Escolar Documentos
Profissional Documentos
Cultura Documentos
IV - Nº 01 - JAN/JUN 2008 33
Resumo: Este artigo descreve o estudo realizado sobre segurança da informação com base na norma
da ABNT NBR ISO/IEC no 17.799:2005, que trata da Tecnologia da Informação – Técnicas de segurança
– Código de prática para gestão da segurança da informação. A ABNT NBR ISO/IEC nº 17.799:2005 é um
código de prática de gestão de segurança da informação, e sua importância pode ser dimensionada pelo
número crescente de pessoas e organizações que a utilizam, devido à variedade de ameaças a que a
informação é exposta na rede corporativa e de comércio eletrônico. Com base nessa norma, foi realizada
uma pesquisa quantitativa com algumas empresas situadas na região do ABC, onde se mostrou se as
empresas analisadas aderem à norma da ABNT como padrão para implementar e manter a segurança da
informação dentro e fora das organizações. Demonstrou-se, ainda, o entendimento da informação como
ativo importante para a organização, juntamente com os bens físicos e financeiros.
Palavras-chave: Segurança da Informação, Gestão de Ativo, Norma ABNT.
Abstract: This article describes a study about Information Security, based on ABNT standard NBR ISO/
IEC 17799:2005 about Information Technology - Security Techniques - Code of Practice for Information
Security management. The ABNT NBR ISO/IEC 1799:2005 is a code of practice for Information
Security management and its importance can be measured by the increasing number of people and
organizations that use it, due to the variety of threats that the information is exposed in the corporative
network and e-commerce. Based on this norm a quantitative research was done with some companies
located in the ABC region, where we show if these analyzed companies adhere the norm of the ABNT as
standard for implement and to keep the Information Security inside and outside the companies. The
understanding of the information as important active for organization, joined with physical and financial
goods, was also shown.
Keywords: Information Security, Active Management, ABNT standard.
1 INTRODUÇÃO
A informação pode existir de várias formas, mática, outras áreas de conhecimento, como o
pode ser impressa ou escrita em papel, armaze- direito, o marketing, a matemática, a sociologia
nada eletronicamente, transmitida pelo correio ou ou o comércio eletrônico. A variedade e a diversi-
por meios eletrônicos, apresentada em filmes ou dade da informação que se pretende proteger são
falada em conversas. Seja qual for a forma apre- muito amplas, podendo ser bases de dados, fun-
sentada ou o meio através do qual a informação é dos arquivísticos ou dados pessoais altamente si-
compartilhada ou armazenada, é recomendado gilosos, entre muitos outros (PEREIRA, 2005).
que ela seja sempre protegida adequadamente A informação, para uma organização, é fun-
(GONÇALVES, 2003). damental para a continuidade dos negócios. Para
Garantir a segurança da informação digital é isso, é importante que seja adequadamente pro-
uma tarefa difícil, pois envolve, além da infor- tegida, pois, com o crescimento da interconec-
tividade entre ambientes de trabalho, a informa- Estes controles precisam ser estabelecidos,
ção ficou mais exposta a uma grande variedade implementados, monitorados, analisados critica-
de ameaças (SÊMOLA, 2003). mente e melhorados, onde e quando necessário,
Hoje, a informação assumiu importância vital para garantir que os objetivos dos negócios e de
para a manutenção e o crescimento dos negócios, segurança da organização sejam atendidos. Isso
marcados pela economia globalizada e permanen- deve ser feito em conjunto com outros processos
temente on-line, de tal forma que não há organi- de gestão dos negócios (MORAES, 2003).
zação humana que dependa da tecnologia de in-
formação em maior ou menor grau, de maneira 3 NORMA ISO/IEC Nº 17.799:2005
que o comprometimento do sistema de informa-
ção por problemas de segurança pode causar As normas contribuem para fazer com que os
grandes prejuízos ou, mesmo, levar a organiza- processos de fabricação e fornecimento de produ-
ção à falência (GONÇALVES, 2005). tos e serviços sejam mais eficientes, seguros e lim-
pos, facilitando os negócios entre fornecedores e
A necessidade de garantir a segurança da in- clientes, seja no comércio local, seja no internacio-
formação exige a proteção da informação contra nal, uma vez que estabelecem padrões a serem
vários tipos de ameaças conhecidas e desconheci- seguidos, garantindo interoperabilidade entre ser-
das pela organização, ajudando a minimizar os viços, processos e produtos (CASANAS & MACHA-
riscos para os negócios e procurando maximizar DO, 2006).
o retorno sobre os investimentos e as oportunida-
des de negócios (CHEROBINO, 2007). Conforme definidos pela Associação Brasileira
de Normas Técnicas (ABNT), os objetivos da nor-
Para facilitar o processo de seleção de controles a malização encontram-se explicitados nos itens
serem aplicados e garantir a segurança da informa- seguintes.
ção, que nem sempre é fácil, existem ferramentas
que auxiliam a identificar os possíveis problemas que • Comunicação: proporcionar meios mais efi-
a organização pode ter, e normas para auxiliar na cientes na troca de informação entre o fabri-
resolução desses problemas ou, até mesmo, evitá- cante e o cliente, melhorando a confiabilidade
los antes que eles aconteçam. (GONÇALVES, 2007). das relações comerciais e de serviços.
• Segurança: proteger a vida humana e a saú-
2 SEGURANÇA DA INFORMAÇÃO de.
A informação é um ativo que, como qualquer • Proteção do consumidor: prover a socie-
outro ativo importante, é essencial para os negó- dade de mecanismos eficazes para aferir a
cios de uma organização e, conseqüentemente, qualidade de produtos.
necessita ser adequadamente protegida. Seja qual
• Eliminação de barreiras técnicas e comer-
for a forma apresentada ou o meio através do qual
ciais: evitar a existência de regulamentos
a informação é compartilhada ou armazenada, é
conflitantes sobre produtos e serviços em di-
recomendado que ela seja sempre protegida
ferentes países, facilitando, assim, o intercâm-
(JÚNIOR, FONSECA & COELHO, 2006).
bio comercial.
Segurança da informação é a proteção da in-
formação de vários tipos de ameaças para garan- A Associação Brasileira de Normas Técnicas
tir a continuidade dos negócios, minimizar os ris- (ABNT) é o fórum nacional de normalização. A
cos, maximizar o retorno sobre os investimentos norma brasileira ABNT NBR ISO/IEC n o
e as oportunidades de negócios. Ela é obtida a 17.799:2005 – Tecnologia da informação – Técnicas
partir da implementação de um conjunto de con- de segurança – Código de prática para a gestão de
troles adequados, incluindo políticas, processos, segurança da informação foi publicada em 31 de
procedimentos, estruturas organizacionais e fun- agosto de 2005 e entrou em vigor em 30 de se-
ções de software e hardware. tembro de 2005.
A ISO/IEC nº 17.799:2005 é um código de prá- cada por meio de toda a organização para os usuá-
ticas com orientações para gestão de segurança rios, de forma que seja acessível e compreensível
da informação. Apresenta uma descrição geral para o leitor em foco.
das áreas consideradas mais importantes quan- O documento da política de segurança da in-
do da implantação ou gestão de segurança da formação deverá ser parte de um documento da
informação. política geral da organização. Caso a informação
A norma ISO/IEC no 17.799-2005 trata dos se- seja distribuída fora da organização, ela deverá
guintes tópicos: ser analisada cuidadosamente, para não revelar
• política de segurança; informações sensíveis.
Os contatos estabelecidos com especialistas ou mente em cargos com acesso a informações sensí-
grupos da área de segurança da informação que veis. Os funcionários, fornecedores, terceiros e usu-
forem externos, incluindo autoridades relevantes, ários dos recursos de processamento da informa-
os contatos feitos para a organização se manter ção deverão assinar acordos sobre seus papéis e res-
atualizada com as tendências do mercado, as nor- ponsabilidades pela segurança da informação.
mas de monitoração e os métodos de avaliação
fornecerão apoio adequado, quando se estiver tra-
tando de incidentes de segurança da informação. 5.3 Segurança física
Convém, ainda, que um enfoque multidisciplinar Segundo a norma em referência, a segurança
na segurança da informação seja incentivado física precisará prevenir o acesso físico não-auto-
(ABNT, 2005). rizado, além de danos e interferências com as ins-
talações e informações da organização.
5.1 Gestão de ativos As instalações de processamento das informa-
ções críticas ou sensíveis deverão ser mantidas em
Segundo a norma da ABNT estudada (ABNT, áreas seguras e protegidas por perímetros de se-
2005), a pessoa designada como responsável pe- gurança, com barreiras de segurança e controles
los ativos da organização deverá alcançar e man- de acesso, sendo importante que permaneçam fi-
ter a proteção adequada dos ativos, e garantir que sicamente protegidas contra o acesso não-autori-
todos os ativos estejam inventariados e tenham zado, danos e interferências.
um proprietário responsável.
Para os riscos identificados, a organização de-
Esses proprietários dos ativos precisarão ser verá oferecer uma proteção compatível, preven-
identificados e a eles deverá ser atribuída a res- do antecipadamente esses riscos e garantindo que
ponsabilidade pela manutenção apropriada dos estará preparada caso os riscos se tornem reais.
controles do seu ativo.
A implementação de controles específicos po-
derá ser delegada pelo proprietário, conforme 5.4 Gerenciamento das operações
apropriado, porém o proprietário permanecerá e comunicações
responsável pela proteção adequada dos ativos Segundo a norma em destaque, o gerencia-
(ASCIUTTI, 2007). mento das operações e das comunicações deverá
garantir a operação dos recursos de processamento
da informação de forma segura e correta.
5.2 Segurança em recursos humanos
Os procedimentos e responsabilidades pela ges-
Ainda segundo a norma da ABNT em foco tão e operação de todos os recursos de pro-
(ABNT, 2005), a segurança da informação em re- cessamento das informações terão de estar defini-
cursos humanos deverá assegurar que os funcio- dos, o que abrange o desenvolvimento de procedi-
nários, fornecedores e terceiros entendam suas mentos operacionais adequados. Convém, ainda,
responsabilidades e estejam de acordo com os seus que seja utilizada a segregação de funções quando
papéis dentro da organização, reduzindo o risco apropriado, para minimizar o risco de mau uso ou
de roubo, fraude ou mal uso de recursos (PEIXO- de uso doloso dos sistemas (ABNT, 2005).
TO, 2004).
De acordo com a norma estudada, deverá ser
As responsabilidades pela segurança da infor- controlado o acesso à informação, assim como
mação em recursos humanos deverão ser atribu- recursos de processamento das informações e pro-
ídas antes da contratação, de forma adequada, cessos de negócios, com base nos requisitos de
nas descrições de cargos e nos termos e condições negócios e na segurança da informação, obede-
de contratação. cendo às regras de controle de acesso e conside-
Os candidatos ao emprego, fornecedores e ter- rando as políticas para autorização e dissemina-
ceiros serão adequadamente analisados, especial- ção da informação.
A norma em pauta prevê que as aplicações seguidas. Mesmo assim, revisões periódicas deve-
críticas de negócios deverão ser analisadas criti- rão ser executadas para garantir o nível de con-
camente e testadas quando sistemas operacionais formidade com as normas. A periodicidade des-
forem mudados, para garantir que não haverá tas revisões está diretamente relacionada com a
nenhum impacto adverso na operação da orga- sua criticidade para o ambiente.
nização ou na segurança. Periodicamente, a verificação de conformida-
de deverá ser executada de forma manual, e, sem-
5.5 Gestão de incidentes de pre que possível, apoiada por softwares que pos-
segurança da informação sam gerar relatórios.
Segundo a norma mencionada, as notificações Os testes de conformidade poderão fazer uso de
de incidentes têm o objetivo de assegurar que fragi- ferramentas que realizem verificações de possíveis
lidades e eventos de segurança da informação asso- vulnerabilidades, até mesmo testes de invasão, po-
ciados com sistemas de informação sejam comuni- rém este tipo de teste somente deverá ser realizado
cados, permitindo a tomada de ação corretiva em por pessoas previamente autorizadas, visto que o
tempo hábil. Para isso, precisarão ser estabelecidos mesmo poderá comprometer a integridade da se-
procedimentos formais de registro e escalonamento. gurança do sistema (GONÇALVES, 2005).
Todos os funcionários, fornecedores e terceiros Segundo a referida norma da ABNT (ABNT,
também deverão estar conscientes dos procedi- 2005), conformidade com normas, políticas de
mentos para notificação dos diferentes tipos de segurança da informação e conformidade técni-
eventos e fragilidades que possam ter impactos ca têm o objetivo de garantir conformidade dos
na segurança dos ativos da organização, e que sistemas com as políticas e as normas organiza-
seja deles requerido que notifiquem os eventos de cionais de segurança da informação.
segurança da informação e fragilidades, tão logo A segurança dos sistemas de informação deve-
quanto possível, ao ponto de contato designado. rá ser analisada criticamente em intervalos regula-
Em conformidade com a norma citada, para res, sendo que estas análises críticas deverão ser
garantir a continuidade, deverão ser identificados executadas com base nas políticas de segurança da
os eventos que podem causar interrupções nos informação apropriadas, de maneira que as plata-
processos de negócios, junto à probabilidade e ao formas técnicas e os sistemas de informação sejam
impacto de tais interrupções e às conseqüências auditados em conformidade com as normas de se-
para a segurança de informação. gurança da informação e estejam com os controles
Existem planos de contingência, e estes deverão de segurança completos e documentados.
ser desenvolvidos e implementados para a manu-
tenção ou a recuperação das operações e para as- 6 METODOLOGIA DA PESQUISA
segurar a disponibilidade da informação no nível
requerido e na escala de tempo requerida, após a Com base no conteúdo da ABNT NBR ISO/
ocorrência de interrupções ou falhas dos processos IEC nº 17.799:2005, realizou-se uma pesquisa
críticos do negócio, destacando que as atividades e exploratória por meio de entrevistas com algumas
os planos de gerenciamento de crise podem ser di- empresas situadas na região do ABC, a fim de des-
ferentes da gestão de continuidade de negócios, isto crever um percentual de organizações que utili-
é, uma crise poderá acontecer e ser suprida por in- zam da norma para implementação, manuteni-
termédio dos procedimentos normais de gestão. bilidade e garantia da segurança da informação.
No total, a pesquisa quantitativa teve uma mos- para assegurar sua informação, tendo como
tra de dez questionários, compostos por 36 per- parâmetro o índice, todas respostas, geral dos
guntas fechadas, de múltipla escolha, referentes questionários.
às técnicas de segurança da informação. Os resultados apresentados indicam que 50%
Os profissionais de sistemas de informação que das empresas estão de acordo com os procedimen-
participaram deste estudo são responsáveis pela tos da norma para garantir a segurança da infor-
segurança da informação nas respectivas corpora- mação e se encontram acima da média (76%), e
ções em que atuam. 24% estão abaixo da média. Todas as empresas
pesquisadas estão acima de 50% de aderência aos
Por medidas de segurança e conforme acordo
requisitos da norma.
feito com os profissionais de segurança da infor-
mação das respectivas empresas que se dispuse- A Figura 2 mostra o nível de aderência ao tema
ram a responder ao questionário, o nome das política de segurança da informação, pesquisado
empresas não será citado em nenhuma ocasião. entre as empresas, tendo como parâmetro as res-
postas à questão 1 do questionário.
Os resultados apresentados indicam que 30%
6.2 Apresentação e análise dos dados
das empresas procuram manter sua política de
A análise teve como objetivo organizar e suma- segurança com base na norma e estão acima da
rizar os dados de forma tal que possibilitem o for- média (50%), e 70% estão abaixo da média. Entre
necimento de respostas ao problema proposto as dez empresas, 70% estão abaixo de 50% de
para a investigação. aderência e 30% estão acima dos 50%.
Os índices analisados são baseados nas respos- A Figura 3 apresenta o nível de aderência por
tas “sim” ou “não” do questionário elaborado com empresa desse requisito da norma, tendo como
base na norma NBR ISO/IEC nº 17.799:2005, sen- parâmetro as respostas às questões 2 e 3 do ques-
do que “sim” significa que a empresa está ade- tionário.
rente aos itens da norma. As médias entre empre- Os resultados apresentados indicam que 50%
sas e assuntos foram os parâmetros adotados para das empresas estão acima da média nesse requi-
a análise comparativa. sito (78%) e 50% estão abaixo da média. Entre as
A Figura 1 apresenta a média das empresas que dez empresas, 70% estão acima de 50% de ade-
seguem a norma da ABNT praticamente à risca rência e 30% entre e abaixo de 50%.
50% 50%
40% 40%
30% 30%
20% 20%
10% 10%
0% 0%
1 2 3 4 5 6 7 8 9 10
1 2 3 4 5 6 7 8 9 10
EMPRESAS EMPRESAS
30%
20%
SEGURANÇA EM RECURSOS HUMANOS
10%
Aderência
0%
100%
1 2 3 4 5 6 7 8 9 10
90%
EMPRESAS
80%
Figura 3: Organização da segurança da informação
70%
60%
80%
Os resultados apresentados indicam que 60%
70%
das empresas estão acima da média de 92%, e 40%
estão abaixo da média. Todas as empresas estão
60%
acima de 50% de aderência.
50%
40%
30%
MONITORAMENTO
20% Aderência
10% 100%
90%
0%
10 80%
1 2 3 4 5 6 7 8 9
EMPRESAS 70%
60%
Figura 6: Segurança física 50%
40%
30%
GERENCIAMENTO DAS OPERAÇÕES 20%
Aderência
10%
100%
0%
90% 1 2 3 4 5 6 7 8 9 10
80% EMPRESAS
70%
Figura 8: Monitoramento
60%
50%
40%
50%
40%
A Figura 8 apresenta o nível de aderência das
empresas ao requisito da norma que abrange o 30%
90% 90%
80% 80%
70% 70%
60% 60%
50% 50%
40% 40%
30% 30%
20% 20%
10% 10%
0% 0%
1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10
EMPRESAS EMPRESAS
80% 7 CONCLUSÃO
70%
Este artigo teve o objetivo de fornecer concei-
60%
tos tecnológicos voltados à segurança da informa-
50%
ção, utilizando como base a norma ABNT NBR
40%
ISO/IEC no 17.799:2005, e verificar qual a ade-
30% rência de algumas empresas situadas na região
20% do ABC aos requisitos da norma estudada. Assim,
10% buscou-se fornecer o conhecimento de segurança
0% da informação, auxiliando os interessados em apli-
1 2 3 4 5 6 7 8 9 10 car a norma e avaliar como o mercado atual de
EMPRESAS empresas situadas na região do ABC encontra-se
quando se fala de segurança da informação.
Figura 13: Conformidade
Para que o objetivo fosse alcançado, procurou-
se conhecer os princípios de segurança de infor-
mação e da norma ABNT NBR ISO/IEC no
A Figura 14 apresenta o nível de aderência por 17.799:2005, bem como a analisar a aderência das
assunto, pesquisado entre as empresas, tendo como empresas aos requisitos da norma, seu conheci-
parâmetro todas as questões do questionário. mento sobre os conteúdos principais da norma e
Os resultados apresentados indicam que 75% sua aplicação no dia-a-dia.
das empresas estão iguais, ou seja, estão no mes-
Com isso, foram obtidos os seguintes resultados:
mo nível de segurança ou acima de 50% de ade-
rência, e 25% estão abaixo. O índice de 70% não • o conceito de segurança da informação é bem
foi ultrapassado em nenhum assunto. Pode-se disseminado na organização;
60%
50%
40%
30%
20%
10%
0%
SI A
ES O
TO
Ó DE A
Ç O
O M
Ç E
SO E
Ç E
TE DE
E
FÍ NÇ
A D
ÇÕ NT
O
AN Ã
AN E
AN D
AN D
ES OL
AD
CA
A
EN
IV
R Ç
A
N UID ÃO
M A
EN O
R A
R S
A
RA E
U A
AC TR
ID
AT
IO
U Ç
U C
U O
ID Ã
R
PE AM
AM
G NIZ
D TIN ST
H N
G ÍTI
C T
G IT
U
M
C
DE ON
DE
IN ES
S RA
SE UIS
O I
N E
R
R
SE OL
SE A
S NC
SE
O G
EG
FO
O
A G
G
O
SO U
P
IT
EQ
D R
DA RE
R G
TÃ
N
O
N
U SE
O
R
ES
O
O
C
G
C
M
G
EC
ADERÊNCIA
R
ACIMA DE 50%
humana inserida nas organizações. Monografia SILVA, R. P. 2005. Engenharia de Software segura:
(Bacharelado) – Curso de Ciência da Computa- segurança em desenvolvimento de software.
ção – Pró-Reitoria de Ensino de Graduação do Cen- Monografia (Pós-Graduação Lato Sensu) – Pro-
tro Universitário do Triângulo. Uberlândia: Unitri. grama de Pós-Graduação em Engenharia de
PEREIRA, P. J. F. Segurança da informação digital. Software da Universidade Candido Mendes. Rio
Cadernos de Biblioteconomia Arquivística e Docu- de Janeiro: Ucam.
mentação – Cadernos BAD, n. 1 – Associação Por- SOUTO, C. C.; SILVA, M. A. & LIMA, W. D. 2006. Es-
tuguesa de Bibliotecários, Arquivistas e Documen- tudo da aplicação da Norma NBR ISO/IEC no
talistas (BAD), Lisboa, Portugal, p. 66-80, 2005. 17.799:2005 em segurança da informação. Trabalho
SÊMOLA, M. Módulo Security Solutions S/A. Ges- de conclusão de curso (Graduação) – Programa de
tão da segurança da informação: visão executiva Graduação em Sistemas de Informação do Centro
da segurança da informação aplicada ao security Universitário Unieuro. Brasília-DF: Unieuro.
officer. Rio de Janeiro: Elsevier/Campus, 2003.