Universidade de Pernambuco
Faculdade de Ciências e Tecnologia de Caruaru
Bacharelado em Sistemas de Informação
Segurança d...
Darliane Goes de Miranda
Segurança da Informação e a utilização de Políticas de Segurança conforme
a norma ISO/IEC 27002: ...
Dedico esse trabalho a pessoa que mais me deu forças para conquistar um dos
grandes objetivos da minha vida e que segurou ...
Agradecimentos
Agradeço primeiramente aos meus pais, Elita e Ademir, por me propiciarem uma
sólida base educacional, acomp...
"A diferença entre o possível e o impossível está na vontade humana."
Louis Pasteur
Listas de Acrônimos
ABNT Associação Brasileira de Normas Técnicas
ANS Agencia Nacional de Saúde
CHESF Companhia Hidro Elét...
Lista de Figuras
Figura 1: Diversidade panorâmica das vulnerabilidades (SÊMOLA, 2003) ...................26
Figura 2: Cicl...
Lista de Tabelas
Tabela 1: Tabela contendo o Grau de Seriedade em uma PS...........................................59
Tabe...
Lista de Gráficos
Gráfico 1: Risco com relação à segurança da informação pelas empresas ......................22
Gráfico 2...
Resumo
Uma das grandes preocupações das empresas, atualmente, é garantir a segurança dos
seus ativos ou, quando isso não é...
Abstract
A major concern for companies today is to ensure the safety of its assets, or when it is
not possible, at least m...
Sumário
1. INTRODUÇÃO .......................................................................................................
3.1.2 Quanto aos Meios................................................................................37
3.1.3 Quanto a Fo...
14
1. Introdução
Este capítulo tem como objetivo introduzir o tema da monografia. Para tal, apresenta
de maneira simplific...
15
de forma a aumentar a probabilidade de que somente pessoas autorizadas possam acessar,
modificar e/ou excluir as inform...
16
suas informações. O número é resultado de um estudo com 1.425 companhias consultadas
pela fabricante de software Symant...
17
• Identificar as medidas adotadas para garantir a segurança da informação dentro da
empresa;
• Identificar e conceituar...
18
homologação ocorreu pela Associação Brasileira de Normas Técnicas (ABNT) sendo
denominada como NBR ISO/IEC 17799:2005, ...
19
2. Revisão da Literatura
Nesse capítulo são descritas as referências literárias que foram estudadas para o
desenvolvime...
20
despeito da utilização de novas tecnologias como a disponibilização de aplicações na web¹,
wireless² e a integração tot...
21
Os ativos de uma empresa podem ser classificados da seguinte forma:
• Ativos de Informação: banco de dados, documentaçã...
22
uma pesquisa feita pela empresa Symantec4
mostra aumento de ataques cibernéticos contra
empresas de todo mundo. O estud...
23
2.2.1 Confidencialidade
Na perspectiva de Spanceski (2004) confidencialidade é proteger informações contra
acesso por a...
24
degradados ou se tornem indisponíveis sem autorização, assegurando ao usuário o acesso aos
dados sempre que necessário....
25
e causam fortes danos. Existem ainda diversos usuários que fazem uso de modems para
conexão com a Internet, muitas veze...
26
Ainda não é possível identificar um modelo ideal ou um pacote de segurança que pode
ser usado para resolver todos os pr...
27
2.4 Norma NBR ISO/IEC 27002
A norma NBR ISO/IEC 27002 - Código de Prática para a Gestão de Segurança da
Informação - te...
28
devidamente protegidos, devem ser primeiramente identificados e levantados, com
proprietários também identificados e de...
29
Os equipamentos também devem ser protegidos contra ameaças físicas e ambientais,
incluindo aqueles utilizados fora do l...
30
2.4.6 Controle de Acesso
O acesso à informação, aos recursos de processamento das informações e aos
processos de negóci...
31
2.4.9 Gestão da Continuidade do Negócio
Uma organização é dependente de seus ativos, pessoal e atividades que são reali...
32
segurança da informação, as políticas, o comprometimento da direção com a política, uma
estrutura para estabelecer os o...
33
A norma ISO/IEC 27002 sugere um acompanhamento através do ciclo continuo de
aprimoramento do sistema de gestão da segur...
34
2.5.1 Tipos de Políticas
As políticas de segurança dentro de uma organização podem ser de três tipos
diferentes: Regula...
35
De acordo com esse paradigma, algumas diretrizes precisam ser consideradas a fim de
proteger o material que pode ser co...
36
interno ou externo irá averiguar se as regulamentações estão sendo atendidas dentro da
organização, isto é, se as medid...
37
3. Metodologia da Pesquisa
Para cada pesquisa cientifica são utilizados conhecimentos, métodos, técnicas e outros
proce...
38
contexto não são claramente definidos; quando há mais variáveis de interesse do que pontos
de dados; quando se baseia e...
39
pessoas de uma determinada população compartilham uma característica ou um grupo de
características (LAKATOS, 1991). Es...
40
com o profissional de TI responsável pela segurança da informação, sobre o objeto de estudo
que poderiam não ser obtida...
41
4. Estudo de Caso
4.1 Companhia Hidro Elétrica do São Francisco - CHESF
A Companhia Hidro Elétrica do São Francisco (CH...
42
analista de sistemas da Divisão de Projetos de Infraestrutura de TI e Segurança da
Informação, responsável por passar a...
43
4.2.1.1 Seção 1 – Questões sobre a política de segurança
Buscou-se com essas perguntas obter maiores informações sobre ...
44
4.2.1.2 Seção 2 – Questões sobre segurança organizacional e controle de
acesso
Nesta seção o objetivo é obter maiores i...
45
De acordo com a entrevistada, quando ocorrem incidentes de segurança da
informação, ações de feedback são tomadas e cas...
46
4.2.1.6 Seção 6 – Questões sobre Housekeeping
Nesta última seção procurou-se verificar a existências de algumas medidas...
47
Tempo de vínculo empregatício com a empresa
17%
75%
8%
Menos que 5 anos 5 a 15 anos Mais de 15 anos
Gráfico 2: Tempo de...
48
Pelo Gráfico 4 podemos perceber que a maioria dos funcionários (83%) consideram a
política de segurança formal, definin...
49
Outro fator importante para a organização e manter a política de segurança acessível
aos funcionários. Disponibilizar e...
50
Compreensão da Política de Segurança pelos funcionários
36%
64%
Sim Não
Gráfico 7: Compreensão da Política de Segurança...
51
Publicação, comunicação e treinamento sobre a Política de Segurança para os
funcionários
58%
42%
Sim Não
Gráfico 8: Pub...
52
Nesse quesito foi avaliado a existência de um resumo das metas relacionadas a
segurança da informação, ou seja, se no d...
53
Outros documentos que complementam a Política de Segurança
75%
25%
Sim Não
Gráfico 11: Outros documentos que complement...
54
Definição de um responsável pela Política de Segurança
58%
42%
Sim Não
Gráfico 12: Definição de um responsável pela Pol...
55
Os funcionários do setor de TI da Chesf também foram questionados quanto a
existência de uma declaração de comprometime...
56
Conhecimento da importância da Política de Segurança para a organização
83%
17%
Sim Não
Gráfico 15: Conhecimento da imp...
57
Outra pergunta feita aos empregados é se eles foram informados da existência da
política de segurança no momento de sua...
58
5. Propostas a serem implementadas
Diante dos resultados apresentados nesta pesquisa, foram elaboradas algumas
proposta...
59
2) Análise do grau de efetividade da PS: Como ainda não foi formalizado um processo
de análise crítica para se avaliar ...
60
danos a documentos, papéis, mídias e recursos de processamento da informação que
estejam ao alcance de qualquer um. Alg...
Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado ...
Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado ...
Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado ...
Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado ...
Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado ...
Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado ...
Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado ...
Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado ...
Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado ...
Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado ...
Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado ...
Upcoming SlideShare
Loading in …5
×

Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado na Chesf/Recife.

7,468 views

Published on

1 Comment
3 Likes
Statistics
Notes
No Downloads
Views
Total views
7,468
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
270
Comments
1
Likes
3
Embeds 0
No embeds

No notes for slide

Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado na Chesf/Recife.

  1. 1. Universidade de Pernambuco Faculdade de Ciências e Tecnologia de Caruaru Bacharelado em Sistemas de Informação Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado na Chesf/Recife. Darliane Goes de Miranda Orientadora: Érika Carlos Medeiros Caruaru, 2010
  2. 2. Darliane Goes de Miranda Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado na Chesf/Recife. Monografia apresentada como requisito parcial para obtenção do diploma de Bacharel em Sistemas de Informação pela Faculdade de Ciência e Tecnologia de Caruaru – Universidade de Pernambuco. Caruaru – PE 2010
  3. 3. Dedico esse trabalho a pessoa que mais me deu forças para conquistar um dos grandes objetivos da minha vida e que segurou minha mão em todos os momentos, minha mãe, Maria Elita Goes.
  4. 4. Agradecimentos Agradeço primeiramente aos meus pais, Elita e Ademir, por me propiciarem uma sólida base educacional, acompanhada de muito incentivo e amor. As minhas irmãs e amigas, Patricia e Katiane, por estarem sempre ao meu lado, dando força em todos os momentos, auxiliando nos trabalhos e contribuindo para meu crescimento pessoal. Agradeço também a Maxwell Queiroz pelo companheirismo, afeto e pela compreensão oferecida principalmente nos momentos finais da minha graduação. Aos meus amigos de jornada, Ariane, Danilo, Rita, Elifas e Manoel, e vários outros colegas de curso que me ajudaram nessa longa caminhada proporcionando grandes experiências e momentos de descontração. A professora Érika Medeiros, pelo auxilio do desenvolvimento deste trabalho e aos professores da Universidade de Pernambuco pelo conhecimento transmitido. Em último, porém não menos importante, a Deus, pois sem ele nada disso seria possível.
  5. 5. "A diferença entre o possível e o impossível está na vontade humana." Louis Pasteur
  6. 6. Listas de Acrônimos ABNT Associação Brasileira de Normas Técnicas ANS Agencia Nacional de Saúde CHESF Companhia Hidro Elétrica do São Francisco COBIT Control Objectives for Information and related Technology COSO Committee of Sponsoring Organizations of the Treadway Commission CVM Comissão de Valores Mobiliários IEC International Electrotechnical Commission ISO International Organization for Standardization ITIL Information Technology Infrastructure Library NBR Norma Brasileira PS Política de Segurança SI Sistemas de Informação SUSEP Superintendência de Seguros Privados TCP/IP Transmission Control Protocol / Internet Protocol TCU Tribunal de Contas da União TI Tecnologia da Informação USD United States Dollar WWW World Wide Web
  7. 7. Lista de Figuras Figura 1: Diversidade panorâmica das vulnerabilidades (SÊMOLA, 2003) ...................26 Figura 2: Ciclo PDCA (CANO, 2006) ............................................................................33 Figura 3: Modelo de Disponibilização da PS na tela do computador..............................58
  8. 8. Lista de Tabelas Tabela 1: Tabela contendo o Grau de Seriedade em uma PS...........................................59 Tabela 2: Política de mesa e tela limpa ............................................................................60
  9. 9. Lista de Gráficos Gráfico 1: Risco com relação à segurança da informação pelas empresas ......................22 Gráfico 2: Tempo de vínculo empregatício com a empresa.............................................47 Gráfico 2: Conhecimento da existência de uma política de segurança na empresa.........47 Gráfico 4: Clareza e formalidade de comprometimento com a Política de Segurança....48 Gráfico 5: Divulgação da Política na Organização ..........................................................48 Gráfico 6: Disponibilidade da Política de Segurança para os funcionários .....................49 Gráfico 7: Compreensão da Política de Segurança pelos funcionários............................50 Gráfico 8: Publicação, comunicação e treinamento sobre a Política de Segurança para os funcionários...........................................................................................................51 Gráfico 9: A existência da definição de “Política de Segurança” ....................................51 Gráfico 10: Resumo das metas relacionadas às Políticas de Segurança ..........................52 Gráfico 11: Outros documentos que complementam a Política de Segurança.................53 Gráfico 12: Definição de um responsável pela Política de Segurança.............................54 Gráfico 13: Implementação de medidas de punição para infratores ................................54 Gráfico 14: Comprometimento da alta direção com a Política de Segurança..................55 Gráfico 15: Conhecimento da importância da Política de Segurança para a organização56 Gráfico 16: Responsabilidades sobre a Política de Segurança.........................................56 Gráfico 17: Conhecimento da Política de Segurança na contratação...............................57
  10. 10. Resumo Uma das grandes preocupações das empresas, atualmente, é garantir a segurança dos seus ativos ou, quando isso não é possível, ao menos mitigar os riscos e ameaças envolvidas. Com isso, essa pesquisa tem como objetivo analisar e avaliar a utilização de um dos mecanismos envolvendo a segurança da informação, segundo a norma NBR ISO/IEC 27002, a política de segurança. Para alcançar tal objetivo, foi realizado um estudo de caso em uma grande empresa situada na cidade de Recife/PE, a CHESF. Nesta empresa, foi realizada uma entrevista e aplicados questionários aos funcionários do departamento de Tecnologia da Informação da empresa, com o intuito de analisar o nível de entrosamento destes com a política de segurança adotada pela companhia, seguindo os padrões estabelecidos pela norma NBR ISO/IEC 27002 de Prática para a Gestão de Segurança da Informação. Observou-se a importância da descrição desse documento para os funcionários, uma vez que a partir desses dados os mesmos poderão ter conhecimento do que é importante e o que deve ser guardado pela empresa. Com base nesse estudo foi possível propor melhorias na implementação deste documento, principalmente relacionadas à percepção dos funcionários. Palavras-chave: Segurança da Informação. Políticas de Segurança. Ativos de Informação. Padrões de Segurança. CHESF.
  11. 11. Abstract A major concern for companies today is to ensure the safety of its assets, or when it is not possible, at least mitigate the risks and threats involved. Thus, this research aims to analyze and evaluate the use of one of the mechanisms involving information security, according to standard ISO / IEC 27002, the security policy. To achieve this, we performed a case study in a large company located in the city of Recife, CHESF. In this company, an interview was conducted and completed questionnaires to employees of the Department of Information Technology company, with the aim of analyzing the level of rapport with the security policy adopted by the company, following the standards set by the standard ISO / IEC 27002 Practice for the Management of Information Security. We observed the importance of the description of this document for employees, since from these data they may have knowledge of what is important and what should be kept by the company. Based on this study it was possible to propose improvements in the implementation of this document, mainly related to the perception of employees. Keywords: Information Security. Security Policy. Information Asset. Safety Standards. CHESF.
  12. 12. Sumário 1. INTRODUÇÃO ..........................................................................................................14 1.1 Tema e Definição da Situação Problema.........................................................14 1.2 Objetivos..........................................................................................................16 1.2.1 Objetivo Geral.....................................................................................16 1.2.2 Objetivos Específicos..........................................................................17 1.3 Justificativa......................................................................................................17 2. REVISÃO DA LITERATURA ..................................................................................19 2.1 Ativos e o Valor da Informação.......................................................................19 2.2 Segurança da Informação ................................................................................21 2.2.1 Confidencialidade................................................................................23 2.2.2 Integridade...........................................................................................23 2.2.3 Disponibilidade ...................................................................................23 2.3 Ameaças à segurança e Vulnerabilidades........................................................24 2.4 Norma NBR ISO/IEC 27002 ..........................................................................27 2.4.1 Organização da Segurança da Informação..........................................27 2.4.2 Gestão de Ativos .................................................................................27 2.4.3 Segurança em Recursos Humanos ......................................................28 2.4.4 Segurança Física e do Ambiente.........................................................28 2.4.5 Gerenciamento de Operações e Comunicações ..................................29 2.4.6 Controle de Acesso..............................................................................30 2.4.7 Aquisição, Desenvolvimento e Manutenção de Sistemas...................30 2.4.8 Gestão de Incidentes de Segurança da Informação.............................30 2.4.9 Gestão de Continuidade dos Negócios................................................31 2.4.10 Conformidade....................................................................................31 2.5 Políticas de Segurança.....................................................................................31 2.5.1 Tipos de Políticas ................................................................................34 2.6 Legislações e Regulamentações conforme norma ISO/IEC 27002.................34 2.7 Processos de Auditoria ....................................................................................35 3. METODOLOGIA DA PESQUISA............................................................................37 3.1. Natureza da Pesquisa ......................................................................................37 3.1.1 Quantos aos Fins .................................................................................37
  13. 13. 3.1.2 Quanto aos Meios................................................................................37 3.1.3 Quanto a Forma de Abordagem ..........................................................38 3.2. Instrumento de Coleta de Dados e Análise dos Resultados............................39 4. ESTUDO DE CASO....................................................................................................41 4.1. Companhia Hidro Elétrica do São Francisco - CHESF...................................41 4.2. Análise dos Dados ...........................................................................................42 4.2.1 Entrevista.............................................................................................42 4.2.1.1 Seção 1 – Questões sobre a política de segurança ...........................43 4.2.1.2 Seção 2 – Questões sobre segurança organizacional e controle de acesso...........................................................................................................44 4.2.1.3 Seção 3 – Questões sobre a segurança de pessoal...........................44 4.2.1.4 Seção 4 – Questões sobre a segurança física e do ambiente ............45 4.2.1.5 Seção 5 – Questões relacionadas ao gerenciamento das operações e comunicações...............................................................................................45 4.2.1.6 Seção 6 – Questões sobre Housekeeping .........................................46 4.2.2 Questionários.......................................................................................46 4.2.2.1 Seção 1 – Questionamentos com relação ao tempo que o funcionário trabalha na empresa......................................................................................46 4.2.2.2 Seção 2 – Questionamentos referentes ao entrosamento dos funcionários com as políticas de segurança adotadas pela empresa .................................47 4.2.2.3 Seção 3 – Questionamentos relacionados à estrutura, organização de aplicação da política de segurança ...............................................................50 4.2.2.4 Seção 4 – Questionamentos referentes à relação entre a alta direção, os funcionários e as políticas de segurança..................................................53 5. PROPOSTAS A SEREM IMPLEMENTADAS.......................................................58 6. CONSIDERAÇÕES FINAIS......................................................................................62 6.1. Conclusões.......................................................................................................62 6.2. Limitações e Ameaças.....................................................................................63 6.3. Trabalhos Futuros............................................................................................63 7. REFERÊNCIAS BIBLIOGRÁFICAS ......................................................................65 8. ANEXO I - ENTREVISTA.........................................................................................67 9. ANEXO II - QUESTIONÁRIO..................................................................................70
  14. 14. 14 1. Introdução Este capítulo tem como objetivo introduzir o tema da monografia. Para tal, apresenta de maneira simplificada a perspectiva de assuntos que possuem relação teórica sobre segurança da informação a um problema específico, seguido dos objetivos da pesquisa e a justificativa. 1.1 Tema e Definição da Situação Problema A informação assume, atualmente, uma importância crescente. Ela torna-se fundamental ao nível da empresa na descoberta e introdução de novas tecnologias, exploração das oportunidades de investimento e ainda na planificação de toda a atividade industrial. Nos últimos anos as tecnologias de informação e comunicação têm evoluído de forma rápida, fazendo com que as organizações tenham maior eficiência e rapidez nas tomadas de decisão, devido a este fato as chances de uma empresa não usar sistemas de informação tornou-se praticamente nula. Neste cenário as organizações, seus sistemas de informações e suas redes de computadores apresentam-se diante de uma série de ameaças, sendo que, algumas vezes, estas ameaças podem resultar em prejuízos para as empresas. Neste contexto a importância de se utilizar mecanismos de segurança e de armazenamento das informações é vital para a sobrevivência e competitividade destas organizações. Havia uma época em que trabalhar com segurança da informação não era muito complexo, pois os arquivos contendo inúmeros papéis podiam ser guardados fisicamente, ou seja, a segurança era relativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso físico àquele local (DIAS, 2000). Com as mudanças tecnológicas e a difusão do uso dos computadores e da Internet por todas as áreas da empresa, essa simplicidade nos procedimentos de segurança deixou de existir. A complexidade aumentou não só em função do número de pessoas que têm acesso às informações quanto das diferentes formas através das quais essas informações podem ser acessadas. Os dispositivos portáteis facilitam a transação desses dados em formato digital, tornando os ativos da empresa mais atrativos para pessoas mal intencionadas. Com isso, além da segurança física (prevenção contra incêndios, alagamentos, problemas elétricos, poeira, fraudes, controle de acesso, uso inadequado dos sistemas, engenharia social, guerras, seqüestros, etc.) surge à necessidade de se criar controles lógicos,
  15. 15. 15 de forma a aumentar a probabilidade de que somente pessoas autorizadas possam acessar, modificar e/ou excluir as informações armazenadas em meio digital. Segundo Albernaz (2001), a informação é um recurso vital em todas as organizações, tendo influência em muitos aspectos do negócio e da própria sobrevivência da organização. Assim, observa-se que a informação é um ativo importante das organizações e que sua segurança é essencial tanto para o retorno dos investimentos quanto para a continuidade dos negócios. Neste cenário o conceito de Segurança de Informação torna-se cada vez mais forte e evidente. A Segurança da Informação é garantir que as informações (seja em mídias eletrônicas, papel e até mesmo em conversações pessoais ou por telefone) estejam protegidas contra o acesso por pessoas não autorizadas (confidencialidade), estejam sempre disponíveis quando necessárias, e que sejam confiáveis (não tenham sido corrompidas ou adulteradas por atos de pessoas mal intencionadas). Para que haja segurança das informações primeiramente deve ser feita uma análise de risco que identifique todos os riscos (vulnerabilidades + ameaças) que ameacem as informações, considerando três categorias básicas: riscos administrativos, físicos e tecnológicos. Com isso, para se implantar uma eficaz segurança da informação dentro de uma organização é necessário atentar para algumas questões como uma boa análise de riscos, a definição de uma política de segurança e um plano de contingência. A política de segurança pode trazer ao ambiente de uma instituição, regras e procedimentos que devem ser seguidos para a garantia da segurança da informação. De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização. Elas devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques. Por fim, caso a organização sofra algum ataque aos seus ativos, é importante que a mesma possua um plano de contingência para fornecer procedimentos e capacidades necessárias para a recuperação de uma aplicação específica ou sistemas complexos. De acordo com uma pesquisa feita em agosto de 2009 pela revista Você S/A, uma em cada três pequenas e médias empresas da América Latina já enfrentou falhas de segurança de
  16. 16. 16 suas informações. O número é resultado de um estudo com 1.425 companhias consultadas pela fabricante de software Symantec. Entre as consultadas, 45% afirmaram que planejam manter investimentos e outras 42% disseram ter a intenção de aumentar aportes em tecnologia este ano, para evitar problemas com a segurança de suas informações. Isso retrata que as empresas estão cada vez mais em busca de segurança para seus ativos e que, para isso é necessário um trabalho árduo e eficaz na implementação de métodos capazes de garantir tal necessidade. A segurança da informação é uma proposta que deve ser estudada e analisada com profundidade antes de ser implementada, pois não se trata apenas de ações isoladas ou controles de relatórios, é necessário implantar uma boa política de segurança capaz de garantir a heterogeneidade das ações e o pleno funcionamento desta. Esse trabalho tem o intuito de identificar os principais métodos adotados por uma empresa de grande porte na cidade de Recife a fim de analisar se os mesmos são capazes de garantir a segurança da informação dentro da empresa, mas precisamente no setor de TI. Com essa análise é possível verificar o comportamento desta empresa com relação ao uso de políticas de segurança e os métodos de controle da segurança da informação para garantir a confidencialidade, integridade e disponibilidade de seus ativos. 1.2 Objetivos 1.2.1 Objetivo Geral O Objetivo Geral deste trabalho é identificar e avaliar as principais medidas da política de segurança adotada pela Companhia Hidro Elétrica do São Francisco e verificar se as mesmas podem garantir a confiabilidade, integridade e disponibilidade de seus ativos, considerando as medidas utilizadas e a percepção dos funcionários com relação à política adotada. 1.2.2 Objetivos Específicos Para alcançar o objetivo geral desta pesquisa foi estabelecida uma série de objetivos específicos, que são:
  17. 17. 17 • Identificar as medidas adotadas para garantir a segurança da informação dentro da empresa; • Identificar e conceituar métodos para avaliação de Segurança da Informação conforme a norma ISO/IEC 27002; • Analisar as políticas de segurança adotadas com relação à confiabilidade, integridade e disponibilidade da informação; • Verificar o nível de capacitação e entrosamento dos funcionários do setor de TI com a política de segurança da empresa; • Definir possíveis recomendações e propostas de implementações futuras para garantir um nível maior de segurança da informação dentro da empresa. 1.3 Justificativa Com o crescimento e avanço da Tecnologia da Informação (TI) as empresas passaram a perceber a importância de investir em tecnologia a fim de alavancar seus lucros e garantir o destaque no mercado competitivo. As empresas hoje estão inseridas em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, independente do seu formato, é um dos maiores patrimônios de uma organização moderna, sendo vital para quaisquer níveis hierárquicos e dentro de qualquer instituição que deseja manter-se competitiva no mercado. Considerada um ativo importantíssimo para a realização do negócio a informação deve ser protegida e gerenciada. Neste sentido, desde a década de 80 vêm sendo criadas normas para segurança da informação. Por exemplo, em 1987 o Department Of Trade Centre (UK DTI) criou o Comercial Computer Security Centre (CCSC) o qual possuía dois objetivos principais: 1. Auxiliar companhias britânicas que comercializavam produtos para segurança de tecnologia da informação através da criação de critérios para avaliação da segurança; e 2. A criação de um código de segurança para os usuários das informações. Em 1989 foi publicada a primeira versão do código de segurança denominado PD0003- Código para Gerenciamento da Segurança da Informação. Em 1995 esse código foi revisado e publicado como uma norma britânica, a BS7799:1995. Essa norma foi revisada e alterada mais algumas vezes até que em 1º de dezembro de 2000 foi homologada pela International Standartization Organization (ISO) como ISO/IEC 17799:2000. No Brasil sua
  18. 18. 18 homologação ocorreu pela Associação Brasileira de Normas Técnicas (ABNT) sendo denominada como NBR ISO/IEC 17799:2005, atualmente norma ISO 27002. Neste contexto, o presente trabalho justifica-se por enfatizar a utilização de políticas de segurança e a sua relevância dentro de um ambiente corporativo. Garantir a segurança dos ativos da empresa e definir métodos eficazes para alcançar tais objetivos são papéis importantes que devem ser seguidos pelas corporações de pequeno, grande e médio porte. Além de sua importância para o mercado, o estudo sobre segurança da informação e suas políticas, centradas nesta pesquisa em uma empresa de grande porte, também são de grande relevância para o meio acadêmico uma vez que este trabalho destaca pontos importantes a respeito das tecnologias e segurança da informação, pois é possível identificar e analisar os conceitos e características das políticas de segurança a fim de aprimorar os estudos na área e enriquecer seu conteúdo teórico.
  19. 19. 19 2. Revisão da Literatura Nesse capítulo são descritas as referências literárias que foram estudadas para o desenvolvimento dessa pesquisa, assim foram direcionadas a análise do tema e aos objetivos. A seção 2.1 aborda os assuntos a cerca dos ativos da empresa e do valor da informação dentro das organizações. A seção 2.2 traz o conceito de segurança da informação e discorre a respeito das suas principais características e importância para as empresas. Na próxima seção serão esclarecidas questões relacionadas a ameaças a segurança e vulnerabilidade. Na seção 2.4 serão expostos os fundamentos da segurança da informação com base na NBR ISO/IEC 27002, mais especificamente voltado para as medidas organizacionais estabelecidas na empresa. A seção seguinte aborda o conceito de políticas de segurança com maior profundidade, esclarecendo desde seu processo de implementação a tipos de políticas que podem ser implantadas nas organizações. A seção 2.6 permite um esclarecimento a respeito das legislações e regulamentação que regem a segurança da informação, bem como aspectos de conformidade dessas medidas, direitos de propriedade intelectual e proteção dos dados. O capítulo finaliza com a seção 2.7 que trata a respeito dos processos de auditoria voltados à avaliação dos procedimentos de controle e segurança vinculados ao processamento das informações. 2.1 Ativos e o valor da informação A Informação é o resultado do processamento, manipulação e organização de dados, de tal forma que represente uma modificação (quantitativa ou qualitativa) no conhecimento do sistema (pessoa, animal ou máquina) que a recebe. Informação enquanto conceito carrega uma diversidade de significados, do uso cotidiano ao técnico. Genericamente, o conceito de informação está intimamente ligado às noções de restrição, comunicação, controle, dados, forma, instrução, conhecimento, significado, estímulo, padrão, percepção e representação de conhecimento. Inseridas em um cenário cada vez mais digital, integrado, complexo e dinâmico, as instituições, públicas e privadas, têm ampliado suas percepções a respeito do valor e da necessidade de segurança de suas informações. Garantir a integridade de seus processos, a
  20. 20. 20 despeito da utilização de novas tecnologias como a disponibilização de aplicações na web¹, wireless² e a integração total de seus negócios, tornou-se requisito essencial. Desta forma Melo (1999) comenta que, cabe um destaque aos administradores, profissionais das áreas administrativo-financeiras e contábeis das empresas, pois os mesmos são os responsáveis pela passagem de processamento manual para processamento eletrônico de dados, nas empresas. Segundo Albertin (1996, p. 17): a informática é “a ciência do tratamento racional e automático da informação, considerada esta como suporte dos conhecimentos e comunicações”, a informação é“... o conhecimento amplo e bem fundamentado, resultante da análise e combinação de vários informes, ou, ainda, coleção de fatos ou de outros dados fornecidos a máquina, a fim de objetivar um processamento...”. As informações se tornaram importantes nos meios organizacionais e no mundo globalizado, sendo aproveitadas pelas empresas como elemento de adesão na tomada de decisão e no planejamento estratégico voltado as várias áreas, desta forma Foina (2001, p. 17) comenta que: As empresas relacionam-se entre si e com o mundo externo por meio de trocas de informações, insumos e produtos em geral. Assim, podemos perceber a importância da informação para uma operação bem-sucedida nas empresas. Num mundo globalizado e altamente informatizado, a informação é um dos produtos mais valiosos para a gestão da empresa. A informação certa, no formato adequado e na hora certa pode mostrar oportunidades de negócios que levam os executivos a tomarem decisões importantes para o sucesso do negócio. Neste contexto, é possível identificar a informação como um ativo importante dentro da empresa que deve ser trabalhada com afinco para a obtenção de resultados satisfatórios. O termo “ativo” representa os bens³ e direitos que a empresa tem num determinado momento, resultante de suas transações ou eventos passados das quais futuros benefícios econômicos podem ser obtidos. É tudo aquilo que está envolvido diretamente com o processo de manipulação da informação, isso incluindo a própria informação, ou seja, são os processos, as pessoas e a tecnologia. ____________________________ 1 A World Wide Web (também chamada Web ou WWW) é, em termos gerais, a interface gráfica da Internet. Ela é um sistema de informações organizado de maneira a englobar todos os outros sistemas de informação disponíveis na Internet. (Fonte: http://www.icmc.usp.br/ensino/material/html/www.html) ² Também conhecida como rede sem fio, significa um sistema de antenas interligadas entre si, que transmitem informações via ondas de rádio. (Fontes: http://sisnema.com.br/Materias/idmat002959.htm) ³ Itens de propriedade da entidade que possuem valores.
  21. 21. 21 Os ativos de uma empresa podem ser classificados da seguinte forma: • Ativos de Informação: banco de dados, documentação de sistemas, plano de continuidade, material de treinamento, informações arquivadas, etc. • Ativos de Software: aplicações, sistemas operacionais, ferramentas de desenvolvimento e utilitários. • Ativos Físicos: computadores, equipamentos de comunicação (roteadores, switches), mídias magnéticas, acomodações, etc. • Serviços: computação e serviços de comunicação, utilidades gerais como eletricidade, ar-condicionado, etc. Nesta pesquisa, o foco será em analisar os ativos de informação, ou seja, aqueles ativos que basicamente suportam os negócios da empresa, pois, uma vez perdidos ou danificados sua recuperação por muitas vezes pode ser lenta, custosa ou, em alguns casos, irrecuperável. 2.2 Segurança da Informação Conceitualmente a segurança pode ser definida como a proteção de informações, sistemas, recursos e serviços contra desastres, erro e manipulação não autorizada, de forma a reduzir a probabilidade e o impacto de incidentes de segurança (DIAS, 2000). A segurança da informação deve ser implantada em todas as áreas da organização, pois são encontradas em diversos meios como: impresso ou escrito, armazenado eletronicamente, enviado pelo correio ou através de meios eletrônicos. Dias (2000) também afirma que quando existe o pensamento da segurança de informação, imagina-se a proteção das informações, não importando onde estejam. A expectativa de todo usuário é que a informação esteja disponível no computador, sem que pessoas não autorizadas tenham tido qualquer acesso a seu conteúdo. Segundo a ABNT (2005), segurança da informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio. A preocupação das empresas em garantir a segurança da informação, principalmente após o advento das tecnologias da informação, possui justificativas concretas. Em 2010, em
  22. 22. 22 uma pesquisa feita pela empresa Symantec4 mostra aumento de ataques cibernéticos contra empresas de todo mundo. O estudo descobriu que só na América Latina 42% das organizações classificam a segurança como seu problema principal (Gráfico 1). A empresa também afirma que 75% das organizações sofreram ataques cibernéticos nos últimos 12 meses. Esses ataques custam às empresas uma média de USD 2 milhões por ano. Por último, as organizações revelaram que a segurança empresarial está se tornando mais difícil devido à falta de pessoal e as novas iniciativas de TI que intensificam os problemas de segurança e os problemas de compatibilidade de TI. Gráfico 1: Riscos com relação à segurança da informação pelas empresas (Symantec Corp.). Para orientar a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger, verificou-se três requisitos básicos para garantir a segurança da informação: Confidencialidade, Integridade e Disponibilidade. A também chamada tríade C-I-A (Confidentiality, Integrity and Availability) está relacionada não só a segurança restrita a sistemas computacionais, sistemas de armazenamento ou informações eletrônicas. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si. ____________________________ 4 Empresa conhecida mundialmente por fornecer soluções de segurança, armazenamento e gerenciamento de sistemas.
  23. 23. 23 2.2.1 Confidencialidade Na perspectiva de Spanceski (2004) confidencialidade é proteger informações contra acesso por alguém não autorizado - interna ou externamente. Consiste em proteger a informação contra leitura e/ou cópia por alguém que não tenha sido explicitamente autorizado pelo proprietário daquela informação. Ainda referindo ao mesmo autor a informação deve ser protegida qualquer que seja a mídia que a contenha, como por exemplo, mídia impressa ou mídia digital. O objetivo da confidencialidade é proteger informação privada (SPANCESKI, 2004). 2.2.2 Integridade Trata-se da propriedade que garante que a informação que está sendo manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, evitando que dados sejam apagados ou de alguma forma alterados, sem a permissão do proprietário, incluindo controle de mudanças e a garantia do seu ciclo de vida da informação (nascimento, manutenção e destruição). A integridade de dados também é um pré-requisito para outros princípios da segurança, uma vez que seu principal objetivo é salvaguardar a veracidade e complementariedade da informação bem como os seus métodos de processamento. Por exemplo, se a integridade de um sistema de controle a um determinado sistema operacional pode ser invadida, então a confidencialidade de seus arquivos pode ser igualmente violada. 2.2.3 Disponibilidade Assim como as propriedades apresentadas anteriormente para garantir a segurança da informação em uma organização, a disponibilidade dessas informações também possui papel fundamental uma vez que ter as informações acessíveis e prontas para uso representa um objetivo crítico para muitas empresas. A disponibilidade consiste em garantir que a informação esteja sempre disponível para uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação. Consiste ainda na proteção dos serviços prestados pelo sistema de forma que eles não sejam
  24. 24. 24 degradados ou se tornem indisponíveis sem autorização, assegurando ao usuário o acesso aos dados sempre que necessário. Um dos principais objetivos da segurança da informação é garantir a manutenção dos acessos às informações que estão sendo disponibilizadas. Um sistema que esteja indisponível no momento que o usuário autorizado necessitar de alguma informação pode resultar danos tão graves quanto a perda ou remoção dessa mesma informação no sistema. Violar a disponibilidade significa realizar ações que tem como objetivo a negação de acesso a um sistema, informação ou serviço, por exemplo, não permitir o acesso de um usuário autorizado a um servidor de banco de dados garante a indisponibilidade da informação que está sendo requisitada ou manipulada. 2.3 Ameaças à Segurança e Vulnerabilidades As ameaças ligadas à segurança da informação são relacionadas diretamente com a perda de uma de suas 03 (três) características principais descritas anteriormente, que são: • Perda de Confidencialidade: Quando há uma quebra de sigilo de uma determinada informação permitindo com que as informações confidenciais sejam expostas, as quais seriam acessíveis apenas por um determinado grupo de usuários. • Perda de Integridade: Acontece quando uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário da informação. • Perda de Disponibilidade: Ocorre quando a informação deixa de estar acessível no momento que é requisitada, seja por fatores internos, externos ou por falha de algum equipamento. Com o advento da Internet5 e das redes de computadores as ameaças a sistemas e as informações, tornou-se alvo de grandes ataques. No caso de ameaças à rede de computadores ou a um sistema, estas podem vir na forma de softwares maliciosos desenvolvidos pelos chamados crackers6, que tem como principal objetivo prejudicar de forma economia, social ou financeira uma organização. Os vírus hoje preocupam bastante, pois circulam rapidamente ____________________________ 5 Conglomerado de redes em escala mundial de milhões de computadores interligados pelo protocolo TCP/IP que permite o acesso a informações e todo tipo de transferência de dados. 6 Termo usado para designar quem pratica a quebra (ou cracking) de um sistema de segurança, de forma ilegal ou sem ética.
  25. 25. 25 e causam fortes danos. Existem ainda diversos usuários que fazem uso de modems para conexão com a Internet, muitas vezes contornando os controles e proteções da rede ou de um firewall7 corporativo. Nesta perspectiva, é possível verificar que as ameaças com relação à segurança da informação dentro das organizações são iminentes. Mas para que haja tais ameaças, a empresa deve se preocupar com outro ponto crítico relacionado a essa segurança, a vulnerabilidade. Vulnerabilidades são fragilidades ou deficiências presentes ou associadas a componentes envolvidos nas etapas do ciclo de vida da informação. Moreira (2001, p.22) afirma que: A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque, ou seja, é uma condição encontrada em determinados recursos, processos, configurações, etc. Condição causada muitas vezes pela ausência ou ineficiência das medidas de proteção utilizadas de salvaguardar os bens da empresa. (Moreira, 2001, p.22) Uma vulnerabilidade pode partir das próprias medidas de segurança implantada na organização, se existir estas medidas, porém configuradas de maneira incorreta, então a empresa possuirá uma vulnerabilidade e não uma medida de segurança. O surgimento das vulnerabilidades pode ter diversas causas. Cada empresa, cada ambiente pode possuir diversas vulnerabilidades e cada vulnerabilidade pode estar em diversos ambientes. (MOREIRA, 2001, p25) Segundo Sêmola (2003), essas vulnerabilidades estão ligadas também a diversos outros fatores, podendo ser de origem humana, física, natural, por software, hardware entre outras (Figura 1). Os danos e perdas causados por um incidente de segurança acontecem em decorrência de medidas mal implementadas ou mal utilizadas que possibilitam pontos vulneráveis. Algumas medidas de segurança podem ser adequadas para determinada situação e inadequada para outras. Deve-se buscar a melhor relação custo/benefício para garantia da segurança da informação. As vulnerabilidades irão diminuir a partir do momento que medidas adequadas de segurança sejam implantadas. ____________________________ 7 Dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede impedindo a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra.
  26. 26. 26 Ainda não é possível identificar um modelo ideal ou um pacote de segurança que pode ser usado para resolver todos os problemas de segurança da informação de uma empresa. Porém, a implementação das normas da ISO/IEC voltadas para a segurança da informação tem como um dos objetivos principais administrar essas vulnerabilidades através de controles que vão desde a segurança física dos dados quanto ao controle lógico e de pessoal dessas informações. Figura 1: Diversidade panorâmica das vulnerabilidades (SÊMOLA, 2003).
  27. 27. 27 2.4 Norma NBR ISO/IEC 27002 A norma NBR ISO/IEC 27002 - Código de Prática para a Gestão de Segurança da Informação - tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Anteriormente esta norma era conhecida como NBR ISO/IEC 17799, mas a partir de 2007 a nova edição da ISO/IEC 17799 foi incorporada ao novo esquema de numeração como ISO/IEC 27002. A parte principal da norma se encontra distribuída em 11 seções, que correspondem a controles de segurança da informação, conforme apresentado a seguir: Políticas de Segurança da Informação, Organização da Segurança da Informação; Gestão de Ativos; Segurança em Recursos Humanos; Segurança Física e do Ambiente; Gerenciamento das Operações e Comunicações; Controle de Acesso; Aquisição, Desenvolvimento e Manutenção de Sistemas; Gestão de Incidentes se Segurança da Informação; Gestão da Continuidade dos Negócios e Conformidade. As Políticas de Segurança serão abordadas com maior profundidade na próxima subseção deste capítulo, pois está diretamente relacionada com o objetivo geral desta pesquisa. 2.4.1 Organização da Segurança da Informação Para implementar a Segurança da Informação em uma organização, é necessária que seja estabelecida uma estrutura para gerenciá-la. Para isso, as atividades de segurança da informação devem ser coordenadas por representantes de diversas partes da organização, com funções e papéis relevantes. Todas as responsabilidades pela segurança da informação também devem estar claramente definidas. É importante ainda que sejam estabelecidos acordos de confidencialidade para proteger as informações de caráter sigiloso, bem como as informações que são acessadas, comunicadas, processadas ou gerenciadas por partes externas, tais como terceiros e clientes. 2.4.2 Gestão de Ativos Ativo, de acordo com a norma, é qualquer coisa que tenha valor para a organização. Gestão de Ativos, portanto, significa proteger e manter esses ativos. Para que eles sejam
  28. 28. 28 devidamente protegidos, devem ser primeiramente identificados e levantados, com proprietários também identificados e designados, de tal forma que um inventário de ativos possa ser estruturado e posteriormente mantido. As informações e os ativos ainda devem ser classificados, conforme o nível de proteção recomendado para cada um deles, e seguir regras documentadas, que definem qual o tipo de uso é permitido fazer com esses ativos. 2.4.3 Segurança em Recursos Humanos Antes de realizar a contratação de um funcionário, fornecedores e terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará. Portanto, as descrições de cargo e os termos e condições de contratação devem ser explícitos, especialmente no que tange às responsabilidades de segurança da informação. É importante também que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com informações de caráter sigiloso, a fim de mitigar o risco de roubo, fraude ou mau uso dos recursos. Durante todo o tempo em que funcionários, fornecedores e terceiros estiverem trabalhando na empresa, eles devem estar conscientes sobre as ameaças relativas à segurança da informação, bem como de suas responsabilidades e obrigações, de tal maneira que estejam preparados para apoiar a política de segurança da informação da organização. Eles também devem ser educados e treinados nos procedimentos de segurança da informação e no uso correto dos recursos de processamento da informação. É fundamental ainda que um processo disciplinar formal seja estabelecido para tratar das violações de segurança da informação. No momento em que ocorrer o encerramento ou uma mudança na contratação, a saída de funcionários, fornecedores e terceiros deve ser feita de modo ordenado e controlado, para que a devolução de todos os equipamentos e a retirada de todos os direitos de acesso sejam concluídas. 2.4.4 Segurança Física e do Ambiente As instalações de processamento de informação críticas ou sensíveis devem ser mantidas em áreas seguras, com níveis e controles de acesso apropriados, incluindo proteção física. Essa proteção deve ser compatível com os riscos previamente identificados.
  29. 29. 29 Os equipamentos também devem ser protegidos contra ameaças físicas e ambientais, incluindo aqueles utilizados fora do local. 2.4.5 Gerenciamento das Operações e Comunicações É importante que estejam definidos os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações. Além disso, deve-se utilizar sempre que necessária a segregação de funções (recomenda-se que uma pessoa realize uma ou algumas partes de um processo, mas não todas), visando reduzir o risco de mau uso ou uso indevido dos sistemas. Para o gerenciamento de serviços terceirizados, deve-se implementar e manter o nível apropriado de segurança da informação e em conformidade com acordos de entrega de serviços terceirizados. Para assegurar que mudanças de sistemas ou softwares não possam ser implementadas de maneira descontrolada, é aconselhado, segundo a norma, criar vários ambientes físicos para desenvolvimento, teste, aceitação e produção de sistemas de informação. Desta forma, caso ocorra algum problema grave, será possível reverter para a versão antiga. É fundamental planejar e preparar a disponibilidade e os recursos do sistema para minimizar o risco de falhas, bem como prever a capacidade futura dos sistemas, de forma a reduzir os riscos de sobrecarga. Também deve-se prevenir e detectar a introdução de códigos maliciosos (malwares) e os usuários devem estar conscientes sobre isso. Procedimentos para a geração de cópias de segurança e sua recuperação também devem ser estabelecidos, bem como garantir o gerenciamento seguro de redes. Controles adicionais podem até mesmo ser necessários para proteger informações confidenciais que trafegam em redes públicas. As trocas de informações entre organizações devem ser baseadas em uma política formal específica, devendo ser efetuadas a partir de acordos entre as partes e sempre em conformidade com toda a legislação pertinente. Deve-se ainda implementar mecanismos de monitoração de atividades não autorizadas de processamento da informação. Os eventos de segurança da informação devem ser registrados, lembrando que as organizações devem estar aderentes aos requisitos legais aplicáveis para suas atividades de registro e monitoramento.
  30. 30. 30 2.4.6 Controle de Acesso O acesso à informação, aos recursos de processamento das informações e aos processos de negócios devem ser controlados com base nos requisitos de negócio e na segurança da informação. Portanto, deve ser assegurado o acesso de usuário autorizado e prevenido o acesso não autorizado a sistemas de informação. Para isso, deve haver procedimentos que englobem desde o cadastro inicial de um novo usuário até o cancelamento final do seu registro, garantindo assim que já não possuem mais acesso a sistemas de informação e serviços. Os usuários sempre devem estar conscientes de suas responsabilidades, particularmente no que se refere ao uso de senhas e de segurança dos equipamentos de usuários. 2.4.7 Aquisição, Desenvolvimento e Manutenção de Sistemas Segundo a norma, sistemas de informação incluem sistemas operacionais, infra- estrutura, aplicações de negócios, produtos de prateleira, serviços e aplicações desenvolvidas pelo usuário. Por essa razão, os requisitos de segurança de sistemas de informação devem ser identificados e acordados antes do seu desenvolvimento e/ou de sua implementação. As informações devem ser protegidas visando à manutenção de sua confidencialidade, autenticidade ou integridade por meios criptográficos8 . 2.4.8 Gestão de Incidentes de Segurança da Informação É importante assegurar que eventos de segurança da informação sejam comunicados o mais rápido possível, de tal forma que a tomada de ação corretiva ocorra em tempo hábil. Para isso, devem ser estabelecidos procedimentos formais de registro e escalonamento, bem como todos os funcionários, fornecedores e terceiros devem estar conscientes sobre os procedimentos para notificação dos diferentes tipos de eventos. ____________________________ 8 Conjunto de conceitos e técnicas que visa codificar uma informação de forma que somente o emissor e o receptor possam acessá-la, evitando que um intruso consiga interpretá-la.
  31. 31. 31 2.4.9 Gestão da Continuidade do Negócio Uma organização é dependente de seus ativos, pessoal e atividades que são realizadas diariamente de forma a manter a organização operando e rentável. A maioria das organizações tem uma rede complexa de relacionamentos entre fornecedores e ativos, dependentes uns dos outros para a realização das atividades. Se uma conexão na cadeia de dependências se rompe isso pode gerar uma séria de problemas para a empresa. Caso isso ocorra, deve-se impedir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar que a sua retomada ocorra em tempo hábil. Para isso, planos de continuidade do negócio, incluindo controles para identificar e reduzir riscos, devem ser desenvolvidos e implementados, visando assegurar que as operações essenciais sejam rapidamente recuperadas. 2.4.10 Conformidade Deve-se garantir e evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. Para isso, é conveniente contratar, caso necessário, consultoria especializada, bem como analisar criticamente a segurança dos sistemas de informação a intervalos regulares, verificando, sobretudo, sua conformidade e aderência a requisitos legais e regulamentares. Em resumo, nota-se claramente ao longo de toda a norma, que a característica predominante é a prevenção, evitando-se a todo o custo, a adoção de medidas de caráter reativo. Mesmo as que forem reativas, como por exemplo, a execução de um plano de continuidade de negócios, são previamente planejadas para que, no momento oportuno e se necessárias, sejam devidamente implementadas. 2.5 Políticas de Segurança Política de segurança é basicamente um documento contendo a formalização das regras que devem ser conhecidas e obedecidas pelas pessoas que tem acesso às tecnologias e às informações da empresa. Esse documento deve conter, entre outros, os conceitos de
  32. 32. 32 segurança da informação, as políticas, o comprometimento da direção com a política, uma estrutura para estabelecer os objetivos de controle, a estrutura de análise e avaliação e gerenciamento de riscos, princípios, normas e requisitos de conformidade de segurança da informação específicos para a empresa. A política de segurança é a base para todas as questões relacionadas à proteção da informação, desempenhando um papel importante em todas as organizações. Sendo bem fundamentada e estruturada ela é essencial, pois define normas, procedimentos, monitoramento de seus recursos computacionais, ferramentas e responsabilidades para garantir o controle e a segurança da informação na empresa. A principal finalidade de uma política de segurança é informar aos funcionários e gerentes, as suas obrigações para a proteção da tecnologia e do acesso à informação. A política deve especificar os mecanismos através dos quais estes requisitos podem ser alcançados. Outra finalidade é oferecer um ponto de referência a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e redes, para que sejam adequados aos requisitos propostos. A política de segurança atribui direitos e responsabilidades às pessoas que lidam com os recursos computacionais de uma instituição e com as informações neles armazenados. Ela também define as atribuições de cada um em relação à segurança dos recursos com os quais trabalham. A política de segurança pode ser dividida em vários níveis, podendo ser de um nível mais genérico, como o objetivo que os executivos possam entender o que está sendo definido, nível dos usuários de maneira que eles tenham consciência de seus papéis para a manutenção da segurança na organização, e podendo ser de nível técnico que se refere aos procedimentos específicos como, por exemplo, a implementação das regras de filtragem do firewall. O início do planejamento da política de segurança exige uma visão abrangente, de modo que os riscos sejam entendidos para que possam ser enfrentados. É comum a política de segurança ser implementadas seguindo uma estrutura hierárquica, pois outros documentos, regulamentos, procedimentos, guias e normas poderão ser desenvolvidos tendo a política da organização como base. Existe um grande caminho entre a elaboração de uma política e sua implementação. Por se tratar de um documento que sofrerá muitas atualizações, é ideal que a política de segurança seja acompanhada e revisada para identificar possíveis falhas e também ser atualizada a cada nova norma, procedimento ou regulamento implementado.
  33. 33. 33 A norma ISO/IEC 27002 sugere um acompanhamento através do ciclo continuo de aprimoramento do sistema de gestão da segurança da informação. Esse ciclo, conhecido como PDCA (Plan – Do – Check – Act ) é implementado da seguinte maneira, conforme mostra : Figura 2: Ciclo PDCA (CANO, 2006) O ciclo começa pelo planejamento (Plan) onde são estabelecidos os objetivos, procedimentos e processos necessários para atingir os resultados; em seguida serão executadas (Do) as atividades planejadas; após executar as tarefas planejadas é preciso verificar (Check) e monitorar periodicamente os resultados, avaliar os processos comparando- os com o planejado, consolidar informações e confeccionar relatórios; por fim, agir (Act) de acordo com o avaliado, confeccionando planos de ação de forma a melhorar a qualidade e eficiência, aprimorando a execução e corrigindo falhas. A política de segurança deve ser definida de acordo com os objetivos de negócios da organização. Segundo Wadlow (2000, p.33) existem algumas diretrizes para se escrever a política de segurança onde deve-se priorizar a relevância do conteúdo, a seriedade de sua implementação, a atualização freqüente e a facilidade de acesso a essa política em linguagem clara e objetiva.
  34. 34. 34 2.5.1 Tipos de Políticas As políticas de segurança dentro de uma organização podem ser de três tipos diferentes: Regulatória, Consultiva e Informativa. Conforme Ferreira (2003, p.34) políticas regulatórias são implementadas devido às necessidades legais que são impostas à organização. Normalmente são muito específicas para um tipo de ramo de atividade. Descreve detalhadamente o que deve ser feito, quem deve fazer e fornecer algum tipo de parecer, relatando qual ação é importante. As políticas consultivas não são obrigatórias, porém muito recomendadas. Ela sugere quais ações e métodos devem ser utilizados para a realização de uma determinada tarefa ou atividade. O terceiro tipo de política possui caráter apenas informativo, nenhuma ação é desejada e não existem riscos, caso não seja cumprida. Devem ser específicas, sucintas, de vocabulário simples e formalizar o que é esperado dos funcionários na utilização dos recursos tecnológicos. 2.6 Legislações e Regulamentações conforme norma ISO/IEC 27002 Para que uma empresa consiga alcançar seus objetivos de negócios é imprescindível que a mesma observe legislações, regulamentos e obrigações contratuais locais e internacionais. Os requisitos de segurança que uma empresa precisa atender estão relacionados a estes. Como citado na subseção 2.4.10, a conformidade está relacionada a algo que uma organização deve atender, ou seja, uma organização precisa observar tanto regulamentos internos como leis, requisitos de legislação e regulamentos locais. Conformidade não envolve apenas observar a legislação e regulamentos prescritos por governos, mas regras internas também devem ser consideradas. Nos últimos anos, padrões internacionais para segurança da informação têm sido desenvolvidos em forma de guias ou requisitos para segurança da informação. Derivado do padrão britânico BS 7799, uma padrão ISO foi desenvolvido e agora conhecido como ISO 27002. Atualmente muitas empresas nacionais e internacionais adotam esse padrão de medidas de segurança em suas organizações.
  35. 35. 35 De acordo com esse paradigma, algumas diretrizes precisam ser consideradas a fim de proteger o material que pode ser considerado propriedade intelectual, como o software, por exemplo. Algumas dessas diretrizes são: • Definir o uso legal dos programas de computador; • Manter conscientização da política para proteção dos direitos de propriedade intelectual, que incluem direitos de cópia (copyright), para programas de computador, documentos, marcas patentes e licença de código-fonte; • Compra programas apenas de fornecedores conhecidos e de boa reputação; • Se o produto for de fonte aberta (open source), a licença associada precisa ser respeitada e observada; • Manter um registro de ativos. Um dos aspectos que a gestão deve incluir na política de segurança da informação é a forma que as instalações de TI podem ser usadas dentro das organizações. O uso destas instalações para propósitos pessoais ou não autorizados deve ser considerado uso inapropriado, ou seja, um risco para a segurança. No Brasil, existem alguns acordos e legislações relevantes em termos de segurança da informação, abrangendo análise de riscos, confidencialidade de dados e planos de continuidade dos negócios. Órgãos como a SUSEP, ANS, CVM, TCU desempenham papel importante nessas diretrizes relacionadas à segurança. 2.7 Processo de Auditoria de Sistemas Auditoria de sistemas é uma atividade voltada à avaliação dos procedimentos de controle e segurança vinculados ao processamento das informações. Suas principais funções são: documentar, avaliar e monitorar sistemas de controle legais, sistemas gerencias de aplicação e sistemas operacionais. De acordo com Brasil (2000) é um tipo de auditoria através da qual os auditores recorrem ao estudo dos sistemas e em especial ao estudo do controle interno da entidade fiscalizada e à identificação dos eventuais pontos fortes e/ou deficiências desse controle interno, com o fim de definir o local, a natureza e o âmbito dos trabalhos de auditoria que julguem necessários para formularem o seu parecer. Segundo Dias (2000) na auditoria são verificados os padrões e políticas adotadas pela organização, a operação sobre sistemas e dados, o controle interno da entidade auditada e todos os aspectos relacionados à segurança de informações. Através deste trabalho o auditor
  36. 36. 36 interno ou externo irá averiguar se as regulamentações estão sendo atendidas dentro da organização, isto é, se as medidas definidas estão sendo aplicadas corretamente e se estão sendo eficazes. Para garantir a confiabilidade, durante o processo de auditoria os auditores solicitam informações de um sistema enquanto ele ainda está processando. É importante ressaltar o registro de um número muito grande de eventos torna a auditoria bastante completa, mas por outro lado torna o sistema lento, aumentando a necessidade de armazenamento, afetando a capacidade de processamento do computador e impossibilitando a realização da auditoria. Com isso é importante assegurar que durante esse processo não haja falhas nem interrupção dos processos. O uso de softwares ou banco de dados na auditoria deve ser conservado separadamente dos sistemas de desenvolvimento e produção, e não deve ser armazenado em fitas ou salas de usuários sem a devida medida de proteção adequada. Medidas como restrição de acesso para somente aqueles sistemas que o auditor necessita para sua investigação devem ser implementadas. Finalizado o processo de auditoria, a organização deve alterar todos os privilégios de acesso que tenha sido fornecido ao auditor, com o objetivo de garantir a segurança da informação.
  37. 37. 37 3. Metodologia da Pesquisa Para cada pesquisa cientifica são utilizados conhecimentos, métodos, técnicas e outros procedimentos científicos que vão desde a adequada formulação do problema até a satisfatória apresentação dos resultados. Portanto, neste capítulo serão apresentados os métodos escolhidos para a obtenção das respostas a pergunta-problema definida nesta pesquisa. 3.1 Natureza da Pesquisa Segundo Gil (1999, p.42), a pesquisa é um processo formal e sistemático de desenvolvimento do método científico, cujo objetivo fundamental é descobrir respostas para problemas, mediante o emprego de procedimentos científicos. Em termos de classificação, a pesquisa possui diferentes aspectos: quanto aos fins, quanto aos meios e quanto à forma de abordagem. 3.1.1 Quanto aos fins Quanto aos fins, a pesquisa é dita descritiva, pois de acordo com Gil (1999, p.46) este tipo de pesquisa adota como objetivo primordial as descrições das características de uma determinada população ou de determinado fenômeno ou o estabelecimento de relações entre variáveis. Segundo Godoy (1995), é descritivo o estudo que procura descrever um fenômeno específico com o intuito de conhecer sua natureza, os processos que o compõem ou que nele ocorrem. Envolve o uso de técnicas padronizadas de coleta de dados, como questionários e observação sistemática e, embora sirva de base, não tem compromisso de explicar os fenômenos que descreve. 3.1.2 Quanto aos meios Quanto aos meios, a pesquisa pode ser caracterizada por: Estudo de Caso, Pesquisa de Campo e Pesquisa Bibliográfica. Segundo Yin (2001) o estudo de caso é um modo de pesquisa empírica que investiga fenômenos contemporâneos em seu ambiente real, quando os limites entre o fenômeno e o
  38. 38. 38 contexto não são claramente definidos; quando há mais variáveis de interesse do que pontos de dados; quando se baseia em várias fontes de evidências; e quando há proposições teóricas para conduzir a coleta e a análise dos dados. A pesquisa é centrada na formulação de um estudo de caso, cujo objeto de estudo é a segurança da informação em um ambiente corporativo de grande porte. Todo trabalho científico requer uma prévia de Pesquisa Bibliográfica que “constitui geralmente o primeiro passo de qualquer pesquisa científica” assim afirmam Cervo e Bervian (1996, p.48). A “pesquisa bibliográfica é elaborada a partir de material já publicado, constituído principalmente de livros, artigos de periódicos e atualmente com material disponibilizado na Internet” (SILVA, 2006). Desta forma torna-se imprescindível o levantamento desses materiais tanto para compor a fundamentação teórica ou mesmo para justificar os próprios resultados desta pesquisa. Também é definida como Pesquisa de Campo por ser “a investigação empírica realizada no local onde o fenômeno ocorre ou que dispõe de elementos para explicá-lo” (VERGARA 2000, p.47). Ela procede à observação de fatos e fenômenos exatamente como ocorrem no real, à coleta de dados referentes aos mesmos e, finalmente, à análise e interpretação desses dados, com base numa fundamentação teórica consistente, objetivando compreender e explicar o problema pesquisado. 3.1.3 Quanto a forma de abordagem Quanto à forma de abordagem do problema, caracteriza-se como uma pesquisa qualitativa e quantitativa. É uma pesquisa qualitativa, pois “verifica uma relação dinâmica entre o mundo real e o sujeito, isto é, um vínculo indissociável entre o mundo objetivo e a subjetividade do sujeito que não pode ser traduzido em números” (MINAYO, 2003). Segundo Godoy (1995, p.58) “considera o ambiente como fonte direta dos dados e o pesquisador como instrumento chave”. Também é considerada qualitativa, pois se baseia em pequenas amostras, e estimula aos entrevistados a pensarem livremente sobre o determinado tema. A pesquisa também caracteriza-se como quantitativa, pois "as pesquisas quantitativas consideram que tudo pode ser quantificável, o que significa traduzir em números opiniões e informações para classificá-las e analisá-las” afirma Moresi (2004 p. 57). Segundo Malhotra (2001, p. 155), “a pesquisa quantitativa procura quantificar os dados e aplicar alguma forma de análise estatística”. A razão para se conduzir uma pesquisa quantitativa é descobrir quantas
  39. 39. 39 pessoas de uma determinada população compartilham uma característica ou um grupo de características (LAKATOS, 1991). Esta forma de abordagem se aplica aos objetivos desta pesquisa, pelo fato de privilegiar o significado das informações coletadas (BOAVENTURA, 2004). A pesquisa aborda essas duas formas, pois, tem como objetivo coletar o máximo de informações possíveis a cerca da empresa estudada, analisando de forma qualitativa de um lado os responsáveis pela política de segurança da empresa e do outro analisar de forma quantitativa a percepção dos funcionários do departamento de TI com relação às medidas implementadas por esses responsáveis e consequentemente pela empresa. 3.2 Instrumento de Coleta de Dados e Análise dos Resultados Nesta pesquisa foram utilizados dois instrumentos para coleta de dados: a entrevista e o questionário. A entrevista caracteriza-se pela interação entre pesquisador e pesquisado, ou seja, formulam-se perguntas ao respondente com o objetivo de coletar informações que possam ou ajudem a resolver o problema de pesquisa, em um determinado estudo. Para Gil (1999, p. 117) “é a técnica em que o investigador se apresenta frente ao investigado e lhe formulam perguntas, com o objetivo de obtenção dos dados que lhe interessam a investigação”. É ainda dita uma entrevista semi-estruturada, pois de acordo com Gil (1999, p. 120), “o entrevistador permite ao entrevistado falar livremente sobre o assunto, mas, quando este se desvia do tema original, esforça-se para a sua retomada”. O questionário também foi utilizado como instrumento de coleta de dados, pois segundo Marconi & Lakatos (1990) é um instrumento constituído por uma série ordenada de perguntas, que devem ser respondidas por escrito e sem a presença do entrevistador. O questionário deve ser objetivo, limitado em extensão e estar acompanhado de instruções As instruções devem esclarecer o propósito de sua aplicação, ressaltar a importância da colaboração do informante e facilitar o preenchimento. Por esta pesquisa já ser apoiada pela entrevista, as perguntas do questionário foram fechadas, com o intuito de facilitar a coleta dos dados bem como obter o maior número de questões resolvidas e devolvidas ao pesquisador. A entrevista foi realizada antes da entrega do questionário, pois tinha como objetivo principal, facilitar a interação com o pesquisado, bem como obter informações mais precisas
  40. 40. 40 com o profissional de TI responsável pela segurança da informação, sobre o objeto de estudo que poderiam não ser obtidas com as perguntas fechadas do questionário. Na análise dos resultados da pesquisa foi importante definir a maneira como os dados qualitativos seriam tratados após o levantamento. A partir do levantamento bibliográfico, do estudo de caso, da pesquisa de campo e da utilização do questionário e entrevista como instrumento de coleta de dados foi possível realizar a leitura dos dados obtidos. Na interpretação do questionário foi utilizada a análise de conteúdo, que permitiu "obter, por procedimentos sistemáticos e objetivos de descrição do conteúdo das mensagens, indicadores da inferência de conhecimentos relativos às condições de produção/recepção (variáveis inferidas) destas mensagens" (BARDIN, 2003, p.42). Segundo Bardin (2003), esse método é constituído por "um conjunto de técnicas de análise das comunicações", bastante útil para a realização desta pesquisa.
  41. 41. 41 4. Estudo de Caso 4.1 Companhia Hidro Elétrica do São Francisco - CHESF A Companhia Hidro Elétrica do São Francisco (CHESF) é uma sociedade anônima de capital fechado que atua na geração e transmissão de energia em alta e extra-alta tensão, explorando a bacia hidrográfica do rio São Francisco. A CHESF possui escritórios nas cidades de Teresina, Fortaleza, Sobradinho, São Paulo, Salvador, Brasília, Paulo Afonso e na sede que se localiza em Recife. A empresa atua no Brasil e exterior e possui cerca de 5.500 funcionários distribuídos entre as regionais. A missão da companhia é produzir, transmitir e comercializar energia elétrica, segundo princípios éticos e em sintonia com a preservação ambiental, para atuar com qualidade e rentabilidade no mercado, contribuindo para o desenvolvimento do Nordeste e do Brasil, bem como participar de novos negócios no setor eletro energético e em outros correlatos. A sede da CHESF que fica localizada na cidade de Recife foi o local de realização do estudo de caso referente à aplicação e utilização de políticas de segurança. Como é uma empresa de grande porte, a companhia é subdivida em departamentos e divisões de acordo com as características e atribuições especificas de cada setor. Os assuntos relacionados a TI são de responsabilidade da Superintendência de Tecnologia da Informação, esta subdividida em três departamentos: Departamento de Sistemas de Informação, Departamento de Relacionamento com cliente de TI e Gestão por Processos e o Departamento de Infra- estrutura Computacional e Redes, sendo este o departamento no qual foram aplicados os questionários sobre políticas de segurança. O Departamento de Infra-estrutura Computacional e Redes é composto por mais duas divisões: a Divisão de Suporte Operacional de Infra- estrutura de TI e Redes e a Divisão de Projetos de Infra-estrutura de TI e Segurança da Informação. Os questionários foram aplicados somente no Departamento de Infra-estrutura Computacional e Redes, localizado na sede da CHESF, cuja equipe é formada por 30 funcionários. Os questionários foram aplicados apenas neste setor, pois um dos objetivos específicos deste trabalho é verificar o nível de capacitação e entrosamento dos funcionários do setor de TI com a política de segurança da empresa. A entrevista foi realizada com a
  42. 42. 42 analista de sistemas da Divisão de Projetos de Infraestrutura de TI e Segurança da Informação, responsável por passar as informações referentes às políticas de segurança da empresa que serão evidenciadas na próxima seção. 4.2 Análise dos Dados A coleta dos dados foi realizada através de entrevista e questionários, respectivamente, que serão abordados nas próximas seções. 4.2.1 Entrevista Com o objetivo de facilitar a interação com o pesquisado, bem como obter informações mais precisas sobre o objeto de estudo, foi realizado uma entrevista com a Analista de Sistemas da Divisão de Projetos de Infraestrutura de TI e Segurança da Informação da Chesf. A mesma trabalha na equipe de SI e atualmente atua no projeto de análise de risco e ministra treinamentos e palestras para desenvolvimento de uma cultura em SI na empresa. O objetivo desta entrevista foi, após a obtenção dos resultados dela e dos questionários, fazer uma comparação entre os dois lados envolvidos na adoção e implementação de uma política de segurança, verificando se o que é proposto pelos responsáveis por confeccionar esse documento reflete positivamente nos funcionários da empresa. A entrevista foi realizada seguindo um roteiro com 44 perguntas abertas (ver Anexo I), com o objetivo de conseguir maior cobertura das informações relacionadas ao controle de segurança da informação seguido pela empresa. As perguntas da entrevista foram subdivididas em temas relacionados à segurança da informação. As questões de 1 a 12 são relacionadas às políticas de segurança implementadas na empresa. As questões de 13 a 20 são relacionadas à segurança organizacional e ao controle de acesso na empresa. De 21 a 24 foram feitas perguntas sobre a segurança de pessoal. Questões relacionadas à segurança física e do ambiente estão entre as questões 25 a 33. As perguntas de 34 a 38 são relacionadas ao gerenciamento das operações e comunicação. Por fim, de 39 a 44 foram realizadas perguntas com relação ao Housekeeping, ou seja, com relação à organização do ambiente.
  43. 43. 43 4.2.1.1 Seção 1 – Questões sobre a política de segurança Buscou-se com essas perguntas obter maiores informações sobre a política de segurança através de um dos responsáveis por sua implementação. De acordo com a entrevistada, a política de segurança existe desde Maio de 2009 e está acessível a todos os funcionários da empresa. Foi questionada a forma como a política de segurança (PS) é divulgada para os funcionários e a mesma informou que a PS foi instituída pela diretoria da empresa através de uma Resolução Normativa, que fica disponível para todos os empregados através de uma aplicação Notes (ambiente de colaboração). A mesma informou que utilizam os seguintes meios de divulgação: a) Envio de e-mail marketing apresentando a PS e passando o link para o empregado acessá-la; b) Ministramos várias turmas do curso “Educação em SI”, em parceria com a área de Recursos Humanos (RH); c) Realizando uma campanha em Segurança da Informação, onde são promovidas várias palestras na sede e nas regionais, divulgando a PS e mostrando a importância do papel de cada um no processo de SI; d) Disponibilizando na Intranet na empresa um link para a PS e para o material (slides) utilizado na Campanha de Segurança. A entrevistada informou ainda que a PS é apoiada pela utilização de vários normativos, com orientações específicas sobre o uso de cada um dos recursos de TI (correio eletrônico, Internet, discos públicos, equipamentos móveis, etc.) e o próprio Código de Ética da empresa. Além dos normativos, a empresa também conta com o auxilio de uma aplicação Notes que contém todos os normativos da empresa, inclusive o que instituiu a PS, que é acessada por todos os empregados. A mesma informou que como têm uma série de normativos voltados para atender as diretrizes da PS, a violação da PS se dará pela violação dos respectivos normativos. Com relação às violações da PS, foi perguntado à funcionária se quando ocorre tal violação, são tomadas medidas para identificar os agentes e causas, corrigindo as vulnerabilidades e punir os infratores. A mesma informou que sim, entretanto muitas vezes são adotadas ações educativas e não punitivas. Ainda nesta seção, a entrevistada foi questionada quanto à formalização de um processo de análise crítica para se avaliar a efetividade da política de segurança (tipo, volume e impacto dos incidentes de segurança registrados). Foi obtido como resposta que não foi formalizado nenhum processo neste quesito.
  44. 44. 44 4.2.1.2 Seção 2 – Questões sobre segurança organizacional e controle de acesso Nesta seção o objetivo é obter maiores informações sobre a segurança organizacional da informação adotada pela empresa. A entrevistada foi questionada quanto à realização de auditorias de sistemas, foi dito que esse processo é realizado por órgãos de auditoria interna e externa. A equipe de SI faz auditoria nos processos de TI, inclusive desenvolvimento e manutenção de sistemas, especificamente em um grupo de sistemas mais relevantes para o negócio da empresa (áreas financeira e RH), verificando se os processos estão sendo executados de acordo com o respectivo normativo. Também foi perguntado se é utilizado uma fonte especializada em segurança da informação dentro da organização. Foi informado que na Chesf existem profissionais com razoável capacitação na área de SI, entretanto sem certificações oficiais. Todos os normativos voltados para SI são aderentes às melhores práticas (ITIL, COBIT, COSO, ISO/IEC 9002). A ferramenta que utilizam para Gestão de Riscos de TI também se baseia nos padrões acima citados. Por ser uma empresa de grande porte e ter uma enorme rotação de funcionário e terceirizados na empresa, foi questionado se existe um controle de acesso do pessoal terceirizado e se o acesso lógico e físico é restrito para pessoas autorizadas. Segundo a entrevistada, existem sim mecanismos de controle de acesso tanto dos funcionários da própria empresa quanto de prestadoras de serviço que tem acesso controlado e organizado. 4.2.1.3 Seção 3 – Questões sobre a segurança de pessoal Para proteger os ativos de informação de qualquer empresa, é preciso primeiramente repassar para os funcionários o que é importante para a organização e o que precisa ser protegido. Com isso, foi possível obter com a entrevista, que no momento da contratação todos os funcionários são informados quanto à responsabilidade com a segurança na empresa, o que recebem juntamente com o treinamento básico que é dado para todo novo empregado. Os usuários dos serviços de informação também são instruídos a registrar e notificar quaisquer fragilidades ou ameaças, suspeitas ou ocorridas, na segurança de sistemas ou serviços.
  45. 45. 45 De acordo com a entrevistada, quando ocorrem incidentes de segurança da informação, ações de feedback são tomadas e caso seja identificado à ocorrência de alguma violação por parte dos funcionários ou terceiros é feita a análise do incidente, podendo ocorrer punição ou apenas orientação (educação). 4.2.1.4 Seção 4 – Questões sobre a segurança física e do ambiente Alguns pontos importantes foram considerados na entrevista com relação à segurança física e do ambiente. Foi identificado que os sistemas mantêm um registro de data e hora do acesso dos funcionários e visitantes. São utilizados controles de autenticação para validar qualquer acesso a informações sensíveis, instalações, recursos de processamento de informações e computadores pessoais, terminais de computadores possuem senha de acesso quando não estão em uso. Nesta seção também foi possível identificar a uma preocupação com relação à proteção dos objetos portáteis de uso pessoal (notebooks, laptops, mídias, celulares, etc.), porém, segundo a analista responsável pelas respostas, algumas pessoas não seguem esse procedimento, mas afirma existir a orientação para que esses objetos sejam guardados e protegidos e que no processo de análise de riscos é que é avaliado o nível de aderência a essa orientação. 4.2.1.5 Seção 5 – Questões relacionadas ao gerenciamento das operações e comunicações Com relação ao gerenciamento das operações e comunicações dentro da Chesf, foi perguntado à entrevistada se os usuários são incentivados a usar senhas diferentes conforme ambiente, onde a mesma respondeu negativamente informando que os orientam para que tenham senhas fortes e de uso pessoal e intransferível. Com relação à adoção de softwares para proteção do sistema (antivírus), a entrevistada declarou que existem softwares específicos para essa proteção e que a empresa ainda possui uma política formal exigindo conformidade com as licenças de software e proibindo o uso de software não autorizado, sendo de conhecimento de todos os funcionários.
  46. 46. 46 4.2.1.6 Seção 6 – Questões sobre Housekeeping Nesta última seção procurou-se verificar a existências de algumas medidas relacionadas ao gerenciamento das mídias utilizadas pela empresa e como são organizadas. De acordo com a funcionária da Chesf é mantido um registro das atividades do pessoal de operação e os meios magnéticos reutilizáveis quando não é mais utilizado o seu conteúdo é apagado. A mesma também afirmou que é requerida a autorização para remoção de mídias das instalações da organização e que existe um controle de entrada e saída dessas mídias, bem como a acomodação em locais seguros. Por fim, foi questionada se existe uma documentação explicando os procedimentos e os níveis de autorização para gerenciamento de mídias. A entrevistada respondeu positivamente a essa questão. 4.2.2 Questionários Com o objetivo de obter resultados numéricos para auxiliar na quantificação dos resultados da pesquisa, o questionário aplicado aos funcionários do Departamento de Infraestrutura Computacional e Redes da Chesf contém 15 questões objetivas com duas opções de resposta (Sim ou Não) e uma questão subjetiva (ver Anexo II). As perguntas foram direcionadas as políticas de segurança adotada pela empresa com o objetivo de analisar o grau de conhecimento e entrosamento dos funcionários com a política. No total foram aplicados 30 questionários para os funcionários do departamento estudado e foram devolvidos 28 questionários respondidos. Na próxima seção serão descritos os resultados. 4.2.2.1 Seção 1 – Questionamentos com relação ao tempo que o funcionário trabalha na empresa Busca-se nesta seção identificar a média de tempo de serviço na empresa que os funcionários do departamento possuem. Foi importante essa questão, pois foi possível verificar se o conhecimento a respeito da política de segurança está relacionado com o tempo de trabalho que o funcionário tem na empresa, como pode ser visto no Gráfico 2.
  47. 47. 47 Tempo de vínculo empregatício com a empresa 17% 75% 8% Menos que 5 anos 5 a 15 anos Mais de 15 anos Gráfico 2: Tempo de vínculo empregatício com a empresa Fonte: Dados da pesquisa 4.2.2.2 Seção 2 – Questionamentos referentes ao entrosamento dos funcionários com as políticas de segurança adotadas pela empresa Nesta seção foram abordadas questões como conhecimento, clareza, acessibilidade e atualização das políticas de segurança. É possível verificar no Gráfico 3 que todos os funcionários avaliados (100%) tem conhecimento da existência da política de segurança implementada na empresa, sendo esse um ponto positivo para a organização. Conhecimento da existência de uma Política de Segurança na empresa 100% 0% Sim Não Gráfico 3: Conhecimento da existência de uma política de segurança na empresa. Fonte: Dados da pesquisa
  48. 48. 48 Pelo Gráfico 4 podemos perceber que a maioria dos funcionários (83%) consideram a política de segurança formal, definindo claramente o comprometimento com a segurança da informação. Os outros 17% não concordam com essa definição. Clareza e formalidade de comprometimento com a Política de Segurança 83% 17% Sim Não Gráfico 4: Clareza e formalidade de comprometimento com a Política de Segurança Fonte: Dados da pesquisa Um ponto importante desta pesquisa é a divulgação adequada da política de segurança para todos os funcionários da empresa . Nesta pesquisa 58% consideram que a divulgação é feita de forma adequada e 42% acham que a divulgação não atende todos os funcionários da empresa (Gráfico 5). Divulgação da Política na Organização 58% 42% Sim Não Gráfico 5: Divulgação da Política na Organização Fonte: Dados da pesquisa
  49. 49. 49 Outro fator importante para a organização e manter a política de segurança acessível aos funcionários. Disponibilizar esse documento em um local para acesso dos empregados de diferentes setores e departamentos, é um dos itens fundamentais para o sucesso da sua implementação. De acordo com o Gráfico 6, uma minoria (33%) informam que o documento não está acessível, já 67% a consideram disponível aos funcionários. Disponibilidade da Política de Segurança para os funcionários 67% 33% Sim Não Gráfico 6: Disponibilidade da Política de Segurança para os funcionários Fonte: Dados da pesquisa Para que os funcionários sigam e tenham comprometimento com a política de segurança é necessário produzir um documento compreensível e de fácil entendimento, tendo em vista que este documento será disponível para todos os funcionários da empresa independente do tempo de serviço ou de grau de instrução. Como pode ser comprovado pelo Gráfico 7, 64% não consideram a política de segurança legível e clara, apenas 36 % discordam desta informação, ou seja, a maioria tem dificuldade de entender o documento.
  50. 50. 50 Compreensão da Política de Segurança pelos funcionários 36% 64% Sim Não Gráfico 7: Compreensão da Política de Segurança pelos funcionários Fonte: Dados da pesquisa 4.2.2.3 Seção 3 – Questionamentos relacionados à estrutura, organização de aplicação da política de segurança Foi direcionado nesta seção a percepção dos funcionários com relação à estrutura do documento e forma como ele é aplicado e organizado. Para analisar esses resultados foram feitas questões que buscam saber se existe uma definição clara de política de segurança, se as metas a serem atingidas são evidenciadas, se existem outros documentos que complementem as políticas, se existe uma reciclagem desse documento e se essa reciclagem é feita com freqüência. Foi questionado aos funcionários do departamento de TI da empresa se existem a publicação, comunicação e treinamento sobre a segurança da informação para os funcionários, com reciclagens periódicas. De acordo com a pesquisa, 58% declaram existir uma reciclagem periódica desta política, enquanto 42% não consideram ter treinamentos e reciclagens com freqüência (Gráfico 8).
  51. 51. 51 Publicação, comunicação e treinamento sobre a Política de Segurança para os funcionários 58% 42% Sim Não Gráfico 8: Publicação, comunicação e treinamento sobre a Política de Segurança para os funcionários Fonte: Dados da pesquisa Para que os funcionários possam seguir as questões propostas pela política de segurança, é necessário ter um conhecimento prévio da definição desta política, saber o que é e sobre o que se trata. Como pode ser visto no Gráfico 9, a minoria dos funcionários declaram não ter o conhecimento dessa explicação, enquanto 83% informam que essa explicação é claramente definida na política de segurança da empresa. A existência da definição de “Política de Segurança” 83% 17% Sim Não Gráfico 9: A existência da definição de “Política de Segurança” Fonte: Dados da pesquisa
  52. 52. 52 Nesse quesito foi avaliado a existência de um resumo das metas relacionadas a segurança da informação, ou seja, se no documento ficam claras as metas que os funcionários devem seguir e atingir para manter a segurança da informação da empresa. Segundo a pesquisa (Gráfico 10), 58% informam existir tais resumos e outros 42% desconhecem as metas relacionadas a segurança da informação. Resumo das metas relacionadas às Políticas de Segurança 58% 42% Sim Não Gráfico 10: Resumo das metas relacionadas às Políticas de Segurança Fonte: Dados da pesquisa Em alguns casos para que a política de segurança possa ser compreendida e posta em prática por todos na organização, é necessário implementar outras normas ou procedimentos que auxiliem esse documento. De acordo com o Gráfico 11, mais da metade (75%) dos questionados informam conhecer outros documentos que complementem a política adotada pela empresa, em contra partida, 25% desconhecem a existência de outras normas ou procedimentos que a complementem.
  53. 53. 53 Outros documentos que complementam a Política de Segurança 75% 25% Sim Não Gráfico 11: Outros documentos que complementam a Política de Segurança Fonte: Dados da pesquisa 4.2.2.4 Seção 4 – Questionamentos referentes a relação entre a alta direção, os funcionários e as políticas de segurança Objetiva-se nesta seção, verificar se existe uma relação de compartilhamento, responsabilidade e conhecimento das políticas de segurança entre os funcionários e a alta direção. São direcionadas perguntas com relação à importância da política para a empresa, as punições cabíveis em caso de infrações da mesma e o esclarecimento desta política no momento da contração do funcionário. Foi questionado aos empregados se os mesmo tinham consciência sobre a definição e divisão do(s) responsável(eis) pela política de segurança, se existiam profissionais especializados na manutenção e análise crítica da política de segurança deste documento. Nesta questão, 58% por funcionários declararam positivamente. Outros 42% informaram não conhecer tais responsáveis (Gráfico 12).
  54. 54. 54 Definição de um responsável pela Política de Segurança 58% 42% Sim Não Gráfico 12: Definição de um responsável pela Política de Segurança Fonte: Dados da pesquisa Outro fator importante após a adoção de uma política de segurança é definir qual medida deve ser tomada quando ocorre a violação de algum item da política de segurança. Neste momento foi questionado aos funcionários se são tomadas medidas para identificar as causas, corrigindo as vulnerabilidades com punição para os infratores. De acordo com o Gráfico 13, essa informação ficou dividida meio a meio, 50% declaram ter conhecimento das medidas aplicadas aos infratores, enquanto a outra metade (50%) declara não conhecer tais medidas e correções. Implementação de medidas de punição para infratores 50%50% Sim Não Gráfico 13: Implementação de medidas de punição para infratores Fonte: Dados da pesquisa
  55. 55. 55 Os funcionários do setor de TI da Chesf também foram questionados quanto a existência de uma declaração de comprometimento da alta direção, apoiando as metas e princípios da segurança da informação. Como mostra no Gráfico 14, a maior parte dos funcionários (75%) afirmam ter conhecimento sofre esse apoio e 25% discordam desta afirmação. Comprometimento da alta direção com a Política de Segurança 75% 25% Sim Não Gráfico 14: Comprometimento da alta direção com a Política de Segurança Fonte: Dados da pesquisa Outro questionamento feito aos funcionários foi com relação à existência de uma breve explanação das políticas, princípios, padrões e requisitos de conformidade sobre segurança importante para a organização. O Gráfico 15 mostra que a maioria dos funcionários (83%) afirmam existir tal explanação e 17% declaram não ter conhecimento.
  56. 56. 56 Conhecimento da importância da Política de Segurança para a organização 83% 17% Sim Não Gráfico 15: Conhecimento da importância da Política de Segurança para a organização Fonte: Dados da pesquisa Também foi perguntado aos funcionários se foram definidas responsabilidades gerais e específicas na gestão da segurança da informação. Neste quesito 25% informaram que não enquanto 75% responderam positivamente a questão, como mostra o Gráfico 16. Responsabilidades sobre a Política de Segurança 75% 25% Sim Não Gráfico 16: Responsabilidades sobre a Política de Segurança Fonte: Dados da pesquisa
  57. 57. 57 Outra pergunta feita aos empregados é se eles foram informados da existência da política de segurança no momento de sua contratação. Neste ponto 58% disseram terem sido informados sobre a existência deste documento. Outros 42% negaram o conhecimento da política de segurança quando foram admitidos na empresa (Gráfico 17). Conhecimento da Política de Segurança na contratação 58% 42% Sim Não Gráfico 17: Conhecimento da Política de Segurança na contratação Fonte: Dados da pesquisa
  58. 58. 58 5. Propostas a serem implementadas Diante dos resultados apresentados nesta pesquisa, foram elaboradas algumas propostas de modificações e melhorias em cima das principais falhas e vulnerabilidades encontradas na implementação deste documento, baseadas na norma NBR ISO/IEC 27002. Conforme o que foi repassado na entrevista, além do atraso na elaboração de uma política de segurança outros fatores precisam ser mais bem elaborados: 1) Local de disponibilização da Política de Segurança: Este documento deve ser afixado como ícone na área de trabalho de todos os funcionários, além dos métodos convencionais que já são utilizados pela empresa. Para aqueles funcionários que não trabalho diretamente com um computador, esse material deve ser mantido impresso com o gerente de cada setor ou divisão para que, quando o funcionário tiver algumas dúvida ou desejar consultar esse documento, possa tê-lo disponível a qualquer momento e em um local de fácil e seguro acesso. Figura 3: Modelo de Disponibilização da PS na tela do computador
  59. 59. 59 2) Análise do grau de efetividade da PS: Como ainda não foi formalizado um processo de análise crítica para se avaliar a efetividade da política de segurança (tipo, volume e impacto dos incidentes de segurança registrados) é proposto que seja feito uma análise periódica por um responsável para verificar os incidentes ocorridos devido a alguma violação ou desconhecimento de algum padrão estabelecido na PS e que sejam feitas rondas, principalmente no período de contratação de novos funcionários, para avaliar o grau de efetividade da PS por parte dos funcionários. 3) Punições para violadores da PS: De acordo com a entrevista concedida pela analista de TI responsável pelo setor de segurança da informação da Chesf, na maior parte dos casos, são realizadas medidas educativas ao invés de punitivas quando ocorre uma violação da política de segurança. Sugere-se que as medidas propostas pela PS sejam separadas por grau de seriedade, ou seja, numa escala de 1 a 10, relacionar quais medidas, se violadas, oferecem mais riscos para a organização. Dessa forma, quando ocorrer alguma violação ou descumprimento de um ou mais itens deste documento, poderão ser aplicadas medidas punitivas (ou educativas) de acordo com grau de seriedade a ser definido pela empresa. Abaixo um exemplo de uma tabela contendo alguns itens da política de segurança e na outra coluna, o grau de seriedade correspondente a cada item. Tabela 1: Tabela contendo o Grau de Seriedade em uma PS 4) Política de mesa e tela limpa: Também foi pontuado na pesquisa que a empresa não utiliza uma política de mesa e tela limpa entre seus usuários. Estes sempre devem estar conscientes de suas responsabilidades, particularmente no que se refere ao uso de senhas e de segurança dos equipamentos de usuários. Nesse sentido, sugere-se a adoção da “política de mesa e tela limpa” (sendo este, inclusive, um dos itens da norma ISO/IEC 27002 de Controle de Acesso), para reduzir o risco de perdas, acessos não autorizados ou Nº Itens Itens da Política de Segurança Grau de seriedade 1 Todo funcionário deve guardar mídias eletrônicas em local seguro. 2 2 Somente terão acesso aos recursos de tecnologia da informação as pessoas devidamente autorizadas e cadastradas como tal. 10 3 O acesso dos usuários deverá ser restrito apenas às aplicações, arquivos e utilitários imprescindíveis para desempenhar suas funções na organização. 9
  60. 60. 60 danos a documentos, papéis, mídias e recursos de processamento da informação que estejam ao alcance de qualquer um. Algumas medidas, seguindo os padrões da norma ISO/IEC 17799/2005, poderiam ser tomadas (Tabela 2): Tabela 2: Política de mesa e tela limpa 5) Melhorar a compreensão da política de segurança: De acordo com os dados colhidos através dos questionários, foi identificado que a maior parte dos funcionários não compreende bem o que a política de segurança transmite. O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido. As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos Nº Itens Política de mesa e tela Limpa 1 Computadores e terminais sejam mantidos desligados ou protegidos com mecanismo de travamento de tela e teclados controlados por senha, token ou mecanismo de autenticação similar quando sem monitoração e protegidos por tecla de bloqueio, senhas ou outros controles, quando não usados; 2 Os documentos impressos (impressões, fax ou fotocópias) devem ser recolhidos logo após sua geração ou emissão, não podendo ser mantidos nos aparelhos ou proximidades. 3 Informações do negócio sensíveis ou críticas, por exemplo, em papel ou em mídia de armazenamento eletrônicas, sejam guardadas em lugar seguro (idealmente em um cofre, armário ou outras formas de mobília de segurança) quando não em uso, especialmente quando o escritório está desocupado; 4 Pontos de entrada e saída de correspondências e máquinas de fac-símile sem monitoração sejam protegidos; 5 Documentos que contêm informação sensível ou classificada sejam removidos de impressoras imediatamente. 6 Copiadoras devem ser protegidas contra o uso não autorizado fora do horário normal de trabalho.

×