Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC...
71
Universidade de Pernambuco Faculdade de Ciências e Tecnologia de Caruaru Bacharelado em Sistemas de Informação Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado na Chesf/Recife. Darliane Goes de Miranda Orientadora: Érika Carlos Medeiros Caruaru, 2010
-
Upload
darly-goes -
Category
Documents
-
view
4.994 -
download
0
Transcript of Segurança da Informação e a utilização de Políticas de Segurança conforme a norma ISO/IEC...
Universidade de Pernambuco
Faculdade de Ciências e Tecnologia de Caruaru
Bacharelado em Sistemas de Informação
Segurança da Informação e a utilização de Políticas de Segurança conforme
a norma ISO/IEC 27002: Estudo de Caso realizado na Chesf/Recife.
Darliane Goes de Miranda
Orientadora: Érika Carlos Medeiros
Caruaru, 2010
Darliane Goes de Miranda
Segurança da Informação e a utilização de Políticas de Segurança conforme
a norma ISO/IEC 27002: Estudo de Caso realizado na Chesf/Recife.
Monografia apresentada como requisito parcial para obtenção do diploma de Bacharel em Sistemas de Informação pela Faculdade de Ciência e Tecnologia de Caruaru – Universidade de Pernambuco.
Caruaru – PE 2010
Dedico esse trabalho a pessoa que mais me deu forças para conquistar um dos
grandes objetivos da minha vida e que segurou minha mão em todos
os momentos, minha mãe, Maria Elita Goes.
Agradecimentos
Agradeço primeiramente aos meus pais, Elita e Ademir, por me propiciarem uma
sólida base educacional, acompanhada de muito incentivo e amor.
As minhas irmãs e amigas, Patricia e Katiane, por estarem sempre ao meu lado, dando
força em todos os momentos, auxiliando nos trabalhos e contribuindo para meu crescimento
pessoal.
Agradeço também a Maxwell Queiroz pelo companheirismo, afeto e pela
compreensão oferecida principalmente nos momentos finais da minha graduação.
Aos meus amigos de jornada, Ariane, Danilo, Rita, Elifas e Manoel, e vários outros
colegas de curso que me ajudaram nessa longa caminhada proporcionando grandes
experiências e momentos de descontração.
A professora Érika Medeiros, pelo auxilio do desenvolvimento deste trabalho e aos
professores da Universidade de Pernambuco pelo conhecimento transmitido.
Em último, porém não menos importante, a Deus, pois sem ele nada disso seria
possível.
"A diferença entre o possível e o impossível está na vontade humana."
Louis Pasteur
Listas de Acrônimos
ABNT Associação Brasileira de Normas Técnicas
ANS Agencia Nacional de Saúde
CHESF Companhia Hidro Elétrica do São Francisco
COBIT Control Objectives for Information and related Technology
COSO Committee of Sponsoring Organizations of the Treadway Commission
CVM Comissão de Valores Mobiliários
IEC International Electrotechnical Commission
ISO International Organization for Standardization
ITIL Information Technology Infrastructure Library
NBR Norma Brasileira
PS Política de Segurança
SI Sistemas de Informação
SUSEP Superintendência de Seguros Privados
TCP/IP Transmission Control Protocol / Internet Protocol
TCU Tribunal de Contas da União
TI Tecnologia da Informação
USD United States Dollar
WWW World Wide Web
Lista de Figuras
Figura 1: Diversidade panorâmica das vulnerabilidades (SÊMOLA, 2003) ...................26
Figura 2: Ciclo PDCA (CANO, 2006) ............................................................................33
Figura 3: Modelo de Disponibilização da PS na tela do computador ..............................58
Lista de Tabelas
Tabela 1: Tabela contendo o Grau de Seriedade em uma PS...........................................59
Tabela 2: Política de mesa e tela limpa ............................................................................60
Lista de Gráficos
Gráfico 1: Risco com relação à segurança da informação pelas empresas ......................22
Gráfico 2: Tempo de vínculo empregatício com a empresa.............................................47
Gráfico 2: Conhecimento da existência de uma política de segurança na empresa .........47
Gráfico 4: Clareza e formalidade de comprometimento com a Política de Segurança ....48
Gráfico 5: Divulgação da Política na Organização ..........................................................48
Gráfico 6: Disponibilidade da Política de Segurança para os funcionários .....................49
Gráfico 7: Compreensão da Política de Segurança pelos funcionários............................50
Gráfico 8: Publicação, comunicação e treinamento sobre a Política de Segurança
para os funcionários...........................................................................................................51
Gráfico 9: A existência da definição de “Política de Segurança” ....................................51
Gráfico 10: Resumo das metas relacionadas às Políticas de Segurança ..........................52
Gráfico 11: Outros documentos que complementam a Política de Segurança.................53
Gráfico 12: Definição de um responsável pela Política de Segurança.............................54
Gráfico 13: Implementação de medidas de punição para infratores................................54
Gráfico 14: Comprometimento da alta direção com a Política de Segurança..................55
Gráfico 15: Conhecimento da importância da Política de Segurança para a organização56
Gráfico 16: Responsabilidades sobre a Política de Segurança.........................................56
Gráfico 17: Conhecimento da Política de Segurança na contratação...............................57
Resumo
Uma das grandes preocupações das empresas, atualmente, é garantir a segurança dos seus ativos ou, quando isso não é possível, ao menos mitigar os riscos e ameaças envolvidas. Com isso, essa pesquisa tem como objetivo analisar e avaliar a utilização de um dos mecanismos envolvendo a segurança da informação, segundo a norma NBR ISO/IEC 27002, a política de segurança. Para alcançar tal objetivo, foi realizado um estudo de caso em uma grande empresa situada na cidade de Recife/PE, a CHESF. Nesta empresa, foi realizada uma entrevista e aplicados questionários aos funcionários do departamento de Tecnologia da Informação da empresa, com o intuito de analisar o nível de entrosamento destes com a política de segurança adotada pela companhia, seguindo os padrões estabelecidos pela norma NBR ISO/IEC 27002 de Prática para a Gestão de Segurança da Informação. Observou-se a importância da descrição desse documento para os funcionários, uma vez que a partir desses dados os mesmos poderão ter conhecimento do que é importante e o que deve ser guardado pela empresa. Com base nesse estudo foi possível propor melhorias na implementação deste documento, principalmente relacionadas à percepção dos funcionários. Palavras-chave: Segurança da Informação. Políticas de Segurança. Ativos de Informação. Padrões de Segurança. CHESF.
Abstract
A major concern for companies today is to ensure the safety of its assets, or when it is not possible, at least mitigate the risks and threats involved. Thus, this research aims to analyze and evaluate the use of one of the mechanisms involving information security, according to standard ISO / IEC 27002, the security policy. To achieve this, we performed a case study in a large company located in the city of Recife, CHESF. In this company, an interview was conducted and completed questionnaires to employees of the Department of Information Technology company, with the aim of analyzing the level of rapport with the security policy adopted by the company, following the standards set by the standard ISO / IEC 27002 Practice for the Management of Information Security. We observed the importance of the description of this document for employees, since from these data they may have knowledge of what is important and what should be kept by the company. Based on this study it was possible to propose improvements in the implementation of this document, mainly related to the perception of employees.
Keywords: Information Security. Security Policy. Information Asset. Safety Standards. CHESF.
Sumário
1. INTRODUÇÃO ..........................................................................................................14
1.1 Tema e Definição da Situação Problema.........................................................14
1.2 Objetivos..........................................................................................................16
1.2.1 Objetivo Geral .....................................................................................16
1.2.2 Objetivos Específicos..........................................................................17
1.3 Justificativa ......................................................................................................17
2. REVISÃO DA LITERATURA ..................................................................................19
2.1 Ativos e o Valor da Informação.......................................................................19
2.2 Segurança da Informação ................................................................................21
2.2.1 Confidencialidade................................................................................23
2.2.2 Integridade...........................................................................................23
2.2.3 Disponibilidade ...................................................................................23
2.3 Ameaças à segurança e Vulnerabilidades........................................................24
2.4 Norma NBR ISO/IEC 27002 ..........................................................................27
2.4.1 Organização da Segurança da Informação ..........................................27
2.4.2 Gestão de Ativos .................................................................................27
2.4.3 Segurança em Recursos Humanos ......................................................28
2.4.4 Segurança Física e do Ambiente .........................................................28
2.4.5 Gerenciamento de Operações e Comunicações ..................................29
2.4.6 Controle de Acesso..............................................................................30
2.4.7 Aquisição, Desenvolvimento e Manutenção de Sistemas...................30
2.4.8 Gestão de Incidentes de Segurança da Informação.............................30
2.4.9 Gestão de Continuidade dos Negócios................................................31
2.4.10 Conformidade....................................................................................31
2.5 Políticas de Segurança.....................................................................................31
2.5.1 Tipos de Políticas ................................................................................34
2.6 Legislações e Regulamentações conforme norma ISO/IEC 27002.................34
2.7 Processos de Auditoria ....................................................................................35
3. METODOLOGIA DA PESQUISA ............................................................................37
3.1. Natureza da Pesquisa ......................................................................................37
3.1.1 Quantos aos Fins .................................................................................37
3.1.2 Quanto aos Meios................................................................................37
3.1.3 Quanto a Forma de Abordagem ..........................................................38
3.2. Instrumento de Coleta de Dados e Análise dos Resultados............................39
4. ESTUDO DE CASO....................................................................................................41
4.1. Companhia Hidro Elétrica do São Francisco - CHESF...................................41
4.2. Análise dos Dados ...........................................................................................42
4.2.1 Entrevista.............................................................................................42
4.2.1.1 Seção 1 – Questões sobre a política de segurança ...........................43
4.2.1.2 Seção 2 – Questões sobre segurança organizacional e controle de
acesso...........................................................................................................44
4.2.1.3 Seção 3 – Questões sobre a segurança de pessoal ...........................44
4.2.1.4 Seção 4 – Questões sobre a segurança física e do ambiente ............45
4.2.1.5 Seção 5 – Questões relacionadas ao gerenciamento das operações e
comunicações...............................................................................................45
4.2.1.6 Seção 6 – Questões sobre Housekeeping.........................................46
4.2.2 Questionários.......................................................................................46
4.2.2.1 Seção 1 – Questionamentos com relação ao tempo que o funcionário
trabalha na empresa......................................................................................46
4.2.2.2 Seção 2 – Questionamentos referentes ao entrosamento dos funcionários
com as políticas de segurança adotadas pela empresa.................................47
4.2.2.3 Seção 3 – Questionamentos relacionados à estrutura, organização de
aplicação da política de segurança ...............................................................50
4.2.2.4 Seção 4 – Questionamentos referentes à relação entre a alta direção,
os funcionários e as políticas de segurança..................................................53
5. PROPOSTAS A SEREM IMPLEMENTADAS .......................................................58
6. CONSIDERAÇÕES FINAIS......................................................................................62
6.1. Conclusões.......................................................................................................62
6.2. Limitações e Ameaças.....................................................................................63
6.3. Trabalhos Futuros............................................................................................63
7. REFERÊNCIAS BIBLIOGRÁFICAS ......................................................................65
8. ANEXO I - ENTREVISTA .........................................................................................67
9. ANEXO II - QUESTIONÁRIO ..................................................................................70
14
1. Introdução
Este capítulo tem como objetivo introduzir o tema da monografia. Para tal, apresenta
de maneira simplificada a perspectiva de assuntos que possuem relação teórica sobre
segurança da informação a um problema específico, seguido dos objetivos da pesquisa e a
justificativa.
1.1 Tema e Definição da Situação Problema
A informação assume, atualmente, uma importância crescente. Ela torna-se
fundamental ao nível da empresa na descoberta e introdução de novas tecnologias, exploração
das oportunidades de investimento e ainda na planificação de toda a atividade industrial.
Nos últimos anos as tecnologias de informação e comunicação têm evoluído de forma
rápida, fazendo com que as organizações tenham maior eficiência e rapidez nas tomadas de
decisão, devido a este fato as chances de uma empresa não usar sistemas de informação
tornou-se praticamente nula. Neste cenário as organizações, seus sistemas de informações e
suas redes de computadores apresentam-se diante de uma série de ameaças, sendo que,
algumas vezes, estas ameaças podem resultar em prejuízos para as empresas. Neste contexto a
importância de se utilizar mecanismos de segurança e de armazenamento das informações é
vital para a sobrevivência e competitividade destas organizações.
Havia uma época em que trabalhar com segurança da informação não era muito
complexo, pois os arquivos contendo inúmeros papéis podiam ser guardados fisicamente, ou
seja, a segurança era relativamente simples. Bastava trancar os documentos em algum lugar e
restringir o acesso físico àquele local (DIAS, 2000). Com as mudanças tecnológicas e a
difusão do uso dos computadores e da Internet por todas as áreas da empresa, essa
simplicidade nos procedimentos de segurança deixou de existir. A complexidade aumentou
não só em função do número de pessoas que têm acesso às informações quanto das diferentes
formas através das quais essas informações podem ser acessadas. Os dispositivos portáteis
facilitam a transação desses dados em formato digital, tornando os ativos da empresa mais
atrativos para pessoas mal intencionadas.
Com isso, além da segurança física (prevenção contra incêndios, alagamentos,
problemas elétricos, poeira, fraudes, controle de acesso, uso inadequado dos sistemas,
engenharia social, guerras, seqüestros, etc.) surge à necessidade de se criar controles lógicos,
15
de forma a aumentar a probabilidade de que somente pessoas autorizadas possam acessar,
modificar e/ou excluir as informações armazenadas em meio digital.
Segundo Albernaz (2001), a informação é um recurso vital em todas as organizações,
tendo influência em muitos aspectos do negócio e da própria sobrevivência da organização.
Assim, observa-se que a informação é um ativo importante das organizações e que sua
segurança é essencial tanto para o retorno dos investimentos quanto para a continuidade dos
negócios.
Neste cenário o conceito de Segurança de Informação torna-se cada vez mais forte e
evidente. A Segurança da Informação é garantir que as informações (seja em mídias
eletrônicas, papel e até mesmo em conversações pessoais ou por telefone) estejam protegidas
contra o acesso por pessoas não autorizadas (confidencialidade), estejam sempre disponíveis
quando necessárias, e que sejam confiáveis (não tenham sido corrompidas ou adulteradas por
atos de pessoas mal intencionadas).
Para que haja segurança das informações primeiramente deve ser feita uma análise de
risco que identifique todos os riscos (vulnerabilidades + ameaças) que ameacem as
informações, considerando três categorias básicas: riscos administrativos, físicos e
tecnológicos. Com isso, para se implantar uma eficaz segurança da informação dentro de uma
organização é necessário atentar para algumas questões como uma boa análise de riscos, a
definição de uma política de segurança e um plano de contingência.
A política de segurança pode trazer ao ambiente de uma instituição, regras e
procedimentos que devem ser seguidos para a garantia da segurança da informação. De
acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste
num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma
organização. Elas devem ter implementação realista, e definir claramente as áreas de
responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve
também adaptar-se a alterações na organização. As políticas de segurança fornecem um
enquadramento para a implementação de mecanismos de segurança, definem procedimentos
de segurança adequados, processos de auditoria à segurança e estabelecem uma base para
procedimentos legais na sequência de ataques.
Por fim, caso a organização sofra algum ataque aos seus ativos, é importante que a
mesma possua um plano de contingência para fornecer procedimentos e capacidades
necessárias para a recuperação de uma aplicação específica ou sistemas complexos.
De acordo com uma pesquisa feita em agosto de 2009 pela revista Você S/A, uma em
cada três pequenas e médias empresas da América Latina já enfrentou falhas de segurança de
16
suas informações. O número é resultado de um estudo com 1.425 companhias consultadas
pela fabricante de software Symantec. Entre as consultadas, 45% afirmaram que planejam
manter investimentos e outras 42% disseram ter a intenção de aumentar aportes em tecnologia
este ano, para evitar problemas com a segurança de suas informações.
Isso retrata que as empresas estão cada vez mais em busca de segurança para seus
ativos e que, para isso é necessário um trabalho árduo e eficaz na implementação de métodos
capazes de garantir tal necessidade. A segurança da informação é uma proposta que deve ser
estudada e analisada com profundidade antes de ser implementada, pois não se trata apenas de
ações isoladas ou controles de relatórios, é necessário implantar uma boa política de
segurança capaz de garantir a heterogeneidade das ações e o pleno funcionamento desta.
Esse trabalho tem o intuito de identificar os principais métodos adotados por uma
empresa de grande porte na cidade de Recife a fim de analisar se os mesmos são capazes de
garantir a segurança da informação dentro da empresa, mas precisamente no setor de TI. Com
essa análise é possível verificar o comportamento desta empresa com relação ao uso de
políticas de segurança e os métodos de controle da segurança da informação para garantir a
confidencialidade, integridade e disponibilidade de seus ativos.
1.2 Objetivos
1.2.1 Objetivo Geral
O Objetivo Geral deste trabalho é identificar e avaliar as principais medidas da política
de segurança adotada pela Companhia Hidro Elétrica do São Francisco e verificar se as
mesmas podem garantir a confiabilidade, integridade e disponibilidade de seus ativos,
considerando as medidas utilizadas e a percepção dos funcionários com relação à política
adotada.
1.2.2 Objetivos Específicos
Para alcançar o objetivo geral desta pesquisa foi estabelecida uma série de objetivos
específicos, que são:
17
• Identificar as medidas adotadas para garantir a segurança da informação dentro da
empresa;
• Identificar e conceituar métodos para avaliação de Segurança da Informação conforme
a norma ISO/IEC 27002;
• Analisar as políticas de segurança adotadas com relação à confiabilidade, integridade e
disponibilidade da informação;
• Verificar o nível de capacitação e entrosamento dos funcionários do setor de TI com a
política de segurança da empresa;
• Definir possíveis recomendações e propostas de implementações futuras para garantir
um nível maior de segurança da informação dentro da empresa.
1.3 Justificativa Com o crescimento e avanço da Tecnologia da Informação (TI) as empresas passaram
a perceber a importância de investir em tecnologia a fim de alavancar seus lucros e garantir o
destaque no mercado competitivo.
As empresas hoje estão inseridas em um mundo globalizado, com o espaço geográfico
fragmentado, porém fortemente articulado pelas redes, onde a informação, independente do
seu formato, é um dos maiores patrimônios de uma organização moderna, sendo vital para
quaisquer níveis hierárquicos e dentro de qualquer instituição que deseja manter-se
competitiva no mercado. Considerada um ativo importantíssimo para a realização do negócio
a informação deve ser protegida e gerenciada.
Neste sentido, desde a década de 80 vêm sendo criadas normas para segurança da
informação. Por exemplo, em 1987 o Department Of Trade Centre (UK DTI) criou o
Comercial Computer Security Centre (CCSC) o qual possuía dois objetivos principais:
1. Auxiliar companhias britânicas que comercializavam produtos para segurança de
tecnologia da informação através da criação de critérios para avaliação da segurança; e
2. A criação de um código de segurança para os usuários das informações.
Em 1989 foi publicada a primeira versão do código de segurança denominado
PD0003- Código para Gerenciamento da Segurança da Informação. Em 1995 esse código foi
revisado e publicado como uma norma britânica, a BS7799:1995. Essa norma foi revisada e
alterada mais algumas vezes até que em 1º de dezembro de 2000 foi homologada pela
International Standartization Organization (ISO) como ISO/IEC 17799:2000. No Brasil sua
18
homologação ocorreu pela Associação Brasileira de Normas Técnicas (ABNT) sendo
denominada como NBR ISO/IEC 17799:2005, atualmente norma ISO 27002.
Neste contexto, o presente trabalho justifica-se por enfatizar a utilização de políticas
de segurança e a sua relevância dentro de um ambiente corporativo. Garantir a segurança dos
ativos da empresa e definir métodos eficazes para alcançar tais objetivos são papéis
importantes que devem ser seguidos pelas corporações de pequeno, grande e médio porte.
Além de sua importância para o mercado, o estudo sobre segurança da informação e suas
políticas, centradas nesta pesquisa em uma empresa de grande porte, também são de grande
relevância para o meio acadêmico uma vez que este trabalho destaca pontos importantes a
respeito das tecnologias e segurança da informação, pois é possível identificar e analisar os
conceitos e características das políticas de segurança a fim de aprimorar os estudos na área e
enriquecer seu conteúdo teórico.
19
2. Revisão da Literatura
Nesse capítulo são descritas as referências literárias que foram estudadas para o
desenvolvimento dessa pesquisa, assim foram direcionadas a análise do tema e aos objetivos.
A seção 2.1 aborda os assuntos a cerca dos ativos da empresa e do valor da informação dentro
das organizações. A seção 2.2 traz o conceito de segurança da informação e discorre a
respeito das suas principais características e importância para as empresas. Na próxima seção
serão esclarecidas questões relacionadas a ameaças a segurança e vulnerabilidade.
Na seção 2.4 serão expostos os fundamentos da segurança da informação com base na
NBR ISO/IEC 27002, mais especificamente voltado para as medidas organizacionais
estabelecidas na empresa. A seção seguinte aborda o conceito de políticas de segurança com
maior profundidade, esclarecendo desde seu processo de implementação a tipos de políticas
que podem ser implantadas nas organizações.
A seção 2.6 permite um esclarecimento a respeito das legislações e regulamentação
que regem a segurança da informação, bem como aspectos de conformidade dessas medidas,
direitos de propriedade intelectual e proteção dos dados. O capítulo finaliza com a seção 2.7
que trata a respeito dos processos de auditoria voltados à avaliação dos procedimentos de
controle e segurança vinculados ao processamento das informações.
2.1 Ativos e o valor da informação
A Informação é o resultado do processamento, manipulação e organização de dados,
de tal forma que represente uma modificação (quantitativa ou qualitativa) no conhecimento do
sistema (pessoa, animal ou máquina) que a recebe.
Informação enquanto conceito carrega uma diversidade de significados, do uso
cotidiano ao técnico. Genericamente, o conceito de informação está intimamente ligado às
noções de restrição, comunicação, controle, dados, forma, instrução, conhecimento,
significado, estímulo, padrão, percepção e representação de conhecimento.
Inseridas em um cenário cada vez mais digital, integrado, complexo e dinâmico, as
instituições, públicas e privadas, têm ampliado suas percepções a respeito do valor e da
necessidade de segurança de suas informações. Garantir a integridade de seus processos, a
20
despeito da utilização de novas tecnologias como a disponibilização de aplicações na web¹,
wireless² e a integração total de seus negócios, tornou-se requisito essencial.
Desta forma Melo (1999) comenta que, cabe um destaque aos administradores,
profissionais das áreas administrativo-financeiras e contábeis das empresas, pois os mesmos
são os responsáveis pela passagem de processamento manual para processamento eletrônico
de dados, nas empresas.
Segundo Albertin (1996, p. 17):
a informática é “a ciência do tratamento racional e automático da informação, considerada esta como suporte dos conhecimentos e comunicações”, a informação é“... o conhecimento amplo e bem fundamentado, resultante da análise e combinação de vários informes, ou, ainda, coleção de fatos ou de outros dados fornecidos a máquina, a fim de objetivar um processamento...”.
As informações se tornaram importantes nos meios organizacionais e no mundo
globalizado, sendo aproveitadas pelas empresas como elemento de adesão na tomada de
decisão e no planejamento estratégico voltado as várias áreas, desta forma Foina (2001, p. 17)
comenta que:
As empresas relacionam-se entre si e com o mundo externo por meio de trocas de informações, insumos e produtos em geral. Assim, podemos perceber a importância da informação para uma operação bem-sucedida nas empresas. Num mundo globalizado e altamente informatizado, a informação é um dos produtos mais valiosos para a gestão da empresa. A informação certa, no formato adequado e na hora certa pode mostrar oportunidades de negócios que levam os executivos a tomarem decisões importantes para o sucesso do negócio.
Neste contexto, é possível identificar a informação como um ativo importante dentro
da empresa que deve ser trabalhada com afinco para a obtenção de resultados satisfatórios.
O termo “ativo” representa os bens³ e direitos que a empresa tem num determinado
momento, resultante de suas transações ou eventos passados das quais futuros benefícios
econômicos podem ser obtidos. É tudo aquilo que está envolvido diretamente com o processo
de manipulação da informação, isso incluindo a própria informação, ou seja, são os processos,
as pessoas e a tecnologia.
____________________________ 1 A World Wide Web (também chamada Web ou WWW) é, em termos gerais, a interface gráfica da Internet. Ela é um sistema de informações organizado de maneira a englobar todos os outros sistemas de informação disponíveis na Internet. (Fonte: http://www.icmc.usp.br/ensino/material/html/www.html)
² Também conhecida como rede sem fio, significa um sistema de antenas interligadas entre si, que transmitem informações via ondas de rádio. (Fontes: http://sisnema.com.br/Materias/idmat002959.htm) ³ Itens de propriedade da entidade que possuem valores.
21
Os ativos de uma empresa podem ser classificados da seguinte forma:
• Ativos de Informação: banco de dados, documentação de sistemas, plano de
continuidade, material de treinamento, informações arquivadas, etc.
• Ativos de Software: aplicações, sistemas operacionais, ferramentas de
desenvolvimento e utilitários.
• Ativos Físicos: computadores, equipamentos de comunicação (roteadores,
switches), mídias magnéticas, acomodações, etc.
• Serviços: computação e serviços de comunicação, utilidades gerais como
eletricidade, ar-condicionado, etc.
Nesta pesquisa, o foco será em analisar os ativos de informação, ou seja, aqueles
ativos que basicamente suportam os negócios da empresa, pois, uma vez perdidos ou
danificados sua recuperação por muitas vezes pode ser lenta, custosa ou, em alguns casos,
irrecuperável.
2.2 Segurança da Informação
Conceitualmente a segurança pode ser definida como a proteção de informações,
sistemas, recursos e serviços contra desastres, erro e manipulação não autorizada, de forma a
reduzir a probabilidade e o impacto de incidentes de segurança (DIAS, 2000).
A segurança da informação deve ser implantada em todas as áreas da organização,
pois são encontradas em diversos meios como: impresso ou escrito, armazenado
eletronicamente, enviado pelo correio ou através de meios eletrônicos.
Dias (2000) também afirma que quando existe o pensamento da segurança de
informação, imagina-se a proteção das informações, não importando onde estejam. A
expectativa de todo usuário é que a informação esteja disponível no computador, sem que
pessoas não autorizadas tenham tido qualquer acesso a seu conteúdo. Segundo a ABNT
(2005), segurança da informação protege a informação de diversos tipos de ameaças para
garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno
dos investimentos e as oportunidades de negócio.
A preocupação das empresas em garantir a segurança da informação, principalmente
após o advento das tecnologias da informação, possui justificativas concretas. Em 2010, em
22
uma pesquisa feita pela empresa Symantec4 mostra aumento de ataques cibernéticos contra
empresas de todo mundo. O estudo descobriu que só na América Latina 42% das
organizações classificam a segurança como seu problema principal (Gráfico 1). A empresa
também afirma que 75% das organizações sofreram ataques cibernéticos nos últimos 12
meses. Esses ataques custam às empresas uma média de USD 2 milhões por ano. Por último,
as organizações revelaram que a segurança empresarial está se tornando mais difícil devido à
falta de pessoal e as novas iniciativas de TI que intensificam os problemas de segurança e os
problemas de compatibilidade de TI.
Gráfico 1: Riscos com relação à segurança da informação pelas empresas (Symantec Corp.).
Para orientar a análise, o planejamento e a implementação da segurança para um
determinado grupo de informações que se deseja proteger, verificou-se três requisitos básicos
para garantir a segurança da informação: Confidencialidade, Integridade e Disponibilidade.
A também chamada tríade C-I-A (Confidentiality, Integrity and Availability) está
relacionada não só a segurança restrita a sistemas computacionais, sistemas de
armazenamento ou informações eletrônicas. O conceito se aplica a todos os aspectos de
proteção de informações e dados. O conceito de Segurança Informática ou Segurança de
Computadores está intimamente relacionado com o de Segurança da Informação, incluindo
não apenas a segurança dos dados/informação, mas também a dos sistemas em si.
____________________________ 4 Empresa conhecida mundialmente por fornecer soluções de segurança, armazenamento e gerenciamento de sistemas.
23
2.2.1 Confidencialidade
Na perspectiva de Spanceski (2004) confidencialidade é proteger informações contra
acesso por alguém não autorizado - interna ou externamente. Consiste em proteger a
informação contra leitura e/ou cópia por alguém que não tenha sido explicitamente autorizado
pelo proprietário daquela informação.
Ainda referindo ao mesmo autor a informação deve ser protegida qualquer que seja a
mídia que a contenha, como por exemplo, mídia impressa ou mídia digital. O objetivo da
confidencialidade é proteger informação privada (SPANCESKI, 2004).
2.2.2 Integridade
Trata-se da propriedade que garante que a informação que está sendo manipulada
mantenha todas as características originais estabelecidas pelo proprietário da informação,
evitando que dados sejam apagados ou de alguma forma alterados, sem a permissão do
proprietário, incluindo controle de mudanças e a garantia do seu ciclo de vida da informação
(nascimento, manutenção e destruição).
A integridade de dados também é um pré-requisito para outros princípios da
segurança, uma vez que seu principal objetivo é salvaguardar a veracidade e
complementariedade da informação bem como os seus métodos de processamento. Por
exemplo, se a integridade de um sistema de controle a um determinado sistema operacional
pode ser invadida, então a confidencialidade de seus arquivos pode ser igualmente violada.
2.2.3 Disponibilidade
Assim como as propriedades apresentadas anteriormente para garantir a segurança da
informação em uma organização, a disponibilidade dessas informações também possui papel
fundamental uma vez que ter as informações acessíveis e prontas para uso representa um
objetivo crítico para muitas empresas.
A disponibilidade consiste em garantir que a informação esteja sempre disponível para
uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
Consiste ainda na proteção dos serviços prestados pelo sistema de forma que eles não sejam
24
degradados ou se tornem indisponíveis sem autorização, assegurando ao usuário o acesso aos
dados sempre que necessário.
Um dos principais objetivos da segurança da informação é garantir a manutenção dos
acessos às informações que estão sendo disponibilizadas. Um sistema que esteja indisponível
no momento que o usuário autorizado necessitar de alguma informação pode resultar danos
tão graves quanto a perda ou remoção dessa mesma informação no sistema. Violar a
disponibilidade significa realizar ações que tem como objetivo a negação de acesso a um
sistema, informação ou serviço, por exemplo, não permitir o acesso de um usuário autorizado
a um servidor de banco de dados garante a indisponibilidade da informação que está sendo
requisitada ou manipulada.
2.3 Ameaças à Segurança e Vulnerabilidades
As ameaças ligadas à segurança da informação são relacionadas diretamente com a
perda de uma de suas 03 (três) características principais descritas anteriormente, que são:
• Perda de Confidencialidade: Quando há uma quebra de sigilo de uma
determinada informação permitindo com que as informações confidenciais sejam
expostas, as quais seriam acessíveis apenas por um determinado grupo de usuários.
• Perda de Integridade: Acontece quando uma determinada informação fica
exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não
foram aprovadas e não estão sob o controle do proprietário da informação.
• Perda de Disponibilidade: Ocorre quando a informação deixa de estar acessível
no momento que é requisitada, seja por fatores internos, externos ou por falha de
algum equipamento.
Com o advento da Internet5 e das redes de computadores as ameaças a sistemas e as
informações, tornou-se alvo de grandes ataques. No caso de ameaças à rede de computadores
ou a um sistema, estas podem vir na forma de softwares maliciosos desenvolvidos pelos
chamados crackers6, que tem como principal objetivo prejudicar de forma economia, social
ou financeira uma organização. Os vírus hoje preocupam bastante, pois circulam rapidamente
____________________________
5 Conglomerado de redes em escala mundial de milhões de computadores interligados pelo protocolo TCP/IP que permite o acesso a informações e todo tipo de transferência de dados. 6 Termo usado para designar quem pratica a quebra (ou cracking) de um sistema de segurança, de forma ilegal ou sem ética.
25
e causam fortes danos. Existem ainda diversos usuários que fazem uso de modems para
conexão com a Internet, muitas vezes contornando os controles e proteções da rede ou de um
firewall7 corporativo.
Nesta perspectiva, é possível verificar que as ameaças com relação à segurança da
informação dentro das organizações são iminentes. Mas para que haja tais ameaças, a empresa
deve se preocupar com outro ponto crítico relacionado a essa segurança, a vulnerabilidade.
Vulnerabilidades são fragilidades ou deficiências presentes ou associadas a
componentes envolvidos nas etapas do ciclo de vida da informação. Moreira (2001, p.22)
afirma que:
A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque, ou seja, é uma condição encontrada em determinados recursos, processos, configurações, etc. Condição causada muitas vezes pela ausência ou ineficiência das medidas de proteção utilizadas de salvaguardar os bens da empresa. (Moreira, 2001, p.22)
Uma vulnerabilidade pode partir das próprias medidas de segurança implantada na
organização, se existir estas medidas, porém configuradas de maneira incorreta, então a
empresa possuirá uma vulnerabilidade e não uma medida de segurança.
O surgimento das vulnerabilidades pode ter diversas causas. Cada empresa, cada
ambiente pode possuir diversas vulnerabilidades e cada vulnerabilidade pode estar em
diversos ambientes. (MOREIRA, 2001, p25)
Segundo Sêmola (2003), essas vulnerabilidades estão ligadas também a diversos
outros fatores, podendo ser de origem humana, física, natural, por software, hardware entre
outras (Figura 1).
Os danos e perdas causados por um incidente de segurança acontecem em decorrência
de medidas mal implementadas ou mal utilizadas que possibilitam pontos vulneráveis.
Algumas medidas de segurança podem ser adequadas para determinada situação e inadequada
para outras. Deve-se buscar a melhor relação custo/benefício para garantia da segurança da
informação. As vulnerabilidades irão diminuir a partir do momento que medidas adequadas de
segurança sejam implantadas.
____________________________
7 Dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede impedindo a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra.
26
Ainda não é possível identificar um modelo ideal ou um pacote de segurança que pode
ser usado para resolver todos os problemas de segurança da informação de uma empresa.
Porém, a implementação das normas da ISO/IEC voltadas para a segurança da informação
tem como um dos objetivos principais administrar essas vulnerabilidades através de controles
que vão desde a segurança física dos dados quanto ao controle lógico e de pessoal dessas
informações.
Figura 1: Diversidade panorâmica das vulnerabilidades (SÊMOLA, 2003).
27
2.4 Norma NBR ISO/IEC 27002
A norma NBR ISO/IEC 27002 - Código de Prática para a Gestão de Segurança da
Informação - tem como objetivo estabelecer diretrizes e princípios gerais para iniciar,
implementar, manter e melhorar a gestão de segurança da informação em uma organização.
Anteriormente esta norma era conhecida como NBR ISO/IEC 17799, mas a partir de 2007 a
nova edição da ISO/IEC 17799 foi incorporada ao novo esquema de numeração como
ISO/IEC 27002.
A parte principal da norma se encontra distribuída em 11 seções, que correspondem a
controles de segurança da informação, conforme apresentado a seguir: Políticas de
Segurança da Informação, Organização da Segurança da Informação; Gestão de Ativos;
Segurança em Recursos Humanos; Segurança Física e do Ambiente; Gerenciamento das
Operações e Comunicações; Controle de Acesso; Aquisição, Desenvolvimento e
Manutenção de Sistemas; Gestão de Incidentes se Segurança da Informação; Gestão da
Continuidade dos Negócios e Conformidade. As Políticas de Segurança serão abordadas
com maior profundidade na próxima subseção deste capítulo, pois está diretamente
relacionada com o objetivo geral desta pesquisa.
2.4.1 Organização da Segurança da Informação
Para implementar a Segurança da Informação em uma organização, é necessária que
seja estabelecida uma estrutura para gerenciá-la. Para isso, as atividades de segurança da
informação devem ser coordenadas por representantes de diversas partes da organização, com
funções e papéis relevantes. Todas as responsabilidades pela segurança da informação
também devem estar claramente definidas. É importante ainda que sejam estabelecidos
acordos de confidencialidade para proteger as informações de caráter sigiloso, bem como as
informações que são acessadas, comunicadas, processadas ou gerenciadas por partes externas,
tais como terceiros e clientes.
2.4.2 Gestão de Ativos
Ativo, de acordo com a norma, é qualquer coisa que tenha valor para a organização.
Gestão de Ativos, portanto, significa proteger e manter esses ativos. Para que eles sejam
28
devidamente protegidos, devem ser primeiramente identificados e levantados, com
proprietários também identificados e designados, de tal forma que um inventário de ativos
possa ser estruturado e posteriormente mantido. As informações e os ativos ainda devem ser
classificados, conforme o nível de proteção recomendado para cada um deles, e seguir regras
documentadas, que definem qual o tipo de uso é permitido fazer com esses ativos.
2.4.3 Segurança em Recursos Humanos
Antes de realizar a contratação de um funcionário, fornecedores e terceiros, é
importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel
que desempenhará. Portanto, as descrições de cargo e os termos e condições de contratação
devem ser explícitos, especialmente no que tange às responsabilidades de segurança da
informação. É importante também que quaisquer candidatos sejam devidamente analisados,
principalmente se forem lidar com informações de caráter sigiloso, a fim de mitigar o risco de
roubo, fraude ou mau uso dos recursos.
Durante todo o tempo em que funcionários, fornecedores e terceiros estiverem
trabalhando na empresa, eles devem estar conscientes sobre as ameaças relativas à segurança
da informação, bem como de suas responsabilidades e obrigações, de tal maneira que estejam
preparados para apoiar a política de segurança da informação da organização. Eles também
devem ser educados e treinados nos procedimentos de segurança da informação e no uso
correto dos recursos de processamento da informação. É fundamental ainda que um processo
disciplinar formal seja estabelecido para tratar das violações de segurança da informação.
No momento em que ocorrer o encerramento ou uma mudança na contratação, a saída
de funcionários, fornecedores e terceiros deve ser feita de modo ordenado e controlado, para
que a devolução de todos os equipamentos e a retirada de todos os direitos de acesso sejam
concluídas.
2.4.4 Segurança Física e do Ambiente
As instalações de processamento de informação críticas ou sensíveis devem ser
mantidas em áreas seguras, com níveis e controles de acesso apropriados, incluindo proteção
física. Essa proteção deve ser compatível com os riscos previamente identificados.
29
Os equipamentos também devem ser protegidos contra ameaças físicas e ambientais,
incluindo aqueles utilizados fora do local.
2.4.5 Gerenciamento das Operações e Comunicações
É importante que estejam definidos os procedimentos e responsabilidades pela gestão
e operação de todos os recursos de processamento das informações. Além disso, deve-se
utilizar sempre que necessária a segregação de funções (recomenda-se que uma pessoa realize
uma ou algumas partes de um processo, mas não todas), visando reduzir o risco de mau uso
ou uso indevido dos sistemas. Para o gerenciamento de serviços terceirizados, deve-se
implementar e manter o nível apropriado de segurança da informação e em conformidade com
acordos de entrega de serviços terceirizados.
Para assegurar que mudanças de sistemas ou softwares não possam ser implementadas
de maneira descontrolada, é aconselhado, segundo a norma, criar vários ambientes físicos
para desenvolvimento, teste, aceitação e produção de sistemas de informação. Desta forma,
caso ocorra algum problema grave, será possível reverter para a versão antiga.
É fundamental planejar e preparar a disponibilidade e os recursos do sistema para
minimizar o risco de falhas, bem como prever a capacidade futura dos sistemas, de forma a
reduzir os riscos de sobrecarga. Também deve-se prevenir e detectar a introdução de códigos
maliciosos (malwares) e os usuários devem estar conscientes sobre isso.
Procedimentos para a geração de cópias de segurança e sua recuperação também
devem ser estabelecidos, bem como garantir o gerenciamento seguro de redes. Controles
adicionais podem até mesmo ser necessários para proteger informações confidenciais que
trafegam em redes públicas.
As trocas de informações entre organizações devem ser baseadas em uma política
formal específica, devendo ser efetuadas a partir de acordos entre as partes e sempre em
conformidade com toda a legislação pertinente.
Deve-se ainda implementar mecanismos de monitoração de atividades não
autorizadas de processamento da informação. Os eventos de segurança da informação devem
ser registrados, lembrando que as organizações devem estar aderentes aos requisitos legais
aplicáveis para suas atividades de registro e monitoramento.
30
2.4.6 Controle de Acesso
O acesso à informação, aos recursos de processamento das informações e aos
processos de negócios devem ser controlados com base nos requisitos de negócio e na
segurança da informação. Portanto, deve ser assegurado o acesso de usuário autorizado e
prevenido o acesso não autorizado a sistemas de informação. Para isso, deve haver
procedimentos que englobem desde o cadastro inicial de um novo usuário até o cancelamento
final do seu registro, garantindo assim que já não possuem mais acesso a sistemas de
informação e serviços.
Os usuários sempre devem estar conscientes de suas responsabilidades,
particularmente no que se refere ao uso de senhas e de segurança dos equipamentos de
usuários.
2.4.7 Aquisição, Desenvolvimento e Manutenção de Sistemas
Segundo a norma, sistemas de informação incluem sistemas operacionais, infra-
estrutura, aplicações de negócios, produtos de prateleira, serviços e aplicações desenvolvidas
pelo usuário. Por essa razão, os requisitos de segurança de sistemas de informação devem ser
identificados e acordados antes do seu desenvolvimento e/ou de sua implementação.
As informações devem ser protegidas visando à manutenção de sua confidencialidade,
autenticidade ou integridade por meios criptográficos8.
2.4.8 Gestão de Incidentes de Segurança da Informação
É importante assegurar que eventos de segurança da informação sejam comunicados o
mais rápido possível, de tal forma que a tomada de ação corretiva ocorra em tempo hábil. Para
isso, devem ser estabelecidos procedimentos formais de registro e escalonamento, bem como
todos os funcionários, fornecedores e terceiros devem estar conscientes sobre os
procedimentos para notificação dos diferentes tipos de eventos.
____________________________
8 Conjunto de conceitos e técnicas que visa codificar uma informação de forma que somente o emissor e o receptor possam acessá-la, evitando que um intruso consiga interpretá-la.
31
2.4.9 Gestão da Continuidade do Negócio
Uma organização é dependente de seus ativos, pessoal e atividades que são realizadas
diariamente de forma a manter a organização operando e rentável. A maioria das organizações
tem uma rede complexa de relacionamentos entre fornecedores e ativos, dependentes uns dos
outros para a realização das atividades. Se uma conexão na cadeia de dependências se rompe
isso pode gerar uma séria de problemas para a empresa.
Caso isso ocorra, deve-se impedir a interrupção das atividades do negócio e proteger
os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar que a sua
retomada ocorra em tempo hábil.
Para isso, planos de continuidade do negócio, incluindo controles para identificar e
reduzir riscos, devem ser desenvolvidos e implementados, visando assegurar que as operações
essenciais sejam rapidamente recuperadas.
2.4.10 Conformidade
Deve-se garantir e evitar a violação de qualquer lei criminal ou civil, estatutos,
regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da
informação.
Para isso, é conveniente contratar, caso necessário, consultoria especializada, bem
como analisar criticamente a segurança dos sistemas de informação a intervalos regulares,
verificando, sobretudo, sua conformidade e aderência a requisitos legais e regulamentares.
Em resumo, nota-se claramente ao longo de toda a norma, que a característica
predominante é a prevenção, evitando-se a todo o custo, a adoção de medidas de caráter
reativo. Mesmo as que forem reativas, como por exemplo, a execução de um plano de
continuidade de negócios, são previamente planejadas para que, no momento oportuno e se
necessárias, sejam devidamente implementadas.
2.5 Políticas de Segurança
Política de segurança é basicamente um documento contendo a formalização das
regras que devem ser conhecidas e obedecidas pelas pessoas que tem acesso às tecnologias e
às informações da empresa. Esse documento deve conter, entre outros, os conceitos de
32
segurança da informação, as políticas, o comprometimento da direção com a política, uma
estrutura para estabelecer os objetivos de controle, a estrutura de análise e avaliação e
gerenciamento de riscos, princípios, normas e requisitos de conformidade de segurança da
informação específicos para a empresa.
A política de segurança é a base para todas as questões relacionadas à proteção da
informação, desempenhando um papel importante em todas as organizações. Sendo bem
fundamentada e estruturada ela é essencial, pois define normas, procedimentos,
monitoramento de seus recursos computacionais, ferramentas e responsabilidades para
garantir o controle e a segurança da informação na empresa.
A principal finalidade de uma política de segurança é informar aos funcionários e
gerentes, as suas obrigações para a proteção da tecnologia e do acesso à informação. A
política deve especificar os mecanismos através dos quais estes requisitos podem ser
alcançados. Outra finalidade é oferecer um ponto de referência a partir do qual se possa
adquirir, configurar e auditar sistemas computacionais e redes, para que sejam adequados aos
requisitos propostos. A política de segurança atribui direitos e responsabilidades às pessoas
que lidam com os recursos computacionais de uma instituição e com as informações neles
armazenados. Ela também define as atribuições de cada um em relação à segurança dos
recursos com os quais trabalham.
A política de segurança pode ser dividida em vários níveis, podendo ser de um nível
mais genérico, como o objetivo que os executivos possam entender o que está sendo definido,
nível dos usuários de maneira que eles tenham consciência de seus papéis para a manutenção
da segurança na organização, e podendo ser de nível técnico que se refere aos procedimentos
específicos como, por exemplo, a implementação das regras de filtragem do firewall.
O início do planejamento da política de segurança exige uma visão abrangente, de
modo que os riscos sejam entendidos para que possam ser enfrentados. É comum a política de
segurança ser implementadas seguindo uma estrutura hierárquica, pois outros documentos,
regulamentos, procedimentos, guias e normas poderão ser desenvolvidos tendo a política da
organização como base.
Existe um grande caminho entre a elaboração de uma política e sua implementação.
Por se tratar de um documento que sofrerá muitas atualizações, é ideal que a política
de segurança seja acompanhada e revisada para identificar possíveis falhas e
também ser atualizada a cada nova norma, procedimento ou regulamento implementado.
33
A norma ISO/IEC 27002 sugere um acompanhamento através do ciclo continuo de
aprimoramento do sistema de gestão da segurança da informação. Esse ciclo, conhecido como
PDCA (Plan – Do – Check – Act ) é implementado da seguinte maneira, conforme mostra :
Figura 2: Ciclo PDCA (CANO, 2006)
O ciclo começa pelo planejamento (Plan) onde são estabelecidos os objetivos,
procedimentos e processos necessários para atingir os resultados; em seguida serão
executadas (Do) as atividades planejadas; após executar as tarefas planejadas é preciso
verificar (Check) e monitorar periodicamente os resultados, avaliar os processos comparando-
os com o planejado, consolidar informações e confeccionar relatórios; por fim, agir (Act) de
acordo com o avaliado, confeccionando planos de ação de forma a melhorar a qualidade e
eficiência, aprimorando a execução e corrigindo falhas.
A política de segurança deve ser definida de acordo com os objetivos de negócios da
organização. Segundo Wadlow (2000, p.33) existem algumas diretrizes para se escrever a
política de segurança onde deve-se priorizar a relevância do conteúdo, a seriedade de sua
implementação, a atualização freqüente e a facilidade de acesso a essa política em linguagem
clara e objetiva.
34
2.5.1 Tipos de Políticas
As políticas de segurança dentro de uma organização podem ser de três tipos
diferentes: Regulatória, Consultiva e Informativa.
Conforme Ferreira (2003, p.34) políticas regulatórias são implementadas devido às
necessidades legais que são impostas à organização. Normalmente são muito específicas para
um tipo de ramo de atividade. Descreve detalhadamente o que deve ser feito, quem deve fazer
e fornecer algum tipo de parecer, relatando qual ação é importante.
As políticas consultivas não são obrigatórias, porém muito recomendadas. Ela sugere
quais ações e métodos devem ser utilizados para a realização de uma determinada tarefa ou
atividade.
O terceiro tipo de política possui caráter apenas informativo, nenhuma ação é desejada
e não existem riscos, caso não seja cumprida. Devem ser específicas, sucintas, de vocabulário
simples e formalizar o que é esperado dos funcionários na utilização dos recursos
tecnológicos.
2.6 Legislações e Regulamentações conforme norma ISO/IEC
27002
Para que uma empresa consiga alcançar seus objetivos de negócios é imprescindível
que a mesma observe legislações, regulamentos e obrigações contratuais locais e
internacionais. Os requisitos de segurança que uma empresa precisa atender estão
relacionados a estes. Como citado na subseção 2.4.10, a conformidade está relacionada a algo
que uma organização deve atender, ou seja, uma organização precisa observar tanto
regulamentos internos como leis, requisitos de legislação e regulamentos locais.
Conformidade não envolve apenas observar a legislação e regulamentos prescritos por
governos, mas regras internas também devem ser consideradas. Nos últimos anos, padrões
internacionais para segurança da informação têm sido desenvolvidos em forma de guias ou
requisitos para segurança da informação. Derivado do padrão britânico BS 7799, uma padrão
ISO foi desenvolvido e agora conhecido como ISO 27002. Atualmente muitas empresas
nacionais e internacionais adotam esse padrão de medidas de segurança em suas organizações.
35
De acordo com esse paradigma, algumas diretrizes precisam ser consideradas a fim de
proteger o material que pode ser considerado propriedade intelectual, como o software, por
exemplo. Algumas dessas diretrizes são:
• Definir o uso legal dos programas de computador;
• Manter conscientização da política para proteção dos direitos de propriedade
intelectual, que incluem direitos de cópia (copyright), para programas de
computador, documentos, marcas patentes e licença de código-fonte;
• Compra programas apenas de fornecedores conhecidos e de boa reputação;
• Se o produto for de fonte aberta (open source), a licença associada precisa ser
respeitada e observada;
• Manter um registro de ativos.
Um dos aspectos que a gestão deve incluir na política de segurança da informação é a
forma que as instalações de TI podem ser usadas dentro das organizações. O uso destas
instalações para propósitos pessoais ou não autorizados deve ser considerado uso
inapropriado, ou seja, um risco para a segurança.
No Brasil, existem alguns acordos e legislações relevantes em termos de segurança da
informação, abrangendo análise de riscos, confidencialidade de dados e planos de
continuidade dos negócios. Órgãos como a SUSEP, ANS, CVM, TCU desempenham papel
importante nessas diretrizes relacionadas à segurança.
2.7 Processo de Auditoria de Sistemas
Auditoria de sistemas é uma atividade voltada à avaliação dos procedimentos de
controle e segurança vinculados ao processamento das informações. Suas principais funções
são: documentar, avaliar e monitorar sistemas de controle legais, sistemas gerencias de
aplicação e sistemas operacionais. De acordo com Brasil (2000) é um tipo de auditoria através
da qual os auditores recorrem ao estudo dos sistemas e em especial ao estudo do controle
interno da entidade fiscalizada e à identificação dos eventuais pontos fortes e/ou deficiências
desse controle interno, com o fim de definir o local, a natureza e o âmbito dos trabalhos de
auditoria que julguem necessários para formularem o seu parecer.
Segundo Dias (2000) na auditoria são verificados os padrões e políticas adotadas pela
organização, a operação sobre sistemas e dados, o controle interno da entidade auditada e
todos os aspectos relacionados à segurança de informações. Através deste trabalho o auditor
36
interno ou externo irá averiguar se as regulamentações estão sendo atendidas dentro da
organização, isto é, se as medidas definidas estão sendo aplicadas corretamente e se estão
sendo eficazes.
Para garantir a confiabilidade, durante o processo de auditoria os auditores solicitam
informações de um sistema enquanto ele ainda está processando. É importante ressaltar o
registro de um número muito grande de eventos torna a auditoria bastante completa, mas por
outro lado torna o sistema lento, aumentando a necessidade de armazenamento, afetando a
capacidade de processamento do computador e impossibilitando a realização da auditoria.
Com isso é importante assegurar que durante esse processo não haja falhas nem interrupção
dos processos.
O uso de softwares ou banco de dados na auditoria deve ser conservado
separadamente dos sistemas de desenvolvimento e produção, e não deve ser armazenado em
fitas ou salas de usuários sem a devida medida de proteção adequada. Medidas como restrição
de acesso para somente aqueles sistemas que o auditor necessita para sua investigação devem
ser implementadas. Finalizado o processo de auditoria, a organização deve alterar todos os
privilégios de acesso que tenha sido fornecido ao auditor, com o objetivo de garantir a
segurança da informação.
37
3. Metodologia da Pesquisa
Para cada pesquisa cientifica são utilizados conhecimentos, métodos, técnicas e outros
procedimentos científicos que vão desde a adequada formulação do problema até a satisfatória
apresentação dos resultados. Portanto, neste capítulo serão apresentados os métodos
escolhidos para a obtenção das respostas a pergunta-problema definida nesta pesquisa.
3.1 Natureza da Pesquisa
Segundo Gil (1999, p.42), a pesquisa é um processo formal e sistemático de
desenvolvimento do método científico, cujo objetivo fundamental é descobrir respostas para
problemas, mediante o emprego de procedimentos científicos. Em termos de classificação, a
pesquisa possui diferentes aspectos: quanto aos fins, quanto aos meios e quanto à forma de
abordagem.
3.1.1 Quanto aos fins
Quanto aos fins, a pesquisa é dita descritiva, pois de acordo com Gil (1999, p.46) este
tipo de pesquisa adota como objetivo primordial as descrições das características de uma
determinada população ou de determinado fenômeno ou o estabelecimento de relações entre
variáveis. Segundo Godoy (1995), é descritivo o estudo que procura descrever um fenômeno
específico com o intuito de conhecer sua natureza, os processos que o compõem ou que nele
ocorrem. Envolve o uso de técnicas padronizadas de coleta de dados, como questionários e
observação sistemática e, embora sirva de base, não tem compromisso de explicar os
fenômenos que descreve.
3.1.2 Quanto aos meios
Quanto aos meios, a pesquisa pode ser caracterizada por: Estudo de Caso, Pesquisa de
Campo e Pesquisa Bibliográfica.
Segundo Yin (2001) o estudo de caso é um modo de pesquisa empírica que investiga
fenômenos contemporâneos em seu ambiente real, quando os limites entre o fenômeno e o
38
contexto não são claramente definidos; quando há mais variáveis de interesse do que pontos
de dados; quando se baseia em várias fontes de evidências; e quando há proposições teóricas
para conduzir a coleta e a análise dos dados. A pesquisa é centrada na formulação de um
estudo de caso, cujo objeto de estudo é a segurança da informação em um ambiente
corporativo de grande porte.
Todo trabalho científico requer uma prévia de Pesquisa Bibliográfica que “constitui
geralmente o primeiro passo de qualquer pesquisa científica” assim afirmam Cervo e Bervian
(1996, p.48). A “pesquisa bibliográfica é elaborada a partir de material já publicado,
constituído principalmente de livros, artigos de periódicos e atualmente com material
disponibilizado na Internet” (SILVA, 2006). Desta forma torna-se imprescindível o
levantamento desses materiais tanto para compor a fundamentação teórica ou mesmo para
justificar os próprios resultados desta pesquisa.
Também é definida como Pesquisa de Campo por ser “a investigação empírica
realizada no local onde o fenômeno ocorre ou que dispõe de elementos para explicá-lo”
(VERGARA 2000, p.47). Ela procede à observação de fatos e fenômenos exatamente como
ocorrem no real, à coleta de dados referentes aos mesmos e, finalmente, à análise e
interpretação desses dados, com base numa fundamentação teórica consistente, objetivando
compreender e explicar o problema pesquisado.
3.1.3 Quanto a forma de abordagem
Quanto à forma de abordagem do problema, caracteriza-se como uma pesquisa
qualitativa e quantitativa. É uma pesquisa qualitativa, pois “verifica uma relação dinâmica
entre o mundo real e o sujeito, isto é, um vínculo indissociável entre o mundo objetivo e a
subjetividade do sujeito que não pode ser traduzido em números” (MINAYO, 2003). Segundo
Godoy (1995, p.58) “considera o ambiente como fonte direta dos dados e o pesquisador como
instrumento chave”. Também é considerada qualitativa, pois se baseia em pequenas amostras,
e estimula aos entrevistados a pensarem livremente sobre o determinado tema.
A pesquisa também caracteriza-se como quantitativa, pois "as pesquisas quantitativas
consideram que tudo pode ser quantificável, o que significa traduzir em números opiniões e
informações para classificá-las e analisá-las” afirma Moresi (2004 p. 57). Segundo Malhotra
(2001, p. 155), “a pesquisa quantitativa procura quantificar os dados e aplicar alguma forma
de análise estatística”. A razão para se conduzir uma pesquisa quantitativa é descobrir quantas
39
pessoas de uma determinada população compartilham uma característica ou um grupo de
características (LAKATOS, 1991). Esta forma de abordagem se aplica aos objetivos desta
pesquisa, pelo fato de privilegiar o significado das informações coletadas (BOAVENTURA,
2004).
A pesquisa aborda essas duas formas, pois, tem como objetivo coletar o máximo de
informações possíveis a cerca da empresa estudada, analisando de forma qualitativa de um
lado os responsáveis pela política de segurança da empresa e do outro analisar de forma
quantitativa a percepção dos funcionários do departamento de TI com relação às medidas
implementadas por esses responsáveis e consequentemente pela empresa.
3.2 Instrumento de Coleta de Dados e Análise dos Resultados
Nesta pesquisa foram utilizados dois instrumentos para coleta de dados: a entrevista e
o questionário.
A entrevista caracteriza-se pela interação entre pesquisador e pesquisado, ou seja,
formulam-se perguntas ao respondente com o objetivo de coletar informações que possam ou
ajudem a resolver o problema de pesquisa, em um determinado estudo. Para Gil (1999, p.
117) “é a técnica em que o investigador se apresenta frente ao investigado e lhe formulam
perguntas, com o objetivo de obtenção dos dados que lhe interessam a investigação”. É ainda
dita uma entrevista semi-estruturada, pois de acordo com Gil (1999, p. 120), “o entrevistador
permite ao entrevistado falar livremente sobre o assunto, mas, quando este se desvia do tema
original, esforça-se para a sua retomada”.
O questionário também foi utilizado como instrumento de coleta de dados, pois
segundo Marconi & Lakatos (1990) é um instrumento constituído por uma série ordenada de
perguntas, que devem ser respondidas por escrito e sem a presença do entrevistador. O
questionário deve ser objetivo, limitado em extensão e estar acompanhado de instruções As
instruções devem esclarecer o propósito de sua aplicação, ressaltar a importância da
colaboração do informante e facilitar o preenchimento. Por esta pesquisa já ser apoiada pela
entrevista, as perguntas do questionário foram fechadas, com o intuito de facilitar a coleta dos
dados bem como obter o maior número de questões resolvidas e devolvidas ao pesquisador.
A entrevista foi realizada antes da entrega do questionário, pois tinha como objetivo
principal, facilitar a interação com o pesquisado, bem como obter informações mais precisas
40
com o profissional de TI responsável pela segurança da informação, sobre o objeto de estudo
que poderiam não ser obtidas com as perguntas fechadas do questionário.
Na análise dos resultados da pesquisa foi importante definir a maneira como os dados
qualitativos seriam tratados após o levantamento.
A partir do levantamento bibliográfico, do estudo de caso, da pesquisa de campo e da
utilização do questionário e entrevista como instrumento de coleta de dados foi possível
realizar a leitura dos dados obtidos. Na interpretação do questionário foi utilizada a análise de
conteúdo, que permitiu "obter, por procedimentos sistemáticos e objetivos de descrição do
conteúdo das mensagens, indicadores da inferência de conhecimentos relativos às condições
de produção/recepção (variáveis inferidas) destas mensagens" (BARDIN, 2003, p.42).
Segundo Bardin (2003), esse método é constituído por "um conjunto de técnicas de análise
das comunicações", bastante útil para a realização desta pesquisa.
41
4. Estudo de Caso 4.1 Companhia Hidro Elétrica do São Francisco - CHESF
A Companhia Hidro Elétrica do São Francisco (CHESF) é uma sociedade anônima de
capital fechado que atua na geração e transmissão de energia em alta e extra-alta tensão,
explorando a bacia hidrográfica do rio São Francisco. A CHESF possui escritórios nas
cidades de Teresina, Fortaleza, Sobradinho, São Paulo, Salvador, Brasília, Paulo Afonso e na
sede que se localiza em Recife. A empresa atua no Brasil e exterior e possui cerca de 5.500
funcionários distribuídos entre as regionais.
A missão da companhia é produzir, transmitir e comercializar energia elétrica,
segundo princípios éticos e em sintonia com a preservação ambiental, para atuar com
qualidade e rentabilidade no mercado, contribuindo para o desenvolvimento do Nordeste e do
Brasil, bem como participar de novos negócios no setor eletro energético e em outros
correlatos.
A sede da CHESF que fica localizada na cidade de Recife foi o local de realização do
estudo de caso referente à aplicação e utilização de políticas de segurança. Como é uma
empresa de grande porte, a companhia é subdivida em departamentos e divisões de acordo
com as características e atribuições especificas de cada setor. Os assuntos relacionados a TI
são de responsabilidade da Superintendência de Tecnologia da Informação, esta subdividida
em três departamentos: Departamento de Sistemas de Informação, Departamento de
Relacionamento com cliente de TI e Gestão por Processos e o Departamento de Infra-
estrutura Computacional e Redes, sendo este o departamento no qual foram aplicados os
questionários sobre políticas de segurança. O Departamento de Infra-estrutura Computacional
e Redes é composto por mais duas divisões: a Divisão de Suporte Operacional de Infra-
estrutura de TI e Redes e a Divisão de Projetos de Infra-estrutura de TI e Segurança da
Informação.
Os questionários foram aplicados somente no Departamento de Infra-estrutura
Computacional e Redes, localizado na sede da CHESF, cuja equipe é formada por 30
funcionários. Os questionários foram aplicados apenas neste setor, pois um dos objetivos
específicos deste trabalho é verificar o nível de capacitação e entrosamento dos funcionários
do setor de TI com a política de segurança da empresa. A entrevista foi realizada com a
42
analista de sistemas da Divisão de Projetos de Infraestrutura de TI e Segurança da
Informação, responsável por passar as informações referentes às políticas de segurança da
empresa que serão evidenciadas na próxima seção.
4.2 Análise dos Dados
A coleta dos dados foi realizada através de entrevista e questionários, respectivamente,
que serão abordados nas próximas seções.
4.2.1 Entrevista
Com o objetivo de facilitar a interação com o pesquisado, bem como obter
informações mais precisas sobre o objeto de estudo, foi realizado uma entrevista com a
Analista de Sistemas da Divisão de Projetos de Infraestrutura de TI e Segurança da
Informação da Chesf. A mesma trabalha na equipe de SI e atualmente atua no projeto de
análise de risco e ministra treinamentos e palestras para desenvolvimento de uma cultura em
SI na empresa.
O objetivo desta entrevista foi, após a obtenção dos resultados dela e dos
questionários, fazer uma comparação entre os dois lados envolvidos na adoção e
implementação de uma política de segurança, verificando se o que é proposto pelos
responsáveis por confeccionar esse documento reflete positivamente nos funcionários da
empresa.
A entrevista foi realizada seguindo um roteiro com 44 perguntas abertas (ver Anexo I),
com o objetivo de conseguir maior cobertura das informações relacionadas ao controle de
segurança da informação seguido pela empresa.
As perguntas da entrevista foram subdivididas em temas relacionados à segurança da
informação. As questões de 1 a 12 são relacionadas às políticas de segurança implementadas
na empresa. As questões de 13 a 20 são relacionadas à segurança organizacional e ao controle
de acesso na empresa. De 21 a 24 foram feitas perguntas sobre a segurança de pessoal.
Questões relacionadas à segurança física e do ambiente estão entre as questões 25 a 33. As
perguntas de 34 a 38 são relacionadas ao gerenciamento das operações e comunicação. Por
fim, de 39 a 44 foram realizadas perguntas com relação ao Housekeeping, ou seja, com
relação à organização do ambiente.
43
4.2.1.1 Seção 1 – Questões sobre a política de segurança
Buscou-se com essas perguntas obter maiores informações sobre a política de
segurança através de um dos responsáveis por sua implementação.
De acordo com a entrevistada, a política de segurança existe desde Maio de 2009 e
está acessível a todos os funcionários da empresa. Foi questionada a forma como a política de
segurança (PS) é divulgada para os funcionários e a mesma informou que a PS foi instituída
pela diretoria da empresa através de uma Resolução Normativa, que fica disponível para todos
os empregados através de uma aplicação Notes (ambiente de colaboração). A mesma
informou que utilizam os seguintes meios de divulgação: a) Envio de e-mail marketing
apresentando a PS e passando o link para o empregado acessá-la; b) Ministramos várias
turmas do curso “Educação em SI”, em parceria com a área de Recursos Humanos (RH); c)
Realizando uma campanha em Segurança da Informação, onde são promovidas várias
palestras na sede e nas regionais, divulgando a PS e mostrando a importância do papel de cada
um no processo de SI; d) Disponibilizando na Intranet na empresa um link para a PS e para o
material (slides) utilizado na Campanha de Segurança.
A entrevistada informou ainda que a PS é apoiada pela utilização de vários
normativos, com orientações específicas sobre o uso de cada um dos recursos de TI (correio
eletrônico, Internet, discos públicos, equipamentos móveis, etc.) e o próprio Código de Ética
da empresa. Além dos normativos, a empresa também conta com o auxilio de uma aplicação
Notes que contém todos os normativos da empresa, inclusive o que instituiu a PS, que é
acessada por todos os empregados. A mesma informou que como têm uma série de
normativos voltados para atender as diretrizes da PS, a violação da PS se dará pela violação
dos respectivos normativos.
Com relação às violações da PS, foi perguntado à funcionária se quando ocorre tal
violação, são tomadas medidas para identificar os agentes e causas, corrigindo as
vulnerabilidades e punir os infratores. A mesma informou que sim, entretanto muitas vezes
são adotadas ações educativas e não punitivas.
Ainda nesta seção, a entrevistada foi questionada quanto à formalização de um
processo de análise crítica para se avaliar a efetividade da política de segurança (tipo, volume
e impacto dos incidentes de segurança registrados). Foi obtido como resposta que não foi
formalizado nenhum processo neste quesito.
44
4.2.1.2 Seção 2 – Questões sobre segurança organizacional e controle de acesso
Nesta seção o objetivo é obter maiores informações sobre a segurança organizacional
da informação adotada pela empresa. A entrevistada foi questionada quanto à realização de
auditorias de sistemas, foi dito que esse processo é realizado por órgãos de auditoria interna e
externa. A equipe de SI faz auditoria nos processos de TI, inclusive desenvolvimento e
manutenção de sistemas, especificamente em um grupo de sistemas mais relevantes para o
negócio da empresa (áreas financeira e RH), verificando se os processos estão sendo
executados de acordo com o respectivo normativo.
Também foi perguntado se é utilizado uma fonte especializada em segurança da
informação dentro da organização. Foi informado que na Chesf existem profissionais com
razoável capacitação na área de SI, entretanto sem certificações oficiais. Todos os normativos
voltados para SI são aderentes às melhores práticas (ITIL, COBIT, COSO, ISO/IEC 9002). A
ferramenta que utilizam para Gestão de Riscos de TI também se baseia nos padrões acima
citados.
Por ser uma empresa de grande porte e ter uma enorme rotação de funcionário e
terceirizados na empresa, foi questionado se existe um controle de acesso do pessoal
terceirizado e se o acesso lógico e físico é restrito para pessoas autorizadas. Segundo a
entrevistada, existem sim mecanismos de controle de acesso tanto dos funcionários da própria
empresa quanto de prestadoras de serviço que tem acesso controlado e organizado.
4.2.1.3 Seção 3 – Questões sobre a segurança de pessoal
Para proteger os ativos de informação de qualquer empresa, é preciso primeiramente
repassar para os funcionários o que é importante para a organização e o que precisa ser
protegido.
Com isso, foi possível obter com a entrevista, que no momento da contratação todos os
funcionários são informados quanto à responsabilidade com a segurança na empresa, o que
recebem juntamente com o treinamento básico que é dado para todo novo empregado. Os
usuários dos serviços de informação também são instruídos a registrar e notificar quaisquer
fragilidades ou ameaças, suspeitas ou ocorridas, na segurança de sistemas ou serviços.
45
De acordo com a entrevistada, quando ocorrem incidentes de segurança da
informação, ações de feedback são tomadas e caso seja identificado à ocorrência de alguma
violação por parte dos funcionários ou terceiros é feita a análise do incidente, podendo ocorrer
punição ou apenas orientação (educação).
4.2.1.4 Seção 4 – Questões sobre a segurança física e do ambiente
Alguns pontos importantes foram considerados na entrevista com relação à segurança
física e do ambiente. Foi identificado que os sistemas mantêm um registro de data e hora do
acesso dos funcionários e visitantes. São utilizados controles de autenticação para validar
qualquer acesso a informações sensíveis, instalações, recursos de processamento de
informações e computadores pessoais, terminais de computadores possuem senha de acesso
quando não estão em uso.
Nesta seção também foi possível identificar a uma preocupação com relação à
proteção dos objetos portáteis de uso pessoal (notebooks, laptops, mídias, celulares, etc.),
porém, segundo a analista responsável pelas respostas, algumas pessoas não seguem esse
procedimento, mas afirma existir a orientação para que esses objetos sejam guardados e
protegidos e que no processo de análise de riscos é que é avaliado o nível de aderência a essa
orientação.
4.2.1.5 Seção 5 – Questões relacionadas ao gerenciamento das operações e comunicações Com relação ao gerenciamento das operações e comunicações dentro da Chesf, foi
perguntado à entrevistada se os usuários são incentivados a usar senhas diferentes conforme
ambiente, onde a mesma respondeu negativamente informando que os orientam para que
tenham senhas fortes e de uso pessoal e intransferível.
Com relação à adoção de softwares para proteção do sistema (antivírus), a entrevistada
declarou que existem softwares específicos para essa proteção e que a empresa ainda possui
uma política formal exigindo conformidade com as licenças de software e proibindo o uso de
software não autorizado, sendo de conhecimento de todos os funcionários.
46
4.2.1.6 Seção 6 – Questões sobre Housekeeping
Nesta última seção procurou-se verificar a existências de algumas medidas
relacionadas ao gerenciamento das mídias utilizadas pela empresa e como são organizadas.
De acordo com a funcionária da Chesf é mantido um registro das atividades do pessoal de
operação e os meios magnéticos reutilizáveis quando não é mais utilizado o seu conteúdo é
apagado. A mesma também afirmou que é requerida a autorização para remoção de mídias
das instalações da organização e que existe um controle de entrada e saída dessas mídias, bem
como a acomodação em locais seguros.
Por fim, foi questionada se existe uma documentação explicando os procedimentos e
os níveis de autorização para gerenciamento de mídias. A entrevistada respondeu
positivamente a essa questão.
4.2.2 Questionários
Com o objetivo de obter resultados numéricos para auxiliar na quantificação dos
resultados da pesquisa, o questionário aplicado aos funcionários do Departamento de
Infraestrutura Computacional e Redes da Chesf contém 15 questões objetivas com duas
opções de resposta (Sim ou Não) e uma questão subjetiva (ver Anexo II). As perguntas foram
direcionadas as políticas de segurança adotada pela empresa com o objetivo de analisar o grau
de conhecimento e entrosamento dos funcionários com a política. No total foram aplicados 30
questionários para os funcionários do departamento estudado e foram devolvidos 28
questionários respondidos. Na próxima seção serão descritos os resultados.
4.2.2.1 Seção 1 – Questionamentos com relação ao tempo que o funcionário trabalha na empresa
Busca-se nesta seção identificar a média de tempo de serviço na empresa que os
funcionários do departamento possuem. Foi importante essa questão, pois foi possível
verificar se o conhecimento a respeito da política de segurança está relacionado com o tempo
de trabalho que o funcionário tem na empresa, como pode ser visto no Gráfico 2.
47
Tempo de vínculo empregatício com a empresa
17%
75%
8%
Menos que 5 anos 5 a 15 anos Mais de 15 anos
Gráfico 2: Tempo de vínculo empregatício com a empresa
Fonte: Dados da pesquisa
4.2.2.2 Seção 2 – Questionamentos referentes ao entrosamento dos funcionários com as políticas de segurança adotadas pela empresa
Nesta seção foram abordadas questões como conhecimento, clareza, acessibilidade e
atualização das políticas de segurança. É possível verificar no Gráfico 3 que todos os
funcionários avaliados (100%) tem conhecimento da existência da política de segurança
implementada na empresa, sendo esse um ponto positivo para a organização.
Conhecimento da existência de uma Política de Segurança na empresa
100%
0%
Sim Não
Gráfico 3: Conhecimento da existência de uma política de segurança na empresa.
Fonte: Dados da pesquisa
48
Pelo Gráfico 4 podemos perceber que a maioria dos funcionários (83%) consideram a
política de segurança formal, definindo claramente o comprometimento com a segurança da
informação. Os outros 17% não concordam com essa definição.
Clareza e formalidade de comprometimento com a Política de Segurança
83%
17%
Sim Não
Gráfico 4: Clareza e formalidade de comprometimento com a Política de Segurança
Fonte: Dados da pesquisa
Um ponto importante desta pesquisa é a divulgação adequada da política de segurança
para todos os funcionários da empresa . Nesta pesquisa 58% consideram que a divulgação é
feita de forma adequada e 42% acham que a divulgação não atende todos os funcionários da
empresa (Gráfico 5).
Divulgação da Política na Organização
58%
42%
Sim Não
Gráfico 5: Divulgação da Política na Organização
Fonte: Dados da pesquisa
49
Outro fator importante para a organização e manter a política de segurança acessível
aos funcionários. Disponibilizar esse documento em um local para acesso dos empregados de
diferentes setores e departamentos, é um dos itens fundamentais para o sucesso da sua
implementação. De acordo com o Gráfico 6, uma minoria (33%) informam que o documento
não está acessível, já 67% a consideram disponível aos funcionários.
Disponibilidade da Política de Segurança para os funcionários
67%
33%
Sim Não
Gráfico 6: Disponibilidade da Política de Segurança para os funcionários
Fonte: Dados da pesquisa
Para que os funcionários sigam e tenham comprometimento com a política de
segurança é necessário produzir um documento compreensível e de fácil entendimento, tendo
em vista que este documento será disponível para todos os funcionários da empresa
independente do tempo de serviço ou de grau de instrução. Como pode ser comprovado pelo
Gráfico 7, 64% não consideram a política de segurança legível e clara, apenas 36 %
discordam desta informação, ou seja, a maioria tem dificuldade de entender o documento.
50
Compreensão da Política de Segurança pelos funcionários
36%
64%
Sim Não
Gráfico 7: Compreensão da Política de Segurança pelos funcionários
Fonte: Dados da pesquisa
4.2.2.3 Seção 3 – Questionamentos relacionados à estrutura, organização de aplicação da política de segurança
Foi direcionado nesta seção a percepção dos funcionários com relação à estrutura do
documento e forma como ele é aplicado e organizado. Para analisar esses resultados foram
feitas questões que buscam saber se existe uma definição clara de política de segurança, se as
metas a serem atingidas são evidenciadas, se existem outros documentos que complementem
as políticas, se existe uma reciclagem desse documento e se essa reciclagem é feita com
freqüência.
Foi questionado aos funcionários do departamento de TI da empresa se existem a
publicação, comunicação e treinamento sobre a segurança da informação para os funcionários,
com reciclagens periódicas. De acordo com a pesquisa, 58% declaram existir uma reciclagem
periódica desta política, enquanto 42% não consideram ter treinamentos e reciclagens com
freqüência (Gráfico 8).
51
Publicação, comunicação e treinamento sobre a Política de Segurança para os
funcionários
58%
42%
Sim Não
Gráfico 8: Publicação, comunicação e treinamento sobre a Política de Segurança para os funcionários
Fonte: Dados da pesquisa
Para que os funcionários possam seguir as questões propostas pela política de
segurança, é necessário ter um conhecimento prévio da definição desta política, saber o que é
e sobre o que se trata. Como pode ser visto no Gráfico 9, a minoria dos funcionários declaram
não ter o conhecimento dessa explicação, enquanto 83% informam que essa explicação é
claramente definida na política de segurança da empresa.
A existência da definição de “Política de Segurança”
83%
17%
Sim Não
Gráfico 9: A existência da definição de “Política de Segurança”
Fonte: Dados da pesquisa
52
Nesse quesito foi avaliado a existência de um resumo das metas relacionadas a
segurança da informação, ou seja, se no documento ficam claras as metas que os funcionários
devem seguir e atingir para manter a segurança da informação da empresa. Segundo a
pesquisa (Gráfico 10), 58% informam existir tais resumos e outros 42% desconhecem as
metas relacionadas a segurança da informação.
Resumo das metas relacionadas às Políticas de Segurança
58%
42%
Sim Não
Gráfico 10: Resumo das metas relacionadas às Políticas de Segurança
Fonte: Dados da pesquisa
Em alguns casos para que a política de segurança possa ser compreendida e posta em
prática por todos na organização, é necessário implementar outras normas ou procedimentos
que auxiliem esse documento. De acordo com o Gráfico 11, mais da metade (75%) dos
questionados informam conhecer outros documentos que complementem a política adotada
pela empresa, em contra partida, 25% desconhecem a existência de outras normas ou
procedimentos que a complementem.
53
Outros documentos que complementam a Política de Segurança
75%
25%
Sim Não
Gráfico 11: Outros documentos que complementam a Política de Segurança
Fonte: Dados da pesquisa
4.2.2.4 Seção 4 – Questionamentos referentes a relação entre a alta direção, os funcionários e as políticas de segurança
Objetiva-se nesta seção, verificar se existe uma relação de compartilhamento,
responsabilidade e conhecimento das políticas de segurança entre os funcionários e a alta
direção. São direcionadas perguntas com relação à importância da política para a empresa, as
punições cabíveis em caso de infrações da mesma e o esclarecimento desta política no
momento da contração do funcionário.
Foi questionado aos empregados se os mesmo tinham consciência sobre a definição e
divisão do(s) responsável(eis) pela política de segurança, se existiam profissionais
especializados na manutenção e análise crítica da política de segurança deste documento.
Nesta questão, 58% por funcionários declararam positivamente. Outros 42% informaram não
conhecer tais responsáveis (Gráfico 12).
54
Definição de um responsável pela Política de Segurança
58%
42%
Sim Não
Gráfico 12: Definição de um responsável pela Política de Segurança
Fonte: Dados da pesquisa
Outro fator importante após a adoção de uma política de segurança é definir qual
medida deve ser tomada quando ocorre a violação de algum item da política de segurança.
Neste momento foi questionado aos funcionários se são tomadas medidas para identificar as
causas, corrigindo as vulnerabilidades com punição para os infratores. De acordo com o
Gráfico 13, essa informação ficou dividida meio a meio, 50% declaram ter conhecimento das
medidas aplicadas aos infratores, enquanto a outra metade (50%) declara não conhecer tais
medidas e correções.
Implementação de medidas de punição para infratores
50%50%
Sim Não
Gráfico 13: Implementação de medidas de punição para infratores
Fonte: Dados da pesquisa
55
Os funcionários do setor de TI da Chesf também foram questionados quanto a
existência de uma declaração de comprometimento da alta direção, apoiando as metas e
princípios da segurança da informação. Como mostra no Gráfico 14, a maior parte dos
funcionários (75%) afirmam ter conhecimento sofre esse apoio e 25% discordam desta
afirmação.
Comprometimento da alta direção com a Política de Segurança
75%
25%
Sim Não
Gráfico 14: Comprometimento da alta direção com a Política de Segurança
Fonte: Dados da pesquisa
Outro questionamento feito aos funcionários foi com relação à existência de uma
breve explanação das políticas, princípios, padrões e requisitos de conformidade sobre
segurança importante para a organização. O Gráfico 15 mostra que a maioria dos funcionários
(83%) afirmam existir tal explanação e 17% declaram não ter conhecimento.
56
Conhecimento da importância da Política de Segurança para a organização
83%
17%
Sim Não
Gráfico 15: Conhecimento da importância da Política de Segurança para a organização
Fonte: Dados da pesquisa
Também foi perguntado aos funcionários se foram definidas responsabilidades gerais e
específicas na gestão da segurança da informação. Neste quesito 25% informaram que não
enquanto 75% responderam positivamente a questão, como mostra o Gráfico 16.
Responsabilidades sobre a Política de Segurança
75%
25%
Sim Não
Gráfico 16: Responsabilidades sobre a Política de Segurança
Fonte: Dados da pesquisa
57
Outra pergunta feita aos empregados é se eles foram informados da existência da
política de segurança no momento de sua contratação. Neste ponto 58% disseram terem sido
informados sobre a existência deste documento. Outros 42% negaram o conhecimento da
política de segurança quando foram admitidos na empresa (Gráfico 17).
Conhecimento da Política de Segurança na contratação
58%
42%
Sim Não
Gráfico 17: Conhecimento da Política de Segurança na contratação
Fonte: Dados da pesquisa
58
5. Propostas a serem implementadas Diante dos resultados apresentados nesta pesquisa, foram elaboradas algumas
propostas de modificações e melhorias em cima das principais falhas e vulnerabilidades
encontradas na implementação deste documento, baseadas na norma NBR ISO/IEC 27002.
Conforme o que foi repassado na entrevista, além do atraso na elaboração de uma
política de segurança outros fatores precisam ser mais bem elaborados:
1) Local de disponibilização da Política de Segurança: Este documento deve ser
afixado como ícone na área de trabalho de todos os funcionários, além dos métodos
convencionais que já são utilizados pela empresa. Para aqueles funcionários que não
trabalho diretamente com um computador, esse material deve ser mantido impresso com o
gerente de cada setor ou divisão para que, quando o funcionário tiver algumas dúvida ou
desejar consultar esse documento, possa tê-lo disponível a qualquer momento e em um
local de fácil e seguro acesso.
Figura 3: Modelo de Disponibilização da PS na tela do computador
59
2) Análise do grau de efetividade da PS: Como ainda não foi formalizado um processo
de análise crítica para se avaliar a efetividade da política de segurança (tipo, volume e
impacto dos incidentes de segurança registrados) é proposto que seja feito uma análise
periódica por um responsável para verificar os incidentes ocorridos devido a alguma
violação ou desconhecimento de algum padrão estabelecido na PS e que sejam feitas
rondas, principalmente no período de contratação de novos funcionários, para avaliar o
grau de efetividade da PS por parte dos funcionários.
3) Punições para violadores da PS: De acordo com a entrevista concedida pela analista
de TI responsável pelo setor de segurança da informação da Chesf, na maior parte dos
casos, são realizadas medidas educativas ao invés de punitivas quando ocorre uma
violação da política de segurança. Sugere-se que as medidas propostas pela PS sejam
separadas por grau de seriedade, ou seja, numa escala de 1 a 10, relacionar quais
medidas, se violadas, oferecem mais riscos para a organização. Dessa forma, quando
ocorrer alguma violação ou descumprimento de um ou mais itens deste documento,
poderão ser aplicadas medidas punitivas (ou educativas) de acordo com grau de seriedade
a ser definido pela empresa. Abaixo um exemplo de uma tabela contendo alguns itens da
política de segurança e na outra coluna, o grau de seriedade correspondente a cada item.
Tabela 1: Tabela contendo o Grau de Seriedade em uma PS
4) Política de mesa e tela limpa: Também foi pontuado na pesquisa que a empresa não
utiliza uma política de mesa e tela limpa entre seus usuários. Estes sempre devem estar
conscientes de suas responsabilidades, particularmente no que se refere ao uso de senhas e
de segurança dos equipamentos de usuários. Nesse sentido, sugere-se a adoção da
“política de mesa e tela limpa” (sendo este, inclusive, um dos itens da norma ISO/IEC
27002 de Controle de Acesso), para reduzir o risco de perdas, acessos não autorizados ou
Nº Itens Itens da Política de Segurança Grau de seriedade
1 Todo funcionário deve guardar mídias eletrônicas em local
seguro. 2
2 Somente terão acesso aos recursos de tecnologia da informação
as pessoas devidamente autorizadas e cadastradas como tal. 10
3 O acesso dos usuários deverá ser restrito apenas às aplicações,
arquivos e utilitários imprescindíveis para desempenhar suas
funções na organização.
9
60
danos a documentos, papéis, mídias e recursos de processamento da informação que
estejam ao alcance de qualquer um. Algumas medidas, seguindo os padrões da norma
ISO/IEC 17799/2005, poderiam ser tomadas (Tabela 2):
Tabela 2: Política de mesa e tela limpa
5) Melhorar a compreensão da política de segurança: De acordo com os dados
colhidos através dos questionários, foi identificado que a maior parte dos funcionários
não compreende bem o que a política de segurança transmite. O documento que define
a política de segurança deve deixar de fora todos os aspectos técnicos de
implementação dos mecanismos de segurança, pois essa implementação pode variar ao
longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além
de resumido. As políticas de segurança devem ter implementação realista, e definir
claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de
sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As
políticas de segurança fornecem um enquadramento para a implementação de
mecanismos de segurança, definem procedimentos de segurança adequados, processos
Nº Itens Política de mesa e tela Limpa
1
Computadores e terminais sejam mantidos desligados ou protegidos com
mecanismo de travamento de tela e teclados controlados por senha, token ou
mecanismo de autenticação similar quando sem monitoração e protegidos por
tecla de bloqueio, senhas ou outros controles, quando não usados;
2
Os documentos impressos (impressões, fax ou fotocópias) devem ser
recolhidos logo após sua geração ou emissão, não podendo ser mantidos nos
aparelhos ou proximidades.
3
Informações do negócio sensíveis ou críticas, por exemplo, em papel ou em
mídia de armazenamento eletrônicas, sejam guardadas em lugar seguro
(idealmente em um cofre, armário ou outras formas de mobília de segurança)
quando não em uso, especialmente quando o escritório está desocupado;
4 Pontos de entrada e saída de correspondências e máquinas de fac-símile sem
monitoração sejam protegidos;
5 Documentos que contêm informação sensível ou classificada sejam
removidos de impressoras imediatamente.
6 Copiadoras devem ser protegidas contra o uso não autorizado fora do horário
normal de trabalho.
61
de auditoria à segurança e estabelecem uma base para procedimentos legais na
seqüência de ataques.
6) Senhas diferentes para cada ambiente de trabalho: Embora a empresa tenha
mostrado grande eficiência com relação à política de senha, adotando medidas como a
senha com data de expiração, inibir a repetição de caracteres já utilizados, incutir a
composição de senhas com caracteres alfanuméricos dentre outras, é importante
ressaltar que a utilização de uma mesma senha para diversos ambientes dentro da
empresa pode ser caracterizada como um risco. Isso porque uma vez que um usuário
mal intencionado descobre uma das senhas de determinado empregado, caso este
utilize sempre as mesmas senhas, esse usuário facilmente terá acesso a todos os
ambientes autorizados por esse funcionário. Contudo, além da conscientização que já
existe para a construção de senhas “fortes” e de caráter intransferível, é fundamental
incluir na política da empresa a construção de senhas diferentes para cada ambiente de
trabalho o qual determindo funcionário tenha acesso autorizado.
7) Concentração da Política de Segurança e dos demais documentos que a
complementam em um mesmo local: Foi verificado que a empresa além da Política
de segurança possui muitos outros documentos (normas, instruções internas, etc.) que
complementam essa política. A maioria desses documentos são guardados em pastas
ou arquivos referentes a cada setor ou departamento da empresa. Dessa forma, uma
informação que deveria estar contida na PS da empresa está em outros documentos
inacessíveis para funcionários de setores diferentes. Embora seja compreensível a
necessidade de cada departamento ou setor ter as suas normas a serem seguidas
internamente, muitas dessas normas deveriam ser acessíveis a todos para não
comprometer a segurança dos ativos da empresa por falta de conhecimento.
É importante ressaltar que essas propostas sugeridas neste capítulo devem estar contidas
de forma clara e compreensível na política de segurança, uma vez que esse documento, sendo
colocado em um local de fácil acesso, deve conter todas as instruções necessárias para o bom
desempenho das atividades dos profissionais e, consequentemente, contribuindo para a
segurança da informação na empresa.
62
6. Considerações Finais
Neste capítulo será apresentada a conclusão a cerca do trabalho apresentado bem como
as limitações e ameaças de circundaram essa pesquisa e ainda quais os trabalhos futuros que
poderão ser realizados com base no material apresentado.
6.1 Conclusões
A preocupação com a segurança dos ativos de uma empresa é visível e esperada em
organizações, seja de pequeno, médio ou grande porte. Adotar medidas concretas que visam
garantir essa segurança ou minimizar os incidentes são, no mínimo, ações que precisam ser
bem planejadas e conseqüentemente executadas por todos os funcionários.
Diante do que foi analisado e proposto, pode-se afirmar que a pesquisa alcançou seu
objetivo, pois foi capaz de identificar as principais medidas adotadas pela política de
segurança da empresa com relação à confidencialidade, integridade e disponibilidade dos seus
ativos de informação. Também foi possível analisar a percepção dos funcionários do
departamento de TI da Chesf com relação ao entrosamento dos mesmos com o que foi
proposto pelo documento, assim como o conhecimento de tais medidas e se essas estão sendo
postas em prática.
Levando em consideração os resultados obtidos com o questionário e com a
entrevista, foi visto que ainda existem grandes falhas principalmente com relação à
disponibilidade da política de segurança para os funcionários. Embora, todos os funcionários
questionados afirmaram ter conhecimento desta política, boa parte não a compreende e não a
considera acessível para todos os funcionários.
Na pesquisa também ficou claro que, embora a empresa invista bastante em segurança
dos seus ativos (sejam eles físicos ou de informação) com softwares de controle de invasões,
gerenciamento de usuários e controles de acesso, como foi relatado na entrevista, as bases
para o cumprimento e sucesso dessas ementas estão nos seus próprios funcionários. Estes
demonstram ter certo conhecimento das metas estabelecidas, porém é algo que precisa ser
melhorado, uma vez que os resultados indicaram diferenças mínimas entre as respostas, ou
seja, pouco mais de 50% dos questionados demonstram ter plena consciência dessas metas.
Em frente aos resultados obtidos, foi possível propor algumas melhorias na política de
segurança da CHESF, tornando-a mais clara e compreensível para os funcionários, assim
63
como melhorando a forma como ela será disponibilizada e repassada para estes usuários, uma
vez que, sendo do entendimento de todos, torna-se mais fácil garantir a segurança de seus
ativos.
6.2 Limitações e Ameaças
Antes e durante a realização desta pesquisa algumas ameaças e limitações foram
identificadas.
Com relação às limitações, foram identificadas principalmente as que estavam
relacionadas ao estudo de caso, envolvendo a entrevista e os questionários. A entrevista, pois
foi necessário aguardar a disposição do responsável pelas respostas para que a mesma pudesse
se concretizar. Além disso, foi preciso aguardar o prazo para que o entrevistado pudesse
devolver as perguntas, uma vez que, no momento da entrevista, o mesmo pediu um tempo
para poder consultar outros responsáveis e outros materiais disponíveis na empresa para gerar
o resultado. As mesmas limitações de tempo de resposta foram avaliadas na entrega dos
questionários. Embora os funcionários do departamento analisado tenham sido avisados que
teriam 3 (três) dias para responder o questionário que estava disponibilizado on-line, alguns
não retornaram.
Outro fator relacionado as limitação é que, pelo fato da amostra ser pequena, não foi
objetivo deste trabalho generalizar e instituir como verdade os resultados que obteve na
pesquisa, uma vez que o resultado obtido não pode ser considerado a realidade vivida por toda
a empresa.
No que diz respeito às ameaças, estas envolveram principalmente questões como
indisponibilidade de acesso a Internet e materiais para realização desta pesquisa.
A ausência de um questionário validado para a realização desta pesquisa também foi
considerada uma ameaça, pois o questionário utilizado foi aplicado para os funcionários uma
única vez, não sendo realizado um estudo em cima das perguntas e repostas adquiridas para
verificar a existência ou não de questões tendenciosas.
6.3 Trabalhos Futuros
Para trabalhos futuros são sugeridas algumas possibilidades, tais como:
64
• Implementar as propostas sugeridas neste trabalho na Política de Segurança da
CHESF;
• Fazer uma análise na empresa após a implementação dessas melhorias e comparar com
os resultados obtidos nesta pesquisa;
• Realizar uma pesquisa em cima das Políticas de Segurança com um número maior de
respondentes (preferencialmente com todos os setores) a fim de aumentar a cobertura
e precisão dos resultados.
• Ampliar os estudos sobre segurança da informação na empresa, partindo das políticas
de segurança para outros aspectos relacionados, como por exemplo, a segurança física
e de pessoal.
65
7. Referências Bibliográficas ABNT – Associação Brasileira de Normas Técnicas. Tecnologia da Informação – Código de Prática para a Gestão da Segurança da Informação. NBR ISO/IEC 27002. Rio de Janeiro, 2005. ALBERNAZ, Valéria Almeida. Introdução da British Standard – BS7799, Brasília, set. 2001. ALBERTIN, Alberto Luiz. Administração de Informática. Funções e fatores críticos de sucesso. São Paulo: Atlas, 1996. BARDIN, L. Análise de conteúdo. Lisboa: Edições 70, 2003.
BOAVENTURA, Edivaldo M. Metodologia Científica. São Paulo: Atlas, 2004.
BRASIL. Tribunal de Contas da União. Manual de Auditoria e de Processamentos. Brasília: TCU. 2000. CANO, Ismael Soares. Gerenciamento estratégico e políticas de execução - Melhoria dos processos. São Paulo, 2006.
CERVO, Amando Luiz; BERVIAN, Pedro Alcino. Metodologia Científica. São Paulo: Makron Books, 1996.
DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel, 2000. 218 p. FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Rio de Janeiro: Ciência Moderna, 2003. FOINA, Paulo Rogério. Tecnologia de Informação: Planejamento e Gestão. São Paulo: Atlas, 2001. GIL, Antonio C. Métodos e técnicas de pesquisa social. 5. ed. São Paulo: Atlas, 1999. GODOY, A. S. Pesquisa qualitativa: tipos fundamentais. RAE, São Paulo, v. 35, n.3, p.20-29, 1995. GRANT, Robert M. Contemporary Strategy Analysis. Blackwell, 1998. ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management. 2005. MALHOTRA, Naresh K. Pesquisa de marketing: uma orientação aplicada. 3. ed. Porto Alegre: Bookman, 2001.
66
MARCONI, Marina de Andrade; LAKATOS, Eva Maria. Técnicas de Pesquisa: Planejamento e execução de pesquisas, amostragens e técnicas de pesquisa, elaboração, análise e interpretação de dados. 2. ed. São Paulo: Atlas, 1990. MELO, Ivo Soares. Administração de Sistemas de Informação. São Paulo: Atlas, 1999. MINAYO, M.C. de S. (Org.) Pesquisa social: teoria, método e criatividade. 22 ed. Rio de Janeiro: Vozes, 2003. MOREIRA, Nilton Stringasci. Segurança Mínima. Rio de Janeiro : Axcel Books, 2001. MORESI, Eduardo. A. D. Metodologia da pesquisa. Brasília-DF: Universidade Católica de Brasília, agosto, 2004. NET WORKING GROUP - Request for Comments 2196. Sep. 1997. Disponível em: <http://tools.ietf.org/html/rfc2196 >. Acessado em 19 de agosto de 2010. POLO, Érica. Emprego garantido - Revista Você S/A – São Paulo: Abril, 2009. SEMOLA, M. Gestão da Segurança da Informação - Uma visão executiva. Rio de Janeiro: Editora Campus, 2003. SPANCESKI, R. Francini. Política de segurança da informação – Desenvolvimento de um Modelo voltado para Instituições de ensino. Joinville, 2004. VERGARA, Sylvia Constant. Métodos de pesquisa em administração. São Paulo: Atlas, 2000. WADLOW, Tomas A. Segurança de Redes : Projeto e gerenciamento de redes seguras. Tradução: Fábio Freitas da Silva. Rio de Janeiro: Campus, 2000. YIN, Robert K. Estudo de caso: planejamento e métodos. 2. ed. Porto Alegre: Bookman, 2001.
67
8. Anexo I – Entrevista
POLÍTICAS DE SEGURANÇA
1. Qual o seu cargo dentro da empresa? E qual seu função relacionada às políticas de
segurança?
2. Existe uma política de segurança aplicada na empresa? Caso sim, desde quando ela existe?
3. A política de segurança está acessível a todos os funcionários?
4. Qual o meio utilizado para divulgação desta P.S.?
5. Existem outros documentos, normas ou procedimentos que complementem a P. S. da
empresa?
6. São utilizados softwares para auxiliar no processo de formalização das políticas de
segurança? Caso sim, pode ser mencionado?
7. São realizados eventos, palestras para alertar os funcionários sobre segurança da
informação?
8. Existe um resumo das metas relacionadas à segurança da informação?
9. São realizadas atualizações periódicas na P. S.?
10. Foi formalizado um processo de análise crítica para se avaliar a efetividade da política de
segurança? (tipo, volume e impacto dos incidentes de segurança registrados).
11. Foi definido um processo para a identificação dos agentes e causas de uma violação da
política de segurança?
12. Quando ocorre uma violação da política de segurança, são tomadas medidas para
identificar os agentes e causas, corrigindo as vulnerabilidades e punir os infratores?
SEGURANÇA ORGANIZACIONAL
13. São realizadas auditorias de sistemas? Com que freqüência?
14. É utilizado de fonte especializada em segurança da informação dentro da organização?
15. Os níveis de autorização estão claramente definidos e documentados?
16. Existem muitos prestadores de serviços contratados dentro da organização?
Obs.: Muitos prestadores podem aumentar a fragilidade da informação.
17. O acesso de prestadores de serviços aos recursos de processamento da informação da
organização é controlado?
18. O acesso físico e lógico é restrito por pessoas autorizadas?
68
19. Se existir a necessidade de acesso de prestadores de serviços aos recursos de
processamento da informação, é feita uma avaliação de riscos, para determinar implicações e
controles necessários?
20. Para entrar nos sistemas da organização é utilizado um processo seguro de entrada
(logon)?
PESSOAS
21. As responsabilidades de segurança são repassadas no momento da contratação?
22. Os usuários dos serviços de informação são instruídos a registrar e notificar quaisquer
fragilidades ou ameaças, suspeitas ou ocorridas, na segurança de sistemas ou serviços?
23. Ações de feedback são tomadas para ter certeza que incidentes foram tratados e
encerrados?
24. Funcionário que viola os políticas e procedimentos de segurança passa por um processo
disciplinar?
SEGURANÇA FÍSICA E DO AMBIENTE
25. Aos visitantes que possuem acesso a área de segurança tem registrado a data e hora de sua
entrada e saída?
26. São utilizados controles de autenticação para validar qualquer acesso a informações
sensíveis, instalações e recursos de processamento de informações?
27. Qualquer tipo de processamento da informação fora da organização é autorizado pela
direção?
28. Os equipamentos são deixados desprotegidos em áreas públicas?
29. Computadores portáteis são carregados na mão e disfarçados em viagens?
30. Existe uma política de mesa e tela limpa?
31. Papéis e mídias são guardados quando não está sendo feita da sua utilização?
32. Computadores pessoais, terminais de computador são desligados quando não assistidos?
33. Computadores pessoais, terminais de computadores possuem senha de acesso ou algum
tipo de controle quando não estão em uso?
GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÃO
69
34. Usuários são incentivados para usar senhas diferentes conforme ambiente?
35. A organização possui controle para a detecção e prevenção de software malicioso?
36. Os usuários estão conscientizados sobre os malefícios dos softwares maliciosos?
37. Existe uma política formal exigindo conformidade com as licenças de software e
proibindo o uso de software não autorizado?
38. São instalados e atualizados software para detecção e remoção de vírus dos computadores
e meios magnéticos?
HOUSEKEEPING
39. É mantido registro das atividades do pessoal de operação?
40. Os meios magnéticos reutilizáveis, quando não é mais utilizado o seu conteúdo é
apagado?
41. É requerida a autorização para remoção de mídias das instalações da organização?
42. Quando é retirada da mídia da organização, é registrada sua saída?
43. As mídias são guardadas em ambiente seguro?
44. Existe documentação explicando os procedimentos e os níveis de autorização para
gerenciamento de mídias?
70
9. Anexo II – Questionário
POLÍTICAS DE SEGURANÇA
1. A direção possui uma política formal e clara de comprometimento com a segurança da
informação?
2. Existe um documento atualizado que descreva a política de segurança de informações?
3. A política de segurança é adequadamente divulgada para todos na organização?
4. A política de segurança está acessível a todos os funcionários?
5. A política de segurança é facilmente compreendida por todos os funcionários?
6. Foi definido um responsável pela manutenção e análise crítica da política de segurança?
7. Existe a publicação, comunicação e treinamentos sobre segurança para os funcionários,
com reciclagens periódicas?
8. A política contém uma definição de “política de segurança”?
9. Existe um resumo das metas relacionadas à segurança da informação?
10. Quando ocorre a violação de algum item da política de segurança, são tomadas medidas
para identificar as causas, corrigindo as vulnerabilidades com punição para os infratores?
11. Contém a declaração de comprometimento da alta direção, apoiando as metas e princípios
da segurança da informação?
12. Existe uma breve explanação das políticas, princípios, padrões e requisitos de
conformidade importantes para a organização?
13. Foram definidas responsabilidades gerais e específicas na gestão da segurança da
informação?
14. A política de segurança faz referências a outros documentos mais detalhados que a
complemente?
15. As responsabilidades de segurança são repassadas no momento da contratação?
16. Há quanto tempo você trabalha na empresa?
71
Monografia de Graduação apresentada por Darliane Goes de Miranda do Curso de
Graduação em Sistemas de Informação da Faculdade de Ciência e Tecnologia de Caruaru -
Universidade de Pernambuco, sob o título “Segurança da Informação e a utilização de
Políticas de Segurança conforme a norma ISO/IEC 27002: Estudo de Caso realizado na
Chesf/Recife”, orientada pela Profª. Érika Carlos Medeiros e aprovada pela Banca
Examinadora formada pela professora: Roberta Andrade de Araújo Fagundes.
Prof. Roberta Andrade de Araújo Fagundes. Departamento de Sistemas de Informação / UPE
Prof. Érika Carlos Medeiros Departamento de Sistemas de Informação / UPE
Visto e permitida a impressão. Caruaru, 14 de dezembro de 2010. Prof. CÍCERO GARROZI Coordenador do Curso de Bacharelado em Sistemas de Informação da Faculdade de Ciência e Tecnologia de Caruaru – Universidade de Pernambuco.
