integrada cmara
externa, abrindo para fora e uma porta estanque integrada a clula interna, abrindo
para dentro.
A sala-cofre deve possuir um sistema de piso elevado para atender as seguintes
necessidades:
Funcionar como "plenum de insuflamento" de ar condicionado;
Permitir a passagem de cabos de fora para os computadores;
Permitir a passagem de cabos de lgica entre as vrias unidades do
computador;
Permitir a distribuio das vrias linhas da rede telefonia, do sistema de
segurana e de deteco e combate ao fogo;
Permitir fcil remanejamento de unidades e oferecer maior flexibilidade
e alteraes de "layout" e expanses futuras;

84
O piso deve possuir as seguintes caractersticas: estrutura metlica de
apoio, autoportante, disposta em forma reticulada, sem perfis metlicos
aparentes, apoiada em suportes metlicos verticais ajustveis a uma
altura entre 0,40 m a 0,60 m;
Possuir placas removveis e intercambiveis, com a mesma modularidade
da estrutura metlica, de fcil remoo e recolocao, com revestimento
superficial especfico para piso que permita a descarga de eletricidade
esttica;
Suportar os esforos das cargas distribudas e concentradas, previstos nos
locais para onde foram projetados e instalados;
Todo o sistema de piso elevado dever ser aterrado, podendo
eventualmente ser utilizado como malha de referncia;
Devero ser evitados materiais combustveis e PVC (polmero
termoplstico);
As placas no devero ter nenhuma parte metlica exposta;
As estruturas dos pisos elevados devem ser suportadas por materiais
incombustveis de resistncia adequada. Sua estrutura no deve ter peas
de alumnio ou outro material com ponto de fuso abaixo de 100C. As
placas devem ser no inflamveis e resistentes ao fogo por no mnimo 30
minutos;
85
O piso deve ser projetado de forma a permitir que sua integridade seja
mantida e garantir um isolamento trmico conveniente, no caso de um
incndio iniciar-se dentro do vo criados entre tal piso e a laje;
Todas as aberturas devem ser fechadas tanto quanto possvel para
impedir que fiapos e outras fontes de ignio, ao longo do tempo,
gradualmente acumulem-se no envasamento.
A passagem de ar (necessrio em caso de climatizao por sistema externo)
exige damper especial para blindagem da abertura. As portas e os dampers so
providos de sistemas de fechamento autnomos somente com a energia das suas
prprias molas.
Energia eltrica s aplicada para mant-las abertas.
A sala-cofre uma proteo altamente confivel, pois opera normalmente
fechada ou fecha de imediato ao menor sinal de perigo.
No h custo para acion-la e no oferece risco para funcionrios. Portanto, no
necessita de bloqueio como em alguns sistemas de combate, nem retardamento para
verificao ou qualquer outro impedimento. As pessoas podem sair da sala mesmo se
for trancada a chave. A iluminao interna provida de fontes eletrnicas de alta
freqncia e com total segurana. Para controle do risco de ignio dentro da clula
(mesmo sendo um risco remoto) deve haver detector de produtos de combusto
("fumaa") ligado ao sistema do prdio. Para combate automtico dentro da sala pode
ser instalado um sistema de descarga de gs supressor de combusto.
A sala-cofre hoje usada nas reas onde os equipamentos possam trabalhar sem
interveno humana, tais como:

86
CPU (Unidade Central de Processamento);
Discos, fitoteca robotizada;
Servidores de rede e equipamentos de comunicao;
A sala-cofre deve possuir, em caso de emergncia, um sistema automtico que
deve entrar em "estado de alarme" desencadeando as seguintes funes: tocar o alarme
dentro da sala, fechar a porta interna e, aps pequeno retardo, fechar a porta externa.
Aps um pequeno perodo desligar a iluminao.
2.8.2 Acesso ao CPD
Controle de Acesso
Segundo Haical (2004):
O controle de acesso do tipo fsico toda e qualquer aplicao de

equipamentos ou procedimentos com o objetivo de proteger ambientes,
equipamentos ou informaes cujo acesso deve ser restrito. Esse tipo de
controle envolve o uso de cancelas, chaves, trancas, guardas, ces, crachs,
grades, muros, alarmes, vdeo, smart cards (cartes com capacidade de
armazenar e processar dados), biometria (ramo da cincia que estuda a
mensurao dos seres vivos). e outros meios que podem ser usados nos
pontos de acesso onde o usurio tenta obter o acesso, alm da aplicao de
normas e procedimentos utilizados pela empresa para esse fim.
Os sistemas de controle de acesso fsico possibilitam a integrao de outras
funcionalidades, como integrao com leitores biomtricos, controle de
estacionamento, controle de elevadores, integrao com alarmes de incndio, controle
de ronda, emisso de crachs para visitantes e integrao com CFTV (circuito fechado
87
de televiso), ou tambm o Acesso Universal, isto , a integrao do controle de
acesso fsico com controle de acesso lgico, possibilitando a criao de
implementaes especiais, como permitir o acesso estao de trabalho apenas a
usurios que se autenticaram no ponto de acesso e a utilizao da mesma credencial
biomtrica (referente biometria) para todos os dispositivos.
O controle de acesso fsico utilizando mtodos manuais ou automatizados deve
ter como regra bsica a capacidade de diferenciar o usurio autorizado e o no
autorizado mediante sua identificao, assim atentando s seguintes premissas:
O que a pessoa : sua identificao ou caractersticas biomtricas;
O que a pessoa possui: uso de cartes ou chaves;
O que a pessoa sabe: uso de senha ou cdigos.
possvel notar o uso de duas destas premissas em um exemplo bastante comum
como o caixa de banco automtico. O que o usurio possui, como o carto magntico e
o que ele sabe, como a senha de acesso. Sistemas que utilizam apenas uma das
premissas esto mais suscetveis falhas provenientes por perda, uso indevido e
falsificaes, sendo mais confivel o uso de mais de uma premissa. Um sistema de
controle de acesso tambm pode conter as seguintes caractersticas:
Proteo contra ataques forados: o esquema de controle deve ter a
eficincia para evitar invases mediante o corte de energia ou fora bruta.
Capacidade de expanso: o sistema deve ter capacidade de crescimento
ou mudanas. Tais mudanas so provenientes do aumento de usurios
autorizados, alteraes nos nveis de privilgios de acesso. Tambm deve

88
conter modems (modulador/demodulador) ou redes virtuais privadas
possibilitando o controle de acesso em pontos remotos.
Habilidade de registrar acessos: deve ser capaz de registrar os acessos de
modo que permita consultas posteriores, monitorao e auditorias com
aplicao de filtros de pesquisa. Assim, o sistema deve gravar pelo
menos a data, hora, local e a identificao da pessoa. E para os acessos
invlidos devem ser gravadas as datas, hora, local, identificao e a razo
do bloqueio.
Bloqueio de mltiplos acessos: o sistema deve bloquear a entrada de uma
determinada pessoa at que sua sada seja efetuada, assim evitando o uso
da mesma identificao por mais de uma pessoa. Para evitar o acesso
mltiplo, o sistema tambm deve permitir apenas a entrada de uma
pessoa a cada acesso vlido. Podem ser usadas, por exemplo, catracas ou
portas giratrias que so utilizadas em bancos brasileiros permitindo a
passagem de uma pessoa por vez. recomendada a utilizao de uma
monitorao intensa para dispositivos de controle de baixa altura como
roletas e catracas, pois possvel ser pulado por pessoas. Assim se a
inteno for utilizar um ponto de acesso com pouca superviso, devem
ser usados dispositivos de altura plena.
Tipos de Controle de Acesso Fsico
Grades e muros: Inibem a presena de curiosos e pessoas no autorizadas
estabelecendo um limite. Grades devem ter alarmes ou estar sob vigilncia de guardas,
cachorros ou monitores de televiso.

89
Cancelas: Podem ser simples para locais abertos ou articuladas para locais que
obstruam o seu levantamento. As cancelas podem ser controladas manualmente, por
meio de botes, cartes magnticos, de cdigo de barras ou cartes de proximidade e
por algum dispositivo biomtrico (referente biometria) como o de verificao de
digital, o mais comum.
Guardas: podem ser posicionados em pontos estratgicos para melhor controlar
o acesso e permiti-lo apenas a pessoas autorizadas. Sua atuao bastante eficaz na
inspeo de pacotes e outros objetos de mo na entrada ou sada. Autenticao por
senha: geralmente feita por meio da digitao da senha em um teclado junto ao ponto
de acesso. Ao ser digitada corretamente abre-se a porta ou outro tipo de acesso. A
senha tambm pode ser utilizada em um carto ou crach de identificao, sendo
recomendada a ausncia de identificao visual, informaes ou perfuraes no carto
ou crach referentes aos privilgios de acesso, evitando o uso indevido em caso de
perda ou furto.
Portas duplas: geralmente usadas para forar pessoas que esto tentando ter o
acesso a identificarem-se para um guarda, que pode se posicionar na entrada da
segunda porta ou por um sistema de televiso e udio. Pode ser aplicada em situaes
que uma pessoa persegue outra para tentar obter acesso a reas restritas.
Torniquetes: um equipamento que permite o fluxo controlado de pessoas nos
dois sentidos de giro (uni ou bidirecional). Aceita a condio monitorada de entrada e /
ou sada com restries de autorizao da passagem ou ainda por horrio por meio do
coletor de dados.
Podem ser integrados com vrios validadores ou equipamentos de controle (por
carto magntico, cdigo de barras, proximidade, smart cards, dispositivos

90
biomtricos etc.) e ainda com dispositivos de comando distncia como controle
remoto ou similares.
Controle de acesso biomtrico: Biometria mais bem definida como sendo a
mensurao fisiolgica e/ou caracterstica de comportamento que pode ser utilizada
para verificao de identidade de um indivduo. A mensurao inclui impresses
digitais, voz, retina, ris, reconhecimento de face, imagem trmica, anlise de
assinatura, palma da mo e outras tcnicas. A biometria tem vantagens no seu uso
sobre os outros mtodos de autenticao. Cartes magnticos, crachs, smart cards,
chaves podem ser perdidos, duplicados, roubados e mesmo esquecidos em casa.
Senhas podem ser observadas, compartilhadas ou esquecidas, o que no acontece com
alguns sistemas da biometria. O usurio identificado por caractersticas nicas,
pessoais e intransferveis, ou seja, pelo que ele e no pelo que possui (cartes ou
crachs) ou sabe (senhas).
Crachs: funcionrios e visitantes devem ser obrigados a us-los para obterem o
acesso. Para maior segurana recomendado que os crachs tenham poucas
informaes como assinaturas e detalhes impressos sobre os privilgios de acesso do
funcionrio. A identificao pode ser feita por cdigos ou cores e o nmero de srie
dos crachs deve ser nico.
Tipo de Crachs: funcionrio, prestador de servio, visitante, provisrio, scio
(para clubes), aluno (para academias e escolas), especial (o qual pode ser
personalizado, por exemplo, estagirio, temporrio etc.).
Portarias: as portarias devem fazer o registro e a baixa dos visitantes,
agendamento de visitantes ou grupos de visitantes, distribuio dos crachs
provisrios e o registro do movimento de veculos. Tambm deve ser feita a

91
verificao se o visitado est presente na empresa no momento da visita e at se o
visitante tem alguma restrio ou proibio de acesso.
Para aumentar o nvel de segurana da empresa deve ser feita a verificao se a
visita foi pr-agendada, assim facilitando o processo de registro do visitante.
Devem ser registrados os seguintes dados do visitante: nome, empresa,
documento, visitado e motivo da visita. A confeco de um crach ou etiqueta para o
visitante pode ser feita caso seja possvel capturar a imagem e imprimir a mesma. No
caso de um crach provisrio comum, recolh-lo na sada possibilitando a reutilizao
por outro visitante. Caso a baixa do crach no tenha sido efetuada, deve-se verificar
se o visitante ainda est no local e se o seu nmero de crach confere com o registro,
assim protegendo contra extravios dos mesmos.

92
3 ESTUDO DE CASO
3.1 Poltica de segurana
3.1.1 Situao Atual em Relao Poltica de Segurana
No existe uma Poltica de Segurana Corporativa formal abordando toda a
norma ISO/IEC 17799 com divulgao, conscientizao e treinamento definido e
apoiado pela alta direo da ELECTRA. Existe sim uma Poltica de Segurana
desatualizada (criada h cerca de 20 anos) e que por isso no plenamente seguida,
pois no retrata a situao atual.
A anlise dos riscos da ELECTRA ponto de partida para a definio de uma
boa Poltica de Segurana Corporativa.
3.1.1.1 Comit Gestor
No existe um Comit Gestor Corporativo especfico de segurana formalizado
para implementao e manuteno da Poltica de Segurana da Informao. Apenas
existe uma equipe no departamento de segurana estudando a Norma.

93
A Norma ABNT ISO/IEC 17799 trata desse assunto em seu item 3.1 Poltica de
Segurana da seguinte forma:
Convm que a direo estabelea uma Poltica clara e demonstre apoio e
comprometimento com a segurana da informao atravs da emisso e manuteno
de uma Poltica de Segurana da Informao para toda a ELECTRA.
3.1.2 Recomendaes quanto Poltica de Segurana
Criar e aprovar, em carter de emergncia, a Poltica de Segurana Corporativa
da Informao de acordo com as normas, legislaes vigentes e cultura da ELECTRA.
Criar um Departamento de Segurana da Informao com um Gerente (Security
Officer);
Criar um Comit Gestor Corporativo para implementao, manuteno e reviso
de Poltica de Segurana da Informao na ELECTRA;
Criar fruns apropriados, com liderana da alta direo, para gerir, estabelecer e
aprovar uma Poltica de Segurana da Informao, sendo publicada e divulgada para
todos os funcionrios em toda a ELECTRA, de forma relevante, acessvel e
compreensvel ao pblico-alvo.
A poltica de segurana deve afirmar o compromisso e o apoio da alta
administrao da ELECTRA e descrever a abordagem da organizao quanto ao
gerenciamento da segurana da informao;

94
necessrio tambm se obter uma boa compreenso dos requisitos de
segurana, da avaliao dos riscos e da administrao dos riscos;
Recomenda-se realizar treinamentos de conscientizao e educao especfica
sobre a Poltica de Segurana Corporativa;
Recomenda-se implantar um amplo e equilibrado sistema de aferio baseado
em revises peridicas, utilizado para avaliar o desempenho na administrao da
segurana da informao e sugestes de feedback para aperfeioamentos;
Recomenda-se assegurar que se realizem revises em resposta a quaisquer
mudanas que afetem as bases da avaliao original dos riscos, como por exemplo:
Incidentes de segurana significativos;
Mudanas da infra-estrutura organizacional ou tcnica;
Novas vulnerabilidades.
As responsabilidades pelo cumprimento dos processos de segurana e suas
implicaes devem estar claramente definidas e serem revistas sempre;
Convm que todos os prestadores de servios e estagirios assinem um termo de
compromisso com a nova Poltica de Segurana da Informao da ELECTRA.

95
3.1.3 Plano de Ao
Geral
Este plano possibilita a soluo dos itens do mdulo de Poltica de Segurana
atravs de:
Criao e aprovao, em carter de emergncia, da Poltica de Segurana
Corporativa da Informao de acordo com as Normas, Legislaes e
cultura da ELECTRA, com apoio irrestrito da alta direo.
Nomeao de um Gerente de Segurana da Informao (Security
Officer);
Criao de um Comit Gestor para implementao, manuteno e reviso
da Poltica de Segurana da Informao na ELECTRA;
Elaborao, treinamento e manuteno constante da Poltica de
Segurana.
Poltica de Segurana da informao (corresponde ao item 1
questionrio - APNDICE B)
Devem ser oferecidos orientao e suporte administrao para a
segurana da informao;
A administrao deve estabelecer uma diretriz de poltica bem definida e
demonstrar o seu apoio e compromisso com a segurana da informao,

96
atravs da emisso e manuteno de uma poltica de segurana da
informao em toda a organizao.
Documento de definio da poltica de segurana de informao
(corresponde ao item 2 do questionrio - APNDICE B)
A poltica deve ser aprovada pela administrao, publicada e divulgada
para todos os empregados, da maneira apropriada;
Deve ser firmado compromisso da administrao, descrevendo a
abordagem da organizao quanto ao gerenciamento da segurana da
informao;
Deve ser divulgado aos usurios em toda a organizao, de uma forma
relevante, acessvel e compreensvel ao pblico-alvo;
Devem ser includas orientaes como definio da segurana da
informao, seus objetivos globais e escopo e da importncia da
segurana como um mecanismo capacitador para o compartilhamento de
informaes, declarao da inteno da administrao, apoiando as metas
e os princpios da segurana da informao, breve explicao das
polticas de segurana, dos princpios, normas e requisitos de
conformidade que sejam de especial importncia para a organizao
(cumprimento de exigncias legais e contratuais, requisitos de
treinamento em segurana, preveno e deteco de vrus e outros
softwares mal intencionados, gerenciamento da continuidade dos
negcios, conseqncias de violaes da poltica de segurana);

97
Devem ser definidas responsabilidades gerais e especficas pelo
gerenciamento da segurana da informao, incluindo a comunicao de
incidentes de segurana;
Devem existir referncias documentao que poder apoiar a poltica,
como por exemplo polticas e procedimentos de segurana mais
detalhados para determinados sistemas de informaes ou normas de
segurana s quais os usurios devem obedecer.
Poltica Reviso e Avaliao (corresponde ao item 3 do questionrio -
APNDICE B)
A poltica deve ter um gestor que ser responsvel por sua manuteno e
reviso de acordo com um processo de reviso definido;
Devem ser asseguradas revises em resposta a quaisquer mudanas que
afetem as bases da avaliao original dos riscos;
Devem existir revises peridicas, programadas, quanto eficcia da
poltica, demonstrada pela natureza e pelo nmero e impacto dos
incidentes de segurana registrados, custo dos controles e seu impacto
sobre a eficincia da empresa e efeitos das mudanas tecnolgicas.

98
3.2 Segurana organizacional
OBJETIVO:
Administrar a segurana da informao dentro da ELECTRA, estabelecendo
referencial de gerenciamento para implementao da segurana da informao na
ELECTRA.
O primeiro passo para a Segurana Organizacional a criao de um
Comit de Segurana com lderes gerenciais, a fim de:
Aprovar a Poltica de Segurana da Informao;
Atribuir funes de segurana;
Coordenar a implementao da segurana em toda a ELECTRA.
Convm que o comit gestor faa pesquisas (as quais devem ser
disponibilizadas para toda a ELECTRA), principalmente para:
Acompanhar as tendncias do mercado;
Monitorar as normas e mtodos de avaliao;
Fornecer pontos de contato apropriados para tratar de incidentes de
segurana.
O Comit deve possuir abordagem multidisciplinar em relao
segurana da informao e envolver a cooperao e colaborao de

99
gerentes, usurios, administradores, criadores de aplicativos, auditores e
pessoal de segurana, ou seja, toda a ELECTRA;
Convm que a ELECTRA nomeie um gerente de segurana da
informao para assumir responsabilidade global pelo desenvolvimento e
implementao da segurana e pelo apoio identificao dos controles.
A responsabilidade pela obteno dos recursos e pela implementao dos
controles poder ficar a cargo dos gerentes individuais;
Deve ser nomeado um gestor para cada ativo de informao, que passar
a ser responsvel pela segurana no dia-a-dia.
3.2.1 Responsabilidades do Comit de Segurana
OBJETIVO: Promover a segurana dentro da ELECTRA, atravs de um
compromisso apropriado e de recursos adequados.
Pode ser parte de um rgo gerencial existente, desempenhando as seguintes
funes:
Reviso e aprovao da Poltica de Segurana da Informao e das
responsabilidades globais;
Monitorao de mudanas significativas na exposio dos ativos de
informao a ameaas relevantes;
Reviso e monitorao de incidentes de segurana;

100
Aprovao de iniciativas relevantes para aperfeioar a segurana da
informao;
3.2.2 Coordenao do Comit de Segurana na ELECTRA
Esta coordenao pode ser formada por representantes gerenciais de partes
relevantes da ELECTRA para coordenar a implementao dos controles de segurana
da informao.
O Comit se encarregar de:
Estabelecer papis e responsabilidades especficos para a segurana da
informao em toda a ELECTRA;
Estabelecer metodologias e processos especficos de segurana da
informao;
Estabelecer e apoiar iniciativas de segurana da informao em mbito
de toda a ELECTRA como, por exemplo, programa de conscientizao;
Garantir que a segurana faa parte do processo de planejamento das
informaes;
Avaliar a adequao e coordenar a implementao de controles
especficos de segurana da informao para novos sistemas ou servios;
Analisar incidentes de segurana da informao;

101
Promover a visibilidade do apoio empresarial segurana da informao
em toda a ELECTRA.
Atribuio de responsabilidades pela segurana da informao
O Security Officer (Gerente do Comit Gestor de Segurana da Informao)
continua tendo a responsabilidade final pela segurana do ativo e deve ser capaz de
verificar se uma competncia delegada foi cumprida corretamente.
essencial que as reas de responsabilidade de cada gerente sejam claramente
definidas. Em particular deve ocorrer o seguinte:
Os diversos ativos e processos de segurana associados a cada sistema
individual devem ser identificados e claramente definidos;
Deve ser designado um gestor responsvel para cada ativo ou processo
de segurana e os detalhes desta responsabilidade devem ser
documentados;
Os nveis de autorizao devem ser claramente definidos e
documentados.
Cooperao entre o Data Center da ELECTRA e outras Organizaes
Cabe ao Comit manter contato com autoridades policiais, rgos reguladores,
provedores de servios de informao e operadoras de telecomunicaes para garantir
a tomada rpida de providncias e a obteno de orientao em caso de um incidente
de segurana;
102
Deve haver intercmbio de informaes de segurana de modo restrito para
garantir que no sejam divulgadas informaes confidenciais da ELECTRA a pessoas
no autorizadas.
3.2.3 Situao Atual em relao Segurana Organizacional
No existe um comit gestor especfico formalizado para implementao e
manuteno da Segurana da Informao;
Existe informalmente um grupo de segurana no departamento de rede;
Atualmente, so realizados alguns contatos com especialistas externos em
segurana e j se realizaram algumas palestras e reunies, mas ainda de forma
incipiente;
A monitorao de mudanas significativas na exposio dos ativos de
informao tem sido observada atualmente como, por exemplo, ocorreu na
centralizao dos almoxarifados regionais;
Atualmente, existe uma grande preocupao por parte das gerncias com a
segurana e existem iniciativas relevantes para aperfeioar a segurana da informao;
Ainda no existe uma gerncia responsvel por todas as atividades relacionadas
segurana (Comit Gestor de Segurana da Informao);
No existe um contrato com organizao especializada em administrao dos
riscos;
103
No existe atualmente um programa de conscientizao de segurana, com
treinamentos especficos da Poltica de Segurana, palestras e peas;
Atualmente, a segurana faz parte do processo do planejamento das
informaes;
Atualmente, existem polticas para vrios ativos como, por exemplo, utilizao
de crachs e leitoras;
Os gerentes responsveis por cada ativo ou processo de segurana, os detalhes
das atribuies e responsabilidades s esto documentados via sistema, de forma
passiva, e sem um plano de divulgao programado;
Os nveis de autorizao esto claramente definidos e documentados tambm
nesse mesmo sistema;
Atualmente, no permitido o uso de equipamentos pessoais, mas esse fato
ocorre esporadicamente;
Cooperao entre organizaes
Atualmente, no so mantidos contatos formais com autoridades policiais,
rgos reguladores de energia, gua e operadoras de telecomunicaes para garantir a
tomada rpida de providncias e a obteno de orientao em caso de incidente de
segurana;
No existe uma contingncia no caso do contrato com a organizao que oferece
servios de telefonia;
Na rea de rede existe uma poltica de contingncia de backup.

104
Acesso de Terceiros
deficiente o controle sobre os terceiros que deixam de prestar servios
ELECTRA, continuando, em alguns casos, com seus acessos ativos;
Existem terceiros que prestam servios, que no esto localizados no site, mas
podem ter acesso fsico e lgico.
3.2.4 Recomendaes quanto Segurana Organizacional da ELECTRA
Criar um Comit Gestor Especfico de Segurana da Informao com atribuio
de funes e atividades;
Criar, aprovar e divulgar a Poltica de Segurana Corporativa;
Envolver a cooperao e colaborao de diretores, gerentes, usurios,
administradores, criadores de aplicativos, prestadores de servios, fornecedores e
auditores, incluindo a assinatura de um Termo de Compromisso com Poltica de
Segurana;
Nomear um gestor para cada ativo;
Estabelecer pontos de contatos para tratar incidentes de segurana;
O comit deve possuir uma abordagem multidisciplinar em relao segurana;
Monitorar as mudanas significativas na exposio dos ativos de informao;

105
O acesso fsico e lgico de terceiros s instalaes de processamento de
informaes da ELECTRA deve ser baseado em contrato formal que contenha
referncia a todos os requisitos de segurana para assegurar a conformidade com as
polticas e normas de segurana da ELECTRA
A ELECTRA deve rever todos os contratos de terceiros que tenham acesso
fsico e lgico, para implementar os requisitos de segurana dispostos na Norma
ISO/IEC 17799;
Estabelecer adendos nos contratos atuais de terceiros, disposies para a
designao de outros participantes qualificados e as condies para o seu acesso. A
cada dia esse tipo de procedimento torna-se comum. conhecido como contrato
guarda-chuva;
O nvel de acesso para terceiros, que ficam localizados no site durante um
determinado tempo, deve ser definido em contrato, como por exemplo: pessoal de
manuteno e suporte de hardware e software; pessoal de limpeza, guardas de
segurana e outros servios de suporte terceirizados, estagirios e demais nomeaes
ocasionais em curto prazo e consultores. O ideal exigir que os mesmos passem por
treinamento de conformidade com a Norma ISO / IEC 17799, que trata da Gesto de
Segurana nas Organizaes;
S se deve conceder o acesso s informaes e s instalaes de processamento
de dados por terceiros, aps a implementao de controles apropriados e assinado um
contrato que defina as condies do acesso;

106
Deve-se especificar no contrato que a ELECTRA receber indenizao por parte
de seu fornecedor, caso ocorra algum incidente causado por algum funcionrio do
prestador de servios;
Deve-se especificar no contrato que a ELECTRA ter direito de monitorar e
revogar as atividades de usurio, o direito de auditar as responsabilidades contratuais
ou de fazer com que tal auditoria seja realizada por um terceiro;
Quanto ao uso de equipamento pessoal no ambiente de trabalho, convm que
seja avaliado, autorizado e monitorado.
3.2.5 Plano de Ao
Geral
Nomear um Gerente de Segurana, criar um Comit Gestor de
Segurana, contratar uma empresa especializada para auxiliar na
elaborao da Poltica de Segurana da Informao com Marketing de
divulgao e treinamento de conscientizao adequado;
Criar a Classificao das Informaes;
Implantar um Plano de Contingncia e PCN - Plano de Continuidade de
Negcios;
Reviso de todos os Contratos com Terceiros;

107
Exigir em contrato que o terceiro desenvolva treinamento de
conformidade com a Norma ISO/IEC 17799.
Estabelecer uma contingncia junto organizao prestadora de servios
de telefonia.
Comit de Segurana (corresponde ao item 1 do questionrio -
APNDICE B)
Criar comit de administrao de segurana da informao com lderes
gerenciais;
Estabelecer contatos com especialistas externos em segurana;
Conceder ao comit abordagem multidisciplinar em relao segurana;
Estabelecer como atribuies do Comit a reviso e aprovao da
poltica de segurana das informaes e das responsabilidades globais e
reviso e monitorao incidentes de segurana;
Monitorar mudanas significativas na exposio dos ativos de
informao;
Realizar iniciativas relevantes para aperfeioar a segurana da
informao;
Nomear um gerente responsvel por todas as atividades relacionadas com
a segurana (Security Officer).

108
Coordenao e Responsabilidades da Segurana das Informaes
Estabelecer papis e responsabilidades especficas para a segurana das
informaes em toda a organizao, com metodologias e processos
especficos;
Estabelecer e apoiar iniciativas de segurana das informaes em mbito
de toda a organizao;
Tornar a segurana parte integrante do processo do planejamento das
informaes;
Avaliar a adequao e coordenar a implementao de controles
especficos de segurana das informaes para novos sistemas ou
servios;
Tratar os incidentes de segurana da informao de forma correta;
Definir claramente as responsabilidades pela proteo de ativos
individuais e pela execuo de processos especficos de segurana;
A Poltica de Segurana deve fornecer diretrizes gerais sobre a atribuio
de papis e responsabilidades de segurana dentro da organizao;
Dever ser criado o cargo de Gerente de Segurana da Informao
(Security Officer) que assumir responsabilidade global pelo
desenvolvimento e implementao da segurana;

109
Designar um gestor para cada ativo de informao, que ser o
responsvel pela sua segurana no dia-a-dia;
Definir claramente as reas de responsabilidade de cada Gerente;
Identificar claramente os diversos ativos e processos de segurana
associados a cada sistema individual;
Documentar as responsabilidades que cada Gerente tem sobre cada ativo
ou processo de segurana;
Tornar segura a administrao de usurios, autorizao, sua finalidade e
utilizao;
Consultoria Interna (corresponde ao item 3 do questionrio -
APNDICE B)
Deve existir um consultor interno de segurana experiente que ter
acesso a consultores externos apropriados para lhes dar assistncia em
assuntos fora de sua rea de experincia e ter acesso direto a todos os
nveis de gerncia dentro da organizao;
Tratar de forma correta os casos de suspeita de incidente ou violao de
segurana;
110
Cooperao entre Organizaes (corresponde ao item 4 do questionrio
- APNDICE B)
Manter contatos com autoridades policiais, rgos reguladores,
provedores de servios de informaes e operadoras de telecomunicaes
para garantir a tomada rpida de providncias e a obteno de orientao
em caso de um incidente de segurana;
Providenciar filiao a associaes de segurana.
Reviso da Segurana (corresponde ao item 5 do questionrio -
APNDICE B)
A implementao da Poltica de Segurana deve ser revista por um rgo
independente, para dar a garantia de que as prticas organizacionais
refletem corretamente a poltica e que elas so viveis e eficazes.
Acesso de Terceiros (corresponde ao item 6 do questionrio -
APNDICE B)
Deve-se fazer o controle de acesso fsico de terceiros de forma correta;
Deve ser feita uma avaliao de riscos para determinar as implicaes de
segurana e os requisitos de controle, nos casos em que os negcios
exigem o acesso de terceiros;
Definir em contrato com o terceiro os controles de acesso;

111
Incluir nos contratos que concedem acesso a terceiros, disposies para a
designao de outros participantes qualificados e as condies para o seu
acesso;
Nos casos em que os negcios exigirem a conexo com um local de
terceiros, deve ser realizada uma avaliao de riscos para identificar
quaisquer requisitos de controles especficos, levando em conta o tipo de
acesso necessrio, o valor das informaes, os controles utilizados pelo
terceiro e as implicaes desse acesso para a segurana das informaes
da organizao;
Deve existir uma poltica definida para terceiros que ficam localizados
no site durante um determinado tempo, definido em contrato como:
pessoal de manuteno e suporte de hardware e software; pessoal de
limpeza, fornecimento de refeies, guardas de segurana e outros
servios de suporte terceirizados, estagirios e outras nomeaes
ocasionais em curto prazo e consultores;
O acesso s informaes e s instalaes de processamento de
informaes por terceiros s deve ser concedido aps a implementao
de controles apropriados e assinado um contrato que define as condies
da conexo ou do acesso;
O acesso de terceiros s instalaes de processamento de informaes da
organizao deve ser baseado em contrato formal que contenha
referncia a todos os requisitos de segurana para assegurar a
conformidade com as polticas e normas de segurana da organizao;

112
Especificar no contrato que a organizao receber indenizao por parte
de seu fornecedor, caso ocorra algum incidente causado por algum
funcionrio do prestador de servios;
Especificar no contrato que a organizao ter direito de monitorar e
revogar as atividades de usurio, o direito de auditar as responsabilidades
contratuais ou de fazer com que tal auditoria seja realizada por um
terceiro;
Nos casos em que a responsabilidade pelo processamento das informaes for
confiada a uma organizao externa, deve existir a tentativa de garantir a segurana
das informaes.
3.3 Classificao e controle dos ativos de informao
OBJETIVO:
Manter uma proteo apropriada dos ativos de informaes da ELECTRA.
Contabilizao dos Ativos
Todos os ativos de informao devem ser classificados e distribudos entre os
gestores designados pela ELECTRA;
A responsabilizao pelos ativos contribui para garantir que seja mantida uma
proteo apropriada;
113
Devem ser identificados os gestores de todos os ativos relevantes e deve ser
atribuda a responsabilidade pela manuteno e controles apropriados;
A responsabilidade pela implementao dos controles pode ser delegada;
Inventrio dos Ativos
Os inventrios contribuem para assegurar que haja uma proteo eficaz dos
ativos e podem ser necessrios para outros fins empresariais como, por exemplo,
motivos de sade e segurana, de seguros ou financeiros.
Compilar um inventrio dos ativos um aspecto muito importante do
gerenciamento de riscos.
Devem-se seguir as caractersticas abaixo para compilar um
inventrio:
Ser capaz de identificar os seus ativos e saber o valor relativo e a importncia
dos mesmos;
Oferecer nveis de proteo compatveis com o valor e a importncia dos ativos;
Ter um acordo sobre sua propriedade e classificao de segurana e document-
la, juntamente com sua localizao corrente;
OBS.: O inventrio muito importante na recuperao aps qualquer perda ou
danificao.
114
Exemplos de ativos associados a sistemas de informaes:
Ativos de Informao
Arquivos de dados;
Documentao de sistemas e manuais de usurio;
Material de treinamento;
Procedimentos operacionais ou de suporte;
Planos de continuidade;
Arranjos de fallback (recursos alternativos);
Informaes arquivadas.
Ativos de Software
Software aplicativo;
Software de sistema;
Ferramentas de desenvolvimento e utilitrios.
Ativos Fsicos
Equipamentos de computador (processadores, monitores, laptops,
modems);
115
Equipamentos de comunicaes (roteadores, centrais PABX, mquinas
de fax, secretrias eletrnicas);
Mdias magnticas (fitas e discos);
Outros equipamentos tcnicos (fontes de alimentao, unidades de ar-
condicionado);
Mobilirio;
Acomodaes.
Ativos de Servios
Servios de computao e de comunicaes;
Utilidades pblicas em geral, como por exemplo, iluminao,
aquecimento, gua, fora e ar-condicionado.
3.3.1 Classificao das informaes
OBJETIVO:
Assegurar que os ativos de informao recebam um nvel de proteo adequado.
A classificao deve indicar:
A necessidade;
116
As prioridades;
O grau de proteo.
Algumas informaes so mais sensveis e crticas do que outras;
Alguns itens podem exigir um nvel adicional de proteo ou manuseio
especial;
Deve ser utilizado um sistema de classificao para definir um conjunto
apropriado de nveis de proteo e comunicar a necessidade de medidas
especiais de manuseio.
As diretrizes de classificao
A classificao e os controles protetores devem considerar:
As necessidades da ELECTRA de compartilhar ou restringir
informaes;
Os impactos empresariais associados a tais necessidades, como acesso
no autorizado ou danos integridade das informaes;
A classificao atribuda constitui um meio abreviado para determinar
como essa informao deve ser manuseada e protegida;
As informaes e as sadas produzidas por sistemas que processam dados
classificados devem ser rotulados quanto ao seu valor e grau de
sensibilidade para a ELECTRA;

117
conveniente rotular as informaes para indicar at que ponto so
crticas para a ELECTRA, quanto sua integridade e disponibilidade.
Alterao do Nvel de Classificao
A informao pode deixar de ser sensvel ou crtica aps um certo tempo
como, por exemplo, quando foi divulgada para o pblico;
Vrios aspectos devem ser levados em considerao, pois um excesso de
sigilo pode causar custos adicionais desnecessrios ELECTRA;
As diretrizes de classificao devem prever e levar em conta o fato de
que a classificao de um determinado item de informao no
necessariamente imutvel no tempo e pode mudar de acordo com uma
poltica pr-determinada.
Rotulagem e manuseio de informaes
Definir um conjunto apropriado de procedimentos para a rotulagem e manuseio
das informaes, de acordo com o esquema de classificao adotado pela ELECTRA.
Devem abranger ativos de informao em formato fsico e eletrnico.
Para cada classificao devem ser definidos procedimentos de manuseio
referentes aos seguintes tipos de atividade de processamento da informao:
Cpia;
Armazenagem;
Transmisso pelo correio, fax ou por e-mail;

118
Transmisso oral, incluindo telefone celular, correio de voz e secretrias
eletrnicas;
Destruio.
A sada produzida por sistemas que contenham informaes classificadas como
sensveis ou crticas deve receber uma classificao apropriada (na sada).
Os itens a serem levados em conta devem incluir relatrios impressos, displays
na tela, informaes gravadas (fitas, discos, CD-Roms, cassetes), mensagens
eletrnicas e/ou transferncias de arquivo.
Estimativa de Valores dos Ativos da ELECTRA
a) Equipamentos de Grande e Mdio Porte (Servidores, Fitoteca, Leitora de
cartuchos, Rob, infra-estrutura fsica do Data Center etc.): R$ 15.000.000,00.
b) Aplicativos/BD/SO: R$ 48.000.000,00
c) Comunicao (Linhas privadas e etc): R$ 380.000,00
d) Grupo gerador, sistema de ar-condicionado, iluminao de emergncia,
sistemas de monitorao (CFTV), alarmes e sensores, sprinklers e etc.: R$
1.800.000,00.
Os dados acima so estimativas aproximadas da realidade tecnolgica da
ELECTRA. Eles permitem uma viso financeira dos ativos de informao e mostram
quo importantes sero os investimentos para proteger esses ativos. Portanto, pode-se
dizer que o valor investido em segurana representativo quando comparado com o
valor total dos ativos.

119
Compilar inventrio dos ativos um aspecto muito importante do gerenciamento
de riscos.
3.3.2 Recomendaes sobre os Ativos e Classificao das informaes
Nomear um gestor responsvel para cada ativo da empresa analisada
Compilar um inventrio dos ativos fsicos e lgicos;
Identificar o valor dos ativos;
Elaborar a classificao das informaes conforme a Norma ISO/IEC
17799;
Criar diretrizes de classificao;
Criar procedimentos para alterao dos nveis de classificao;
Definir procedimentos de rotulagem de informaes.
3.3.3 Plano de Ao
Geral
Implementar a Classificao das Informaes (a metodologia dever estabelecer
Escalas dos Graus de sigilo e o Teor Crtico das informaes da ELECTRA, de modo
a refletir a abrangncia de utilizao da informao):

120
Escalas dos Graus:
Pblica
Interna
Secreta
Teor Crtico:
Pouco Crtica
Crtica
Muito Crtica
Procedimentos de Proteo:
Criao
Divulgao
Reproduo
Transporte
Armazenamento
Destruio
121
Responsabilidade sobre os ativos (equipamentos e Informaes)
Mantida uma proteo apropriada dos ativos da organizao;
Identificados os gestores de todos os ativos relevantes e atribuir a
responsabilidade pela manuteno de controles apropriados;
Delegar a responsabilidade pela implementao dos controles;
Providenciar que a responsabilidade continue com o gestor designado do
ativo.
Inventrio dos ativos (corresponde ao item 2 do questionrio -
APNDICE B)
Inventariar os ativos da empresa;
Criticar inventrio dos ativos;
Oferecer nveis de proteo compatveis com o valor e a importncia dos
ativos;
Documentar cada ativo de acordo sobre sua propriedade e classificao
de segurana, juntamente com sua localizao corrente (muito importante
na recuperao aps qualquer perda ou danificao).

122
Classificao e controle de ativos (item 3 do questionrio - APNDICE
B)
Tornar capaz a identificao dos ativos e saber o valor relativo e a
importncia dos mesmos;
Elaborar e manter um inventrio dos ativos importantes associados a
cada sistema de informaes.
Classificao das informaes (item 4 do questionrio - APNDICE B)
Classificar as informaes para assegurar que os ativos de informao
recebam um nvel de proteo adequado;
A classificao dever indicar a necessidade, as prioridades e o grau de
proteo;
Utilizar um sistema de classificao para definir um conjunto apropriado
de nveis de proteo e comunicar a necessidade de medidas especiais de
manuseio;
Diretrizes de classificao (corresponde ao item 5 do questionrio -
APNDICE B)
A classificao e os controles protetores associados devem levar em
considerao as necessidades da empresa de compartilhar ou restringir
informaes e os impactos empresariais associados a tais necessidades,

123
Permitir que a classificao atribuda constitua um meio abreviado para
determinar como a informao manuseada e protegida;
As informaes e as sadas produzidas por sistemas que processam dados
classificados devem ser rotulados quanto ao seu valor e grau de
sensibilidade para a organizao;
As informaes devem ser rotuladas para indicar at que ponto so
crticas para a organizao, quanto sua integridade e disponibilidade.
Alterao do nvel de Classificao (corresponde ao item 6 do
Devem ser levados em conta aspectos, em que um excesso de sigilo pode
causar custos adicionais desnecessrios empresa;
As diretrizes de classificao devem prever e levar em conta o fato de
que a classificao de um determinado item de informao no
necessariamente imutvel no tempo e que pode mudar de acordo com
uma poltica pr-determinada;
O nmero de categorias de classificao e os benefcios que se obtm do
seu uso devem ser levados em conta;
Devem ser tomados cuidados ao interpretar rtulos de classificao em
documentos de outras organizaes, que podero ter diferentes
significados para rtulos iguais ou similares;

124
A responsabilidade pela definio da classificao de uma determinada
informao e pela reviso peridica desta classificao deve ser delegada
pela pessoa que originou a informao ou do gestor designado da
informao.
Rotulagem e manuseio de informaes (corresponde ao item 7 do
Deve ser definido um conjunto apropriado de procedimentos para a
rotulagem e manuseio das informaes, de acordo com o esquema de
classificao adotado pela organizao.
Devem ser abrangidos os ativos de informao em formato fsico e
eletrnico;
Para cada classificao devem ser definidos procedimentos de manuseio
referentes aos seguintes tipos de atividade de processamento da
informao: relatrios impressos, displays na tela, informaes gravadas
(fitas, discos, CD-ROMs, cassetes), mensagens eletrnicas e
transferncias de arquivo;
Recomenda-se utilizar etiquetas fsicas na rotulagem.
3.4 Segurana em pessoas
OBJETIVO:
125
Manter a segurana das instalaes de processamento de informaes e dos
ativos de informao da ELECTRA acessados na organizao.
O acesso lgico e fsico de deve ser rigidamente controlado;
Nos casos em que os negcios exigem o acesso de terceiros, convm que
seja feita uma avaliao de riscos para determinar as implicaes de
segurana e os requisitos de controle, principalmente para sistemas
crticos;
Os controles devem ser acertados e definidos em um contrato de
confidencialidade com os funcionrios da ELECTRA e os terceiros e
seus funcionrios e sempre que houver substituio de seu pessoal ou
movimentao interna que implique em mudana de responsabilidades, o
sucessor deve assinar o contrato de confidencialidade e principalmente
quando a empresa terceirizada subcontratar servios;
Os contratos que concedem acesso a terceiros devem incluir disposies
para a designao de outros participantes qualificados e as condies
para o seu acesso.
Motivos para acesso de terceiros
Existem terceiros que prestam servios ELECTRA e no esto localizados no
seu site, mas podem ter acesso fsico e lgico, tais como:
Pessoal de suporte de hardware e software que precisa de acesso
funcionalidade de aplicativos em nvel de sistema ou em baixo nvel;

126
Parceiros de negcios ou joint ventures, que podero fazer o intercmbio
de informaes, acessar sistemas de informaes ou compartilhar os
dados da ELECTRA.
Terceiros no site da ELECTRA
Terceiros que ficam localizados no site durante um determinado tempo, definido
em contrato, tambm podem causar brechas de segurana, como por exemplo:
Pessoal de manuteno e suporte de hardware e software;
Pessoal de limpeza, fornecimento de refeies, guardas de segurana e
outros servios de suporte terceirizados;
Estagirios e outras nomeaes ocasionais em curto prazo.
Empreiteiros no site da ELECTRA
essencial entender quais so os controles necessrios para administrar
o acesso de terceiros a instalaes de processamento de informaes;
Os requisitos de segurana decorrentes do acesso de terceiros ou
controles internos devem estar contidos no contrato com o terceiro;
Se houver uma necessidade especial de confidencialidade das
informaes, podem ser utilizados termos de compromisso de no-
revelao.
127
Cuidados que a ELECTRA deve observar em relao ao acesso de
terceiros
As informaes podem ser colocadas em risco pelo acesso de terceiros se a
administrao da segurana for inadequada.
Nos casos em que os negcios exigem a conexo com um local de terceiros,
deve ser feita uma avaliao de riscos para identificar quaisquer requisitos de controles
especficos.
A avaliao deve levar em conta:
O tipo de acesso necessrio;
O valor das informaes;
Os controles utilizados pelo terceiro;
As implicaes deste acesso para a segurana da informao da
ELECTRA.
3.4.1 Terceirizao
OBJETIVO:
Manter a segurana da informao nos casos em que a responsabilidade pelo
processamento das informaes da ELECTRA for confiada a uma organizao
externa.
128
Os requisitos de segurana da organizao (que entrega a terceiros o
gerenciamento e controle de todos ou de alguns dos seus sistemas de
informaes e ambientes de rede e/ou desktops) devem ser tratados em
um contrato celebrado entre as partes;
As condies apresentadas no item 4.2.2 da Norma ABNT ISO/IEC
17799 devem ser consideradas como parte desse contrato.
O contrato com terceiros da ELECTRA deve cobrir os seguintes itens:
O modo de atender s exigncias legais como, por exemplo, a legislao
de proteo dos dados;
Os arranjos a serem implementados para garantir que todas as partes
envolvidas na terceirizao, incluindo sub-empreiteiras, estejam cientes
de suas responsabilidades de segurana;
O modo de manter e testar a integridade e confidencialidade dos ativos
empresariais da ELECTRA;
Os controles fsicos e lgicos a serem utilizados para restringir e limitar
aos usurios autorizados o acesso s informaes empresariais sensveis
da ELECTRA;
O modo de manter a disponibilidade dos servios em caso de um
acidente;
Os nveis de segurana fsica a serem fornecidos para os equipamentos
terceirizados;
129
O direito de auditoria.
3.4.2 Fatores humanos
OBJETIVO:
Reduzir os riscos de falha humana, furto, fraude e/ou uso indevido das
instalaes.
As responsabilidades devem ser atendidas desde a fase de recrutamento,
includas nos contratos e monitoradas enquanto durar o vnculo empregatcio.
Deve ser exigido do empregado o acordo por escrito de no divulgao das
informaes.
Segurana nas responsabilidades da funo
As responsabilidades de segurana que devem ser documentadas sempre:
Responsabilidades gerais pela implementao e manuteno da poltica
de segurana;
Responsabilidades especficas pela proteo de determinados ativos;
Responsabilidades pela execuo de determinados procedimentos ou
atividades de segurana.
130
Triagem de pessoal e poltica
Verificar antecedentes do pessoal permanente, contratados e estagirios por
ocasio da admisso, em cuja triagem deve-se observar o seguinte:
Existncia de referncias satisfatrias como, por exemplo, uma
profissional e uma pessoal;
Se o currculo apresentado pelo candidato completo e correto;
Qualificaes acadmicas e profissionais apresentadas pelo candidato;
Identidade e CPF do candidato.
Quando um cargo proporcionar acesso a equipamentos de processamento de
informaes sensveis (informaes financeiras ou informaes altamente
confidenciais), deve-se observar:
A situao de crdito do empregado. Para o pessoal em funes com
grande autoridade repetir periodicamente a verificao;
Processo de triagem similar deve ser realizado para subcontratados e
pessoal temporrio.
Nos casos em que terceiros so fornecidos por uma agncia, o contrato com a
agncia deve especificar claramente as seguintes responsabilidades:
Triagem e procedimentos de notificao que ela dever adotar se o
processo de triagem no foi completado. Se os seus resultados derem
motivo a dvidas ou a preocupaes;

131
Avaliar o grau de superviso necessrio para pessoal novo e inexperiente,
com autorizao de acesso a sistemas sensveis;
O trabalho de todo o pessoal deve ser sujeito a exames peridicos e a
procedimentos de aprovao por um membro mais graduado do quadro.
Os gerentes devem se dar conta do fato de que circunstncias pessoais dos seus
subordinados podem afetar o trabalho dos mesmos e devem ficar atentos s seguintes
situaes:
Problemas pessoais e financeiros, mudanas de comportamento ou de
estilo de vida, faltas constantes e sinais de estresse ou depresso
poderiam levar a fraude, furto, erros ou outras implicaes de segurana;
As informaes devem ser tratadas de acordo com a legislao
apropriada, vigente na jurisdio em questo.
Compromissos de confidencialidade
Usam-se compromissos de confidencialidade ou no-revelao para
indicar que determinadas informaes so confidenciais ou secretas;
Empregados devem assinar tais compromissos como parte do seu
contrato de trabalho;
Pessoal temporrio e os usurios externos devem assinar compromisso de
confidencialidade antes de terem acesso a instalaes de processamento
de informaes.
Devem-se rever os compromissos de confidencialidade sempre que:

132
Houver mudanas nas condies de emprego ou no contrato;
Os empregados estiverem para sair da ELECTRA;
Os contratos estiverem para terminar.
Termos e condies de emprego
Os termos e condies de emprego devem estipular a responsabilidade
do empregado pela segurana da informao;
Eventualmente essas responsabilidades devem continuar em vigor
durante um determinado perodo aps o trmino da relao de emprego;
Devem incluir as providncias a tomar se o empregado deixar de atender
s exigncias contratuais.
Devem ser includas nos contratos as responsabilidades e direitos legais do
empregado, em relao aos seguintes fatores:
As leis de copyright;
A legislao de proteo dos dados;
A classificao e gesto dos dados do empregado;
As responsabilidades que se aplicam fora das instalaes da ELECTRA e
fora do horrio normal de trabalho e fora do local de trabalho (uso de
notebook).
133
Treinamento dos usurios
Conscientizar os usurios sobre as ameaas e preocupaes e assegurar
que eles estejam em condies de apoiar a poltica de segurana da
ELECTRA no decorrer do seu trabalho normal;
Os usurios devem receber treinamento sobre procedimentos de
segurana e sobre o uso correto das instalaes de processamento de
informaes, a fim de minimizar os possveis riscos de segurana;
Todos os empregados da ELECTRA e os usurios externos devem
receber treinamento adequado e atualizaes regulares sobre as polticas
e os procedimentos da ELECTRA, antes de terem acesso s informaes
ou aos servios;
Incluir requisitos de segurana, responsabilidades legais e controles
empresariais e treinamento sobre o uso correto dos equipamentos de
Reao a incidentes de segurana e falhas
Minimizar os prejuzos causados por incidentes de segurana e falhas e
monitorar tais incidentes;
Os incidentes que afetarem a segurana devem ser comunicados o quanto
antes, atravs dos canais administrativos apropriados;
Empregados e subcontratados devem estar informados sobre os
procedimentos de comunicao dos diversos tipos de incidentes.

134
Comunicao de pontos fracos de segurana
Usurios de servios de informaes devem anotar e comunicar pontos
fracos de segurana observados ou suspeitos e quaisquer ameaas ao
ambiente, sistemas ou servios;
Devem comunicar essas questes sua gerncia ou diretamente ao seu
provedor de servios, com a mxima rapidez;
Convm informar aos usurios que eles no devem em hiptese alguma
testar a veracidade de um ponto fraco suspeito;
O teste de um ponto fraco poderia ser interpretado como um uso abusivo
potencial do ambiente, sistema ou servio.
Estabelecer procedimentos para comunicar falhas de segurana do ambiente,
como:
Anotar os problemas e as caractersticas ou sintomas que evidenciem a
sua presena;
O gestor de segurana, brigada presente no local e/ou o superior imediato
devem ser notificados imediatamente;
Aprendendo com os incidentes
Implementar mecanismos para permitir a quantificao e monitorao
dos tipos, volumes e custos de incidentes e falhas de funcionamento;

135
Atravs dessas informaes, identificar incidentes ou falhas repetidas ou
de alto impacto.
Indicar a necessidade de controles aperfeioados ou adicionais para:
Limitar a freqncia;
Limitar danos e custos de futuras ocorrncias;
Levar em considerao no processo de reviso da poltica de segurana.
Processo disciplinar
Deve haver um processo disciplinar formal para empregados que
violarem as polticas e procedimentos de segurana da ELECTRA e para
a coleta de provas;
O processo poder desencorajar empregados com tendncia para
desrespeitar os procedimentos de segurana;
O processo deve assegurar um tratamento correto e justo de empregados
suspeitos de cometerem violaes de segurana, graves ou persistentes.
3.4.3 Situao atual em relao Segurana em Pessoas/Fatores Humanos
O contrato com terceiros possui clusulas de confidencialidade;
O gerente da rea qual o terceiro est sendo contratado quem autoriza
e define o nvel de acesso do mesmo;

136
Foi observado que em horrio de pico pode ocorrer certa dificuldade para
as recepcionistas observarem se a pessoa entrou ou saiu sem autorizao;
O acesso de terceiros nos finais de semana e feriados controlado com
antecedncia, sendo definido pelas gerncias;
Existem falhas na validade de logins e elas ocorrem entre o momento do
desligamento do funcionrio e a comunicao do RH desse desligamento
rea responsvel pela desativao. Nesse intervalo, o funcionrio
continua possuindo o login (o empregado se desliga, mas seu login
exigido por motivos de privilgio);
No h treinamento de segurana para o terceirizado;
Todo acesso lgico de terceiros controlado e os nveis de permisso so
concedidos pelas gerncias ao qual aquele terceiro est alocado;
Existem terceiros que prestam servios ao ambiente corporativo da
ELECTRA e no esto localizados no site, mas podem ter acesso fsico e
lgico.
3.4.4 Recomendaes em relao Segurana em Pessoas
Convm rever os contratos com terceiros, terceirizados e estagirios para
uma perfeita adequao Norma, item 4.2.2, no qual todos devem
assinar um termo de confidencialidade;

137
Convm exigir que as empresas prestadoras de servios da ELECTRA
apresentem termos de confidencialidade assinados de cada funcionrio
e/ou subcontratados;
Convm exigir que os terceiros e empregados sejam treinados conforme
a Norma ISO/IEC 17799, que trata da Gesto de Segurana nas
Organizaes e s conceder o acesso s informaes e s instalaes de
processamento de dados por terceiros, aps a implementao de controles
e treinamentos apropriados e tendo assinado um contrato que define as
condies da conexo ou do acesso. Deve ser criada, na rea de
treinamento, uma equipe para treinamento da ISO/IEC 17799;
Convm que mesmo quando o terceiro (ou funcionrio) esteja de frias,
licena mdica ou qualquer afastamento, o acesso ao ambiente da
ELECTRA se restrinja ao horrio comercial;
A excluso de login deve ser comunicada imediatamente quando ocorrer
demisso de funcionrio por parte do RH ao Departamento de
Administrao da Rede ou ao Departamento de Sistemas Corporativos;
Convm que sejam adotadas medidas de controle de acesso fsico (CFTV
com monitorao remota, biometria etc.).
O acesso s informaes e s instalaes de processamento de
informaes por terceiros s deve ser concedido aps:
Implementados os controles apropriados;

138
Assinado um contrato que defina as condies do acesso. O contrato ser
redigido de maneira a evitar mal-entendidos entre a ELECTRA e o
terceiro;
A ELECTRA deve certificar-se de que receber uma indenizao por
parte de seu prestador de servios, em caso de quebra de
confidencialidade, integridade e incidente malicioso.
Os requisitos contratuais para prestadores de servios citados nesta
Anlise e que constam no item 4.2.2 da norma ABNT ISO/IEC 17799
devem ser aplicados em carter de emergncia;
O sistema de dados de pessoas que freqentam o Data Center da
ELECTRA deve conter o maior nmero de informaes e, se possvel, a
fotografia, bem como cadastro e nome da empresa;
Exigir dos empregados e terceiros a assinatura de acordo com termo de
confidencialidade e no-divulgao de informaes e concordncia com
a Poltica de Segurana da ELECTRA;
Incluir no acordo as responsabilidades da funo;
Convm que seja executada sempre uma triagem por ocasio da
admisso de funcionrios e terceirizados, conforme o especificado no
item 6.1.2 da ISO/IEC 17799.
Os gerentes devem ficar atentos a mudanas de comportamento;
Convm que seja criada uma estrutura para ministrar treinamentos
especficos de segurana. Deve haver treinamentos adequados para todos

139
os funcionrios e novos contratados antes de terem acesso s informaes
e servios;
Elaborar formulrios com histricos de falhas do ambiente, contendo a
assinatura de quem identificou a falha e a ao que foi tomada;
Toda falha deve ser comunicada gerncia imediatamente;
Criar um Comit Disciplinar integrado por membros de equipe de
segurana/gerncia/RH e um processo formal para empregados que
violarem a poltica e o acordo de confidencialidade de informaes;
Aprovar, em carter de emergncia, a Poltica de Segurana Corporativa
das Informaes.
3.4.5 Plano de Ao
Geral
Analisar e promover as correes necessrias nos contratos de terceiros;
Re-analisar e adequar todos os privilgios de acesso;
Desenvolver procedimentos para desativao on-line de login de
funcionrios que so transferidos, promovidos, demitidos ou suspensos;
Realizar treinamento de segurana para funcionrios e terceirizados;
Dotar reas crticas de monitorao via CFTV;

140
Adotar e/ou adequar a tecnologia de controle de acesso de funcionrios,
terceirizados e visitantes, visando restringir fraudes e acesso no
autorizado;
Segurana na definio de funes e no recrutamento de pessoal
Devem ser tomadas medidas para reduzir os riscos de falha humana,
furto, fraude ou uso indevido das instalaes;
As responsabilidades devem ser atendidas desde a fase de recrutamento.
Como incluir a segurana nas responsabilidades da funo
As responsabilidades de segurana devem ser documentadas sempre que
for apropriado;
Devem ser definidas responsabilidades gerais pela implementao e
manuteno da poltica de segurana;
Devem ser definidas responsabilidades especficas pela proteo de
determinados ativos ou responsabilidades pela execuo de determinados
procedimentos ou atividades de segurana.

141
Triagem de pessoal e poltica (corresponde ao item 3 do questionrio -
APNDICE B)
Devem ser verificados os antecedentes do pessoal permanente, por
ocasio do pedido de emprego;
Devem ser solicitadas referncias satisfatrias, como por exemplo, uma
profissional e uma pessoal;
Deve ser verificado se o currculo apresentado pelo candidato est
completo e correto;
Devem ser verificadas as qualificaes acadmicas e profissionais
apresentadas pelo candidato;
Deve ser verificada a identidade do candidato;
Quando um cargo proporcionar acesso a equipamentos de processamento
de informaes sensveis (informaes financeiras ou informaes
altamente confidenciais) devem ser verificada a situao de crdito do
empregado;
Para o pessoal em funes com grande autoridade, a verificao deve ser
repetida periodicamente;
Deve ser realizado processo de triagem similar para subcontratados e
pessoal temporrio;
142
Deve ser verificado se na triagem e nos procedimentos de notificao que
ela adota se o processo foi completado ou se os seus resultados do
margem a dvidas ou a preocupao;
Os gerentes devem levar em conta o fato de que circunstncias pessoais
dos seus subordinados podem afetar o trabalho dos mesmos, como
problemas pessoais e financeiros, mudanas de comportamento ou de
estilo de vida, faltas constantes e sinais de estresse ou depresso, que
podem levar a fraude, furto, erros ou outras implicaes de segurana;
As informaes devem ser tratadas de acordo com a legislao
apropriada, vigente na jurisdio em questo.
Compromissos de confidencialidade (corresponde ao item 4 do
O pessoal temporrio e os usurios externos devem assinar compromisso
de confidencialidade antes de terem acesso a instalaes de
processamento de informaes;
Os compromissos de confidencialidade devem ser revistos quando h
mudanas nas condies de emprego ou no contrato;
Os compromissos de confidencialidade devem ser revistos quando os
empregados esto para sair da organizao ou quando os contratos esto
para terminar.
143
Termos e condies de emprego corresponde ao item 5 do questionrio
- APNDICE B)
Os termos e condies de emprego devem estipular a responsabilidade
do empregado pela segurana das informaes;
Essas responsabilidades devem continuam em vigor durante um
determinado perodo aps o trmino da relao de emprego;
Devem ser levadas em conta as providncias a tomar se o empregado
deixar de atender s exigncias contratuais;
Devem ser includas nos contratos as responsabilidades e direitos legais
do empregado, com relao: s leis de copyright ou legislao de
proteo dos dados, a classificao e pelo tratamento dos dados sobre o
empregado, as responsabilidades que se aplicam fora das instalaes da
organizao e fora do horrio normal de trabalho, e fora do local de
trabalho (ex.: uso de notebook).
Treinamento dos usurios (item 6 do questionrio - APNDICE B)
Deve ser assegurado que os empregados estejam em condies de apoiar
a poltica de segurana da organizao no decorrer do seu trabalho
normal;
Os usurios devem receber treinamento sobre procedimentos de
segurana e sobre o uso correto das instalaes de processamento de
informaes, a fim de minimizar os possveis riscos de segurana.

144
Educao e treinamento em segurana das informaes (corresponde
ao item 7 do questionrio - APNDICE B)
Todos os empregados da organizao e os usurios externos devem
receber treinamento adequado e atualizaes regulares sobre as polticas
e os procedimentos da organizao, antes de terem acesso s informaes
ou aos servios;
Devem ser includos requisitos de segurana, responsabilidades legais e
controles empresariais e treinamento sobre o uso correto dos
equipamentos de processamento de informaes.
Reao a incidentes de segurana e falhas (corresponde ao item 8 do
Devem ser tomadas medidas visando minimizar os prejuzos causados
por incidentes de segurana e falhas e monitorados tais incidentes;
Os incidentes que afetarem a segurana devem ser comunicados o quanto
antes, atravs dos canais administrativos apropriados;
Devem ser recolhidas provas o quanto antes, aps a ocorrncia de um
incidente.
Comunicao de incidentes de segurana (corresponde ao item 9 do
145
Os incidentes devem ser utilizados no treinamento de conscientizao
dos usurios, sobre o que poderia acontecer, como reagir a tais incidentes
e como evit-los no futuro.
Comunicao de pontos fracos de segurana (corresponde ao item 10
do questionrio - APNDICE B)
Os usurios de servios de informaes devem anotar e comunicar
pontos fracos de segurana observados ou suspeitos e quaisquer ameaas
a sistemas ou servios;
Essas questes devem ser comunicadas sua gerncia ou diretamente ao
seu provedor de servios, com a mxima rapidez;
Deve ser avisado aos usurios que eles no devem, em hiptese alguma,
tentar provar um ponto fraco de que suspeitam, pois o teste de um ponto
fraco poderia ser interpretado como um uso abusivo potencial do sistema.
Aprendendo com os incidentes (item 11 do questionrio - APNDICE
B)
Devem ser implementados mecanismos para permitir a quantificao e
monitorao dos tipos, volumes e custos de incidentes e falhas de
funcionamento;
Atravs dessas informaes devem ser identificados incidentes ou falhas
repetidas ou de alto impacto;

146
Deve ser indicada a necessidade de controles aperfeioados ou adicionais
para limitar a freqncia, os danos e o custo de futuras ocorrncias ou
levar em considerao no processo de reviso da poltica de segurana;
Processo disciplinar (item 12 do questionrio - APNDICE B)
Deve existir um processo disciplinar formal para empregados que
violarem as polticas e procedimentos de segurana da organizao e para
a coleta de provas;
Deve existir um procedimento que vise desencorajar empregados com
tendncia para desrespeitar os procedimentos de segurana;
Esse procedimento assegurar um tratamento correto e justo de
empregados suspeitos de cometerem violaes de segurana, graves ou
persistentes.
Situaes de emergncia (corresponde ao item 13 do questionrio -
APNDICE B)
Deve existir treinamento acerca de preveno de acidentes em todos os
turnos;
Deve existir uma lista de telefones e endereos de emergncia (pronto-
socorro, hospitais, corpo de bombeiros, policia militar etc.);
Devem ser realizados procedimentos destinados remoo de pessoas;
Deve existir informao e treinamento quanto Poltica de Segurana;

147
A gerncia e a superviso devem inspecionar as reas em horrios
alternados.
Casos de incndio (corresponde ao item 14 do questionrio -
APNDICE B)
Deve ser realizado treinamento de evacuao do edifcio;
Deve ser realizado treinamento acerca de salvamento de ativos
(documentos, meios magnticos);
Deve ser feita divulgao/exibio dos telefones do corpo de bombeiros;
Os funcionrios devem ser treinados para combater incndios que
possam ocorrer na rea do computador;
Devem existir brigadas de incndio organizadas.
Segurana funcional (corresponde ao item 15 do questionrio -
APNDICE B)
Deve ser feito um acompanhamento de funcionrios descontentes ou com
problemas financeiros a pessoais;
Os antecedentes de funcionrios novos devem ser verificados;
Todos os funcionrios devem ser instrudos quanto a medidas de
segurana adotadas.
148
3.5 Segurana fsica e do ambiente
OBJETIVO:
O objetivo da Segurana Fsica e do Ambiente prevenir acesso no autorizado,
dano e interferncia s informaes e instalaes fsicas das organizaes.
Permetros de segurana analisados:
Hall de entrada do piso trreo;
Hall de elevadores;
Acesso ao estacionamento interno e uso comum e carga/descarga;
Entradas principais dos pavimentos;
Pavimento da cobertura;
Almoxarifados;
Arquivo;
Iluminao;
Equipamentos de combate a incndio;
Sadas de emergncia e sinalizao;
Sala de controle;
Data Center;
149
Ambiente de redes e teleprocessamento;
Controle de acesso fsico;
Piso elevado;
Pavimentos estratgicos que contenham equipamentos de controle ou
infra-estrutura.
reas de segurana da ELECTRA
As reas crticas ou sensveis devem estar localizadas em reas seguras e:
Serem protegidas por um permetro de segurana definido;
Serem protegidas por barreiras de segurana;
Terem controles de entrada apropriados; serem protegidas fisicamente
contra acesso no autorizado, danos e interferncia;
Terem grau de proteo proporcional e ser compatvel com os riscos
identificados;
Terem poltica de mesa vazia e tela vazia para reduzir o risco de acesso
no autorizado ou danos a documentos, mdias e instalaes de
150
Permetro de Segurana
Na proteo com barreiras fsicas em volta das instalaes da ELECTRA e dos
equipamentos de processamento de informaes devem ser observadas as seguintes
situaes:
Cada barreira deve estabelecer um permetro de segurana onde cada
uma delas contribui para o aumento da proteo total oferecida;
Utilizar permetros de segurana para proteger as reas que contm
equipamentos de processamento de informaes crticos;
Um permetro de segurana algo que constitui uma barreira, uma
parede, um porto de entrada controlado por carto, biometria ou ambos;
O permetro de um edifcio ou site que contm reas crticas deve ser
fisicamente slido e atender aos seguintes requisitos:
No deve haver brechas no permetro de segurana ou reas que
permitem uma penetrao fcil, tanto de pessoas quanto de fumaa, gases
corrosivos, poeira, gua, fogo etc;
As paredes externas devem ser de construo slida e as portas externas
devem ser devidamente protegidas contra o acesso no autorizado, com
mecanismos de controle, alarmes etc;
Portas corta-fogo de um permetro de segurana devem ser equipadas
com alarme e fechar automaticamente;

151
As barreiras fsicas devem se estender do piso bruto ao teto bruto para
impedir o acesso no autorizado e contaminao ambiental.
Controles fsicos de entrada - autenticao
reas seguras devem ser protegidas por controles de entrada apropriados e deve-
se observar o seguinte:
Utilizar cartes magnticos mais nmero de identificao pessoal (PIN)
e/ou biometria para autorizar e validar todos os acessos;
Manter trilhas de auditoria de todos os acessos guardadas em um local
seguro e remoto;
Exigir que o pessoal utilize alguma forma de identificao visvel e que
interpele pessoas estranhas no acompanhadas e qualquer pessoa que no
esteja usando uma identificao visvel;
Os direitos de acesso a reas seguras devem ser revistos e atualizados
regularmente.
Definio de rea segura
As salas de cada departamento, dentro do permetro fsico da ELECTRA,
devem permanecer trancadas e dispor de controle de acesso por senha
e/ou biomtrico;
Devem-se utilizar arquivos de ao trancveis e cofres para proteo de
mdias.
152
A escolha e o projeto de uma rea segura devem levar em conta as
possibilidades de danos causados pelos riscos ou vulnerabilidades;
Devem ser levadas em considerao eventuais ameaas segurana
causadas por instalaes vizinhas, infiltraes, vazamento de gua
proveniente de outra rea ou da prpria laje.
Devem ser considerados os seguintes aspectos:
Os equipamentos crticos devem estar num local no acessvel ao
pblico;
Os prdios devem ser discretos e indicar o mnimo possvel a sua
finalidade, sem sinais visveis, dentro ou fora do edifcio, que
identifiquem a presena de atividades de processamento das informaes
ou o nome da instituio;
Funes e equipamentos de suporte (fotocopiadoras e aparelhos de fax)
devem ficar num local apropriado dentro da rea segura para evitar
pedidos de acesso que poderiam comprometer as informaes e dispor de
senhas de controles de acessos para liberao de uso;
As portas e janelas devem ficar trancadas quando no houver ningum
presente e deve-se pensar em sensores de proteo externa para as
janelas, principalmente as localizadas no pavimento trreo.

153
Controles
Implementar sistemas apropriados de deteco de intrusos, instalados
segundo padres profissionais e testados regularmente, para cobrir todas
as portas externas e as janelas acessveis;
As reas no ocupadas devem ter um alarme armado permanentemente;
Os equipamentos administrados pela ELECTRA devem ficar fisicamente
separados dos equipamentos administrados por terceiros;
As listas de pessoal e listas telefnicas internas que identificam a
localizao dos equipamentos de processamento de informaes
sensveis no devem ficar expostas e acessveis ao pblico;
A proteo das instalaes considera que:
Materiais perigosos ou combustveis devem ser armazenados de modo
seguro e a uma distncia adequada de uma rea crtica;
Os suprimentos em grande volume no devem ficar armazenados dentro
de uma rea crtica, devendo ser requisitados medida que forem
utilizados;
Os equipamentos e mdia de backup devem ficar localizados a uma
distncia segura para que no sejam danificados em caso de um acidente
no site principal.
154
Atividades de terceiros
O pessoal s deve saber da existncia de uma rea segura e das
atividades nela executadas quando for estritamente necessrio;
Deve-se evitar o trabalho no supervisionado em reas seguras, por
motivos de segurana;
reas seguras desocupadas devem ser trancadas fisicamente e
inspecionadas periodicamente;
Suporte de terceiros ter acesso restrito s reas seguras ou aos
equipamentos de processamento de informaes sensveis e somente
quando necessrio;
Acesso deve ser autorizado antes e monitorado;
Devem-se criar barreiras e permetros adicionais de controle de acesso
fsico entre reas com diferentes requisitos de segurana dentro do
permetro de segurana;
No deve ser permitida a presena de equipamento fotogrfico, de vdeo,
de comunicao pessoal, de udio ou de outro equipamento de gravao,
a menos que seja autorizado.
reas de entregas e de carregamento
O acesso a uma rea de armazenagem provisria, a partir do exterior de
um edifcio, deve ser restrito ao pessoal identificado e autorizado;

155
A rea de armazenagem provisria deve ser projetada de tal maneira que
os suprimentos possam ser descarregados sem que o pessoal de entrega
tenha acesso a outras partes do edifcio;
As portas externas de uma rea de armazenagem provisria devem ser
trancadas enquanto a porta interna estiver aberta;
Todo material recebido deve ser inspecionado para detectar eventuais
perigos antes de ser transportado da rea de armazenagem provisria ao
local de utilizao;
Todo material recebido deve ser registrado ao entrar no site;
As reas de entregas e de carregamento devem ser controladas e se
possvel isoladas dos equipamentos de processamento de informaes, a
fim de evitar o acesso no autorizado.
3.5.1 Segurana em equipamentos
OBJETIVO:
Impedir a perda, dano ou comprometimento de ativos e a interrupo das
atividades da ELECTRA.
Os equipamentos devem ser protegidos fisicamente contra as ameaas a
sua segurana e contra os perigos ambientais;

156
A proteo dos equipamentos necessria para reduzir o risco de acesso
no autorizado aos dados e para impedir que os equipamentos sejam
perdidos ou danificados;
Devem ser implementados controles especiais para proteo contra
perigos ou acesso no autorizado e para preservar os equipamentos de
apoio, tais como o suprimento de energia e infra-estrutura de
cabeamento.
Localizao e proteo dos equipamentos
Os equipamentos devem ser localizados ou protegidos de modo a reduzir os
riscos das ameaas e perigos do meio ambiente e as oportunidades de acesso no
autorizado e devem obedecer ao seguinte:
Serem localizados de modo a minimizar o acesso desnecessrio s reas
de trabalho;
Os equipamentos de processamento e armazenagem de informaes que
manuseiam dados sensveis devem ser posicionados de modo a
minimizar o risco de olhares indiscretos durante o uso.
Devem ser adotados controles para minimizar o risco de ameaas potenciais,
incluindo furto, incndio, exploses, fumaa, gua (falha no abastecimento), poeira,
vibrao, efeitos qumicos, interferncia no suprimento de fora, radiao
eletromagntica e acesso indevido fsico e lgico.

157
Riscos da vizinhana
Um incndio em empresas ou ambientes vizinhos pode colocar em risco
o seu ambiente de tecnologia;
Grandes frentes de janelas oferecem caminho natural para a subida de
chamas, o calor quebra os vidros e o ambiente penetrado por fumaa
txica e pelas chamas;
Canos de PVC, quando aquecidos, liberam gases a base de cloro e
enxofre, que, em contato com a gua, reagem e se transformam em cido
clordrico e sulfrico, que so txicos e corrosivos.
Localizao e proteo dos equipamentos
A ELECTRA deve estabelecer uma poltica referente aos atos de comer,
beber e fumar nas instalaes de processamento e armazenamento de
informaes ou em sua proximidade;
conveniente monitorar as condies ambientais quanto a fatores que
poderiam afetar negativamente a operao dos equipamentos de
processamento e armazenamento de informaes;
Deve-se levar em conta o impacto de um incidente em instalaes
prximas como, por exemplo, incndio em edificaes vizinhas,
vazamento de gua no telhado ou em pavimentos do subsolo ou exploso
na rua.
158
3.5.2 Suprimento de energia eltrica
OBJETIVO:
Providenciar suprimento adequado de eletricidade que atenda s especificaes
do fabricante dos equipamentos.
Devem ser providenciadas fontes alternativas para gerao de energia e
observados os seguintes requisitos:
Utilizar mltiplas fontes de alimentao para evitar que o suprimento
dependa de uma nica fonte;
Utilizar gerador de backup;
Utilizar um suprimento prova de interrupes (UPS/no-break) para
suportar a parada ordenada ou a continuao da operao, no caso de
equipamentos que suportam operaes crticas para a ELECTRA;
Planejar contingncia indicando as providncias a tomar em caso de
falha do UPS (Uninterruptible Power Supply)/no-break;
Testar regularmente o equipamento, de acordo com as recomendaes do
fabricante, para assegurar que o mesmo tenha a capacidade adequada.
Pontos crticos no suprimento de energia eltrica
Bancada de baterias, risco de exploso e falha do equipamento;

159
Gerador de backup caso se deseje que o processamento continue em caso
de uma falta de fora prolongada e testes peridicos;
Estocagem do leo diesel e manuteno da sua qualidade, muretas de
conteno;
Suprimento adequado de combustvel para assegurar que o gerador possa
operar durante um perodo prolongado;
Chaves de fora de emergncia localizadas perto das sadas de
emergncia das salas de equipamentos para facilitar o desligamento
rpido da fora em caso de emergncia;
Iluminao de emergncia para o caso de falta de fora;
Existncia de pra-raios com filtros de proteo contra raios em todas as
linhas externas de comunicaes;
Deve haver Gaiola de Faraday (cmara metlica com ligao a terra, que
Faraday, famoso qumico e fsico ingls idealizou. um recinto metlico (gaiola ou
cmara, conforme o caso) em cujo interior no podem penetrar emisses eltricas ou
eletromagnticas.) e pra-raios Franklin (pra-raios tipo haste instalado no alto de
edificaes ou das torres. Esse pra-raios oferece proteo para a edificao contida
sob o cone de proteo cujo vrtice encontra-se no topo da haste captora. O que estiver
dentro desse espao estar protegido. O ngulo de proteo variar de acordo com o
nvel de proteo requerido, tipo de ocupao, valor do contedo, localizao e altura
da edificao).
160
Segurana do cabeamento
Proteo contra interceptao ou danos, levando-se em considerao os
seguintes aspectos:
As linhas de fora e as linhas de telecomunicaes que entram nos
equipamentos de processamento de informaes devem ser subterrneas,
sempre que possvel ou ter uma proteo alternativa adequada;
O cabeamento das redes deve ser protegido contra interceptao no
autorizada ou danos (pelo uso de condutes ou evitando trajetos que
passem por reas pblicas);
Os cabos de fora devem ficar separados dos cabos de comunicaes
para evitar interferncias.
Controles adicionais para cabeamento
Instalar condutes blindados e salas ou caixas trancadas em pontos de
inspeo e pontos terminais;
Usar rotas ou meios de transmisso alternativos;
Usar cabeamento de fibras pticas;
Equipar os cabos com sistemas de varredura para detectar a presena de
dispositivos no autorizados.
161
3.5.3 Manuteno dos equipamentos
OBJETIVO: Manuteno correta dos equipamentos para assegurar a sua
disponibilidade e integridade permanentes.
Devem obedecer aos seguintes requisitos:
Os equipamentos devem receber manuteno com periodicidade correta e
de acordo com as especificaes do fabricante;
A manuteno e os reparos do equipamento s devem ser executados por
pessoal autorizado;
Deve ser mantido um registro de todos os defeitos suspeitos ou reais e de
toda a manuteno preventiva e corretiva executada;
Devem ser adotados controles apropriados quando equipamentos saem
do site para fins de manuteno;
Devem ser cumpridas todas as exigncias estipuladas nas aplices de
seguros.
Segurana dos equipamentos fora do site
Os equipamentos e as mdias retirados das instalaes da ELECTRA no
devem ficar sem superviso em lugares pblicos;
Os computadores portteis devem ser transportados como bagagem de
mo e disfarados sempre que possvel, quando se viaja;

162
Devem ser observadas a qualquer tempo as instrues do fabricante para
a proteo dos equipamentos como, por exemplo, contra a exposio a
campos eletromagnticos intensos;
Os controles para o trabalho a domiclio devem ser determinados por
uma avaliao dos riscos e adotados controles adequados conforme seja
necessrio;
Deve haver uma cobertura de seguros adequada para proteger o
equipamento quando fora do site;
Os riscos de segurana como danos, furto e olhares indiscretos podem
variar consideravelmente entre um local e outro e devem ser levados em
conta para determinar os controles mais apropriados;
O uso de qualquer equipamento fora das instalaes da ELECTRA, para
fins de processamento de informaes, deve ser autorizado pela gerncia
e o grau de segurana proporcionado deve ser equivalente ao do
equipamento utilizado no site para os mesmos fins, levando-se em conta
os riscos do trabalho fora das instalaes da ELECTRA;
O equipamento de processamento de informaes inclui todas as formas
de computadores pessoais, agendas eletrnicas, equipamentos de
comunicao pessoal, papel ou outros meios, que ficam na posse da
pessoa para trabalho no domiclio ou que so transportados para fora do
local normal de trabalho.

163
Segurana no descarte ou na reutilizao de equipamentos
As informaes podem ser comprometidas pela falta de cuidados no
descarte ou na reutilizao de equipamentos;
Os sistemas de armazenagem que contenham informaes sensveis
devem ser destrudos fisicamente ou sobregravados de maneira segura ao
invs de se usar a funo normal delete;
Todos os itens de equipamento que contenham mdia de armazenagem,
como, por exemplo, discos rgidos, devem ser verificados para garantir
que todos dados sensveis e softwares licenciados tenham sido retirados
ou sobregravados antes do descarte;
No caso de dispositivos de armazenagem danificados que contenham
dados sensveis, poder ser necessria uma avaliao dos riscos para
determinar se o item deve ser destrudo, consertado ou descartado.
Poltica de mesa e tela vazia
Deve-se adotar poltica de mesa vazia para documentos e mdia de
armazenagem removvel;
Deve-se adotar poltica de tela vazia para os equipamentos de
processamento de informaes, a fim de reduzir os riscos de acesso no
autorizado a informaes e perda ou dano de informaes durante o
horrio normal de trabalho e fora dele;

164
Deve-se levar em considerao as classificaes de segurana da
informao, os riscos correspondentes e os aspectos culturais da
ELECTRA;
As informaes deixadas em cima de mesas tambm podero ser
danificadas ou destrudas em caso de catstrofes, como incndios,
inundaes ou exploses.
3.5.4 Diretrizes de proteo
Os documentos e mdias de computador devem ser armazenados em
estantes apropriadas e cofres especiais quando no estiverem em uso,
principalmente fora do horrio de expediente;
Informaes empresariais sensveis ou crticas devem ficar trancadas
(preferencialmente em um cofre ou arquivo a prova de fogo) quando no
em uso, principalmente quando no houver ningum no escritrio;
Os computadores pessoais e terminais de computador, bem como as
impressoras, no devem ficar logged-on na ausncia do operador e
devem ser protegidos por bloqueios de teclas, biometria, senhas ou outros
controles quando no estiverem em uso;
Os postos de correspondncia recebida e enviada e as mquinas de fax
devem ser protegidos quando o operador no estiver presente;

165
As copiadoras devem ser trancadas ou protegidas de algum outro modo
contra o uso no autorizado fora do horrio normal de expediente;
Informaes sensveis ou confidenciais, quando impressas, devem ser
retiradas das impressoras imediatamente.
Retirada de bens
Os equipamentos, as informaes ou o software no devem sair do site
sem autorizao;
Quando necessrio e apropriado, a sada e a devoluo dos equipamentos
devem ser registradas;
Devem ser feitas inspees por amostragem para detectar a retirada no-
autorizada de bens;
Os usurios devem ser informados da existncia de tais inspees.
3.5.5 Situao atual do Data Center em relao Segurana Fsica
Ambientes e caractersticas prediais
No caso especfico do Data Center, suas instalaes atuais compartilham o
ambiente computacional com atividades de risco, presentes na rea da ELECTRA e na
vizinhana.
166
Riscos externos e internos
Existem ambientes internos e externos que expem a ELECTRA a riscos de
incndio, que, mesmo no atingindo a rea do Data Center, podem afetar mdias e
equipamentos com seus gases txicos, exploso, desmoronamento, trepidao (obras)
etc. Esses riscos so baixos, pois a vizinhana estabelecida com edifcios definitivos.
Veculos e pessoas
O prdio que abriga a ELECTRA e o seu Data Center dispe de grande rea de
estacionamento em sua rea externa, que fica totalmente ocupada durante o expediente
normal, devido ao expressivo nmero de pessoas que trabalham ou visitam o local e os
demais edifcios prximos. Embora representado risco menor de incndio em
automveis nesse estacionamento, no devem ser desconsiderados possveis prejuzos
pelos gases emanados, que prejudicam mdias e equipamentos sensveis.
O estacionamento interno situa-se no subsolo do prdio. Dispe de grande
quantidade de vagas, grande parte delas abaixo do Data Center, representando alto
risco relativamente a incndio em automveis, cujos gases podem afetar, direta ou
indiretamente, os equipamentos sensveis.
Salas de escritrios
O prdio tem nove andares de escritrios.
Existem vrias dependncias com papis e outros materiais combustveis e por
onde transitam diariamente centenas de pessoas.

167
Vizinhana
Ao lado do prdio, localiza-se uma grande edificao comercial. Esse
estabelecimento, bem como outros situados na redondeza, atraem muitos automveis e
pessoas para as proximidades do Data Center da ELECTRA, configurando nesse
sentido, juntamente com as outras ameaas descritas, uma vizinhana de alto risco.
Identificao visual da rea do Data Center
Embora nem todos os tcnicos da segurana da informao sejam unnimes,
grande parte opina que um ambiente de processamento de dados no deve ter qualquer
inscrio que o identifique.
Riscos de acesso indevido
A rea ocupada pelo Data Center no configura um permetro de segurana
adequado. As barreiras e as portas so controladas por vigilantes de segurana, com
controles simplificados.
As edificaes da ELECTRA
a) Estacionamentos
Externo: O prdio que abriga a ELECTRA e o seu Data Center dispe de uma
grande rea de estacionamento em sua rea externa, que fica totalmente ocupada
durante o expediente normal, devido ao expressivo nmero de pessoas que trabalham
no local e nos demais edifcios prximos.

168
Interno: situa-se no subsolo do prdio abaixo do Data Center, representando
riscos relativos a incndio em automveis, cujos gases podem afetar, direta ou
indiretamente, os equipamentos sensveis.
b) Portarias
Portaria principal: o primeiro contato com a ELECTRA realizado na portaria
principal. A partir dela tem-se acesso direto aos elevadores que conduzem aos andares
do prdio;
A atuao das recepcionistas ou dos vigilantes da portaria uma triagem
simples, na qual se solicita nome, identidade, origem, destino e outras pequenas
observaes sobre o ingresso, que a partir da praticamente livre a todas s salas da
ELECTRA.
Data Center: atualmente o primeiro contato do visitante com o Data Center
realizado na portaria situada na entrada do prprio Data Center, no 1 subsolo, onde
existe um balco em forma de L, caracterizando um segundo nvel de proteo,
geralmente com uma recepcionista e um vigilante (no final da tarde, normalmente com
apenas um vigilante). Dispe de telefone e um computador, alm de um Registro de
Visitante, documento preenchido com os dados do visitante e posteriormente
arquivado por um ano na sala da segurana.
Nessa portaria, possvel o controle de acesso entrada principal do Data
Center, mas no o de uma outra porta que tambm pode permitir o acesso (apesar de
estar predominantemente trancada), que a da sala de impresso, situada em frente ao
auditrio.
c) Demais dependncias
169
rea interna: paredes, portas, janelas, pisos, tetos, corredores, toaletes,
elevadores, escadas internas e de emergncia, instalaes eltricas e hidrulicas: com
poucas excees, o estado geral dessas edificaes no satisfatrio. As escadas de
emergncia no atendem s normas de segurana e esto com os seus pilares metlicos
com algum comprometimento por oxidao.
As instalaes eltricas do local esto sendo revistas.
Telhados: a cobertura constituda de laje de concreto armado e coberta com
telhado de amianto, visando direcionar a gua das chuvas para calhas;
Aparentemente, h muito tempo no se realiza uma impermeabilizao nessas
coberturas, que, apesar disso, ainda apresentam bom estado de conservao;
As calhas de guas pluviais esto limpas e desimpedidas, mas foi observada
gua empoada na parte central da cobertura, sobre uma sala que dispe de
equipamentos de monitoramento de servios de infra-estrutura;
Situao Atual especfica do Data Center
A rea do subsolo, ocupada pelo Data Center e outras salas da ELECTRA,
compe-se de:
Data Center: gerncia de infra-estrutura, gerncia de servio de rede
corporativa, analistas, testes, suporte, banco de dados, coordenao, call center,
preparo, teleprocessamento/rede, servidores, mquinas de grande porte, impresso,
operao/fitas, recepo/expedio, manuteno, terceiros, reunio, copa (sem fogo)
e toaletes, configurando a sua rea interna.

170
Salas de segurana, pool de mensageiros, reprografia, arquivo, laboratrio de
microfilmagem e no-break tm acesso pelo corredor central da rea no crtica do
Data Center.
Outras salas: ainda junto rea do Data Center, porm fora da rea sensvel,
situam-se o auditrio, biblioteca, videoconferncia, arquivo geral, depsito do
almoxarifado, servios gerais, sala da administrao do almoxarifado etc.
Localizao
O Data Center est localizado no subsolo do prdio, cuja edificao no foi
construda especificamente para abrigar um Data Center.
Edificaes
Pelas suas prprias atividades do dia-a-dia, as reas da edificao onde se situa o
Data Center no configuram um permetro de segurana adequado. As barreiras e as
portas controladas por vigilantes de segurana necessitam de controles compatveis
com os riscos dessa rea crtica
Paredes externas
Esto em bom estado de conservao.
Paredes internas
As que circundam a rea crtica, em alvenaria, esto em bom estado de
conservao.
171
Portas
Existem brechas no permetro de segurana, como por exemplo:
No existem portas corta-fogo dotadas de alarme e fechamento
automtico;
A porta da sala de impresso permite acesso rea crtica (apesar da
mesma estar predominantemente fechada);
Uma portinhola (pequena abertura na parede) da sala do no-break para a
sala das mquinas do ar-condicionado pode permitir acesso indevido pela
sala do no-break;
A porta de vidro, prxima dos elevadores, no corredor da entrada do
Data Center pode permitir, no mnimo, que um curioso mal-intencionado
trace um croqui da localizao dos equipamentos crticos do Data
Center, para posterior intruso;
O suporte de terceiros dever ter acesso restrito s reas seguras ou aos
equipamentos de processamento de informaes sensveis e somente
quando necessrio;
Todos os itens citados constituem, direta ou indiretamente, brechas na
segurana para penetrao de intrusos ou para gases, fumaa, fogo, gua,
poeira etc.
172
Divisrias internas
So constitudas de frmica e vidro, que so materiais no resistentes ao fogo.
No so fechadas de laje a laje, o que facilita o acesso indevido sob as placas do piso
elevado e tambm no impedem penetrao de fogo ou gases de salas vizinhas.
A porta principal de entrada do Data Center
Est localizada prxima aos vigilantes e recepcionistas da portaria do Data
Center. Entretanto, oportuno lembrar que a vigilncia nesse posto, em alguns
perodos do final da tarde, estava constituda de apenas um vigilante, o que no
suficiente para o correto controle de acesso;
Portas internas
So extenses das divisrias e, portanto, frgeis. Na rea sensvel, no so
mantidas trancadas e nem dispem de acesso somente ao pessoal autorizado. As que
esto junto com as divisrias sobre todo o piso elevado necessitam que, abaixo e
acima delas, haja o mesmo cuidado sugerido para as divisrias;
A porta da entrada do Data Center, que tambm pode ser improvisada como
sada de emergncia, d para o corredor externo rea crtica e nesse h facilidade de
evacuao. Entretanto, os corredores internos de circulao das salas da rea crtica
so muito apertados, o que certamente dificultaria uma evacuao de pessoal em caso
de emergncia.
173
Instalaes eltricas
A rede, o quadro de fora do subsolo e as instalaes eltricas que servem ao
Data Center apresentam bom estado de conservao e so adequadas.
No-break
O no-break, apesar de ser um modelo antigo, tem atendido ao Data Center.
Todavia, em caso de interrupo de fornecimento de energia por perodos mais longos,
haver necessidade de se contar com um grupo gerador, principalmente para atender
climatizao da sala de segurana que a ELECTRA planeja instalar para o Data
Center;
Cabeamento Lgico
No existem sistemas de varredura no cabeamento para detectar a
presena de dispositivos no autorizados;
O cabeamento, sob o piso elevado, no est adequadamente disposto. H
cabos lgicos misturados com eltricos, o que pode causar interferncias.
Instalaes hidrulicas e infiltraes
No h problemas de abastecimento e esgotamento de guas servidas.
Foi realizada uma reparao de infiltrao em um tubo localizado sobre a sala de
rede, gerando preocupaes a respeito de outras possveis infiltraes sobre a rea
sensvel do Data Center.

174
Combate a incndio
Existe, entre os que prestam servios no Data Center, a preocupao em
atender s normas de segurana, como um todo, mas uma das principais,
relativa solicitao para no fumar no ambiente, no est sendo
observada;
Foram encontradas pontas de cigarro em muitas latas de lixo e uma ponta
de cigarro sob o piso elevado;
Existem hidrantes nos corredores externos, que tm recebido manuteno
peridica;
As mangueiras esto corretamente desenroscadas do tubo, mas devem ser
dotadas de bico regulvel e estarem dimensionadas de forma a alcanar
todos os ambientes existentes;
Os extintores de incndio so adequados, de fcil acesso, mas nem
sempre se encontram nos lugares demarcados;
O piso elevado composto de material que propaga chamas;
As cestas de lixo so convencionais e sem tampa, inclusive as maiores,
das salas de impresso, que so usadas para recolher papis;
No constatamos armazenamento, no almoxarifado, no mesmo ambiente,
de lquidos inflamveis e papis;
Existem painis de controle de incndio e quadros apropriados de fora;

175
Existem detectores convencionais de fumaa na rea sensvel, mas no
piso no h sinalizao da localizao dos mesmos;
No existem sensores de umidade e temperatura;
Existem quadros de controle para detectar fumaa e fogo, mas esto
desatualizados;
No existe alarme de incndio que toque na vigilncia;
No existe um sistema de alarme para evacuao;
No existe combate automtico de incndio com gs especfico;
No existe uma brigada de incndio adequada no prdio.
Climatizao
As instalaes de ar-condicionado esto em bom estado de conservao.
Segundo os funcionrios da ELECTRA que fazem a sua manuteno, o
sistema est funcionando com folga. H um pleno, que lana o ar
diretamente sob o piso elevado e dutos para as demais salas;
O equipamento de ar-condicionado que serve ao Data Center dotado de
oito mquinas. Normalmente, quatro funcionam e quatro so
redundantes;
H necessidade de uma reviso no insuflamento do ar-condicionado para
algumas salas do Data Center, que estavam com temperatura elevada,

176
gerando reclamao de alguns funcionrios e possibilitando paradas nos
equipamentos;
Foi tambm constatado que a torre, externa, de resfriamento ser
reformada e que os filtros de gua so lavados quinzenalmente. Os
equipamentos esto instalados em compartimento fechado, com acesso
somente ao pessoal autorizado, mas localizam-se do lado de fora,
carecendo de maior proteo;
Controle de Acesso
O controle de acesso de funcionrios realizado por meio de carto magntico,
que no tem a finalidade de segregar o acesso a reas de outras funes,
principalmente no Data Center. Atualmente, qualquer pessoa, visitante ou funcionrio,
no ter maiores dificuldades de entrar em dependncias da ELECTRA,
caracterizando um grande risco para a segurana, pois as reas deveriam ser protegidas
com grau de permisso de acesso.
No h circuito fechado de televiso (CFTV), mas existe projeto para esse
coadjuvante da segurana predial.
Manuteno e limpeza de instalaes e equipamentos
Existe cuidado com a limpeza e com a manuteno das instalaes e
equipamentos. Entretanto, as condies de limpeza sob o piso elevado no estavam
boas;
177
Constatamos, em anlise nos sacos de lixo do Data Center, e em lixeiras do
arquivo, documentos importantes, misturados a lixo comum, que seriam descartados
na lixeira geral do prdio.
3.5.6 Recomendaes de Segurana Fsica do Data Center
3.5.6.1 Recomendaes especficas da ELECTRA
Ambientes e caractersticas prediais da ELECTRA
Portaria central
Deve-se modificar a portaria principal, de forma que todo visitante
obrigatoriamente tenha que passar por uma triagem nela;
Deve haver recepcionistas e pessoal de segurana em nmero suficiente
para atender a demanda de pessoas recebidas, em todos os horrios,
dentro e fora do expediente normal;
O controle de acesso deve ser mais rigoroso que o atual, com
comparao da identidade e o seu dono e no apenas com a anotao do
nmero do documento;
Devem ser anotados os horrios de entrada e sada do visitante;

178
Devem haver catracas com controle de acesso;
Deve-se manter em segurana uma trilha de auditoria contendo todas os
acessos ocorridos, com gravao remota on-line.
Uso de Crachs
Deve ser obrigatrio, no somente para se evitar o acesso indevido, mas
em qualquer situao, o uso de cartes com PIN ou crachs por qualquer
pessoa que esteja transitando no interior da ELECTRA;
Deve tambm ser obrigatrio que todos os funcionrios, sem exceo,
portem carto de identificao ou crach, em local visvel e que sejam
incentivados a informar segurana sobre a presena de qualquer pessoa
no identificada ou de qualquer estranho no acompanhado.
Circuito fechado de TV
Todas as portarias, salas, corredores, escadas, entradas e sadas,
passagens, estacionamentos, reas de carga e descarga e principalmente
os demais pontos crticos de toda a ELECTRA devem ser monitorados
por CFTV, com avisos claros, visando desestimular eventuais intrusos;
O CFTV deve possuir tecnologia de modo que as informaes sejam
monitoradas e gravadas remotamente;
Devem-se utilizar monitores vigiados em sistema multiplexador numa
sala da segurana, bem como gravar as suas imagens em time lapse. Esse
equipamento deve ser mantido trancado em local seguro, com porta
dotada de controle de acesso, a fim de se evitar extravio de fitas;

179
Convm que o cabeamento do CFTV seja protegido contra cortes,
intencionais o ou acidentais.
Demais dependncias
Janelas do 1 andar: recomendvel que sejam reforadas, j que podem
permitir acesso indevido;
Escadas de emergncia: No atendem s normas de segurana; so
enclausuradas e sem corrimos.
3.5.6.2 Recomendaes especficas do Data Center
Segurana Mxima
A literatura da segurana da informao define a disposio fsica ideal dos Data
Center, orientando que as instalaes mais sensveis sejam localizadas no centro, e as
demais, de acordo com a sensibilidade, dispostas do centro para fora, configurando
camadas concntricas de segurana.
Dentre diversos aspectos, solues tcnicas pertinentes so agregadas para
fornecimento de energia, gua e esgoto, climatizao, combate a incndios e detalhes
muitas vezes desprezados em edificaes comuns, como a escolha de material de
acabamento resistente e retardante ao fogo.
Em funo do exposto acima e levando-se em considerao que a edificao que
abriga o Data Center no especfica para essa finalidade e principalmente pela

180
vizinhana de alto risco, convm que todas as recomendaes expostas nesta anlise
sejam consideradas e implementadas no mais curto prazo possvel.
Identificao Visual
Num centro de processamento de dados, sempre se deve considerar ao mximo o
item segurana. Quanto mais discreta for a programao visual do prdio, menos
interesse despertar. As identificaes devem se limitar a informar sobre as direes a
serem tomadas, avisar sobre locais de acesso restrito e indicar as sadas de emergncia.
Existem autores que chegam a defender o conceito de que um rgo sensvel
como um Data Center no deve ter qualquer identificao, nem mesmo das salas e
departamentos.
Convm que seja retirada qualquer identificao relativa ao Data Center.
O propsito dificultar a ao de pessoas mal intencionadas;
Devem estar publicados em local visvel os procedimentos quando da
ocorrncia de um incidente, assim como, os telefones das reas de
suporte e emergncia.
Brechas no permetro de segurana
Eliminar a porta da sala de impresso;
A entrada para entrega/recepo de documentos deve ser realizada pela
entrada do Data Center, local em que deve receber um controle de
acesso;
181
Portinhola (pequena abertura na parede) da sala do no-break para a sala
das mquinas do ar-condicionado deve ser fechada por uma porta, a qual
deve ser do tipo grelha para permitir ventilao rea do no-break;
A porta do corredor de circulao do Data Center deve ser substituda
por uma porta metlica, dotada de alarme sonoro e tranca interna, para
que sirva como uma sada de emergncia. A finalidade da estrutura
metlica, em substituio ao vidro atual, tambm impedir que intrusos
tenham viso panormica da rea sensvel do Data Center, que hoje
possvel;
Observao: Os itens citados acima constituem, direta ou indiretamente, brechas
na segurana para penetrao de intrusos ou para gases, fumaa, fogo, poeira, radiao
etc.
Controle de acesso e procedimentos
Deve ser instalada uma porta com controle de acesso na atual entrada do
Data Center, limitando o acesso indevido;
Dotar de alarme sonoro ligado permanentemente, as reas no ocupadas,
internas ou externas ao Data Center;
necessrio que os cabos lgicos sejam dotados de sistemas de
varredura automtica para evitar intrusos no sistema;
Orientar os vigilantes a no prestar quaisquer informaes sobre as atividades do
Data Center e que apenas encaminhem os interessados, aps identific-los, para a

182
recepo interna e que estejam atentos e informem imediatamente vigilncia interna
ou central de segurana qualquer atitude ou pessoa suspeita nas imediaes.
Controle de Acesso
Que o contato inicial com o Data Center disponha de uma portaria mais
abrangente para um rgido controle de acesso, no qual possa ser efetuada
melhor triagem dos visitantes, com guardas masculinos e femininos em
estreita colaborao.
O controle de acesso fsico tem por objetivo a segurana de acesso a
reas delimitadas, salas de computadores e de arquivos, centrais de
instalaes e demais equipamentos;
necessrio que, na triagem se confiram a identidade e o seu dono e no
apenas se pergunte o nmero do documento. E que sejam tambm
registradas data e hora de entrada e sada;
Usar controles de autenticao, como por exemplo, cartes com PIN
(nmero de identificao pessoal ou Personal Identification Number),
que permitem validar qualquer acesso;
Instalar cancelas com catracas com controle de acesso;
Manter em segurana uma trilha de auditoria contendo todos os acessos
ocorridos, com gravao remota on-line.

183
Uso de Crachs
Deve ser obrigatrio, no somente para se evitar o acesso indevido, mas
em qualquer situao, o uso de cartes com PIN ou crachs por qualquer
pessoa que esteja transitando no interior das instalaes crticas;
Todos os funcionrios, sem exceo, dever portar carto de identificao
ou crach, em local visvel e que sejam incentivados a informar
segurana sobre a presena de qualquer pessoa no identificada ou de
qualquer estranho no acompanhado.
Entrada de Objetos Estranhos
Em princpio, dever ser deixados na portaria, em depsitos com chaves,
as malas, maletas, bolsas, embrulhos, pacotes, caixas, aparelhos de
comunicao pessoal, dispositivos eletrnicos de qualquer espcie etc,
portados por pessoas que necessitem entrar na rea do Data Center;
Deve-se informar ao portador dos objetos descritos acima, que se for
necessria entrada do objeto consigo, ele dever aceitar uma inspeo
dos mesmos. Da, a necessidade de guardas femininas para a vistoria em
pertences em pessoas do mesmo sexo;
No se pode descartar a idia de que algum, com intenes estranhas,
tenha interesse em colocar um artefato explosivo ou equipamento
eletrnico para roubar informaes em alguma dependncia do Data
Center;
184
Proibir a entrada de mquinas fotogrficas, filmadoras e controlar o
acesso de alimentos e bebidas;
Rever, periodicamente, os direitos de acesso.
Guaritas de vigilncia
Estudar, a instalao de pelo menos uma guarita de vigilncia, discreta,
situada no vrtice do trreo. A finalidade obter uma viso ampla das
duas laterais vulnerveis da rea externa do Data Center;
Essa vigilncia deve ser exercida principalmente nos horrios fora do
expediente. Dever ser auxiliada por sensores de presena com alarme
sonoro e complementadas com um bom sistema de iluminao de todo o
permetro externo, com holofotes dotados de foco dirigido de dentro para
fora, a fim de no ofuscar os guardas e para atrapalhar a viso de possvel
invasor;
No interior do prdio, na rea externa rea crtica, tambm deve haver
vigilncia, principalmente nos horrios fora do expediente.
Circuito Fechado de TV
Recomenda-se que todas as portarias, salas, corredores, escadas, entradas
e sadas, passagens, estacionamentos, reas de carga e descarga e
principalmente os demais pontos crticos de todo o Data Center devem
ser monitorados por CFTV, com avisos pertinentes, visando desestimular
eventuais intrusos;
185
Recomenda-se que o CFTV possua tecnologia que permite que as
informaes sejam monitoradas e gravadas remotamente via TCP/IP;
Utilizar monitores vigiados em sistema multiplexador pelos guardas de
segurana, de preferncia na sala da segurana. Gravar as suas imagens
em time lapse, cujo equipamento deve trancado em local seguro, com
porta dotada de controle de acesso, a fim de se evitar extravio de fitas,
com alta disponibilidade, isto , dotado de equipamentos redundantes;
Recomenda-se que o cabeamento do CFTV seja protegido contra cortes,
intencionais o ou acidentais.
Cuidados com documentos impressos, mdias e instalaes de
processamento de informaes
Recomenda-se elaborar uma rgida triagem em documentos a serem
descartados, a fim de que no se disponha em caixas de lixo documentos
que podem despertar algum interesse;
Os documentos julgados como no teis devem ser fragmentados e ento
descartados;
Recomenda-se que seja adquirido um fragmentador, a fim de que todo o
lixo de papel com informaes seja devidamente fragmentado antes da
disposio final na lixeira do prdio;

186
Adotar poltica de mesa vazia e tela vazia para reduzir o risco de acesso
no autorizado ou danos a documentos, mdias e instalaes de
Piso Elevado
Substituir todo o piso elevado da rea do Data Center em funo do piso atual
estar desnivelado colocando em risco o desempenho dos equipamentos e os
operadores, em mal estado devido ao tempo de uso e principalmente por ser de
material que propaga chamas.
Incndio
Instalar equipamentos de deteco precoce de incndio. Os existentes na
ELECTRA, devido a sua tecnologia ultrapassada, s atuam quando se tem fumaa. Os
equipamentos a laser atuam pelas partculas suspensas no ar.
Instalar combate automtico de incndio com Gs FM 200 (este gs mantido
em cilindros, sob presso como um lquido, que minimiza o espao de armazenagem, e
liberado como um gs, de modo a cobrir todos os pontos da rea protegida. O FM-
200 suprime o fogo em at 10 segundos, impedindo a reao qumica que nele ocorre.
O FM-200 adequado para aplicaes em reas ocupadas por seres humanos,
nas concentraes aprovadas pela NFPA-2001. Por ser to seguro para as pessoas, est
sendo utilizado como propulsor em inaladores mdicos) interligado ao equipamento de
deteco de incndio.
187
Implantao de sala de segurana (Sala-Cofre)
Convm que seja adquirida uma sala de segurana (sala-cofre) que a melhor
soluo para uma segurana eficaz dos equipamentos sensveis e mdias,
considerando-se principalmente o alto risco da vizinhana e pelo fato da ELECTRA
no possuir um site alternativo para caso de contingncia.
A sala-cofre conceder ELECTRA proteo contra ameaas como: fogo,
exploso, magnetismo, radiao, calor, vandalismo, acesso indevido, poeira, gases
corrosivos, roubo, furto, etc, permitindo a continuidade do negcio, em caso de um
incidente e preservando todo o alto investimento em hardware e software.
A sala-cofre pode seguir a sugesto de localizao apresentada no disponvel no
APNDICE A. Com o devido estudo relativo aos esforos de sobrecarga na estrutura,
bem como ser executado um anteprojeto das instalaes, em funo da rea da sala a
ser adquirida.
Cofres
Recomenda-se a aquisio de cofres especficos para armazenamento de dados
para proteo das mdias contra fogo, poeira, gases corrosivos, campos
eletromagnticos, radiaes, furto etc;
Aquisio de pacote de solues para o arquivo geral
O arquivo geral, situado no subsolo, na rea prxima ao Data Center, necessita
uma abordagem completa para as suas necessidades de espao para arquivamento e
segurana ambiental.
188
Na situao atual convm que se instale controle de acesso na porta principal,
detector de incndio e combate automtico, bem como monitorao de temperatura e
desumidificao do ambiente e principalmente que se desenvolva uma classificao de
todas as informaes que saem da ELECTRA para a empresa terceirizada de guarda de
documentos.
Videoconferncia
Existe a necessidade de se investir tambm em equipamentos de deteco de
incndio no piso elevado.
Instalaes eltricas e lgicas
Prover o Data Center de um grupo gerador, cuja necessidade
justificada pelo fato de que o no-break, mesmo cumprindo a sua funo,
no capaz de suprir o Data Center em faltas prolongadas de energia;
A Norma NBR ISO/IEC 17799 orienta sobre testes regulares do
equipamento para assegurar que ele tenha a capacidade adequada e seja
testado de acordo com as recomendaes do fabricante;
Recomenda-se instalar cabos com sistemas de varredura para detectar a
presena de dispositivos no autorizados;
Recomenda-se dispor adequadamente o cabeamento sob o piso elevado,
devido ao fato de que existem cabos de lgica misturados com cabos
eltricos, que podem causar interferncias.

189
Riscos de incndio
Proibir terminantemente fumar no interior do Data Center. notrio o
cheiro de fumaa de cigarro na sua rea interna, logo que se passa pela
porta principal, no incio do corredor. Foi constatado que sempre h
muitas pontas de cigarro nas lixeiras das salas;
Promover uma conscientizao do pblico interno sobre a total
incompatibilidade entre cigarros ou similares e o ambiente
computacional, no somente pelo risco de incndio, mas porque a fumaa
prejudica mdias e equipamentos;
Substituir cestas de lixo atuais existentes nas salas do Data Center por
metlicas e com tampa, bem como substituir por containeres metlicos
com tampa as caixas atualmente usadas para juntar grande quantidade de
papel na sala de impresso;
Criar um novo layout para a circulao entre as salas internas. Tal
medida deve permitir corredores mais amplos e at mesmo melhor
disposio das salas, visando a sada de emergncia sugerida, que a
porta principal do Data Center, saindo para a rea dos elevadores;
No armazenar, no mesmo andar do Data Center, os suprimentos, tais
como papis, materiais de consumo etc;
Orientar aos faxineiros para terem todo o cuidado com o uso de gua e
outros produtos lquidos de limpeza no piso elevado e nos equipamentos;

190
Providenciar recarga de extintores de incndio, sempre que necessrio,
com o cuidado na contratar firma idnea e solicitar que a recarga seja
realizada na presena de um funcionrio da ELECTRA.
Climatizao
Ligar os compressores do ar-condicionado conforme recomendaes
tcnicas, mantendo os aparelhos redundantes em condies de operao;
Realizar testes peridicos;
Substituir, na sala do banco de dados, se for mantido o piso elevado
atual, duas placas fechadas de piso por placas perfuradas, a fim de
melhorar o insuflamento do ar no ambiente;
Reformar a torre de resfriamento e limpar/trocar os filtros de gua no
prazo recomendado pelo fabricante, como est sendo realizado
atualmente;
Vistoriar, periodicamente, as torres de resfriamento, que se encontram
instaladas em rea externa. Diferentemente dos equipamentos do ar, que
esto instalados em compartimento fechado, com acesso somente ao
pessoal autorizado, pois as torres necessitam maior proteo.
Acondicionamento das mdias
Analisamos o acondicionamento das mdias em toda a rea do Data Center e
realizamos tambm uma visita ao backup. Recomenda-se para ambos:

191
Manter a porta da sala de mdias fechada e instalar controle de acesso;
Adquirir cofres de proteo de mdias;
Adquirir equipamento apropriado para transporte das mdias.
Anlise dos equipamentos de rede distribudos
Foram analisados os equipamentos de teleprocessamento (TP), switches, routers,
modems, cabeamento, climatizao, controle de acesso e condies de limpeza das
salas, com as seguintes observaes:
Cabeamento desorganizado;
Sem climatizao;
Sem controle de acesso;
Necessita melhor limpeza e arrumao;
Risco de incndio e de acesso indevido.
3.5.7 Plano de Ao
Geral
Implementar as alteraes sugeridas no layout disponvel no APNDICE
A;
192
Estudar a implantao de sala de segurana (sala-cofre);
Instalar cofre para guarda de mdias;
Instalar CFTV em pontos estratgicos;
Proibir fumar no Data Center;
Instalar deteco precoce de incndio com combate automtico de gs
FM 200;
Instalar equipamento de monitorao remota da rede;
Instalar controle de acesso em salas de ambientes alta criticidade;
Instalar grupo gerador;
reas Seguras (corresponde ao item 1 do questionrio - APNDICE B)
As reas crticas ou sensveis da empresa devem estar localizadas em
reas seguras;
Devem estar protegidas por um permetro de segurana definido, com
barreiras de segurana e controles de entrada apropriados;
Devem estar protegidas fisicamente contra acesso no autorizado, danos
e interferncia;
O grau de proteo deve ser proporcional aos riscos identificados;

193
Deve existir poltica de mesa vazia e tela vazia para reduzir o risco de
acesso no autorizado ou danos a documentos, mdia e instalaes de
Permetro de Segurana (corresponde ao item 2 do questionrio -
APNDICE B)
Deve existir proteo fsica com barreiras fsicas em volta das instalaes
da empresa e dos equipamentos de processamento de informaes;
As barreiras devem estabelecer um permetro de segurana correto para
aumentar a proteo total oferecida;
Devem ser utilizados permetros de segurana para proteger as reas que
contm equipamentos de processamento de informaes;
Devem existir barreiras, paredes, portes de entrada controlados por
carto ou uma mesa com recepcionista, que constituam um permetro de
segurana;
O permetro do edifcio e site que contm reas crticas deve ser
fisicamente slido;
No devem deve existir brechas no permetro ou reas que permitam uma
penetrao fcil;
As paredes externas devem ser de construo slida;

194
As portas externas devem ser devidamente protegidas contra o acesso
no autorizado, com mecanismos de controle, barras, alarmes, fechaduras
etc;
Deve existir uma rea de recepo com pessoal ou outro meio de
controle do acesso fsico ao site ou ao edifcio;
Somente pessoal autorizado poder ter acesso aos sites e edifcios;
As barreiras fsicas devem ser estendidas do piso bruto ao teto bruto, para
impedir o acesso no autorizado e contaminao ambiental;
Devem existir portas corta-fogo no permetro de segurana e elas devem
ser equipadas com alarme e fechar automaticamente.
Controles fsicos de entrada (corresponde ao item 3 do questionrio -
APNDICE B)
As reas seguras devem ser protegidas por controles de entrada
apropriados;
As trilhas de auditoria de todos os acessos devem ser guardadas em local
seguro;
Os direitos de acesso a reas seguras devem ser revistos e atualizados
regularmente.
195
Proteo das instalaes (corresponde ao item 4 do questionrio -
APNDICE B)
Para a proteo das instalaes, deve existir a preocupao de rea segura
(ex.: salas trancadas ou vrias salas dentro de um permetro fsico de
segurana, que podem ser trancadas e que disponham de arquivos de ao
trancveis ou cofres);
A escolha e o projeto de uma rea segura deve levar em conta a
possibilidade de danos causados pelos riscos ou vulnerabilidades;
Devem ser levados em conta os regulamentos e normas relevantes de
sade e segurana;
Devem ser levadas em considerao eventuais ameaas segurana
causadas por instalaes vizinhas, como infiltraes, vazamento de gua
proveniente de outra rea etc.
Controle (corresponde ao item 5 do questionrio - APNDICE B)
Os equipamentos crticos devem estar em local no acessvel ao pblico;
O prdio deve ser discreto e indicar o mnimo possvel a sua finalidade,
sem sinais visveis, dentro ou fora do edifcio, que identifiquem a
presena de atividades de processamento de informaes;
Funes e equipamentos de suporte (fotocopiadoras e fax) ficam num
local apropriado dentro da rea segura, para evitar pedidos de acesso que
poderiam comprometer as informaes;

196
As portas e janelas ficam trancadas quando no h ningum presente;
Devem ser implementados sistemas apropriados de deteco de intrusos,
instalados segundo padres profissionais e testados regularmente, para
cobrir todas as portas externas e as janelas acessveis;
As reas no ocupadas devem dispor de alarme armado
permanentemente;
Equipamentos administrados pela organizao devem ficar fisicamente
separados dos equipamentos administrados por terceiros;
As listas de pessoal e listas telefnicas internas que identificam a
localizao dos equipamentos de processamento de informaes
sensveis no podem ficar em local acessvel ao pblico.
O trabalho em reas seguras (corresponde ao item 6 do questionrio -
APNDICE B)
Devem existir controles e diretrizes adicionais para aumentar a segurana
de uma rea sensvel;
Devem existir controles para o pessoal e/ou para terceiros que trabalham
dentro da rea segura;
O pessoal s deve sabe da existncia de uma rea segura e das atividades
nela executadas numa base de necessidade de saber;

197
Deve ser evitado o trabalho no supervisionado em reas seguras, tanto
por motivos de segurana como para no dar oportunidade a atividades
mal-intencionadas.
Isolamento das reas de entregas e de carregamento (corresponde ao
item 7 do questionrio - APNDICE B)
As reas de entregas e de carregamento devem ser controladas e isoladas
dos equipamentos de processamento de informaes, a fim de evitar o
acesso no autorizado;
Os requisitos de segurana para tais reas devem ser determinados por
uma avaliao dos riscos;
O acesso a uma rea de armazenagem provisria, a partir do exterior de
um edifcio, deve ser restrito a pessoal identificado e autorizado;
A rea de armazenagem provisria deve ser projetada de tal maneira que
os suprimentos possam ser descarregados sem que o pessoal de entrega
tenha acesso a outras partes do edifcio;
As portas externas da rea de armazenagem provisria devem
permanecer trancadas enquanto a porta interna estiver aberta;
O material recebido deve ser inspecionado para detectar eventuais
perigos antes de ser transportado da rea de armazenagem provisria para
o local de utilizao;
O material recebido deve ser registrado ao entrar no site.

198
Segurana do Equipamento (corresponde ao item 8 do questionrio -
APNDICE B)
Os equipamentos devem ser protegidos fisicamente contra as ameaas
sua segurana e os perigos ambientais;
Devem ser levados em conta a localizao e disposio dos
equipamentos;
Devem existir controles especiais para proteo contra perigos ou acesso
no autorizado e para preservar os equipamentos de apoio, como o
suprimento de corrente e a infra-estrutura de cabeamento.
Localizao e proteo dos equipamentos (corresponde ao item 9 do
Os equipamentos devem ser localizados ou protegidos de modo a reduzir
o risco das ameaas e perigos do meio-ambiente e as oportunidades de
acesso no autorizado;
Os equipamentos devem ser localizados de modo a minimizar o acesso
desnecessrio s reas de trabalho;
Os equipamentos de processamento e armazenamento de informaes
que manuseiam dados sensveis devem ser posicionados de modo a
minimizar o risco de olhares indiscretos durante o uso;
Os itens que requerem proteo especial devem ser isolados a fim de
reduzir o nvel geral de proteo necessrio;

199
Devem ser adotados controles para minimizar o risco de ameaas
potenciais, incluindo furto, incndio, explosivos, fumaa, gua (falha no
abastecimento), poeira, vibrao, efeitos qumicos, interferncia no
suprimento de fora, radiao eletro-magntica;
Devem ser levados em conta o impacto de um acidente em instalaes
prximas, como por exemplo um incndio no prdio vizinho, vazamento
de gua do telhado ou em pavimentos do subsolo ou uma exploso na
rua.
Suprimento de energia eltrica (corresponde ao item 10 do
Deve existir suprimento adequado de eletricidade que atenda s
especificaes do fabricante dos equipamentos;
Devem existir fontes alternativas de gerao de energia;
Devem existir mltiplas fontes de alimentao para evitar que o
suprimento dependa de uma nica fonte;
Deve existir suprimento de energia prova de interrupes (UPS =
sistema no-break);
Deve existir gerador de backup;
Deve existir um suprimento prova de interrupes (UPS/no-break) para
suportar a parada ordenada ou a continuao da operao, no caso de
equipamentos que suportam operaes crticas para a empresa;

200
Deve existir planejamento de contingncia indicando as providncias a
tomar em caso de falha do UPS;
Devem ser realizados testes regulares dos equipamentos para assegurar
que ele tenha a capacidade adequada;
Os equipamentos devem ser testados de acordo com as recomendaes
do fabricante.
Bancada de baterias, risco de exploso e falha do equipamento
Deve ser providenciado um gerador de backup para que o processamento
continue em caso de uma falta de fora prolongada.
Estocagem do leo diesel e manuteno da sua qualidade, muretas de
conteno (corresponde ao item 11.2 do questionrio - APNDICE B)
Os geradores devem ser testados regularmente de acordo com as
instrues do fabricante;
Deve existir suprimento adequado de combustvel para assegurar que o
gerador possa operar durante um perodo prolongado;
As chaves de fora de emergncia devem estar localizadas perto das
sadas de emergncia das salas de equipamentos;
Deve existir iluminao de emergncia para o caso de falta de fora;
O prdio deve ser equipado com pra-raios;

201
Devem existir filtros de proteo contra raios em todas as linhas externas
de comunicaes;
Deve existir Gaiola de Faraday e pra-raio Franklin.
Segurana do cabeamento (corresponde ao item 12 do questionrio -
APNDICE B)
As linhas de fora e as linhas de telecomunicaes que entram nos
equipamentos de processamento de informaes devem ser subterrneas
sempre que possvel e ter proteo alternativa adequada;
O cabeamento das redes deve ser protegido contra interceptao no
autorizada ou danos (pelo uso de condutes ou evitando trajetos que
passem por reas pblicas);
Os cabos de fora devem ficar separados dos cabos de comunicaes
para evitar interferncias;
Deve existir condutes blindados e salas ou caixas trancadas em pontos
de inspeo e pontos terminais;
Deve ser feito o uso de rotas ou meios de transmisso alternativos;
Deve ser feito o uso de cabeamento de fibras pticas;
Devem existir cabos com sistemas de varredura para detectar a presena
de dispositivos no autorizados.
202
Manuteno dos equipamentos (corresponde ao item 13 do
Os equipamentos devem receber manuteno correta para assegurar sua
disponibilidade e integridade permanente;
Os equipamentos devem receber manuteno com a periodicidade e de
acordo com as especificaes recomendadas pelo fabricante;
A manuteno e os reparos do equipamento somente devem ser
executados por pessoal de manuteno autorizado;
Deve ser mantido um registro de todos os defeitos suspeitos ou reais e de
toda a manuteno preventiva e corretiva executada;
Devem ser adotados controles apropriados quando equipamentos saem
do site para fins de manuteno;
Devem ser cumpridas todas as exigncias estipuladas nas aplices de
seguros.
Segurana dos equipamentos fora das instalaes (corresponde ao item
14 do questionrio - APNDICE B)
O uso de qualquer equipamento fora das instalaes da organizao, para
fins de processamento de informaes, precisar ser autorizado pela
gerncia anteriormente;
203
O grau de segurana proporcionado deve ser equivalente ao do
equipamento utilizado no site para os mesmos fins, levando em conta os
riscos do trabalho fora das instalaes da organizao;
O equipamento de processamento de informaes (todas as formas de
computadores pessoais, agendas eletrnicas, telefones celulares, papel ou
outros meios) que ficam na posse da pessoa para trabalho a domiclio ou
que devem ser transportados para fora do local normal de trabalho devem
ter procedimento de segurana;
Os equipamentos e as mdias retirados das instalaes da organizao
devem ter superviso em lugares pblicos;
Os computadores portteis devem ser transportados como bagagem de
mo e disfarados sempre que possvel;
Devem ser observadas a qualquer tempo as instrues do fabricante para
a proteo dos equipamentos (ex.: proteo contra a exposio a campos
eletromagnticos intensos);
Os controles para o trabalho a domiclio devem ser determinados por
uma avaliao dos riscos, e devem ser adotados controles adequados
conforme necessrio (ex.: arquivos de ao trancados, poltica de mesa
vazia e controles de acesso a computadores);
Deve existir uma cobertura de seguros adequada para proteger o
equipamento quando fora do site.

204
Segurana no descarte ou na reutilizao de equipamentos
Devem existir cuidados no descarte ou na reutilizao de equipamentos;
Sistemas de armazenagem que contenham informaes sensveis devem
ser destrudos fisicamente ou sobregravados de maneira segura ao invs
de se usar a funo normal delete;
Todos os itens de equipamento que contenham mdia de armazenagem,
como, por exemplo, discos rgidos, devem ser verificados para garantir
que todos dados sensveis e softwares licenciados tenham sido retirados
ou sobregravados antes do descarte;
No caso de dispositivos de armazenagem danificados que contenham
dados sensveis, deve existir uma avaliao dos riscos para determinar se
o item deve ser destrudo, consertado ou descartado.
Controles gerais (corresponde ao item 16 do questionrio - APNDICE
B)
Devem existir medidas para impedir o comprometimento ou furto de
informaes e de equipamentos de processamento de informaes;
Devem ser implementados controles para minimizar a perda ou o dano a
informaes.
205
Poltica de mesa vazia e tela vazia (corresponde ao item 17 do
A organizao deve adotar poltica de mesa vazia para documentos e
mdia de armazenagem removveis;
Deve ser adotada poltica de tela vazia para os equipamento de
processamento de informaes, a fim de reduzir os riscos de acesso no
autorizado a informaes e de perda ou dano s informaes durante o
horrio normal de trabalho e fora dele;
Devem ser levadas em considerao as classificaes de segurana da
informao, os riscos correspondentes e os aspectos culturais da
organizao;
Deve ser tomado cuidado para que informaes no sejam deixadas em
cima de mesas, podendo ser danificadas ou destrudas em caso de
catstrofes, como incndios, inundaes ou exploses.
Diretrizes de proteo (corresponde ao item 18 do questionrio -
APNDICE B)
Os documentos e mdia de computador devem ser armazenados em
estantes apropriadas e trancadas em outras formas de moblia de
segurana, quando no estiverem em uso, principalmente fora do horrio
de expediente;
206
Informaes empresariais sensveis ou crticas devem ficar trancadas
(preferivelmente em um cofre ou arquivo prova de fogo) quando no
em uso, principalmente quando no houver ningum no escritrio;
Os postos de correspondncia recebida e enviada e as mquinas de fax e
telex sem a presena do operador devem ser protegidos;
As copiadoras devem ser trancadas (ou protegidas de algum outro modo
contra o uso no autorizado) fora do horrio normal de expediente;
Informaes sensveis ou confidenciais, quando impressas, devem ser
retiradas das impressoras imediatamente.
Equipamentos de preveno e combate a incndios (corresponde ao
Os equipamentos e os materiais de combate devem ser compatveis com
o ambiente;
Deve existir contingncia.
Localizao dos equipamentos de combate a incndios (corresponde ao
A localizao deve ser adequada e o acesso livre;
Deve ser conferida a validade das cargas;
As portas de incndio devem possuir possuem sensores e alarmes e mola
para fechamento automtico;

207
Devem existir detectores de fumaa sob o piso falso e no teto.
Distncia de equipamentos, produtos ou locais crticos (corresponde ao
Os equipamentos devem estar distantes das linhas de transmisso de alta
voltagem;
A remoo de lixo deve ser diria;
Devem existir procedimentos relacionados com papis (isolamento,
controle de acesso, proibio de fumar etc.);
Periodicamente deve ser verificada a necessidade de efetuar dedetizao
e desratizao;
As cestas de lixo devem ser de metal com tampa com objetivo de abafar
princpios de incndio;
Os quadros de conexes telefnicas devem ser trancados para haja acesso
somente quando permitido ao pessoal autorizado.
Condies gerais de segurana da edificao (corresponde ao item 23
do questionrio - APNDICE B)
As paredes internas devem ser de alvenaria at o teto;
Deve existir vedao de passagens com portas corta-fogo;
As paredes externas devem impedir a propagao de incndios;

208
Deve existir vedao de passagens para outros recintos ou andares (dutos
de ar-condicionado, cabos, monta-carga etc.);
O edifcio que abriga o Data Center deveria ser construdo com material
retardante e resistente ao fogo;
Os detectores de fumaa devem ser mantidos e testados de forma
programada;
Deve existir sensor de temperatura e umidade do ar;
Devem existir quadros de controle pare detectar rapidamente e localizar
fogo e fumaa;
As placas do piso falso devem ser facilmente removveis para permitir
verificao de fogo e fumaa;
Os extintores devem estar distribudos estrategicamente em locais
visveis e destacados;
O alarme de incndio deve tocar na vigilncia;
Devem existir hidrantes instalados em locais estratgicos nos andares dos
prdios;
Esses hidrantes e seus equipamentos auxiliares devem ser testados
regularmente;
Havendo necessidade, os carros do Corpo de Bombeiros devem ter
acesso fcil a qualquer lado do prdio;

209
As placas do piso falso devem ser de material retardante;
Deve existir reserva tcnica de gua para hidrantes;
Devem existir plantas de localizao dos extintores e detectores;
Os alarmes de incndio devem ser alimentados por baterias, no caso de
falha no fornecimento de energia.
Condies de gerais de segurana relacionados com a edificao
Deve existir sensoriamento de portas, janelas, dutos e superviso predial;
Deve existir sala central de controle de segurana bem localizada e com
qualificao pessoal;
O monitoramento do permetro e reas externas ao prdio deve ser feito
via CFTV;
Deve existir um servio de vigilncia de 24 horas, inclusive nos fins de
semana e feriados;
As sadas de emergncia devem ser verificadas em relao usabilidade
periodicamente;
As portas para a rea do Data Center devem ser mantidas fechadas;
Devem existir alarmes para informar vigilncia a violao de portas e
acessos a reas do Data Center;

210
Deve ser feito um rodzio peridico entre os recepcionistas.
Condies gerais de segurana relacionados com evacuaes
Deve existir procedimento de evacuao;
As sadas de emergncia devem estar livres e desimpedidas e em boas
condies;
Deve existir iluminao de emergncia e sinalizao adequadas e ser
feito teste da mesma periodicamente;
Devem existir telefones internos de emergncia para comunicao de
sinistros;
Deve existir um sistema de alarme para fazer a evacuao dos prdios;
Deve existir um sistema de udio para auxiliar nos momentos de
evacuao de pessoal.
Disposio e infra-estrutura das edificaes destinadas funo
Quadros de luz e iluminao devem estar localizados em local adequado;
Deve existir controle de rudos nas imediaes do permetro;
Deve existir controle de temperatura nas imediaes do permetro;

211
As condies de conservao e limpeza do piso elevado e do forro
devem ser adequadas;
Os incidentes de segurana devem ser investigados para apurao da
causa e tomada de ao corretiva.
Suprimento de energia (corresponde ao item 27 do questionrio -
APNDICE B)
Quedas de tenso ser freqentes, oscilaes e sobrecargas devem ser
evitadas ;
Deve existir estabilizador/no-break/gerador com autonomia satisfatria;
As instalaes eltricas do prdio e as instalaes destinadas aos
equipamentos de energia devem estar em boas condies e no
oferecerem perigo;
Deve existir exclusividade das instalaes eltricas no Data Center;
O sistema de gerao prpria de energia deve ser testado periodicamente;
O quadro de fora deve ser protegido e de fcil acesso para as situaes
de emergncia;
Deve existir um controle das perdas de horas de mquina devido a
problemas de eletricidade;
Deve existir um plano de manuteno para a rede eltrica.

212
Ar-condicionado (corresponde ao item 28 do questionrio -
APNDICE B)
A qualidade das instalaes e manuteno dos equipamentos e nvel de
rudo deve ser satisfatria;
No deve existir a possibilidade de entrada de gases atravs dos dutos de
ar-condicionado;
As chaves de emergncia devem desligar o sistema de ar-condicionado;
O sistema de climatizao deve ser exclusivo;
No deve ser compartilhado com rea e/ou tipo de equipamentos
inadequados;
O dimensionamento do equipamento de ar-condicionado deve ser
adequado;
Deve haver redundncias (e reservas) e simulaes peridicas;
As aberturas externas (troca de ar) devem proporcionam uma adequada
renovao;
Devem existir dampers corta-fogo e gases no interior dos dutos;
Os equipamentos de ar-condicionado devem estar instalados em
compartimentos fechados (com acesso somente a pessoal autorizado);
As tomadas de ar devem ser protegidas contra contaminao;

213
Devem existir alarmes nos sistemas de ar-condicionado;
Os dutos do ar condicionado devem ser de material retardante;
Os instrumentos de comando do sistema de ar-condicionado devem estar
protegidos evitando manuteno no-autorizada;
Devem existir plantas com especificaes de toda a rede de ar-
condicionado.
Condies gerais de segurana relacionados com suprimento de gua
O prdio deve estar em boas condies em relao a goteiras;
O prdio deve estar em boas condies em relao umidade,
infiltraes e vazamentos de canalizaes;
Deve ser garantida a continuidade do suprimento (existncia a
capacidade do reservatrio);
Deve ser garantida a qualidade das instalaes hidrulicas (vazamentos,
infiltraes);
Devem existir plantas atualizadas da rede hidrulica;
A localizao das tubulaes e as condies dos materiais utilizados
devem ser satisfatrias;
Os telhados e a laje devem estar em boas condies;

214
O subsolo sofre algum tipo de interferncia;
Quanto drenagem sob o piso elevado, a proteo em relao ao piso
superior deve estar em boas condies;
Os encanamentos, exceto os necessrios, devem ser retirados do piso
falso em reas sob o computador;
Os condutes devem ser a prova d'gua;
Deve existir vedao adequada contra infiltrao de gua nas portas
externas;
A vedao deve ser adequada contra infiltrao de gua nas janelas
externas;
Deve existir escoamento de gua e drenagem adequada para impedir
inundao na sala do computador;
A sala do computador deve possuir impermeabilizao adequada do teto,
impedindo infiltrao de gua.
3.6 Conformidade
OBJETIVO:
Evitar violaes de leis penais ou cveis, de obrigaes decorrentes de estatutos,
regulamentos ou contratos e de quaisquer requisitos de segurana em:

215
Projeto;
Operao;
Utilizao;
Gerenciamento de sistemas de informaes.
A ELECTRA est sujeita a exigncias de segurana decorrentes de estatutos,
regulamentos ou contratos;
Deve-se realizar consultoria sobre exigncias legais especficas junto ao
departamento jurdico da ELECTRA ou com advogados externos devidamente
qualificados;
As exigncias legislativas variam de um pas para outro e para informaes
criadas em um determinado pas e transmitidas para um outro pas - fluxos de dados
que atravessam fronteiras.
Identificao da legislao aplicvel
Exigncias relevantes, impostas por lei, por rgos reguladores ou por contrato:
Definidas explicitamente;
Documentadas por sistema de informao;
Controles especficos e as responsabilidades individuais pelo
atendimento a essas exigncias tambm devem ser definidos e
documentados.
216
3.6.1 Preservao dos registros da ELECTRA
OBJETIVO:
Proteger contra perda, destruio e falsificao.
Necessidades de arquivar registros de modo seguro
Deve atender as exigncias da lei ou de rgos reguladores;
Deve apoiar as atividades essenciais da ELECTRA:
Pode ser exigido para comprovar que uma empresa opera de acordo com
as normas da lei ou de rgos reguladores;
Deve assegurar uma defesa adequada em um eventual processo civil ou
criminal;
Confirma a situao financeira de uma empresa para os seus acionistas,
scios e auditores.
Evidencia que o perodo de reteno das informaes e os dados a serem
conservados podem ser estabelecidos pelas leis ou regulamentos do pas.
Os registros devem ser classificados em categorias como registros contbeis, de
empresas de dados, de transaes, de auditoria e de procedimentos operacionais.
Cada tipo de registro ter exigncias especficas quanto ao perodo de reteno e
tipo de veculo de armazenagem:

217
Papel, microficha, suportes magnticos ou pticos;
Chaves de criptografia associadas a arquivos codificados ou assinaturas
digitais devem ser guardadas com segurana e colocadas disposio das
pessoas autorizadas quando necessrio;
Considerar a possibilidade de deteriorao dos suportes utilizados na
armazenagem de registros;
Implementar procedimentos de armazenagem e manuseio de acordo com
as recomendaes do fabricante;
Deve ser permitida a destruio apropriada dos registros aps a expirao
do perodo de reteno, se no forem mais necessrios ELECTRA;
Para cumprir essas obrigaes, devem-se adotar as seguintes providncias:
Emitir diretrizes sobre a reteno, armazenagem, manuseio e descarte de
registros e informaes;
Elaborar programa de reteno que identifique os tipos dos registros
essenciais e por quanto tempo eles devem ser conservados;
Manter inventrio das fontes de informaes-chave;
Implementar controles apropriados para proteger registros e informaes
essenciais contra perda, destruio e falsificao.
Coleta de provas - Regras para constituio de prova
Provas adequadas do apoio legal contra uma pessoa ou ELECTRA;

218
Sempre que essa ao for um assunto disciplinar interno, a prova necessria ser
descrita pelos procedimentos internos.
Nos casos em que a ao envolve a legislao civil ou penal, elas devem estar
em conformidade com as regras para constituio de prova, estabelecidas pela
legislao aplicvel ou pelas normas do tribunal especfico no qual o caso ser
julgado:
Admissibilidade da prova: se a prova pode ou no ser usada em juzo;
Peso da prova: a qualidade e integridade da prova;
Uma prova adequada de que os controles funcionaram de modo correto e
consistente durante todo o perodo em que a prova a ser recuperada foi
armazenada e processada pelo sistema.
Admissibilidade da prova
Para conseguir a admissibilidade da prova, assegurar que os sistemas de
informaes obedecem a uma dada norma ou cdigo de prtica publicados para a
produo de provas admissveis.
Qualidade e integridade da prova
Para se obter a qualidade e integridade da prova h necessidade de um forte
indcio de credibilidade. Em geral, essa credibilidade pode ser estabelecida sob as
seguintes condies:
Para documentos em papel: o original guardado de maneira segura,
ficando registrado quem o encontrou, onde e quando foi encontrado e

219
quem testemunhou a descoberta. Qualquer investigao deve garantir que
ningum alterou os originais;
Para informaes em suportes fsicos de computador: devem ser feitas
cpias de qualquer veculo removvel das informaes em disco rgido ou
na memria para garantir a disponibilidade;
Conservar o registro de todos os atos praticados durante o processo de
cpia;
Identificar testemunhas para esse processo;
Cpia do suporte fsico e do log devem ser mantidos em lugar seguro;
Quando um incidente detectado, pode no ser bvio num primeiro
momento que ele possa dar origem a uma ao judicial;
Existe risco de que as provas necessrias sejam destrudas
acidentalmente antes que se perceba a gravidade do incidente;
Recomenda-se envolver um advogado j nos estgios iniciais de qualquer
ao judicial que se pretende adotar e pedir conselho sobre as provas
necessrias.
Conformidade com a poltica de segurana
Os gerentes devem assegurar que todos os procedimentos de segurana
dentro de sua rea de responsabilidade so executados corretamente;

220
Deve ser feita regularmente uma reviso em todas as reas da ELECTRA para
assegurar a conformidade com as polticas e normas de segurana. As revises devem
incluir o seguinte:
Sistemas de informaes;
Fornecedores de sistemas;
Gestores das informaes e dos ativos de informao;
Usurios;
Administrao.
Os gestores dos sistemas de informaes devem providenciar revises peridicas
da conformidade dos seus ambientes com as polticas e normas de segurana
apropriadas e com quaisquer outros requisitos de segurana.
3.6.2 Situao atual em relao Conformidade
Conformidade com exigncias legais
Existe a preocupao de evitar violaes de qualquer lei penal ou civil,
de obrigaes decorrentes de estatutos, regulamentos ou contratos e de
quaisquer requisitos de segurana;
A ELECTRA est sujeita a exigncias de segurana decorrentes de
estatutos, regulamentos ou contratos;

221
Existe uma consultoria sobre exigncias legais especficas junto ao
departamento jurdico da ELECTRA;
So analisadas as exigncias legislativas que variam de um Pas para
outro, para informaes criadas em um determinado Pas e transmitidas
para um outro (fluxos de dados que atravessam fronteiras).
Identificao da legislao aplicvel
So observadas as exigncias relevantes impostas por lei, por rgos
reguladores ou por contrato, definidas explicitamente e documentadas
por sistema de informao;
Os controles especficos e as responsabilidades individuais pelo
atendimento a essas exigncias esto definidos e documentados.
Preservao dos registros da ELECTRA
Os registros da ELECTRA no so protegidos contra perda, destruio e
falsificao;
Os registros no esto arquivados de modo seguro para atender a
exigncias da lei ou de rgos reguladores;
Os registros que podem ser exigidos para comprovar que uma
organizao opera de acordo com as normas da lei; ou de rgos
reguladores; ou para assegurar uma defesa adequada em um eventual
processo civil ou criminal; ou para confirmar a situao financeira de

222
uma organizao para os seus acionistas, scios e auditores, no esto
protegidos de forma adequada;
So observados o perodo de reteno das informaes e os dados a
serem conservados, que so estabelecidos pelas leis ou regulamentos do
pas;
Os registros contbeis, de bancos de dados, de transaes, de auditoria e
procedimentos operacionais no esto protegidos;
Cada tipo de registro tem exigncias especficas quanto a perodo de
reteno e tipo de veculo de armazenagem, como: papel, microficha,
suportes magnticos ou pticos. Esse procedimento observado;
realizada destruio apropriada dos registros aps a expirao de tal
perodo, se no forem mais necessrios;
Existe um programa de reteno que identifica os tipos dos registros
essenciais e por quanto tempo eles devem ser conservados;
No existem controles de segurana apropriados para proteger registros e
informaes essenciais contra perda, destruio e falsificao.

223
3.6.3 Recomendaes sobre a conformidade
Adequao imediata da ELECTRA legislao vigente relativa a
segurana da informao, observando ao Decreto 3.505, de 14 de junho
de 2000;
O Data Center da ELECTRA deve proteger contra perda, destruio e
falsificao e acesso os registros fsicos em papis da ELECTRA, de
acordo com a legislao e os rgos reguladores.
O Comit Gestor Multidisciplinar deve ser encarregado de adequar a
ELECTRA s recomendaes acima descritas.
Implementar as diretrizes da Norma ISO/IEC 17799, de 19 de setembro
de 2001.
Implementar controles de segurana apropriados para proteger registros e
informaes essenciais contra perda, destruio e falsificao, como
controle de acesso, higienizao, organizao, arquivos deslizantes para
proteger o acervo etc;
necessrio avaliar o risco de se terceirizar a guarda de documentos
sigilosos, porque atualmente no existe a classificao das informaes.
O ideal que o local seja vistoriado e que os funcionrios do terceiro
passem por um treinamento de conformidade com a Norma ISO/IEC
17799.
224
3.6.4 Plano de Ao
Geral
Treinar, instruir e conscientizar os funcionrios a respeito da adequao
s normas que tratam da questo da Segurana da Informao;
Aquisio de cofre ou arquivos deslizantes para guarda do material de
propriedade intelectual, manuais de softwares e outros.
Conformidade com exigncias legais (corresponde ao item 1 do
A organizao deve atender a exigncias de segurana decorrentes de
estatutos, regulamentos ou contratos.
Preservao dos registros da organizao (item 3 do questionrio -
APNDICE B)
Os registros da organizao devem ser protegidos contra perda,
destruio e falsificao;
Os registros devem ser arquivados de modo seguro para atender a
exigncias da lei ou de rgos reguladores;
Os registros que podem ser exigidos para comprovar que a organizao
opera de acordo com as normas da lei ou de rgos reguladores ou para

225
assegurar uma defesa adequada em um eventual processo civil ou
criminal ou para confirmar a situao financeira de uma organizao para
os seus acionistas, scios e auditores, devem ser protegidos de forma
segura;
Deve-se observar que cada tipo de registro tem exigncias especficas
quanto a perodo de reteno e tipo de veculo de armazenagem, como:
papel, microficha, suportes magnticos ou pticos;
Registros contbeis, de bancos de dados, de transaes, de auditoria e
procedimentos operacionais devem ser protegidos de forma segura;
Devem ser consideradas as possibilidades de deteriorao dos suportes
utilizados na armazenagem de registros;
Nos casos de armazenagem por meios eletrnicos, devem estar inclusos
os procedimentos para assegurar a capacidade de acessar dados -
legibilidade dos suportes fsicos como dos formatos - durante todo o
perodo de reteno, como garantia contra a perda decorrente de futuras
mudanas de tecnologia;
Devem ser escolhidos os sistemas de armazenagem em que os dados
necessrios possam ser recuperados de um modo aceitvel para um
tribunal;
Os registros exigidos devem ser recuperados dentro de um tempo
aceitvel e num formato aceitvel;
Deve-se manter um inventrio das fontes de informaes-chave;

226
Devem ser implementados controles de segurana apropriados para
proteger registros e informaes essenciais contra perda, destruio e
falsificao;
Conformidade com a poltica de segurana (item 4 do questionrio -
APNDICE B)
Os gerentes devem assegurar que todos os procedimentos de segurana
dentro de sua rea de responsabilidade so executados corretamente;
Deve ser realizada regularmente uma reviso em todas as reas da
organizao para assegurar conformidade com as polticas e normas de
segurana.
3.7 Plano de Ao Geral (Todos os Mdulos Analisados)
Criar e aprovar em carter de emergncia, uma Poltica de Segurana
Corporativa das Informaes (com Marketing de Divulgao e
Treinamento de conscientizao adequada) de acordo com as Normas,
Legislaes e cultura da ELECTRA;
Nomear um Gerente de Segurana da Informao (Security Officer);
Criar um Comit Gestor para implementao, manuteno e reviso da
Poltica de Segurana da Informao na ELECTRA;
Customizar as ferramentas de Deteco de Invaso;

227
Implantar um Plano de Contingncia e PCN - Plano de Continuidade de
Negcios;
Reviso de todos os Contratos com Terceiros;
Exigir em contrato que o terceiro desenvolva treinamento de
conformidade com a Norma ISO/IEC 17799.
Estabelecer uma contingncia junto empresa prestadora de servios de
telefonia.
Nomear um gestor responsvel para cada ativo da ELECTRA
Compilar um inventrio dos ativos fsicos e lgicos;
Identificar o valor dos ativos;
Implementar Classificao das Informaes conforme a Norma ISO/IEC
17799 (a metodologia dever estabelecer Escalas dos Graus de sigilo e o
Teor Crtico das informaes da ELECTRA, de modo a refletir a
abrangncia de utilizao da informao);
Criar procedimentos para alterao dos nveis de classificao da
informao;
Definir procedimentos de rotulagem de informaes.
Re-analisar todos os privilgios de acesso;

228
Desenvolver procedimentos para desativao on-line de login de
funcionrios que so demitidos ou suspensos;
Realizar treinamento de segurana para funcionrios e terceirizados;
Dotar reas crticas de monitorao via CFTV;
Adotar tecnologia de controle de acesso de funcionrios, terceirizados e
visitantes, visando restringir fraudes e acesso no autorizado;
Estudar a implantao de sala de segurana (sala-cofre);
Instalar cofre para guarda de mdias;
Instalar CFTV em pontos estratgicos;
Proibir fumar no CPD;
Instalar deteco precoce de incndio com combate automtico de gs
FM 200;
Instalar controle de acesso em salas de ambientes alta criticidade;
Instalar grupo gerador;

229
4 ANLISE DE RESULTADOS
AVALIAO GERAL DA ELECTRA

Valores
Mdulos Estimados Melhoria

Apurados
Referncia aps
Atuais
Implantao
Poltica de Segurana 165 0 165 100%
Segurana Organizacional 651 322 546 41%
Classificao e Controle dos Ativos 378 183 331 45%
Segurana em Pessoas 195 140 160 13%
Segurana Fsica e do Ambiente 3165 1730 2664 35%
Conformidade 285 183 263 30%
Resultado Geral da Avaliao 4839 2558 4129 38%
Resultado da Conformidade 53% 85%
Tabela 1 - Resultado estimado decorrentes da implementao do plano de ao
Observa-se na tabela acima que os mdulos de Poltica de Segurana,
Classificao e Controle dos Ativos e Segurana Organizacional so os que maiores
melhorias sofrero em nmeros relativos. O mdulo de Segurana fsica o maior em
nmeros absolutos e que representa o maior esforo de implantao.

230
5 CONCLUSO
O processo de implementao desta proposta exigir da ELECTRA grande
esforo e o comprometimento da alta gerncia composta pela presidncia e diretorias
executivas, apoiadas nas gerncias setoriais. Esse empenho envolve a liberao de
recursos necessrios, tanto financeiros como humanos, bem como o compromisso de
disseminar uma cultura organizacional, voltada para a manuteno da poltica de
segurana e da segurana fsica do seu ambiente de processamento de dados.
Alm disso, necessrio criar o comit de segurana multidisciplinar dirigido
por um gestor responsvel , com a responsabilidade de implantar, manter e revisar a
poltica de segurana. A inobservncia desta recomendao poder acarretar em
desconhecimento das diretrizes de segurana, descumprimento das mesmas,
continuidade ou aumento das vulnerabilidades existentes, impossibilidade de punio
em caso de sinistro, entre outros.
As aes sugeridas nos planos de ao, nos seus diversos mdulos, a saber: a
poltica de segurana; a segurana fsica e de ambiente - considerando as diversas
reas e delimitadas segundo o conceito de permetro de segurana, os dispositivos e
mecanismos de segurana como barreiras; a segurana em pessoas atravs da
aculturao e a conformidade com as leis vigentes, permitiro alcanar os nveis de
segurana fsica desejveis e adequados para a ELECTRA.
A implementao das melhorias propostas reduzir o risco existente sobre os
seus principais ativos.

231
De acordo com a anlise de resultados, observa-se que, apesar de
proporcionalmente menor, as melhorias na segurana fsica exigiro maiores esforos
do que todas as outras. Haver necessidade de adequao das instalaes (eltricas,
hidrulicas, incndio, etc), mudana de layout, re-instalar a estrutura de cabeamento
entre outros.
importante observar que no devam ocorrer interrupes das atividades vitais
de negcio da ELECTRA ou que estas sejam mnimas durante a implementao das
recomendaes.
Ainda observando os resultados, atravs do plano de ao, elevar-se- o nvel
conformidade com a Norma NBR ISO/IEC 17799 de um nvel insatisfatrio de 53%
(cinqenta e trs por cento) para um patamar adequado de 85% (oitenta e cinco por
cento), considerado satisfatrio e admissvel pela ELECTRA.

232
6 REFERNCIAS BIBLIOGRFICAS
MOREIRA, Nilton Stringasci, Segurana Mnima, Axcel Books, 1. edio,

2001.
PELTIER, Thomas R., Information Security Risk Analysis, CRC Press, 1

edio, 2001
SANTOS, Antonio Jeov, Dano Moral na Internet, Editora Mtodo, 1. edio,

2001.
DIAS, Claudia, Segurana e Auditoria da Tecnologia da Informao, Axcel

Books, 1. edio, 2000.
CARUSO, C.A.A., Segurana em Informtica e de Informaes, Editora

SENAC SP, 1. edio, 1999
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Cdigo de

Prtica para a Gesto da Segurana da Informao. NBR ISO/IEC 17799:So
Paulo,2001.
FERREIRA, Aurlio Buarque de Holanda, Dicionrio Aurlio da Lngua

Portuguesa, 2 Edio, 2003.
SILLAMY, Norbert, Dicionrio de Psicologia, Larousse, 1996.
FERREIRA, Aurlio Buarque de Holanda, Novo Dicionrio Aurlio da Lngua

Portuguesa, 2a. Edio, Editora Nova Fronteira, 1986.
LANNOY Dorin, Enciclopdia de psicologia contempornea, 5o. volume,

Editora Iracema, 1981.
MAIA, Marco Aurlio, Mdulo Security Magazine www.modulo.com.br , 31

de julho de 2002.
GALVO, Marcio; POGGI, Eduardo, Mdulo, Avaliao de Riscos em

Segurana da Informao com o Security Check-up, 2002.
Febraban, www.febraban.org.br/palestras, consultado no dia 02/11/2004.
Mdulo Security, www.modulo.com.br, consultado no dia 02/11/2004.

233
Dicionrio Priberam, www.priberam.pt, consultado no dia 02/11/2004.

234
APNDICE A
235
Layout da situao atual
Figura 7 - Layout atual do piso da garagem
Figura 8 - Layout atual do piso do Data Center

236
Figura 9 - Layout atual do pavimento trreo
Figura 10 - Layout atual do pavimento tipo

237
Layout proposto aps a anlise
Figura 11`- Sugesto de layout para o 2o. Sub-solo Garagem
Figura 12 - Sugesto de layout para o 1o. Sub-solo

238
Figura 13 - Sugesto de layout para o pavimento Trreo
Figura 14 - Sugesto de layout para o pavimento Tipo

239
APNDICE B
240
Fotos ilustrativas da situao atual
Corredor em frente ao auditrio: Hidrante localizado na Garagem:

Mangueira exposta (sem tampa) Dificuldade de acesso ao hidrante
Sala de Backup no Data Center: Sala de impresso no Data Center:

Existncia de detector de fumaa Risco de curto-circuito e acidente em
pessoas
Sada de emergncia do 2 andar: Sala de Terceirizados no Data Center:

Porta de emergncia obstruda Rachadura
241
Sala de Banco de Dados no Data Center: Sala de Coordenao no Data Center:

Rachadura M disposio de cabeamento
Teto da Sala de Testes no Data Center: Sala de Suporte no Data Center:

Ms condies das instalaes eltricas Ms condies das instalaes eltricas
Controle de acesso ao Data Center: Controle de acesso ao Data Center:

Falha no controle de acesso Falha no controle de acesso
242
Sala de ar-condicionado: Entrada da Cobertura:

Corroso no duto de ar-condicionado Porta obstruda e material combustvel
Corredor interno do Data Center: Sala do Call Center no Data Center:

Ms condies das instalaes de dados M disposio de cabos
Sala de Operadores e Analistas no Data Sala do Gerador:

Center: Dutos de conexo do Gerador em ms
Predominncia de ms condies das condies
instalaes eltricas/dados
243
Sala do Gerador: Sala do Gerador:

Dutos de conexo do Gerador em ms Rachadura
condies
Sala do Gerador: Almoxarifado:

Bocal de abastecimento do Gerador Descarte de material de forma inadequada
Almoxarifado: Sala de Operadores no Data Center:

Descarte de material de forma inadequada Ms condies das instalaes eltricas
244
Sala de Testes no Data Center: Sala de Servios Gerais no Data Center:

Ms condies das instalaes eltricas Infiltrao com possibilidade de cultura de
bactrias
Sala de Gerncia de Redes no Data Sala de Operadores no Data Center:

Center: Indcio de insuficincia no condicionamento
M disposio dos equipamentos de ar nas salas do Data Center
Sala de Arquitetura no 1 andar: Corredor do Data Center:

Precrias condies dos dispositivos de Ausncia de extintor de incndio
controle de acesso ao ambiente
245
Sala de Servidores de Rede: Sala de ar-condicionado:

M disposio do cabeamento no Data Filtros de ar-condicionado sujos
Center (manuteno inadequada)
Sala de ar-condicionado: Cobertura do edifcio:

Cabeamento em ms condies Corroso decorrente de vazamento no
sistema de ar-condicionado
Cobertura do edifcio: Sala de Mquinas do Grande Porte:

Vazamento no sistema de ar-condicionado Piso elevado de material combustvel
246
Sala de Servidores de Rede: Sala de Servidores de Rede:

M disposio de cabeamento M disposio de cabeamento
Corredor do 1 andar: Corredor do 1 andar:

Distribuio inadequada de material de Obstruo de sada de emergncia
combate a incndio
Sala de Servidores de Rede: Sala de Mquinas de Grande Porte:

Indcio do uso de cigarro no ambiente do Existncia de detector de incndio no piso
Data Center elevado
247
Sala de Testes no Data Center: Sala de Operadores no Data Center:

M disposio de cabeamento telefnico Dificuldade de acesso ao extintor
Sala de Banco de Dados: Sala de Banco de Dados:

M disposio de cabeamento M disposio de cabeamento lgico e
eltrico
Sala de equipamentos e infra-estrutura Sala de Suporte no Data Center:

no 1 andar: Cabeamento lgico e eltrico misturados
Material combustvel no ambiente do Data
Center
248
Sala de Mquinas de Grande Porte: Sala de Mquinas de Grande Porte:

Cabeamento lgico e eltrico misturados Cabeamento lgico e eltrico misturados


249
Sala de Material no 4 andar: Sala de Material no 4 andar:

Material combustvel junto aos M disposio de equipamentos
equipamentos
Corredor do Data Center: Corredor do Data Center:

Vista geral do ambiente do Data Center Evidncia da utilizao de cigarro no
permetro de segurana
Sala de ar-condicionado: Sada de emergncia do 3 andar:

ar-condicionado Porta de incndio com calo
250
Sala de Mquinas de Grande Porte: Sala de Impresso no Data Center:

Piso elevado de material combustvel Descarte inadequado de material
Sala de Impresso no Data Center: Sala de Backup no Data Center:

Descarte inadequado de material Ms condies de conservao do sistema
de ar-condicionado (poeira)
Sala de Backup no Data Center:

Conseqncia da m condio de
conservao do sistema de ar-condicionado
(poeira)
251
APNDICE C
252
Planilhas de avaliao
Poltica de Segurana
No Sim Valores
Item Perguntas Peso Aderncia Legenda
0 1 2 3 Referncia Apurados
0: Ausncia total
1: Presena inexpressiva
Aderncia Geral 165 0 0% 2: Presena parcial
3: Presena total
1 Poltica de Segurana das Informaes 30 0 0%
Oferecida orientao e suporte

1.1 administrao para a segurana das 5 x 15 0 0%
Prover direo uma orientao e
informaes? apoio para a segurana da
A administrao estabelece uma diretriz informao.
de poltica bem definida e demonstra o
seu apoio e compromisso com a
1.2 segurana das informaes, atravs da 5 x 15 0 0%
emisso e manuteno de uma poltica
de segurana das informaes em toda a
organizao?
253
Convm que um documento da
Documento de Definio da Poltica de Segurana poltica seja aprovado pela direo,
2 90 0 0% publicado e comunicado, de forma
das Informaes adequada, para todos os
funcionrios
A poltica aprovada pela administrao,
2.1 publicada e divulgada para todos os 5 x 15 0 0%
empregados, da maneira apropriada?
Foi firmado compromisso da
administrao que descreve a
2.2 abordagem da organizao quanto ao 5 x 15 0 0%
gerenciamento da segurana das
informaes?
divulgado aos usurios em toda a
organizao, de uma forma relevante,
2.3 5 x 15 0 0%
acessvel e compreensvel ao pblico-
alvo?
So includas pelo menos orientaes
como definio da segurana das
informaes, seus objetivos globais e
escopo e da importncia da segurana
como um mecanismo capacitador para o
compartilhamento de informaes,
declarao da inteno da
administrao, apoiando as metas e os
princpios da segurana das
informaes, breve explicao das
2.4 polticas de segurana, dos princpios, 5 x 15 0 0%
normas e requisitos de conformidade que
sejam de especial importncia para a
organizao (cumprimento de exigncias
legais e contratuais, requisitos de
treinamento em segurana, preveno e
deteco de vrus e outros softwares mal
intencionados, gerenciamento da
continuidade dos negcios,
conseqncias de violaes da poltica
de segurana)?
254
So definidas responsabilidades gerais e
especficas pelo gerenciamento da
2.5 segurana das informaes, incluindo a 5 x 15 0 0%
comunicao de incidentes de
segurana?
Existem referncias documentao que
poder apoiar a poltica, como por
exemplo polticas e procedimentos de
2.6 segurana mais detalhados para 5 x 15 0 0%
determinados sistemas de informaes
ou normas de segurana s quais os
usurios deveriam obedecer?
3 Poltica Reviso e Avaliao 45 0 0%
A poltica tem um "dono" que

responsvel por sua manuteno e
3.1 5 x 15 0 0%
reviso de acordo com um processo de
reviso definido? Convm que a poltica tenha um
So asseguradas revises em resposta a gestor que seja responsvel por sua
3.2 quaisquer mudanas que afetem as 5 x 15 0 0% manuteno e anlise crtica, de
bases da avaliao original dos riscos? acordo com um processo de anlise
crtica definido.
Existem revises peridicas,
programadas, quanto eficcia da
poltica, demonstrada pela natureza e
pelo nmero e impacto dos incidentes de
3.3 5 x 15 0 0%
segurana registrados, custo dos
controles e seu impacto sobre a
eficincia da empresa e efeitos das
mudanas tecnolgicas?
255
Classificao e Controle dos Ativos

No Sim Valores
0: Ausncia total
3: Presena total
Responsabilidade sobre os ativos (equipamentos

1 42 26 62%
e Informaes)
mantida uma proteo apropriada

1.1 5 x 15 10 67%
dos ativos da organizao ?
Atualmente, so identificados os
gestores de todos os ativos relevantes Manter a proteo adequada dos ativos
1.2 e atribuda a responsabilidade pela 5 x 15 10 67% da organizao.
manuteno de controles apropriados
?
A responsabilidade pela
1.3 implementao dos controles 2 x 6 4 67%
delegada?
A responsabilidade deve continuar com
1.4 o gestor designado do ativo. feito 2 x 6 2 33%
assim?
O inventrio dos ativos ajuda a
assegurar que as protees esto sendo
2 Inventrio dos ativos 60 30 50% feitas de forma efetiva e tambm pode
ser requerido para outras finalidades de
negcio, como sade e segurana,
feito o inventrio de ativos na seguro ou financeira (gerenciamento
2.1 5 x 15 5 33%
patrimonial).
empresa?
256
feita uma crtica do inventrio dos
2.2 5 x 15 10 67%
ativos ?
A empresa oferece nveis de proteo
2.4 compatveis com o valor e a 5 x 15 10 67%
importncia dos ativos?
Cada ativo tem um acordo sobre sua
propriedade e classificao de
segurana e documentado,
2.5 juntamente com sua localizao 5 x 15 5 33%
corrente? (Muito importante na
recuperao aps qualquer perda ou
danificao)
3 Classificao e controle de ativos 30 20 67%

Convm que um inventrio dos
A organizao capaz de identificar os principais ativos associados com cada
3.1 seus ativos e saber o valor relativo e a 5 x 15 10 67% sistema de informao seja estruturado
importncia dos mesmos? e mantido.
elaborado e mantido um inventrio

3.2 dos ativos importantes associados a 5 x 15 10 67%
cada sistema de informaes?
Assegurar que os ativos de informao

4 Classificao das informaes 45 25 56% recebam um nvel adequado de
proteo.
Existe uma classificao das

informaes para assegurar que os
4.1 5 x 15 10 67%
ativos de informao recebam um nvel
de proteo adequado?
A classificao da informao indica a
4.2 necessidade, as prioridades e o grau 5 x 15 10 67%
de proteo?
257
Sabendo-se que algumas informaes
so mais sensveis e crticas do que
outras e que alguns itens podem exigir
um nvel adicional de proteo ou
manuseio especial, tem sido utilizado
4.3 5 x 15 5 33%
um sistema de classificao para
definir um conjunto apropriado de
nveis de proteo e comunicar a
necessidade de medidas especiais de
manuseio?
5 Diretrizes de classificao 60 20 33%
A classificao e os controles
protetores associados levam em
considerao as necessidades da
empresa de compartilhar ou restringir
5.1 informaes e os impactos 5 x 15 5 33%
empresariais associados a tais Convm que a classificao da
necessidades, como acesso no informao e seus respectivos controles
autorizado ou danos integridade das de proteo levem em considerao as
informaes? necessidades de negcios para
compartilhamento ou restrio de
A classificao atribuda constitui um informaes e os respectivos impactos
meio abreviado para determinar como nos negcios como, por exemplo, o
5.2 5 x 15 5 33%
esta informao manuseada e acesso no autorizado ou danos
protegida adequadamente? informao.
As informaes e as sadas produzidas
por sistemas que processam dados
5.3 classificados so rotulados quanto ao 5 x 15 5 33%
seu valor e grau de sensibilidade para
a organizao?
As informaes so rotuladas para
indicar at que ponto so crticas para
5.4 5 x 15 5 33%
a organizao, quanto sua
integridade e disponibilidade?
258
importante que um conjunto
apropriado de procedimentos seja
6 Alterao do nvel de Classificao 66 27 41% definido para rotular e tratar a
informao de acordo com o esquema
de classificao adotado pela
A informao pode deixar de ser organizao.
sensvel ou crtica aps um certo
tempo, por exemplo quando foi
divulgada para o pblico. So levados
6.1 5 x 15 5 33%
em conta esses aspectos, uma vez
que um excesso de sigilo pode causar
custos adicionais desnecessrios
empresa?
As diretrizes de classificao prevem
e levam em conta o fato de que a
classificao de um determinado item
6.2 de informao no necessariamente 5 x 15 5 33%
imutvel no tempo e que pode mudar
de acordo com uma poltica pr-
determinada?
O nmero de categorias de
classificao e os benefcios que se
6.3 5 x 15 5 33%
obtm do seu uso so levados em
conta?
Esquemas de classificao complexos
demais podem se tornar incmodos ou
antieconmicos no uso ou ser
impraticveis. So tomados os
6.4 cuidados ao interpretar rtulos de 5 x 15 10 67%
classificao em documentos de outras
organizaes, que podero ter
diferentes significados para rtulos
iguais ou similares?
259
A responsabilidade pela definio da

classificao de uma determinada
informao e pela reviso peridica
6.5 2 x 6 2 33%
desta classificao delegada da
pessoa que originou a informao ou
do gestor designado da informao?
7 Rotulagem e manuseio de informaes 75 35 47%
definido um conjunto apropriado de

procedimentos para a rotulagem e
7.1 manuseio das informaes, de acordo 5 x 15 5 33%
com o esquema de classificao
adotado pela organizao?
So abrangidos os ativos de
7.2 informao tanto em formato fsico 5 x 15 5 33%
quanto em formato eletrnico?
Para cada classificao so definidos importante que um conjunto
procedimentos de manuseio referentes apropriado de procedimentos seja
a tipos de atividade de processamento definido para rotular e tratar a
da informao como: cpia; informao de acordo com o esquema
de classificao adotado pela
7.3 armazenagem; transmisso pelo 5 x 15 5 33%
organizao.
correio, por fax ou por e-mail;
transmisso oral, incluindo telefone
celular, correio de voz, secretrias
eletrnicas; destruio?
Os itens a serem levados em conta
incluem relatrios impressos, displays
na tela, informaes gravadas (fitas,
7.4 5 x 15 5 33%
discos, CD-ROMs, cassetes),
mensagens eletrnicas e
transferncias de arquivo?
Etiquetas fsicas (geralmente o meio
7.5 mais apropriado) so utilizados na 5 x 15 15 100%
rotulagem?
260
Segurana Fsica e Ambiente

No Sim Valores
0: Ausncia total
3: Presena total
1 reas Seguras 75 10 13%
As reas crticas ou sensveis da

1.1 empresa esto localizadas em reas 5 x 15 5 33%
seguras?
Esto protegidas por um permetro de
segurana definido, com barreiras de
1.2 5 x 15 5 33%
segurana e controles de entrada Prevenir acesso no autorizado, dano e
apropriados? interferncia s informaes e
Esto protegidas fisicamente contra instalaes fsicas da organizao.
1.3 acesso no autorizado, danos e 5 x 15 10 67%
interferncia?
O grau de proteo proporcional aos
1.4 5 x 15 5 33%
riscos identificados?
Existe poltica de mesa vazia e tela vazia
para reduzir o risco de acesso no
1.5 autorizado ou danos a documentos, 5 x 15 5 33%
mdia e instalaes de processamento
de informaes?
261
A proteo fsica pode ser alcanada
atravs da criao de diversas barreiras
2 Permetro de Segurana 180 80 44% fsicas em torno da propriedade fsica do
negcio e de suas instalaes de
processamento da informao
Existe proteo fsica com barreiras
fsicas em volta das instalaes da
2.1 5 x 15 5 33%
empresa e dos equipamentos de
processamento de informaes?
As barreiras estabelecem um permetro

2.2 de segurana correto para aumentar a 5 x 15 5 33%
proteo total oferecida?
So utilizados permetros de segurana
para proteger as reas que contm
2.3 5 x 15 5 33%
equipamentos de processamento de
informaes?
Existem barreiras, paredes, portes de
entrada controlados por carto ou uma
2.4 5 x 15 10 67%
mesa com recepcionista, que constituam
um permetro de segurana?
O permetro do edifcio ou site que
2.5 contm reas crticas fisicamente 5 x 15 5 33%
slido?
Existem brechas no permetro ou reas
2.6 5 x 15 5 33%
que permitam uma penetrao fcil?
As paredes externas so de construo
2.7 5 x 15 5 33%
slida?
As portas externas so devidamente
protegidas contra o acesso no
2.8 autorizado, com mecanismos de 5 x 15 10 67%
controle, barras, alarmes, fechaduras e
etc?
Existe rea de recepo com pessoal ou
2.9 outro meio de controle do acesso fsico 5 x 15 10 67%
ao site ou ao edifcio?
262
Somente pessoal autorizado tem acesso
2.10 5 x 15 10 67%
aos sites e edifcios?
As barreiras fsicas so estendidas, se
necessrio, do piso bruto ao teto bruto,
para impedir o acesso no autorizado e
contaminao ambiental, que pode ser
2.11 5 x 15 10 67%
causada no Data Center, central de
telefonia, unidade certificadora, arquivos
de documentos sensveis e
estratgicos?
Existem portas corta-fogo no permetro
2.12 de segurana? Elas so equipadas com 5 x 15 0 0%
alarme e fecham automaticamente?
Convm que as reas de segurana
sejam protegidas por controles de
3 Controles fsicos de entrada 90 70 78% entrada apropriados para assegurar que
apenas pessoas autorizadas tenham
acesso liberado.
As reas seguras so protegidas por
3.1 5 x 15 10 67%
controles de entrada apropriados?
O acesso a informaes e equipamentos
3.2 sensveis controlado e restrito ao 5 x 15 15 100%
pessoal autorizado?
Existem controles de autenticao, como
cartes magnticos com nmero de
3.3 identificao pessoal (PIN) e/ou 5 x 15 15 100%
biometria para autorizar e validar todos
os acessos?
As trilhas de auditoria de todos os
3.4 5 x 15 5 33%
acessos so guardadas local seguro?
exigido que o pessoal utilize alguma
forma de identificao visvel e que
interpele pessoas estranhas no
3.5 5 x 15 15 100%
acompanhadas e qualquer pessoa que
no esteja usando uma identificao
visvel?
263
Os direitos de acesso a reas seguras
3.6 5 x 15 10 67%
so revistos e atualizados regularmente?
4 Proteo das instalaes 51 34 67%
Para a proteo das instalaes, existe a

preocupao de rea segura como salas
trancadas ou vrias salas dentro de um
4.1 5 x 15 10 67%
permetro fsico de segurana, que
podem ser trancadas e que disponham Convm que a seleo e o projeto de
de arquivos de ao trancveis ou cofres? uma rea de segurana levem em
considerao as possibilidades de dano
A escolha e o projeto de uma rea causado por fogo, inundaes,
segura deve levar em conta a exploses, manifestaes civis e outras
4.2 possibilidade de danos causados pelos 5 x 15 10 67% formas de desastres naturais ou
riscos ou vulnerabilidades. Isso causados pelo homem.
observado?
So levados em conta os regulamentos
4.3 e normas relevantes de sade e 2 x 6 4 67%
segurana?
So levadas em considerao eventuais
ameaas segurana causadas por
4.4 instalaes vizinhas, como infiltraes, 5 x 15 10 67%
vazamento de gua proveniente de outra
rea e etc?
Evitar exposio ou roubo de informao

5 Controle 141 94 67% e de recursos de processamento da
informao
Os equipamentos crticos esto em local

5.1 5 x 15 10 67%
no acessvel ao pblico?
264
Os prdios so discretos e indicam o
mnimo possvel a sua finalidade, sem
sinais visveis, dentro ou fora do edifcio,
5.2 5 x 15 10 67%
que identifiquem a presena de
atividades de processamento de
informaes?
Funes e equipamentos de suporte,
(fotocopiadoras e fax), ficam num local
5.3 apropriado dentro da rea segura, para 5 x 15 10 67%
evitar pedidos de acesso que poderiam
comprometer as informaes?
So implementados sistemas
apropriados de deteco de intrusos,
instalados segundo padres
5.4 5 x 15 5 33%
profissionais e testados regularmente,
para cobrir todas as portas externas e as
janelas acessveis?
As reas no ocupadas dispem de
5.5 5 x 15 5 33%
alarme armado permanentemente?
Equipamentos administrados pela
organizao ficam fisicamente
5.6 5 x 15 5 33%
separados dos equipamentos
administrados por terceiros?
As listas de pessoal e listas telefnicas
internas que identificam a localizao
5.7 dos equipamentos de processamento de 2 x 6 4 67%
informaes sensveis ficam em local
no acessvel ao pblico?
Materiais perigosos ou combustveis so
armazenados de modo seguro e a uma
5.8 5 x 15 15 100%
distncia adequada de uma rea
segura?
Os suprimentos em grande volume so
armazenados dentro de uma rea
5.9 5 x 15 15 100%
segura, somente sendo requisitados
medida que forem sendo utilizados?
265
Os equipamentos e mdia de backup so
localizados a uma distncia segura, para
5.10 5 x 15 15 100%
que no sejam danificados em caso de
um acidente no site principal?
Manuais e controles adicionais podem

6 O trabalho em reas seguras 87 64 74% ser necessrios para melhorar as
condies de uma rea de segurana.
Existem controles e diretrizes adicionais

6.1 para aumentar a segurana de uma rea 5 x 15 10 67%
sensvel?
Existem controles para o pessoal e/ou
6.2 para terceiros que trabalham dentro da 5 x 15 10 67%
rea segura?
Atividades de terceiros no devem ser
6.3 executadas nesta rea. Isso 2 x 6 2 33%
observado?
O pessoal s sabe da existncia de uma
rea segura e das atividades nela
6.4 2 x 6 2 33%
executadas numa base de necessidade
de saber?
evitado o trabalho no supervisionado
em reas seguras, tanto por motivos de
6.5 segurana como para no dar 5 x 15 10 67%
oportunidade a atividades mal-
intencionadas?
As reas seguras desocupadas so
6.6 trancadas fisicamente e inspecionadas 5 x 15 15 100%
periodicamente?
O acesso ao suporte de terceiros
restrito s reas seguras ou aos
6.7 equipamentos de processamento de 5 x 15 15 100%
informaes sensveis e somente
quando necessrio?
6.8 O acesso autorizado e monitorado? 5 x 15 15 100%
266
Existem barreiras e permetros
adicionais de controle de acesso fsico
6.9 entre reas com diferentes requisitos de 5 x 15 15 100%
segurana dentro do permetro de
segurana?
proibida a presena de equipamento
6.10 fotogrfico, de vdeo, udio ou gravao, 5 x 15 15 100%
a no ser com autorizao?
Convm que as reas de expedio e de
Isolamento das reas de entregas e de carregamento sejam controladas e, se
7 105 70 67% possvel, isoladas das instalaes de
carregamento
processamento da informao, com o
As reas de entregas e de carregamento objetivo de evitar acessos no
autorizados. Convm que os requisitos
so controladas e isoladas dos
de segurana sejam determinados a
7.1 equipamentos de processamento de 5 x 15 10 67%
partir de uma avaliao de risco.
informaes, a fim de evitar o acesso
no autorizado?
Os requisitos de segurana para tais
7.2 reas so determinados por uma 5 x 15 10 67%
avaliao dos riscos?
O acesso a uma rea de armazenagem
provisria, a partir do exterior de um
7.3 5 x 15 10 67%
edifcio, restrito ao pessoal identificado
e autorizado?
A rea de armazenagem provisria
projetada de tal maneira que os
7.4 suprimentos possam ser descarregados 5 x 15 10 67%
sem que o pessoal de entrega tenha
acesso a outras partes do edifcio?
As portas externas de uma rea de
armazenagem provisria permanecem
7.5 5 x 15 10 67%
trancadas enquanto a porta interna
estiver aberta?
O material recebido inspecionado para
detectar eventuais perigos antes de ser
7.6 5 x 15 10 67%
transportado da rea de armazenagem
provisria para o local de utilizao?
267
O material recebido registrado ao
7.7 5 x 15 10 67%
entrar no site?
8 Segurana do Equipamento 45 30 67%
Os equipamentos so protegidos
8.1 fisicamente contra as ameaas sua 5 x 15 10 67%
segurana e os perigos ambientais? Prevenir perda, dano ou
comprometimento dos ativos, e a
So levados em conta localizao e
8.2 5 x 15 10 67% interrupo das atividades do negcio.
disposio dos equipamentos?
Existem controles especiais para
proteo contra perigos ou acesso no
autorizado e para preservar os
8.3 5 x 15 10 67%
equipamentos de apoio, como o
suprimento de corrente e a infra-
estrutura de cabeamento?
Convm que os equipamentos sejam
instalados ou protegidos para reduzir o
9 Localizao e proteo dos equipamentos 120 70 58% risco de ameaas ambientais, perigos e
oportunidades de acesso no autorizado.
Os equipamentos so localizados ou
protegidos de modo a reduzir o risco das
9.1 ameaas e perigos do meio-ambiente e 5 x 15 5 33%
as oportunidades de acesso no
autorizado?
Os equipamentos so localizados de
9.2 modo a minimizar o acesso 5 x 15 5 33%
desnecessrio s reas de trabalho?
Os equipamentos de processamento e
armazenagem de informaes que
manuseiam dados sensveis so
9.3 5 x 15 5 33%
posicionados de modo a minimizar o
risco de olhares indiscretos durante o
uso?
268
Os itens que requerem proteo especial
9.4 so isolados a fim de reduzir o nvel 5 x 15 5 33%
geral de proteo necessrio?
So adotados controles para minimizar o
risco de ameaas potenciais, incluindo
furto; incndio; explosivos; fumaa; gua
9.5 (ou falha no abastecimento); poeira; 5 x 15 10 67%
vibrao; efeitos qumicos; interferncia
no suprimento de fora; radiao eletro-
magntica?
A organizao estabelece uma poltica
referente aos atos de comer, beber e
9.6 5 x 15 15 100%
fumar nas instalaes de processamento
de informaes ou em sua proximidade?
So monitoradas as condies
ambientais quanto a fatores que
9.7 poderiam afetar negativamente a 5 x 15 15 100%
operao dos equipamentos de
So levados em conta o impacto de um
acidente em instalaes prximas, como
por exemplo um incndio no prdio
9.8 5 x 15 10 67%
vizinho, vazamento de gua do telhado
ou em pavimentos do subsolo, ou uma
exploso na rua?
Convm que os equipamentos sejam
protegidos contra falhas de energia e
10 Suprimento de energia eltrica 135 85 63% outras anomalias na alimentao eltrica,
e que um fornecimento de energia
apropriado ocorra em conformidade com
Existe suprimento adequado de
as especificaes do fabricante do
eletricidade que atenda s
10.1 5 x 15 10 67% equipamento.
especificaes do fabricante dos
equipamentos?
Existem fontes alternativas de gerao
10.2 5 x 15 10 67%
de energia?
269
Existem mltiplas fontes de alimentao
10.3 para evitar que o suprimento dependa 5 x 15 10 67%
de uma nica fonte?
Existe suprimento de energia prova de
10.4 5 x 15 10 67%
interrupes (UPS = sistema no-break)?
10.5 Existe gerador de backup? 5 x 15 5 33%
Existe um suprimento prova de
interrupes (UPS/no-break) para
suportar a parada ordenada ou a
10.6 5 x 15 10 67%
continuao da operao, no caso de
equipamentos que suportam operaes
crticas para a empresa?
Existe planejamento de contingncia
10.7 indicando as providncias a tomar em 5 x 15 10 67%
caso de falha do UPS?
So realizados testes regulares dos
10.8 equipamentos para assegurar que ele 5 x 15 10 67%
tenha a capacidade adequada?
Os equipamentos so testados de
10.9 acordo com as recomendaes do 5 x 15 10 67%
fabricante?
Bancada de baterias, risco de exploso e falha do

11 15 10 67%
equipamento
providenciado um gerador de backup

11.1 para que o processamento continue em 5 x 15 10 67%
caso de uma falta de fora prolongada?
Estocagem do leo diesel e manuteno da sua

12 105 70 67%
qualidade, muretas de conteno
Os geradores so testados regularmente

12.1 de acordo com as instrues do 5 x 15 10 67%
fabricante?
270
Existe suprimento adequado de
combustvel para assegurar que o
12.2 5 x 15 10 67%
gerador possa operar durante um
perodo prolongado?
As chaves de fora de emergncia esto
12.3 localizadas perto das sadas de 5 x 15 10 67%
emergncia das salas de equipamentos?
Existe iluminao de emergncia para o
12.4 5 x 15 10 67%
caso de falta de fora?
Os prdios so equipados com pra-
12.5 5 x 15 10 67%
raios?
Existem filtros de proteo contra raios
12.6 em todas as linhas externas de 5 x 15 10 67%
comunicaes?
Existe Gaiola de Faraday e para-raio
12.7 5 x 15 10 67%
Franklin?
Convm que o cabeamento eltrico e de
telecomunicao que transmite dados ou
13 Segurana do cabeamento 96 37 39% suporta os servios de informao seja
protegido contra interceptao ou dano.
As linhas de fora e as linhas de
telecomunicaes que entram nos
13.1 5 x 15 10 67%
informaes so subterrneas sempre
que possvel ou tm proteo alternativa
adequada?
O cabeamento das redes protegido
contra interceptao no autorizada ou
13.2 danos (pelo uso de condutes ou 5 x 15 5 33%
evitando trajetos que passem por reas
pblicas)?
Os cabos de fora ficam separados dos
13.3 cabos de comunicaes para evitar 5 x 15 5 33%
interferncias?
271
Existem condutes blindados e salas ou
13.4 caixas trancadas em pontos de inspeo 5 x 15 5 33%
e pontos terminais?
feito o uso de rotas ou meios de
13.5 5 x 15 5 33%
transmisso alternativos?
feito o uso de cabeamento de fibras
13.6 2 x 6 2 33%
pticas?
Existem cabos com sistemas de
13.7 varredura para detectar a presena de 5 x 15 5 33%
dispositivos no autorizados?
14 Manuteno dos equipamentos 90 60 67%
Os equipamentos recebem manuteno

correta para assegurar sua
14.1 5 x 15 10 67%
disponibilidade e integridade
permanente?
Os equipamentos recebem manuteno
com a periodicidade e de acordo com as
14.2 5 x 15 10 67%
especificaes recomendadas pelo Convm que a manuteno correta dos
fabricante? equipamentos garanta a continuidade da
A manuteno e os reparos do disponibilidade e integridade dos
14.3 equipamento somente so executados 5 x 15 10 67% mesmos.
por pessoal de manuteno autorizado?
mantido um registro de todos os
defeitos suspeitos ou reais e de toda a
14.4 5 x 15 10 67%
manuteno preventiva e corretiva
executada?
So adotados controles apropriados
14.5 quando equipamentos saem do site para 5 x 15 10 67%
fins de manuteno?
So cumpridas todas as exigncias
14.6 5 x 15 10 67%
estipuladas nas aplices de seguros?
272
Independentemente de quem seja o
proprietrio, convm que o uso de
15 Segurana dos equipamentos fora das instalaes 120 60 50% qualquer equipamento para o
processamento da informao fora das
instalaes da organizao seja
O uso de qualquer equipamento fora das
autorizado pela direo. Convm que a
instalaes da organizao, para fins de
15.1 processamento de informaes, feito 5 x 15 5 33%
segurana fornecida seja equivalente
quela oferecida aos equipamentos
somente quando autorizado pela
utilizados dentro da organizao para o
gerncia?
mesmo propsito, levando-se em conta
O grau de segurana proporcionado os riscos de se trabalhar fora das
equivalente ao do equipamento utilizado instalaes da organizao.
15.2 no site para os mesmos fins, levando em 5 x 15 10 67%
conta os riscos do trabalho fora das
instalaes da organizao?
O equipamento de processamento de
informaes (todas as formas de
computadores pessoais, agendas
eletrnicas, telefones celulares, papel ou
15.3 outros meios) que ficam na posse da 5 x 15 10 67%
pessoa para trabalho a domiclio ou que
so transportados para fora do local
normal de trabalho tem procedimento de
segurana?
Os equipamentos e as mdias retiradas
15.4 das instalaes da organizao tem 5 x 15 10 67%
superviso em lugares pblicos?
Os computadores portteis so
transportados como bagagem de mo e
15.5 5 x 15 5 33%
disfarados sempre que possvel,
quando se viaja?
So observadas a qualquer tempo as
instrues do fabricante para a proteo
15.6 dos equipamentos (ex.: proteo contra 5 x 15 5 33%
a exposio a campos eletromagnticos
intensos)?
273
Os controles para o trabalho a domiclio
so determinados por uma avaliao dos
riscos, e so adotados controles
15.7 adequados conforme necessrio (ex.: 5 x 15 10 67%
arquivos de ao trancados, poltica de
mesa vazia e controles de acesso a
computadores)?
Existe uma cobertura de seguros
15.8 adequada para proteger o equipamento 5 x 15 5 33%
quando fora do site?
Segurana no descarte ou na reutilizao de

16 60 40 67%
equipamentos
Existem cuidados no descarte ou na

16.1 5 x 15 10 67%
reutilizao de equipamentos?
Sistemas de armazenagem que
contenham informaes sensveis so
16.2 destrudos fisicamente ou sobregravados 5 x 15 10 67% A informao pode ser exposta pelo
de maneira segura em vez de se usar a descuido na alienao ou reutilizao de
funo normal delete? equipamentos . Convm que dispositivos
de armazenamento que contenham
Todos os itens de equipamento que informao sensvel sejam destrudos
contenham mdia de armazenagem, fisicamente ou sobrescritos de forma
como por exemplo discos rgidos, so segura ao invs da utilizao de funes-
16.3 verificados para garantir que todos 5 x 15 10 67% padro para a excluso.
dados sensveis e softwares licenciados
tenham sido retirados ou sobregravados
antes do descarte?
No caso de dispositivos de
armazenagem danificados que
contenham dados sensveis, existe uma
16.4 5 x 15 10 67%
avaliao dos riscos para determinar se
o item deve ser destrudo, consertado ou
descartado?
274
17 Controles gerais 45 30 67%
Existem medidas para impedir o

comprometimento ou furto de
17.1 5 x 15 10 67%
informaes e de equipamentos de Evitar exposio ou roubo de informao
processamento de informaes? e de recursos de processamento da
informao.
As informaes e os equipamentos
crticos so protegidos contra revelao
17.2 5 x 15 10 67%
a pessoas no autorizadas ou
modificao ou furto por tais pessoas?
So implementados controles para
17.3 minimizar a perda ou o dano a 5 x 15 10 67%
informaes?
A organizao deve considerar a adoo
de uma poltica de mesa limpa para
18 Poltica de mesa vazia e tela vazia 60 25 42% papis e mdias removveis e uma poltica
de tela limpa para os recursos de
processamento da informao, de forma
A organizao adota poltica de mesa a reduzir riscos de acesso no
18.1 vazia para documentos e mdia de 5 x 15 5 33%
autorizado, perda e danos informao
armazenagem removveis? durante e fora do horrio normal de
adotada poltica de tela vazia para os trabalho.
informaes, a fim de reduzir os riscos
18.2 de acesso no autorizado a informaes 5 x 15 5 33%
e de perda ou dano s informaes
durante o horrio normal de trabalho e
fora dele?
So levadas em considerao as
classificaes de segurana das
18.3 5 x 15 10 67%
informaes, os riscos correspondentes
e os aspectos culturais da organizao?
275
tomado cuidado para que informaes

no sejam deixadas em cima de mesas,
18.4 podendo ser danificadas ou destrudas 5 x 15 5 33%
em caso de catstrofes, como incndios,
inundaes ou exploses?
19 Diretrizes de proteo 72 44 61%
Os documentos e mdia de computador

so armazenados em estantes
apropriadas e trancadas em outras
19.1 5 x 15 10 67%
formas de moblia de segurana, quando
no estiverem em uso, principalmente
fora do horrio de expediente?
Informaes empresariais sensveis ou
crticas ficam trancadas (preferivelmente
em um cofre ou arquivo prova de fogo)
19.2 5 x 15 10 67%
quando no em uso, principalmente
quando no houver ningum no
escritrio?
Os computadores pessoais e terminais
de computador, bem como as
impressoras, ficam logged-on na
19.3 ausncia do operador e protegidos por 5 x 15 15 100%
bloqueios de teclas, senhas ou outros
controles quando no estiverem em
uso?
Os postos de correspondncia recebida
e enviada e as mquinas de fax e telex
19.4 2 x 6 2 33%
sem a presena do operador so
protegidos?
As copiadoras so trancadas (ou
protegidas de algum outro modo contra o
19.5 2 x 6 2 33%
uso no autorizado) fora do horrio
normal de expediente?
276
Informaes sensveis ou confidenciais,
19.6 quando impressas, so retiradas das 5 x 15 5 33%
impressoras imediatamente?
20 Retirada de bens 60 60 100%
Os equipamentos, as informaes ou o
20.1 software no podem sair do site sem 5 x 15 15 100%
autorizao. Isso verificado? Equipamentos, informaes ou software
Quando necessrio e apropriado, a no devem ser retirados da organizao
20.2 sada e a devoluo dos equipamentos 5 x 15 15 100% sem autorizao.
registrada?
So feitas inspees por amostragem
20.3 para detectar a retirada no autorizada 5 x 15 15 100%
de bens?
As pessoas so informadas da
20.4 5 x 15 15 100%
existncia de tais inspees?
EDIFICAES
Equipamentos de preveno e combate a

21 45 30 67%
incndios
Os equipamentos e os materiais de
21.1 combate so compatveis com o 5 x 15 5 33%
ambiente?
21.2 A quantidade existente suficiente? 5 x 15 15 100%
21.3 Existe contingncia ? 5 x 15 10 67%
Localizao dos equipamentos de combate a

22 60 30 50%
incndios
A localizao adequada e o acesso

22.1 5 x 15 10 67%
livre?
277
22.2 conferida a validade das cargas? 5 x 15 10 67%
As portas de incndio possuem sensores
22.3 e alarmes e mola para fechamento 5 x 15 0 0%
automtico?
Existem detectores de fumaa sob o piso
22.4 5 x 15 10 67%
falso e no teto?
Distncia de equipamentos, produtos ou locais

23 120 80 67%
crticos
Os equipamentos esto distantes das

23.1 5 x 15 15 100%
linhas de transmisso de alta voltagem?
A regio segura (no sujeita a
23.2 assaltos, distrbios a outros tipos de 5 x 15 15 100%
violncia)?
23.3 A remoo de lixo diria? 5 x 15 10 67%
Existem procedimentos relacionados
23.4 com papis (isolamento, controle de 5 x 15 10 67%
acesso, proibio de fumar, etc.)?
Periodicamente verificada a
23.5 necessidade de efetuar dedetizao e 5 x 15 10 67%
desratizao?
As cestas de lixo so de metal com
23.6 tampa com objetivo de abafar princpios 5 x 15 0 0%
de incndio?
proibida a execuo de trabalho que
23.7 gerem poeira na rea dos 5 x 15 15 100%
equipamentos?
Os quadros de conexes telefnicas so
23.8 trancados para haja o acesso somente 5 x 15 5 33%
permitido ao pessoal autorizado?
24 Condies gerais de segurana da edificao 285 125 44%

278
As paredes internas so de alvenaria at
24.1 5 x 15 5 33%
o teto?
Existe vedao de passagens com
24.2 5 x 15 5 33%
portas corta-fogo?
As paredes externas impedem a
24.3 5 x 15 5 33%
propagao de incndios?
Existe vedao de passagens para
outros recintos ou andares (dutos de ar-
24.4 5 x 15 5 33%
condicionado, cabos, monta-carga,
etc.)?
O edifcio que abriga o Data Center foi
24.5 construdo com material retardante e 5 x 15 5 33%
resistente ao fogo?
Os detectores de fumaa so mantidos e
24.6 5 x 15 5 33%
testados de forma programada?
Existe sensor de temperatura e umidade
24.7 5 x 15 5 33%
do ar?
Existem quadros de controle pare
24.8 detectar rapidamente e localizar fogo e 5 x 15 5 33%
fumaa?
As placas do piso falso so facilmente
24.9 removveis para permitir verificao de 5 x 15 10 67%
fogo e fumaa?
Existem marcaes no piso para facilitar
24.10 5 x 15 15 100%
a localizao dos detectores?
Os extintores esto distribudos
24.11 estrategicamente em locais visveis e 5 x 15 5 33%
destacados?
24.12 O alarme de incndio toca na vigilncia? 5 x 15 0 0%
Existem hidrantes instalados em locais
24.13 5 x 15 10 67%
estratgicos nos andares dos prdios?
Esses hidrantes e seus equipamentos
24.14 5 x 15 10 67%
auxiliares so testados regularmente?
279
Havendo necessidade, os carros do
24.15 Corpo de Bombeiros podem ter acesso 5 x 15 5 33%
fcil a qualquer lado do prdio?
As placas do piso falso so de material
24.16 5 x 15 10 67%
retardante?
Existe reserva tcnica de gua para
24.17 5 x 15 10 67%
hidrantes?
Existem plantas de localizao dos
24.18 5 x 15 10 67%
extintores e detectores?
Os alarmes de incndio podem ser
24.19 alimentados por baterias, no caso de 5 x 15 0 0%
falha no fornecimento de energia?
Condies de gerais de segurana relacionados

25 186 121 65%
com a edificao
Existe sensoriamento de portas, janelas,

25.1 5 x 15 5 33%
dutos e superviso predial?
Existe sala central de controle de
25.2 segurana bem localizada e com 5 x 15 5 33%
qualificao pessoal ?
O monitoramento do permetro e reas
25.3 5 x 15 0 0%
externas ao prdio feito via CFTV?
A rea do Data Center fica em local no
25.4 2 x 6 6 100%
visvel da rua?
Existe um servio de vigilncia de 24
25.5 horas, inclusive nos fins de semana e 5 x 15 10 67%
feriados?
As sadas de emergncia so verificadas
25.6 em relao usabilidade 5 x 15 10 67%
periodicamente?
As portas para a rea do Data Center
25.7 5 x 15 10 67%
so mantidas fechadas?
280
Existem alarmes para informar a
25.8 vigilncia a violao de portas e acessos 5 x 15 5 33%
a reas do Data Center?
feito um rodzio peridico entre os
25.9 5 x 15 10 67%
recepcionistas?
A rede de iluminao est bem
25.10 5 x 15 15 100%
distribuda e de boa qualidade?
O corpo de vigilantes possui um manual
25.11 5 x 15 15 100%
com procedimentos de emergncia?
Existe um sistema de claviculrio no
25.12 5 x 15 15 100%
corpo de vigilantes?
H um controle rigoroso das chaves das
25.13 5 x 15 15 100%
portas?
Condies gerais de segurana relacionados com

26 90 35 39%
evacuaes
26.1 Existe procedimento de evacuao? 5 x 15 10 67%

As sadas de emergncia esto livres e
26.2 5 x 15 5 33%
desimpedidas e em boas condies?
Existe iluminao de emergncia e
26.3 5 x 15 5 33%
sinalizao adequada ( feito teste)?
Existem telefones internos de
26.4 emergncia para comunicao de 5 x 15 10 67%
sinistros?
Existe um sistema de alarme para fazer
26.5 5 x 15 5 33%
a evacuao dos prdios?
Existe um sistema de udio para auxiliar
26.6 nos momentos de evacuao de 5 x 15 0 0%
pessoal?
Disposio e infra-estrutura das edificaes

27 57 26 46%
destinadas funo.
281
Quadros de luz e iluminao esto
27.1 2 x 6 2 33%
localizados em local adequado?
Existe controle de rudos nas imediaes
27.2 2 x 6 4 67%
do permetro?
Existe controle de temperatura nas
27.3 5 x 15 10 67%
imediaes do permetro?
As condies de conservao e limpeza
27.4 do piso elevado e do forro so 5 x 15 5 33%
adequadas?
Os incidentes de segurana so
27.5 investigados para apurao da causa e 5 x 15 5 33%
tomada de ao corretiva?
28 Suprimento de energia 120 70 58%
Quedas de tenso freqentes,

28.1 5 x 15 10 67%
oscilaes e sobrecargas so evitadas?
Existe estabilizador/no-break/gerador
28.2 5 x 15 10 67%
com autonomia satisfatria?
As instalaes eltricas do prdio e as
instalaes destinadas aos
28.3 5 x 15 10 67%
equipamentos de energia esto em boas
condies e no oferecem perigo?
Existe exclusividade das instalaes
28.4 5 x 15 5 33%
eltricas no Data Center?
O sistema de gerao prpria de energia
28.5 5 x 15 10 67%
testado periodicamente?
O quadro de fora protegido e de fcil
28.6 acesso para as situaes de 5 x 15 5 33%
emergncia?
Existe um controle das perdas de horas
28.7 de mquina devido a problemas de 5 x 15 10 67%
eletricidade?
282
Existe um plano de manuteno para a
28.8 5 x 15 10 67%
rede eltrica?
29 Ar-condicionado 225 75 33%
A qualidade das instalaes e

29.1 manuteno dos equipamentos e nvel 5 x 15 5 33%
de rudo satisfatria?
No deve haver possibilidade de entrada
de gases atravs dos dutos de ar-
29.2 5 x 15 5 33%
condicionado. Essa possibilidade
eliminada?
As chaves de emergncia desligam o
29.3 5 x 15 10 67%
sistema de ar-condicionado?
29.4 O sistema de climatizao exclusivo? 5 x 15 5 33%
compartilhado com rea e/ou tipo de
29.5 5 x 15 5 33%
equipamentos inadequados?
O dimensionamento do equipamento de
29.6 5 x 15 10 67%
ar-condicionado adequado?
H redundncias (e reservas) e
29.7 5 x 15 5 33%
simulaes peridicas?
As aberturas externas (troca de ar)
29.8 proporcionam uma adequada 5 x 15 5 33%
renovao?
Existem dampers corta-fogo e gases no
29.9 5 x 15 0 0%
interior dos dutos?
Os equipamentos de ar-condicionado
esto instalados em compartimentos
29.10 5 x 15 10 67%
fechados (com acesso somente ao
pessoal autorizado)?
As tomadas de ar so protegidas contra
29.11 5 x 15 5 33%
contaminao?
Existem alarmes nos sistemas de ar-
29.12 5 x 15 0 0%
condicionado?
283
Os dutos do ar condicionado so de
29.13 5 x 15 0 0%
material retardante?
Os instrumentos de comando do sistema
29.14 de ar-condicionado esto protegidos 5 x 15 0 0%
evitando manuteno no-autorizada?
Existem plantas com especificaes de
29.15 5 x 15 10 67%
toda a rede de ar-condicionado?
Condies gerais de segurana relacionados com

30 225 95 42%
suprimento de gua
O prdio est em boas condies em

30.1 5 x 15 5 33%
relao a goteiras?
O prdio est em boas condies em
30.2 relao umidade, infiltraes e 5 x 15 5 33%
vazamentos de canalizaes?
garantida a continuidade do
30.3 suprimento (existncia a capacidade do 5 x 15 5 33%
reservatrio)?
garantida a qualidade das instalaes
30.4 5 x 15 5 33%
hidrulicas (vazamentos, infiltraes)?
Existem plantas atualizadas da rede
30.5 5 x 15 10 67%
hidrulica?
A localizao das tubulaes e as
30.6 condies dos materiais utilizados so 5 x 15 5 33%
satisfatrias?
Os telhados e a laje esto em boas
30.7 5 x 15 5 33%
condies ?
O subsolo no deve sofrer nenhum tipo
30.8 5 x 15 5 33%
de interferncia. Isso ocorre?
Quanto a drenagens sob o piso elevado,
30.9 a proteo em relao ao piso superior 5 x 15 5 33%
esta em boas condies?
284
Os encanamentos, exceto os
30.10 necessrios, foram retirados do piso 5 x 15 10 67%
falso em reas sob o computador?
30.11 Os condutes so a prova d'gua? 5 x 15 10 67%
Existe vedao adequada contra
30.12 5 x 15 0 0%
infiltrao de gua nas portas externas?
Existe escoamento de gua e drenagem
30.13 adequada para impedir inundao na 5 x 15 5 33%
sala do computador?
As torres de resfriamento de gua esto
30.14 construdas em local fora do prdio que 5 x 15 15 100%
abriga o computador?
A sala do computador possui
30.15 impermeabilizao adequada do teto, 5 x 15 5 33%
impedindo infiltrao de gua?
285
Segurana em Pessoas
No Sim Valores
0: Ausncia total
3: Presena total
Segurana na definio de funes e no

1 60 50 83%
recrutamento de pessoal
So tomadas medidas para reduzir os

1.1 riscos de falha humana, furto, fraude ou 5 x 15 10 67%
uso indevido das instalaes? Reduzir os riscos de erro humano, roubo,
As responsabilidades so atendidas desde fraude ou uso indevido das instalaes.
1.2 5 x 15 10 67%
a fase de recrutamento?
Estas responsabilidades so includas nos
1.3 contratos, e monitoradas enquanto durar o 5 x 15 15 100%
vnculo empregatcio?
exigido do empregado o acordo de no
1.4 5 x 15 15 100%
divulgao?
Convm que regras e responsabilidades
Como incluir a segurana nas responsabilidades da de segurana sejam documentadas onde
2 45 25 56% for apropriado, de acordo com a poltica
funo de segurana da informao da
organizao
As responsabilidades de segurana so
2.1 documentadas sempre que isso for 5 x 15 10 67%
apropriado?
286
So definidas responsabilidades gerais
2.2 pela implementao e manuteno da 5 x 15 10 67%
poltica de segurana?
So definidas responsabilidades
especficas pela proteo de determinados
2.3 ativos ou responsabilidades pela execuo 5 x 15 5 33%
de determinados procedimentos ou
atividades de segurana?
Convm que verificaes de controle
sobre a equipe permanente sejam
3 Triagem de pessoal e poltica 195 110 56% conduzidas no momento da seleo de
candidatos.
So verificados os antecedentes do
3.1 pessoal permanente, por ocasio do 5 x 15 5 33%
pedido de emprego?
So solicitadas referncias satisfatrias,
3.2 como por exemplo uma profissional e uma 5 x 15 5 33%
pessoal?
verificado se o currculo apresentado
3.3 5 x 15 10 67%
pelo candidato completo e correto?
So verificadas as qualificaes
3.4 acadmicas e profissionais apresentadas 5 x 15 10 67%
pelo candidato?
3.5 verificada a identidade do candidato? 5 x 15 10 67%
Quando um cargo proporcionar acesso a
informaes sensveis (informaes
3.6 5 x 15 10 67%
financeiras ou informaes altamente
confidenciais) verificada a situao de
crdito do empregado?
Para o pessoal em funes com grande
3.7 autoridade, a verificao repetida 5 x 15 5 33%
periodicamente?
realizado processo de triagem similar
3.8 5 x 15 5 33%
para subcontratados e pessoal temporrio?
287
Nos casos em que terceiros so
"fornecidos" por uma agncia, o contrato
3.9 5 x 15 15 100%
com a agncia especifica claramente suas
responsabilidades especficas?
verificado se na triagem e nos
procedimentos de notificao que ela
3.10 adota se o processo foi completado ou se 5 x 15 10 67%
os seus resultados do margem a dvidas
ou a preocupao?
O trabalho de todo o pessoal sujeito a
exames peridicos e a procedimentos de
3.11 5 x 15 15 100%
aprovao por um membro mais graduado
do quadro?
Os gerentes levam em conta o fato de que
circunstncias pessoais dos seus
subordinados podem afetar o trabalho dos
mesmos, como problemas pessoais e
3.12 financeiros, mudanas de comportamento 5 x 15 5 33%
ou de estilo de vida, faltas constantes e
sinais de estresse ou depresso, que
podem levar a fraude, furto, erros ou outras
implicaes de segurana?
As informaes so tratadas de acordo
3.13 com a legislao apropriada, vigente na 5 x 15 5 33%
jurisdio em questo?
Acordos de confidencialidade ou de no
4 Compromissos de confidencialidade 75 60 80% divulgao so usados para alertar que a
informao confidencial ou secreta.
Usam-se compromissos de
confidencialidade ou no-revelao para
4.1 5 x 15 15 100%
indicar que determinadas informaes so
confidenciais ou secretas?
288
Os empregados assinam um compromisso
4.2 de confidencialidade como parte do seu 5 x 15 15 100%
contrato de trabalho inicial?
O pessoal temporrio e os usurios
externos assinam compromisso de
4.3 confidencialidade antes de terem acesso a 5 x 15 10 67%
instalaes de processamento de
informaes?
Os compromissos de confidencialidade so
4.4 revistos quando h mudanas nas 5 x 15 10 67%
condies de emprego ou no contrato?
Os compromissos de confidencialidade so
revistos quando os empregados esto para
4.5 5 x 15 10 67%
sair da organizao ou quando os
contratos esto para terminar?
Convm que os termos e condies de
trabalho determinem as
5 Termos e condies de emprego 60 20 33% responsabilidades dos funcionrios pela
segurana da informao.
Os termos e condies de emprego
estipulam a responsabilidade do
5.1 5 x 15 5 33%
empregado pela segurana das
informaes?
Essas responsabilidades continuam em
5.2 vigor durante um determinado perodo 5 x 15 5 33%
aps o trmino da relao de emprego?
So levadas em conta as providncias a
5.3 tomar se o empregado deixar de atender 5 x 15 5 33%
s exigncias contratuais?
289
So includas nos contratos as
responsabilidades e direitos legais do
empregado, com relao s leis de
copyright ou legislao de proteo dos
dados, a classificao e pelo tratamento
5.4 5 x 15 5 33%
dos dados sobre o empregado, as
responsabilidades que se aplicam fora das
instalaes da organizao e fora do
horrio normal de trabalho, e fora do local
de trabalho (ex.: uso de notebook)?
6 Treinamento dos usurios 30 5 17%
assegurado que os empregados estejam Assegurar que os usurios esto cientes

em condies de apoiar a poltica de das ameaas e das preocupaes de
6.1 5 x 15 5 33% segurana da informao e esto
segurana da organizao no decorrer do
equipados para apoiar a poltica de
seu trabalho normal? segurana da organizao durante a
Os usurios recebem treinamento sobre execuo normal do seu trabalho.
procedimentos de segurana e sobre o uso
6.2 correto das instalaes de processamento 5 x 15 0 0%
de informaes, a fim de minimizar os
possveis riscos de segurana?
Convm que todos os funcionrios da
Educao e treinamento em segurana das organizao e, onde for relevante,
7 30 10 33% prestadores de servios recebam
informaes treinamento apropriado e atualizaes
regulares sobre as polticas e
Todos os empregados da organizao e os procedimentos organizacionais.
usurios externos recebem treinamento
adequado e atualizaes regulares sobre
7.1 5 x 15 5 33%
as polticas e os procedimentos da
organizao, antes de terem acesso s
informaes ou aos servios?
290
So includos requisitos de segurana,

responsabilidades legais e controles
7.2 empresariais e treinamento sobre o uso 5 x 15 5 33%
correto dos equipamentos de
8 Reao a incidentes de segurana e falhas 90 75 83%
So tomadas medidas visando minimizar

os prejuzos causados por incidentes de
8.1 5 x 15 10 67%
segurana e falhas e monitorados tais
incidentes?
Os incidentes que afetarem a segurana
8.2 so comunicados o quanto antes, atravs 5 x 15 10 67%
dos canais administrativos apropriados?
Empregados e subcontratados so
informados sobre os procedimentos de Minimizar danos originados pelos
comunicao dos diversos tipos de incidentes de segurana e mau
incidentes, como violao de segurana, funcionamento, e monitorar e aprender
8.3 5 x 15 15 100% com tais incidentes.
ameaas, pontos fracos ou falhas de
funcionamento que podem ter impacto
sobre a segurana dos ativos da
organizao?
exigido que se comunique quaisquer
incidentes observados ou suspeitos, com a
8.4 5 x 15 15 100%
mxima rapidez, ao ponto de contato
designado?
estabelecido processo disciplinar formal
8.5 para lidar com empregados que cometem 5 x 15 15 100%
violaes de segurana?
So recolhidas provas o quanto antes,
8.6 5 x 15 10 67%
aps a ocorrncia de um incidente?
291
9 Comunicao de incidentes de segurana 21 11 52%
So implementados procedimentos
adequados de feedback, para assegurar Convm que os incidentes de segurana
que as pessoas que comunicaram sejam reportados atravs dos canais
9.1 2 x 6 6 100%
incidentes sejam informadas dos apropriados da direo, o mais
resultados, depois que o incidente foi rapidamente possvel.
atendido e encerrado?
Os incidentes so utilizados no
treinamento de conscientizao dos
9.2 usurios, sobre o que poderia acontecer, 5 x 15 5 33%
como reagir a tais incidentes e como evit-
los no futuro?
10 Comunicao de pontos fracos de segurana 60 15 25%
Os usurios de servios de informaes

anotam e comunicam pontos fracos de
10.1 segurana observados ou suspeitos, e 5 x 15 5 33%
quaisquer ameaas a sistemas ou Convm que os usurios dos servios de
servios? informao sejam instrudos a registrar e
Essas questes so comunicadas sua notificar quaisquer fragilidades ou
ameaas, ocorridas ou suspeitas, na
10.2 gerncia ou diretamente ao seu provedor 5 x 15 10 67%
segurana de sistemas ou servios.
de servios, com a mxima rapidez?
dito aos usurios que eles no devem,
10.3 em hiptese alguma, tentar provar um 5 x 15 0 0%
ponto fraco de que suspeitam?
informado que o teste de um ponto fraco
10.4 poderia ser interpretado como um uso 5 x 15 0 0%
abusivo potencial do sistema?
292
11 Aprendendo com os incidentes 45 20 44%
So implementados mecanismos para

permitir a quantificao e monitorao dos
11.1 5 x 15 5 33%
tipos, volumes e custos de incidentes e Convm que existam mecanismos
falhas de funcionamento? para permitir que tipos, quantidades
e custos dos incidentes e dos maus
Atravs dessas informaes, so
funcionamentos sejam quantificados
11.2 identificados incidentes ou falhas repetidas 5 x 15 5 33%
e monitorados.
ou de alto impacto?
indicada a necessidade de controles
aperfeioados ou adicionais para limitar a
freqncia, os danos e o custo de futuras
11.3 5 x 15 10 67%
ocorrncias, ou se leva em considerao
no processo de reviso da poltica de
segurana?
12 Processo disciplinar 45 30 67%
Existe um processo disciplinar formal para

empregados que violarem as polticas e
12.1 5 x 15 10 67% Convm que exista processo
procedimentos de segurana da
disciplinar formal para os
organizao e para a coleta de provas?
funcionrios que tenham violado as
Existe um procedimento que vise polticas e procedimentos de
desencorajar empregados com tendncia segurana organizacional
12.2 5 x 15 10 67%
para desrespeitar os procedimentos de
segurana?
Esse procedimento assegura um
tratamento correto e justo de empregados
12.3 5 x 15 10 67%
suspeitos de cometerem violaes de
segurana, graves ou persistentes?
PESSOAL
293
13 Situaes de emergncia 165 120 73%
Existe treinamento acerca de preveno de

13.1 5 x 15 10 67%
acidentes em todos os turnos?
Existe uma lista de telefones/endereos de
13.2 emergncia (pronto-socorro, hospitais, 5 x 15 5 33%
corpo de bombeiros, policia militar e etc)?
So realizados procedimentos destinados
13.3 5 x 15 10 67%
remoo de pessoas?
O atendimento mdico, em caso de
13.4 5 x 15 15 100%
emergncia eficiente?
Existe esquema de planto no servio de Polticas de Segurana em pessoas
13.5 5 x 15 15 100%
eletricidade? em situaes de emergncia
O pessoal treinado em outras funes
13.6 5 x 15 15 100%
(em caso de contingncia)?
Existe informao e treinamento quanto
13.7 5 x 15 0 0%
Poltica de Segurana?
Existe treinamento em situaes de
emergncia, primeiros socorros, planos de
13.8 5 x 15 10 67%
abandono, procedimento fora de
expediente.etc?
13.9 proibido fumar na sala do computador? 5 x 15 15 100%
proibido comer a beber na sala do
13.10 5 x 15 15 100%
computador?
A gerncia e a superviso inspecionam as
13.11 5 x 15 10 67%
reas em horrios alternados?
Polticas de Segurana em pessoas

14 Casos de incndio 120 75 63% em caso de incndio
294
Existem funcionrios treinados em todos
14.1 5 x 15 15 100%
os turnos?
realizado treinamento de evacuao do
14.2 5 x 15 10 67%
edifcio?
realizado treinamento acerca de
14.3 salvamento de ativos (documentos, meios 5 x 15 5 33%
magnticos)?
feita divulgao/exibio dos telefones
14.4 5 x 15 5 33%
do corpo de bombeiros?
Os vigilantes so treinados para combater
14.5 incndios que possam ocorrer fora do 5 x 15 15 100%
expediente normal?
Os funcionrios so treinados para
14.6 combater incndios que possam ocorrer na 5 x 15 10 67%
rea do computador?
mantido um relacionamento formal com
14.7 a guarnio do Corpo de Bombeiros que 5 x 15 15 100%
atende a regio?
Existem brigadas de incndio
14.8 5 x 15 0 0%
organizadas?
Poltica de Segurana em Pessoas

15 Segurana funcional 90 65 72% em relao segurana funcional
proibida (e feito um controle) a entrada

15.1 5 x 15 15 100%
de funcionrios demitidos?
feito um acompanhamento de
15.2 funcionrios descontentes ou com 5 x 15 5 33%
problemas financeiros a pessoais?
Os antecedentes de funcionrios novos
15.3 5 x 15 5 33%
so verificados?
Periodicamente so verificados os
15.4 5 x 15 15 100%
antecedentes criminais dos vigilantes?
295
Todos os funcionrios so instrudos
15.5 5 x 15 10 67%
quanto a medidas de segurana adotadas?
O sistema de admisses demisses,
entrega de senhas e materiais sigilosos:
15.6 crachs, catlogos, tabelas de preos, 5 x 15 15 100%
contratos e outros so feitos de forma
correta?
296
Segurana Organizacional
No Sim Valores
0: Ausncia total
3: Presena total
Gerenciar a segurana da informao

1 Comit de Segurana 120 40 33% na organizao.
Existem comits de administrao de

1.1 segurana da informao com lderes 5 x 15 5 33%
gerenciais?
Atualmente, so estabelecidos
1.2 contatos com especialistas externos 5 x 15 10 67%
em segurana?
Caso exista o comit, ele possui
1.3 abordagem multidisciplinar em relao 5 x 15 0 0%
segurana?
Dentre as atribuies do Comit est a
reviso e aprovao da poltica de
1.4 5 x 15 0 0%
segurana das informaes e das
responsabilidades globais?
A monitorao de mudanas
1.5 significativas na exposio dos ativos 5 x 15 10 67%
de informao feita?
A reviso e monitorao de incidentes
1.6 de segurana tem sido tratada pelo 5 x 15 5 33%
comit de forma adequada?
297
So realizadas iniciativas relevantes
1.7 para aperfeioar a segurana das 5 x 15 10 67%
informaes?
Existe um gerente responsvel por
1.8 todas as atividades relacionadas com 5 x 15 0 0%
a segurana?
A segurana da informao uma
Coordenao e Responsabilidades da Segurana responsabilidade de negcios
2 246 137 56% compartilhada por todos os membros
das Informaes
da equipe da direo.
Foram estabelecidos papis e
responsabilidades especficas para a
2.1 5 x 15 5 33%
segurana das informaes em toda a
organizao?
Foram estabelecidas metodologias e
processos especficos de segurana
2.2 das informaes, como por exemplo a 5 x 15 5 33%
avaliao de riscos e sistema de
classificao das informaes?
Foram estabelecidas e apoiadas
iniciativas de segurana das
informaes em mbito de toda a
2.3 2 x 6 2 33%
organizao, como por exemplo
programa de conscientizao de
segurana?
Atualmente, a segurana faz parte do
2.4 processo do planejamento das 5 x 15 10 67%
informaes?
avaliada a adequao e coordenada
a implementao de controles
2.5 especficos de segurana das 5 x 15 10 67%
informaes para novos sistemas ou
servios?
Os incidentes de segurana das
2.6 informaes so tratados de forma 5 x 15 5 33%
correta?
298
As responsabilidades pela proteo de
ativos individuais e pela execuo de
2.7 5 x 15 10 67%
processos especficos de segurana
esto claramente definidas?
A poltica atual fornece diretrizes
gerais sobre a atribuio de papis e
2.8 5 x 15 5 33%
responsabilidades de segurana
dentro da organizao?
O gerente de segurana da informao
assume responsabilidade global pelo
desenvolvimento e implementao da
2.9 5 x 15 5 33%
segurana e concedido apoio
identificao e implementao dos
controles?
Existe um gestor para cada ativo de
2.10 informao, que o responsvel pela 5 x 15 10 67%
sua segurana no dia-a-dia?
As reas de responsabilidade de cada
2.11 gerente que esto claramente 5 x 15 5 33%
definidas ?
Os diversos ativos e processos de
segurana associados a cada sistema
2.12 5 x 15 10 67%
individual esto identificados e
claramente definidos?
No caso do gerente responsvel por
cada ativo ou processo de segurana,
2.13 5 x 15 10 67%
os detalhes dessa responsabilidade
esto documentados?
Os nveis de autorizao esto
2.14 claramente definidos e 5 x 15 15 100%
documentados?
Atualmente, estabelecido um
processo de autorizao gerencial
2.15 5 x 15 15 100%
para as instalaes de processamento
de informaes?
299
A administrao de usurios,
2.16 autorizao, sua finalidade e utilizao 5 x 15 10 67%
so feitas de forma segura?
concedida autorizao para o uso de
2.17 equipamentos pessoais de forma 5 x 15 5 33%
criteriosa?
3 Consultoria Interna 75 45 60%
Existe um consultor interno de

3.1 5 x 15 5 33%
segurana experiente?
Essa pessoa tambm tem acesso a
consultores externos apropriados para
3.2 5 x 15 10 67%
lhe dar assistncia em assuntos fora
de sua rea de experincia? Consultoria especializada em
segurana normalmente necessria
O consultor interno tem acesso direto em diversas organizaes.
3.3 a todos os nveis de gerncia dentro 5 x 15 10 67%
da organizao?
Os casos de suspeita de incidente ou
3.4 violao de segurana so tratados de 5 x 15 10 67%
forma correta?
Investigaes internas de segurana
executadas sob o controle da
3.5 administrao podem requerer 5 x 15 10 67%
consultoria para aconselhar, liderar ou
realizar a investigao. Isso ocorre?
Convm que sejam mantidos contatos
apropriados com autoridades legais,
4 Cooperao entre Organizaes 30 10 33% organismos reguladores, provedores de
servio de informao e operadores de
telecomunicaes, de forma a garantir
300
Atualmente, so mantidos contatos telecomunicaes, de forma a garantir
com autoridades policiais, rgos que aes adequadas e apoio
reguladores, provedores de servios especializado possam ser rapidamente
de informaes e operadoras de acionados na ocorrncia de incidentes
4.1 5 x 15 5 33%
telecomunicaes para garantir a de segurana.
tomada rpida de providncias e a
obteno de orientao em caso de
um incidente de segurana?
Existe filiao a associaes de
4.2 5 x 15 5 33%
segurana ?
5 Reviso da Segurana 15 0 0%
Convm que a sua implementao seja
A implementao da poltica de analisada criticamente, de forma
segurana deve ser revista por um independente, para fornecer garantia de
rgo independente, para dar a que as prticas da organizao refletem
garantia de que as prticas apropriadamente a poltica, e que esta
5.1 5 x 15 0 0% adequada e eficiente
organizacionais refletem corretamente
a poltica e que elas so viveis e
eficazes. J foi realizada alguma
reviso na poltica atual?
Manter a segurana dos recursos de
processamento de informao e ativos
6 Acesso de Terceiros 165 90 55% de informao organizacionais
acessados por prestadores de servios.
O controle de acesso fsico de
6.1 5 x 15 10 67%
terceiros feito de forma correta?
Nos casos em que os negcios exigem
o acesso de terceiros, deve ser feita
uma avaliao de riscos para
6.2 5 x 15 5 33%
determinar as implicaes de
segurana e os requisitos de controle.
J foi desenvolvida essa anlise ?
Os controles esto acertados e
6.3 5 x 15 10 67%
definidos em contrato com o terceiro?
301
Os contratos que concedem acesso a
terceiros incluem disposies para a
6.4 designao de outros participantes 5 x 15 5 33%
qualificados e as condies para o seu
acesso?
Existem terceiros que prestam
servios a organizao e no esto
6.5 5 x 15 5 33%
localizados no site, mas podem ter
acesso fsico e lgico?
A administrao da segurana est
6.6 adequada e no est sendo colocada 5 x 15 10 67%
em risco pelo acesso de terceiros?
Existe uma poltica definida para
terceiros que ficam localizados no site
durante um determinado tempo,
definido em contrato como: pessoal de
manuteno e suporte de hardware e
6.7 software; pessoal de limpeza, 5 x 15 10 67%
fornecimento de refeies, guardas de
segurana e outros servios de
suporte terceirizados, estagirios e
outras nomeaes ocasionais em curto
prazo e consultores?
O acesso de terceiros s instalaes
de processamento de informaes da
organizao baseado em contrato
formal que contenha referncia a todos
6.8 5 x 15 5 33%
os requisitos de segurana para
assegurar a conformidade com as
polticas e normas de segurana da
organizao?
Est especificado no contrato que a
organizao receber indenizao por
6.9 parte de seu fornecedor, caso ocorra 5 x 15 10 67%
algum incidente causado por algum
funcionrio do prestador de servios?
302
Est especificado no contrato que a
organizao ter direito de monitorar e
revogar as atividades de usurio, o
6.10 direito de auditar as responsabilidades 5 x 15 10 67%
contratuais ou de fazer com que tal
auditoria seja realizada por um
terceiro?
Nos casos em que a responsabilidade
pelo processamento das informaes
6.11 foi confiada a uma organizao 5 x 15 10 67%
externa, existe a tentativa de garantir a
segurana das informaes?
303
Conformidade
No Sim Valores
0: Ausncia total
3: Presena total
1 Conformidade com exigncias legais 51 46 90%
Existe a preocupao de evitar

violaes de qualquer lei penal ou civil,
1.1 obrigaes decorrentes de estatutos, 5 x 15 15 100%
regulamentos ou contratos e quaisquer
requisitos de segurana?
Evitar violaes de leis penais ou
A organizao est sujeita a exigncias
cveis, de obrigaes decorrentes de
de segurana decorrentes de estatutos, estatutos, regulamentos ou contratos e
1.2 5 x 15 10 67%
regulamentos ou contratos. Isso de quaisquer requisitos de segurana
observado?
Existe uma consultoria sobre exigncias
legais especficas junto ao
1.3 departamento jurdico da organizao 5 x 15 15 100%
ou com advogados externos
devidamente qualificados?
So analisadas as exigncias
legislativas que variam de um Pas para
1.4 2 x 6 6 100%
outro? (fluxos de dados que
atravessam fronteiras)
304
2 Identificao da legislao aplicvel 30 30 100%
So observadas as exigncias Convm que estatutos,

relevantes impostas por lei, por rgos regulamentaes ou clusulas
contratuais relevantes sejam
2.1 reguladores ou por contrato, definidas 5 x 15 15 100%
explicitamente definidos e
explicitamente e documentadas por documentados para cada sistema de
sistema de informao? informao.
Os controles especficos e as
responsabilidades individuais pelo
2.2 5 x 15 15 100%
atendimento a estas exigncias esto
definidos e documentados?
Convm que registros importantes de

3 Preservao dos registros da organizao 174 92 53% uma organizao sejam protegidos
contra perda, destruio e falsificao.
Os registros da organizao so
3.1 protegidos contra perda, destruio e 5 x 15 5 33%
falsificao?
Os registros so arquivados de modo
3.2 seguro para atender a exigncias da lei 5 x 15 5 33%
ou de rgos reguladores?
Os registros que podem ser exigidos
para comprovar que a organizao
opera de acordo com as normas da lei
ou de rgos reguladores ou para
assegurar uma defesa adequada em um
3.3 5 x 15 5 33%
eventual processo civil ou criminal ou
para confirmar a situao financeira de
uma organizao para os seus
acionistas, scios e auditores, esto
protegidos de forma segura?
305
observado o perodo de reteno das

informaes e dos dados a serem
3.4 5 x 15 15 100%
conservados que so estabelecidos
pelas leis ou regulamentos do pas?
Registros contbeis, de bancos de
dados, de transaes, de auditoria e
3.5 5 x 15 5 33%
procedimentos operacionais so
protegidos de forma segura?
Cada tipo de registro tem exigncias
especficas quanto a perodo de
reteno e tipo de veculo de
3.6 5 x 15 10 67%
armazenagem, como: papel, microficha,
suportes magnticos ou pticos. Isso
observado?
So consideradas as possibilidades de
3.7 deteriorao dos suportes utilizados na 2 x 6 4 67%
armazenagem de registros?
Nos casos de armazenagem por meios
eletrnicos, esto inclusos os
procedimentos para assegurar a
capacidade de acessar dados -
3.8 legibilidade dos suportes fsicos como 5 x 15 10 67%
dos formatos - durante todo o perodo
de reteno, como garantia contra a
perda decorrente de futuras mudanas
de tecnologia?
Atualmente so escolhidos sistemas de
armazenagem em que os dados
necessrios possam ser recuperados de
3.9 um modo aceitvel para um tribunal? 5 x 15 5 33%
Os registros exigidos podem ser
recuperados dentro de um tempo
aceitvel e num formato aceitvel?
realizada destruio apropriada dos
registros aps a expirao de perodo,
3.10 2 x 6 6 100%
se no forem mais necessrios
organizao?
306
Existem diretrizes sobre a reteno,
3.11 armazenagem, manuseio e descarte de 2 x 6 6 100%
registros e informaes?
Existe um programa de reteno que
identifique os tipos dos registros
3.12 2 x 6 6 100%
essenciais e por quanto tempo eles
devem ser conservados?
mantido um inventrio das fontes de
3.13 5 x 15 5 33%
informaes-chave?
Foram implementados controles de
segurana apropriados para proteger
3.14 5 x 15 5 33%
registros e informaes essenciais
contra perda, destruio e falsificao?
4 Conformidade com a poltica de segurana 30 15 50%
Os gerentes podem assegurar que Convm que gestores garantam que

todos os procedimentos de segurana todos os procedimentos de segurana
4.1 5 x 15 10 67%
dentro de sua rea de responsabilidade dentro da sua rea de responsabilidade
so executados corretamente? esto sendo executados corretamente.
realizada regularmente uma reviso

em todas as reas da organizao para
4.2 5 x 15 5 33%
assegurar conformidade com as
polticas e normas de segurana?
307
APNDICE D
308
Carta de conveno da metodologia utilizada
Braslia, 15 de junho de 2004.
Referncia: Anlise de Riscos de Segurana Fsica em Conformidade com a
ISO/IEC 17799 de Segurana Fsica em Conformidade com a ISO/IEC 17799.
Conforme acordado, servimo-nos da presente para formalizar a proposta sobre a
metodologia da Anlise de Riscos de Segurana Fsica em Conformidade com a
ISO/IEC 17799, conforme abaixo detalhada, a ser efetuada nesse Departamento de
Informtica.
METODOLOGIA DO QUESTIONRIO:
Existe um questionrio para cada um dos mdulos da norma utilizados na
anlise, so eles:
Poltica de segurana
Segurana organizacional
Classificao e controle dos ativos de informao
Segurana em pessoas
Segurana fsica e do ambiente
Cada mdulo dividido em itens em subitens.
Perguntas: So feitas perguntas extradas da norma ISO/IEC 17799.
Peso: So dados pesos 0, 2 ou 5 conforme a relevncia (pesos dados pelo cliente)

309
Situao: (pontuao dada pelo cliente)
No
0: Ausncia total
Sim
2: Presena parcial
3: Presena total
Valores:
Referncia: Maior pontuao possvel, partindo do peso dado,
multiplicando-o com a situao.
Apurados: o produto do peso (0, 2 ou 5) pela situao (0,1 ,2 ou 3). O
ndice de conformidade varia de 0 a 15 (dessa forma apresentado o
ndice de conformidade do item e do subitem)
Aderncia: Percentual de aderncia do mdulo, item e subitem.
Legenda: Objetivo do item.
METODOLOGIA DA ANLISE:
Anlise on-site:
310
Fotos: so tiradas fotos de pontos relevantes como vulnerabilidades,
reas crticas, ambientes, todas as dependncias do Data Center e todos
os andares do prdio, naquilo que poderia ser de interesse da anlise.
Vistorias e levantamentos: So feitas vistorias nos ambientes para colher
informaes relevantes.
Entrevistas: So feitas entrevistas com diretores, gerentes e funcionrios
(inclusive terceirizados). utilizado um questionrio (baseado na norma
ISO/IEC 17799).
Situao Atual: apresentada a situao encontrada na empresa em
relao a Segurana da Informao, levando-se em considerao o que
pode ser mantido, o que pode ser aperfeioado e o que deve ser mudado.
Recomendaes: So feitas recomendaes de melhorias na Segurana
da Informao, de acordo com o verificado na situao atual.
Plano de Ao: So recomendaes mais profundas visando melhorias na
Segurana da Informao da empresa, que ajudam a orientar e determinar
a atuao gerencial apropriada s prioridades para o gerenciamento dos
riscos Segurana da Informao. Serve como auxlio na implementao
de controles que oferecem proteo contra os riscos identificados.
Observaes:
A anlise baseada na Norma ISO/IEC 17799.

311
A anlise atende ao Decreto Federal 3.505 e Lei 2.572 do GDF.
O objetivo da metodologia identificar as necessidades de Segurana da
Informao apropriadas para a empresa analisada.
De acordo,
_______________________
Electra
312
ANEXO A
313
Presidncia da Repblica
Casa Civil
Subchefia para Assuntos Jurdicos
DECRETO No 3.505, DE 13 DE JUNHO DE 2000.
Institui a Poltica de Segurana da

Informao nos rgos e entidades da
Administrao Pblica Federal.
O PRESIDENTE DA REPBLICA, no uso da atribuio que lhe confere o art.

o
84, inciso IV, da Constituio, e tendo em vista o disposto na Lei n 8.159, de 8 de
o
janeiro de 1991, e no Decreto n 2.910, de 29 de dezembro de 1998,
DECRETA:
o
Art. 1 Fica instituda a Poltica de Segurana da Informao nos rgos e nas
entidades da Administrao Pblica Federal, que tem como pressupostos bsicos:
I - assegurar a garantia ao direito individual e coletivo das pessoas,

inviolabilidade da sua intimidade e ao sigilo da correspondncia e das comunicaes,
nos termos previstos na Constituio;
II - proteo de assuntos que meream tratamento especial;
III - capacitao dos segmentos das tecnologias sensveis;
IV - uso soberano de mecanismos de segurana da informao, com o domnio

de tecnologias sensveis e duais;
V - criao, desenvolvimento e manuteno de mentalidade de segurana da

informao;
VI - capacitao cientfico-tecnolgica do Pas para uso da criptografia na

segurana e defesa do Estado; e
VII - conscientizao dos rgos e das entidades da Administrao Pblica

Federal sobre a importncia das informaes processadas e sobre o risco da sua
vulnerabilidade.
o
Art. 2 Para efeitos da Poltica de Segurana da Informao, ficam
estabelecidas as seguintes conceituaes:
I - Certificado de Conformidade: garantia formal de que um produto ou servio,

devidamente identificado, est em conformidade com uma norma legal;
II - Segurana da Informao: proteo dos sistemas de informao contra a

negao de servio a usurios autorizados, assim como contra a intruso, e a
modificao desautorizada de dados ou informaes, armazenados, em
processamento ou em trnsito, abrangendo, inclusive, a segurana dos recursos
humanos, da documentao e do material, das reas e instalaes das
comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter
e documentar eventuais ameaas a seu desenvolvimento.
314
o
Art. 3 So objetivos da Poltica da Informao:
I - dotar os rgos e as entidades da Administrao Pblica Federal de

instrumentos jurdicos, normativos e organizacionais que os capacitem cientfica,
tecnolgica e administrativamente a assegurar a confidencialidade, a integridade, a
autenticidade, o no-repdio e a disponibilidade dos dados e das informaes
tratadas, classificadas e sensveis;
II - eliminar a dependncia externa em relao a sistemas, equipamentos,

dispositivos e atividades vinculadas segurana dos sistemas de informao;
III - promover a capacitao de recursos humanos para o desenvolvimento de

competncia cientfico-tecnolgica em segurana da informao;
IV - estabelecer normas jurdicas necessrias efetiva implementao da

V - promover as aes necessrias implementao e manuteno da

VI - promover o intercmbio cientfico-tecnolgico entre os rgos e as

entidades da Administrao Pblica Federal e as instituies pblicas e privadas,
sobre as atividades de segurana da informao;
VII - promover a capacitao industrial do Pas com vistas sua autonomia no

desenvolvimento e na fabricao de produtos que incorporem recursos criptogrficos,
assim como estimular o setor produtivo a participar competitivamente do mercado de
bens e de servios relacionados com a segurana da informao; e
VIII - assegurar a interoperabilidade entre os sistemas de segurana da

informao.
o
Art. 4 Para os fins deste Decreto, cabe Secretaria-Executiva do Conselho de
Defesa Nacional, assessorada pelo Comit Gestor da Segurana da Informao de
o
que trata o art. 6 , adotar as seguintes diretrizes:
I - elaborar e implementar programas destinados conscientizao e

capacitao dos recursos humanos que sero utilizados na consecuo dos objetivos
de que trata o artigo anterior, visando garantir a adequada articulao entre os
rgos e as entidades da Administrao Pblica Federal;
II - estabelecer programas destinados formao e ao aprimoramento dos

recursos humanos, com vistas definio e implementao de mecanismos
capazes de fixar e fortalecer as equipes de pesquisa e desenvolvimento,
especializadas em todos os campos da segurana da informao;
III - propor regulamentao sobre matrias afetas segurana da informao

nos rgos e nas entidades da Administrao Pblica Federal;
IV - estabelecer normas relativas implementao da Poltica Nacional de

Telecomunicaes, inclusive sobre os servios prestados em telecomunicaes, para
assegurar, de modo alternativo, a permanente disponibilizao dos dados e das
informaes de interesse para a defesa nacional;
V - acompanhar, em mbito nacional e internacional, a evoluo doutrinria e

tecnolgica das atividades inerentes segurana da informao;
315
VI - orientar a conduo da Poltica de Segurana da Informao j existente ou

a ser implementada;
VII - realizar auditoria nos rgos e nas entidades da Administrao Pblica

Federal, envolvidas com a poltica de segurana da informao, no intuito de aferir o
nvel de segurana dos respectivos sistemas de informao;
VIII - estabelecer normas, padres, nveis, tipos e demais aspectos relacionados

ao emprego dos produtos que incorporem recursos critptogrficos, de modo a
assegurar a confidencialidade, a autenticidade, a integridade e o no-repdio, assim
como a interoperabilidade entre os Sistemas de Segurana da Informao;
IX - estabelecer as normas gerais para o uso e a comercializao dos recursos

criptogrficos pelos rgos e pelas entidades da Administrao Pblica Federal,
dando-se preferncia, em princpio, no emprego de tais recursos, a produtos de
origem nacional;
X - estabelecer normas, padres e demais aspectos necessrios para assegurar

a confidencialidade dos dados e das informaes, em vista da possibilidade de
deteco de emanaes eletromagnticas, inclusive as provenientes de recursos
computacionais;
XI - estabelecer as normas inerentes implantao dos instrumentos e

mecanismos necessrios emisso de certificados de conformidade no tocante aos
produtos que incorporem recursos criptogrficos;
XII - desenvolver sistema de classificao de dados e informaes, com vistas

garantia dos nveis de segurana desejados, assim como normatizao do acesso
s informaes;
XIII - estabelecer as normas relativas implementao dos Sistemas de

Segurana da Informao, com vistas a garantir a sua interoperabilidade e a
obteno dos nveis de segurana desejados, assim como assegurar a permanente
disponibilizao dos dados e das informaes de interesse para a defesa nacional; e
XIV - conceber, especificar e coordenar a implementao da infra-estrutura de

chaves pblicas a serem utilizadas pelos rgos e pelas entidades da Administrao
Pblica Federal.
o
Art. 5 Agncia Brasileira de Inteligncia - ABIN, por intermdio do Centro de
Pesquisa e Desenvolvimento para a Segurana das Comunicaes - CEPESC,
competir:
I - apoiar a Secretaria-Executiva do Conselho de Defesa Nacional no tocante a

atividades de carter cientfico e tecnolgico relacionadas segurana da
informao; e
II - integrar comits, cmaras tcnicas, permanentes ou no, assim como

equipes e grupos de estudo relacionados ao desenvolvimento das suas atribuies
de assessoramento.
o
Art. 6 Fica institudo o Comit Gestor da Segurana da Informao, com
atribuio de assessorar a Secretaria-Executiva do Conselho de Defesa Nacional na
consecuo das diretrizes da Poltica de Segurana da Informao nos rgos e nas
entidades da Administrao Pblica Federal, bem como na avaliao e anlise de
assuntos relativos aos objetivos estabelecidos neste Decreto.
316
o
Art. 7 O Comit ser integrado por um representante de cada Ministrio e
rgos a seguir indicados:
I - Ministrio da Justia;
II - Ministrio da Defesa;
III - Ministrio das Relaes Exteriores;
IV - Ministrio da Fazenda;
V - Ministrio da Previdncia e Assistncia Social;
VI - Ministrio da Sade;
VII - Ministrio do Desenvolvimento, Indstria e Comrcio Exterior;
VIII - Ministrio do Planejamento, Oramento e Gesto;
IX - Ministrio das Comunicaes;
X - Ministrio da Cincia e Tecnologia;
XI - Casa Civil da Presidncia da Repblica; e
XII - Gabinete de Segurana Institucional da Presidncia da Repblica, que o

coordenar.
o
1 Os membros do Comit Gestor sero designados pelo Chefe do Gabinete
de Segurana Institucional da Presidncia da Repblica, mediante indicao dos
titulares dos Ministrios e rgos representados.
o
2 Os membros do Comit Gestor no podero participar de processos
similares de iniciativa do setor privado, exceto nos casos por ele julgados
imprescindveis para atender aos interesses da defesa nacional e aps aprovao
pelo Gabinete de Segurana Institucional da Presidncia da Repblica.
o
3 A participao no Comit no enseja remunerao de qualquer espcie,
sendo considerada servio pblico relevante.
o
4 A organizao e o funcionamento do Comit sero dispostos em regimento
interno por ele aprovado.
o
5 Caso necessrio, o Comit Gestor poder propor a alterao de sua
composio.
o
Art. 8 Este Decreto entra em vigor na data de sua publicao.
o o
Braslia, 13 de junho de 2000; 179 da Independncia e 112 da Repblica.
FERNANDO HENRIQUE CARDOSO

Jos Gregori
Geraldo Magela da Cruz Quinto
Luiz Felipe Lampreia
Pedro Malan
Waldeck Ornlas
317
Jos Serra
Alcides Lopes Tpias
Martus Tavares
Pimenta da Veiga
Ronaldo Mota Sardenberg
Pedro Parente
Alberto Mendes Cardoso
Publicado no D.O. de 14.6.2000

318
Lei 2.572
LEI N 2.572, DE 20 DE JULHO DE 2000
Dispe sobre a preveno das entidades pblicas do Distrito Federal

com relao aos procedimentos praticados na rea de informtica.
O GOVERNADOR DO DISTRITO FEDERAL, FAO SABER QUE A

CMARA LEGISLATIVA DO DISTRITO FEDERAL DECRETA E EU
SANCIONO A SEGUINTE LEI:
CAPTULO I
DOS PRINCPIOS QUE REGULAM AS CONDIES DE SEGURANA DA
TECNOLOGIA DA INFORMAO E DE INFORMAO COMO FONTE DE
DADOS
Art. 1 As entidades pblicas do Distrito Federal devem promover a segurana da
informao, mediante a garantia da disponibilidade, integridade, confiabilidade e
legalidade das informaes que suportam os seus processos operacionais.
Art. 2 A garantia da disponibilidade deve ser de forma preventiva e abranger os
aspectos fsicos, lgicos e tcnicos.
CAPTULO II
DOS PRINCPIOS DA PROTEO PREVENTIVA DA INFORMAO
Seo I
Da Segurana Fsica
Art. 3 A proteo fsica dos equipamentos, servidores de rede, telecomunicao e
outros deve ser garantida mediante o acondicionamento em ambientes ou
compartimentos e controle de acesso adequados. Pargrafo nico. Entende-se por
ambiente adequado aquele que proteja os equipamentos crticos de informtica e
informaes vitais segundo exigncias mnimas de temperatura e umidade, ou seja,
20C e 85% de umidade relativa do ar.
Seo II
Da Segurana Lgica
Art. 4 A proteo lgica dos sistemas deve ser garantida mediante a definio dos
papis dos usurios e das regras de acesso informao, respeitados os critrios de
garantia dos direitos individuais e coletivos de privacidade e segurana de pessoas
fsicas e jurdicas.
Seo III
Da Proteo de Dados e Programas
319
Art. 5 Os padres e solues de segurana de dados de programas devem garantir

a sua proteo quanto disposio dos usurios, enquanto instalados nos servidores
de arquivos, ou nas estaes de nvel de descrio no registro dos eventos e na
preservao contra vrus de computadores. 1 A proteo de dados e programas
instalados no servidor de arquivos deve garantir padres de segurana contra
leitura, execuo, gravao, recepo e criao por parte de pessoas no
autorizadas. 2 Qualquer pessoa, fsica ou jurdica, tem o direito de interpelar o
proprietrio de redes de computadores ou provedor de servios para saber
informaes ao seu respeito e o respectivo teor. Art. 6 O acesso de terceiros, no
autorizados pelos respectivos interessados, a informaes privadas mantidas em
rede de computadores depender de prvia autorizao judicial.
CAPTULO III
DOS ASPECTOS DE RECUPERAO DA INFORMAO
Art. 7 O gerenciador e administrador de ambientes informatizados deve
providenciar anlise de risco fsico e lgico, abrangendo padres definidos para
acondicionamento de equipamentos de processamento de dados e mdias
magnticas, e identificando possveis prejuzos. Art. 8 O administrador dos
ambientes de tecnologia da informao dever desenvolver plano de contingncia.
Pargrafo nico. Os planos de contingncia devem conter as alternativas para os
processos e as fases de pr-interrupo, interrupo e ps-interrupo.
CAPTULO IV
DOS COMPORTAMENTOS IRREGULARES
Seo I
Disposies Preliminares
Art. 9 Os comportamentos discriminados nos arts. 10 a 16 desta Lei sero
apurados na forma estabelecida na Lei n 8.112, de 11 de dezembro de 1990,
quando praticados na forma abaixo: I _ com considervel prejuzo para a entidade;
II _ com intuito de lucro ou vantagem de qualquer espcie, prprio ou de terceiros;
III _ com abuso de confiana;
IV _ por motivo ftil;
V _ com o uso indevido de senha ou processo de identificao de terceiros;
VI _ com a utilizao de qualquer outro meio fraudulento.
Pargrafo nico. Aplicar-se- o disposto no caput quando os comportamentos se
verificarem em rgos ou entidades da administrao direta ou indireta da Unio,
dos Estados e do Distrito Federal, empresas concessionrias de servios pblicos,
fundaes institudas ou mantidas pelo Poder Pblico, empresas de servios sociais
autnomos, instituies financeiras ou empresas que explorem ramo de atividade
controlada pelo Poder Pblico, localizados no Distrito Federal.
320
Seo II
Da Negligncia ou Omisso de Informaes
Art. 10. Negligenciar ou omitir informaes no tratamento, guarda e manuseio dos
sistemas e redes de computadores e dados.
Seo III
Da Alterao de Dados ou Programas de Computador
Art. 11. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou
parcialmente, dados ou programas de computador, de forma indevida ou no
autorizada.
Seo IV
Do Acesso ou da Obteno Indevidos ou No Autorizados de Dados ou Instruo
de Computador
Art. 12. Obter acesso, manter ou fornecer a terceiro, dados, instruo ou qualquer
meio de identificao ou acesso a computador ou a rede de computadores, de forma
indevida ou no autorizada.
Seo V
Da Alterao de Senha ou Mecanismo de Acesso a Programa de Computador ou
Dados
Art. 13. Apagar, destruir, alterar ou de qualquer forma inutilizar senha ou qualquer
outro mecanismo de acesso a computador, programa de computador ou dados, de
forma indevida ou no autorizada.
Seo VI
Da Violao de Segredos Armazenados em Computador, Meio Eletrnico de
Natureza Magntica, ptica ou Similar
Art. 14. Obter segredos das entidades de que trata esta Lei, da indstria ou do
comrcio, ou informaes pessoais armazenadas em computador, rede de
computadores, meio eletrnico de natureza magntica, ptica ou similar, de forma
indevida ou no autorizada.
Seo VII
Da Criao, do Desenvolvimento e da Insero em Computador de Dados ou
Programa de Computador com Fins Nocivos
Art. 15. Criar, desenvolver ou inserir dados ou programa em computador ou rede
de computadores, de forma indevida ou no autorizada, com a finalidade de apagar,
destruir, inutilizar ou modificar dados ou programa de computador, ou de qualquer
forma dificultar ou impossibilitar, total ou parcialmente, a utilizao de computador
ou rede de computadores.
Seo VIII
Da Veiculao de Pornografia por Meio de Rede de Computadores
Art. 16. Disseminar servio ou informao de carter pornogrfico em rede de
computadores, sem exibir previamente, de forma facilmente visvel e destacada,
aviso sobre a sua natureza, indicando o seu contedo.
CAPTULO V
DISPOSIES FINAIS
321
Art. 17. Sero aplicadas as sanes dispostas na Lei n 8.112, de 11 de dezembro

de 1990, queles que adotarem os comportamentos definidos na presente Lei.
Art. 18. Esta Lei regula os procedimentos relativos a informtica sem prejuzo das
demais cominaes previstas em outros diplomas legais.
Art. 19. O Poder Executivo regulamentar esta Lei no prazo de trinta dias.
Art. 20. Esta Lei entra em vigor na data de sua publicao.
Art. 21. Revogam-se as disposies em contrrio.
Publicada no DODF de 21.07.2000.
322
ANEXO B
323
GLOSSRIO
Claviculrio: Chaveiro. (http://www.priberam.pt/dlpo/definir_resultados.aspx) .
Damper: So usados para proteo interna dos dutos de ventilao, impedindo
a propagao pelas aberturas nos demais ambientes.
(http://www.reffibra.com.br/Firevent.htm, 2004).
Insuflamento: Ato de insuflar; encher de ar, soprando.
(http://www.priberam.pt/dlpo/definir_resultados.aspx).
Multiplexador: Dispositivo cuja funo multiplexar sinais permitindo a sua
transmisso em um mesmo meio de transmisso. (http://www.teleco.com.br).
Risco: lat.Perigo ou possibilidade de perigo. jur. Possibilidade de perda ou
responsabilidade pelo dano. (Dicionrio Aurlio 2a Edio, p.1512).
Segurana: 1. Ato ou efeito de segurar. 2. Estado, qualidade ou condio de
seguro. 3. Condio daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza,
convico. (Dicionrio Aurlio 2a Edio, p.1563).
Sprinkler: pulverizador, regador; extintor de incndio; carro de irrigao;
vaporizador; disperso, espalhado (http://www1.uol.com.br/babylon, 2004).
Time lapse: O Time Lapse um aparelho utilizado para gravao de imagens.
um aparelho semelhante ao vdeo cassete e tem capacidade mdia de gravao de 960
horas consecutivas. (Fonte: http://www.aemp.com.br, 2004).

Salgado, Ivan Jorge Chueri.
Anlise de segurana fsica em conformidade com a
norma ISO/IEC 17799 / Ivan Jorge Chueri Salgado,
Rivanildo Sanches da Silva, Ronaldo Bandeira; Professor
orientador Reinaldo Mangialardo. Guar : [s. n.], 2004.
325 f. : il.
Monografia (Graduao em Tecnologia em

Segurana da Informao) Instituto Cientfico de
Ensino Superior e Pesquisa, 2004.
I. Ttulo. II. Mangialardo, Reinaldo.

Faculdade ICESP - 2004 - Análise de Segurana Física em Conformidade Com A Norma NBR ISO IEC 17799 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Faculdade ICESP - 2004 - Análise de Segurana Física em Conformidade Com A Norma NBR ISO IEC 17799 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

FACULDADES INTEGRADAS ICESP

CURSO DE TECNOLOGIA EM SEGURANA DA INFORMAO

IVAN JORGE CHUERI SALGADO

Anlise de Segurana Fsica em Conformidade com a Norma

Anlise de Segurana Fsica em Conformidade com a Norma

Monografia apresentada como requisito parcial, para a concluso do

Orientador: Prof. Reinaldo Mangialardo

IVAN JORGE CHUERI SALGADO

Anlise de Segurana Fsica em Conformidade com a Norma

Monografia apresentada como requisito parcial, para a concluso do

Ivan Jorge Chueri Salgado:

respeito aos limites impostos pelas necessidades acadmicas e desenvolvimento humano.

concluso desta obra.

Rivanildo Sanches da Silva:

todos estes instantes de minha vida.

Ivan Jorge Chueri Salgado:

Rivanildo Sanches da Silva:

Reinaldo Mangialardo e professora Paula pelo apoio e dedicao.

ABNT Associao Brasileira de Normas Tcnicas

Tabela 1 - Resultado estimado decorrentes da implementao do plano de ao................. 229

Segurana um termo que transmite conforto e tranqilidade a quem desfruta de

informaes, dispostas na forma fsica (em papel), eletrnica (nos meios de

transmisso ou de armazenamento) e nas pessoas. Buscar uma segurana absoluta o

universo, tornando isto praticamente impossvel. Os caminhos que possibilitam

alcanar o objetivo de tornar algo seguro resultam de esforos da comunidade,

composta por entidades pblicas e privadas em todo o mundo, que estabeleceram um

documento que padroniza, atravs de recomendaes, uma boa gesto da segurana.

Associao Brasileira de Normas Tcnicas atravs da ISO/IEC 17799-2000. A

segurana da informao estruturada por diversos componentes, entre eles a

segurana fsica. A segurana fsica auxilia e contribui essencialmente para a

segurana de informaes, e sem ela os esforos para o estabelecimento de um

ambiente lgico seguro seriam perdidos.

Palavras-chave: Segurana Fsica, ISO/IEC 17799, Poltica de segurana,

Security is a word which transmits a sense of comfort and peace to everyone.

document whose purpose is to standardize good security procedures. This document

origined the BS 7799-1995, established in Brazil by ABNT Associao Brasileira de

Keywords: Physical Security, ISO/IEC 17799, Security Policy, Security

A segurana da informao um bem diretamente relacionado aos negcios de

uma organizao. Seu principal objetivo garantir o funcionamento da organizao

frente s possibilidades de incidentes, evitando prejuzos, aumentando a produtividade,

evidenciando a reputao da organizao.

A informao pode ser encontrada sob diversas formas: escrita, eletrnica e

transmitida a informao deve ser protegida.

Segundo Moreira (2001, p.2):

[...] tecnologias e avanos tm colocado muitas empresas em uma

A comunidade internacional composta por entidades governamentais, e at

criao, em 1995, da norma como a BS 17799-1 e evoluda para a verso BS 17799 1-

deste mesmo ano. A figura abaixo mostra a evoluo.

Fonte: www.febraban.org.br/Palestras em 02/11/2004

Quando se fala em proteger um bem ou ativo de informao significa que este

possui um valor para o seu proprietrio. Os ativos de informao podem ser:

Servios: processamento de dados, comunicao e fornecimento de

Sistemas computadorizados: aplicativos, sistemas bsicos, ferramentas

Equipamentos: computadores, equipamentos de comunicao de dados,

mdias (fitas e discos), equipamentos de fornecimento de energia

Documentos: contratos, demonstraes financeiras;

Pessoas: funcionrios, terceiros e clientes;

Imagem e reputao da organizao;

Informaes: arquivos, bancos de dados, documentao de sistemas,

material de treinamento, procedimentos, Plano de Continuidade dos

Negcios, relatrios, telas, mdias, mensagens eletrnicas, registros de

dados, arquivos de dados.

Edificaes: edifcios, lojas, indstrias, depsitos, containeres, silos,