TSI PROPOSTA DE POLÍTICA DE SEGURANÇA DA...

Simpósio de TCC e Seminário de IC , 2016 / 1º 1939

TSI PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA O CENTRO DINÂMICO DE APRENDIZAGEM ‐ COLÉGIO CDA

DOMINGOS SÁVIO DE ARRUDA BUENO

NEI EVANDRO DOS SANTOS MARIA JOSÉ DE OLIVEIRA

RESUMO O presente estudo tem por objetivo propor uma Política de Segurança da Informação física e lógica, de acordo com a Norma ABNT NBR ISO/IEC 27002 (2005), para a Escola Centro Dinâmico de Aprendizagem, Colégio CDA. Para desenvolvimento da política adotou-se como metodologia a análise da literatura pertinente ao tema, das normas de segurança da informação, visitas à instituição e encontros com a direção da instituição para levantamento de dados. Foram observadas vulnerabilidades no uso, tratamento e armazenamento da informação pela instituição. Como resultado, foi elaborada a proposta de Política de Segurança da Informação do Colégio CDA. Palavras-chave: Segurança da Informação, Política de Segurança da Informação, informação, ativos, risco e vulnerabilidade. ABSTRACT This study aims to propose a Security Policy of physical and logical information, according to Standard ISO/IEC 27002 (2005), for the School of Dynamic Learning Center, CDA College. For development policy was adopted as a methodology to analyze the relevant literature to the topic of information security standards, the institution visits and meetings with the management of the institution for data collection. Vulnerabilities have been observed in the use, treatment and storage of information by the institution. As a result, it was elaborated the draft Security Policy of Information of the CDA College. Keywords: Information security, Information Security Policy, information, assets, risk, vulnerability. INTRODUÇÃO

A informação é, em boa parte das empresas, o ativo mais valioso. Toda a história da empresa, as especificações de seus produtos, serviços, seus clientes, fornecedores e funcionários, tudo deve ser registrado e arquivado para a continuidade dos negócios. A perda ou o vazamento das informações pode prejudicar ou até mesmo inviabilizar a continuidade das atividades de uma empresa.

Segundo Xavier e Costa (2009, p.6), “a informação e o conhecimento são, simultaneamente, causa e efeito um de si mesmos”. Portando, em uma instituição de ensino, que tem na transmissão do conhecimento seu principal objetivo, a informação adquire um valor ainda maior.

Mas se por um lado a informação pode ser um bem muito valioso, por outro, nos dias de hoje, também é um algo abundante, em especial, na Internet, rede mundial de computadores. Ao se conectar à Internet, tem-se acesso a uma quantidade enorme de informação, mas a Internet também representa um desafio quanto ao sigilo, quanto esta informação não deve ser divulgada. A Internet, de certa forma, aproxima um grande número de agentes mal-intencionados prontos a roubar, ou danificar informação, ou apenas causar danos aos sistemas.

Como toda empresa e instituição de ensino, o Centro Dinâmico de Aprendizagem - Colégio CDA, também tem na informação um ativo muito valioso. O presente trabalho propõe uma Política de Segurança da Informação com as diretrizes para uma gestão eficiente dos ativos de informação. Na política foram estudadas as vulnerabilidades, analisados os riscos e traçadas

as estratégias para a mitigação destes riscos. PROBLEMA

O Colégio CDA trabalha com a informação de várias maneiras. Seu principal produto é o conhecimento que busca transmitir aos alunos. O conhecimento é informação armazenada, e pode-se dizer, que a informação é o principal produto da instituição. A informação se apresenta na forma de cadastros (de dados de alunos, de dados de funcionários), de inventário de bens, de sistemas de Tecnologia da Informação (TI), enfim, de diversas formas, a informação está presente no dia a dia do Colégio CDA.

Não obstante, até a presente data, o Colégio CDA não possui uma Política de Segurança de Informação. Em momento algum foram definidas regras para a gestão desse ativo tão importante para o Colégio.

Este estudo procura preencher esta lacuna. OBJETIVOS Geral

Propor uma Política de Segurança da Informação física e lógica, de acordo com a Norma ABNT NBR ISO/IEC 27002 (2005), para a Escola Centro Dinâmico de Aprendizagem, Colégio CDA. Específicos

Foram desenvolvidos os seguintes objetivos específicos: Levantar os ativos da instituição e os sistemas que dão suporte às atividades; Identificar os riscos, por meio da identificação


das ameaças aos ativos e das vulnerabilidades que possam ser exploradas por essas ameaças. Analisar os riscos através da atribuição de valores aos ativos, estabelecendo os níveis de aceitabilidade do risco e a aplicação do tratamento adequado; Estimar os impactos que as perdas de confidencialidade, integridade, disponibilidade e autenticidade podem causar aos ativos; Elaborar diretrizes e normas de segurança da informação sobre os seguintes aspectos: o Acessos externos, internos, físico e lógico; o Uso da Intranet e Internet; o Uso e instalação de softwares; o Uso de correio eletrônico; Propor a aplicação da Política de Segurança da Informação desenvolvida. ABRANGÊNCIA

As diretrizes estabelecidas deverão ser seguidas por todos os funcionários, prestadores de serviço, clientes, fornecedores e visitantes, que tenham ou venham a ter contato através de acesso local ou remoto a quaisquer bens ou serviços de tecnologia da informação adquiridos, desenvolvidos, disponibilizados ou mantidos pelo Centro Dinâmico de Aprendizagem, Colégio CDA.

A Proposta de Política de Segurança da Informação dará ciência a cada funcionário de que os ambientes, documentos, sistemas, computadores e redes da empresa poderão ser monitorados e gravados, com prévia informação, conforme previsto nas leis brasileiras. JUSTIFICATIVAS

O presente estudo se justifica porque proporcionará ao Colégio CDA: Uma estratégia eficiente para a gestão de seus ativos de informação. O estabelecimento de diretrizes claras para a SI - Segurança da Informação. A definição de maneira clara e transparente, da responsabilidade de cada funcionário da instituição dentro da SI. A base para o desenvolvimento de outros procedimentos que visem o crescimento da instituição. A mitigação de riscos operacionais e legais. PROCEDIMENTOS METODOLÓGICOS

O presente estudo valeu-se de dados colhidos em visitas ao Colégio CDA. Nestas visitas foram realizadas observações e levantamentos de ativos e vulnerabilidades em todo o ambiente que abriga o Colégio CDA, em sua estrutura física e lógica. Foram realizadas entrevistas não estruturadas com os administradores e com funcionários da instituição.

Os dados coletados foram analisados tomando-se como parâmetro as normas ABNT NBR ISO/IEC 27001:2013, ISO/IEC 13335 e em

especial a ABNT NBR ISO/IEC 27002:2005. Para análise de risco foi utilizada a norma

ABNT NBR ISO/IEC 27005 (2008) e as orientações propostas por Fernando Nicolau Freitas Ferreira e Márcio T. Araújo no livro Política de Segurança da Informação (2006). REFERENCIAL TEÓRICO INFORMAÇÃO Dado

Define-se dado como “uma sequência de símbolos quantificados ou quantificáveis” (SETZER, 2015). Segundo Rezende (2005, p.5) “o dado é um elemento puro, quantificável sobre um determinado evento”. Um dado é a representação de um evento e pode não ter um significado individual Como exemplo: um caractere sozinho pode não ter nenhum significado para a pessoa que o lê, mas um conjunto de caracteres formando palavras e frases passam a ser um texto, ou seja, uma informação.

No sentido da Tecnologia da Informação, de acordo com Norton (1996, p.102), “dados são os sinais brutos e sem significado individual que os computadores utilizam para produzir informações”. Informação Informação é “qualquer ideia ou fato que possa ser registrada ou transmitida de alguma forma” (CARIBÉ; CARIBÉ, 1996, p.13). Um livro, uma música, uma imagem, são informação.

Segundo Sêmola (2003, p.51), “informação é o conjunto de dados utilizados na transferência de uma mensagem”. Enquanto o dado pode não ter um significado, um conjunto de dados organizados forma a informação, que já possui um significado.

Para que possa assim ser considerada, a informação deve ser registrada. Por exemplo, o vento, em si não é um dado ou informação. Quando passa-se a medir, em um determinado local, a velocidade do vento, você tem um dado, a velocidade do vento naquele instante. Agora quando se passa a organizar esses dados, registrando a velocidade do vento a cada hora, tem-se então a informação do comportamento do vento a cada hora.

A informação pode ser armazenada e transmitida de diversas maneiras, como por exemplo por meio de uma folha de papel, um arquivo de computador, a memória de uma pessoa ou a voz humana.

As pessoas e organizações, em suas atividades, produzem informação, seja por meio de registros de suas atividades, pela experiência ou pela busca do conhecimento. A informação também é registrada de diversas maneiras. As cláusulas do contrato de trabalho de um funcionário são arquivadas fisicamente no departamento de pessoal, as trocas de mensagens eletrônicas entre os funcionários são


arquivadas em meio lógico nos servidores de e-mail; a experiência em lidar com situações inesperadas na produção industrial está registrada na memória do funcionário. A informação acumulada, por meio da produção ou aquisição, pela empresa ou indivíduo, é essencial para a execução de suas atividades. Para uma escola, é vital que haja uma lista de alunos, uma tabela de cargos e funções, uma escala de trabalho, um calendário acadêmico. Ativo

Segundo Dantas (2011, p.21) “o ativo compreende o conjunto de bens e direitos de uma entidade”.

Outro conceito é o de que ativo é “tudo aquilo que possui valor para a organização” (ISO/IEC 13335-1:2004, p.1). Como exemplo, tem-se a informação. Com a evolução dos meios de registros da informação, ao longo da história, muita informação passou a ser acumulada. Com o advento da tecnologia e da informática, o volume de informação registrada e acumulada deu um grande saldo e com a popularização da Internet e das mídias, essa quantidade de informação passou a estar disponível a qualquer pessoa conectada.

Neste cenário é crescente a necessidade de qualidade e segurança nas informações. A informação segura e de qualidade tornou-se um diferencial competitivo e verdadeiro requisito à operação e à continuidade dos negócios de empresas e pessoas (SILVA, 2008, p.3). Para muitas pessoas e empresas, a informação passou a ser considerada o seu principal ativo e como tal, deve ser protegida. Gestão da Informação Ao reconhecer a importância da informação para a continuidade de seus negócios, cabe à empresa gerir esse importante ativo. A gestão da informação é especialmente estudada pela Ciência da Informação. “A Gestão da Informação é um processo que consiste nas atividades de busca, identificação, classificação, processamento, armazenamento e disseminação de informações, independentemente do formato ou meio em que se encontra (seja em documentos físicos ou digitais)” (GESTÃO DA INFORMAÇÃO, 2009, n.p.). Pode-se ainda detalhar os passos da gestão da informação da seguinte maneira: Busca: pesquisa com a finalidade de encontrar fontes, e fontes confiáveis para se obter as informações desejadas. Identificação: aferição da relevância das informações coletadas e determinação, entre estas, de quais atendem as necessidades da organização. Classificação: classificar as informações de acordo com a características e relevância identificadas.

Processamento: tornar a informação mais adequada ao seu uso e mais compreensível a quem se destina. Armazenamento: caso seja necessário, armazena-se a informação, de maneira a facilitar a utilização futura. Disseminação: trata-se de fazer a informação chegar a quem se destina, no momento em que deve chegar. (GESTÃO DA INFORMAÇÃO, 2009, n.p.). Classificação da Informação

Proteger a informação pode acarretar em custos, e esses custos dependem do nível de proteção que se dá a cada ativo. Dar um nível de proteção alto a todos os ativos resultará em custos desnecessários, pois nem todos os ativos necessitam do mesmo nível de proteção. Conclui-se que é necessário classificar a informação em função do nível de criticidade desta na organização. Essa classificação aperfeiçoará o uso dos recursos de informação e auxiliará a tomada de decisões.

Outro benefício da classificação é manter harmonia entre a confidencialidade e a disponibilidade das informações, uma vez que um controle muito rígido no acesso às informações atrapalha a disponibilidade para aquelas que deveriam estar mais acessíveis.

Alguns pontos, como os citados a seguir, são relevantes na classificação da informação: O objeto de negócio da empresa ou indivíduo. O tipo de produto ou serviço oferecido é determinante para indicar quais informações devem ser mais protegidas. Como exemplo, para uma empresa de seguros, o cadastro de seus clientes é um ativo muito importante e se em mãos da concorrência, permitiria que estes fossem abordados com ofertas de negócio. Por outro lado, também e muito importante que os dados do cliente estejam prontamente disponíveis quanto ele ligar para acionar alguma assistência ou registrar um sinistro. A legislação que protege determinados ativos. Muitas vezes a falha na proteção da informação pode resultar em riscos legais. Também como exemplo, o registro das transações financeiras de um cliente de banco é protegido pela lei do Sigilo Bancário (BRASIL, 2001). Para o banco, a confidencialidade desses registros é de suma importância, por outro lado, a disponibilidade do registro deve ser assegurada a cada momento em que o cliente quiser acessá-las nos veículos de comunicação autorizados a recuperá-las. Em geral, classifica-se a informação em função das consequências da perda, divulgação, alteração indevida ou indisponibilidade da mesma para a organização. Neste modelo, apresenta-se abaixo o exemplo de classificação dada por Ferreira (2003, p.23-24): Classe 1: Não classificada – Informação pública, que não trará impacto se divulgada fora da empresa. Ex. folders publicitários.


Classe 2: Interna – Informação que, embora preferencialmente deva permanecer de conhecimento interno, caso chegue ao conhecimento externo, não trariam consequências críticas. Ex. lista de cargos e funções. Classe 3: Confidencial – Informação que, caso comprometida, traria consequências graves à instituição. Deve ter seu acesso externo impedido e controlado dentro da empresa. Ex. dados pessoais de funcionários. Classe 4: Secreta – Informações críticas para a empresa. No caso de perda, causariam danos críticos e irreparáveis, comprometendo até mesmo a continuidade dos negócios. Além de não ser permitido o acesso externo, deve ter o seu acesso interno restrito a um número muito pequeno de pessoas, com regras para a sua utilização. Ex. ações disciplinares envolvendo funcionários. SEGURANÇA

A segurança pode assumir variados conceitos, dependendo da área a que se aplica, como por exemplo segurança pública ou segurança do trabalho.

Segundo o Dicionário Aurélio (2008), entre outros significados, compreende-se como segurança: qualidade do que é ou está seguro; conjunto das ações e dos recursos utilizados para proteger algo ou alguém; o que serve para diminuir os riscos ou os perigos.

De uma maneira geral, pode-se afirmar que segurança é o ato de deixar algo ou alguém seguro. Segurança da Informação A informação é um bem de grande valor para as pessoas e organizações e como todo bem valioso, ela deve ser protegida. Segundo Ferreira (2003, p.1), a segurança da informação é a área da Gestão de Segurança que trata da proteção da informação das diversas ameaças a que está exposta, com por exemplo o roubo, a adulteração e a indisponibilidade, garantindo a continuidade dos negócios. Entre os aspectos da Segurança da Informação, podem-se destacar as seguintes: 1) Confidencialidade: capacidade de permitir o acesso à informação por parte de alguns enquanto impede o acesso de outros. O sistema deve permitir o controle deste acesso, autorizando-o a quem lhe for de direito e negando o acesso a quem não for autorizado. 2) Integridade: capacidade de garantir que a informação esteja completa, ou seja, mantenha todas as características originais, não tenha sido corrompida. 3) Disponibilidade: segundo Ferreira (2003, p.2) “garantia de que os usuários autorizados obtenham acesso à informação e aos ativos sempre que necessário”. 4) Autenticação: garantia que o usuário que

acessa o sistema é realmente quem alega que seja. 5) Não repudio: capacidade de poder provar que determinada ação foi executada por determinado usuário, sem margem para negativa. 6) Legalidade: aderência do sistema à legislação vigente. 7) Privacidade: capacidade de, quando necessário, manter um usuário anônimo, sem que se possa atribuir a este as ações executadas. O sistema deve permitir um controle e manter a transparência sobre quais ações e quais dados podem ser atribuídos ao usuário e compartilhados com outros usuários. 8) Auditoria: capacidade de se poder auditar as ações do usuário, possibilitando a detecção de fraudes, mau uso ou tentativas de ataque.

Pode-se, portanto, considerar que Segurança da Informação seja o conjunto de ações voltadas a garantia das características supracitadas. Normas de Segurança

Entre as normas desenvolvidas por organizações internacionais de normatização, muitas delas são voltadas para a segurança. Entre estas organizações, destacam-se a International Organization for Standardisation (ISO) (Organização Internacional para Padronização) fundada em 1947 e a International Electrotechnical Commission (IEC) (Comissão Eletrotécnica Internacional), fundada em 1906, ambas em Genebra, na Suíça. A IEC trata de temas relacionados ao setor elétrico e eletrônico. A ISO trata dos demais temas.

Cada país também possui o seu organismo normativo que representa os organismos internacionais. No Brasil, a ISO e a IEC são representadas pela Associação Brasileira de Normas Técnicas (ABNT).

Quando uma norma internacional é adotada pelo organismo nacional, a norma nacional adota a mesma designação da norma ISO ou IEC. Como exemplo, a norma ABNT NBR ISO/IEC 27005 é a adoção, na íntegra, da norma ISO/IEC 2705.

No presente estudo de Política de Segurança da Informação, foram utilizadas como base as seguintes normas: ABNT NBR ISO/IEC 27001: Requisitos de sistemas de gestão da segurança da informação. ISO/IEC 13335: Técnicas de gestão da segurança da informação. ABNT NBR ISO/IEC 27002: Código de prática para controles de segurança da informação. Segurança da Informação na Internet Muitas pessoas e empresas utilizam a Internet para comunicação, aquisição e oferta de produtos e serviços. Empresas também utilizam a internet para prover soluções que são acessadas por funcionários remotamente. O ambiente web se estende até mesmo ao interior das organizações, através das intranets, redes internas que utilizam interface web (GUIMARÃES,


2010). Quanto maiores os investimentos em soluções e serviços web, mais valiosos se tornam os ativos envolvidos e mais importantes passa a ser a proteção desses ativos. A segurança, voltada para o ambiente web, se dá de várias maneiras, começando por equipamentos e softwares voltados para a segurança, como firewalls, antivírus e detectores de intrusão. Também se faz igualmente importante a configuração correta dos equipamentos e softwares e, por fim, a conscientização e capacitação de todo o quadro de funcionários. Incidente de Segurança da Informação Entende-se por incidente de segurança, “um evento que possa causar a interrupção do processo de negócio, através da quebra de algum dos aspectos da segurança da informação, como a confidencialidade, integridade e disponibilidade” (LYRA, 2008, p.4). Segundo o CERT (2004), “um incidente de segurança em computadores pode ser definido como uma atividade nas máquinas ou na rede que possa ameaçar a segurança dos sistemas computacionais”. Como exemplos, pode-se citar invasões, infecção por vírus e negação de serviço. Vulnerabilidades Segundo Wadlow (2000, p.12), “vulnerabilidades são os pontos fracos existentes nos ativos, que quando explorados por ameaças, afetam a confiabilidade, a disponibilidade e a integridade das informações de uma pessoa ou organização”. Em específico na área de TI, Lasdowsky (2013, p.8) conceitua vulnerabilidades como as “brechas nos sistemas desatualizados ou mal desenvolvidos, que usuários mal-intencionados utilizam para acessar os conteúdos” Resumidamente, vulnerabilidades são as brechas que quando exploradas, permitem a ocorrência de incidentes de segurança. Ameaças

Segundo Alencar (2015, p.10) ameaça “é qualquer situação, com intenção maliciosa ou não, que possa colocar em risco ou trazer algum prejuízo para os ativos de uma empresa através da exploração de vulnerabilidades”. Não há como prever em que momento se dará uma ameaça.

De acordo com Sêmola (2003, p.52-53), pode-se ser dividir as ameaças nos seguintes grupos: Naturais: decorrentes de fenômenos da natureza, como enchentes e terremotos. Involuntárias: causadas de maneira inconsciente ou por desconhecimento, como imperícia ou a perda de dados por queda de energia. Voluntárias: causadas voluntariamente, como ataque de hackers ou infecção por vírus. Ameaças à Informação

As ameaças à informação estão diretamente ligadas à três das principais características da informação: confidencialidade, integridade e disponibilidade. De acordo com a característica atingida pode-se classificá-las como: Perda de Confidencialidade: ocorre ao serem disponibilizadas informações restritas à pessoa não autorizada. Exemplo: o vazamento de dados de cartões de crédito de clientes de uma loja virtual. Perda de Integridade: ocorre quando há alteração indevida, perda de parte ou do todo da informação. Exemplo: a alteração das notas através de acesso indevido de aluno ao sistema da escola. Perda da disponibilidade: ocorre quando a informação não está disponível a quem deveria. Exemplo: a queda da comunicação de um computador da rede com o servidor Os conceitos acima descritos, reúnem ideias apresentadas em Ameaças (s.n.t.) e Ferreira (2003, p.99-100). RISCO Compreende-se risco, como a combinação entre a probabilidade de um evento acorrer e o impacto de sua ocorrência. Em outras palavras, a combinação entre a classificação que foi dada à informação e a probabilidade da ocorrência de alguma ameaça (FERREIRA, 2003, p.101). Por sua vez, Fontes (2010) define risco como “a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização”. Gestão de Risco Tendo-se em vista o valor dos ativos da organização e os riscos a que estão expostos, é necessário estabelecer estratégias para controla-los e leva-los a um nível aceitável. Chama-se a isto Gestão de Riscos.

Segundo Vitoriano (2012, n.p.), “gestão de risco é a adoção de medidas e políticas que busquem o equilíbrio entre riscos e custos. Comporta os processos de planejamento, organização, direção e controle dos recursos da empresa”.

A principal ferramenta da Gestão de Risco é a Análise de Riscos. Análise de Risco Apesar de já se ter a percepção dos riscos a que estão expostos os ativos de informação da instituição, esta é um tanto qualitativa e abstrata. Para a tomada de decisão quanto a proteção que será dada aos ativos, é necessária uma informação mais quantitativa e objetiva e para esta finalidade, usa-se a análise de riscos.


As análises de risco devem “identificar, quantificar, e priorizar os riscos com base em critérios para a aceitação dos riscos e dos objetivos relevantes para a organização” (ABNT NBR ISO/IEC 27005, p.6). Diante disso, a análise de riscos tem de ser encarada como um instrumento fundamental para diagnosticar a situação atual de segurança da empresa, através da sinergia entre o entendimento dos desafios do negócio, o mapeamento das funcionalidades dos processos de negócio e o relacionamento deles com a diversidade de ativos físicos, tecnológicos e humanos que hospedam falhas de segurança. (SÊMOLA, 2012, p.102) Existem mais de uma técnica de análise de riscos. Gaivéo (2007) apresenta os seguintes passos para a elaboração de uma análise de riscos: 1) Identificação dos ativos e classificação de acordo com a sua importância para o negócio. 2) Identificação das vulnerabilidades e ameaças ligadas a cada ativo. 3) Determinação da probabilidade de ocorrência de cada uma das ameaças. 4) Através do cruzamento dos dados, identificar os riscos de acordo com a relação probabilidade X impacto. 5) Traçar estratégias para o tratamento dos riscos, em especial os de maior resultado na relação probabilidade X impacto. Determinação do Nível de Impacto

Neste ponto, relacionam-se os ativos de informação da organização, classificando-os de acordo com a sua criticidade para o negócio. O quadro 1, seguinte, sugere uma classificação, considerando o nível de impacto que o ativo pode causar quando for efetivada uma ameaça: Quadro 1: níveis de impacto. Nível Definição

Alto Perda significante dos principais ativos e recursos Perda de reputação, imagem e credibilidade Impossibilidade de continuar com as atividades do negócio

Quadro 1: níveis de impacto. (continuação)

Nível Definição Médio Perda dos principais ativos e recursos

Perda de reputação, imagem e credibilidade

Baixo Perda dos alguns ativos e recursos Perda de reputação, imagem e credibilidade

Fonte: Ferreira (2003, p.100) Determinação das Probabilidades Deve-se determinar a probabilidade de ocorrência de cada um dos ativos, levando-se em conta riscos da natureza, ameaças intencionais, falhas de sistema, etc. O quadro 2 apresenta a sugestão para classificação das probabilidades.

Quadro 2: níveis de probabilidade.

Nível Definição Alto Fonte de ameaça está totalmente motivada e possui conhecimento suficiente para a

execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são ineficazes.

Médio Fonte de ameaça está totalmente motivada e possui conhecimento suficiente para a execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são eficazes.

Baixo Fonte de ameaça não está totalmente motivada e possui conhecimento suficiente para a execução do ataque. Os controles de segurança para prevenir que a vulnerabilidade seja explorada são eficazes.

Fonte: Ferreira (2003, p.98) Matriz de Risco Uma das melhores ferramentas para se chegar a valores quantitativos do risco é a Matriz de Risco. Segundo Ferreira (2003), a Matriz de Risco é a multiplicação entre a classificação da probabilidade e o impacto da ocorrência. A tabela 1 apresenta a fórmula para o cálculo do risco para os ativos. Tabela 1: matriz de risco. Impacto Probabilidade Baixo (10) Médio (50) Alto (100) Alto (1,0) Baixo 10 * 1,0 = 10 Médio 50 * 1,0 = 50 Alto 100 * 1,0 = 100 Médio (0,5) Baixo 10 * 0,5 = 5 Médio 50 * 0,5 = 25 Mé

dio 100 * 0,5 = 50 Baixo (0,1) Baixo 10 * 0,1 = 1 Baixo 50 * 0,1 = 5 Baixo 100 * 0,1 = 10 Fonte: Ferreira (2003, p.101)


Política de Segurança da Informação A Política de Segurança da Informação é

um dos resultados da Análise de Risco. Segundo Sêmola (2003, p.53), “com o

propósito de fornecer orientação e apoio às ações de gestão de segurança, a política tem um papel fundamental e, guardadas as devidas proporções, tem importância similar à constituição federal para um país”.

“Política de segurança é um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações recebam a proteção conveniente que possibilite garantir a sua confidencialidade, integridade e disponibilidade” (BARMAN, 2002, p.4.) (tradução nossa).

“A Política de Segurança da Informação – PSI é um documento que registra os princípios e as diretrizes de segurança adotados pela organização, a serem observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação e processos corporativos” (BASTO, 2015). Uma Política de Segurança da Informação envolve políticas, padrões e procedimentos que são assim definidas por Ferreira (2003, p.34): Políticas: Texto de alto nível, que dá direcionamento geral e significado aos objetivos e intenções da administração, quanto à segurança das informações; Padrões: Declaração mais específica. Representa o conjunto de medidas necessárias para estabelecer o controle; Procedimentos: Descrição passo-a-passo sobre como atingir os resultados esperados. A política de segurança de informações deve estabelecer princípios institucionais de como a organização irá proteger, controlar e monitorar seus recursos computacionais e, consequentemente, as informações por eles manipuladas. É importante que a política estabeleça ainda as responsabilidades das funções relacionadas com a segurança e discrimine as principais ameaças, riscos e impactos envolvidos. (DIAS, 2000 citado por LAUREANO, 2005, p.56)

Como aplicação real de uma Política de

Segurança da Informação, o próximo capítulo trará o estudo de caso do Colégio CDA. ESTUDO DE CASO SOBRE O COLÉGIO CDA

Inaugurado em fevereiro de 2004, o Centro Dinâmico de Aprendizagem - Colégio CDA foi construído visando a prática educacional nas séries iniciais. Sua estrutura e acabamento foram projetados para o acolhimento de crianças e pré-adolescentes, do ensino integral ou parcial. Estrutura Física

O Colégio CDA possui dois pavimentos. No térreo do prédio, encontram-se quatro salas de aulas, maternal, jardim e a sala do período integral. Também encontram-se a secretaria da escola, laboratório de informática com sala de leitura, sala de professores, coordenação, diretoria, refeitório, banheiro comum e para deficiente físico, ambos equipados com chuveiro e trocador.

Na parte externa, pode ser encontrado o parquinho em madeira, parquinho em plástico, área coberta com gramado sintético, área descoberta com gramado orgânico para prática esportiva, sala de serviços gerais, estrutura do gás de cozinha, horta e piscina aquecida e gradeada.

No primeiro pavimento encontram-se mais quatro salas usadas para as séries do primeiro ao quinto ano, almoxarifado, salão de eventos, laboratório de ciências e dois banheiros específicos para meninos e meninas.

A escada que liga o térreo ao piso superior possui portão com trinco, que impede a passagem das crianças menores. Também possui dois corrimãos e piso antiderrapante.

O Colégio CDA conta ainda com um elevador para portadores de necessidades especiais. Toda estrutura encontra-se regulamentada e autorizada pela fiscalização do Corpo de Bombeiros Militar do Distrito Federal.

O Colégio CDA possui duas entradas, uma voltada para a via principal do bairro e outra para dentro do condomínio, Residencial IPÊ. A ilustração 1, mostra a fachada do colégio.

Ilustração 1 - Entrada principal do Colégio CDA.


. Fonte: documentação do trabalho.

O muro do colégio possui dois metros e três centímetros de altura. O portão tem dois acessos, de veículos e de pessoas, entretanto, o acesso é sempre feito pelo portão maior, destrancando o cadeado regularmente para a passagem de pessoas e trancando o cadeado em seguida. Este procedimento é realizado pelos funcionários da secretaria e também por monitoras do colégio, que possuem acesso às chaves dos portões e dos cadeados.

Nenhuma criança sai sem a presença de algum responsável, entretanto, o sistema SISEDUCA não é consultado, comprometendo a segurança na saída dos alunos. É levado em

consideração o conhecimento, por parte de quem entrega as crianças, aos responsáveis, entretanto, caso algum novo funcionário venha a substituir algum funcionário que habitualmente desempenha este papel, esta ação pode ocasionar na liberação de uma criança para um desconhecido, apenas levando em consideração a palavra dessa pessoa.

A entrada do Colégio CDA pelo condomínio é para uso exclusivo de serviço, como jardinagem, limpeza da piscina, retirada do lixo, entrada e saída de compras e mercadorias em geral. A ilustração 2 mostra a parte posterior do colégio.

Ilustração 2 – Vista dos fundos da escola.

Fonte: documentação do trabalho.

O Colégio possui duas entradas para o condomínio: uma grande para o trânsito de

veículos de serviço e outra menor para o transito de pessoas. Normalmente o acesso é facilitado


através do portão maior, em virtude do cadeado estar sempre aberto, sendo trancado no período da noite. Funcionários e crianças, tendo força para abrir o portão, podem ter acesso ao

condomínio Residencial Ipê, e apesar do condomínio não possuir saída e o tráfego de veículos ser pouco durante o dia, existe a possibilidade de acidentes ao atravessar a rua.

A ilustração 3 mostra a situação do colégio dentro do condomínio. Ilustração 3 – Vista do condomínio


Embora o condomínio Residencial Ipê seja limitado, ele possui dois acessos principais sendo um de veículos e outro de pessoas. Possui ainda guarita sem funcionário para fazer a identificação de quem entra e saí do condomínio; o acesso pode ser com chave, pelo portão para pessoas e com controle remoto no portão de veículos.

Até a presente data, nenhum incidente foi registrado.

Área de circulação frontal (Ilustração 4) da escola não possui câmeras de monitoramento, entretanto, nenhuma criança fica circulando, nos corredores externos, fora do horário de recreação.

Ilustração 4 – Área de circulação frontal


Na Área de circulação nascente (ilustração 5) está localizado o elevador e o gás de cozinha. O elevador é somente para uso de pessoas com necessidades especiais e está regulamentado pela


fiscalização e bombeiros. O elevador tem acesso pelo corredor do térreo e a saída no salão interno da escola, no primeiro pavimento. Ilustração 5 – Área de circulação nascente


O acesso à área coberta, situado no fundo da escola, é feito pelo portão com trinco, sem cadeado, normalmente utilizado para separar a brincadeira das crianças maiores das menores, caso ambas estejam no mesmo horário de recreio.

A casinha do gás de cozinha também foi regulamentada e autorizada pela fiscalização e

bombeiros, estando em local arejado, entretanto não possui grade de proteção.

Área de circulação poente (Ilustração 6), é onde encontram-se dois grandes brinquedos, um parque de plástico e outro de madeira, ambos fixados ao chão que é revestido de material aderente e macio, de fácil lavagem e manutenção.

Ilustração 6 – Área de circulação poente


O corredor principal do colégio (Ilustração 7) possui porta de vidro, do tipo blindex de 10 polegadas de espessura, conforme foi estabelecido pela fiscalização e bombeiros. Ilustração 7 – Corredor principal



As tomadas são do novo padrão, que impossibilitam a criança inserir qualquer material em seu interior, o que poderia causar choque elétrico.

O piso interno da escola é em granitina, sem emendas e não é escorregadio, de fácil limpeza e conservação.

As salas do térreo são para as crianças menores e devido a este fator, a escada possui portão com trinco, sem cadeado. A escada

também possui dois tipos de corrimão, um para adultos e outros para crianças, conforme determinação da fiscalização e bombeiros.

Três dispositivos de luz de emergência estão disponíveis neste ambiente, escada, corredor do térreo e corredor do primeiro piso, caso falte energia.

O Acesso à sala da Diretoria (Ilustração 8) é através da Secretaria, onde a porta está sempre aberta, permitindo a livre circulação.

Ilustração 8 – Acesso à sala da Secretaria


A Secretaria é a sala que antecede o acesso à sala da Diretoria, que fica sempre aberta e onde possui um móvel de arquivo com as informações dos alunos. O arquivo possui chave, mas está sempre destrancado possibilitando o acesso às informações (Ilustração 9). Ilustração 9 – Secretaria

Acesso à sala da Secretaria e Diretoria.



Como podem ser observados na ilustração 10, os documentos e materiais pessoais, como bolsas, celulares, pen drivers e o computador portátil com informações do financeiro da escola podem ser extraviados facilmente, devido ao fácil acesso a estas informações. Ilustração 10 – Diretoria


Computador, impressora, fax, dois estabilizadores, roteador com access point e modem, estão ligados em uma mesma régua com fusível e está, a uma tomada com aterramento. Este aterramento é composto por 5 barras de cobre com 2 metros de altura cada. Todas as tomadas da escola possuem aterramento (Ilustração 11). Ilustração 11 – Fiação elétrica e lógica da sala da Diretoria



A sala da Diretoria possui dois armários e um arquivo, todos chaveados que guardam documentos de alunos, funcionários e das empresas que prestam serviços para a escola (Ilustração 12).

Uma geladeira, que serve para guardar material de uso diário da escola, como polpas, sucos industrializados, hambúrgueres, entre outros, fica disponível nesta sala em virtude da segurança e controle deste tipo de material. Entretanto, a sala tem o acesso facilitado por estar sempre aberto, o que não garante a integridade dos produtos ali armazenados. Ilustração 12 – Armários da diretoria


A ilustração 13 mostra os dispositivos de segurança instalados no corredor do Colégio CDA. Ilustração 13 – Câmera do corredor



Localizado ao centro do corredor principal, tem-se a presença de um repetidor de sinal WiFi e uma câmera de monitoramento com pan tilt, ou seja, a câmera se movimenta em dois eixos podendo ter uma visualização completa do ambiente.

Por padrão, a câmera está sempre voltada para a entrada da escola, permitindo o registro do acesso à escola pelo portão principal bem como de quem entra e é atendido na sala da Secretaria. A câmera ainda grava o áudio ambiente e imagens noturnas ou com pouca luminosidade.

Esta câmera possui dois tipos de acessos: um através de aplicativo para dispositivos móveis e outro por um programa instalado no computador. O acesso remoto é

realizado por dois perfis: administrador e usuário. O administrador pode mudar a visualização da câmera e alterar sua configuração, enquanto o perfil usuário só pode assistir o que está sendo transmitido.

A cozinha do Centro Dinâmico de Aprendizagem, Colégio CDA, (Ilustração 14) teve a aprovação da fiscalização e do Corpo de Bombeiros Militar do Distrito Federal, no que se refere à segurança do ambiente, item fundamental para a aprovação do alvará de. Blindex na bancada, retirada do botijão de gás e portão de acesso à cozinha foram as mudanças necessárias para garantir uma maior segurança neste ambiente.

Ilustração 14 – Cozinha



O Colégio CDA possui contrato de prestação de serviço de monitoramento e segurança patrimonial junto à empresa Contato Imediato Ltda.

Neste contrato, seis sensores de movimento foram instalados na entrada da escola, no refeitório (Ilustração 15), no laboratório de informática, na porta do refeitório que dá acesso à área externa, no fundo da escola, e nas janelas do banheiro e da sala da diretoria. Ilustração 15 – Porta de saída da cozinha com sensor

Fonte: documentação do trabalho. Estrutura Lógica

A parte lógica, de voz e de dados da instituição encontra-se da seguinte forma: Telefone sem fio e com base que permite a localização do aparelho. É de fácil acesso e sem restrições, ou seja, pode receber ligações a cobrar de números não identificados e pode efetuar ligações para celulares e interurbanos; Fax - é de uso exclusivo da escola e fica disponível na sala da diretoria; A escola possui 12 equipamentos computacionais, sendo eles oito do laboratório de informática, um na coordenação, um na secretaria, dois na diretoria, sendo um deles notebook, aparelho de fax, duas impressoras lasers, duas estações e telefones sem fio, HD de 1TB interno para backup, 13 estabilizadores e um no-break. Estes computadores contam com os seguintes recursos: o Anti-Virus – apenas o computador da diretoria possui um sistema pago, os demais usam uma versão gratuita. o Rede – a escola possui internet ADSL. A rede é composta por: AccessPoint TPLink com quatro saídas de roteamento, senha padrão WEP2; Repetidor TPLink, situado no centro do corredor principal da escola; RUB de 6 portas, ligando apenas cinco computadores via cabo, os demais utilizam a rede via placa de rede sem fio ou adaptador USB para redes sem fio; A rede é via DHCP, sem IPs ou sub máscaras específicas para cada setor da escola;

o Acesso - Os computadores possuem níveis de acesso do Windows, específicos para cada máquina, sendo um de administrador e outro para usuários específicos de cada setor, ou seja, no laboratório de informática, administrador e aluno, na diretoria, administrador e diretor, assim por diante. Entretanto não possuem protetor de tela com bloqueio, o que permite o acesso de qualquer pessoa, caso o computador esteja sem usuários operando. o Normalmente o computador fica ligado, sem bloqueio de tela, o que possibilita o acesso ao seu conteúdo e navegação na Internet, que também não possui restrições de acesso. o Para acesso aos sistemas, é necessário informar usuário e senha, entretanto a falta de um bloqueio de tela e a incapacidade dos sistemas de solicitarem novo login, caso a sessão seja perdida, o acesso às informações destes sistemas está vulnerável a acessos não autorizados e à perda destas informações, como a exclusão de seus registros. Apenas um usuário está cadastrado para acesso autenticado a estes sistemas. Este usuário é compartilhado com outros funcionários, impedindo uma auditoria caso ocorra perda de informações ou alterações não autorizadas nos registros. o A sala da Coordenação do Colégio CDA, possui um computador que acessa a rede via sinal wireless. Esta estação de trabalho possui sistema operacional Ubuntu versão 15, sem acesso aos sistemas internos da escola (Ilustração 16).

Ilustração 16 – Coordenação

Sensor


Fonte: documentação do trabalho. o Backup - No computador da secretaria é onde existem os sistemas mais importantes: um pedagógico e outro de envio de informações para o fisco. Existe um HD de 1TB no computador da diretoria, que está em rede, entretanto, nenhuma rotina de backup automática está ativa, nem mesmo interno das aplicações, onde poderia ter os dados em duas estações de trabalho. Para fazer o backup, o usuário deve copiar e colar as pastas referentes aos dados e colar no HD da máquina compartilhada. Uma cópia destes dados também é guardada em pen drive. Esta rotina de backup é esporádica e realizada somente por um único funcionário que opera o sistema.

O computador da Secretaria possui os programas mais importantes da escola, SIACOW, sistema para a emissão de notas fiscais, desenvolvido pela empresa GALOGO e o SISEDUCA, sistema pedagógico e financeiro desenvolvido pela empresa EDUTi. Como medida de segurança da empresa GALOGO, um nobreak é utilizado para as máquinas de emissão do cupom fiscal e cartão de crédito.

Na sala da Diretoria onde decisões importantes são tomadas, encontra-se um computador sem acesso aos sistemas importantes da escola. Este computador possui dois HDs, de 500GB e 1TB, sendo o segundo disco para backup de arquivos como planilhas, documentos, fotos, músicas e vídeos. Este disco tem o diretório compartilhado na rede,

possibilitando o fácil acesso aos seus documentos, dentre eles o backup dos sistemas constantes no computador da Secretaria.

Na área destinada a backup, no computador da Diretoria, não foi encontrado nenhum arquivo até a data de elaboração desta Proposta de Segurança da Informação.

O acesso ao computador da coordenação é através de duas contas: uma de administrador com senha e outra conta de visitante, sem senha. Estes acessos são apenas do sistema operacional, pois a escola não possui um servidor que valide estes acessos.

A sala da coordenação não possui armários com documentos de alunos.

Um cartão de memória da câmera de segurança do corredor principal está instalado e pode ser acessado por um programa específico instalado nos computadores da Secretaria, Diretoria e Coordenação. Este recurso permite o monitoramento constante de quem entra e sai da escola e da sala da Secretaria. Esta câmera está ligada à rede elétrica e na falta de energia, tem seu funcionamento inoperante.

O laboratório de informática (Ilustração 17) possui oito computadores ligados em rede por meio de um HUB. O controle de acesso a estes computadores é realizado apenas pelo Sistema Operacional Windows vista, sendo um usuário do tipo administrador e outro do tipo aluno. Programas básicos e jogos que estimulam o aprendizado das crianças estão instalados

.


Ilustração 17 – Laboratório de Informática


O acesso à internet não é monitorado por um servidor com firewall e proxy. O antivírus é grátis, ou seja, não pago e com atualização automática via internet.

Os CPUs ficam localizados próximos ao chão, onde a criança que estiver utilizando fica com as pernas próximas ou coladas ao aparelho.

A informação no Colégio CDA não obedece a qualquer tipo de classificação quanto à

criticidade e a atribuição de rótulos para armazenamento e descarte. Análise das Vulnerabilidades e dos Riscos Físicos e Lógicos

Na tabela 2 tem-se a apresentação das vulnerabilidades encontradas e o cálculo da probabilidade em relação ao impacto, apresentando o grau do risco apresentado.

Tabela 2: vulnerabilidades

Item Ameaça Probabilidade Impacto Risco

1 O Centro Dinâmico de Aprendizagem, Colégio CDA, não possui um documento da Política de Segurança da Informação.

0,5 100 MÉDIO 0,5 x 100 = 50

2 Telefone de fácil acesso e sem restrições de chamadas para celular, interurbano ou internacional.

0,1 10 BAIXO 0,1 x 10 = 1

Tabela 2: vulnerabilidades (continuação)


3 A identificação de pais ou responsáveis, não é realizada através de consulta ao sistema SISEDUCA.

0,1 10 BAIXO

0,1 x 10 = 1

4

Funcionários, visitantes e crianças podem ter acesso ao condomínio através do portão dos fundos da escola que fica destrancado, podendo ocasionar um acidente de trânsito.

0,5 100 MÉDIO

0,5 x 100 = 50

5 O acesso à sala da Diretoria é através da Secretaria, onde a porta está sempre aberta, permitindo livre circulação.

0,1 10 BAIXO

0,1 x 10 = 1

6 A sala da Secretaria, possui um móvel de 0,5 100 MÉDIO


arquivo, com as informações dos alunos. O arquivo possui chave, mas está sempre destrancado, possibilitando o acesso às informações.

0,5 x 100 = 50

7

Na sala da Secretaria, que está sempre aberta, a informação está disponível no computador sem proteção de tela e sem bloqueio do Sistema Operacional, facilitando o manuseio do equipamento, como navegação na internet e acesso a documentos diversos, tanto da rede, quanto dos sistemas internos.

1,0 100 ALTO

1,0x100=100

8

Documentos diversos, podem ser percebidos fora de seus locais de segurança, possibilitando o fácil acesso às suas informações.

1,0 100 ALTO

1,0x100=100

9

Uma rotina de backup não foi estabelecida, sendo realizada de maneira esporádica por um funcionário e guardado em um pen drive pessoal apenas. A área destinada a backup, no computador da Diretoria, não foi encontrado, até a data de elaboração deste documento, nenhum arquivo.

0,5 100 MÉDIO

0,5 x 100 = 50

10

Documentos e materiais pessoais, como bolsas, celulares, pen drivers e o computador portátil com informações do financeiro da escola, pode ser extraviados facilmente, devido ao fácil acesso a estas informações.

1,0 100 ALTO

1,0x100=100

11

A câmera, localizada no centro do corredor do piso térreo, está ligada à rede elétrica. Na falta de energia, fica inoperante seu funcionamento.

0,5 100 MÉDIO

0,5 x 100 = 50

Tabela 2: vulnerabilidades (continuação)


12 A escola não possui câmera de monitoramento na entrada.

0,1 10 BAIXO

0,1 x 10 = 1

13

O acesso à internet não é monitorado por um servidor com firewall e proxy. O antivírus é gratuito, com atualização automática via internet.

0,1 10 BAIXO

0,1 x 10 = 1

14

Os CPUs do laboratório, ficam localizados próximos ao chão, onde a criança que estiver utilizando fica com as pernas próximas ou coladas ao aparelho.

0,1 10 BAIXO

0,1 x 10 = 1

15 Casinha do gás de cozinha sem grade de proteção.

0,5 100 MÉDIO

0,5 x 100 = 50 Fonte: Adaptado de Ferreira (2003, p.101) Identificação dos Riscos Verificados no Colégio

O resultado da probabilidade de ocorrência da ameaça versus o impacto no colégio, é a matriz de risco que está sendo apresentada no quadro 3. Nesta matriz, foram

sintetizadas em oito itens, as vulnerabilidades descritas na tabela 2. O estudo apresenta a distribuição dos níveis de riscos, conforme identificação relacionada junto às informações obtidas ao longo da análise.

Quadro 3: matriz de risco do colégio.

Ativo Probabilidade Impacto

Valores Baixo Médio Alto Baixo Médio Alto


Roubo

Segurança das Instalações

Acesso as informações por pessoas não autorizadas.

Controle de acesso

Acessibilidade do Local

Segurança das Informações

Não possui uma Política de Segurança da Informação

Incêndio

Fonte: Adaptado de Ferreira (2003, p.101) Análise dos Riscos Encontrados

Roubo de equipamento apresentou uma probabilidade alta devido ao risco ser tanto externo ou interno.

A probabilidade média da segurança da instalação tem alto impacto, pois interfere diretamente na execução dos trabalhos da escola.

O acesso às informações por pessoas não autorizadas é de extrema importância, tendo alta classificação de impacto, podendo implicar diretamente na credibilidade da instituição devido à alta probabilidade de extravio, exclusão ou perda destes ativos de informação.

O controle de acesso tem média classificação de probabilidade e impacto devido à escola estar, noventa por cento do expediente de trabalho, somente com crianças e funcionários. Os acessos externos normalmente estão controlados por funcionários ou servidores, entretanto carece de melhorias visando a continuidade do negócio.

Acessibilidade do local tem baixa classificação de probabilidade por ter seus equipamentos normalmente sendo utilizados por funcionários da escola, entretanto seu impacto é médio, pois a perda de algum material particular pode impedir o bom funcionamento da escola.

A classificação alta para a segurança das informações merece destaque por se tratar de equipamentos necessários para a manutenção dos trabalhos da escola.

O Colégio CDA não possui uma PSI, a probabilidade sendo média, não interrompe os trabalhos da escola, entretanto a utilização de uma proposta de segurança da informação pode evitar sérios problemas detectados ao longo das análises dos riscos e impactos.

A probabilidade de incêndio é baixa, devido a implantação de todas as normas de

segurança recomendadas, entretanto o impacto pode ser alto, caso venha a acontecer.

Para a elaboração das diretrizes, tomaram-se por base as sugestões contidas na ABNT NBR ISO/IEC 27002 (2005).

PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - PSI - PARA O CENTRO DINÂMICO DE APRENDIZAGEM - COLÉGIO

CDA CONTEXTUALIZAÇÃO DA POLÍTICA

O Centro Dinâmico de Aprendizagem – Colégio CDA, integrando o Sistema de Ensino do Distrito Federal, fundamentando-se nos princípios da Educação Nacional, nas Diretrizes Curriculares Nacionais da Educação Básica (princípios, fundamentos e procedimentos), nas teorias do construtivismo, dos fundamentos legais dos Direitos da Criança e do Adolescente, norteará suas ações nos seguintes objetivos institucionais: 1) Contribuir para formação harmônica e global do Educando, em seus aspectos social, cultural e emocional, proporcionando experiências concretas selecionadas a partir do conhecimento de suas características, suas necessidades e seus interesses; 2) Oportunizar ao Educando partilhar experiências, pensar por si mesmo, avaliar-se, aceitar críticas e responsabilidades contribuindo para o exercício consciente da cidadania; 3) Estimular a integração do Educando com o meio sociocultural, oferecendo-lhe as condições necessárias para o desenvolvimento de sua capacidade de expressão e interação social, despertando-a para a criatividade e sensibilidade e para as manifestações artísticas e culturais; 4) Proporcionar a descoberta do meio ambiente, garantindo ao Educando, liberdade de ação para


realizar experiências e enfrentar obstáculos, valorizando atitudes e hábitos para sua preservação. OBJETIVOS

O objetivo geral da Política de Segurança da Informação (PSI) do Colégio CDA, é proteger os dados, informações e conhecimentos adquiridos nestes 12 anos de atuação no ramo da educação infantil, através da preservação da confidencialidade, integridade e disponibilidade dos ativos, visando garantir a continuidade e melhoria do serviço, bem como a sustentabilidade da instituição. ABRANGÊNCIA

A Política de Segurança da Informação abrange todo o recurso de informação de propriedade e utilização pelo Centro Dinâmico de Aprendizagem. Isto inclui informações geradas, adquiridas e trabalhadas pelo Colégio CDA, sendo aplicada a todas as atividades que sejam desenvolvidas por funcionários, professores, monitores, clientes e prestadores de serviço. TERMOS E DEFINIÇÕES

Ativos – Qualquer coisa que tenha valor para a organização, como informação, software, recursos físicos (máquinas, equipamentos, material de laboratório), tecnológicos, serviços, pessoas (qualificações, habilidades e experiências) e recursos intangíveis (reputação e imagem).

Classificação – processo que identifica informações de acordo com o seu valor, permitindo estabelecer nível de segurança adequando para cada tipo de informação estabelecendo controles e procedimentos necessários para a seleção, tratamento, transmissão, armazenamento e descarte dessas informações.

Confidencialidade – garantia de que a informação está acessível somente à pessoas autorizadas.

Conformidade – é o cumprimento de leis, regulamentos e cláusulas contratuais.

Criticidade – grau de importância da informação para a continuidade dos negócios do Colégio CDA.

Custódia – consiste na responsabilidade de guardar um ativo para terceiros.

Disponibilidade – garantia de que os usuários autorizados tenham acesso à informação e aos ativos necessários.

Gestor – pessoa encarregada pela administração de um ativo de informação incluindo a própria informação.

Incidente de segurança – é qualquer evento ou ocorrência que promova uma ou mais ações que prometam ou que seja uma ameaça à

integridade, autenticidade ou disponibilidade de qualquer ativo do Colégio CDA.

Informação – conjunto de dados organizados de acordo com procedimentos executados por meios eletrônicos ou não, que possibilitam a realização de atividades especifica e/ou tomada de decisão.

Integridade – garantia de criação legítima e da consistência da informação ao longo do seu ciclo de vida, em especial, prevenção contra a alteração ou destruição não autorizada de dados e de informações.

Política de Segurança da Informação – documento ou conjunto de diretrizes que provê à direção, orientação e o apoio para a segurança da informação.

Segurança da Informação – conjunto de normas, procedimentos e atividades voltadas para a preservação da confidencialidade, integridade e disponibilidade do ativo informação.

Terceiros – todo individuo, grupo ou entidade pública ou privada que assumir e mantiver, de forma temporária ou permanente, relação com o Colégio CDA. REFERÊNCIAS ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002:2005 – Tecnologia da Informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro, 2005. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001:2006 – Tecnologia da Informação – Técnicas de Segurança - Código de prática para a gestão da segurança da informação. Rio de Janeiro, 2006. BEAL. Adriana. Manual de Segurança de Sistemas da Informação. São Paulo: Atlas, 2003. DIRETRIZES DE SEGURANÇA

A Política de Segurança da Informação é direcionada para a proteção da informação nos seus requisitos de confidencialidade, integridade, disponibilidade e conformidade. Organizando a Segurança da Informação a) A Política de Segurança da Informação deve ser aprovada pela Diretoria do Colégio CDA, publicada e comunicada a todos os colaboradores do colégio. b) Essa Política é aplicável às informações sob gestão do Colégio CDA, que podem existir de muitas maneiras: escrita em papel, armazenada e transmitida por meios eletrônicos, exibidas em filmes ou falada em conversas formais e informais. Seja qual for a forma apresentada ou o meio através do qual a informação seja apresentada ou compartilhada ela deverá estar sempre protegida adequadamente, de acordo com os controles definidos nesta política. c) Todos os mecanismos de proteção utilizados


para a segurança das informações devem ser mantidos para preservar a continuidade de seus negócios. d) É obrigação do Colégio CDA criar mecanismos de divulgação da Política de Segurança da Informação para todos os funcionário, clientes e prestadores de serviço. e) A consultoria de um especialista interno ou externo em segurança da informação, analise criticamente e coordene os resultados desta consultoria por toda a escola. f) A criação de um fórum exclusivo de gestão da PSI com as responsabilidades de implantar, acompanhar, fiscalizar e sugerir melhorias. Recursos Humanos a) Todos os funcionários, professores e colaboradores do Colégio CDA e, quando pertinente, parceiros, fornecedores e terceiros devem ser conscientizados, educados e treinados nos procedimentos de segurança da informação e no uso correto dos ativos de informação. b) Todos os empregados, professores, parceiros, fornecedores, terceiros, colaboradores eventuais e usuários dos ativos de informação devem assinar Termo de Compromisso sobre os seus papéis e responsabilidades pela segurança da informação. c) As responsabilidades pela segurança da informação devem constar nos contratos de admissão de forma adequada, nas descrições de cargos e nos termos de desligamento e condições de efetivação do processo de extinção contratual entre o empregado e o Colégio CDA. d) Quando da mudança de responsabilidades e ou atribuições dentro da escola, faz-se necessária a revisão imediata dos direitos de acesso e uso da informação. e) É de responsabilidade da direção do Colégio CDA garantir que a segurança da informação seja aplicada a todo trabalho dentro da organização. f) As alterações da Política de Segurança da Informação devem ser comunicadas aos funcionários, parceiros e terceiros um período antes da mesma ser implementada, para que esses possam adaptar-se a mesma. g) Todos os funcionários, fornecedores e terceirizados devem devolver os ativos do Colégio que estejam em sua posse, após o encerramento de suas atividades, contrato ou acordo. Acesso e Controle dos Ativos de Informação a) A instalação e manutenção de aplicativos informatizados e periféricos de informática devem ser analisados antes de seu emprego para garantir que sejam compatíveis com outros componentes do sistema. b) O uso de recursos e informações serão controlados e monitorados pelo Colégio CDA, para garantir o uso restrito, controlado e correto dos mesmos. c) O uso de equipamentos pessoais ou privados, de processamento da informação como computadores da escola, notebooks, smartphones, tablets, telefones e fax, devem ser

comunicados à direção do Colégio CDA. d) Todo o conteúdo de informação para divulgação deve ser criticado e autorizado pelo gestor da informação do Colégio CDA, antes de sua veiculação em agendas, internet, e-mails, mural, banners, panfletos e eventos internos e externos à escola. e) O acesso às salas e setores sensíveis do Colégio CDA, como sala dos professores, secretaria, diretoria, laboratórios e almoxarifado, deve ser autorizado e acompanhado pelo funcionário responsável pelo setor. f) Recursos de software ou documentos de identificação de pais, responsáveis e alunos, devem ser de fácil acesso de pessoal autorizado, para consulta antes da liberação de qualquer criança, evitando erros na entrega destes alunos a pessoal não autorizado. Estas autorizações devem ser informadas mediante apresentação de documento e assinadas na secretaria da escola, visando um melhor controle e segurança dos ativos da escola. g) Todo acesso externo deverá ser avaliado, identificado e devidamente autorizado, cabendo aos responsáveis pelo Colégio CDA a análise das reais necessidades desse acesso a documentos ou outros recursos de processamento da informação. h) As violações à segurança da informação devem ser registradas e esses registros devem ser analisados para os propósitos de caráter corretivo, legal e de auditoria. Os registros devem ser protegidos e armazenados de acordo com a classificação da informação. Controle e Classificação da Informação a) Toda a informação deve ser classificada em termos de seu valor, requisitos legais, sensibilidade e criticidade para o Colégio CDA. O cliente deve ter acesso apenas aos ativos necessários e indispensáveis à sua necessidade. b) A informação classificada receberá tratamento seguro que assegure armazenamento, transmissão e descarte compatíveis com seu nível de criticidade. Cópias de Segurança a) Procedimentos de rotina de cópias de segurança deverão ser realizados, mantidos e testados em tempo aceitável, considerando a utilização de software de gestão dos ativos pedagógicos e financeiros, armazenamento de imagens e vídeos provenientes de câmeras de monitoramento e vigilância, arquivos e documentos digitalizados. b) Fontes de informação sensíveis ao desempenho das atividades do Colégio CDA, como banco de dados e arquivos de segurança da informação, devem ser submetidos a recursos adequados para a geração de cópias de segurança, visando garantir que toda informação e softwares essenciais, possam ser recuperados após um desastre, roubo, falha com dados


corrompidos. c) As cópias de segurança deverão ser armazenadas em uma localidade remota, a uma distância suficiente para escapar dos danos de um desastre que possa acontecer no local de origem da informação ou software. d) Testes regulares deverão ser realizados para garantir a integridade das informações armazenadas nos mecanismos de backup. Controle de Acesso e Segurança de Documentos e Sistemas a) Sistemas informatizados devem ser protegidos contra acessos não autorizados. b) Fontes de informações físicas, arquivos de ficheiro com acesso a documentos importantes devem estar sempre chaveados ou mantidos em segurança. A quantidade de funcionários com acesso a estas informações deve ser reduzida, visando maior controle e segurança destas informações. c) Documentos encontrados fora de seus locais de segurança, sem a presença de um responsável autorizado, deve ser reportado à direção do Colégio CDA para as devidas providências. Monitoramento a) A utilização de monitoramento interno e externo deve ser informado a todos os funcionários, clientes e parceiros do Colégio CDA, com a utilização de placas ou informes que estejam de acordo com os requisitos legais relevantes aplicáveis para atividades de registro e monitoramento. b) Imagens, vídeos e áudios poderão ser utilizados para auditoria em decorrência de mal utilização dos ativos da escola e violação do estabelecimento, sem a necessidade de autorização escrita dos envolvidos. c) O monitoramento e análise crítica dos serviços terceirizados deverão garantir a aderência entre a segurança da informação e as condições estabelecidas em acordo pelas partes. Política de Mesa Limpa e Tela Limpa a) Informações críticas ou sensíveis ao Colégio CDA, como documentos, processos, atas, todos em papel e dispositivos de armazenamento eletrônicos, devem ser guardados quando não utilizados, em armários, cofres ou outros locais de armazenamento seguro e chaveado. b) Computadores, tanto pessoais quanto da escola, incluindo os computadores do laboratório, devem possuir a tela principal e área de trabalho limpas, dificultando o acesso a sistemas e documentos eletrônicos sensíveis ao Colégio CDA, quando não utilizados por longo prazo, devem ser desligados. c) Uma tela de proteção com senha deve ser utilizada em caso de inatividade pelo prazo de um minuto. O aplicativo de proteção de tela deve ser limpo ou condizente com o tipo de trabalho utilizado no ambiente ou na escola como um todo. d) Aparelhos fax, telefones pessoais ou da

instituição e impressoras devem estar em local protegido, impedindo seu fácil acesso. e) Documentos impressos devem ser retirados da impressora assim que prontos. f) Deve ser evitado o uso não autorizado de fotocopias, scanners, máquinas digitais e celulares do tipo smartphones. Esta autorização deve ser adquirida junto à direção do Colégio CDA. Acesso e Uso de Sistemas e Rede a) A utilização e instalação de utilitários e sistemas deve ser devidamente analisado e autorizado. Aplicativos que sobreponham os mecanismos de segurança da informação devem ser analisados antes de sua utilização, para que não ocorra falha de segurança, podendo incidir na paralização do negócio. b) Nenhum programa ou sistema deverá ser instalado ou acessado sem licença de utilização. c) Fontes de informações lógicas, como sistemas informatizados, devem ter o acesso restrito com controle de acesso, senhas, telas com controle de sessão por tempo de inatividade e criação de arquivos de logs de acesso para auditoria. d) Toda utilização de equipamento pessoal, não monitorado, antes do acesso à rede de dados do Colégio CDA, deverá ser devidamente autorizado e o equipamento deve ter proteção adequada. e) Sistemas autorizados sensíveis à escola deverão ter limitação do uso a um número mínimo de usuários confiáveis. f) Softwares utilitários e de sistemas desnecessários deverão ser desabilitados ou removidos. g) Os sistemas de informação existentes ou novos deverão ser dotados de requisitos de controles de segurança que assegurem a continuidade do negócio institucional. Correio Eletrônico a) O uso do correio eletrônico do Colégio CDA é para fins corporativos e relacionados às atividades do funcionário dentro da escola. A utilização desse serviço para fins pessoais é permitida desde que feita com bom senso, não prejudique a escola e também não cause impacto no tráfego da rede. b) Funcionários, clientes e prestadores de serviço, devem autorizar o envio de mensagens pelo colégio. É vetado o envio de mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo da instituição. Proteção de Equipamentos c) Todo equipamento de uso sensível ao Colégio CDA deve estar devidamente acondicionado, instalado e armazenado, impedindo o mau uso ou eventuais problemas provenientes de desgaste, intervenção da natureza ou humana. d) Computadores e periféricos devem estar instalados sob mesas ou racks específicos para cada tipo de equipamento, ligados a uma rede estabilizada, com aterramento, filtro de linha e dispositivos de carga independente como no-


breaks. e) Os dispositivos como câmeras, telefones, modens, roteadores, servidores, DVRs – Digital Video Recorders e computadores selecionados para a manutenção do trabalho, devem ser protegidos contra a falta de energia elétrica e outras intervenções de funcionamento. f) Botijões de gás e canalização devem ser protegidas por grades de proteção. RESPONSABILIDADES a) As diretrizes, normas e procedimentos de segurança da informação deverão estar em acordo com a Política de Segurança da Informação e serem cumpridas por todos os funcionários e colaboradores do Colégio CDA. b) Pessoas com responsabilidades definidas pela segurança da informação podem delegar as tarefas de segurança da informação para outros funcionários. Todavia eles continuam responsáveis, devendo acompanhar a execução das tarefas delegadas, verificando se estão sendo obedecidas tais tarefas. c) Com relação à implantação e monitoramento da PSI, compete à diretoria: a. Criar um organismo interno responsável pela coordenação da prática da Segurança da Informação de acordo com o estabelecido nesta política. b. Assegurar os recursos necessários para as ações referentes à Política de Segurança da Informação. c. Excluir e autorizar o acesso aos ativos da escola. d. Disponibilizar mecanismos que descaracterizem documentos que não podem ser descartados inteiros. e. Criar um fórum de Segurança da Informação. f. Identificar a necessidade de auditoria ou consultoria especializada de uso interno ou externo dos ativos da escola. CONFORMIDADE a) As diretrizes propostas nesta Política de Segurança da Informação estão em conformidade com estatutos, legislação vigente, contratos, convênios, acordos de cooperação e outros instrumentos do mesmo gênero celebrados com a escola. b) Os resultados de cada ação de verificação de conformidade serão documentados em relatório de avaliação de conformidade, o qual será encaminhado pelo gestor de Segurança da Informação ao responsável pela área ou setor verificado, para ciência e tomada das ações cabíveis. c) Os gestores devem assegurar, em suas áreas de responsabilidade, o atendimento à conformidade da Política de Segurança da Informação. PENALIDADES

O descumprimento ou violação pelo

funcionário, cliente ou parceiro do Colégio CDA às regras previstas na Política de Segurança da Informação, resultará na aplicação das sanções previstas em regulamentações internas e legislação em vigor. DISPOSIÇÕES FINAIS a) Todos os funcionários, fornecedores, clientes e terceirizados deverão ser conscientizados quanto aos procedimentos para notificação dos eventos e fragilidades que possam impactar a segurança dos ativos de informação institucionais. b) A Proposta de Segurança da Informação deverá ser revisada a cada dois anos ou quando ocorrerem mudanças significativas. c) Esta PSI será implantada após aprovação pela diretoria do Colégio CDA. CONCLUSÕES A Política de Segurança de Informação apresentada, se implementada, irá garantir, entre outros benefícios:

Uma correta gestão dos ativos de informação do Colégio CDA.

Uma alocação de recursos mais inteligente em SI.

A correta definição das responsabilidades dos funcionários e direção do Colégio CDA.

A garantia da confidencialidade, integridade e disponibilidade dos ativos de SI.

AGRADECIMENTOS Primeiramente a Deus, que fez o céu, a terra e tudo que neles há. A ele toda a honra e toda a Glória. A minha mãe, Maria, pela vida, cuidado e dedicação. A meu pai, Francisco, pelo suporte e exemplo. A esposa Mani, dona do meu coração. Nada disso seria possível sem o seu apoio. Aos filhos João Miguel e Vitor. Vocês deram um novo significado à minha existência. A orientadora, Maria José de Oliveira, que acreditou no nosso potencial e nos proporcionou essa oportunidade. Ao colega de projeto, Sávio, pelo desprendimento e excelência. As Faculdades Integradas Promove de Brasília. Nei Evandro dos Santos Agradeço ...


A Deus, que me concedeu a oportunidade de estar aqui e poder, junto a meus familiares e amigos, estar sempre em constante crescimento espiritual e moral. Com base em seus ensinamentos e infinito amor. A meus pais, Neide e Marelson Bueno, por sempre acreditarem que tudo é possível com paciência, perseverança e amor. Aos meus irmãos, Chris e Rodrigo, pelos grandes momentos de união, principalmente em momentos difíceis. Ao amor da minha vida, Daniela Cortez, por estar sempre ao meu lado, apoiando em todos os momentos. Por estar sempre dentro do meu coração, mostrando que é possível ser feliz. Aos meus filhos, Letícia e Arthur, pela oportunidade de crescimento, de amadurecimento e da prática do amor. À querida Professora Doutora Maria José de Oliveira, por acreditar que a educação é o caminho necessário ao crescimento humano. Pela oportunidade dada e recebida com muito carinho e admiração. Ao colega de projeto Nei Evandro, pela força e tranquilidade, transmitida ao longo desta caminhada. Aos grandes amigos professores e amigos de classe, conquistados nestes anos de estudo e dedicação. Aos funcionários do Colégio CDA, pela oportunidade concedida. Muito obrigado, de coração.

Sávio Bueno

REFERÊNCIAS ALENCAR, E. S. Política de segurança da informação para empresa OrionS/A. 2015. 48 f. Trabalho de Conclusão de Curso (Graduação)–Faculdades Icesp Promove de Brasília, Brasília, 2015. AMEAÇAS à segurança da informação de uma corporação. s.n.t. Disponível em <http://www.cnasi.com.br/ameacas-a-seguranca-da-informacao-de-uma-corporacao/>. Acesso em 01 jun de 2016. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Autodiagnóstico: casos de Sucesso - Importância das normas internacionais para as Micro e Pequenas Empresas. Brasília, 2012. Disponível em <http://www.abntonline.com.br/ad/ex/rec_dicas2.html>. Acesso em 26 nov de 2015. BARMAN, Scott. Writing Information Security Policies. New Riders Publishing, 2002. BASTO, Fabrício. Política de Segurança da Informação: como fazer? 2015. Disponível em <

http://analistati.com/politica-de-seguranca-da-informacao-como-fazer/>. Acesso em 01 jun de 2016. BRASIL. Lei Complementar nº 105, de 10 de janeiro de 2001. Dispõe sobre o sigilo das operações de instituições financeiras e dá outras providências. Diário Oficial da União, Brasília, DF, 11 jan. 2001. Seção 1, p. 1. CAMPINA JUNIOR, P. Os Desafios e a Importância da Gestão de Riscos de Segurança. São Paulo, 2015. Disponível em < http://safewayconsultoria.com/gestao-de-riscos-de-seguranca/>. Acesso em 16 nov de 2015. CARIBÉ, R.; CARIBÉ, C. Introdução à

Computação. São Paulo: FTP, 1996. CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. FAQ. Disponível em <http://www.cert.br/certcc/csirts/csirt_faq-br.html#2>. Acesso em 23 nov de 2015. COOPERATI, Zentyal. Disponível em < http://www.cooperati.com.br/2012/03/13/zentyal-gerenciamento-de-servidores-linux-parte1/>. Acesso em 01 dez de 2015. DANTAS, Marcus Leal. Segurança da Informação: uma abordagem focada em gestão de riscos. Olinda: Livro Rápido, 2011. Disponível em < http://www.marcusdantas.com.br/files/seguranca_informacao.pdf>. Acesso em 08 jun de 2016. DICIONÁRIO DO AURÉLIO. Significado de Segurança. 2008. Disponível em <http://dicionariodoaurelio.com/seguranca>. Acesso em 15 nov de 2015. EMPRESA BRASILEIRA DE PESQUISA AGROPECUÁRIA. Política de Segurança da Informação. Disponível em <http://cloud.cnpgc.embrapa.br/nti/politica-de-seguranca-da-informacao/>. Acesso em 22 nov de 2015. FERREIRA, F. N. F.; ARAÚJO, M. T. Política de Segurança da Informação: guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2006. FERREIRA, F. N. F. Segurança da Informação. Rio de Janeiro: Ciência Moderna, 2003. FONTES, Edison. Gestão de riscos em Segurança da Informação. 2010. Disponível em <http://imasters.com.br/artigo/16323/seguranca/gestao-de-riscos-em-seguranca-da-informacao?trace=1519021197&source=single>. Acesso em 01 jun de 2016.


GAIVÉO, Manuela. Análise e Gestão do Risco em Segurança da Informação. 2007. Disponível em: < http://www.sinfic.pt/SinficWeb/displayconteudo.do2?numero=24868>. Acesso em 01 jun de 1016. GESTÃO DA INFORMAÇÃO. O que é Gestão da Informação. Disponível em < http://informacaoparasuagestao.blogspot.com.br/2009/10/o-que-e-gestao-da-informacao.html>. Acesso em 16 nov de 2015. GUMARÃES, F. E. Segurança na Web. Porto Velho: SENAC, 2010. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 13335-1:2004. Genebra, 2004. LAUREANO, M. A.P. Gestão de Segurança da Informação. São Paulo: LT, 2005. p.56. Disponível em < http://docplayer.com.br/679416-Gestao-de-seguranca-da-informacao-marcos-aurelio-pchek-laureano-marcos-laureano-eti-br-01-06-2005.html>. Acesso em 01 jun de 2016. LASDOWSKY, Daniela. Segurança da Informação Segurança de Pessoas. São Caetano do Sul, 2013. Disponível em <http://www.academia.edu/3794112/USCS_UNIVERSIDADE_MUNICIPAL_DE_S%C3%83O_CAETANO_DO_SUL_MBA_em_Governan%C3%A7a_em_TI>. Acesso em 12/04/2016. LYRA, M. R. Segurança e Auditoria em Sistemas de Informação. Rio de Janeiro: Ciência Moderna, 2008. NORTON, P. Introdução à Informática. São

Paulo: Makron Books, 1996. REZENDE, S. O. Sistemas Inteligentes. Barueri:

Manole, 2005. SÊMOLA, M. Gestão da Segurança da

Informação. Rio de Janeiro: Elsevier, 2003.

SETZER, V. W. (2015). Dado, Informação, Conhecimento e Competência. São Paulo, 2015. Disponível em <https://www.ime.usp.br/~vwsetzer/dado-info.html>. Acesso em 23 nov de 2015. SILVA, G. M. Segurança em Sistemas Linux.

Rio de Janeiro: Ciência Moderna, 2008. SOUZA, J. Segurança: a importância da gestão de riscos orientada a ativos de informação. 2011. Disponível em < http://www.tiespecialistas.com.br/2011/12/seguranca-a-importancia-da-gestao-de-riscos-orientada-

a-ativos-de-informacao/>. Acesso em 16 nov de 2015. VITORIANO, B. C. Gestão de Risco: você sabe o que é? 2012. Disponível em <http://www.portaleducacao.com.br/administracao/artigos/12107/gestao-de-risco-voce-sabe-o-que-e>. Acesso em 12 jun de 2016. WADLOW, Thomas. Segurança de Redes. Rio de Janeiro: Campus, 2000. XAVIER, R. C. M.; COSTA, R. O. Relações mútuas entre informação e conhecimento: o mesmo conceito? Disponível em < http://www.scielo.br/pdf/ci/v39n2/06.pdf/>. Acesso em 04 abr de 2016.

TSI PROPOSTA DE POLÍTICA DE SEGURANÇA DA...

Documents

Transcript of TSI PROPOSTA DE POLÍTICA DE SEGURANÇA DA...