Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this document? Why not share!

Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado na Chesf/Recife.

on

  • 3,133 views

 

Statistics

Views

Total Views
3,133
Views on SlideShare
3,133
Embed Views
0

Actions

Likes
2
Downloads
105
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado na Chesf/Recife. Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado na Chesf/Recife. Document Transcript

    • Universidade de Pernambuco Faculdade de Ciências e Tecnologia de Caruaru Bacharelado em Sistemas de InformaçãoSegurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado na Chesf/Recife. Darliane Goes de Miranda Orientadora: Érika Carlos Medeiros Caruaru, 2010
    • Darliane Goes de MirandaSegurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado na Chesf/Recife. Monografia apresentada como requisito parcial para obtenção do diploma de Bacharel em Sistemas de Informação pela Faculdade de Ciência e Tecnologia de Caruaru – Universidade de Pernambuco. Caruaru – PE 2010
    • Dedico esse trabalho a pessoa que mais me deu forças para conquistar um dos grandes objetivos da minha vida e que segurou minha mão em todos os momentos, minha mãe, Maria Elita Goes.
    • Agradecimentos Agradeço primeiramente aos meus pais, Elita e Ademir, por me propiciarem umasólida base educacional, acompanhada de muito incentivo e amor. As minhas irmãs e amigas, Patricia e Katiane, por estarem sempre ao meu lado, dandoforça em todos os momentos, auxiliando nos trabalhos e contribuindo para meu crescimentopessoal. Agradeço também a Maxwell Queiroz pelo companheirismo, afeto e pelacompreensão oferecida principalmente nos momentos finais da minha graduação. Aos meus amigos de jornada, Ariane, Danilo, Rita, Elifas e Manoel, e vários outroscolegas de curso que me ajudaram nessa longa caminhada proporcionando grandesexperiências e momentos de descontração. A professora Érika Medeiros, pelo auxilio do desenvolvimento deste trabalho e aosprofessores da Universidade de Pernambuco pelo conhecimento transmitido. Em último, porém não menos importante, a Deus, pois sem ele nada disso seriapossível.
    • "A diferença entre o possível e o impossível está na vontade humana." Louis Pasteur
    • Listas de AcrônimosABNT Associação Brasileira de Normas TécnicasANS Agencia Nacional de SaúdeCHESF Companhia Hidro Elétrica do São FranciscoCOBIT Control Objectives for Information and related TechnologyCOSO Committee of Sponsoring Organizations of the Treadway CommissionCVM Comissão de Valores MobiliáriosIEC International Electrotechnical CommissionISO International Organization for StandardizationITIL Information Technology Infrastructure LibraryNBR Norma BrasileiraPS Política de SegurançaSI Sistemas de InformaçãoSUSEP Superintendência de Seguros PrivadosTCP/IP Transmission Control Protocol / Internet ProtocolTCU Tribunal de Contas da UniãoTI Tecnologia da InformaçãoUSD United States DollarWWW World Wide Web
    • Lista de FigurasFigura 1: Diversidade panorâmica das vulnerabilidades (SÊMOLA, 2003) ...................26Figura 2: Ciclo PDCA (CANO, 2006) ............................................................................33Figura 3: Modelo de Disponibilização da PS na tela do computador ..............................58
    • Lista de TabelasTabela 1: Tabela contendo o Grau de Seriedade em uma PS...........................................59Tabela 2: Política de mesa e tela limpa ............................................................................60
    • Lista de GráficosGráfico 1: Risco com relação à segurança da informação pelas empresas ......................22Gráfico 2: Tempo de vínculo empregatício com a empresa.............................................47Gráfico 2: Conhecimento da existência de uma política de segurança na empresa .........47Gráfico 4: Clareza e formalidade de comprometimento com a Política de Segurança ....48Gráfico 5: Divulgação da Política na Organização ..........................................................48Gráfico 6: Disponibilidade da Política de Segurança para os funcionários .....................49Gráfico 7: Compreensão da Política de Segurança pelos funcionários............................50Gráfico 8: Publicação, comunicação e treinamento sobre a Política de Segurançapara os funcionários...........................................................................................................51Gráfico 9: A existência da definição de “Política de Segurança” ....................................51Gráfico 10: Resumo das metas relacionadas às Políticas de Segurança ..........................52Gráfico 11: Outros documentos que complementam a Política de Segurança.................53Gráfico 12: Definição de um responsável pela Política de Segurança.............................54Gráfico 13: Implementação de medidas de punição para infratores ................................54Gráfico 14: Comprometimento da alta direção com a Política de Segurança..................55Gráfico 15: Conhecimento da importância da Política de Segurança para a organização56Gráfico 16: Responsabilidades sobre a Política de Segurança.........................................56Gráfico 17: Conhecimento da Política de Segurança na contratação...............................57
    • Resumo Uma das grandes preocupações das empresas, atualmente, é garantir a segurança dosseus ativos ou, quando isso não é possível, ao menos mitigar os riscos e ameaças envolvidas.Com isso, essa pesquisa tem como objetivo analisar e avaliar a utilização de um dosmecanismos envolvendo a segurança da informação, segundo a norma NBR ISO/IEC 27002,a política de segurança. Para alcançar tal objetivo, foi realizado um estudo de caso em umagrande empresa situada na cidade de Recife/PE, a CHESF. Nesta empresa, foi realizada umaentrevista e aplicados questionários aos funcionários do departamento de Tecnologia daInformação da empresa, com o intuito de analisar o nível de entrosamento destes com apolítica de segurança adotada pela companhia, seguindo os padrões estabelecidos pela normaNBR ISO/IEC 27002 de Prática para a Gestão de Segurança da Informação. Observou-se aimportância da descrição desse documento para os funcionários, uma vez que a partir dessesdados os mesmos poderão ter conhecimento do que é importante e o que deve ser guardadopela empresa. Com base nesse estudo foi possível propor melhorias na implementação destedocumento, principalmente relacionadas à percepção dos funcionários.Palavras-chave: Segurança da Informação. Políticas de Segurança. Ativos de Informação.Padrões de Segurança. CHESF.
    • Abstract A major concern for companies today is to ensure the safety of its assets, or when it isnot possible, at least mitigate the risks and threats involved. Thus, this research aims toanalyze and evaluate the use of one of the mechanisms involving information security,according to standard ISO / IEC 27002, the security policy. To achieve this, we performed acase study in a large company located in the city of Recife, CHESF. In this company, aninterview was conducted and completed questionnaires to employees of the Department ofInformation Technology company, with the aim of analyzing the level of rapport with thesecurity policy adopted by the company, following the standards set by the standard ISO /IEC 27002 Practice for the Management of Information Security. We observed theimportance of the description of this document for employees, since from these data they mayhave knowledge of what is important and what should be kept by the company. Based on thisstudy it was possible to propose improvements in the implementation of this document,mainly related to the perception of employees.Keywords: Information Security. Security Policy. Information Asset. Safety Standards.CHESF.
    • Sumário1. INTRODUÇÃO ..........................................................................................................14 1.1 Tema e Definição da Situação Problema.........................................................14 1.2 Objetivos..........................................................................................................16 1.2.1 Objetivo Geral .....................................................................................16 1.2.2 Objetivos Específicos..........................................................................17 1.3 Justificativa ......................................................................................................172. REVISÃO DA LITERATURA ..................................................................................19 2.1 Ativos e o Valor da Informação.......................................................................19 2.2 Segurança da Informação ................................................................................21 2.2.1 Confidencialidade................................................................................23 2.2.2 Integridade...........................................................................................23 2.2.3 Disponibilidade ...................................................................................23 2.3 Ameaças à segurança e Vulnerabilidades........................................................24 2.4 Norma NBR ISO/IEC 27002 ..........................................................................27 2.4.1 Organização da Segurança da Informação ..........................................27 2.4.2 Gestão de Ativos .................................................................................27 2.4.3 Segurança em Recursos Humanos ......................................................28 2.4.4 Segurança Física e do Ambiente .........................................................28 2.4.5 Gerenciamento de Operações e Comunicações ..................................29 2.4.6 Controle de Acesso..............................................................................30 2.4.7 Aquisição, Desenvolvimento e Manutenção de Sistemas ...................30 2.4.8 Gestão de Incidentes de Segurança da Informação .............................30 2.4.9 Gestão de Continuidade dos Negócios................................................31 2.4.10 Conformidade....................................................................................31 2.5 Políticas de Segurança .....................................................................................31 2.5.1 Tipos de Políticas ................................................................................34 2.6 Legislações e Regulamentações conforme norma ISO/IEC 27002.................34 2.7 Processos de Auditoria ....................................................................................353. METODOLOGIA DA PESQUISA............................................................................37 3.1. Natureza da Pesquisa ......................................................................................37 3.1.1 Quantos aos Fins .................................................................................37
    • 3.1.2 Quanto aos Meios................................................................................37 3.1.3 Quanto a Forma de Abordagem ..........................................................38 3.2. Instrumento de Coleta de Dados e Análise dos Resultados............................394. ESTUDO DE CASO ....................................................................................................41 4.1. Companhia Hidro Elétrica do São Francisco - CHESF...................................41 4.2. Análise dos Dados ...........................................................................................42 4.2.1 Entrevista.............................................................................................42 4.2.1.1 Seção 1 – Questões sobre a política de segurança ...........................43 4.2.1.2 Seção 2 – Questões sobre segurança organizacional e controle de acesso...........................................................................................................44 4.2.1.3 Seção 3 – Questões sobre a segurança de pessoal ...........................44 4.2.1.4 Seção 4 – Questões sobre a segurança física e do ambiente ............45 4.2.1.5 Seção 5 – Questões relacionadas ao gerenciamento das operações e comunicações...............................................................................................45 4.2.1.6 Seção 6 – Questões sobre Housekeeping .........................................46 4.2.2 Questionários.......................................................................................46 4.2.2.1 Seção 1 – Questionamentos com relação ao tempo que o funcionário trabalha na empresa......................................................................................46 4.2.2.2 Seção 2 – Questionamentos referentes ao entrosamento dos funcionários com as políticas de segurança adotadas pela empresa .................................47 4.2.2.3 Seção 3 – Questionamentos relacionados à estrutura, organização de aplicação da política de segurança ...............................................................50 4.2.2.4 Seção 4 – Questionamentos referentes à relação entre a alta direção, os funcionários e as políticas de segurança..................................................535. PROPOSTAS A SEREM IMPLEMENTADAS .......................................................586. CONSIDERAÇÕES FINAIS......................................................................................62 6.1. Conclusões.......................................................................................................62 6.2. Limitações e Ameaças .....................................................................................63 6.3. Trabalhos Futuros ............................................................................................637. REFERÊNCIAS BIBLIOGRÁFICAS ......................................................................658. ANEXO I - ENTREVISTA.........................................................................................679. ANEXO II - QUESTIONÁRIO..................................................................................70
    • 141. Introdução Este capítulo tem como objetivo introduzir o tema da monografia. Para tal, apresentade maneira simplificada a perspectiva de assuntos que possuem relação teórica sobresegurança da informação a um problema específico, seguido dos objetivos da pesquisa e ajustificativa.1.1 Tema e Definição da Situação Problema A informação assume, atualmente, uma importância crescente. Ela torna-sefundamental ao nível da empresa na descoberta e introdução de novas tecnologias, exploraçãodas oportunidades de investimento e ainda na planificação de toda a atividade industrial. Nos últimos anos as tecnologias de informação e comunicação têm evoluído de formarápida, fazendo com que as organizações tenham maior eficiência e rapidez nas tomadas dedecisão, devido a este fato as chances de uma empresa não usar sistemas de informaçãotornou-se praticamente nula. Neste cenário as organizações, seus sistemas de informações esuas redes de computadores apresentam-se diante de uma série de ameaças, sendo que,algumas vezes, estas ameaças podem resultar em prejuízos para as empresas. Neste contexto aimportância de se utilizar mecanismos de segurança e de armazenamento das informações évital para a sobrevivência e competitividade destas organizações. Havia uma época em que trabalhar com segurança da informação não era muitocomplexo, pois os arquivos contendo inúmeros papéis podiam ser guardados fisicamente, ouseja, a segurança era relativamente simples. Bastava trancar os documentos em algum lugar erestringir o acesso físico àquele local (DIAS, 2000). Com as mudanças tecnológicas e adifusão do uso dos computadores e da Internet por todas as áreas da empresa, essasimplicidade nos procedimentos de segurança deixou de existir. A complexidade aumentounão só em função do número de pessoas que têm acesso às informações quanto das diferentesformas através das quais essas informações podem ser acessadas. Os dispositivos portáteisfacilitam a transação desses dados em formato digital, tornando os ativos da empresa maisatrativos para pessoas mal intencionadas. Com isso, além da segurança física (prevenção contra incêndios, alagamentos,problemas elétricos, poeira, fraudes, controle de acesso, uso inadequado dos sistemas,engenharia social, guerras, seqüestros, etc.) surge à necessidade de se criar controles lógicos,
    • 15de forma a aumentar a probabilidade de que somente pessoas autorizadas possam acessar,modificar e/ou excluir as informações armazenadas em meio digital. Segundo Albernaz (2001), a informação é um recurso vital em todas as organizações,tendo influência em muitos aspectos do negócio e da própria sobrevivência da organização.Assim, observa-se que a informação é um ativo importante das organizações e que suasegurança é essencial tanto para o retorno dos investimentos quanto para a continuidade dosnegócios. Neste cenário o conceito de Segurança de Informação torna-se cada vez mais forte eevidente. A Segurança da Informação é garantir que as informações (seja em mídiaseletrônicas, papel e até mesmo em conversações pessoais ou por telefone) estejam protegidascontra o acesso por pessoas não autorizadas (confidencialidade), estejam sempre disponíveisquando necessárias, e que sejam confiáveis (não tenham sido corrompidas ou adulteradas poratos de pessoas mal intencionadas). Para que haja segurança das informações primeiramente deve ser feita uma análise derisco que identifique todos os riscos (vulnerabilidades + ameaças) que ameacem asinformações, considerando três categorias básicas: riscos administrativos, físicos etecnológicos. Com isso, para se implantar uma eficaz segurança da informação dentro de umaorganização é necessário atentar para algumas questões como uma boa análise de riscos, adefinição de uma política de segurança e um plano de contingência. A política de segurança pode trazer ao ambiente de uma instituição, regras eprocedimentos que devem ser seguidos para a garantia da segurança da informação. Deacordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consistenum conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de umaorganização. Elas devem ter implementação realista, e definir claramente as áreas deresponsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Devetambém adaptar-se a alterações na organização. As políticas de segurança fornecem umenquadramento para a implementação de mecanismos de segurança, definem procedimentosde segurança adequados, processos de auditoria à segurança e estabelecem uma base paraprocedimentos legais na sequência de ataques. Por fim, caso a organização sofra algum ataque aos seus ativos, é importante que amesma possua um plano de contingência para fornecer procedimentos e capacidadesnecessárias para a recuperação de uma aplicação específica ou sistemas complexos. De acordo com uma pesquisa feita em agosto de 2009 pela revista Você S/A, uma emcada três pequenas e médias empresas da América Latina já enfrentou falhas de segurança de
    • 16suas informações. O número é resultado de um estudo com 1.425 companhias consultadaspela fabricante de software Symantec. Entre as consultadas, 45% afirmaram que planejammanter investimentos e outras 42% disseram ter a intenção de aumentar aportes em tecnologiaeste ano, para evitar problemas com a segurança de suas informações. Isso retrata que as empresas estão cada vez mais em busca de segurança para seusativos e que, para isso é necessário um trabalho árduo e eficaz na implementação de métodoscapazes de garantir tal necessidade. A segurança da informação é uma proposta que deve serestudada e analisada com profundidade antes de ser implementada, pois não se trata apenas deações isoladas ou controles de relatórios, é necessário implantar uma boa política desegurança capaz de garantir a heterogeneidade das ações e o pleno funcionamento desta. Esse trabalho tem o intuito de identificar os principais métodos adotados por umaempresa de grande porte na cidade de Recife a fim de analisar se os mesmos são capazes degarantir a segurança da informação dentro da empresa, mas precisamente no setor de TI. Comessa análise é possível verificar o comportamento desta empresa com relação ao uso depolíticas de segurança e os métodos de controle da segurança da informação para garantir aconfidencialidade, integridade e disponibilidade de seus ativos.1.2 Objetivos1.2.1 Objetivo Geral O Objetivo Geral deste trabalho é identificar e avaliar as principais medidas da políticade segurança adotada pela Companhia Hidro Elétrica do São Francisco e verificar se asmesmas podem garantir a confiabilidade, integridade e disponibilidade de seus ativos,considerando as medidas utilizadas e a percepção dos funcionários com relação à políticaadotada.1.2.2 Objetivos Específicos Para alcançar o objetivo geral desta pesquisa foi estabelecida uma série de objetivosespecíficos, que são:
    • 17 • Identificar as medidas adotadas para garantir a segurança da informação dentro da empresa; • Identificar e conceituar métodos para avaliação de Segurança da Informação conforme a norma ISO/IEC 27002; • Analisar as políticas de segurança adotadas com relação à confiabilidade, integridade e disponibilidade da informação; • Verificar o nível de capacitação e entrosamento dos funcionários do setor de TI com a política de segurança da empresa; • Definir possíveis recomendações e propostas de implementações futuras para garantir um nível maior de segurança da informação dentro da empresa.1.3 Justificativa Com o crescimento e avanço da Tecnologia da Informação (TI) as empresas passarama perceber a importância de investir em tecnologia a fim de alavancar seus lucros e garantir odestaque no mercado competitivo. As empresas hoje estão inseridas em um mundo globalizado, com o espaço geográficofragmentado, porém fortemente articulado pelas redes, onde a informação, independente doseu formato, é um dos maiores patrimônios de uma organização moderna, sendo vital paraquaisquer níveis hierárquicos e dentro de qualquer instituição que deseja manter-secompetitiva no mercado. Considerada um ativo importantíssimo para a realização do negócioa informação deve ser protegida e gerenciada. Neste sentido, desde a década de 80 vêm sendo criadas normas para segurança dainformação. Por exemplo, em 1987 o Department Of Trade Centre (UK DTI) criou oComercial Computer Security Centre (CCSC) o qual possuía dois objetivos principais:1. Auxiliar companhias britânicas que comercializavam produtos para segurança detecnologia da informação através da criação de critérios para avaliação da segurança; e2. A criação de um código de segurança para os usuários das informações. Em 1989 foi publicada a primeira versão do código de segurança denominadoPD0003- Código para Gerenciamento da Segurança da Informação. Em 1995 esse código foirevisado e publicado como uma norma britânica, a BS7799:1995. Essa norma foi revisada ealterada mais algumas vezes até que em 1º de dezembro de 2000 foi homologada pelaInternational Standartization Organization (ISO) como ISO/IEC 17799:2000. No Brasil sua
    • 18homologação ocorreu pela Associação Brasileira de Normas Técnicas (ABNT) sendodenominada como NBR ISO/IEC 17799:2005, atualmente norma ISO 27002. Neste contexto, o presente trabalho justifica-se por enfatizar a utilização de políticasde segurança e a sua relevância dentro de um ambiente corporativo. Garantir a segurança dosativos da empresa e definir métodos eficazes para alcançar tais objetivos são papéisimportantes que devem ser seguidos pelas corporações de pequeno, grande e médio porte.Além de sua importância para o mercado, o estudo sobre segurança da informação e suaspolíticas, centradas nesta pesquisa em uma empresa de grande porte, também são de granderelevância para o meio acadêmico uma vez que este trabalho destaca pontos importantes arespeito das tecnologias e segurança da informação, pois é possível identificar e analisar osconceitos e características das políticas de segurança a fim de aprimorar os estudos na área eenriquecer seu conteúdo teórico.
    • 192. Revisão da Literatura Nesse capítulo são descritas as referências literárias que foram estudadas para odesenvolvimento dessa pesquisa, assim foram direcionadas a análise do tema e aos objetivos.A seção 2.1 aborda os assuntos a cerca dos ativos da empresa e do valor da informação dentrodas organizações. A seção 2.2 traz o conceito de segurança da informação e discorre arespeito das suas principais características e importância para as empresas. Na próxima seçãoserão esclarecidas questões relacionadas a ameaças a segurança e vulnerabilidade. Na seção 2.4 serão expostos os fundamentos da segurança da informação com base naNBR ISO/IEC 27002, mais especificamente voltado para as medidas organizacionaisestabelecidas na empresa. A seção seguinte aborda o conceito de políticas de segurança commaior profundidade, esclarecendo desde seu processo de implementação a tipos de políticasque podem ser implantadas nas organizações. A seção 2.6 permite um esclarecimento a respeito das legislações e regulamentaçãoque regem a segurança da informação, bem como aspectos de conformidade dessas medidas,direitos de propriedade intelectual e proteção dos dados. O capítulo finaliza com a seção 2.7que trata a respeito dos processos de auditoria voltados à avaliação dos procedimentos decontrole e segurança vinculados ao processamento das informações.2.1 Ativos e o valor da informação A Informação é o resultado do processamento, manipulação e organização de dados,de tal forma que represente uma modificação (quantitativa ou qualitativa) no conhecimento dosistema (pessoa, animal ou máquina) que a recebe. Informação enquanto conceito carrega uma diversidade de significados, do usocotidiano ao técnico. Genericamente, o conceito de informação está intimamente ligado àsnoções de restrição, comunicação, controle, dados, forma, instrução, conhecimento,significado, estímulo, padrão, percepção e representação de conhecimento. Inseridas em um cenário cada vez mais digital, integrado, complexo e dinâmico, asinstituições, públicas e privadas, têm ampliado suas percepções a respeito do valor e danecessidade de segurança de suas informações. Garantir a integridade de seus processos, a
    • 20despeito da utilização de novas tecnologias como a disponibilização de aplicações na web¹,wireless² e a integração total de seus negócios, tornou-se requisito essencial. Desta forma Melo (1999) comenta que, cabe um destaque aos administradores,profissionais das áreas administrativo-financeiras e contábeis das empresas, pois os mesmossão os responsáveis pela passagem de processamento manual para processamento eletrônicode dados, nas empresas. Segundo Albertin (1996, p. 17): a informática é “a ciência do tratamento racional e automático da informação, considerada esta como suporte dos conhecimentos e comunicações”, a informação é“... o conhecimento amplo e bem fundamentado, resultante da análise e combinação de vários informes, ou, ainda, coleção de fatos ou de outros dados fornecidos a máquina, a fim de objetivar um processamento...”. As informações se tornaram importantes nos meios organizacionais e no mundoglobalizado, sendo aproveitadas pelas empresas como elemento de adesão na tomada dedecisão e no planejamento estratégico voltado as várias áreas, desta forma Foina (2001, p. 17)comenta que: As empresas relacionam-se entre si e com o mundo externo por meio de trocas de informações, insumos e produtos em geral. Assim, podemos perceber a importância da informação para uma operação bem-sucedida nas empresas. Num mundo globalizado e altamente informatizado, a informação é um dos produtos mais valiosos para a gestão da empresa. A informação certa, no formato adequado e na hora certa pode mostrar oportunidades de negócios que levam os executivos a tomarem decisões importantes para o sucesso do negócio. Neste contexto, é possível identificar a informação como um ativo importante dentroda empresa que deve ser trabalhada com afinco para a obtenção de resultados satisfatórios. O termo “ativo” representa os bens³ e direitos que a empresa tem num determinadomomento, resultante de suas transações ou eventos passados das quais futuros benefícioseconômicos podem ser obtidos. É tudo aquilo que está envolvido diretamente com o processode manipulação da informação, isso incluindo a própria informação, ou seja, são os processos,as pessoas e a tecnologia.____________________________1 A World Wide Web (também chamada Web ou WWW) é, em termos gerais, a interface gráfica da Internet.Ela é um sistema de informações organizado de maneira a englobar todos os outros sistemas de informaçãodisponíveis na Internet. (Fonte: http://www.icmc.usp.br/ensino/material/html/www.html)² Também conhecida como rede sem fio, significa um sistema de antenas interligadas entre si, que transmiteminformações via ondas de rádio. (Fontes: http://sisnema.com.br/Materias/idmat002959.htm)³ Itens de propriedade da entidade que possuem valores.
    • 21 Os ativos de uma empresa podem ser classificados da seguinte forma: • Ativos de Informação: banco de dados, documentação de sistemas, plano de continuidade, material de treinamento, informações arquivadas, etc. • Ativos de Software: aplicações, sistemas operacionais, ferramentas de desenvolvimento e utilitários. • Ativos Físicos: computadores, equipamentos de comunicação (roteadores, switches), mídias magnéticas, acomodações, etc. • Serviços: computação e serviços de comunicação, utilidades gerais como eletricidade, ar-condicionado, etc. Nesta pesquisa, o foco será em analisar os ativos de informação, ou seja, aquelesativos que basicamente suportam os negócios da empresa, pois, uma vez perdidos oudanificados sua recuperação por muitas vezes pode ser lenta, custosa ou, em alguns casos,irrecuperável.2.2 Segurança da Informação Conceitualmente a segurança pode ser definida como a proteção de informações,sistemas, recursos e serviços contra desastres, erro e manipulação não autorizada, de forma areduzir a probabilidade e o impacto de incidentes de segurança (DIAS, 2000). A segurança da informação deve ser implantada em todas as áreas da organização,pois são encontradas em diversos meios como: impresso ou escrito, armazenadoeletronicamente, enviado pelo correio ou através de meios eletrônicos. Dias (2000) também afirma que quando existe o pensamento da segurança deinformação, imagina-se a proteção das informações, não importando onde estejam. Aexpectativa de todo usuário é que a informação esteja disponível no computador, sem quepessoas não autorizadas tenham tido qualquer acesso a seu conteúdo. Segundo a ABNT(2005), segurança da informação protege a informação de diversos tipos de ameaças paragarantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retornodos investimentos e as oportunidades de negócio. A preocupação das empresas em garantir a segurança da informação, principalmenteapós o advento das tecnologias da informação, possui justificativas concretas. Em 2010, em
    • 22uma pesquisa feita pela empresa Symantec4 mostra aumento de ataques cibernéticos contraempresas de todo mundo. O estudo descobriu que só na América Latina 42% dasorganizações classificam a segurança como seu problema principal (Gráfico 1). A empresatambém afirma que 75% das organizações sofreram ataques cibernéticos nos últimos 12meses. Esses ataques custam às empresas uma média de USD 2 milhões por ano. Por último,as organizações revelaram que a segurança empresarial está se tornando mais difícil devido àfalta de pessoal e as novas iniciativas de TI que intensificam os problemas de segurança e osproblemas de compatibilidade de TI. Gráfico 1: Riscos com relação à segurança da informação pelas empresas (Symantec Corp.). Para orientar a análise, o planejamento e a implementação da segurança para umdeterminado grupo de informações que se deseja proteger, verificou-se três requisitos básicospara garantir a segurança da informação: Confidencialidade, Integridade e Disponibilidade. A também chamada tríade C-I-A (Confidentiality, Integrity and Availability) estárelacionada não só a segurança restrita a sistemas computacionais, sistemas dearmazenamento ou informações eletrônicas. O conceito se aplica a todos os aspectos deproteção de informações e dados. O conceito de Segurança Informática ou Segurança deComputadores está intimamente relacionado com o de Segurança da Informação, incluindonão apenas a segurança dos dados/informação, mas também a dos sistemas em si.____________________________4 Empresa conhecida mundialmente por fornecer soluções de segurança, armazenamento e gerenciamento desistemas.
    • 232.2.1 Confidencialidade Na perspectiva de Spanceski (2004) confidencialidade é proteger informações contraacesso por alguém não autorizado - interna ou externamente. Consiste em proteger ainformação contra leitura e/ou cópia por alguém que não tenha sido explicitamente autorizadopelo proprietário daquela informação. Ainda referindo ao mesmo autor a informação deve ser protegida qualquer que seja amídia que a contenha, como por exemplo, mídia impressa ou mídia digital. O objetivo daconfidencialidade é proteger informação privada (SPANCESKI, 2004).2.2.2 Integridade Trata-se da propriedade que garante que a informação que está sendo manipuladamantenha todas as características originais estabelecidas pelo proprietário da informação,evitando que dados sejam apagados ou de alguma forma alterados, sem a permissão doproprietário, incluindo controle de mudanças e a garantia do seu ciclo de vida da informação(nascimento, manutenção e destruição). A integridade de dados também é um pré-requisito para outros princípios dasegurança, uma vez que seu principal objetivo é salvaguardar a veracidade ecomplementariedade da informação bem como os seus métodos de processamento. Porexemplo, se a integridade de um sistema de controle a um determinado sistema operacionalpode ser invadida, então a confidencialidade de seus arquivos pode ser igualmente violada.2.2.3 Disponibilidade Assim como as propriedades apresentadas anteriormente para garantir a segurança dainformação em uma organização, a disponibilidade dessas informações também possui papelfundamental uma vez que ter as informações acessíveis e prontas para uso representa umobjetivo crítico para muitas empresas. A disponibilidade consiste em garantir que a informação esteja sempre disponível parauso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.Consiste ainda na proteção dos serviços prestados pelo sistema de forma que eles não sejam
    • 24degradados ou se tornem indisponíveis sem autorização, assegurando ao usuário o acesso aosdados sempre que necessário. Um dos principais objetivos da segurança da informação é garantir a manutenção dosacessos às informações que estão sendo disponibilizadas. Um sistema que esteja indisponívelno momento que o usuário autorizado necessitar de alguma informação pode resultar danostão graves quanto a perda ou remoção dessa mesma informação no sistema. Violar adisponibilidade significa realizar ações que tem como objetivo a negação de acesso a umsistema, informação ou serviço, por exemplo, não permitir o acesso de um usuário autorizadoa um servidor de banco de dados garante a indisponibilidade da informação que está sendorequisitada ou manipulada.2.3 Ameaças à Segurança e Vulnerabilidades As ameaças ligadas à segurança da informação são relacionadas diretamente com aperda de uma de suas 03 (três) características principais descritas anteriormente, que são: • Perda de Confidencialidade: Quando há uma quebra de sigilo de uma determinada informação permitindo com que as informações confidenciais sejam expostas, as quais seriam acessíveis apenas por um determinado grupo de usuários. • Perda de Integridade: Acontece quando uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário da informação. • Perda de Disponibilidade: Ocorre quando a informação deixa de estar acessível no momento que é requisitada, seja por fatores internos, externos ou por falha de algum equipamento. Com o advento da Internet5 e das redes de computadores as ameaças a sistemas e asinformações, tornou-se alvo de grandes ataques. No caso de ameaças à rede de computadoresou a um sistema, estas podem vir na forma de softwares maliciosos desenvolvidos peloschamados crackers6, que tem como principal objetivo prejudicar de forma economia, socialou financeira uma organização. Os vírus hoje preocupam bastante, pois circulam rapidamente____________________________5 Conglomerado de redes em escala mundial de milhões de computadores interligados pelo protocolo TCP/IPque permite o acesso a informações e todo tipo de transferência de dados.6 Termo usado para designar quem pratica a quebra (ou cracking) de um sistema de segurança, de forma ilegalou sem ética.
    • 25e causam fortes danos. Existem ainda diversos usuários que fazem uso de modems paraconexão com a Internet, muitas vezes contornando os controles e proteções da rede ou de umfirewall7 corporativo. Nesta perspectiva, é possível verificar que as ameaças com relação à segurança dainformação dentro das organizações são iminentes. Mas para que haja tais ameaças, a empresadeve se preocupar com outro ponto crítico relacionado a essa segurança, a vulnerabilidade. Vulnerabilidades são fragilidades ou deficiências presentes ou associadas acomponentes envolvidos nas etapas do ciclo de vida da informação. Moreira (2001, p.22)afirma que: A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque, ou seja, é uma condição encontrada em determinados recursos, processos, configurações, etc. Condição causada muitas vezes pela ausência ou ineficiência das medidas de proteção utilizadas de salvaguardar os bens da empresa. (Moreira, 2001, p.22) Uma vulnerabilidade pode partir das próprias medidas de segurança implantada naorganização, se existir estas medidas, porém configuradas de maneira incorreta, então aempresa possuirá uma vulnerabilidade e não uma medida de segurança. O surgimento das vulnerabilidades pode ter diversas causas. Cada empresa, cadaambiente pode possuir diversas vulnerabilidades e cada vulnerabilidade pode estar emdiversos ambientes. (MOREIRA, 2001, p25) Segundo Sêmola (2003), essas vulnerabilidades estão ligadas também a diversosoutros fatores, podendo ser de origem humana, física, natural, por software, hardware entreoutras (Figura 1). Os danos e perdas causados por um incidente de segurança acontecem em decorrênciade medidas mal implementadas ou mal utilizadas que possibilitam pontos vulneráveis.Algumas medidas de segurança podem ser adequadas para determinada situação e inadequadapara outras. Deve-se buscar a melhor relação custo/benefício para garantia da segurança dainformação. As vulnerabilidades irão diminuir a partir do momento que medidas adequadas desegurança sejam implantadas.____________________________7 Dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a umdeterminado ponto de controle da rede impedindo a transmissão e/ou recepção de acessos nocivos ou nãoautorizados de uma rede para outra.
    • 26 Ainda não é possível identificar um modelo ideal ou um pacote de segurança que podeser usado para resolver todos os problemas de segurança da informação de uma empresa.Porém, a implementação das normas da ISO/IEC voltadas para a segurança da informaçãotem como um dos objetivos principais administrar essas vulnerabilidades através de controlesque vão desde a segurança física dos dados quanto ao controle lógico e de pessoal dessasinformações. Figura 1: Diversidade panorâmica das vulnerabilidades (SÊMOLA, 2003).
    • 272.4 Norma NBR ISO/IEC 27002 A norma NBR ISO/IEC 27002 - Código de Prática para a Gestão de Segurança daInformação - tem como objetivo estabelecer diretrizes e princípios gerais para iniciar,implementar, manter e melhorar a gestão de segurança da informação em uma organização.Anteriormente esta norma era conhecida como NBR ISO/IEC 17799, mas a partir de 2007 anova edição da ISO/IEC 17799 foi incorporada ao novo esquema de numeração comoISO/IEC 27002. A parte principal da norma se encontra distribuída em 11 seções, que correspondem acontroles de segurança da informação, conforme apresentado a seguir: Políticas deSegurança da Informação, Organização da Segurança da Informação; Gestão de Ativos;Segurança em Recursos Humanos; Segurança Física e do Ambiente; Gerenciamento dasOperações e Comunicações; Controle de Acesso; Aquisição, Desenvolvimento eManutenção de Sistemas; Gestão de Incidentes se Segurança da Informação; Gestão daContinuidade dos Negócios e Conformidade. As Políticas de Segurança serão abordadascom maior profundidade na próxima subseção deste capítulo, pois está diretamenterelacionada com o objetivo geral desta pesquisa.2.4.1 Organização da Segurança da Informação Para implementar a Segurança da Informação em uma organização, é necessária queseja estabelecida uma estrutura para gerenciá-la. Para isso, as atividades de segurança dainformação devem ser coordenadas por representantes de diversas partes da organização, comfunções e papéis relevantes. Todas as responsabilidades pela segurança da informaçãotambém devem estar claramente definidas. É importante ainda que sejam estabelecidosacordos de confidencialidade para proteger as informações de caráter sigiloso, bem como asinformações que são acessadas, comunicadas, processadas ou gerenciadas por partes externas,tais como terceiros e clientes.2.4.2 Gestão de Ativos Ativo, de acordo com a norma, é qualquer coisa que tenha valor para a organização.Gestão de Ativos, portanto, significa proteger e manter esses ativos. Para que eles sejam
    • 28devidamente protegidos, devem ser primeiramente identificados e levantados, comproprietários também identificados e designados, de tal forma que um inventário de ativospossa ser estruturado e posteriormente mantido. As informações e os ativos ainda devem serclassificados, conforme o nível de proteção recomendado para cada um deles, e seguir regrasdocumentadas, que definem qual o tipo de uso é permitido fazer com esses ativos.2.4.3 Segurança em Recursos Humanos Antes de realizar a contratação de um funcionário, fornecedores e terceiros, éimportante que cada um deles entenda suas responsabilidades e esteja de acordo com o papelque desempenhará. Portanto, as descrições de cargo e os termos e condições de contrataçãodevem ser explícitos, especialmente no que tange às responsabilidades de segurança dainformação. É importante também que quaisquer candidatos sejam devidamente analisados,principalmente se forem lidar com informações de caráter sigiloso, a fim de mitigar o risco deroubo, fraude ou mau uso dos recursos. Durante todo o tempo em que funcionários, fornecedores e terceiros estiveremtrabalhando na empresa, eles devem estar conscientes sobre as ameaças relativas à segurançada informação, bem como de suas responsabilidades e obrigações, de tal maneira que estejampreparados para apoiar a política de segurança da informação da organização. Eles tambémdevem ser educados e treinados nos procedimentos de segurança da informação e no usocorreto dos recursos de processamento da informação. É fundamental ainda que um processodisciplinar formal seja estabelecido para tratar das violações de segurança da informação. No momento em que ocorrer o encerramento ou uma mudança na contratação, a saídade funcionários, fornecedores e terceiros deve ser feita de modo ordenado e controlado, paraque a devolução de todos os equipamentos e a retirada de todos os direitos de acesso sejamconcluídas.2.4.4 Segurança Física e do Ambiente As instalações de processamento de informação críticas ou sensíveis devem sermantidas em áreas seguras, com níveis e controles de acesso apropriados, incluindo proteçãofísica. Essa proteção deve ser compatível com os riscos previamente identificados.
    • 29 Os equipamentos também devem ser protegidos contra ameaças físicas e ambientais,incluindo aqueles utilizados fora do local.2.4.5 Gerenciamento das Operações e Comunicações É importante que estejam definidos os procedimentos e responsabilidades pela gestãoe operação de todos os recursos de processamento das informações. Além disso, deve-seutilizar sempre que necessária a segregação de funções (recomenda-se que uma pessoa realizeuma ou algumas partes de um processo, mas não todas), visando reduzir o risco de mau usoou uso indevido dos sistemas. Para o gerenciamento de serviços terceirizados, deve-seimplementar e manter o nível apropriado de segurança da informação e em conformidade comacordos de entrega de serviços terceirizados. Para assegurar que mudanças de sistemas ou softwares não possam ser implementadasde maneira descontrolada, é aconselhado, segundo a norma, criar vários ambientes físicospara desenvolvimento, teste, aceitação e produção de sistemas de informação. Desta forma,caso ocorra algum problema grave, será possível reverter para a versão antiga. É fundamental planejar e preparar a disponibilidade e os recursos do sistema paraminimizar o risco de falhas, bem como prever a capacidade futura dos sistemas, de forma areduzir os riscos de sobrecarga. Também deve-se prevenir e detectar a introdução de códigosmaliciosos (malwares) e os usuários devem estar conscientes sobre isso. Procedimentos para a geração de cópias de segurança e sua recuperação tambémdevem ser estabelecidos, bem como garantir o gerenciamento seguro de redes. Controlesadicionais podem até mesmo ser necessários para proteger informações confidenciais quetrafegam em redes públicas. As trocas de informações entre organizações devem ser baseadas em uma políticaformal específica, devendo ser efetuadas a partir de acordos entre as partes e sempre emconformidade com toda a legislação pertinente. Deve-se ainda implementar mecanismos de monitoração de atividades nãoautorizadas de processamento da informação. Os eventos de segurança da informação devemser registrados, lembrando que as organizações devem estar aderentes aos requisitos legaisaplicáveis para suas atividades de registro e monitoramento.
    • 302.4.6 Controle de Acesso O acesso à informação, aos recursos de processamento das informações e aosprocessos de negócios devem ser controlados com base nos requisitos de negócio e nasegurança da informação. Portanto, deve ser assegurado o acesso de usuário autorizado eprevenido o acesso não autorizado a sistemas de informação. Para isso, deve haverprocedimentos que englobem desde o cadastro inicial de um novo usuário até o cancelamentofinal do seu registro, garantindo assim que já não possuem mais acesso a sistemas deinformação e serviços. Os usuários sempre devem estar conscientes de suas responsabilidades,particularmente no que se refere ao uso de senhas e de segurança dos equipamentos deusuários.2.4.7 Aquisição, Desenvolvimento e Manutenção de Sistemas Segundo a norma, sistemas de informação incluem sistemas operacionais, infra-estrutura, aplicações de negócios, produtos de prateleira, serviços e aplicações desenvolvidaspelo usuário. Por essa razão, os requisitos de segurança de sistemas de informação devem seridentificados e acordados antes do seu desenvolvimento e/ou de sua implementação. As informações devem ser protegidas visando à manutenção de sua confidencialidade,autenticidade ou integridade por meios criptográficos8.2.4.8 Gestão de Incidentes de Segurança da Informação É importante assegurar que eventos de segurança da informação sejam comunicados omais rápido possível, de tal forma que a tomada de ação corretiva ocorra em tempo hábil. Paraisso, devem ser estabelecidos procedimentos formais de registro e escalonamento, bem comotodos os funcionários, fornecedores e terceiros devem estar conscientes sobre osprocedimentos para notificação dos diferentes tipos de eventos.____________________________8 Conjunto de conceitos e técnicas que visa codificar uma informação de forma que somente o emissor e oreceptor possam acessá-la, evitando que um intruso consiga interpretá-la.
    • 312.4.9 Gestão da Continuidade do Negócio Uma organização é dependente de seus ativos, pessoal e atividades que são realizadasdiariamente de forma a manter a organização operando e rentável. A maioria das organizaçõestem uma rede complexa de relacionamentos entre fornecedores e ativos, dependentes uns dosoutros para a realização das atividades. Se uma conexão na cadeia de dependências se rompeisso pode gerar uma séria de problemas para a empresa. Caso isso ocorra, deve-se impedir a interrupção das atividades do negócio e protegeros processos críticos contra efeitos de falhas ou desastres significativos, e assegurar que a suaretomada ocorra em tempo hábil. Para isso, planos de continuidade do negócio, incluindo controles para identificar ereduzir riscos, devem ser desenvolvidos e implementados, visando assegurar que as operaçõesessenciais sejam rapidamente recuperadas.2.4.10 Conformidade Deve-se garantir e evitar a violação de qualquer lei criminal ou civil, estatutos,regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança dainformação. Para isso, é conveniente contratar, caso necessário, consultoria especializada, bemcomo analisar criticamente a segurança dos sistemas de informação a intervalos regulares,verificando, sobretudo, sua conformidade e aderência a requisitos legais e regulamentares. Em resumo, nota-se claramente ao longo de toda a norma, que a característicapredominante é a prevenção, evitando-se a todo o custo, a adoção de medidas de caráterreativo. Mesmo as que forem reativas, como por exemplo, a execução de um plano decontinuidade de negócios, são previamente planejadas para que, no momento oportuno e senecessárias, sejam devidamente implementadas.2.5 Políticas de Segurança Política de segurança é basicamente um documento contendo a formalização dasregras que devem ser conhecidas e obedecidas pelas pessoas que tem acesso às tecnologias eàs informações da empresa. Esse documento deve conter, entre outros, os conceitos de
    • 32segurança da informação, as políticas, o comprometimento da direção com a política, umaestrutura para estabelecer os objetivos de controle, a estrutura de análise e avaliação egerenciamento de riscos, princípios, normas e requisitos de conformidade de segurança dainformação específicos para a empresa. A política de segurança é a base para todas as questões relacionadas à proteção dainformação, desempenhando um papel importante em todas as organizações. Sendo bemfundamentada e estruturada ela é essencial, pois define normas, procedimentos,monitoramento de seus recursos computacionais, ferramentas e responsabilidades paragarantir o controle e a segurança da informação na empresa. A principal finalidade de uma política de segurança é informar aos funcionários egerentes, as suas obrigações para a proteção da tecnologia e do acesso à informação. Apolítica deve especificar os mecanismos através dos quais estes requisitos podem seralcançados. Outra finalidade é oferecer um ponto de referência a partir do qual se possaadquirir, configurar e auditar sistemas computacionais e redes, para que sejam adequados aosrequisitos propostos. A política de segurança atribui direitos e responsabilidades às pessoasque lidam com os recursos computacionais de uma instituição e com as informações nelesarmazenados. Ela também define as atribuições de cada um em relação à segurança dosrecursos com os quais trabalham. A política de segurança pode ser dividida em vários níveis, podendo ser de um nívelmais genérico, como o objetivo que os executivos possam entender o que está sendo definido,nível dos usuários de maneira que eles tenham consciência de seus papéis para a manutençãoda segurança na organização, e podendo ser de nível técnico que se refere aos procedimentosespecíficos como, por exemplo, a implementação das regras de filtragem do firewall. O início do planejamento da política de segurança exige uma visão abrangente, demodo que os riscos sejam entendidos para que possam ser enfrentados. É comum a política desegurança ser implementadas seguindo uma estrutura hierárquica, pois outros documentos,regulamentos, procedimentos, guias e normas poderão ser desenvolvidos tendo a política daorganização como base. Existe um grande caminho entre a elaboração de uma política e sua implementação.Por se tratar de um documento que sofrerá muitas atualizações, é ideal que a políticade segurança seja acompanhada e revisada para identificar possíveis falhas etambém ser atualizada a cada nova norma, procedimento ou regulamento implementado.
    • 33 A norma ISO/IEC 27002 sugere um acompanhamento através do ciclo continuo deaprimoramento do sistema de gestão da segurança da informação. Esse ciclo, conhecido comoPDCA (Plan – Do – Check – Act ) é implementado da seguinte maneira, conforme mostra : Figura 2: Ciclo PDCA (CANO, 2006) O ciclo começa pelo planejamento (Plan) onde são estabelecidos os objetivos,procedimentos e processos necessários para atingir os resultados; em seguida serãoexecutadas (Do) as atividades planejadas; após executar as tarefas planejadas é precisoverificar (Check) e monitorar periodicamente os resultados, avaliar os processos comparando-os com o planejado, consolidar informações e confeccionar relatórios; por fim, agir (Act) deacordo com o avaliado, confeccionando planos de ação de forma a melhorar a qualidade eeficiência, aprimorando a execução e corrigindo falhas. A política de segurança deve ser definida de acordo com os objetivos de negócios daorganização. Segundo Wadlow (2000, p.33) existem algumas diretrizes para se escrever apolítica de segurança onde deve-se priorizar a relevância do conteúdo, a seriedade de suaimplementação, a atualização freqüente e a facilidade de acesso a essa política em linguagemclara e objetiva.
    • 342.5.1 Tipos de Políticas As políticas de segurança dentro de uma organização podem ser de três tiposdiferentes: Regulatória, Consultiva e Informativa. Conforme Ferreira (2003, p.34) políticas regulatórias são implementadas devido àsnecessidades legais que são impostas à organização. Normalmente são muito específicas paraum tipo de ramo de atividade. Descreve detalhadamente o que deve ser feito, quem deve fazere fornecer algum tipo de parecer, relatando qual ação é importante. As políticas consultivas não são obrigatórias, porém muito recomendadas. Ela sugerequais ações e métodos devem ser utilizados para a realização de uma determinada tarefa ouatividade. O terceiro tipo de política possui caráter apenas informativo, nenhuma ação é desejadae não existem riscos, caso não seja cumprida. Devem ser específicas, sucintas, de vocabuláriosimples e formalizar o que é esperado dos funcionários na utilização dos recursostecnológicos.2.6 Legislações e Regulamentações conforme norma ISO/IEC 27002 Para que uma empresa consiga alcançar seus objetivos de negócios é imprescindívelque a mesma observe legislações, regulamentos e obrigações contratuais locais einternacionais. Os requisitos de segurança que uma empresa precisa atender estãorelacionados a estes. Como citado na subseção 2.4.10, a conformidade está relacionada a algoque uma organização deve atender, ou seja, uma organização precisa observar tantoregulamentos internos como leis, requisitos de legislação e regulamentos locais. Conformidade não envolve apenas observar a legislação e regulamentos prescritos porgovernos, mas regras internas também devem ser consideradas. Nos últimos anos, padrõesinternacionais para segurança da informação têm sido desenvolvidos em forma de guias ourequisitos para segurança da informação. Derivado do padrão britânico BS 7799, uma padrãoISO foi desenvolvido e agora conhecido como ISO 27002. Atualmente muitas empresasnacionais e internacionais adotam esse padrão de medidas de segurança em suas organizações.
    • 35 De acordo com esse paradigma, algumas diretrizes precisam ser consideradas a fim deproteger o material que pode ser considerado propriedade intelectual, como o software, porexemplo. Algumas dessas diretrizes são: • Definir o uso legal dos programas de computador; • Manter conscientização da política para proteção dos direitos de propriedade intelectual, que incluem direitos de cópia (copyright), para programas de computador, documentos, marcas patentes e licença de código-fonte; • Compra programas apenas de fornecedores conhecidos e de boa reputação; • Se o produto for de fonte aberta (open source), a licença associada precisa ser respeitada e observada; • Manter um registro de ativos. Um dos aspectos que a gestão deve incluir na política de segurança da informação é aforma que as instalações de TI podem ser usadas dentro das organizações. O uso destasinstalações para propósitos pessoais ou não autorizados deve ser considerado usoinapropriado, ou seja, um risco para a segurança. No Brasil, existem alguns acordos e legislações relevantes em termos de segurança dainformação, abrangendo análise de riscos, confidencialidade de dados e planos decontinuidade dos negócios. Órgãos como a SUSEP, ANS, CVM, TCU desempenham papelimportante nessas diretrizes relacionadas à segurança.2.7 Processo de Auditoria de Sistemas Auditoria de sistemas é uma atividade voltada à avaliação dos procedimentos decontrole e segurança vinculados ao processamento das informações. Suas principais funçõessão: documentar, avaliar e monitorar sistemas de controle legais, sistemas gerencias deaplicação e sistemas operacionais. De acordo com Brasil (2000) é um tipo de auditoria atravésda qual os auditores recorrem ao estudo dos sistemas e em especial ao estudo do controleinterno da entidade fiscalizada e à identificação dos eventuais pontos fortes e/ou deficiênciasdesse controle interno, com o fim de definir o local, a natureza e o âmbito dos trabalhos deauditoria que julguem necessários para formularem o seu parecer. Segundo Dias (2000) na auditoria são verificados os padrões e políticas adotadas pelaorganização, a operação sobre sistemas e dados, o controle interno da entidade auditada etodos os aspectos relacionados à segurança de informações. Através deste trabalho o auditor
    • 36interno ou externo irá averiguar se as regulamentações estão sendo atendidas dentro daorganização, isto é, se as medidas definidas estão sendo aplicadas corretamente e se estãosendo eficazes. Para garantir a confiabilidade, durante o processo de auditoria os auditores solicitaminformações de um sistema enquanto ele ainda está processando. É importante ressaltar oregistro de um número muito grande de eventos torna a auditoria bastante completa, mas poroutro lado torna o sistema lento, aumentando a necessidade de armazenamento, afetando acapacidade de processamento do computador e impossibilitando a realização da auditoria.Com isso é importante assegurar que durante esse processo não haja falhas nem interrupçãodos processos. O uso de softwares ou banco de dados na auditoria deve ser conservadoseparadamente dos sistemas de desenvolvimento e produção, e não deve ser armazenado emfitas ou salas de usuários sem a devida medida de proteção adequada. Medidas como restriçãode acesso para somente aqueles sistemas que o auditor necessita para sua investigação devemser implementadas. Finalizado o processo de auditoria, a organização deve alterar todos osprivilégios de acesso que tenha sido fornecido ao auditor, com o objetivo de garantir asegurança da informação.
    • 373. Metodologia da Pesquisa Para cada pesquisa cientifica são utilizados conhecimentos, métodos, técnicas e outrosprocedimentos científicos que vão desde a adequada formulação do problema até a satisfatóriaapresentação dos resultados. Portanto, neste capítulo serão apresentados os métodosescolhidos para a obtenção das respostas a pergunta-problema definida nesta pesquisa.3.1 Natureza da Pesquisa Segundo Gil (1999, p.42), a pesquisa é um processo formal e sistemático dedesenvolvimento do método científico, cujo objetivo fundamental é descobrir respostas paraproblemas, mediante o emprego de procedimentos científicos. Em termos de classificação, apesquisa possui diferentes aspectos: quanto aos fins, quanto aos meios e quanto à forma deabordagem.3.1.1 Quanto aos fins Quanto aos fins, a pesquisa é dita descritiva, pois de acordo com Gil (1999, p.46) estetipo de pesquisa adota como objetivo primordial as descrições das características de umadeterminada população ou de determinado fenômeno ou o estabelecimento de relações entrevariáveis. Segundo Godoy (1995), é descritivo o estudo que procura descrever um fenômenoespecífico com o intuito de conhecer sua natureza, os processos que o compõem ou que neleocorrem. Envolve o uso de técnicas padronizadas de coleta de dados, como questionários eobservação sistemática e, embora sirva de base, não tem compromisso de explicar osfenômenos que descreve.3.1.2 Quanto aos meios Quanto aos meios, a pesquisa pode ser caracterizada por: Estudo de Caso, Pesquisa deCampo e Pesquisa Bibliográfica. Segundo Yin (2001) o estudo de caso é um modo de pesquisa empírica que investigafenômenos contemporâneos em seu ambiente real, quando os limites entre o fenômeno e o
    • 38contexto não são claramente definidos; quando há mais variáveis de interesse do que pontosde dados; quando se baseia em várias fontes de evidências; e quando há proposições teóricaspara conduzir a coleta e a análise dos dados. A pesquisa é centrada na formulação de umestudo de caso, cujo objeto de estudo é a segurança da informação em um ambientecorporativo de grande porte. Todo trabalho científico requer uma prévia de Pesquisa Bibliográfica que “constituigeralmente o primeiro passo de qualquer pesquisa científica” assim afirmam Cervo e Bervian(1996, p.48). A “pesquisa bibliográfica é elaborada a partir de material já publicado,constituído principalmente de livros, artigos de periódicos e atualmente com materialdisponibilizado na Internet” (SILVA, 2006). Desta forma torna-se imprescindível olevantamento desses materiais tanto para compor a fundamentação teórica ou mesmo parajustificar os próprios resultados desta pesquisa. Também é definida como Pesquisa de Campo por ser “a investigação empíricarealizada no local onde o fenômeno ocorre ou que dispõe de elementos para explicá-lo”(VERGARA 2000, p.47). Ela procede à observação de fatos e fenômenos exatamente comoocorrem no real, à coleta de dados referentes aos mesmos e, finalmente, à análise einterpretação desses dados, com base numa fundamentação teórica consistente, objetivandocompreender e explicar o problema pesquisado.3.1.3 Quanto a forma de abordagem Quanto à forma de abordagem do problema, caracteriza-se como uma pesquisaqualitativa e quantitativa. É uma pesquisa qualitativa, pois “verifica uma relação dinâmicaentre o mundo real e o sujeito, isto é, um vínculo indissociável entre o mundo objetivo e asubjetividade do sujeito que não pode ser traduzido em números” (MINAYO, 2003). SegundoGodoy (1995, p.58) “considera o ambiente como fonte direta dos dados e o pesquisador comoinstrumento chave”. Também é considerada qualitativa, pois se baseia em pequenas amostras,e estimula aos entrevistados a pensarem livremente sobre o determinado tema. A pesquisa também caracteriza-se como quantitativa, pois "as pesquisas quantitativasconsideram que tudo pode ser quantificável, o que significa traduzir em números opiniões einformações para classificá-las e analisá-las” afirma Moresi (2004 p. 57). Segundo Malhotra(2001, p. 155), “a pesquisa quantitativa procura quantificar os dados e aplicar alguma formade análise estatística”. A razão para se conduzir uma pesquisa quantitativa é descobrir quantas
    • 39pessoas de uma determinada população compartilham uma característica ou um grupo decaracterísticas (LAKATOS, 1991). Esta forma de abordagem se aplica aos objetivos destapesquisa, pelo fato de privilegiar o significado das informações coletadas (BOAVENTURA,2004). A pesquisa aborda essas duas formas, pois, tem como objetivo coletar o máximo deinformações possíveis a cerca da empresa estudada, analisando de forma qualitativa de umlado os responsáveis pela política de segurança da empresa e do outro analisar de formaquantitativa a percepção dos funcionários do departamento de TI com relação às medidasimplementadas por esses responsáveis e consequentemente pela empresa.3.2 Instrumento de Coleta de Dados e Análise dos Resultados Nesta pesquisa foram utilizados dois instrumentos para coleta de dados: a entrevista eo questionário. A entrevista caracteriza-se pela interação entre pesquisador e pesquisado, ou seja,formulam-se perguntas ao respondente com o objetivo de coletar informações que possam ouajudem a resolver o problema de pesquisa, em um determinado estudo. Para Gil (1999, p.117) “é a técnica em que o investigador se apresenta frente ao investigado e lhe formulamperguntas, com o objetivo de obtenção dos dados que lhe interessam a investigação”. É aindadita uma entrevista semi-estruturada, pois de acordo com Gil (1999, p. 120), “o entrevistadorpermite ao entrevistado falar livremente sobre o assunto, mas, quando este se desvia do temaoriginal, esforça-se para a sua retomada”. O questionário também foi utilizado como instrumento de coleta de dados, poissegundo Marconi & Lakatos (1990) é um instrumento constituído por uma série ordenada deperguntas, que devem ser respondidas por escrito e sem a presença do entrevistador. Oquestionário deve ser objetivo, limitado em extensão e estar acompanhado de instruções Asinstruções devem esclarecer o propósito de sua aplicação, ressaltar a importância dacolaboração do informante e facilitar o preenchimento. Por esta pesquisa já ser apoiada pelaentrevista, as perguntas do questionário foram fechadas, com o intuito de facilitar a coleta dosdados bem como obter o maior número de questões resolvidas e devolvidas ao pesquisador. A entrevista foi realizada antes da entrega do questionário, pois tinha como objetivoprincipal, facilitar a interação com o pesquisado, bem como obter informações mais precisas
    • 40com o profissional de TI responsável pela segurança da informação, sobre o objeto de estudoque poderiam não ser obtidas com as perguntas fechadas do questionário. Na análise dos resultados da pesquisa foi importante definir a maneira como os dadosqualitativos seriam tratados após o levantamento. A partir do levantamento bibliográfico, do estudo de caso, da pesquisa de campo e dautilização do questionário e entrevista como instrumento de coleta de dados foi possívelrealizar a leitura dos dados obtidos. Na interpretação do questionário foi utilizada a análise deconteúdo, que permitiu "obter, por procedimentos sistemáticos e objetivos de descrição doconteúdo das mensagens, indicadores da inferência de conhecimentos relativos às condiçõesde produção/recepção (variáveis inferidas) destas mensagens" (BARDIN, 2003, p.42).Segundo Bardin (2003), esse método é constituído por "um conjunto de técnicas de análisedas comunicações", bastante útil para a realização desta pesquisa.
    • 414. Estudo de Caso4.1 Companhia Hidro Elétrica do São Francisco - CHESF A Companhia Hidro Elétrica do São Francisco (CHESF) é uma sociedade anônima decapital fechado que atua na geração e transmissão de energia em alta e extra-alta tensão,explorando a bacia hidrográfica do rio São Francisco. A CHESF possui escritórios nascidades de Teresina, Fortaleza, Sobradinho, São Paulo, Salvador, Brasília, Paulo Afonso e nasede que se localiza em Recife. A empresa atua no Brasil e exterior e possui cerca de 5.500funcionários distribuídos entre as regionais. A missão da companhia é produzir, transmitir e comercializar energia elétrica,segundo princípios éticos e em sintonia com a preservação ambiental, para atuar comqualidade e rentabilidade no mercado, contribuindo para o desenvolvimento do Nordeste e doBrasil, bem como participar de novos negócios no setor eletro energético e em outroscorrelatos. A sede da CHESF que fica localizada na cidade de Recife foi o local de realização doestudo de caso referente à aplicação e utilização de políticas de segurança. Como é umaempresa de grande porte, a companhia é subdivida em departamentos e divisões de acordocom as características e atribuições especificas de cada setor. Os assuntos relacionados a TIsão de responsabilidade da Superintendência de Tecnologia da Informação, esta subdivididaem três departamentos: Departamento de Sistemas de Informação, Departamento deRelacionamento com cliente de TI e Gestão por Processos e o Departamento de Infra-estrutura Computacional e Redes, sendo este o departamento no qual foram aplicados osquestionários sobre políticas de segurança. O Departamento de Infra-estrutura Computacionale Redes é composto por mais duas divisões: a Divisão de Suporte Operacional de Infra-estrutura de TI e Redes e a Divisão de Projetos de Infra-estrutura de TI e Segurança daInformação. Os questionários foram aplicados somente no Departamento de Infra-estruturaComputacional e Redes, localizado na sede da CHESF, cuja equipe é formada por 30funcionários. Os questionários foram aplicados apenas neste setor, pois um dos objetivosespecíficos deste trabalho é verificar o nível de capacitação e entrosamento dos funcionáriosdo setor de TI com a política de segurança da empresa. A entrevista foi realizada com a
    • 42analista de sistemas da Divisão de Projetos de Infraestrutura de TI e Segurança daInformação, responsável por passar as informações referentes às políticas de segurança daempresa que serão evidenciadas na próxima seção.4.2 Análise dos Dados A coleta dos dados foi realizada através de entrevista e questionários, respectivamente,que serão abordados nas próximas seções.4.2.1 Entrevista Com o objetivo de facilitar a interação com o pesquisado, bem como obterinformações mais precisas sobre o objeto de estudo, foi realizado uma entrevista com aAnalista de Sistemas da Divisão de Projetos de Infraestrutura de TI e Segurança daInformação da Chesf. A mesma trabalha na equipe de SI e atualmente atua no projeto deanálise de risco e ministra treinamentos e palestras para desenvolvimento de uma cultura emSI na empresa. O objetivo desta entrevista foi, após a obtenção dos resultados dela e dosquestionários, fazer uma comparação entre os dois lados envolvidos na adoção eimplementação de uma política de segurança, verificando se o que é proposto pelosresponsáveis por confeccionar esse documento reflete positivamente nos funcionários daempresa. A entrevista foi realizada seguindo um roteiro com 44 perguntas abertas (ver Anexo I),com o objetivo de conseguir maior cobertura das informações relacionadas ao controle desegurança da informação seguido pela empresa. As perguntas da entrevista foram subdivididas em temas relacionados à segurança dainformação. As questões de 1 a 12 são relacionadas às políticas de segurança implementadasna empresa. As questões de 13 a 20 são relacionadas à segurança organizacional e ao controlede acesso na empresa. De 21 a 24 foram feitas perguntas sobre a segurança de pessoal.Questões relacionadas à segurança física e do ambiente estão entre as questões 25 a 33. Asperguntas de 34 a 38 são relacionadas ao gerenciamento das operações e comunicação. Porfim, de 39 a 44 foram realizadas perguntas com relação ao Housekeeping, ou seja, comrelação à organização do ambiente.
    • 434.2.1.1 Seção 1 – Questões sobre a política de segurança Buscou-se com essas perguntas obter maiores informações sobre a política desegurança através de um dos responsáveis por sua implementação. De acordo com a entrevistada, a política de segurança existe desde Maio de 2009 eestá acessível a todos os funcionários da empresa. Foi questionada a forma como a política desegurança (PS) é divulgada para os funcionários e a mesma informou que a PS foi instituídapela diretoria da empresa através de uma Resolução Normativa, que fica disponível para todosos empregados através de uma aplicação Notes (ambiente de colaboração). A mesmainformou que utilizam os seguintes meios de divulgação: a) Envio de e-mail marketingapresentando a PS e passando o link para o empregado acessá-la; b) Ministramos váriasturmas do curso “Educação em SI”, em parceria com a área de Recursos Humanos (RH); c)Realizando uma campanha em Segurança da Informação, onde são promovidas váriaspalestras na sede e nas regionais, divulgando a PS e mostrando a importância do papel de cadaum no processo de SI; d) Disponibilizando na Intranet na empresa um link para a PS e para omaterial (slides) utilizado na Campanha de Segurança. A entrevistada informou ainda que a PS é apoiada pela utilização de váriosnormativos, com orientações específicas sobre o uso de cada um dos recursos de TI (correioeletrônico, Internet, discos públicos, equipamentos móveis, etc.) e o próprio Código de Éticada empresa. Além dos normativos, a empresa também conta com o auxilio de uma aplicaçãoNotes que contém todos os normativos da empresa, inclusive o que instituiu a PS, que éacessada por todos os empregados. A mesma informou que como têm uma série denormativos voltados para atender as diretrizes da PS, a violação da PS se dará pela violaçãodos respectivos normativos. Com relação às violações da PS, foi perguntado à funcionária se quando ocorre talviolação, são tomadas medidas para identificar os agentes e causas, corrigindo asvulnerabilidades e punir os infratores. A mesma informou que sim, entretanto muitas vezessão adotadas ações educativas e não punitivas. Ainda nesta seção, a entrevistada foi questionada quanto à formalização de umprocesso de análise crítica para se avaliar a efetividade da política de segurança (tipo, volumee impacto dos incidentes de segurança registrados). Foi obtido como resposta que não foiformalizado nenhum processo neste quesito.
    • 444.2.1.2 Seção 2 – Questões sobre segurança organizacional e controle deacesso Nesta seção o objetivo é obter maiores informações sobre a segurança organizacionalda informação adotada pela empresa. A entrevistada foi questionada quanto à realização deauditorias de sistemas, foi dito que esse processo é realizado por órgãos de auditoria interna eexterna. A equipe de SI faz auditoria nos processos de TI, inclusive desenvolvimento emanutenção de sistemas, especificamente em um grupo de sistemas mais relevantes para onegócio da empresa (áreas financeira e RH), verificando se os processos estão sendoexecutados de acordo com o respectivo normativo. Também foi perguntado se é utilizado uma fonte especializada em segurança dainformação dentro da organização. Foi informado que na Chesf existem profissionais comrazoável capacitação na área de SI, entretanto sem certificações oficiais. Todos os normativosvoltados para SI são aderentes às melhores práticas (ITIL, COBIT, COSO, ISO/IEC 9002). Aferramenta que utilizam para Gestão de Riscos de TI também se baseia nos padrões acimacitados. Por ser uma empresa de grande porte e ter uma enorme rotação de funcionário eterceirizados na empresa, foi questionado se existe um controle de acesso do pessoalterceirizado e se o acesso lógico e físico é restrito para pessoas autorizadas. Segundo aentrevistada, existem sim mecanismos de controle de acesso tanto dos funcionários da própriaempresa quanto de prestadoras de serviço que tem acesso controlado e organizado.4.2.1.3 Seção 3 – Questões sobre a segurança de pessoal Para proteger os ativos de informação de qualquer empresa, é preciso primeiramenterepassar para os funcionários o que é importante para a organização e o que precisa serprotegido. Com isso, foi possível obter com a entrevista, que no momento da contratação todos osfuncionários são informados quanto à responsabilidade com a segurança na empresa, o querecebem juntamente com o treinamento básico que é dado para todo novo empregado. Osusuários dos serviços de informação também são instruídos a registrar e notificar quaisquerfragilidades ou ameaças, suspeitas ou ocorridas, na segurança de sistemas ou serviços.
    • 45 De acordo com a entrevistada, quando ocorrem incidentes de segurança dainformação, ações de feedback são tomadas e caso seja identificado à ocorrência de algumaviolação por parte dos funcionários ou terceiros é feita a análise do incidente, podendo ocorrerpunição ou apenas orientação (educação).4.2.1.4 Seção 4 – Questões sobre a segurança física e do ambiente Alguns pontos importantes foram considerados na entrevista com relação à segurançafísica e do ambiente. Foi identificado que os sistemas mantêm um registro de data e hora doacesso dos funcionários e visitantes. São utilizados controles de autenticação para validarqualquer acesso a informações sensíveis, instalações, recursos de processamento deinformações e computadores pessoais, terminais de computadores possuem senha de acessoquando não estão em uso. Nesta seção também foi possível identificar a uma preocupação com relação àproteção dos objetos portáteis de uso pessoal (notebooks, laptops, mídias, celulares, etc.),porém, segundo a analista responsável pelas respostas, algumas pessoas não seguem esseprocedimento, mas afirma existir a orientação para que esses objetos sejam guardados eprotegidos e que no processo de análise de riscos é que é avaliado o nível de aderência a essaorientação.4.2.1.5 Seção 5 – Questões relacionadas ao gerenciamento das operações ecomunicações Com relação ao gerenciamento das operações e comunicações dentro da Chesf, foiperguntado à entrevistada se os usuários são incentivados a usar senhas diferentes conformeambiente, onde a mesma respondeu negativamente informando que os orientam para quetenham senhas fortes e de uso pessoal e intransferível. Com relação à adoção de softwares para proteção do sistema (antivírus), a entrevistadadeclarou que existem softwares específicos para essa proteção e que a empresa ainda possuiuma política formal exigindo conformidade com as licenças de software e proibindo o uso desoftware não autorizado, sendo de conhecimento de todos os funcionários.
    • 464.2.1.6 Seção 6 – Questões sobre Housekeeping Nesta última seção procurou-se verificar a existências de algumas medidasrelacionadas ao gerenciamento das mídias utilizadas pela empresa e como são organizadas.De acordo com a funcionária da Chesf é mantido um registro das atividades do pessoal deoperação e os meios magnéticos reutilizáveis quando não é mais utilizado o seu conteúdo éapagado. A mesma também afirmou que é requerida a autorização para remoção de mídiasdas instalações da organização e que existe um controle de entrada e saída dessas mídias, bemcomo a acomodação em locais seguros. Por fim, foi questionada se existe uma documentação explicando os procedimentos eos níveis de autorização para gerenciamento de mídias. A entrevistada respondeupositivamente a essa questão.4.2.2 Questionários Com o objetivo de obter resultados numéricos para auxiliar na quantificação dosresultados da pesquisa, o questionário aplicado aos funcionários do Departamento deInfraestrutura Computacional e Redes da Chesf contém 15 questões objetivas com duasopções de resposta (Sim ou Não) e uma questão subjetiva (ver Anexo II). As perguntas foramdirecionadas as políticas de segurança adotada pela empresa com o objetivo de analisar o graude conhecimento e entrosamento dos funcionários com a política. No total foram aplicados 30questionários para os funcionários do departamento estudado e foram devolvidos 28questionários respondidos. Na próxima seção serão descritos os resultados.4.2.2.1 Seção 1 – Questionamentos com relação ao tempo que o funcionáriotrabalha na empresa Busca-se nesta seção identificar a média de tempo de serviço na empresa que osfuncionários do departamento possuem. Foi importante essa questão, pois foi possívelverificar se o conhecimento a respeito da política de segurança está relacionado com o tempode trabalho que o funcionário tem na empresa, como pode ser visto no Gráfico 2.
    • 47 Tempo de vínculo empregatício com a empresa Menos que 5 anos 5 a 15 anos Mais de 15 anos 8% 17% 75% Gráfico 2: Tempo de vínculo empregatício com a empresa Fonte: Dados da pesquisa4.2.2.2 Seção 2 – Questionamentos referentes ao entrosamento dosfuncionários com as políticas de segurança adotadas pela empresa Nesta seção foram abordadas questões como conhecimento, clareza, acessibilidade eatualização das políticas de segurança. É possível verificar no Gráfico 3 que todos osfuncionários avaliados (100%) tem conhecimento da existência da política de segurançaimplementada na empresa, sendo esse um ponto positivo para a organização. Conhecimento da existência de uma Política de Segurança na empresa Sim Não 0% 100% Gráfico 3: Conhecimento da existência de uma política de segurança na empresa. Fonte: Dados da pesquisa
    • 48 Pelo Gráfico 4 podemos perceber que a maioria dos funcionários (83%) consideram apolítica de segurança formal, definindo claramente o comprometimento com a segurança dainformação. Os outros 17% não concordam com essa definição. Clareza e formalidade de comprometimento com a Política de Segurança Sim Não 17% 83% Gráfico 4: Clareza e formalidade de comprometimento com a Política de Segurança Fonte: Dados da pesquisa Um ponto importante desta pesquisa é a divulgação adequada da política de segurançapara todos os funcionários da empresa . Nesta pesquisa 58% consideram que a divulgação éfeita de forma adequada e 42% acham que a divulgação não atende todos os funcionários daempresa (Gráfico 5). Divulgação da Política na Organização Sim Não 42% 58% Gráfico 5: Divulgação da Política na Organização Fonte: Dados da pesquisa
    • 49 Outro fator importante para a organização e manter a política de segurança acessívelaos funcionários. Disponibilizar esse documento em um local para acesso dos empregados dediferentes setores e departamentos, é um dos itens fundamentais para o sucesso da suaimplementação. De acordo com o Gráfico 6, uma minoria (33%) informam que o documentonão está acessível, já 67% a consideram disponível aos funcionários. Disponibilidade da Política de Segurança para os funcionários Sim Não 33% 67% Gráfico 6: Disponibilidade da Política de Segurança para os funcionários Fonte: Dados da pesquisa Para que os funcionários sigam e tenham comprometimento com a política desegurança é necessário produzir um documento compreensível e de fácil entendimento, tendoem vista que este documento será disponível para todos os funcionários da empresaindependente do tempo de serviço ou de grau de instrução. Como pode ser comprovado peloGráfico 7, 64% não consideram a política de segurança legível e clara, apenas 36 %discordam desta informação, ou seja, a maioria tem dificuldade de entender o documento.
    • 50 Compreensão da Política de Segurança pelos funcionários Sim Não 36% 64% Gráfico 7: Compreensão da Política de Segurança pelos funcionários Fonte: Dados da pesquisa4.2.2.3 Seção 3 – Questionamentos relacionados à estrutura, organização deaplicação da política de segurança Foi direcionado nesta seção a percepção dos funcionários com relação à estrutura dodocumento e forma como ele é aplicado e organizado. Para analisar esses resultados foramfeitas questões que buscam saber se existe uma definição clara de política de segurança, se asmetas a serem atingidas são evidenciadas, se existem outros documentos que complementemas políticas, se existe uma reciclagem desse documento e se essa reciclagem é feita comfreqüência. Foi questionado aos funcionários do departamento de TI da empresa se existem apublicação, comunicação e treinamento sobre a segurança da informação para os funcionários,com reciclagens periódicas. De acordo com a pesquisa, 58% declaram existir uma reciclagemperiódica desta política, enquanto 42% não consideram ter treinamentos e reciclagens comfreqüência (Gráfico 8).
    • 51 Publicação, comunicação e treinamento sobre a Política de Segurança para os funcionários Sim Não 42% 58% Gráfico 8: Publicação, comunicação e treinamento sobre a Política de Segurança para os funcionários Fonte: Dados da pesquisa Para que os funcionários possam seguir as questões propostas pela política desegurança, é necessário ter um conhecimento prévio da definição desta política, saber o que ée sobre o que se trata. Como pode ser visto no Gráfico 9, a minoria dos funcionários declaramnão ter o conhecimento dessa explicação, enquanto 83% informam que essa explicação éclaramente definida na política de segurança da empresa. A existência da definição de “Política de Segurança” Sim Não 17% 83% Gráfico 9: A existência da definição de “Política de Segurança” Fonte: Dados da pesquisa
    • 52 Nesse quesito foi avaliado a existência de um resumo das metas relacionadas asegurança da informação, ou seja, se no documento ficam claras as metas que os funcionáriosdevem seguir e atingir para manter a segurança da informação da empresa. Segundo apesquisa (Gráfico 10), 58% informam existir tais resumos e outros 42% desconhecem asmetas relacionadas a segurança da informação. Resumo das metas relacionadas às Políticas de Segurança Sim Não 42% 58% Gráfico 10: Resumo das metas relacionadas às Políticas de Segurança Fonte: Dados da pesquisa Em alguns casos para que a política de segurança possa ser compreendida e posta emprática por todos na organização, é necessário implementar outras normas ou procedimentosque auxiliem esse documento. De acordo com o Gráfico 11, mais da metade (75%) dosquestionados informam conhecer outros documentos que complementem a política adotadapela empresa, em contra partida, 25% desconhecem a existência de outras normas ouprocedimentos que a complementem.
    • 53 Outros documentos que complementam a Política de Segurança Sim Não 25% 75% Gráfico 11: Outros documentos que complementam a Política de Segurança Fonte: Dados da pesquisa4.2.2.4 Seção 4 – Questionamentos referentes a relação entre a alta direção,os funcionários e as políticas de segurança Objetiva-se nesta seção, verificar se existe uma relação de compartilhamento,responsabilidade e conhecimento das políticas de segurança entre os funcionários e a altadireção. São direcionadas perguntas com relação à importância da política para a empresa, aspunições cabíveis em caso de infrações da mesma e o esclarecimento desta política nomomento da contração do funcionário. Foi questionado aos empregados se os mesmo tinham consciência sobre a definição edivisão do(s) responsável(eis) pela política de segurança, se existiam profissionaisespecializados na manutenção e análise crítica da política de segurança deste documento.Nesta questão, 58% por funcionários declararam positivamente. Outros 42% informaram nãoconhecer tais responsáveis (Gráfico 12).
    • 54 Definição de um responsável pela Política de Segurança Sim Não 42% 58% Gráfico 12: Definição de um responsável pela Política de Segurança Fonte: Dados da pesquisa Outro fator importante após a adoção de uma política de segurança é definir qualmedida deve ser tomada quando ocorre a violação de algum item da política de segurança.Neste momento foi questionado aos funcionários se são tomadas medidas para identificar ascausas, corrigindo as vulnerabilidades com punição para os infratores. De acordo com oGráfico 13, essa informação ficou dividida meio a meio, 50% declaram ter conhecimento dasmedidas aplicadas aos infratores, enquanto a outra metade (50%) declara não conhecer taismedidas e correções. Implementação de medidas de punição para infratores Sim Não 50% 50% Gráfico 13: Implementação de medidas de punição para infratores Fonte: Dados da pesquisa
    • 55 Os funcionários do setor de TI da Chesf também foram questionados quanto aexistência de uma declaração de comprometimento da alta direção, apoiando as metas eprincípios da segurança da informação. Como mostra no Gráfico 14, a maior parte dosfuncionários (75%) afirmam ter conhecimento sofre esse apoio e 25% discordam destaafirmação. Comprometimento da alta direção com a Política de Segurança Sim Não 25% 75% Gráfico 14: Comprometimento da alta direção com a Política de Segurança Fonte: Dados da pesquisa Outro questionamento feito aos funcionários foi com relação à existência de umabreve explanação das políticas, princípios, padrões e requisitos de conformidade sobresegurança importante para a organização. O Gráfico 15 mostra que a maioria dos funcionários(83%) afirmam existir tal explanação e 17% declaram não ter conhecimento.
    • 56 Conhecimento da importância da Política de Segurança para a organização Sim Não 17% 83% Gráfico 15: Conhecimento da importância da Política de Segurança para a organização Fonte: Dados da pesquisa Também foi perguntado aos funcionários se foram definidas responsabilidades gerais eespecíficas na gestão da segurança da informação. Neste quesito 25% informaram que nãoenquanto 75% responderam positivamente a questão, como mostra o Gráfico 16. Responsabilidades sobre a Política de Segurança Sim Não 25% 75% Gráfico 16: Responsabilidades sobre a Política de Segurança Fonte: Dados da pesquisa
    • 57 Outra pergunta feita aos empregados é se eles foram informados da existência dapolítica de segurança no momento de sua contratação. Neste ponto 58% disseram terem sidoinformados sobre a existência deste documento. Outros 42% negaram o conhecimento dapolítica de segurança quando foram admitidos na empresa (Gráfico 17). Conhecimento da Política de Segurança na contratação Sim Não 42% 58% Gráfico 17: Conhecimento da Política de Segurança na contratação Fonte: Dados da pesquisa
    • 585. Propostas a serem implementadas Diante dos resultados apresentados nesta pesquisa, foram elaboradas algumaspropostas de modificações e melhorias em cima das principais falhas e vulnerabilidadesencontradas na implementação deste documento, baseadas na norma NBR ISO/IEC 27002. Conforme o que foi repassado na entrevista, além do atraso na elaboração de umapolítica de segurança outros fatores precisam ser mais bem elaborados: 1) Local de disponibilização da Política de Segurança: Este documento deve ser afixado como ícone na área de trabalho de todos os funcionários, além dos métodos convencionais que já são utilizados pela empresa. Para aqueles funcionários que não trabalho diretamente com um computador, esse material deve ser mantido impresso com o gerente de cada setor ou divisão para que, quando o funcionário tiver algumas dúvida ou desejar consultar esse documento, possa tê-lo disponível a qualquer momento e em um local de fácil e seguro acesso. Figura 3: Modelo de Disponibilização da PS na tela do computador
    • 592) Análise do grau de efetividade da PS: Como ainda não foi formalizado um processo de análise crítica para se avaliar a efetividade da política de segurança (tipo, volume e impacto dos incidentes de segurança registrados) é proposto que seja feito uma análise periódica por um responsável para verificar os incidentes ocorridos devido a alguma violação ou desconhecimento de algum padrão estabelecido na PS e que sejam feitas rondas, principalmente no período de contratação de novos funcionários, para avaliar o grau de efetividade da PS por parte dos funcionários.3) Punições para violadores da PS: De acordo com a entrevista concedida pela analista de TI responsável pelo setor de segurança da informação da Chesf, na maior parte dos casos, são realizadas medidas educativas ao invés de punitivas quando ocorre uma violação da política de segurança. Sugere-se que as medidas propostas pela PS sejam separadas por grau de seriedade, ou seja, numa escala de 1 a 10, relacionar quais medidas, se violadas, oferecem mais riscos para a organização. Dessa forma, quando ocorrer alguma violação ou descumprimento de um ou mais itens deste documento, poderão ser aplicadas medidas punitivas (ou educativas) de acordo com grau de seriedade a ser definido pela empresa. Abaixo um exemplo de uma tabela contendo alguns itens da política de segurança e na outra coluna, o grau de seriedade correspondente a cada item. Grau de Nº Itens Itens da Política de Segurança seriedade Todo funcionário deve guardar mídias eletrônicas em local 1 2 seguro. Somente terão acesso aos recursos de tecnologia da informação 2 10 as pessoas devidamente autorizadas e cadastradas como tal. O acesso dos usuários deverá ser restrito apenas às aplicações, 3 arquivos e utilitários imprescindíveis para desempenhar suas 9 funções na organização. Tabela 1: Tabela contendo o Grau de Seriedade em uma PS4) Política de mesa e tela limpa: Também foi pontuado na pesquisa que a empresa não utiliza uma política de mesa e tela limpa entre seus usuários. Estes sempre devem estar conscientes de suas responsabilidades, particularmente no que se refere ao uso de senhas e de segurança dos equipamentos de usuários. Nesse sentido, sugere-se a adoção da “política de mesa e tela limpa” (sendo este, inclusive, um dos itens da norma ISO/IEC 27002 de Controle de Acesso), para reduzir o risco de perdas, acessos não autorizados ou
    • 60danos a documentos, papéis, mídias e recursos de processamento da informação queestejam ao alcance de qualquer um. Algumas medidas, seguindo os padrões da normaISO/IEC 17799/2005, poderiam ser tomadas (Tabela 2): Nº Itens Política de mesa e tela Limpa Computadores e terminais sejam mantidos desligados ou protegidos com mecanismo de travamento de tela e teclados controlados por senha, token ou 1 mecanismo de autenticação similar quando sem monitoração e protegidos por tecla de bloqueio, senhas ou outros controles, quando não usados; Os documentos impressos (impressões, fax ou fotocópias) devem ser 2 recolhidos logo após sua geração ou emissão, não podendo ser mantidos nos aparelhos ou proximidades. Informações do negócio sensíveis ou críticas, por exemplo, em papel ou em mídia de armazenamento eletrônicas, sejam guardadas em lugar seguro 3 (idealmente em um cofre, armário ou outras formas de mobília de segurança) quando não em uso, especialmente quando o escritório está desocupado; Pontos de entrada e saída de correspondências e máquinas de fac-símile sem 4 monitoração sejam protegidos; Documentos que contêm informação sensível ou classificada sejam 5 removidos de impressoras imediatamente. Copiadoras devem ser protegidas contra o uso não autorizado fora do horário 6 normal de trabalho. Tabela 2: Política de mesa e tela limpa5) Melhorar a compreensão da política de segurança: De acordo com os dados colhidos através dos questionários, foi identificado que a maior parte dos funcionários não compreende bem o que a política de segurança transmite. O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido. As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos
    • 61 de auditoria à segurança e estabelecem uma base para procedimentos legais na seqüência de ataques. 6) Senhas diferentes para cada ambiente de trabalho: Embora a empresa tenha mostrado grande eficiência com relação à política de senha, adotando medidas como a senha com data de expiração, inibir a repetição de caracteres já utilizados, incutir a composição de senhas com caracteres alfanuméricos dentre outras, é importante ressaltar que a utilização de uma mesma senha para diversos ambientes dentro da empresa pode ser caracterizada como um risco. Isso porque uma vez que um usuário mal intencionado descobre uma das senhas de determinado empregado, caso este utilize sempre as mesmas senhas, esse usuário facilmente terá acesso a todos os ambientes autorizados por esse funcionário. Contudo, além da conscientização que já existe para a construção de senhas “fortes” e de caráter intransferível, é fundamental incluir na política da empresa a construção de senhas diferentes para cada ambiente de trabalho o qual determindo funcionário tenha acesso autorizado. 7) Concentração da Política de Segurança e dos demais documentos que a complementam em um mesmo local: Foi verificado que a empresa além da Política de segurança possui muitos outros documentos (normas, instruções internas, etc.) que complementam essa política. A maioria desses documentos são guardados em pastas ou arquivos referentes a cada setor ou departamento da empresa. Dessa forma, uma informação que deveria estar contida na PS da empresa está em outros documentos inacessíveis para funcionários de setores diferentes. Embora seja compreensível a necessidade de cada departamento ou setor ter as suas normas a serem seguidas internamente, muitas dessas normas deveriam ser acessíveis a todos para não comprometer a segurança dos ativos da empresa por falta de conhecimento. É importante ressaltar que essas propostas sugeridas neste capítulo devem estar contidasde forma clara e compreensível na política de segurança, uma vez que esse documento, sendocolocado em um local de fácil acesso, deve conter todas as instruções necessárias para o bomdesempenho das atividades dos profissionais e, consequentemente, contribuindo para asegurança da informação na empresa.
    • 626. Considerações Finais Neste capítulo será apresentada a conclusão a cerca do trabalho apresentado bem comoas limitações e ameaças de circundaram essa pesquisa e ainda quais os trabalhos futuros quepoderão ser realizados com base no material apresentado.6.1 Conclusões A preocupação com a segurança dos ativos de uma empresa é visível e esperada emorganizações, seja de pequeno, médio ou grande porte. Adotar medidas concretas que visamgarantir essa segurança ou minimizar os incidentes são, no mínimo, ações que precisam serbem planejadas e conseqüentemente executadas por todos os funcionários. Diante do que foi analisado e proposto, pode-se afirmar que a pesquisa alcançou seuobjetivo, pois foi capaz de identificar as principais medidas adotadas pela política desegurança da empresa com relação à confidencialidade, integridade e disponibilidade dos seusativos de informação. Também foi possível analisar a percepção dos funcionários dodepartamento de TI da Chesf com relação ao entrosamento dos mesmos com o que foiproposto pelo documento, assim como o conhecimento de tais medidas e se essas estão sendopostas em prática. Levando em consideração os resultados obtidos com o questionário e com aentrevista, foi visto que ainda existem grandes falhas principalmente com relação àdisponibilidade da política de segurança para os funcionários. Embora, todos os funcionáriosquestionados afirmaram ter conhecimento desta política, boa parte não a compreende e não aconsidera acessível para todos os funcionários. Na pesquisa também ficou claro que, embora a empresa invista bastante em segurançados seus ativos (sejam eles físicos ou de informação) com softwares de controle de invasões,gerenciamento de usuários e controles de acesso, como foi relatado na entrevista, as basespara o cumprimento e sucesso dessas ementas estão nos seus próprios funcionários. Estesdemonstram ter certo conhecimento das metas estabelecidas, porém é algo que precisa sermelhorado, uma vez que os resultados indicaram diferenças mínimas entre as respostas, ouseja, pouco mais de 50% dos questionados demonstram ter plena consciência dessas metas. Em frente aos resultados obtidos, foi possível propor algumas melhorias na política desegurança da CHESF, tornando-a mais clara e compreensível para os funcionários, assim
    • 63como melhorando a forma como ela será disponibilizada e repassada para estes usuários, umavez que, sendo do entendimento de todos, torna-se mais fácil garantir a segurança de seusativos.6.2 Limitações e Ameaças Antes e durante a realização desta pesquisa algumas ameaças e limitações foramidentificadas. Com relação às limitações, foram identificadas principalmente as que estavamrelacionadas ao estudo de caso, envolvendo a entrevista e os questionários. A entrevista, poisfoi necessário aguardar a disposição do responsável pelas respostas para que a mesma pudessese concretizar. Além disso, foi preciso aguardar o prazo para que o entrevistado pudessedevolver as perguntas, uma vez que, no momento da entrevista, o mesmo pediu um tempopara poder consultar outros responsáveis e outros materiais disponíveis na empresa para geraro resultado. As mesmas limitações de tempo de resposta foram avaliadas na entrega dosquestionários. Embora os funcionários do departamento analisado tenham sido avisados queteriam 3 (três) dias para responder o questionário que estava disponibilizado on-line, algunsnão retornaram. Outro fator relacionado as limitação é que, pelo fato da amostra ser pequena, não foiobjetivo deste trabalho generalizar e instituir como verdade os resultados que obteve napesquisa, uma vez que o resultado obtido não pode ser considerado a realidade vivida por todaa empresa. No que diz respeito às ameaças, estas envolveram principalmente questões comoindisponibilidade de acesso a Internet e materiais para realização desta pesquisa. A ausência de um questionário validado para a realização desta pesquisa também foiconsiderada uma ameaça, pois o questionário utilizado foi aplicado para os funcionários umaúnica vez, não sendo realizado um estudo em cima das perguntas e repostas adquiridas paraverificar a existência ou não de questões tendenciosas.6.3 Trabalhos Futuros Para trabalhos futuros são sugeridas algumas possibilidades, tais como:
    • 64• Implementar as propostas sugeridas neste trabalho na Política de Segurança da CHESF;• Fazer uma análise na empresa após a implementação dessas melhorias e comparar com os resultados obtidos nesta pesquisa;• Realizar uma pesquisa em cima das Políticas de Segurança com um número maior de respondentes (preferencialmente com todos os setores) a fim de aumentar a cobertura e precisão dos resultados.• Ampliar os estudos sobre segurança da informação na empresa, partindo das políticas de segurança para outros aspectos relacionados, como por exemplo, a segurança física e de pessoal.
    • 657. Referências BibliográficasABNT – Associação Brasileira de Normas Técnicas. Tecnologia da Informação – Código dePrática para a Gestão da Segurança da Informação. NBR ISO/IEC 27002. Rio de Janeiro,2005.ALBERNAZ, Valéria Almeida. Introdução da British Standard – BS7799, Brasília, set.2001.ALBERTIN, Alberto Luiz. Administração de Informática. Funções e fatores críticos desucesso. São Paulo: Atlas, 1996.BARDIN, L. Análise de conteúdo. Lisboa: Edições 70, 2003.BOAVENTURA, Edivaldo M. Metodologia Científica. São Paulo: Atlas, 2004.BRASIL. Tribunal de Contas da União. Manual de Auditoria e de Processamentos.Brasília: TCU. 2000.CANO, Ismael Soares. Gerenciamento estratégico e políticas de execução - Melhoria dosprocessos. São Paulo, 2006.CERVO, Amando Luiz; BERVIAN, Pedro Alcino. Metodologia Científica. São Paulo:Makron Books, 1996.DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel,2000. 218 p.FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Rio de Janeiro: CiênciaModerna, 2003.FOINA, Paulo Rogério. Tecnologia de Informação: Planejamento e Gestão. São Paulo:Atlas, 2001.GIL, Antonio C. Métodos e técnicas de pesquisa social. 5. ed. São Paulo: Atlas, 1999.GODOY, A. S. Pesquisa qualitativa: tipos fundamentais. RAE, São Paulo, v. 35, n.3, p.20-29, 1995.GRANT, Robert M. Contemporary Strategy Analysis. Blackwell, 1998.ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice forinformation security management. 2005.MALHOTRA, Naresh K. Pesquisa de marketing: uma orientação aplicada. 3. ed. PortoAlegre: Bookman, 2001.
    • 66MARCONI, Marina de Andrade; LAKATOS, Eva Maria. Técnicas de Pesquisa:Planejamento e execução de pesquisas, amostragens e técnicas de pesquisa, elaboração,análise e interpretação de dados. 2. ed. São Paulo: Atlas, 1990.MELO, Ivo Soares. Administração de Sistemas de Informação. São Paulo: Atlas, 1999.MINAYO, M.C. de S. (Org.) Pesquisa social: teoria, método e criatividade. 22 ed. Rio deJaneiro: Vozes, 2003.MOREIRA, Nilton Stringasci. Segurança Mínima. Rio de Janeiro : Axcel Books, 2001.MORESI, Eduardo. A. D. Metodologia da pesquisa. Brasília-DF: Universidade Católica deBrasília, agosto, 2004.NET WORKING GROUP - Request for Comments 2196. Sep. 1997. Disponível em:<http://tools.ietf.org/html/rfc2196 >. Acessado em 19 de agosto de 2010.POLO, Érica. Emprego garantido - Revista Você S/A – São Paulo: Abril, 2009.SEMOLA, M. Gestão da Segurança da Informação - Uma visão executiva. Rio de Janeiro:Editora Campus, 2003.SPANCESKI, R. Francini. Política de segurança da informação – Desenvolvimento de umModelo voltado para Instituições de ensino. Joinville, 2004.VERGARA, Sylvia Constant. Métodos de pesquisa em administração. São Paulo: Atlas,2000.WADLOW, Tomas A. Segurança de Redes : Projeto e gerenciamento de redes seguras.Tradução: Fábio Freitas da Silva. Rio de Janeiro: Campus, 2000.YIN, Robert K. Estudo de caso: planejamento e métodos. 2. ed. Porto Alegre: Bookman,2001.
    • 678. Anexo I – EntrevistaPOLÍTICAS DE SEGURANÇA1. Qual o seu cargo dentro da empresa? E qual seu função relacionada às políticas desegurança?2. Existe uma política de segurança aplicada na empresa? Caso sim, desde quando ela existe?3. A política de segurança está acessível a todos os funcionários?4. Qual o meio utilizado para divulgação desta P.S.?5. Existem outros documentos, normas ou procedimentos que complementem a P. S. daempresa?6. São utilizados softwares para auxiliar no processo de formalização das políticas desegurança? Caso sim, pode ser mencionado?7. São realizados eventos, palestras para alertar os funcionários sobre segurança dainformação?8. Existe um resumo das metas relacionadas à segurança da informação?9. São realizadas atualizações periódicas na P. S.?10. Foi formalizado um processo de análise crítica para se avaliar a efetividade da política desegurança? (tipo, volume e impacto dos incidentes de segurança registrados).11. Foi definido um processo para a identificação dos agentes e causas de uma violação dapolítica de segurança?12. Quando ocorre uma violação da política de segurança, são tomadas medidas paraidentificar os agentes e causas, corrigindo as vulnerabilidades e punir os infratores?SEGURANÇA ORGANIZACIONAL13. São realizadas auditorias de sistemas? Com que freqüência?14. É utilizado de fonte especializada em segurança da informação dentro da organização?15. Os níveis de autorização estão claramente definidos e documentados?16. Existem muitos prestadores de serviços contratados dentro da organização?Obs.: Muitos prestadores podem aumentar a fragilidade da informação.17. O acesso de prestadores de serviços aos recursos de processamento da informação daorganização é controlado?18. O acesso físico e lógico é restrito por pessoas autorizadas?
    • 6819. Se existir a necessidade de acesso de prestadores de serviços aos recursos deprocessamento da informação, é feita uma avaliação de riscos, para determinar implicações econtroles necessários?20. Para entrar nos sistemas da organização é utilizado um processo seguro de entrada(logon)?PESSOAS21. As responsabilidades de segurança são repassadas no momento da contratação?22. Os usuários dos serviços de informação são instruídos a registrar e notificar quaisquerfragilidades ou ameaças, suspeitas ou ocorridas, na segurança de sistemas ou serviços?23. Ações de feedback são tomadas para ter certeza que incidentes foram tratados eencerrados?24. Funcionário que viola os políticas e procedimentos de segurança passa por um processodisciplinar?SEGURANÇA FÍSICA E DO AMBIENTE25. Aos visitantes que possuem acesso a área de segurança tem registrado a data e hora de suaentrada e saída?26. São utilizados controles de autenticação para validar qualquer acesso a informaçõessensíveis, instalações e recursos de processamento de informações?27. Qualquer tipo de processamento da informação fora da organização é autorizado peladireção?28. Os equipamentos são deixados desprotegidos em áreas públicas?29. Computadores portáteis são carregados na mão e disfarçados em viagens?30. Existe uma política de mesa e tela limpa?31. Papéis e mídias são guardados quando não está sendo feita da sua utilização?32. Computadores pessoais, terminais de computador são desligados quando não assistidos?33. Computadores pessoais, terminais de computadores possuem senha de acesso ou algumtipo de controle quando não estão em uso?GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÃO
    • 6934. Usuários são incentivados para usar senhas diferentes conforme ambiente?35. A organização possui controle para a detecção e prevenção de software malicioso?36. Os usuários estão conscientizados sobre os malefícios dos softwares maliciosos?37. Existe uma política formal exigindo conformidade com as licenças de software eproibindo o uso de software não autorizado?38. São instalados e atualizados software para detecção e remoção de vírus dos computadorese meios magnéticos?HOUSEKEEPING39. É mantido registro das atividades do pessoal de operação?40. Os meios magnéticos reutilizáveis, quando não é mais utilizado o seu conteúdo éapagado?41. É requerida a autorização para remoção de mídias das instalações da organização?42. Quando é retirada da mídia da organização, é registrada sua saída?43. As mídias são guardadas em ambiente seguro?44. Existe documentação explicando os procedimentos e os níveis de autorização paragerenciamento de mídias?
    • 709. Anexo II – QuestionárioPOLÍTICAS DE SEGURANÇA1. A direção possui uma política formal e clara de comprometimento com a segurança dainformação?2. Existe um documento atualizado que descreva a política de segurança de informações?3. A política de segurança é adequadamente divulgada para todos na organização?4. A política de segurança está acessível a todos os funcionários?5. A política de segurança é facilmente compreendida por todos os funcionários?6. Foi definido um responsável pela manutenção e análise crítica da política de segurança?7. Existe a publicação, comunicação e treinamentos sobre segurança para os funcionários,com reciclagens periódicas?8. A política contém uma definição de “política de segurança”?9. Existe um resumo das metas relacionadas à segurança da informação?10. Quando ocorre a violação de algum item da política de segurança, são tomadas medidaspara identificar as causas, corrigindo as vulnerabilidades com punição para os infratores?11. Contém a declaração de comprometimento da alta direção, apoiando as metas e princípiosda segurança da informação?12. Existe uma breve explanação das políticas, princípios, padrões e requisitos deconformidade importantes para a organização?13. Foram definidas responsabilidades gerais e específicas na gestão da segurança dainformação?14. A política de segurança faz referências a outros documentos mais detalhados que acomplemente?15. As responsabilidades de segurança são repassadas no momento da contratação?16. Há quanto tempo você trabalha na empresa?
    • 71Monografia de Graduação apresentada por Darliane Goes de Miranda do Curso deGraduação em Sistemas de Informação da Faculdade de Ciência e Tecnologia de Caruaru -Universidade de Pernambuco, sob o título “Segurança da Informação e a utilização dePolíticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado naChesf/Recife”, orientada pela Profª. Érika Carlos Medeiros e aprovada pela BancaExaminadora formada pela professora: Roberta Andrade de Araújo Fagundes. Prof. Roberta Andrade de Araújo Fagundes. Departamento de Sistemas de Informação / UPE Prof. Érika Carlos Medeiros Departamento de Sistemas de Informação / UPEVisto e permitida a impressão.Caruaru, 14 de dezembro de 2010.Prof. CÍCERO GARROZICoordenador do Curso de Bacharelado em Sistemas de Informação daFaculdade de Ciência e Tecnologia de Caruaru – Universidade de Pernambuco.