3

Introdução

O trabalho que tem como tema “a política de segurança de sistemas de comunicação da

Direcção Provincial de Educação e Cultura de Nampula”, salientar queactualmente a
informação constitui algo meramente importante nas instituições, visto que é uma das
ferramentas indispensável que completa a mesma nessa vertente, há necessidade de criar
mecanismos na perspectiva de preservar.
Em contra partida, as empresas deparam-se com situações de natureza alarmantes, que
algum momento afectaria os sistemas de informações e suas redes de computadores
culminando, nessa vertente, prejuízos para a mesma.
Nessa óptica, a segurança da informação aparece como um dos mecanismos adoptado a
protegê-la dessas ameaças no sentido de manter a sua reputação. Esta iniciativa, surge a
partir da implementação política de controle, práticas e procedimentos, pelos quais
precisamser estabelecidos para responder a demanda da instituição.
Portanto, realçar que para a realização do trabalho, usou-se os métodos
abaixoreferenciados, para a recolha de dados. Eis a sequência: Observação directa,
entrevista e consulta bibliográfico.
Adjacente a isso, esperamos que utente, tenha o ensejo de ler, preservando aquilo que é o
seu valor lógico.
 4

1.1.ObjetivosGerais

 Analisar os pressupostos necessários para o tratamento da segurança da

informação, por meio da formulação de políticas de segurança da informação;

 Garantir que os recursos de informática e a informação serão usados devidamente;

 Evitar expor informação prejudicial a instituição.

1.1.2.ObjectivosEspecíficos

 Normalizar as práticas e procedimentos de segurança da empresa;

 Criar estratégias alternativas para a elaboração de políticas, na perspectiva de

facilitar o usuário frente aos sistemas de informação.

 Realizar um levantamento acerca do problema da segurança da informação e

decomo ele é tratado no ambiente da comunicação social.

 Fazer uso dos princípios da fenomenologia e da hermenêutica para a descrição de

tal problema.

1.2.Problematização

No âmbito da implementação de políticas de seguranças de sistemas de comunicações da

Direcção Provincial de Educação e Cultura, esta instituição, possui sistemas
informatizados para a realizaçãodas suas actividades, com a integração de bases de dados,
até certo ponto é vulnerável a situações de ameaças, de natureza lógica e física,que criam
impasses na segurança dos usuários e das informações a eles adjacentes.

Nessa vertente, a tecnologia da informação e comunicação,apresenta-nos certas

directrizes com vista a inverter o cenário.

Na perspectiva de inteirar-se melhor na dinâmica do processo questiona-se: Até que

ponto os sistemas de informação e de comunicação são seguros na sociedade?
 5

1.3.Hipótese

O presente estudo coloca-se como hipóteses de pesquisa as seguintes:

 A segurança dos sistemas de informação e comunicação dependem da

disponibilidade de financeira

 A implementação de directrizes ou técnicas de segurança poderá constituir

plataforma alternativa para a expansão de ameaçasem várias vertentes, que os
sistemas estão sujeitas.

1.4.Justificativa

A escolha deste tema relevante é pela importância da informação, visto que constitui a
ferramenta fundamental, ou seja alicerce das instituiçõesde maneiras a facilitar no regime
de negócios.

A maioria das empresas a informação constitui maior património razão pela qual, há
necessidade de protege-la devidamente de forma a não passar situações relativas fraude,
sabotagem a erro, ignorância do valor dainformação,

É um tema interessante, que proporciona a vontade em levar avante a segurança dos

equipamentos, de forma a criar barreiras na sabotagem da informação, na sociedade, ou
seja pelo mundo, criando o espírito de obtenção e valorização da mesma informação

1.5.Metodologia

Para alcançar objectivo pretendido, foram usados os componentes fundamentais da

pesquisa, isto é, processo de recolha dos dados será o método empírico (observação
directa, inquérito e entrevista semi-estruturada), indutivo e consulta na Internet.

1.5.1.Métodos de pesquisa

Para esta pesquisa usar-se-á dois grandes grupos de métodos que são: métodos de
abordagem e de procedimento.
 6

1.5.2. Método de abordagem

Nesta pesquisa será utilizado ométodo indutivovisto que aproximação dos factoscinge-se
para planos abrangentes, na perspectiva das constatações confidenciais e teorias.

1.5.3.Método de procedimento

Serão aplicados para o exercício de recolha, análise da interpretação dos dados que
eventualmente serão obtidos no campo: observação directa e indirecta, entrevista,
consulta bibliográfica, análise síntese, aleatório, histórico, comparativo e estatístico.

 Análise síntese: será utilizado no momento da análise e conclusão dos dados

recolhidos no campo;

 Aleatório-será utilizado no memento da listagem do universo de estudo e a

amostra deve ser aleatória de acordo com o universo em estudo;

 Histórico: usar-se-á para fazer abordagem histórica do local em estudo;

 Comparativo: far-se-á a comparação dos dados e ideias dos sujeitos da pesquisa
recolhidas no campo;
 Estatístico: será utilizado no tratamento qualitativo dos dados, tributação e
representação das figuras, gráficos e tabelas.

1.6.Técnica de colecta de dados

O trabalho de campo será efectuado com base no método empírico (recolha de dados): a
entrevista, o inquérito, a consulta bibliográfica, observação directa e indirecta.

1.6.1.Entrevista

Sendo uma pesquisa qualitativa foi escolhida a entrevista semi-estruturada, visto que esta,
valoriza a presença do investigador, oferecendo-lhe todas as perspectivas possíveis para
que o informante alcance a liberdade e a espontaneidade necessária, enfatizando a
investigação.
 7

1.6.2.Consulta bibliográfica

É com a consulta bibliográfica que far-se-á a fundamentação do trabalho. Também será

usado para obter os conhecimentos metodológicos – científicos para a elaboração da
monografia.

1.6.3.Observação

A observação é uma técnica de recolha de dados no sentido de obter informações. Nessa

vertente, recepção atenta, racional, planificada e sistemática dos fenómenos relacionados
com objectivos de investigação das suas condições naturais, sem os provar, para fornecer
uma explicação científica da natureza adjacente.

A escolha por este tipo de pesquisa relaciona-se com o facto de não interferir no processo
normal das tecnologias e visa o alcance dos objectivos definidos.

1.8. Enquadramento Institucional

A Direcção provincial de educação e Cultura, actualmente é uma instituição que lida com
processos educativos e é compostacomposta por um efectivo de 340 funcionários, de
várias proveniências e é constituída por

Departamento de Planificação, Departamento de Direcção Pedagógica, programas

especiais, Secretaria Geral, Direcção de Administração e Finanças, Inspecção, programas
de Produção e Alimentação Escolar, Departamento de Indústrias Culturais e Recursos
Humanos. Por sua vez, o departamento de Recursos Humanos, está subdividido em
Gestão do Pessoal e Administração do Pessoal.

Assim como Departamento de Indústrias Culturais está subdivido em certas áreas que
são: Património Cultural, Acção Cultural, Casa provincial da Cultura, Biblioteca
Provincial e Museum.

Salientar que Museum e Biblioteca Pública Provincial, são instituições subordinadas a

Direcção Provincial de Educação e Cultura.
 8

A direcção provincial, usa uma banda ou seja um switchda govnetque é administrada pela
CPRD (Centro de Provincial de Recursos Digitais), entidade que faz a gestão da rede
interna.

Possui um servidor por onde é feita o armazenamento da informação desta instituição,

através do aplicativoEduc-Statusado no departamento de Planificação, programa pelo
qual cada usuário tem o seu perfil e uma senha de acesso que lhe permite fazer o
lançamento de dados relativos a dados estatísticos e levantamento estatístico para os
seguintes níveis: ensino, secundário, ensino primário, educação de adultos, rácio
professor aluno, dados estes, provenientes dos distritos, através de mapas em forma de
inquérito, criando assim, um elo de comunicação, entre a Direcção e os distritos. No
mesmo servidor também temos uma base de dados denominada Carta Escolar, em que os
procedimentos de acesso são os mesmos. Esta base está Mais vocacionada naquilo que é
a localização das escolas e tendo em conta outros aspectos como é o caso de tipo de
construção, número de professores existentes, número de salas, se a escola está
iluminada, se tem canalização, se tem quadros, total de alunos, cobertura da escola,
situação de casas de banho, latrinas, cantina escolar, ginásio, campo polivalente, o código
da escola, ano de fabrico e mais outros aspectos inerentes a própria escola.

Salientar que este servidor, apenas é explorado pelo Departamento de Planificação

A Direcção Provincial possui um total de 102 computadores de mesa e incluindo laptops,

25 impressoras algumas em ambiente de redefacilitando assim a partilha de recursos e 5
impressoras com componente de FAX.
 9

CAPÍTULO II

2.Fundamentação Teórica

2.1.Segurança de Informação

A informação é algo de extrema importância num clima de negócios e protege-la não é

uma actividade simples,sendo que pode abranger várias situações, como: erro,
displicência, ignorância do valor dainformação, nas organizações, razão pela qual carece
de ma protecção condigna com vista a preservar o seu valor lógico e evitar sabotagem da
mesma.

2.2.Conceitos Básicos sobre Informação

Dados - são números, medidas e valores, ou seja, é a informação não tratada. São
significados que isoladamente não podem transmitir uma mensagem. Informação -
interpretação e compreendimento de um conjunto de dados.

A informação é um conjunto organizado de dados, que constitui uma mensagem sobre

um determinado fenómeno ou evento. A informação permite resolver problemas e tomar
decisões, tendo em conta que o seu uso racional é a base do conhecimento.

Conhecimento é o ato ou efeito de conhecer, é ter ideia ou a noção de alguma coisa. É o

saber, a instrução e a informação.

Conhecimento também inclui descrições, hipóteses, conceitos, teorias, princípios e

procedimentos.

De acordo com a (NBR ISO 17799), independente da forma que a informação seapresenta
ela deve ser protegida de maneira adequada. A segurança deve ser considerada umdos
assuntos mais importantes dentre as preocupações das organizações. Deve-se entenderque
segurança da informação não é uma tecnologia. Não é possível comprar um
dispositivoque torne a rede segura ou um software capaz de tornar seu computador
 10

seguro. Segurança dainformação não é um estado que se pode alcançar.A segurança é a

direcção em que se pretende chegar, mas a empresa deve saber quenunca chegará de
facto ao destino. O que é possível fazer é administrar um nível aceitável de risco.
Segurança é um processo, pode-se aplicar o processo à rede ou à empresa visando
melhorar a segurança dos sistemas.

O processo de segurança mostra que em muitos aspectos a segurança é semelhante

àtríade grega:

Análise do problema tendo em conta que: se o problema é asegurança da informação,

este deve ser avaliado na perspectiva quepoderá afectar o processo de segurança, criando
uma solução para oproblema.

Sintetize uma solução para o problema a partir de sua análise: sabendo tudo o quepode
prejudicar o processo de segurança, neste momento é importante a criação deuma solução
que foi estabelecida a partir das informações analisadasanteriormente.

Avalie a solução e aprenda em quais aspectos não correspondeu a sua expectativa:a

solução adoptada deve ser avaliado, visando a verificação de medidas ou decisõesque não
foram satisfatórias para a implantação do processo de segurança, podendovoltar a análise
do problema e passando pelas etapas do processo de segurançanovamente.

Após estas etapas do processo de segurança, deve-se restaurar o mesmo processo

seguidamente, o procedimento de analisar o problema, sintetizaruma solução e avaliar a
solução, é um procedimento que pode ser aplicado para qualquerprocesso.

2.3.Classificação da Informação.

De acordo com adescrição (item 5.2 da NBR ISO 17799), que trata da classificação da
informação:

O objectivo da Classificação da Informação é assegurar que os activos da informação

recebam um nível adequado de protecção. A informação deve ser classificada para
indicar a importância, a prioridade e o nível de protecção. A informação possui vários
 11

níveis de sensibilidade e criticidade. Alguns itens podem necessitar um nível adicional de

protecção ou tratamento especial. Um sistema de classificação da informação deve ser
usado para definir um conjunto apropriado de níveis de protecção e determinar a
necessidade demedidas especiais de tratamento.

A classificação da informação é importante para que as organizações possamdeterminar o

nível de protecção que sua informação, de modo que a segurança de informações
importantes para as organizações possa ser assegurada. A classificação mais é aquela que
divide em quatro níveis:

2.3.2.Confidencial

As informações devem ficar restritas ao ambiente da empresa, o acesso a essessistemas e

informações é feito de acordo com a sua estrita necessidade, ou seja, os usuários sópodem
a cessá-las se estes forem fundamentais para o desempenho satisfatório de suas funçõesna
instituição. O acesso não autorizado à estas informações podem causar danos
financeirosou perdas de fatia de mercado para o concorrente.

2.3.3.Interna

Nessa perspectiva, as informações não devem sair do âmbito da instituição. Porém, se

isto ocorrer as consequências não serão críticas, no entanto, podem denegrir a imagem da
instituição oucausar prejuízos indirectos não desejáveis.

2.3.1.Secreta

Estas informações devem ser acessadas por um número restrito de pessoas e o

controlesobre o uso destas informações deve ser total, são informações essenciais para a
empresa,portanto, sua integridade deve ser preservada. O acesso interno ou externo por
pessoas nãoautorizadas a esse tipo de informação é extremamente crítico para a
instituição.
 12

2.3.4.Públicas

Informações que podem ser divulgadas para o público em geral, incluindo

clientes,fornecedores, imprensa, não possuem restrições para divulgação.

2.4.Princípios da Segurança da Informação

Quando se pensa em segurança da informação, a primeira ideia que nos vem à mente é a
protecção das informações, não importando onde estas informações estejam
armazenadas. Um computador ou sistema computacional é considerado seguro se houver
uma garantia de que é capaz de actuar exactamente como o esperado. Porém a segurança
não é apenas isto. A expectativa de todo usuária é que as informações armazenadas hoje
em seu computador, lá permaneçam, mesmo depois de algumas semanas, sem que
pessoas não autorizadas tenham tido qualquer acesso a seu conteúdo.(DIAS, 2000, p.42)
O usuário espera que suas informações estejam disponíveis no momento e local
quedeterminar, que sejam confiáveis, corretas e mantidas fora do alcance de pessoas
nãoautorizadas. Essas expectativas do usuário podem ser traduzidas como objectivos ou
princípios da segurança:

2.4.1.Autenticidade
O controle de autenticidade está associado com identificação de um usuário
oucomputador. O serviço de autenticação em um sistema deve assegurar ao receptor que
amensagem é realmente procedente da origem informada em seu conteúdo.
Normalmente, issoé implementado a partir de um mecanismo de senhas ou de assinatura
digital. A verificação deautenticidade é necessária após todo processo de identificação,
seja de um usuário para umsistema ou de um sistema para outro sistema. A autenticidade
é a medida de protecção de um serviço/informação contra a personificação por intrusos.

2.4.2. Confidencialidade
Proteger informações contra acesso por alguém não autorizado - interna ouexternamente.
Consiste em proteger a informação contra leitura e/ou cópia por alguém quenão tenha
sido explicitamente autorizado pelo proprietário daquela informação. A informaçãodeve
 13

ser protegida qualquer que seja a mídia que a contenha, como por exemplo,
mídiaimpressa ou mídia digital. Deve-se cuidar não apenas da proteção da informação
como umtodo, mas também de partes da informação que podem ser utilizadas para
interferir sobre otodo. No caso das redes de computadores, isto significa que os dados,
enquanto em trânsito,não serão vistos, alterados, ou extraídos da rede por pessoas não
autorizadas ou capturadospor dispositivos ilícitos.O objetivo da confidencialidade é
proteger informação privada.

2.4.3.Integridade
A integridade consiste em evitar que dados sejam apagados ou de alguma formaalterados,
sem a permissão do proprietário da informação. O conceito de dados nesse objectivo é
mais amplo, englobando dados, programas, documentação, registos, fitas magnéticas, etc.
O conceito de integridade está relacionado com o fato de assegurar que os dados não
foram modificados por pessoas não autorizadas.A integridade de dados também é um
pré-requisito para outros princípios dasegurança. Por exemplo, se a integridade de um
sistema de controle a um determinado sistemaoperacional pode ser violada, então a
confidencialidade de seus arquivos pode ser igualmenteviolada. Enquanto o objectivo da
confidencialidade está mais voltado à leitura de dados, aintegridade preocupa-se mais
com a gravação ou alteração de dados.

2.4.4.Disponibilidade
Ter as informações acessíveis e prontas para uso representa um objectivo crítico
paramuitas empresas.Disponibilidade consiste na protecção dos serviços prestados pelo
sistema de forma que eles não sejam degradados ou se tornem indisponíveis sem
autorização, assegurando ao usuário o acesso aos dados sempre que deles precisar.Um
sistema indisponível, quando um usuário autorizado necessita dele, pode resultarem
perdas tão graves quanto as causadas pela remoção das informações daquele
sistema.Atacar a disponibilidade significa realizar acções que visem a negação do acesso
a um serviçoou informação, como por exemplo: bloqueando no canal de comunicação ou
do acesso aservidores de dados.
 14

2.5.Vulnerabilidade
A vulnerabilidade é o ponto onde qualquer sistema é susceptível a um ataque, ou seja, é
uma condição encontrada em determinados recursos, processos, configurações, etc.
Condição causada muitas vezes pela ausência ou ineficiência das medidas de protecção
utilizadas de salvaguardar os bem da empresa. (Moreira, 2001, p.22)
Quando pretende-se garantir a segurança da informação da empresa deve-se identificaros
processos vulneráveis, se estes processos forem de grande importância para garantir
asegurança da informação, as medidas e controles de segurança adequados são
implementados.O surgimento das vulnerabilidades pode ter diversas causas, podendo ser
entendidocomo uma relação N para N, ou seja, cada empresa, cada ambiente pode possuir
diversasvulnerabilidades e cada vulnerabilidade pode estar em diversos ambientes.
(MOREIRA, 2001,p25)

2.6.Tipos de Políticas
Existem três tipos de políticas: Regulatória, Consultiva e Informativa.

2.6.1.Regulatória
Ferreira (2003, p.34), afirma que políticas regulatórias são implementadas devido
àsnecessidades legais que são impostas à organização. Normalmente são muito específico
um tipo de ramo de actividade.Uma política regulatória é definida como se fosse uma
série de especificações legais.Descreve, com grande riqueza de detalhes, o que deve ser
feito, quem deve fazer e forneceralgum tipo de parecer, relatando qual acção é
importante.Deve assegurar que a organização esta seguindo os procedimentos e normas
para seuramo de actuação, provendo conforto para a organização na execução de suas
actividades, poisestão seguindo os requisitos legais necessários para o seu ramo de
actividade.

2.6.2.Consultiva.
Políticas consultivas não são obrigatórias, mas muito recomendadas. As
organizaçõesdevem conscientizar seus funcionários a considerar este tipo de política
como se fosseobrigatória.A política consultiva apenas sugere quais ações ou métodos
 15

devem ser utilizados paraa realização de uma tarefa. A idéia principal é esclarecer as
atividadescotidianas do dia a diada empresa de maneira bastante direta.Deve-se
considerar que é importante que os usuários conheçam essas ações pararealização de suas
tarefas para que possam ser evitados riscos do não cumprimento dasmesmas, tais como:
 Possibilidade de omissão de informações importantes para tomada de
decisõescríticas aos negócios da organização;
 Falhas no processo de comunicação com a alta administração;
 Perda de prazos de compromissos importantes para os negócios da organização.

2.6.3.Informativa
Este tipo de política possui caráter apenas informativo, nenhuma ação é desejada e
nãoexistem riscos, caso não seja cumprida. Porém, também pode contemplar uma série
deobservações importantes, bem como advertências severas.Por exemplo, a política pode
ressaltar que o uso de um determinado sistema é restrito apessoas autorizadas e qualquer
funcionário que realizar algum tipo de violação serápenalizado. Nesta sentença não são
informados quais funcionários estão autorizados, mas este determinando severas
consequências para quem desrespeitá- la.

2.7.Classificação das Vulnerabilidades

As vulnerabilidades podem ser humanas,físicas, naturais, de software ou hardware.

Físicas: falta de extintores, salas mal projectadas, instalações eléctricas antigas e

emconjunto com as instalações da rede de computadores.
Naturais: acumulo de poeira, unidade, possibilidade de desastre naturais, como enchente,
tempestade, terramotos, etc.
Humana: falta de treinamento, compartilhamento de informações confidenciais porparte
dos funcionários da empresa, falta de comprometimento dos funcionários.
 16

CAPITULO III

3.Política de Segurança da Instituição (Direcção Provincial de Educação e Cultura)

A apresentação, análise e interpretação de dados foi feita em função da observação,

questionário e entrevista efectuadaaos técnicos assim como os profissionais desta
instituição.

A política de segurança deve ser definida de acordo com os objectivos de negócios

daorganização. Existem algumas directrizes para se escrever a política de segurança
(WADLOW,2000, p.33):
Sendo assim és as políticas da instituição para garantir a segurança:

3.1.Políticas de segurança no Manuseamento dos equipamentos

3.1.1. Politicas Gerais

1. Não há permissão de tentativas de obter o acesso não autorizado, tais como
iniciativa de plagiar autenticação de usuário ou segurança de qualquer servidor,
rede ou conta ou seja “cracking”).
2. Não são permitidas tentativas de interferir nos serviços de qualquer outro usuário,
servidor ou rede. Para evitar, tentativas de provocar transtorno em redes.

3. Antes de ausentar-se do seu local de trabalho, o usuário deverá fechar todos os

programas em uso que estiverem na situação de uso, prevenindo que não haja o
acesso por pessoas não autorizadas, se possívelefectuar o logout/logoff da rede
ou bloqueio do computador através de senha;

4. A pasta (pública) ou similar, não deverá ser utilizada para armazenamento

dearquivos que contenham assuntos sigilosos devem ser armazenadasapenas
informações comuns a todos na perspectiva de dar acesso a qualquer um.
 17

5. Não há permissão de gravação de dados que não tem a haver com a rotina de
trabalho, través do uso dos recursos computacionais da rede;

6. Não há permissão de instalação de certos aplicativos nodirectóriodo usuário, no

computador local e em qualquer outro directório da rede, podem ser utilizados
apenas os softwares previamente instalados no computador e do interesse
institucional;

7. Não são permitidas alterações das configurações de rede e inicialização

dasmáquinas bem como modificações que possam trazer algum problema futuro;

8. Não é permitido criar e/ou remover arquivos fora da área alocada ao usuário
e/ouque venham a comprometer o desempenho e funcionamento dos sistemas.

9. O acesso a sistemas, deve ser controlado pela identificação do usuário e pelas

senhas designadas para usuários autorizados, as senhas compartilhadas devem ser
excepcionais e autorizadas pela equipe técnica.

3.1.2.Politicas para funcionários

1. É obrigatório armazenamento dos arquivos inerentes à empresa no servidor é de

carácter obrigatóriopara garantir a cópia de segurança dos mesmos;

2. É proibida a abertura de computadores para qualquer tipo de reparo, seja isto

feitoem departamentos ou laboratórios de informática, caso seja necessário o
reparo deverá ocorrerpelo departamento técnico;
3. Em casos de demissão dum funcionário, o coordenador responsável deveinformar
a equipe técnica para providenciar a desativação dos acessos do mesmo e deverá
também verificar a necessidade de troca de senhas de contas de uso comum ao
departamento, evitando o acesso às informações.
 18

4. A transferência dum funcionar entre departamentos é obrigatório que se actualize

a equipe a entidade controladora do sistema no sentido de actualizar a base de
dados.

3.2.1.Política de Segurança na Administração de Contas

Definir as normas de administração das contas que abrange, como é o caso de
criação,manutenção e desativação da conta.

3.2.2.Politicas Gerais

Manutenção da conta:
1. O funcionário com privilégios dados serviços da empresa, ou seja que tiver sua
conta criada terá um espaço no servidor para gravar seus arquivos de maneiras
que haja uma cópia feita de segurança dos arquivos do servidor do
domínioDirecção Provincial de educação e Cultura.
2. Há monitoria das contas equipe de segurança com o objectivo de verificar
possíveis irregularidades no armazenamento ou manutenção dos arquivos
nosdirectórios pessoais.

3. O manuseamento dos arquivos na conta pessoal é de responsabilidade do usuário

3.3.Política de Segurança no uso das Senhas

As senhas são utilizadas pela grande maioria dos sistemas de autenticação e
sãoconsideradas necessárias como meio de autenticação. Porém, elas são consideradas
perigosas,pois dependem do usuário, que podem, por exemplo escolher senhas óbvias e
fáceis de seremdescobertas, ou ainda compartilha- las com seus amigos.
 19

3.3.1Politicas Gerais
Senhas são um meio comum de validação da identidade do usuário para obtenção
deacesso a um sistema de informação ou serviço. Convém que a concessão de senhas seja
controlada, considerando: as senhas temporárias devem ser alteradas imediatamente,
nãodevem ser armazenadas de forma desprotegida, entre outros.
A senha deve ser redefinida pelo menos a cada dois meses, para usuários comuns e a
cada mês para usuários de acesso mais restrito.
As responsabilidades do administrador do sistema incluem o cuidado na criação e
alteração das senhas dos usuários, além da necessidade de manter actualizados os dados
dos mesmos.
 20

CAPITULO IV

4.Conclusão

O trabalho com tema de (política de segurança do sistema de informação da Direcção

Provincial de Educação e Cultura de Nampula)tem como, seus objectivos, criaçãode um
modelo de política de segurança de maneiras a preservar a informação institucional.

Nessa vertente, houve a necessidades, de garantir asegurança da informação com base na

política de segurança tendo em conta, certas normas, adjacentes a esse cenário, como é o
caso de
Procedimentos, ferramentas e responsabilidades que devem ser seguidas pelos usuários
das organizações, de modo a garantir a segurança da informação.
Todavia, a política de segurança constitui o alicerce protecção da informação,
preservando assim o perfil da instituição.
 21

Bibliografia

Gestão de Segurança da Informação. Disponível em:

http://www.dnv.com.br/certificacao/sistemasdegestao/segurancadainformacao/index.asp.
Acessado em 31 ago 2004.

MARTINI, Renato. Curso de Segurança em Redes Linux. Disponível em:

http://www.lemon.com.br/canais/tutoriais/ . Acesso em: 20 ago 2004.

RIBEIRO, Mário Sérgio. A Norma Brasileira para a Gestão da Segurança da Informação

(ISO/IEC 17799). Disponível em: http://www.scua.com.br . Acesso em 21 ago 2004.
Criando Senhas Seguras. Disponível em: http://www.infowester.com/tutsenhas.php .
Acesso
em 30 ago 2004.

SCUA. Política de Segurança - Principais Etapas de Elaboração. Disponível em:

http://www.scua.com.br/seguranca/conceitos/politica_etapas.htm . Acesso em: 21 ago
2004.
 22

Apêndice
 23

Apêndice : Questionário dirigido aos técnicos e profissionais da instituição (Direcção

provincial de Educação e Cultura de Nampula)

O presente questionário é subordinado ao tema “Politicas de Segurança informática da

instituição da DPEC- Direcção provincial de Educação e Cultura de Nampula ” para fins
académicos e entregue no departamento de Informática, na Universidade Pedagógica –
Delegação de Nampula.

1. Há quanto tempo é técnico ou responsável de sistemas de informática nesta instituição?

a) Menos de 1 Ano
b) 1 Ano
c) 2 Anos
d) Mais de 5 Anos

2. Qual é a quantidade de computadores existentes na Instituição?

a) Total de computadores ____________________

b) Operacionais ____________________________

3. O número de computadores existentes é suficiente para responder a demanda da

Instituição?

Sim Não

a) O número de utentes é maior que o número de computadores

b) Os computadores existentes são suficientes

4. Acha que a insuficiência da abrangência dos processadores deve-se à exiguidade de

fundos?

Sim Não
 24

5. Os Equipamentos informática da Instituiçãoestão ligados à rede de internet?

Sim Não

6. Acha necessário aumentar a capacidade de computadores na Instituição?

Sim

Não

7. Já ouviu falar de Segurança de Informação?

Sim Não

8. Em caso afirmativo na questão anterior, diga se a implementação de politicas de

segurança poderá constituir alternativa para maximizar os riscos a que a informação esta
sujeita na instituições com muitos usuários?

Sim Não

a) Porque?

________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
______________________________
 25

Índice

Introdução...............................................................................................................................................3

1.1.ObjetivosGerais.................................................................................................................................4

1.1.2.ObjectivosEspecíficos.....................................................................................................................4

1.2.Problematização................................................................................................................................4

1.3.Hipótese.................................................................................................................................................5

1.4.Justificativa............................................................................................................................................5

1.5.Metodologia..........................................................................................................................................5

Para alcançar objectivo pretendido, foram usados os componentes fundamentais da pesquisa,

isto é, processo de recolha dos dados será o método empírico (observação directa, inquérito e
entrevista semi-estruturada), indutivo e consulta na Internet...................................................................5

1.5.1.Métodos de pesquisa...........................................................................................................................5

1.5.2. Método de abordagem.......................................................................................................................6

1.5.3.Método de procedimento....................................................................................................................6

1.6.Técnica de colecta de dados...................................................................................................................6

1.8. Enquadramento Institucional................................................................................................................7

CAPÍTULO II.............................................................................................................................................9

2.Fundamentação Teórica............................................................................................................................9

2.1.Segurança de Informação......................................................................................................................9

2.2.Conceitos Básicos sobre Informação.....................................................................................................9

2.3.Classificação da Informação................................................................................................................10

2.4.Princípios da Segurança da Informação...............................................................................................12

2.5.Vulnerabilidade...................................................................................................................................14

2.6.Tipos de Políticas................................................................................................................................14
 26

2.7.Classificação das Vulnerabilidades......................................................................................................15

CAPITULO III..........................................................................................................................................16

3.Política de Segurança da Instituição (Direcção Provincial de Educação e Cultura)................................16

3.1.Políticas de segurança no Manuseamento dos equipamentos...............................................................16

3.2.1.Política de Segurança na Administração de Contas..........................................................................18

3.3.Política de Segurança no uso das Senhas.............................................................................................18

CAPITULO IV..........................................................................................................................................20

4.Conclusão...............................................................................................................................................20

Bibliografia................................................................................................................................................21

Apêndice...................................................................................................................................................22