Escolar Documentos
Profissional Documentos
Cultura Documentos
Resumo
Este artigo apresenta os resultados de uma pesquisa exploratória e descritiva que identificou
o nível de concordância dos Executivos e Gerentes de TI do Rio Grande do Norte em relação
às diretrizes da Norma NBR ISO/IEC 17799 (Tecnologia da informação – Código de prática
para a gestão da segurança da informação) na dimensão “Controle de Acesso”. Através de
um formulário de pesquisa, foram entrevistados 66 Executivos e Gerentes de Tecnologia de
Informação pertencentes às maiores empresas arrecadadoras de ICMS no Rio Grande do
Norte em 2000. Para a análise de dados, foi utilizada a estatística descritiva. A pesquisa
evidenciou um baixo nível de concordância dos respondentes em relação à Norma NBR
ISO/IEC 17779, no que se refere à dimensão Controle de Acesso.
Palavras chave: Gestão de Tecnologia de Informação, Segurança da informação, Norma
NBR ISO/IEC 17779.
1. Introdução
Os avanços em Tecnologia de Informação têm proporcionado às empresas maior eficiência e
rapidez na troca de informações e tomadas de decisões. Todavia, esse novo ambiente
computacional tornou-se extremamente complexo, heterogêneo e distribuído, dificultando a
gestão de questões relativas à segurança da informação.
Moreira (2001) destaca que agentes ameaçadores aos ambientes computacionais estão em
constante evolução, seja em número ou, seja em forma e que novos vírus surgem em um curto
espaço de tempo, trazendo riscos às informações das empresas.
Neste contexto, as estatísticas demonstram que a fraude em Informática tornou-se um
problema em escala mundial, que tem custado bilhões de dólares às organizações. Como
exemplo, apenas o vírus I love you causou prejuízos estimados em US$MM 8,75
(REGGIANI, 2001).
Para auxiliar uma organização a melhorar a segurança de suas informações, surgiu a Norma
NBR ISO/IEC 17799 - Information Technology - Code of Practice for Information Security
Management, a qual apresenta em seu corpo um conjunto de diretrizes a serem observadas
pelas empresas. O objetivo desta pesquisa foi aferir o nível de concordância dos Executivos e
Gerentes de TI em relação às diretrizes da Norma NBR ISO/IEC 17799 - dimensão Controle
de Acesso.
2. Referencial Teórico
2.1. Problematização
Sistemas de informação eficazes têm um papel importante nos negócios e na sociedade atual,
podendo ter um grande impacto na estratégia corporativa e no sucesso organizacional das
empresas (O´BRIEN, 2001). Por outro lado, a segurança da informação tem sido reconhecida
como uma das questões mais importantes na gestão de sistemas de informação
organizacionais (WILSON, J. L., TURBAN, E. & ZVIRAN, M., 1992).
No entanto, os riscos são muito maiores à medida que o sistema de informação se torna maior,
mais integrado e mais complexo. Além disso, as organizações têm se tornado mais
vulneráveis; muitas dependem crucialmente da TI, devido ao fato de que transações básicas e
informações críticas estão abrigados em redes de computadores. O estágio atual sugere que a
maioria das organizações deveria gerenciar seus “recursos de informação”, menos do que
tentar controlar a aplicação de programas imprevisíveis (ANGELL & SMITHSON, 1990).
Neste cenário em que a informação em rede é cada vez mais valorizada, mas, por outro lado
expõe as organizações ao risco, devem ser destacados os seguintes fatos preocupantes:
- O Brasil possui 2.237.527 hosts instalados e ocupa a 9a posição dentre os demais países do
mundo e têm evoluído os ataques registrados no Brasil, passando de 3.107 em 1999, para
25.092 em 2002, com um crescimento de 707% em 4 anos (COMITÊ GESTOR DA
INTERNET NO BRASIL, 2002);
- O número de vírus existente no mundo evoluiu de 6.000 (em 1994) para 80.000 (em 2002),
com um crescimento de 1.500% no período (REGGIANI, 2001);
- Apesar de inúmeras empresas afirmarem que o assunto segurança de informação é
importante, esta declaração fica muito distante de ações (FONTES, 2000).
Diante deste contexto, é preciso observar que a informação está sujeita a vulnerabilidades, as
quais permitem ameaças e comprometem a integridade, confidencialidade e disponibilidade
da informação. Este fato pode causar impactos no negócio, daí a necessidade de serem
tomadas medidas de segurança para reduzir estes impactos e proteger o negócio, conforme é
visto na Figura 1. Através de uma gestão eficiente da tecnologia de informação (TI), podem
ser eliminados ou minimizados os riscos que podem afetar recursos de sistema de
informações.
baseado sujeita
Negócio Informação
Medidas de aumentam
diminuem comprometem
Segurança Riscos
reduzem
aumentam Ameaças
Impactos no
Negócio aumentam
Integridade comprometem
causam
Confidencialidade
Disponibilidade
empresas contribuintes. Isso equivale a 61% do total arrecadado naquele ano, dentre todas as
empresas do Rio Grande do Norte. Os sujeitos desta pesquisa foram os Executivos e Gerentes
de TI das empresas selecionadas, no total de 66 respondentes.
Quanto aos procedimentos de coleta de dados, foi utilizado um formulário. Antes da fase de
aplicação do instrumento de pesquisa propriamente dito, foi feito um pré-teste, a fim de
incorporar melhorias e calibrar a medição das variáveis. A coleta de dados foi efetuada no
período de julho a outubro de 2001. A maior dificuldade encontrada para a aplicação dos
formulários foi agendar este compromisso com os Executivos.
Os dados coletados foram posteriormente tabulados e tratados operacionalmente através de
técnicas de estatística descritiva e de inferência estatística, conforme cada caso. A descrição
detalhada do material e dos métodos, a análise e discussão de todas as variáveis do estudo,
bem como o Formulário adotado, encontram-se na dissertação de Mestrado, concluída por um
dos autores. Este artigo tratará somente da análise descritiva da percepção dos Executivos e
Gerentes de Informática em relação ao Controle de Acesso.
4. Análise e discussão dos Resultados
Neste tópico, serão apresentados diversos dados relativos ao nível de concordância dos
Executivos e Gerentes de TI em relação às diretrizes da Norma NBR ISO/IEC 17799.
As assertivas que fazem menção às diretrizes da Norma NBR ISO/IEC 17799 (Controle de
Acesso) estão agrupadas em cinco partes: (a) requisitos do negócio para Controle de Acesso,
(b) gerenciamento de acessos do usuário, (c) responsabilidade do usuário, (d) Controle de
Acesso ao sistema operacional e (e) computação móvel e trabalho remoto. O Quadro 1 mostra
as médias das respostas, segundo este critério de agrupamento.
Podem ser evidenciados alguns achados:
- A amplitude das médias de concordância variou de 4,69 (para as questões 1 e 25) até 2,17
(para a questão 17);
- Das 28 questões apresentadas, 18 (o equivalente a 65% do total) apresentaram média de
concordância abaixo de 4,0, evidenciando o baixo nível de concordância dos respondentes
para todas as questões;
- As três questões que apresentaram as maiores médias foram as seguintes:
- ”cada identificador de empregado (ou login) deve ser único, de forma que cada
empregado possa ser identificado e feito responsável por suas ações”. (questão 1,
média 4,69);
- “o sistema de gerenciamento de senhas não deve mostrar as senhas na tela quando
estão sendo digitadas”. (questão 25, média 4,69);
- “quando um empregado deixa de trabalhar na empresa, os seus direitos de acesso
devem ser imediatamente removidos”. (questão 3, média 4,62).
- As três questões que apresentaram as menores médias foram as seguintes:
- “o sistema de gerenciamento de senhas deve rejeitar a reutilização de senhas“. (questão
24, média 3,31);
- “as autorizações para direitos de acesso privilegiados devem ser revistas a cada três
meses, no máximo“. (questão 12, média 3,26);
- “os empregados devem alterar suas senhas baseado no número de acessos“. (questão
18, média 2,59).
Q18 Os empregados devem alterar suas senhas baseado no número de acessos. 2,59
A entrada de senhas no sistema deve ser obrigatoriamente efetuada através do uso de
Q17 2,17
mouse.
O sistema de gerenciamento de senhas não deve mostrar as senhas na tela quando estão
Q25 4,69
sendo digitadas.
O procedimento de entrada no sistema (login) não deve fornecer mensagens de ajuda
Q21 durante o procedimento de entrada no sistema (login) que podem auxiliar um usuário não 4,30
autorizado.
O procedimento de entrada no sistema (login) deve limitar em um máximo de 3 de
Q20 4,16
Controle de tentativas de entradas sem sucesso.
Acesso ao Os terminais localizados em locais de alto risco (p.ex, em áreas públicas ou externas fora
sistema Q26 dos limites da empresa) devem ser desligados automaticamente após um período pré- 4,14
operacional determinado de inatividade para prevenir o acesso de pessoas não-autorizadas
O sistema de gerenciamento de senhas deve permitir que o empregado mude sua própria
Q23 3,72
senha.
O procedimento de entrada no sistema (login) deve limitar o tempo máximo e mínimo
Q22 3,35
para o procedimento de entrada no sistema (login).
Q24 O sistema de gerenciamento de senhas deve rejeitar a reutilização de senhas. 3,31
Computação Q27
Quando se utilizam recursos da computação móvel, como por exemplo notebooks, devem
4,38
móvel e ser tomados cuidados especiais.
trabalho É obrigatória a utilização de técnicas de criptografia para criar proteções adicionais nos
Q28 3,61
remoto notebooks.
Fonte: Dados coletados na pesquisa
Quadro 1 – Nível de concordância das empresas do RN em relação às diretrizes da Norma NBR ISO/IEC
17799, segundo agrupamento lógico das questões
Tendo como base o Quadro 1 apresentado acima, é mostrada uma visão consolidada das
respostas segundo os critérios de agrupamento, conforme se verifica na Tabela 1, a seguir. Da
mesma, percebe-se que o grupo que teve a maior média (4,0) de concordância em relação às
diretrizes foi ‘computação móvel e trabalho remoto’. Por outro lado, o que teve a menor
média (3,45) de concordância foi ‘responsabilidade do usuário’.
Q1 Q2 Q3 Q4 Q5 Q6 Q7 Q8 Q9 Q10 Q11 Q12 Q13 Q14 Q15 Q16 Q17 Q18 Q19 Q20 Q21 Q22 Q23 Q24 Q25 Q26 Q27 Q28
5. Conclusões e Recomendações
Esta pesquisa objetivou aferir o nível de concordância dos Executivos e Gerentes de TI das
empresas do Rio Grande do Norte em relação às diretrizes da Norma NBR ISO/IEC 17799 -
dimensão Controle de Acesso. A principal conclusão é que os dados obtidos evidenciam um
baixo nível de concordância dos respondentes em relação a Norma NBR ISO/IEC 17779,
visto que das 28 questões apresentadas, 18 apresentaram média de concordância abaixo de
4,0.
As principais contribuições do artigo foram no sentido do avanço de novos conhecimentos na
área gestão de Segurança de informações - baseados na Norma NBR ISO/IEC 17799,
procurando preencher uma lacuna, devido a pouca literatura disponível e reduzido número de
trabalhos publicados nesta área no Brasil e da oportunidade de disponibilizar à comunidade
acadêmica um modelo de formulário que foi elaborado e utilizado na coleta de dados. A
vantagem é que este pode ser aplicado em qualquer outro tipo de empresa, independente de
porte, pois o estudo foi baseado em norma internacional, a qual tem a sua versão brasileira – a
NBR ISO/IEC 17799.
Algumas limitações da pesquisa podem ser citadas. Em primeiro lugar, ao caráter transversal.
Como as percepções são dinâmicas, deve-se ter cuidado ao se fazer comparações com outros
estudos correlatos futuros. Outro aspecto é quanto ao caráter subjetivo das respostas, que se
baseiam em percepções, opiniões. Por fim, a limitação da amostra, restrita a um estado
brasileiro.
Para futuras pesquisas, recomenda-se: dar continuidade a este estudo, com o objetivo de
averiguar e acompanhar se as conclusões continuam válidas com outras variáveis e em outro
cenário, em uma perspectiva longitudinal; também poderia estender a pesquisa para uma
amostra em nível nacional, se possível; validar o instrumento de pesquisa ora proposto
quando da aplicação do formulário em outras pesquisas.Estudos futuros podem ser
desenvolvidos em relação às outras dimensões da Norma NBR ISO/IEC 17799 – por
exemplo, Segurança em pessoas, Segurança física ou Segurança organizacional.
Eventos como ataques à rede interna das empresas podem quebrar o sigilo de informações
confidenciais, e até mesmo tê-las divulgadas imediatamente na Internet ou para os
concorrentes – dependendo da decisão do atacante. Portanto, espera-se que as empresas
despertem para a importância da informação como um dos seus ativos mais valiosos e
conscientizem-se da necessidade de se ter uma Política de Segurança de informação adequada
aos seus objetivos. Além do nível de conscientização, os executivos devem partir para
implementar ações efetivas, adotando medidas eficazes de segurança.
6. Referências
AMARAL, M. P. (2001) - Segurança da Informação em ambientes computacionais complexos : uma abordagem
baseada na gestão de projetos. Tese (Mestrado) - Centro Federal de Educação Tecnológica de Minas Gerais,
Belo Horizonte, 2001.
ANGELL, I. O. & SMITHSON, S. (1990) - Managing Information Technology: A Crisis of Confidence? EMJ,
Vol.8, n.1, March 1990.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. (2001) - NBR ISO/IEC 17799: Tecnologia
da informação – código de prática para a gestão da segurança da informação, 2001.
BEAL, A. (2001) - Segurança de tecnologia da informação – BS7799. Disponível em
<http://www.securenet.com.br/artigo.php?artigo=100> Acesso em : 18 nov. 2001.
CAPES. (2003) - Banco de Teses e Dissertações. Brasília: Coordenação de Aperfeiçoamento de Pessoal de Nível
Superior. Disponível em <http:\\www.capes.gov.br> Acesso em: 10 fev. 2003.
CASANAS, Alex Delgado Gonçalves & MACHADO, César de Souza (2001) - Impacto da Implementação da
Norma NBR ISO/IEC 17799 – Código de Prática para a Gestão da Segurança da Informação – nas Empresas. In:
XXI Encontro Nacional de Engenharia de Produção, Salvador, 2001.
CERT. (2002) – Incidentes de segurança: 2000/2001. Computer Emergency Response Team. sponível em
<http://www.modulo.com.br/comum/docs_iii_pv.jsp> Acesso em : 17 mai. 2002.
COMITÊ GESTOR DA INTERNET NO BRASIL. (2002) - Estatística de domínios novos no Brasil. Disponível
em <http:\\www.registro.br/estatisticas.html> Acesso em: 08 ago. 2002.
______. Totais mensais de ataques registrados no Brasil. Disponível em <http:\\www.nic.br> Acesso em: 08
ago. 2002.ELLISON, L (2002) - Cadê os crackers? Revista InfoExame, São Paulo, n.190, p. 44, jan. 2002.
FONTES, E. (2000) - Vivendo a segurança da informação – Orientações práticas para pessoas e organizações.
São Paulo: Sicurezza, 2000.
MACHADO, Cesar de Souza & FISCHER, Norberto. (2002) - A Aplicação da Metodologia Rummler Brache
Group na implantação da Norma ISO17799. In: XXII Encontro Nacional de Engenharia de Produção. Curitiba –
PR, 23 a 25 de outubro de 2002.
MACHADO, César de Souza. (2002) - O emprego da metodologia PMBOK para subsidiar a implantação da
norma de segurança da informação ISO 17799 In: XXII Encontro Nacional de Engenharia de Produção. Curitiba
– PR, 23 a 25 de outubro de 2002.
MACHADO, César de Souza. (2002) - Um modelo para gerenciamento da segurança da informação em sistemas
de teletrabalho In: XXII Encontro Nacional de Engenharia de Produção. Curitiba – PR, outubro de 2002.
MEDEIROS, Sayonara & RAMOS, Anatália S. (2002) - Gestão de segurança da informação em ambiente
internet: considerações sobre a utilização do correio eletrônico segundo a Norma ISO/IEC 17799. In: XXII
Encontro Nacional de Engenharia de Produção. Curitiba – PR, outubro de 2002.
MOREIRA, N. S. (2001) - Segurança mínima - uma visão corporativa da segurança de informações. Rio de
Janeiro: Axcel Books do Brasil, 2001.
O’BRIEN, J. (2001) - Sistemas de Informação – as decisões gerenciais na era da internet. 9.Ed. São Paulo:
Saraiva, 2001.
REGGIANI, L. (2001) - A escalada insuportável dos vírus. Revista InfoExame, São Paulo, n.188, p. 48-57, nov.
WILSON, J. L., TURBAN, E. & ZVIRAN, M. (1992) - Information Systems Security: A Managerial
Perspective. International Journal of Information Management. Vol.12, p.105-119.