Sumário

• Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1. Prefácio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
Por: José Eduardo Campos

2. A Quem se Destina este Documento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

3. Método de Desenvolvimento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
3.a Agradecimentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
3.b Profissionais Componentes do InfoSec Council . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

4. Necessidade de Cultura de Segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

Por: Edison Fontes

5. Políticas e Normas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

Por:Valmir Schreiber

6. Aspectos Legais e Responsabilidade do Gestor de SI . . . . . . . . . . . . . . . . . . . . . . . . . . .16

Por: Renato Opice Blum

7. COBIT, ITIL, NBR 17799: os Padrões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

Por:Valmir Schreiber, Ariosto Farias Jr e Astor Calasso

8. Programas de Conscientização em SI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

Por:TC João Rufino de Sales

9. Ambientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
Por: Dionísio Campos e Ricardo Franco Coelho

10. SI Extrapolando a Organização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39

Por: Christiane Mecca

11. Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41

INFOSEC COUNCIL – 3
InfoSec Council

O InfoSec Council, criado em 2005, foi idealizado como uma reunião de Profissionais de alto nível (“C-level”)
cujas áreas de atuação implicassem no estímulo, criação, manutenção e evolução de técnicas e estratégias
voltadas à Segurança da Informação.

Nesse aspecto estão compreendidas as disciplinas de:

• Tecnologia da Informação;
• Segurança da Informação;
• Segurança Corporativa;
• Auditoria de Sistemas;
• Governança de TI;
• Recursos Humanos (voltada à Segurança e Auditoria).

Ainda que esses Profissionais exerçam suas atividades em Organizações – privadas, públicas e associativas -
sua participação se dá em caráter PESSOAL, em função de sua comprovada e reconhecida experiência nesse
exercício. Além de Profissionais atuantes em Empresas, têm assento no InfoSec as Associações de
Profissionais representativas, tais como: ISACA, ISSA, ASIS, ABSEG e ABNT.

O objetivo do InfoSec é atender as 3 Comunidades-alvo (Usuária, Provedora e Acadêmica) e, indo mais

além, contribuir e influenciar a evolução dos aspectos regulatórios da Tecnologia da Informação.

DIVULGAÇÃO
Os direitos autorais deste documento são do InfoSec Council e devem ser respeitados nos termos da Lei
9.610, de 19/02/1998, em especial quanto ao artigo 46.

É autorizada a reprodução do todo ou de suas partes para uso Acadêmico, devendo ser citada expressa-
mente sua fonte. É vedada a reprodução ou armazenamento deste documento para fins comerciais, exceto
em caso de autorização anterior, por escrito, do InfoSec Council. Nenhuma outra permissão ou direito são
concedidos em relação a este documento.

InfoSec Council
infosec.brasil@hotmail.com

INFOSEC COUNCIL – 5
1.PREFÁCIO
Durante as primeiras reuniões realizadas, o tema Conscientização do Usuário e sua participação no
processo de Segurança foi identificado por todos como um tema extremamente relevante, que afeta qual-
quer Organização independentemente do seu porte ou tipo de negócio. Considerando esse fato, foi deci-
dida a elaboração de um guia prático e conceitual reunindo experiências dos participantes do grupo e
endereçando os diversos aspectos relacionados à conscientização do Usuário.
Com a possibilidade de uma intervenção, durante o CNASI/SP 2005 foi decidido, por meio de um debate,
onde serão apresentados os aspectos a serem contemplados no documento final. Dessa forma, interagin-
do com a parcela da comunidade de segurança da informação presente no CNASI, os responsáveis pelo
desenvolvimento de cada tema poderiam obter mais subsídios para a execução da sua tarefa, além de
agregar experiências e opiniões reais da comunidade - que poderá enviar, via correio eletrônico, sugestões
e comentários sobre o debate do CNASI.
O resultado desse trabalho está materializado neste documento em forma de white-paper. O objetivo é
fornecer à Comunidade um guia e uma fonte de argumentos na contínua tarefa de mantermos nossos
Clientes, os Usuários, conscientes da importância representada pela Segurança da Informação.
De uma forma resumida, este documento descreve os principais aspectos que devem ser considerados
em um processo de formação de cultura em Segurança da Informação.
Sugestões e observações podem ser enviadas para o e-mail
infosec.brasil@hotmail.com
INFOSEC COUNCIL – 6
2. A QUEM SE DESTINA ESTE DOCUMENTO
Este trabalho é endereçado à Gerência Executiva, aos profissionais responsáveis pelos controles e pela
Informação (incluindo Gestores de SI e Gestores de TI) e aos profissionais de Auditoria, apoiando-os na
avaliação dos ambientes da Informação.
3. MÉTODO DE DESENVOLVIMENTO
As contribuições para este documento incluem diversos representantes de vários segmentos privados e
de órgãos públicos. Como tal, é uma combinação de informações e opiniões de todos os participantes
do InfoSec Council e não expressa o ponto de vista de qualquer participante individual, menos ainda das
Organizações nas quais eles trabalham.
3.a Agradecimentos
O InfoSec Council deseja agradecer às Organizações e Empresas em que os seus Membros
atuam, pelo estímulo e motivação que proporcionam aos seus Executivos.
INFOSEC COUNCIL – 7
 APOIO 3.b Profissionais componentes do Infosec Council

Ariosto Farias Jr – Delegado do Brasil do Comitê ISO IEC JTC1/SC27,

Coordenador do ABNT/CB21/SC02 e Chairman of the
Brazilian 7799 User Group

Astor Calasso – Consultor / Astor Consultoria

Christiane Mecca – CSO / Rhodia

Associações Representadas no
Infosec Council Dioniso Campos – Gerente de Segurança Corporativa / Nextel e
VP / ASIS

Edison Fontes – CSO / Gtech

Francisco Figueiredo – Supervisor de Fiscalização de TI / BaCen-Brasil

Igor Pipolo – Chairman ASIS Brasil e Chaiman da ABSEG

João Rufino de Sales – Chefe 3º CTA

Jorge Peres – CSO / GM Brasil

Mônica Orsolini – CSO / Promon

Pedro Arruda – Gerente Geral de Segurança / Petrobrás

Renato Ópice Blum – Advogado, Especialista em Direito Eletrônico

Ricardo Franco Coelho – Coordenador Segurança-SP, VP da ASIS e ABSEG

Valmir Schreiber – CSO / Banco BNP Paribas e Chairman ISACA Brasil

INFOSEC COUNCIL – 8 INFOSEC COUNCIL – 9

4. NECESSIDADE DE CULTURA DE SEGURANÇA: CULTURA SE CRIA!
A existência de um processo de formação e manutenção de cultura em SI fortalece a cadeia de valores para
alcançarmos o nível adequado de proteção.
Para que o processo de segurança da informação tenha sucesso na Organização é fundamental que o
mesmo seja suportado adequadamente pelo ambiente e pela cultura dessa Organização. A cultura é o
conjunto de valores que são seguidos por todos dentro da Organização. A descrição desses valores deve
estar formalizada por meio de políticas e outros normativos.
Quando o que está formalizado é coerente com o que é executado e seguido, a Organização é ver-
dadeira em seus conceitos. Nesse caso, a cultura da Organização facilita a implementação das regras que
devem ser seguidas por todos.
Mas o que deve ser feito para se construir essa cultura em segurança? Podemos identificar alguns passos
que facilitam essa estruturação:
a) Ter o apoio da alta administração
Criar cultura significa passar por um processo de mudança e, desta forma, o apoio da Direção é funda-
mental para que todos entendam que as ações recomendadas estão relacionadas ao negócio da
Organização e que a direção assim deseja porque tem como objetivo o sucesso e continuidade da com-
panhia.
Deve-se criar cultura não por capricho de uma área, mas sim para o bem da Organização. O apoio explí-
cito da Direção deixa claro que isto é uma decisão de negócio.
Cuidado para não interpretar de forma errada esse apoio, entendendo-o como colocar a cultura “gargan-
ta adentro”. Seu objetivo principal é mostrar a ligação com o sucesso e continuidade do negócio. Evidente
que, em alguns momentos, quando de uma inadequada rejeição da cultura, podemos lembrar ao Usuário
que a Organização funciona de uma maneira determinada e que segue suas regras. Caso ele não con-
corde com as mesmas, a Organização não deve ser um lugar adequado para ele trabalhar.
b) Formalizar os critérios básicos de que se quer implementar como cultura
As regras básicas devem ser formalizadas em regulamentos (políticas, normas e procedimentos), ser de
conhecimento de todos os Usuários e ser de fácil acesso.
INFOSEC COUNCIL – 10
Essa formalização por meio dos regulamentos deve ser assinada por uma hierarquia adequada. Por exem-
plo, se for a política de segurança para toda a organização, deve ser assinada pelo Presidente da mesma.
c) Garantir a existência de um processo de conscientização
A conscientização tem por objetivo explicar para o Usuário o que é a segurança da informação, quais são
os requisitos básicos da segurança, quais os riscos que o Usuário sofre ao utilizar a informação e que medi-
das ele deve executar para ter uma melhor proteção para a informação.
Muitas vezes a conscientização vai apenas lembrar o que as pessoas esquecem. Mas é importantíssima a
lembrança constante desses requisitos de segurança.
O processo de conscientização está bem ligado ao comportamento da pessoa. Por exemplo, é no proces-
so de conscientização que o Usuário é orientado para que não converse sobre informação confidencial
em locais públicos. É uma orientação meramente para o seu comportamento, mas, mesmo sabendo dessa
orientação, o usuário deve ser lembrado de tempos em tempos de ter esse cuidado.
d) Garantir a existência de um processo de treinamento nos procedimentos
O treinamento tem por objetivo ensinar ao Usuário alguns procedimentos que ele deve realizar quanto
ao uso da informação, normalmente, no ambiente de tecnologia. Muitas vezes o Usuário está conscienti-
zado, mas não sabe como ou o que deve fazer. Por exemplo, devemos ensiná-lo a manusear o produto
antivírus e o tratamento de mensagens do produto firewall que foi instalado em seu micro. São orien-
tações que ele precisa saber. Precisamos capacitar o Usuário a andar no mundo virtual com segurança.
e) Identificar os grupos de usuários e adequar o treinamento
Todos os Usuários devem ser conscientizados e receber treinamento de segurança da informação.
Do Presidente ao mais humilde Colaborador, bem como os Estagiários e Prestadores de serviço, todos
devem passar por esses processos.
O que podemos e devemos fazer é identificar grupos de Usuários que possuam necessidades similares e
dar o treinamento de forma direcionada a essas necessidades. Temos uma tendência de fazermos essa
classificação pelos grupos da hierarquia funcional. É uma opção e atende razoavelmente, porém, a
recomendação é para construir o treinamento pelo tipo de uso da informação. Isto é, todos que usam a
Internet devem ter um treinamento específico. Seja o Presidente ou seja o Usuário da área de Compras.
INFOSEC COUNCIL – 11
f) Estar em parceria com a área de recursos humanos
Quando falamos em pessoas temos que envolver a área de Recursos Humanos. É fator crítico de sucesso,
inclusive em relação aos processos de treinamento e conscientização - eles devem fazer parte do programa
anual da área de RH. Novos funcionários, mudanças de cargos, tratamento com terceiros e outras situações
que envolvem pessoas, o RH estará contemplando.
g) Estar em parceria com a área jurídica
Muitas vezes esquecemos de envolver a Área Jurídica no nosso processo de conscientização e treinamen-
to em segurança da informação. É fundamental que a Área Jurídica acompanhe e valide o que está for-
malizado - principalmente no que diz respeito à formalização da cultura através dos regulamentos - para
evitar que, por questões de redação de texto, tenhamos algum problema no futuro ou estejamos indo de
encontro a alguma legislação.
h) Saber que criar cultura exige tempo
Trabalhar com pessoas e processos de mudança é algo fascinante! Cada implementação é diferente,
enriquece e nos ensina. Além de tudo, mesmo nos casos mais difíceis, é possível; existe apenas uma
questão básica: exige tempo. Como numa gestação de uma criança na qual uma mulher leva cerca de
nove meses, não adianta colocar nove mulheres para termos uma gestação de um mês. "Tudo tem o seu
tempo", como está registrado no Livro de Eclesiastes da Bíblia Sagrada.
i) Tratar exceção como exceção
Vão surgir situações de exceção. Parece simples tratar exceções como exceções; mas, muitas vezes, con-
fundimo-nos e pensamos em mudar recomendações e cultura por situações específicas. Quando aconte-
cerem situações que necessariamente terão que fugir do padrão, analise-as com calma e, se forem
exceções, trate-as como exceções.
Pensar de forma estruturada a questão da cultura permitirá criar adequadamente uma cultura positiva
para a proteção da informação. Não é mágica, não é esperar que os outros façam. É preciso ser pró-ativo
e trabalhar junto às pessoas. Tenha certeza de que, como coloquei no título do meu segundo livro, em
Segurança da Informação “O Usuário faz a diferença!”
Edison Fontes, CISM, CISA
INFOSEC COUNCIL – 12
5. POLÍTICAS E NORMAS
Devemos comunicar como as pessoas devem agir para que as atitudes ade-
quadas sejam incorporadas aos hábitos individuais.
De acordo com as pesquisas e notícias, a busca por roubo de identidade é,
atualmente, o alvo que mais atrai os ataques perpetrados por hackers. É a
atividade que menos expõe o ladrão, de menor legislação específica pela
complexidade das provas, tem continuidade e é rentável a seus autores. As
descobertas dão conta de quadrilhas especializadas atuando a partir de locais
antes inimagináveis para a ocorrência de um roubo cibernético, como remo-
tas cidades no interior do País.
Além disso, a Tecnologia evoluí vertiginosamente, trazendo com ela novas
oportunidades de negócio – mas também novas vulnerabilidades: a mesma
solução que apóia a segurança pode, no momento seguinte, ser fonte de problemas, seja por ataques
externos, internos ou mesmo por ineficiência ou descontinuidade operacional.
Então, a grande questão que provoca os Gestores de Segurança é: como proporcionar às Empresas a uti-
lização da Tecnologia como alavanca de seus negócios e, ao mesmo tempo, protegê-las dos riscos ine-
rentes? E como proceder quando a tecnologia falhar?
É nesse instante que deve valer o último baluarte de defesa: a ATITUDE dos Usuários da Tecnologia!
A experiência profissional de alguns Security Officers vem pregando a fórmula 70/30: 70% de conscientização
e 30% de produtos e serviços específicos na área de SI. A própria norma ISO/IEC 17799-2005 declara, em
cada um de seus capítulos, evidências da necessidade de uma linha de divulgação da Política geral e dos
procedimentos específicos a cada serviço disponível aos Usuários. Essa comunicação significa que todos
os escalões e níveis da Corporação devem estar aderentes, do Presidente à Portaria.
Por que a conscientização é tão importante? Porque o elo mais fraco desta corrente de SI é o Usuário,
tanto no ambiente profissional - enquanto trabalha a partir da Empresa -, como no ambiente doméstico
- quando chega em sua casa. Os hackers não atacam Bancos, atacam Correntistas; não atacam Provedores,
mas sim seus Assinantes. E estes Assinantes e Correntistas são os Colaboradores da Empresa durante o
expediente.
INFOSEC COUNCIL – 13
As definições de Normas e Políticas de SI dependem do ambiente e missão da Organização. Nem mais, nem Não se deve “reinventar a roda”; não existem fórmulas inéditas ou milagrosas. As políticas devem refletir
menos. Nelas, são documentados os limites que os Funcionários e Colaboradores têm em suas atividades. a regra "Treine como fazer, faça como treinou". Exemplos estão disponíveis na Internet e oferecem uma
possibilidade única para todos nós: se todos os Gestores de Segurança cobrarem a existência, partici-
Uma política é um regulamento que descreve os requisitos básicos, que indica a filosofia da Organização. São parem da elaboração e seguirem as Normas e Políticas de Segurança da Informação nas Empresas onde
as “leis”.Todas as ações a serem realizadas pelas pessoas devem seguir e estar alinhadas a essa política. trabalham será obtido, em retorno, um padrão de Segurança uniforme e consistente no mercado.Todos
os elos estarão fortalecidos, minimizando-se o risco de falhas.
Norma é um regulamento que define como a Política será operacionalizada; orienta o que se pode fazer
dentro de uma segurança controlada. E atenção: é característica das pessoas testarem seus limites! Valmir Schreiber, CISA – presidente da ISACA-SP
Colaborou: André Pitkowski, diretor da ISACA-SP, CSO e consultor em SI
É primordial que as Normas e Políticas de Segurança, tal como o Código de Ética que os Profissionais
devem respeitar, sejam revisadas, divulgadas e conhecidas por intermédio de Intranets e de Programas de
Conscientização da Segurança da Informação. Com este processo buscamos certificar que todos os
Profissionais da Empresa tenham o conhecimento das regras e que também as levem para seus lares,
induzindo seus familiares a atuarem da mesma forma no ambiente doméstico.

Exemplos de Políticas de Segurança: acessos a sites, utilização de senhas, usos dos recursos de TI, sigilo/
confidencialidade de informações, privacidade de Clientes, nível das informações em documentos etc. São
atribuições do Comitê de Segurança da Informação.

As Normas de Segurança orientam a forma correta e segura e os meios necessários para a operação dos
processos de negócios sem expor a riscos altos o manuseio/acesso em sua forma de execução.

Um exemplo prático de Norma de Segurança é o próprio Firewall, onde as regras definidas são compara-
das com as Políticas. As Normas de Segurança são as formas de como manusear as regras no Firewall.

Além disso, todos esses regulamentos devem ser escritos em uma linguagem simples, direta e de maneira
que cada Usuário da informação os entenda. Deve ser explicitado o que é obrigatório e o que é dese-
jável/opcional. Devemos nos lembrar que, caso algo possa ser interpretado de maneira errada, será inter-
pretado de maneira errada!

Que tipo de informação? Quanto é suficiente? Com que freqüência? De que fonte? Por conta dessas dúvi-
das, as próprias Normas e Políticas devem dar subsídios para podermos atender a necessidade de for-
talecimento dos nossos Usuários. As Políticas de Segurança da Informação devem refletir as melhores
práticas do mercado, fruto do trabalho da Comunidade de Segurança, atendendo a demanda por segu-
rança da informação e, em troca, serem compartilhadas.

INFOSEC COUNCIL – 14 INFOSEC COUNCIL – 15

6. ASPECTOS LEGAIS E RESPONSABILIDADE DO GESTOR DE SI Vale ressaltar que é extremamente necessária a interligação entre o setor de auditoria e a área jurídica
para criarem um documento apto a conectar aspectos técnicos e preventivos com relação à segurança,
O gestor tem o dever de promover o processo de conscien- posto que através de tal documento será possível atribuir a devida publicação a todos os interessados,
tização e treinamento e deve seguir os padrões e as boas direta ou indiretamente, dentro da empresa.
práticas.
O documento retro mencionado é conhecido como Regulamento Interno de Segurança da Informação
As empresas têm investido muito na implementação de (RISI), que constitui um conjunto de normas e regras básicas de segurança da informação que visam pos-
tecnologias que possibilitem o desempenho mais eficaz e sibilitar o compartilhamento de informações dentro da infra-estrutura tecnológica da empresa através de
de melhor qualidade da atividade econômica escolhida. seus recursos computacionais.
Com isso, novos profissionais começaram a se estabele-
cer neste ramo da Tecnologia da Informação. A eficácia do regulamento depende da vinculação de todas as pessoas que tenham contato com a empre-
sa, tais como:
O termo informação deve ser entendido como todo o
patrimônio que se refere à cultura da empresa ou ao seu • EMPREGADOS: considerando os prepostos da empresa que mantêm vínculo empregatício (CLT);
negócio, podendo tais informações serem de caráter
comercial, técnico, financeiro, legal, de recursos humanos, ou de qualquer outra natureza, que tenham valor • PRESTADORES DE SERVIÇOS: tendo em vista os prepostos de empresas contratadas - ou autôno-
para a organização e que se encontrem ou não armazenadas em recursos computacionais da empresa, mos -, que de qualquer forma estejam alocados na prestação de algum serviço em favor da empresa por
com tráfego dentro da sua infra-estrutura tecnológica. força de contrato de prestação de serviços (sem qualquer vínculo empregatício);

Os profissionais da Tecnologia da Informação estão ligados ao complexo de atividades relacionadas às
diversas formas de utilização dos recursos proporcionados pelo computador. Como conseqüência, são
responsáveis por proporem soluções capazes de maximizar o uso das ferramentas tecnológicas, bem
como por sugerir medidas tendentes a evitar riscos dos mais diversos tipos para a empresa, seja com
relação à perda de dados, vírus, entre outros.
Estas considerações iniciais foram feitas com vistas a delimitar a atividade do gestor de segurança da infor-
mação, para que seja possível a análise da responsabilidade que poderá advir no desempenho de suas
funções.
O gestor tem o dever de promover o processo de conscientização e treinamento.
Assim, é recomendável que elabore uma espécie de relatório com a descrição da atual situação da empre-
sa, no que tange à tecnologia empregada.
A partir daí, um estudo deverá ser dirigido a este relatório para a verificação da existência de “brechas”
para problemas de cunho econômico e jurídico.
• COLABORADORES: outras pessoas como estagiários, cooperados e quaisquer terceiros que não se
enquadrem no conceito de empregado ou prestador de serviços, mas que, direta ou indiretamente,
exerçam alguma atividade dentro ou fora da empresa.
Assim, dentro do regulamento serão inseridas cláusulas relativas aos Usuários da rede; senhas e amplitude
de acesso a arquivos; controle de ameaças (vírus, hackers etc.); uso e instalação de software e hardware;
utilização de equipamentos (computadores, impressoras, notebooks, palmtops etc.); procedimentos de
acesso à Internet e ao correio eletrônico; dentre outras.
O Termo de Uso de Segurança da Informação (TUSI) também deve ser utilizado pela empresa. O TUSI
consiste em um compromisso assumido individualmente de maneira expressa por empregados, presta-
dores de serviços ou colaboradores declarando estarem subordinados ao cumprimento das atribuições
e responsabilidades advindas do RISI.
O TUSI é um documento importante, na medida em que garante a ciência das partes e poderá ser um
excelente meio de prova, já que a pessoa se compromete por escrito.

INFOSEC COUNCIL – 16 INFOSEC COUNCIL – 17

Depende do gestor a divulgação do regulamento a todos os interessados.
Como visto, o gestor deve seguir os padrões delimitados pelo documento que outorgou esta função e
estar imbuído de boas práticas; afinal, cabe a ele fiscalizar o cumprimento das normas de segurança e ela-
borar projetos para garanti-la.
Ninguém pode alegar em sua defesa o desconhecimento das normas vigentes. Portanto, o gestor deverá
estar sempre atualizado a respeito dos aspectos jurídicos que envolvem sua profissão.
É muito importante que exista este tipo de conhecimento, pois o gestor de segurança poderá ser respon-
sabilizado, civil e criminalmente, por seus atos, seja em virtude da conivência com certos comportamen-
tos, ou, ainda, por não ter agido com o cuidado e diligência do “homem médio”, nos seguintes termos:
Código Penal:
Condescendência criminosa
Art. 320 - Deixar o funcionário, por indulgência, de responsabilizar subordinado que cometeu infração
no exercício do cargo ou, quando lhe falte competência, não levar o fato ao conhecimento da autoridade
competente:
Pena - detenção, de quinze dias a um mês, ou multa.
Art. 13 - O resultado, de que depende a existência do crime, somente é imputável a quem lhe deu
causa. Considera-se causa a ação ou omissão sem a qual o resultado não teria ocorrido. (Redação dada
pela Lei nº 7.209, de 11.7.1984)
Superveniência de causa independente
§ 2º - A omissão é penalmente relevante quando o omitente devia e podia agir para evitar o resultado.
O dever de agir incumbe a quem: (Redação dada pela Lei nº. 7.209, de 11.7.1984)
a) tenha por lei obrigação de cuidado, proteção ou vigilância;
b) de outra forma, assumiu a responsabilidade de impedir o resuLtado;
c) com seu comportamento anterior, criou o risco da ocorrência do resultado.
INFOSEC COUNCIL – 18
Código Civil:
Art. 1.011. O administrador da sociedade deverá ter, no exercício de suas funções, o cuidado e a diligên-
cia que todo homem ativo e probo costuma empregar na administração de seus próprios negócios.
Art. 1.016. Os administradores respondem solidariamente perante a sociedade e os terceiros prejudi-
cados, por culpa no desempenho de suas funções. Ademais, o funcionário, em razão do cargo ou função
que ocupa, poderá tomar conhecimento de informações sigilosas, como componentes de fórmulas cri-
adas por empresas que elaborem produtos; detalhes sobre a vida de clientes que sejam partes em deman-
das judiciais; dados cadastrais de clientes; planejamento para desenvolver a atividade comercial durante o
ano; entre outras.
Por tais motivos, alguns dispositivos do Código Penal poderão incidir:
Divulgação de segredo
Art. 153 - Divulgar a alguém, sem justa causa, conteúdo de documento particular ou de correspondên-
cia confidencial de que é destinatário ou detentor e cuja divulgação possa produzir dano a outrem:
Pena - detenção de um a seis meses ou multa.
§ 1º Somente se procede mediante representação.
§ 1o-A. Divulgar, sem justa causa, informações sigilosas ou reservadas - assim definidas em lei - contidas
ou não nos sistemas de informações ou banco de dados da Administração Pública:
Pena - detenção de 1 (um) a 4 (quatro) anos e multa.
§ 2o Quando resultar prejuízo para a Administração Pública, a ação penal será incondicionada.
Art. 154 - Revelar alguém, sem justa causa, segredo de que tem ciência em razão de função, ministério,
ofício ou profissão e cuja revelação possa produzir dano a outrem:
Pena - detenção de 3 (três) meses a 1 (um) ano ou multa.
Parágrafo único - Somente se procede mediante representação.
Não obstante isso, pode acontecer de um funcionário acessar, sem a devida autorização, documentos ou
informações confidenciais de que não lhe seja permitido o conhecimento. Assim, ocorrerá o descumpri-
mento de ordens de seu empregador ou superior hierárquico, podendo o empregado ser demitido por
INFOSEC COUNCIL – 19
justa causa em virtude de ato de indisciplina ou de insubordinação (artigo 482, alínea “h” da CLT). XIV- divulga, explora ou se utiliza, sem autorização, de resultados de testes ou outros dados não divulga-
dos, cuja elaboração envolva esforço considerável e que tenham sido apresentados a entidades governa-
Ademais, pode o gestor deparar-se com casos de concorrência desleal, que são as práticas antiéticas ou mentais como condição para aprovar a comercialização de produtos.
ilegais no exercício da atividade econômica. Inclusive, o próprio administrador poderá incorrer em tais Pena - detenção de 3 (três) meses a 1 (um) ano ou multa.
práticas.
§ 1º Inclui-se nas hipóteses a que se referem os incisos XI e XII o empregador, sócio ou administrador da
Por isso, é válido apontar os casos de concorrência desleal, previstos na Lei 9.276/96, para que o gestor empresa, que incorrer nas tipificações estabelecidas nos mencionados dispositivos.
saiba reconhecer caso esteja diante de alguma das hipóteses:
§ 2º O disposto no inciso XIV não se aplica quanto à divulgação por órgão governamental competente
Art. 195. Comete crime de concorrência desleal quem: para autorizar a comercialização de produto, quando necessário, para proteger o público.
I- publica, por qualquer meio, falsa afirmação em detrimento de concorrente, com o fim de obter vantagem;
II- presta ou divulga, acerca de concorrente, falsa informação, com o fim de obter vantagem; Deve ser ressaltado que vultosas indenizações poderão ser fixadas para compensação dos danos causa-
III- emprega meio fraudulento, para desviar, em proveito próprio ou alheio, clientela de outrem; dos, tendo em vista o ato ilícito ou ilegal, sendo primordial a adoção de medidas tendentes a evitá-los,
IV- usa expressão ou sinal de propagandas alheias, ou os imita, de modo a criar confusão entre os produtos pois o sucesso de um empreendimento depende, dentre outras coisas, do grau de zelo de seus profis-
ou estabelecimentos; sionais.
V- usa, indevidamente, nome comercial, título de estabelecimento ou insígnia alheios ou vende, expõe ou
oferece à venda ou tem em estoque produto com essas referências;
VI- substitui, pelo seu próprio nome ou razão social, em produto de outrem, o nome ou razão social deste, Renato M. S. Opice Blum – advogado e economista;
sem o seu consentimento; Colaborou: Rubia Maria Ferrão - autora da monografia “Monitoramento de e-mails versus Privacidade –
VII- atribui-se, como meio de propaganda, recompensa ou distinção que não obteve; Aspectos Jurídicos Relevantes”.
VIII- vende ou expõe ou oferece à venda, em recipiente ou invólucro de outrem, produto adulterado ou
falsificado, ou dele se utiliza para negociar com produto da mesma espécie, embora não adulterado ou
falsificado, se o fato não constitui crime mais grave;
IX- dá ou promete dinheiro ou outra utilidade a empregado de concorrente, para que o empregado, fal-
tando ao dever do emprego, lhe proporcione vantagem;
X- recebe dinheiro ou outra utilidade, ou aceita promessa de paga ou recompensa, para, faltando ao dever
de empregado, proporcionar vantagem a concorrente do empregador;
XI- divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações ou dados confidenciais,
utilizáveis na indústria, comércio ou prestação de serviços, excluídos aqueles que sejam de conhecimen-
to público ou que sejam evidentes para um técnico no assunto, a que teve acesso mediante relação con-
tratual ou empregatícia, mesmo após o término do contrato;
XII- divulga, explora ou utiliza-se, sem autorização, de conhecimentos ou informações a que se refere o
inciso anterior, obtidos por meios ilícitos ou a que teve acesso mediante fraude;
XIII- vende, expõe ou oferece à venda produto, declarando ser objeto de patente depositada, ou conce-
dida, ou de desenho industrial registrado, que não o seja; ou menciona-o, em anúncio ou papel comercial,
como depositado ou patenteado, ou registrado, sem o ser;

INFOSEC COUNCIL – 20 INFOSEC COUNCIL – 21

7. COBIT, ITIL, NBR 17799: OS PADRÕES
O uso, pela Organização, de práticas comprovadas identifica que ela
está alinhada com padrões internacionais e facilitará qualquer audi-
toria ou avaliação da organização no que se refere à proteção da
informação.
O Profissional de Segurança deve desenvolver ações alinhadas
com as melhores práticas para a proteção e controle da infor-
mação. Como padrões de mercado aceitos e seguidos pela
grande maioria das organizações e governos encontram-se o
COBIT, ITIL e a Norma NBR ISO/IEC 17799.
Essas práticas recomendam a existência de processo formal de
conscientização em segurança da informação, porém, não orien-
tam como fazer essa conscientização. Então, por que devemos considerar essas práticas? Porque, de algu-
ma forma, estaremos seguindo ou respondendo questionamentos que tomam por base essas práticas.
Além disso, todas as melhores práticas enfatizam que o elo mais fraco da segurança é exatamente o ser
humano.
Precisamos estar cientes que cada uma dessas práticas tem abordagem e escopo diferentes. Neste capí-
tulo, faremos uma breve descrição de cada um desses 3 padrões e sua inter-relação com a SI.
COBIT - COMMON OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY
O COBIT é uma estrutura de relações e processos para dirigir e controlar o ambiente de TI, orientan-
do-a às metas da Organização e oferecendo métricas estruturadas com base no BSC em suas 4 perspec-
tivas: Financeira, Clientes, Processos e Inovação/Aprendizado.
Além da Auditoria de Sistemas, o COBIT é muito utilizado para a Governança de TI, seguindo padrões
para um ambiente globalizado.
Cronologia de evolução do COBIT:
• 1996: 1ª versão elaborada pela ISACF - Information Systems Audit and Control Foundation;
• 1998: 2ª versão, incluindo documentação de alto nível, controles, objetivos detalhados e
criação do Implementation Tool Set;
INFOSEC COUNCIL – 22
• 2000: 3ª versão, com o foco em Governança de TI;
• 2005: versão 4, com adequações para melhor integração com regulamentações e compliance
(Basiléia e Sarbanes-Oxley).
O COBIT não exclui qualquer padrão aceito para controles de Segurança da Informação e Auditoria; ele
os agrega às suas recomendações! Por exemplo:
• Padrões técnicos: ISO, EDIFACT etc.;
• Códigos de conduta: OECD, ISACA, Conselho Europeu etc.;
• Critérios de Qualificação para Sistemas e Processos de TI: ITSEC, TCSEC, ISO9000, SPICE,
TickIT, Common Criteria etc.;
• Padrões profissionais para Auditoria: COSO, IFAC, AICIPA, CICA, ISACA, IIA, PCIE, GAO.
O COBIT 4.0 trata TI em 4 dimensões, denominados Domínios:
• Planejar e Organizar: Implica uma visão estratégica para a Governança de TI, que busca a
melhor realização dos objetivos organizacionais na área tecnológica;
• Adquirir e Implementar: Qualifica tanto a Identificação de soluções a serem desenvolvi-
das e/ou adquiridas como a implementação e integração ao ambiente, assegurando que o
ciclo de vida destas soluções é adequado ao ambiente organizacional;
• Entregar e Suportar: Domínio responsável em verificar o tratamento de serviços deman-
dados pelos processos de Negócios, recursos para a continuidade operacional, o treinamento e
a segurança das operações. É neste domínio que se assegura a entrega de informações através
do processamento de dados dos sistemas aplicativos, bem como todo o suporte necessário para
sua operação no mal ou em situações anômalas;
• Monitorar: Administra o processo de controles da organização de TI e a garantia de inde-
pendência nas Auditorias existentes. É fundamental para avaliar contínua e regularmente a
qualidade e a conformidade dos controles implantados.
Nesses 4 domínios existem, de forma detalhada, 34 processos de controles de alto nível e para estes
processos foram criados 318 objetivos de controles necessários para analisar e atender aos requisitos de
TI e, conseqüentemente, aos objetivos do Negócio.
Como resultado de avaliação desses objetivos, criam-se as estratégias para mitigação de riscos existentes,
baseados nos resultados obtidos.
Para cada um dos 34 processos, o COBIT contempla os Fatores Críticos de Sucesso e determina os
Indicadores de Resultados (KGI) e Indicadores de Performance (KPI), que geram as métricas para a avali-
INFOSEC COUNCIL – 23
ação da Governança de TI, para Diretrizes de Auditoria e para a Segurança da Informação. Referências:
O COBIT apresenta um modelo para atestar a maturidade de cada processo em uma escala de 5 está- IT Governance Institute – COBIT 3.0 e 4.0 www.itgovernance.org e www.isaca.org
gios possíveis, sendo eles: Information System Control Journal volume 6 2005
0 – Não existe;
1 – Inicial; VALMIR SCHREIBER, CISA – presidente da ISACA-SP
2 – Repetível e intuitivo;
3 – Processos definidos;
4 – Gerenciados;
5 – Processos otimizados. ITIL – IT INFASTRUCTURE LIBRARY

Para o Security Officer, o COBIT é utilizado como um modelo para um Programa de Segurança da O ITIL é um conjunto de padrões que provê os fundamentos para o processo de gerenciamento dos
Informação, INTEGRANDO segurança com os objetivos de TI relacionados aos negócios e também recursos tecnológicos da TI. Apresenta uma abordagem prática dos processos de produção e entrega dos
estruturando Políticas, Normas e Procedimentos de Segurança da Informação. serviços, baseada em experiência. Seu foco, portanto, é no serviço prestado pela TI das Organizações,
visando aumentar a qualidade desses serviços.
Nos Processos, existem objetivos focados para SI, tais como:
DS5: Garantir a Segurança dos Sistemas; Na Gestão de Segurança, o ITIL possui um processo específico para a Segurança da Informação, enfati-
PO9: Avaliar e Gerenciar Riscos de TI; zando a importância do adequado gerenciamento da SI e considerando os SLA’s entre os processos do
DS3: Gerência de Performance e Capacidade; Negócio e os da TI. Além disso, recomenda que o gerenciamento de Segurança é parte integrante do tra-
DS7:Treinamentos a Usuários; balho de cada Gerente, em todos os níveis.
DS10: Gerência de Problemas e Incidentes;
DS12: Gerência de Ambientes (Segurança Física). FUNDAMENTOS - Valor da Informação:
• Confidencialidade;
A estratégia do COBIT 4.0 faz com que ele assuma diversas funções dentro da Organização: • Integridade;
• Uma Ferramenta: para a Governança de TI; • Disponibilidade;
• Aderência da TI ao Negócio: Requisições orientadas e fundamentadas das áreas-fim da • Privacidade;
Organização, atendendo aos objetivos estratégicos; • Anonimato;
• Garantia de Qualidade: Harmonia e detalhamento para atender aos padrões e práticas de mer- • Autenticidade;
cado, tais como: ITIL, ISO 17799, PMBOK e PRINCE2; • Não Repúdio.
• Gestão de Risco: Controles objetivos e detalhados;
• Governança Corporativa: habilita e facilita a Arquitetura empresarial (RACI–Responsible, NEGÓCIO
Accountable, Consulted and Informed);
• Procedural: Definição de fluxos e processos de TI;
• Comunicação: Unifica a linguagem e divulga os processos de TI, em todos os níveis da Organização;
• Feedback: estimula os comentários, sugestões e recomendações de evolução.
SLA

PLANEJAMENTO
TECNOLOGIA
DA SEGURANCA

INFOSEC COUNCIL – 24 INFOSEC COUNCIL – 25

ATUAÇÃO RECOMENDADA: Os Processos de Apoio são:
• SLA;
• Segurança;
Prevenção/ Ameaça • Informação;
Redução • Rede e Operações.

Como itens fundamentais para a Segurança, o ITIL recomenda fortemente alguns procedimentos que
Detecção Incidente
possibilitam essa evolução:
Repressão • Catálogo de Serviços: a TI deve publicar na Organização um descritivo de seus serviços, com
Danos as respectivas condições, que atendem a cada requisito do Negócio;
Correção
• OLA’s (Operational Level Agreement): deve ser estabelecido com cada tomador INTERNO de
Avaliação Recuperação serviço; é um SLA mais “enxuto”, mas prevendo integralmente os serviços e suas condições, inclu-
sive custos internos;

• UC’s – Underpinning Contracts: são aqueles estabelecidos com provedores externos, nos quais
devem ser previstas todas as condições, incluindo bônus, penalidades, condições de saída, etc;
O ITIL é dividido em 10 Processos Principais e 4 Processos de Apoio (satélites). Os Processos Principais
são agrupados em dois Grupos: • BD dos ativos existentes e suas configurações atualizadas, incluindo SW, HW, documentação
atualizada, Procedimentos e classificação quanto à Segurança (ver quadro “Valor da Informação”,
Grupo de Suporte aos Serviços (Service Support Set): acima);
• Gestão de Configuração e de Ativos;
• Controle de Incidentes / Help Desk; • Criação de um Service Desk como ponto focal de contato para todos os Usuários de TI; é a
• Gestão de Problemas; área “dona” de todos os incidentes e seu foco é a continuidade de serviço e manutenção do SLA;
• Gestão de Mudanças; incluem-se aí os incidentes de Segurança;
• Gestão de Liberação.
• Gestão de Problemas: nessa área são estudados os incidentes, determinando sua relação, causas
Grupo de Serviços Prestados (Service Delivery set): e medidas para evitá-los; essa abordagem permite detectar “brechas” de Segurança e deve pre-
• Gestão de Níveis de Serviço (SLA); ver forte documentação dos incidentes e soluções;
• Gestão de Disponibilidade;
• Gestão de Desempenho e Capacidade; • Gestão de Mudanças: coordena TODAS as mudanças em infra-estrutura de TI, apóia-se na do-
• Plano de Continuidade de Negócios; cumentação dos incidentes e é responsável end-to-end da mudança;
• Custeio e Gestão Financeira.
OBS: Falhas na Gestão de Mudanças são, historicamente, as causas mais freqüentes de incidentes
de Segurança.

INFOSEC COUNCIL – 26 INFOSEC COUNCIL – 27

 • Comitê de Mudanças: autoriza, avalia e aceita as mudanças necessárias; deve ter representantes
de todas as áreas (TI, Segurança e Negócio); facilita a introdução das medidas de Segurança e sua
evolução; detecta novas vulnerabilidades;
• Gestão de Liberação: seu objetivo é controlar a implantação e a distribuição de novas versões
de SW; sua ação é disparada pelo Comitê de Mudanças e controla todos os SW corretos, reco-
nhecidos, registrados, legais e autorizados; deve prever sempre uma situação de rollback em caso
de problemas.
Referências:
www.itsmf.com • www.itsmf.com.br • www.itil.com.uk • www.cert.br • www.itil.org.uk
Valmir Schreiber – presidente da ISACA-SP
Astor Calasso – diretor da ISACA-SP
A NORMA NBR ISO IEC 17799:2005
A NBR ISO IEC 17799 é um código de boas práticas para a gestão da Segurança da Informação, atua-
lizado pelo Comitê Internacional da ISO IEC.
Aprovada pela ISO (em Genebra - 15/06/2005), é o resultado de um trabalho de cinco anos, que envolve
aproximadamente 100 especialistas em SI de 35 Países.
Mais de 4500 comentários foram analisados e discutidos nas várias reuniões realizadas em Seoul, Berlin,
Varsóvia, Québec, Paris, Cingapura, Fortaleza e Viena, entre 2001 e 2005.
A nova versão apresenta os mais modernos conceitos sobre Gestão da Segurança da Informação exis-
tentes no mercado. As principais mudanças foram:
1) Tornou a norma “user friendly”, ou seja, de fácil leitura e entendimento. Apresenta o OBJETIVO DO
CONTROLE, define qual o CONTROLE a ser implementado e apresenta DIRETRIZES para a sua imple-
mentação. Além disso, ainda apresenta INFORMAÇÕES ADICIONAIS, como, por exemplo, aspectos
legais e referências a outras normas.
INFOSEC COUNCIL – 28
2) Foi criada uma seção específica sobre Análise/Avaliação e tratamento de riscos. Essa seção recomen-
da que:
a. A análise/avaliação de riscos de SI inclua um enfoque para estimar a magnitude do risco e a
comparação contra critérios definidos;
b. As análises/avaliações de riscos de SI periódicas, contemplando as mudanças nos requisitos de SI e
na situação de risco;
c. A análise/avaliação de riscos de SI tenha um escopo claramente definido, que pode ser em toda
a Organização ou em parte dela.
A análise/avaliação de riscos é uma das três fontes principais para que uma Organização identifique os
seus requisitos de SI, além de legislações vigentes, estatutos, regulamentações e cláusulas contratuais que
a Organização deva atender; e os princípios, objetivos e requisitos do negócio que venha apoiar as ope-
rações da Organização.
3) Existe uma nova definição de SI, agora contemplando outras propriedades: autenticidade, não repúdio
e confiabilidade. Os componentes principais para a preservação e proteção da informação, como a con-
fidencialidade, a integridade e a disponibilidade, foram mantidos na nova definição.
4) O conceito de ativos foi ampliado para incluir pessoas e imagem/reputação da Organização, além dos
ativos de informação, ativos de software, ativos físicos e serviços já existentes na versão 2000.
5) Uma nova seção sobre Gestão de Incidentes de SI.
6) Os controles existentes foram atualizados, melhorados e incorporados com outros controles.
7) 17 novos controles foram incorporados na versão 2005.
No Brasil, a ABNT (Associação Brasileira de Normas Técnicas) lançou no dia 24/08/2005 a versão NBR
ISO IEC 17799:2005; a partir de 2007 será numerada como NBR ISO IEC 27002.
INFOSEC COUNCIL – 29
PORQUE ADOTAR A NBR ISO IEC 17799:2005 Esta nova família estará relacionada com os requisitos mandatórios da ISO IEC 27001:2005, como, por
exemplo, a definição do escopo do Sistema de Gestão da Segurança da Informação, a avaliação de riscos,
As normas publicadas pela Organização Internacional de Normalização, a ISO, têm uma grande aceitação a identificação de ativos e a eficácia dos controles implementados.
no mercado. Um exemplo disso é a norma ISO 9001:2000, que trata da Gestão da Qualidade, conside-
rada como a mais difundida norma da ISO que existe no mundo. Na reunião do Comitê ISO IEC, em Nov/2005 (Kuala Lumpur-Malásia), foram aprovadas as seguintes nor-
mas e projetos de norma desta nova família:
No caso da NBR ISO IEC 17799, que é um Código de Boas Práticas para a Segurança da Informação, a
sua aplicação é um pouco mais restrita que a ISO 9001:2000, pois ela não é uma norma voltada para fins Número: ISO IEC NWIP 27000 (NWIP= New Work Item Proposal)
certificação. Título: Information Security Management Systems – Fundamentals and Vocabulary
Situação: Ainda nos primeiros estágios de desenvolvimento. Previsão de publicação como norma inter-
Entretanto, a NBR ISO IEC 17799 pode ser usada pela maioria dos setores da economia, pois todas as nacional: 2008/2009.
Organizações, independentemente do seu porte ou do ramo de atuação, do setor público ou privado, Aplicação: Apresentar os principais conceitos e modelos de SI.
precisam proteger as suas informações sensíveis e críticas.
Número: ISO IEC 27001:2005
As principais recomendações da NBR ISO IEC 17799 estão detalhadas nas 11 seções abaixo, totalizando Título: Information Security Management Systems - Requirements
39 categorias principais de SI: Situação: Norma aprovada e publicada pela ISO em 15/10/2005. A ABNT publicará como Norma
Brasileira NBR ISO IEC 27001 no primeiro trimestre de 2006.
• Política de Segurança da Informação; Aplicação: Todas as Organizações; define requisitos para estabelecer, implementar, operar, monitorar,
• Organizando a Segurança da Informação; revisar, manter e melhorar um SGSI. É a norma usada para fins de certificação e substitui a norma Britânica
• Gestão de Ativos; BS 7799-2:2002. Será a base para as Organizações que desejem implantar um SGSI.
• Segurança em Recursos Humanos;
• Segurança Física e do Ambiente; Número: ISO IEC 27002:2005 (Atual ISO IEC 17799)
• Gerenciamento das Operações e Comunicações; Título: Information Technology – Code of Practice for IS Management
• Controle de Acesso; Situação: Norma aprovada e publicada pela ISO em 15/06/2005. No Brasil, a ABNT publicou como
• Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; Norma Brasileira NBR ISO IEC 17799 no dia 24/08/2005. A partir de 2007, será numerada como NBR
• Gestão de Incidentes de Segurança da Informação; ISO IEC 27002.
• Gestão da Contunuidade de Negócios; Aplicação: Guia prático de diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a
• Conformidade. gestão de SI em uma Organização. Os objetivos de controle e os controles atendem aos requisitos iden-
tificados na análise/avaliação de riscos.

A NOVA FAMÍLIA DA NORMAS ISO IEC 27000
Como forma de dar suporte à implantação da ISO IEC 27001:2005, o Comitê da ISO IEC que trata da segu-
rança da informação decidiu pela criação de uma família de normas sobre Gestão da Segurança da
Informação. Esta família foi batizada pela série ISO IEC 27000, a exemplo da série ISO 9000 das normas de
qualidade e da série ISO 14000 das normas sobre meio ambiente.
Número: ISO IEC 1 st WD 27003
Título: Information Security Management Systems - Implementation Guidance
Situação: Em desenvolvimento, denominado de WD - Working Draft. Previsão de publicação como
norma internacional: 2008-2009.
Aplicação: Fornecer um guia prático para implementação de um SGSI, baseado na ISO IEC 27001.

INFOSEC COUNCIL – 30 INFOSEC COUNCIL – 31

Número: ISO IEC 2nd WD 27004
Título: Information Security Management - Measurements
Situação: Vários comentários já foram discutidos e incorporados ao projeto. Previsão de publicação
como norma internacional: 2008-2009.
Aplicação: Fornece diretrizes com relação a técnicas e procedimentos de medição para avaliar a eficá-
cia dos controles de SI implementados, dos processos de SI e do SGSI.
Número: ISO IEC 2 nd CD 27005
Título: Information Security Management Systems - Information Security Risk Management
Situação: Em estágio avançado, vem sendo discutido há mais de 2 anos. Previsão de publicação como
norma internacional: 2007.
Aplicação: Fornece diretrizes para o gerenciamento de riscos de SI.
Ariosto Farias Jr. – Delegado do Brasil do Comitê ISO IEC JTC1/SC27, Coordenador do ABNT/CB21/SC02 e
Chairman do THE BRAZILIAN 7799 USER GROUP
INFOSEC COUNCIL – 32
8. PROGRAMAS DE CONSCIENTIZAÇÃO EM SI
Qual o valor informação que você possui?
A pergunta acima é fundamental para iniciar a maioria das campanhas sobre segurança
da informação em empresas ou instituições.
Na verdade, quando falamos em segurança da informação não nos referimos apenas
a algo que pertence somente à instituição na qual realizamos o nosso trabalho.A segu-
rança da informação traz consigo um pouco de cada um de nós porque somos nós
quem produzimos a informação. Portanto, alterar as informações institucionais é o
mesmo que alterar informações pessoais, e ninguém deseja ter sua privacidade inva-
dida ou seus segredos íntimos revelados. A preservação da intimidade é algo natural
às pessoas e às sociedades humanas.
É por esse motivo que o responsável pela conscientização em relação à segurança da informação deve
iniciar seu trabalho pelas pessoas que trabalham na instituição e expandir gradativamente sua conscienti-
zação para a sociedade. Somente assim poderá atingir corações e mentes, sensibilizando-os para um tema
tão delicado e com presença tão constante na sociedade contemporânea.
Vejamos um pequeno exemplo de como fazer um trabalho de conscientização.Tomaremos como exem-
plo o relato de uma experiência sobre a utilização do e-mail coorporativo.
Certa vez, trabalhando em uma Organização pública eu precisava alertar as pessoas das vulnerabilidades
a que elas estavam expostas ou que expunham suas instituições com o simples uso do e-mail via Internet.
Então enviei, durante uma campanha de conscientização, um e-mail com o seguinte texto, que expressa a
mais pura verdade técnica:
“Você sabia que os administradores dos servidores de rede, em especial os dos servidores de e-mail, podem ler
seus e-mails com grande facilidade?”
Como podemos constatar, o e-mail acima teve por objetivo despertar no Usuário um sentimento de
invasão de privacidade, já que o fato nele relatado não é de conhecimento da maioria das pessoas que
utilizam os sistemas de correio eletrônico.
As reações ao e-mail foram diversas. A primeira veio da área de Tecnologia da Informação, que nos acusou
INFOSEC COUNCIL – 33
de quebrar a confiança do Usuário na sua área e aproveitaram a oportunidade para informar que jamais
os administradores da instituição fizeram qualquer tipo de acesso a contas particulares dos servidores. A
segunda reação veio dos Usuários, que queriam saber se realmente essa prática existia na instituição. Para
acalmar os ânimos, comunicamos que o e-mail apenas informava que era fácil aos administradores de rede
terem acesso a tudo que trafega pela sua rede de computadores, e que o alerta contido no e-mail não
significava que os mesmos estivessem fazendo isso.
Polêmica à parte, a maioria dos nossos Usuários, a partir de uma simples mensagem de e-mail, ficou bas-
tante conscientizada da necessidade de cuidar do que escrevem em suas mensagens eletrônicas, e apren-
deram que a única mensagem segura para se postar em um e-mail é aquela que em nenhuma hipótese
as comprometeriam - a qual poderia ser lida por qualquer um durante o percurso entre o emissor e o
destinatário.
a cada informação produzida uma nota que expresse o seu valor. Feito isso, verifique se algum documen-
to importante será deixado sobre a mesa após o fim da rotina diária ou mesmo numa simples saída para
o almoço.
Como poderemos verificar, é muito fácil fazer uma campanha de segurança quando buscamos envolver
nossos colaboradores e executivos de forma pessoal. Outro fator muito importante é solicitar a colabo-
ração de todos os setores da empresa. Faça uma pequena reunião com todos: jurídico, recursos humanos
e capacitação. Conscientize todos sobre a importância de sua participação para o sucesso da ação.
Você tem em mãos um assunto que está na moda. Todos nós estamos permanentemente expostos aos
riscos na sociedade moderna. Ajudar as pessoas com a sua proteção pessoal é a melhor maneira de se
criar um ambiente positivo em relação à segurança da informação no mundo corporativo.

Outro ponto interessante que pode ser tratado com facilidade diz respeito à classificação das infor- Ao compreendermos o valor das informações que estão em nossas mãos poderemos aumentar o nível
mações. Toda informação, seja ela da instituição ou pessoal, tem um valor intrínseco, mas somente algu- de segurança na sociedade, e isso só é possível pela conscientização. Lembre-se de João Batista, aquele
mas delas possuem potencial para causar prejuízo se forem disponibilizadas de maneira inadequada. personagem bíblico que falava que era a voz que clamava no deserto. O responsável pela segurança da
informação é o João Batista da instituição.
Alguns autores dizem que a diferença de uma pessoa bem sucedida e uma pessoa comum é a sua capaci-
dade de decidir e separar adequadamente o que é urgente e o que é importante. Com as informações
acontece algo bastante semelhante. O segredo do sucesso está em proteger aquelas mais importantes. TC João Rufino de Sales
Quando falamos sobre o assunto nas instituições, a maioria das pessoas pensa assim: “De novo aqueles Revisão – Marcelo Felipe Moreira Persegona M.S.C.
paranóicos da segurança querendo colocar o carimbo de secreto em todos os documentos e mandan-
do aquela cartinha dizendo que quem revelar os segredos vai para rua”. É justamente esse comporta-
mento negativo em relação a segurança que precisa ser revertido.

O assunto, como disse, é de difícil abordagem e não vale a pena para quem precisa chegar num auditório
falando sobre a importância da informação e sobre os graus de sigilo adotados pela sua instituição. Ao
invés disso, faça o seguinte: implemente um plano de visitas aos locais de trabalho de cada pessoa, do dire-
tor ao mais humilde funcionário, reúna um grupo de no máximo dez pessoas e chegue no horário em
que todos estejam envolvidos em suas atividades de rotina. Eu descobri nas minhas visitas que o único
papel que as pessoas conseguem atribuir de maneira palpável à noção de valor é ao papel moeda. Isso
mesmo, ao dinheiro. Ele é um excelente assistente para o seu trabalho de informar ao Usuário da
importância de atribuir segurança e proteção às informações.

Na maioria das vezes você vai encontrar sobre as mesas um número considerável de documentos sem
o menor tratamento de segurança, quer seja em meio físico ou digital. Sugira que cada colaborador anexe

INFOSEC COUNCIL – 34 INFOSEC COUNCIL – 35

9. AMBIENTE FÍSICO E AMBIENTE VIRTUAL: TRATAMENTOS ISOLADOS?
Transmitimos e queremos proteger a informação independente de onde ela
esteja: ambiente físico, ambiente virtual ou na mente das pessoas.
O ambiente físico deve ser contemplado no processo de conscientização
da informação do Usuário, o que é mais fácil nas empresas onde já existe
um bom tratamento das questões de segurança patrimonial. Em geral, nes-
sas empresas também já existe uma percepção clara da importância das
normas e de seu cumprimento, o que faz com que a migração dessa per-
cepção para o ambiente virtual se dê de forma natural, desde que esti-
mulada.
Importante é dar ao Usuário uma visão clara de que as informações a pro-
teger estão por toda parte, de modo que os ambientes físico e virtual não
podem ser tratados de maneira excludente ou isolada.
Com efeito, a livre circulação de informações é condição de vida e de trabalho, de acesso a tecnologias e
a métodos de produção, o que faz com que ela esteja em toda parte, por necessidade de negócios e de
organização social.
Mas a informação também é vital para a atividade criminosa contra as empresas, o que por si justifica a
conscientização do Usuário para a importância da proteção das informações nos diversos ambientes em
que ela circula.
Um programa de proteção e conscientização pode ser amparado pelo conhecimento de alguns cami-
nhos possíveis para a realização dessa proteção e pela integração dos Usuários nas medidas de proteção.
Essa proteção pode começar por um inventário das informações empresariais a serem protegidas, e aí se
incluem todas aquelas que poderão ser utilizadas em prejuízo da empresa se forem do conhecimento de
outras pessoas além das que delas necessitam para realizar seu trabalho.
Outra providência é a classificação das informações para efeito de uniformização da linguagem dentro da
empresa, além dos critérios de classificação para evitar a inclusão de informações sem maior importância,
para que não se deixe de incluir dados que, depois, se percebe que eram vitais.
INFOSEC COUNCIL – 36
A lista, que nunca se esgota, inclui planos estratégicos, tecnologia, listas de clientes, dados de funcionários,
orçamentos, dados contábeis e financeiros, idéias, projetos de marketing, planos de fusões e/ou incorpo-
rações, estratégias de relações trabalhistas, chegando até a reveses momentâneos e superáveis, mas de
impacto negativo sobre a imagem da empresa.
A proteção dessas informações, que estão entre os bens da empresa e integram seus ativos, é parte das
atividades diárias da organização como um todo. Não pode ser vista como responsabilidade de uma área
isolada, porque as informações estão no meio que as contém (papéis, disquetes, computadores etc.) e,
principalmente, na cabeça de qualquer um que delas tenha conhecimento.
Qualquer programa de proteção de informações deve, portanto, prever ações de proteção de meios e
ambientes, além de ser amparado por procedimentos e atitudes dos funcionários, sem o qual não atingirá
seus objetivos.
Algumas noções podem orientar programas de divulgação, como, por exemplo, a informação, que é de pro-
priedade da empresa e não do funcionário; a discrição, que deve orientar as atitudes de proteção; os pro-
cedimentos, que devem estar estabelecidos formalmente etc.
No ambiente físico, podem ser desenvolvidas ações de proteção sobre documentos em geral, originados da
empresa ou a ela destinados. Como regra geral, todos os documentos são importantes e são de pro-
priedade da empresa, cabendo dispensar-lhe o devido cuidado no recebimento, transporte, manuseio e guar-
da, para que possam produzir o efeito desejado.
Essa proteção deve alcançar materiais como impressos, anotações, cópias, carbonos, planos, diagramas, cro-
quis, mapas e outros, bem como partes, rascunhos ou fragmentos, além de fotos, negativos, slides, fitas de
vídeo e outros suportes de imagens, materiais gráficos das diversas fases de produção de documento clas-
sificado, materiais de informática de maneira geral, inclusive listagens.
A proteção desses documentos e materiais somente será efetiva se acompanhada da proteção dos ambi-
entes físicos em que se encontram e aqueles onde são produzidas ou discutidas as informações sensíveis,
assim como os sistemas pelos quais essas informações circulam.
Esses tópicos são complexos por tratarem da proteção contra monitoramento, transmissão ou intercep-
tação de comunicações, quer verbal, quer por telefone, fax, microondas, rádio, Internet ou o que seja, o
que exige controle sobre áreas, conhecimento técnico e equipamentos que permitam detecção de dis-
positivos, verificação constante de linhas, acompanhamento de manutenções, limpezas, entregas, retiradas
de móveis etc.
INFOSEC COUNCIL – 37
A invasão de sistemas, por seu turno, pode ocorrer por conta da habilidade do invasor, mas pode ocor-
rer também por conta de informações obtidas na própria empresa, sem maiores dificuldades, a não ser
que os Usuários internos estejam bem informados e comprometidos com a proteção.
Um Usuário não informado e não comprometido com a empresa pode fornecer informações sensíveis a
terceiros nas mais diversas situações, tais como:
• Para demonstrar que é bem informado(a);
• Compulsivamente, sob o efeito de álcool ou outras drogas;
• Em restaurantes e encontros sociais, perto de pessoas que não conhece e que podem estar ali somente
porque ele(a) está e porque sabem que costuma falar demais fora da empresa;
• Para agradar pessoas a quem deve favores ou de quem quer favores;
• Por dinheiro ou para obter vantagens;
• Por estar apaixonado(a) por pessoa cujo objetivo é a informação e que não hesita em jogar com
emoções para conseguir seu intento, para uso próprio ou a serviço de outros;
• Por estar sendo chantageado(a) etc.
A espionagem industrial é desenvolvida para obter segredos empresariais, geralmente associados ao dife-
rencial competitivo da empresa visada. Traz imensos problemas para governos, empresas, universidades,
institutos de pesquisa e outros.
Vemos, então, que é um engano a empresa não dispensar ao assunto a atenção devida; pode ser vítima
de espionagem e perder mercado, funcionários, produtos, oportunidades e imagem, sem entender o
porquê.
A proteção adequada assenta-se sobre a proteção do ambiente físico, do ambiente virtual e deve contar
com a participação consciente dos Usuários nas medidas e programas de proteção, sem a qual as diver-
sas barreiras, físicas ou virtuais, poderão ser vencidas de alguma forma.
Dioniso Campos – Gerente de Seg. Corporativa / Nextel e VP / ASIS e Ricardo Franco Coelho – Coordenador
Segurança-SP,VP da ASIS e ABSEG
INFOSEC COUNCIL – 38
10. SI EXTRAPOLANDO A ORGANIZAÇÃO
Quanto mais o Usuário praticar a segurança, mais protegida a Organização estará.
Segurança da Informação pode ser entendida como o processo de proteger informações garantindo sua inte-
gridade, disponibilidade e confidencialidade.
A adoção de um modelo corporativo de gestão de segurança da informação permite à organização equa-
cionar os desafios de proteção da informação levando em conta elementos essenciais para a segurança:
ambientes físico e lógico, pessoas e processos.
E por que não extrapolar esse modelo para fora da organização e incorporar as melhores práticas de segu-
rança em nossas vidas? A conscientização de nossas famílias no ambiente doméstico é tão importante quan-
to no ambiente corporativo.
No ambiente físico, podemos considerar o cuidado com as mídias de computador (CDs, disquetes, DVDs
etc.) onde são armazenados os backups dos computadores domésticos. O cuidado com o manuseio dos
próprios computadores seguindo padrões para instalação elétrica e cabeamento de dados, proteção contra
danos ambientais (calor, umidade, chuva etc.) e a restrição de alimentos, bebidas e fumo próximos aos
equipamentos.
O ambiente lógico traz diferentes ameaças pelo crescente aumento do uso da Internet. O indiscriminado
acesso a diferentes websites abre a possibilidade de infecção dos computadores por softwares maliciosos
como: vírus, bombas lógicas (códigos que permanecem inativos por um determinado período de tempo),
cavalos de tróia (códigos maliciosos “disfarçados” de programas inofensivos) e worms (programas que rodam
de forma independente).
Outro ponto de atenção é o acesso feito a partir de computadores domésticos a websites bancários. Nesse
caso, as boas práticas de segurança são tão importantes na empresa como em casa, pois as mais avançadas
barreiras eletrônicas de proteção conseguem bloquear a ação dos fraudadores eletrônicos.
Sem orientação adequada, o Internauta doméstico se expõe aos mais variados truques e vulnerabilidades
dos fraudadores eletrônicos, que têm como finalidade o roubo de dados bancários para efetuar transações
financeiras indevidas.
Também os sites de comércio eletrônico, amplamente acessados a partir do ambiente doméstico, merecem
atenção redobrada quando se faz uso de cartões de crédito para o pagamento de compras eletrônicas.
INFOSEC COUNCIL – 39
O elemento humano pode ser considerado fator decisivo para a implementação de boas práticas de segu-
rança fora da organização. Uma nova modalidade de ataque, chamada engenharia social, vem sendo massi-
vamente aplicada em pessoas desinformadas e ingênuas.
Os tipos mais comuns de ataques são:
• Por telefone: Uma pessoa se identifica como funcionário de uma instituição bancária solicitando a
confirmação ou recadas tramento de dados pessoais;
• Por e-mail: Uma mensagem solicitando cadastramento de dados pessoais ou informando pendên-
cias financeiras remetem o internauta a websites falsos;
• Salas de bate-papo (Chat): Os golpistas vão ganhando a confiança das vítimas até obterem seus
dados pessoais, como telefone, endereço residencial, endereço escolar etc.;
• Pessoalmente: As pessoas são abordadas geralmente por golpistas bem vestidos, educados e que
se expressam muito bem, tentando obter algum tipo de informação.
O grande problema é que muitos Internautas domésticos, independentemente da idade, estão dando seus
primeiros passos na Internet e não têm noção dos perigos existentes na “grande rede”.
Muitos provedores de acesso à Internet, e principalmente a mídia, têm dado atenção aos golpes exis-
tentes e ajudado na divulgação e prevenção.
Christiane Mecca
INFOSEC COUNCIL – 40
12. CONCLUSÃO
Por muito tempo – e ainda hoje – considerada como um “departamento” ou sim-
plesmente uma “atividade a mais” dentro da área de Infra-estrutura de TI, a
Segurança da Informação sofreu uma radical mudança em sua percepção dentro
das Organizações.
Seja pela crescente e cada vez mais complexa regulamentação emergente, que
atribui novas e pesadas responsabilidades aos Gestores das Empresas, seja pela
diferenciação exigida pelos respectivos mercados, a SI passa a ser percebida
pelo Negócio como um atributo fundamental para a consecução dos seus
objetivos estratégicos. Não mais uma restrição de acesso às informações, mas
um elemento de qualificação dos processos. Não mais como uma questão téc-
nica ou tecnológica, mas um fator que permeia toda a cadeia do Negócio e o
viabiliza.
E, principalmente, não mais uma responsabilidade exclusiva de um técnico enclausurado em uma torre
sombria, permanentemente debruçado sobre manuais e registros de incidentes, às voltas com temas
como vírus, ataques, hackers, dispositivos sensores de incidentes físicos, falta de energia, links corrompidos
etc.
A Gestão do Risco tornou-se uma questão de negócio, responsabilizando toda a hierarquia da
Organização, sendo uma preocupação que atinge desde o Board Director até o mais singelo Colaborador.
Co-responsabilidade é a palavra chave. Fundamental então se torna a ampla compreensão dessa questão.
As diversas Áreas da Organização devem cerrar fileiras em torno do tema estabelecendo verdadeiras
parcerias em que a proatividade seja a regra. Por exemplo:
• O Gestor do Negócio estabelece os requisitos básicos para a Operação;
• O Gestor Jurídico deve analisar amplamente e acompanhar o ambiente legal e fiscal, estabele-
cendo as regras de adequação e atendimento às regulamentações internas e externas;
• O Gestor Financeiro deve prover o atendimento às imposições dos Acionistas, sua expectativa
de retorno e, principalmente, de perenidade do Negócio;
• O Gestor Operacional deve propor alternativas de processos que atendam às regras de
fornecimento dos produtos e serviços;
• O Gestor de TI (CIO, CTO, Sistemas etc.) deve garantir que as boas práticas estejam presentes
em cada sistema, desde a sua concepção;
INFOSEC COUNCIL – 41
 • A Auditoria Interna, inclusive a de Sistemas, deve zelar para que as regras de negócio sejam
respeitadas e cumpridas com segurança e confiabilidade;
• O Gestor de Marketing, junto com o Gestor de RH, deve garantir que as mensagens, as
atribuições e a atitude individual esperadas (e exigidas!) de cada Colaborador sejam por ele co-
nhecidas, praticadas e sua responsabilidade seja cobrada;
• O CSO, por fim, deve observar e fazer observar todas as regras de melhor utilização da TI e
de operação dos processos criados.

No exemplo acima, pode até parecer que estão simplesmente enumeradas as funções básicas de cada
área. E é verdade! A melhor garantia de que os processos de uma Organização tenham uma boa atuação
e de que os investimentos e a sua própria reputação estejam protegidos é a colocação em prática des-
ses princípios fundamentais. Com isso, criar-se-á um ambiente em que as responsabilidades não sejam vis-
tas como fronteiras estritamente definidas, mas como uma atribuição constante e permanente; uma
questão maior que a todos envolve e afeta.

Uma prática que tem apresentado bons resultados é justamente a criação de Comitês de Segurança da
Informação, compostos por representantes de todas as áreas acima mencionadas. É uma forma de unir os
diversos interesses setoriais em torno de uma agenda comum.

Não por acaso, este tema de “Formação de Cultura em SI” foi o escolhido como o primeiro trabalho a
ser tratado pelo INFOSEC COUNCIL. Ele foi derivado exatamente dessa visão compartilhada pelos
Profissionais do Grupo, com enorme experiência no tema, de que a Cultura é o ponto primeiro de todo
o trabalho a ser desenvolvido pelos Gestores de SI das Organizações.

Pouco ou nada adiantará a Organização empregar esforços, investimentos, planejamento e dedicação à

Segurança da Informação se isso tudo não for precedido de uma verdadeira “evangelização” de toda a
Equipe em prol desse ambiente. Afinal, quando tudo falha, a única coisa que pode fazer a diferença – e faz
– é a atitude das pessoas.

Em resumo, todo o trabalho em Segurança da Informação deverá sempre compreender um trabalho de

inter-relacionamento e de uma verdadeira formação de Espírito de Equipe dentro da Organização.
O compartilhamento de objetivos e o alinhamento estratégico são fundamentais.

Essa é a base.

Astor Calasso - diretor / ISACA-SP

INFOSEC COUNCIL – 42 INFOSEC COUNCIL – 43