FUNDAO JOO PINHEIRO ESCOLA DE GOVERNO PROFESSOR PAULO NEVES DE CARVALHO Mestrado em Administrao Pblica Gesto da Informao

SEGURANA DA INFORMAO:
Estudo sobre as prticas dos usurios do Sistema Integrado de Administrao de Materiais e Servios do Estado de Minas Gerais

Fernando Vieira Braga

Belo Horizonte 2008

Fernando Vieira Braga

SEGURANA DA INFORMAO:
Estudo sobre as prticas dos usurios do Sistema Integrado de Administrao de Materiais e Servios do Estado de Minas Gerais

Dissertao apresentada ao Curso de Mestrado em Administrao Pblica da Escola de Governo Professor Paulo Neves de Carvalho EG, da Fundao Joo Pinheiro FJP, como requisito parcial obteno do ttulo de Mestre em Administrao Pblica. rea de Concentrao: Gesto da Informao

Orientador: Prof. Dr. Ronaldo Ronan Oleto.

Belo Horizonte 2008

B813s

Braga, Fernando Vieira Segurana da Informao: estudo sobre as prticas dos usurios do Sistema Integrado de Administrao de Materiais e Servios do Estado de Minas Gerais / Fernando Vieira Braga. - Belo Horizonte, 2008. 145 p. Orientador: Prof. Dr. Ronaldo Ronan Oleto Dissertao (mestrado) Fundao Joo Pinheiro. Escola de Governo Prof. Paulo Neves de Carvalho. Mestrado em Administrao Pblica. rea: Gesto da Informao. Bibliografia 1 Segurana da Informao. 2 Usurios de sistema de informao - prticas. 3 - SEPLAG. I Braga, Fernando Vieira. II Fundao Joo Pinheiro. CDU 681.3

Fernando Vieira Braga Segurana da Informao: estudo sobre as prticas dos usurios do Sistema Integrado de Administrao de Materiais e Servios do Estado de Minas Gerais.

Dissertao apresentada ao Curso de Mestrado em Administrao Pblica, da Escola de Governo Professor Paulo Neves de Carvalho - EG, da Fundao Joo Pinheiro - FJP, como requisito parcial obteno do ttulo de Mestre em Administrao Pblica. Belo Horizonte, maro de 2008.

Ronaldo Ronan Oleto (Orientador) EG/FJP

Simone Cristina Dufloth EG/FJP

Regina Fres Dolabela FAMC

 minha companheira, esposa e amiga, pelo apoio, estmulo e compreenso durante esta e outras jornadas. Aos meus filhos, para os quais tentei dar o exemplo. Aos professores e amigos, por terem me auxiliado a vencer mais esta jornada.

AGRADECIMENTOS

A todos os que me apoiaram ao longo da realizao deste trabalho, expresso minha gratido, em especial Universidade Corporativa da Prodemge, que viabilizou a minha participao no curso de mestrado, por intermdio do seu programa de educao continuada. Ao Professor Dr. Ronaldo Ronan Oleto, pela sua competncia, dedicao e orientao na elaborao desse trabalho. Professora Dra. Simone Cristina Dufloth, por sua contribuio objetiva na montagem do projeto de pesquisa. Maria Jos Pires de Almeida, Coordenadora Geral do Sistema Integrado de Administrao de Materiais e Servios (SIAD), pelo interesse na pesquisa e por disponibilizar os recursos necessrios para realiz-la. Secretaria de Planejamento e Gesto do Estado de Minas Gerais (SEPLAG), em especial aos servidores Tiago e Karin, e aos servidores que participaram da pesquisa, pela receptividade, ateno e disponibilidade. s colegas da Prodemge Regina, Marilene e Lucia Tobias, pelo apoio nas minhas dificuldades com as ferramentas de edio. Aos demais colegas da Prodemge, que me estimularam e contriburam com seus conhecimentos para a realizao deste trabalho. Ao Henrique (L), pela traduo do resumo desta dissertao. Ao Professor Afonso Celso pela cuidadosa reviso do texto da dissertao. Aos professores e alunos do mestrado, pela convivncia, pelo aprendizado e pelos bons momentos vividos, em especial aos meus colegas Branca, Darcilene e Jose Humberto, pela colaborao e pelas conquistas alcanadas na Prodemge. Finalmente, minha me, que, mesmo ausente, foi o meu estmulo para ir at o fim desta jornada.

o que fazemos repetidamente. A excelncia, ento, no um ato, mas um hbito. (Aristteles)

Somos

RESUMO

Os projetos de governo eletrnico, suportados pelas tecnologias de informao e comunicao (TICs), ganham cada vez mais visibilidade nas esferas federais, estaduais e municipais. Representam uma oportunidade para transformar as gestes pblicas, tornando-as mais eficientes, transparentes e eficazes no relacionamento com o seu pblico interno e externo. Se, de um lado, o uso das TICs facilita a interao com seus pblicos, de outro, esse ambiente virtual traz no seu bojo ameaas, exigindo que as organizaes tenham maiores preocupaes com a proteo das informaes. As polticas de segurana da informao das organizaes constituem uma forma de iniciar a implantao dessa proteo, na medida em que procuram estabelecer um cdigo de conduta, ao qual os usurios dos sistemas de informao devem se adequar. Apesar de serem considerados importantes agentes de proteo da informao, os usurios dos sistemas de informao so tratados, nessas polticas, como elementos passivos, no se dando relevncias de como eles percebem, compreendem e agem em relao s regras estabelecidas. Este trabalho buscou identificar o grau de conformidade das prticas de segurana da informao dos usurios do Sistema Integrado de Administrao de Materiais e Servios do estado (SIAD) com a poltica de segurana da informao (PSI) da Secretaria de Planejamento e Gesto do Governo do Estado de Minas Gerais (SEPLAG). A pesquisa quantitativa realizada demonstrou que os usurios do SIAD conhecem a Poltica de Segurana da Informao e praticam a maioria das regras e recomendaes dessa poltica. Apontou, tambm, que existe uma dissintonia entre a poltica existente e a percepo das necessidades de proteo da informao da instituio. No final formulam-se recomendaes para a organizao objeto deste estudo e para as organizaes que esto em processo de implantao de polticas de segurana da informao. Palavras-chave: Segurana da informao; Prticas dos usurios dos sistemas de informao; Secretaria de Planejamento e Gesto do Governo do Estado de Minas Gerais (SEPLAG).

ABSTRACT

Electronic government projects, based on Information Technologies (IT), gain more and more visibility in municipal, state and federal areas. It represents the opportunity for public administration transformation, making it more efficient, transparent and effective within their internal and external public. Therefore, if in one hand the IT practice facilitates interactions with their public, in the other hand, that virtual environment brings threats within, demanding concern from the organizations, regarding information protection. Organizations information security policies are one way to start the implementation of that protection, looking for a conduct code, in which information system users must situate themselves. Besides being considered important agents of information safety, information system users are treated, in those policies, as passive actors, not bringing to attention the way they percept, comprehend and proceed regarding established rules. Hence, this effort looked for knowledge considering customary practices of users of the Integrated System of Materials and Services Administration (SIAD) concerning the recommendations established by the Information Security Policy of the Minas Gerais State Government: Planning and Administration Department (SEPLAG). Quantitative data analysis demonstrated that SIAD users know Information Security Policy and practice most of its recommendations and rules. It also disclosed that, based on users opinion, there is an unbalance between the existing policy and the perception of needs of institution information protection. This work is concluded with recommendations for the organization, object of this dissertation, and for the organizations that are in process of Information Security Policies implementation.

Key-words: Information security; Information system users practices; Minas Gerais State Government: Planning and Administration Department (SEPLAG).

LISTA DE FIGURAS
Figura 1 - Os nveis hierrquicos da informao _________________________________________ 32 Figura 2 - Classificao da informao segundo sua finalidade para uma organizao __________ 34 Figura 3 - Processo de gerenciamento da informao ____________________________________ 37 Figura 4 - Quatro momentos do ciclo de vida da informao, considerando os aspectos de segurana da informao ____________________________________________________________________ 42 Figura 5 - Relacionamento processos, tecnologias e pessoas ______________________________ 44 Figura 6 - Obstculo para a implementao da segurana _________________________________ 45 Figura 7 - Tarefas do processo de gerenciamento de informaes __________________________ 46 Figura 8 - Modelo de representao do fluxo da informao nas organizaes _________________ 47 Figura 9 - Modelo PDCA aplicado aos processos do ISMS (Sistema de Gesto de Segurana da Informao) _____________________________________________________________________ 58 Figura 10 - Modelo de processos de tecnologia da informao _____________________________ 61 Figura 11 - Esquema dos requisitos da Poltica de Segurana da Informao __________________ 71 Figura 12 - Quadrantes da segurana da Informao _____________________________________ 73 Figura 13 - Questo 1 - Tenho conhecimento sobre a poltica de segurana da informao da SEPLAG ________________________________________________________________________ 83 Figura 14 - Questo 3 - A SEPLAG tem uma boa poltica de segurana da informao no sentido de minimizar as ameaas aos sistemas de informao ______________________________________ 84 Figura 15 - Questo 2 - Participei do treinamento de apresentao da poltica de segurana da informao da SEPLAG ____________________________________________________________ 84 Figura 16 - Questo 5 - A segurana da informao um modismo que logo ser esquecido. _____ 85 Figura 17 - Questo 8 - No ambiente organizacional da SEPLAG a informao deve circular livremente, sem controles. __________________________________________________________ 86 Figura 18 - Questo 4 - O controle da segurana da informao da SEPLAG muito rgido e dificulta o trabalho dos usurios dos sistemas de informao _____________________________________ 86 Figura 19 - Questo 6 - A realidade do dia-a-dia da SEPLAG diferente do que diz a poltica de segurana _______________________________________________________________________ 87 Figura 20 - Questo 7 - A SEPLAG oferece os instrumentos (meios) para a prtica da poltica de segurana da informao. __________________________________________________________ 89 Figura 21 Mdia das notas dos usurios para a norma utilizao de estao de trabalho _______ 90 Figura 22 - Questo 7/Quadro 2 - Realizo cpia de segurana (backup) dos dados da SEPLAG que se encontram na minha estao de trabalho. ___________________________________________ 91 Figura 23 - Mdia das notas dos usurios para a norma utilizao da internet _________________ 92 Figura 24 - Mdia das notas dos usurios para a norma utilizao de senhas __________________ 93 Figura 25 - Mdias apuradas das questes pesquisadas com os usurios do SIAD _____________ 94

LISTA DE TABELAS
Tabela 1 - A realidade do dia-a-dia diferente da PSI versus A qualidade da PSI da SEPLAG .....89

LISTA DE SIGLAS ABNT (Associao Brasileira de Normas Tcnicas) o rgo responsvel pela normalizao tcnica no Brasil, fornecendo a base necessria ao desenvolvimento tecnolgico brasileiro. Trata-se de uma entidade privada e sem fins lucrativos fundada em 1940. ANATEL (Agncia Nacional de Telecomunicaes) uma autarquia brasileira, administrativamente independente, financeiramente autnoma, no subordinada hierarquicamente a nenhum rgo de governo brasileiro com o objetivo de implementar a poltica nacional de telecomunicaes.. BS 7799: norma britnica de segurana da informao constituda de duas partes, sendo a primeira publicada em 1995, tambm referenciada como BSI (1995), e a segunda, em 1998. A primeira parte deu origem norma ISO/IEC 17799:2000. CCITT (International Telephone and Telegraph Consultative Committee):

organizao internacional que define padres e recomendaes para o setor de telefonia. Atualmente conhecida por ITU International Telecommunication Union. CCSC (Commercial Computer Security Centre): centro de segurana de computao comercial criado pelo Departamento de Indstria e Comrcio do Reino Unido (UK Department of Trade and Industry DTI), em 1987, que, dentre as suas atribuies, tinha a tarefa de produzir um cdigo com as melhores prticas de segurana em tecnologia da informao com a finalidade de auxiliar usurios na implantao de sistemas de segurana em seus ACC. Desse esforo, realizado conjuntamente com o Centro de Computao Nacional (National Computing Centre NCC), resultou um Cdigo de prticas para usurios (Users Code of Practice), que foi publicado em 1989. COBIT (Control Objectives for Information and Related Technology) modelo de administrao de TI proposto pelo IT Governance Institute. Tem como objetivo fornecer boas prticas para a gesto de processo de tecnologia da informao eliminando divergncias entre riscos de negcios, questes tcnicas, controles e medidas de desempenho. CPD (Centro de Processamento de Dados): local onde esto localizados os equipamentos de maior porte que so responsveis pelo processamento centralizado.

DTI (UK Department of Trade and Industry): Departamento de Comrcio e Indstria do Reino Unido. IEC (International Electrotechnical Commission): organizao que, conjuntamente com a ISO, desenvolve, sugere e define padres para protocolos de rede. ISMS (Information Security Management System): o resultado de uma ao de gerenciamento explcito, expresso como uma coleo de polticas, princpios, objetivos, medidas, processos, formas, modelos, lista de verificaes (checklist), etc, que juntos definem como os riscos de segurana de um ACC podem ser reduzidos. ISO (International Organization for Standardization): organizao internacional que desenvolve, sugere e define padres. ITSEC (The European Information Technology Security Evaluation Criteria): padro de segurana da informao desenvolvido em conjunto pelos pases Frana, Inglaterra, Alemanha e Holanda. NCC (National Computing Centre): ver CCSC (Commercial Computer Security Centre). OSI (Open Systems Interconnection): um modelo de referncia de sete camadas para redes, desenvolvido pela International Standards Organization (ISO). O modelo de referncia OSI um mtodo formal para descrever os conjuntos de interconexo de hardware e software de rede usada para oferecer servios de rede. RFC (Request For Comments): documentos utilizados para comunicar idias para desenvolvimento pela comunidade da Internet e que podem se tornar padres. TIC (Tecnologia da Informao e Comunicao): conjunto de tecnologias utilizadas para desenvolver o processo de gerao, processamento, disseminao e documentao das informaes.

SUMRIO 1 INTRODUO .................................................................................................... 13

1.1 1.2 1.3 1.4 1.5 Tema ....................................................................................................................................... 16 Delimitao do tema ............................................................................................................. 17 Justificativa ........................................................................................................................... 19 Problematizao ................................................................................................................... 22 Hiptese ................................................................................................................................. 25

1.6 Objetivos ................................................................................................................................ 27 1.6.1 Objetivo geral ................................................................................................................... 27 1.6.2 Objetivos especficos ....................................................................................................... 28

REVISO DA LITERATURA .............................................................................. 30

2.1 Conceito de informao ....................................................................................................... 30 2.2 Gesto da informao .......................................................................................................... 33 2.2.1 O valor da informao ..................................................................................................... 34 2.2.2 Gerindo a informao ...................................................................................................... 36 2.3 Gesto da segurana da informao .................................................................................. 38 2.3.1 Proteo da informao .................................................................................................. 38 2.3.2 Classificao da informao ............................................................................................ 40 2.3.3 Ciclo de vida da informao ............................................................................................ 42 2.3.4 Gerindo a segurana da informao ............................................................................... 43 2.4 Conexo da gesto da informao com a segurana da informao ............................. 46

2.5 Normas e metodologias de gesto de tecnologia da informao e de segurana da informao........................................................................................................................................ 50 2.5.1 As normas ISO/IEC de segurana da informao .......................................................... 50 2.5.2 O modelo Control Objectives for Information and Related Technology (COBIT)............ 60 2.5.3 Outras normas ................................................................................................................. 62 2.6 2.7 2.8 2.9 Viso do governo em segurana da informao legislao ......................................... 63 Conceitos utilizados pelas normas de segurana da informao .................................. 65 Poltica de segurana da informao ................................................................................. 68 A percepo da segurana da informao ........................................................................ 72

METODOLOGIA DE TRABALHO ...................................................................... 76

3.1 3.2 Classificao da pesquisa ................................................................................................... 76 Universo e amostra............................................................................................................... 77

3.3 Coleta de dados .................................................................................................................... 78 3.3.1 Procedimento tcnico ...................................................................................................... 79 3.3.2 Formulrio da pesquisa ................................................................................................... 79 3.3.3 Realizao do pr-teste ................................................................................................... 80 3.4 Apurao dos dados ............................................................................................................ 80

4 5 6 7 8

APRESENTAO E ANLISE DOS DADOS.................................................... 83 CONCLUSES E RECOMENDAES ............................................................. 96 REFERENCIAS BIBLIOGRFICAS ................................................................... 99 APNDICES ..................................................................................................... 107 ANEXOS ........................................................................................................... 126

13

INTRODUO

Vive-se hoje na Era da Informao. Castells (1999) denomina-a Sociedade Informacional, referindo-se Sociedade da Informao, e Sociedade em Rede, em razo das transformaes que desencadeia em um mundo globalizado na sua economia, poltica e, mesmo cultura, na qual a revoluo das tecnologias de informao e comunicao assume papel fundamental, principalmente aps o advento da internet. Tarapanoff (2004) destaca que nessa sociedade da informao o acesso s tecnologias, rede, informao, ao conhecimento e ao aprendizado ao longo da vida que determina quem rico, quem pobre e, conseqentemente, quem tem poder. A infra-estrutura tecnolgica desenvolvida na chamada Sociedade da Informao ensejou uma verdadeira revoluo na forma de relacionar-se na sociedade, seja para fazer negcios, para comunicar, para divertir ou para prestar servios. Tudo isso feito na teia mundial (world wide web - www)1, constituindo-se em um salto tecnolgico que organiza o teor dos stios por informao, facilitando imensamente as pesquisas e o trabalho colaborativo. Os governos e as instituies pblicas, a partir da adoo dos recursos da Tecnologia da Informao e Comunicao (TIC) e da internet, esto passando por grandes transformaes. O setor pblico um dos principais agentes da economia da informao, ao utilizar seu imenso poder de compra para adquirir bens e servios com maior eficincia, mediante a aplicao de compras eletrnicas, e cada vez mais cobrado pela sociedade a disponibilizar servios pela internet, para o seu pblico, seja o interno ou o externo. As instituies pblicas precisam redefinir seus processos de trabalho, capacitar seus funcionrios e adequar seus custos para poder inserir-se nessa nova era digital de relacionamento com a sociedade. Se, de um lado, existe cada vez mais tecnologia, novos processos de trabalho e maior disponibilizao de servios e informaes pela internet, de outro, existem maiores riscos. Esse cenrio revela ameaas vida em rede. As organizaes passaram a preocupar-se com questes que afetam a produtividade e, at mesmo, a

A World Wide Web, que significa "rede de alcance mundial", em ingls tambm conhecida como Web e WWW, um sistema de documentos em hipermdia interligados que executado na Internet.

14

sobrevivncia delas nesse mundo competitivo e globalizado, movido pela informao. Segundo Moresi (2000), o relevante papel que a informao passou a ter na sociedade e na economia globalizada coloca-a como um recurso chave de competitividade, um diferencial de mercado e de lucratividade das organizaes. nesse contexto que a informao ganha relevncia nas organizaes. Precisa, ento, ser tratada como recurso estratgico que . Deve ser gerenciada e protegida em todas as fases do seu ciclo de vida. No contexto da gesto da informao, Tarapanoff (2004) sustenta que a informao deve ser gerenciada com foco em todos os tipos de informao de valor, de origem tanto interna quanto externa organizao. McGee e Prusak, (1994) destacam que a informao, apesar de ser um ativo que precisa ser administrado como os demais ativos da organizao, representa uma classe particular, pois reutilizvel, no se deteriora e nem se deprecia, sendo que seu valor determinado pelo usurio. Wilson, citado por Tarapanoff (2004), associa a gesto da informao com o valor, a qualidade, a posse, o uso e a segurana da informao no contexto do desempenho organizacional. Dessa forma, a segurana da informao passou a ser um assunto cada vez mais estratgico para as organizaes, principalmente aquelas do setor pblico, que, alm de terem que proteger as informaes de seu negcio, so responsveis pela custdia das informaes dos cidados. Uma das principais sees do livro de regras da Associao Brasileira de Normas Tcnicas (2005) a que faz referncia criao de uma poltica de segurana da informao para a organizao. Preocupada com as questes relacionadas proteo das informaes, a Secretaria de Planejamento e Gesto do Estado de Minas Gerais (SEPLAG) elaborou a sua poltica de segurana da informao (SEPLAG, 2006a) e fez uma ampla campanha de divulgao entre seus funcionrios. O conhecimento da poltica de segurana da informao e dos requisitos de segurana necessrios para minimizar os impactos causados pelas vulnerabilidades dos ativos de uma organizao fundamental para os usurios de sistemas de informao. Conhecer a poltica de segurana da informao necessrio, porm no suficiente; preciso transformar suas regras em prticas no dia-a-dia. Prticas consideradas nesse estudo como rotinas e hbitos dos usurios de sistemas de

15

informao em relao segurana da informao. Segundo Marciano e Marques (2006), o atendimento s regras uma prtica social, o comportamento das pessoas na convivncia em grupo que cria e mantm essas regras, tratando de descartar aquelas que no so interessantes. Dessa forma, para uma organizao importante conhecer se as pessoas praticam as regras estabelecidas pela PSI identificar possveis distores, atualizar suas polticas e reforar os treinamentos e as campanhas de conscientizao dos usurios para a importncia da segurana da informao. Esse estudo pretendeu verificar se os usurios do Sistema Integrado de Administrao de Materiais e Servios do Estado (SIAD), no mbito da Secretaria de Planejamento e Gesto (SEPLAG), praticam as regras estabelecidas pelas normas da poltica de segurana da informao da organizao (SEPLAG, 2006a). Esta dissertao est organizada em cinco captulos, incluindo esta introduo em que se contempla a apresentao do tema, sua delimitao, problematizao, hiptese e objetivos. No captulo 2, faz-se uma reviso da literatura, abordando a gesto da informao e a gesto da segurana da informao; traa-se uma conexo entre essas disciplinas com apoio em autores contemporneos como Beal (2004) e Moresi (2000); focalizam-se as normas e metodologias que orientam o processo de elaborao de polticas de segurana da informao, em especial a ABNT (2005), a norma ISO/IEC2 17799, conhecida como um conjunto de recomendaes das melhores prticas para a gesto da segurana da informao, com destaque para o processo de elaborao de polticas de segurana da informao nas organizaes, salientando a necessidade de essas polticas serem orientadas para as pessoas, que, no caso deste estudo, so os usurios do Sistema Integrado de Administrao de Materiais e Servios (SIAD). No captulo 3, ressalta-se a metodologia adotada na pesquisa, com nfase no principal instrumento de coleta de dados utilizado, que foi o questionrio aplicado aos usurios do sistema de informao SIAD. No captulo 4, apresentam-se os resultados da anlise dos dados.

A ISO uma organizao internacional formada por um conselho e comits com membros oriundos de vrios pases. Seu objetivo criar normas e padres universalmente aceitos sobre a realizao de atividades comerciais, industriais, cientficas e tecnolgicas. A IEC uma organizao voltada ao aprimoramento da indstria da informao.

16

No captulo 5, fazem-se as concluses, em que se confirma a hiptese levantada de que os usurios do SIAD praticam as regras e recomendaes de segurana da informao propostas pela poltica de segurana da informao da SEPLAG, e formulam-se recomendaes para a organizao objeto do estudo e para outras organizaes que estejam em fase de elaborao de sua poltica de segurana da informao.

1.1

Tema

A segurana da informao tem despontado como matria de grande relevncia no contexto organizacional. A elaborao de projetos que visam implantao da Gesto da Segurana da Informao tema que deve merecer ateno no s das organizaes privadas, como tambm das instituies pblicas, na busca de proteo das informaes de seu negcio ou das informaes dos cidados, que esto sob sua custdia, conforme o caso. A SEPLAG desenvolveu recentemente o Plano Corporativo de Segurana da Informao (SEPLAG, 2006a)3, com o objetivo de implementar um processo de gesto para minimizar os riscos de perda de informaes, de fraudes e de invases de ambientes computacionais, alm de outras ameaas existentes no contexto organizacional no que se refere s informaes. Ao desenvolver esse plano, a SEPLAG demonstrou conscientizao sobre a importncia da proteo da informao, esse ativo fundamental para as organizaes. No processo de desenvolvimento desse plano, utilizou-se como referncia a ABNT (2005), a norma ISO/IEC 17799, que trata das melhores prticas sobre gesto da segurana da informao. Os usurios dos sistemas de informao so importantes atores no processo de gesto da informao, pois por intermdio deles que os sistemas so alimentados e as informaes so processadas e distribudas, para serem utilizadas nos processos de tomadas de deciso ou nos processos operacionais.

O plano corporativo de segurana da informao da SEPLAG foi realizado em conjunto com outras organizaes pblicas, a saber: Secretaria de Estado da Fazenda e Companhia de Tecnologia da Informao do Estado de Minas Gerais. Posteriormente, em 2006, a Secretaria de Estado da Sade tambm realizou seu projeto.

17

Nesse contexto, o reconhecimento da importncia da informao e da necessidade de sua proteo pelos usurios dos sistemas de informao das organizaes passa a ser um diferencial positivo na gesto da informao. As polticas de segurana da informao das organizaes so direcionadas s pessoas, porm so raras as avaliaes sobre como essas pessoas recebem essas informaes. necessrio que esses usurios pratiquem as recomendaes contidas nessas polticas. A ao depende de diversos fatores, dentre os quais se destacam a percepo de sua importncia e a aceitao das regras estabelecidas. O tema desta pesquisa consiste no estudo das prticas de segurana da informao que os usurios do Sistema Integrado de Administrao de Materiais e Servios do Estado (SIAD) tm em relao s regras e s recomendaes explicitadas nas normas da poltica de segurana da informao da SEPLAG (SEPLAG, 2006a).

1.2

Delimitao do tema

Dentre os diversos sistemas de informao do estado, destacam os sistemas corporativos, que podem ser definidos como um conjunto de processos de informao compartilhados por todos os rgos da Administrao Pblica Estadual (SEPLAG, 2003b, p. 21). A SEPLAG responsvel pela gesto dos seguintes sistemas corporativos: SIPRO Sistema Integrado de Protocolo, SISAP - Sistema de Administrao de Pessoal, SIGPLAN Sistema de Informaes Gerenciais e Planejamento e SIAD Sistema Integrado de Administrao de Materiais e Servios. O SIAD, objeto deste estudo, foi criado pelo Decreto n. 42.873 (MINAS GERAIS, 2002), com a finalidade de controlar o ciclo dos materiais e servios, desde a requisio at a distribuio dos materiais de consumo, a baixa dos bens permanentes do patrimnio e a realizao dos servios. Alm desses sistemas sob a gesto da SEPLAG, o SIAFI Sistema Integrado de Administrao Financeira sob a gesto da Secretaria de Estado de Fazenda tambm um sistema corporativo do estado. Em 2003, pelo decreto n. 43.699 (MINAS GERAIS, 2003a), a utilizao do SIAD passou a ser obrigatria para todos os rgos e entidades da administrao

18

pblica direta e indireta do Poder Executivo estadual para a aquisio e contratao de bens e servios. Toda a informao processada pelo SIAD est sob a responsabilidade da Coordenao Geral do SIAD, que deve garantir a proteo das informaes contra ameaas de sua integridade, confidencialidade e disponibilidade. Preocupada com as questes de segurana da informao, a Coordenao do SIAD contratou uma consultoria externa para identificar possveis falhas nos sistemas de informao. Essa auditoria atuou em todos os processos de compras do Estado de Minas Gerais, englobando os ambientes administrativos, operacionais e tecnolgicos, inclusive todos os mdulos do SIAD, nos ambientes computacionais do SIAD, nos interrelacionamentos do processo de compras com outros processos de outros sistemas e no conjunto dos usurios dos sistemas de informao, parceiros e fornecedores do estado. A pesquisa foi aplicada junto aos funcionrios da SEPLAG, caracterizados neste estudo como usurios do Sistema Integrado de Administrao de Materiais e Servios do Estado. De acordo com a SEPLAG (2006a), usurio definido como:
... todo aquele que exera, ainda que transitoriamente e sem remunerao, por eleio, nomeao, designao, contratao ou qualquer outra forma de investidura ou vnculo, mandato, cargo, emprego ou funo pblica em rgo ou Entidade da Administrao Pblica Direta e Indireta do Estado de Minas Gerais. (SEPLAG, 2006a, p. 1).

Neste estudo, adotar-se- a definio de Marciano (2006) sobre usurio dos sistemas de informao: o usurio de um sistema de informao o indivduo diante do qual se concretiza o fenmeno do conhecimento provido por aquele sistema (MARCIANO, 2006, p. 41). Ocorre, segundo o autor, um processo de interao, em que o usurio influencia o sistema ao mesmo tempo em que influenciado por ele. O estudo pretendeu verificar se as prticas de segurana da informao dos usurios do Sistema Integrado de Administrao de Materiais e Servios do Estado, esto em conformidade com as regras e recomendaes estabelecidas nas normas da poltica de segurana da informao da entidade, publicadas no stio www.egov.mg.gov.br4 as quais, apesar de ter abrangncia somente sobre os
Esse stio foi criado pela SEPLAG como O portal da gesto eletrnica em Minas dentro do contexto da Governana Eletrnica.
4

19

funcionrios da SEPLAG, constituem referncia para outros

rgos da

administrao pblica estadual de Minas Gerais elaborarem suas polticas de segurana da informao. Essas regras foram produzidas seguindo as diretrizes da ABNT (2005), reconhecidamente, uma referncia para as melhores prticas na gesto da segurana da informao. Contudo, a preocupao deste estudo refere-se participao do usurio dos sistemas de informao na adoo das regras relacionadas nessas normas.

1.3

Justificativa

Muitas organizaes do grande nfase ao aspecto tecnolgico de proteo da informao, traduzida na implantao de mecanismos baseados em hardware e software sofisticados. Apesar de ser justificada essa preocupao, no se deve esquecer os aspectos relacionados s pessoas, cultura organizacional, ao gerenciamento, melhoria dos processos, ao ambiente fsico e ao gerenciamento patrimonial, fundamentais para prover a segurana da informao. Neste estudo, ao abordar as prticas das pessoas em relao poltica de segurana da informao, abre-se uma perspectiva diferente para tratar este assunto. As pessoas so objeto de preocupao da maioria das organizaes. A 10 Pesquisa Nacional de Segurana da Informao, publicada pela Modulo Security Solutions5 (2007), com uma amostra de aproximadamente 600 questionrios aplicados em profissionais de tecnologia da informao e segurana da informao de grandes organizaes pblicas e privadas do Brasil, indicou que a maioria dos problemas de segurana da informao nas organizaes causada por funcionrios (24%) e hackers6 (20%), portanto pessoas, externas ou internas s organizaes. Nesse estudo, foi destacado que as organizaes do governo so as que menos quantificam as perdas causadas por problemas de segurana: 56% no sabem quantificar o prejuzo causado por ataques e invases, talvez porque essa no seja uma habilidade tpica dos gestores pblicos. Como as organizaes pblicas foram avaliadas em um contexto global de organizaes brasileiras, esse
Modulo Security Solution uma empresa brasileira especializada em tecnologia para gesto de riscos, fundada em 1985. 6 Na lngua comum, o termo hacker designa programadores maliciosos e ciberpiratas que agem com o intuito de violar, ilegal ou imoralmente, sistemas cibernticos.
5

20

estudo deveria dedicar um olhar mais objetivo em relao avaliao do prejuzo causado imagem da instituio ou, mesmo, aos usurios de seus servios, os cidados. Esse estudo tambm apontou que nas organizaes pblicas, a principal motivao para adequaes segurana da informao a fora da legislao. Esses dados do uma dimenso maior questo da segurana da informao no mbito governamental em um momento em que os projetos de governo eletrnico representam uma oportunidade para transformar as gestes pblicas, tornando-as mais eficientes, transparentes e eficazes. Esse ambiente virtual, sustentado pelas tecnologias de informao e comunicao (TICs), deve ser capaz de garantir que a informao do relacionamento do governo com a sociedade seja confivel. Nesse contexto de relacionamento virtual do governo com a sociedade, incluindo a seus prprios funcionrios, diante da necessidade de prestar servios confiveis, entendidos aqui como servios seguros no que se refere aos atributos da informao, as pessoas so elementos fundamentais. por meio dos processos organizacionais adaptados a essa nova realidade e atravs dos funcionrios pblicos que esses servios so prestados. Nessa interao com os sistemas de informao, o usurio no um indivduo isolado; ele est em um contexto organizacional em que influencia e influenciado por esse contexto. Este estudo pretende contribuir para que as organizaes pblicas mantenham o foco nas pessoas no momento em que estiverem implantando as suas polticas de segurana da informao, de forma a possibilitar a priorizao de seus esforos e de seus oramentos durante a implementao dos controles adequados, para proteger as informaes. Do ponto de vista terico, segundo Marchiori (2002), a literatura existente, relaciona a gesto da informao com a Administrao de Empresas, a Cincia da Informao e a Cincia da Computao. Em relao Administrao de Empresas, a gesto da informao vista com o objetivo de incrementar a competitividade empresarial e os processos de modernizao organizacional, com foco na utilizao de sistemas de informao alinhados com os objetivos organizacionais. Sob o enfoque da tecnologia, a gesto da informao est mais relacionada ao campo de conhecimento da Cincia da Computao, com a utilizao de hardware, software e de redes de telecomunicaes adequadas aos diferentes sistemas de informao. A Cincia da Informao, por ser multidisciplinar, ocupa-se da teoria e da prtica na

21

gesto da informao, o que envolve todo o ciclo da informao nas organizaes, com a criao, identificao, coleta, validao, representao, recuperao e uso da informao, tendo como referncia a existncia de um produtor e de um consumidor da informao que busca um sentido e uma finalidade para a informao. Em todos esses contextos, a segurana da informao apresenta-se como elemento fundamental para garantir alguns dos atributos bsicos da informao: sua integridade, sua disponibilidade e sua confidencialidade (ABNT, 2001). Dessa forma, a contribuio deste estudo na rea acadmica traduz-se na disponibilizao de novos conhecimentos, no que se refere s prticas em segurana da informao das pessoas, representadas aqui como os usurios dos sistemas de informao, preenchendo uma lacuna devido a pouca literatura disponvel e ao reduzido nmero de trabalhos publicados nesta rea no Brasil. A participao das pessoas considerada um elemento bsico, para o qual a maioria das polticas de segurana da informao est direcionada. Porm as pessoas so tratadas como receptores passivos de um processo de comunicao, esquecendo-se de que elas interagem umas com as outras num contexto social, contribuindo, ou no, para o sucesso das aes de segurana da informao. A escolha dos usurios do Sistema Integrado de Administrao de Materiais e Servios como objeto deste estudo deve-se ao fato de esse sistema ser considerado sensvel sob o ponto de vista de proteo da informao, na medida em que um dos objetivos desse sistema garantir que os processos de aquisies e contrataes do estado ocorram de forma transparente e permitam a igualdade dos participantes. Outro aspecto que classifica esse sistema como sensvel o econmico, pois envolve os processos relacionados aos pagamentos dos fornecedores de materiais e servios. Finalmente, no poderia deixar de citar que o autor atua como profissional de tecnologia da informao e que, trabalhando com projetos de segurana da informao, percebe o quanto difcil implementar controles de segurana da informao. As pessoas partem do princpio de que o controle representa uma restrio, e como tal rejeitada inicialmente pela cultura brasileira. A realizao deste propiciou um grande crescimento pessoal e profissional ao autor, considerando que houve uma fuso dos conhecimentos tcnicos com a prtica da pesquisa e as teorias existentes.

22

1.4

Problematizao

No ciclo de gerenciamento da informao apresentado por Davenport (1998), a obteno, o tratamento, a distribuio e o uso da informao so processos fundamentais. Em todos os processos do gerenciamento da informao, os atributos bsicos da segurana da informao confidencialidade, integridade e

disponibilidade, citados na ABNT (2001) aparecem como requisitos. A segurana da informao, segundo Marciano e Marques (2006), deve atender aos requisitos voltados garantia de sua origem, ao seu uso e disseminao (trnsito) e certificao de todas as etapas do seu ciclo de vida. Pretende-se com isso permitir o seu acesso somente aos usurios autorizados, garantir que ela genuna e que no foi adulterada. Beal (2005) relacionou os processos do ciclo da gesto da informao aos atributos bsicos da segurana da informao. Segundo a autora, no processo de obteno da informao uma preocupao tpica em relao integridade garantir que a informao genuna, no foi adulterada e provm de fonte confivel. No processo de tratamento da informao, alm das preocupaes com a integridade, principalmente se estiverem envolvidas tcnicas de condensao e de adaptao da informao, deve-se atentar para a preservao da confidencialidade, uma vez que a existncia de diversas cpias da informao aumenta a preocupao com o controle de acesso aos usurios devidamente autorizados. Na distribuio da informao, devem-se tratar separadamente os requisitos da comunicao para pblicos internos e externos, preservando os requisitos de integridade e confidencialidade, quando se aplicar, e o de disponibilidade. No uso da informao, os requisitos de integridade e disponibilidade recebem ateno especial, pois uma informao indisponvel ou deturpada pode prejudicar os processos de tomadas de deciso ou os operacionais. No uso da informao, a preocupao com a confidencialidade tambm destacada, ao garantir que o acesso e o uso de dados e informaes somente sero permitidos s pessoas autorizadas. No contexto do governo do estado de Minas Gerais, a primeira pesquisa relacionada com segurana da informao foi feita por Lara (2004), realizada nas secretarias de Estado. O autor constatou um quadro preocupante no que se refere

23

segurana da informao: o ambiente pesquisado complexo, caracterizado por um grande contingente de funcionrios e uma variedade de computadores, sendo que as aes voltadas para a implementao de projetos de segurana da informao, apesar do reconhecimento de sua necessidade pelos gestores, so pouco efetivas. Alguns dados extrados da pesquisa confirmam essa afirmao: Todos os entrevistados relataram que tiveram problemas com segurana da informao recentemente (na poca da pesquisa). Um tero das secretarias afirmou ter experimentado descontinuidade em seus servios, sendo que os principais responsveis pelos incidentes de segurana foram os prprios funcionrios. Mais de 60% das secretarias no possuam um Plano de Contingncia para funcionar em caso de desastres. O principal obstculo para a implementao da segurana da informao na instituio era a falta de recursos oramentrios. Somente 13% das secretarias possuam uma Poltica de Segurana da Informao formalizada e atualizada, sendo que 87% delas, alm disso, no realizaram treinamentos para seus funcionrios sobre segurana da informao.

A pesquisa referenciada foi realizada com 15 secretarias, uma boa amostra considerando que no mbito geral das instituies pblicas (secretarias, fundaes, rgos autnomos e autarquias) existe um total de 63 rgos pblicos7. Apesar de ter sido realizada h quatro anos, o quadro atual no muito diferente. A SEPLAG conseguiu priorizar seus recursos oramentrios para a realizao de um plano corporativo de segurana da informao (SEPLAG, 2006a), com o objetivo de capacitar seus tcnicos e o de desenvolver mecanismos de proteo dos principais ativos de informao do Estado, contemplando a elaborao de: Plano Diretor de Segurana da Informao; Anlise de Risco; Poltica de Segurana da Informao; e Plano de Continuidade de Negcios,

Informao obtida por meio de pesquisa no site Portal Minas disponvel em www.mg.gov.br. Acesso em 15/01/07

24

A SEPLAG iniciou seu projeto com a elaborao da Poltica de Segurana da Informao (SEPLAG, 2006a), materializada em diretrizes, normas e procedimentos, cujo objetivo minimizar os riscos aos quais os sistemas de informao, principalmente os computadorizados, esto expostos, como fraudes, roubos de informao, tentativas de invaso e outras atividades hostis. Segundo Marciano e Marques (2006), a norma criada pela ABNT (2005) utilizada como referncia, sendo considerada como a mais adequada para a elaborao das polticas de segurana da informao. Essas regras so definidas de forma emprica, com nfase nos aspectos tcnicos, muitas vezes, deslocados dos contextos humano, social e profissional da instituio. A grande dificuldade para a implementao de normas e procedimentos de qualquer natureza est na implementao dos controles que daro sustentao s regras e na forma de conscientizar as pessoas envolvidas da necessidade de adotarem e praticarem o que recomendado. Ao destacar os usurios dos sistemas de informao como pessoas que interagem com os sistemas e como importantes atores nas organizaes, Fontes (2006) ressalta que a conscientizao dos usurios vai alm do simples conhecimento; preciso internalizar os conceitos de proteo da informao, traduzidos em uma ao natural diante dos regulamentos. Quando conhece os motivos da segurana da informao, o usurio segue os procedimentos e as aes para efetivar essa proteo. Marinho (2001) cita que quando as pessoas compreendem e incorporam procedimentos de segurana ao seu dia-a-dia, significa que elas aprenderam. Na crena desses dois autores, no que se refere ao usurio, necessrio conhecer os motivos e compreender e incorporar os procedimentos de segurana da informao. Considerando a importncia da informao no contexto organizacional, a necessidade de proteo dessa informao e o papel desempenhado pelas pessoas, neste estudo focado nos usurios de sistemas de informao, na compreenso dos conceitos de segurana da informao e na prtica dos mecanismos de proteo da informao, pergunta-se: Os usurios dos sistemas de informao da SEPLAG praticam as regras e recomendaes estabelecidas pelas normas da poltica de segurana da informao da instituio?

25

Um dos principais aspectos da segurana da informao, citado por Nery (2002), a avaliao de como ela percebida pelas pessoas nas organizaes. O autor divide a avaliao em duas dimenses: a) como a segurana vista pela comunidade usuria (executivos, usurios finais, clientes e outros), que, na verdade, representa o grau de segurana percebida, independentemente da segurana existente, pois o ambiente avaliado pela sensao de segurana transmitida ao usurio; e b) como a segurana medida, de forma tcnica, pelos profissionais especialistas no assunto, que podem avaliar o nvel real de segurana em um ambiente aferindo o quanto a segurana est adequada. importante destacar que este estudo no buscou estabelecer diferenas entre a segurana da informao percebida pelos usurios e a segurana real implementada, visto que esse tipo de avaliao est mais afeito a estudos de anlise de risco. Procurou-se somente verificar se a segurana da informao praticada pelas pessoas, representadas aqui pelos usurios do Sistema Integrado de Administrao de Materiais e Servios do Estado (SIAD).

1.5

Hiptese

Apesar de estarem frente das demais organizaes pblicas do estado, por terem desenvolvido projetos de segurana da informao, a SEPLAG, a Secretaria de Estado de Fazenda - SEF e a Secretaria de Estado de Sade - SES, mais a Prodemge encontram-se apenas em processo de implantao de seus projetos. Mesmo diante da capilaridade da organizao pesquisada, a SEPLAG, a pesquisa ter foco nos usurios do SIAD lotados na capital, distribudos nos dois prdios ocupados pelo rgo (Rua Thomaz Gonzaga, 686 e Rua Bernardo Guimares, 2731). Dessa forma, considera-se a seguinte hiptese para a pesquisa: Hiptese: Os usurios do Sistema Integrado de Administrao de Materiais e Servios do estado, lotados na SEPLAG, praticam a maioria das regras e recomendaes estabelecidas pelas normas da poltica de segurana da informao.

26

A afirmativa baseia-se no atual momento vivido pela SEPLAG no processo de divulgao de sua poltica de segurana da informao. Por meio de palestras utilizando recursos ldicos e distribuio de brindes, como camisetas e porta crach, os tcnicos responsveis pela segurana da informao da instituio procuram disseminar os conceitos e divulgar as regras sobre proteo da informao. No aspecto fsico, os funcionrios podem perceber um maior rigor com a implantao do sistema de controle de acesso na portaria central, com catracas e identificao de todas as pessoas que circulam pelo local. Cartazes esto posicionados no prdio lembrando as regras bsicas de segurana da informao e a exigncia do uso do crach de identificao est disseminada dentro da organizao. Os funcionrios, ao perceberem esses aspectos visuais, podem associar

esses mecanismos necessidade de proteo da informao. O que no se pode afirmar como so compreendidos esses controles pelos funcionrios: podem ser vistos como restries e excessos, adotando uma atitude de resistncia, ou podem ser vistos como necessrios proteo do ambiente, passando a adotar uma atitude colaborativa. importante destacar que as recomendaes estabelecidas pela poltica de segurana da informao da SEPLAG esto em conformidade com os padres estabelecidos pelas melhores prticas de segurana da informao preconizadas pela ABNT (2005). Buscou-se confirmar a hiptese enunciada utilizando-se dos mtodos propostos por esta pesquisa e descritos no captulo 3, mediante a avaliao das prticas de segurana da informao dos usurios da SEPLAG e do Sistema Integrado de Administrao de Materiais e Servios do estado.

27

1.6

Objetivos

1.6.1 Objetivo geral

No contexto organizacional, a importncia da informao amplamente abordada nas reas de conhecimento da Administrao e da Cincia da Informao. A proteo da informao e, conseqentemente, a preservao dos atributos bsicos da segurana da informao so muitas vezes, tratadas no mbito da rea de conhecimento da Cincia da Computao, com nfase nos aspectos tecnolgicos. Porm, a segurana da informao tem de ser implementada no seu contexto global. De acordo com Smola (2003), fundamental entender que os mecanismos de proteo da informao devem considerar os aspectos fsicos, humanos e tecnolgicos. Marciano e Marques (2006) destacam que a viso canhestra de considerar somente os aspectos tecnolgicos na proteo da informao pode levar a um ciclo vicioso: a aplicao da tecnologia aumenta o volume de ameaas introduzem-se mais vulnerabilidades as quais se procura combater com maior aporte tecnolgico (MARCIANO; MARQUES, 2006, p. 93). Dessa forma, fundamental dar maior nfase aos aspectos humanos da segurana da informao, considerando a segurana da informao como um fenmeno social que envolve as pessoas no seu relacionamento com os sistemas de informao, entendendo os direitos, as restries e as responsabilidades inerentes a esse relacionamento. As informaes devem atender aos requisitos dos atributos fundamentais da segurana da informao, que, de acordo com a ABNT (2001), so: Confidencialidade garantia de que a informao acessada somente pelas pessoas autorizadas, visando limitao de seu acesso e uso apenas s pessoas para quem elas so destinadas; Integridade garantia de que a informao foi mantida na mesma condio em que foi gerada, visando proteg-la de alteraes indevidas, intencionais ou acidentais; e

28

Disponibilidade garantia de que a informao est disponvel para acesso das pessoas autorizadas, no momento em que os mesmos delas necessitem.

Esses requisitos so expressos nas organizaes por meio das polticas de segurana da informao, materializadas por meio de diretrizes, normas e procedimentos que visam implementar os controles para prover a proteo da informao. Essas regras precisam ser divulgadas, utilizando-se os recursos da comunicao, compreendidas e praticadas pelas pessoas da organizao. Dessa forma, o comprometimento das pessoas, representadas nesse estudo como os usurios dos sistemas de informao, ser fundamental para o sucesso da proteo da informao da instituio. Segundo Marconi e Lakatos (1983), toda pesquisa deve ter um objetivo determinado para saber o que se vai procurar e o que se pretende alcanar. O objetivo torna explcito o problema, aumentando os conhecimentos sobre determinado assunto. Neste cenrio, o objetivo geral desta pesquisa : verificar se as prticas de segurana da informao dos usurios do Sistema Integrado de Administrao de Materiais e Servios, no mbito dos funcionrios da SEPLAG, esto em conformidade com a Poltica de Segurana da Informao da instituio.

1.6.2 Objetivos especficos

Marconi e Lakatos (1983), ensinam que os objetivos especficos tm uma funo intermediria e instrumental, permitindo tanto atingir o objetivo geral quanto aplic-lo em situaes particulares. Nesse sentido, foram delineados alguns objetivos especficos, necessrios a esta pesquisa, divididos para o estudo do problema contido no objetivo geral. Dessa forma, pretende-se alcanar os seguintes objetivos especficos: Obter informaes sobre a opinio que os usurios do Sistema Integrado de Administrao de Materiais e Servios (SIAD) tm da poltica de segurana da informao (PSI) da SEPLAG;

29

Investigar o nvel de conhecimento que os usurios do SIAD tm da PSI;

Identificar as prticas de segurana da informao dos usurios do SIAD; e

Identificar o grau de conformidade das prticas de segurana da informao dos usurios do SIAD com as regras e recomendaes contidas na poltica de segurana da informao da instituio.

Ao investigar o nvel de conhecimento e a opinio que os usurios do sistema integrado de administrao de materiais e servios tm da poltica de segurana da informao da SEPLAG, buscou-se obter informaes que permitissem explicar as prticas do usurio em relao s regras e recomendaes de segurana da informao. Muitas vezes a falta de conhecimento que limita a adoo de prticas esperadas pelos gestores da poltica de segurana da informao. mediante a verificao das prticas desses usurios em relao s regras e recomendaes contidas nas normas da poltica que se pode verificar a efetividade de uma poltica de segurana da informao. As regras s tm utilidade quando so compreendidas e praticadas pelas pessoas. Caso contrrio, sero somente palavras guardadas nos diversos meios disponveis, que, cada vez mais eletrnicos, so como um stio que ningum visita, um texto que ningum l, um objeto que ningum utiliza.

30

REVISO DA LITERATURA

A reviso terica foi estruturada a partir dos elementos fundamentais para a pesquisa, considerando a importncia da informao no contexto organizacional e a necessidade de gerenciar e proteger esse recurso to importante para as organizaes. Fez-se uma conexo da gesto da informao com a segurana da informao, com o objetivo de traar um paralelo da importncia deste tema no contexto do gerenciamento da informao. Apresentaram-se as normas de proteo da informao e as metodologias de governana de tecnologia de informao (TI). Das normas apresentadas, deu-se destaque elaborao das polticas de segurana da informao e ao papel fundamental que as pessoas exercem nesse contexto, objeto de estudo dessa pesquisa.

2.1

Conceito de informao

O termo informao tem sido definido de vrias formas, geralmente contextualizadas. adotado nos diversos campos do conhecimento, sendo associado com vocbulos correlatos, tais como dado, fato e conhecimento. Segundo Ferreira (1999), o dicionrio Aurlio, informao o conjunto de dados acerca de algum ou de algo. Pode-se dizer que a informao a interpretao desses dados. De nada vale um conjunto de dados sem que se faa a interpretao deles para se extrair um conhecimento til. McGee e Prusak (1994) definem informao como sendo dados coletados, organizados e orientados, aos quais so atribudos significados e contexto. Para Davenport e Prusak (1998), informao uma mensagem, diferentemente do dado, tem significado e est organizada para alguma finalidade. Dados tornam-se informao quando o seu criador lhes acrescenta significado ou agrega valor de alguma maneira. Para o autor, a informao expressa geralmente na forma de um documento ou uma comunicao audvel ou visvel e tem por objetivo mudar o modo como o destinatrio v algo e exercer algum impacto em seu julgamento e comportamento. O autor explica que o significado original da palavra informar dar

31

forma a, sendo que a informao visa a modelar a pessoa que a recebe no sentido de fazer alguma diferena em sua perspectiva. Para Choo (2003), a informao passa a ter utilidade quando o usurio infunde-lhe significado, sendo que a mesma informao objetiva pode receber diferentes significados subjetivos de diferentes indivduos. De acordo com Davenport (1998), o uso da informao, e no sua simples existncia, que permite a tomada de decises melhores sobre produtos e processos, o aprendizado com os clientes e o monitoramento dos resultados dos nossos atos. McGee e Prusak (1994) destacam que a informao capaz de criar valor significativo para as organizaes, possibilitando a gerao de novos produtos e servios e aperfeioando a qualidade do processo decisrio em toda a organizao. Segundo esses autores, preciso aperfeioar tanto a capacidade das pessoas para fazer uso da informao quanto a capacidade da organizao de fazer melhor uso de indivduos capazes de lidar com a informao. nesse contexto que a informao ganha relevncia nas organizaes e precisa ser tratada como qualquer outro recurso estratgico. Deve ser gerenciada e protegida em todas as suas fases do seu ciclo de vida nas organizaes. Segundo Moresi (2000), o relevante papel que a informao passou a ter na sociedade e na economia globalizada coloca-a como o recurso chave de competitividade, de diferencial de mercado e de lucratividade das organizaes. Alm de constituir-se no recurso cuja gesto e aproveitamento esto diretamente relacionados com o sucesso desejado pela organizao, a informao utilizada tambm como fator estruturante e um instrumento de gesto. Beal (2004) conceitua dado, informao e conhecimento por meio da representao de nveis hierrquicos da informao. Em um primeiro nvel, aparecem os dados como sendo registros ou fatos em sua forma primria, em estado bruto. No prximo nvel, est a informao, que se trata de dados organizados ou combinados de forma significativa, dotados de relevncia e propsito. No nvel superior, est o conhecimento, que tem como origem a informao, agregada a outros elementos, como: reflexo, sntese e contexto. Para Moresi (2000), existem quatro classes diferentes de informao, considerados como nveis hierrquicos da informao no processo decisrio de uma organizao: a) dado compreende a classe mais baixa de informao. Representa fatos, textos, grficos, imagens estticas, sons, segmentos de vdeo, etc. b)

32

informao o produto da transformao dos dados que ser exibido de forma inteligvel para as pessoas que iro utiliz-las. O processo de transformao envolve procedimentos de formatao, traduo, fuso, impresso e outros. C)

conhecimento pode ser definido como informaes que foram analisadas e avaliadas sobre a sua confiabilidade e relevncia. obtido pela interpretao e integrao de vrios dados e informaes. No esttico, modificando-se de acordo com a interao com o ambiente; e d) inteligncia a transformao do conhecimento por meio de sntese, realizada pela ao humana, com base na habilidade, experincia e intuio. A figura 1 sintetiza as consideraes de Moresi (2000).

Figura 1 - Os nveis hierrquicos da informao Fonte: Moresi (2000, p. 18)

Segundo Davenport e Prusak (1998), conhecimento no dado nem informao, embora esteja relacionado com ambos, e o sucesso ou o fracasso de uma organizao depende de saber distingui-lo e us-lo de acordo com as necessidades. Os autores definem conhecimento como uma mistura fluida de experincias, valores, informao contextual e insight experimentado, capazes de serem avaliados e incorporados, mediante novas experincias e informaes.

33

Destacam que nas organizaes o conhecimento existe em documentos, rotinas, processos, prticas e normas organizacionais. Nonaka e Takeuchi (1997) consideram a informao e o conhecimento conceitos distintos. Para os autores, o conhecimento diz respeito a crena e valores, e est relacionado a ao. O conhecimento e a informao so especficos ao contexto e dizem respeito ao significado. Davenport e Prusak (1998) explicam que o conhecimento desenvolve-se ao longo dos anos por meio da experincia. Os autores definem experincia como sendo aquilo que absorvemos ao longo da nossa vida, aquilo que fizemos e aquilo que aconteceu conosco no passado. O conhecimento nascido da experincia pode reconhecer padres no familiares e relacionar aquilo que est acontecendo agora com aquilo que j aconteceu. A experincia transforma as idias sobre o que deve acontecer em conhecimento daquilo que realmente acontece. Afirmam que o conhecimento est prximo da ao e deve ser avaliado pelas decises ou aes s quais leva. Um bom conhecimento pode ser utilizado para tomar decises acertadas com relao a estratgia, concorrentes, clientes ou servio. A partir dessas definies, pode-se constatar que a inteligncia a sntese, feita pelo homem, do conhecimento e que este deriva da informao, da mesma forma que esta deriva dos dados. Essas definies so fundamentais para destacar a importncia da gesto da informao no ambiente organizacional.

2.2

Gesto da informao

As organizaes atuais esto inseridas em um ambiente altamente competitivo e sofrem influncias advindas da globalizao, das transformaes tecnolgicas e dos processos de trabalho interno. No atual contexto econmico e organizacional, j do consenso geral que as informaes compem um dos maiores e mais valiosos ativos que uma organizao pode possuir. Gerir esse recurso passa a ser essencial para responder de forma eficiente a essas mudanas, buscando agilidade nas tomadas de deciso e vantagem competitiva que possa sustentar a organizao no mercado. A identificao do fluxo das informaes na organizao essencial para especificao dos processos e o seu gerenciamento.

34

2.2.1 O valor da informao

Vive-se hoje em uma sociedade que se baseia em informaes e que exibe uma crescente propenso para colet-las e armazen-las. Seu uso efetivo permite que uma organizao aumente a eficincia de suas operaes. Considerado um assunto bastante polmico, o valor da informao para as organizaes de difcil mensurao. Existe o reconhecimento universal da importncia da informao, o que tem levado algumas organizaes a

empreenderem excessos na busca e manuteno de informaes. Segundo Moresi (2000), os esforos de uma organizao devem ser concentrados na busca e na manuteno das informaes crticas, mnimas e potenciais, respectivamente. Dessa forma, a classificao das informaes, de acordo com sua finalidade, fator fundamental para adequar os esforos e evitar desperdcios de recursos na busca e na manuteno de informaes sem interesse para a organizao. A figura 2 sistematiza a classificao da informao segundo a sua finalidade.

Figura 2 - Classificao da informao segundo sua finalidade para uma organizao Fonte: Moresi (2000, p. 15) adaptada de Amaral, 1994

Partindo do princpio de que a informao possui valor, preciso definir os parmetros capazes de quantific-los, o que no uma tarefa simples. Uma das maneiras, citada por Moresi (2000), faz-la por meio de juzo de valor, o que,

35

apesar de ser indefinido, considera que o valor varia de acordo com o tempo e a perspectiva, podendo at assumir valor negativo quando acontece a sobrecarga de informaes, fato que dificulta o processo de uso da informao. Cronin, citado por Moresi (2000), classifica o valor da informao nos seguintes tipos: valor de uso baseia-se na utilizao final que se far com a informao; valor de troca aquele que o usurio est preparado para pagar e variar de acordo com as leis de oferta e demanda, podendo tambm ser denominado de valor de mercado; valor de propriedade reflete o custo substitutivo de um bem; e valor de restrio surge no caso de informao secreta ou de interesse comercial, quando o uso fica restrito apenas a algumas pessoas.

Por ser um bem intangvel, o seu valor est associado a um contexto. Moresi (2000) aborda dois domnios aos quais a informao deve pertencer: atender s necessidades de uma pessoa ou de um grupo, satisfazendo, na disponibilizao das informaes, os requisitos de: ser enviada pessoa ou grupo certo, na hora e local exato e na forma correta; e atender s necessidades de tomada de deciso em uma organizao.

Apesar de a informao adquirir valor de acordo com o seu papel na tomada de deciso, o produto informacional como um todo tambm agrega valor a outras atividades no processo de gerao da informao. A informao ter valor econmico para a organizao se gerar lucro ou alavancar uma vantagem competitiva. Cronin, citado por Moresi (2000), afirma que a percepo de valor pode ser influenciada pelos seguintes fatores: identificao de custos; entendimento da cadeia de uso; incerteza associada ao retorno dos investimentos em informao; dificuldade de se estabelecerem relaes causais entre os insumos de informao e produtos especficos;

36

tradio de se tratar a informao como uma despesa geral; diferentes expectativas e percepes dos usurios; e fracasso em reconhecer o potencial comercial e o significado da informao.

No domnio da tomada de deciso, importante destacar que, de modo geral, poucas decises so tomadas com informaes perfeitas. Ou faltam informaes, ou existe sobrecarga de informaes desnecessrias. Concluindo, Moresi (2000) afirma que: o valor da informao uma funo do efeito que ela tem sobre o processo decisrio. Ter valor se resultar numa deciso melhor; caso contrrio, no tem valor para a organizao.

2.2.2 Gerindo a informao

Considerando

grande

relevncia

das

informaes

no

ambiente

organizacional, torna-se necessrio que as empresas criem formas de organiz-las e propag-las. Esse processo tambm prev funes de filtragem e sntese, o que ir solucionar um dos principais problemas atuais de seus usurios, resultante da quantidade de dados, superior sua capacidade de absoro. Segundo Choo (2003), a maneira como os indivduos se comportam em relao informao como eles a adquirem, filtram, analisam e comunicam to importante para a organizao quanto a prpria informao. Se a informao matria-prima das decises, o comportamento em relao informao abrange as atividades de criao (e destruio) de valores que atuam sobre a matria-prima. Davenport (1998) enfatiza que o ambiente da informao, em sua totalidade, deve levar em conta os valores e as crenas empresariais sobre a informao (cultura), o modo como as pessoas realmente usam a informao e o que fazem com ela (comportamento e processos de trabalho), as armadilhas que podem interferir no intercmbio de informaes (poltica) e quais sistemas de informao j esto instalados apropriadamente. O gerenciamento da informao, segundo Davenport & Prusak (1998), pode ser definido como um conjunto estruturado de atividades que inclui o modo como as

37

organizaes obtm, distribuem e usam a informao e o conhecimento. Pode ser utilizado tanto para distribuir o poder como para centraliz-lo. O ponto de partida para a rea de Gesto da Informao inicia-se com a demanda de informao. O processo de atendimento a essa demanda envolve o estudo da informao e suas caractersticas, fluxos e necessidades. Diversos autores (McGEE e PRUSAK, 1994; DAVENPORT, 1998; CHOO, 2003) tratam das etapas para o gerenciamento da informao, que podem ser sintetizadas como demonstrado na figura 3 a seguir:

Figura 3 - Processo de gerenciamento da informao Fonte: adaptado de McGEE e PRUSAK, 1994; DAVENPORT, 1998; CHOO, 2003

Etapa

Determinao

da

necessidade

de

informao:

envolve

compreender as fontes e os tipos de informaes necessrias para um bom desempenho do negcio, bem como suas caractersticas, fluxos e necessidades. Etapa 2 Obteno: inclui as atividades relacionadas coleta dos dados. Etapa 3 Processamento: compreende as atividades de classificao, que definem o melhor modo de acessar as informaes necessrias; de armazenamento, que selecionam o melhor lugar e os recursos para o arquivamento das informaes obtidas; e de formatao e estruturao das informaes. Etapa 4 Distribuio e apresentao: envolve escolher dentre diferentes metodologias qual pode ser mais adequada para se apresentar a informao,

38

disponibilizando-a aos usurios por meio de diferentes formas e fontes e estilos.

Etapa 5 Utilizao: envolve a incorporao da informao pelas pessoas da empresa nas fases de elaborao, execuo e avaliao da estratgia empresarial, auxiliando, assim, o processo de gesto estratgica.

De acordo Silveira (2003), a gesto da informao pode ser definida como sendo a aplicao de princpios administrativos aquisio, organizao, controle, disseminao e uso da informao para a operacionalizao efetiva das organizaes. Davenport (1998) acrescenta que a nfase primria no est na gerao e na distribuio de enormes quantidades de informao, mas no uso eficiente da informao. Para tal, o autor destaca a importncia do gerenciamento da informao, que pode variar de organizao para organizao, em funo de suas caractersticas. Mesmo considerando que a informao, tal como outros ativos, precisa ser administrada e protegida, os conceitos relativos ao seu gerenciamento ainda no esto completamente amadurecidos e devidamente estruturados nas organizaes.

2.3

Gesto da segurana da informao

Em todas as etapas do gerenciamento da informao os atributos da segurana da informao ganham relevncia. As informaes, para serem obtidas, processadas, distribudas e utilizadas, tm de estar disponveis para as pessoas que tm o direito de acess-las, na sua forma ntegra e consistente no seu significado.

2.3.1 Proteo da informao

A ABNT (2005) considera a informao um ativo, e como qualquer outro ativo importante para os negcios tem um valor para a organizao e, conseqentemente,

39

necessita ser adequadamente protegida. Essa norma destaca que no existem sistemas de informao 100% seguros e que a segurana que pode ser alcanada por meios tcnicos limitada e deve ser apoiada por uma gesto e por procedimentos apropriados. Dias (2000) afirma que a segurana da informao tem a ver com a proteo dos sistemas, dos recursos e dos servios da organizao contra desastres, erros e manipulaes no autorizadas, de forma a reduzir a probabilidade de ocorrncias de incidentes de segurana. Tradicionalmente, a segurana da informao tem consistido em assegurar atributos como integridade, confiabilidade e disponibilidade, definidos pela ABNT (2001) como: Confidencialidade tem o objetivo de garantir que apenas pessoas autorizadas tenham acesso informao. Esta garantia deve ser obtida em todos os nveis, desde a gerao da informao, passando pelos meios de transmisso, chegando a seu destino, e sendo devidamente armazenada ou, se for necessrio, destruda sem possibilidade de recuperao. Esse processo tende a ser mais dispendioso quanto maior for a necessidade de proteo da informao e, claro, o valor da informao a ser protegida. Integridade seu objetivo garantir que a informao no seja alterada, a no ser por acesso autorizado. Isso significa dizer que uma informao ntegra no necessariamente uma informao correta, mas sim que ela no foi alterada em seu contedo. Esse processo equivale proteo da informao contra modificaes no autorizadas ou acidentais. Disponibilidade consiste em garantir que a informao sempre poder ser acessada quando for necessrio. Este objetivo conseguido por meio da continuidade de servio dos meios tecnolgicos, envolvendo polticas de backup, redundncia e segurana de acesso. De nada adianta ter uma informao confivel e ntegra se ela no est acessvel quando solicitada.

Para proteger a informao, necessrio definir aquela que deve ser protegida. Para isso, preciso definir uma poltica de classificao da informao. Marciano (2006) destaca que o grau de valor e de relevncia atribudo segurana da informao deve estar diretamente relacionado com o grau dos mesmos conceitos aplicados informao.

40

2.3.2 Classificao da informao

Existem diversas formas de realizar a classificao da informao. Como o objetivo deste referencial terico destacar a necessidade de proteger a informao como ativo de uma organizao, abordar-se- a classificao sob o ponto de vista da segurana da informao. O objetivo da classificao da informao garantir que os ativos de informao recebam um nvel adequado de proteo, pois a informao possui vrios nveis de sensibilidade e criticidade. A informao deve ser classificada para indicar a importncia, a prioridade e o nvel de proteo. Pode ser que informaes mais sensveis recebam um nvel adicional de proteo ou um tratamento especial. Um sistema de classificao da informao deve ser usado com o intuito de definir nveis mais adequados de proteo. Nem toda informao crucial ou essencial a ponto de merecer cuidados especiais. Por outro lado, determinada informao pode ser to vital que o custo de sua integridade, qualquer que seja, ainda ser menor que o custo de no dispor dela adequadamente. O governo brasileiro, pelo Decreto n. 4553, de 2002 (BRASIL, 2002), definiu que os dados sigilosos sero classificados como ultra-secretos, secretos, confidenciais e reservados: Ultra-secretos dados ou informaes referentes soberania e integridade territorial nacional, a planos e operaes militares, s relaes internacionais do Pas, a projetos de pesquisa e desenvolvimento cientfico e tecnolgico de interesse da defesa nacional e a programas econmicos cujo conhecimento no-autorizado possa acarretar dano

excepcionalmente grave segurana da sociedade e do Estado; Secretos dados ou informaes referentes a sistemas, instalaes, programas, projetos, planos ou operaes de interesse da defesa nacional, a assuntos diplomticos e de inteligncia e a planos ou detalhes, programas ou instalaes estratgicos cujo conhecimento no autorizado possa acarretar dano grave segurana da sociedade e do Estado. Confidenciais dados ou informaes que, no interesse do Poder Executivo e das partes, devam ser de conhecimento restrito e cuja

41

revelao no autorizada possa frustrar seus objetivos ou acarretar dano segurana da sociedade e do Estado. Reservados dados ou informaes cuja revelao no autorizada possa comprometer planos, operaes ou objetivos neles previstos ou referidos.

Gil (1994) classifica as informaes, segundo seu grau de criticidade e teor, da seguinte forma: Confidenciais devem ser disseminadas somente para empregados nomeados; Corporativas devem ser disseminadas somente dentro da empresa; Pblicas devem ser disseminadas dentro e fora da empresa.

Abreu (2001) expe a necessidade de classificar a informao nas organizaes segundo seu nvel de prioridade, respeitando a necessidade de cada organizao, assim como a importncia da classe de informao para a manuteno das atividades da empresa: Pblica informao que pode vir a pblico sem maiores conseqncias danosas ao funcionamento normal da empresa e cuja integridade no vital; Interna o acesso a este tipo de informao deve ser evitado, embora as conseqncias do uso no autorizado no sejam por demais srias. Sua integridade importante, mesmo que no seja vital; Confidencial informao restrita aos limites da empresa, cuja divulgao ou perda pode levar a desequilbrio operacional e, eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo, alm de permitir vantagem expressiva ao concorrente; Secreta informao crtica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um nmero bastante reduzido de pessoas. A manipulao desse tipo de informao vital para a companhia.

Entretanto, independentemente da relevncia ou tipo da informao, a gesto dos dados organizacionais estratgica, pois possibilita o apoio para a tomada de

42

decises em qualquer mbito institucional. Algumas informaes so centrais para organizao, e a divulgao parcial ou total destas pode alavancar um nmero de repercusses cuja complexidade pode ser pouco ou nada administrvel pela organizao com conseqncias possivelmente nefastas.

2.3.3 Ciclo de vida da informao

Sob o ponto de vista da proteo da informao, Smola (2003) aborda o seu ciclo de vida, relacionando-a com os momentos que a colocam em risco. Tais momentos so vivenciados justamente quando os ativos fsicos, tecnolgicos e humanos fazem uso da informao, sustentando processos de negcios que, por sua vez, mantm a operao da empresa. O autor sustenta que a informao durante o seu ciclo de vida ou seja, desde que gerada at o seu descarte final pode passar por quatro fases (Fig.4).

Figura 4 - Quatro momentos do ciclo de vida da informao, considerando os aspectos de segurana da informao Fonte: adaptado de Smola (2003, p. 11)

1. Manuseio refere-se ao momento em que a informao criada e manipulada, seja ao se ler um documento, digitar uma mensagem ou habilitar

43

o seu terminal numa determinada rede. Como o prprio nome diz, o contato fsico ou virtual com as informaes caracteriza esta fase. 2. Armazenamento diz respeito ao momento em que a informao guardada. Aps o manuseio, a informao ser armazenada, seja em um banco de dados ou transcrita para determinado arquivo fsico. 3. Transporte caracterizado pela forma como a informao enviada a terceiros ou conduzida pelo seu detentor. Como exemplo, pode-se citar o uso do correio eletrnico ou o seu transporte em mdia por intermdio do mensageiro. 4. Descarte trata da maneira como a mensagem descartada, seja ao depositar a mensagem de papel no lixo ou ao se eliminar um arquivo eletrnico. A cada uma das fases acima citadas, tratamento especial dever ser dispensado informao no sentido de garantir os aspectos ligados sua segurana.

2.3.4 Gerindo a segurana da informao

De acordo com Smola (2003), se gerir a informao nos heterogneos e cada vez mais complexos ambientes corporativos j um grande desafio, ento, sob a tica da segurana, esse desafio tende a ser muito maior. De fato, evidente que quanto mais complexo o ambiente organizacional, quanto mais recursos computacionais so disponibilizados aos usurios e quanto mais informaes so produzidas e requeridas por este usurio, mais difcil se torna garantir a confidencialidade e integridade das informaes. Dispor da informao correta e na hora adequada significa tomar uma deciso de forma gil e eficiente. Com a evoluo dos dados e sistemas, a informao ganhou mobilidade, inteligncia e real capacidade de gesto. A informao um substrato da inteligncia competitiva e deve ser administrada em seus particulares, diferenciada e salvaguardada. Segundo Martins, Alade (2004), a gesto da segurana da informao considera as dimenses pessoas, tecnologias e processos como sendo os

44

elementos fundamentais para se trabalhar a proteo da informao. Muitas organizaes do grande nfase ao aspecto tecnolgico, implementando

mecanismos baseados em hardware e software, esquecendo-se de que as pessoas so consideradas o elo mais fraco na segurana da informao e de que os processos so fundamentais para que as melhores prticas de segurana da informao sejam implementadas. Essa gesto da segurana da informao requer a participao de todos os funcionrios da organizao. A figura 5 mostra os elementos bsicos de uma verdadeira gesto de segurana da informao, apresentando os relacionamentos e os nveis de uma organizao.

Figura 5 - Relacionamento processos, tecnologias e pessoas Fonte: Martins, Alade [2004, p. 4]

Segundo Martins, Alade (2004), a gesto de segurana da informao deve considerar os trs nveis envolvidos em uma organizao: a) estratgico, que define os objetivos e as diretrizes; b) ttico, que estabelece as metas e define a forma de alocao de recursos; e c) operacional, que est envolvido diretamente com as atividades de proteo da informao. Todos esses elementos devem ser trabalhados nas dimenses: pessoas, tecnologias e processos para que ocorra uma segura gesto da informao. O que vem se observando nas organizaes, de uma

45

maneira geral, so implementaes de processos, nfase nos aspectos tecnolgicos e uma crescente preocupao com a conscientizao das pessoas em relao segurana da informao. Apesar desse aumento de preocupao com a conscientizao, de acordo com a Modulo (2007), em sua 10 Pesquisa Nacional de Segurana da Informao, o principal obstculo para a implementao da segurana continua sendo a falta de conscientizao dos executivos e usurios (55%), fato constatado nas edies anteriores da pesquisa8.

Figura 6 - Obstculo para a implementao da segurana Fonte: Modulo (2007,p. 7)

No contexto da gesto da segurana da informao, um dos primeiros passos dados nas organizaes consiste na elaborao de uma poltica de segurana da informao. Com isso, entendem os gestores de segurana da informao que esto definindo o comportamento adequado para as pessoas. O passo seguinte a conscientizao das pessoas da importncia de seguir essas regras. importante destacar que as pessoas so diferentes, exercem funes diferentes nas organizaes e percebem a segurana da informao de forma diferente. O grande desafio de se implementar uma gesto da segurana da informao continua sendo conseguir o comprometimento das pessoas da organizao.
Na 8 Pesquisa Nacional de Segurana da Informao, de 2002, a falta de conscientizao dos usurios e executivos era apontado por 62% das empresas pesquisadas. Em 2003, na 9 Pesquisa, caiu para 37%.
8

46

2.4

Conexo da gesto da informao com a segurana da informao

As informaes sempre estiveram presentes nos negcios, apoiando as empresas no seu posicionamento e nas tomadas de decises. Porm, devido s vrias transformaes ocorridas na sociedade moderna, elas assumem uma grande notoriedade e passam a ser tratadas de forma sistmica e organizada, buscando seu melhor aproveitamento. Nesse cenrio, surgem as estratgias para a gesto da informao, a fim de se construir ambientes informacionais que aumentem a eficincia e a competitividade da empresa. McGee e Prusak (1994) apresentam um modelo com as tarefas de gerenciamento de informaes (figura 7) e destacam que as diferentes tarefas do modelo assumem nveis diferentes de importncia e valor nas organizaes.

Figura 7 - Tarefas do processo de gerenciamento de informaes Fonte: McGee e Prusak (1994, p.108)

Beal (2005) apresenta um modelo do fluxo da informao nas organizaes (figura 8), no qual, como no modelo de McGee e Prusak (1994), a atividade de identificao de necessidades e requisitos de informao age como elemento acionador do processo. Esse acionamento pode gerar um ciclo contnuo de coleta, tratamento, distribuio/armazenamento e uso da informao para suprir os processos de deciso e/ou operacionais das organizaes. No modelo, tambm so representadas as distribuies da informao para o pblico interno e a destinada

47

aos pblicos externos.

Figura 8 - Modelo de representao do fluxo da informao nas organizaes Fonte: Beal (2005, p. 4)

Ao descrever o modelo, Beal (2005) faz um relacionamento da segurana da informao e seus atributos de confidencialidade, integridade e disponibilidade com cada etapa do ciclo de vida da informao apresentada no modelo de representao do fluxo da informao. A identificao das necessidades e dos requisitos dos grupos e indivduos que integram a organizao e de seus pblicos externos constitui uma etapa fundamental para o desenvolvimento de servios e produtos informacionais de forma a propiciar a melhoria de produtos e processos (usurios internos) ou o fortalecimento dos vnculos e dos relacionamentos com a organizao (usurios externos). Definidas as necessidades de informao, a prxima etapa a de obteno das informaes para suprir as necessidades. Nesta etapa, so desenvolvidas as atividades de criao e recepo ou captura de informao proveniente das fontes externas ou internas, em qualquer mdia ou formato. Em relao segurana da informao, uma preocupao tpica desta etapa diz respeito integridade da informao: preciso garantir que a informao seja genuna, criada por algum autorizado a produzi-la (ou proveniente de uma fonte confivel), livre de adulterao e apresentada com um nvel de preciso compatvel com os requisitos levantados na

48

etapa de identificao das necessidades. Na etapa de tratamento, a informao, normalmente, passa por processos de organizao, formatao, estruturao, classificao, anlise, sntese, apresentao e reproduo, com o propsito de torn-la mais acessvel, organizada e fcil de localizar pelos usurios. Nesta etapa, Beal (2005) destaca tambm a preocupao que deve ter com a integridade da informao, principalmente se estiverem envolvidas tcnicas de adequao do estilo e adaptao de linguagem, contextualizao e condensao da informao, entre outras. As questes relacionadas preservao da confidencialidade devem ser buscadas quando o tratamento da informao estiver voltado para a reproduo para posterior distribuio, uma vez que a existncia de diversas cpias de uma mesma informao amplia os problemas de restrio de acesso aos usurios devidamente autorizados. A etapa de distribuio da informao permite levar a informao necessria a quem precisa dela. A rede de comunicao da organizao o principal canal de distribuio. Quanto melhor essa rede, mais eficiente a distribuio interna da informao. Smola (2003) destaca que compartilhar a informao passou a ser considerada uma prtica moderna de gesto e necessria s empresas que buscam maior velocidade nas aes. Em vista disso, o bom funcionamento do canal de distribuio de informaes que alimente e integre ambientes e processos traz um ganho de eficincia e agilidade para qualquer organizao. Nesta etapa, os requisitos de confidencialidade, integridade e disponibilidade devem ser analisados separadamente para os processos de distribuio interna da informao e dos voltados para a disseminao para pblicos externos. O uso da informao considerado por diversos autores (DAVENPORT, 1998; McGEE e PRUSAK, 1994; BEAL, 2005) como a etapa mais importante de todo o processo de gesto da informao, embora seja freqentemente ignorado nos processos de gesto das organizaes. o uso da informao que garante melhores resultados numa organizao, de acordo com suas finalidades bsicas: conhecimento dos ambientes interno e externo da organizao e atuao nesses ambientes. Nesta etapa, os objetivos de integridade e disponibilidade devem receber ateno especial: uma informao que tem o seu sentido modificado, inacessvel ou indisponvel pode prejudicar os processos decisrios e operacionais da organizao. A preocupao com o uso legtimo da informao leva as

49

organizaes a considerar fundamental o requisito de confidencialidade, ao restringir o acesso e o uso de dados e informaes s pessoas devidamente autorizadas. O armazenamento necessrio para assegurar a conservao dos dados e informaes, permitindo seu uso e reuso na organizao. Nesta etapa, os objetivos de integridade e disponibilidade dos dados e informaes armazenados adquirem maior destaque. Tambm, os requisitos de confidencialidade so necessrios para a proteo de dados considerados sigilosos para a organizao, considerando os diversos mecanismos de proteo para impedir o acesso fsico ou remoto por pessoas no autorizadas. No modelo de Beal (2005) apresentado, o descarte considerado uma importante etapa do fluxo da informao nas organizaes. A autora considera que excluir dos repositrios de informao corporativos os dados e as informaes inteis melhora o processo de gesto da informao. O descarte de dados e informaes deve ser realizado considerando os aspectos de confidencialidade e disponibilidade. No que se refere confidencialidade, o descarte de documentos e mdias que contenham dados de carter sigiloso precisa ser realizado com a observncia de critrios rgidos de destruio segura. No que se refere disponibilidade, as preocupaes incluem a legalidade da destruio de informaes (temporalidade de documentos) e a necessidade de preservar dados histricos valiosos para o negcio. Beal (2005) destaca tambm a importncia da existncia de uma poltica declarada de informao nas organizaes de forma a preservar os princpios ticos de uso dos dados corporativos. Afirma que extremamente til comunicar aos integrantes da organizao as responsabilidades e o comportamento esperado em relao informao. Ao formalizar e divulgar suas regras e diretrizes para a obteno, o tratamento, a disseminao, o armazenamento, o uso e o descarte da informao corporativa, a organizao permite que seus integrantes e parceiros de negcio passem a conhecer suas responsabilidades e os limites ticos a serem seguidos, podendo prevenir os mais variados problemas relacionados m distribuio da informao e manipulao irregular de ativos informacionais valiosos para a organizao. Ao destacar o relevante papel que a informao passou a ter na sociedade e

50

na economia globalizada, Moresi (2000) coloca a informao como o recurso chave de competitividade, de diferencial de mercado e de lucratividade das organizaes. Tendo assumido um papel to valioso e estratgico, a informao conduz necessidade de ser gerenciada, protegida e resguardada. Nesse contexto, Dias (2000) destaca a importncia de se proteger esse ativo. Segundo ele, a segurana da informao a proteo de informaes, sistemas, recursos e servios contra desastres, erros e manipulaes no autorizadas, de forma a reduzir a probabilidade de ocorrncias de incidentes de segurana. Dessa forma, entende-se que a segurana da informao d sustentao para que os processos de obteno, processamento, distribuio e utilizao da informao contidos no mbito da gesto da informao ocorram com a garantia de que as informaes estaro disponveis para as pessoas que tm o direito de acess-las, ntegras e consistentes no seu significado.

2.5

Normas e metodologias de gesto de tecnologia da informao e de segurana da informao

Segundo Ferreira (1999), norma aquilo que se estabelece como base ou medida para a realizao de alguma coisa. Quando no h padres, podem-se ter diversos problemas, como: baixa qualidade do produto, incompatibilidade com outros produtos existentes, produtos no confiveis ou, at mesmo, perigosos, alm de no se poder compar-lo com outros produtos, devido falta de um referencial comum. As normas contribuem para fazer com que os processos de produo e fornecimento de produtos e servios sejam mais eficientes, seguros e limpos. Ela facilita os negcios entre organizaes, uma vez que estabelece padres a serem seguidos por todos, garantindo interoperabilidade entre servios, processos e produtos. 2.5.1 As normas ISO/IEC de segurana da informao9

Na rea de segurana da informao existem vrios documentos e normas que tratam, diretamente ou indiretamente, da segurana da informao. O objetivo
9

Histrico obtido por meio de pesquisa em Mdulo (2007), site www.modulo.com.br, acesso em 08/01/07

51

maior apresentar orientaes e sugestes ao gestor quanto aplicao da boa prtica em segurana da informao. A pesquisa proposta utilizar como referncia a poltica de segurana da informao da SEPLAG, elaborada seguindo as diretrizes e recomendaes de controle previstas na ABNT (2005), a norma ISO/IEC 17799. Esses controles visam reduzir ou eliminar vulnerabilidades, inibir a ao de ameaas e minimizar os impactos causados por incidentes. A seguir, ser feito um relato, seguindo observaes de Gonalves (2003), de como surgiram as normas de segurana da informao e o que elas representam na gesto dos sistemas de segurana da informao das organizaes. Segundo o autor, as normas de segurana da informao tiveram seu nascedouro no campo da Cincia da Computao. Em 1967, preocupados com a segurana em sistemas computacionais, editou-se nos Estados Unidos, o intitulado "Security Control for Computer System: Report of Defense Science Boad Task Force on computer Security", que representou o incio do processo oficial de criao de um conjunto de regras para segurana de computadores. Em 1977, o Departamento de Defesa dos Estados Unidos formulou um plano sistemtico para tratar do problema clssico de segurana, o qual daria origem ao "DoD Computer Security Initiative", que, por sua vez, desenvolveria um "centro" para avaliar o quo seguro eram as solues disponibilizadas. A construo do "Centro" gerou a necessidade da criao de um conjunto de regras a serem utilizadas no processo de avaliao. Este conjunto de regras, que ficaria conhecido informalmente como "The Orange Book", devido cor da capa deste manual de segurana, representou o marco "zero", do qual nasceram vrios padres de segurana, cada qual com a sua filosofia e mtodos proprietrios, contudo visando uma padronizao mundial. A origem da norma ISO/IEC 17799:2005, a ABNT (2005) e da ISO/IEC 27001:2005, a ABNT (2006) d-se no final da dcada de 1980. Em 1987, no Reino Unido, o Department of Trade Centre (DTI) criou o Comercial Computer Security Centre (CCSC), com o objetivo de auxiliar as companhias britnicas que comercializavam produtos para segurana de tecnologia da informao, por meio da criao de critrios para avaliao da segurana. Outro objetivo do CCSC era criar cdigo de segurana para os usurios das informaes. Com base neste segundo objetivo, em 1989, publicou-se a primeira verso do cdigo de segurana, denominado PD0003 - Cdigo para Gerenciamento da Segurana da Informao.

52

Em 1995, esse cdigo foi revisado e publicado como uma norma britnica, a BS7799:1995 (Brithish Standart 7799). Em 1996, essa norma foi proposta ao International Standartization Organization (ISO) para homologao, tendo sido rejeitada. Uma segunda parte desse documento foi criada posteriormente e publicada em novembro de 1997 para consulta pblica e avaliao. Em 1998, esse documento foi publicado como BS7799-2:1998. Nesse ano, a lei britnica, denominada Ato de Proteo de Dados, recomendou a aplicao da norma na Inglaterra, o que viria a ser efetivado em maro de 2000. Em maio de 2000 o Brithish Standards Institute (BSI) homologou a primeira parte da BS7799. Em outubro do mesmo ano, na reunio do comit da ISO, em Tquio, a norma foi votada e aprovada pela maioria dos representantes e homologada, em dezembro do mesmo ano, como ISO/IEC 17799:2000, juno das duas organizaes International Standartization Organization (ISO) e International Engineering Consortium (IEC). O objetivo dessas normas fornecer recomendaes para a gesto da segurana da informao para uso por aqueles que so responsveis pela introduo, implantao ou manuteno da segurana da informao em suas organizaes. Tambm se destina a prover uma base comum para o

desenvolvimento de normas de segurana organizacional e das prticas efetivas da gesto da segurana da informao, bem como a confiana nos relacionamentos entre as organizaes. Esta norma chegou em um momento em que as organizaes de todo o mundo, sensibilizadas pela importncia de proteger a informao corporativa, passaram a investir muito mais em segurana da informao. No Brasil, em dezembro de 2000, a Associao Brasileira de Normas Tcnicas (ABNT) tambm resolveu acatar a norma ISO como padro brasileiro, sendo publicada, em 2001, como: NBR 17799 Cdigo de Prtica para a Gesto da Segurana da Informao. No segundo semestre de 2005, foi lanada a nova verso da norma: a norma ABNT (2005), ISO / IEC 17799:2005, que cancela e substitui a edio anterior. A segunda parte da norma britnica, publicada pelo BSI em 1998 e revisada em 2002, um padro que aponta as especificaes necessrias para um Sistema de Gesto da Segurana da Informao (SGSI) ou, em ingls, Information Security Management System (ISMS). O SGSI um sistema de gesto anlogo ao sistema da qualidade, e como tal passvel de certificao. Esta certificao se d a partir

53

das evidncias (documentos e prticas) do conjunto de controles implantados e que devem ser continuamente executados e devidamente registrados. No Brasil, a ABNT publicou como ABNT (2006) a Norma Brasileira NBR ISO IEC 27001, no primeiro trimestre de 2006. Esta norma aplicvel a qualquer organizao e define um modelo de gesto para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gesto de Segurana da Informao.

2.5.1.1 A norma brasileira ISO / IEC 17799:2005

A ABNT (2005), NBR ISO IEC 17799:2005 um cdigo de prticas de gesto de segurana da informao. Sua importncia pode ser dimensionada pelo nmero crescente de pessoas e variedades de ameaas a que a informao exposta na rede de computadores. O objetivo explcito desta norma estabelecer um referencial para as organizaes desenvolverem, implementarem e avaliarem a gesto da segurana de informao. Em sua documentao, a ABNT (2005) aborda 11 tpicos principais, chamados de sees, 39 categorias e 133 controles, que so recomendaes para as melhores prticas em segurana da informao: 1. Poltica de segurana da informao descreve a importncia e relaciona os principais assuntos que devem ser abordados numa poltica de segurana. Visa definir a linha mestra da gesto de risco e segurana da informao, definindo os padres a serem seguidos e as aes a serem tomadas. Descreve os vrios processos envolvidos com o trabalho de segurana e a responsabilidades sobre os mesmos. 2. Organizando a segurana da informao divide-se nas seguintes categorias: infra-estrutura de segurana da informao, que visa criao de uma estrutura de gerenciamento da segurana da informao; e partes externas, em que so especificados os controles de acesso de terceiros ao ambiente. 3. Gesto de ativos . visa realizar a identificao e associao de um "valor", ou nvel de "importncia", a um determinado ativo da organizao.

54

composto dos seguintes macro objetivos: responsabilidade pelos ativos; e classificao da informao. 4. Segurana em recursos humanos tem por objetivo prover os recursos necessrios para o gerenciamento dos fatores de segurana que envolvem as atividades humanas na organizao, desde o processo de contratao, durante o vnculo com a organizao, at o encerramento ou mudana de relao de trabalho com a organizao. 5. Segurana fsica e do ambiente so definidos os objetivos em relao s reas seguras e equipamentos. Em relao ao primeiro objetivo, so definidos os controles com a finalidade de inibir o acesso no autorizado s reas onde se encontram informaes vitais para organizao. Em relao ao controle de equipamentos de segurana, o objetivo prover mecanismos para evitar a paralisao das atividades da organizao ocasionada por danos em seus equipamentos. 6. Gerenciamento das operaes e comunicaes o objetivo prover os recursos necessrios para facilitar o processo de gerenciamento dos mecanismos de troca de informaes dentro e fora da organizao, envolvendo: procedimentos e responsabilidades operacionais, gerenciamento de servios terceirizados, planejamento e aceitao dos sistemas, proteo contra cdigos maliciosos e cdigos mveis, cpias de segurana, gerenciamento da segurana em redes, manuseio de mdias, troca de informaes, servios de comrcio eletrnico e monitoramento; 7. Controle de acessos - trata diversos controles com o objetivo de inibir os problemas de segurana gerados pelo acesso lgico, no autorizado, de usurios s informaes da organizao, envolvendo: requisitos de negcio para controle de acesso, gerenciamento de acesso do usurio,

responsabilidade dos usurios, controle de acesso rede, controle de acesso ao sistema operacional, controle de acesso s aplicaes e computao mvel e trabalho remoto. 8. Aquisio, desenvolvimento e manuteno de sistemas de informao o objetivo fornecer os critrios necessrios para o desenvolvimento de aplicativos mais consistentes com a norma de segurana da organizao. Pode ser subdividido nos seguintes controles: requisitos de segurana de sistemas de informao, processamento correto nas informaes, controles,

55

segurana dos arquivos dos sistemas, segurana em processos de desenvolvimento e de suporte e gesto de vulnerabilidades tcnicas. 9. Gesto de incidentes de segurana da informao includa na verso 2005, destacam-se os objetivos de controlar a notificao de fragilidades e eventos de segurana da informao e acompanhar a gesto de incidentes de segurana da informao e melhorias. 10. Gesto da continuidade do negcio o objetivo criar mecanismos necessrios ao perfeito funcionamento do ambiente, mesmo quando parte deste apresenta falhas. O plano de contingncia deve abranger toda a organizao e levar em conta os riscos pelos quais o ambiente est exposto, assim como o impacto que uma paralisao pode causar no mesmo. 11. Conformidade so abordados os aspectos legais relacionados ao uso de determinados softwares e quando e como devem ser realizadas as revises da poltica de segurana e como deve ocorrer o processo de auditoria. Os seguintes objetivos so abordados: conformidade com requisitos legais, conformidade com as normas e polticas de segurana da informao e conformidade tcnica, e consideraes quanto auditoria de sistemas de informaes.

A ABNT (2005), a norma ISO/IEC 17799, foi utilizada como referncia para o desenvolvimento da poltica de segurana da informao da SEPLAG (SEPLAG, 2006a), com maior nfase nas prticas dos usurios dos sistemas de informao. Essa poltica est publicada no site www.egov.mg.gov.br e pode servir como referncia para que outros rgos da administrao pblica utilizem suas diretrizes e normas, tendo em vista o carter geral de suas regras. Com essa relevncia para a administrao pblica, muito importante verificar como os usurios, principalmente aqueles diretamente envolvidos com os sistemas de informao corporativos do estado, praticam as regras estabelecidas nessas normas. Em suas diretrizes, estabelecidas na Resoluo SEPLAG n. 11 (SEPLAG 2006c), destacam-se a nfase nos mecanismos de proteo da informao para todas as informaes geradas, adquiridas, armazenadas, processadas, transmitidas e descartadas na instituio e a importncia da conformidade desses mecanismos em relao legislao vigente e ao Cdigo de tica do Servidor Pblico (MINAS GERAIS, 2004b) e ABNT (2005). Tambm se enfatizam: as questes referentes

56

classificao da informao, estabelecendo a necessidade e a responsabilidade pela definio dos critrios; o controle de acesso s informaes, destacando a necessidade da adequao do controle em funo da classificao da informao e a importncia de controlar e restringir o acesso s informaes dos cidados que estejam sob a custdia da SEPLAG, visando garantir o direito inviolabilidade da intimidade das pessoas e o sigilo de suas informaes; a educao em segurana da informao, orientando para a necessidade de instruo do usurio para a correta utilizao das informaes e dos recursos computacionais disponibilizados pela SEPLAG; a responsabilidade pela segurana da informao, informando que o usurio responsvel pela informao que tem acesso e a necessidade de notificar rea responsvel pela segurana da informao as violaes s regras ou falhas de segurana da informao; e as diretrizes que determinam que a instituio responsvel por manter um plano de continuidade de negcios para reduzir os impactos causados por uma interrupo de servios. O foco dado s normas da SEPLAG (2006a) foi nas prticas dos usurios. As normas publicadas so referentes utilizao de estaes de trabalho, utilizao da internet e utilizao de senhas. Para compor essas normas, foram extradas recomendaes de segurana da informao das sees: Gesto de ativos (responsabilidade pelos ativos), Segurana em recursos humanos (termos de responsabilidade), Segurana fsica e do ambiente (segurana de equipamentos), Gerenciamento das operaes e comunicaes (backup, manuseio de mdias e troca de informaes), Controle de acessos (controle de acesso ao sistema, gerenciamento de acesso do usurio e uso de senhas) e Conformidade com requisitos legais. Na norma de utilizao de estao de trabalho, as recomendaes de segurana da informao destacam a finalidade do equipamento e sua correta utilizao, as responsabilidades dos usurios, a realizao de cpias de segurana de arquivos, a proteo contra acessos indevidos e contra cdigos maliciosos, o controle sobre o compartilhamento de arquivos e o manuseio de mdias particulares. Na norma utilizao da Internet, so estabelecidos o carter profissional da utilizao do servio de Internet provido pela SEPLAG e a responsabilidade do usurio em conduzir adequadamente o uso da Internet, respeitando os aspectos legais que regem os direitos autorais, licenciamento de software e a privacidade. Tambm destacada a necessidade de proteo da informao sigilosa que trafega

57

pela rede, por meio do uso de senhas nos arquivos e so feitas proibies de acesso contedos pornogrficos ou ilcitos e restries utilizao de determinados software de comunicao. A norma utilizao de senhas praticamente uma transcrio da seo Controle de acesso, tpico Responsabilidades dos usurios, sub-tpico Uso de senhas da ABNT (2005). Nesta norma, so feitas as recomendaes clssicas para o correto gerenciamento das senhas de acesso aos ambientes informacionais e as proibies ao uso indevido dessas senhas. A ABNT (2005), a norma ISO/IEC 17799 extensa e mesmo assim no cobre todos os mecanismos que devem ser implementados para a garantia da segurana da informao, pois no existe a segurana completa. Alguns controles podem no se aplicar e outros controles adicionais podem ser necessrios em instituies pblicas como a SEPLAG.

2.5.1.2 Norma Brasileira NBR ISO IEC 27001

Esta norma promove a adoo de uma abordagem de processo para estabelecer e implementar, operar, monitorar, analisar criticamente, manter e melhorar o Sistema de Gerenciamento da Segurana da Informao (SGSI) de uma organizao. Para esta abordagem, a norma orienta observao de um conjunto de aes e tarefas. Estas aes devem ser planejadas visando eficincia de sua aplicao. A abordagem de processo para a gesto da segurana da informao apresentada nesta norma encoraja que seus usurios enfatizem a importncia: a) do entendimento dos requisitos de segurana da informao de uma organizao e da necessidade de estabelecer uma poltica e objetivos para a segurana da informao; b) da implantao e operao de controles para gerenciar os riscos de segurana da informao de uma organizao no contexto dos riscos de negcio globais da organizao; c) da monitorao e analise crtica do desempenho e eficcia do SGSI; e d) da melhoria contnua baseada em medies objetivas.

58

Esta norma aplicvel a qualquer organizao, pblica ou privada. Define um modelo de gesto para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gesto de Segurana da Informao. Este modelo de gesto implementa o ciclo com melhoria contnua conhecido como PDCA (Plan- DoCheck-Act). O modelo comea com a execuo das atividades da fase Plan, depois segue para a fase Do, Check e Act, sucessivamente. Ao trmino da fase Act, o ciclo recomea com as atividades da fase Plan. Toda vez que o ciclo se completa, o sistema melhorado, e esse processo segue continuamente. As atividades principais de cada etapa deste ciclo so descritas a seguir e podem ser analisadas na figura 9.

Figura 9 - Modelo PDCA aplicado aos processos do ISMS (Sistema de Gesto de Segurana da Informao) Fonte: ABNT (2006, p vi)

De acordo com Smola (2003), em um relacionamento do modelo acima com as principais atividades de implantao de um Sistema de Gesto da Segurana da Informao, pode-se descrever: Planejar (Plan) compreende as atividades que objetivam definir arquiteturas, aes, atividades, alternativas de continuidade e critrios, abrangendo todo o ciclo de vida da informao: manuseio, armazenamento, transporte e descarte,

59

aplicveis desde os nveis mais estratgicos aos operacionais, que serviro de orientador. Plano Diretor de Segurana da Informao Plano de Continuidade de Negcios Poltica de Segurana da Informao Arquitetura Tecnolgica de Segurana da Informao

Fazer (Do) compreende as atividades que aplicam mecanismos de controle nos ativos fsicos, tecnolgicos e humanos que possuem

vulnerabilidades, buscando elimin-las, quando possvel e vivel, ou administrlas, a fim de aumentar o nvel de segurana do negcio. a fase que materializa as aes tidas como necessrias no diagnstico e organizadas pelo planejamento. Implementao de controles de segurana Treinamento e sensibilizao em segurana

Analisar (Check) compreende as atividades que buscam analisar a segurana por meio do mapeamento e da identificao de particularidades fsicas, tecnolgicas e humanas da empresa como um todo ou de permetros menores, vulnerabilidades, ameaas, riscos e impactos potenciais que podero se refletir no negcio. Anlise de riscos

Agir (Act) compreende as atividades que visam gerir o nvel de segurana por meio de dispositivos que monitoram ndices e indicadores, canalizando novas percepes de mudana fsica, tecnolgica e humana que provocam oscilao do grau de risco, a fim de adequar as aes de segurana ao contexto. a fase que representa o elo com as demais, formando um ciclo contnuo e dando vida ao verdadeiro processo de gesto dinmica. Equipe para resposta a incidentes Administrao e Monitorao de Segurana

60

2.5.2 O modelo Control Objectives for Information and Related Technology (COBIT)

O modelo COBIT de administrao de TI foi desenvolvido pelo ISACF (The Information System Audit and Control Foundation). Depois, passou a ser mantido pelo ITGI (IT Governance Institute). A misso maior relacionada ao desenvolvimento do modelo pesquisar, desenvolver, publicar e promover um conjunto atualizado de padres internacionais e de melhores prticas referentes ao uso corporativo de TIC para os gerentes e auditores de tecnologia COBIT (2005). Martins, Alade (2004) enfatiza que o foco da metodologia COBIT no segurana da informao, e sim o planejamento das tecnologias da informao de acordo com o objetivo da organizao, porm possui alguns controles especficos para segurana da informao. Dentre estes controles, tem-se a ferramenta modelo de maturidade (Maturity Models), para a anlise de maturidade de processos, que pode ser utilizada no projeto de segurana da informao. Segundo Gherman (2005), as atividades de TI so apresentadas pelo COBIT de forma lgica e estruturada, relacionando riscos de negcios, necessidades de controles e questes tcnicas. O COBIT pode ser usado independentemente da plataforma tecnolgica adotada pela organizao. De acordo com Zorello (2005), o COBIT orientado ao negcio. Fornece informaes detalhadas para gerenciar processos baseados em objetivos de negcios. O COBIT projetado para auxiliar trs audincias distintas: a) gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma organizao; b) usurios que precisam ter garantias de que os servios de TI que dependem os seus produtos e servios para os clientes internos e externos esto sendo bem gerenciados; c) auditores que podem se apoiar nas recomendaes do COBIT para avaliar o nvel da gesto de TI e aconselhar o controle interno da organizao. O COBIT estruturado com trs modelos: a) Modelo de Processos de TI (framework) b) Modelo para Governana de TI

61

c) Modelo de Maturidade de TI

A utilizao conjunta desses modelos, paralelamente metodologia incorporada no COBIT, permite a uma instituio exercer uma efetiva governana de TI. Segundo o COBIT (2005), a governana de TI definida como uma estrutura de relacionamentos e processos para dirigir e controlar a empresa para atingir suas metas, agregando valor enquanto considera riscos contra investimentos de TI e seus processos. Os objetivos de controle de TI so definidos como parmetros de um resultado desejado a ser alcanado pela implementao de procedimentos de controle em uma atividade de TI em particular. O controle definido como polticas, procedimentos, prticas e estruturas organizacionais, para garantir que os objetivos do negcio sero atingidos e que eventos no desejveis sero prevenidos ou detectados e corrigidos. O modelo de processo de TI constitudo de quatro processos bsicos de administrao: planejamento e organizao; aquisio e implementao; entrega e suporte; e controle. A entrada deste ciclo a informao sobre os objetivos e estratgias do negcio e os recursos necessrios para a realizao destas atividades, conforme mostra a figura 10:

Figura 10 - Modelo de processos de tecnologia da informao Fonte: COBIT (2005)

O Modelo de governana constitudo por componentes associados, que tornam a TI um habilitador do negcio. Os componentes deste modelo so:

62

Fatores crticos de sucesso (CSFs Critical Success Factors) o que h de mais importante a ser feito para permitir que uma tarefa ou processo sejam concludos.

Indicadores de meta (KGIs Key Goal Indicators) so os parmetros utilizados para reconhecer se o processo alcanou as metas definidas (associadas aos objetivos).

Indicadores de desempenho (KPIs Key Performance Indicators) definem quo bem o desempenho do processo em direo ao que foi definido como objetivo.

J o Modelo de maturidade, de acordo com Gherman (2005), consiste em critrios de avaliao da maturidade dos processos que viabilizam a deciso de investimento nos processos considerados mais importantes para a TI no mbito da instituio. Com este mtodo possvel tambm a realizao de benchmarking da evoluo de TI em relao a outras organizaes do mesmo segmento ou de vrios segmentos. Este mtodo segue o modelo SW-CMM (Capability Maturity Model for Software), modelo de maturidade para o desenvolvimento de software, proposto pelo Software Engineering Institute (SEI).

2.5.3 Outras normas

Como citado no histrico da origem das normas ISO/IEC, existem outros padres que auxiliam a elaborao das polticas de segurana da informao. Marciano (2006) destaca o ITSEC, o Common Criteria e o SANS Institute. O ITSEC Information Technology for Security Evaluation Criteria foi um dos primeiros padres propostos para interoperabilidade de sistemas computacionais com requisitos de segurana, utilizando criptografia de chaves simtricas. O projeto Common Criteria (2007) CC, padronizado com o cdigo ISO/IEC 15408, tem por objetivo servir como referncia para a avaliao de segurana de produtos e sistemas de tecnologia da informao. O foco desse padro est nos desenvolvedores, avaliadores e usurios de sistemas e produtos de TI que requerem segurana.

63

O SANS Institute uma organizao voltada para treinamentos em segurana da informao. Seus guias para a elaborao de polticas de segurana da informao so utilizados como roteiro pelas organizaes.

2.6

Viso do governo em segurana da informao legislao

O assunto Segurana da informao tornou-se prioridade em vrias organizaes, dentre as quais se encontram rgos pblicos federais, estaduais e municipais. Iniciativas no mbito federal e do governo do Estado de Minas Gerais sero destacadas neste estudo. Marciano e Marques (2006, p. 96) chamam a ateno para a Constituio brasileira, que estabelece:
A administrao pblica direta e indireta de qualquer dos Poderes da Unio, dos Estados, do Distrito Federal e dos Municpios obedecer aos princpios de legalidade, impessoalidade, moralidade, publicidade e eficincia [...] (BRASIL, 2007, art. 37)

Os autores destacam que esses princpios so normalmente aplicados nas atividades de administrao, como a gesto de pessoal, de aquisies e de finanas. Porm devem ser aplicados tambm na segurana da informao, tendo em vista que, cada vez mais, essas gestes esto apoiadas por sistemas de informaes e que esses sistemas devem atender ao especificado na Carta Magna: garantia de aderncia aos princpios legais, de ampla utilizao, atendendo aos preceitos morais e ticos, e garantia do acesso amplo s informaes do cidado, estabelecidos no artigo 5. No mbito federal, o Novo Cdigo Civil estendeu a responsabilidade de prejuzo patrimonial do negcio aos administradores, que hoje podem ser responsabilizados financeiramente por prejuzos decorrentes de problemas como vazamento de informaes, indisponibilidade de sistemas e fraudes. Isso muda a relao de responsabilidade dos gestores pblicos com a sociedade e destaca a importncia da gesto e proteo da informao. A Lei n. 9.983/2000 (BRASIL, 2000a) altera o Cdigo Penal e qualifica os crimes eletrnicos contra a

64

Administrao Pblica e a Medida Provisria n. 2200 (em carter definitivo) (BRASIL, 2001c) e estabelece as condies para o reconhecimento da assinatura digital em documentos oficiais. Apesar de aguardar legislao complementar, esta Medida Provisria permite que documentos eletrnicos tenham validade jurdica. Reconhecendo a importncia de proteger o conhecimento cientfico e tecnolgico do Pas, foi criado pela Agncia Brasileira de Inteligncia (ABIN) o Programa Nacional de Proteo do Conhecimento (PNPC). Alm disso, podem-se citar as seguintes iniciativas: a) Decreto 3294/1999 institui o Programa Sociedade da Informao (BRASIL,1999); b) Decreto 3505/2000 institui a Poltica de Segurana e cria o Comit Gestor de Segurana da Informao (BRASIL, 2000a); c) Decreto 3587/2000 estabelece normas para a Infra-Estrutura de Chaves Pblicas do Poder Executivo Federal - ICP-Gov, e d outras providncias (BRASIL, 2000b); d) Decreto 3872/2000 dispe sobre o Comit Gestor da Infra-Estrutura de Chaves Pblicas Brasileira - CG ICP-Brasil, sua Secretaria Executiva, sua Comisso Tcnica Executiva, e d outras providncias (BRASIL, 2001a); e) Decreto 3996/2001 dispe sobre a prestao de servios de certificao digital no mbito da Administrao Pblica Federal (BRASIL, 2001b); f) Medida Provisria n 2.200 - institui a Infra-Estrutura de Chaves Pblicas Brasileira (ICP-Brasil), transforma o Instituto Nacional de Tecnologia da Informao em autarquia, e d outras providncias (BRASIL, 2001c); g) Decreto 4553/2002 dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado, no mbito da Administrao Pblica Federal (BRASIL, 2002);

Em Minas Gerais, o governo segue o modelo federal. Preocupado com as questes ticas e morais de conduta do servidor pblico, editou o Cdigo de Conduta tica do Servidor Pblico e da Alta Administrao Estadual (MINAS GERAIS, 2004b), que, entre outras disposies trata do sigilo da informao. Foram editados tambm os Decretos n. 43.888, que dispe sobre a utilizao de certificao digital no mbito da Administrao Pblica Estadual (MINAS GERAIS, 2004c) e o Decreto n. 43.666, que institui a Poltica de Governana Eletrnica e cria

65

o Comit Executivo de Governana Eletrnica no mbito da Administrao Pblica Estadual (MINAS GERAIS, 2003). Algumas das resolues desse Comit, no que se refere a padronizaes e segurana da informao, so: Resoluo SEPLAG n. 71 dispe sobre padronizao e utilizao dos Servios de Correio Eletrnico Oficial dos rgos e Entidades do Poder Executivo da Administrao Pblica Estadual Direta, Autrquica e Fundacional (SEPLAG, 2003a); Resoluo SEPLAG n. 78 criao do Grupo de Trabalho de Segurana da Informao no mbito do Comit Executivo de Governana Eletrnica (SEPLAG, 2004).

Esse grupo de trabalho contou com a participao de representantes das principais Secretarias de Estado, da Auditoria Geral e da Advocacia Geral. A Prodemge ficou responsvel por elaborar um plano de ao para projetos de segurana da informao no mbito da Administrao Pblica Estadual. A partir deste plano de ao, foram iniciados os projetos de segurana da informao na Secretaria de Estado do Planejamento e Gesto, na Secretaria de Estado da Fazenda e na Prodemge, com a contratao de uma empresa de consultoria especializada em segurana da informao. Desses projetos resultaram, na SEPLAG, as Resolues: Resoluo SEPLAG n. 002 institui o Comit Multidisciplinar de Segurana da Informao da Secretaria de Estado de Planejamento e Gesto (CMSI), e d outras providncias (SEPLAG, 2006b); Resoluo SEPLAG n. 011 institui a Poltica de Segurana da Informao no mbito da Secretaria de Estado de Planejamento e Gesto do Estado de Minas Gerais (SEPLAG, 2006c).

2.7

Conceitos utilizados pelas normas de segurana da informao

consenso das normas da rea que os objetivos gerais da segurana da informao visam preservar a confiabilidade, integridade e disponibilidade da informao. Esse um conceito da antiga ISO/IEC 17799:2000, ABNT (2001).

66

Confidencialidade: garantia de que o acesso informao seja obtido somente por pessoas autorizadas;

Integridade: salvaguarda da exatido e completeza da informao e dos mtodos de processamento;

Disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio.

Smola (2003) acrescenta a esses atributos bsicos de segurana da informao os conceitos de: Autenticidade: garantia de que uma informao, produto ou documento do autor a quem se atribui; Legalidade: garantia de que aes sejam realizadas em conformidade com os preceitos legais vigentes e que seus produtos tenham validade jurdica.

A ABNT (2005), a norma NBR ISO/IEC 17799:2005 amplia o conceito acima, enfatizando mais os resultados da implantao de um ambiente de segurana da informao, quando define que
segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco do negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio. (ABNT, 2005, p. ix).

Toda e qualquer informao que seja um elemento essencial para os negcios de uma organizao deve ser preservada pelo perodo necessrio, de acordo com sua importncia. A informao um bem como qualquer outro, e por isso deve ser tratada como um ativo. Outros conceitos fundamentais no mbito da segurana da informao: Ameaa (threat): causa potencial de um incidente indesejado que, caso se concretize, pode resultar em dano. Aplicao: o mesmo que aplicativo ou sistema. Ataque (Attack): ato ou tentativa de ludibriar os controles de segurana de um sistema. Um ataque pode ser ativo, tendo por resultado a alterao de dados; ou passivo, tendo por resultado a liberao de dados.

67

Ativo (asset): qualquer coisa que tenha valor para um indivduo ou uma organizao: hardware de computadores, equipamentos de rede,

edificaes, software, habilidade de produzir um produto ou fornecer um servio, pessoas, imagem da organizao, etc. Ativo de informao: todo elemento que compe os processos que manipulam e processam a informao, a contar da prpria informao, o meio em que ela armazenada, os equipamentos em que ela manuseada, transportada e descartada. Auditoria: reviso e exame de registros e das atividades do sistema, para confirmar sua consistncia e veracidade. Conformidade: qualidade do que conforme ao estabelecido por diretrizes, normas e regras ou pela legislao vigente; Controle de acesso: conjunto completo de procedimentos executados por hardware, software ou administradores para monitorar o acesso, identificar usurios solicitando acesso, registrar tentativas de acesso e conceder ou impedir acesso com base em regras prestabelecidas. Criptografia: processo de alterar as informaes de arquivos ou programas, por meio de cdigos, chaves especficas, tabela de converso ou algoritmo. Custo: neste trabalho representa a estimativa de valor de gasto para a implementao do controle, considerando os recursos humanos, de material e financeiros. Firewall: sistema composto de software e hardware que protege a fronteira entre duas redes. Fraude: qualquer explorao de sistema de informaes tentando enganar uma organizao ou pessoas, para tomar ou fazer mau uso dos seus recursos. Incidente de segurana (security incident): qualquer evento em curso ou ocorrido que contrarie a poltica de segurana, comprometa a operao do negcio ou cause dano aos ativos da organizao. Impacto: neste trabalho est diretamente relacionado com a mudana positiva na organizao. Tem o sentido de vantagens e benefcios para a

68

organizao na implementao de um controle de segurana da informao.

Proteo: qualquer medida projetada para defender informaes de ataque.

Risco (risk): combinao de probabilidade da concretizao de uma ameaa e suas conseqncias do impacto causado por este evento.

Usurio (na rea pblica): todos aqueles que exeram, ainda que transitoriamente e sem remunerao, por eleio, nomeao, designao, contratao ou qualquer outra forma de investidura ou vnculo, mandato, cargo, emprego ou funo pblica em rgo ou entidade da Administrao Pblica Estadual direta e indireta.

Vulnerabilidade (vulnerability): fragilidade ou limitao de um ativo que pode ser explorada por uma ou mais ameaas.

2.8

Poltica de segurana da informao

Um processo de planejamento de gesto e monitoramento de segurana da informao pode variar muito em uma organizao. Devido aos diferentes estilos, tamanho e estrutura das organizaes, o processo deve se adequar ao ambiente em que ser usado. Na SEPLAG, deu-se nfase aos aspectos relacionados s prticas dos usurios dos recursos informacionais da instituio. Segundo Ramos et al. (2006), uma Poltica de Segurana da Informao (PSI) de uma organizao um conjunto de documentos que descreve quais so os objetivos que todas as atividades ligadas segurana da informao devem atingir. Resume os princpios de segurana da informao da organizao alinhados com o objetivo de negcios e devem estar presentes no dia-a-dia de suas atividades. Segundo os autores as polticas so importantes, porque por meio delas que a estratgia de segurana da informao montada e passada para todas as reas da organizao e demonstram tambm o comprometimento da alta Direo da organizao com a segurana. O desenvolvimento de polticas fundamental em um plano de segurana da informao, pois serve como orientao e d sustentao

69

legal para as aes do plano. Este fator importante, pois a inexistncia de polticas de segurana da informao pode ser considerada negligncia administrativa, caso a organizao seja acionada juridicamente por problemas de segurana da informao que tenham causado danos a terceiros. Escrever uma poltica de segurana da informao envolve comprometimento de diversas reas de interesse e deve ser adotada por todos na organizao, desde a Direo at cada um dos funcionrios, clientes e fornecedores com acesso ao sistema de informao ou que possam de alguma forma comprometer o ativo de informao que est sendo protegido. Segundo a norma ABNT (2005), uma poltica de segurana da informao visa: Prover uma orientao e apoio da direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes. (ABNT, 2005, p. 8). Ou seja, ela prope uma poltica que sistematize um processo a fim de minimizar as preocupaes da direo com a segurana de seus ativos. Segundo Martins, Jos (2003), o maior desafio no elaborar uma poltica de segurana da informao, mas sim garantir que, uma vez elaborada, essa poltica seja seguida pelos funcionrios e que seja atualizada periodicamente para se adaptar s mudanas no ambiente em que as organizaes atuam. Beal (2005) destaca que uma poltica de segurana da informao s ter significado prtico para uma organizao se for divulgada de forma adequada em todos os nveis hierrquicos. Uma vez que todos os envolvidos tenham tomado conhecimento das diretrizes e normas da PSI, deixa de ser admissvel a alegao de desconhecimento das regras existentes como justificativa para sua violao. Marciano (2006) aponta para a necessidade de a poltica de segurana da informao considerar como centro de abordagem o usurio dos ambientes informacionais, pois o que se observa nas polticas das organizaes a predominncia dos aspectos tecnolgicos. Algumas citam a importncia da observao do usurio, mas poucas tratam com profundidade a sua

problematizao, com a abordagem de modelos que tratem das interaes entre os usurios e seu relacionamento com os sistemas. Nesse ponto, o autor destaca que, como a segurana da informao um conceito eminentemente social, pois envolve pessoas e suas interaes com outras pessoas e sistemas de informao, no se conhecem solues meramente tecnolgicas para os problemas sociais.

70

Para a elaborao de uma poltica de segurana da informao, Ramos et al. (2006) e Martins, Jos (2003) destacam diversos itens importantes que devem ser considerados e que sero apresentados a seguir: Identificar os objetivos estratgicos de segurana da informao esses objetivos devem estar alinhados com os negcios da organizao. O alinhamento estratgico contribui para que a segurana seja

implementada de forma eficaz, consumindo recursos que sejam canalizados diretamente para resultados tangveis esperados pela alta direo; Identificar pontos prioritrios de ateno de acordo com sua importncia e relevncia esses pontos prioritrios tambm so afetados pela ausncia de controles e identificao de vulnerabilidades. Uma forma de identificar essas informaes por meio da anlise de risco dos ativos de informao. A anlise de risco , muitas vezes, difcil de ser realizada, por isso uma boa estratgia diminuir o escopo, focando ambientes menores e de maior importncia para a organizao; Relacionar os ativos de informao mais relevantes para serem protegidos e identificar do qu e de quem proteger esses ativos podem ser identificados riscos de ordem natural, como enchentes, ou, mesmo, de disponibilidade do ativo. Uma grande tendncia hoje a proteo dos ativos contra fraudes e espionagem profissional; Definir os principais pontos a serem contemplados na poltica de segurana da informao a viso de proteo das informaes no deve se limitar aos ativos de tecnologia da informao. A internet promoveu mudanas socioeconmicas considerveis no ambiente, o que tem levado as organizaes a se preocuparem com as fraudes e com a proteo do conhecimento organizacional; Definir claramente as responsabilidades das pessoas envolvidas algumas pessoas da organizao possuem responsabilidades legais que independem do desenvolvimento das polticas. Os administradores pblicos se enquadram nesta categoria, por isso devem-se ressaltar nas polticas essas responsabilidades legais, destacando a necessidade de proteo de dados sigilosos. Outras atribuies no so explicitadas na

71

lei, e nesse caso a poltica de segurana da informao tem um papel fundamental ao definir e explicar para os diversos envolvidos quais so suas responsabilidades.

No processo de elaborao da poltica de segurana da informao, devemse considerar diversos aspectos, como os de Ramos et al. (2006) e Martins, Jos (2003), destacados a seguir: Identificar os requisitos de segurana da informao basicamente, existem trs fontes principais de requisitos de segurana da informao (figura 11): a) obtida por meio da anlise/avaliao de riscos para a

organizao; b) obtida a partir da legislao vigente a que a organizao, seus parceiros comerciais e provedores de servio devem atender; c) obtida a partir dos princpios, objetivos e requisitos do negcio.

Figura 11 - Esquema dos requisitos da Poltica de Segurana da Informao Fonte: Ramos (2006, p.95)

Anlise do ambiente de segurana o levantamento peridico dos riscos de segurana da informao, identificando as ameaas e vulnerabilidades.

72

Seleo de controles com os riscos identificados e com as medidas de tratamento desses riscos j providenciadas, necessrio implementar controles que asseguraro a reduo dos riscos em nveis aceitveis.

Os autores destacam tambm a necessidade da preocupao com a qualidade da equipe de profissionais que estar envolvida com o desenvolvimento dos documentos, o que ser essencial para o sucesso da implementao da poltica. As organizaes mudam, e junto com essas mudanas os requisitos do negcio podem alterar. As polticas devem acompanhar essas mudanas sendo atualizadas periodicamente. Portanto, no devem ser vistas como um conjunto esttico de documentos. Martins, Jos (2003) destaca que o processo de manuteno das polticas deve considerar normas de aceite da poltica por parte dos usurios, testes da poltica, por meio da verificao da conformidade das prticas de segurana da informao recomendadas, e reviso das normas e procedimentos em funo das mudanas no ambiente da organizao. Segundo Beal (2005), a garantia de conformidade com a PSI depende de uma avaliao peridica do comportamento dos envolvidos na implementao dos controles, de modo que eventuais desvios possam ser identificados e corrigidos (etapas check e act do PDCA da gesto da segurana da informao). Um ponto importante destacado por Ramos et al. (2006) e Martins, Jos (2003) diz respeito participao, palavra chave para obter a colaborao das pessoas com as medidas adotadas. Medidas de segurana, em geral, so restritivas e normalmente no so entendidas pelas pessoas como importantes para a proteo da informao e da organizao, principalmente porque, quando implantadas, retiram as pessoas de sua zona de conforto, pois modificam as rotinas e hbitos adquiridos.

2.9

A percepo da segurana da informao

Um dos importantes aspectos da anlise da segurana da informao a avaliao de como ela percebida pelas pessoas nas organizaes. Existe um distanciamento entre as expectativas que norteiam as polticas de segurana da

73

informao e a real preparao dos usurios sobre o comportamento voltado segurana. Muitas vezes, as prticas usuais so contrrias s regras estabelecidas pelas normas das polticas de segurana da informao. Um exemplo tpico referese recomendao para a troca peridica das senhas de acesso aos sistemas de informaes. comum, caso o sistema no exija, o usurio permanecer com a mesma senha durante todo o perodo de relacionamento com o sistema, podendo durar anos e, muitas vezes, at dcadas. Outra prtica comum entre os usurios a no realizao peridica de cpias de segurana (backup) dos dados institucionais de posse do usurio, apesar de essa recomendao estar explicitada na maioria das polticas de segurana da informao. Nery (2002) analisa a questo da percepo da segurana da informao dividindo-a em duas dimenses: a avaliao de como a segurana percebida pelos usurios; e a segurana realmente existente, medida de forma tcnica pelos profissionais especialistas no assunto que podem avaliar o nvel real de segurana em um ambiente. Para o autor, uma das maiores dificuldades da segurana corporativa est exatamente em alinhar estas duas vises, que nem sempre so compatveis. Cruzando estas duas vises, o autor define os seguintes quatro cenrios possveis:

Figura 12 - Quadrantes da segurana da Informao Fonte: Nery (2002, p.1)

74

A seguir, uma breve descrio dos quadrantes: Zona da falsa sensao de segurana neste quadrante, enquanto os usurios consideram a segurana atual suficiente, os tcnicos de avaliao das vulnerabilidades detectam um alto grau de vulnerabilidade. Muitas vezes, fraudes acontecem no ambiente e passam despercebidas pelos usurios; Zona do desconhecimento esta zona pode ser verificada em algumas organizaes que, mesmo possuindo sistemas sofisticados de segurana, possuem um quadro de usurios que se sente inseguro; Zona do desconforto quando se tem a percepo mais clara da realidade e as informaes sobre vulnerabilidades so compartilhadas entre os usurios e a equipe tcnica;

Situao desejada o ltimo quadrante exatamente onde as empresas desejam estar. Os usurios esto conscientes da segurana, sentem-se seguros e a rea tcnica implementou os recursos de segurana.

Nesse artigo o autor finaliza propondo aes para chegar ao quadrante de situao desejada, situao quando se inicia a gesto da segurana, definida como a manuteno da situao desejada e promoo de melhorias nos processos, no uso das tecnologias e no relacionamento das pessoas, integrando a participao dos diversos profissionais da organizao: usurios, executivos e tcnicos de tecnologia da informao. A abordagem descrita em que se observam as diferenciaes entre a segurana percebida e a segurana real, muito utilizada como instrumento para aferir o risco na organizao e estabelecer planos de aes para atingir a situao desejada. O aspecto da percepo dos usurios em relao segurana da informao deve ser estudado no campo da psicologia comportamental. Nesse contexto, a percepo pode ser definida como: o processo pelo qual os indivduos organizam e interpretam suas impresses sensoriais, com a finalidade de prover sentido ao ambiente que os rodeia (MARCIANO, 2006, p. 181). Marciano (2006) destaca que diversos fatores influenciam a percepo e, s vezes, distorcem-na. Esses fatores podem estar no observador, no objeto alvo da percepo ou no contexto ou situao em que a percepo ocorre. O observador, ao

75

mirar um alvo e interpretar o que est observando, pode ser influenciado por necessidades insatisfeitas, interesses e experincias passadas, podendo anular e distorcer a percepo, fazendo com que se veja aquilo que se espera ver. O objeto ou alvo que se est observando pode ser percebido dependendo de estarem dispostos prximos ou separados, em destaque aos olhos do observador ou relacionados com o contexto em que apresentado. O contexto (ou situao) no qual se percebe o objeto influencia consideravelmente a percepo, uma vez que os elementos que fazem parte do ambiente caracterizam o fenmeno que percebido. Ainda de acordo com o autor, o passo seguinte percepo a tomada de deciso por parte das pessoas. No que se refere segurana da informao, antes de se gastar com polticas de segurana da informao, deve-se avaliar se os usurios estariam propensos a seguir as regras estabelecidas nessas polticas. O autor coloca algumas indagaes:

At que ponto as pessoas esto dispostas a trocar a comodidade com a qual esto acostumadas a utilizar os sistemas de informao pelo desconforto de utilizar procedimentos de segurana?

Qual o grau de aceitao em trocar o comportamento corriqueiro por obedincia s regras estabelecidas nas polticas de segurana da informao?

A mera alegao do aumento de segurana suficiente para obter a aceitao dos usurios?

Qual o nvel exigido de comprometimento da organizao em relao s polticas de segurana da informao?

Essas indagaes podem ser objetos de pesquisas especficas nas organizaes e demonstram o quanto o fator humano, envolvendo os aspectos psicolgicos da percepo e os aspectos ticos, deve ser considerado na elaborao de polticas de segurana da informao. No presente estudo, o que se pretendeu verificar foi o nvel de conformidade das prticas dos usurios na situao por eles vivenciada com a Poltica de Segurana da Informao da instituio pesquisada.

76

METODOLOGIA DE TRABALHO

Segundo Marconi e Lakatos (1983), a metodologia da pesquisa em uma atividade de planejamento representa o conjunto detalhado e seqencial de mtodos e tcnicas cientficas a serem executados ao longo da pesquisa, de tal modo que se consiga atingir os objetivos inicialmente propostos e, ao mesmo tempo, atender aos critrios de menor custo, maior rapidez, maior eficcia e mais confiabilidade de informao.

3.1

Classificao da pesquisa

Com apoio em Diehl e Tatim (2004), ser utilizado nesta pesquisa, conforme as bases lgicas de investigao, o mtodo de abordagem hipottico-dedutivo. Segundo a abordagem do problema, ser uma pesquisa quantitativa, pois as opinies e informaes foram traduzidas em nmeros, os quais foram classificados para posterior anlise por meio de recursos e de tcnicas estatsticas. Esta pesquisa um estudo de natureza exploratria e descritiva. exploratria, pois se fundamenta na idia principal: aumentar a base de conhecimento sobre o objeto proposto e, alm disso, possibilitar o aprofundamento de trabalhos posteriores. Gil (1999) confirma tal pensamento quando assegura que pesquisas exploratrias tm como principal finalidade desenvolver, estabelecer e modificar conceitos e idias, tendo em vista a formulao de problemas mais precisos ou hipteses pesquisveis para estudos posteriores (GIL, 1999, p. 43). Segundo o objetivo geral, ser uma pesquisa descritiva, porque, segundo Gil (1999), visa descrever caractersticas de uma determinada populao ou fenmeno, podendo ser includas nesta as pesquisas com o objetivo de levantar opinies, prticas, atitudes e crenas de uma populao. No caso desta pesquisa, visa analisar as prticas dos usurios em relao s regras estabelecidas pela poltica de segurana da informao da SEPLAG. Segundo o seu propsito, ser uma pesquisa diagnstico, caracterizada no ambiente organizacional da SEPLAG.

77

De acordo com Lakatos (1981), citado por Lakatos e Marconi (1991), em um estudo confrontando as regras estabelecidas pelas normas da poltica de segurana de informao da SEPLAG e as prticas dos usurios em relao s regras, o mtodo de procedimento pode ser caracterizado como tipolgico, pois se tratou da comparao de um tipo ideal para compreenso do caso analisado.

3.2

Universo e amostra

O universo da pesquisa considerado contemplou os usurios cadastrados do Sistema Integrado de Administrao de Materiais e Servios (SIAD) lotados na SEPLAG. De acordo com a relao de usurios fornecida pelo administrador de acesso ao sistema, totalizavam 476 pessoas. Dessa relao foram retirados os usurios que deixaram de acessar o sistema mas permaneciam no cadastro de usurios e aqueles do interior, em funo da dificuldade de acesso a eles. Dessa forma, a populao (universo) considerada para clculo da amostra foi de 307 usurios do SIAD lotados na SEPLAG, na capital, de diversos tipos, desde os que tm autorizao para atualizar o sistema at os que somente consultam e utilizam a informao processada para realizao de suas atividades. De acordo com Gil (2002), quando uma amostra rigorosamente selecionada, os resultados obtidos no levantamento tendem a aproximar-se bastante dos que seriam obtidos caso fosse possvel pesquisar todos os elementos do universo (GIL, 2002, p. 121). A amostra foi extrada dessa populao utilizando-se das tcnicas de definio do tamanho da amostra por extrato da populao. Dessa forma, foi calculada por meio da tcnica da amostragem aleatria simples, conhecida tambm por amostragem casual, ou randmica, ou acidental. Esta tcnica consiste, basicamente, em identificar cada elemento da populao com um nico nmero e selecionar alguns desses elementos de maneira casual. O tamanho da amostra foi calculado pela frmula de Stevenson (1981), que considera o grau de confiana desejado, a quantidade de disperso entre os valores individuais da populao e certa quantidade especfica de erro tolervel.

78

A frmula utilizada para o clculo do tamanho da amostra no caso de populaes finitas foi: z2 (x / n) [ 1 (x / n) ] (N) (N 1) e2 + z2 (x / n) [1 (x /n)]

n=

Em que: n = tamanho da amostra a ser calculada; x = nmero de itens na amostra; z = varivel reduzida normal que define o nvel de confiana na amostragem, para um nvel de confiana de 95% o valor tabelado = 1,96; x/n = proporo amostral o intervalo de confiana para uma proporo mximo quando x/n = 0,50; N = tamanho da populao que ser igual a 307; e e = erro de amostragem que ser arbitrado em 10%. Dessa forma: 1,962 (0,50) [ 1 0,50 ] (307) (307 1) 0,102 + 1,962 (0,50) [1 0,50]

n=

n=

294,8428 4,02

n=

73,3439

Portanto a amostra constituda foi de 74 pessoas.

3.3

Coleta de dados

De acordo com Marconi e Lakatos (1983), preciso traar um modelo conceitual e operativo da pesquisa para analisar os fatos do ponto de vista emprico.

79

3.3.1 Procedimento tcnico

De acordo com Diehl e Tatim (2004) foram utilizados nesta pesquisa, segundo o procedimento tcnico, os seguintes instrumentos de pesquisa: Pesquisa bibliogrfica buscaram-se novos conhecimentos no que se refere gesto da segurana da informao, pesquisas correlatas e polticas de segurana da informao que davam nfase nas pessoas; Pesquisa documental na legislao existente sobre a adequao das instituies pblicas s questes de segurana da informao e s atualizaes de normas internacionais e regulamentos sobre

segurana da informao; Pesquisa de levantamento foi realizado um levantamento com os usurios do Sistema de Integrado de Administrao de Materiais e Servios lotados na SEPLAG, por meio de questionrio de pesquisa, divididos em dois quadros (APNDICE A, p. 98). Estes questionrios foram entregues, em mo, aos usurios do sistema SIAD encarregados de preench-los e devolv-los ao autor desta pesquisa para tabulao.

importante destacar que o levantamento, ao ser dirigido aos funcionrios da SEPLAG usurios do SIAD, reflete somente as prticas desses em relao s regras de segurana da informao estabelecidas pela poltica de segurana da informao da SEPLAG, no podendo ser estendido para toda a organizao.

3.3.2 Formulrio da pesquisa

O formulrio de pesquisa utilizado foi o questionrio (APNDICE A, p. 98), que, de acordo Lakatos e Marconi (1991), tem as seguintes vantagens: menores gastos com pessoal, pois no exige o treinamento de pesquisadores; anonimato das respostas;

80

obtm respostas mais rpidas e mais precisas; e h mais uniformidade na avaliao, em virtude da natureza impessoal do instrumento. O questionrio abrangeu dois quadros, os quais procuraram atingir os objetivos da pesquisa. Ao verificar as prticas adotadas pelos usurios do SIAD quanto aos itens extrados das regras e recomendaes estabelecidas pelas normas da poltica de segurana da informao da SEPLAG, o quadro 2 do questionrio de pesquisa (APNDICE A, p. 100) por objetivos identificar as prticas de segurana da informao dos usurios do SIAD e avaliar a efetividade da poltica de segurana da informao da SEPLAG. As justificativas apresentadas pelos usurios, depois de compiladas, serviram para explicar o porqu das prticas de segurana da informao identificadas.

3.3.3 Realizao do pr-teste

A realizao de um pr-teste fundamental para se saber como o instrumento de coleta de dados se comporta em uma situao real. Um pr-teste deve ser capaz de evidenciar possveis falhas na redao do questionrio, tais como: complexidade das questes, impreciso da redao, desnecessidade das questes, constrangimentos ao informante, exausto, etc. (GIL, 1999, p. 137). Dessa forma, aplicou-se o pr-teste em 10 usurios do sistema, para verificar a adequabilidade e o grau de entendimento dos usurios do sistema integrado de administrao de materiais e servios da SEPLAG em relao ao questionrio de pesquisa. Nenhuma observao foi apresentada por esses usurios que foram considerados como parte da amostra selecionada para analise.

3.4

Apurao dos dados

Os dados do quadro 1 do questionrio da pesquisa (APNDICE A, p. 99) foram apurados por meio do clculo percentual de cada item da coluna do quadro,

81

variando de Discorda totalmente (DT) a Concorda totalmente (CT), para cada uma das oito questes levantadas. Dessa forma, verificou-se a opinio do usurio do SIAD em relao poltica de segurana da informao da SEPLAG. Os dados do quadro 2 do questionrio de pesquisa (APNDICE A, p. 100) foram tabulados considerando o percentual de distribuio de cada questo levantada de acordo com as prticas adotadas pelo usurio do SIAD para cada uma das situaes apresentadas. Foi apurada tambm a mdia de notas para cada questo avaliada. A conveno adotada para apurao da pontuao foi a seguinte: a) Para as questes 2.1, 2.2, 2.3, 2.7, 2.9, 2.11, 2.12, 2.15 e 2.20, a nota foi: nota 1 (Nunca), nota 2 (Raramente), nota 3 (s vezes), nota 4 (Freqentemente), nota 5 (Sempre). b) Para as questes 2.4, 2.5, 2.6, 2.8, 2.10, 2.13, 2.14, 2.16, 2.17, 2.18 e 2.19, a nota foi: nota 5 (Nunca), nota 4 (Raramente), nota 3 (s vezes), nota 2 (Freqentemente), nota 1 (Sempre), visto que as mesmas foram colocadas no formulrio de pesquisa em sentido oposto ao recomendado pela poltica de segurana da informao da SEPLAG.

Ao final, foi apurada a mdia geral (MGij), por meio da mdia das notas atribudas para toda a amostra em todas as questes e o ndice geral (IPij). Esse ndice, numa escala de 0 a 1, representa o grau de conformidade dos usurios do SIAD da SEPLAG s regras estabelecidas pela poltica de segurana da informao.

MGij =
Em que:

N ij

i j

MGij = Mdia geral dos usurios SIAD; N = nota obtida (variando de 1 a 5); i = nmero de questes levantadas = 20; e j = nmero de respondentes.

82

N IPij = Em que:

ij

5i j

IPij = ndice de prticas de segurana da informao em conformidade com a PSI N = nota obtida (variando de 1 a 5); i = nmero de questes levantadas = 20; e j = nmero de respondentes. As informaes abertas foram compiladas e serviram para ajudar no entendimento das prticas que os usurios do Sistema Integrado de Administrao de Materiais e Servios da SEPLAG tm em relao segurana da informao. O ndice de retorno dos questionrios distribudos foi praticamente de 100%. Da amostra calculada de 74 usurios a serem pesquisados, foram distribudos 76 questionrios, e o retorno foi de 74 questionrios. Esse alto ndice de retorno pode ser explicado pelo empenho do pesquisador, que entregou em mo a cada um dos usurios do SIAD, explicando o foco acadmico da pesquisa, o anonimato dos usurios, a importncia do preenchimento dos campos do questionrio e da justificativa, o prazo curto para a realizao da pesquisa e a indicao de como proceder para o envio do questionrio preenchido. Alm disso, contribuiu para esse ndice o fato de a pesquisa se restringir aos usurios do SIAD lotados na SEPLAG, na capital, nos prdios I (Rua Thomaz Gonzaga) e II (Rua Bernardo Guimares).

83

APRESENTAO E ANLISE DOS DADOS

De acordo com Gil (1999), a anlise tem por objetivo organizar e sumarizar os dados, de forma a possibilitar o fornecimento de respostas ao problema proposto para investigao. Ao analisar o quadro I do questionrio de pesquisa (APNDICE A, p. 99), que foi montado com o objetivo de obter a opinio dos usurios do SIAD sobre a Poltica de Segurana de Informao da SEPLAG (PSI), considerando os dados apurados e apresentados nas figuras 13, 14 e 15, demonstra-se que os gestores de segurana da informao realizaram um bom trabalho em relao PSI. Existe um bom ndice de conhecimento da PSI: Concordam totalmente, 48,6% e Concordam parcialmente, 43,2%. Consideram essa poltica boa: Concordam totalmente, 35,1% e Concordam parcialmente, 43,2%. O treinamento, pelo menos para os usurios pesquisados (prdios I e II da SEPLAG, na capital), foi abrangente: Concordam totalmente, 56,8% e Concordam parcialmente, 18,9%.

Figura 13 - Questo 1 - Tenho conhecimento sobre a poltica de segurana da informao da SEPLAG

84

Figura 14 - Questo 3 - A SEPLAG tem uma boa poltica de segurana da informao no sentido de minimizar as ameaas aos sistemas de informao

Figura 15 - Questo 2 - Participei do treinamento de apresentao da poltica de segurana da informao da SEPLAG

Esses dados apresentados nas figuras 14 e 15 confirmam que a SEPLAG atende ao recomendado pela ABNT (2005), a norma ISO/IEC 17799, de que a poltica de segurana da informao deve ser comunicada para os usurios de forma que seja relevante, acessvel e compreensvel para o leitor. Beal (2005) lembra que uma poltica de segurana da informao s ter significado prtico para uma organizao se for divulgada de forma adequada em todos os nveis hierrquicos (os usurios pesquisados atuam nos diversos nveis da SEPLAG). Segundo a autora, uma vez que todos os envolvidos tenham tomado conhecimento das diretrizes e

85

normas da PSI, deixa de ser admissvel a alegao de desconhecimento das regras existentes como justificativa para sua violao. Na questo aberta destinada s manifestaes livres sobre a PSI, alguns usurios destacaram a necessidade de maior constncia e destaque nos eventos de divulgao da PSI ao afirmarem:
Acho que deveria haver mais reunies da PSI, pois o povo esquece muito rpido as coisas. muito importante a Poltica de Segurana da Informao e Embora a segurana da informao seja necessria e serve de proteo a todos, muitos no se do conta disso e, com certeza, logo ser esquecida (APNDICE B, p. 102).

Essa preocupao citada por diversos autores (FONTES, 2006; RAMOS et al, 2006; BEAL, 2005; SMOLA, 2003) ao darem nfase nas campanhas de divulgao e conscientizao, que devem ser peridicas nas organizaes, sendo que Smola (2003) sugere at a criao de um evento anual na organizao, como a Semana da segurana da informao. Os usurios do SIAD consideram importante a segurana da informao. No a vem como um modismo (figura 16). Entendem que a informao no deve circular livremente na organizao (figura 17). Ao se defrontarem com as afirmativas, na primeira, Discordaram totalmente, 59,5% e Discordam parcialmente, 18,9% de que a segurana da informao seria um modismo e que logo seria esquecida; e na segunda, Discordaram totalmente, 44,6% e Discordam parcialmente, 16,2% de que no ambiente organizacional da SEPLAG a informao deveria circular livremente sem controles.

Figura 16 - Questo 5 - A segurana da informao um modismo que logo ser esquecido.

86

Figura 17 - Questo 8 - No ambiente organizacional da SEPLAG a informao deve circular livremente, sem controles.

Esses dados confirmam o processo de conscientizao da maioria dos usurios do SIAD em relao importncia da segurana da informao na organizao. Os diversos autores pesquisados (SMOLA, 2003; BEAL, 2005; FONTES, 2006) destacam a importncia de o usurio estar consciente e de internalizar o conceito de proteo da informao. A figura 18 apresenta o resultado da questo levantada sobre a rigidez dos controles da poltica de segurana da informao. Houve uma distribuio polarizando entre os que discordam da afirmativa, 37,9% e os que concordam, 48,6%.

Figura 18 - Questo 4 - O controle da segurana da informao da SEPLAG muito rgido e dificulta o trabalho dos usurios dos sistemas de informao

87

Na questo aberta, pde-se observar essa polarizao nas manifestaes de alguns usurios transcritas a seguir:
Na SEPLAG no h controle, h vigilncia. Controle diz respeito a gesto, responsabilidade. Controle diz respeito a falta de competncia para gerenciar; O controle em todos os equipamentos uma meta muito difcil de ser alcanada; O controle feito pela SEPLAG no consegue ser 100% efetivo. Imagino que seja por falta de uma tecnologia mais avanada dos equipamentos utilizados (APNDICE B, p. 102).

Os percentuais apresentados na figura 19 chamam a ateno para a inadequao da PSI realidade do dia-a-dia da SEPLAG. Os gestores de segurana da informao da organizao devem preocupar-se em buscar elementos que permitam o alinhamento da PSI com a realidade dos trabalhos dos usurios dos sistemas de informao. Os usurios do SIAD destacam essa dissintonia quando 37,8% Concordam totalmente e o mesmo percentual Concorda parcialmente com a afirmativa que a realidade do dia-a-dia da SEPLAG diferente do que diz a PSI.

Figura 19 - Questo 6 - A realidade do dia-a-dia da SEPLAG diferente do que diz a poltica de segurana

Com relao ao demonstrado na figura 19, importante confrontar com a opinio dos usurios em relao qualidade da PSI. Na figura 14, o percentual de usurios que consideram a PSI da SEPLAG boa de 78,3% e o percentual de usurios que consideram a PSI diferente da realidade do dia-a-dia de 75,6%. Ao fazer o cruzamento dessas duas questes (tabela 1, abaixo), verifica-se que, de

88

acordo com a zona sombreada, 66,2% dos usurios que acham a PSI boa acham que ela diferente da realidade do dia-a-dia da SEPLAG.

Tabela 1 Cruzamento das questes: A realidade do dia-a-dia diferente da PSI versus A qualidade da PSI da SEPLAG
A realidade do diaa-dia diferente da PSI Concordo totalmente Concordo parcialmente Indiferente Discorda parcialmente Discorda totalmente Total 35,1% A PSI da SEPLAG boa Concordo Discorda Discorda parcialmente Indiferente parcialmente totalmente 8,1% 2,7% 23,0% 6,8% 4,1% 1,4% 43,2% 10,8% 1,4% 8,1% 2,7% 2,7% 2,7% 8,1% 4,1%

Concordo totalmente 27,0% 8,1%

Total 37,8% 37,8% 14,9% 4,1% 5,4% 100,0%

Essa anlise pode indicar que, apesar de a abordagem sobre o assunto tratado nas normas da PSI serem adequadas, apresentam-se incompletas em relao amplitude dos assuntos abordados. No espao aberto aos usurios no questionrio, podem-se colher as seguintes manifestaes:
Considero que a PSI da SEPLAG ainda incipiente, mas trata-se de uma iniciativa louvvel e que vem sendo aperfeioada; No acredito que a SEPLAG atualiza os antivrus freqentemente e tambm no obriga as pessoas a mudarem de senhas freqentemente; e A SEPLAG oferece os instrumentos para a prtica da PSI, porm a realidade do dia-a-dia diferente. Existe certa resistncia por parte do funcionrio e tambm um costume Ex. existe Office boy operando o sistema (APNDICE B, p. 102).

Um ponto observado que consta nas diretrizes (SEPLAG, 2006a), mas no consta nas normas da PSI em relao classificao da informao. Smola (2003) destaca que a norma de classificao da informao fator crtico de sucesso, pois descreve os critrios necessrios, sinalizando a importncia e o valor das informaes, premissa fundamental para a elaborao de todas as demais normas. Conhecendo o que necessrio ser protegido, fica mais claro para o usurio como se comportar diante de situaes que possam ameaar o ativo informacional da organizao. Ao serem questionados se a SEPLAG oferece os instrumentos (meios) para a prtica da poltica de segurana da informao, os usurios se posicionaram com

89

tendncias a concordarem com o fornecimento desses meios, 52,7% para a prtica da PSI. A figura 20 apresenta esses dados.

Figura 20 - Questo 7 - A SEPLAG oferece os instrumentos (meios) para a prtica da poltica de segurana da informao.

No espao dedicado a comentrios adicionais, alguns usurios destacaram a importncia da PSI como uma iniciativa louvvel da SEPLAG, porm consideraram a PSI incipiente, sendo necessrio aprimor-la, principalmente para refletir a realidade do dia-a-dia da organizao. Outro ponto destacado foi a necessidade de divulgao constante para que a PSI no seja esquecida e de uma maior conscientizao dos usurios, principalmente sobre o uso adequado de senhas. O quadro 2 do questionrio de pesquisa (APNDICE A, p.100) foi montado com questes extradas das regras estabelecidas pelas trs normas de usurio publicadas da poltica de segurana da informao com o objetivo de mapear as prticas de segurana da informao adotadas pelos usurios do SIAD: Norma de utilizao da estao de trabalho: questes de 1 at 810 Norma de utilizao da internet: questes de 10 a 14 Norma de utilizao de senhas: questes de 15 a 19

A figura 21 apresenta a mdia da pontuao apurada das questes relacionadas com a norma de utilizao da estao de trabalho. A mdia geral das
10

A questo 4 foi elaborada a partir da composio da regra da norma utilizao da internet (fazer download) e da regra da norma utilizao da estao de trabalho (instalao de software). A questo 9 foi extrada da Resoluo 011, que instituiu a PSI e estabeleceu as diretrizes (ANEXO B, p. 124).

90

questes relacionadas com essa norma foi de 3,89. O ndice de conformidade das prticas dos usurios do SIAD com essa norma da PSI equivale a 0,778. Esse ndice mostra uma tendncia positiva de conformidade das prticas dos usurios com a PSI, embora no possa se enquadrar como excelente (ndice acima de 0,90).

Figura 21 Mdia das notas dos usurios para a norma utilizao de estao de trabalho

A questo referente ao backup de dados sigilosos da SEPLAG apresentou a menor pontuao: 2,24. Como pode ser observado na figura 22, a maioria dos usurios respondeu que Nunca realizam backup, 33,8 % ou Raramente, 31,1%.

91

Figura 22 - Questo 7/Quadro 2 - Realizo cpia de segurana (backup) dos dados da SEPLAG que se encontram na minha estao de trabalho.

Fontes (2006) lembra que a informao tem uma forte caracterstica: se for destruda e no existir uma cpia, nunca mais ser recuperada. Essa caracterstica ressalta a importncia da realizao peridica das cpias de segurana dos dados das estaes de trabalho, servidores e demais equipamentos da organizao. As cpias de segurana (backup) dos servidores e equipamentos de grande porte das organizaes so normalmente realizadas pelos tcnicos da rea responsvel pelo ambiente de tecnologia. Nas estaes de trabalho, a cpia de segurana exige que o usurio tome uma ao. Fontes (2006) recomenda que as cpias sejam feitas nos discos de rede localizados no servidor ou em um disquete ou CD. O autor destaca que antes de realizar a cpia necessrio avaliar a informao em relao sua criticidade e somente fazer a cpia das informaes necessrias. A figura 23 mostra a mdia da pontuao apurada das questes relacionadas com a norma de utilizao da internet. A mdia geral das questes relacionadas com essa norma foi de 3,98. O ndice de conformidade das prticas dos usurios do SIAD com essa norma da PSI, de 0,796, no pode ser considerado excelente (ndice acima de 0,90), mas apenas bom. Na figura 23, a questo referente transferncia de arquivos sigilosos da SEPLAG com o uso de senha teve uma pontuao abaixo da mdia (2,82). Essa foi mal formulada ou mal compreendida pelos pesquisados. A inteno da pergunta Quando transfiro arquivos com dados sigilosos da SEPLAG pela internet, utilizo senhas? era identificar se prtica entre os usurios do SIAD utilizar senhas na

92

transferncia de arquivos sigilosos da SEPLAG. Muitos responderam que nunca realizam essa tarefa (transferncia de arquivos com dados sigilosos), marcando a opo Nunca do questionrio de pesquisa (APNDICE A, p. 101), informando que essa atividade restrita s chefias. Dessa forma, a apurao da mdia da pontuao foi afetada por esse comportamento. No computo do ndice geral, essa questo (12) do questionrio de pesquisa (APNDICE A, p. 101) foi expurgada, juntamente com as questes 4, 13 e 14 (prticas impedidas de forma automtica pelos administradores de TI da SEPLAG).

Figura 23 - Mdia das notas dos usurios para a norma utilizao da internet

A figura 24 apresenta a mdia da pontuao das questes relacionadas com a norma de utilizao de senhas. Apesar de diversos comentrios feitos apontarem o hbito de emprestar a senha de acesso para o colega, seja em ocasies de frias, ausncia ou por outro motivo, a mdia dessa questo foi alta: 4,11. Essa prtica foi relatada por diversos usurios pesquisados no questionrio e em viva voz para o pesquisador. Alguns exemplos:
Para grupo muitssimo restrito. Apenas pessoas de inteira confiana; Somente para pessoa de confiana onde compartilho os mesmos tipos de servio; Pessoas de confiana; Ao meu estagirio; Mas minhas chefas fazem isso. Para mim...; Infelizmente vejo muita gente que sabe a senha dos outros; Apenas para pessoal da minha coordenao; e Somente a pessoas indicadas para substituio (frias) (APNDICE B, p.112).

93

Apesar desses relatos, o ndice de conformidade das prticas dos usurios do SIAD com essa norma da PSI, de 0,822, foi o maior de todos obtidos para as demais normas e pode ser considerado bom.

Figura 24 - Mdia das notas dos usurios para a norma utilizao de senhas

O espao deixado para justificativa da resposta foi muito importante para o usurio se manifestar e principalmente para identificar alguns procedimentos que foram automatizados pelos gestores de segurana da informao da SEPLAG com vistas a evitar comportamentos contrrios s recomendaes da norma de usurio da PSI. Dessa forma, verificou-se que para a maioria dos usurios os seguintes itens so bloqueados: Instalao de softwares baixados da Internet na estao de trabalho (questo 4); Utilizao de software de comunicao instantnea ICQ, Messenger, etc. (questo 12) Utilizao de salas de bate papo (chats) atravs da estao de trabalho (questo 13).

Tambm foi possvel identificar que poucas pessoas transferem arquivos com dados sigilosos da SEPLAG pela internet (questo 14). Essa questo foi mal compreendida pelos usurios pesquisados.

94

Considerando essas colocaes, o clculo do ndice de prticas de segurana da informao em conformidade com a PSI foi realizado conforme o definido no item 3.4 - Apurao dos Dados do captulo 3 Metodologia, expurgando as mdias apuradas nas questes 4, 12, 13 e 14, para evitar uma contaminao do ndice. A figura 25 mostra as questes do quadro 2 do questionrio de pesquisa (APNDICE A, p. 100) com suas mdias apuradas de acordo com a metodologia da pesquisa (com as questes expurgadas). Observa-se que, em geral, as mdias apuradas se encontram acima de 3,00 (mdia da pontuao, mxima igual a 5 e mnima igual a 1), caracterizando que para as situaes apresentadas os usurios do SIAD praticam as regras estabelecidas pela poltica de segurana da informao.

Figura 25 - Mdias apuradas das questes pesquisadas com os usurios do SIAD

Como se pode observar, a mdia geral das prticas dos usurios do SIAD est em conformidade com a PSI, j expurgadas as questes 4, 12, 13 e 14 de 3,89. Isso representa um ndice geral de 0,778, o que demonstra uma tendncia positiva de adoo das prticas de segurana da informao, embora no se enquadre no nvel de excelente (acima de 0,90). A questo que apresentou a maior mdia, 4,85, relaciona-se com o hbito das pessoas de desligarem os equipamentos ao final do expediente. Foi seguida de

95

situaes representando outras prticas que demonstram o compromisso dos usurios com o ambiente organizacional: utilizao de jogos na estao de trabalho, 4,53; respeito aos direitos autorais e outros quando utilizando a internet, 4,50; e acesso rede corporativa utilizando senha de terceiros, 4,48. A menor mdia foi encontrada na questo que apresenta a situao de execuo de backup dos dados sigilosos da SEPLAG que se encontram na estao de trabalho: 2,24. Na figura 25, tambm apresentaram mdias baixas as questes referentes utilizao da internet da SEPLAG para assuntos particulares, 3,12, e o compartilhamento de pastas sem o uso de senhas, 3,23. As informaes apresentadas nas justificativas das respostas pelos usurios destacam que a utilizao da internet para assuntos particulares prtica comum na SEPLAG, principalmente nos intervalos de lanche e almoo. Algumas justificativas, dentre vrias apresentadas pelos pesquisados, extradas do questionrio de pesquisa:
Consulto trabalhos e e-mails da faculdade; A realidade da organizao demonstra que isso prtica constante. Sempre que o funcionrio possui tempo ocioso; Leio jornais, acesso e-mail particular, fao compras. No entanto no nada que prejudique minhas metas de trabalho; Necessidade de ficar bem informado sobre tudo; No meu horrio de almoo; Consulto sites de acordo com a minha necessidade de informao; Consultas em banco; e Para pagamento de contas, uso de e-mail pessoal, etc. (APNDICE B, p. 106).

Esse comportamento pode ser considerado comum nas organizaes. De acordo com Fontes (2006), no caso do banco eletrnico, a utilizao da internet pode ser muito mais produtiva e segura do que o deslocamento fsico a uma agncia da instituio financeira. O compartilhamento de pastas sem o uso de senhas tambm prtica comum entre os usurios. Inclusive, recomendada pelas chefias para o bom andamento do trabalho das reas, que desconhecem a vulnerabilidade dessa prtica. Algumas justificativas citadas pelos usurios:
Os computadores do setor so compartilhados com a equipe; Nessa diretoria existem pastas especficas que so compartilhadas; Compartilho com minha chefa; e Algumas pastas so compartilhadas sem senha devido ao grande nmero de usurios que as acessam (APNDICE B, p. 111).

96

CONCLUSES E RECOMENDAES

De acordo com Lakatos e Marconi (1991), a concluso deve evidenciar as conquistas que o estudo alcanou; indicar as limitaes do estudo e as reconsideraes; apontar a relao entre os fatos verificados e a teoria; e representar uma smula, em que os argumentos, fatos, hipteses, teorias se unem e se completam. Este trabalho teve por objetivo verificar se os usurios do Sistema Integrado de Administrao de Materiais e Servios, no mbito dos funcionrios da SEPLAG, praticam as regras estabelecidas pelas normas da poltica de segurana da informao . Para alcanar esse objetivo, buscou-se conhecer as prticas dos usurios mediante a tabulao dos dados de um questionrio com questes extradas das regras de trs normas de usurios publicadas da poltica de segurana da informao da SEPLAG (utilizao da estao de trabalho, da internet e de senhas). Buscou-se tambm conhecer a opinio dos usurios em relao poltica de segurana da informao, ao princpio da livre circulao da informao e restrio pelos procedimentos de segurana da informao. Ao se pautar nas regras estabelecidas pela PSI, essa abordagem trouxe no seu bojo uma limitao da pesquisa; ou seja, deu grande nfase s prticas relacionadas tecnologia da informao, deixando de abordar a segurana da informao no seu contexto cotidiano, como documentos deixados sobre as mesas, conversas sobre assuntos sigilosos em locais pblicos, informaes pessoais passadas por telefone ou, mesmo, o e-mail, uma ferramenta tecnolgica muito utilizada nos dias de hoje. Os resultados obtidos por intermdio da pesquisa indicam que os usurios compreendem a importncia da proteo da informao por meio de uma poltica de segurana da informao, conhecem a poltica e a consideram de boa qualidade, porm acham que a realidade do dia-a-dia diferente do que trata a poltica, indicando uma possvel incompletude na abrangncia dos assuntos relacionados proteo da informao. Essa incompletude pode ser percebida na reviso da literatura, quando os autores pesquisados apresentam as preocupaes que as organizaes devem ter com os aspectos no tecnolgicos da segurana da

97

informao. Aspectos voltados para o contexto humano, social e profissional das instituies. Mesmo nos aspectos tecnolgicos, falta PSI da SEPLAG uma abordagem para o tratamento a ser dado aos e-mails da instituio. Essa importante ferramenta de comunicao tambm a porta de entrada das maiores vulnerabilidades dos sistemas e pessoas de uma organizao. Deveria existir uma norma especfica sobre a utilizao do e-mail institucional e pessoal. A hiptese levantada de que os usurios do SIAD lotados na SEPLAG praticam a maioria das regras e recomendaes estabelecidas pelas normas da poltica de segurana da informao foi confirmada pela apurao da mdia geral, que, mesmo aps os expurgos realizados, foi de 3,89 (figura 25), acima da mdia da pontuao (mdia igual a 3,0), representando um ndice de prticas de segurana da informao em conformidade com a PSI de 0,778, que pode ser considerado um bom indicador. Os objetivos estabelecidos pela pesquisa foram atingidos, pois para o universo pesquisado usurios do SIAD foi possvel verificar as suas prticas em relao segurana da informao, delineadas por meio da poltica de segurana da informao da SEPLAG (objetivo geral); obter a opinio deles em relao PSI; investigar o seu nvel de conhecimento em relao PSI; identificar as prticas de segurana da informao; e identificar o grau de conformidade de suas prticas com a as regras e recomendaes contidas na PSI (objetivos especficos). As recomendaes desse estudo so dirigidas aos gestores de segurana da informao da SEPLAG, que podem melhorar o contedo da PSI ao investigarem, por meio de outros instrumentos (grupo focal, ou entrevistas), porque a maioria dos usurios, mesmo achando a PSI de boa qualidade, apontou para o problema da dissintonia da poltica em relao realidade do dia-a-dia de trabalho. importante tambm atentar para alguns comentrios feitos sobre o uso de senhas emprestadas e as sugestes para divulgarem mais a PSI com eventos peridicos para que ela no seja esquecida. No processo de reviso e atualizao da PSI, seria importante acrescentar orientaes de segurana da informao fora do mbito tecnolgico, destacando a importncia dos aspectos sociais do usurio dos sistemas de informao. A pessoa humana um fator crtico para o sucesso do processo de proteo da informao. A tecnologia existente possibilita a organizao ter uma boa proteo da informao, mas, quem vai garantir que ela tira proveito dessa tecnologia e implementa de forma efetiva os controles adequados o usurio.

98

Para futuros trabalhos, recomenda-se que esta pesquisa seja continuada, com o objetivo de estudar as prticas de usurios de outros sistemas corporativos da SEPLAG como o Sistema de Administrao de Pessoal do Estado (SISAP) e Sistema Integrado de Protocolo (SIPRO) e aprofundada, com o objetivo de estudar as normas das polticas de segurana da informao, que tratem efetivamente do comportamento cotidiano do usurio dos sistemas de informao. Para as organizaes que esto criando e implantando suas polticas de segurana da informao, seria interessante aplicar esse tipo de pesquisa, por meio de questionrios com questes extradas das PSI em momentos prvio e posterior adoo de tais polticas. Finalmente, espera-se que este trabalho contribua para as organizaes pblicas elaborarem suas polticas de segurana da informao com foco nas pessoas que so usurias de tecnologia, ou no, abordando a segurana da informao conforme conceitos sociais de interaes entre indivduos.

99

REFERENCIAS BIBLIOGRFICAS

ABNT (Associao Brasileira de Normas Tcnicas). NBR ISO 9000 sistemas de gesto da qualidade fundamentos e vocabulrio. Rio de Janeiro, 2000a. ABNT (Associao Brasileira de Normas Tcnicas). NBR ISO 9000 sistemas de gesto da qualidade requisitos. Rio de Janeiro, 2000b. ABNT (Associao Brasileira de Normas Tcnicas). Sistemas de gesto da qualidade requisitos: NBR ISO 9001. Rio de Janeiro, 2000c. ABNT (Associao Brasileira de Normas Tcnicas). NBR ISO/IEC 17799 Tecnologia da Informao Cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro, 2001. ABNT (Associao Brasileira de Normas Tcnicas). NBR ISO/IEC 17799:2005 Tecnologia da Informao Cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro, 2005. ABNT (Associao Brasileira de Normas Tcnicas). NBR ISO/IEC 27001:2005 Tecnologia da Informao Tcnicas de segurana Sistemas de gesto de segurana da informao - Requisitos. Rio de Janeiro, 2006. ABREU, Dimitri. Melhores Prticas para Classificar as Informaes. Mdulo eSecurity Magazine. So Paulo, ago. 2001. ACKOFF, Russel L. Planejamento de Pesquisa Social. So Paulo: Herder, 1967. AGOSTINHO, Denilson Aparecido. Leis de Segurana da Informao Universidade Federal de Santa Catarina. 2004. Disponvel em: http://www.buscalegis.ufsc.br/arquivos/1-3.pdf. Acesso em: 24 jan. 2007. ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurana no Desenvolvimento de Software Como desenvolver sistemas seguros e avaliar a segurana de aplicaes desenvolvidas com base na ISO 15.408. Rio de Janeiro: Editora Campus, 2002. ASCIUTTI, Csar Augusto. Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administrao PblicaUSP. 2006. Disponvel em: http://www.security.usp.br/artigos/2-ESECOM_USP-09-11-2006-Artigo-By-AsciuttiCesar-A-V1-04.pdf . Acesso em: 19 jan. 2007. BEAL, Adriana. Gesto Estratgica da Informao: como transformar a informao e a tecnologia da informao em fatores de crescimento e de alto desempenho nas organizaes. So Paulo: Atlas, 2004. BEAL, Adriana. Segurana da Informao: princpios e melhores prticas para a proteo dos ativos de informao nas organizaes. So Paulo: Atlas, 2005. BEUREN, Ilse Maria e MARTINS, Luciano Waltrick. Sistema de Informaes executivas: suas caractersticas e reflexes sobre sua aplicao no processo de gesto. Revista Contabilidade & Finanas. FIPECAFI- FEA- USP, So Paulo, FIPECAFI, v.15,n.26, p.6-24 , mar/ago 2001. BRASIL. Congresso Nacional. Lei n 7.232, de 29 de outubro de 1984. Dispe sobre a Poltica Nacional de Informtica, e d outras providncias. Disponvel em www.presidencia.gov.br/ccivil . Acesso em 10 jan. 2007.

100

BRASIL. Presidncia da Repblica. Lei n 9.507, de 12 de novembro de 1997 Regula o direito de acesso a informaes e disciplina o rito processual do habeas data. Disponvel em www.presidencia.gov.br/ccivil. Acesso em 10 jan. 2007. BRASIL. Presidncia da Repblica. Decreto n 3.294, de 15 de dezembro de 1999 Institui o Programa Sociedade da Informao e d outras providncias. Disponvel em www.presidencia.gov.br/ccivil. Acesso em 10 jan. 2007. BRASIL. Presidncia da Repblica. Lei n 9.983, de 14 de julho de 2000. Altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 Cdigo Penal e d outras providncias. Disponvel em www.presidencia.gov.br/ccivil. Acesso em 10 jan. 2007. BRASIL. Presidncia da Repblica. Decreto n 3.505, de 13 de junho de 2000. Institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal. Disponvel em www.presidencia.gov.br/ccivil. Acesso em 10 jan. 2007. BRASIL. Presidncia da Repblica. Decreto n 3.872, de 18 de julho de 2001. Dispe sobre o Comit Gestor da Infra-Estrutura de Chaves Pblicas Brasileira - CG ICP-Brasil, sua Secretaria-Executiva, sua Comisso Tcnica Executiva e d outras providncias. Disponvel em www.presidencia.gov.br/ccivil. Acesso em 10 jan. 2007. BRASIL. Presidncia da Repblica. Decreto n 3.996, de 31 de outubro de 2001 Dispe sobre a prestao de servios de certificao digital no mbito da Administrao Pblica Federal. Disponvel em www.presidencia.gov.br/ccivil. Acesso em 10 jan. 2007. BRASIL. Presidncia da Repblica. Medida Provisria n. 2.200-2, de 24 de agosto de 2001. Institui a Infra-estrutura de Chaves Pblicas Brasileira - ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informao em autarquia, e d outras providncias. Disponvel em www.presidencia.gov.br/ccivil. Acesso em 10 jan. 2007. BRASIL. Presidncia da Repblica. Decreto n 4.553, de 27 de dezembro de 2002. Dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado, no mbito da Administrao Pblica Federal, e d outras providncias. Disponvel em www.presidencia.gov.br/ccivil. Acesso em 10 jan. 2007. BRASIL. Constituio (1988). Constituio da Repblica Federativa do Brasil. Braslia, 2007. Disponvel em: http://www.planalto.gov.br/ccivil_03/Constituicao . Acesso em: 10 ago. 2007. BRASILIANO, Antnio Celso Ribeiro. Manual de anlise de riscos para a segurana empresarial. So Paulo: Sicurezza, 2003. CAMPOS, Vicente Falconi. Gerenciamento pelas Diretrizes. Belo Horizonte: Fundao Christiano Ottoni, 1996. CAMPOS, Vicente Falconi. Gerenciamento da rotina do trabalho do dia-a-dia. Belo Horizonte: Editora de Desenvolvimento Gerencial, 1994. CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em Informtica e de Informaes. So Paulo: Editora SENAC, 1999. CARVALHO, Rosngela C.; A aplicao de um modelo de gesto da segurana da informao e a sua influncia na percepo de competitividade no setor de telecomunicaes e informtica. 2003. 210f. Dissertao (Mestrado)

101

Universidade Federal Fluminense. Disponvel em: http://www.latec.uff.br/cursos/strictosensu/sistemasDeGestao/rosangelacaubit.pdf. Acesso em: 14 abr. 2007. CASTELLS, Manoel. Sociedade em rede: a era da informao: economia, sociedade e cultura. 7. ed. So Paulo: Paz e Terra, 1999. p. 1-263. CERVO, Amado L. e BERVIAN, Pedro A. Metodologia cientfica, 5 ed. So Paulo: Pearson Prentice Hall, 2006. CHEROBINO, Vincius. Cabo de Guerra: segurana da informao de um lado. do outro produtividade. Quem ganha essa batalha?. Security Review. . 24-28, mai/jun 2006. Disponvel em: http://www.modulo.com.br/pdf/cabo-de-guerra-security-reviewmai-jun-2006.pdf .Acesso em: 18 ago. 2007. CHOO, Chun Wei. A organizao do conhecimento: como as organizaes usam a informao para criar significado, construir conhecimento e tomar decises. Traduo de Eliana Rocha.So Paulo: Ed. Senac, 2003. COBIT 4.0 Control Objectives Management Guidelines Maturity Models. IT Governance Institute, 2005. Disponvel em www.itgovernance.org. Acesso em 15 mai. 2007. CONSELHO NACIONAL DE ARQUIVOS CONARQ. Modelo de requisitos para sistemas informatizados de gesto arquivstica de documentos. Braslia, 2006. DAVENPORT, Thomas H; PRUSAK, Laurence. Conhecimento empresarial. Rio de Janeiro: Campus, 1998. DAVENPORT, Thomas H. Ecologia da Informao: por que s a tecnologia no basta para o sucesso na era da informao. So Paulo, Campus, 1998. DAVENPORT, Thomas H. Reengenharia de processos. Rio de Janeiro: Campus, 1994. DIAS, Claudia. Segurana e Auditoria da Tecnologia da Informao. Rio de Janeiro: Axcel Books, 2000 DIEHL, Astor Antnio e TATIM, Denise Carvalho. Pesquisa em Cincias Sociais Aplicadas - mtodos e tcnicas. So Paulo: Prentice Hall, 2004. EHRESMAN, Terry. Small business sucess trough TQM: pratical methods to improve tour organizations performance. Milwaukee: ASQC Quality Press, 1995. FARIAS JR., Ariosto. "De Roupa Nova". Security Review: Contedo Editorial, Setembro/Outubro 2005, ano I, nmero 4, p. 45-47; FERREIRA, A.B.H. O dicionrio da lngua portuguesa. 2.ed. Rio de Janeiro, Nova Fronteira, 1999 FONTES, Edison. Segurana da informao: o usurio faz a diferena. So Paulo: Saraiva, 2006 FRANA, Jnia Lessa. Manual para normalizao de publicaes tcnicocientficas. 4 ed. Belo Horizonte: UFMG, 1998. FRANCO, Rochester Gabriel Pitone. Metodologia para implementao da gesto por processos em empresas do setor metal-mecnico. 2005. 185f. Dissertao (mestrado). Universidade Federal de Santa Catarina, Programa de Ps-Graduao

102

em Engenharia de Produo. Disponvel http://teses.eps.ufsc.br/defesa/pdf/11212.pdf . Acesso em: 04 dez. 2006.

em:

GONALVES, Lus Rodrigo de Oliveira. Pequeno histrico sobre o surgimento das Normas de Segurana, 2003. Mdulo Security Magazine. Disponvel em: http://www.modulo.com.br . Acessado em: 30 mar. 2007. GONALVES, Jos Ernesto Lima. As empresas so grandes colees de processos. Revista de Administrao de Empresas, So Paulo, v. 40, n. 1, p. 619, jan./mar. 2000a. GONALVES, Jos Ernesto Lima. Processo, que processo? Revista de Administrao de Empresas, So Paulo, v. 40, n. 4, p. 8-19, out./dez. 2000b. GIL. Antnio de Loureiro. Segurana em informtica, So Paulo, Atlas, 1994. GIL, Antnio Carlos. Mtodos e Tcnicas de Pesquisa Social. So Paulo: Atlas, 1999. GIL, Antnio Carlos. Como elaborar projetos de pesquisa. So Paulo: Atlas, 2002. GHERMAN, Marcelo. Controles Internos - Buscando a soluo adequada - Parte IV. Modulo Risk Manager, 2005. Disponvel em: http://www.checkuptool.com.br/artigo_08.htm. Acesso em: 25 mai. 2007. LARA, Rodrigo Diniz. Anlise da segurana da informao das Secretarias do Estado de Minas Gerais. 2004. 110f. Monografia (concluso de curso) Fundao Joo Pinheiro, Escola de Governo, Belo Horizonte. LAKATOS, Eva M., Metodologia do trabalho cientfico, So Paulo, Atlas, 1983. LAKATOS, Eva Maria e MARCONI, Marina de Andrade. Fundamentos da metodologia cientfica. So Paulo: Atlas, 1991. LASALA, Kenneth P. Human Performance Reliability: A Historical Perspective. IEEE Transactions on Reliability, vol 47, 1998. LAUREANO, Marcos Aurlio Pchek. Gesto da Segurana da Informao, 2005. Disponvel em: http://www.mlaureano.org/ensino/gestao-da-seguranca. Acesso em: 30 mar.2007. MARCHIORI, Zeni Patricia. A cincia e a gesto da informao: compatibilidades no espao profissional. Cincia da Informao, Braslia, v. 31, n. 2, p. 72-79, 2002. Disponvel em : http://www.ead.fea.usp.br/Cad-pesq/arquivos/v09n1art6.pdf . Acesso em: 15 mai. 2007. MARCIANO, Joo L.; Segurana da Informao uma abordagem social. 2006. 211f. Tese (Doutorado) Universidade de Braslia. Departamento da Cincia da Informao. Disponvel em: http://bdtd.bce.unb.br/tedesimplificado/tde_arquivos/1/TDE-2006-11-29T173637Z494/Publico/joao_marciano.pdf. Acesso em 18 jul. 2007. MARCIANO, Joo L.; MARQUES, Mamede L. O enfoque social da segurana da informao. Cincia da Informao, Braslia, v. 35, n. 3, p. 89-98, set/dez 2006. Disponvel em: http://www.ibict.br/cienciadainformacao/viewarticle.php?id=898&layout=abstract. Acesso em 18 jul. 2007.

103

MARCONI, Marina A.; LAKATOS, Eva M. Tcnicas de pesquisa. So Paulo: Atlas, 1983. MARINHO, Zilta. Treinamentos devem preparar gestores em segurana. 2001. Disponvel em: www.modulo.com.br. Acesso em 25 mai. 2007. MARTINS, Alade Barbosa. Uma abordagem metodolgica baseada em normas e padres de segurana. Estudo de caso CETREL S/A. 2004. Disponvel em www.linorg.cirp.usp.br/SSI/SSI2004/Poster/P03_ssi04.pdf, Acesso em 15 jan. 2007. MARTINS, Jos Carlos. Gesto de projetos de segurana da informao. Rio de Janeiro: Editora Brasport, 2003. MATTAR, Fauze Najib. Pesquisa de Marketing. Ed. Compacta. So Paulo: Ed. Atlas, 1996, cap. 4. McGEE, James e PRUSAK, Laurence Gerenciamento estratgico da informao: aumente a competitividade e a eficincia de sua empresa utilizando a informao como uma ferramenta estratgica. Traduo de Astrid Beatriz de Figueiredo. Rio de Janeiro, Campus, 1994. MENEZES, Josu das Chagas. Gesto da segurana da informao: anlise em trs organizaes brasileiras. 2005. 187f. Dissertao (mestrado profissional) Universidade Federal da Bahia, Escola de Administrao. Disponvel em: http://www.adm.ufba.br/pub/publicacao/5/MPA/2005/377/Dissertacao_MPA_Josue_d as_Chagas_Menezes.pdf . Acesso em: 15 jan. 2007. MINAS GERAIS. Lei n. 6003, de 12 de outubro de 1972. Autoriza o Poder Executivo a constituir e organizar sociedade sob o controle acionrio do Estado, dispe sobre o Sistema Estadual de Processamento de Dados. Minas Gerais, Belo Horizonte, 13 out. 1972. p.9 . MINAS GERAIS. Decreto n. 42.873, de 9 de setembro de 2002. Institui o Sistema Integrado de Administrao de Materiais e Servios. Disponvel em http://www.almg.gov.br/index.asp?grupo=legislacao&diretorio=njmg&arquivo=legislac ao_mineira, Acesso em: 17 jan. 2008. MINAS GERAIS. Decreto n. 43.666, de 25 de novembro de 2003. Institui a Poltica de Governana Eletrnica e cria o Comit Executivo de Governana Eletrnica no mbito da Administrao Pblica Estadual. Disponvel em http://www.almg.gov.br/index.asp?grupo=legislacao&diretorio=njmg&arquivo=legislac ao_mineira, Acesso em: 15 jan. 2007. MINAS GERAIS. Decreto n. 43.699, de 15 de dezembro de 2003a. Dispe sobre a utilizao obrigatria do Sistema Integrado de Administrao de Materiais e Servios SIAD-MG pelos rgos e entidades da administrao pblica direta e indireta do poder executivo. Disponvel em Institui a Poltica de Governana Eletrnica e cria o Comit Executivo de Governana Eletrnica no mbito da Administrao Pblica Estadual. Disponvel em http://www.almg.gov.br/index.asp?grupo=legislacao&diretorio=njmg&arquivo=legislac ao_mineira, Acesso em: 17 jan. 2008. MINAS GERAIS. Decreto n. 43.844, de 5 de agosto de 2004a. Altera o Decreto n 43.244, de 1 de abril de 2003, que regulamenta a Lei Delegada n 63, de 29 de janeiro de 2003, que dispe sobre a Secretaria de Estado de Planejamento e Gesto e outras providncias. Disponvel em:

104

http://www.almg.gov.br/index.asp?grupo=legislacao&diretorio=njmg&arquivo=legislac ao_mineira. Acesso em: 24 jul. 2007. MINAS GERAIS. Decreto n. 43.885, de 4 de outubro de 2004b. Dispe sobre o Cdigo de Conduta tica do Servidor Pblico e da Alta Administrao Estadual. Disponvel em http://www.almg.gov.br/index.asp?grupo=legislacao&diretorio=njmg&arquivo=legislac ao_mineira, Acesso em: 15 jan. 2007. MINAS GERAIS. Decreto n. 43.888, de 5 de outubro de 2004c. Dispe sobre a utilizao de certificao digital no mbito da Administrao Pblica Estadual. Disponvel em http://www.almg.gov.br/index.asp?grupo=legislacao&diretorio=njmg&arquivo=legislac ao_mineira, Acesso em: 15 jan. 2007. MITNICK, Kevin. A Arte de Enganar. Pearson Education, 2005; MODULO SECURITY SOLUTION S.A 10 Pesquisa Nacional de Segurana da Informao. 2007. Disponvel em www.modulo.com.br. Acesso em 25 mai. 2007. MOREIRA, Nilton Stringasci. Segurana Mnima Uma Viso Corporativa da Segurana de Informaes. Rio de Janeiro: Axcel Books do Brasil, 2001. MORESI, Eduardo Amadeu Dutra. Delineando o valor do sistema de informao de uma organizao. Cincia da Informao, Braslia, v.29, n 1, p. 14-24, jan./abr. 2000. Disponvel em: http://www.scielo.br/scielo.php?script=sci_arttext&pid=S010019652000000100002&lng=es&nrm=iso. Acesso em 18 jan. 2007. NERY, Fernando. Segurana percebida versus segurana real no mundo corporativo. 2002. Disponvel em: www.modulo.com.br. Acesso em 25 mai. 2007. NONAKA, Ikujiro e TAKEUCHI, Hirotaka. Criao e conhecimento na empresa: como as empresas japonesas geram a dinmica da inovao. Rio de janeiro: Campus, 1997. ORSHESKY, Christine M. Beyond technology The human factor in business systems. Journal of Business Strategy, vol. 24, n. 4, p. 43-47, 2003. PIZZOLI, Fbio A.; Sistema de gerenciamento de segurana de informaes: processo de auditoria. 2004. 135f. Dissertao (Mestrado) Universidade Federal do Rio Grande do Sul. Disponvel em: http://www.producao.ufrgs.br/dissert_mestrado/fabio_a_pizzoli.pdf. Acesso em: 8 mai. 2007. PONTIFCIA UNIVERSIDADE CATLICA DE MINAS GERAIS. Pr-Reitoria de Graduao. Sistema de Bibliotecas. Padro PUC Minas de normatizao: normas da ABNT para a apresentao de trabalhos cientficos, teses, dissertaes e monografias. Belo Horizonte, 2006. Disponvel em: www.pucminas.br/biblioteca, acesso em: 12 dez. 2006. PRODEMGE. Projeto de Segurana da Informao, de novembro de 2005. Belo Horizonte. PRODEMGE. Manual de Atribuies das Unidades Administrativas, de maio de 2006. Belo Horizonte. RAMOS, Anderson et al. Guia oficial para formao de gestores em segurana da informao. Porto Alegre: Zouk, 2006

105

REIS, Margarida Maria de Oliveira e BLATTMAN, Ursula. Gesto de processos em bibliotecas. Revista Digital de Biblioteconomia e Cincia da Informao, Campinas, v.1, n. 2, p. 1-17, jan./jun. 2004. SMOLA, Marcos. Gesto da Segurana da Informao: viso executiva da segurana da informao aplicada ao Security Officer. Rio de Janeiro: Elsevier, 2003. SEPLAG. Resoluo 71/2003, de 27 de novembro de 2003a. Dispe sobre padronizao e utilizao dos Servios de Correio Eletrnico Oficial dos rgos e Entidades do Poder Executivo da Administrao Pblica Estadual Direta, Autrquica e Fundacional. Disponvel em: http://www.planejamento.mg.gov.br/governo/resolucoes/resolucoes.asp. Acesso em 19 jul. 2007. SEPLAG. Anlise comparativa sobre os modelos de gesto em tecnologia da informao. Belo Horizonte. SEPLAG, 2003b. Disponvel em: http://www.egov.mg.gov.br/files/conteudos/empresas_processamento_dados_relatori o_final.pdf Acesso em 16 ago. 2007. SEPLAG. Resoluo 78/2004, de 8 de outubro de 2004. Cria o Grupo de Trabalho de Segurana da Informao no mbito Comit Executivo de Governana Eletrnica. Disponvel em: http://www.planejamento.mg.gov.br/governo/resolucoes/resolucoes.asp. Acesso em 19 jul. 2007. SEPLAG. Segurana da Informao. 2006a. Disponvel http://www.egov.mg.gov.br/normas.php. Acesso em 19 jul. 2007. em:

SEPLAG. Resoluo 002/2006, de 19 de janeiro de 2006. Institui o Comit Multidisciplinar de Segurana da Informao da Secretaria de Estado de Planejamento e Gesto - CMSI, e d outras providncias. 2006b. Disponvel em: http://www.planejamento.mg.gov.br/governo/resolucoes/resolucoes.asp. Acesso em 19 jul. 2007. SEPLAG. Resoluo 011/2006, de 19 de janeiro de 2006. Institui a Poltica de Segurana da Informao no mbito da Secretaria de Estado de Planejamento e Gesto do Estado de Minas Gerais. 2006c. Disponvel em: http://www.planejamento.mg.gov.br/governo/resolucoes/resolucoes.asp. Acesso em 19 jul. 2007. SILVA, Edna Lcia da e MENEZES, Estera Muszkat. Metodologia da pesquisa e elaborao de dissertao. 3 ed revisada e atualizada. Florianpolis: Laboratrio de Ensino Distncia da UFSC, 2001. SILVA, Jamil, Almeida de; Uma proposta de metodologia para segurana em sistemas de tecnologia da informao. 2001. 109f. Dissertao (Mestrado) Universidade Federal de Santa Catarina. Disponvel em: http://teses.eps.ufsc.br/defesa/pdf/7368.pdf . Acesso em: 18 jan. 2007. SILVEIRA, Henrique Flvio Rodrigues. Motivaes e fatores crticos de sucesso para o planejamento de sistemas interorganizacionais na sociedade da informao. Cincia da Informao, Brasilia, vol.32 n.2 mai./ago. 2003. Disponvel em: http://www.scielo.br/scielo.php. Acesso em 07 jul. 2007.

106

SLAY, Fill. IS security, trust and culture: a theoritical framework for managing IS security em multicultural settings. Campus-Wide Information System, v. 20, n. 3, p. 98-104, 2003. Disponvel em: www.emeraldinsight.com/researchregister . Acesso em 05 dez. 2006. STEVENSON, William J. Estatstica aplicada administrao. So Paulo: Harbra,1981. TARAPANOFF, Kira. Inteligncia social e inteligncia competitiva. Enc. Bibli: R. Eletr. Bibliotecon. Ci. Inf., Florianpolis, 1 sem. 2004. Disponvel em: <http://www.encontros-bibli.ufsc.br/>. Acesso em: 07 jul. 2007. THOMSON, M. E. & SOLMS, R. von. Information Security awareness: educating your users effectively. Information Management & Computer Security. p. 167-173, 1998. XEXEO, Geraldo Bonorino. Autenticao de documentos digitais por sistemas criptogrficos de chave pblica. Modulo E-Security News, Data de publicao indefinida. ZORELLO, Gilberto. Metodologias COBIT e ITIL e as perspectivas do Modelo de alinhamento estratgico de TI. Anais do XII SIMPEP Bauru: 2005. Disponvel em www.feb.unesp.br/dep/simdep. Acesso em: 25 mai. 2007.

107

APNDICES

APNDICE A QUESTIONRIO DA PESQUISA

Avaliao sobre Segurana da Informao

Caro (a) funcionrio (a),

O questionrio abaixo tem como objetivo levantar informaes a respeito das prticas de segurana da informao dos usurios de sistemas de informao da SEPLAG, visando auxiliar uma dissertao de Mestrado em Administrao Pblica, concentrao em Gesto da Informao da Escola de Governo Professor Paulo Neves de Carvalho da Fundao Joo Pinheiro. Muito obrigado por sua ateno.

Fernando Vieira Braga fernando.v.braga@gmail.com

Instrues
Essa pesquisa confidencial, no havendo necessidade de informar o seu nome. A pesquisa compreende dois quadros. O primeiro quadro sobre a opinio que voc tem sobre a poltica de segurana da informao da SEPLAG. O segundo quadro sobre as suas prticas no que se refere segurana da informao. Em cada quadro est descrito a maneira como ele dever ser respondido. Aps responder o questionrio, coloc-lo no envelope, fech-lo e envi-lo pelo malote para Karin Gracielle Rogrio Silva na Coordenao Geral do SIAD.

108

Quadro 1 Poltica de Segurana da Informao

Aps ler cada frase a seguir, expresse sua opinio marcando com um X (xis) no quadro correspondente e de acordo com a legenda abaixo:
1 CONCORDA TOTALMENTE - (CT) 2 CONCORDA, S EM PARTE - (CP) 3 INDIFERENTE (NEM CONCORDA / NEM DISCORDA) (IND) 4 DISCORDA PARCIALMENTE - (DP) 5 DISCORDA TOTALMENTE - (DT)
1. Sua opinio sobre a poltica de segurana da informao da SEPLAG. FRASE
1.1- Tenho conhecimento sobre a poltica de segurana da informao da SEPLAG 1.2- Participei do treinamento de apresentao da poltica de segurana da informao da SEPLAG 1.3- A SEPLAG tem uma boa poltica de segurana da informao no sentido de minimizar as ameaas aos sistemas de informao 1.4- O controle da segurana da informao da SEPLAG muito rgido e dificulta o trabalho dos usurios dos sistemas de informao 1.5- A segurana da informao um modismo que logo ser esquecido. 1.6- A realidade do dia-a-dia da SEPLAG diferente do que diz a poltica de segurana 1.7- A SEPLAG oferece os instrumentos (meios) para a prtica da poltica de segurana da informao. 1.8- No ambiente organizacional da SEPLAG a informao deve circular livremente, sem controles. Comentrios adicionais:

1 CT

2 CP

3 IND

4 DP

5 DT

Quadro 2 Prticas de Segurana da Informao

Aps ler cada frase a seguir, assinale com um X (xis) frente da expresso que est mais prxima de seu hbito diante de cada uma das situaes apresentadas. Procure explicar justificando sua resposta.
2. Responda s questes assinalando a opo correspondente s prticas adotadas diante de cada uma das situaes apresentadas:

109
Freqen temente s Vezes Raramente

Situao 2.1 Ao me ausentar do local de trabalho bloqueio a minha estao de trabalho por meio de protetor de tela, ou efetuo logout da rede corporativa.

Sempre

Nunca

Justificativa:
2.2 Ao final do expediente desligo a minha estao de trabalho.

Justificativa:
2.3 Utilizo minha estao de trabalho somente para atividades profissionais.

Justificativa:
2.4 Considerando os recursos da rede mundial fao download e instalo software baixados da Internet na minha estao de trabalho.

Justificativa:
2.5 Considerando as peculiares caractersticas de trabalho na SEPLAG permito o compartilhamento de diretrios (pastas) sem o uso de senhas.

Justificativa:
2.6 A rotina exigente de prazos no trabalho da SEPLAG permitem o consumo de alimentos slidos ou lquidos ao trabalhar na minha estao de trabalho.

Justificativa:
2.7 Realizo cpia de segurana (backup) dos dados da SEPLAG que se encontram na minha estao de trabalho.

Justificativa: 2.8 Em horas livres utilizo jogos na minha estao de trabalho para relaxar. Justificativa: 2.9 Reporto rea de informtica os incidentes de segurana da informao que identifico. Justificativa: 2.10 Considerando que passo o dia no trabalho, utilizo a Internet disponibilizada pela SEPLAG para assuntos particulares. Justificativa:
Situao Sempre Freqen temente s Vezes Raramente Nunca

2.11 Ao utilizar a Internet o fao respeitando direitos autorais, regras de licenciamento de software, direitos de propriedade, privacidade e proteo de propriedade intelectual.

110 Justificativa: 2.12 Quando transfiro arquivos com dados sigilosos da SEPLAG, pela Internet, utilizo senhas. Justificativa: 2.13 Como recurso de comunicao, utilizo software de comunicao instantnea, tais como ICQ, Microsoft Messenger e afins na minha estao de trabalho. Justificativa: 2.14 Como recurso de comunicao, utilizo salas de bate papo (chats) atravs de minha estao de trabalho. Justificativa: 2.15 Ao atualizar as senhas de acesso, utilizo senhas distintas das anteriores. Justificativa: 2.16 Crio senhas baseadas em nomes, sobrenomes ou iniciais de pessoas conhecidas, datas de eventos pessoais, placas de carro. Justificativa: 2.17 Considerando minha privacidade registro minhas senhas em papel para facilitar o meu acesso. Justificativa: 2.18 Considerando o grau de confiana entre ns funcionrios da SEPLAG, empresto a senha de acesso ao sistema para uma pessoa poder acessar o sistema no caso de minha ausncia. Justificativa: 2.19 Considerando o grau de confiana entre ns funcionrios da SEPLAG, acesso a rede corporativa da SEPLAG com a identificao de outro usurio. Justificativa: 2.20 Procuro conhecer as normas da SEPLAG a respeito do uso de computadores e sistemas computacionais. Justificativa:

111

APNDICE B COMENTRIOS DOS USURIOS SOBRE AS QUESTES DA PESQUISA

Avaliao sobre Segurana da Informao Quadro 1 Poltica de Segurana da Informao

Sua opinio sobre a poltica de segurana da informao da SEPLAG.
Comentrios adicionais:

1 A SEPLAG oferece os instrumentos para a prtica da PSI, porm a realidade do dia-a-dia diferente. Existe uma certa resistncia por parte do funcionrio e tambm um costume. Ex. existe Office boy operando o sistema.
2- Alguns sites seguros que precisamos esto bloqueados 3- H um setor responsvel pela PSI. Na intranet so exibidas informaes adicionais. O controle em todos os equipamentos uma meta muito difcil de ser alcanada. 4- Na SEPLAG no h controle, h vigilncia. Controle diz respeito a gesto, responsabilidade. Controle diz respeito a falta de competncia para gerenciar. 5- O controle feito pela SEPLAG no consegue ser 100% efetivo. Imagino que seja por falta de uma tecnologia mais avanada dos equipamentos utilizados. 6- A definio da segurana da informao no deve ser geral. Mas sendo deve-se permitir brechas (autorizadas), avaliando caso a caso. 7- Considero que a PSI da SEPLAG ainda incipiente, mas trata-se de uma iniciativa louvvel e que vem sendo aperfeioada. 8- No tenho conhecimento especfico da PSI da SEPLAG. 9- Embora a segurana da informao seja necessria e serve de proteo a todos, muitos no se do conta disso e com certeza, logo ser esquecida. Devida a urgncia, muitas vezes essa quebrada, sendo necessrio passar a senha para que o trabalho continue. 10- Acho que deveria haver mais reunies da PSI, pois o povo esquece muito rpido as coisas. muito importante a Poltica de Segurana da Informao. 11- Quanto ao item 1.3 (A SEPLAG tem uma boa poltica de segurana da informao no sentido de minimizar as ameaas aos sistemas de informao), no acredito que a SEPLAG atualiza os antivrus freqentemente e tambm no obriga as pessoas a mudarem de senhas freqentemente. 12- Segurana fundamental. Segurana da informao institucional no diz respeito liberdade ou privacidade de servidores. H que mudar a cultura organizacional.

112

Quadro 2 Prticas de Segurana da Informao

2.1 Ao me ausentar do local de trabalho bloqueio a minha estao de trabalho por meio de protetor de tela, ou efetuo logout da rede corporativa.

Justificativa: 1- Fico constantemente no meu local de trabalho, mas quando me ausento tenho protetor de tela com bloqueio. 2- Sempre coloco na tela de login do Windows. 3- O sistema j bloqueia a estao depois de um certo tempo, sem precisar de bloquear manualmente. 4- automtico. 5- Orientao da PSI para evitar acessos indevidos. 6- Segurana do sistema. 7- A estao instrumento de trabalho. O que se faz nela deve ser de domnio e conhecimento de todos. 8- s vezes quando vou a outra sala no fao o bloqueio da minha estao. 9- Por motivo de segurana. 10- Para evitar uso indevido de um equipamento. 11- norma de segurana. 12- Para evitar o uso incorreto de minha estao. 13- Sempre que me ausento eu bloqueio a minha estao de trabalho. 14- Bloqueio. 15- As informaes que esto na estao so de carter pblico. A estao ou melhor a mquina no particular. 16- Principalmente para ningum ver o que estou fazendo em termos pessoais. 17- Por meio da minha senha individual. 18- Atravs de senhas. 19- Para evitar transtornos. 20- No quero interferncia de outros. 21- Para que outras pessoas no consigam acessar meus dados e arquivos. 22- Quando vou me ausentar por muito tempo sempre bloqueio a estao. 23- Raramente me ausento da rea de trabalho. Nas horas que acontece na hora do almoo quando fecho todas as minhas pastas. 24- Protetor de tela.

113

2.2 Ao final do expediente desligo a minha estao de trabalho.

Justificativa: 1- No compartilho a minha estao na rede e no h motivo para a mesma ficar ligada. 2- Segurana do sistema. 3- Economizar energia. 4- Ningum mais a usa. Samos todos no mesmo horrio. No conveniente deixar ligada. 5- Por segurana e para economizar energia. 6- Para conservao do mesmo. 7- Quase sempre, pois no sou o nico usurio. 8- Para evitar o uso incorreto de minha estao. 9- Cuidado com o equipamento. 10- A impressora primria est ligada no meu computador, mas fao logoff. 11- Onde trabalho a agenda est ligada em rede e o meu computador deve ficar ligado para as pessoas visualizarem. Eu s bloqueio. Raramente desligo. 12- Porque o bvio. 13- Evitar todo o tipo de problemas inclusive desperdcio de energia. 14- dever do servidor cuidar da sua ferramenta de trabalho.
2.3 Utilizo minha estao de trabalho somente para atividades profissionais.

Justificativa: 1- Muitas pessoas almoam no local do trabalho e utilizam nesse horrio a estao de trabalho para atividades particulares. 2- Quando estou disponvel acesso meus e-mails e fao trabalho da faculdade. 3- para isso que serve. 4- Ao final do dia checo meu e-mail pessoal e leio notcias. 5- Tambm leio jornal e acesso e-mail pessoal. 6- Consulto coisas particulares como o site da faculdade e trabalho da escola. 7- Nem h tempo para outras coisas. 8- s vezes busco algum site de pesquisa. 9- No meu horrio de almoo utilizo minha estao de trabalho para olhar meu e-mail (particular) e sites. 10- Consulto e-mail particular e sites. 11- Uma vez ou outra necessitamos encaminhar email pessoal. mais barato que o uso do telefone. 12- Utilizo para fins pessoais tambm, como ler noticias trocar alguns e-mails. 13- No horrio de intervalo utilizo internet particular. 14- Intervalo lanche. 15- Tenho coisas pessoais tambm. 16- s vezes redijo alguma coisa do mestrado. 17- esta a finalidade dela. S em caso de indisponibilidade do sistema vejo algo particular. 18- Utilizo tambm para consultas e e-mails pessoais. 19- Em alguns momentos leio e-mails pessoais ou outros sites de notcias. 20- Em horrio de almoo utilizo a internet para fins pessoais. 21- Na hora do almoo leio algumas informaes em determinados endereos. 22- Utilizo tambm para movimentaes bancrias pessoais e ler e-mails.

114

2.4 Considerando os recursos da rede mundial fao download e instalo softwares baixados da Internet na minha estao de trabalho.

Justificativa: 1- Rede bloqueada. 2- Bloqueado. 3- O sistema bloqueado. 4- bloqueado pela SEPLAG. 5- bloqueado. 6- O sistema tem um bloqueio que evita instalar qualquer programa. S permitido com autorizao do administrador. 7- No permitido fazer download e instalar software. 8- Os usurios no tm acesso. 9- Este tipo de funo s pode ser realizado pelo pessoal da rea de informtica. 10- No permitido. 11- bloqueado qualquer download. 12- Sistema bloqueia. 13- Alm de no ser necessrio h a vigilncia. 14- Instalo somente software de uso necessrio (ex. Java). 15- A rede bloqueada e eu nem sei fazer isso. 16- Porque bloqueado. 17- O sistema de download bloqueado. 18- O computador para executar trabalhos e preciso ter cuidado com outros softwares. 19- bloqueado. 20- Existe bloqueio. E at para acertar a hora preciso do administrador da rede. 21- Download so proibidos na SEPLAG, o que correto. 22- Download so bloqueados na SEPLAG. 23- Referente a servio. 24- Aqui na SEPLAG bloqueiam esse acesso. 25- No de minha propriedade. ilegal e nem sei fazer isso. 26- Os controles da SEPLAG no permitem o download de vrios softwares. Assim baixo apenas arquivos de e-mail. 27- O download at liberado, mas a instalao somente pelo administrador.
28293031As estaes de trabalho so bloqueadas para instalao de software. Na SEPLAG esse tipo de servio bloqueado. Bloqueado. A estao bloqueada. Mesmo se houvesse a possibilidade no instalaria.

115

2.5 Considerando as peculiares caractersticas de trabalho na SEPLAG permito o compartilhamento de diretrios (pastas) sem o uso de senhas.

Justificativa: 1- Os computadores do setor so compartilhados com a equipe. 2- Nessa diretoria existem pastas especficas que so compartilhadas. 3- Existem somente duas pastas nessa diretoria que so compartilhadas por todos os coordenadores e outra pela equipe da diretoria sem o uso de senha. 4- Compartilho com minha chefa. 5- Compartilhamentos sem senhas permitem o acesso a informaes restritas e vulnerabilidades quanto a transmisso de vrus. 6- Necessidade de trabalho. 7- A estao instrumento de trabalho. O que se faz nela deve ser de domnio e conhecimento de todos. 8- Existem documentos de constante atualizao que devem ser acessados por vrios usurios. 9- Algumas pastas de trabalho so compartilhadas. 10- H contedos de sigilo. 11- Estamos no servio pblico. 12- Entre colegas da minha diretoria. 13- Porque no seguro. 14- Para eventualidades ausncia em frias, etc. 15- Os nicos dados que compartilho sem o uso de senhas so ofcios, notas tcnicas, etc. por meio da rede comum: rascunho. 16- Apenas pastas com arquivos que realmente devem ser compartilhados. 17- Algumas pastas so compartilhadas sem senha devido ao grande nmero de usurios que as acessam. 18- Qualquer servidor que estiver na rede (DCGDS) consegue abrir nossas pastas.
2.6 As rotinas exigentes de prazos no trabalho da SEPLAG permitem o consumo de alimentos slidos ou lquidos ao trabalhar na minha estao de trabalho.

Justificativa: 1- s vezes acontecem pela dificuldade de controle. 2- H lugares especficos. 3- Quando vou alimentar-me na hora do almoo. 4- No necessrio, mas eu deixo minha garrafa de caf na estao. 5- A ausncia de cantina causa esse tipo de situao. 6- Primeiro porque o espao exguo e pode provocar dano. 7- Porm na prtica nunca somos fiscalizados. 8- Isso acontece s vezes, mas no necessariamente devido a exigncia de prazos, e sim por comodismo. Posso lanchar e ler noticias em um site, por exemplo. 9- expressamente proibido, porm no so todos que respeitam. J at circulou um memo sobre isso. 10- Mas muitos consomem (marcou nunca). 11- Com o devido cuidado, forrando a mesa e distante do computador (marcou raramente).

116

2.7 Realizo cpia de segurana (backup) dos dados da SEPLAG que se encontram na minha estao de trabalho.

Justificativa: 1- Problema de rede. 2- Ainda no houve necessidade. 3- Segurana. 4- Para preservar as informaes. 5- Trabalho realizado pela diretoria de informtica (marcou nunca). 6- O bloqueio tambm no permite ou no me informaram. 7- De dois em dois meses aproximadamente. 8- No h necessidade. 9- S quando necessrio. 10- A nica forma de backup que fao dos arquivos mais importantes enviando-os para o meu e-mail pessoal. 11- Salvo os arquivos mais importantes em outra estao em pastas compartilhadas e na minha estao. 12- Os trabalhos realizados na rea so complexos, perde-los impensvel. 2.8 Em horas livres utilizo jogos na minha estao de trabalho para relaxar. Justificativa: 1- Muitas pessoas almoam no local do trabalho e utilizam nesse horrio a estao de trabalho para atividades particulares. 2- Antecipo os trabalhos. 3- No os tenho e nem gosto. 4- bloqueado. 5- Prefiro relaxar ouvindo musica ou outra forma extra computador. 6- Tenho averso a esse tipo de distrao. 7- Acho isso imoral. 8- Apenas os recebidos por e-mail e salvo nos meus documentos. 9- No acho certo. 10- Aproveito para outras atividades (marcou nunca). 11- O uso no permitido, mas raramente utilizo jogos inofensivos rede. 12- No h jogos instalados nas mquinas. 13- No tenho esse costume. 14- Gostaria de relaxar. Mas no posso ou no consigo. 2.9 Reporto rea de informtica os incidentes de segurana da informao que identifico. Justificativa: 1- Reporto chefia imediata. 2- Ainda no aconteceram. 3- Estou aqui para isso. 4- Nunca presenciei nesse sentido. 5- Na verdade raramente ocorrem incidentes comigo. 6- Se for alguma situao simples que eu possa resolver eu mesmo fao. 7- Nem quando para trocar horrio de vero eles vm me atender. 8- Porque o correto. 9- Quando necessrio. 10- Incidentes que requerem reparos so sempre notificados, j que meu usurio limitado. 11- Nunca ocorreu. 12- Sempre me preocupei com spam. A Prodemge instalou um programa de quarentena.

117

2.10 Considerando que passo o dia no trabalho, utilizo a Internet disponibilizada pela SEPLAG para assuntos particulares. Justificativa: 1- Consulto trabalhos e e-mails da faculdade. 2- A realidade da organizao demonstra que isso prtica constante. Sempre que o funcionrio possui tempo ocioso. 3- Atrasariam os trabalhos. 4- Falta de pacincia. 5- Ao final do dia. 6- Leio jornais, acesso e-mail particular, fao compras. No entanto no nada que prejudique minhas metas de trabalho. 7- Necessidade de ficar bem informado sobre tudo. 8- No meu horrio de almoo. 9- Consultar sites de acordo com a minha necessidade de informao. 10- Consultas em banco. 11- Passo e-mail pessoal e fao pesquisa sobre algum assunto da minha necessidade mais barato do que telefone. 12- Apenas os que tm que ser pela internet em horrio comercial. 13- Nos horrios de lanche. 14- No horrio do intervalo. 15- Em intervalo de lanche. 16- Dentro do que permitido. 17- Mas muito pouco por dia. 18- S quando necessrio durante aquele perodo e o sistema em que trabalho apresentou problema. 19- Para pagamento de contas, uso de e-mail pessoal, etc. 20- Leio sempre meus e-mails e sites de notcias e atualidades. 21- Somente nas horas vagas. 22- S uso meu e-mail. 23- Apenas quando h uma emergncia. 2.11 Ao utilizar a Internet o fao respeitando direitos autorais, regras de licenciamento de software, direitos de propriedade, privacidade e proteo de propriedade intelectual. Justificativa: 1- O uso da Internet no pode interferir nisso. 2- No me enquadro nesse item, pois no sou administradora da rede. 3- Mando noticia / reportagem por e-mail para outras pessoas, mas no sei se isso ilegal. 4- Considero que as restries da poltica de segurana da SEPLAG direcionam nesse sentido. 5- No trabalho sim. Ao acessar de casa nem sempre verifico esses requisitos. 6- to simples descobrir autoria na Internet...

118

2.12 Quando transfiro arquivos com dados sigilosos da SEPLAG, pela Internet, utilizo senhas. Justificativa: 1- No transfiro arquivos (marcou nunca). 2- Nunca transito arquivos sigilosos (marcou nunca). 3- Nunca realizo essa atividade (marcou nunca). 4- No transfiro dados sigilosos (marcou nunca). 5- No faz parte do meu trabalho (marcou nunca). 6- No trabalho com tal tipo de informao. 7- Nunca ocorreu a necessidade de transferir arquivos sigilosos. 8- Nunca transfiro. 9- No faz parte da minha rotina de trabalho. 10- No trabalho com dados sigilosos. 11- No me ensinaram como fazer isso. 12- No se aplica. Os usurios do cadastro s inserem ou excluem dados de fornecedores. 13- Nunca fiz, mas se for preciso, utilizarei senha para minha segurana. 14- Normalmente no trabalho com dados sigilosos. 15- No necessrio. 16- No realizo esse tipo de operao. 17- No necessrio. 18- No fao esse tipo de trabalho (no respondeu). 19- Segurana. 20- Geralmente envio o e-mail apenas para os destinatrios interessados. 21- Acredito que os arquivos com os quais trabalho no so sigilosos assim. 22- Possuo certificao digital.

119

2.13 Como recurso de comunicao, utilizo software de comunicao instantnea, tais como ICQ, Microsoft Messenger e afins na minha estao de trabalho. Justificativa: 1- Rede bloqueada. 2- bloqueado pela instituio. S com autorizao. 3- So bloqueados. 4- So bloqueados na SEPLAG. 5- So sistemas bloqueados pelo rgo. 6- bloqueado. 7- No utilizo. 8- No tenho necessidade. 9- travado, uso e-mail. 10- bloqueado. 11- bloqueado. 12- No sei o que . Utilizo o Outlook. 13- So proibidos deveriam estar abertos aos e-mails institucionais. mais produtivo e mais racional. 14- bloqueado na SEPLAG, o que correto. 15- Esses programas so bloqueados na SEPLAG. 16- A rede bloqueada para esses recursos. 17- No permitido a SEPLAG bloqueia. 18- Nem em minha casa no gosto. 19- So bloqueados. 20- No permitida a utilizao de tais programas. 21- As portas utilizadas por esses programas so bloqueadas na SEPLAG. 22- Esse tipo de servio bloqueado na SEPLAG. 23- Esse acesso bloqueado na SEPLAG. 24- Bloqueado. 25- No permitido, mesmo se fosse no o faria. 26- Me comunico por e-mail. Utilizo o e-mail como documentao.

120

2.14 Como recurso de comunicao, utilizo salas de bate papo (chats) atravs de minha estao de trabalho. Justificativa: 1- Rede bloqueada. 2- Bloqueado. 3- bloqueado. 4- Bloqueado. 5- bloqueado pela instituio. 6- S com autorizao. 7- So bloqueados. 8- So bloqueados na SEPLAG. 9- bloqueado. 10- No utilizo. 11- No gosto. Acho chatssimo. 12- travado, uso e-mail. 13- bloqueado. 14- Bloqueado. 15- Est bloqueado. 16- bloqueado. 17- So proibidos deveriam estar abertos aos e-mails institucionais. mais produtivo e mais racional. 18- bloqueado na SEPLAG, o que correto. 19- Esses programas so bloqueados na SEPLAG. 20- bloqueado. 21- Rede bloqueada. 22- bloqueado. 23- Nem em minha casa no gosto. 24- So bloqueados. 25- Chats so bloqueados na rede SEPLAG. 26- bloqueado. 27- Bloqueado. 28- No permitido, mesmo se fosse no o faria 2.15 Ao atualizar as senhas de acesso, utilizo senhas distintas das anteriores. Justificativa: 1- O sistema SIAD sempre pede atualizao de senha c/ periodicidade determinada. A nova senha possui regras rgidas. 2- Principalmente no SIAD que so solicitados senhas diferentes da anterior. 3- Segurana do sistema. 4- No h necessidade. 5- O sistema s permite usar a mesma senha depois da oitava troca. 6- Por segurana. 7- Para o sistema que administro, sim. 8- Quase nunca atualizo, pois difcil memorizar tantas senhas. Mas acredito que o SIGPLAN deveria exigir isso. 9- bloqueado. 10- O prprio SIAD, sistema que utilizo, estabelece essa exigncia. 11- O sistema que utilizo me obriga a mudar a senha a cada trs meses sem poder repeti-la. 12- Sempre a mesma senha. 13-

121

2.16 Crio senhas baseadas em nomes, sobrenomes ou iniciais de pessoas conhecidas, datas de eventos pessoais, placas de carro. Justificativa: 1- O SIAD tem regras prprias para criao de senhas. Utilizo tais regras para as demais senhas. 2- So senhas mais fceis de memorizao. 3- Uso as primeiras letras de uma frase. 4- Diversifico ao mximo. 5- Criar outras mais seguro. 6- Escolho aleatoriamente ao significado a mim. 7- Haja imaginao para o perodo da troca. 8- Facilita a memorizao e evita ter que anot-la. 9- A memorizao mais fcil. 10- Nome de frutas ou bichos. 11- No respondo sobre lgica de criao de senha. 2.17 Considerando minha privacidade registro minhas senhas em papel para facilitar o meu acesso. Justificativa: 1- S no inicio de sua utilizao depois eu as memorizo. 2- Memorizo e registro de outra forma. 3- No tenho boa memria para isso (marcou sempre). 4- Apenas anoto at memorizar, depois elimino. 5- Tenho boa memria. 6- Registro em minha agenda do ao correte discretamente. A agenda fica na gaveta da estao de trabalho trancada com chave. 7- Registro de modo que ningum descobre isso at eu gravar a senha. Depois rasgo o papel e jogo fora. 8- Memorizo todas as minhas senhas. 9- S para a criao depois no mais necessrio. 10- Quem registra senha desconsidera sua privacidade ou segurana. 2.18 Considerando o grau de confiana entre ns funcionrios da SEPLAG, empresto a senha de acesso ao sistema para uma pessoa poder acessar o sistema no caso de minha ausncia. Justificativa: 1. Para grupo muitssimo restrito. Apenas pessoas de inteira confiana. 2. Somente para pessoa de confiana onde compartilho os mesmos tipos de servio. 3. Pessoas de confiana. 4. Minha segurana. 5. No tem sido necessrio. 6. Ao meu estagirio. 7. Embora no trabalho com assuntos sigilosos, acho que cada um deve ser responsvel pelo o que faz. 8. Mas minhas chefas fazem isso. Para mim... 9. A secretria da parte da manh utiliza minha senha devido ao compartilhamento do Outlook do diretor. 10. Infelizmente vejo muita gente que sabe a senha dos outros. 11. Apenas para pessoal da minha coordenao. 12. SIAD/SISAP/SIPRO setor DCGDS/PV. 13. Somente a pessoas indicadas para substituio (frias). 14. O meu grau de confiana nas pessoas no me permite.

122

2.19 Considerando o grau de confiana entre ns funcionrios da SEPLAG, acesso a rede corporativa da SEPLAG com a identificao de outro usurio. Justificativa: 1- S se for de minha necessidade. 2- No tem sido necessrio. 3- Quando tenho que pegar algum arquivo. Meu computador no est na rede. 4- No tenho identificao de outro funcionrio e nem pretendo ter. 5- Acesso com a senha da minha chefe quando preciso. 6- Somente quando o colega de trabalho necessita. 7- Trabalho com responsabilidade. Todas as instituies tm normas e regras que devem ser seguidas. 8- Somente com autorizao da mesma. 9- O meu grau de confiana nas pessoas no me permite 2.20 Procuro conhecer as normas da SEPLAG a respeito do uso de computadores e sistemas computacionais. Justificativa: 1- Fiz isso somente uma vez por simples curiosidade. 2- Necessidade de servio s vezes me impede. 3- Aqui meu local de trabalho. 4- Como ser humano que sou e aprendeu respeito por tudo e todos. 5- Sempre procuro respeitar as normas da SEPLAG. 6- Respeito e sou respeitada pelos amigos da rea de manuteno e administrao de informtica, acredito que seja por respeito s normas.

123

APNDICE C TABULAO DA PESQUISA UTILIZANDO O SOFTWARE SPSS - RESULTADOS

Conhecimento da PSI Cumulative Percent 48,6 91,9 94,6 100,0

Frequency Valid Concordo totalmente Concordo parcialmente Indiferente Discorda parcialmente Total 36 32 2 4 74

Percent 48,6 43,2 2,7 5,4 100,0

Valid Percent 48,6 43,2 2,7 5,4 100,0

Participao de treinamento da PSI Cumulative Percent 56,8 75,7 85,1 100,0

Frequency Valid Concordo totalmente Concordo parcialmente Discorda parcialmente Discorda totalmente Total 42 14 7 11 74

Percent 56,8 18,9 9,5 14,9 100,0

Valid Percent 56,8 18,9 9,5 14,9 100,0

Qualidade da PSI da SEPLAG Cumulative Percent 35,1 78,4 89,2 97,3 100,0

Frequency Valid Concordo totalmente Concordo parcialmente Indiferente Discorda parcialmente Discorda totalmente Total 26 32 8 6 2 74

Percent 35,1 43,2 10,8 8,1 2,7 100,0

Valid Percent 35,1 43,2 10,8 8,1 2,7 100,0

Rigidez do controle de SI Cumulative Percent 5,4 48,6 62,2 82,4 100,0

Frequency Valid Concordo totalmente Concordo parcialmente Indiferente Discorda parcialmente Discorda totalmente Total 4 32 10 15 13 74

Percent 5,4 43,2 13,5 20,3 17,6 100,0

Valid Percent 5,4 43,2 13,5 20,3 17,6 100,0

124
A SI um modismo Cumulative Percent 1,4 13,5 21,6 40,5 100,0

Frequency Valid Concordo totalmente Concordo parcialmente Indiferente Discorda parcialmente Discorda totalmente Total 1 9 6 14 44 74

Percent 1,4 12,2 8,1 18,9 59,5 100,0

Valid Percent 1,4 12,2 8,1 18,9 59,5 100,0

A SEPLAG oferece os instrumentos para a prtica da SI Cumulative Percent 12,2 52,7 68,9 89,2 100,0

Frequency Valid Concordo totalmente Concordo parcialmente Indiferente Discorda parcialmente Discorda totalmente Total 9 30 12 15 8 74

Percent 12,2 40,5 16,2 20,3 10,8 100,0

Valid Percent 12,2 40,5 16,2 20,3 10,8 100,0

A realidade do dia-a-dia diferente da PSI Cumulative Percent 37,8 75,7 90,5 94,6 100,0

Frequency Valid Concordo totalmente Concordo parcialmente Indiferente Discorda parcialmente Discorda totalmente Total 28 28 11 3 4 74

Percent 37,8 37,8 14,9 4,1 5,4 100,0

Valid Percent 37,8 37,8 14,9 4,1 5,4 100,0

A informao deve circular livremnente Cumulative Percent 9,5 28,4 39,2 55,4 100,0

Frequency Valid Concordo totalmente Concordo parcialmente Indiferente Discorda parcialmente Discorda totalmente Total 7 14 8 12 33 74

Percent 9,5 18,9 10,8 16,2 44,6 100,0

Valid Percent 9,5 18,9 10,8 16,2 44,6 100,0

125
Descriptive Statistics N Bloqueio da estao Desligamento da estao Utilizao da estao para trabalho Download e instalao de software Compartilhamento de pastas sem senha Consumo de alimentos e bebidas na estao de trabalho. Backup dos dados da SEPLAG que se encontram na estao Utilizao de jogos na estao de trabalho Reporte dos incidentes de segurana Utilizao da Internet da SEPLAG Respeito aos direitos autorais, regras de licenciamento, etc. na Internet Transferncia de arquivos sigilosos da SEPLAG com senha Utilizao de software de comunicao instantnea Utilizao de salas de bate papo (chats) na estao de trabalho Utilizao de senhas distintas das anteriores Criao de senhas fracas Registro de senhas em papel Emprstimo de senha de acesso ao sistema Acesso a rede corporativa Busca pelo conhecimento das normas da SEPLAG Mdia geral sem expurgo 74 74 74 74 73 Minimum 1 2 1 1 1 Maximum 5 5 5 5 5 Mean 4,00 4,85 4,05 4,69 3,23 Std. Deviation 1,271 0,566 0,774 0,875 1,477

74

3,51

1,138

74

2,24

1,191

74 73 74

1 1 1

5 5 5

4,53 3,55 3,12

0,798 1,546 1,059

70

4,50

0,864

66

2,82

1,745

72 74

1 1

5 5

4,64 4,81

0,969 0,822

73 73 73 73 73 74

1 1 1 1 1 2

5 5 5 5 5 5

3,85 3,58 4,44 4,22 4,48 4,08 3,96

1,421 1,301 1,027 1,044 0,899 0,976

126

ANEXOS

ANEXO A CRIAO DO COMIT MULTIDISCIPLINAR DE SEGURANA DA INFORMAO RESOLUO SEPLAG N 002, DE 19 DE JANEIRO DE 2006

Institui Multidisciplinar de

Comit da

Segurana

Informao da Secretaria de Estado de Planejamento e Gesto - CMSI, e d outras providncias.

O SECRETRIO DE ESTADO DE PLANEJAMENTO E GESTO,, no uso das atribuies conferidas pelo art. 93 da Constituio do Estado de Minas Gerais, e considerando a necessidade de implementar, no mbito da Secretaria de Estado de Planejamento e Gesto SEPLAG/MG, processo sistemtico e abrangente para a gesto da segurana da informao,

RESOLVE: CAPTULO I DISPOSIES PRELIMINARES Art. 1. Fica institudo o Comit Multidisciplinar de Segurana da Informao - CMSI, com a competncia de deliberar sobre as diretrizes de elaborao, implantao, acompanhamento e aperfeioamento da gesto da segurana da informao, no mbito da SEPLAG/MG. 1. Para os fins do disposto nesta Resoluo a palavra Comit e a expresso Comit Multidisciplinar de Segurana da Informao CMSI se equivalem.

127

Art. 2.

Para efeitos desta Resoluo, ficam estabelecidos os

seguintes princpios e conceitos: I - Segurana da Informao: conjunto de medidas que tem como objetivo o estabelecimento dos controles necessrios proteo das informaes durante sua criao, aquisio, uso, transporte, guarda e descarte, contra destruio, modificao, comercializao ou divulgao indevidas e acessos no autorizados, acidentais ou intencionais, garantindo a continuidade dos servios e a preservao de seus aspectos bsicos, a saber: confidencialidade, integridade, disponibilidade, autenticidade e legalidade; II - Confidencialidade: garantia de que a informao acessvel somente por pessoas autorizadas; III - Integridade: salvaguarda da exatido e completude da informao e dos mtodos de processamento; IIII - Disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes; IV - Autenticidade: garantia de que uma informao, produto ou documento do autor a quem se atribui; V - Legalidade: garantia de que aes sejam realizadas em conformidade com os preceitos legais vigentes e que seus produtos tenham validade jurdica; VI - Usurio: todos aqueles que exeram, ainda que transitoriamente e sem remunerao, por eleio, nomeao, designao, contratao ou qualquer outra forma de investidura ou vnculo, mandato, cargo, emprego ou funo pblica em rgo ou Entidade da Administrao Pblica Estadual direta e indireta.

CAPTULO II DA ORGANIZAO DO COMIT

Art. 3. O Comit, subordinado ao Secretrio de Estado de Planejamento e Gesto, possui natureza permanente, deliberativa, avaliativa e

128

supervisora sobre assuntos relacionados segurana da informao da SEPLAG/MG. Pargrafo nico. No se incluem nas atribuies do Comit a apreciao de atos relacionados s atribuies legais das unidades administrativas da SEPLAG/MG. Art. 4. O Comit composto por: I Secretrio-Adjunto de Estado de Planejamento e Gesto; II Subsecretrio de Planejamento e Oramento; III Subsecretrio de Gesto; IV Auditor Setorial; V Chefe de Gabinete. 1. O Comit ser coordenado pelo Secretrio-Adjunto de Estado de Planejamento e Gesto e, no seu impedimento, pelo Subsecretrio de Gesto e pelo Subsecretrio de Planejamento e Oramento, respectivamente. 2. Todos os membros do Comit tero direito a voto e, exceo do Secretrio-Adjunto de Estado de Planejamento e Gesto, devero indicar dois representantes suplentes em seus eventuais impedimentos. 3. Os membros do Comit no podero participar de processos similares do setor privado. 4. Em nenhuma hiptese, a participao nas deliberaes do Comit ensejar remunerao de qualquer espcie a qualquer membro, servidor ou no, sendo considerado servio pblico relevante. CAPTULO III DAS ATRIBUIES DO COMIT Art. 5. As atribuies do Comit pautar-se-o com vistas deliberao em assuntos relacionados ao planejamento, polticas e estratgias direcionadas segurana da informao da SEPLAG/MG.

129

Art. 6. Fica atribudo ao Comit, em carter geral, estimular, acompanhar e implementar, com o apoio das unidades administrativas da SEPLAG/MG, condutas de segurana da informao.

CAPTULO III DO FUNCIONAMENTO DO COMIT Art. 7. O Comit reunir, ordinariamente, na ltima quinzena de cada semestre, ou, extraordinariamente, por convocao do Coordenador do Comit, por solicitao da maioria de seus membros permanentes ou por convocao do Secretrio de Planejamento e Gesto, para avaliao e anlise de assuntos de sua competncia. Art. 8. As deliberaes nas reunies do Comit devem ser tomadas por maioria simples dos seus membros permanentes e, em seus eventuais impedimentos, por seus suplentes. 1. Haver necessidade de quorum mnimo de metade e mais um dos membros para votar as deliberaes do Comit. 2. Na hiptese de empate nas votaes do Comit, o Coordenador decidir por meio do voto de qualidade; 3. Do voto vencido caber recurso dos membros do Comit no prazo de at 3 (trs) dias da data da deciso, com efeito suspensivo, para o Comit; 4. O Comit decidir o recurso no prazo de at 10 dias contados do seu recebimento. Art. 9. Nas reunies do Comit, os membros podero estar acompanhados de consultores devidamente credenciados, os quais no integraro mesa e nem tero direito a voto nas deliberaes. Art. 10. A Superintendncia Central de Governana Eletrnica exercer as atribuies de Secretaria Executiva e prover o apoio tcnico administrativo necessrio ao funcionamento do Comit e a implementao de suas deliberaes.

130

CAPTULO V DAS DISPOSIES FINAIS Art. 11. O Comit poder propor ao Secretrio de Estado de Planejamento e Gesto a alterao de sua composio ou de sua extino por maioria absoluta de seus membros. Art. 12. As unidades administrativas da SEPLAG/MG devero prestar colaborao ao Comit, mediante solicitao da Assessoria de Segurana da Informao. Art. 13. Compete aos membros do Comit: I - zelar pelo sigilo dos assuntos tratados nas reunies; II - votar as deliberaes com independncia; III - apresentar estudos, projetos e proposies relativas s atribuies do Comit; IV - solicitar diligncias e auditorias internas no mbito de atuao do Comit; V - propor alteraes desta Resoluo, quando necessrio; VI propor prioridades em determinados assuntos constantes da pauta de reunio; VII justificar as eventuais ausncias ou impedimentos; VIII declarar-se impedido ou suspeito; IX pedir adiamento da matria a ser deliberada pelos membros do Comit; X comunicar Assessoria de Segurana da Informao, com antecedncia mnima de 24 (vinte e quatro) horas, a sua ausncia, para convocao do respectivo suplente; Pargrafo nico - O disposto neste artigo aplica-se, no que couber, aos componentes da Assessoria de Segurana da Informao. Art. 14. Esta Resoluo entra em vigor na data de sua publicao.

131

Belo Horizonte, aos 19 de janeiro de 2006,

ANTNIO AUGUSTO ANASTASIA Secretrio de Estado de Planejamento e Gesto

132

ANEXO B POLTICA DE SEGURANA DA INFORMAO DA SEPLAG DIRETRIZES

RESOLUO N 011, DE 20 DE FEVEREIRO DE 2006.

Institui a Poltica de Segurana da Informao no mbito da Secretaria de Estado de Planejamento e Gesto do Estado de Minas Gerais

O SECRETRIO DE ESTADO DE PLANEJAMENTO E GESTO, no uso das atribuies conferidas pelo art. 93 da Constituio do Estado de Minas Gerais, e pelo art. 3 da Resoluo SEPLAG n 02, de 19 de janeiro de 2006,

RESOLVE

Art.1 Fica instituda a Poltica de Segurana da Informao da Secretaria de Estado de Planejamento e Gesto SEPLAG/MG, constituda por um conjunto de diretrizes e normas que estabelecem os princpios de proteo, controle e monitoramento das informaes processadas, armazenadas ou custodiadas por suas unidades administrativas. Art.2 A Poltica de Segurana da Informao da SEPLAG/MG se aplica a todos aqueles que exeram, ainda que transitoriamente e sem remunerao, por eleio, nomeao, designao, contratao ou qualquer outra forma de investidura ou vnculo, mandato, cargo, emprego ou funo pblica em alguma unidade administrativa vinculada a sua estrutura Art.3 Para efeitos desta Resoluo, ficam estabelecidos os seguintes princpios e conceitos: I- Segurana da Informao: conjunto de medidas que tem como objetivo o estabelecimento dos controles necessrios proteo das informaes durante sua criao, aquisio, uso, transporte, guarda e descarte, contra destruio, modificao, comercializao ou divulgao indevidas e acessos no autorizados, acidentais ou intencionais, garantindo a continuidade dos servios e a preservao de seus aspectos bsicos, a saber: confidencialidade, integridade, disponibilidade, autenticidade e legalidade;

133

II- Confidencialidade: garantia de que a informao acessvel somente por pessoas autorizadas; III- Integridade: salvaguarda da exatido e completude da informao e dos mtodos de processamento; IV- Disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes; V- Autenticidade: garantia de que uma informao, produto ou documento do autor a quem se atribui; VI- Legalidade: garantia de que aes sejam realizadas em conformidade com os preceitos legais vigentes e que seus produtos tenham validade jurdica; VII- Usurio: todos aqueles que exeram, ainda que transitoriamente e sem remunerao, por eleio, nomeao, designao, contratao ou qualquer outra forma de investidura ou vnculo, mandato, cargo, emprego ou funo pblica em rgo ou Entidade da Administrao Pblica Estadual direta e indireta. Art.4 A Poltica de Segurana da Informao da SEPLAG/MG tem como diretrizes: I- Proteo da Informao a) As informaes geradas, adquiridas, armazenadas, processadas, transmitidas e descartadas pelas unidades administrativas devem ter mecanismos de proteo adequados, de forma a proteger sua confidencialidade, integridade, disponibilidade, autenticidade e legalidade. b) Os mecanismos de proteo devem estar em conformidade com a legislao vigente, com o Cdigo de Conduta tica do Servidor Pblico e da Alta Administrao Estadual. recomendvel que os mecanismos de proteo tenham como suporte a verso vigente da norma NBR ISO/IEC 17799 e a srie 27000 da ISO. II- Classificao da Informao a) As informaes devem ser classificadas de forma a serem protegidas adequadamente. Enquanto no existe uma norma geral para a SEPLAG/MG, cada unidade administrativa responsvel pela definio dos critrios de classificao no mbito de sua competncia, de acordo com os termos previstos em Lei. III- Controle de acesso s informaes a) Toda informao utilizada pelas unidades administrativas deve ter seu acesso controlado de acordo com a sua classificao. b) As informaes referentes aos cidados, que estejam sob a custdia da SEPLAG/MG, devem ter seus acessos controlados e restringidos, visando garantir, assim, o

134

direito individual e coletivo das pessoas, a inviolabilidade de sua intimidade e o sigilo de suas informaes, nos termos previstos em Lei. IV- Educao em Segurana da Informao a) Os usurios devem ser instrudos para a correta utilizao das informaes e dos recursos computacionais disponibilizados pela SEPLAG/MG V- Responsabilidade pela Segurana da Informao a) O usurio responsvel pela segurana das informaes a que tenha acesso. b) O usurio deve notificar rea responsvel pela segurana da informao em casos de suspeita ou violao das regras ou em caso de falhas de Segurana da Informao. VI- Gesto de Continuidade do Negcio a) A SEPLAG/MG responsvel por elaborar e manter um plano de continuidade de negcios, de acordo com a sua necessidade, de forma a reduzir os impactos decorrentes da interrupo de servios causada por desastres ou falhas da segurana. Art.5 Para os fins desta resoluo compete: I Ao Comit Executivo de Governana Eletrnica: a) Coordenar as aes necessrias para a implantao do Modelo de Gesto de Segurana da Informao; b) Avaliar periodicamente a Segurana da Informao, por meio da anlise de indicadores e recomendar aes corretivas e preventivas. II Ao Comit Multidisciplinar de Segurana da Informao a) Deliberar sobre assuntos relacionados ao planejamento, polticas e estratgias direcionadas segurana da informao. III- rea funcional a) Identificar necessidades especficas de Segurana da Informao e propor implementaes necessrias; b) Elaborar documentos necessrios Segurana da Informao; c) Elaborar e manter indicadores de Segurana da Informao; d) Elaborar, manter e implementar o Plano de Continuidade dos Negcios; e) Elaborar programas de treinamento e de conscientizao em Segurana da Informao; f) Analisar os incidentes de segurana da informao e recomendar correes necessrias. IV- Auditoria Setorial

135

a) Verificar o cumprimento da Poltica de Segurana da Informao da SEPLAG/MG e recomendar as aes corretivas necessrias. Art.6 O no cumprimento da Poltica de Segurana da Informao da SEPLAG/MG est sujeito s penalidades previstas em Lei. Art.7 Esta Resoluo entra em vigor na data de sua publicao. Belo Horizonte, aos 20 de fevereiro de 2006,

ANTNIO AUGUSTO ANASTASIA Secretrio de Estado de Planejamento e Gesto

136

ANEXO C POLTICA DE SEGURANA DA INFORMAO DA SEPLAG INSTITUI AS NORMAS DE SEGURANA DA INFORMAO

RESOLUO SEPLAG N. 060, de 26 de setembro de 2006.

Institui as Normas de Segurana da Informao na Secretaria de Estado de Planejamento e Gesto.

A SECRETRIA DE ESTADO DE PLANEJAMENTO E GESTO, no uso da atribuio prevista no inciso I, 1, do art. 93, da Constituio do Estado de Minas Gerais,

RESOLVE:

Art. 1 Ficam institudas as Normas de Segurana da Informao, de aplicao no mbito da Secretaria de Estado de Planejamento e Gesto SEPLAG. Pargrafo nico. As Normas de Segurana da Informao para o usurio, so subdivididas em Norma de Utilizao de Estao de Trabalho, Norma de Utilizao de Senhas e Norma de Utilizao de Internet. Art. 2 As Normas estabelecem os regulamentos para utilizao de estaes de trabalho, de senhas e de Internet e a sua aplicabilidade aos usurios da SEPLAG. Art. 3 As Normas estaro disponveis para consulta e conhecimento no stio eletrnico intranet.planejamento.mg.gov.br .

Art. 4. Compete Superintendncia Central de Governana Eletrnica SCGE, por meio da Diretoria Central de Gesto da Informao DCGI, a atualizao das Normas referidas nesta Resoluo, em caso de haver alguma modificao da legislao, dos critrios e procedimentos.
Art. 5 Esta Resoluo entra em vigor na data de sua publicao. Art. 6 Revogam-se as disposies em contrrio.

Belo Horizonte, 26 de setembro de 2006.

RENATA MARIA PAES DE VILHENA Secretria de Estado de Planejamento e Gesto

137

ANEXO D POLTICA DE SEGURANA DA INFORMAO DA SEPLAG NORMA DE UTILIZAO DA ESTAO DE TRABALHO

SECRETARIA DE ESTADO DE PLANEJAMENTO E GESTO SUPERINTENDNCIA CENTRAL DE GOVERNANA ELETRNICA DIRETORIA CENTRAL DE GESTO DA INFORMAO POLTICA DE SEGURANA DA INFORMAO NORMAS DE USURIOS

UTILIZAO DE ESTAO DE TRABALHO

1. FINALIDADE 1.1. Estabelecer os regulamentos para a utilizao de estaes de trabalho da SEPLAG. 2. APLICABILIDADE 2.1. Todos os usurios da SEPLAG. 3. CONCEITOS 3.1. Antivrus Programa que permite identificar e eliminar vrus em computadores. 3.2. ASI rea responsvel pela Segurana da Informao na SEPLAG. 3.3. Backup Cpia de segurana de dados feita para salvaguardar arquivos. 3.4. Estao de trabalho Todos os computadores, notebooks e PDAs da SEPLAG interligados ou no na rede corporativa. 3.5. Hardware - todo e qualquer dispositivo que fsico em um computador. Exemplo monitor, gabinete, impressora, mouse, unidade de CD, unidade de DVD, entre outros. 3.6. Incidente de Segurana da Informao uma indicao de eventos, indesejados ou inesperados, que podem ameaar a Segurana da Informao. 3.7. Logout Processo de sada no sistema. 3.8. Mdias Meio fsico utilizado para armazenar dados, tais como fitas, discos, CDs, entre outros. 3.9. PDA (Personal Digital Assistant ou Assistente Pessoal Digital) Computador de mo com possibilidade de interconexo com um computador pessoal ou com uma rede para acesso a sistemas. 3.10. Rede Corporativa So computadores e outros dispositivos interligados que compartilham informaes ou recursos da SEPLAG. 3.11. Senha Validao da identidade do usurio para obteno de acesso a um sistema de informao ou servio. 3.12. Sistema Operacional - Programa ou conjunto de programas que responde pelo controle da alocao dos recursos do computador, como memria, tempo de processador, espao em disco e outros dispositivos. 3.13. Software Programa de computador. 3.14. Usurio todo aquele que exera, ainda que transitoriamente e sem remunerao, por eleio, nomeao, designao, contratao ou qualquer outra forma de investidura ou vnculo, mandato, cargo, emprego ou funo pblica em rgo ou Entidade da Administrao Pblica Direta e Indireta do Estado de Minas Gerais.

138

SECRETARIA DE ESTADO DE PLANEJAMENTO E GESTO SUPERINTENDNCIA CENTRAL DE GOVERNANA ELETRNICA DIRETORIA CENTRAL DE GESTO DA INFORMAO

POLTICA DE SEGURANA DA INFORMAO NORMAS DE USURIOS

UTILIZAO DE ESTAO DE TRABALHO

4. REGRAS GERAIS 4.1. As estaes de trabalho so disponibilizadas aos usurios como uma ferramenta de apoio s atividades profissionais e seu uso deve ser restrito s atividades relacionadas com os negcios/servios da SEPLAG. 4.2. A estao de trabalho disponibilizada aps o usurio assinar o Termo de Responsabilidade, anexo a este documento. 4.3. O uso das estaes de trabalho permitido apenas a usurios autorizados. 4.4. Todo usurio deve bloquear, por meio de protetor de tela, sua estao de trabalho ou efetuar logout da rede corporativa antes de se ausentar do seu local de trabalho. 4.5. O usurio deve desligar a sua estao de trabalho no final do expediente. 4.6. Somente softwares autorizados pela rea de Informtica devem ser instalados nas estaes de trabalho. 4.7. Os dispositivos sem utilizao nas estaes de trabalho devem ser desabilitados. 4.7.1. Em caso de necessidades especficas, a habilitao pode ser efetuada mediante justificativa do usurio e com autorizao da rea de Informtica. 4.8. O compartilhamento de diretrios (pastas) somente permitido com senha de acesso. 4.9. O usurio deve evitar comer, fumar ou beber prximo as estaes de trabalho. 4.10. Os acessos s estaes de trabalho com privilgios de administrador so restritos rea de Informtica. 4.10.1. As excees devem ser solicitadas pela chefia imediata do usurio com justificativa e liberada aps avaliao e autorizao da rea de Informtica. 4.11. O backup e a guarda das informaes armazenadas nas estaes de trabalho so de responsabilidade do usurio. 4.12. Os servios de expanso, substituio ou manuteno das estaes de trabalho e dos softwares devem ser executados somente pela rea de Informtica. 4.13. A utilizao de mdias particulares para armazenamento de informaes da SEPLAG devem ser monitoradas pela direo. 5. NO PERMITIDO 5.1. Conectar qualquer dispositivo no autorizado pela rea de Informtica nas estaes de trabalho. 5.2. Conectar qualquer estao de trabalho na rede corporativa da SEPLAG sem autorizao da rea de Informtica. 5.3. Violar os lacres das estaes de trabalho. 5.4. Alterar a configurao de hardware e de software da estao de trabalho sem autorizao da rea de informtica. 5.5. Deixar os notebooks e PDAs desprotegidos em locais de alto risco de furto e roubo, tais como: locais pblicos, eventos, hotis, carros, entre outros.

139

SECRETARIA DE ESTADO DE PLANEJAMENTO E GESTO SUPERINTENDNCIA CENTRAL DE GOVERNANA ELETRNICA DIRETORIA CENTRAL DE GESTO DA INFORMAO

POLTICA DE SEGURANA DA INFORMAO NORMAS DE USURIOS

UTILIZAO DE ESTAO DE TRABALHO

5.6. Utilizar as estaes de trabalho da SEPLAG para jogos. 6. RESPONSABILIDADES 6.1. Usurios 6.1.1. Utilizar adequadamente a estao de trabalho. 6.1.2. Realizar backup dos dados armazenados na estao de trabalho. 6.1.3. Reportar incidentes de segurana da informao ASI. 6.2. Direo 6.2.1. Orientar os usurios sob sua coordenao para o uso adequado da estao de trabalho. 6.2.2. Monitorar as atividades de parceiros e contratados sob sua responsabilidade. 6.2.3. Monitorar a utilizao de mdias particulares para armazenamento de informaes da SEPLAG. 6.3. rea de Informtica 6.3.1. Fornecer e configurar as estaes de trabalho para os usurios da SEPLAG. 6.3.2. Manter o antivrus e as correes de segurana do sistema operacional das estaes de trabalho atualizados. 6.4. ASI 6.4.1. Analisar os incidentes de segurana da informao e recomendar aes corretivas e preventivas. 6.4.2. Autorizar, quando necessrio, o uso de mdias particulares para armazenar dados da SEPLAG. 6.5. Auditoria Setorial 6.5.1. Verificar a conformidade com o estabelecido nesta norma e recomendar as aes necessrias. 7. PENALIDADES 7.1. O no cumprimento desta norma est sujeito s penalidades previstas em Lei.

140

ANEXO E POLTICA DE SEGURANA DA INFORMAO DA SEPLAG NORMA DE UTILIZAO DA INTERNET

SECRETARIA DE ESTADO DE PLANEJAMENTO E GESTO SUPERINTENDNCIA CENTRAL DE GOVERNANA ELETRNICA DIRETORIA CENTRAL DE GESTO DA INFORMAO POLTICA DE SEGURANA DA INFORMAO NORMAS DE USURIOS

UTILIZAO DA INTERNET

1. FINALIDADE 1.1. Estabelecer os regulamentos para o uso da Internet na SEPLAG. 2. APLICABILIDADE 2.1. Todos os usurios da SEPLAG. 3. CONCEITOS 3.1. ASI rea responsvel pela Segurana da Informao na SEPLAG. 3.2. Cavalo de Tria Programa de computador com utilidade aparente ou real que contm funes escondidas e adicionais, explorando secretamente as informaes armazenadas e provocando perda da segurana. 3.3. Download a transferncia de um arquivo de outro computador para o seu computador, atravs da Internet. 3.4. Incidente de Segurana da Informao uma indicao de eventos, indesejados ou inesperados, que podem ameaar a Segurana da Informao. 3.5. Internet Rede mundial de computadores. 3.6. Rede Corporativa So computadores e outros dispositivos interligados que compartilham informaes ou recursos da SEPLAG. 3.7. Senha Validao da identidade do usurio para obteno de acesso a um sistema de informao ou servio. 3.8. Software Programas de computador. 3.9. Spam Mensagem de correio eletrnico no solicitada, enviada em larga escala para uma lista de emails, fruns ou grupos de discusso. 3.10. Usurio todo aquele que exera, ainda que transitoriamente e sem remunerao, por eleio, nomeao, designao, contratao ou qualquer outra forma de investidura ou vnculo, mandato, cargo, emprego ou funo pblica em rgo ou Entidade da Administrao Pblica Direta e Indireta do Estado de Minas Gerais. 3.11. Vrus Programa desenvolvido com inteno nociva que, se inserido em um computador, pode causar queda do seu desempenho, destruio de arquivos e disco rgido, ocupar espao livre de memria, entre outros danos. 3.12. Worms Programa ou algoritmo que replica a si prprio atravs da rede e, normalmente, executa aes maliciosas, tais quais utilizar os recursos computacionais, podendo fazer com que a mquina fique indisponvel.

141

SECRETARIA DE ESTADO DE PLANEJAMENTO E GESTO SUPERINTENDNCIA CENTRAL DE GOVERNANA ELETRNICA DIRETORIA CENTRAL DE GESTO DA INFORMAO

POLTICA DE SEGURANA DA INFORMAO NORMAS DE USURIOS

UTILIZAO DA INTERNET

4. UTILIZAO 4.1. O servio de Internet disponibilizado pela SEPLAG para uso em atividades profissionais. 4.2. A SEPLAG reserva para si o direito de monitorar o uso da Internet disponibilizada. 4.3. O usurio deve conduzir adequadamente o uso da Internet, respeitando direitos autorais, regras de licenciamento de softwares, direitos de propriedade, privacidade e proteo de propriedade intelectual. 4.4. O acesso Internet, por meio da rede corporativa, deve ser efetuado somente por equipamentos autorizados pela rea de Informtica. 4.5. Arquivos contendo dados sigilosos da SEPLAG, quando transferidos pela Internet, devem estar protegidos com senhas. 4.6. A utilizao de softwares de comunicao instantnea, tais como ICQ, Microsoft Messenger e afins, permitida somente em casos excepcionais, mediante solicitao encaminhada ASI, informando os motivos e o perodo necessrio. 5. NO PERMITIDO 5.1. Acessar, armazenar, divulgar e repassar qualquer material ligado pornografia e de contedo ilcito, tais como racismo e pedofilia. 5.2. Acessar e propagar qualquer tipo de contedo malicioso, como vrus, worms, cavalos de tria ou programas de controle de outros computadores, bem como spam. 5.3. Utilizar programas ou acessar pginas de bate-papo (chat) de qualquer natureza. 5.4. Utilizar os recursos da SEPLAG para fazer download de software sem autorizao da rea de Informtica. 6. RESPONSABILIDADES 6.1. Usurios 6.1.1. Utilizar adequadamente a Internet disponibilizada pela SEPLAG. 6.1.2. Reportar incidentes de segurana da informao ASI. 6.2. Direo 6.2.1. Orientar os usurios sob sua coordenao sobre o uso adequado da Internet. 6.3. rea de Informtica 6.3.1. Disponibilizar e administrar os recursos de acesso Internet da SEPLAG. 6.3.2. Monitorar o uso da Internet. 6.3.3. Informar os acessos indevidos ASI. 6.4. ASI 6.4.1. Analisar os incidentes de segurana da informao e recomendar aes corretivas e preventivas.

142

SECRETARIA DE ESTADO DE PLANEJAMENTO E GESTO SUPERINTENDNCIA CENTRAL DE GOVERNANA ELETRNICA DIRETORIA CENTRAL DE GESTO DA INFORMAO

POLTICA DE SEGURANA DA INFORMAO NORMAS DE USURIOS

UTILIZAO DA INTERNET

6.5. Auditoria Setorial 6.5.1. Verificar a conformidade com o estabelecido nesta norma e recomendar as aes necessrias. 7. PENALIDADES 7.1. O no cumprimento desta norma est sujeito s penalidades previstas em Lei.

143

ANEXO F POLTICA DE SEGURANA DA INFORMAO DA SEPLAG NORMA DE UTILIZAO DE SENHA

SECRETARIA DE ESTADO DE PLANEJAMENTO E GESTO SUPERINTENDNCIA CENTRAL DE GOVERNANA ELETRNICA DIRETORIA CENTRAL DE GESTO DA INFORMAO POLTICA DE SEGURANA DA INFORMAO NORMAS DE USURIOS

UTILIZAO DE SENHAS

1. FINALIDADE 1.1. Estabelecer os regulamentos para a utilizao de senhas de acessos rede corporativa da SEPLAG. 2. APLICABILIDADE 2.1. Todos os usurios da SEPLAG. 3. CONCEITOS 3.1. ASI rea responsvel pela Segurana da Informao na SEPLAG. 3.2. Incidente de Segurana da Informao uma indicao de eventos, indesejados ou inesperados, que podem ameaar a Segurana da Informao. 3.3. Logon Processo de entrada de um usurio no sistema. 3.4. Rede Corporativa So computadores e outros dispositivos interligados que compartilham informaes ou recursos da SEPLAG. 3.5. Senha Validao da identidade do usurio para obteno de acesso a um sistema de informao ou servio. 3.6. Servidor - Computador responsvel pelo compartilhamento de recursos com os demais computadores a ele conectados. 3.7. Usurio todo aquele que exera, ainda que transitoriamente e sem remunerao, por eleio, nomeao, designao, contratao ou qualquer outra forma de investidura ou vnculo, mandato, cargo, emprego ou funo pblica em rgo ou Entidade da Administrao Pblica Direta e Indireta do Estado de Minas Gerais. 4. GERENCIAMENTO DE SENHAS 4.1. As identificaes e as senhas para acesso rede corporativa so de uso pessoal e intransfervel. 4.2. Na liberao da identificao para o usurio fornecida uma senha temporria, que deve ser alterada no primeiro acesso. 4.3. A senha de acesso do usurio tem, no mnimo, 5 (cinco) e, no mximo, 8 (oito) caracteres. 4.4. solicitada a troca de senha a cada 4 (quatro) meses. 4.5. O usurio deve trocar sua senha sempre que existir qualquer indicao de possvel comprometimento da rede corporativa ou da prpria senha. 4.6. Recomenda-se fortemente que o usurio selecione senhas que: 4.6.1. Sejam fceis de lembrar. 4.6.2. Sejam isentas de caracteres idnticos consecutivos ou de grupos de caracteres somente numricos ou alfabticos.

144

SECRETARIA DE ESTADO DE PLANEJAMENTO E GESTO SUPERINTENDNCIA CENTRAL DE GOVERNANA ELETRNICA DIRETORIA CENTRAL DE GESTO DA INFORMAO

POLTICA DE SEGURANA DA INFORMAO NORMAS DE USURIOS

UTILIZAO DE SENHAS

4.6.3. No sejam baseadas em coisas que outras pessoas possam facilmente adivinhar ou obter a partir de informaes pessoais, tais como nome, sobrenome, nmeros de documentos, placas de carros, nmeros de telefones, datas importantes, entre outras. 5. NO PERMITIDO 5.1. Registrar senha em papel ou em qualquer outro meio que coloque em risco a descoberta da senha por outro usurio. 5.2. Fornecer a senha de acesso rede corporativa da SEPLAG para outro usurio. 5.3. Acessar qualquer rede da SEPLAG por meio da identificao de outro usurio. 5.4. Tentar obter acesso no autorizado, tais como tentativa de fraudar autenticao de usurio ou segurana de qualquer servidor da rede corporativa da SEPLAG. 5.5. Incluir senhas em processos automticos, como por exemplo, em macros ou teclas de funo. 6. RESPONSABILIDADES 6.1. Usurios 6.1.1. Manter o sigilo da senha. 6.1.2. Responder pelo acesso rede corporativa, por meio de sua identificao. 6.1.3. Reportar incidentes de segurana da informao ASI. 6.2. Direo 6.2.1. Orientar os usurios sob sua coordenao sobre a utilizao de senhas. 6.3. rea de Informtica 6.3.1. Padronizar e configurar os critrios das senhas de acesso rede. 6.4. ASI 6.4.1. Analisar os incidentes de segurana da informao e recomendar aes corretivas e preventivas. 6.5. Auditoria Setorial 6.5.1. Verificar a conformidade com o estabelecido nesta norma e recomendar as aes necessrias. 7. PENALIDADES 7.1. O no cumprimento desta norma est sujeito s penalidades previstas em Lei

145

ANEXO G SEQNCIA DE NAVEGAO NA INTRANET DA SEPLAG PARA ACESSO POLTICA DE SEGURANA DA INFORMAO

146

147