XXIII Encontro Nac. de Eng.

de Produção - Ouro Preto, MG, Brasil, 21 a 24 de out de 2003

Percepção de executivos e gerentes de TI quanto às práticas de gestão

de segurança da informação: um estudo orientado para as diretrizes
da Norma ISO/IEC 17799

Max Simon Gabbay (UFRN) gabbay@petrobras.com.br

Anatália Saraiva Martins Ramos (UFRN) anatalia@pep.ufrn.br

Resumo
Este artigo apresenta os resultados de uma pesquisa exploratória e descritiva que identificou
o nível de concordância dos Executivos e Gerentes de TI do Rio Grande do Norte em relação
às diretrizes da Norma NBR ISO/IEC 17799 (Tecnologia da informação – Código de prática
para a gestão da segurança da informação) na dimensão “Controle de Acesso”. Através de
um formulário de pesquisa, foram entrevistados 66 Executivos e Gerentes de Tecnologia de
Informação pertencentes às maiores empresas arrecadadoras de ICMS no Rio Grande do
Norte em 2000. Para a análise de dados, foi utilizada a estatística descritiva. A pesquisa
evidenciou um baixo nível de concordância dos respondentes em relação à Norma NBR
ISO/IEC 17779, no que se refere à dimensão Controle de Acesso.
Palavras chave: Gestão de Tecnologia de Informação, Segurança da informação, Norma
NBR ISO/IEC 17779.

1. Introdução
Os avanços em Tecnologia de Informação têm proporcionado às empresas maior eficiência e
rapidez na troca de informações e tomadas de decisões. Todavia, esse novo ambiente
computacional tornou-se extremamente complexo, heterogêneo e distribuído, dificultando a
gestão de questões relativas à segurança da informação.
Moreira (2001) destaca que agentes ameaçadores aos ambientes computacionais estão em
constante evolução, seja em número ou, seja em forma e que novos vírus surgem em um curto
espaço de tempo, trazendo riscos às informações das empresas.
Neste contexto, as estatísticas demonstram que a fraude em Informática tornou-se um
problema em escala mundial, que tem custado bilhões de dólares às organizações. Como
exemplo, apenas o vírus I love you causou prejuízos estimados em US$MM 8,75
(REGGIANI, 2001).
Para auxiliar uma organização a melhorar a segurança de suas informações, surgiu a Norma
NBR ISO/IEC 17799 - Information Technology - Code of Practice for Information Security
Management, a qual apresenta em seu corpo um conjunto de diretrizes a serem observadas
pelas empresas. O objetivo desta pesquisa foi aferir o nível de concordância dos Executivos e
Gerentes de TI em relação às diretrizes da Norma NBR ISO/IEC 17799 - dimensão Controle
de Acesso.
2. Referencial Teórico
2.1. Problematização
Sistemas de informação eficazes têm um papel importante nos negócios e na sociedade atual,
podendo ter um grande impacto na estratégia corporativa e no sucesso organizacional das

ENEGEP 2003 ABEPRO 1

 XXIII Encontro Nac. de Eng. de Produção - Ouro Preto, MG, Brasil, 21 a 24 de out de 2003

empresas (O´BRIEN, 2001). Por outro lado, a segurança da informação tem sido reconhecida
como uma das questões mais importantes na gestão de sistemas de informação
organizacionais (WILSON, J. L., TURBAN, E. & ZVIRAN, M., 1992).
No entanto, os riscos são muito maiores à medida que o sistema de informação se torna maior,
mais integrado e mais complexo. Além disso, as organizações têm se tornado mais
vulneráveis; muitas dependem crucialmente da TI, devido ao fato de que transações básicas e
informações críticas estão abrigados em redes de computadores. O estágio atual sugere que a
maioria das organizações deveria gerenciar seus “recursos de informação”, menos do que
tentar controlar a aplicação de programas imprevisíveis (ANGELL & SMITHSON, 1990).
Neste cenário em que a informação em rede é cada vez mais valorizada, mas, por outro lado
expõe as organizações ao risco, devem ser destacados os seguintes fatos preocupantes:
- O Brasil possui 2.237.527 hosts instalados e ocupa a 9a posição dentre os demais países do
mundo e têm evoluído os ataques registrados no Brasil, passando de 3.107 em 1999, para
25.092 em 2002, com um crescimento de 707% em 4 anos (COMITÊ GESTOR DA
INTERNET NO BRASIL, 2002);
- O número de vírus existente no mundo evoluiu de 6.000 (em 1994) para 80.000 (em 2002),
com um crescimento de 1.500% no período (REGGIANI, 2001);
- Apesar de inúmeras empresas afirmarem que o assunto segurança de informação é
importante, esta declaração fica muito distante de ações (FONTES, 2000).
Diante deste contexto, é preciso observar que a informação está sujeita a vulnerabilidades, as
quais permitem ameaças e comprometem a integridade, confidencialidade e disponibilidade
da informação. Este fato pode causar impactos no negócio, daí a necessidade de serem
tomadas medidas de segurança para reduzir estes impactos e proteger o negócio, conforme é
visto na Figura 1. Através de uma gestão eficiente da tecnologia de informação (TI), podem
ser eliminados ou minimizados os riscos que podem afetar recursos de sistema de
informações.

baseado sujeita
Negócio Informação

protegem contém contém Vulnerabilidades

Medidas de aumentam
diminuem comprometem
Segurança Riscos
reduzem

aumentam Ameaças
Impactos no
Negócio aumentam

Integridade comprometem
causam
Confidencialidade
Disponibilidade

Fonte: (Adaptado de Moreira, 2001)

Figura 1 – O modelo do ciclo de segurança da informação.

Visando facilitar o processo de segurança da informação das empresas, inúmeras

metodologias surgiram ao longo do tempo, tais como o “Trusted Security Evaluation Criteria

ENEGEP 2003 ABEPRO 2

 XXIII Encontro Nac. de Eng. de Produção - Ouro Preto, MG, Brasil, 21 a 24 de out de 2003

Schemes (TSECS)”, a Norma ISO 9000 (BS 5750), a Auto-Avaliação da Segurança de

Informação, e mais recentemente a Norma NBR ISO/IEC 17799.
A Norma NBR ISO/IEC 17799 é bem abrangente, compreendendo todos os aspectos da
segurança da informação. Está dividida em 12 capítulos, cada qual abordando um foco da
segurança da informação. Assim, essa Norma aborda a gestão de recursos da TI, citando por
exemplo, diretrizes de Política de Segurança; Segurança organizacional; Classificação e
controle dos ativos de informação; Segurança em pessoas; Segurança física e do ambiente;
Gerenciamento das operações e comunicações; Controle de Acesso; Desenvolvimento e
manutenção de sistemas e Gestão da continuidade e do negócio. Este artigo enfoca apenas um
desses aspectos da gestão da TI, que se refere ao Controle de Acesso.
A escolha da dimensão Controle de Acesso se justifica pela necessidade de de se planejar a
segurança da informação no ambiente corporativo, de forma que estas informações somente
sejam acessadas pelos respectivos interessados, buscando sempre o conforto do cliente, do
fornecedor ou de qualquer pessoa que faça parte deste universo, independente de onde estiver,
e também para preservar a imagem da empresa perante o mercado (CASANAS &
MACHADO, 2001).
2.2. Revisão da literatura
Em relação a estudos correlatos a este trabalho, percebe-se que o número de trabalhos
científicos vem crescendo nos últimos anos no campo da Engenharia de Produção. Ao se
efetuar a busca com a palavra-chave “segurança da informação”, nos Congressos ENEGEP
(1999-2002), foram obtidos os seguintes resultados: nenhum trabalho nos anos de 1999 e
2000; somente um trabalho em 2001 e cinco em 2002. Do exposto acima, percebe-se que o
número de trabalhos com a palavra-chave “segurança da informação”, embora venha
apresentando crescimento contínuo nos últimos anos, ainda é bastante reduzido.
Ao se efetuar a busca com a palavra-chave “17799”, percebe-se a existência de apenas um
trabalho no ENEGEP-2001 e de quatro trabalhos no ENEGEP-2002. Deve ser lembrado que a
Norma NBR ISO/IEC 17999 foi considerada como válida a partir de setembro de 2001.
Ao se efetuar uma pesquisa com a palavra “segurança da informação” no site da CAPES
(www.capes.gov.br), percebe-se que este número vem crescendo de forma contínua no
período 1998-2001. Conforme a distribuição de Teses de Mestrado e Doutorado, encontram-
se os resultados: 1998 (8), 1999 (22), 2000 (27) e 2001 (44). Neste mesmo site foi encontrada
apenas uma tese de Mestrado contendo a palavra-chave 17799 (AMARAL, 2001).
Finalizando, se por um lado o número de trabalhos associados à segurança da informação vem
crescendo continuamente, por outro, ainda é bastante reduzido o número de trabalhos
associado à Norma ISO/IEC 17799. Os dados levantados evidenciam, portanto a atualidade
desta pesquisa, a qual contribuirá para o avanço do conhecimento no assunto, visto que há
relativamente pouca literatura disponível.
3. Procedimentos Metodológicos
Do ponto de vista de seus objetivos, a pesquisa foi classificada como exploratória e descritiva.
Em relação à forma de abordagem, a pesquisa é do tipo quantitativa, pois as opiniões e
informações foram traduzidas em números, as quais foram classificadas para posterior
análises através de recursos e de técnicas estatísticas. O delineamento desta pesquisa pode ser
caracterizado por ser do tipo survey (levantamento de dados).
No tocante à amostragem, o universo foi considerado como sendo todas as empresas que
contribuíram com o imposto estadual ICMS, no Estado do Rio Grande do Norte no ano de
2000. A amostra escolhida foi a intencional ou por tipicidade, caracterizada pelas 50 maiores

ENEGEP 2003 ABEPRO 3

 XXIII Encontro Nac. de Eng. de Produção - Ouro Preto, MG, Brasil, 21 a 24 de out de 2003

empresas contribuintes. Isso equivale a 61% do total arrecadado naquele ano, dentre todas as
empresas do Rio Grande do Norte. Os sujeitos desta pesquisa foram os Executivos e Gerentes
de TI das empresas selecionadas, no total de 66 respondentes.
Quanto aos procedimentos de coleta de dados, foi utilizado um formulário. Antes da fase de
aplicação do instrumento de pesquisa propriamente dito, foi feito um pré-teste, a fim de
incorporar melhorias e calibrar a medição das variáveis. A coleta de dados foi efetuada no
período de julho a outubro de 2001. A maior dificuldade encontrada para a aplicação dos
formulários foi agendar este compromisso com os Executivos.
Os dados coletados foram posteriormente tabulados e tratados operacionalmente através de
técnicas de estatística descritiva e de inferência estatística, conforme cada caso. A descrição
detalhada do material e dos métodos, a análise e discussão de todas as variáveis do estudo,
bem como o Formulário adotado, encontram-se na dissertação de Mestrado, concluída por um
dos autores. Este artigo tratará somente da análise descritiva da percepção dos Executivos e
Gerentes de Informática em relação ao Controle de Acesso.
4. Análise e discussão dos Resultados
Neste tópico, serão apresentados diversos dados relativos ao nível de concordância dos
Executivos e Gerentes de TI em relação às diretrizes da Norma NBR ISO/IEC 17799.
As assertivas que fazem menção às diretrizes da Norma NBR ISO/IEC 17799 (Controle de
Acesso) estão agrupadas em cinco partes: (a) requisitos do negócio para Controle de Acesso,
(b) gerenciamento de acessos do usuário, (c) responsabilidade do usuário, (d) Controle de
Acesso ao sistema operacional e (e) computação móvel e trabalho remoto. O Quadro 1 mostra
as médias das respostas, segundo este critério de agrupamento.
Podem ser evidenciados alguns achados:
- A amplitude das médias de concordância variou de 4,69 (para as questões 1 e 25) até 2,17
(para a questão 17);
- Das 28 questões apresentadas, 18 (o equivalente a 65% do total) apresentaram média de
concordância abaixo de 4,0, evidenciando o baixo nível de concordância dos respondentes
para todas as questões;
- As três questões que apresentaram as maiores médias foram as seguintes:
- ”cada identificador de empregado (ou login) deve ser único, de forma que cada
empregado possa ser identificado e feito responsável por suas ações”. (questão 1,
média 4,69);
- “o sistema de gerenciamento de senhas não deve mostrar as senhas na tela quando
estão sendo digitadas”. (questão 25, média 4,69);
- “quando um empregado deixa de trabalhar na empresa, os seus direitos de acesso
devem ser imediatamente removidos”. (questão 3, média 4,62).
- As três questões que apresentaram as menores médias foram as seguintes:
- “o sistema de gerenciamento de senhas deve rejeitar a reutilização de senhas“. (questão
24, média 3,31);
- “as autorizações para direitos de acesso privilegiados devem ser revistas a cada três
meses, no máximo“. (questão 12, média 3,26);
- “os empregados devem alterar suas senhas baseado no número de acessos“. (questão
18, média 2,59).

ENEGEP 2003 ABEPRO 4

 XXIII Encontro Nac. de Eng. de Produção - Ouro Preto, MG, Brasil, 21 a 24 de out de 2003

GRUPO No. ASSERTIVAS Média

Requisitos do Nas regras para Controle de Acesso, deve estar bem evidenciada uma diferenciação entre
Q5 3,81
Negócio para as regras obrigatórias das regras opcionais.
Controle de
Q4 O sistema deve rejeitar o login de empregados que estão de férias. 3,67
Acesso
Cada identificador de empregado (ou login) deve ser único, de forma que cada
Q1 4,69
empregado possa ser identificado e feito responsável por suas ações.
Quando um empregado deixa de trabalhar na empresa, os seus direitos de acesso devem
Q3 4,62
ser imediatamente removidos.
Q7 Os privilégios de acesso devem ser concedidos conforme a necessidade de uso. 4,33
No caso de um empregado esquecer sua senha, a mesma somente deve ser reativada
Q10 4,28
quando se tem assegurada uma clara identificação do mesmo.
Quando um empregado muda de atividade, os seus direitos de acesso devem ser
Q2 3,90
Gerenciamento imediatamente alterados.
de acessos do É obrigatório se ter um processo de autorização formal para a concessão de privilégios
Q6 3,88
usuário (níveis de acesso) dos empregados.
Q11 É necessário se efetuar uma revisão crítica dos direitos de acesso dos empregados. 3,74
Deve existir um gerenciamento formal que force os empregados a mudar imediatamente
Q9 3,71
suas senhas iniciais.
Q13 Deve-se revisar os direitos de acesso dos empregados em intervalos regulares 3,46
Os empregados devem ser obrigados a assinar uma declaração se comprometendo a
Q8 3,36
manter a confidencialidade de sua senha pessoal.
As autorizações para direitos de acesso privilegiados devem ser revistas a cada três
Q12 3,26
meses, no máximo.
Q14 Os empregados devem ser alertados a evitar o registro das senhas em papel. 4,33
Os empregados devem ser orientados a proteger seus microcomputadores contra o uso
Q19 3,97
não autorizado através da tecla de bloqueio ou outro controle equivalente.
Responsabi- Q15 O sistema deve recusar o cadastramento de senhas que não sejam de qualidade. 3,82
lidade do
usuário Q16 Os empregados devem ser obrigados a alterar suas senhas em intervalos regulares tempo. 3,79

Q18 Os empregados devem alterar suas senhas baseado no número de acessos. 2,59
A entrada de senhas no sistema deve ser obrigatoriamente efetuada através do uso de
Q17 2,17
mouse.
O sistema de gerenciamento de senhas não deve mostrar as senhas na tela quando estão
Q25 4,69
sendo digitadas.
O procedimento de entrada no sistema (login) não deve fornecer mensagens de ajuda
Q21 durante o procedimento de entrada no sistema (login) que podem auxiliar um usuário não 4,30
autorizado.
O procedimento de entrada no sistema (login) deve limitar em um máximo de 3 de
Q20 4,16
Controle de tentativas de entradas sem sucesso.
Acesso ao Os terminais localizados em locais de alto risco (p.ex, em áreas públicas ou externas fora
sistema Q26 dos limites da empresa) devem ser desligados automaticamente após um período pré- 4,14
operacional determinado de inatividade para prevenir o acesso de pessoas não-autorizadas
O sistema de gerenciamento de senhas deve permitir que o empregado mude sua própria
Q23 3,72
senha.
O procedimento de entrada no sistema (login) deve limitar o tempo máximo e mínimo
Q22 3,35
para o procedimento de entrada no sistema (login).
Q24 O sistema de gerenciamento de senhas deve rejeitar a reutilização de senhas. 3,31
Computação Q27
Quando se utilizam recursos da computação móvel, como por exemplo notebooks, devem
4,38
móvel e ser tomados cuidados especiais.
trabalho É obrigatória a utilização de técnicas de criptografia para criar proteções adicionais nos
Q28 3,61
remoto notebooks.
Fonte: Dados coletados na pesquisa
Quadro 1 – Nível de concordância das empresas do RN em relação às diretrizes da Norma NBR ISO/IEC
17799, segundo agrupamento lógico das questões

ENEGEP 2003 ABEPRO 5

 XXIII Encontro Nac. de Eng. de Produção - Ouro Preto, MG, Brasil, 21 a 24 de out de 2003

Tendo como base o Quadro 1 apresentado acima, é mostrada uma visão consolidada das
respostas segundo os critérios de agrupamento, conforme se verifica na Tabela 1, a seguir. Da
mesma, percebe-se que o grupo que teve a maior média (4,0) de concordância em relação às
diretrizes foi ‘computação móvel e trabalho remoto’. Por outro lado, o que teve a menor
média (3,45) de concordância foi ‘responsabilidade do usuário’.

Grupos Menor Maior Média

valor valor
Computação móvel e trabalho remoto 3,61 4,38 4,0
Controle de Acesso ao sistema operacional 3,31 4,69 3,95
Gerenciamento de acessos do usuário 3,26 4,69 3,93
Requisitos do negócio para Controle de 3,67 3,81 3,74
Acesso
Responsabilidade do usuário 2,17 4,33 3,45
Fonte: Dados coletados na pesquisa
Tabela 1 – Visão consolidada da concordância dos Executivos e Gerentes de TI em relação às
diretrizes da Norma NBR ISO/IEC 17799, segundo segundo agrupamento lógico das questões

Os seguintes pontos se tornam evidentes:

- Considerando-se o universo de 28 questões, em 17 das mesmas os Gerentes de TI
apresentaram média de concordância maior do que os Executivos;
- Os Gerentes de TI apresentaram uma média global para todas as questões maior (3,85) do
que os Executivos (3,79). Uma hipótese apresentada para este fato é a de que os Gerentes
de TI estão mais sintonizados com os aspectos de segurança, fato este igualmente refletido
nos treinamentos avançados em rede/segurança de informação (27% dos Gerentes de TI x
9% dos Executivos);
- As questões em que houve maior divergência entre os Executivos e Gerentes de TI foram
as seguintes:
a) questão 22 – “O procedimento de entrada no sistema (login) deve limitar o tempo
máximo e mínimo para o procedimento de entrada no sistema (login)”. Os Executivos
apresentaram uma média de 3,57 enquanto para os Gerentes de TI a média foi de 3,14,
com um desvio (média Executivo – média Gerente de TI) de 0,43.
b) questão 28 – “É obrigatória a utilização de técnicas de criptografia para criar proteções
adicionais nos notebooks”. Os Executivos apresentaram uma média de 3,36 enquanto
para os Gerentes de TI a média foi de 3,86, com um desvio (média dos Executivos –
média dos Gerentes de TI) de - 0,50.
c) questão 8 – “Os empregados devem ser obrigados a assinar uma declaração se
comprometendo a manter a confidencialidade de sua senha pessoal”. Os Executivos
apresentaram uma média de 3,11 enquanto para os Gerentes de TI a média foi de 3,60,
com um desvio (média Executivo – média Gerente de TI) de - 0,49.
Para se efetuar uma análise estratificada por tipo de respondente, para se identificar as
variações nas respostas dos Executivos ou Gerente de TI, os dados foram consolidados e
podem ser vistos na Figura 2.

ENEGEP 2003 ABEPRO 6

 XXIII Encontro Nac. de Eng. de Produção - Ouro Preto, MG, Brasil, 21 a 24 de out de 2003

Visão dos Executivos e G erentes de TI em relação à N orm a IS O /IEC 17799

PEP
4,8 4,7
4,5 4,4 4,4 4,3
4,1 4,3
3,9 4,0 3,9 3,9 4,0
3,6
4,1
3,9 3,8
3,6 3,7 3,7 3,7
3,1 3,3 3,3 3,4
3,0
d esvio em relação ao Geren te d e T I 2,8
m éd ia d as resp o stas d o s E xecu tivo s
d esvio n u lo 2,1

0,5 0,5 0,3 0,4 0,5

0,3
0,1 0,1 0,3 0,1 0,2 0,1 0,2 0,2 0,1 0,0 0,1 0,3
0,0 -0,1 -0,1
-0,2 -0,2 -0,2
-0,2
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

-0,6 -0,4 -0,4

Q1 Q2 Q3 Q4 Q5 Q6 Q7 Q8 Q9 Q10 Q11 Q12 Q13 Q14 Q15 Q16 Q17 Q18 Q19 Q20 Q21 Q22 Q23 Q24 Q25 Q26 Q27 Q28

Fonte: Dados coletados na pesquisa

Figura 2 – Visão dos executivos e Gerentes de TIem relação à Norma NBR ISO/IEC 17799

5. Conclusões e Recomendações
Esta pesquisa objetivou aferir o nível de concordância dos Executivos e Gerentes de TI das
empresas do Rio Grande do Norte em relação às diretrizes da Norma NBR ISO/IEC 17799 -
dimensão Controle de Acesso. A principal conclusão é que os dados obtidos evidenciam um
baixo nível de concordância dos respondentes em relação a Norma NBR ISO/IEC 17779,
visto que das 28 questões apresentadas, 18 apresentaram média de concordância abaixo de
4,0.
As principais contribuições do artigo foram no sentido do avanço de novos conhecimentos na
área gestão de Segurança de informações - baseados na Norma NBR ISO/IEC 17799,
procurando preencher uma lacuna, devido a pouca literatura disponível e reduzido número de
trabalhos publicados nesta área no Brasil e da oportunidade de disponibilizar à comunidade
acadêmica um modelo de formulário que foi elaborado e utilizado na coleta de dados. A
vantagem é que este pode ser aplicado em qualquer outro tipo de empresa, independente de
porte, pois o estudo foi baseado em norma internacional, a qual tem a sua versão brasileira – a
NBR ISO/IEC 17799.
Algumas limitações da pesquisa podem ser citadas. Em primeiro lugar, ao caráter transversal.
Como as percepções são dinâmicas, deve-se ter cuidado ao se fazer comparações com outros
estudos correlatos futuros. Outro aspecto é quanto ao caráter subjetivo das respostas, que se
baseiam em percepções, opiniões. Por fim, a limitação da amostra, restrita a um estado
brasileiro.
Para futuras pesquisas, recomenda-se: dar continuidade a este estudo, com o objetivo de
averiguar e acompanhar se as conclusões continuam válidas com outras variáveis e em outro
cenário, em uma perspectiva longitudinal; também poderia estender a pesquisa para uma
amostra em nível nacional, se possível; validar o instrumento de pesquisa ora proposto
quando da aplicação do formulário em outras pesquisas.Estudos futuros podem ser
desenvolvidos em relação às outras dimensões da Norma NBR ISO/IEC 17799 – por
exemplo, Segurança em pessoas, Segurança física ou Segurança organizacional.

ENEGEP 2003 ABEPRO 7

 XXIII Encontro Nac. de Eng. de Produção - Ouro Preto, MG, Brasil, 21 a 24 de out de 2003

Eventos como ataques à rede interna das empresas podem quebrar o sigilo de informações
confidenciais, e até mesmo tê-las divulgadas imediatamente na Internet ou para os
concorrentes – dependendo da decisão do atacante. Portanto, espera-se que as empresas
despertem para a importância da informação como um dos seus ativos mais valiosos e
conscientizem-se da necessidade de se ter uma Política de Segurança de informação adequada
aos seus objetivos. Além do nível de conscientização, os executivos devem partir para
implementar ações efetivas, adotando medidas eficazes de segurança.
6. Referências
AMARAL, M. P. (2001) - Segurança da Informação em ambientes computacionais complexos : uma abordagem
baseada na gestão de projetos. Tese (Mestrado) - Centro Federal de Educação Tecnológica de Minas Gerais,
Belo Horizonte, 2001.
ANGELL, I. O. & SMITHSON, S. (1990) - Managing Information Technology: A Crisis of Confidence? EMJ,
Vol.8, n.1, March 1990.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. (2001) - NBR ISO/IEC 17799: Tecnologia
da informação – código de prática para a gestão da segurança da informação, 2001.
BEAL, A. (2001) - Segurança de tecnologia da informação – BS7799. Disponível em
<http://www.securenet.com.br/artigo.php?artigo=100> Acesso em : 18 nov. 2001.
CAPES. (2003) - Banco de Teses e Dissertações. Brasília: Coordenação de Aperfeiçoamento de Pessoal de Nível
Superior. Disponível em <http:\\www.capes.gov.br> Acesso em: 10 fev. 2003.
CASANAS, Alex Delgado Gonçalves & MACHADO, César de Souza (2001) - Impacto da Implementação da
Norma NBR ISO/IEC 17799 – Código de Prática para a Gestão da Segurança da Informação – nas Empresas. In:
XXI Encontro Nacional de Engenharia de Produção, Salvador, 2001.
CERT. (2002) – Incidentes de segurança: 2000/2001. Computer Emergency Response Team. sponível em
<http://www.modulo.com.br/comum/docs_iii_pv.jsp> Acesso em : 17 mai. 2002.
COMITÊ GESTOR DA INTERNET NO BRASIL. (2002) - Estatística de domínios novos no Brasil. Disponível
em <http:\\www.registro.br/estatisticas.html> Acesso em: 08 ago. 2002.
______. Totais mensais de ataques registrados no Brasil. Disponível em <http:\\www.nic.br> Acesso em: 08
ago. 2002.ELLISON, L (2002) - Cadê os crackers? Revista InfoExame, São Paulo, n.190, p. 44, jan. 2002.
FONTES, E. (2000) - Vivendo a segurança da informação – Orientações práticas para pessoas e organizações.
São Paulo: Sicurezza, 2000.
MACHADO, Cesar de Souza & FISCHER, Norberto. (2002) - A Aplicação da Metodologia Rummler Brache
Group na implantação da Norma ISO17799. In: XXII Encontro Nacional de Engenharia de Produção. Curitiba –
PR, 23 a 25 de outubro de 2002.
MACHADO, César de Souza. (2002) - O emprego da metodologia PMBOK para subsidiar a implantação da
norma de segurança da informação ISO 17799 In: XXII Encontro Nacional de Engenharia de Produção. Curitiba
– PR, 23 a 25 de outubro de 2002.
MACHADO, César de Souza. (2002) - Um modelo para gerenciamento da segurança da informação em sistemas
de teletrabalho In: XXII Encontro Nacional de Engenharia de Produção. Curitiba – PR, outubro de 2002.
MEDEIROS, Sayonara & RAMOS, Anatália S. (2002) - Gestão de segurança da informação em ambiente
internet: considerações sobre a utilização do correio eletrônico segundo a Norma ISO/IEC 17799. In: XXII
Encontro Nacional de Engenharia de Produção. Curitiba – PR, outubro de 2002.
MOREIRA, N. S. (2001) - Segurança mínima - uma visão corporativa da segurança de informações. Rio de
Janeiro: Axcel Books do Brasil, 2001.
O’BRIEN, J. (2001) - Sistemas de Informação – as decisões gerenciais na era da internet. 9.Ed. São Paulo:
Saraiva, 2001.
REGGIANI, L. (2001) - A escalada insuportável dos vírus. Revista InfoExame, São Paulo, n.188, p. 48-57, nov.
WILSON, J. L., TURBAN, E. & ZVIRAN, M. (1992) - Information Systems Security: A Managerial
Perspective. International Journal of Information Management. Vol.12, p.105-119.

ENEGEP 2003 ABEPRO 8