Análise de Segurança Física em Conformidade Com A Norma Abnt NBR Iso Iec 17799 PDF

FACULDADES INTEGRADAS ICESP
CURSO DE TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO
IVAN JORGE CHUERI SALGADO

RONALDO BANDEIRA
RIVANILDO SANCHES DA SILVA
Análise de Segurança Física em Conformidade com a Norma

ABNT NBR ISO/IEC 17799
BRASÍLIA
2004
RONALDO BANDEIRA

Monografia apresentada como requisito parcial, para a conclusão do

curso de Tecnologia em Segurança da Informação.
Orientador: Prof. Reinaldo Mangialardo
BRASÍLIA
2004
FACULDADES INTEGRADAS ICESP
CURSO DE TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO

RONALDO BANDEIRA

Monografia apresentada como requisito parcial, para a conclusão do

curso de Tecnologia em Segurança da Informação.
Aprovada por:
_________________________________________
Prof. Reinaldo Mangialardo
_________________________________________
Prof.
_________________________________________
Prof.
BRASÍLIA
2004
DEDICATÓRIA
Ivan Jorge Chueri Salgado:
Ao meu filho Rodrigo, que, com apenas 10 anos de idade, teve maturidade, sabedoria e
respeito aos limites impostos pelas necessidades acadêmicas e desenvolvimento humano.
Ronaldo Bandeira:
A meus pais e minha namorada, pela paciência, dando-me todo o apoio necessário à
conclusão desta obra.
Rivanildo Sanches da Silva:
Dedico este trabalho aos meus pais e à minha família, que sempre me apoiaram e estiveram ao
meu lado em todos os momentos e principalmente a Deus que me deu a oportunidade de viver
todos estes instantes de minha vida.

AGRADECIMENTOS
Ivan Jorge Chueri Salgado:
À Ana Maria Azevedo, pelo incentivo na minha retomada aos estudos e pela paciência diante
das dificuldades impostas pela falta de atenção e dedicação à família, e também, ao meu
amigo Ronaldo que dividiu grande parte das incertezas e dos momentos mais brilhantes desta
obra.
Ronaldo Bandeira:
Ao meu amigo Ivan, pela grande contribuição do seu conhecimento a esta obra, e pelo seu
empenho.
Rivanildo Sanches da Silva:
A Deus, aos nossos amigos que contribuíram para realização deste trabalho, aos professores
Reinaldo Mangialardo e professora Paula pelo apoio e dedicação.

LISTA DE ABREVIATURAS
ABNT – Associação Brasileira de Normas Técnicas

BS – British Standard (Padrão Britânico)
CFTV – Circuito Fechado de TV
CPD – Centro de Processamento de Dados
CPU - Unidade Central de Processamento
IEC - International Electrotechnical Commission (Comissão Eletrotécnica Internacional)
ISO – International Organization for Standardization (Organização Internacional de
Padronização)
NFPA – National Fire Protection Association (Associação Nacional de Proteção Contra
Fogo)
PCN – Plano de Continuidade de Negócio
PIN - Personal identification number (Número de identificação individual)
UPS – Uninterruptable Power Supply (Suprimento Ininterrupto de Energia)
SUMÁRIO
1 INTRODUÇÃO ........................................................................................................... 11
1.1 Justificativa .............................................................................................................. 17
1.2 Objetivos.................................................................................................................. 20
1.3 Escopo do Projeto..................................................................................................... 22
1.3.1 Descrição das áreas envolvidas ............................................................................. 22
1.4 ESTRUTURA ORGANIZACIONAL ...................................................................... 24
1.5 RECURSOS DO PROJETO ..................................................................................... 26
1.6 REFERENCIAL TEÓRICO ..................................................................................... 26
1.7 METODOLOGIA .................................................................................................... 27
2 SEGURANÇA E SEUS COMPONENTES .................................................................. 31
2.1 Política de segurança ................................................................................................ 43
2.2 Segurança organizacional ......................................................................................... 45
2.2.1 Infra-estrutura da segurança da informação........................................................... 45
2.2.2 Segurança no acesso de prestadores de serviços.................................................... 49
2.3 Classificação e controle dos ativos de informação .................................................... 51
2.4 Segurança em pessoas .............................................................................................. 53
2.5 Segurança física e do ambiente................................................................................. 58
2.5.1 Áreas de segurança ............................................................................................... 60
2.5.2 Segurança dos equipamentos ................................................................................ 67
2.5.3 Controles gerais.................................................................................................... 74
2.6 Conformidade .......................................................................................................... 76
2.6.1 Conformidade com requisitos legais ..................................................................... 76
2.7 Análise da política de segurança e da conformidade técnica ..................................... 80
2.8 Mecanismos e dispositivos de segurança .................................................................. 82
2.8.1 Infra-Estrutura do Data Center ............................................................................. 82
2.8.2 Acesso ao CPD..................................................................................................... 86
3 ESTUDO DE CASO .................................................................................................... 92
3.1 Política de segurança ................................................................................................ 92
3.1.1 Situação Atual em Relação à Política de Segurança .............................................. 92
3.1.1.1 Comitê Gestor ...................................................................................................... 92
3.1.2 Recomendações quanto à Política de Segurança.................................................... 93
3.1.3 Plano de Ação ...................................................................................................... 95
3.2 Segurança organizacional ......................................................................................... 98
3.2.1 Responsabilidades do Comitê de Segurança.......................................................... 99
3.2.2 Coordenação do Comitê de Segurança na ELECTRA ......................................... 100
3.2.3 Situação Atual em relação à Segurança Organizacional ...................................... 102
3.2.4 Recomendações quanto à Segurança Organizacional da ELECTRA ................... 104
3.2.5 Plano de Ação .................................................................................................... 106
3.3 Classificação e controle dos ativos de informação .................................................. 112
3.3.1 Classificação das informações ............................................................................ 115
3.3.2 Recomendações sobre os Ativos e Classificação das informações....................... 119
3.3.3 Plano de Ação .................................................................................................... 119
3.4 Segurança em pessoas ............................................................................................ 124
3.4.1 Terceirização...................................................................................................... 127
3.4.2 Fatores humanos................................................................................................. 129
3.4.3 Situação atual em relação à Segurança em Pessoas/Fatores Humanos ................. 135
3.4.4 Recomendações em relação à Segurança em Pessoas .......................................... 136
3.4.5 Plano de Ação .................................................................................................... 139
3.5 Segurança física e do ambiente............................................................................... 148
3.5.1 Segurança em equipamentos............................................................................... 155
3.5.2 Suprimento de energia elétrica............................................................................ 158
3.5.3 Manutenção dos equipamentos ........................................................................... 161
3.5.4 Diretrizes de proteção......................................................................................... 164
3.5.5 Situação atual do Data Center em relação à Segurança Física............................. 165
3.5.6 Recomendações de Segurança Física do Data Center ......................................... 177
3.5.6.1 Recomendações específicas da ELECTRA .......................................................... 177
3.5.6.2 Recomendações específicas do Data Center ....................................................... 179
3.5.7 Plano de Ação .................................................................................................... 191
3.6 Conformidade ........................................................................................................ 214
3.6.1 Preservação dos registros da ELECTRA ............................................................. 216
3.6.2 Situação atual em relação à Conformidade.......................................................... 220
3.6.3 Recomendações sobre a conformidade................................................................ 223
3.6.4 Plano de Ação .................................................................................................... 224
3.7 Plano de Ação Geral (Todos os Módulos Analisados)............................................. 226
4 ANÁLISE DE RESULTADOS .................................................................................. 229
5 CONCLUSÃO ........................................................................................................... 230
6 REFERÊNCIAS BIBLIOGRÁFICAS ........................................................................ 232
APÊNDICE A ................................................................................................................... 234
APÊNDICE B.................................................................................................................... 239
APÊNDICE C.................................................................................................................... 251
APÊNDICE D ................................................................................................................... 307
ANEXO A ......................................................................................................................... 312
ANEXO B ......................................................................................................................... 322
GLOSSÁRIO..................................................................................................................... 323
LISTA DE FIGURAS
Figura 1 - Evolução da Norma BS 17799 ............................................................................. 12
Figura 2 - Principais ameaças à segurança da informação..................................................... 14
Figura 3 - Principais pontos de invasão ................................................................................ 15
Figura 4 - Principais medidas de segurança já implementadas .............................................. 15
Figura 5 - Organograma Geral da ELECTRA....................................................................... 22
Figura 6 - Ciclo da Segurança da Informação ....................................................................... 39
Figura 7 - Layout atual do piso da garagem ........................................................................ 235
Figura 8 - Layout atual do piso do Data Center.................................................................. 235
Figura 9 - Layout atual do pavimento térreo ....................................................................... 236
Figura 10 - Layout atual do pavimento tipo ........................................................................ 236
Figura 11`- Sugestão de layout para o 2o. Sub-solo - Garagem........................................... 237
Figura 12 - Sugestão de layout para o 1o. Sub-solo ............................................................ 237
Figura 13 - Sugestão de layout para o pavimento Térreo .................................................... 238
Figura 14 - Sugestão de layout para o pavimento Tipo ....................................................... 238
LISTA DE TABELAS
Tabela 1 - Resultado estimado decorrentes da implementação do plano de ação................. 229

RESUMO
Segurança é um termo que transmite conforto e tranqüilidade a quem desfruta de
seu estado. O produto segurança é difícil de ser obtido quando se fala em segurança de
informações, dispostas na forma física (em papel), eletrônica (nos meios de
transmissão ou de armazenamento) e nas pessoas. Buscar uma segurança absoluta é o
objetivo maior. Entretanto, implica em controlar todas as variáveis que integram esse
universo, tornando isto praticamente impossível. Os caminhos que possibilitam
alcançar o objetivo de tornar algo seguro resultam de esforços da comunidade,
composta por entidades públicas e privadas em todo o mundo, que estabeleceram um
documento que padroniza, através de recomendações, uma boa gestão da segurança.
Este documento deu origem à BS 7799-1995, que foi instituída no Brasil pela ABNT -
Associação Brasileira de Normas Técnicas através da ISO/IEC 17799-2000. A
segurança da informação é estruturada por diversos componentes, entre eles a
segurança física. A segurança física auxilia e contribui essencialmente para a
segurança de informações, e sem ela os esforços para o estabelecimento de um
ambiente lógico seguro seriam perdidos.
Palavras-chave: Segurança Física, ISO/IEC 17799, Política de segurança,

Segurança Organizacional, Classificação e Controle dos Ativos, Segurança
em Pessoas, Segurança Física e do Ambiente, Conformidade, Controle de
Acesso, Riscos, Data Center, Sala-cofre, Integridade, Confidencialidade,
Disponibilidade e Legalidade.
ABSTRACT
Security is a word which transmits a sense of comfort and peace to everyone.
The product “Security” is much harder to obtain when it comes to Information. In this
case, there is a huge variety of products which comes in a diversity of forms: Physical
security (paper), electronic security (data transmissions and storage) and even people
security. To seek absolute security is a major goal, but it implies in controlling each
and every variable that integrate this universe; something practically impossible to
accomplish. The paths that make this major goal possible to achieve are a result of
joint efforts, both public and private throughout the world, which established a
document whose purpose is to standardize good security procedures. This document
origined the BS 7799-1995, established in Brazil by ABNT – Associação Brasileira de
Normas Técnicas through the ISO/IES 17799-2000. The safety of the information is
structured by several components. One of them, physical security, aids specifically the
information security aspect. Without it, efforts to stabelish a safe data environment
would be worthless.
Keywords: Physical Security, ISO/IEC 17799, Security Policy, Security

Organization, Asset Classification and Control, Personnel Security, Physical
and Environmental Security, Compliance, Access Control, Risks, Data
Center, IT Security Room, Integrity, Confidentiality and legality.
11
1 INTRODUÇÃO
A segurança da informação é um bem diretamente relacionado aos negócios de
uma organização. Seu principal objetivo é garantir o funcionamento da organização
frente às possibilidades de incidentes, evitando prejuízos, aumentando a produtividade,
provendo maior qualidade aos clientes e vantagens em relação aos seus competidores
evidenciando a reputação da organização.
A informação pode ser encontrada sob diversas formas: escrita, eletrônica e
impressa. Podem ser transmitidas por diferentes canais como e-mail, correio, filmes,
falada, rádio, TV etc. Seja qual for sua forma de existência ou modo pelo qual é
transmitida a informação deve ser protegida.
Segundo Moreira (2001, p.2):
[...] tecnologias e avanços têm colocado muitas empresas em uma

posição delicada em alguns casos. Problemas de origem interna e externa
têm marcado presença no dia-a-dia, principalmente nas Organizações que
não possuem Políticas de Segurança implementadas.
A comunidade internacional composta por entidades governamentais, e até
mesmo privadas, preocupadas com esta questão da segurança, iniciou, ainda de forma
isolada, propostas para tratar o assunto, principalmente nos 12 últimos anos com a
criação, em 1995, da norma como a BS 17799-1 e evoluída para a versão BS 17799 1-
2 em 1999, que passou a ser padrão mundial seguido pelas empresas e governos.
Surgiu então a norma NBR ISO/IEC 17799 em 2000, vigorando a partir de setembro
deste mesmo ano. A figura abaixo mostra a evolução.

12
Fonte: www.febraban.org.br/Palestras em 02/11/2004

Figura 1 - Evolução da Norma BS 17799
Quando se fala em proteger um bem ou ativo de informação significa que este
possui um valor para o seu proprietário. Os ativos de informação podem ser:
• Serviços: processamento de dados, comunicação e fornecimento de
energia;
• Sistemas computadorizados: aplicativos, sistemas básicos, ferramentas
de desenvolvimento;
• Equipamentos: computadores, equipamentos de comunicação de dados,
mídias (fitas e discos), equipamentos de fornecimento de energia
alternativa, cofres;
• Documentos: contratos, demonstrações financeiras;

13
• Pessoas: funcionários, terceiros e clientes;
• Imagem e reputação da organização;
• Informações: arquivos, bancos de dados, documentação de sistemas,
material de treinamento, procedimentos, Plano de Continuidade dos
Negócios, relatórios, telas, mídias, mensagens eletrônicas, registros de
dados, arquivos de dados.
• Edificações: edifícios, lojas, indústrias, depósitos, containeres, silos,
centrais geradoras, linhas de distribuição, torres, etc.
Para alcançar os objetivos propostos, a norma prevê a preservação de três
componentes básicos que são:
• Confidencialidade;
• Integridade;
• Disponibilidade.
A segurança física é um dos principais componentes da segurança da
informação, sem a qual todo o esforço despendido na proteção lógica torna-se ineficaz,
pois haveria grande possibilidade de que um incidente, incêndio, roubo, sabotagem,
interrupção do fornecimento de energia, problemas com climatização, inundação,
interrupção no abastecimento de água etc, pudessem ocorrer comprometendo a
continuidade do negócio a partir da não preservação dos três componentes básicos
citados acima.
14
Além desses pode-se citar a Legalidade como outro componente que visa o
enquadramento da organização no âmbito legal, sendo abrangido por leis federais,
estaduais, municipais e a política de segurança da organização.
Segundo Dias (2000, p.107):
A falta de controles ambientais adequados pode provocar danos aos

equipamentos, causados por desastre natural, picos de energia, descarga
elétrica de um raio, temperaturas extremas ou eletricidade estática. Pode
ainda ocorrer perda de dados devido às falhas ou falta de fornecimento de
energia. A indisponibilidade dos sistemas computacionais pode acarretar
problemas econômicos e perda de competitividade da empresa no mercado.
Estatísticas
Algumas estatísticas serão apresentadas para um melhor entendimento sobre a
importância da segurança física no contexto da segurança da informação e estão
baseados na 9a Pesquisa de Segurança da Informação – Módulo (2003) conforme
abaixo:
Figura 2 - Principais ameaças à segurança da informação

15
As Falhas na Segurança Física foram apontadas por 37% dos entrevistados como
uma das principais ameaças, mostrando que atualmente a Segurança Física faz parte
da preocupação do Security Officer.
Figura 3 - Principais pontos de invasão
A invasão Física corresponde a 6% dos principais pontos de invasão, mostrando
que a Segurança Física é tão importante quanto a lógica, pois quando indevidamente
implementada, ocasiona vulnerabilidades a empresas.
Figura 4 - Principais medidas de segurança já implementadas

16
A Segurança Física na Sala de Servidores corresponde a 63% das medidas de
segurança já implementadas. A tendência é que a implementação da Segurança Física
na Sala de Servidores ganhe mais posições neste ranking nos próximos anos.
Definição
O assunto abordado é sobre a Segurança Física, pois esta é relegada ao “segundo
escalão” da Segurança da Informação.
Delimitação
Este projeto tem como objetivo abordar um estudo e uma análise de Segurança
Física em conformidade com a Norma ISO/IEC 17799. Serão esclarecidos, em âmbito
geral, conceitos necessários para que uma empresa consiga alcançar o mais alto nível
de Segurança Física, atendendo a situações dos mais diversos gêneros com políticas
especificas de atualização tecnológica, Política de Segurança da Informação e
acompanhando as tendências do mercado.
Esclarecimentos
A organização analisada receberá o nome fictício de ELECTRA a pedido de sua
direção para preservar sua integridade e imagem junto a seus clientes e fornecedores.
Este trabalho não visa certificar a empresa analisada com a Certificação BS
7799. O objetivo é apenas fazer uma avaliação de Segurança Física, diminuindo, ao
máximo, a possibilidade de ocorrência de um incidente de Segurança Física.

17
Relacionamento com outros trabalhos
Espera-se que este trabalho possa contribuir como fonte de consulta e discussões
futuras sobre o assunto, tendo em vista a escassez de pesquisa abordando de uma
forma geral e ampla este tema em um único documento. São encontrados apenas
estudos isolados, com o foco em um ou outro tópico, não mantendo uma relação direta
com o contexto de Segurança Física em sua concepção total.
Objetivos e finalidades da pesquisa
O objetivo é identificar e classificar a situação atual de uma organização
levando-se em conta a Norma ISO/IEC 17799, em seus módulos que tratam
especificamente de Segurança Física, e propor ações que minimizem os problemas
encontrados.
1.1 Justificativa
A proteção das informações não pode se restringir apenas aos meios lógicos,
mas deve contar com um ambiente físico seguro.
Conseguir um ambiente físico seguro exige um estudo rigoroso e que considera
os aspectos comportamentais e culturais das pessoas, as características físicas do local,
a política, as normas e procedimentos internos. Além disso, devem ser considerados os
agentes externos ao perímetro da ELECTRA, considerando as suas vizinhanças mais
próximas, compondo um sistema complexo. A inexistência de uma política de

18
segurança não permite que se determinem as diretrizes, normas e os procedimentos
que apóiam as decisões da alta gerência.
O principal motivo deste trabalho é sugerir soluções de segurança física para que
os riscos existentes sejam fortemente diminuídos, já que a situação atual da segurança
é delicada.
Segundo a Módulo Security (2004, www.modulo.com.br):
O Computer Emergency Response Team (CERT/CC), centro de

pesquisas em segurança na Internet da Universidade de Carnegie Mellon,
divulgou nesta semana as estatísticas dos incidentes de segurança registrados
em 2003. O levantamento revela um aumento de cerca de 55 mil incidentes
em relação aos números obtidos em 2002.
De acordo com o estudo, em 2003 foram registrados 137.529 ataques

contra 82.094 em 2002. O CERT define "ataques" como tentativas
(frustradas ou não) de entrar em locais não autorizados.
Em relação às vulnerabilidades reportadas para o centro, o ano de

2003 apresentou uma queda no número de falhas de segurança se
compararmos com os índices de 2002 (o total caiu de 4.129 para 3.784). De
1988 até 2003, o centro de pesquisas já registrou um total de 319.992
incidentes de segurança.
Relevância
Este projeto tem relevância uma vez identificada a ausência de manutenção
evolutiva da política de segurança e também da segurança física, o que torna oportuno
o estudo de alternativas para proteção física dos principais ativos como informações,
equipamentos e pessoas, em razão da sua respectiva importância. Ainda pode-se
salientar o baixo nível de tolerância a falhas, que não permite interrupções não
planejadas no fornecimento do serviço, já que seu SLA (Service Level Agreement –
acordo de nível de serviço) exige 99,999% de disponibilidade anual
(aproximadamente 5 minutos), controle ostensivo às salas de monitoração e controle
dos serviços vitais da ELECTRA.

19
Relação Custo x Benefício
Os fatores de destaque deste trabalho em relação aos benefícios e seus
respectivos custos são:
• Tornar a monitoração e o controle sobre os acessos físicos mais efetivos,
investindo em equipamentos de vídeo, catracas e portas com sensores de
identificação individual, sensores de presença, com isso diminuindo a
equipe de vigilantes existente e conseqüentemente baixando os custos
com pessoal, possibilitando executar o controle 24 horas por dia e 365
dias por ano, sem perda de qualidade e contando com equipamentos de
baixo índice de manutenção;
• Proporcionar um ambiente mais seguro para o armazenamento,
processamento e monitoração das áreas críticas através da utilização de
dispositivos de identificação biométrica em operação conjunta aos
sistemas de identificação por senhas, diminuindo sensivelmente os riscos
e ameaças de acessos indevidos;
• Atualmente, estimam-se os custos com segurança na ordem de R$
700.000,00 e um risco calculado por indisponibilidade do serviço na
ordem de R$ 20.000.000,00 que deixariam de ser faturados por dia de
interrupção, considerando um total de 7 milhões de clientes mensalmente
a um consumo médio de R$ 85,00 por mês, conseqüente queda do
faturamento, sem se considerar as multas decorrentes do não
cumprimento da legislação vigente, de possíveis prejuízos financeiros
aos seus clientes pela ausência do serviço e danos à sua imagem;

20
• Quando implementadas as medidas recomendadas espera-se uma redução
dos custos mensais com pessoal na ordem de R$ 30.000,00 por mês,
correspondendo a 20 funcionários, e uma redução de 90% dos riscos de
interrupção decorrentes de falhas da segurança física.
Segundo Moreira, (2001, p.120), “Não existem ambientes 100% seguros. Um
nível alto de proteção pode consumir grandes somas financeiras. Dessa forma, é
necessário encontrar o equilíbrio entre o nível desejável de segurança e o orçamento
disponível.”.
1.2 Objetivos
Objetivo Geral
Executar uma análise de conformidade com a norma ABNT NBR ISO/IEC
17799 voltada a Segurança Física, propondo soluções para minimizar os riscos
identificados1.
Objetivos Específicos
• Identificar os mecanismos de controle dos acessos das pessoas às
dependências da ELECTRA;
• Identificar os fatores de layout que influenciam a segurança física das
áreas restritas;
1
Esta análise não tem como objetivo certificar a ELECTRA em relação à norma BS 7799.
21
• Identificar os fatores na infra-estrutura de suporte e monitoração que
influenciam na segurança física;
• Identificar os fatores que, decorrentes da ausência ou da inadequada
aplicação da política, normas e procedimentos que influenciam na
segurança física;
• Identificar os fatores ligados à localização geográfica que interferem na
segurança física da ELECTRA;
• Identificar os fatores relacionados às más instalações hidráulicas,
elétricas, gás, climatização, prevenção e combate a incêndio, etc, que
influenciam na segurança física da ELECTRA;
• Identificar os fatores relacionados à geração, transporte e armazenamento
físico de informações na ELECTRA, que interferem na segurança física;
• Propor correções e melhorias aos controles, processos, política,
comunicação interna, sinalização de segurança, identificação dos
funcionários, terceirizados, equipamentos proprietários e terceirizados,
etc.
22
1.3 Escopo do Projeto
1.3.1 Descrição das áreas envolvidas
Estrutura organizacional
Presidente
Diretoria Diretoria Diretoria Diretoria

RH Tecnologia Comercial Financeira
Gerência 1 Gerência 2 Gerência 3 Gerência 4 Gerência 5
Figura 5 - Organograma Geral da ELECTRA
O desenvolvimento deste projeto depende essencialmente do apoio de toda a
ELECTRA, nos seus diferentes níveis hierárquicos, partindo-se da presidência e se
dirigindo a todas as camadas inferiores.
Áreas que serão objetos de estudo
São escopo deste trabalho todas as áreas que de alguma forma contribuem para o
acesso aos ambientes críticos, que estão descritas abaixo:
• Hall de entrada do piso Térreo;

23
• Hall de entrada dos elevadores social e de serviço no piso da garagem
situado no subsolo;
• Acesso ao estacionamento interno de uso comum e carga/descarga;
• Hall de entrada dos elevadores social e de serviço dos pavimentos;
• Entradas principais dos pavimentos;
• Pavimento da cobertura;
• Outros pavimentos estratégicos que contem equipamentos de controle e
infra-estrutura;
• Salas estratégicas por conter documentos, equipamentos como
servidores, ativos de rede e gerência além e das salas da alta
administração;
• Armários, eletrocalhas, pisos elevados e quadros de luz, cabos de
transmissão de energia e dados, telefonia etc;
• Condições gerais de iluminação, conservação e limpeza dos diversos
pavimentos;
• Condições gerais dos equipamentos de combate a incêndio como
extintores, hidrantes, sprinklers (jatos de água acionados
automaticamente em caso de incêndio), detectores de fumaça, suas
respectivas distribuições considerando os diversos tipos de materiais
inflamáveis;
• Áreas de acesso comuns aos andares;

24
• Condições de acesso às saídas de emergência, sinalização e proteção
contra entrada não permitida;
• Verificação de documentação exposta e sem controle;
• Inspeção da sala de controle, das câmeras existentes, catracas/portas, com
controle de acesso por mecanismo de identificação pessoal e individual;
1.4 ESTRUTURA ORGANIZACIONAL
Modelo de Negócio
A organização analisada receberá o nome fictício de ELECTRA a pedido de sua
direção para preservar sua integridade e imagem junto a seus clientes e fornecedores.
Seu modelo de negócio se baseia no provimento dos serviços de abastecimento
de energia elétrica. A ELECTRA é a responsável pela gestão do negócio em nível
nacional.
A estrutura organizacional existende na ELECTRA é robusta e hierarquizada,
permitindo uma administração mais eficiente e atendendo as melhores práticas na
administração empresarial.
Faz parte desta estrutura hierárquica o presidente, diretores executivos, diretores
adjuntos, gerência e coordenações.

25
Estrutura de Segurança Existente
A ELECTRA conta com uma política de segurança desatualizada, criada há
cerca de 20 anos e por isso não é plenamente seguida, pois não retrata mais a situação
atual. Isto se deve à evolução tecnológica ocorrida neste período. Hoje, estão a
disposição equipamentos e dispositivos de controles para segurança física de alta
tecnologia e confiabilidade. Outro fator que contribuiu fortemente para esta situação
originou-se das mudanças arquitetônicas decorrentes das necessidades crescentes do
negócio.
A ELECTRA não dispõe de planos de segurança e o plano de contingência
encontra-se desatualizado pelos mesmos motivos apresentados acima, isto é, caso
aconteça algum incidente grave poderá ocorrer a paralisação total da ELECTRA.
Estrutura de Tecnologia
A ELECTRA possui uma estrutura robusta de processamento de dados em um
Data Center central, acessados por redes locais Ethernet 100Mb e o backbone de 1Gb.
Dentro desta estrutura existem 100 servidores plataforma Windows, 40 servidores
plataforma Linux/Unix e um Mainframe. Na matriz, as estações de trabalho estão
distribuídas em dois blocos de edifícios de 12 andares cada, As estações encontram-se
distribuídas nesses blocos e totalizam cerca de 800 equipamentos.
Existem sete filiais, cada uma com sua estrutura própria de rede, mas
convergindo suas conexões para a matriz, acessando o CPD central. Existe um backup
site fora de uso, conectado ao CPD central. O número de estações existentes nas filiais
é da ordem de 550 equipamentos sem considerar as impressoras e outros dispositivos
inteligentes de controles de acesso físico e alarme contra incêndio.

26
1.5 RECURSOS DO PROJETO
Instalações
Uma sala com dois computadores e uma impressora em rede com comunicação
externa para Internet e serviço de e-mail.
Softwares necessários
Editor de textos, planilha de cálculo, browser de apresentação.
Recursos humanos
• Um engenheiro civil;
• Um engenheiro de segurança do trabalho;
1.6 REFERENCIAL TEÓRICO
Para o desenvolvimento deste trabalho serão utilizadas:
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Código de Prática
para a Gestão da Segurança da Informação. NBR ISO/IEC 17799:São Paulo,2001.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Critérios de
Segurança Física Relativos ao Armazenamento de dados. NB 1334:1990.

27
DECRETO FEDERAL 3.505, de 13 DE JUNHO DE 2000.
LEI 2.572, DE 20 DE JULHO DE 2000.
PLANILHA DE LEVANTAMENTO DOS PONTOS RELAVANTES DE
SEGURANÇA FÍSICA.
1.7 METODOLOGIA
Questionário (APÊNDICE C)
Existe um questionário para cada um dos módulos da norma utilizados na
análise:
• Política de segurança
• Segurança organizacional
• Classificação e controle dos ativos de informação
• Segurança em pessoas
• Segurança física e do ambiente
• Cada módulo é dividido em itens em subitens.
As perguntas são baseadas da norma ISO/IEC 17799.
Definição dos parâmetros da avaliação:

28
• Cada item avaliado recebe uma ponderação que foi acordada juntamente
com a ELECTRA, sendo:
• 0 (zero) sem importância;
• 2 (dois) média importância;
• 5 (cinco) muito importante.
A situação atual de cada item é classificada conforme o critério abaixo, que foi
acordado com a ELECTRA:
• Não atende
• 0 (zero) Ausência total
• 1 (um) Presença inexpressiva
• Sim atende
• 2 (dois) Presença parcial
• 3 (três) Presença total
O cálculo é feito item a item através do produto do peso do item por sua
pontuação de presença. Os totais dos itens são somados para compor subtotal do ponto
analisado. Estes subtotais são somados e farão a composição da aderência geral do
módulo analisado.
Os percentuais são calculados levando-se em conta os máximos pontos de cada
item, que são totalizados conforme descrito acima.

29
Descrição dos campos da planilha:
• Valores de Referência: Maior pontuação possível, resultado da operação
do produto dos máximos valores da situação e peso;
• Valores Apurados: É o resultado do produto dos valores da situação e o
peso onde estiver demarcado;
• Aderência: Percentual de aderência do módulo, item e subitem.
• Legenda: Objetivo do item.
Metodologia da análise
Análise on-site:
• Fotos (APÊNDICE B): são tiradas fotos de pontos relevantes como
vulnerabilidades, áreas críticas, ambientes, todas as dependências do
Data Center e todos os andares do prédio, naquilo que poderia ser de
interesse da análise.
• Vistorias e levantamentos: São feitas vistorias nos ambientes para colher
informações relevantes.
• Entrevistas: São feitas entrevistas com diretores, gerentes e funcionários
(inclusive terceirizados). É utilizado um questionário (baseado na norma
ISO/IEC 17799).
30
Situação Atual: é apresentada a situação encontrada na empresa em relação a
Segurança da Informação, levando-se em consideração o que pode ser mantido, o que
pode ser aperfeiçoado e o que deve ser mudado.
Recomendações: São feitas recomendações de melhorias na Segurança da
Informação, de acordo com o verificado na situação atual.
Plano de Ação: São recomendações mais profundas visando melhorias na
Segurança da Informação da empresa, que ajudam a orientar e determinar a atuação
gerencial apropriada às prioridades para o gerenciamento dos riscos à Segurança da
Informação. Serve como auxílio na implementação de controles que oferecem
proteção contra os riscos identificados.
Observações:
• A análise é baseada na Norma ISO/IEC 17799.
• A análise atende ao Decreto Federal 3.505 e à Lei 2.572 do GDF.
• O objetivo da metodologia é identificar as necessidades de Segurança da
Informação apropriadas para a empresa analisada.

31
2 SEGURANÇA E SEUS COMPONENTES
Segurança da informação
O termo Segurança da Informação é muito abrangente e requer uma definição
para o seu correto entendimento, permitindo estabelecer o escopo do desenvolvimento
desta obra.
Segundo a NBR ISO/IEC 17799 (2000, p.1):
A informação é um ativo que, como qualquer outro ativo importante

para os negócios, tem um valor para a organização e conseqüentemente
necessita ser adequadamente protegida. A segurança da informação protege
a informação de diversos tipos de ameaças para garantir a continuidade dos
negócios, minimizar os danos aos negócios e maximizar o retorno dos
investimentos e as oportunidades de negócio. A informação pode existir em
muitas formas. Ela pode ser impressa ou escrita em papel, armazenada
eletronicamente, transmitida pelo correio ou através de meios eletrônicos,
mostrada em filmes ou falada em conversas. Seja qual for a forma
apresentada ou o meio através do qual a informação é compartilhada ou
armazenada, é recomendado que ela seja sempre protegida adequadamente.
A segurança da informação é aqui caracterizada pela preservação de:
a) confidencialidade: garantia de que a informação é acessível

somente por pessoas autorizadas a terem acesso;
b) integridade: salvaguarda da exatidão e completeza da informação e

dos métodos de processamento;
c) disponibilidade: garantia de que os usuários autorizados obtenham

acesso à informação e aos ativos correspondentes sempre que necessário.
Segurança da informação é obtida a partir da implementação de uma

série de controles, que podem ser políticas, práticas, procedimentos,
estruturas organizacionais e funções de software. Estes controles precisam
ser estabelecidos para garantir que os objetivos de segurança específicos da
organização sejam atendidos.
Todo projeto de Segurança de Informações procura abranger “pelo

menos” os processos mais críticos do negócio em questão.
32
O resultado esperado de um trabalho como este é, sem dúvida, que no

mínimo todos os investimentos efetuados devam conduzir para: Redução da
probabilidade de ocorrência de incidentes de segurança; Redução dos
danos/perdas causados por incidentes de segurança; Recuperação dos danos
em caso de desastre/incidente.
O objetivo da segurança, no que tange à informação, é a busca da

disponibilidade, confidencialidade e integridade dos seus recursos e da
própria informação.
Portanto, a segurança da informação tem como objetivo principal proteger a
informação frente aos diversos tipos de ameaças. Para tanto, é necessário que sejam
definidos os ativos mais críticos a serem protegidos possibilitando a continuidade dos
negócios com o menor número de interferências e interrupções possível garantindo a
qualidade do produto ou serviço ofertado dentro dos prazos acordados com seus
clientes, refletindo positiva e diretamente na boa imagem da ELECTRA frente a seus
clientes.
A segurança da informação, segundo a NBR ISO/IEC 17799 (2000, p.1), em
seus capítulos, presume a implementação de segurança de forma distinta conforme os
capítulos abaixo:
• 3. Política de Segurança;
• 4. Segurança Organizacional;
• 5. Classificação e controle dos ativos de informação;
• 6. Segurança em pessoas;
• 7. Segurança Física e do ambiente;
• 8. Gerenciamento das operações e comunicações;

33
• 9. Controle de acesso;
• 10. Desenvolvimento e manutenção de sistemas;
• 11. Gestão da continuidade do negócio;
• 12. Conformidade.
Destes capítulos serão utilizados para compor esta obra os seguintes:
• 3. Política de Segurança;
• 4. Segurança Organizacional
• 5. Classificação e controle de ativos de informação;
• 6. Segurança em pessoas;
• 7. Segurança Física e do Ambiente;
• 12. Conformidade
Estes capítulos serão desenvolvidos mais à frente nesta obra.
Como proteger a informação
Inicialmente é necessário que se saibam quais são os problemas de segurança e o
que deve ser feito, se viável, para solucionar esses problemas. Desta forma deve ser
realizada uma análise de riscos na ELECTRA. Detectados os riscos e as
vulnerabilidades, deve avaliá-los para mensurar a probabilidade de ocorrência e o
impacto que eles possam vir a causar à ELECTRA.

34
É a partir das análises de riscos que a ELECTRA vai orientar as medidas a
serem tomadas e os controles a serem estabelecidos a fim de proteger sua informação e
manter o pleno funcionamento dos negócios. De acordo com o a probabilidade de
acontecimento de um incidente, medidas preventivas serão tomadas ou não, levando
em conta o custo de implementação de tais medidas.
A escolha dos controles a serem estabelecidos para diminuir os riscos em nível
aceitável é baseada, inicialmente, na análise de riscos, mas tem um como um grande
obstáculo o custo de sua implementação e uma dificuldade adicional de ser
implementada em empresas pequenas por terem uma estrutura muito centralizada. É
importante lembrar que cada empresa tem suas especificidades e por isso as medidas
de segurança a serem tomadas diferem de caso em caso.
Pilares da segurança
A segurança da informação, conforme descrito acima, baseia-se em
características que estabelecem condições mínimas de uso da informação que são a
disponibilidade, confidencialidade e integridade. Podemos ainda citar mais uma
característica que é a legalidade.
Para que uma informação esteja segura devem ser observados os fatores que
influenciam cada uma dessas características.
As características citadas acima serão detalhadas para tornar claro o seu
entendimento e importância na segurança da informação.
Disponibilidade: para que seja utilizada a informação ou o ativo precisa estar
disponível e acessível a quem tenha o privilégio de uso.

35
Confidencialidade: uma informação ou um ativo só pode ser acessado por quem
está autorizado a obter ou manter suas informações.
Integridade: uma informação tem que ser oferecida ao seu usuário de forma
íntegra, ou seja, que não tenha sido modificada por qualquer pessoa ou processo não
autorizado.
Legalidade: Conformidade com a legislação vigente.
Disponibilidade: garantia de que os usuários autorizados obtenham

acesso à informação e aos ativos correspondentes sempre que necessário.
Confidencialidade: garantia de que a informação é acessível somente

por pessoas autorizadas a terem acesso;
Integridade: salvaguarda da exatidão e completeza da informação e

dos métodos de processamento;
Disponibilidade: ([...] a informação deve estar disponível para a

pessoa certa e no momento em que ela precisar.); Integridade: (Consiste em
proteger a informação contra qualquer tipo de alteração sem a autorização
explícita do autor da mesma.); Confidencialidade: ([...]é a propriedade que
visa manter o sigilo, o segredo ou a privacidade das informações evitando
que pessoas, entidades ou programas não autorizados tenham acesso às
mesmas.)
Normas, leis e decretos
A Constituição é a lei maior de uma nação que dita as principais regras que
deverão ser seguidas pelos cidadãos. Apenas a Constituição não é capaz de abranger
todas as situações. É preciso que seja complementada com leis ordinárias e específicas
que tratam as situações particulares considerando a diversidade dos assuntos.
“Constituição: Lei fundamental e suprema dum Estado, que contém

normas e respeitantes à formação dos poderes políticos, forma de governo,
36
distribuição de competências, direitos e deveres dos cidadãos, etc.”

(Dicionário Aurélio da Língua Portuguesa, 2a Edição, p.460).
Portanto, há um regimento supremo que confere responsabilidades aos cidadãos
e suas competências. Dessa forma, cada competência pode ser tangida por leis
específicas.
Na tecnologia da informação, mais especificamente na segurança da informação
não é diferente. É necessária a existência de leis que regulem e padronizem a forma
com a qual os usuários relacionarão com as organizações e seus ativos de informação.
As leis atuam nos âmbitos federal, estadual, municipal ou mesmo organizacional. Esta
última é a que estabelece uma política dentro de uma instituição.
A utilização da informação pelo usuário ocorre de diversas maneiras, através de
um computador conectado em rede (Internet), utilizando o sistema de sua organização,
manipulando papéis, transportando informações em mídias, armazenando mídias etc.
Para que as informações sejam mantidas asseguradas é preciso que alguns
cuidados sejam tomados. A implementação de uma política de segurança institucional,
suas normas e procedimentos são essenciais para diminuir a possibilidade de algum
incidente que comprometa a ELECTRA. As normas, leis e decretos federais, estaduais
e municipais vêm servir de suporte para a correta implantação da política de
segurança.
Dessa forma podemos destacar algumas normas, leis e decretos que estão
presentes e atuantes na legislação brasileira que são:
• NBR ISO/IEC 17799: Esta Norma é equivalente à ISO/IEC 17799:2000.
Esta Norma contém o anexo A, de caráter informativo. O anexo A foi
incorporado a esta tradução da ISO/IEC 17799:2000, a fim de prestar

37
informações na descrição de termos na língua inglesa mantidos nesta
Norma, por não possuírem tradução equivalente para a língua
portuguesa. Esta Norma fornece recomendações para gestão da
segurança da informação para uso por aqueles que são responsáveis pela
introdução, implementação ou manutenção da segurança em suas
organizações. Tem como propósito prover uma base comum para o
desenvolvimento de normas de segurança organizacional e das práticas
efetivas de gestão da segurança e prover confiança nos relacionamentos
entre as organizações. Convém que as recomendações descritas nesta
Norma sejam selecionadas e usadas de acordo com a legislação e as
regulamentações vigentes;
• Decreto No 3.505, de 13 de junho de 2000: Institui a Política de
Segurança da Informação nos órgãos e entidades da Administração
Pública Federal, ANEXO A;
• Lei No 2.572, de 20 de julho de 2000: Dispõe sobre a prevenção das
entidades públicas do Distrito Federal com relação aos procedimentos
praticados na área de informática, ANEXO A;
• Lei No 234 de 1996: Dispõe sobre crime contra a inviolabilidade de
comunicação de dados de computador. (Segurança e Auditoria da
Tecnologia da Informação, Claudia Dias, Axcel Books, p.46).
Portanto, as normas, leis e decretos servem de base para o desenvolvimento e
conclusão desta obra permitindo doutrinar o uso e estabelecer padrões de segurança da
informação. Observa-se que as leis e decretos estão focados às empresas públicas,

38
ficando desamparadas as empresas privadas, que se referenciam aos recursos
existentes.
Riscos
Alguns conceitos necessitam ser expostos para o correto entendimento do que é
risco e suas implicações.
Segundo Galvão e Poggi (2002, p.5):
Um ativo é algo que tem valor para a empresa, e portanto precisa ser
protegido. Os ativos podem ser físicos (computadores, equipamentos, infra-
estruturas de transmissão de dados, prédios, etc), softwares, informações
(documentos, bancos de dados, etc), processos, pessoas, e até mesmo
intangíveis (por exemplo, a imagem da empresa). É muito importante avaliar
periodicamente o grau de risco dos ativos, porque eles são o suporte de
negócios da empresa.
Quando se fala em segurança, seja patrimonial, de informações ou

qualquer outro ativo a ser preservado, logo se pensa, do quê se deve proteger
este ativo?
A resposta mais óbvia é que se deve proteger de tudo aquilo que

venha ameaçar o ativo em questão. A possibilidade de que uma ameaça
venha a causar danos ao ativo recebe o nome de risco.
Já que os ativos possuem valor para a empresa, este valor precisa ser
avaliado de alguma forma. Esta avaliação pode ser quantitativa, quando
existem dados disponíveis, ou qualitativa, onde é feita uma estimativa da
“relevância” do ativo para os componentes ou processos do negócio que ele
suporta.
Uma ameaça é um agente ou causa potencial de incidentes que pode

ocasionar danos aos ativos, através da exploração de vulnerabilidades. Com
relação às fontes, as ameaças podem ser humanas (acidentais ou deliberadas)
ou ambientais. O acesso não autorizado a dados confidenciais é uma ameaça
humana deliberada, um erro de parametrização em um sistema E.R.P. por
parte do operador pode ser acidental, e um terremoto é uma ameaça
ambiental.
Uma vulnerabilidade pode ser entendida como sendo uma fragilidade

qualquer do ativo que pode ser explorada por uma ameaça.
39
baseado
NEGÓCIO INFORMAÇÃO
sujeita
protegem
contém contém
MEDIDAS VULNERABILIDADE
DE diminuem
SEGURANÇA aumentam
permitem
RISCOS
reduzem
aumentam aumentam
IMPACTOS AMEAÇAS
NO
NEGÓCIO
aumentam
comprometem
causam INTEGRIDADE
CONFIDENCIALIDADE
DISPONIBILIDADE
Fonte: Dias (2000, p.21)

Figura 6 - Ciclo da Segurança da Informação
Segundo o dicionário Priberam (02/11/2004, www.priberam.pt), o

termo risco é definido como: “perigo; possibilidade de correr perigo.”
Segundo Galvão e Poggi (2002, p.6), “Denominamos risco ao

potencial que uma ameaça tem de explorar vulnerabilidades em um ativo.
Este potencial resulta da probabilidade de que esta exploração venha a
efetivamente a ocorrer, e do impacto resultante.”.
40
Galvão e Poggi, White Paper, 2002

Figura 5 - Risco como Probabilidade x Impacto
Caso uma ameaça venha a se confirmar como um evento concreto e possibilitar
um dano ao bem, é preciso se estimar qual a extensão do mesmo.
Estes aspectos são tangidos por um processo de análise de risco que considera
algumas variáveis como componentes que atuam diretamente ao risco que são: valor
do bem e seus componentes, possíveis causas, possibilidade de ocorrência e extensão
do dano.
A análise de risco é uma consideração sistemática de: a) do impacto

nos negócios como resultado de uma falha de segurança, levando-se em
conta as potenciais conseqüências da perda de confidencialidade, integridade
ou disponibilidade da informação ou de outros ativos; b) da
probabilidade de tal falha realmente ocorrer à luz das ameaças e
vulnerabilidades mais freqüentes e nos controles atualmente implementados.
A análise de risco consiste em um processo de identificação e

avaliação dos fatores de risco presentes e de forma antecipada no Ambiente
41
Organizacional, possibilitando uma visão do impacto negativo causado aos

negócios.
As medidas de segurança não podem assegurar 100% de proteção, e a

organização deve analisar a relação custo/beneficio de todas. A organização
precisa achar o nível de risco ao qual estará disposta a correr. Este processo
deve proporcionar as seguintes informações:
• Pontos vulneráveis do ambiente;
• Ameaças potenciais ao ambiente;
• Incidentes de segurança causados pela ação de cada ameaça;
• Impacto negativo para o negócio a partir da ocorrência dos

incidentes prováveis de segurança;
• Riscos para o negócio a partir de cada incidente de segurança;
• Medidas de proteção adequadas para permitir ou diminuir o impacto

de cada incidente.
Os maiores riscos são aqueles que não vemos ou não conhecemos;

assim o conhecimento do ambiente, e das reais necessidades, tem um papel
tão ou mais importante do que as ferramentas que eventualmente venhamos
a utilizar.
Segundo Dias (2000, p.69), ”Normalmente os impactos são analisados sob dois
aspectos: curto prazo e longo prazo, em função do tempo em que o impacto, causado
por uma ameaça, permanece afetando os negócios da instituição.”.
Segundo o Galvão e Poggi, (2002, p.5), “Se o hacker conseguir acesso indevido
a dados confidenciais, terá ocorrido um incidente de segurança, que certamente terá
conseqüências. Damos o nome de impacto ao resultado deste incidente.”.
Analisando impactos e calculando riscos
Existem diversas formas de se analisar os impactos, uma delas é classificando-
os. Apenas para ilustrar, abaixo está uma classificação que pode ser utilizada em
diversas situações.
42
Os impactos devem ser classificados para que sejam adequadamente entendidos
pelos gestores de uma organização, então será considerada a seguinte classificação:
0 – Impacto irrelevante;
1 – Efeito pouco significativo, sem afetar a maioria dos processos de negócios
da ELECTRA;
2 – Sistemas não disponíveis por um determinado período de tempo, podendo
causar perda de credibilidade junto aos clientes e pequenas perdas financeiras;
3 – Perdas financeiras de maior vulto e perda de clientes para a concorrência;
4 – Efeitos desastrosos, porém sem comprometer a sobrevivência da ELECTRA;
5 – Efeitos desastrosos, comprometendo a sobrevivência da ELECTRA.
Além do nível do impacto, podem ser definidos vários tipos de impactos
intrinsecamente relacionados aos negócios, que devem ser definidos pelas pessoas que
mais o conhecem. Os tipos de impactos considerados são:
0 – Ameaça completamente improvável de ocorrer;
1 – Probabilidade de a ameaça ocorrer menos de uma vez por ano;
2 – Probabilidade de a ameaça ocorrer pelo menos uma vez por ano;
3 – Probabilidade de a ameaça ocorrer pelo menos uma vez por mês;
4 – Probabilidade de a ameaça ocorrer pelo menos uma vez por semana;
5 – Probabilidade de a ameaça ocorrer diariamente.

43
2.1 Política de segurança
A política de segurança tem como objetivo fornecer à direção da ELECTRA
subsídios para o estabelecimento e manutenção da segurança da informação.
A direção da ELECTRA deve participar desde a elaboração da política até a sua
divulgação contando com o seu apoio irrestrito. Sua escrita deve ser simples
apresentando os assuntos de forma clara para que seja compreendida por todos na
ELECTRA. A política deve ser constantemente atualizada acompanhando a
modernização tecnológica, as mudanças organizacionais de infra-estrutura e de
recursos humanos estando completamente alinhada aos objetivos do negócio e porte
da ELECTRA.
Segundo a NBR ISO/IEC 17799 (2000, p.4), no seu capítulo 3 Política de
Segurança, diz: “Objetivo: Prover à direção uma orientação e apoio para a segurança
da informação”.
Ainda segundo a norma NRB ISO/IEC 17799 (2000, p.4), recomenda-se que
algumas orientações seja incluídas em seu documento:
a) definição de segurança da informação, resumo das metas e escopo e

a importância da segurança como um mecanismo que habilita o
compartilhamento da informação (ver introdução);
b) declaração do comprometimento da alta direção, apoiando as metas

e princípios da segurança da informação;
c) breve explanação das políticas, princípios, padrões e requisitos de

conformidade de importância específica para a organização, por exemplo:
1) conformidade com a legislação e cláusulas contratuais;
2) requisitos na educação de segurança;

44
3) prevenção e detecção de vírus e software maliciosos;
4) gestão da continuidade do negócio;
5) conseqüências das violações na política de segurança da

informação;
d) definição das responsabilidades gerais e específicas na gestão da

segurança da informação, incluindo o registro dos incidentes de segurança;
e) referências à documentação que possam apoiar a política, por

exemplo, políticas e procedimentos de segurança mais detalhados de
sistemas de informação específicos ou regras de segurança que convém que
os usuários sigam.
Portanto, a política de segurança é um conjunto de princípios que dão suporte à
gestão da segurança de informações perante a alta gerência e o corpo técnico da
ELECTRA, dividindo-se em normas que ditam as diretrizes gerais da política, as
normas.
Documento da política de segurança
O documento requer a sua aprovação por parte da direção da ELECTRA,
devendo ser publicado e comunicado de forma adequada para todos os funcionários.
Segundo a norma NBR ISO/IEC 17799 (2000, p.4), a norma deve conter:
a) definição de segurança da informação, resumo das metas e escopo e

a importância da segurança como um mecanismo que habilita o
compartilhamento da informação (ver introdução);
b) declaração do comprometimento da alta direção, apoiando as metas

e princípios da segurança da informação;
c) breve explanação das políticas, princípios, padrões e requisitos de

conformidade de importância específica para a organização, por exemplo:
1) conformidade com a legislação e cláusulas contratuais;
2) requisitos na educação de segurança;
3) prevenção e detecção de vírus e software maliciosos;
4) gestão da continuidade do negócio;

45
5) conseqüências das violações na política de segurança da

informação;
d) definição das responsabilidades gerais e específicas na gestão da

segurança da informação, incluindo o registro dos incidentes de segurança;
e) referências à documentação que possam apoiar a política, por

exemplo, políticas e procedimentos de segurança mais detalhados de
sistemas de informação específicos ou regras de segurança que convém que
os usuários sigam.
A constante preocupação na divulgação da política, como meio para
conscientização dos funcionários sobre seu conteúdo e suas obrigações, deve ser
preservada, reciclando o conhecimento aos que permanecerem na ELECTRA e
fidelizando aqueles que acabaram de ser contratados.
Deve ser eleito um responsável pela manutenção do documento e análise crítica
através de um processo definido.
2.2 Segurança organizacional
Seu objetivo é gerenciar a segurança da organização. A norma NBR ISO/IEC
17799 recomenda a implementação de uma gerência e que promova a implantação e o
controle da segurança da informação na organização.
2.2.1 Infra-estrutura da segurança da informação
Uma política de segurança é fundamental para apoiar e estabelecer os níveis de
conhecimento através de treinamentos constantes para novos funcionários ou terceiros
que venham a desempenhar alguma atividade na organização.

46
Gestão do fórum de segurança da informação
Compete à organização eleger um fórum representativo que estabeleça as
diretrizes de segurança, responsáveis e suas competências.
Segundo Dias (2000, p.79):
O gerente de segurança deve ter em mente três princípios básicos:

prevenir o acesso de pessoas não autorizadas aos sistemas e informações;
impedir que aqueles que conseguirem acesso, autorizado ou não, danifiquem
ou adulterem qualquer coisa; e, uma vez ocorrida a contingência, estar
preparado para identificar suas causas, recuperar os sistemas e dados e
modificar os controles para que o problema não torne a acontecer.
Coordenação da segurança da informação
Composta por uma equipe multidisciplinar, a coordenação da implantação
estabelece os controles da segurança da informação, nos quais:
• Busca das regras e responsabilidades específicas para a segurança da
informação;
• Busca as metodologias e processos específicos para a segurança da
informação, tais como avaliação de risco e sistema de classificação de
segurança;
• Busca e apóia iniciativas de segurança da informação aplicáveis por toda
a organização, como por exemplo programa da conscientização em
segurança;
• Garante que a segurança seja parte do processo de planejamento da
informação;
47
• Avalia a adequação e coordena a implementação de controles específicos
de segurança da informação para novos sistemas ou serviços;
• Analisa criticamente incidentes de segurança da informação;
• Promove a visibilidade do suporte aos negócios para segurança da
informação através da organização.
Atribuição das responsabilidades em segurança da informação
É recomendado que a responsabilidade pela atribuição de segurança aos ativos
sejam definidas de forma clara e que cada ativo, físico e de informação, tenha um
gestor responsável. Compete ao gestor eleger ou não um proprietário para um ativo, e
este pode delegar a outro, entretanto sem se eximir de suas responsabilidades.
Processo de autorização para as instalações de processamento da
informação
Convém que qualquer instalação, seja hardware ou software, seja
convenientemente aprovada pelo gestor do recurso/ambiente, preservando a
integridade do recurso/ambiente.
Consultoria especializada em segurança da informação
Recomenda-se a utilização de um consultor especialista. Nem todas as
organizações dispõem de um, podendo buscar externamente tal profissional através da

48
recomendação de um colaborador que coordenará todo o conhecimento e as
experiências, garantindo a consistência e auxiliando nas tomadas de decisão.
Em caso de incidentes o consultor poderá compor a equipe de investigação
auxiliando na identificação das ameaças e das vulnerabilidades, até mesmo propondo
mudanças à direção.
Cooperação entre organizações
Convém que sejam mantidos contatos apropriados com autoridades legais,
organismos reguladores, provedores de serviço de informação e operadores de
telecomunicações, de forma a garantir que ações adequadas e apoio especializado
possam ser rapidamente acionados na ocorrência de incidentes de segurança. De forma
similar, convém que a filiação a grupos de segurança e a fóruns setoriais seja
considerada.
Convém que trocas de informações de segurança sejam restritas para garantir
que informações confidenciais da organização não sejam passadas para pessoas não
autorizadas.
Análise critica independente da segurança da informação
O documento da política de segurança da informação estabelece a política e as
responsabilidades pela segurança da informação. Convém que a sua implementação
seja analisada criticamente, de forma independente, para fornecer garantia de que as
práticas da organização reflitam apropriadamente a política, e que esta seja adequada e
eficiente.
49
Tal análise crítica pode ser executada pela auditoria interna, por um gestor
independente ou por uma organização prestadora de serviços especializada em tais
análises críticas, onde estes possuírem habilidade e experiência apropriadas.
2.2.2 Segurança no acesso de prestadores de serviços
• Identificação dos riscos no acesso de prestadores de serviço;
• Tipos de acesso;
o Acesso físico: qualquer acesso aos ambientes críticos,
Data Center, almoxarifado, armários de equipamentos e
cabeamentos, sala dos diretores, sala de gerência e
controle de alarmes etc, deve ser controlado e autorizado
através de mecanismos e dispositivos biométricos, caso
a situação exija.
• Razões para o acesso;
o Necessidade de manutenção e suporte mediante contrato
estabelecido entre as partes;
o Parcerias no desenvolvimento de produtos ou negócios
onde há necessidade de estudos em conjunto;
o A cada tipo de acesso devem ser estudados os ativos de
informação envolvidos, sua criticidade e valores para a

50
organização, assim dimensionando o correto controle
para o acesso dos terceiros.
• Contrato para serviços internos;
o Existem diversos prestadores de serviços, equipes de
suporte e manutenção, pessoal de limpeza, estagiários,
sub-locação de serviços;
o É recomendável que o contrato possua cláusulas de
confidencialidade e penalidade caso seja descumprido
no todo ou em parte;
o É recomendável responsabilizar o contratado por toda e
qualquer mudança no quadro de seus colaboradores que
possuem acessos à ELECTRA;
o É recomendável que os acessos expirem nas datas em
que os contratos deixam de ser válidos.
• Requisitos de segurança nos contratos com prestadores de serviços;
• Convém que todo e qualquer acesso de terceiros à ELECTRA
seja baseado em contrato formal que forneça as informações
necessárias ao cumprimento da política de segurança da
ELECTRA;
• Recomenda-se que todos os ativos envolvidos estejam
declarados em contrato, sendo os contratados responsabilizados
por danos causados aos mesmos;

51
2.3 Classificação e controle dos ativos de informação
Os objetivos desta seção são definir a classificação, o registro e o controle das
informações da organização.
Contabilização dos ativos de informação
A contabilização tem como objetivo manter a proteção adequada dos ativos de
informação da organização. Por isso, faz-se necessário inventariar todos os ativos de
informação para garantir que a proteção seja mantida de forma correta.
A informação deve possuir um proprietário responsável e identificado. A ele é
atribuída a responsabilidade pelo controle da implementação e manutenção.
Inventário dos ativos de informação
O objetivo do inventário dos ativos da informação é garantir a implementação
efetiva e correta das proteções. Assim, é necessário que a organização seja capaz de
identificar seus ativos de informação, com seus respectivos valores e importância, e
cujos níveis de proteção implementados estejam relacionados diretamente com eles.
Para tanto, se faz necessário estruturar e manter um inventário dos principais ativos
associados com seus respectivos sistemas de informação. Cada ativo de informação e
seu respectivo proprietário devem estar claramente identificado, assim como a
classificação de segurança desse ativo deve estar acordada e documentada, juntamente
com sua localização atual (dado importante para o plano de contingência).

52
Classificação da informação
O objetivo da classificação da informação é garantir que os ativos de informação
recebam um nível adequado de proteção, pois a informação possui vários níveis de
sensibilidade e criticidade. A informação deve ser classificada para indicar a
importância, a prioridade e o nível de proteção. Pode ser que informações mais
sensíveis recebam um nível adicional de proteção ou um tratamento especial. Um
sistema de classificação da informação deve ser usado com intuito de definir níveis
mais adequados de proteção.
Recomendações para classificação
É recomendado que a classificação da informação e seus respectivos controles
de proteção levem em consideração as necessidades de compartilhamento ou restrição
da informação com seus respectivos impactos nos negócios. A informação deve ser
classificada e rotulada de acordo com seu valor, sensibilidade e criticidade, e esta
rotulação deve ser feita de forma bem criteriosa, para evitar classificações que não
condizem com a realidade da informação.
As regras de classificação devem, ainda, levar em consideração que algumas
informações não devem possuir uma classificação fixa, pois sua sensibilidade varia
com o tempo, e que sua rotulação pode ser modificada de acordo com uma política
predeterminada.
Atenção especial deve ser dada à interpretação dos rótulos nas informações de
terceiros, para averiguar se as definições destes são as mesmas utilizadas pela
organização.
53
A responsabilidade pela classificação da informação e sua revisão periódica
devem ficar a cargo de seu autor ou do proprietário responsável por ela.
Rótulos e tratamento da informação
É importante definir os procedimentos para rotular a informação em
conformidade com a política de classificação da informação adotada pela organização.
Cada classificação deve abranger as atividades de cópia, armazenamento e tipos de
transmissão a que a informação está sujeita, e ainda, como e quando deverá ser
executada a destruição de sua mídia.
2.4 Segurança em pessoas
Os objetivos desta seção são: reduzir os riscos de falha humana, roubo, fraude ou
uso impróprio das instalações; assegurar que os usuários, de acordo com seus cargos,
estejam cientes das ameaças à segurança da informação; assegurar que os usuários
estarão preocupados e treinados em apoiar a política de segurança da informação no
desenvolvimento rotineiro de suas tarefas, ajudando a minimizar os danos de
incidentes e o mau funcionamento da segurança, sabendo como agir em caso de
incidentes.
Segurança nos recursos e na definição de trabalho
O objetivo da segurança nos recursos e na definição de trabalho é reduzir os
riscos de falha humana, roubo, fraude ou uso indevido das instalações. Isso exige que
54
todos os funcionários, terceiros e usuários das instalações de processamento da
informação assinem um acordo de sigilo.
Na sua fase de manutenção, as responsabilidades de segurança devem ser
atribuídas aos funcionários e terceiros ainda durante o processo de recrutamento e
contratação, incluídas em contrato e monitoradas ininterruptamente.
Inclusão da segurança nas responsabilidades de trabalho
Regras de responsabilidades de segurança devem ser documentadas de acordo
com a política de segurança da informação da organização. A política de segurança
deve também incluir as responsabilidades gerais pela sua implementação e
manutenção, bem como qualquer responsabilidade específica para a proteção de
determinados ativos de informação ou pela execução de determinados processos e
atividades de segurança.
Política de pessoal
É necessário verificar, no momento de sua contratação ou promoção, a
idoneidade de funcionários que de alguma maneira terão acesso às informações
consideradas sensíveis ou sigilosas. Para aqueles funcionários que ocupam cargos
revestidos de autoridade, e que têm também acessos a essas informações, é necessário
que a checagem seja refeita periodicamente. Os funcionários novos e sem experiência,
que têm autorização para acesso a sistemas sensíveis devem passar por um período de
avaliação e supervisão. Um processo similar de seleção deve ser feito para
funcionários temporários e fornecedores. No caso em que os recursos humanos são
fornecidos por agências de RH, o contrato entre a agência e a organização deve

55
especificar claramente a responsabilidade da agência pela seleção e verificação da
idoneidade dos funcionários.
Acordos de confidencialidade
Os acordos de confidencialidade são importantes para ressaltar o sigilo da
informação. Eles devem fazer parte dos termos e condições iniciais de contratação e,
além disso, devem continuar a ter validade, mesmo após o encerramento do contrato
de trabalho. Funcionários temporários e fornecedores devem possuir acordos
semelhantes.
Termos e condições de trabalho
Os termos e condições de trabalho devem determinar as responsabilidades dos
funcionários pela segurança da informação e devem incluir as ações a serem tomadas
em caso de desrespeito ao acordo. Devem determinar, também, como serão tratados os
direitos legais do funcionário com relação às informações por ele criadas na execução
de suas tarefas.
Treinamento dos usuários
O treinamento visa garantir que os usuários estarão cientes das ameaças e das
preocupações de segurança da informação e estarão aptos a apoiar a política de
segurança da organização durante a execução normal de suas tarefas. Para tanto, eles
devem ser treinados nos procedimentos de segurança e no uso correto das instalações
de processamento da informação.
56
Educação e treinamento em segurança da informação
Todos os funcionários e terceiros devem receber internamente treinamento e
atualizações adequados sobre as políticas e procedimentos organizacionais antes que a
eles seja disponibilizado qualquer serviço ou acesso. O treinamento é ministrado pelos
multiplicadores da ELECTRA.
Respondendo aos incidentes de segurança e ao mau funcionamento
A resposta aos incidentes de segurança e ao mau funcionamento tem como
função monitorar tais incidentes com o intuito de minimizar os danos causados, além e
aprender com eles. Assim, esses incidentes devem ser notificados o mais rápido
possível, através dos canais apropriados. Todos os funcionários e prestadores de
serviços devem conhecer os procedimentos a serem tomados no caso da ocorrência ou
suspeita de algum tipo de incidente e devem ser conscientizados a comunicá-lo o mais
rápido possível aos canais apropriados.
A organização deve também estabelecer um processo disciplinar formal para
tratar os funcionários que cometam violações de segurança.
Notificação dos incidentes de segurança
Um procedimento de notificação formal deve ser estabelecido, junto com o
procedimento de resposta ao incidente, estabelecendo as ações a serem tomadas.
Todos os funcionários devem estar conscientes dos procedimentos e de reportá-los o
mais rápido possível. Processos de realimentação (feedback) devem ser
implementados para assegurar que os relatórios de incidentes sejam notificados

57
juntamente com os resultados obtidos após o incidente ser tratado. Tais incidentes
podem ser usados nos treinamentos de usuários.
Notificando falhas na segurança
Os usuários devem ser instruídos a comunicar qualquer falha ou ameaça de
segurança ocorrida, ou mesmo uma suspeita, a seus superiores, ou diretamente aos
provedores de serviço. Deve ser informado aos usuários, que, em nenhuma
circunstância, eles devem tentar verificar uma falha suspeita, sob pena de que isso
possa ser interpretado como potencial uso impróprio do sistema.
Notificando o mau funcionamento de software
Devem ser estabelecidos procedimentos para notificação de mau funcionamento
de software. Os usuários não devem tentar remover o software suspeito, a menos que
sejam autorizados, pois a organização deverá possuir pessoal capacitado para tratar de
sua recuperação.
Aprendizagem com os incidentes
Devem existir mecanismos que permitam monitorar, qualificar, quantificar os
incidentes e maus funcionamentos. Isso servirá para ajudar a identificar as
necessidades de melhorias nos controles de segurança existentes ou para serem
levados em consideração, quando for realizado o processo de revisão da política de
segurança.
Processo disciplinar
58
Deve ser previsto processo disciplinar formal para os funcionários que tenham
violado as políticas e os procedimentos de segurança. Muitas vezes, a existência desse
processo pode dissuadir funcionários que estejam inclinados a desrespeitar os
procedimentos de segurança. É necessário que qualquer punição esteja enquadrada nas
leis vigentes.
2.5 Segurança física e do ambiente
Segundo a norma NBR ISO/IEC 17799 (2000,p.14):
O objetivo da segurança física é: “Prevenir acesso não autorizado,

dano e interferência às informações e instalações físicas da organização.
Convém que os recursos e instalações de processamento de informações
críticas ou sensíveis do negócio sejam mantidos em áreas seguras, protegidas
por um perímetro de segurança definido, com barreiras de segurança
apropriadas e controle de acesso. Convém que estas áreas sejam fisicamente
protegidas de acesso não autorizado, dano ou interferência. Convém que a
proteção fornecida seja proporcional aos riscos identificados. Políticas de
mesa limpa e tela limpa são recomendadas para reduzir o risco de acesso não
autorizado ou danos a papéis, mídias, recursos e instalações de
processamento de informações”.
Segundo Maia (2002, www.modulo.com.br ):
As ameaças internas podem ser consideradas como o risco número um

à segurança dos recursos computacionais. Um bom programa de segurança
física é o passo inicial para a defesa da corporação no sentido de proteger as
suas informações contra acessos indevidos. Este programa deve iniciar
através da realização de uma análise de risco. Uma visita às dependências da
empresa pode fornecer resultados interessantes. Os seguintes elementos
devem ser checados durante esta análise: portas das salas trancadas, mesas e
armários trancados, estações de trabalho protegidas contra acessos
indevidos, disposição e proteção das mídias magnéticas de armazenamento,
cabeamento de rede padronizado e seguro, informações protegidas (em meio
magnético e papel), documentos sobre as mesas, descarte de informações (se
existem trituradoras de papéis), áreas de circulação de visitantes, áreas
restritas etc.
Uma lista das ameaças de segurança física poderia conter os seguintes

itens:
59
• Incêndio (fogo e fumaça);
• Água (vazamentos, corrosão, enchentes);
• Tremores e abalos sísmicos;
• Tempestades, furacões;
• Terrorismo;
• Sabotagem e vandalismo;
• Explosões;
• Roubos, furtos;
• Desmoronamento de construções;
• Materiais tóxicos;
• Interrupção de energia (bombas de pressão, ar-condicionado,

elevadores);
• Interrupção de comunicação (links, voz, dados);
• Falhas em equipamentos;
• Outros.
Após este levantamento, o resultado da análise deve apontar o grau do

risco a que a empresa está exposta em decorrência das ameaças referentes à
segurança física. De acordo com as áreas de maior risco (aquelas que podem
causar prejuízos ao negócio se um evento motivado por falha na segurança
física acontecer), os investimentos devem ser direcionados para que o risco
seja minimizado.
Por exemplo, pode ser que haja a necessidade de se adquirir

equipamentos de controle de acesso baseado em autenticação biométrica
para áreas críticas e de circulação restrita, como sala de servidores, alta
direção da empresa etc. As medidas de correção e equipamentos necessários
devem ser adquiridos com base no custo-benefício que proporcionam. Para
alguns casos, o prejuízo decorrente de um evento é inferior ao valor do
investimento a ser feito nas medidas de correção, o que nos faz enxergar
com clareza que neste caso, o melhor seria ignorar o risco.
Para estas e outras decisões que envolvam investimento em segurança,

a participação do Security Officer da empresa é fundamental. Com sua visão
estratégica a respeito dos processos de negócio da empresa, o responsável
pela segurança saberá determinar onde e de que forma a empresa deverá
investir para minimizar os riscos. O direcionamento da origem destes
investimentos também é de suma importância, uma vez que a área de TI não
deve ser a responsável pela verba destinada à compra de dispositivos de
controle de acesso físico do Departamento Financeiro de uma empresa, por
exemplo.
60
A grande mensagem que deixamos aqui é que a segurança física da

empresa é tão importante quanto a segurança no ambiente de tecnologia, e
não deve, de forma alguma, ser deixada de lado. Em relação à segurança da
informação, não devemos contar com o fator sorte.
Portanto, para se obter um ambiente físico seguro alguns pontos devem ser
observados. Segundo a norma NBR ISO/IEC 17799 (2000, p14), seguem os pontos a
serem analisados:
2.5.1 Áreas de segurança
Prevenir acesso não autorizado, dano e interferência às informações e instalações
físicas da organização. Convém que os recursos e instalações de processamento de
informações críticas ou sensíveis do negócio sejam mantidos em áreas seguras,
protegidas por um perímetro de segurança definido, com barreiras de segurança
apropriadas e controle de acesso. Convém que estas áreas sejam fisicamente
protegidas de acesso não autorizado, dano ou interferência. Convém que a proteção
fornecida seja proporcional aos riscos identificados. Políticas de mesa limpa e tela
limpa são recomendadas para reduzir o risco de acesso não autorizado ou danos a
papéis, mídias, recursos e instalações de processamento de informações.
Perímetro de segurança física
A proteção física pode ser alcançada através da criação de diversas barreiras
físicas em torno da propriedade física do negócio e de suas instalações de
processamento da informação. Cada barreira estabelece um perímetro de segurança,
contribuindo para o aumento da proteção total fornecida. Convém que as organizações

61
usem os perímetros de segurança para proteger as áreas que contêm os recursos e
instalações de processamento de dados. Um perímetro de segurança é qualquer coisa
que estabeleça uma barreira. Por exemplo, uma parede, uma porta com controle de
entrada baseado em cartão ou mesmo um balcão de controle de acesso com registro
manual. A localização e a resistência de cada barreira dependem dos resultados da
avaliação de risco. Recomenda-se que as seguintes diretrizes e controles sejam
considerados e implementados nos locais apropriados.
a) Convém que o perímetro de segurança esteja claramente definido.
b) Convém que o perímetro de um prédio ou local que contenha recursos de
processamento de dados seja fisicamente consistente (isto é, não podem
existir brechas onde uma invasão possa ocorrer facilmente). Convém que
as paredes externas do local possuam construção sólida e todas as portas
externas sejam protegidas de forma apropriada contra acessos não
autorizados, como, por exemplo, mecanismos de controle, travas,
alarmes, grades etc.
c) Convém que uma área de recepção ou outro meio de controle de acesso
físico ao local ou prédio seja usado. Convém que o acesso aos locais ou
prédios seja restrito apenas ao pessoal autorizado.
d) Convém que barreiras físicas sejam, se necessário, estendidas da laje do
piso até a laje superior, para prevenir acessos não autorizados ou
contaminação ambiental, como as causadas por fogo e inundações.
e) Convém que todas as portas de incêndio no perímetro de segurança
possuam sensores de alarme e mola para fechamento automático.

62
Controles de Entrada Física
Convém que as áreas de segurança sejam protegidas por controles de entrada
apropriados para assegurar que apenas pessoas autorizadas tenham acesso liberado.
Recomenda-se que os seguintes controles sejam considerados:
a) Convém que visitantes das áreas de segurança sejam checados quanto à
permissão para ter acesso e tenham registradas data e hora de sua entrada
e saída. Convém que essas pessoas obtenham acesso apenas às áreas
específicas, com propósitos autorizados e que esses acessos sigam
instruções baseadas nos requisitos de segurança e procedimentos de
emergência próprios da área considerada.
b) Convém que o acesso às informações sensíveis, instalações e recursos de
processamento de informações seja controlado e restrito apenas ao
pessoal autorizado. Convém que os controles de autenticação, como por
exemplo, cartões com PIN sejam usados para autorizar e validar qualquer
acesso. Convém ainda que seja mantida em segurança uma trilha de
auditoria contendo todos os acessos ocorridos.
c) Convém que todos os funcionários utilizem alguma forma visível de
identificação e sejam incentivados a informar à segurança sobre a
presença de qualquer pessoa não identificada ou de qualquer estranho
não acompanhado.
d) Convém que os direitos de acesso às áreas de segurança sejam
regularmente revistos e atualizados.

63
Segurança em escritórios, salas e instalações de processamento
Uma área de segurança pode ser um escritório fechado ou diversas salas dentro
de um perímetro de segurança física, que podem estar fechadas ou podem conter
armários fechados ou cofres. Convém que a seleção e o projeto de uma área de
segurança levem em consideração as possibilidades de dano causado por fogo,
inundações, explosões, manifestações civis e outras formas de desastres naturais ou
causados pelo homem. Convém que também sejam levados em consideração as
regulamentações e padrões de segurança e saúde. Também devem tratar qualquer
ameaça originada em propriedades vizinhas, como por exemplo vazamento de água de
outras áreas. Recomenda-se que os seguintes controles sejam considerados:
a) Convém que as instalações críticas sejam localizadas de forma a evitar o
acesso público.
b) Convém que os prédios sejam sem obstruções em seu acesso, com
indicações mínimas do seu propósito, sem sinais óbvios, tanto fora
quanto dentro do prédio, da presença de atividades de processamento de
informação.
c) Convém que os serviços de suporte e equipamentos, como por exemplo
fotocopiadoras e máquinas de fax sejam instalados de forma apropriada
dentro de áreas de segurança para evitar acesso que possa comprometer a
informação.
d) Convém que as portas e janelas sejam mantidas fechadas quando não
utilizadas e que sejam instaladas proteções externas, principalmente
quando essas portas e janelas se localizarem em andar térreo.

64
e) Convém que os sistemas de detecção de intrusos sejam instalados por
profissionais especializados e testados regularmente, de forma a cobrir
todas as portas externas e janelas acessíveis. Convém que as áreas não
ocupadas possuam um sistema de alarme que permaneça sempre ativado.
Convém que esses cuidados também cubram outras áreas, como por
exemplo a sala de computadores ou salas de comunicação.
f) Convém que as instalações de processamento da informação gerenciadas
pela organização fiquem fisicamente separadas daquelas gerenciadas por
prestadores de serviço.
g) Convém que os arquivos e as listas de telefones internos que identificam
os locais de processamento das informações sensíveis não sejam de
acesso público.
h) Convém que os materiais combustíveis ou perigosos sejam guardados de
forma segura a uma distância apropriada de uma área de segurança.
Convém que os suprimentos volumosos, como material de escritório, não
sejam guardados em uma área de segurança, a menos que requeridos.
i) Convém que os equipamentos de contingência e meios magnéticos de
reserva (backup) sejam guardados a uma distância segura da instalação
principal para evitar que desastres neste local os afetem.
Trabalhando em áreas de segurança
Manuais e controles adicionais podem ser necessários para melhorar as
condições de uma área de segurança. Isso inclui controles tanto para o pessoal da
65
organização como para prestadores de serviços que trabalham em áreas de segurança,
assim como para atividades terceirizadas que possam ocorrer nessa área. Recomenda-
se que os seguintes itens sejam considerados.
a) Convém que os funcionários só tenham conhecimento da existência de
área de segurança ou de atividades dentro dela quando necessário.
b) Convém que se evite trabalho sem supervisão nas áreas de segurança,
tanto por razões de segurança como para prevenir oportunidades para
atividades maliciosas.
c) Convém que as áreas de segurança desocupadas sejam mantidas
fisicamente fechadas e verificadas periodicamente.
d) Convém que pessoal de serviço de suporte terceirizado tenha acesso
restrito às áreas de segurança ou às instalações de processamento de
informações sensíveis somente quando suas atividades o exigirem.
Convém que este acesso seja autorizado e monitorado. Barreiras e
perímetros adicionais para controlar o acesso físico podem ser
necessários em áreas com diferentes requisitos de segurança dentro de
um mesmo perímetro de segurança.
e) Convém que não se permitam o uso de equipamentos fotográficos, de
vídeo, de áudio ou de outro equipamento de gravação, a menos que seja
autorizado.
66
Isolamento das áreas de expedição e cargas
Convém que as áreas de expedição e de carregamento sejam controladas e se
possível isoladas das instalações de processamento da informação, com o objetivo de
evitar acessos não autorizados. Convém que os requisitos de segurança sejam
determinados a partir de uma avaliação de risco. Recomenda-se que os seguintes itens
sejam considerados:
a) Convém que o acesso à área de movimentação e suporte (carga e
descarga) externa ao prédio seja restrito somente ao pessoal identificado
e autorizado.
b) Convém que esta área seja projetada de forma que os suprimentos
possam ser descarregados sem que o pessoal responsável pela entrega
tenha acesso às outras partes do prédio.
c) Convém que a(s) porta(s) externa(s) destas áreas seja(m) mantida(s)
protegida(s) quando as portas internas estiverem abertas.
d) Convém que o material de entrada seja inspecionado contra potenciais
perigos [ver 7.2.1 d)], antes de ser transportado dessa área para a área na
qual será utilizado.
e) Convém que o material recebido seja registrado, se apropriado (ver 5.1),
quando da sua recepção.

67
2.5.2 Segurança dos equipamentos
Objetivo: Prevenir perda, dano ou comprometimento dos ativos e a interrupção
das atividades do negócio.
Convém que os equipamentos sejam fisicamente protegidos contra ameaças à
sua segurança e perigos ambientais. A proteção dos equipamentos (incluindo aqueles
utilizados fora das instalações físicas da organização) é necessária para reduzir o risco
de acessos não autorizados a dados e para proteção contra perda ou dano. Convém que
esta proteção considere os equipamentos instalados e os em alienação. Controles
especiais podem ser exigidos para proteção contra perigos ou acessos não autorizados
e para salvaguardar as instalações de suporte, como o fornecimento de energia elétrica
e cabeamento.
Instalação e proteção dos equipamentos
Convém que os equipamentos sejam instalados ou protegidos para reduzir o
risco de ameaças ambientais, perigos e oportunidades de acesso não autorizado.
Recomenda-se que os seguintes itens sejam considerados:
a) Convém que os equipamentos sejam instalados de forma a reduzir
acessos desnecessários à área de trabalho.
b) Convém que as instalações de processamento e armazenamento de
informação que tratam de informações sensíveis sejam posicionadas de
maneira a reduzir riscos de espionagem de informações durante o seu
uso.
68
c) Convém que os itens que necessitem de proteção especial sejam isolados
para reduzir o nível geral de proteção exigida.
d) Convém que sejam adotados controles, de forma a minimizar ameaças
potenciais, incluindo:
• Roubo;
• Fogo;
• Explosivos;
• Fumaça;
• Água (ou falha de abastecimento);
• Poeira;
• Vibração;
• Efeitos químicos;
• Interferência no fornecimento elétrico;
• Radiação eletromagnética.
e) Convém que uma organização considere políticas específicas para
alimentação, bebida e fumo nas proximidades das instalações de
processamento da informação.
69
f) Convém que aspectos ambientais sejam monitorados para evitar condições
que possam afetar de maneira adversa à operação das instalações de
g) Convém que uso de métodos de proteção especial, como capas para
teclados, seja considerado para equipamentos em ambiente industrial.
h) Convém que o impacto de um desastre que possa ocorrer nas proximidades
da instalação, como por exemplo um incêndio em um prédio vizinho,
vazamentos de água no telhado ou em andares abaixo do nível do chão ou
explosões na rua também seja considerado.
Fornecimento de energia
Convém que os equipamentos sejam protegidos contra falhas de energia e outras
anomalias na alimentação elétrica. Convém que um fornecimento de energia
apropriado ocorra em conformidade com as especificações do fabricante do
equipamento. Algumas opções para alcançar a continuidade do fornecimento elétrico
incluem:
a) Alimentação múltipla para evitar um único ponto de falha no fornecimento
elétrico;
b) No-break (Uninterruptable Power Supply - UPS);
c) Gerador de reserva. É recomendado o uso de no-break em equipamentos
que suportem atividades críticas para permitir o encerramento ordenado ou
a continuidade do processamento. Convém que os planos de contingência
contenham ações a serem tomadas em casos de falha no no-break. Convém

70
que esse tipo de equipamento seja periodicamente verificado, de forma a
garantir que ele esteja com a capacidade adequada, e testado de acordo com
as recomendações do fabricante. Convém que um gerador de reserva seja
considerado se o processamento requer continuidade, em caso de uma falha
elétrica prolongada. Se instalados, convém que os geradores sejam testados
regularmente de acordo com as instruções do fabricante. Convém que um
fornecimento adequado de óleo esteja disponível para assegurar que o
gerador possa ser utilizado por um período prolongado. Adicionalmente,
convém que se tenham interruptores elétricos de emergência localizados
próximo às saídas de emergência das salas de equipamentos para facilitar o
desligamento em caso de emergência. Convém que iluminação de
emergência esteja disponível em casos de falha da fonte elétrica primária.
Convém que proteção contra relâmpagos seja usada em todos os prédios e
que filtros de proteção contra raios sejam instalados para todas as linhas de
comunicação externas.
Segurança do cabeamento
Convém que o cabeamento elétrico e de telecomunicação que transmite dados ou
suporta os serviços de informação seja protegido contra interceptação ou dano.
a) Convém que as linhas elétricas e de telecomunicações das instalações de
processamento da informação sejam subterrâneas, onde possível, ou
sejam submetidas à proteção alternativa adequada.

71
b) Convém que o cabeamento da rede seja protegido contra interceptações
não autorizadas ou danos, por exemplo pelo uso de conduítes ou evitando
a sua instalação através de áreas públicas.
c) Convém que os cabos elétricos fiquem separados dos cabos de
comunicação para prevenir interferências.
d) Convém que para sistemas críticos ou sensíveis sejam utilizados alguns
controles adicionais, tais como:
1) Instalação de conduítes blindados e salas ou gabinetes trancados nos
pontos de inspeção e terminais;
2) Uso de rotas e meios de transmissão alternativos;
3) Uso de cabeamento de fibra óptica;
4) Varredura inicial para identificar dispositivos não autorizados conectados
aos cabos.
Manutenção dos equipamentos
Convém que a manutenção correta dos equipamentos garanta a continuidade da
disponibilidade e integridade dos mesmos. Recomenda-se que os seguintes itens sejam
considerados:
a) Convém que os equipamentos tenham manutenção de acordo com
intervalos e especificações do fabricante.
b) Convém que apenas pessoal autorizado execute reparos e serviços nos
equipamentos.
72
c) Convém que se mantenham registros de todas as falhas suspeitas ou
ocorridas e de toda manutenção corretiva e preventiva.
d) Convém que controles apropriados sejam utilizados quando do envio de
equipamentos para manutenção fora da instalação física (ver também
7.2.6, considerando dados excluídos, apagados e sobrepostos). Convém
que todos os requisitos impostos pelas apólices de seguro sejam
atendidos.
Segurança de equipamentos fora das instalações
Independentemente de quem seja o proprietário, convém que o uso de qualquer
equipamento para o processamento da informação fora das instalações da organização
seja autorizado pela direção. Convém que a segurança fornecida seja equivalente
àquela oferecida aos equipamentos utilizados dentro da organização para o mesmo
propósito, levando-se em conta os riscos de se trabalhar fora das instalações da
organização. Os equipamentos de processamento de informação incluem todas as
formas de computadores pessoais, agendas eletrônicas, telefones móveis, papéis ou
outros, que são levados para se trabalhar em casa ou para fora do ambiente normal de
trabalho. Recomenda-se que os seguintes itens sejam considerados:
a) Convém que equipamento e mídias levados para fora das instalações não
sejam deixados desprotegidos em áreas públicas. Convém que
computadores portáteis sejam carregados como bagagem de mão e
disfarçados sempre que possível nas viagens.

73
b) Convém que as instruções dos fabricantes para proteção dos
equipamentos sejam sempre observadas, como por exemplo proteção
contra exposição a campos magnéticos intensos.
c) Convém que os controles para trabalho em casa sejam determinados
através da avaliação de risco e os controles apropriados aplicados
conforme a necessidade, como por exemplo gabinetes de arquivo
fechados, política de mesa limpa e controles de acesso aos computadores.
d) Convém que se use uma cobertura adequada de seguro para proteger os
equipamentos existentes fora das instalações da organização. Os riscos
de segurança, como por exemplo de dano, roubo e espionagem, podem
variar consideravelmente conforme a localização e convém que sejam
levados em conta na determinação dos controles mais apropriados.
Maiores informações sobre a proteção de equipamentos móveis podem
ser encontradas em 9.8.1.
Reutilização e alienação segura de equipamentos
A informação pode ser exposta pelo descuido na alienação ou reutilização de
equipamentos (ver também 8.6.4). Convém que dispositivos de armazenamento que
contenham informação sensível sejam destruídos fisicamente ou sobrescritos de forma
segura ao invés da utilização de funções-padrão para a exclusão.
Convém que todos os itens de equipamentos que possuem meios de
armazenamento, como por exemplo discos rígidos, sejam checados para assegurar que
toda informação sensível e software licenciado foram removidos ou sobrepostos antes
da alienação do equipamento. Dispositivos de armazenamento danificados contendo

74
informações sensíveis podem necessitar de uma avaliação de riscos para se determinar
se tais itens deveriam ser destruídos, reparados ou descartados.
2.5.3 Controles gerais
Objetivo: Evitar exposição ou roubo de informação e de recursos de
Convém que informações e recursos de processamento da informação sejam
protegidos de divulgação, modificação ou roubo por pessoas não autorizadas e que
sejam adotados controles de forma a minimizar sua perda ou dano. Os procedimentos
para manuseio e armazenamento estão considerados em 8.6.3.
Política de mesa limpa e tela limpa
A organização deve considerar a adoção de uma política de mesa limpa para
papéis e mídias removíveis e uma política de tela limpa para os recursos de
processamento da informação, de forma a reduzir riscos de acesso não autorizado,
perda e danos à informação durante e fora do horário normal de trabalho. A política
deve levar em consideração as classificações da segurança das informações, os riscos
correspondentes e os aspectos culturais da organização.
As informações deixadas em mesas de trabalho também são alvos prováveis de
danos ou destruição em um desastre como incêndio, inundações ou explosões.

75
a) Onde for apropriado, convém que papéis e mídias de computador sejam
guardados, quando não estiverem sendo utilizados, em gavetas
adequadas, com fechaduras e/ou outras formas seguras de mobiliário,
especialmente fora do horário normal de trabalho.
b) Informações sensíveis ou críticas ao negócio, quando não forem
requeridas, devem ser guardadas em local distante, de forma segura e
fechada (de preferência em um cofre ou arquivo resistente a fogo),
especialmente quando o escritório estiver vazio.
c) Computadores pessoais, terminais de computador e impressoras não
devem ser deixados ligados quando não assistidos e devem ser
protegidos por senhas, chaves ou outros controles quando não estiverem
em uso.
d) Pontos de recepção e envio de correspondências e máquinas de fax e
telex não assistidas devem ser protegidos.
e) Copiadoras devem ser travadas (ou de alguma forma protegidas contra o
uso não autorizado) fora do horário normal de trabalho.
f) Informações sensíveis e classificadas, quando impressas, devem ser
imediatamente retiradas da impressora.
Remoção de propriedade
Equipamentos, informações ou software não devem ser retirados da organização
sem autorização. Quando necessário e apropriado, os equipamentos devem ser
desconectados e conectados novamente no seu retorno. Inspeções pontuais devem ser

76
realizadas de forma a detectar a remoção não autorizada de propriedade. As pessoas
devem estar cientes de que inspeções pontuais serão realizadas seguindo um plano de
auditoria.
2.6 Conformidade
Os objetivos desta sessão são evitar, por parte da organização, as seguintes
violações: às leis civis ou criminais; às obrigações legais ou contratuais de propriedade
intelectual; de segurança a sistemas e informações de terceiros. Também visa a
maximizar a efetividade e minimizar a interferência em sistema de auditagem.
2.6.1 Conformidade com requisitos legais
O projeto, a operação, o uso e a gestão de sistemas de informação podem estar
sujeitos a requisitos de segurança contratuais, regulamentares ou estatutários. Por isso,
é necessário identificar os aspectos legais para evitar a violação de qualquer lei
criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer
requisitos de segurança.
Consultoria em requisitos legais pode ser procurada em organizações de
consultoria jurídica ou com profissionais liberais adequadamente qualificados. É
importante lembrar que os requisitos legais variam de país para país e se aplicam
também para a informação criada em um país e transmitida para outro.

77
Identificação da legislação vigente
Estatutos, regulamentações ou obrigações contratuais relevantes devem ser
explicitamente definidos e documentados para cada sistema de informação, bem como
os controles e as responsabilidades específicas para atender a esses requisitos.
Direitos de propriedade intelectual
Procedimentos apropriados devem ser implantados para garantir a conformidade
com as restrições legais quanto à propriedade intelectual.
Legislação, regulamentação e cláusulas contratuais podem estabelecer restrições
para a cópia de material, evitando a transgressão aos direitos autorais.
Produtos de software proprietários são normalmente fornecidos de acordo com
um contrato de licenciamento que restringe o seu uso, cópia e instalação.
Para se evitar a transgressão dos contratos de licenciamento, uma política de
conformidade de direito autoral deve ser implementada para definir o uso legal de
produtos de software ou de informação.
Proteção de registros organizacionais
A proteção de registros importantes de uma organização é muito importante para
se evitar perdas, destruição e falsificação dos mesmos. Além disso, alguns registros
precisam ser retidos de forma segura para atender a requisitos estatutários ou
regulamentações, assim como para apoiar as atividades essenciais da organização.
Para isso, sistemas de armazenagem confiáveis de registros organizacionais devem ser
previstos.
78
Esses sistemas de armazenagem devem ser escolhidos de modo que o dado
solicitado possa ser recuperado de forma legal e aceitável.
E, por último, o sistema de armazenamento e manuseio deve assegurar a clara
identificação dos registros e seus respectivos períodos de retenção estatutários e
regulamentares. Deve permitir, ainda, a destruição apropriada dos registros após esses
períodos, caso não sejam mais necessários à organização.
Proteção de dados e privacidade da informação pessoal
Alguns países possuem leis que estabelecem controles no processamento e na
transmissão de dados pessoais. Alguns desses controles dizem respeito à
responsabilidade na armazenagem e divulgação desses dados.
Estar em conformidade legal com essas leis requer estrutura e controles
apropriados. Normalmente, isso é alcançado através da indicação de um responsável
pela proteção de dados, o qual deverá oferecer orientações para gerentes, usuários e
prestadores de serviço a respeito de como tratar legalmente este tipo de informação.
Porém, é de responsabilidade do proprietário do dado notificar ao responsável sobre
qualquer proposta de armazenamento de informações pessoais em arquivo estruturado
e garantir a capacitação nos princípios de proteção de dados definidos na legislação
vigente.
79
Prevenção contra uso impróprio das instalações de processamento da
informação
Qualquer uso das instalações de processamento de dados para propósitos outros
que não os do negócio, sem a devida autorização, será considerado como impróprio. E
sua ocorrência deverá ser passível de punição.
Atualmente, o uso impróprio de computadores está se tornando crime previsto
em lei. Por isso, funcionários e terceiros que utilizam as instalações da organização
devem ser alertados sobre tal procedimento e devem ter conhecimento do escopo exato
de suas permissões e do fato de que nenhum acesso é permitido sem a devida
autorização.
No momento da conexão inicial, deve ser informado ao usuário, na tela do
computador, que o sistema ao qual ele está acessando é privado e que não são
permitidos acessos não autorizados. Assim, ao se conectar ele estará de acordo com
isto.
Regulamentação de controles criptográficos
Alguns países têm estabelecido acordos, leis, regulamentações e outros
instrumentos para controlar o acesso ou uso de controles criptográficos.
Consultoria jurídica deve ser obtida para garantir a conformidade desse processo
com a legislação nacional vigente e também para opinar sobre a transferência de
informações cifradas ou controles criptográficos para outros países.

80
Coleta de evidências
Um processo jurídico contra pessoa ou organização deve estar embasado em
evidências adequadas. Quando ele for de ordem interna, as evidências necessárias
deverão estar definidas nos procedimentos internos. Quando for de ordem externa, as
evidências necessárias devem estar de acordo com as regras estabelecidas pela lei ou
tribunal de justiça específicos da localidade onde o caso será julgado.
Para se obter a admissibilidade da evidência, as organizações devem garantir que
seus sistemas de informação estejam em conformidade com qualquer norma ou código
de prática publicados.
Por outro lado, para o proprietário obter qualidade e inteireza da evidência, um
bom registro (log) de evidência é necessário. Quando o incidente é detectado, pode
não ser óbvio que resultará num possível processo jurídico. Pode ser, também, que a
evidência necessária seja destruída acidentalmente antes que seja percebida a
seriedade do incidente. É conveniente acionar um advogado ou a polícia, tão logo seja
constatada a necessidade de processos jurídicos, bem como obter consultoria
especializada sobre as evidências necessárias.
2.7 Análise da política de segurança e da conformidade técnica
A segurança dos sistemas de informação deve estar em constante revisão para
garantir a conformidade dos sistemas com as políticas e normas de segurança da
organização.
81
Conformidade com a política de segurança
Os gerentes devem garantir que todos os procedimentos de segurança estejam
sendo executados dentro de sua área de responsabilidade.
Os proprietários dos sistemas de informação devem apoiar as análises críticas
periódicas de conformidade dos seus sistemas com as normas, políticas e requisitos de
segurança apropriados.
Verificação da conformidade técnica
Sistemas de informação devem ter periodicamente verificados na sua
conformidade com as normas de segurança implantadas. A verificação de
conformidade técnica envolve a análise dos sistemas operacionais para garantir que
controles de equipamentos e software foram corretamente implementados. A
verificação de conformidade deve ser sempre executada ou acompanhada por pessoas
competentes e especializadas.
Considerações quanto à auditoria de sistemas
Devem existir controles para proteção dos sistemas operacionais e das
ferramentas de auditoria quando da realização de auditorias de sistema, no intuito de
maximizar a eficácia e minimizar a interferência do processo de auditoria no sistema.
É necessário, também, proteger a integridade e prevenir o uso impróprio das
ferramentas de auditoria.
82
Requisitos e atividades de auditoria que exijam a verificação nos sistemas
operacionais devem ser cuidadosamente planejados e acordados para minimizar os
riscos de interrupção dos ambientes críticos.
Acessos às ferramentas de auditoria de sistema devem ser protegidos contra uso
impróprio ou comprometimento. Estas ferramentas devem estar isoladas dos
ambientes de desenvolvimento e de produção e não devem ser manipuladas em áreas
de acesso de usuários, a menos que forneçam um nível apropriado de proteção.
2.8 Mecanismos e dispositivos de segurança
2.8.1 Infra-Estrutura do Data Center
Sala-Cofre
Segundo Brasiliano (2004), “a sala-cofre é uma solução mundialmente adotada
pelos Data Centers. Ela é composta por uma célula hermética e de múltiplas camadas
de proteção para distribuição e absorção de impacto, pressão e calor.”.
A concepção da sala-cofre, no que diz respeito à proteção é composta por uma
câmara externa refratária (a prova de temperaturas até 1000º C) e uma célula interna
hermética (estanque a gases e líquidos) que tem capacidade de absorção de calor. A

83
envasadura entre as células externas e internas permite distribuição de pressões e calor
para otimizar a capacidade de resistir a todos tipos de sinistros.
A sala-cofre deve ser uma solução sob medida, sendo a câmara externa
construída na área em alvenaria e concreto, com aproveitamento de lajes e paredes
existentes ou pode ser composta por elementos pré-fabricados. A célula interna é pré-
fabricada em painéis com 3 cm de espessura em chapa de aço. Os painéis da lateral,
teto e fundo são montados dentro, mas independente da câmara externa e unidos por
pontos de solda MIG (material inerte à gás). As juntas são flexíveis para poder
absorver deformações sem perder o isolamento.
O acesso à sala-cofre é protegido por uma porta refratária integrada à câmara
externa, abrindo para fora e uma porta estanque integrada a célula interna, abrindo
para dentro.
A sala-cofre deve possuir um sistema de piso elevado para atender as seguintes
necessidades:
• Funcionar como "plenum de insuflamento" de ar condicionado;
• Permitir a passagem de cabos de força para os computadores;
• Permitir a passagem de cabos de lógica entre as várias unidades do
computador;
• Permitir a distribuição das várias linhas da rede telefonia, do sistema de
segurança e de detecção e combate ao fogo;
• Permitir fácil remanejamento de unidades e oferecer maior flexibilidade
e alterações de "layout" e expansões futuras;

84
• O piso deve possuir as seguintes características: estrutura metálica de
apoio, autoportante, disposta em forma reticulada, sem perfis metálicos
aparentes, apoiada em suportes metálicos verticais ajustáveis a uma
altura entre 0,40 m a 0,60 m;
• Possuir placas removíveis e intercambiáveis, com a mesma modularidade
da estrutura metálica, de fácil remoção e recolocação, com revestimento
superficial específico para piso que permita a descarga de eletricidade
estática;
• Suportar os esforços das cargas distribuídas e concentradas, previstos nos
locais para onde foram projetados e instalados;
• Todo o sistema de piso elevado deverá ser aterrado, podendo
eventualmente ser utilizado como malha de referência;
• Deverão ser evitados materiais combustíveis e PVC (polímero
termoplástico);
• As placas não deverão ter nenhuma parte metálica exposta;
• As estruturas dos pisos elevados devem ser suportadas por materiais
incombustíveis de resistência adequada. Sua estrutura não deve ter peças
de alumínio ou outro material com ponto de fusão abaixo de 100Cº. As
placas devem ser não inflamáveis e resistentes ao fogo por no mínimo 30
minutos;
85
• O piso deve ser projetado de forma a permitir que sua integridade seja
mantida e garantir um isolamento térmico conveniente, no caso de um
incêndio iniciar-se dentro do vão criados entre tal piso e a laje;
• Todas as aberturas devem ser fechadas tanto quanto possível para
impedir que fiapos e outras fontes de ignição, ao longo do tempo,
gradualmente acumulem-se no envasamento.
A passagem de ar (necessário em caso de climatização por sistema externo)
exige damper especial para blindagem da abertura. As portas e os dampers são
providos de sistemas de fechamento autônomos somente com a energia das suas
próprias molas.
Energia elétrica só é aplicada para mantê-las abertas.
A sala-cofre é uma proteção altamente confiável, pois opera normalmente
fechada ou fecha de imediato ao menor sinal de perigo.
Não há custo para acioná-la e não oferece risco para funcionários. Portanto, não
necessita de bloqueio como em alguns sistemas de combate, nem retardamento para
verificação ou qualquer outro impedimento. As pessoas podem sair da sala mesmo se
for trancada a chave. A iluminação interna é provida de fontes eletrônicas de alta
freqüência e com total segurança. Para controle do risco de ignição dentro da célula
(mesmo sendo um risco remoto) deve haver detector de produtos de combustão
("fumaça") ligado ao sistema do prédio. Para combate automático dentro da sala pode
ser instalado um sistema de descarga de gás supressor de combustão.
A sala-cofre hoje é usada nas áreas onde os equipamentos possam trabalhar sem
intervenção humana, tais como:

86
• CPU (Unidade Central de Processamento);
• Discos, fitoteca robotizada;
• Servidores de rede e equipamentos de comunicação;
A sala-cofre deve possuir, em caso de emergência, um sistema automático que
deve entrar em "estado de alarme" desencadeando as seguintes funções: tocar o alarme
dentro da sala, fechar a porta interna e, após pequeno retardo, fechar a porta externa.
Após um pequeno período desligar a iluminação.
2.8.2 Acesso ao CPD
Controle de Acesso
Segundo Haical (2004):
O controle de acesso do tipo físico é toda e qualquer aplicação de

equipamentos ou procedimentos com o objetivo de proteger ambientes,
equipamentos ou informações cujo acesso deve ser restrito. Esse tipo de
controle envolve o uso de cancelas, chaves, trancas, guardas, cães, crachás,
grades, muros, alarmes, vídeo, smart cards (cartões com capacidade de
armazenar e processar dados), biometria (ramo da ciência que estuda a
mensuração dos seres vivos). e outros meios que podem ser usados nos
pontos de acesso onde o usuário tenta obter o acesso, além da aplicação de
normas e procedimentos utilizados pela empresa para esse fim.
Os sistemas de controle de acesso físico possibilitam a integração de outras
funcionalidades, como integração com leitores biométricos, controle de
estacionamento, controle de elevadores, integração com alarmes de incêndio, controle
de ronda, emissão de crachás para visitantes e integração com CFTV (circuito fechado
87
de televisão), ou também o Acesso Universal, isto é, a integração do controle de
acesso físico com controle de acesso lógico, possibilitando a criação de
implementações especiais, como permitir o acesso à estação de trabalho apenas a
usuários que se autenticaram no ponto de acesso e a utilização da mesma credencial
biométrica (referente à biometria) para todos os dispositivos.
O controle de acesso físico utilizando métodos manuais ou automatizados deve
ter como regra básica a capacidade de diferenciar o usuário autorizado e o não
autorizado mediante sua identificação, assim atentando às seguintes premissas:
• O que a pessoa é: sua identificação ou características biométricas;
• O que a pessoa possui: uso de cartões ou chaves;
• O que a pessoa sabe: uso de senha ou códigos.
É possível notar o uso de duas destas premissas em um exemplo bastante comum
como o caixa de banco automático. O que o usuário possui, como o cartão magnético e
o que ele sabe, como a senha de acesso. Sistemas que utilizam apenas uma das
premissas estão mais suscetíveis à falhas provenientes por perda, uso indevido e
falsificações, sendo mais confiável o uso de mais de uma premissa. Um sistema de
controle de acesso também pode conter as seguintes características:
• Proteção contra ataques forçados: o esquema de controle deve ter a
eficiência para evitar invasões mediante o corte de energia ou força bruta.
• Capacidade de expansão: o sistema deve ter capacidade de crescimento
ou mudanças. Tais mudanças são provenientes do aumento de usuários
autorizados, alterações nos níveis de privilégios de acesso. Também deve

88
conter modems (modulador/demodulador) ou redes virtuais privadas
possibilitando o controle de acesso em pontos remotos.
• Habilidade de registrar acessos: deve ser capaz de registrar os acessos de
modo que permita consultas posteriores, monitoração e auditorias com
aplicação de filtros de pesquisa. Assim, o sistema deve gravar pelo
menos a data, hora, local e a identificação da pessoa. E para os acessos
inválidos devem ser gravadas as datas, hora, local, identificação e a razão
do bloqueio.
• Bloqueio de múltiplos acessos: o sistema deve bloquear a entrada de uma
determinada pessoa até que sua saída seja efetuada, assim evitando o uso
da mesma identificação por mais de uma pessoa. Para evitar o acesso
múltiplo, o sistema também deve permitir apenas a entrada de uma
pessoa a cada acesso válido. Podem ser usadas, por exemplo, catracas ou
portas giratórias que são utilizadas em bancos brasileiros permitindo a
passagem de uma pessoa por vez. É recomendada a utilização de uma
monitoração intensa para dispositivos de controle de baixa altura como
roletas e catracas, pois é possível ser pulado por pessoas. Assim se a
intenção for utilizar um ponto de acesso com pouca supervisão, devem
ser usados dispositivos de altura plena.
Tipos de Controle de Acesso Físico
Grades e muros: Inibem a presença de curiosos e pessoas não autorizadas
estabelecendo um limite. Grades devem ter alarmes ou estar sob vigilância de guardas,
cachorros ou monitores de televisão.

89
Cancelas: Podem ser simples para locais abertos ou articuladas para locais que
obstruam o seu levantamento. As cancelas podem ser controladas manualmente, por
meio de botões, cartões magnéticos, de código de barras ou cartões de proximidade e
por algum dispositivo biométrico (referente à biometria) como o de verificação de
digital, o mais comum.
Guardas: podem ser posicionados em pontos estratégicos para melhor controlar
o acesso e permiti-lo apenas a pessoas autorizadas. Sua atuação é bastante eficaz na
inspeção de pacotes e outros objetos de mão na entrada ou saída. Autenticação por
senha: geralmente feita por meio da digitação da senha em um teclado junto ao ponto
de acesso. Ao ser digitada corretamente abre-se a porta ou outro tipo de acesso. A
senha também pode ser utilizada em um cartão ou crachá de identificação, sendo
recomendada a ausência de identificação visual, informações ou perfurações no cartão
ou crachá referentes aos privilégios de acesso, evitando o uso indevido em caso de
perda ou furto.
Portas duplas: geralmente usadas para forçar pessoas que estão tentando ter o
acesso a identificarem-se para um guarda, que pode se posicionar na entrada da
segunda porta ou por um sistema de televisão e áudio. Pode ser aplicada em situações
que uma pessoa persegue outra para tentar obter acesso a áreas restritas.
Torniquetes: é um equipamento que permite o fluxo controlado de pessoas nos
dois sentidos de giro (uni ou bidirecional). Aceita a condição monitorada de entrada e /
ou saída com restrições de autorização da passagem ou ainda por horário por meio do
coletor de dados.
Podem ser integrados com vários validadores ou equipamentos de controle (por
cartão magnético, código de barras, proximidade, smart cards, dispositivos

90
biométricos etc.) e ainda com dispositivos de comando à distância como controle
remoto ou similares.
Controle de acesso biométrico: Biometria é mais bem definida como sendo a
mensuração fisiológica e/ou característica de comportamento que pode ser utilizada
para verificação de identidade de um indivíduo. A mensuração inclui impressões
digitais, voz, retina, íris, reconhecimento de face, imagem térmica, análise de
assinatura, palma da mão e outras técnicas. A biometria tem vantagens no seu uso
sobre os outros métodos de autenticação. Cartões magnéticos, crachás, smart cards,
chaves podem ser perdidos, duplicados, roubados e mesmo esquecidos em casa.
Senhas podem ser observadas, compartilhadas ou esquecidas, o que não acontece com
alguns sistemas da biometria. O usuário é identificado por características únicas,
pessoais e intransferíveis, ou seja, pelo que ele é e não pelo que possui (cartões ou
crachás) ou sabe (senhas).
Crachás: funcionários e visitantes devem ser obrigados a usá-los para obterem o
acesso. Para maior segurança é recomendado que os crachás tenham poucas
informações como assinaturas e detalhes impressos sobre os privilégios de acesso do
funcionário. A identificação pode ser feita por códigos ou cores e o número de série
dos crachás deve ser único.
Tipo de Crachás: funcionário, prestador de serviço, visitante, provisório, sócio
(para clubes), aluno (para academias e escolas), especial (o qual pode ser
personalizado, por exemplo, estagiário, temporário etc.).
Portarias: as portarias devem fazer o registro e a baixa dos visitantes,
agendamento de visitantes ou grupos de visitantes, distribuição dos crachás
provisórios e o registro do movimento de veículos. Também deve ser feita a

91
verificação se o visitado está presente na empresa no momento da visita e até se o
visitante tem alguma restrição ou proibição de acesso.
Para aumentar o nível de segurança da empresa deve ser feita a verificação se a
visita foi pré-agendada, assim facilitando o processo de registro do visitante.
Devem ser registrados os seguintes dados do visitante: nome, empresa,
documento, visitado e motivo da visita. A confecção de um crachá ou etiqueta para o
visitante pode ser feita caso seja possível capturar a imagem e imprimir a mesma. No
caso de um crachá provisório comum, recolhê-lo na saída possibilitando a reutilização
por outro visitante. Caso a baixa do crachá não tenha sido efetuada, deve-se verificar
se o visitante ainda está no local e se o seu número de crachá confere com o registro,
assim protegendo contra extravios dos mesmos.

92
3 ESTUDO DE CASO
3.1 Política de segurança
3.1.1 Situação Atual em Relação à Política de Segurança
Não existe uma Política de Segurança Corporativa formal abordando toda a
norma ISO/IEC 17799 com divulgação, conscientização e treinamento definido e
apoiado pela alta direção da ELECTRA. Existe sim uma Política de Segurança
desatualizada (criada há cerca de 20 anos) e que por isso não é plenamente seguida,
pois não retrata a situação atual.
A análise dos riscos da ELECTRA é ponto de partida para a definição de uma
boa Política de Segurança Corporativa.
3.1.1.1 Comitê Gestor
Não existe um Comitê Gestor Corporativo específico de segurança formalizado
para implementação e manutenção da Política de Segurança da Informação. Apenas
existe uma equipe no departamento de segurança estudando a Norma.

93
A Norma ABNT ISO/IEC 17799 trata desse assunto em seu item 3.1 Política de
Segurança da seguinte forma:
“Convém que a direção estabeleça uma Política clara e demonstre apoio e
comprometimento com a segurança da informação através da emissão e manutenção
de uma Política de Segurança da Informação para toda a ELECTRA”.
3.1.2 Recomendações quanto à Política de Segurança
Criar e aprovar, em caráter de emergência, a Política de Segurança Corporativa
da Informação de acordo com as normas, legislações vigentes e cultura da ELECTRA.
Criar um Departamento de Segurança da Informação com um Gerente (Security
Officer);
Criar um Comitê Gestor Corporativo para implementação, manutenção e revisão
de Política de Segurança da Informação na ELECTRA;
Criar fóruns apropriados, com liderança da alta direção, para gerir, estabelecer e
aprovar uma Política de Segurança da Informação, sendo publicada e divulgada para
todos os funcionários em toda a ELECTRA, de forma relevante, acessível e
compreensível ao público-alvo.
A política de segurança deve afirmar o compromisso e o apoio da alta
administração da ELECTRA e descrever a abordagem da organização quanto ao
gerenciamento da segurança da informação;

94
É necessário também se obter uma boa compreensão dos requisitos de
segurança, da avaliação dos riscos e da administração dos riscos;
Recomenda-se realizar treinamentos de conscientização e educação específica
sobre a Política de Segurança Corporativa;
Recomenda-se implantar um amplo e equilibrado sistema de aferição baseado
em revisões periódicas, utilizado para avaliar o desempenho na administração da
segurança da informação e sugestões de feedback para aperfeiçoamentos;
Recomenda-se assegurar que se realizem revisões em resposta a quaisquer
mudanças que afetem as bases da avaliação original dos riscos, como por exemplo:
• Incidentes de segurança significativos;
• Mudanças da infra-estrutura organizacional ou técnica;
• Novas vulnerabilidades.
As responsabilidades pelo cumprimento dos processos de segurança e suas
implicações devem estar claramente definidas e serem revistas sempre;
Convém que todos os prestadores de serviços e estagiários assinem um termo de
compromisso com a nova Política de Segurança da Informação da ELECTRA.

95
3.1.3 Plano de Ação
Geral
Este plano possibilita a solução dos itens do módulo de Política de Segurança
através de:
• Criação e aprovação, em caráter de emergência, da Política de Segurança
Corporativa da Informação de acordo com as Normas, Legislações e
cultura da ELECTRA, com apoio irrestrito da alta direção.
• Nomeação de um Gerente de Segurança da Informação (Security
Officer);
• Criação de um Comitê Gestor para implementação, manutenção e revisão
da Política de Segurança da Informação na ELECTRA;
• Elaboração, treinamento e manutenção constante da Política de
Segurança.
Política de Segurança da informação (corresponde ao item 1
questionário - APÊNDICE B)
• Devem ser oferecidos orientação e suporte à administração para a
segurança da informação;
• A administração deve estabelecer uma diretriz de política bem definida e
demonstrar o seu apoio e compromisso com a segurança da informação,

96
através da emissão e manutenção de uma política de segurança da
informação em toda a organização.
Documento de definição da política de segurança de informação
(corresponde ao item 2 do questionário - APÊNDICE B)
• A política deve ser aprovada pela administração, publicada e divulgada
para todos os empregados, da maneira apropriada;
• Deve ser firmado compromisso da administração, descrevendo a
abordagem da organização quanto ao gerenciamento da segurança da
informação;
• Deve ser divulgado aos usuários em toda a organização, de uma forma
relevante, acessível e compreensível ao público-alvo;
• Devem ser incluídas orientações como definição da segurança da
informação, seus objetivos globais e escopo e da importância da
segurança como um mecanismo capacitador para o compartilhamento de
informações, declaração da intenção da administração, apoiando as metas
e os princípios da segurança da informação, breve explicação das
políticas de segurança, dos princípios, normas e requisitos de
conformidade que sejam de especial importância para a organização
(cumprimento de exigências legais e contratuais, requisitos de
treinamento em segurança, prevenção e detecção de vírus e outros
softwares mal intencionados, gerenciamento da continuidade dos
negócios, conseqüências de violações da política de segurança);

97
• Devem ser definidas responsabilidades gerais e específicas pelo
gerenciamento da segurança da informação, incluindo a comunicação de
incidentes de segurança;
• Devem existir referências à documentação que poderá apoiar a política,
como por exemplo políticas e procedimentos de segurança mais
detalhados para determinados sistemas de informações ou normas de
segurança às quais os usuários devem obedecer.
Política – Revisão e Avaliação (corresponde ao item 3 do questionário -
APÊNDICE B)
• A política deve ter um gestor que será responsável por sua manutenção e
revisão de acordo com um processo de revisão definido;
• Devem ser asseguradas revisões em resposta a quaisquer mudanças que
afetem as bases da avaliação original dos riscos;
• Devem existir revisões periódicas, programadas, quanto à eficácia da
política, demonstrada pela natureza e pelo número e impacto dos
incidentes de segurança registrados, custo dos controles e seu impacto
sobre a eficiência da empresa e efeitos das mudanças tecnológicas.

98
3.2 Segurança organizacional
OBJETIVO:
Administrar a segurança da informação dentro da ELECTRA, estabelecendo
referencial de gerenciamento para implementação da segurança da informação na
ELECTRA.
• O primeiro passo para a Segurança Organizacional é a criação de um
Comitê de Segurança com líderes gerenciais, a fim de:
• Aprovar a Política de Segurança da Informação;
• Atribuir funções de segurança;
• Coordenar a implementação da segurança em toda a ELECTRA.
• Convém que o comitê gestor faça pesquisas (as quais devem ser
disponibilizadas para toda a ELECTRA), principalmente para:
• Acompanhar as tendências do mercado;
• Monitorar as normas e métodos de avaliação;
• Fornecer pontos de contato apropriados para tratar de incidentes de
segurança.
• O Comitê deve possuir abordagem multidisciplinar em relação à
segurança da informação e envolver a cooperação e colaboração de

99
gerentes, usuários, administradores, criadores de aplicativos, auditores e
pessoal de segurança, ou seja, toda a ELECTRA;
• Convém que a ELECTRA nomeie um gerente de segurança da
informação para assumir responsabilidade global pelo desenvolvimento e
implementação da segurança e pelo apoio à identificação dos controles.
• A responsabilidade pela obtenção dos recursos e pela implementação dos
controles poderá ficar a cargo dos gerentes individuais;
• Deve ser nomeado um gestor para cada ativo de informação, que passará
a ser responsável pela segurança no dia-a-dia.
3.2.1 Responsabilidades do Comitê de Segurança
OBJETIVO: Promover a segurança dentro da ELECTRA, através de um
compromisso apropriado e de recursos adequados.
Pode ser parte de um órgão gerencial existente, desempenhando as seguintes
funções:
• Revisão e aprovação da Política de Segurança da Informação e das
responsabilidades globais;
• Monitoração de mudanças significativas na exposição dos ativos de
informação a ameaças relevantes;
• Revisão e monitoração de incidentes de segurança;

100
• Aprovação de iniciativas relevantes para aperfeiçoar a segurança da
informação;
3.2.2 Coordenação do Comitê de Segurança na ELECTRA
Esta coordenação pode ser formada por representantes gerenciais de partes
relevantes da ELECTRA para coordenar a implementação dos controles de segurança
da informação.
O Comitê se encarregará de:
• Estabelecer papéis e responsabilidades específicos para a segurança da
informação em toda a ELECTRA;
• Estabelecer metodologias e processos específicos de segurança da
informação;
• Estabelecer e apoiar iniciativas de segurança da informação em âmbito
de toda a ELECTRA como, por exemplo, programa de conscientização;
• Garantir que a segurança faça parte do processo de planejamento das
informações;
• Avaliar a adequação e coordenar a implementação de controles
específicos de segurança da informação para novos sistemas ou serviços;
• Analisar incidentes de segurança da informação;

101
• Promover a visibilidade do apoio empresarial à segurança da informação
em toda a ELECTRA.
Atribuição de responsabilidades pela segurança da informação
O Security Officer (Gerente do Comitê Gestor de Segurança da Informação)
continua tendo a responsabilidade final pela segurança do ativo e deve ser capaz de
verificar se uma competência delegada foi cumprida corretamente.
É essencial que as áreas de responsabilidade de cada gerente sejam claramente
definidas. Em particular deve ocorrer o seguinte:
• Os diversos ativos e processos de segurança associados a cada sistema
individual devem ser identificados e claramente definidos;
• Deve ser designado um gestor responsável para cada ativo ou processo
de segurança e os detalhes desta responsabilidade devem ser
documentados;
• Os níveis de autorização devem ser claramente definidos e
documentados.
Cooperação entre o Data Center da ELECTRA e outras Organizações
Cabe ao Comitê manter contato com autoridades policiais, órgãos reguladores,
provedores de serviços de informação e operadoras de telecomunicações para garantir
a tomada rápida de providências e a obtenção de orientação em caso de um incidente
de segurança;
102
Deve haver intercâmbio de informações de segurança de modo restrito para
garantir que não sejam divulgadas informações confidenciais da ELECTRA a pessoas
não autorizadas.
3.2.3 Situação Atual em relação à Segurança Organizacional
Não existe um comitê gestor específico formalizado para implementação e
manutenção da Segurança da Informação;
Existe informalmente um grupo de segurança no departamento de rede;
Atualmente, são realizados alguns contatos com especialistas externos em
segurança e já se realizaram algumas palestras e reuniões, mas ainda de forma
incipiente;
A monitoração de mudanças significativas na exposição dos ativos de
informação tem sido observada atualmente como, por exemplo, ocorreu na
centralização dos almoxarifados regionais;
Atualmente, existe uma grande preocupação por parte das gerências com a
segurança e existem iniciativas relevantes para aperfeiçoar a segurança da informação;
Ainda não existe uma gerência responsável por todas as atividades relacionadas
à segurança (Comitê Gestor de Segurança da Informação);
Não existe um contrato com organização especializada em administração dos
riscos;
103
Não existe atualmente um programa de conscientização de segurança, com
treinamentos específicos da Política de Segurança, palestras e peças;
Atualmente, a segurança faz parte do processo do planejamento das
informações;
Atualmente, existem políticas para vários ativos como, por exemplo, utilização
de crachás e leitoras;
Os gerentes responsáveis por cada ativo ou processo de segurança, os detalhes
das atribuições e responsabilidades só estão documentados via sistema, de forma
passiva, e sem um plano de divulgação programado;
Os níveis de autorização estão claramente definidos e documentados também
nesse mesmo sistema;
Atualmente, não é permitido o uso de equipamentos pessoais, mas esse fato
ocorre esporadicamente;
Cooperação entre organizações
Atualmente, não são mantidos contatos formais com autoridades policiais,
órgãos reguladores de energia, água e operadoras de telecomunicações para garantir a
tomada rápida de providências e a obtenção de orientação em caso de incidente de
segurança;
Não existe uma contingência no caso do contrato com a organização que oferece
serviços de telefonia;
Na área de rede existe uma política de contingência de backup.

104
Acesso de Terceiros
É deficiente o controle sobre os terceiros que deixam de prestar serviços à
ELECTRA, continuando, em alguns casos, com seus acessos ativos;
Existem terceiros que prestam serviços, que não estão localizados no site, mas
podem ter acesso físico e lógico.
3.2.4 Recomendações quanto à Segurança Organizacional da ELECTRA
Criar um Comitê Gestor Específico de Segurança da Informação com atribuição
de funções e atividades;
Criar, aprovar e divulgar a Política de Segurança Corporativa;
Envolver a cooperação e colaboração de diretores, gerentes, usuários,
administradores, criadores de aplicativos, prestadores de serviços, fornecedores e
auditores, incluindo a assinatura de um Termo de Compromisso com Política de
Segurança;
Nomear um gestor para cada ativo;
Estabelecer pontos de contatos para tratar incidentes de segurança;
O comitê deve possuir uma abordagem multidisciplinar em relação à segurança;
Monitorar as mudanças significativas na exposição dos ativos de informação;

105
O acesso físico e lógico de terceiros às instalações de processamento de
informações da ELECTRA deve ser baseado em contrato formal que contenha
referência a todos os requisitos de segurança para assegurar a conformidade com as
políticas e normas de segurança da ELECTRA
A ELECTRA deve rever todos os contratos de terceiros que tenham acesso
físico e lógico, para implementar os requisitos de segurança dispostos na Norma
ISO/IEC 17799;
Estabelecer adendos nos contratos atuais de terceiros, disposições para a
designação de outros participantes qualificados e as condições para o seu acesso. A
cada dia esse tipo de procedimento torna-se comum. É conhecido como “contrato
guarda-chuva”;
O nível de acesso para terceiros, que ficam localizados no site durante um
determinado tempo, deve ser definido em contrato, como por exemplo: pessoal de
manutenção e suporte de hardware e software; pessoal de limpeza, guardas de
segurança e outros serviços de suporte terceirizados, estagiários e demais nomeações
ocasionais em curto prazo e consultores. O ideal é exigir que os mesmos passem por
treinamento de conformidade com a Norma ISO / IEC 17799, que trata da Gestão de
Segurança nas Organizações;
Só se deve conceder o acesso às informações e às instalações de processamento
de dados por terceiros, após a implementação de controles apropriados e assinado um
contrato que defina as condições do acesso;

106
Deve-se especificar no contrato que a ELECTRA receberá indenização por parte
de seu fornecedor, caso ocorra algum incidente causado por algum funcionário do
prestador de serviços;
Deve-se especificar no contrato que a ELECTRA terá direito de monitorar e
revogar as atividades de usuário, o direito de auditar as responsabilidades contratuais
ou de fazer com que tal auditoria seja realizada por um terceiro;
Quanto ao uso de equipamento pessoal no ambiente de trabalho, convém que
seja avaliado, autorizado e monitorado.
Geral
• Nomear um Gerente de Segurança, criar um Comitê Gestor de
Segurança, contratar uma empresa especializada para auxiliar na
elaboração da Política de Segurança da Informação com Marketing de
divulgação e treinamento de conscientização adequado;
• Criar a Classificação das Informações;
• Implantar um Plano de Contingência e PCN - Plano de Continuidade de
Negócios;
• Revisão de todos os Contratos com Terceiros;

107
• Exigir em contrato que o terceiro desenvolva treinamento de
conformidade com a Norma ISO/IEC 17799.
• Estabelecer pontos de contatos para tratar incidentes de segurança;
• Estabelecer uma contingência junto à organização prestadora de serviços
de telefonia.
Comitê de Segurança (corresponde ao item 1 do questionário -
APÊNDICE B)
• Criar comitê de administração de segurança da informação com líderes
gerenciais;
• Estabelecer contatos com especialistas externos em segurança;
• Conceder ao comitê abordagem multidisciplinar em relação à segurança;
• Estabelecer como atribuições do Comitê a revisão e aprovação da
política de segurança das informações e das responsabilidades globais e
revisão e monitoração incidentes de segurança;
• Monitorar mudanças significativas na exposição dos ativos de
informação;
• Realizar iniciativas relevantes para aperfeiçoar a segurança da
informação;
• Nomear um gerente responsável por todas as atividades relacionadas com
a segurança (Security Officer).

108
Coordenação e Responsabilidades da Segurança das Informações
• Estabelecer papéis e responsabilidades específicas para a segurança das
informações em toda a organização, com metodologias e processos
específicos;
• Estabelecer e apoiar iniciativas de segurança das informações em âmbito
de toda a organização;
• Tornar a segurança parte integrante do processo do planejamento das
informações;
• Avaliar a adequação e coordenar a implementação de controles
específicos de segurança das informações para novos sistemas ou
serviços;
• Tratar os incidentes de segurança da informação de forma correta;
• Definir claramente as responsabilidades pela proteção de ativos
individuais e pela execução de processos específicos de segurança;
• A Política de Segurança deve fornecer diretrizes gerais sobre a atribuição
de papéis e responsabilidades de segurança dentro da organização;
• Deverá ser criado o cargo de Gerente de Segurança da Informação
(Security Officer) que assumirá responsabilidade global pelo
desenvolvimento e implementação da segurança;

109
• Designar um gestor para cada ativo de informação, que será o
responsável pela sua segurança no dia-a-dia;
• Definir claramente as áreas de responsabilidade de cada Gerente;
• Identificar claramente os diversos ativos e processos de segurança
associados a cada sistema individual;
• Documentar as responsabilidades que cada Gerente tem sobre cada ativo
ou processo de segurança;
• Tornar segura a administração de usuários, autorização, sua finalidade e
utilização;
Consultoria Interna (corresponde ao item 3 do questionário -
APÊNDICE B)
• Deve existir um consultor interno de segurança experiente que terá
acesso a consultores externos apropriados para lhes dar assistência em
assuntos fora de sua área de experiência e terá acesso direto a todos os
níveis de gerência dentro da organização;
• Tratar de forma correta os casos de suspeita de incidente ou violação de
segurança;
110
Cooperação entre Organizações (corresponde ao item 4 do questionário
- APÊNDICE B)
• Manter contatos com autoridades policiais, órgãos reguladores,
provedores de serviços de informações e operadoras de telecomunicações
para garantir a tomada rápida de providências e a obtenção de orientação
em caso de um incidente de segurança;
• Providenciar filiação a associações de segurança.
Revisão da Segurança (corresponde ao item 5 do questionário -
APÊNDICE B)
• A implementação da Política de Segurança deve ser revista por um órgão
independente, para dar a garantia de que as práticas organizacionais
refletem corretamente a política e que elas são viáveis e eficazes.
Acesso de Terceiros (corresponde ao item 6 do questionário -
APÊNDICE B)
• Deve-se fazer o controle de acesso físico de terceiros de forma correta;
• Deve ser feita uma avaliação de riscos para determinar as implicações de
segurança e os requisitos de controle, nos casos em que os negócios
exigem o acesso de terceiros;
• Definir em contrato com o terceiro os controles de acesso;

111
• Incluir nos contratos que concedem acesso a terceiros, disposições para a
designação de outros participantes qualificados e as condições para o seu
acesso;
• Nos casos em que os negócios exigirem a conexão com um local de
terceiros, deve ser realizada uma avaliação de riscos para identificar
quaisquer requisitos de controles específicos, levando em conta o tipo de
acesso necessário, o valor das informações, os controles utilizados pelo
terceiro e as implicações desse acesso para a segurança das informações
da organização;
• Deve existir uma política definida para terceiros que ficam localizados
no site durante um determinado tempo, definido em contrato como:
pessoal de manutenção e suporte de hardware e software; pessoal de
limpeza, fornecimento de refeições, guardas de segurança e outros
serviços de suporte terceirizados, estagiários e outras nomeações
ocasionais em curto prazo e consultores;
• O acesso às informações e às instalações de processamento de
informações por terceiros só deve ser concedido após a implementação
de controles apropriados e assinado um contrato que define as condições
da conexão ou do acesso;
• O acesso de terceiros às instalações de processamento de informações da
organização deve ser baseado em contrato formal que contenha
referência a todos os requisitos de segurança para assegurar a
conformidade com as políticas e normas de segurança da organização;

112
• Especificar no contrato que a organização receberá indenização por parte
de seu fornecedor, caso ocorra algum incidente causado por algum
funcionário do prestador de serviços;
• Especificar no contrato que a organização terá direito de monitorar e
revogar as atividades de usuário, o direito de auditar as responsabilidades
contratuais ou de fazer com que tal auditoria seja realizada por um
terceiro;
Nos casos em que a responsabilidade pelo processamento das informações for
confiada a uma organização externa, deve existir a tentativa de garantir a segurança
das informações.
3.3 Classificação e controle dos ativos de informação
OBJETIVO:
Manter uma proteção apropriada dos ativos de informações da ELECTRA.
Contabilização dos Ativos
Todos os ativos de informação devem ser classificados e distribuídos entre os
gestores designados pela ELECTRA;
A responsabilização pelos ativos contribui para garantir que seja mantida uma
proteção apropriada;
113
Devem ser identificados os gestores de todos os ativos relevantes e deve ser
atribuída a responsabilidade pela manutenção e controles apropriados;
A responsabilidade pela implementação dos controles pode ser delegada;
Inventário dos Ativos
Os inventários contribuem para assegurar que haja uma proteção eficaz dos
ativos e podem ser necessários para outros fins empresariais como, por exemplo,
motivos de saúde e segurança, de seguros ou financeiros.
Compilar um inventário dos ativos é um aspecto muito importante do
gerenciamento de riscos.
Devem-se seguir as características abaixo para compilar um
inventário:
Ser capaz de identificar os seus ativos e saber o valor relativo e a importância
dos mesmos;
Oferecer níveis de proteção compatíveis com o valor e a importância dos ativos;
Ter um acordo sobre sua propriedade e classificação de segurança e documentá-
la, juntamente com sua localização corrente;
OBS.: O inventário é muito importante na recuperação após qualquer perda ou
danificação.
114
Exemplos de ativos associados a sistemas de informações:
Ativos de Informação
• Arquivos de dados;
• Documentação de sistemas e manuais de usuário;
• Material de treinamento;
• Procedimentos operacionais ou de suporte;
• Planos de continuidade;
• Arranjos de “fallback” (recursos alternativos);
• Informações arquivadas.
Ativos de Software
• Software aplicativo;
• Software de sistema;
• Ferramentas de desenvolvimento e utilitários.
Ativos Físicos
• Equipamentos de computador (processadores, monitores, laptops,
modems);
115
• Equipamentos de comunicações (roteadores, centrais PABX, máquinas
de fax, secretárias eletrônicas);
• Mídias magnéticas (fitas e discos);
• Outros equipamentos técnicos (fontes de alimentação, unidades de ar-
condicionado);
• Mobiliário;
• Acomodações.
Ativos de Serviços
• Serviços de computação e de comunicações;
• Utilidades públicas em geral, como por exemplo, iluminação,
aquecimento, água, força e ar-condicionado.
3.3.1 Classificação das informações
OBJETIVO:
Assegurar que os ativos de informação recebam um nível de proteção adequado.
A classificação deve indicar:
• A necessidade;
116
• As prioridades;
• O grau de proteção.
• Algumas informações são mais sensíveis e críticas do que outras;
• Alguns itens podem exigir um nível adicional de proteção ou manuseio
especial;
• Deve ser utilizado um sistema de classificação para definir um conjunto
apropriado de níveis de proteção e comunicar a necessidade de medidas
especiais de manuseio.
As diretrizes de classificação
A classificação e os controles protetores devem considerar:
• As necessidades da ELECTRA de compartilhar ou restringir
informações;
• Os impactos empresariais associados a tais necessidades, como acesso
não autorizado ou danos à integridade das informações;
• A classificação atribuída constitui um meio abreviado para determinar
como essa informação deve ser manuseada e protegida;
• As informações e as saídas produzidas por sistemas que processam dados
classificados devem ser rotulados quanto ao seu valor e grau de
sensibilidade para a ELECTRA;

117
• É conveniente rotular as informações para indicar até que ponto são
críticas para a ELECTRA, quanto à sua integridade e disponibilidade.
Alteração do Nível de Classificação
• A informação pode deixar de ser sensível ou crítica após um certo tempo
como, por exemplo, quando foi divulgada para o público;
• Vários aspectos devem ser levados em consideração, pois um excesso de
sigilo pode causar custos adicionais desnecessários à ELECTRA;
• As diretrizes de classificação devem prever e levar em conta o fato de
que a classificação de um determinado item de informação não é
necessariamente imutável no tempo e pode mudar de acordo com uma
política pré-determinada.
Rotulagem e manuseio de informações
Definir um conjunto apropriado de procedimentos para a rotulagem e manuseio
das informações, de acordo com o esquema de classificação adotado pela ELECTRA.
Devem abranger ativos de informação em formato físico e eletrônico.
Para cada classificação devem ser definidos procedimentos de manuseio
referentes aos seguintes tipos de atividade de processamento da informação:
• Cópia;
• Armazenagem;
• Transmissão pelo correio, fax ou por e-mail;

118
• Transmissão oral, incluindo telefone celular, correio de voz e secretárias
eletrônicas;
• Destruição.
A saída produzida por sistemas que contenham informações classificadas como
sensíveis ou críticas deve receber uma classificação apropriada (na saída).
Os itens a serem levados em conta devem incluir relatórios impressos, displays
na tela, informações gravadas (fitas, discos, CD-Roms, cassetes), mensagens
eletrônicas e/ou transferências de arquivo.
Estimativa de Valores dos Ativos da ELECTRA
a) Equipamentos de Grande e Médio Porte (Servidores, Fitoteca, Leitora de
cartuchos, Robô, infra-estrutura física do Data Center etc.): R$ 15.000.000,00.
b) Aplicativos/BD/SO: R$ 48.000.000,00
c) Comunicação (Linhas privadas e etc): R$ 380.000,00
d) Grupo gerador, sistema de ar-condicionado, iluminação de emergência,
sistemas de monitoração (CFTV), alarmes e sensores, sprinklers e etc.: R$
1.800.000,00.
Os dados acima são estimativas aproximadas da realidade tecnológica da
ELECTRA. Eles permitem uma visão financeira dos ativos de informação e mostram
quão importantes serão os investimentos para proteger esses ativos. Portanto, pode-se
dizer que o valor investido em segurança é representativo quando comparado com o
valor total dos ativos.

119
Compilar inventário dos ativos é um aspecto muito importante do gerenciamento
de riscos.
3.3.2 Recomendações sobre os Ativos e Classificação das informações
• Nomear um gestor responsável para cada ativo da empresa analisada
• Compilar um inventário dos ativos físicos e lógicos;
• Identificar o valor dos ativos;
• Elaborar a classificação das informações conforme a Norma ISO/IEC
17799;
• Criar diretrizes de classificação;
• Criar procedimentos para alteração dos níveis de classificação;
• Definir procedimentos de rotulagem de informações.
Geral
Implementar a Classificação das Informações (a metodologia deverá estabelecer
Escalas dos Graus de sigilo e o Teor Crítico das informações da ELECTRA, de modo
a refletir a abrangência de utilização da informação):

120
Escalas dos Graus:
• Pública
• Interna
• Secreta
Teor Crítico:
• Pouco Crítica
• Crítica
• Muito Crítica
Procedimentos de Proteção:
• Criação
• Divulgação
• Reprodução
• Transporte
• Armazenamento
• Destruição
121
Responsabilidade sobre os ativos (equipamentos e Informações)
• Mantida uma proteção apropriada dos ativos da organização;
• Identificados os gestores de todos os ativos relevantes e atribuir a
responsabilidade pela manutenção de controles apropriados;
• Delegar a responsabilidade pela implementação dos controles;
• Providenciar que a responsabilidade continue com o gestor designado do
ativo.
Inventário dos ativos (corresponde ao item 2 do questionário -
APÊNDICE B)
• Inventariar os ativos da empresa;
• Criticar inventário dos ativos;
• Oferecer níveis de proteção compatíveis com o valor e a importância dos
ativos;
• Documentar cada ativo de acordo sobre sua propriedade e classificação
de segurança, juntamente com sua localização corrente (muito importante
na recuperação após qualquer perda ou danificação).

122
Classificação e controle de ativos (item 3 do questionário - APÊNDICE
B)
• Tornar capaz a identificação dos ativos e saber o valor relativo e a
importância dos mesmos;
• Elaborar e manter um inventário dos ativos importantes associados a
cada sistema de informações.
Classificação das informações (item 4 do questionário - APÊNDICE B)
• Classificar as informações para assegurar que os ativos de informação
recebam um nível de proteção adequado;
• A classificação deverá indicar a necessidade, as prioridades e o grau de
proteção;
• Utilizar um sistema de classificação para definir um conjunto apropriado
de níveis de proteção e comunicar a necessidade de medidas especiais de
manuseio;
Diretrizes de classificação (corresponde ao item 5 do questionário -
APÊNDICE B)
• A classificação e os controles protetores associados devem levar em
consideração as necessidades da empresa de compartilhar ou restringir
informações e os impactos empresariais associados a tais necessidades,

123
• Permitir que a classificação atribuída constitua um meio abreviado para
determinar como a informação é manuseada e protegida;
• As informações e as saídas produzidas por sistemas que processam dados
classificados devem ser rotulados quanto ao seu valor e grau de
sensibilidade para a organização;
• As informações devem ser rotuladas para indicar até que ponto são
críticas para a organização, quanto à sua integridade e disponibilidade.
Alteração do nível de Classificação (corresponde ao item 6 do
• Devem ser levados em conta aspectos, em que um excesso de sigilo pode
causar custos adicionais desnecessários à empresa;
• As diretrizes de classificação devem prever e levar em conta o fato de
que a classificação de um determinado item de informação não é
necessariamente imutável no tempo e que pode mudar de acordo com
uma política pré-determinada;
• O número de categorias de classificação e os benefícios que se obtêm do
seu uso devem ser levados em conta;
• Devem ser tomados cuidados ao interpretar rótulos de classificação em
documentos de outras organizações, que poderão ter diferentes
significados para rótulos iguais ou similares;

124
• A responsabilidade pela definição da classificação de uma determinada
informação e pela revisão periódica desta classificação deve ser delegada
pela pessoa que originou a informação ou do gestor designado da
informação.
Rotulagem e manuseio de informações (corresponde ao item 7 do
• Deve ser definido um conjunto apropriado de procedimentos para a
rotulagem e manuseio das informações, de acordo com o esquema de
classificação adotado pela organização.
• Devem ser abrangidos os ativos de informação em formato físico e
eletrônico;
• Para cada classificação devem ser definidos procedimentos de manuseio
referentes aos seguintes tipos de atividade de processamento da
informação: relatórios impressos, displays na tela, informações gravadas
(fitas, discos, CD-ROMs, cassetes), mensagens eletrônicas e
transferências de arquivo;
• Recomenda-se utilizar etiquetas físicas na rotulagem.
3.4 Segurança em pessoas
OBJETIVO:
125
Manter a segurança das instalações de processamento de informações e dos
ativos de informação da ELECTRA acessados na organização.
• O acesso lógico e físico de deve ser rigidamente controlado;
• Nos casos em que os negócios exigem o acesso de terceiros, convém que
seja feita uma avaliação de riscos para determinar as implicações de
segurança e os requisitos de controle, principalmente para sistemas
críticos;
• Os controles devem ser acertados e definidos em um contrato de
confidencialidade com os funcionários da ELECTRA e os terceiros e
seus funcionários e sempre que houver substituição de seu pessoal ou
movimentação interna que implique em mudança de responsabilidades, o
sucessor deve assinar o contrato de confidencialidade e principalmente
quando a empresa terceirizada subcontratar serviços;
• Os contratos que concedem acesso a terceiros devem incluir disposições
para a designação de outros participantes qualificados e as condições
para o seu acesso.
Motivos para acesso de terceiros
Existem terceiros que prestam serviços à ELECTRA e não estão localizados no
seu site, mas podem ter acesso físico e lógico, tais como:
• Pessoal de suporte de hardware e software que precisa de acesso à
funcionalidade de aplicativos em nível de sistema ou em baixo nível;

126
• Parceiros de negócios ou joint ventures, que poderão fazer o intercâmbio
de informações, acessar sistemas de informações ou compartilhar os
dados da ELECTRA.
Terceiros no site da ELECTRA
Terceiros que ficam localizados no site durante um determinado tempo, definido
em contrato, também podem causar brechas de segurança, como por exemplo:
• Pessoal de manutenção e suporte de hardware e software;
• Pessoal de limpeza, fornecimento de refeições, guardas de segurança e
outros serviços de suporte terceirizados;
• Estagiários e outras nomeações ocasionais em curto prazo.
Empreiteiros no site da ELECTRA
• É essencial entender quais são os controles necessários para administrar
o acesso de terceiros a instalações de processamento de informações;
• Os requisitos de segurança decorrentes do acesso de terceiros ou
controles internos devem estar contidos no contrato com o terceiro;
• Se houver uma necessidade especial de confidencialidade das
informações, podem ser utilizados termos de compromisso de não-
revelação.
127
Cuidados que a ELECTRA deve observar em relação ao acesso de
terceiros
As informações podem ser colocadas em risco pelo acesso de terceiros se a
administração da segurança for inadequada.
Nos casos em que os negócios exigem a conexão com um local de terceiros,
deve ser feita uma avaliação de riscos para identificar quaisquer requisitos de controles
específicos.
A avaliação deve levar em conta:
• O tipo de acesso necessário;
• O valor das informações;
• Os controles utilizados pelo terceiro;
• As implicações deste acesso para a segurança da informação da
ELECTRA.
3.4.1 Terceirização
OBJETIVO:
Manter a segurança da informação nos casos em que a responsabilidade pelo
processamento das informações da ELECTRA for confiada a uma organização
externa.
128
• Os requisitos de segurança da organização (que entrega a terceiros o
gerenciamento e controle de todos ou de alguns dos seus sistemas de
informações e ambientes de rede e/ou desktops) devem ser tratados em
um contrato celebrado entre as partes;
• As condições apresentadas no item 4.2.2 da Norma ABNT ISO/IEC
17799 devem ser consideradas como parte desse contrato.
O contrato com terceiros da ELECTRA deve cobrir os seguintes itens:
• O modo de atender às exigências legais como, por exemplo, a legislação
de proteção dos dados;
• Os arranjos a serem implementados para garantir que todas as partes
envolvidas na terceirização, incluindo sub-empreiteiras, estejam cientes
de suas responsabilidades de segurança;
• O modo de manter e testar a integridade e confidencialidade dos ativos
empresariais da ELECTRA;
• Os controles físicos e lógicos a serem utilizados para restringir e limitar
aos usuários autorizados o acesso às informações empresariais sensíveis
da ELECTRA;
• O modo de manter a disponibilidade dos serviços em caso de um
acidente;
• Os níveis de segurança física a serem fornecidos para os equipamentos
terceirizados;
129
• O direito de auditoria.
3.4.2 Fatores humanos
OBJETIVO:
Reduzir os riscos de falha humana, furto, fraude e/ou uso indevido das
instalações.
As responsabilidades devem ser atendidas desde a fase de recrutamento,
incluídas nos contratos e monitoradas enquanto durar o vínculo empregatício.
Deve ser exigido do empregado o acordo por escrito de não divulgação das
informações.
Segurança nas responsabilidades da função
As responsabilidades de segurança que devem ser documentadas sempre:
• Responsabilidades gerais pela implementação e manutenção da política
de segurança;
• Responsabilidades específicas pela proteção de determinados ativos;
• Responsabilidades pela execução de determinados procedimentos ou
atividades de segurança.
130
Triagem de pessoal e política
Verificar antecedentes do pessoal permanente, contratados e estagiários por
ocasião da admissão, em cuja triagem deve-se observar o seguinte:
• Existência de referências satisfatórias como, por exemplo, uma
profissional e uma pessoal;
• Se o currículo apresentado pelo candidato é completo e correto;
• Qualificações acadêmicas e profissionais apresentadas pelo candidato;
• Identidade e CPF do candidato.
Quando um cargo proporcionar acesso a equipamentos de processamento de
informações sensíveis (informações financeiras ou informações altamente
confidenciais), deve-se observar:
• A situação de crédito do empregado. Para o pessoal em funções com
grande autoridade repetir periodicamente a verificação;
• Processo de triagem similar deve ser realizado para subcontratados e
pessoal temporário.
Nos casos em que terceiros são fornecidos por uma agência, o contrato com a
agência deve especificar claramente as seguintes responsabilidades:
• Triagem e procedimentos de notificação que ela deverá adotar se o
processo de triagem não foi completado. Se os seus resultados derem
motivo a dúvidas ou a preocupações;

131
• Avaliar o grau de supervisão necessário para pessoal novo e inexperiente,
com autorização de acesso a sistemas sensíveis;
• O trabalho de todo o pessoal deve ser sujeito a exames periódicos e a
procedimentos de aprovação por um membro mais graduado do quadro.
Os gerentes devem se dar conta do fato de que circunstâncias pessoais dos seus
subordinados podem afetar o trabalho dos mesmos e devem ficar atentos às seguintes
situações:
• Problemas pessoais e financeiros, mudanças de comportamento ou de
estilo de vida, faltas constantes e sinais de estresse ou depressão
poderiam levar a fraude, furto, erros ou outras implicações de segurança;
• As informações devem ser tratadas de acordo com a legislação
apropriada, vigente na jurisdição em questão.
Compromissos de confidencialidade
• Usam-se compromissos de confidencialidade ou não-revelação para
indicar que determinadas informações são confidenciais ou secretas;
• Empregados devem assinar tais compromissos como parte do seu
contrato de trabalho;
• Pessoal temporário e os usuários externos devem assinar compromisso de
confidencialidade antes de terem acesso a instalações de processamento
de informações.
Devem-se rever os compromissos de confidencialidade sempre que:

132
• Houver mudanças nas condições de emprego ou no contrato;
• Os empregados estiverem para sair da ELECTRA;
• Os contratos estiverem para terminar.
Termos e condições de emprego
• Os termos e condições de emprego devem estipular a responsabilidade
do empregado pela segurança da informação;
• Eventualmente essas responsabilidades devem continuar em vigor
durante um determinado período após o término da relação de emprego;
• Devem incluir as providências a tomar se o empregado deixar de atender
às exigências contratuais.
Devem ser incluídas nos contratos as responsabilidades e direitos legais do
empregado, em relação aos seguintes fatores:
• As leis de copyright;
• A legislação de proteção dos dados;
• A classificação e gestão dos dados do empregado;
• As responsabilidades que se aplicam fora das instalações da ELECTRA e
fora do horário normal de trabalho e fora do local de trabalho (uso de
notebook).
133
Treinamento dos usuários
• Conscientizar os usuários sobre as ameaças e preocupações e assegurar
que eles estejam em condições de apoiar a política de segurança da
ELECTRA no decorrer do seu trabalho normal;
• Os usuários devem receber treinamento sobre procedimentos de
segurança e sobre o uso correto das instalações de processamento de
informações, a fim de minimizar os possíveis riscos de segurança;
• Todos os empregados da ELECTRA e os usuários externos devem
receber treinamento adequado e atualizações regulares sobre as políticas
e os procedimentos da ELECTRA, antes de terem acesso às informações
ou aos serviços;
• Incluir requisitos de segurança, responsabilidades legais e controles
empresariais e treinamento sobre o uso correto dos equipamentos de
processamento de informações.
Reação a incidentes de segurança e falhas
• Minimizar os prejuízos causados por incidentes de segurança e falhas e
monitorar tais incidentes;
• Os incidentes que afetarem a segurança devem ser comunicados o quanto
antes, através dos canais administrativos apropriados;
• Empregados e subcontratados devem estar informados sobre os
procedimentos de comunicação dos diversos tipos de incidentes.

134
Comunicação de pontos fracos de segurança
• Usuários de serviços de informações devem anotar e comunicar pontos
fracos de segurança observados ou suspeitos e quaisquer ameaças ao
ambiente, sistemas ou serviços;
• Devem comunicar essas questões à sua gerência ou diretamente ao seu
provedor de serviços, com a máxima rapidez;
• Convém informar aos usuários que eles não devem em hipótese alguma
testar a veracidade de um ponto fraco suspeito;
• O teste de um ponto fraco poderia ser interpretado como um uso abusivo
potencial do ambiente, sistema ou serviço.
Estabelecer procedimentos para comunicar falhas de segurança do ambiente,
como:
• Anotar os problemas e as características ou sintomas que evidenciem a
sua presença;
• O gestor de segurança, brigada presente no local e/ou o superior imediato
devem ser notificados imediatamente;
Aprendendo com os incidentes
• Implementar mecanismos para permitir a quantificação e monitoração
dos tipos, volumes e custos de incidentes e falhas de funcionamento;

135
• Através dessas informações, identificar incidentes ou falhas repetidas ou
de alto impacto.
Indicar a necessidade de controles aperfeiçoados ou adicionais para:
• Limitar a freqüência;
• Limitar danos e custos de futuras ocorrências;
• Levar em consideração no processo de revisão da política de segurança.
Processo disciplinar
• Deve haver um processo disciplinar formal para empregados que
violarem as políticas e procedimentos de segurança da ELECTRA e para
a coleta de provas;
• O processo poderá desencorajar empregados com tendência para
desrespeitar os procedimentos de segurança;
• O processo deve assegurar um tratamento correto e justo de empregados
suspeitos de cometerem violações de segurança, graves ou persistentes.
3.4.3 Situação atual em relação à Segurança em Pessoas/Fatores Humanos
• O contrato com terceiros possui cláusulas de confidencialidade;
• O gerente da área à qual o terceiro está sendo contratado é quem autoriza
e define o nível de acesso do mesmo;

136
• Foi observado que em horário de pico pode ocorrer certa dificuldade para
as recepcionistas observarem se a pessoa entrou ou saiu sem autorização;
• O acesso de terceiros nos finais de semana e feriados é controlado com
antecedência, sendo definido pelas gerências;
• Existem falhas na validade de logins e elas ocorrem entre o momento do
desligamento do funcionário e a comunicação do RH desse desligamento
à área responsável pela desativação. Nesse intervalo, o funcionário
continua possuindo o login (o empregado se desliga, mas seu login é
exigido por motivos de privilégio);
• Não há treinamento de segurança para o terceirizado;
• Todo acesso lógico de terceiros é controlado e os níveis de permissão são
concedidos pelas gerências ao qual aquele terceiro está alocado;
• Existem terceiros que prestam serviços ao ambiente corporativo da
ELECTRA e não estão localizados no site, mas podem ter acesso físico e
lógico.
3.4.4 Recomendações em relação à Segurança em Pessoas
• Convém rever os contratos com terceiros, terceirizados e estagiários para
uma perfeita adequação à Norma, item 4.2.2, no qual todos devem
assinar um termo de confidencialidade;

137
• Convém exigir que as empresas prestadoras de serviços da ELECTRA
apresentem termos de confidencialidade assinados de cada funcionário
e/ou subcontratados;
• Convém exigir que os terceiros e empregados sejam treinados conforme
a Norma ISO/IEC 17799, que trata da Gestão de Segurança nas
Organizações e só conceder o acesso às informações e às instalações de
processamento de dados por terceiros, após a implementação de controles
e treinamentos apropriados e tendo assinado um contrato que define as
condições da conexão ou do acesso. Deve ser criada, na área de
treinamento, uma equipe para treinamento da ISO/IEC 17799;
• Convém que mesmo quando o terceiro (ou funcionário) esteja de férias,
licença médica ou qualquer afastamento, o acesso ao ambiente da
ELECTRA se restrinja ao horário comercial;
• A exclusão de login deve ser comunicada imediatamente quando ocorrer
demissão de funcionário por parte do RH ao Departamento de
Administração da Rede ou ao Departamento de Sistemas Corporativos;
• Convém que sejam adotadas medidas de controle de acesso físico (CFTV
com monitoração remota, biometria etc.).
• O acesso às informações e às instalações de processamento de
informações por terceiros só deve ser concedido após:
• Implementados os controles apropriados;

138
• Assinado um contrato que defina as condições do acesso. O contrato ser
redigido de maneira a evitar mal-entendidos entre a ELECTRA e o
terceiro;
• A ELECTRA deve certificar-se de que receberá uma indenização por
parte de seu prestador de serviços, em caso de quebra de
confidencialidade, integridade e incidente malicioso.
• Os requisitos contratuais para prestadores de serviços citados nesta
Análise e que constam no item 4.2.2 da norma ABNT ISO/IEC 17799
devem ser aplicados em caráter de emergência;
• O sistema de dados de pessoas que freqüentam o Data Center da
ELECTRA deve conter o maior número de informações e, se possível, a
fotografia, bem como cadastro e nome da empresa;
• Exigir dos empregados e terceiros a assinatura de acordo com termo de
confidencialidade e não-divulgação de informações e concordância com
a Política de Segurança da ELECTRA;
• Incluir no acordo as responsabilidades da função;
• Convém que seja executada sempre uma triagem por ocasião da
admissão de funcionários e terceirizados, conforme o especificado no
item 6.1.2 da ISO/IEC 17799.
• Os gerentes devem ficar atentos a mudanças de comportamento;
• Convém que seja criada uma estrutura para ministrar treinamentos
específicos de segurança. Deve haver treinamentos adequados para todos

139
os funcionários e novos contratados antes de terem acesso às informações
e serviços;
• Elaborar formulários com históricos de falhas do ambiente, contendo a
assinatura de quem identificou a falha e a ação que foi tomada;
• Toda falha deve ser comunicada à gerência imediatamente;
• Criar um Comitê Disciplinar integrado por membros de equipe de
segurança/gerência/RH e um processo formal para empregados que
violarem a política e o acordo de confidencialidade de informações;
• Aprovar, em caráter de emergência, a Política de Segurança Corporativa
das Informações.
Geral
• Analisar e promover as correções necessárias nos contratos de terceiros;
• Re-analisar e adequar todos os privilégios de acesso;
• Desenvolver procedimentos para desativação on-line de login de
funcionários que são transferidos, promovidos, demitidos ou suspensos;
• Realizar treinamento de segurança para funcionários e terceirizados;
• Dotar áreas críticas de monitoração via CFTV;

140
• Adotar e/ou adequar a tecnologia de controle de acesso de funcionários,
terceirizados e visitantes, visando restringir fraudes e acesso não
autorizado;
Segurança na definição de funções e no recrutamento de pessoal
• Devem ser tomadas medidas para reduzir os riscos de falha humana,
furto, fraude ou uso indevido das instalações;
• As responsabilidades devem ser atendidas desde a fase de recrutamento.
Como incluir a segurança nas responsabilidades da função
• As responsabilidades de segurança devem ser documentadas sempre que
for apropriado;
• Devem ser definidas responsabilidades gerais pela implementação e
manutenção da política de segurança;
• Devem ser definidas responsabilidades específicas pela proteção de
determinados ativos ou responsabilidades pela execução de determinados
procedimentos ou atividades de segurança.

141
Triagem de pessoal e política (corresponde ao item 3 do questionário -
APÊNDICE B)
• Devem ser verificados os antecedentes do pessoal permanente, por
ocasião do pedido de emprego;
• Devem ser solicitadas referências satisfatórias, como por exemplo, uma
profissional e uma pessoal;
• Deve ser verificado se o currículo apresentado pelo candidato está
completo e correto;
• Devem ser verificadas as qualificações acadêmicas e profissionais
apresentadas pelo candidato;
• Deve ser verificada a identidade do candidato;
• Quando um cargo proporcionar acesso a equipamentos de processamento
de informações sensíveis (informações financeiras ou informações
altamente confidenciais) devem ser verificada a situação de crédito do
empregado;
• Para o pessoal em funções com grande autoridade, a verificação deve ser
repetida periodicamente;
• Deve ser realizado processo de triagem similar para subcontratados e
pessoal temporário;
142
• Deve ser verificado se na triagem e nos procedimentos de notificação que
ela adota se o processo foi completado ou se os seus resultados dão
margem a dúvidas ou a preocupação;
• Os gerentes devem levar em conta o fato de que circunstâncias pessoais
dos seus subordinados podem afetar o trabalho dos mesmos, como
problemas pessoais e financeiros, mudanças de comportamento ou de
estilo de vida, faltas constantes e sinais de estresse ou depressão, que
podem levar a fraude, furto, erros ou outras implicações de segurança;
• As informações devem ser tratadas de acordo com a legislação
apropriada, vigente na jurisdição em questão.
Compromissos de confidencialidade (corresponde ao item 4 do
• O pessoal temporário e os usuários externos devem assinar compromisso
de confidencialidade antes de terem acesso a instalações de
processamento de informações;
• Os compromissos de confidencialidade devem ser revistos quando há
mudanças nas condições de emprego ou no contrato;
• Os compromissos de confidencialidade devem ser revistos quando os
empregados estão para sair da organização ou quando os contratos estão
para terminar.
143
Termos e condições de emprego corresponde ao item 5 do questionário
- APÊNDICE B)
• Os termos e condições de emprego devem estipular a responsabilidade
do empregado pela segurança das informações;
• Essas responsabilidades devem continuam em vigor durante um
determinado período após o término da relação de emprego;
• Devem ser levadas em conta as providências a tomar se o empregado
deixar de atender às exigências contratuais;
• Devem ser incluídas nos contratos as responsabilidades e direitos legais
do empregado, com relação: às leis de copyright ou à legislação de
proteção dos dados, a classificação e pelo tratamento dos dados sobre o
empregado, as responsabilidades que se aplicam fora das instalações da
organização e fora do horário normal de trabalho, e fora do local de
trabalho (ex.: uso de notebook).
Treinamento dos usuários (item 6 do questionário - APÊNDICE B)
• Deve ser assegurado que os empregados estejam em condições de apoiar
a política de segurança da organização no decorrer do seu trabalho
normal;
• Os usuários devem receber treinamento sobre procedimentos de
segurança e sobre o uso correto das instalações de processamento de
informações, a fim de minimizar os possíveis riscos de segurança.

144
Educação e treinamento em segurança das informações (corresponde
ao item 7 do questionário - APÊNDICE B)
• Todos os empregados da organização e os usuários externos devem
receber treinamento adequado e atualizações regulares sobre as políticas
e os procedimentos da organização, antes de terem acesso às informações
ou aos serviços;
• Devem ser incluídos requisitos de segurança, responsabilidades legais e
controles empresariais e treinamento sobre o uso correto dos
equipamentos de processamento de informações.
Reação a incidentes de segurança e falhas (corresponde ao item 8 do
• Devem ser tomadas medidas visando minimizar os prejuízos causados
por incidentes de segurança e falhas e monitorados tais incidentes;
• Os incidentes que afetarem a segurança devem ser comunicados o quanto
antes, através dos canais administrativos apropriados;
• Devem ser recolhidas provas o quanto antes, após a ocorrência de um
incidente.
Comunicação de incidentes de segurança (corresponde ao item 9 do
145
• Os incidentes devem ser utilizados no treinamento de conscientização
dos usuários, sobre o que poderia acontecer, como reagir a tais incidentes
e como evitá-los no futuro.
Comunicação de pontos fracos de segurança (corresponde ao item 10
do questionário - APÊNDICE B)
• Os usuários de serviços de informações devem anotar e comunicar
pontos fracos de segurança observados ou suspeitos e quaisquer ameaças
a sistemas ou serviços;
• Essas questões devem ser comunicadas à sua gerência ou diretamente ao
seu provedor de serviços, com a máxima rapidez;
• Deve ser avisado aos usuários que eles não devem, em hipótese alguma,
tentar provar um ponto fraco de que suspeitam, pois o teste de um ponto
fraco poderia ser interpretado como um uso abusivo potencial do sistema.
Aprendendo com os incidentes (item 11 do questionário - APÊNDICE
B)
• Devem ser implementados mecanismos para permitir a quantificação e
monitoração dos tipos, volumes e custos de incidentes e falhas de
funcionamento;
• Através dessas informações devem ser identificados incidentes ou falhas
repetidas ou de alto impacto;

146
• Deve ser indicada a necessidade de controles aperfeiçoados ou adicionais
para limitar a freqüência, os danos e o custo de futuras ocorrências ou
levar em consideração no processo de revisão da política de segurança;
Processo disciplinar (item 12 do questionário - APÊNDICE B)
• Deve existir um processo disciplinar formal para empregados que
violarem as políticas e procedimentos de segurança da organização e para
a coleta de provas;
• Deve existir um procedimento que vise desencorajar empregados com
tendência para desrespeitar os procedimentos de segurança;
• Esse procedimento assegurará um tratamento correto e justo de
empregados suspeitos de cometerem violações de segurança, graves ou
persistentes.
Situações de emergência (corresponde ao item 13 do questionário -
APÊNDICE B)
• Deve existir treinamento acerca de prevenção de acidentes em todos os
turnos;
• Deve existir uma lista de telefones e endereços de emergência (pronto-
socorro, hospitais, corpo de bombeiros, policia militar etc.);
• Devem ser realizados procedimentos destinados à remoção de pessoas;
• Deve existir informação e treinamento quanto à Política de Segurança;

147
• A gerência e a supervisão devem inspecionar as áreas em horários
alternados.
Casos de incêndio (corresponde ao item 14 do questionário -
APÊNDICE B)
• Deve ser realizado treinamento de evacuação do edifício;
• Deve ser realizado treinamento acerca de salvamento de ativos
(documentos, meios magnéticos);
• Deve ser feita divulgação/exibição dos telefones do corpo de bombeiros;
• Os funcionários devem ser treinados para combater incêndios que
possam ocorrer na área do computador;
• Devem existir brigadas de incêndio organizadas.
Segurança funcional (corresponde ao item 15 do questionário -
APÊNDICE B)
• Deve ser feito um acompanhamento de funcionários descontentes ou com
problemas financeiros a pessoais;
• Os antecedentes de funcionários novos devem ser verificados;
• Todos os funcionários devem ser instruídos quanto a medidas de
segurança adotadas.
148
3.5 Segurança física e do ambiente
OBJETIVO:
O objetivo da Segurança Física e do Ambiente é prevenir acesso não autorizado,
dano e interferência às informações e instalações físicas das organizações.
Perímetros de segurança analisados:
• Hall de entrada do piso térreo;
• Hall de elevadores;
• Acesso ao estacionamento interno e uso comum e carga/descarga;
• Entradas principais dos pavimentos;
• Pavimento da cobertura;
• Almoxarifados;
• Arquivo;
• Iluminação;
• Equipamentos de combate a incêndio;
• Saídas de emergência e sinalização;
• Sala de controle;
• Data Center;
149
• Ambiente de redes e teleprocessamento;
• Controle de acesso físico;
• Piso elevado;
• Pavimentos estratégicos que contenham equipamentos de controle ou
infra-estrutura.
Áreas de segurança da ELECTRA
As áreas críticas ou sensíveis devem estar localizadas em áreas seguras e:
• Serem protegidas por um perímetro de segurança definido;
• Serem protegidas por barreiras de segurança;
• Terem controles de entrada apropriados; serem protegidas fisicamente
contra acesso não autorizado, danos e interferência;
• Terem grau de proteção proporcional e ser compatível com os riscos
identificados;
• Terem política de mesa vazia e tela vazia para reduzir o risco de acesso
não autorizado ou danos a documentos, mídias e instalações de
150
Perímetro de Segurança
Na proteção com barreiras físicas em volta das instalações da ELECTRA e dos
equipamentos de processamento de informações devem ser observadas as seguintes
situações:
• Cada barreira deve estabelecer um perímetro de segurança onde cada
uma delas contribui para o aumento da proteção total oferecida;
• Utilizar perímetros de segurança para proteger as áreas que contêm
equipamentos de processamento de informações críticos;
• Um perímetro de segurança é algo que constitui uma barreira, uma
parede, um portão de entrada controlado por cartão, biometria ou ambos;
O perímetro de um edifício ou site que contém áreas críticas deve ser
fisicamente sólido e atender aos seguintes requisitos:
• Não deve haver brechas no perímetro de segurança ou áreas que
permitem uma penetração fácil, tanto de pessoas quanto de fumaça, gases
corrosivos, poeira, água, fogo etc;
• As paredes externas devem ser de construção sólida e as portas externas
devem ser devidamente protegidas contra o acesso não autorizado, com
mecanismos de controle, alarmes etc;
• Portas corta-fogo de um perímetro de segurança devem ser equipadas
com alarme e fechar automaticamente;

151
• As barreiras físicas devem se estender do piso bruto ao teto bruto para
impedir o acesso não autorizado e contaminação ambiental.
Controles físicos de entrada - autenticação
Áreas seguras devem ser protegidas por controles de entrada apropriados e deve-
se observar o seguinte:
• Utilizar cartões magnéticos mais número de identificação pessoal (PIN)
e/ou biometria para autorizar e validar todos os acessos;
• Manter trilhas de auditoria de todos os acessos guardadas em um local
seguro e remoto;
• Exigir que o pessoal utilize alguma forma de identificação visível e que
interpele pessoas estranhas não acompanhadas e qualquer pessoa que não
esteja usando uma identificação visível;
• Os direitos de acesso a áreas seguras devem ser revistos e atualizados
regularmente.
Definição de área segura
• As salas de cada departamento, dentro do perímetro físico da ELECTRA,
devem permanecer trancadas e dispor de controle de acesso por senha
e/ou biométrico;
• Devem-se utilizar arquivos de aço trancáveis e cofres para proteção de
mídias.
152
• A escolha e o projeto de uma área segura devem levar em conta as
possibilidades de danos causados pelos riscos ou vulnerabilidades;
• Devem ser levadas em consideração eventuais ameaças à segurança
causadas por instalações vizinhas, infiltrações, vazamento de água
proveniente de outra área ou da própria laje.
Devem ser considerados os seguintes aspectos:
• Os equipamentos críticos devem estar num local não acessível ao
público;
• Os prédios devem ser discretos e indicar o mínimo possível a sua
finalidade, sem sinais visíveis, dentro ou fora do edifício, que
identifiquem a presença de atividades de processamento das informações
ou o nome da instituição;
• Funções e equipamentos de suporte (fotocopiadoras e aparelhos de fax)
devem ficar num local apropriado dentro da área segura para evitar
pedidos de acesso que poderiam comprometer as informações e dispor de
senhas de controles de acessos para liberação de uso;
• As portas e janelas devem ficar trancadas quando não houver ninguém
presente e deve-se pensar em sensores de proteção externa para as
janelas, principalmente as localizadas no pavimento térreo.

153
Controles
• Implementar sistemas apropriados de detecção de intrusos, instalados
segundo padrões profissionais e testados regularmente, para cobrir todas
as portas externas e as janelas acessíveis;
• As áreas não ocupadas devem ter um alarme armado permanentemente;
• Os equipamentos administrados pela ELECTRA devem ficar fisicamente
separados dos equipamentos administrados por terceiros;
• As listas de pessoal e listas telefônicas internas que identificam a
localização dos equipamentos de processamento de informações
sensíveis não devem ficar expostas e acessíveis ao público;
A proteção das instalações considera que:
• Materiais perigosos ou combustíveis devem ser armazenados de modo
seguro e a uma distância adequada de uma área crítica;
• Os suprimentos em grande volume não devem ficar armazenados dentro
de uma área crítica, devendo ser requisitados à medida que forem
utilizados;
• Os equipamentos e mídia de backup devem ficar localizados a uma
distância segura para que não sejam danificados em caso de um acidente
no site principal.
154
Atividades de terceiros
• O pessoal só deve saber da existência de uma área segura e das
atividades nela executadas quando for estritamente necessário;
• Deve-se evitar o trabalho não supervisionado em áreas seguras, por
motivos de segurança;
• Áreas seguras desocupadas devem ser trancadas fisicamente e
inspecionadas periodicamente;
• Suporte de terceiros terá acesso restrito às áreas seguras ou aos
equipamentos de processamento de informações sensíveis e somente
quando necessário;
• Acesso deve ser autorizado antes e monitorado;
• Devem-se criar barreiras e perímetros adicionais de controle de acesso
físico entre áreas com diferentes requisitos de segurança dentro do
perímetro de segurança;
• Não deve ser permitida a presença de equipamento fotográfico, de vídeo,
de comunicação pessoal, de áudio ou de outro equipamento de gravação,
a menos que seja autorizado.
Áreas de entregas e de carregamento
• O acesso a uma área de armazenagem provisória, a partir do exterior de
um edifício, deve ser restrito ao pessoal identificado e autorizado;

155
• A área de armazenagem provisória deve ser projetada de tal maneira que
os suprimentos possam ser descarregados sem que o pessoal de entrega
tenha acesso a outras partes do edifício;
• As portas externas de uma área de armazenagem provisória devem ser
trancadas enquanto a porta interna estiver aberta;
• Todo material recebido deve ser inspecionado para detectar eventuais
perigos antes de ser transportado da área de armazenagem provisória ao
local de utilização;
• Todo material recebido deve ser registrado ao entrar no site;
• As áreas de entregas e de carregamento devem ser controladas e se
possível isoladas dos equipamentos de processamento de informações, a
fim de evitar o acesso não autorizado.
3.5.1 Segurança em equipamentos
OBJETIVO:
• Impedir a perda, dano ou comprometimento de ativos e a interrupção das
atividades da ELECTRA.
• Os equipamentos devem ser protegidos fisicamente contra as ameaças a
sua segurança e contra os perigos ambientais;

156
• A proteção dos equipamentos é necessária para reduzir o risco de acesso
não autorizado aos dados e para impedir que os equipamentos sejam
perdidos ou danificados;
• Devem ser implementados controles especiais para proteção contra
perigos ou acesso não autorizado e para preservar os equipamentos de
apoio, tais como o suprimento de energia e infra-estrutura de
cabeamento.
Localização e proteção dos equipamentos
Os equipamentos devem ser localizados ou protegidos de modo a reduzir os
riscos das ameaças e perigos do meio ambiente e as oportunidades de acesso não
autorizado e devem obedecer ao seguinte:
• Serem localizados de modo a minimizar o acesso desnecessário às áreas
de trabalho;
• Os equipamentos de processamento e armazenagem de informações que
manuseiam dados sensíveis devem ser posicionados de modo a
minimizar o risco de olhares indiscretos durante o uso.
Devem ser adotados controles para minimizar o risco de ameaças potenciais,
incluindo furto, incêndio, explosões, fumaça, água (falha no abastecimento), poeira,
vibração, efeitos químicos, interferência no suprimento de força, radiação
eletromagnética e acesso indevido físico e lógico.

157
Riscos da vizinhança
• Um incêndio em empresas ou ambientes vizinhos pode colocar em risco
o seu ambiente de tecnologia;
• Grandes frentes de janelas oferecem caminho natural para a subida de
chamas, o calor quebra os vidros e o ambiente é penetrado por fumaça
tóxica e pelas chamas;
• Canos de PVC, quando aquecidos, liberam gases a base de cloro e
enxofre, que, em contato com a água, reagem e se transformam em ácido
clorídrico e sulfúrico, que são tóxicos e corrosivos.
Localização e proteção dos equipamentos
• A ELECTRA deve estabelecer uma política referente aos atos de comer,
beber e fumar nas instalações de processamento e armazenamento de
informações ou em sua proximidade;
• É conveniente monitorar as condições ambientais quanto a fatores que
poderiam afetar negativamente a operação dos equipamentos de
processamento e armazenamento de informações;
• Deve-se levar em conta o impacto de um incidente em instalações
próximas como, por exemplo, incêndio em edificações vizinhas,
vazamento de água no telhado ou em pavimentos do subsolo ou explosão
na rua.
158
3.5.2 Suprimento de energia elétrica
OBJETIVO:
Providenciar suprimento adequado de eletricidade que atenda às especificações
do fabricante dos equipamentos.
Devem ser providenciadas fontes alternativas para geração de energia e
observados os seguintes requisitos:
• Utilizar múltiplas fontes de alimentação para evitar que o suprimento
dependa de uma única fonte;
• Utilizar gerador de backup;
• Utilizar um suprimento à prova de interrupções (UPS/no-break) para
suportar a parada ordenada ou a continuação da operação, no caso de
equipamentos que suportam operações críticas para a ELECTRA;
• Planejar contingência indicando as providências a tomar em caso de
falha do UPS (Uninterruptible Power Supply)/no-break;
• Testar regularmente o equipamento, de acordo com as recomendações do
fabricante, para assegurar que o mesmo tenha a capacidade adequada.
Pontos críticos no suprimento de energia elétrica
• Bancada de baterias, risco de explosão e falha do equipamento;

159
• Gerador de backup caso se deseje que o processamento continue em caso
de uma falta de força prolongada e testes periódicos;
• Estocagem do óleo diesel e manutenção da sua qualidade, muretas de
contenção;
• Suprimento adequado de combustível para assegurar que o gerador possa
operar durante um período prolongado;
• Chaves de força de emergência localizadas perto das saídas de
emergência das salas de equipamentos para facilitar o desligamento
rápido da força em caso de emergência;
• Iluminação de emergência para o caso de falta de força;
• Existência de pára-raios com filtros de proteção contra raios em todas as
linhas externas de comunicações;
Deve haver Gaiola de Faraday (câmara metálica com ligação a terra, que
Faraday, famoso químico e físico inglês idealizou. É um recinto metálico (gaiola ou
câmara, conforme o caso) em cujo interior não podem penetrar emissões elétricas ou
eletromagnéticas.) e pára-raios Franklin (pára-raios tipo haste instalado no alto de
edificações ou das torres. Esse pára-raios oferece proteção para a edificação contida
sob o cone de proteção cujo vértice encontra-se no topo da haste captora. O que estiver
dentro desse espaço estará protegido. O ângulo de proteção variará de acordo com o
nível de proteção requerido, tipo de ocupação, valor do conteúdo, localização e altura
da edificação).
160
Segurança do cabeamento
Proteção contra interceptação ou danos, levando-se em consideração os
seguintes aspectos:
• As linhas de força e as linhas de telecomunicações que entram nos
equipamentos de processamento de informações devem ser subterrâneas,
sempre que possível ou ter uma proteção alternativa adequada;
• O cabeamento das redes deve ser protegido contra interceptação não
autorizada ou danos (pelo uso de conduítes ou evitando trajetos que
passem por áreas públicas);
• Os cabos de força devem ficar separados dos cabos de comunicações
para evitar interferências.
Controles adicionais para cabeamento
• Instalar conduítes blindados e salas ou caixas trancadas em pontos de
inspeção e pontos terminais;
• Usar rotas ou meios de transmissão alternativos;
• Usar cabeamento de fibras ópticas;
• Equipar os cabos com sistemas de varredura para detectar a presença de
dispositivos não autorizados.

161
3.5.3 Manutenção dos equipamentos
OBJETIVO: Manutenção correta dos equipamentos para assegurar a sua
disponibilidade e integridade permanentes.
Devem obedecer aos seguintes requisitos:
• Os equipamentos devem receber manutenção com periodicidade correta e
de acordo com as especificações do fabricante;
• A manutenção e os reparos do equipamento só devem ser executados por
pessoal autorizado;
• Deve ser mantido um registro de todos os defeitos suspeitos ou reais e de
toda a manutenção preventiva e corretiva executada;
• Devem ser adotados controles apropriados quando equipamentos saem
do site para fins de manutenção;
• Devem ser cumpridas todas as exigências estipuladas nas apólices de
seguros.
Segurança dos equipamentos fora do site
• Os equipamentos e as mídias retirados das instalações da ELECTRA não
devem ficar sem supervisão em lugares públicos;
• Os computadores portáteis devem ser transportados como bagagem de
mão e disfarçados sempre que possível, quando se viaja;

162
• Devem ser observadas a qualquer tempo as instruções do fabricante para
a proteção dos equipamentos como, por exemplo, contra a exposição a
campos eletromagnéticos intensos;
• Os controles para o trabalho a domicílio devem ser determinados por
uma avaliação dos riscos e adotados controles adequados conforme seja
necessário;
• Deve haver uma cobertura de seguros adequada para proteger o
equipamento quando fora do site;
• Os riscos de segurança como danos, furto e olhares indiscretos podem
variar consideravelmente entre um local e outro e devem ser levados em
conta para determinar os controles mais apropriados;
• O uso de qualquer equipamento fora das instalações da ELECTRA, para
fins de processamento de informações, deve ser autorizado pela gerência
e o grau de segurança proporcionado deve ser equivalente ao do
equipamento utilizado no site para os mesmos fins, levando-se em conta
os riscos do trabalho fora das instalações da ELECTRA;
• O equipamento de processamento de informações inclui todas as formas
de computadores pessoais, agendas eletrônicas, equipamentos de
comunicação pessoal, papel ou outros meios, que ficam na posse da
pessoa para trabalho no domicílio ou que são transportados para fora do
local normal de trabalho.

163
Segurança no descarte ou na reutilização de equipamentos
• As informações podem ser comprometidas pela falta de cuidados no
descarte ou na reutilização de equipamentos;
• Os sistemas de armazenagem que contenham informações sensíveis
devem ser destruídos fisicamente ou sobregravados de maneira segura ao
invés de se usar a função normal delete;
• Todos os itens de equipamento que contenham mídia de armazenagem,
como, por exemplo, discos rígidos, devem ser verificados para garantir
que todos dados sensíveis e softwares licenciados tenham sido retirados
ou sobregravados antes do descarte;
• No caso de dispositivos de armazenagem danificados que contenham
dados sensíveis, poderá ser necessária uma avaliação dos riscos para
determinar se o item deve ser destruído, consertado ou descartado.
Política de mesa e tela vazia
• Deve-se adotar política de mesa vazia para documentos e mídia de
armazenagem removível;
• Deve-se adotar política de tela vazia para os equipamentos de
processamento de informações, a fim de reduzir os riscos de acesso não
autorizado a informações e perda ou dano de informações durante o
horário normal de trabalho e fora dele;

164
• Deve-se levar em consideração as classificações de segurança da
informação, os riscos correspondentes e os aspectos culturais da
ELECTRA;
• As informações deixadas em cima de mesas também poderão ser
danificadas ou destruídas em caso de catástrofes, como incêndios,
inundações ou explosões.
3.5.4 Diretrizes de proteção
• Os documentos e mídias de computador devem ser armazenados em
estantes apropriadas e cofres especiais quando não estiverem em uso,
principalmente fora do horário de expediente;
• Informações empresariais sensíveis ou críticas devem ficar trancadas
(preferencialmente em um cofre ou arquivo a prova de fogo) quando não
em uso, principalmente quando não houver ninguém no escritório;
• Os computadores pessoais e terminais de computador, bem como as
impressoras, não devem ficar logged-on na ausência do operador e
devem ser protegidos por bloqueios de teclas, biometria, senhas ou outros
controles quando não estiverem em uso;
• Os postos de correspondência recebida e enviada e as máquinas de fax
devem ser protegidos quando o operador não estiver presente;

165
• As copiadoras devem ser trancadas ou protegidas de algum outro modo
contra o uso não autorizado fora do horário normal de expediente;
• Informações sensíveis ou confidenciais, quando impressas, devem ser
retiradas das impressoras imediatamente.
Retirada de bens
• Os equipamentos, as informações ou o software não devem sair do site
sem autorização;
• Quando necessário e apropriado, a saída e a devolução dos equipamentos
devem ser registradas;
• Devem ser feitas inspeções por amostragem para detectar a retirada não-
autorizada de bens;
• Os usuários devem ser informados da existência de tais inspeções.
3.5.5 Situação atual do Data Center em relação à Segurança Física
Ambientes e características prediais
No caso específico do Data Center, suas instalações atuais compartilham o
ambiente computacional com atividades de risco, presentes na área da ELECTRA e na
vizinhança.
166
Riscos externos e internos
Existem ambientes internos e externos que expõem a ELECTRA a riscos de
incêndio, que, mesmo não atingindo a área do Data Center, podem afetar mídias e
equipamentos com seus gases tóxicos, explosão, desmoronamento, trepidação (obras)
etc. Esses riscos são baixos, pois a vizinhança é estabelecida com edifícios definitivos.
Veículos e pessoas
O prédio que abriga a ELECTRA e o seu Data Center dispõe de grande área de
estacionamento em sua área externa, que fica totalmente ocupada durante o expediente
normal, devido ao expressivo número de pessoas que trabalham ou visitam o local e os
demais edifícios próximos. Embora representado risco menor de incêndio em
automóveis nesse estacionamento, não devem ser desconsiderados possíveis prejuízos
pelos gases emanados, que prejudicam mídias e equipamentos sensíveis.
O estacionamento interno situa-se no subsolo do prédio. Dispõe de grande
quantidade de vagas, grande parte delas abaixo do Data Center, representando alto
risco relativamente a incêndio em automóveis, cujos gases podem afetar, direta ou
indiretamente, os equipamentos sensíveis.
Salas de escritórios
O prédio tem nove andares de escritórios.
Existem várias dependências com papéis e outros materiais combustíveis e por
onde transitam diariamente centenas de pessoas.

167
Vizinhança
Ao lado do prédio, localiza-se uma grande edificação comercial. Esse
estabelecimento, bem como outros situados na redondeza, atraem muitos automóveis e
pessoas para as proximidades do Data Center da ELECTRA, configurando nesse
sentido, juntamente com as outras ameaças descritas, uma vizinhança de alto risco.
Identificação visual da área do Data Center
Embora nem todos os técnicos da segurança da informação sejam unânimes,
grande parte opina que um ambiente de processamento de dados não deve ter qualquer
inscrição que o identifique.
Riscos de acesso indevido
A área ocupada pelo Data Center não configura um perímetro de segurança
adequado. As barreiras e as portas são controladas por vigilantes de segurança, com
controles simplificados.
As edificações da ELECTRA
a) Estacionamentos
Externo: O prédio que abriga a ELECTRA e o seu Data Center dispõe de uma
grande área de estacionamento em sua área externa, que fica totalmente ocupada
durante o expediente normal, devido ao expressivo número de pessoas que trabalham
no local e nos demais edifícios próximos.

168
Interno: situa-se no subsolo do prédio abaixo do Data Center, representando
riscos relativos a incêndio em automóveis, cujos gases podem afetar, direta ou
indiretamente, os equipamentos sensíveis.
b) Portarias
Portaria principal: o primeiro contato com a ELECTRA é realizado na portaria
principal. A partir dela tem-se acesso direto aos elevadores que conduzem aos andares
do prédio;
A atuação das recepcionistas ou dos vigilantes da portaria é uma triagem
simples, na qual se solicita nome, identidade, origem, destino e outras pequenas
observações sobre o ingresso, que a partir daí é praticamente livre a todas às salas da
ELECTRA.
Data Center: atualmente o primeiro contato do visitante com o Data Center é
realizado na portaria situada na entrada do próprio Data Center, no 1º subsolo, onde
existe um balcão em forma de “L”, caracterizando um segundo nível de proteção,
geralmente com uma recepcionista e um vigilante (no final da tarde, normalmente com
apenas um vigilante). Dispõe de telefone e um computador, além de um “Registro de
Visitante”, documento preenchido com os dados do visitante e posteriormente
arquivado por um ano na sala da segurança.
Nessa portaria, é possível o controle de acesso à entrada principal do Data
Center, mas não o de uma outra porta que também pode permitir o acesso (apesar de
estar predominantemente trancada), que é a da sala de impressão, situada em frente ao
auditório.
c) Demais dependências
169
Área interna: paredes, portas, janelas, pisos, tetos, corredores, toaletes,
elevadores, escadas internas e de emergência, instalações elétricas e hidráulicas: com
poucas exceções, o estado geral dessas edificações não é satisfatório. As escadas de
emergência não atendem às normas de segurança e estão com os seus pilares metálicos
com algum comprometimento por oxidação.
As instalações elétricas do local estão sendo revistas.
Telhados: a cobertura é constituída de laje de concreto armado e coberta com
telhado de amianto, visando direcionar a água das chuvas para calhas;
Aparentemente, há muito tempo não se realiza uma impermeabilização nessas
coberturas, que, apesar disso, ainda apresentam bom estado de conservação;
As calhas de águas pluviais estão limpas e desimpedidas, mas foi observada
água empoçada na parte central da cobertura, sobre uma sala que dispõe de
equipamentos de monitoramento de serviços de infra-estrutura;
Situação Atual específica do Data Center
A área do subsolo, ocupada pelo Data Center e outras salas da ELECTRA,
compõe-se de:
Data Center: gerência de infra-estrutura, gerência de serviço de rede
corporativa, analistas, testes, suporte, banco de dados, coordenação, call center,
preparo, teleprocessamento/rede, servidores, máquinas de grande porte, impressão,
operação/fitas, recepção/expedição, manutenção, terceiros, reunião, copa (sem fogão)
e toaletes, configurando a sua área interna.

170
Salas de segurança, pool de mensageiros, reprografia, arquivo, laboratório de
microfilmagem e no-break têm acesso pelo corredor central da área não crítica do
Data Center.
Outras salas: ainda junto à área do Data Center, porém fora da área sensível,
situam-se o auditório, biblioteca, videoconferência, arquivo geral, depósito do
almoxarifado, serviços gerais, sala da administração do almoxarifado etc.
Localização
O Data Center está localizado no subsolo do prédio, cuja edificação não foi
construída especificamente para abrigar um Data Center.
Edificações
Pelas suas próprias atividades do dia-a-dia, as áreas da edificação onde se situa o
Data Center não configuram um perímetro de segurança adequado. As barreiras e as
portas controladas por vigilantes de segurança necessitam de controles compatíveis
com os riscos dessa área crítica
Paredes externas
Estão em bom estado de conservação.
Paredes internas
As que circundam a área crítica, em alvenaria, estão em bom estado de
conservação.
171
Portas
Existem brechas no perímetro de segurança, como por exemplo:
• Não existem portas corta-fogo dotadas de alarme e fechamento
automático;
• A porta da sala de impressão permite acesso à área crítica (apesar da
mesma estar predominantemente fechada);
• Uma portinhola (pequena abertura na parede) da sala do no-break para a
sala das máquinas do ar-condicionado pode permitir acesso indevido pela
sala do no-break;
• A porta de vidro, próxima dos elevadores, no corredor da entrada do
Data Center pode permitir, no mínimo, que um curioso mal-intencionado
trace um croqui da localização dos equipamentos críticos do Data
Center, para posterior intrusão;
• O suporte de terceiros deverá ter acesso restrito às áreas seguras ou aos
equipamentos de processamento de informações sensíveis e somente
quando necessário;
• Todos os itens citados constituem, direta ou indiretamente, brechas na
segurança para penetração de intrusos ou para gases, fumaça, fogo, água,
poeira etc.
172
Divisórias internas
São constituídas de fórmica e vidro, que são materiais não resistentes ao fogo.
Não são fechadas de laje a laje, o que facilita o acesso indevido sob as placas do piso
elevado e também não impedem penetração de fogo ou gases de salas vizinhas.
A porta principal de entrada do Data Center
Está localizada próxima aos vigilantes e recepcionistas da portaria do Data
Center. Entretanto, é oportuno lembrar que a vigilância nesse posto, em alguns
períodos do final da tarde, estava constituída de apenas um vigilante, o que não é
suficiente para o correto controle de acesso;
Portas internas
São extensões das divisórias e, portanto, frágeis. Na área sensível, não são
mantidas trancadas e nem dispõem de acesso somente ao pessoal autorizado. As que
estão junto com as divisórias sobre todo o piso elevado necessitam que, abaixo e
acima delas, haja o mesmo cuidado sugerido para as divisórias;
A porta da entrada do Data Center, que também pode ser improvisada como
saída de emergência, dá para o corredor externo à área crítica e nesse há facilidade de
evacuação. Entretanto, os corredores internos de circulação das salas da área crítica
são muito apertados, o que certamente dificultaria uma evacuação de pessoal em caso
de emergência.
173
Instalações elétricas
A rede, o quadro de força do subsolo e as instalações elétricas que servem ao
Data Center apresentam bom estado de conservação e são adequadas.
No-break
O no-break, apesar de ser um modelo antigo, tem atendido ao Data Center.
Todavia, em caso de interrupção de fornecimento de energia por períodos mais longos,
haverá necessidade de se contar com um grupo gerador, principalmente para atender à
climatização da sala de segurança que a ELECTRA planeja instalar para o Data
Center;
Cabeamento Lógico
• Não existem sistemas de varredura no cabeamento para detectar a
presença de dispositivos não autorizados;
• O cabeamento, sob o piso elevado, não está adequadamente disposto. Há
cabos lógicos misturados com elétricos, o que pode causar interferências.
Instalações hidráulicas e infiltrações
Não há problemas de abastecimento e esgotamento de águas servidas.
Foi realizada uma reparação de infiltração em um tubo localizado sobre a sala de
rede, gerando preocupações a respeito de outras possíveis infiltrações sobre a área
sensível do Data Center.

174
Combate a incêndio
• Existe, entre os que prestam serviços no Data Center, a preocupação em
atender às normas de segurança, como um todo, mas uma das principais,
relativa à solicitação para não fumar no ambiente, não está sendo
observada;
• Foram encontradas pontas de cigarro em muitas latas de lixo e uma ponta
de cigarro sob o piso elevado;
• Existem hidrantes nos corredores externos, que têm recebido manutenção
periódica;
• As mangueiras estão corretamente desenroscadas do tubo, mas devem ser
dotadas de bico regulável e estarem dimensionadas de forma a alcançar
todos os ambientes existentes;
• Os extintores de incêndio são adequados, de fácil acesso, mas nem
sempre se encontram nos lugares demarcados;
• O piso elevado é composto de material que propaga chamas;
• As cestas de lixo são convencionais e sem tampa, inclusive as maiores,
das salas de impressão, que são usadas para recolher papéis;
• Não constatamos armazenamento, no almoxarifado, no mesmo ambiente,
de líquidos inflamáveis e papéis;
• Existem painéis de controle de incêndio e quadros apropriados de força;

175
• Existem detectores convencionais de fumaça na área sensível, mas no
piso não há sinalização da localização dos mesmos;
• Não existem sensores de umidade e temperatura;
• Existem quadros de controle para detectar fumaça e fogo, mas estão
desatualizados;
• Não existe alarme de incêndio que toque na vigilância;
• Não existe um sistema de alarme para evacuação;
• Não existe combate automático de incêndio com gás específico;
• Não existe uma brigada de incêndio adequada no prédio.
Climatização
• As instalações de ar-condicionado estão em bom estado de conservação.
Segundo os funcionários da ELECTRA que fazem a sua manutenção, o
sistema está funcionando com folga. Há um pleno, que lança o ar
diretamente sob o piso elevado e dutos para as demais salas;
• O equipamento de ar-condicionado que serve ao Data Center é dotado de
oito máquinas. Normalmente, quatro funcionam e quatro são
redundantes;
• Há necessidade de uma revisão no insuflamento do ar-condicionado para
algumas salas do Data Center, que estavam com temperatura elevada,

176
gerando reclamação de alguns funcionários e possibilitando paradas nos
equipamentos;
• Foi também constatado que a torre, externa, de resfriamento será
reformada e que os filtros de água são lavados quinzenalmente. Os
equipamentos estão instalados em compartimento fechado, com acesso
somente ao pessoal autorizado, mas localizam-se do lado de fora,
carecendo de maior proteção;
Controle de Acesso
O controle de acesso de funcionários é realizado por meio de cartão magnético,
que não tem a finalidade de segregar o acesso a áreas de outras funções,
principalmente no Data Center. Atualmente, qualquer pessoa, visitante ou funcionário,
não terá maiores dificuldades de entrar em dependências da ELECTRA,
caracterizando um grande risco para a segurança, pois as áreas deveriam ser protegidas
com grau de permissão de acesso.
Não há circuito fechado de televisão (CFTV), mas existe projeto para esse
coadjuvante da segurança predial.
Manutenção e limpeza de instalações e equipamentos
Existe cuidado com a limpeza e com a manutenção das instalações e
equipamentos. Entretanto, as condições de limpeza sob o piso elevado não estavam
boas;
177
Constatamos, em análise nos sacos de lixo do Data Center, e em lixeiras do
arquivo, documentos importantes, misturados a lixo comum, que seriam descartados
na lixeira geral do prédio.
3.5.6 Recomendações de Segurança Física do Data Center
3.5.6.1 Recomendações específicas da ELECTRA
Ambientes e características prediais da ELECTRA
Portaria central
• Deve-se modificar a portaria principal, de forma que todo visitante
obrigatoriamente tenha que passar por uma triagem nela;
• Deve haver recepcionistas e pessoal de segurança em número suficiente
para atender a demanda de pessoas recebidas, em todos os horários,
dentro e fora do expediente normal;
• O controle de acesso deve ser mais rigoroso que o atual, com
comparação da identidade e o seu dono e não apenas com a anotação do
número do documento;
• Devem ser anotados os horários de entrada e saída do visitante;

178
• Devem haver catracas com controle de acesso;
• Deve-se manter em segurança uma trilha de auditoria contendo todas os
acessos ocorridos, com gravação remota on-line.
Uso de Crachás
• Deve ser obrigatório, não somente para se evitar o acesso indevido, mas
em qualquer situação, o uso de cartões com PIN ou crachás por qualquer
pessoa que esteja transitando no interior da ELECTRA;
• Deve também ser obrigatório que todos os funcionários, sem exceção,
portem cartão de identificação ou crachá, em local visível e que sejam
incentivados a informar à segurança sobre a presença de qualquer pessoa
não identificada ou de qualquer estranho não acompanhado.
Circuito fechado de TV
• Todas as portarias, salas, corredores, escadas, entradas e saídas,
passagens, estacionamentos, áreas de carga e descarga e principalmente
os demais pontos críticos de toda a ELECTRA devem ser monitorados
por CFTV, com avisos claros, visando desestimular eventuais intrusos;
• O CFTV deve possuir tecnologia de modo que as informações sejam
monitoradas e gravadas remotamente;
• Devem-se utilizar monitores vigiados em sistema multiplexador numa
sala da segurança, bem como gravar as suas imagens em time lapse. Esse
equipamento deve ser mantido trancado em local seguro, com porta
dotada de controle de acesso, a fim de se evitar extravio de fitas;

179
• Convém que o cabeamento do CFTV seja protegido contra cortes,
intencionais o ou acidentais.
Demais dependências
• Janelas do 1º andar: é recomendável que sejam reforçadas, já que podem
permitir acesso indevido;
• Escadas de emergência: Não atendem às normas de segurança; são
enclausuradas e sem corrimãos.
3.5.6.2 Recomendações específicas do Data Center
Segurança Máxima
A literatura da segurança da informação define a disposição física ideal dos Data
Center, orientando que as instalações mais sensíveis sejam localizadas no centro, e as
demais, de acordo com a sensibilidade, dispostas do centro para fora, configurando
camadas concêntricas de segurança.
Dentre diversos aspectos, soluções técnicas pertinentes são agregadas para
fornecimento de energia, água e esgoto, climatização, combate a incêndios e detalhes
muitas vezes desprezados em edificações comuns, como a escolha de material de
acabamento resistente e retardante ao fogo.
Em função do exposto acima e levando-se em consideração que a edificação que
abriga o Data Center não é específica para essa finalidade e principalmente pela
180
vizinhança de alto risco, convém que todas as recomendações expostas nesta análise
sejam consideradas e implementadas no mais curto prazo possível.
Identificação Visual
Num centro de processamento de dados, sempre se deve considerar ao máximo o
item segurança. Quanto mais discreta for a programação visual do prédio, menos
interesse despertará. As identificações devem se limitar a informar sobre as direções a
serem tomadas, avisar sobre locais de acesso restrito e indicar as saídas de emergência.
Existem autores que chegam a defender o conceito de que um órgão sensível
como um Data Center não deve ter qualquer identificação, nem mesmo das salas e
departamentos.
• Convém que seja retirada qualquer identificação relativa ao Data Center.
O propósito é dificultar a ação de pessoas mal intencionadas;
• Devem estar publicados em local visível os procedimentos quando da
ocorrência de um incidente, assim como, os telefones das áreas de
suporte e emergência.
Brechas no perímetro de segurança
• Eliminar a porta da sala de impressão;
• A entrada para entrega/recepção de documentos deve ser realizada pela
entrada do Data Center, local em que deve receber um controle de
acesso;
181
• Portinhola (pequena abertura na parede) da sala do no-break para a sala
das máquinas do ar-condicionado deve ser fechada por uma porta, a qual
deve ser do tipo grelha para permitir ventilação à área do no-break;
• A porta do corredor de circulação do Data Center deve ser substituída
por uma porta metálica, dotada de alarme sonoro e tranca interna, para
que sirva como uma saída de emergência. A finalidade da estrutura
metálica, em substituição ao vidro atual, é também impedir que intrusos
tenham visão panorâmica da área sensível do Data Center, que hoje é
possível;
Observação: Os itens citados acima constituem, direta ou indiretamente, brechas
na segurança para penetração de intrusos ou para gases, fumaça, fogo, poeira, radiação
etc.
Controle de acesso e procedimentos
• Deve ser instalada uma porta com controle de acesso na atual entrada do
Data Center, limitando o acesso indevido;
• Dotar de alarme sonoro ligado permanentemente, as áreas não ocupadas,
internas ou externas ao Data Center;
• É necessário que os cabos lógicos sejam dotados de sistemas de
varredura automática para evitar intrusos no sistema;
Orientar os vigilantes a não prestar quaisquer informações sobre as atividades do
Data Center e que apenas encaminhem os interessados, após identificá-los, para a

182
recepção interna e que estejam atentos e informem imediatamente à vigilância interna
ou à central de segurança qualquer atitude ou pessoa suspeita nas imediações.
Controle de Acesso
• Que o contato inicial com o Data Center disponha de uma portaria mais
abrangente para um rígido controle de acesso, no qual possa ser efetuada
melhor triagem dos visitantes, com guardas masculinos e femininos em
estreita colaboração.
• O controle de acesso físico tem por objetivo a segurança de acesso a
áreas delimitadas, salas de computadores e de arquivos, centrais de
instalações e demais equipamentos;
• É necessário que, na triagem se confiram a identidade e o seu dono e não
apenas se pergunte o número do documento. E que sejam também
registradas data e hora de entrada e saída;
• Usar controles de autenticação, como por exemplo, cartões com PIN
(número de identificação pessoal ou Personal Identification Number),
que permitem validar qualquer acesso;
• Instalar cancelas com catracas com controle de acesso;
• Manter em segurança uma trilha de auditoria contendo todos os acessos
ocorridos, com gravação remota on-line.

183
Uso de Crachás
• Deve ser obrigatório, não somente para se evitar o acesso indevido, mas
em qualquer situação, o uso de cartões com PIN ou crachás por qualquer
pessoa que esteja transitando no interior das instalações críticas;
• Todos os funcionários, sem exceção, dever portar cartão de identificação
ou crachá, em local visível e que sejam incentivados a informar à
segurança sobre a presença de qualquer pessoa não identificada ou de
qualquer estranho não acompanhado.
Entrada de Objetos Estranhos
• Em princípio, dever ser deixados na portaria, em depósitos com chaves,
as malas, maletas, bolsas, embrulhos, pacotes, caixas, aparelhos de
comunicação pessoal, dispositivos eletrônicos de qualquer espécie etc,
portados por pessoas que necessitem entrar na área do Data Center;
• Deve-se informar ao portador dos objetos descritos acima, que se for
necessária à entrada do objeto consigo, ele deverá aceitar uma inspeção
dos mesmos. Daí, a necessidade de guardas femininas para a vistoria em
pertences em pessoas do mesmo sexo;
• Não se pode descartar a idéia de que alguém, com intenções estranhas,
tenha interesse em colocar um artefato explosivo ou equipamento
eletrônico para roubar informações em alguma dependência do Data
Center;
184
• Proibir a entrada de máquinas fotográficas, filmadoras e controlar o
acesso de alimentos e bebidas;
• Rever, periodicamente, os direitos de acesso.
Guaritas de vigilância
• Estudar, a instalação de pelo menos uma guarita de vigilância, discreta,
situada no vértice do térreo. A finalidade é obter uma visão ampla das
duas laterais vulneráveis da área externa do Data Center;
• Essa vigilância deve ser exercida principalmente nos horários fora do
expediente. Deverá ser auxiliada por sensores de presença com alarme
sonoro e complementadas com um bom sistema de iluminação de todo o
perímetro externo, com holofotes dotados de foco dirigido de dentro para
fora, a fim de não ofuscar os guardas e para atrapalhar a visão de possível
invasor;
• No interior do prédio, na área externa à área crítica, também deve haver
vigilância, principalmente nos horários fora do expediente.
Circuito Fechado de TV
• Recomenda-se que todas as portarias, salas, corredores, escadas, entradas
e saídas, passagens, estacionamentos, áreas de carga e descarga e
principalmente os demais pontos críticos de todo o Data Center devem
ser monitorados por CFTV, com avisos pertinentes, visando desestimular
eventuais intrusos;
185
• Recomenda-se que o CFTV possua tecnologia que permite que as
informações sejam monitoradas e gravadas remotamente via TCP/IP;
• Utilizar monitores vigiados em sistema multiplexador pelos guardas de
segurança, de preferência na sala da segurança. Gravar as suas imagens
em time lapse, cujo equipamento deve trancado em local seguro, com
porta dotada de controle de acesso, a fim de se evitar extravio de fitas,
com alta disponibilidade, isto é, dotado de equipamentos redundantes;
• Recomenda-se que o cabeamento do CFTV seja protegido contra cortes,
intencionais o ou acidentais.
Cuidados com documentos impressos, mídias e instalações de
processamento de informações
• Recomenda-se elaborar uma rígida triagem em documentos a serem
descartados, a fim de que não se disponha em caixas de lixo documentos
que podem despertar algum interesse;
• Os documentos julgados como não úteis devem ser fragmentados e então
descartados;
• Recomenda-se que seja adquirido um fragmentador, a fim de que todo o
lixo de papel com informações seja devidamente fragmentado antes da
disposição final na lixeira do prédio;

186
• Adotar política de mesa vazia e tela vazia para reduzir o risco de acesso
não autorizado ou danos a documentos, mídias e instalações de
Piso Elevado
Substituir todo o piso elevado da área do Data Center em função do piso atual
estar desnivelado colocando em risco o desempenho dos equipamentos e os
operadores, em mal estado devido ao tempo de uso e principalmente por ser de
material que propaga chamas.
Incêndio
Instalar equipamentos de detecção precoce de incêndio. Os existentes na
ELECTRA, devido a sua tecnologia ultrapassada, só atuam quando se tem fumaça. Os
equipamentos a laser atuam pelas partículas suspensas no ar.
Instalar combate automático de incêndio com Gás FM 200 (este gás é mantido
em cilindros, sob pressão como um líquido, que minimiza o espaço de armazenagem, e
é liberado como um gás, de modo a cobrir todos os pontos da área protegida. O FM-
200 suprime o fogo em até 10 segundos, impedindo a reação química que nele ocorre.
O FM-200 é adequado para aplicações em áreas ocupadas por seres humanos,
nas concentrações aprovadas pela NFPA-2001. Por ser tão seguro para as pessoas, está
sendo utilizado como propulsor em inaladores médicos) interligado ao equipamento de
detecção de incêndio.
187
Implantação de sala de segurança (Sala-Cofre)
Convém que seja adquirida uma sala de segurança (sala-cofre) que é a melhor
solução para uma segurança eficaz dos equipamentos sensíveis e mídias,
considerando-se principalmente o alto risco da vizinhança e pelo fato da ELECTRA
não possuir um site alternativo para caso de contingência.
A sala-cofre concederá à ELECTRA proteção contra ameaças como: fogo,
explosão, magnetismo, radiação, calor, vandalismo, acesso indevido, poeira, gases
corrosivos, roubo, furto, etc, permitindo a continuidade do negócio, em caso de um
incidente e preservando todo o alto investimento em hardware e software.
A sala-cofre pode seguir a sugestão de localização apresentada no disponível no
APÊNDICE A. Com o devido estudo relativo aos esforços de sobrecarga na estrutura,
bem como ser executado um anteprojeto das instalações, em função da área da sala a
ser adquirida.
Cofres
Recomenda-se a aquisição de cofres específicos para armazenamento de dados
para proteção das mídias contra fogo, poeira, gases corrosivos, campos
eletromagnéticos, radiações, furto etc;
Aquisição de pacote de soluções para o arquivo geral
O arquivo geral, situado no subsolo, na área próxima ao Data Center, necessita
uma abordagem completa para as suas necessidades de espaço para arquivamento e
segurança ambiental.
188
Na situação atual convém que se instale controle de acesso na porta principal,
detector de incêndio e combate automático, bem como monitoração de temperatura e
desumidificação do ambiente e principalmente que se desenvolva uma classificação de
todas as informações que saem da ELECTRA para a empresa terceirizada de guarda de
documentos.
Videoconferência
Existe a necessidade de se investir também em equipamentos de detecção de
incêndio no piso elevado.
Instalações elétricas e lógicas
• Prover o Data Center de um grupo gerador, cuja necessidade é
justificada pelo fato de que o no-break, mesmo cumprindo a sua função,
não é capaz de suprir o Data Center em faltas prolongadas de energia;
• A Norma NBR ISO/IEC 17799 orienta sobre testes regulares do
equipamento para assegurar que ele tenha a capacidade adequada e seja
testado de acordo com as recomendações do fabricante;
• Recomenda-se instalar cabos com sistemas de varredura para detectar a
presença de dispositivos não autorizados;
• Recomenda-se dispor adequadamente o cabeamento sob o piso elevado,
devido ao fato de que existem cabos de lógica misturados com cabos
elétricos, que podem causar interferências.

189
Riscos de incêndio
• Proibir terminantemente fumar no interior do Data Center. É notório o
cheiro de fumaça de cigarro na sua área interna, logo que se passa pela
porta principal, no início do corredor. Foi constatado que sempre há
muitas pontas de cigarro nas lixeiras das salas;
• Promover uma conscientização do público interno sobre a total
incompatibilidade entre cigarros ou similares e o ambiente
computacional, não somente pelo risco de incêndio, mas porque a fumaça
prejudica mídias e equipamentos;
• Substituir cestas de lixo atuais existentes nas salas do Data Center por
metálicas e com tampa, bem como substituir por containeres metálicos
com tampa as caixas atualmente usadas para juntar grande quantidade de
papel na sala de impressão;
• Criar um novo layout para a circulação entre as salas internas. Tal
medida deve permitir corredores mais amplos e até mesmo melhor
disposição das salas, visando a saída de emergência sugerida, que é a
porta principal do Data Center, saindo para a área dos elevadores;
• Não armazenar, no mesmo andar do Data Center, os suprimentos, tais
como papéis, materiais de consumo etc;
• Orientar aos faxineiros para terem todo o cuidado com o uso de água e
outros produtos líquidos de limpeza no piso elevado e nos equipamentos;

190
• Providenciar recarga de extintores de incêndio, sempre que necessário,
com o cuidado na contratar firma idônea e solicitar que a recarga seja
realizada na presença de um funcionário da ELECTRA.
Climatização
• Ligar os compressores do ar-condicionado conforme recomendações
técnicas, mantendo os aparelhos redundantes em condições de operação;
• Realizar testes periódicos;
• Substituir, na sala do banco de dados, se for mantido o piso elevado
atual, duas placas fechadas de piso por placas perfuradas, a fim de
melhorar o insuflamento do ar no ambiente;
• Reformar a torre de resfriamento e limpar/trocar os filtros de água no
prazo recomendado pelo fabricante, como está sendo realizado
atualmente;
• Vistoriar, periodicamente, as torres de resfriamento, que se encontram
instaladas em área externa. Diferentemente dos equipamentos do ar, que
estão instalados em compartimento fechado, com acesso somente ao
pessoal autorizado, pois as torres necessitam maior proteção.
Acondicionamento das mídias
Analisamos o acondicionamento das mídias em toda a área do Data Center e
realizamos também uma visita ao backup. Recomenda-se para ambos:

191
• Manter a porta da sala de mídias fechada e instalar controle de acesso;
• Adquirir cofres de proteção de mídias;
• Adquirir equipamento apropriado para transporte das mídias.
Análise dos equipamentos de rede distribuídos
Foram analisados os equipamentos de teleprocessamento (TP), switches, routers,
modems, cabeamento, climatização, controle de acesso e condições de limpeza das
salas, com as seguintes observações:
• Cabeamento desorganizado;
• Sem climatização;
• Sem controle de acesso;
• Necessita melhor limpeza e arrumação;
• Risco de incêndio e de acesso indevido.
Geral
• Implementar as alterações sugeridas no layout disponível no APÊNDICE
A;
192
• Estudar a implantação de sala de segurança (sala-cofre);
• Instalar cofre para guarda de mídias;
• Instalar CFTV em pontos estratégicos;
• Proibir fumar no Data Center;
• Instalar detecção precoce de incêndio com combate automático de gás
FM 200;
• Instalar equipamento de monitoração remota da rede;
• Instalar controle de acesso em salas de ambientes alta criticidade;
• Instalar grupo gerador;
Áreas Seguras (corresponde ao item 1 do questionário - APÊNDICE B)
• As áreas críticas ou sensíveis da empresa devem estar localizadas em
áreas seguras;
• Devem estar protegidas por um perímetro de segurança definido, com
barreiras de segurança e controles de entrada apropriados;
• Devem estar protegidas fisicamente contra acesso não autorizado, danos
e interferência;
• O grau de proteção deve ser proporcional aos riscos identificados;

193
• Deve existir política de mesa vazia e tela vazia para reduzir o risco de
acesso não autorizado ou danos a documentos, mídia e instalações de
Perímetro de Segurança (corresponde ao item 2 do questionário -
APÊNDICE B)
• Deve existir proteção física com barreiras físicas em volta das instalações
da empresa e dos equipamentos de processamento de informações;
• As barreiras devem estabelecer um perímetro de segurança correto para
aumentar a proteção total oferecida;
• Devem ser utilizados perímetros de segurança para proteger as áreas que
contêm equipamentos de processamento de informações;
• Devem existir barreiras, paredes, portões de entrada controlados por
cartão ou uma mesa com recepcionista, que constituam um perímetro de
segurança;
• O perímetro do edifício e site que contém áreas críticas deve ser
fisicamente sólido;
• Não devem deve existir brechas no perímetro ou áreas que permitam uma
penetração fácil;
• As paredes externas devem ser de construção sólida;

194
• As portas externas devem ser devidamente protegidas contra o acesso
não autorizado, com mecanismos de controle, barras, alarmes, fechaduras
etc;
• Deve existir uma área de recepção com pessoal ou outro meio de
controle do acesso físico ao site ou ao edifício;
• Somente pessoal autorizado poderá ter acesso aos sites e edifícios;
• As barreiras físicas devem ser estendidas do piso bruto ao teto bruto, para
impedir o acesso não autorizado e contaminação ambiental;
• Devem existir portas corta-fogo no perímetro de segurança e elas devem
ser equipadas com alarme e fechar automaticamente.
Controles físicos de entrada (corresponde ao item 3 do questionário -
APÊNDICE B)
• As áreas seguras devem ser protegidas por controles de entrada
apropriados;
• As trilhas de auditoria de todos os acessos devem ser guardadas em local
seguro;
• Os direitos de acesso a áreas seguras devem ser revistos e atualizados
regularmente.
195
Proteção das instalações (corresponde ao item 4 do questionário -
APÊNDICE B)
• Para a proteção das instalações, deve existir a preocupação de área segura
(ex.: salas trancadas ou várias salas dentro de um perímetro físico de
segurança, que podem ser trancadas e que disponham de arquivos de aço
trancáveis ou cofres);
• A escolha e o projeto de uma área segura deve levar em conta a
possibilidade de danos causados pelos riscos ou vulnerabilidades;
• Devem ser levados em conta os regulamentos e normas relevantes de
saúde e segurança;
• Devem ser levadas em consideração eventuais ameaças à segurança
causadas por instalações vizinhas, como infiltrações, vazamento de água
proveniente de outra área etc.
Controle (corresponde ao item 5 do questionário - APÊNDICE B)
• Os equipamentos críticos devem estar em local não acessível ao público;
• O prédio deve ser discreto e indicar o mínimo possível a sua finalidade,
sem sinais visíveis, dentro ou fora do edifício, que identifiquem a
presença de atividades de processamento de informações;
• Funções e equipamentos de suporte (fotocopiadoras e fax) ficam num
local apropriado dentro da área segura, para evitar pedidos de acesso que
poderiam comprometer as informações;

196
• As portas e janelas ficam trancadas quando não há ninguém presente;
• Devem ser implementados sistemas apropriados de detecção de intrusos,
instalados segundo padrões profissionais e testados regularmente, para
cobrir todas as portas externas e as janelas acessíveis;
• As áreas não ocupadas devem dispor de alarme armado
permanentemente;
• Equipamentos administrados pela organização devem ficar fisicamente
separados dos equipamentos administrados por terceiros;
• As listas de pessoal e listas telefônicas internas que identificam a
localização dos equipamentos de processamento de informações
sensíveis não podem ficar em local acessível ao público.
O trabalho em áreas seguras (corresponde ao item 6 do questionário -
APÊNDICE B)
• Devem existir controles e diretrizes adicionais para aumentar a segurança
de uma área sensível;
• Devem existir controles para o pessoal e/ou para terceiros que trabalham
dentro da área segura;
• O pessoal só deve sabe da existência de uma área segura e das atividades
nela executadas numa base de “necessidade de saber”;

197
• Deve ser evitado o trabalho não supervisionado em áreas seguras, tanto
por motivos de segurança como para não dar oportunidade a atividades
mal-intencionadas.
Isolamento das áreas de entregas e de carregamento (corresponde ao
item 7 do questionário - APÊNDICE B)
• As áreas de entregas e de carregamento devem ser controladas e isoladas
dos equipamentos de processamento de informações, a fim de evitar o
acesso não autorizado;
• Os requisitos de segurança para tais áreas devem ser determinados por
uma avaliação dos riscos;
• O acesso a uma área de armazenagem provisória, a partir do exterior de
um edifício, deve ser restrito a pessoal identificado e autorizado;
• A área de armazenagem provisória deve ser projetada de tal maneira que
os suprimentos possam ser descarregados sem que o pessoal de entrega
tenha acesso a outras partes do edifício;
• As portas externas da área de armazenagem provisória devem
permanecer trancadas enquanto a porta interna estiver aberta;
• O material recebido deve ser inspecionado para detectar eventuais
perigos antes de ser transportado da área de armazenagem provisória para
o local de utilização;
• O material recebido deve ser registrado ao entrar no site.

198
Segurança do Equipamento (corresponde ao item 8 do questionário -
APÊNDICE B)
• Os equipamentos devem ser protegidos fisicamente contra as ameaças à
sua segurança e os perigos ambientais;
• Devem ser levados em conta a localização e disposição dos
equipamentos;
• Devem existir controles especiais para proteção contra perigos ou acesso
não autorizado e para preservar os equipamentos de apoio, como o
suprimento de corrente e a infra-estrutura de cabeamento.
Localização e proteção dos equipamentos (corresponde ao item 9 do
• Os equipamentos devem ser localizados ou protegidos de modo a reduzir
o risco das ameaças e perigos do meio-ambiente e as oportunidades de
acesso não autorizado;
• Os equipamentos devem ser localizados de modo a minimizar o acesso
desnecessário às áreas de trabalho;
• Os equipamentos de processamento e armazenamento de informações
que manuseiam dados sensíveis devem ser posicionados de modo a
minimizar o risco de olhares indiscretos durante o uso;
• Os itens que requerem proteção especial devem ser isolados a fim de
reduzir o nível geral de proteção necessário;

199
• Devem ser adotados controles para minimizar o risco de ameaças
potenciais, incluindo furto, incêndio, explosivos, fumaça, água (falha no
abastecimento), poeira, vibração, efeitos químicos, interferência no
suprimento de força, radiação eletro-magnética;
• Devem ser levados em conta o impacto de um acidente em instalações
próximas, como por exemplo um incêndio no prédio vizinho, vazamento
de água do telhado ou em pavimentos do subsolo ou uma explosão na
rua.
Suprimento de energia elétrica (corresponde ao item 10 do
• Deve existir suprimento adequado de eletricidade que atenda às
especificações do fabricante dos equipamentos;
• Devem existir fontes alternativas de geração de energia;
• Devem existir múltiplas fontes de alimentação para evitar que o
suprimento dependa de uma única fonte;
• Deve existir suprimento de energia à prova de interrupções (UPS =
sistema no-break);
• Deve existir gerador de backup;
• Deve existir um suprimento à prova de interrupções (UPS/no-break) para
suportar a parada ordenada ou a continuação da operação, no caso de
equipamentos que suportam operações críticas para a empresa;

200
• Deve existir planejamento de contingência indicando as providências a
tomar em caso de falha do UPS;
• Devem ser realizados testes regulares dos equipamentos para assegurar
que ele tenha a capacidade adequada;
• Os equipamentos devem ser testados de acordo com as recomendações
do fabricante.
Bancada de baterias, risco de explosão e falha do equipamento
• Deve ser providenciado um gerador de backup para que o processamento
continue em caso de uma falta de força prolongada.
Estocagem do óleo diesel e manutenção da sua qualidade, muretas de
contenção (corresponde ao item 11.2 do questionário - APÊNDICE B)
• Os geradores devem ser testados regularmente de acordo com as
instruções do fabricante;
• Deve existir suprimento adequado de combustível para assegurar que o
gerador possa operar durante um período prolongado;
• As chaves de força de emergência devem estar localizadas perto das
saídas de emergência das salas de equipamentos;
• Deve existir iluminação de emergência para o caso de falta de força;
• O prédio deve ser equipado com pára-raios;

201
• Devem existir filtros de proteção contra raios em todas as linhas externas
de comunicações;
• Deve existir Gaiola de Faraday e pára-raio Franklin.
Segurança do cabeamento (corresponde ao item 12 do questionário -
APÊNDICE B)
• As linhas de força e as linhas de telecomunicações que entram nos
equipamentos de processamento de informações devem ser subterrâneas
sempre que possível e ter proteção alternativa adequada;
• O cabeamento das redes deve ser protegido contra interceptação não
autorizada ou danos (pelo uso de conduítes ou evitando trajetos que
passem por áreas públicas);
• Os cabos de força devem ficar separados dos cabos de comunicações
para evitar interferências;
• Deve existir conduítes blindados e salas ou caixas trancadas em pontos
de inspeção e pontos terminais;
• Deve ser feito o uso de rotas ou meios de transmissão alternativos;
• Deve ser feito o uso de cabeamento de fibras ópticas;
• Devem existir cabos com sistemas de varredura para detectar a presença
de dispositivos não autorizados.

202
Manutenção dos equipamentos (corresponde ao item 13 do
• Os equipamentos devem receber manutenção correta para assegurar sua
disponibilidade e integridade permanente;
• Os equipamentos devem receber manutenção com a periodicidade e de
acordo com as especificações recomendadas pelo fabricante;
• A manutenção e os reparos do equipamento somente devem ser
executados por pessoal de manutenção autorizado;
• Deve ser mantido um registro de todos os defeitos suspeitos ou reais e de
toda a manutenção preventiva e corretiva executada;
• Devem ser adotados controles apropriados quando equipamentos saem
do site para fins de manutenção;
• Devem ser cumpridas todas as exigências estipuladas nas apólices de
seguros.
Segurança dos equipamentos fora das instalações (corresponde ao item
14 do questionário - APÊNDICE B)
• O uso de qualquer equipamento fora das instalações da organização, para
fins de processamento de informações, precisará ser autorizado pela
gerência anteriormente;
203
• O grau de segurança proporcionado deve ser equivalente ao do
equipamento utilizado no site para os mesmos fins, levando em conta os
riscos do trabalho fora das instalações da organização;
• O equipamento de processamento de informações (todas as formas de
computadores pessoais, agendas eletrônicas, telefones celulares, papel ou
outros meios) que ficam na posse da pessoa para trabalho a domicílio ou
que devem ser transportados para fora do local normal de trabalho devem
ter procedimento de segurança;
• Os equipamentos e as mídias retirados das instalações da organização
devem ter supervisão em lugares públicos;
• Os computadores portáteis devem ser transportados como bagagem de
mão e disfarçados sempre que possível;
• Devem ser observadas a qualquer tempo as instruções do fabricante para
a proteção dos equipamentos (ex.: proteção contra a exposição a campos
eletromagnéticos intensos);
• Os controles para o trabalho a domicílio devem ser determinados por
uma avaliação dos riscos, e devem ser adotados controles adequados
conforme necessário (ex.: arquivos de aço trancados, política de mesa
vazia e controles de acesso a computadores);
• Deve existir uma cobertura de seguros adequada para proteger o
equipamento quando fora do site.

204
Segurança no descarte ou na reutilização de equipamentos
• Devem existir cuidados no descarte ou na reutilização de equipamentos;
• Sistemas de armazenagem que contenham informações sensíveis devem
ser destruídos fisicamente ou sobregravados de maneira segura ao invés
de se usar a função normal delete;
• Todos os itens de equipamento que contenham mídia de armazenagem,
como, por exemplo, discos rígidos, devem ser verificados para garantir
que todos dados sensíveis e softwares licenciados tenham sido retirados
ou sobregravados antes do descarte;
• No caso de dispositivos de armazenagem danificados que contenham
dados sensíveis, deve existir uma avaliação dos riscos para determinar se
o item deve ser destruído, consertado ou descartado.
Controles gerais (corresponde ao item 16 do questionário - APÊNDICE
B)
• Devem existir medidas para impedir o comprometimento ou furto de
informações e de equipamentos de processamento de informações;
• Devem ser implementados controles para minimizar a perda ou o dano a
informações.
205
Política de mesa vazia e tela vazia (corresponde ao item 17 do
• A organização deve adotar política de mesa vazia para documentos e
mídia de armazenagem removíveis;
• Deve ser adotada política de tela vazia para os equipamento de
processamento de informações, a fim de reduzir os riscos de acesso não
autorizado a informações e de perda ou dano às informações durante o
horário normal de trabalho e fora dele;
• Devem ser levadas em consideração as classificações de segurança da
informação, os riscos correspondentes e os aspectos culturais da
organização;
• Deve ser tomado cuidado para que informações não sejam deixadas em
cima de mesas, podendo ser danificadas ou destruídas em caso de
catástrofes, como incêndios, inundações ou explosões.
Diretrizes de proteção (corresponde ao item 18 do questionário -
APÊNDICE B)
• Os documentos e mídia de computador devem ser armazenados em
estantes apropriadas e trancadas em outras formas de mobília de
segurança, quando não estiverem em uso, principalmente fora do horário
de expediente;
206
• Informações empresariais sensíveis ou críticas devem ficar trancadas
(preferivelmente em um cofre ou arquivo à prova de fogo) quando não
em uso, principalmente quando não houver ninguém no escritório;
• Os postos de correspondência recebida e enviada e as máquinas de fax e
telex sem a presença do operador devem ser protegidos;
• As copiadoras devem ser trancadas (ou protegidas de algum outro modo
contra o uso não autorizado) fora do horário normal de expediente;
• Informações sensíveis ou confidenciais, quando impressas, devem ser
retiradas das impressoras imediatamente.
Equipamentos de prevenção e combate a incêndios (corresponde ao
• Os equipamentos e os materiais de combate devem ser compatíveis com
o ambiente;
• Deve existir contingência.
Localização dos equipamentos de combate a incêndios (corresponde ao
• A localização deve ser adequada e o acesso livre;
• Deve ser conferida a validade das cargas;
• As portas de incêndio devem possuir possuem sensores e alarmes e mola
para fechamento automático;

207
• Devem existir detectores de fumaça sob o piso falso e no teto.
Distância de equipamentos, produtos ou locais críticos (corresponde ao
• Os equipamentos devem estar distantes das linhas de transmissão de alta
voltagem;
• A remoção de lixo deve ser diária;
• Devem existir procedimentos relacionados com papéis (isolamento,
controle de acesso, proibição de fumar etc.);
• Periodicamente deve ser verificada a necessidade de efetuar dedetização
e desratização;
• As cestas de lixo devem ser de metal com tampa com objetivo de abafar
princípios de incêndio;
• Os quadros de conexões telefônicas devem ser trancados para haja acesso
somente quando permitido ao pessoal autorizado.
Condições gerais de segurança da edificação (corresponde ao item 23
do questionário - APÊNDICE B)
• As paredes internas devem ser de alvenaria até o teto;
• Deve existir vedação de passagens com portas corta-fogo;
• As paredes externas devem impedir a propagação de incêndios;

208
• Deve existir vedação de passagens para outros recintos ou andares (dutos
de ar-condicionado, cabos, monta-carga etc.);
• O edifício que abriga o Data Center deveria ser construído com material
retardante e resistente ao fogo;
• Os detectores de fumaça devem ser mantidos e testados de forma
programada;
• Deve existir sensor de temperatura e umidade do ar;
• Devem existir quadros de controle pare detectar rapidamente e localizar
fogo e fumaça;
• As placas do piso falso devem ser facilmente removíveis para permitir
verificação de fogo e fumaça;
• Os extintores devem estar distribuídos estrategicamente em locais
visíveis e destacados;
• O alarme de incêndio deve tocar na vigilância;
• Devem existir hidrantes instalados em locais estratégicos nos andares dos
prédios;
• Esses hidrantes e seus equipamentos auxiliares devem ser testados
regularmente;
• Havendo necessidade, os carros do Corpo de Bombeiros devem ter
acesso fácil a qualquer lado do prédio;

209
• As placas do piso falso devem ser de material retardante;
• Deve existir reserva técnica de água para hidrantes;
• Devem existir plantas de localização dos extintores e detectores;
• Os alarmes de incêndio devem ser alimentados por baterias, no caso de
falha no fornecimento de energia.
Condições de gerais de segurança relacionados com a edificação
• Deve existir sensoriamento de portas, janelas, dutos e supervisão predial;
• Deve existir sala central de controle de segurança bem localizada e com
qualificação pessoal;
• O monitoramento do perímetro e áreas externas ao prédio deve ser feito
via CFTV;
• Deve existir um serviço de vigilância de 24 horas, inclusive nos fins de
semana e feriados;
• As saídas de emergência devem ser verificadas em relação à usabilidade
periodicamente;
• As portas para a área do Data Center devem ser mantidas fechadas;
• Devem existir alarmes para informar à vigilância a violação de portas e
acessos a áreas do Data Center;

210
• Deve ser feito um rodízio periódico entre os recepcionistas.
Condições gerais de segurança relacionados com evacuações
• Deve existir procedimento de evacuação;
• As saídas de emergência devem estar livres e desimpedidas e em boas
condições;
• Deve existir iluminação de emergência e sinalização adequadas e ser
feito teste da mesma periodicamente;
• Devem existir telefones internos de emergência para comunicação de
sinistros;
• Deve existir um sistema de alarme para fazer a evacuação dos prédios;
• Deve existir um sistema de áudio para auxiliar nos momentos de
evacuação de pessoal.
Disposição e infra-estrutura das edificações destinadas à função
• Quadros de luz e iluminação devem estar localizados em local adequado;
• Deve existir controle de ruídos nas imediações do perímetro;
• Deve existir controle de temperatura nas imediações do perímetro;

211
• As condições de conservação e limpeza do piso elevado e do forro
devem ser adequadas;
• Os incidentes de segurança devem ser investigados para apuração da
causa e tomada de ação corretiva.
Suprimento de energia (corresponde ao item 27 do questionário -
APÊNDICE B)
• Quedas de tensão ser freqüentes, oscilações e sobrecargas devem ser
evitadas ;
• Deve existir estabilizador/no-break/gerador com autonomia satisfatória;
• As instalações elétricas do prédio e as instalações destinadas aos
equipamentos de energia devem estar em boas condições e não
oferecerem perigo;
• Deve existir exclusividade das instalações elétricas no Data Center;
• O sistema de geração própria de energia deve ser testado periodicamente;
• O quadro de força deve ser protegido e de fácil acesso para as situações
de emergência;
• Deve existir um controle das perdas de horas de máquina devido a
problemas de eletricidade;
• Deve existir um plano de manutenção para a rede elétrica.

212
Ar-condicionado (corresponde ao item 28 do questionário -
APÊNDICE B)
• A qualidade das instalações e manutenção dos equipamentos e nível de
ruído deve ser satisfatória;
• Não deve existir a possibilidade de entrada de gases através dos dutos de
ar-condicionado;
• As chaves de emergência devem desligar o sistema de ar-condicionado;
• O sistema de climatização deve ser exclusivo;
• Não deve ser compartilhado com área e/ou tipo de equipamentos
inadequados;
• O dimensionamento do equipamento de ar-condicionado deve ser
adequado;
• Deve haver redundâncias (e reservas) e simulações periódicas;
• As aberturas externas (troca de ar) devem proporcionam uma adequada
renovação;
• Devem existir dampers corta-fogo e gases no interior dos dutos;
• Os equipamentos de ar-condicionado devem estar instalados em
compartimentos fechados (com acesso somente a pessoal autorizado);
• As tomadas de ar devem ser protegidas contra contaminação;

213
• Devem existir alarmes nos sistemas de ar-condicionado;
• Os dutos do ar condicionado devem ser de material retardante;
• Os instrumentos de comando do sistema de ar-condicionado devem estar
protegidos evitando manutenção não-autorizada;
• Devem existir plantas com especificações de toda a rede de ar-
condicionado.
Condições gerais de segurança relacionados com suprimento de água
• O prédio deve estar em boas condições em relação a goteiras;
• O prédio deve estar em boas condições em relação à umidade,
infiltrações e vazamentos de canalizações;
• Deve ser garantida a continuidade do suprimento (existência a
capacidade do reservatório);
• Deve ser garantida a qualidade das instalações hidráulicas (vazamentos,
infiltrações);
• Devem existir plantas atualizadas da rede hidráulica;
• A localização das tubulações e as condições dos materiais utilizados
devem ser satisfatórias;
• Os telhados e a laje devem estar em boas condições;

214
• O subsolo sofre algum tipo de interferência;
• Quanto à drenagem sob o piso elevado, a proteção em relação ao piso
superior deve estar em boas condições;
• Os encanamentos, exceto os necessários, devem ser retirados do piso
falso em áreas sob o computador;
• Os conduítes devem ser a prova d'água;
• Deve existir vedação adequada contra infiltração de água nas portas
externas;
• A vedação deve ser adequada contra infiltração de água nas janelas
externas;
• Deve existir escoamento de água e drenagem adequada para impedir
inundação na sala do computador;
• A sala do computador deve possuir impermeabilização adequada do teto,
impedindo infiltração de água.
3.6 Conformidade
OBJETIVO:
Evitar violações de leis penais ou cíveis, de obrigações decorrentes de estatutos,
regulamentos ou contratos e de quaisquer requisitos de segurança em:

215
• Projeto;
• Operação;
• Utilização;
• Gerenciamento de sistemas de informações.
A ELECTRA está sujeita a exigências de segurança decorrentes de estatutos,
regulamentos ou contratos;
Deve-se realizar consultoria sobre exigências legais específicas junto ao
departamento jurídico da ELECTRA ou com advogados externos devidamente
qualificados;
As exigências legislativas variam de um país para outro e para informações
criadas em um determinado país e transmitidas para um outro país - fluxos de dados
que atravessam fronteiras.
Identificação da legislação aplicável
Exigências relevantes, impostas por lei, por órgãos reguladores ou por contrato:
• Definidas explicitamente;
• Documentadas por sistema de informação;
• Controles específicos e as responsabilidades individuais pelo
atendimento a essas exigências também devem ser definidos e
documentados.
216
3.6.1 Preservação dos registros da ELECTRA
OBJETIVO:
Proteger contra perda, destruição e falsificação.
Necessidades de arquivar registros de modo seguro
• Deve atender as exigências da lei ou de órgãos reguladores;
Deve apoiar as atividades essenciais da ELECTRA:
• Pode ser exigido para comprovar que uma empresa opera de acordo com
as normas da lei ou de órgãos reguladores;
• Deve assegurar uma defesa adequada em um eventual processo civil ou
criminal;
• Confirma a situação financeira de uma empresa para os seus acionistas,
sócios e auditores.
• Evidencia que o período de retenção das informações e os dados a serem
conservados podem ser estabelecidos pelas leis ou regulamentos do país.
Os registros devem ser classificados em categorias como registros contábeis, de
empresas de dados, de transações, de auditoria e de procedimentos operacionais.
Cada tipo de registro terá exigências específicas quanto ao período de retenção e
tipo de veículo de armazenagem:

217
• Papel, microficha, suportes magnéticos ou ópticos;
• Chaves de criptografia associadas a arquivos codificados ou assinaturas
digitais devem ser guardadas com segurança e colocadas à disposição das
pessoas autorizadas quando necessário;
• Considerar a possibilidade de deterioração dos suportes utilizados na
armazenagem de registros;
• Implementar procedimentos de armazenagem e manuseio de acordo com
as recomendações do fabricante;
• Deve ser permitida a destruição apropriada dos registros após a expiração
do período de retenção, se não forem mais necessários à ELECTRA;
Para cumprir essas obrigações, devem-se adotar as seguintes providências:
• Emitir diretrizes sobre a retenção, armazenagem, manuseio e descarte de
registros e informações;
• Elaborar programa de retenção que identifique os tipos dos registros
essenciais e por quanto tempo eles devem ser conservados;
• Manter inventário das fontes de informações-chave;
• Implementar controles apropriados para proteger registros e informações
essenciais contra perda, destruição e falsificação.
Coleta de provas - Regras para constituição de prova
• Provas adequadas dão apoio legal contra uma pessoa ou ELECTRA;

218
Sempre que essa ação for um assunto disciplinar interno, a prova necessária será
descrita pelos procedimentos internos.
Nos casos em que a ação envolve a legislação civil ou penal, elas devem estar
em conformidade com as regras para constituição de prova, estabelecidas pela
legislação aplicável ou pelas normas do tribunal específico no qual o caso será
julgado:
• Admissibilidade da prova: se a prova pode ou não ser usada em juízo;
• Peso da prova: a qualidade e integridade da prova;
• Uma prova adequada de que os controles funcionaram de modo correto e
consistente durante todo o período em que a prova a ser recuperada foi
armazenada e processada pelo sistema.
Admissibilidade da prova
Para conseguir a admissibilidade da prova, assegurar que os sistemas de
informações obedecem a uma dada norma ou código de prática publicados para a
produção de provas admissíveis.
Qualidade e integridade da prova
Para se obter a qualidade e integridade da prova há necessidade de um forte
indício de credibilidade. Em geral, essa credibilidade pode ser estabelecida sob as
seguintes condições:
• Para documentos em papel: o original é guardado de maneira segura,
ficando registrado quem o encontrou, onde e quando foi encontrado e

219
quem testemunhou a descoberta. Qualquer investigação deve garantir que
ninguém alterou os originais;
• Para informações em suportes físicos de computador: devem ser feitas
cópias de qualquer veículo removível das informações em disco rígido ou
na memória para garantir a disponibilidade;
• Conservar o registro de todos os atos praticados durante o processo de
cópia;
• Identificar testemunhas para esse processo;
• Cópia do suporte físico e do log devem ser mantidos em lugar seguro;
• Quando um incidente é detectado, pode não ser óbvio num primeiro
momento que ele possa dar origem a uma ação judicial;
• Existe risco de que as provas necessárias sejam destruídas
acidentalmente antes que se perceba a gravidade do incidente;
• Recomenda-se envolver um advogado já nos estágios iniciais de qualquer
ação judicial que se pretende adotar e pedir conselho sobre as provas
necessárias.
Conformidade com a política de segurança
• Os gerentes devem assegurar que todos os procedimentos de segurança
dentro de sua área de responsabilidade são executados corretamente;

220
Deve ser feita regularmente uma revisão em todas as áreas da ELECTRA para
assegurar a conformidade com as políticas e normas de segurança. As revisões devem
incluir o seguinte:
• Sistemas de informações;
• Fornecedores de sistemas;
• Gestores das informações e dos ativos de informação;
• Usuários;
• Administração.
Os gestores dos sistemas de informações devem providenciar revisões periódicas
da conformidade dos seus ambientes com as políticas e normas de segurança
apropriadas e com quaisquer outros requisitos de segurança.
3.6.2 Situação atual em relação à Conformidade
Conformidade com exigências legais
• Existe a preocupação de evitar violações de qualquer lei penal ou civil,
de obrigações decorrentes de estatutos, regulamentos ou contratos e de
quaisquer requisitos de segurança;
• A ELECTRA está sujeita a exigências de segurança decorrentes de
estatutos, regulamentos ou contratos;

221
• Existe uma consultoria sobre exigências legais específicas junto ao
departamento jurídico da ELECTRA;
• São analisadas as exigências legislativas que variam de um País para
outro, para informações criadas em um determinado País e transmitidas
para um outro (fluxos de dados que atravessam fronteiras).
Identificação da legislação aplicável
• São observadas as exigências relevantes impostas por lei, por órgãos
reguladores ou por contrato, definidas explicitamente e documentadas
por sistema de informação;
• Os controles específicos e as responsabilidades individuais pelo
atendimento a essas exigências estão definidos e documentados.
Preservação dos registros da ELECTRA
• Os registros da ELECTRA não são protegidos contra perda, destruição e
falsificação;
• Os registros não estão arquivados de modo seguro para atender a
exigências da lei ou de órgãos reguladores;
• Os registros que podem ser exigidos para comprovar que uma
organização opera de acordo com as normas da lei; ou de órgãos
reguladores; ou para assegurar uma defesa adequada em um eventual
processo civil ou criminal; ou para confirmar a situação financeira de

222
uma organização para os seus acionistas, sócios e auditores, não estão
protegidos de forma adequada;
• São observados o período de retenção das informações e os dados a
serem conservados, que são estabelecidos pelas leis ou regulamentos do
país;
• Os registros contábeis, de bancos de dados, de transações, de auditoria e
procedimentos operacionais não estão protegidos;
• Cada tipo de registro tem exigências específicas quanto a período de
retenção e tipo de veículo de armazenagem, como: papel, microficha,
suportes magnéticos ou ópticos. Esse procedimento é observado;
• É realizada destruição apropriada dos registros após a expiração de tal
período, se não forem mais necessários;
• Existe um programa de retenção que identifica os tipos dos registros
essenciais e por quanto tempo eles devem ser conservados;
• Não existem controles de segurança apropriados para proteger registros e
informações essenciais contra perda, destruição e falsificação.

223
3.6.3 Recomendações sobre a conformidade
• Adequação imediata da ELECTRA à legislação vigente relativa a
segurança da informação, observando ao Decreto 3.505, de 14 de junho
de 2000;
• O Data Center da ELECTRA deve proteger contra perda, destruição e
falsificação e acesso os registros físicos em papéis da ELECTRA, de
acordo com a legislação e os órgãos reguladores.
• O Comitê Gestor Multidisciplinar deve ser encarregado de adequar a
ELECTRA às recomendações acima descritas.
• Implementar as diretrizes da Norma ISO/IEC 17799, de 19 de setembro
de 2001.
• Implementar controles de segurança apropriados para proteger registros e
informações essenciais contra perda, destruição e falsificação, como
controle de acesso, higienização, organização, arquivos deslizantes para
proteger o acervo etc;
• É necessário avaliar o risco de se terceirizar a guarda de documentos
sigilosos, porque atualmente não existe a classificação das informações.
O ideal é que o local seja vistoriado e que os funcionários do terceiro
passem por um treinamento de conformidade com a Norma ISO/IEC
17799.
224
Geral
• Treinar, instruir e conscientizar os funcionários a respeito da adequação
às normas que tratam da questão da Segurança da Informação;
• Aquisição de cofre ou arquivos deslizantes para guarda do material de
propriedade intelectual, manuais de softwares e outros.
Conformidade com exigências legais (corresponde ao item 1 do
• A organização deve atender a exigências de segurança decorrentes de
estatutos, regulamentos ou contratos.
Preservação dos registros da organização (item 3 do questionário -
APÊNDICE B)
• Os registros da organização devem ser protegidos contra perda,
destruição e falsificação;
• Os registros devem ser arquivados de modo seguro para atender a
exigências da lei ou de órgãos reguladores;
• Os registros que podem ser exigidos para comprovar que a organização
opera de acordo com as normas da lei ou de órgãos reguladores ou para

225
assegurar uma defesa adequada em um eventual processo civil ou
criminal ou para confirmar a situação financeira de uma organização para
os seus acionistas, sócios e auditores, devem ser protegidos de forma
segura;
• Deve-se observar que cada tipo de registro tem exigências específicas
quanto a período de retenção e tipo de veículo de armazenagem, como:
papel, microficha, suportes magnéticos ou ópticos;
• Registros contábeis, de bancos de dados, de transações, de auditoria e
procedimentos operacionais devem ser protegidos de forma segura;
• Devem ser consideradas as possibilidades de deterioração dos suportes
utilizados na armazenagem de registros;
• Nos casos de armazenagem por meios eletrônicos, devem estar inclusos
os procedimentos para assegurar a capacidade de acessar dados -
legibilidade dos suportes físicos como dos formatos - durante todo o
período de retenção, como garantia contra a perda decorrente de futuras
mudanças de tecnologia;
• Devem ser escolhidos os sistemas de armazenagem em que os dados
necessários possam ser recuperados de um modo aceitável para um
tribunal;
• Os registros exigidos devem ser recuperados dentro de um tempo
aceitável e num formato aceitável;
• Deve-se manter um inventário das fontes de informações-chave;

226
• Devem ser implementados controles de segurança apropriados para
proteger registros e informações essenciais contra perda, destruição e
falsificação;
Conformidade com a política de segurança (item 4 do questionário -
APÊNDICE B)
• Os gerentes devem assegurar que todos os procedimentos de segurança
dentro de sua área de responsabilidade são executados corretamente;
• Deve ser realizada regularmente uma revisão em todas as áreas da
organização para assegurar conformidade com as políticas e normas de
segurança.
3.7 Plano de Ação Geral (Todos os Módulos Analisados)
• Criar e aprovar em caráter de emergência, uma Política de Segurança
Corporativa das Informações (com Marketing de Divulgação e
Treinamento de conscientização adequada) de acordo com as Normas,
Legislações e cultura da ELECTRA;
• Nomear um Gerente de Segurança da Informação (Security Officer);
• Criar um Comitê Gestor para implementação, manutenção e revisão da
Política de Segurança da Informação na ELECTRA;
• Customizar as ferramentas de Detecção de Invasão;

227
• Implantar um Plano de Contingência e PCN - Plano de Continuidade de
Negócios;
• Revisão de todos os Contratos com Terceiros;
• Exigir em contrato que o terceiro desenvolva treinamento de
conformidade com a Norma ISO/IEC 17799.
• Estabelecer pontos de contatos para tratar incidentes de segurança;
• Estabelecer uma contingência junto à empresa prestadora de serviços de
telefonia.
• Nomear um gestor responsável para cada ativo da ELECTRA
• Compilar um inventário dos ativos físicos e lógicos;
• Identificar o valor dos ativos;
• Implementar Classificação das Informações conforme a Norma ISO/IEC
17799 (a metodologia deverá estabelecer Escalas dos Graus de sigilo e o
Teor Crítico das informações da ELECTRA, de modo a refletir a
abrangência de utilização da informação);
• Criar procedimentos para alteração dos níveis de classificação da
informação;
• Definir procedimentos de rotulagem de informações.
• Re-analisar todos os privilégios de acesso;

228
• Desenvolver procedimentos para desativação on-line de login de
funcionários que são demitidos ou suspensos;
• Realizar treinamento de segurança para funcionários e terceirizados;
• Dotar áreas críticas de monitoração via CFTV;
• Adotar tecnologia de controle de acesso de funcionários, terceirizados e
visitantes, visando restringir fraudes e acesso não autorizado;
• Estudar a implantação de sala de segurança (sala-cofre);
• Instalar cofre para guarda de mídias;
• Instalar CFTV em pontos estratégicos;
• Proibir fumar no CPD;
• Instalar detecção precoce de incêndio com combate automático de gás
FM 200;
• Instalar controle de acesso em salas de ambientes alta criticidade;
• Instalar grupo gerador;

229
4 ANÁLISE DE RESULTADOS
AVALIAÇÃO GERAL DA ELECTRA

Valores
Módulos Estimados Melhoria

Apurados
Referência após
Atuais
Implantação
Política de Segurança 165 0 165 100%
Segurança Organizacional 651 322 546 41%
Classificação e Controle dos Ativos 378 183 331 45%
Segurança em Pessoas 195 140 160 13%
Segurança Física e do Ambiente 3165 1730 2664 35%
Conformidade 285 183 263 30%
Resultado Geral da Avaliação 4839 2558 4129 38%
Resultado da Conformidade 53% 85%
Tabela 1 - Resultado estimado decorrentes da implementação do plano de ação
Observa-se na tabela acima que os módulos de Política de Segurança,
Classificação e Controle dos Ativos e Segurança Organizacional são os que maiores
melhorias sofrerão em números relativos. O módulo de Segurança física é o maior em
números absolutos e que representa o maior esforço de implantação.

230
5 CONCLUSÃO
O processo de implementação desta proposta exigirá da ELECTRA grande
esforço e o comprometimento da alta gerência composta pela presidência e diretorias
executivas, apoiadas nas gerências setoriais. Esse empenho envolve a liberação de
recursos necessários, tanto financeiros como humanos, bem como o compromisso de
disseminar uma cultura organizacional, voltada para a manutenção da política de
segurança e da segurança física do seu ambiente de processamento de dados.
Além disso, é necessário criar o comitê de segurança multidisciplinar dirigido
por um gestor responsável , com a responsabilidade de implantar, manter e revisar a
política de segurança. A inobservância desta recomendação poderá acarretar em
desconhecimento das diretrizes de segurança, descumprimento das mesmas,
continuidade ou aumento das vulnerabilidades existentes, impossibilidade de punição
em caso de sinistro, entre outros.
As ações sugeridas nos planos de ação, nos seus diversos módulos, a saber: a
política de segurança; a segurança física e de ambiente - considerando as diversas
áreas e delimitadas segundo o conceito de perímetro de segurança, os dispositivos e
mecanismos de segurança como barreiras; a segurança em pessoas através da
aculturação e a conformidade com as leis vigentes, permitirão alcançar os níveis de
segurança física desejáveis e adequados para a ELECTRA.
A implementação das melhorias propostas reduzirá o risco existente sobre os
seus principais ativos.

231
De acordo com a análise de resultados, observa-se que, apesar de
proporcionalmente menor, as melhorias na segurança física exigirão maiores esforços
do que todas as outras. Haverá necessidade de adequação das instalações (elétricas,
hidráulicas, incêndio, etc), mudança de layout, re-instalar a estrutura de cabeamento
entre outros.
É importante observar que não devam ocorrer interrupções das atividades vitais
de negócio da ELECTRA ou que estas sejam mínimas durante a implementação das
recomendações.
Ainda observando os resultados, através do plano de ação, elevar-se-á o nível
conformidade com a Norma NBR ISO/IEC 17799 de um nível insatisfatório de 53%
(cinqüenta e três por cento) para um patamar adequado de 85% (oitenta e cinco por
cento), considerado satisfatório e admissível pela ELECTRA.

232
6 REFERÊNCIAS BIBLIOGRÁFICAS
MOREIRA, Nilton Stringasci, Segurança Mínima, Axcel Books, 1.ª edição,

2001.
PELTIER, Thomas R., Information Security Risk Analysis, CRC Press, 1ª

edição, 2001
SANTOS, Antonio Jeová, Dano Moral na Internet, Editora Método, 1.ª edição,
2001.
DIAS, Claudia, Segurança e Auditoria da Tecnologia da Informação, Axcel

Books, 1.ª edição, 2000.
CARUSO, C.A.A., Segurança em Informática e de Informações, Editora

SENAC SP, 1.ª edição, 1999
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Código de

Prática para a Gestão da Segurança da Informação. NBR ISO/IEC 17799:São
Paulo,2001.
FERREIRA, Aurélio Buarque de Holanda, Dicionário Aurélio da Língua

Portuguesa, 2ª Edição, 2003.
SILLAMY, Norbert, Dicionário de Psicologia, Larousse, 1996.
FERREIRA, Aurélio Buarque de Holanda, Novo Dicionário Aurélio da Língua

Portuguesa, 2a. Edição, Editora Nova Fronteira, 1986.
LANNOY Dorin, Enciclopédia de psicologia contemporânea, 5o. volume,

Editora Iracema, 1981.
MAIA, Marco Aurélio, Módulo Security Magazine – www.modulo.com.br , 31

de julho de 2002.
GALVÃO, Marcio; POGGI, Eduardo, Módulo, Avaliação de Riscos em

Segurança da Informação com o Security Check-up, 2002.
Febraban, www.febraban.org.br/palestras, consultado no dia 02/11/2004.
Módulo Security, www.modulo.com.br, consultado no dia 02/11/2004.

233
Dicionário Priberam, www.priberam.pt, consultado no dia 02/11/2004.

234
APÊNDICE A
235
Layout da situação atual
Figura 7 - Layout atual do piso da garagem
Figura 8 - Layout atual do piso do Data Center

236
Figura 9 - Layout atual do pavimento térreo
Figura 10 - Layout atual do pavimento tipo

237
Layout proposto após a análise
Figura 11`- Sugestão de layout para o 2o. Sub-solo – Garagem
Figura 12 - Sugestão de layout para o 1o. Sub-solo

238
Figura 13 - Sugestão de layout para o pavimento Térreo
Figura 14 - Sugestão de layout para o pavimento Tipo

239
APÊNDICE B
240
Fotos ilustrativas da situação atual
Corredor em frente ao auditório: Hidrante localizado na Garagem:

Mangueira exposta (sem tampa) Dificuldade de acesso ao hidrante
Sala de Backup no Data Center: Sala de impressão no Data Center:

Existência de detector de fumaça Risco de curto-circuito e acidente em
pessoas
Saída de emergência do 2º andar: Sala de Terceirizados no Data Center:

Porta de emergência obstruída Rachadura
241
Sala de Banco de Dados no Data Center: Sala de Coordenação no Data Center:

Rachadura Má disposição de cabeamento
Teto da Sala de Testes no Data Center: Sala de Suporte no Data Center:

Más condições das instalações elétricas Más condições das instalações elétricas
Controle de acesso ao Data Center: Controle de acesso ao Data Center:

Falha no controle de acesso Falha no controle de acesso
242
Sala de ar-condicionado: Entrada da Cobertura:

Corrosão no duto de ar-condicionado Porta obstruída e material combustível
Corredor interno do Data Center: Sala do Call Center no Data Center:

Más condições das instalações de dados Má disposição de cabos
Sala de Operadores e Analistas no Data Sala do Gerador:

Center: Dutos de conexão do Gerador em más
Predominância de más condições das condições
instalações elétricas/dados
243
Sala do Gerador: Sala do Gerador:

Dutos de conexão do Gerador em más Rachadura
condições
Sala do Gerador: Almoxarifado:

Bocal de abastecimento do Gerador Descarte de material de forma inadequada
Almoxarifado: Sala de Operadores no Data Center:

Descarte de material de forma inadequada Más condições das instalações elétricas
244
Sala de Testes no Data Center: Sala de Serviços Gerais no Data Center:

Más condições das instalações elétricas Infiltração com possibilidade de cultura de
bactérias
Sala de Gerência de Redes no Data Sala de Operadores no Data Center:

Center: Indício de insuficiência no condicionamento
Má disposição dos equipamentos de ar nas salas do Data Center
Sala de Arquitetura no 1º andar: Corredor do Data Center:

Precárias condições dos dispositivos de Ausência de extintor de incêndio
controle de acesso ao ambiente
245
Sala de Servidores de Rede: Sala de ar-condicionado:

Má disposição do cabeamento no Data Filtros de ar-condicionado sujos
Center (manutenção inadequada)
Sala de ar-condicionado: Cobertura do edifício:

Cabeamento em más condições Corrosão decorrente de vazamento no
sistema de ar-condicionado
Cobertura do edifício: Sala de Máquinas do Grande Porte:

Vazamento no sistema de ar-condicionado Piso elevado de material combustível
246
Sala de Servidores de Rede: Sala de Servidores de Rede:

Má disposição de cabeamento Má disposição de cabeamento
Corredor do 1º andar: Corredor do 1º andar:

Distribuição inadequada de material de Obstrução de saída de emergência
combate a incêndio
Sala de Servidores de Rede: Sala de Máquinas de Grande Porte:

Indício do uso de cigarro no ambiente do Existência de detector de incêndio no piso
Data Center elevado
247
Sala de Testes no Data Center: Sala de Operadores no Data Center:

Má disposição de cabeamento telefônico Dificuldade de acesso ao extintor
Sala de Banco de Dados: Sala de Banco de Dados:

Má disposição de cabeamento Má disposição de cabeamento lógico e
elétrico
Sala de equipamentos e infra-estrutura Sala de Suporte no Data Center:

no 1º andar: Cabeamento lógico e elétrico misturados
Material combustível no ambiente do Data
Center
248
Sala de Máquinas de Grande Porte: Sala de Máquinas de Grande Porte:

Cabeamento lógico e elétrico misturados Cabeamento lógico e elétrico misturados


249
Sala de Material no 4º andar: Sala de Material no 4º andar:

Material combustível junto aos Má disposição de equipamentos
equipamentos
Corredor do Data Center: Corredor do Data Center:

Vista geral do ambiente do Data Center Evidência da utilização de cigarro no
perímetro de segurança
Sala de ar-condicionado: Saída de emergência do 3º andar:

ar-condicionado Porta de incêndio com calço
250
Sala de Máquinas de Grande Porte: Sala de Impressão no Data Center:

Piso elevado de material combustível Descarte inadequado de material
Sala de Impressão no Data Center: Sala de Backup no Data Center:

Descarte inadequado de material Más condições de conservação do sistema
de ar-condicionado (poeira)
Sala de Backup no Data Center:

Conseqüência da má condição de
conservação do sistema de ar-condicionado
(poeira)
251
APÊNDICE C
252
Planilhas de avaliação
Política de Segurança
Não Sim Valores
Item Perguntas Peso Aderência Legenda
0 1 2 3 Referência Apurados
0: Ausência total
1: Presença inexpressiva
Aderência Geral 165 0 0% 2: Presença parcial
3: Presença total
1 Política de Segurança das Informações 30 0 0%
É Oferecida orientação e suporte à

1.1 administração para a segurança das 5 x 15 0 0%
Prover à direção uma orientação e
informações? apoio para a segurança da
A administração estabelece uma diretriz informação.
de política bem definida e demonstra o
seu apoio e compromisso com a
1.2 segurança das informações, através da 5 x 15 0 0%
emissão e manutenção de uma política
de segurança das informações em toda a
organização?
253
Convém que um documento da
Documento de Definição da Política de Segurança política seja aprovado pela direção,
2 90 0 0% publicado e comunicado, de forma
das Informações adequada, para todos os
funcionários
A política é aprovada pela administração,
2.1 publicada e divulgada para todos os 5 x 15 0 0%
empregados, da maneira apropriada?
Foi firmado compromisso da
administração que descreve a
2.2 abordagem da organização quanto ao 5 x 15 0 0%
gerenciamento da segurança das
informações?
É divulgado aos usuários em toda a
organização, de uma forma relevante,
2.3 5 x 15 0 0%
acessível e compreensível ao público-
alvo?
São incluídas pelo menos orientações
como definição da segurança das
informações, seus objetivos globais e
escopo e da importância da segurança
como um mecanismo capacitador para o
compartilhamento de informações,
declaração da intenção da
administração, apoiando as metas e os
princípios da segurança das
informações, breve explicação das
2.4 políticas de segurança, dos princípios, 5 x 15 0 0%
normas e requisitos de conformidade que
sejam de especial importância para a
organização (cumprimento de exigências
legais e contratuais, requisitos de
treinamento em segurança, prevenção e
detecção de vírus e outros softwares mal
intencionados, gerenciamento da
continuidade dos negócios,
conseqüências de violações da política
de segurança)?
254
São definidas responsabilidades gerais e
específicas pelo gerenciamento da
2.5 segurança das informações, incluindo a 5 x 15 0 0%
comunicação de incidentes de
segurança?
Existem referências à documentação que
poderá apoiar a política, como por
exemplo políticas e procedimentos de
2.6 segurança mais detalhados para 5 x 15 0 0%
determinados sistemas de informações
ou normas de segurança às quais os
usuários deveriam obedecer?
3 Política – Revisão e Avaliação 45 0 0%
A política tem um "dono" que é

responsável por sua manutenção e
3.1 5 x 15 0 0%
revisão de acordo com um processo de
revisão definido? Convém que a política tenha um
São asseguradas revisões em resposta a gestor que seja responsável por sua
3.2 quaisquer mudanças que afetem as 5 x 15 0 0% manutenção e análise crítica, de
bases da avaliação original dos riscos? acordo com um processo de análise
crítica definido.
Existem revisões periódicas,
programadas, quanto à eficácia da
política, demonstrada pela natureza e
pelo número e impacto dos incidentes de
3.3 5 x 15 0 0%
segurança registrados, custo dos
controles e seu impacto sobre a
eficiência da empresa e efeitos das
mudanças tecnológicas?
255
Classificação e Controle dos Ativos

Não Sim Valores
0: Ausência total
3: Presença total
Responsabilidade sobre os ativos (equipamentos

1 42 26 62%
e Informações)
É mantida uma proteção apropriada

1.1 5 x 15 10 67%
dos ativos da organização ?
Atualmente, são identificados os
gestores de todos os ativos relevantes Manter a proteção adequada dos ativos
1.2 e atribuída a responsabilidade pela 5 x 15 10 67% da organização.
manutenção de controles apropriados
?
A responsabilidade pela
1.3 implementação dos controles é 2 x 6 4 67%
delegada?
A responsabilidade deve continuar com
1.4 o gestor designado do ativo. É feito 2 x 6 2 33%
assim?
O inventário dos ativos ajuda a
assegurar que as proteções estão sendo
2 Inventário dos ativos 60 30 50% feitas de forma efetiva e também pode
ser requerido para outras finalidades de
negócio, como saúde e segurança,
É feito o inventário de ativos na seguro ou financeira (gerenciamento
2.1 5 x 15 5 33%
patrimonial).
empresa?
256
É feita uma crítica do inventário dos
2.2 5 x 15 10 67%
ativos ?
A empresa oferece níveis de proteção
2.4 compatíveis com o valor e a 5 x 15 10 67%
importância dos ativos?
Cada ativo tem um acordo sobre sua
propriedade e classificação de
segurança e é documentado,
2.5 juntamente com sua localização 5 x 15 5 33%
corrente? (Muito importante na
recuperação após qualquer perda ou
danificação)
3 Classificação e controle de ativos 30 20 67%

Convém que um inventário dos
A organização é capaz de identificar os principais ativos associados com cada
3.1 seus ativos e saber o valor relativo e a 5 x 15 10 67% sistema de informação seja estruturado
importância dos mesmos? e mantido.
É elaborado e mantido um inventário

3.2 dos ativos importantes associados a 5 x 15 10 67%
cada sistema de informações?
Assegurar que os ativos de informação

4 Classificação das informações 45 25 56% recebam um nível adequado de
proteção.
Existe uma classificação das

informações para assegurar que os
4.1 5 x 15 10 67%
ativos de informação recebam um nível
de proteção adequado?
A classificação da informação indica a
4.2 necessidade, as prioridades e o grau 5 x 15 10 67%
de proteção?
257
Sabendo-se que algumas informações
são mais sensíveis e críticas do que
outras e que alguns itens podem exigir
um nível adicional de proteção ou
manuseio especial, tem sido utilizado
4.3 5 x 15 5 33%
um sistema de classificação para
definir um conjunto apropriado de
níveis de proteção e comunicar a
necessidade de medidas especiais de
manuseio?
5 Diretrizes de classificação 60 20 33%
A classificação e os controles
protetores associados levam em
consideração as necessidades da
empresa de compartilhar ou restringir
5.1 informações e os impactos 5 x 15 5 33%
empresariais associados a tais Convém que a classificação da
necessidades, como acesso não informação e seus respectivos controles
autorizado ou danos à integridade das de proteção levem em consideração as
informações? necessidades de negócios para
compartilhamento ou restrição de
A classificação atribuída constitui um informações e os respectivos impactos
meio abreviado para determinar como nos negócios como, por exemplo, o
5.2 5 x 15 5 33%
esta informação é manuseada e acesso não autorizado ou danos à
protegida adequadamente? informação.
As informações e as saídas produzidas
por sistemas que processam dados
5.3 classificados são rotulados quanto ao 5 x 15 5 33%
seu valor e grau de sensibilidade para
a organização?
As informações são rotuladas para
indicar até que ponto são críticas para
5.4 5 x 15 5 33%
a organização, quanto à sua
integridade e disponibilidade?
258
É importante que um conjunto
apropriado de procedimentos seja
6 Alteração do nível de Classificação 66 27 41% definido para rotular e tratar a
informação de acordo com o esquema
de classificação adotado pela
A informação pode deixar de ser organização.
sensível ou crítica após um certo
tempo, por exemplo quando foi
divulgada para o público. São levados
6.1 5 x 15 5 33%
em conta esses aspectos, uma vez
que um excesso de sigilo pode causar
custos adicionais desnecessários à
empresa?
As diretrizes de classificação prevêem
e levam em conta o fato de que a
classificação de um determinado item
6.2 de informação não é necessariamente 5 x 15 5 33%
imutável no tempo e que pode mudar
de acordo com uma política pré-
determinada?
O número de categorias de
classificação e os benefícios que se
6.3 5 x 15 5 33%
obtêm do seu uso são levados em
conta?
Esquemas de classificação complexos
demais podem se tornar incômodos ou
antieconômicos no uso ou ser
impraticáveis. São tomados os
6.4 cuidados ao interpretar rótulos de 5 x 15 10 67%
classificação em documentos de outras
organizações, que poderão ter
diferentes significados para rótulos
iguais ou similares?
259
A responsabilidade pela definição da

classificação de uma determinada
informação e pela revisão periódica
6.5 2 x 6 2 33%
desta classificação é delegada da
pessoa que originou a informação ou
do gestor designado da informação?
7 Rotulagem e manuseio de informações 75 35 47%
É definido um conjunto apropriado de

procedimentos para a rotulagem e
7.1 manuseio das informações, de acordo 5 x 15 5 33%
com o esquema de classificação
adotado pela organização?
São abrangidos os ativos de
7.2 informação tanto em formato físico 5 x 15 5 33%
quanto em formato eletrônico?
Para cada classificação são definidos É importante que um conjunto
procedimentos de manuseio referentes apropriado de procedimentos seja
a tipos de atividade de processamento definido para rotular e tratar a
da informação como: cópia; informação de acordo com o esquema
de classificação adotado pela
7.3 armazenagem; transmissão pelo 5 x 15 5 33%
organização.
correio, por fax ou por e-mail;
transmissão oral, incluindo telefone
celular, correio de voz, secretárias
eletrônicas; destruição?
Os itens a serem levados em conta
incluem relatórios impressos, displays
na tela, informações gravadas (fitas,
7.4 5 x 15 5 33%
discos, CD-ROMs, cassetes),
mensagens eletrônicas e
transferências de arquivo?
Etiquetas físicas (geralmente o meio
7.5 mais apropriado) são utilizados na 5 x 15 15 100%
rotulagem?
260
Segurança Física e Ambiente

Não Sim Valores
0: Ausência total
3: Presença total
1 Áreas Seguras 75 10 13%
As áreas críticas ou sensíveis da

1.1 empresa estão localizadas em áreas 5 x 15 5 33%
seguras?
Estão protegidas por um perímetro de
segurança definido, com barreiras de
1.2 5 x 15 5 33%
segurança e controles de entrada Prevenir acesso não autorizado, dano e
apropriados? interferência às informações e
Estão protegidas fisicamente contra instalações físicas da organização.
1.3 acesso não autorizado, danos e 5 x 15 10 67%
interferência?
O grau de proteção é proporcional aos
1.4 5 x 15 5 33%
riscos identificados?
Existe política de mesa vazia e tela vazia
para reduzir o risco de acesso não
1.5 autorizado ou danos a documentos, 5 x 15 5 33%
mídia e instalações de processamento
de informações?
261
A proteção física pode ser alcançada
através da criação de diversas barreiras
2 Perímetro de Segurança 180 80 44% físicas em torno da propriedade física do
negócio e de suas instalações de
processamento da informação
Existe proteção física com barreiras
físicas em volta das instalações da
2.1 5 x 15 5 33%
empresa e dos equipamentos de
processamento de informações?
As barreiras estabelecem um perímetro

2.2 de segurança correto para aumentar a 5 x 15 5 33%
proteção total oferecida?
São utilizados perímetros de segurança
para proteger as áreas que contêm
2.3 5 x 15 5 33%
equipamentos de processamento de
informações?
Existem barreiras, paredes, portões de
entrada controlados por cartão ou uma
2.4 5 x 15 10 67%
mesa com recepcionista, que constituam
um perímetro de segurança?
O perímetro do edifício ou site que
2.5 contém áreas críticas é fisicamente 5 x 15 5 33%
sólido?
Existem brechas no perímetro ou áreas
2.6 5 x 15 5 33%
que permitam uma penetração fácil?
As paredes externas são de construção
2.7 5 x 15 5 33%
sólida?
As portas externas são devidamente
protegidas contra o acesso não
2.8 autorizado, com mecanismos de 5 x 15 10 67%
controle, barras, alarmes, fechaduras e
etc?
Existe área de recepção com pessoal ou
2.9 outro meio de controle do acesso físico 5 x 15 10 67%
ao site ou ao edifício?
262
Somente pessoal autorizado tem acesso
2.10 5 x 15 10 67%
aos sites e edifícios?
As barreiras físicas são estendidas, se
necessário, do piso bruto ao teto bruto,
para impedir o acesso não autorizado e
contaminação ambiental, que pode ser
2.11 5 x 15 10 67%
causada no Data Center, central de
telefonia, unidade certificadora, arquivos
de documentos sensíveis e
estratégicos?
Existem portas corta-fogo no perímetro
2.12 de segurança? Elas são equipadas com 5 x 15 0 0%
alarme e fecham automaticamente?
Convém que as áreas de segurança
sejam protegidas por controles de
3 Controles físicos de entrada 90 70 78% entrada apropriados para assegurar que
apenas pessoas autorizadas tenham
acesso liberado.
As áreas seguras são protegidas por
3.1 5 x 15 10 67%
controles de entrada apropriados?
O acesso a informações e equipamentos
3.2 sensíveis é controlado e restrito ao 5 x 15 15 100%
pessoal autorizado?
Existem controles de autenticação, como
cartões magnéticos com número de
3.3 identificação pessoal (PIN) e/ou 5 x 15 15 100%
biometria para autorizar e validar todos
os acessos?
As trilhas de auditoria de todos os
3.4 5 x 15 5 33%
acessos são guardadas local seguro?
É exigido que o pessoal utilize alguma
forma de identificação visível e que
interpele pessoas estranhas não
3.5 5 x 15 15 100%
acompanhadas e qualquer pessoa que
não esteja usando uma identificação
visível?
263
Os direitos de acesso a áreas seguras
3.6 5 x 15 10 67%
são revistos e atualizados regularmente?
4 Proteção das instalações 51 34 67%
Para a proteção das instalações, existe a

preocupação de área segura como salas
trancadas ou várias salas dentro de um
4.1 5 x 15 10 67%
perímetro físico de segurança, que
podem ser trancadas e que disponham Convém que a seleção e o projeto de
de arquivos de aço trancáveis ou cofres? uma área de segurança levem em
consideração as possibilidades de dano
A escolha e o projeto de uma área causado por fogo, inundações,
segura deve levar em conta a explosões, manifestações civis e outras
4.2 possibilidade de danos causados pelos 5 x 15 10 67% formas de desastres naturais ou
riscos ou vulnerabilidades. Isso é causados pelo homem.
observado?
São levados em conta os regulamentos
4.3 e normas relevantes de saúde e 2 x 6 4 67%
segurança?
São levadas em consideração eventuais
ameaças à segurança causadas por
4.4 instalações vizinhas, como infiltrações, 5 x 15 10 67%
vazamento de água proveniente de outra
área e etc?
Evitar exposição ou roubo de informação

5 Controle 141 94 67% e de recursos de processamento da
informação
Os equipamentos críticos estão em local

5.1 5 x 15 10 67%
não acessível ao público?
264
Os prédios são discretos e indicam o
mínimo possível a sua finalidade, sem
sinais visíveis, dentro ou fora do edifício,
5.2 5 x 15 10 67%
que identifiquem a presença de
atividades de processamento de
informações?
Funções e equipamentos de suporte,
(fotocopiadoras e fax), ficam num local
5.3 apropriado dentro da área segura, para 5 x 15 10 67%
evitar pedidos de acesso que poderiam
comprometer as informações?
São implementados sistemas
apropriados de detecção de intrusos,
instalados segundo padrões
5.4 5 x 15 5 33%
profissionais e testados regularmente,
para cobrir todas as portas externas e as
janelas acessíveis?
As áreas não ocupadas dispõem de
5.5 5 x 15 5 33%
alarme armado permanentemente?
Equipamentos administrados pela
organização ficam fisicamente
5.6 5 x 15 5 33%
separados dos equipamentos
administrados por terceiros?
As listas de pessoal e listas telefônicas
internas que identificam a localização
5.7 dos equipamentos de processamento de 2 x 6 4 67%
informações sensíveis ficam em local
não acessível ao público?
Materiais perigosos ou combustíveis são
armazenados de modo seguro e a uma
5.8 5 x 15 15 100%
distância adequada de uma área
segura?
Os suprimentos em grande volume são
armazenados dentro de uma área
5.9 5 x 15 15 100%
segura, somente sendo requisitados à
medida que forem sendo utilizados?
265
Os equipamentos e mídia de backup são
localizados a uma distância segura, para
5.10 5 x 15 15 100%
que não sejam danificados em caso de
um acidente no site principal?
Manuais e controles adicionais podem

6 O trabalho em áreas seguras 87 64 74% ser necessários para melhorar as
condições de uma área de segurança.
Existem controles e diretrizes adicionais

6.1 para aumentar a segurança de uma área 5 x 15 10 67%
sensível?
Existem controles para o pessoal e/ou
6.2 para terceiros que trabalham dentro da 5 x 15 10 67%
área segura?
Atividades de terceiros não devem ser
6.3 executadas nesta área. Isso é 2 x 6 2 33%
observado?
O pessoal só sabe da existência de uma
área segura e das atividades nela
6.4 2 x 6 2 33%
executadas numa base de “necessidade
de saber”?
É evitado o trabalho não supervisionado
em áreas seguras, tanto por motivos de
6.5 segurança como para não dar 5 x 15 10 67%
oportunidade a atividades mal-
intencionadas?
As áreas seguras desocupadas são
6.6 trancadas fisicamente e inspecionadas 5 x 15 15 100%
periodicamente?
O acesso ao suporte de terceiros é
restrito às áreas seguras ou aos
6.7 equipamentos de processamento de 5 x 15 15 100%
informações sensíveis e somente
quando necessário?
6.8 O acesso é autorizado e monitorado? 5 x 15 15 100%
266
Existem barreiras e perímetros
adicionais de controle de acesso físico
6.9 entre áreas com diferentes requisitos de 5 x 15 15 100%
segurança dentro do perímetro de
segurança?
É proibida a presença de equipamento
6.10 fotográfico, de vídeo, áudio ou gravação, 5 x 15 15 100%
a não ser com autorização?
Convém que as áreas de expedição e de
Isolamento das áreas de entregas e de carregamento sejam controladas e, se
7 105 70 67% possível, isoladas das instalações de
carregamento
processamento da informação, com o
As áreas de entregas e de carregamento objetivo de evitar acessos não
autorizados. Convém que os requisitos
são controladas e isoladas dos
de segurança sejam determinados a
7.1 equipamentos de processamento de 5 x 15 10 67%
partir de uma avaliação de risco.
informações, a fim de evitar o acesso
não autorizado?
Os requisitos de segurança para tais
7.2 áreas são determinados por uma 5 x 15 10 67%
avaliação dos riscos?
O acesso a uma área de armazenagem
provisória, a partir do exterior de um
7.3 5 x 15 10 67%
edifício, é restrito ao pessoal identificado
e autorizado?
A área de armazenagem provisória é
projetada de tal maneira que os
7.4 suprimentos possam ser descarregados 5 x 15 10 67%
sem que o pessoal de entrega tenha
acesso a outras partes do edifício?
As portas externas de uma área de
armazenagem provisória permanecem
7.5 5 x 15 10 67%
trancadas enquanto a porta interna
estiver aberta?
O material recebido é inspecionado para
detectar eventuais perigos antes de ser
7.6 5 x 15 10 67%
transportado da área de armazenagem
provisória para o local de utilização?
267
O material recebido é registrado ao
7.7 5 x 15 10 67%
entrar no site?
8 Segurança do Equipamento 45 30 67%
Os equipamentos são protegidos

8.1 fisicamente contra as ameaças à sua 5 x 15 10 67%
segurança e os perigos ambientais? Prevenir perda, dano ou
comprometimento dos ativos, e a
São levados em conta à localização e
8.2 5 x 15 10 67% interrupção das atividades do negócio.
disposição dos equipamentos?
Existem controles especiais para
proteção contra perigos ou acesso não
autorizado e para preservar os
8.3 5 x 15 10 67%
equipamentos de apoio, como o
suprimento de corrente e a infra-
estrutura de cabeamento?
Convém que os equipamentos sejam
instalados ou protegidos para reduzir o
9 Localização e proteção dos equipamentos 120 70 58% risco de ameaças ambientais, perigos e
oportunidades de acesso não autorizado.
Os equipamentos são localizados ou
protegidos de modo a reduzir o risco das
9.1 ameaças e perigos do meio-ambiente e 5 x 15 5 33%
as oportunidades de acesso não
autorizado?
Os equipamentos são localizados de
9.2 modo a minimizar o acesso 5 x 15 5 33%
desnecessário às áreas de trabalho?
Os equipamentos de processamento e
armazenagem de informações que
manuseiam dados sensíveis são
9.3 5 x 15 5 33%
posicionados de modo a minimizar o
risco de olhares indiscretos durante o
uso?
268
Os itens que requerem proteção especial
9.4 são isolados a fim de reduzir o nível 5 x 15 5 33%
geral de proteção necessário?
São adotados controles para minimizar o
risco de ameaças potenciais, incluindo
furto; incêndio; explosivos; fumaça; água
9.5 (ou falha no abastecimento); poeira; 5 x 15 10 67%
vibração; efeitos químicos; interferência
no suprimento de força; radiação eletro-
magnética?
A organização estabelece uma política
referente aos atos de comer, beber e
9.6 5 x 15 15 100%
fumar nas instalações de processamento
de informações ou em sua proximidade?
São monitoradas as condições
ambientais quanto a fatores que
9.7 poderiam afetar negativamente a 5 x 15 15 100%
operação dos equipamentos de
São levados em conta o impacto de um
acidente em instalações próximas, como
por exemplo um incêndio no prédio
9.8 5 x 15 10 67%
vizinho, vazamento de água do telhado
ou em pavimentos do subsolo, ou uma
explosão na rua?
Convém que os equipamentos sejam
protegidos contra falhas de energia e
10 Suprimento de energia elétrica 135 85 63% outras anomalias na alimentação elétrica,
e que um fornecimento de energia
apropriado ocorra em conformidade com
Existe suprimento adequado de
as especificações do fabricante do
eletricidade que atenda às
10.1 5 x 15 10 67% equipamento.
especificações do fabricante dos
equipamentos?
Existem fontes alternativas de geração
10.2 5 x 15 10 67%
de energia?
269
Existem múltiplas fontes de alimentação
10.3 para evitar que o suprimento dependa 5 x 15 10 67%
de uma única fonte?
Existe suprimento de energia à prova de
10.4 5 x 15 10 67%
interrupções (UPS = sistema no-break)?
10.5 Existe gerador de backup? 5 x 15 5 33%
Existe um suprimento à prova de
interrupções (UPS/no-break) para
suportar a parada ordenada ou a
10.6 5 x 15 10 67%
continuação da operação, no caso de
equipamentos que suportam operações
críticas para a empresa?
Existe planejamento de contingência
10.7 indicando as providências a tomar em 5 x 15 10 67%
caso de falha do UPS?
São realizados testes regulares dos
10.8 equipamentos para assegurar que ele 5 x 15 10 67%
tenha a capacidade adequada?
Os equipamentos são testados de
10.9 acordo com as recomendações do 5 x 15 10 67%
fabricante?
Bancada de baterias, risco de explosão e falha do

11 15 10 67%
equipamento
É providenciado um gerador de backup

11.1 para que o processamento continue em 5 x 15 10 67%
caso de uma falta de força prolongada?
Estocagem do óleo diesel e manutenção da sua

12 105 70 67%
qualidade, muretas de contenção
Os geradores são testados regularmente

12.1 de acordo com as instruções do 5 x 15 10 67%
fabricante?
270
Existe suprimento adequado de
combustível para assegurar que o
12.2 5 x 15 10 67%
gerador possa operar durante um
período prolongado?
As chaves de força de emergência estão
12.3 localizadas perto das saídas de 5 x 15 10 67%
emergência das salas de equipamentos?
Existe iluminação de emergência para o
12.4 5 x 15 10 67%
caso de falta de força?
Os prédios são equipados com pára-
12.5 5 x 15 10 67%
raios?
Existem filtros de proteção contra raios
12.6 em todas as linhas externas de 5 x 15 10 67%
comunicações?
Existe Gaiola de Faraday e para-raio
12.7 5 x 15 10 67%
Franklin?
Convém que o cabeamento elétrico e de
telecomunicação que transmite dados ou
13 Segurança do cabeamento 96 37 39% suporta os serviços de informação seja
protegido contra interceptação ou dano.
As linhas de força e as linhas de
telecomunicações que entram nos
13.1 5 x 15 10 67%
informações são subterrâneas sempre
que possível ou têm proteção alternativa
adequada?
O cabeamento das redes é protegido
contra interceptação não autorizada ou
13.2 danos (pelo uso de conduítes ou 5 x 15 5 33%
evitando trajetos que passem por áreas
públicas)?
Os cabos de força ficam separados dos
13.3 cabos de comunicações para evitar 5 x 15 5 33%
interferências?
271
Existem conduítes blindados e salas ou
13.4 caixas trancadas em pontos de inspeção 5 x 15 5 33%
e pontos terminais?
É feito o uso de rotas ou meios de
13.5 5 x 15 5 33%
transmissão alternativos?
É feito o uso de cabeamento de fibras
13.6 2 x 6 2 33%
ópticas?
Existem cabos com sistemas de
13.7 varredura para detectar a presença de 5 x 15 5 33%
dispositivos não autorizados?
14 Manutenção dos equipamentos 90 60 67%
Os equipamentos recebem manutenção

correta para assegurar sua
14.1 5 x 15 10 67%
disponibilidade e integridade
permanente?
Os equipamentos recebem manutenção
com a periodicidade e de acordo com as
14.2 5 x 15 10 67%
especificações recomendadas pelo Convém que a manutenção correta dos
fabricante? equipamentos garanta a continuidade da
A manutenção e os reparos do disponibilidade e integridade dos
14.3 equipamento somente são executados 5 x 15 10 67% mesmos.
por pessoal de manutenção autorizado?
É mantido um registro de todos os
defeitos suspeitos ou reais e de toda a
14.4 5 x 15 10 67%
manutenção preventiva e corretiva
executada?
São adotados controles apropriados
14.5 quando equipamentos saem do site para 5 x 15 10 67%
fins de manutenção?
São cumpridas todas as exigências
14.6 5 x 15 10 67%
estipuladas nas apólices de seguros?
272
Independentemente de quem seja o
proprietário, convém que o uso de
15 Segurança dos equipamentos fora das instalações 120 60 50% qualquer equipamento para o
processamento da informação fora das
instalações da organização seja
O uso de qualquer equipamento fora das
autorizado pela direção. Convém que a
instalações da organização, para fins de
15.1 processamento de informações, é feito 5 x 15 5 33%
segurança fornecida seja equivalente
àquela oferecida aos equipamentos
somente quando autorizado pela
utilizados dentro da organização para o
gerência?
mesmo propósito, levando-se em conta
O grau de segurança proporcionado é os riscos de se trabalhar fora das
equivalente ao do equipamento utilizado instalações da organização.
15.2 no site para os mesmos fins, levando em 5 x 15 10 67%
conta os riscos do trabalho fora das
instalações da organização?
O equipamento de processamento de
informações (todas as formas de
computadores pessoais, agendas
eletrônicas, telefones celulares, papel ou
15.3 outros meios) que ficam na posse da 5 x 15 10 67%
pessoa para trabalho a domicílio ou que
são transportados para fora do local
normal de trabalho tem procedimento de
segurança?
Os equipamentos e as mídias retiradas
15.4 das instalações da organização tem 5 x 15 10 67%
supervisão em lugares públicos?
Os computadores portáteis são
transportados como bagagem de mão e
15.5 5 x 15 5 33%
disfarçados sempre que possível,
quando se viaja?
São observadas a qualquer tempo as
instruções do fabricante para a proteção
15.6 dos equipamentos (ex.: proteção contra 5 x 15 5 33%
a exposição a campos eletromagnéticos
intensos)?
273
Os controles para o trabalho a domicílio
são determinados por uma avaliação dos
riscos, e são adotados controles
15.7 adequados conforme necessário (ex.: 5 x 15 10 67%
arquivos de aço trancados, política de
mesa vazia e controles de acesso a
computadores)?
Existe uma cobertura de seguros
15.8 adequada para proteger o equipamento 5 x 15 5 33%
quando fora do site?
Segurança no descarte ou na reutilização de

16 60 40 67%
equipamentos
Existem cuidados no descarte ou na

16.1 5 x 15 10 67%
reutilização de equipamentos?
Sistemas de armazenagem que
contenham informações sensíveis são
16.2 destruídos fisicamente ou sobregravados 5 x 15 10 67% A informação pode ser exposta pelo
de maneira segura em vez de se usar a descuido na alienação ou reutilização de
função normal delete? equipamentos . Convém que dispositivos
de armazenamento que contenham
Todos os itens de equipamento que informação sensível sejam destruídos
contenham mídia de armazenagem, fisicamente ou sobrescritos de forma
como por exemplo discos rígidos, são segura ao invés da utilização de funções-
16.3 verificados para garantir que todos 5 x 15 10 67% padrão para a exclusão.
dados sensíveis e softwares licenciados
tenham sido retirados ou sobregravados
antes do descarte?
No caso de dispositivos de
armazenagem danificados que
contenham dados sensíveis, existe uma
16.4 5 x 15 10 67%
avaliação dos riscos para determinar se
o item deve ser destruído, consertado ou
descartado?
274
17 Controles gerais 45 30 67%
Existem medidas para impedir o

comprometimento ou furto de
17.1 5 x 15 10 67%
informações e de equipamentos de Evitar exposição ou roubo de informação
processamento de informações? e de recursos de processamento da
informação.
As informações e os equipamentos
críticos são protegidos contra revelação
17.2 5 x 15 10 67%
a pessoas não autorizadas ou
modificação ou furto por tais pessoas?
São implementados controles para
17.3 minimizar a perda ou o dano a 5 x 15 10 67%
informações?
A organização deve considerar a adoção
de uma política de mesa limpa para
18 Política de mesa vazia e tela vazia 60 25 42% papéis e mídias removíveis e uma política
de tela limpa para os recursos de
processamento da informação, de forma
A organização adota política de mesa a reduzir riscos de acesso não
18.1 vazia para documentos e mídia de 5 x 15 5 33%
autorizado, perda e danos à informação
armazenagem removíveis? durante e fora do horário normal de
É adotada política de tela vazia para os trabalho.
informações, a fim de reduzir os riscos
18.2 de acesso não autorizado a informações 5 x 15 5 33%
e de perda ou dano às informações
durante o horário normal de trabalho e
fora dele?
São levadas em consideração as
classificações de segurança das
18.3 5 x 15 10 67%
informações, os riscos correspondentes
e os aspectos culturais da organização?
275
É tomado cuidado para que informações

não sejam deixadas em cima de mesas,
18.4 podendo ser danificadas ou destruídas 5 x 15 5 33%
em caso de catástrofes, como incêndios,
inundações ou explosões?
19 Diretrizes de proteção 72 44 61%
Os documentos e mídia de computador

são armazenados em estantes
apropriadas e trancadas em outras
19.1 5 x 15 10 67%
formas de mobília de segurança, quando
não estiverem em uso, principalmente
fora do horário de expediente?
Informações empresariais sensíveis ou
críticas ficam trancadas (preferivelmente
em um cofre ou arquivo à prova de fogo)
19.2 5 x 15 10 67%
quando não em uso, principalmente
quando não houver ninguém no
escritório?
Os computadores pessoais e terminais
de computador, bem como as
impressoras, ficam logged-on na
19.3 ausência do operador e protegidos por 5 x 15 15 100%
bloqueios de teclas, senhas ou outros
controles quando não estiverem em
uso?
Os postos de correspondência recebida
e enviada e as máquinas de fax e telex
19.4 2 x 6 2 33%
sem a presença do operador são
protegidos?
As copiadoras são trancadas (ou
protegidas de algum outro modo contra o
19.5 2 x 6 2 33%
uso não autorizado) fora do horário
normal de expediente?
276
Informações sensíveis ou confidenciais,
19.6 quando impressas, são retiradas das 5 x 15 5 33%
impressoras imediatamente?
20 Retirada de bens 60 60 100%
Os equipamentos, as informações ou o
20.1 software não podem sair do site sem 5 x 15 15 100%
autorização. Isso é verificado? Equipamentos, informações ou software
Quando necessário e apropriado, a não devem ser retirados da organização
20.2 saída e a devolução dos equipamentos é 5 x 15 15 100% sem autorização.
registrada?
São feitas inspeções por amostragem
20.3 para detectar a retirada não autorizada 5 x 15 15 100%
de bens?
As pessoas são informadas da
20.4 5 x 15 15 100%
existência de tais inspeções?
EDIFICAÇÕES
Equipamentos de prevenção e combate a

21 45 30 67%
incêndios
Os equipamentos e os materiais de
21.1 combate são compatíveis com o 5 x 15 5 33%
ambiente?
21.2 A quantidade existente é suficiente? 5 x 15 15 100%
21.3 Existe contingência ? 5 x 15 10 67%
Localização dos equipamentos de combate a

22 60 30 50%
incêndios
A localização é adequada e o acesso é

22.1 5 x 15 10 67%
livre?
277
22.2 É conferida a validade das cargas? 5 x 15 10 67%
As portas de incêndio possuem sensores
22.3 e alarmes e mola para fechamento 5 x 15 0 0%
automático?
Existem detectores de fumaça sob o piso
22.4 5 x 15 10 67%
falso e no teto?
Distância de equipamentos, produtos ou locais

23 120 80 67%
críticos
Os equipamentos estão distantes das

23.1 5 x 15 15 100%
linhas de transmissão de alta voltagem?
A região é segura (não sujeita a
23.2 assaltos, distúrbios a outros tipos de 5 x 15 15 100%
violência)?
23.3 A remoção de lixo é diária? 5 x 15 10 67%
Existem procedimentos relacionados
23.4 com papéis (isolamento, controle de 5 x 15 10 67%
acesso, proibição de fumar, etc.)?
Periodicamente é verificada a
23.5 necessidade de efetuar dedetização e 5 x 15 10 67%
desratização?
As cestas de lixo são de metal com
23.6 tampa com objetivo de abafar princípios 5 x 15 0 0%
de incêndio?
É proibida a execução de trabalho que
23.7 gerem poeira na área dos 5 x 15 15 100%
equipamentos?
Os quadros de conexões telefônicas são
23.8 trancados para haja o acesso somente 5 x 15 5 33%
permitido ao pessoal autorizado?
24 Condições gerais de segurança da edificação 285 125 44%

278
As paredes internas são de alvenaria até
24.1 5 x 15 5 33%
o teto?
Existe vedação de passagens com
24.2 5 x 15 5 33%
portas corta-fogo?
As paredes externas impedem a
24.3 5 x 15 5 33%
propagação de incêndios?
Existe vedação de passagens para
outros recintos ou andares (dutos de ar-
24.4 5 x 15 5 33%
condicionado, cabos, monta-carga,
etc.)?
O edifício que abriga o Data Center foi
24.5 construído com material retardante e 5 x 15 5 33%
resistente ao fogo?
Os detectores de fumaça são mantidos e
24.6 5 x 15 5 33%
testados de forma programada?
Existe sensor de temperatura e umidade
24.7 5 x 15 5 33%
do ar?
Existem quadros de controle pare
24.8 detectar rapidamente e localizar fogo e 5 x 15 5 33%
fumaça?
As placas do piso falso são facilmente
24.9 removíveis para permitir verificação de 5 x 15 10 67%
fogo e fumaça?
Existem marcações no piso para facilitar
24.10 5 x 15 15 100%
a localização dos detectores?
Os extintores estão distribuídos
24.11 estrategicamente em locais visíveis e 5 x 15 5 33%
destacados?
24.12 O alarme de incêndio toca na vigilância? 5 x 15 0 0%
Existem hidrantes instalados em locais
24.13 5 x 15 10 67%
estratégicos nos andares dos prédios?
Esses hidrantes e seus equipamentos
24.14 5 x 15 10 67%
auxiliares são testados regularmente?
279
Havendo necessidade, os carros do
24.15 Corpo de Bombeiros podem ter acesso 5 x 15 5 33%
fácil a qualquer lado do prédio?
As placas do piso falso são de material
24.16 5 x 15 10 67%
retardante?
Existe reserva técnica de água para
24.17 5 x 15 10 67%
hidrantes?
Existem plantas de localização dos
24.18 5 x 15 10 67%
extintores e detectores?
Os alarmes de incêndio podem ser
24.19 alimentados por baterias, no caso de 5 x 15 0 0%
falha no fornecimento de energia?
Condições de gerais de segurança relacionados

25 186 121 65%
com a edificação
Existe sensoriamento de portas, janelas,

25.1 5 x 15 5 33%
dutos e supervisão predial?
Existe sala central de controle de
25.2 segurança bem localizada e com 5 x 15 5 33%
qualificação pessoal ?
O monitoramento do perímetro e áreas
25.3 5 x 15 0 0%
externas ao prédio é feito via CFTV?
A área do Data Center fica em local não
25.4 2 x 6 6 100%
visível da rua?
Existe um serviço de vigilância de 24
25.5 horas, inclusive nos fins de semana e 5 x 15 10 67%
feriados?
As saídas de emergência são verificadas
25.6 em relação à usabilidade 5 x 15 10 67%
periodicamente?
As portas para a área do Data Center
25.7 5 x 15 10 67%
são mantidas fechadas?
280
Existem alarmes para informar a
25.8 vigilância a violação de portas e acessos 5 x 15 5 33%
a áreas do Data Center?
É feito um rodízio periódico entre os
25.9 5 x 15 10 67%
recepcionistas?
A rede de iluminação está bem
25.10 5 x 15 15 100%
distribuída e é de boa qualidade?
O corpo de vigilantes possui um manual
25.11 5 x 15 15 100%
com procedimentos de emergência?
Existe um sistema de claviculário no
25.12 5 x 15 15 100%
corpo de vigilantes?
Há um controle rigoroso das chaves das
25.13 5 x 15 15 100%
portas?
Condições gerais de segurança relacionados com

26 90 35 39%
evacuações
26.1 Existe procedimento de evacuação? 5 x 15 10 67%

As saídas de emergência estão livres e
26.2 5 x 15 5 33%
desimpedidas e em boas condições?
Existe iluminação de emergência e
26.3 5 x 15 5 33%
sinalização adequada (é feito teste)?
Existem telefones internos de
26.4 emergência para comunicação de 5 x 15 10 67%
sinistros?
Existe um sistema de alarme para fazer
26.5 5 x 15 5 33%
a evacuação dos prédios?
Existe um sistema de áudio para auxiliar
26.6 nos momentos de evacuação de 5 x 15 0 0%
pessoal?
Disposição e infra-estrutura das edificações

27 57 26 46%
destinadas à função.
281
Quadros de luz e iluminação estão
27.1 2 x 6 2 33%
localizados em local adequado?
Existe controle de ruídos nas imediações
27.2 2 x 6 4 67%
do perímetro?
Existe controle de temperatura nas
27.3 5 x 15 10 67%
imediações do perímetro?
As condições de conservação e limpeza
27.4 do piso elevado e do forro são 5 x 15 5 33%
adequadas?
Os incidentes de segurança são
27.5 investigados para apuração da causa e 5 x 15 5 33%
tomada de ação corretiva?
28 Suprimento de energia 120 70 58%
Quedas de tensão freqüentes,

28.1 5 x 15 10 67%
oscilações e sobrecargas são evitadas?
Existe estabilizador/no-break/gerador
28.2 5 x 15 10 67%
com autonomia satisfatória?
As instalações elétricas do prédio e as
instalações destinadas aos
28.3 5 x 15 10 67%
equipamentos de energia estão em boas
condições e não oferecem perigo?
Existe exclusividade das instalações
28.4 5 x 15 5 33%
elétricas no Data Center?
O sistema de geração própria de energia
28.5 5 x 15 10 67%
é testado periodicamente?
O quadro de força é protegido e de fácil
28.6 acesso para as situações de 5 x 15 5 33%
emergência?
Existe um controle das perdas de horas
28.7 de máquina devido a problemas de 5 x 15 10 67%
eletricidade?
282
Existe um plano de manutenção para a
28.8 5 x 15 10 67%
rede elétrica?
29 Ar-condicionado 225 75 33%
A qualidade das instalações e

29.1 manutenção dos equipamentos e nível 5 x 15 5 33%
de ruído é satisfatória?
Não deve haver possibilidade de entrada
de gases através dos dutos de ar-
29.2 5 x 15 5 33%
condicionado. Essa possibilidade é
eliminada?
As chaves de emergência desligam o
29.3 5 x 15 10 67%
sistema de ar-condicionado?
29.4 O sistema de climatização é exclusivo? 5 x 15 5 33%
É compartilhado com área e/ou tipo de
29.5 5 x 15 5 33%
equipamentos inadequados?
O dimensionamento do equipamento de
29.6 5 x 15 10 67%
ar-condicionado é adequado?
Há redundâncias (e reservas) e
29.7 5 x 15 5 33%
simulações periódicas?
As aberturas externas (troca de ar)
29.8 proporcionam uma adequada 5 x 15 5 33%
renovação?
Existem dampers corta-fogo e gases no
29.9 5 x 15 0 0%
interior dos dutos?
Os equipamentos de ar-condicionado
estão instalados em compartimentos
29.10 5 x 15 10 67%
fechados (com acesso somente ao
pessoal autorizado)?
As tomadas de ar são protegidas contra
29.11 5 x 15 5 33%
contaminação?
Existem alarmes nos sistemas de ar-
29.12 5 x 15 0 0%
condicionado?
283
Os dutos do ar condicionado são de
29.13 5 x 15 0 0%
material retardante?
Os instrumentos de comando do sistema
29.14 de ar-condicionado estão protegidos 5 x 15 0 0%
evitando manutenção não-autorizada?
Existem plantas com especificações de
29.15 5 x 15 10 67%
toda a rede de ar-condicionado?
Condições gerais de segurança relacionados com

30 225 95 42%
suprimento de água
O prédio está em boas condições em

30.1 5 x 15 5 33%
relação a goteiras?
O prédio está em boas condições em
30.2 relação à umidade, infiltrações e 5 x 15 5 33%
vazamentos de canalizações?
É garantida a continuidade do
30.3 suprimento (existência a capacidade do 5 x 15 5 33%
reservatório)?
É garantida a qualidade das instalações
30.4 5 x 15 5 33%
hidráulicas (vazamentos, infiltrações)?
Existem plantas atualizadas da rede
30.5 5 x 15 10 67%
hidráulica?
A localização das tubulações e as
30.6 condições dos materiais utilizados são 5 x 15 5 33%
satisfatórias?
Os telhados e a laje estão em boas
30.7 5 x 15 5 33%
condições ?
O subsolo não deve sofrer nenhum tipo
30.8 5 x 15 5 33%
de interferência. Isso ocorre?
Quanto a drenagens sob o piso elevado,
30.9 a proteção em relação ao piso superior 5 x 15 5 33%
esta em boas condições?
284
Os encanamentos, exceto os
30.10 necessários, foram retirados do piso 5 x 15 10 67%
falso em áreas sob o computador?
30.11 Os conduítes são a prova d'água? 5 x 15 10 67%
Existe vedação adequada contra
30.12 5 x 15 0 0%
infiltração de água nas portas externas?
Existe escoamento de água e drenagem
30.13 adequada para impedir inundação na 5 x 15 5 33%
sala do computador?
As torres de resfriamento de água estão
30.14 construídas em local fora do prédio que 5 x 15 15 100%
abriga o computador?
A sala do computador possui
30.15 impermeabilização adequada do teto, 5 x 15 5 33%
impedindo infiltração de água?
285
Segurança em Pessoas
Não Sim Valores
0: Ausência total
3: Presença total
Segurança na definição de funções e no

1 60 50 83%
recrutamento de pessoal
São tomadas medidas para reduzir os

1.1 riscos de falha humana, furto, fraude ou 5 x 15 10 67%
uso indevido das instalações? Reduzir os riscos de erro humano, roubo,
As responsabilidades são atendidas desde fraude ou uso indevido das instalações.
1.2 5 x 15 10 67%
a fase de recrutamento?
Estas responsabilidades são incluídas nos
1.3 contratos, e monitoradas enquanto durar o 5 x 15 15 100%
vínculo empregatício?
É exigido do empregado o acordo de não
1.4 5 x 15 15 100%
divulgação?
Convém que regras e responsabilidades
Como incluir a segurança nas responsabilidades da de segurança sejam documentadas onde
2 45 25 56% for apropriado, de acordo com a política
função de segurança da informação da
organização
As responsabilidades de segurança são
2.1 documentadas sempre que isso for 5 x 15 10 67%
apropriado?
286
São definidas responsabilidades gerais
2.2 pela implementação e manutenção da 5 x 15 10 67%
política de segurança?
São definidas responsabilidades
específicas pela proteção de determinados
2.3 ativos ou responsabilidades pela execução 5 x 15 5 33%
de determinados procedimentos ou
atividades de segurança?
Convém que verificações de controle
sobre a equipe permanente sejam
3 Triagem de pessoal e política 195 110 56% conduzidas no momento da seleção de
candidatos.
São verificados os antecedentes do

3.1 pessoal permanente, por ocasião do 5 x 15 5 33%
pedido de emprego?
São solicitadas referências satisfatórias,
3.2 como por exemplo uma profissional e uma 5 x 15 5 33%
pessoal?
É verificado se o currículo apresentado
3.3 5 x 15 10 67%
pelo candidato é completo e correto?
São verificadas as qualificações
3.4 acadêmicas e profissionais apresentadas 5 x 15 10 67%
pelo candidato?
3.5 É verificada a identidade do candidato? 5 x 15 10 67%
Quando um cargo proporcionar acesso a
informações sensíveis (informações
3.6 5 x 15 10 67%
financeiras ou informações altamente
confidenciais) é verificada a situação de
crédito do empregado?
Para o pessoal em funções com grande
3.7 autoridade, a verificação é repetida 5 x 15 5 33%
periodicamente?
É realizado processo de triagem similar
3.8 5 x 15 5 33%
para subcontratados e pessoal temporário?
287
Nos casos em que terceiros são
"fornecidos" por uma agência, o contrato
3.9 5 x 15 15 100%
com a agência especifica claramente suas
responsabilidades específicas?
É verificado se na triagem e nos
procedimentos de notificação que ela
3.10 adota se o processo foi completado ou se 5 x 15 10 67%
os seus resultados dão margem a dúvidas
ou a preocupação?
O trabalho de todo o pessoal é sujeito a
exames periódicos e a procedimentos de
3.11 5 x 15 15 100%
aprovação por um membro mais graduado
do quadro?
Os gerentes levam em conta o fato de que
circunstâncias pessoais dos seus
subordinados podem afetar o trabalho dos
mesmos, como problemas pessoais e
3.12 financeiros, mudanças de comportamento 5 x 15 5 33%
ou de estilo de vida, faltas constantes e
sinais de estresse ou depressão, que
podem levar a fraude, furto, erros ou outras
implicações de segurança?
As informações são tratadas de acordo
3.13 com a legislação apropriada, vigente na 5 x 15 5 33%
jurisdição em questão?
Acordos de confidencialidade ou de não

4 Compromissos de confidencialidade 75 60 80% divulgação são usados para alertar que a
informação é confidencial ou secreta.
Usam-se compromissos de
confidencialidade ou não-revelação para
4.1 5 x 15 15 100%
indicar que determinadas informações são
confidenciais ou secretas?
288
Os empregados assinam um compromisso
4.2 de confidencialidade como parte do seu 5 x 15 15 100%
contrato de trabalho inicial?
O pessoal temporário e os usuários
externos assinam compromisso de
4.3 confidencialidade antes de terem acesso a 5 x 15 10 67%
instalações de processamento de
informações?
Os compromissos de confidencialidade são
4.4 revistos quando há mudanças nas 5 x 15 10 67%
condições de emprego ou no contrato?
Os compromissos de confidencialidade são
revistos quando os empregados estão para
4.5 5 x 15 10 67%
sair da organização ou quando os
contratos estão para terminar?
Convém que os termos e condições de
trabalho determinem as
5 Termos e condições de emprego 60 20 33% responsabilidades dos funcionários pela
segurança da informação.
Os termos e condições de emprego
estipulam a responsabilidade do
5.1 5 x 15 5 33%
empregado pela segurança das
informações?
Essas responsabilidades continuam em
5.2 vigor durante um determinado período 5 x 15 5 33%
após o término da relação de emprego?
São levadas em conta as providências a
5.3 tomar se o empregado deixar de atender 5 x 15 5 33%
às exigências contratuais?
289
São incluídas nos contratos as
responsabilidades e direitos legais do
empregado, com relação às leis de
copyright ou à legislação de proteção dos
dados, a classificação e pelo tratamento
5.4 5 x 15 5 33%
dos dados sobre o empregado, as
responsabilidades que se aplicam fora das
instalações da organização e fora do
horário normal de trabalho, e fora do local
de trabalho (ex.: uso de notebook)?
6 Treinamento dos usuários 30 5 17%
É assegurado que os empregados estejam Assegurar que os usuários estão cientes

em condições de apoiar a política de das ameaças e das preocupações de
6.1 5 x 15 5 33% segurança da informação e estão
segurança da organização no decorrer do
equipados para apoiar a política de
seu trabalho normal? segurança da organização durante a
Os usuários recebem treinamento sobre execução normal do seu trabalho.
procedimentos de segurança e sobre o uso
6.2 correto das instalações de processamento 5 x 15 0 0%
de informações, a fim de minimizar os
possíveis riscos de segurança?
Convém que todos os funcionários da
Educação e treinamento em segurança das organização e, onde for relevante,
7 30 10 33% prestadores de serviços recebam
informações treinamento apropriado e atualizações
regulares sobre as políticas e
Todos os empregados da organização e os procedimentos organizacionais.
usuários externos recebem treinamento
adequado e atualizações regulares sobre
7.1 5 x 15 5 33%
as políticas e os procedimentos da
organização, antes de terem acesso às
informações ou aos serviços?
290
São incluídos requisitos de segurança,

responsabilidades legais e controles
7.2 empresariais e treinamento sobre o uso 5 x 15 5 33%
correto dos equipamentos de
8 Reação a incidentes de segurança e falhas 90 75 83%
São tomadas medidas visando minimizar

os prejuízos causados por incidentes de
8.1 5 x 15 10 67%
segurança e falhas e monitorados tais
incidentes?
Os incidentes que afetarem a segurança
8.2 são comunicados o quanto antes, através 5 x 15 10 67%
dos canais administrativos apropriados?
Empregados e subcontratados são
informados sobre os procedimentos de Minimizar danos originados pelos
comunicação dos diversos tipos de incidentes de segurança e mau
incidentes, como violação de segurança, funcionamento, e monitorar e aprender
8.3 5 x 15 15 100% com tais incidentes.
ameaças, pontos fracos ou falhas de
funcionamento que podem ter impacto
sobre a segurança dos ativos da
organização?
É exigido que se comunique quaisquer
incidentes observados ou suspeitos, com a
8.4 5 x 15 15 100%
máxima rapidez, ao ponto de contato
designado?
É estabelecido processo disciplinar formal
8.5 para lidar com empregados que cometem 5 x 15 15 100%
violações de segurança?
São recolhidas provas o quanto antes,
8.6 5 x 15 10 67%
após a ocorrência de um incidente?
291
9 Comunicação de incidentes de segurança 21 11 52%
São implementados procedimentos

adequados de feedback, para assegurar Convém que os incidentes de segurança
que as pessoas que comunicaram sejam reportados através dos canais
9.1 2 x 6 6 100%
incidentes sejam informadas dos apropriados da direção, o mais
resultados, depois que o incidente foi rapidamente possível.
atendido e encerrado?
Os incidentes são utilizados no
treinamento de conscientização dos
9.2 usuários, sobre o que poderia acontecer, 5 x 15 5 33%
como reagir a tais incidentes e como evitá-
los no futuro?
10 Comunicação de pontos fracos de segurança 60 15 25%
Os usuários de serviços de informações

anotam e comunicam pontos fracos de
10.1 segurança observados ou suspeitos, e 5 x 15 5 33%
quaisquer ameaças a sistemas ou Convém que os usuários dos serviços de
serviços? informação sejam instruídos a registrar e
Essas questões são comunicadas à sua notificar quaisquer fragilidades ou
ameaças, ocorridas ou suspeitas, na
10.2 gerência ou diretamente ao seu provedor 5 x 15 10 67%
segurança de sistemas ou serviços.
de serviços, com a máxima rapidez?
É dito aos usuários que eles não devem,
10.3 em hipótese alguma, tentar provar um 5 x 15 0 0%
ponto fraco de que suspeitam?
É informado que o teste de um ponto fraco
10.4 poderia ser interpretado como um uso 5 x 15 0 0%
abusivo potencial do sistema?
292
11 Aprendendo com os incidentes 45 20 44%
São implementados mecanismos para

permitir a quantificação e monitoração dos
11.1 5 x 15 5 33%
tipos, volumes e custos de incidentes e Convém que existam mecanismos
falhas de funcionamento? para permitir que tipos, quantidades
e custos dos incidentes e dos maus
Através dessas informações, são
funcionamentos sejam quantificados
11.2 identificados incidentes ou falhas repetidas 5 x 15 5 33%
e monitorados.
ou de alto impacto?
É indicada a necessidade de controles
aperfeiçoados ou adicionais para limitar a
freqüência, os danos e o custo de futuras
11.3 5 x 15 10 67%
ocorrências, ou se leva em consideração
no processo de revisão da política de
segurança?
12 Processo disciplinar 45 30 67%
Existe um processo disciplinar formal para

empregados que violarem as políticas e
12.1 5 x 15 10 67% Convém que exista processo
procedimentos de segurança da
disciplinar formal para os
organização e para a coleta de provas?
funcionários que tenham violado as
Existe um procedimento que vise políticas e procedimentos de
desencorajar empregados com tendência segurança organizacional
12.2 5 x 15 10 67%
para desrespeitar os procedimentos de
segurança?
Esse procedimento assegura um
tratamento correto e justo de empregados
12.3 5 x 15 10 67%
suspeitos de cometerem violações de
segurança, graves ou persistentes?
PESSOAL
293
13 Situações de emergência 165 120 73%
Existe treinamento acerca de prevenção de

13.1 5 x 15 10 67%
acidentes em todos os turnos?
Existe uma lista de telefones/endereços de
13.2 emergência (pronto-socorro, hospitais, 5 x 15 5 33%
corpo de bombeiros, policia militar e etc)?
São realizados procedimentos destinados
13.3 5 x 15 10 67%
à remoção de pessoas?
O atendimento médico, em caso de
13.4 5 x 15 15 100%
emergência é eficiente?
Existe esquema de plantão no serviço de Políticas de Segurança em pessoas
13.5 5 x 15 15 100%
eletricidade? em situações de emergência
O pessoal é treinado em outras funções
13.6 5 x 15 15 100%
(em caso de contingência)?
Existe informação e treinamento quanto à
13.7 5 x 15 0 0%
Política de Segurança?
Existe treinamento em situações de
emergência, primeiros socorros, planos de
13.8 5 x 15 10 67%
abandono, procedimento fora de
expediente.etc?
13.9 É proibido fumar na sala do computador? 5 x 15 15 100%
É proibido comer a beber na sala do
13.10 5 x 15 15 100%
computador?
A gerência e a supervisão inspecionam as
13.11 5 x 15 10 67%
áreas em horários alternados?
Políticas de Segurança em pessoas

14 Casos de incêndio 120 75 63% em caso de incêndio
294
Existem funcionários treinados em todos
14.1 5 x 15 15 100%
os turnos?
É realizado treinamento de evacuação do
14.2 5 x 15 10 67%
edifício?
É realizado treinamento acerca de
14.3 salvamento de ativos (documentos, meios 5 x 15 5 33%
magnéticos)?
É feita divulgação/exibição dos telefones
14.4 5 x 15 5 33%
do corpo de bombeiros?
Os vigilantes são treinados para combater
14.5 incêndios que possam ocorrer fora do 5 x 15 15 100%
expediente normal?
Os funcionários são treinados para
14.6 combater incêndios que possam ocorrer na 5 x 15 10 67%
área do computador?
É mantido um relacionamento formal com
14.7 a guarnição do Corpo de Bombeiros que 5 x 15 15 100%
atende a região?
Existem brigadas de incêndio
14.8 5 x 15 0 0%
organizadas?
Política de Segurança em Pessoas

15 Segurança funcional 90 65 72% em relação à segurança funcional
É proibida (e é feito um controle) a entrada

15.1 5 x 15 15 100%
de funcionários demitidos?
É feito um acompanhamento de
15.2 funcionários descontentes ou com 5 x 15 5 33%
problemas financeiros a pessoais?
Os antecedentes de funcionários novos
15.3 5 x 15 5 33%
são verificados?
Periodicamente são verificados os
15.4 5 x 15 15 100%
antecedentes criminais dos vigilantes?
295
Todos os funcionários são instruídos
15.5 5 x 15 10 67%
quanto a medidas de segurança adotadas?
O sistema de admissões demissões,
entrega de senhas e materiais sigilosos:
15.6 crachás, catálogos, tabelas de preços, 5 x 15 15 100%
contratos e outros são feitos de forma
correta?
296
Segurança Organizacional
Não Sim Valores
0: Ausência total
3: Presença total
Gerenciar a segurança da informação

1 Comitê de Segurança 120 40 33% na organização.
Existem comitês de administração de

1.1 segurança da informação com líderes 5 x 15 5 33%
gerenciais?
Atualmente, são estabelecidos
1.2 contatos com especialistas externos 5 x 15 10 67%
em segurança?
Caso exista o comitê, ele possui
1.3 abordagem multidisciplinar em relação 5 x 15 0 0%
à segurança?
Dentre as atribuições do Comitê está a
revisão e aprovação da política de
1.4 5 x 15 0 0%
segurança das informações e das
responsabilidades globais?
A monitoração de mudanças
1.5 significativas na exposição dos ativos 5 x 15 10 67%
de informação é feita?
A revisão e monitoração de incidentes
1.6 de segurança tem sido tratada pelo 5 x 15 5 33%
comitê de forma adequada?
297
São realizadas iniciativas relevantes
1.7 para aperfeiçoar a segurança das 5 x 15 10 67%
informações?
Existe um gerente responsável por
1.8 todas as atividades relacionadas com 5 x 15 0 0%
a segurança?
A segurança da informação é uma
Coordenação e Responsabilidades da Segurança responsabilidade de negócios
2 246 137 56% compartilhada por todos os membros
das Informações
da equipe da direção.
Foram estabelecidos papéis e
responsabilidades específicas para a
2.1 5 x 15 5 33%
segurança das informações em toda a
organização?
Foram estabelecidas metodologias e
processos específicos de segurança
2.2 das informações, como por exemplo a 5 x 15 5 33%
avaliação de riscos e sistema de
classificação das informações?
Foram estabelecidas e apoiadas
iniciativas de segurança das
informações em âmbito de toda a
2.3 2 x 6 2 33%
organização, como por exemplo
programa de conscientização de
segurança?
Atualmente, a segurança faz parte do
2.4 processo do planejamento das 5 x 15 10 67%
informações?
É avaliada a adequação e coordenada
a implementação de controles
2.5 específicos de segurança das 5 x 15 10 67%
informações para novos sistemas ou
serviços?
Os incidentes de segurança das
2.6 informações são tratados de forma 5 x 15 5 33%
correta?
298
As responsabilidades pela proteção de
ativos individuais e pela execução de
2.7 5 x 15 10 67%
processos específicos de segurança
estão claramente definidas?
A política atual fornece diretrizes
gerais sobre a atribuição de papéis e
2.8 5 x 15 5 33%
responsabilidades de segurança
dentro da organização?
O gerente de segurança da informação
assume responsabilidade global pelo
desenvolvimento e implementação da
2.9 5 x 15 5 33%
segurança e é concedido apoio à
identificação e implementação dos
controles?
Existe um gestor para cada ativo de
2.10 informação, que é o responsável pela 5 x 15 10 67%
sua segurança no dia-a-dia?
As áreas de responsabilidade de cada
2.11 gerente que estão claramente 5 x 15 5 33%
definidas ?
Os diversos ativos e processos de
segurança associados a cada sistema
2.12 5 x 15 10 67%
individual estão identificados e
claramente definidos?
No caso do gerente responsável por
cada ativo ou processo de segurança,
2.13 5 x 15 10 67%
os detalhes dessa responsabilidade
estão documentados?
Os níveis de autorização estão
2.14 claramente definidos e 5 x 15 15 100%
documentados?
Atualmente, é estabelecido um
processo de autorização gerencial
2.15 5 x 15 15 100%
para as instalações de processamento
de informações?
299
A administração de usuários,
2.16 autorização, sua finalidade e utilização 5 x 15 10 67%
são feitas de forma segura?
É concedida autorização para o uso de
2.17 equipamentos pessoais de forma 5 x 15 5 33%
criteriosa?
3 Consultoria Interna 75 45 60%
Existe um consultor interno de

3.1 5 x 15 5 33%
segurança experiente?
Essa pessoa também tem acesso a
consultores externos apropriados para
3.2 5 x 15 10 67%
lhe dar assistência em assuntos fora
de sua área de experiência? Consultoria especializada em
segurança é normalmente necessária
O consultor interno tem acesso direto em diversas organizações.
3.3 a todos os níveis de gerência dentro 5 x 15 10 67%
da organização?
Os casos de suspeita de incidente ou
3.4 violação de segurança são tratados de 5 x 15 10 67%
forma correta?
Investigações internas de segurança
executadas sob o controle da
3.5 administração podem requerer 5 x 15 10 67%
consultoria para aconselhar, liderar ou
realizar a investigação. Isso ocorre?
Convém que sejam mantidos contatos
apropriados com autoridades legais,
4 Cooperação entre Organizações 30 10 33% organismos reguladores, provedores de
serviço de informação e operadores de
telecomunicações, de forma a garantir
300
Atualmente, são mantidos contatos telecomunicações, de forma a garantir
com autoridades policiais, órgãos que ações adequadas e apoio
reguladores, provedores de serviços especializado possam ser rapidamente
de informações e operadoras de acionados na ocorrência de incidentes
4.1 5 x 15 5 33%
telecomunicações para garantir a de segurança.
tomada rápida de providências e a
obtenção de orientação em caso de
um incidente de segurança?
Existe filiação a associações de
4.2 5 x 15 5 33%
segurança ?
5 Revisão da Segurança 15 0 0%
Convém que a sua implementação seja
A implementação da política de analisada criticamente, de forma
segurança deve ser revista por um independente, para fornecer garantia de
órgão independente, para dar a que as práticas da organização refletem
garantia de que as práticas apropriadamente a política, e que esta
5.1 5 x 15 0 0% é adequada e eficiente
organizacionais refletem corretamente
a política e que elas são viáveis e
eficazes. Já foi realizada alguma
revisão na política atual?
Manter a segurança dos recursos de
processamento de informação e ativos
6 Acesso de Terceiros 165 90 55% de informação organizacionais
acessados por prestadores de serviços.
O controle de acesso físico de
6.1 5 x 15 10 67%
terceiros é feito de forma correta?
Nos casos em que os negócios exigem
o acesso de terceiros, deve ser feita
uma avaliação de riscos para
6.2 5 x 15 5 33%
determinar as implicações de
segurança e os requisitos de controle.
Já foi desenvolvida essa análise ?
Os controles estão acertados e
6.3 5 x 15 10 67%
definidos em contrato com o terceiro?
301
Os contratos que concedem acesso a
terceiros incluem disposições para a
6.4 designação de outros participantes 5 x 15 5 33%
qualificados e as condições para o seu
acesso?
Existem terceiros que prestam
serviços a organização e não estão
6.5 5 x 15 5 33%
localizados no site, mas podem ter
acesso físico e lógico?
A administração da segurança está
6.6 adequada e não está sendo colocada 5 x 15 10 67%
em risco pelo acesso de terceiros?
Existe uma política definida para
terceiros que ficam localizados no site
durante um determinado tempo,
definido em contrato como: pessoal de
manutenção e suporte de hardware e
6.7 software; pessoal de limpeza, 5 x 15 10 67%
fornecimento de refeições, guardas de
segurança e outros serviços de
suporte terceirizados, estagiários e
outras nomeações ocasionais em curto
prazo e consultores?
O acesso de terceiros às instalações
de processamento de informações da
organização é baseado em contrato
formal que contenha referência a todos
6.8 5 x 15 5 33%
os requisitos de segurança para
assegurar a conformidade com as
políticas e normas de segurança da
organização?
Está especificado no contrato que a
organização receberá indenização por
6.9 parte de seu fornecedor, caso ocorra 5 x 15 10 67%
algum incidente causado por algum
funcionário do prestador de serviços?
302
Está especificado no contrato que a
organização terá direito de monitorar e
revogar as atividades de usuário, o
6.10 direito de auditar as responsabilidades 5 x 15 10 67%
contratuais ou de fazer com que tal
auditoria seja realizada por um
terceiro?
Nos casos em que a responsabilidade
pelo processamento das informações
6.11 foi confiada a uma organização 5 x 15 10 67%
externa, existe a tentativa de garantir a
segurança das informações?
303
Conformidade
Não Sim Valores
0: Ausência total
3: Presença total
1 Conformidade com exigências legais 51 46 90%
Existe a preocupação de evitar

violações de qualquer lei penal ou civil,
1.1 obrigações decorrentes de estatutos, 5 x 15 15 100%
regulamentos ou contratos e quaisquer
requisitos de segurança?
Evitar violações de leis penais ou
A organização está sujeita a exigências
cíveis, de obrigações decorrentes de
de segurança decorrentes de estatutos, estatutos, regulamentos ou contratos e
1.2 5 x 15 10 67%
regulamentos ou contratos. Isso é de quaisquer requisitos de segurança
observado?
Existe uma consultoria sobre exigências
legais específicas junto ao
1.3 departamento jurídico da organização 5 x 15 15 100%
ou com advogados externos
devidamente qualificados?
São analisadas as exigências
legislativas que variam de um País para
1.4 2 x 6 6 100%
outro? (fluxos de dados que
atravessam fronteiras)
304
2 Identificação da legislação aplicável 30 30 100%
São observadas as exigências Convém que estatutos,

relevantes impostas por lei, por órgãos regulamentações ou cláusulas
contratuais relevantes sejam
2.1 reguladores ou por contrato, definidas 5 x 15 15 100%
explicitamente definidos e
explicitamente e documentadas por documentados para cada sistema de
sistema de informação? informação.
Os controles específicos e as
responsabilidades individuais pelo
2.2 5 x 15 15 100%
atendimento a estas exigências estão
definidos e documentados?
Convém que registros importantes de

3 Preservação dos registros da organização 174 92 53% uma organização sejam protegidos
contra perda, destruição e falsificação.
Os registros da organização são

3.1 protegidos contra perda, destruição e 5 x 15 5 33%
falsificação?
Os registros são arquivados de modo
3.2 seguro para atender a exigências da lei 5 x 15 5 33%
ou de órgãos reguladores?
Os registros que podem ser exigidos
para comprovar que a organização
opera de acordo com as normas da lei
ou de órgãos reguladores ou para
assegurar uma defesa adequada em um
3.3 5 x 15 5 33%
eventual processo civil ou criminal ou
para confirmar a situação financeira de
uma organização para os seus
acionistas, sócios e auditores, estão
protegidos de forma segura?
305
É observado o período de retenção das

informações e dos dados a serem
3.4 5 x 15 15 100%
conservados que são estabelecidos
pelas leis ou regulamentos do país?
Registros contábeis, de bancos de
dados, de transações, de auditoria e
3.5 5 x 15 5 33%
procedimentos operacionais são
protegidos de forma segura?
Cada tipo de registro tem exigências
específicas quanto a período de
retenção e tipo de veículo de
3.6 5 x 15 10 67%
armazenagem, como: papel, microficha,
suportes magnéticos ou ópticos. Isso é
observado?
São consideradas as possibilidades de
3.7 deterioração dos suportes utilizados na 2 x 6 4 67%
armazenagem de registros?
Nos casos de armazenagem por meios
eletrônicos, estão inclusos os
procedimentos para assegurar a
capacidade de acessar dados -
3.8 legibilidade dos suportes físicos como 5 x 15 10 67%
dos formatos - durante todo o período
de retenção, como garantia contra a
perda decorrente de futuras mudanças
de tecnologia?
Atualmente são escolhidos sistemas de
armazenagem em que os dados
necessários possam ser recuperados de
3.9 um modo aceitável para um tribunal? 5 x 15 5 33%
Os registros exigidos podem ser
recuperados dentro de um tempo
aceitável e num formato aceitável?
É realizada destruição apropriada dos
registros após a expiração de período,
3.10 2 x 6 6 100%
se não forem mais necessários à
organização?
306
Existem diretrizes sobre a retenção,
3.11 armazenagem, manuseio e descarte de 2 x 6 6 100%
registros e informações?
Existe um programa de retenção que
identifique os tipos dos registros
3.12 2 x 6 6 100%
essenciais e por quanto tempo eles
devem ser conservados?
É mantido um inventário das fontes de
3.13 5 x 15 5 33%
informações-chave?
Foram implementados controles de
segurança apropriados para proteger
3.14 5 x 15 5 33%
registros e informações essenciais
contra perda, destruição e falsificação?
4 Conformidade com a política de segurança 30 15 50%
Os gerentes podem assegurar que Convém que gestores garantam que

todos os procedimentos de segurança todos os procedimentos de segurança
4.1 5 x 15 10 67%
dentro de sua área de responsabilidade dentro da sua área de responsabilidade
são executados corretamente? estão sendo executados corretamente.
É realizada regularmente uma revisão

em todas as áreas da organização para
4.2 5 x 15 5 33%
assegurar conformidade com as
políticas e normas de segurança?
307
APÊNDICE D
308
Carta de convenção da metodologia utilizada
Brasília, 15 de junho de 2004.
Referência: Análise de Riscos de Segurança Física em Conformidade com a
ISO/IEC 17799 de Segurança Física em Conformidade com a ISO/IEC 17799.
Conforme acordado, servimo-nos da presente para formalizar a proposta sobre a
metodologia da Análise de Riscos de Segurança Física em Conformidade com a
ISO/IEC 17799, conforme abaixo detalhada, a ser efetuada nesse Departamento de
Informática.
METODOLOGIA DO QUESTIONÁRIO:
• Existe um questionário para cada um dos módulos da norma utilizados na
análise, são eles:
• Política de segurança
• Segurança organizacional
• Classificação e controle dos ativos de informação
• Segurança em pessoas
• Segurança física e do ambiente
• Cada módulo é dividido em itens em subitens.
Perguntas: São feitas perguntas extraídas da norma ISO/IEC 17799.
Peso: São dados pesos 0, 2 ou 5 conforme a relevância (pesos dados pelo cliente)
309
Situação: (pontuação dada pelo cliente)
• Não
• 0: Ausência total
• 1: Presença inexpressiva
• Sim
• 2: Presença parcial
• 3: Presença total
Valores:
• Referência: Maior pontuação possível, partindo do peso dado,
multiplicando-o com a situação.
• Apurados: É o produto do peso (0, 2 ou 5) pela situação (0,1 ,2 ou 3). O
índice de conformidade varia de 0 a 15 (dessa forma é apresentado o
índice de conformidade do item e do subitem)
Aderência: Percentual de aderência do módulo, item e subitem.
Legenda: Objetivo do item.
METODOLOGIA DA ANÁLISE:
Análise on-site:
310
• Fotos: são tiradas fotos de pontos relevantes como vulnerabilidades,
áreas críticas, ambientes, todas as dependências do Data Center e todos
os andares do prédio, naquilo que poderia ser de interesse da análise.
• Vistorias e levantamentos: São feitas vistorias nos ambientes para colher
informações relevantes.
• Entrevistas: São feitas entrevistas com diretores, gerentes e funcionários
(inclusive terceirizados). É utilizado um questionário (baseado na norma
ISO/IEC 17799).
• Situação Atual: é apresentada a situação encontrada na empresa em
relação a Segurança da Informação, levando-se em consideração o que
pode ser mantido, o que pode ser aperfeiçoado e o que deve ser mudado.
• Recomendações: São feitas recomendações de melhorias na Segurança
da Informação, de acordo com o verificado na situação atual.
• Plano de Ação: São recomendações mais profundas visando melhorias na
Segurança da Informação da empresa, que ajudam a orientar e determinar
a atuação gerencial apropriada às prioridades para o gerenciamento dos
riscos à Segurança da Informação. Serve como auxílio na implementação
de controles que oferecem proteção contra os riscos identificados.
Observações:
• A análise é baseada na Norma ISO/IEC 17799.

311
• A análise atende ao Decreto Federal 3.505 e à Lei 2.572 do GDF.
• O objetivo da metodologia é identificar as necessidades de Segurança da
Informação apropriadas para a empresa analisada.
De acordo,
_______________________
Electra
312
ANEXO A
313
Presidência da República
Casa Civil
Subchefia para Assuntos Jurídicos
DECRETO No 3.505, DE 13 DE JUNHO DE 2000.
Institui a Política de Segurança da

Informação nos órgãos e entidades da
Administração Pública Federal.
O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art.

o
84, inciso IV, da Constituição, e tendo em vista o disposto na Lei n 8.159, de 8 de
o
janeiro de 1991, e no Decreto n 2.910, de 29 de dezembro de 1998,
DECRETA:
o
Art. 1 Fica instituída a Política de Segurança da Informação nos órgãos e nas
entidades da Administração Pública Federal, que tem como pressupostos básicos:
I - assegurar a garantia ao direito individual e coletivo das pessoas, à

inviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações,
nos termos previstos na Constituição;
II - proteção de assuntos que mereçam tratamento especial;
III - capacitação dos segmentos das tecnologias sensíveis;
IV - uso soberano de mecanismos de segurança da informação, com o domínio

de tecnologias sensíveis e duais;
V - criação, desenvolvimento e manutenção de mentalidade de segurança da

informação;
VI - capacitação científico-tecnológica do País para uso da criptografia na

segurança e defesa do Estado; e
VII - conscientização dos órgãos e das entidades da Administração Pública

Federal sobre a importância das informações processadas e sobre o risco da sua
vulnerabilidade.
o
Art. 2 Para efeitos da Política de Segurança da Informação, ficam
estabelecidas as seguintes conceituações:
I - Certificado de Conformidade: garantia formal de que um produto ou serviço,

devidamente identificado, está em conformidade com uma norma legal;
II - Segurança da Informação: proteção dos sistemas de informação contra a

negação de serviço a usuários autorizados, assim como contra a intrusão, e a
modificação desautorizada de dados ou informações, armazenados, em
processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos
humanos, da documentação e do material, das áreas e instalações das
comunicações e computacional, assim como as destinadas a prevenir, detectar, deter
e documentar eventuais ameaças a seu desenvolvimento.
314
o
Art. 3 São objetivos da Política da Informação:
I - dotar os órgãos e as entidades da Administração Pública Federal de

instrumentos jurídicos, normativos e organizacionais que os capacitem científica,
tecnológica e administrativamente a assegurar a confidencialidade, a integridade, a
autenticidade, o não-repúdio e a disponibilidade dos dados e das informações
tratadas, classificadas e sensíveis;
II - eliminar a dependência externa em relação a sistemas, equipamentos,

dispositivos e atividades vinculadas à segurança dos sistemas de informação;
III - promover a capacitação de recursos humanos para o desenvolvimento de

competência científico-tecnológica em segurança da informação;
IV - estabelecer normas jurídicas necessárias à efetiva implementação da

V - promover as ações necessárias à implementação e manutenção da

VI - promover o intercâmbio científico-tecnológico entre os órgãos e as

entidades da Administração Pública Federal e as instituições públicas e privadas,
sobre as atividades de segurança da informação;
VII - promover a capacitação industrial do País com vistas à sua autonomia no

desenvolvimento e na fabricação de produtos que incorporem recursos criptográficos,
assim como estimular o setor produtivo a participar competitivamente do mercado de
bens e de serviços relacionados com a segurança da informação; e
VIII - assegurar a interoperabilidade entre os sistemas de segurança da

informação.
o
Art. 4 Para os fins deste Decreto, cabe à Secretaria-Executiva do Conselho de
Defesa Nacional, assessorada pelo Comitê Gestor da Segurança da Informação de
o
que trata o art. 6 , adotar as seguintes diretrizes:
I - elaborar e implementar programas destinados à conscientização e à

capacitação dos recursos humanos que serão utilizados na consecução dos objetivos
de que trata o artigo anterior, visando garantir a adequada articulação entre os
órgãos e as entidades da Administração Pública Federal;
II - estabelecer programas destinados à formação e ao aprimoramento dos

recursos humanos, com vistas à definição e à implementação de mecanismos
capazes de fixar e fortalecer as equipes de pesquisa e desenvolvimento,
especializadas em todos os campos da segurança da informação;
III - propor regulamentação sobre matérias afetas à segurança da informação

nos órgãos e nas entidades da Administração Pública Federal;
IV - estabelecer normas relativas à implementação da Política Nacional de

Telecomunicações, inclusive sobre os serviços prestados em telecomunicações, para
assegurar, de modo alternativo, a permanente disponibilização dos dados e das
informações de interesse para a defesa nacional;
V - acompanhar, em âmbito nacional e internacional, a evolução doutrinária e

tecnológica das atividades inerentes à segurança da informação;
315
VI - orientar a condução da Política de Segurança da Informação já existente ou

a ser implementada;
VII - realizar auditoria nos órgãos e nas entidades da Administração Pública

Federal, envolvidas com a política de segurança da informação, no intuito de aferir o
nível de segurança dos respectivos sistemas de informação;
VIII - estabelecer normas, padrões, níveis, tipos e demais aspectos relacionados

ao emprego dos produtos que incorporem recursos critptográficos, de modo a
assegurar a confidencialidade, a autenticidade, a integridade e o não-repúdio, assim
como a interoperabilidade entre os Sistemas de Segurança da Informação;
IX - estabelecer as normas gerais para o uso e a comercialização dos recursos

criptográficos pelos órgãos e pelas entidades da Administração Pública Federal,
dando-se preferência, em princípio, no emprego de tais recursos, a produtos de
origem nacional;
X - estabelecer normas, padrões e demais aspectos necessários para assegurar

a confidencialidade dos dados e das informações, em vista da possibilidade de
detecção de emanações eletromagnéticas, inclusive as provenientes de recursos
computacionais;
XI - estabelecer as normas inerentes à implantação dos instrumentos e

mecanismos necessários à emissão de certificados de conformidade no tocante aos
produtos que incorporem recursos criptográficos;
XII - desenvolver sistema de classificação de dados e informações, com vistas à

garantia dos níveis de segurança desejados, assim como à normatização do acesso
às informações;
XIII - estabelecer as normas relativas à implementação dos Sistemas de

Segurança da Informação, com vistas a garantir a sua interoperabilidade e a
obtenção dos níveis de segurança desejados, assim como assegurar a permanente
disponibilização dos dados e das informações de interesse para a defesa nacional; e
XIV - conceber, especificar e coordenar a implementação da infra-estrutura de

chaves públicas a serem utilizadas pelos órgãos e pelas entidades da Administração
Pública Federal.
o
Art. 5 À Agência Brasileira de Inteligência - ABIN, por intermédio do Centro de
Pesquisa e Desenvolvimento para a Segurança das Comunicações - CEPESC,
competirá:
I - apoiar a Secretaria-Executiva do Conselho de Defesa Nacional no tocante a

atividades de caráter científico e tecnológico relacionadas à segurança da
informação; e
II - integrar comitês, câmaras técnicas, permanentes ou não, assim como

equipes e grupos de estudo relacionados ao desenvolvimento das suas atribuições
de assessoramento.
o
Art. 6 Fica instituído o Comitê Gestor da Segurança da Informação, com
atribuição de assessorar a Secretaria-Executiva do Conselho de Defesa Nacional na
consecução das diretrizes da Política de Segurança da Informação nos órgãos e nas
entidades da Administração Pública Federal, bem como na avaliação e análise de
assuntos relativos aos objetivos estabelecidos neste Decreto.
316
o
Art. 7 O Comitê será integrado por um representante de cada Ministério e
órgãos a seguir indicados:
I - Ministério da Justiça;
II - Ministério da Defesa;
III - Ministério das Relações Exteriores;
IV - Ministério da Fazenda;
V - Ministério da Previdência e Assistência Social;
VI - Ministério da Saúde;
VII - Ministério do Desenvolvimento, Indústria e Comércio Exterior;
VIII - Ministério do Planejamento, Orçamento e Gestão;
IX - Ministério das Comunicações;
X - Ministério da Ciência e Tecnologia;
XI - Casa Civil da Presidência da República; e
XII - Gabinete de Segurança Institucional da Presidência da República, que o

coordenará.
o
§ 1 Os membros do Comitê Gestor serão designados pelo Chefe do Gabinete
de Segurança Institucional da Presidência da República, mediante indicação dos
titulares dos Ministérios e órgãos representados.
o
§ 2 Os membros do Comitê Gestor não poderão participar de processos
similares de iniciativa do setor privado, exceto nos casos por ele julgados
imprescindíveis para atender aos interesses da defesa nacional e após aprovação
pelo Gabinete de Segurança Institucional da Presidência da República.
o
§ 3 A participação no Comitê não enseja remuneração de qualquer espécie,
sendo considerada serviço público relevante.
o
§ 4 A organização e o funcionamento do Comitê serão dispostos em regimento
interno por ele aprovado.
o
§ 5 Caso necessário, o Comitê Gestor poderá propor a alteração de sua
composição.
o
Art. 8 Este Decreto entra em vigor na data de sua publicação.
o o
Brasília, 13 de junho de 2000; 179 da Independência e 112 da República.
FERNANDO HENRIQUE CARDOSO

José Gregori
Geraldo Magela da Cruz Quintão
Luiz Felipe Lampreia
Pedro Malan
Waldeck Ornélas
317
José Serra
Alcides Lopes Tápias
Martus Tavares
Pimenta da Veiga
Ronaldo Mota Sardenberg
Pedro Parente
Alberto Mendes Cardoso
Publicado no D.O. de 14.6.2000

318
Lei 2.572
LEI Nº 2.572, DE 20 DE JULHO DE 2000
Dispõe sobre a prevenção das entidades públicas do Distrito Federal

com relação aos procedimentos praticados na área de informática.
O GOVERNADOR DO DISTRITO FEDERAL, FAÇO SABER QUE A

CÂMARA LEGISLATIVA DO DISTRITO FEDERAL DECRETA E EU
SANCIONO A SEGUINTE LEI:
CAPÍTULO I
DOS PRINCÍPIOS QUE REGULAM AS CONDIÇÕES DE SEGURANÇA DA
TECNOLOGIA DA INFORMAÇÃO E DE INFORMAÇÃO COMO FONTE DE
DADOS
Art. 1° As entidades públicas do Distrito Federal devem promover a segurança da
informação, mediante a garantia da disponibilidade, integridade, confiabilidade e
legalidade das informações que suportam os seus processos operacionais.
Art. 2° A garantia da disponibilidade deve ser de forma preventiva e abranger os
aspectos físicos, lógicos e técnicos.
CAPÍTULO II
DOS PRINCÍPIOS DA PROTEÇÃO PREVENTIVA DA INFORMAÇÃO
Seção I
Da Segurança Física
Art. 3° A proteção física dos equipamentos, servidores de rede, telecomunicação e
outros deve ser garantida mediante o acondicionamento em ambientes ou
compartimentos e controle de acesso adequados. Parágrafo único. Entende-se por
ambiente adequado aquele que proteja os equipamentos críticos de informática e
informações vitais segundo exigências mínimas de temperatura e umidade, ou seja,
20°C e 85% de umidade relativa do ar.
Seção II
Da Segurança Lógica
Art. 4° A proteção lógica dos sistemas deve ser garantida mediante a definição dos
papéis dos usuários e das regras de acesso à informação, respeitados os critérios de
garantia dos direitos individuais e coletivos de privacidade e segurança de pessoas
físicas e jurídicas.
Seção III
Da Proteção de Dados e Programas
319
Art. 5° Os padrões e soluções de segurança de dados de programas devem garantir

a sua proteção quanto à disposição dos usuários, enquanto instalados nos servidores
de arquivos, ou nas estações de nível de descrição no registro dos eventos e na
preservação contra vírus de computadores. § 1° A proteção de dados e programas
instalados no servidor de arquivos deve garantir padrões de segurança contra
leitura, execução, gravação, recepção e criação por parte de pessoas não
autorizadas. § 2° Qualquer pessoa, física ou jurídica, tem o direito de interpelar o
proprietário de redes de computadores ou provedor de serviços para saber
informações ao seu respeito e o respectivo teor. Art. 6° O acesso de terceiros, não
autorizados pelos respectivos interessados, a informações privadas mantidas em
rede de computadores dependerá de prévia autorização judicial.
CAPÍTULO III
DOS ASPECTOS DE RECUPERAÇÃO DA INFORMAÇÃO
Art. 7° O gerenciador e administrador de ambientes informatizados deve
providenciar análise de risco físico e lógico, abrangendo padrões definidos para
acondicionamento de equipamentos de processamento de dados e mídias
magnéticas, e identificando possíveis prejuízos. Art. 8° O administrador dos
ambientes de tecnologia da informação deverá desenvolver plano de contingência.
Parágrafo único. Os planos de contingência devem conter as alternativas para os
processos e as fases de pré-interrupção, interrupção e pós-interrupção.
CAPÍTULO IV
DOS COMPORTAMENTOS IRREGULARES
Seção I
Disposições Preliminares
Art. 9° Os comportamentos discriminados nos arts. 10 a 16 desta Lei serão
apurados na forma estabelecida na Lei n° 8.112, de 11 de dezembro de 1990,
quando praticados na forma abaixo: I _ com considerável prejuízo para a entidade;
II _ com intuito de lucro ou vantagem de qualquer espécie, próprio ou de terceiros;
III _ com abuso de confiança;
IV _ por motivo fútil;
V _ com o uso indevido de senha ou processo de identificação de terceiros;
VI _ com a utilização de qualquer outro meio fraudulento.
Parágrafo único. Aplicar-se-á o disposto no caput quando os comportamentos se
verificarem em órgãos ou entidades da administração direta ou indireta da União,
dos Estados e do Distrito Federal, empresas concessionárias de serviços públicos,
fundações instituídas ou mantidas pelo Poder Público, empresas de serviços sociais
autônomos, instituições financeiras ou empresas que explorem ramo de atividade
controlada pelo Poder Público, localizados no Distrito Federal.
320
Seção II
Da Negligência ou Omissão de Informações
Art. 10. Negligenciar ou omitir informações no tratamento, guarda e manuseio dos
sistemas e redes de computadores e dados.
Seção III
Da Alteração de Dados ou Programas de Computador
Art. 11. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou
parcialmente, dados ou programas de computador, de forma indevida ou não
autorizada.
Seção IV
Do Acesso ou da Obtenção Indevidos ou Não Autorizados de Dados ou Instrução
de Computador
Art. 12. Obter acesso, manter ou fornecer a terceiro, dados, instrução ou qualquer
meio de identificação ou acesso a computador ou a rede de computadores, de forma
indevida ou não autorizada.
Seção V
Da Alteração de Senha ou Mecanismo de Acesso a Programa de Computador ou
Dados
Art. 13. Apagar, destruir, alterar ou de qualquer forma inutilizar senha ou qualquer
outro mecanismo de acesso a computador, programa de computador ou dados, de
forma indevida ou não autorizada.
Seção VI
Da Violação de Segredos Armazenados em Computador, Meio Eletrônico de
Natureza Magnética, Óptica ou Similar
Art. 14. Obter segredos das entidades de que trata esta Lei, da indústria ou do
comércio, ou informações pessoais armazenadas em computador, rede de
computadores, meio eletrônico de natureza magnética, óptica ou similar, de forma
indevida ou não autorizada.
Seção VII
Da Criação, do Desenvolvimento e da Inserção em Computador de Dados ou
Programa de Computador com Fins Nocivos
Art. 15. Criar, desenvolver ou inserir dados ou programa em computador ou rede
de computadores, de forma indevida ou não autorizada, com a finalidade de apagar,
destruir, inutilizar ou modificar dados ou programa de computador, ou de qualquer
forma dificultar ou impossibilitar, total ou parcialmente, a utilização de computador
ou rede de computadores.
Seção VIII
Da Veiculação de Pornografia por Meio de Rede de Computadores
Art. 16. Disseminar serviço ou informação de caráter pornográfico em rede de
computadores, sem exibir previamente, de forma facilmente visível e destacada,
aviso sobre a sua natureza, indicando o seu conteúdo.
CAPÍTULO V
DISPOSIÇÕES FINAIS
321
Art. 17. Serão aplicadas as sanções dispostas na Lei n° 8.112, de 11 de dezembro

de 1990, àqueles que adotarem os comportamentos definidos na presente Lei.
Art. 18. Esta Lei regula os procedimentos relativos a informática sem prejuízo das
demais cominações previstas em outros diplomas legais.
Art. 19. O Poder Executivo regulamentará esta Lei no prazo de trinta dias.
Art. 20. Esta Lei entra em vigor na data de sua publicação.
Art. 21. Revogam-se as disposições em contrário.
Publicada no DODF de 21.07.2000.
322
ANEXO B
323
GLOSSÁRIO
Claviculário: Chaveiro. (http://www.priberam.pt/dlpo/definir_resultados.aspx) .
Damper: “São usados para proteção interna dos dutos de ventilação, impedindo
a propagação pelas aberturas nos demais ambientes”.
(http://www.reffibra.com.br/Firevent.htm, 2004).
Insuflamento: Ato de insuflar; encher de ar, soprando.
(http://www.priberam.pt/dlpo/definir_resultados.aspx).
Multiplexador: Dispositivo cuja função é multiplexar sinais permitindo a sua
transmissão em um mesmo meio de transmissão. (http://www.teleco.com.br).
Risco: “lat.Perigo ou possibilidade de perigo. jur. Possibilidade de perda ou
responsabilidade pelo dano.” (Dicionário Aurélio 2a Edição, p.1512).
Segurança: “1. Ato ou efeito de segurar. 2. Estado, qualidade ou condição de
seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza,
convicção”. (Dicionário Aurélio 2a Edição, p.1563).
Sprinkler: “pulverizador, regador; extintor de incêndio; carro de irrigação;
vaporizador; disperso, espalhado” (http://www1.uol.com.br/babylon, 2004).
Time lapse: O Time Lapse é um aparelho utilizado para gravação de imagens. É
um aparelho semelhante ao vídeo cassete e tem capacidade média de gravação de 960
horas consecutivas. (Fonte: http://www.aemp.com.br, 2004).

Salgado, Ivan Jorge Chueri.
Análise de segurança física em conformidade com a
norma ISO/IEC 17799 / Ivan Jorge Chueri Salgado,
Rivanildo Sanches da Silva, Ronaldo Bandeira; Professor
orientador Reinaldo Mangialardo. – Guará : [s. n.], 2004.
325 f. : il.
Monografia (Graduação em Tecnologia em

Segurança da Informação) – Instituto Científico de
Ensino Superior e Pesquisa, 2004.
I. Título. II. Mangialardo, Reinaldo.

Análise de Segurança Física em Conformidade Com A Norma Abnt NBR Iso Iec 17799 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Análise de Segurança Física em Conformidade Com A Norma Abnt NBR Iso Iec 17799 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

FACULDADES INTEGRADAS ICESP

CURSO DE TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO

IVAN JORGE CHUERI SALGADO

Análise de Segurança Física em Conformidade com a Norma

Análise de Segurança Física em Conformidade com a Norma

Monografia apresentada como requisito parcial, para a conclusão do

Orientador: Prof. Reinaldo Mangialardo

IVAN JORGE CHUERI SALGADO

Análise de Segurança Física em Conformidade com a Norma

Monografia apresentada como requisito parcial, para a conclusão do

Ivan Jorge Chueri Salgado:

respeito aos limites impostos pelas necessidades acadêmicas e desenvolvimento humano.

conclusão desta obra.

Rivanildo Sanches da Silva:

todos estes instantes de minha vida.

Ivan Jorge Chueri Salgado:

Rivanildo Sanches da Silva:

Reinaldo Mangialardo e professora Paula pelo apoio e dedicação.

ABNT – Associação Brasileira de Normas Técnicas

Tabela 1 - Resultado estimado decorrentes da implementação do plano de ação................. 229

Segurança é um termo que transmite conforto e tranqüilidade a quem desfruta de

informações, dispostas na forma física (em papel), eletrônica (nos meios de

transmissão ou de armazenamento) e nas pessoas. Buscar uma segurança absoluta é o

universo, tornando isto praticamente impossível. Os caminhos que possibilitam

alcançar o objetivo de tornar algo seguro resultam de esforços da comunidade,

composta por entidades públicas e privadas em todo o mundo, que estabeleceram um

documento que padroniza, através de recomendações, uma boa gestão da segurança.

Associação Brasileira de Normas Técnicas através da ISO/IEC 17799-2000. A

segurança da informação é estruturada por diversos componentes, entre eles a

segurança física. A segurança física auxilia e contribui essencialmente para a

segurança de informações, e sem ela os esforços para o estabelecimento de um

ambiente lógico seguro seriam perdidos.

Palavras-chave: Segurança Física, ISO/IEC 17799, Política de segurança,

Security is a word which transmits a sense of comfort and peace to everyone.

document whose purpose is to standardize good security procedures. This document

origined the BS 7799-1995, established in Brazil by ABNT – Associação Brasileira de

Keywords: Physical Security, ISO/IEC 17799, Security Policy, Security

A segurança da informação é um bem diretamente relacionado aos negócios de

uma organização. Seu principal objetivo é garantir o funcionamento da organização

frente às possibilidades de incidentes, evitando prejuízos, aumentando a produtividade,

evidenciando a reputação da organização.

A informação pode ser encontrada sob diversas formas: escrita, eletrônica e

transmitida a informação deve ser protegida.

Segundo Moreira (2001, p.2):

[...] tecnologias e avanços têm colocado muitas empresas em uma

A comunidade internacional composta por entidades governamentais, e até

criação, em 1995, da norma como a BS 17799-1 e evoluída para a versão BS 17799 1-

deste mesmo ano. A figura abaixo mostra a evolução.

Fonte: www.febraban.org.br/Palestras em 02/11/2004

Quando se fala em proteger um bem ou ativo de informação significa que este

possui um valor para o seu proprietário. Os ativos de informação podem ser:

• Serviços: processamento de dados, comunicação e fornecimento de

• Sistemas computadorizados: aplicativos, sistemas básicos, ferramentas

• Equipamentos: computadores, equipamentos de comunicação de dados,

mídias (fitas e discos), equipamentos de fornecimento de energia

• Documentos: contratos, demonstrações financeiras;

• Pessoas: funcionários, terceiros e clientes;

• Imagem e reputação da organização;

• Informações: arquivos, bancos de dados, documentação de sistemas,

material de treinamento, procedimentos, Plano de Continuidade dos

Negócios, relatórios, telas, mídias, mensagens eletrônicas, registros de

dados, arquivos de dados.

• Edificações: edifícios, lojas, indústrias, depósitos, containeres, silos,