Академический Документы
Профессиональный Документы
Культура Документы
Monograa apresentada como requisito parcial para concluso do Bacharelado em Cincia da Computao
Braslia 2010
Universidade de Braslia UnB Instituto de Cincias Exatas Departamento de Cincia da Computao Bacharelado em Cincia da Computao
Banca examinadora composta por: Prof. Dr. Jorge Henrique Cabral Fernandes (Orientador) CIC/UnB Prof. Ms. Joo Jos Costa Gondim CIC/UnB Prof. Dr. Wilson Henrique Veneziano CIC/UnB
Monograa (Graduao) Universidade de Braslia, Braslia, 2010. 1. segurana da informao, 2. gesto da segurana da informao, 3. administrao pblica federal, 4. processos, 5. controles CDU 004.4
Endereo:
Universidade de Braslia Campus Universitrio Darcy Ribeiro Asa Norte CEP 70910-900 BrasliaDF Brasil
Universidade de Braslia
Instituto de Cincias Exatas Departamento de Cincia da Computao
Monograa apresentada como requisito parcial para concluso do Bacharelado em Cincia da Computao
Dedicatria
Ao meu grandioso e maravilhoso Deus, por todas as manifestaes de sua bondade em minha vida.
"esfora-te, faz a obra que Eu te mandei, tem bom nimo, no pasmes, nem te espantes, e Eu serei contigo por onde quer que andares." (Josu 1:8) "esforai-vos e no desfaleam as vossas mos, porque a vossa obra tem uma recompensa." (II Crnicas 15:7) "Quando Deus quer, no h quem no queira." Ayrton Senna
Aos meus pais, ao meu irmo e Fernanda que, com amor e carinho, me proporcionam a conana e apoio que necessito para seguir na busca por nossos sonhos. A todos os meus amigos e colegas, tanto os que trilharam comigo os caminhos desta longa jornada deste curso, quanto os que auxiliaram em tal, sem os quais esta conquista no teria sido to graticante.
Agradecimentos
Ao professor Jorge Fernandes por novamente ser meu orientador em um trabalho de concluso de curso. Tambm aos colegas que ajudaram na pesquisa, discutindo os conceitos envolvidos, respondendo os questionrios das entrevistas e dirimindo dvidas relativas ao ambiente pesquisado.
ii
Resumo
Este trabalho apresenta um estudo de caso sobre a gesto de segurana da informao em uma organizao plica, onde foram analisados os objetivos de controle e controles relacionados segurana da informao implementados nesta entidade. So apresentados os principais problemas e tambm as aes utilizadas at ento neste processo. So feitas avaliaes quanto conformidade da gesto de segurana da informao desta organizao em relao s normas da famlia ISO 27000, sobretudo em relao norma ABNT NBR ISO/IEC 27002 - Cdigo de Prtica para a Gesto de Segurana da Informao e norma ABNT NBR ISO/IEC 27001 - Sistemas de Gestao de Segurana da Informao Requisitos. So analisados tambm fatores crticos de sucesso gesto de segurana da informao em organizaes como por exemplo o apoio da alta administrao, a participao de todas as reas e a conscientizao e capacitao em segurana da informao. Alm destes resultados, discutida tambm a importncia e pertinncia da tcnica de estudo de caso em pesquisas de gerenciamento de segurana da informao em ambientes organizacionais.
Palavras-chave: segurana da informao, gesto da segurana da informao, administrao pblica federal, processos, controles
iii
Abstract
This monograph presents a public organization information security management case study, where information security control objectives and controls implemented in this entity were analyzed. The main problems and also the actions used so far in this process are shown. Assessments are made to verify the compliance of the organization information security management in relation to the standards family ISO 27000, especially in relation to ABNT NBR ISO / IEC 27002 - Code of Practice for the Information Security Management and ABNT NBR ISO / IEC 27001 - Information Security Management Systems - Requirements. This study also analyzes the critical success factors for information security management in organizations such as the support of top management, all areas participation and the information security awareness and training. Besides these results, the importance and relevance of the case study technique for research in information security management in organizational environment are discussed.
Keywords: information security, information security management, federal public administration, processes, controls
iv
Sumrio
1 Introduo
1.1 1.2 1.3 1.4 1.5 1.6 2.1 Problemtica . . . . . . . . Objetivo Geral . . . . . . . Objetivos Especcos . . . . Justicativa . . . . . . . . . Metodologia . . . . . . . . . Organizao deste trabalho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
2 3 3 3 4 4
Governana Corporativa, Sistemas de Informao e Tecnologias da Informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1 Governana Corporativa . . . . . . . . . . . . . . . . . . . . . . . 2.1.2 Sistemas de Informao . . . . . . . . . . . . . . . . . . . . . . . . 2.1.3 Tecnologia da Informao . . . . . . . . . . . . . . . . . . . . . . Princpios da Segurana da Informao . . . . . . . . . . . . . . . . . . . Gesto da Segurana da Informao . . . . . . . . . . . . . . . . . . . . . Objetivos de Controle e Controles de Gesto Segurana da Informao . Sistema de Gesto de Segurana da Informao . . . . . . . . . . . . . . Gerncia de riscos de segurana da informao . . . . . . . . . . . . . . . 2.6.1 Princpios da gerncia de riscos de segurana da informao . . . 2.6.2 Processos que compem a gerncia de riscos . . . . . . . . . . . . 2.6.3 Denio de contexto . . . . . . . . . . . . . . . . . . . . . . . . . 2.6.4 Apreciao de riscos . . . . . . . . . . . . . . . . . . . . . . . . . 2.6.5 Tratamento de riscos . . . . . . . . . . . . . . . . . . . . . . . . . 2.6.6 Aceitao do risco de segurana da informao . . . . . . . . . . . 2.6.7 Monitoramento e reviso . . . . . . . . . . . . . . . . . . . . . . . 2.6.8 Comunicao e consulta . . . . . . . . . . . . . . . . . . . . . . . Consideraes Finais . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
. . . . . . . . . . . . . . . . . . 6 6 7 8 10 12 12 14 16 17 19 21 21 23 24 24 24 24
Administrao Pblica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Segurana da Informao da esfera federal da Administrao Pblica . . . 27 Consideraes Finais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
26
4.3
4.4
30 31 32 32 33 33 34 34 35 35 35 36 36 37
38 39 39 39 40 40
Aspectos do estudo de caso realizado na organizao OPF A Organizao OPF . . . . . . . . . . . . . . . . . . . . . 6.2.1 Natureza e Misso . . . . . . . . . . . . . . . . . . 6.2.2 Competncias e Negcios . . . . . . . . . . . . . . . 6.2.3 Gesto e Estrutura Organizacional . . . . . . . . . 6.2.4 Stakeholdes . . . . . . . . . . . . . . . . . . . . . . 6.2.5 Requisitos de Compliance . . . . . . . . . . . . . . A Segurana da Informao na Organizao OPF . . . . . Consideraes Finais . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
41
41 43 43 43 44 45 45 45 52
Consideraes a cerca da gesto de segurana da informao na organizao OPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Avaliao do atendimento dos objetivos de controle de segurana da informao na organizao OPF . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Comentrios Finais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
53
8 Concluso Referncias
vi
59 61
A.1 Poltica de Segurana da Informao e Gesto de Segurana da Informao A.1.1 Gerente Geral de TI e presidente do comit de segurana da informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.1.2 Gerente Operacional de TI 1 . . . . . . . . . . . . . . . . . . . . . . A.1.3 Analista de TI 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.1.4 Analista Administrativo 1 . . . . . . . . . . . . . . . . . . . . . . . A.2 Aquisio, desenvolvimento e manuteno de Sistemas de Informao e Gesto de Segurana da Informao . . . . . . . . . . . . . . . . . . . . . . A.2.1 Analista de TI 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.2.2 Analista de TI 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.2.3 Analista de TI 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.2.4 Analista de TI 5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.3 Infraestrutura de Tecnologia da Informao (TI) e Gesto de Segurana da Informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.3.1 Gerente Operacional de TI 2 . . . . . . . . . . . . . . . . . . . . . . A.3.2 Gerente Operacional de TI 3 . . . . . . . . . . . . . . . . . . . . . . A.3.3 Gerente Operacional de TI 4 . . . . . . . . . . . . . . . . . . . . . . A.3.4 Analista de TI 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.3.5 Analista de TI 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.3.6 Analista de TI 8 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
65
65
65 68 72 75 78 78 80 81 83 85 85 88 90 93 96 98
B Questionrio vericador de conformidade com a norma ABNT NBR ISO/IEC 27002 102
vii
Lista de Figuras
2.1 2.2 2.3 2.4 2.5 3.1 6.1 Funes de um sistema de informao de acordo com Laudon (2004) . . . Ciclo de vida da informao e as caractersticas deste ativo de acordo com Smola (2003). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Processos de um Sistema de Gesto de Segurana da Informao (SGSI) de acordo com ABNT (2006). . . . . . . . . . . . . . . . . . . . . . . . . Princpios de gerenciamento de riscos de segurana da informao de acordo com Audrey (2002). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Etapas e processos que compem a gerncia de riscos de segurana da informao, considerando o disposto em ABNT (2008). . . . . . . . . . . . 8 . 11 . 15 . 20 . 25
planejamento para disseminar a cultura de segurana da informao no mbito da APF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Estrutura organizacional do nvel hierarquico entre o conselho diretor, as superintendncias, as gerncias gerais, as gerncias executivas e as gerncias operacionais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
viii
Lista de Tabelas
3.1 6.1 7.1 Principais normativos relacionados segurana da informao aplicadas Administrao Pblica Federal . . . . . . . . . . . . . . . . . . . . . . . . . 28 Participantes entrevistados e fcos do questionrios utilizados nas respectivas pesquisas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Avaliao do atendimento dos objetivos de controle de segurana da informao na organizao OPF . . . . . . . . . . . . . . . . . . . . . . . . . . 57
ix
Captulo 1 Introduo
Os sistemas de informao e, sobretudo, as informaes relacionadas a estes caracterizam-se como ativos de grande criticidade para as organizaes. Prover segurana a estes ativos e gerir as aes que garantam a manuteno efetiva desta segurana essencial para o negcio destas. A segurana da informao diz respeito a proteo da informao contra ameaas que possam valer-se das vulnerabilidades deste ativo, preservando-a assim em suas propriedades quais sejam disponibilidade, integridade, condencialidade e autenticidade, dentre outras. importante observar, no entanto, que a segurana da informao no se concentra exclusivamente sobre questes relacionadas tecnologia da informao (TI), visto que a segurana que proporcionada por meios tecnolgicos no supre toda a demanda por segurana que este ativo apresenta, conforme arma a norma ABNT NBR ISO/IEC 27002 - Cdigo de Prtica para a Gesto da Segurana da informao. Esta, juntamente com a norma ABNT NBR ISO/IEC 27001 - Sistemas de Gesto de Segurana da informao, que refere-se aos requisitos de sistemas de gesto de segurana da informao que devem ser implementados por uma organizao; e com a norma ABNT NBR ISO/IEC 27005 Gesto de Riscos de Segurana da informao, que, como o prprio nome indica, relativa ao processo de gesto de riscos de segurana da informao e das suas atividades; alm do restante das normas da famlia ISO 27000; formam um grupo completo de controles contendo as melhores prticas para segurana da informao. Estas normas versam acerca a importncia da segurana da informao, seja ela inerente a organizaes pblicas ou privadas, concentrando indicaes de requisitos e melhores prticas para sistemas de gesto de segurana da informao. Nelas est explcito que a gesto da segurana da informao no deve ser tratada apenas pela rea de TI, mas por todas as reas da organizao, sobretudo pela alta administrao. Esta abordagem condizente com os propsitos de governana corporativa, alm de viabilizar a promoo da conscientizao em segurana da informao, fazendo com que a cultura de segurana da informao seja parte das atividades de seus colaboradores. Considerando a importncia de salvaguardar as informaes, a Administrao Pblica Federal (APF), tem, cada vez mais, discutido e tentado disciplinar a questo da gesto da segurana da informao. Em 2000, foi instituda, pelo decreto 3.505, (Brasil, 2000), a Poltica de Segurana da Informao nos rgos e entidades da APF, que tem como um de seus principais ojetivos:
"Dotar os rgos e as entidades da Administrao Pblica Federal de instrumentos jurdicos, normativos e organizacionais que os capacitem cientca, tecnolgica e administrativamente a assegurar a condencialidade, a integridade, a autenticidade, o no-repdio e a disponibilidade dos dados e das informaes tratadas, classicadas e sensveis; (...)"
Em 2003, o Tribunal de Contas da Unio (TCU) publicou um Guia de Boas Prticas em Segurana da informao com o intuito de auxiliar os rgos e entidades da APF no que tange s suas respectivas gestes de segurana da informao. Este guia teve sua terceira edio publicada em 2008. Tambm em 2008, foram publicadas a instruo normativa GSI/PR no 1, GSI (2008a), que disciplina a gesto de segurana da informao e comunicaes na APF, direta e indireta, e a norma complementar GSI/PR no 2, GSI (2008b), que dene a metodologia de gesto de segurana da informao e comunicaes, baseando-se no processo de melhoria contnua, denominado ciclo Plan-Do-Check-Act (PDCA). Alm desta norma complementar, foi publicada ainda, pela Secretaria de Logstica e tecnologia da Informao do Ministrio do Planejamento Oramento e Gesto (SLTI/MPOG), a instruo normativa SLTI/MPOG no 04, SLTI/MPOG (2008), que, alm de seu objetivo principal que disciplinar a contratao de servios de Tecnologia da Informao pelos rgos e entidades integrantes do Sistema de Administrao dos Recursos de Informao e Informtica - SISP, explicita, no intem 3 do artigo 5, que a gesto de segurana da informao dos referidos rgos e entidades no pode ser objeto de contratao. Em 2009, atentando-se para a criticidade de uma poltica de segurana da informao na gesto da segurana da informao, publicou-se a norma complementar GSI/PR no 3, (GSI, 2009), com o objetivo principal de:
"Estabelecer diretrizes, critrios e procedimentos para elaborao, institucionalizao, divulgao e atualizao da Poltica de Segurana da Informao e Comunicaes (POSIC) nos rgos e entidades da Administrao Pblica Federal, direta e indireta - APF."
1.1 Problemtica
Considerando o teor das publicaes relacionadas APF citadas e a importncia da promoo das aes relativas segurana da informao e a sua gesto, este trabalho teve como propsito vericar a gesto de segurana da informao em uma organizao pblica com foco nos 3 tpicos que se seguem: poltica de segurana da informao, sistemas de informao (aquisio, desenvolvimento e manuteno) e infraestrutura de Tecnologia da Informao (TI) observando se os controles propostos pelas normas ISO 27001 e ISO 27002 tm sido adotados e implementados. Para isso, adotaram-se como questes norteadoras: Como a organizao gerencia a segurana da informao? Quais as melhores prticas e controles de segurana da informao foram adotados/implementados nesta organizao? Que medidas e aes podem ser tomadas para promover mais qualidade gesto de segurana da informao nesta organizao? 2
1.4 Justicativa
Dada a importncia da informao para as organizaes e a decorrente necessidade de garantir a segurana deste ativo, caracteriza-se como fator crtico de sucesso que organizaes pblicas tambm promovam a gesto de segurana de suas informaes. Como exposto em GSI (2008a), as organizaes pblicas, como fornecedoras de servios aos cidados, devem prezar pela segurana das informaes sob sua responsabilidade visto que estas caracterizam-se como ativos valiosos para a eciente prestao desses servios. A segurana da informao, como denido em (Brasil, 2000), prov:
"(...) proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modicao desautorizada de dados ou informaes, armazenados, em processamento ou em trnsito, abrangendo, inclusive, a segurana dos recursos humanos, da documentao e do material, das reas e instalaes das comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaas a seu desenvolvimento."
Porm, faz-se necessria uma gesto acerca das aes e decises de segurana da informao, pois, como armado em ABNT (2005), a efetividade que pode ser provida
1 denominao adotada utilizando o acrnimo para organizao pblica federal
segurana da informao por meios tcnicos limitada. A gesto de segurana da informao permite que a questo da segurana da informao seja pensada tambm em termos das caractersticas organizacionais e humanas, com vistas a promover medidas alinhadas ao negcio da organizao. Assim, a justicativa para este trabalho manifesta-se na importncia e criticidade de se avaliar como est estabelecida a gesto de segurana da informao nos rgos e entidades da APF, valendo-se para isso de um estudo de caso sobre a gesto de segurana da informao na organizao OPF.
1.5 Metodologia
Este trabalho foi elaborado utilizando as seguintes tcnicas: pesquisa bibliogrca e estudo de caso. A pesquisa bibliogrca elencou os conceitos, diretrizes, legislaes e correntes de pensamentos relacionados segurana da informao sobre os quais analisou-se a organizao escolhida para este estudo de caso. O Estudo de caso foi realizado em uma organizao pblica federal (organizao OPF), com vistas a observar os aspectos relacionados gesto de segurana da informao, vericando as aes e controles adotados, utilizando para isso estudos de caso referentes poltica de segurana da informao, aos sistemas de informao (aquisio, desenvolvimento e manuteno) e infraestrutura de TI. Quanto ao estudo de caso, foram utilizados para coleta de dados as seguintes fontes:
Anlide de documentos - o estudo dos documentos que estejam relacionados a organizao OPF e s suas atividades viabiliza o entendimento do seu respectivo negcio, alm dos requisitos de compliance aos quais a mesma est sujeita, para que o estudo da gesto de segurana da informao possa se dar de forma adequada e considere as particularidades desta organizao; Entrevistas individuais - entrevistas direcionadas s pessoas responsveis pelas aes/decises de gesto de segurana da informao na organizao OPF; Observao direta - observaes no ambiente da organizao OPF, com o objetivo de vericar a efetividade das aes de segurana da informao, como tambm as eventuais ausncias de medidas e procedimentos relativos a esta segurana.
Captulo 2
4
Explicitam-se os princpios e conceitos relacionados segurana da informao e sua gesto, alm das normas da famlia ISO 27000 e aspectos (tal como governana corporativa, sistemas de informao, tecnologia da informao, governana de TI etc) relacionados a este tema.
Captulo 3
Neste Captulo, descreve-se o contexto relacionado segurana da informao no mbito da Administrao Pblica Federal, explicitando as leis e diretrizes aplicveis, alm das medidas e aes tomadas quanto a este tema.
Captulo 4
So discutidos os elementos balizadores deste estudo de caso, quais sejam poltica de segurana da informao, sistemas de informao e infraestrutura de TI. So explicitados seus conceitos e delineado o escopo de sua aplicao nesta pesquisa.
Captulo 5
Discorre-se sobre a abordagem de pesquisa baseada em estudo de caso, seus conceitos e princpios, alm das tcnicas que podem ser utilizadas quando da sua aplicao. apresentada tambm uma discusso acerca da utilizao deste tipo de abordagem de pesquisa para estudos relacionados segurana da informao.
Captulo 6
So apresentadas as caractersticas e dados relacionados segurana da informao, observados na organizao OPF, objeto do estudo de caso compreendido por esta pesquisa.
Captulo 7
So discutidos os resultados obtidos, relacionando-os s melhores prticas de segurana da informao. So apresentadas tambm observaes que podem ser importantes para promover mudanas e melhorias no cenrio de segurana da informao da organizao OPF.
Captulo 8
Neste captulo so apresentadas as principais concluses deste trabalho, tal como a importncia dos estudos de caso na rea de segurana da informao e a sua utilizao como vericador de controles de segurana .
Transparncia
1 acionistas;
2 so todos aqueles que, independente de ser ou no acionistas, so partes interessadas nos negcios e
processos da organizao. Ex: funcionrios, fornecedores, clientes, governo etc.
A conana requer o respeito a vrios pontos. Um deles com certeza transparncia no ambiente organizacional. Logo, a informao deve ser livremente disponvel e acessvel para aqueles que sero afetados por ela.
Equidade
A Organizao deve prezar pelo tratamento justo e igualitrio, na medida de suas diferenas, para todos os grupos, minoritrios e majoritrios, tanto dos acionistas, quanto das partes interessadas.
Prestao de contas
essencial que os agentes da governana corporativa, ou seja, aqueles que governam, devam prestar contas de sua poltica queles que os elegeram. Logo, essa informao deve ser transparente e acessvel a todos que dela dependam e dela participem.
Responsabilidade Corporativa
A estratgia da organizao no deve abranger s os seus interesses e os interesses de seus colaboradores, mas deve extrapolar as suas consideraes a m de contemplar todos os relacionamentos com o espao social em que atua IBGC (2004).
importante observar que existe uma relao de complementao entre os princpios em que se baseia o cdigo de melhores prticas, ou seja, eles devem existir conjuntamente e mutuamente se relacionar.
so partes integrantes das organizaes e para uma utilizao efetiva dos mesmos faz-se necessrio um entendimento aprofundado da organizao e de sua administrao. As informaes que so utilizadas nas organizaes so geradas por meio de trs atividades de um sistema de informao: a entrada de dados, o seu processamento e a sada de informaes, como exposto em Laudon (2004) e Fernandes (2010a). Na entrada de dados, recebe-se os dados em sua forma bruta, sem uma organizao. No processamento, esses dados so processados, classicados, organizados e/ou calculados. Essa atividade lhes prove uma forma de serem entendidos. E por ltimo, na sada, temos as informaes disponveis para que possam ser utilizadas pela organizao.
Figura 2.1: Funes de um sistema de informao de acordo com Laudon (2004) Pode-se notar pela gura 2.1 que os fornecedores, os clientes, os concorrentes, acionistas e organizaes reguladoras se relacionam com uma organizao por meio de seu sistema de informao e vice e versa, pode-se notar ainda que as informaes que so geridas pelo sistema de informao podem ser utilizadas como dados para se obter novas informaes. A esse processo chamamos feedback, conforme indicado em Laudon (2004). No captulo 4, os sistemas de informao so discutidos mais detalhadamente, alm de exporem-se aspectos relacionados a sua aquisio, desenvolvimento e manuteno.
a fazer com que a organizao desempenhe suas funes e administre seus negcios. No captulo 4, ser discutida a infraestrutura de TI e os elementos que a compem. Como j dito anteriormente, a informao um ativo crtico para as organizaes, pois os seus negcios dependem dela. Portanto aqueles que, de melhor maneira, a organizam e a preservam, melhores resultados e rendimentos obtm em suas funes e negcios. Atualmente uma tarefa complicada dissociar uma empresa de seus sistemas de informao, e consequentemente da tecnologia da informao que a suporta e da qual ela depende. Fundar e manter a estrutura de tecnologia da informao de uma organizao envolve grande aplicao de capital. Esse investimento muitas das vezes, quando no planejado, pode no produzir o retorno esperado. Logo preciso denir uma estrutura por meio da qual seja possvel o gerenciamento e o controle da rea de TI, objetivando garantir o retorno dos investimentos feitos nesta rea e agregar melhorias aos processos de negcios da organizao. O conceito de governana de TI vem de encontro a isso. De acordo com Ross (2005) e ITGI (2008), governana de TI o termo utilizado para designar as estruturas e processos que buscam maximizar o valor dos objetivos e estratgias da organizao por meio do alinhamento da tecnologia de informao aos interesses da organizao. Como armado em (de Abreu, 2006):
"A Governana de TI busca o compartilhamento de decises de TI com os demais dirigentes da organizao, assim como estabelece as regras, a organizao e os processos que nortearo o uso da tecnologia da informao pelos usurios, departamentos, divises, negcios da organizao, fornecedores e clientes, determinando como a TI deve prover os servios para a empresa."
A TI geralmente no vista de modo transparente pelos outros seguimentos da organizao, pois sua linguagem e seu funcionamento no so compreendidos. S mudanas diretamente efetivadas na base da governana desta rea podem fazer com que a TI seja entendida de maneira holstica e aproveitada de forma abrangente. A adoo de estratgias organizacionais estticas, que se resumem a denir uma estrutura e distribuir funes, possibilitam s organizaes uma ecincia limitada. Os ambientes onde se do as aes e processos de negcios utilizam-se cada vez mais da TI, assumindo um dinamismo que exige das organizaes uma gesto exvel e mais gil, que foca seus esforos e atenes nas tomadas de deciso. Para tal prtica necessrio que a TI esteja alinhada s estratgias e objetivos da organizao, como armado em ITGI (2008). Assim, como defende de Abreu (2006), o modelo de governana de TI deve contemplar tanto um alinhamento estratgico esttico3 quanto um alinhamento estratgico dinmico4 , com isso, alm de derivar sua estratgia da estratgia de negcios, a TI pode potencializar novas oportunidades para a organizao, como por exemplo por meio de novos servios de TI conforme indica a biblioteca ITIL em sua terceira verso, OGC (2007). Embora a segurana da informao, como j armado, no seja uma questo que se restrinja somente rea de TI, muito de suas atenes e medidas so direcionadas para tal, haja visto que a TI proporciona tanto tratamentos para riscos de segurana da informao
3 derivao da estratgia de TI a partir do plano estratgico ou de negcios da organizao; 4 alterao da estratgia de TI em funo da mudana aleatria da estratgia de negcios da organizao.
como tambm vulnerabilidades que podem vir a ser exploradas. Assim fundamental que existam controles especcos voltados para a rea de TI. Para tratar e especicar tcnicas de gesto de segurana das Tecnologias da Informao foi criada a norma ISO/IEC 13335, ISO (2004). Esta norma dene os termos e discute acerca dos modelos de gerenciamento de segurana das tecnologias da informao. Uma nova verso desta norma est sendo elaborada com vistas a atualiz-la e estabelecer tambm tcnicas para gerenciamento de riscos de segurana das tecnologias da informao.
Disponibilidade Integridade
- propriedade que a informao apresenta, de estar disponvel e utilizvel numa eventual requisio de uma entidade autorizada ABNT (2006). - propriedade que a informao apresenta, de estar completa e el ao estado original ABNT (2006).
Condencialidade
- propriedade que a informao apresenta, de estar disponvel apenas para queles que esto autorizados a obt-la ABNT (2006).
5 ativos constituem-se como qualquer coisa que tenha valor para a organizao e que precisa ser protegida. No contexto desse trabalho, o melhor exemplo possvel de ativo a informao; 6 ameaas so as causas potenciais de um incidente indesejado, que podem acarretar danos organizao, ao(s) seu(s) sistemas, aos seus objetivos; 7 vulnerabilidades so fragilidades de um ou vrios ativos que podem eventualmente ser exploradas por ameaas; 8 consequncias so as variaes no esperadas nos objetivos da organizao positiva ou negativamente que advm da ocorrncia dos riscos.
10
um processo de comunicao, foi produzida, expedida, modicada ou destruda por uma determinada pessoa fsica, ou por um determinado sistema, rgo ou entidade Smola (2003). Em Smola (2003) expressa-se que a informao deve ser protegida ao longo de todo o seu ciclo de vida, pois quando este ativo ou os ativos que a utilizam e a suportam (ativos de TI, ativos fsicos e ativos humanos) cam expostos riscos. O ciclo de vida da informao dividido em 4 momentos: manuseio (criao e manipulao da informao), armazenamento, transporte e descarte. Pode-se observar o relacionamento entre o ciclo de vida da informao, e suas propriedades e aspectos, na gura 2.2
Figura 2.2: Ciclo de vida da informao e as caractersticas deste ativo de acordo com Smola (2003). A preservao das propriedades e dos aspectos da informao anteriormente mencionados depende do estabelecimento de uma ao gerencial explcita, que chamada de gesto da segurana da informao (GSI). 11
De acordo com Decreto no . 3.505 Brasil (2000), de 13 de junho de 2000, esse documento tem como principais objetivos: promover as aes necessrias implementao e manuteno da segurana da informao, estabelecer normas jurdicas necessrias efetiva implementao da segurana da informao, conscientizar as organizaes acerca da informao utilizada no mbito corporativo e acerca dos riscos atrelados s vulnerabilidades destas etc. No captulo 4, feita uma exposio maior dos aspectos relacionados a poltica de segurana da informao.
Gesto de Ativos
Trata da proteo dos ativos da organizao (tais como ativos de informao, ativos de software, ativos fsicos, servios, pessoas e ativos intangveis). Aborda itens como inventrio de ativos, responsabilidade por ativos e utilizao de ativos, alm de controles e diretrizes especcos para o ativo informao.
Controle de Acesso
Aborda a dinmica de distribuio e manuteno de acessos aos sitemas de informao da organizao, com o objetivo de controlar o acesso informao e ativos relacionados.
13
Conformidade
Elenca os objetivos de controle e controles necessrios para que a organizao possa respeitar os requisitos de compliance relacionados segurana da informao a que est sujeita, ou seja, tem como objetivo garantir que o conjunto de normas, leis, regulamentaes, polticas etc (impostas interna ou externamente) sejam cumpridos.
Um SGSI, conforme especicado na norma, dentre outros requisitos, prev uma estrutura organizacional denida, metodologia de medio e avaliao, e sistematizao de processos. Por meio de tais, potencializa-se a identicao e correo de pontos fracos na GSI, promoo da cultura de segurana da informao, alcance dos objetivos propostos aos controles implementados etc. 14
Figura 2.3: Processos de um Sistema de Gesto de Segurana da Informao (SGSI) de acordo com ABNT (2006). Os processos do SGSI, que so estruturados com base no modelo Plan-Do-Check-Act (PDCA) e sua sistematizao podem ser visualizados na gura 2.3. Na gura 2.3, que ilustra um SGSI, como em qualquer sistema de informao, temos as entradas, que so as expectativas das partes interessadas e os requisitos de segurana da informao; o processamento que o ciclo de processos do SGSI estruturados com base no modelo PDCA e a sada, que a prpria segurana da informao gerenciada. Alm disso, pode-se observar o relacionamento das partes interessadas com este sistema de informao. Os processos do SGSI proposto so:
condio incerta, algo que pode, ou no, acontecer, e que se acontecer ter um impacto negativo sobre as metas e objetivos da organizao. Resumidamente como arma IRM (2002), risco a combinao da probabilidade de um evento acontecer e suas consequncias nos objetivos da organizao. Chama-se de oportunidade um possvel evento que se acontecer acarrete em impactos vistos como positivos para a organizao. No se pode confundir, aqui, incertezas com riscos, pois esses termos no so sinnimos. O ponto chave para denir o que risco e o que apenas incerteza a relao que esses eventos tm com os objetivos da organizao. Se um evento incerto, mas as suas consequncias so indiferentes organizao ele no se caracteriza como um risco, mas apenas como uma incerteza, pois como armado em Hillson (2007), um risco no pode existir num vcuo. preciso enumerar os objetivos ou informaes que seriam afetados se esse evento ocorresse. Os riscos podem ser divididos por natureza e/ou por origem. Quanto natureza os riscos podem ser categorizados em estratgicos, operacionais e nanceiros, podendo ter naturezas distintas, como tambm, ter vrias naturezas concomitantemente. De acordo com IBGC (2007), podem ser dos seguintes tipos:
Riscos de natureza estratgica - so aqueles ligados tomada de deciso da alta administrao e que podem vir a gerar perdas substanciais no valor econmico da organizao, quedas nos valores de suas aes. Riscos de natureza operacional - so aqueles ligados possibilidade de ocorrncia de perdas (de produo, de ativos, de clientes, de receitas) resultantes de falhas, decincias ou inadequao de processos internos, pessoas e sistemas, assim como de eventos externos como catstrofes naturais, fraudes, greves e atos terroristas. Riscos de natureza nanceira - so aqueles ligados exposio das operaes nanceiras da organizao. So os riscos de que os uxos de caixa no sejam administrados de forma efetiva no possibilitando a maximizao da gerao de caixa operacional, o gerenciamento dos riscos e os retornos especcos das transaes nanceiras, e a captao e aplicao dos recursos nanceiros de acordo com as polticas estabelecidas.
Quanto origem, ainda de acordo com o IBGC (2007), denido que as origens dos eventos podem ser de dois tipos, externas e internas:
Riscos externos - so aqueles eventos que tm ligao com o ambiente macroeconmico, poltico, social, natural ou setorial em que a organizao opera, ou seja, esto ligados sua atuao e geralmente no podem ser tratados diretamente pela organizao. Riscos Internos - so aqueles eventos que se originam no mbito da prpria organizao, pelos seus processos, seu quadro de pessoal ou de seu ambiente de tecnologia, ou seja, so aqueles que so inerentes s atividades da organizao e que, em geral, podem ser tratados com aes pr-ativas por parte da instituio.
da gerncia de riscos, conforme indicado em Audrey (2002), e que podem ser agrupados em trs reas: avaliao de riscos de segurana da informao, gerncia de riscos, e organizao e cultura.
de riscos de segurana da informao para a organizao. As pessoas que o fazem so responsveis por gerenciar as atividades de gerncia de riscos e pela tomada de decises no que diz respeito aos esforos da organizao na manuteno dessa segurana, Audrey (2002). de avaliao exvel, visto que a segurana da informao e a tecnologia de informao mudam muito rpido. Para que isso seja possvel, so necessrios catlogos correntes de informaes, que denem as prticas de segurana aceitas, as fontes e tratamentos conhecidos, assim como suas vulnerabilidades, Audrey (2002).
devem depender de processos e procedimentos denidos e padronizados, que ajudem a organizao a institucionalizar o processo, atribuindo assim coerncia na aplicao da avaliao. Para isso necessria a distribuio de responsabilidades para a execuo dessa avaliao, a denio de todas as atividades de avaliao requeridas (assim como as ferramentas e materiais por elas utilizados) e a criao de um formato comum para documentar os resultados da avaliao, Audrey (2002). tura de segurana ao longo do tempo, as organizaes devem implementar prticas de segurana com base em estratgias e planos. Adotando essa perspectiva, a organizao acaba por institucionalizar esse processo, tornando-o parte da forma como a organizao realiza rotineiramente suas atividades, Audrey (2002).
o presente, o cotidiano, mas o amanh da organizao, ou seja, deve-se tentar preestabelecer aes para eventuais acontecimentos futuros. Esse tipo de viso futura centrado no gerenciamento da incerteza, Audrey (2002). mais crticas de segurana de informao. Para isso necessrio que a mesma 18
use uma coleo de dados direcionados para a coleta de informao acerca dos riscos de segurana e identique os ativos mais crticos para que possa selecionar as prticas de segurana para sua proteo, Audrey (2002).
est diretamente ligado a uma comunicao aberta dentro da organizao, pois no se solucionaria um risco de segurana da informao se o mesmo no fosse comunicado e entendido pelas partes envolvidas. Para sua aplicao, pode-se valer de atividades de avaliao que so desenvolvidas por meio de colaborao e incentivo ao intercmbio de informaes relativas a riscos de segurana entre todos os nveis de uma organizao, Audrey (2002). ganizao, de se chegar a um consenso acerca do que mais importante para a organizao. So diagnosticadas as opinies individuais e posteriormente as mesmas so consolidadas, dando origem a um quadro global de riscos de segurana da informao com o qual a empresa tem de lidar, Audrey (2002). da organizao se unam, formando equipes interdisciplinares, objetivando o entendimento das questes relacionadas segurana da informao. So questes fundamentais relacionadas criao e manuteno dessas equipes interdisciplinares: a sua criao para conduzir a avaliao dos riscos, incluses oportunas de novas perspectivas para essa avaliao, trabalho em equipe para o sucesso dessa avaliao e o impulsionamento s habilidades e capacidades de seus membros, Audrey (2002).
Esses princpios baseiam as atividades de avaliao de riscos de segurana da informao. Pode-se observar na gura 2.4 um quadro resumo desses princpios e a sua disposio.
Figura 2.4: Princpios de gerenciamento de riscos de segurana da informao de acordo com Audrey (2002). processos que as compem, denindo-as em conjuntos de subprocessos/atividades. Para os propsitos deste trabalho, adotar-se-o os processos denidos na ABNT (2008) (visto que esta norma, como j mencionado, uma integrante da famlia de normas 27000 e totalmente aderente ao que proposto pelas normas ABNT (2006) e ABNT (2005) j discutidas): denio de contexto, anlise/avaliao dos riscos, tratamento dos riscos e aceitao dos riscos, alm de um monitoramento e reviso de riscos, e das comunicaes e consultas s partes interessadas, em todas essas etapas. Cada um desses processos deve ter seus resultados, mtodos, fonte de dados e anlises registrados, pois esses registros so um dos requisitos para uma boa governana corporativa, levando-se em conta a necessidade de ser criar e manter esses registros, os custos envolvidos em tal manuteno e as vantagens que sero obtidas por meio de tais, conforme especicado em AS/NZS (2004).
20
Os processos que compem a gerncia de riscos, mostrados na gura 2.5, so descritos a seguir.
Anlise de Riscos
Identicao de riscos
Identicar os riscos delinear e caracterizar os eventos que podem interferir nos propsitos de uma atividade, projeto, processo, organizao, etc, a m de gerenci-los. Para isso, como exposto no IRM (2002), necessrio um conhecimento intrnseco da organizao, do campo em que ela atua, do ambiente em que ela existe, das relaes e servios jurdicos, polticos, sociais, culturais que ela engloba, e sobretudo ter uma viso ampla de seus objetivos, descrevendo as informaes crticas para o seu sucesso. Pode-se dividir a identicao de riscos nas seguintes etapas: identicao dos ativos, identicao das vulnerabilidades, identicao das ameaas, identicao das consequncias, identicao dos controles existentes e registro dessas informaes.
A partir do escopo e limites denidos na denio do contexto, identicamse os ativos e as caractersticas e propriedades dos mesmos so detalhadas, com vista a colher informaes sucientes para a anlise/avaliao de riscos. A cada ativo, ou a conjuntos deles, devem ser atribudos responsveis, que na tica da gesto de riscos de segurana da informao, so as pessoas mais apropriadas para determinar a valorao desses ativos relativamente organizao.
21
preciso que as vulnerabilidades intrnsecas e extrnsecas aos ativos sejam detalhadas, visto que embora uma vulnerabilidade em si no seja um dano organizao, a sua combinao com uma ameaa o . Uma vulnerabilidade que no presente no est sendo explorada, pode futuramente ser, logo preciso que haja um monitoramento sobre todas elas, ABNT (2008) e ABNT (2005).
As ameaas podem ser de origem natural ou humana e podem ser acidentais ou intencionais. Seja qual for o tipo, todas as ameaas e suas fontes devem ser identicadas, ABNT (2008).
Nessa etapa, empenha-se em denir os prejuzos e/ou consequncias para organizao que potencialmente podem decorrer de um cenrio de um incidente, ou seja, que podem decorrer da explorao de uma vulnerabilidade por uma ameaa em um incidente de segurana da informao, essa denio do impacto que pode atingir a organizao denida valendo-se dos critrios de impacto denidos no processo de denio do contexto, ABNT (2008).
A identicao dos controles existentes, visa identicar e analisar se os controles existentes esto atendendo aos ns que lhes deram origem, com vistas a evitar trabalho desnecessrio com duplicao de controles e a sua manuteno ou a sua substituio, ABNT (2008).
Registro de riscos
Aps reconhecer os riscos, estes devem ser registrados em um documento chamado registro de riscos. Inicialmente, quando da execuo da identicao dos riscos, se comea com uma lista preliminar dos riscos identicados, suas causas e as eventuais respostas; porm esse documento abrigar ainda as informaes referentes aos resultados dos outros processos de gerenciamento de riscos que sucedem o processo de identicao.
Estimativa de riscos
Esse processo objetiva desenvolver a compreenso dos riscos. A observao nessa etapa se baseia nas consequncias de um determinado evento e nas suas probabilidades de acontecer. Analisando a natureza, as consequncias e as probabilidades dos mesmos, decide-se se os riscos devem ser tratados, com qual prioridade e quais as estratgias de tratamento apropriadas e com melhor custo-benefcio relativos a tais riscos. A estimativa de riscos pode ser qualitativa (geralmente a primeira a ser feita, dando uma viso geral dos nveis dos riscos e identicando os riscos de maior prioridade), quantitativa (em geral utilizada depois de uma estimativa qualitativa, atuando sobre os riscos mais prioritrios, ou que podem trazer maior impacto por meio de suas consequncias) ou semi-quantitativa, AS/NZS (2004).
Avaliao de riscos
22
De acordo com IRM (2002), o processo de avaliao de riscos consiste na comparao dos riscos estimados com os critrios que foram estabelecidos no processo de denio do contexto, que envolviam custos associados ao tratamento dos riscos, benefcios, fatores ambientais, opinies das partes interessadas etc. Alm de considerar a denio do contexto, deve-se levar em conta outros documentos e requisitos tais como: requisitos contratuais, requisitos legais e requisitos regulatrios. O principal objetivo desse processo a tomada de decises a respeito dos riscos que necessitam de tratamentos e daqueles que necessitam de tratamentos prioritrios, baseando-se nos objetivos e no grau de oportunidade que pode ser gerado para a organizao, respeitando o contexto denido, ABNT (2008).
Reduo do risco
Refere-se a selecionar os controles apropriados, de acordo com a denio de contexto e anlise/avaliao de riscos, para mitigar os riscos de segurana da informao.
Reteno do risco
Refere-se a no necessidade de se implementar controles para tratamento de um risco, diante do fato de o nvel desse risco atender aos critrios para a aceitao de riscos. Essa deciso deve ser tomada com base na avaliao de riscos.
Evitar o risco
Quando o tratamento para certos riscos elevados for muito dispendioso, pode-se optar por eliminar a(s) atividade(s) que o causam ou por promover alteraes nas condies de operao de tal.
23
24
Figura 2.5: Etapas e processos que compem a gerncia de riscos de segurana da informao, considerando o disposto em ABNT (2008).
25
26
Regulamento
Lei no 7.232, de 29 de outubro de 1984. Medida Provisria no 2.200-2, de 24 de agosto de 2001. Decreto no 3.505, de 13 de junho de 2000. Decreto no 3.996, de 31 de outubro de 2001. Decreto no 4.553, de 27 de dezembro de 2002.
Assunto
Dispe sobre a Poltica Nacional de Informtica, e d outras providncias. Institui a Infra-Estrutura de Chaves Pblicas Brasileira ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informao em autarquia, e d outras providncias. Institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal. Dispe sobre a prestao de servios de certicao digital no mbito da Administrao Pblica Federal. Dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado, no mbito da Administrao Pblica Federal, e d outras providncias. Institui na estrutura regimental do Gabinete de Segurana Institucional da Presidncia da Repblica o Departamento de Segurana da Informao e Comunicaes com diversas atribuies na rea de segurana da informao e comunicaes. Disciplina a Gesto de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta, e d outras providncias. Dene a metodologia de gesto de segurana da informao e comunicaes utilizada pelos rgos e entidades da Administrao Pblica Federal, direta e indireta.
Instruo Normativa no 1 do GSI, de 13 de junho de 2008. Norma Complementar no 002 Metodologia de gestao de SIC.
27
Estabelece diretrizes, critrios e procedimentos para elaborao, institucionalizao, divulgao e atualizao da Poltica de Segurana da Informao e Comunicaes (POSIC) nos rgos e entidades da Administrao Pblica Federal, direta e indireta - APF. Norma Complementar no 004 - Estabelece diretrizes para o processo de Gesto de Gesto de Riscos. Riscos de Segurana da Informao e Comunicaes GRSIC nos rgos ou entidades da Administrao Pblica Federal, direta e indireta APF. o Norma Complementar n 005 Disciplina a criao de Equipe de Tratamento e - Disciplina criao de ETIR Resposta a Incidentes em Redes Computacionais (CRI). ETIR nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF. Norma Complementar no 006 - Estabelece diretrizes para Gesto de Continuidade GCN. de Negcios, nos aspectos relacionados Segurana da Informao e Comunicaes, nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF. Instruo Normativa no 04, de de Dispe sobre o processo de contratao de servios 19 de maio de 2008. de Tecnologia da Informao pela Administrao Pblica Federal direta, autrquica e fundacional. Tabela 3.1: Principais normativos relacionados segurana da informao aplicadas Administrao Pblica Federal
Alm das legislaes direcionadas, outras medidas tm sido tomadas quanto segurana da informao no mbito da APF, tais como estudos e capacitaes. Quanto a estudos pode-se citar o acrdo no 1603 de 2008, TCU (2008), que analisou a situao da governana de TI nos rgos e entidades da APF e encontrou dentre os vrios problemas: falta de planejamento estratgico institucional e de TI nos rgos/entidades, falta de polticas de segurana da informao, falta de um gerenciamento de riscos de segurana da informao etc. Em contrapartida, as capacitaes tentam promover a segurana da informao na APF. Um grande exemplo disso o curso de especializao em gesto da segurana da informao e comunicaes promovido pelo Gabinete de Segurana Institucional da Presidncia da Repblica em parceria com o Departamento de Cincia da Computao da Universidade de Braslia UnB (2010), que j est em sua terceira turma (que conta com mais de 150 alunos servidores e empregados pblicos federais). Esta especializao faz parte de um programa de segurana da informao na APF de escopo ainda maior. O governo federal, por meio do gabinete de segurana institucional (GSI), estimou em cerca de 900 mil os servidores pblicos federais e a partir desta estimativa, fez o seguinte planejamento para promover a cultura de segurana da informao e comunicaes na APF:
28
Sensibilizar os 900 mil servidores pblicos federais - com vistas a permitir que estes servidores sejam capazes de incorporar s suas atividades de trabalho a segurana da informao e comunicaes; Conscientizar 90 mil servidores pblicos federais - com vistas a permitir que estes servidores sejam capazes de explanar sobre a segurana da informao e comunicaes e sua importncia, e tambm de orientar outros servidores sobre tal; Capacitar 9 mil servidores pblicos federais - com vistas a permitir que estes servidores sejam capazes de utilizar/trabalhar com ferramentas, tecnologias e metodologias importantes na gesto da segurana da informao e comunicaes (tais como gerenciamento de riscos, gerenciamento da continuidade do negcio, controle de acesso, elaborao de polticas de segurana da informao e comunicaes etc); Especializar 900 servidores pblicos federais - com vistas a permitir que estes servidores sejam capazes de reetir acerca da segurana da informao e comunicaes e propor novas abordagens/solues para os assuntos relacionados a esta rea, ou seja, para que estes sejam capazes de atuar como pesquisadores sobre este tema;
A gura 3.1 mostra o esquema deste planejamento para disseminar a cultura de segurana da informao no mbito da APF:
Figura 3.1: planejamento para disseminar a cultura de segurana da informao no mbito da APF
30
Elaborao da Poltica:
Nesta etapa, so estabelecidos os princpios e requisitos que sero expressos na poltica e sero a base da segurana da informao na organizao;
Aprovao da Poltica:
Nesta etapa, so realizadas as atividades necessrias para aprovao da poltica pela alta administrao, tais como mudanas, ajustes, padronizaes etc;
Implementao da Poltica:
Nesta etapa, aquilo que foi planejado e estabelecido pela poltica deve ser institucionalizado com vistas a permitir inserir no desempenho das atividades dos colaboradores a cultura de segurana da informao. Nesta etapa, o apoio da alta administrao muito importante, visto que, na maioria das vezes, so necessrias decises e aes top-down para que as pessoas deixem uma eventual zona de conforto, alm de simbolizar que a segurana da informao no apenas um capricho da TI, mas sim uma questo organizacional.
Manuteno da Poltica:
Nesta etapa, que reinicia o ciclo de implantao da poltica, so feitas revises neste documento com vistas a manter a sua pertincia e aplicabilidade. Revises devem ser executadas a intervalos planejados e tambm quando ocorrerem mudanas signicativas relativas segurana da informao. Alm de seguir as etapas listadas acima, vital que alguns aspectos e requisitos sejam estabelecidos. Em Costa (2009), so elencados 22 fatores crticos de sucesso para elaborao de uma poltica de segurana da informao, estes so citados seguir:
a adequao com a realidade prtica; a aplicao de penalidades; a denio de responsabilidades; a denio de uma estratgia de elaborao; a expectativa determinante para a existncia de cada regra; a formao prvia da equipe de segurana; a incluso dos requisitos de gesto de continuidade do negcio;
31
a linguagem simples, objetiva, clara, concisa e ser de fcil compreenso e aplicabilidade; a necessidade de inventrio de ativos; a participao de pessoas de todas as reas da organizao; a previso de um programa inicial de conscientizao para os usurios a respeito das responsabilidades inerentes ao acesso s informaes e utilizao dos recursos de TI; a referncia da documentao de apoio; a reproduo da necessidade do negcio declarada na misso da organizao; a reviso dos documentos; as metas globais; o apoio e comprometimento da alta direo; o conhecimento por parte da equipe sobre conceitos de segurana; o conhecimento dos principais problemas de segurana da organizao; o embasamento legal (dos requisitos de conformidade com a legislao, regulamentos e contratos); o escopo de todos os processos internos que tangem a segurana da informao; o estabelecimento dos objetivos de controle e os controles adequados; o planejamento estratgico de segurana.
Sommerville (2007), este conjunto de elementos organizados diz respeito parte estrutural de um sistema, enquanto que o processamento da informao diz respeito parte comportamental. Assim, espera-se que um sistema de informao, quando do processamento de informaes, apresente um comportamento determinado pelas estruturas que o compem. Os sistemas de informao suportam processos das organizaes. Para realizar esta funo so feitas abstraes do processo do mundo real, ou seja, reduz-se um fenmeno observvel (no caso, os processos) a uma representao formal para que o mesmo possa ser executado/simulado em um ambiente computacional. Nas especicaes das estruturas e comportamentos destes sistemas, utilizam-se as chamadas linguagens de programao. Conforme explicado em Fernandes (2010a), o objetivo a ser alcanado por meio do sistema de informao o que determina o nvel de abstrao com que os processos sero modelados, visto que o modelo abstrato no apresenta todas as informaes de uma realidade modelada, mas sim uma poro delas para uma determinada perspectiva. Assim, a modelagem de processos para um sistema conduzida com vistas a permitir que este realize as funes para as quais foi criado, atendendo assim aos objetivos relacionados a sua misso.
de forma mais rpida e dinmica. So exemplos de modelos geis: extreme programming (XP) e SCRUM. Observa-se que o melhor modelo de processo de software aquele que atende s necessidades da equipe de software e da organizao, logo o modelo deve ser adaptado s peculiaridades do projeto, e no o contrrio. Os mtodos denem como as atividades elencadas nos processos devem ser realizadas, ou seja, como fazer o levantamento e anlise de requisitos, a modelagem de anlise e projeto, o projeto arquitetural do software, o projeto de suas estruturas ou componentes, o projeto de sua parte comportamenal, testes, mtricas etc. Mtodos para teste de software, por exemplo, como exposto em Pressman (2006), disponibilizam tcnicas e procedimentos para elaborar testes que vericam o processamento interno e fazem validao dos dados de entrada e sada do software. Testes de sistemas de informao so controles abrangidos por ABNT (2006) e ABNT (2005).
4.3 Infraestrutura de TI
De acordo com de Abreu (2006), a infraestrutura de TI diz respeito fundao da capacidade planejada de TI disponvel em forma de servios, ou seja, base onde operam as aplicaes que suportam os processos de negcio da organizao. Segundo Araujo (2010), 34
a infraestrutura de TI composta dos seguintes elementos: computadores e equipamentos relacionados, sistemas de armazenamento e recuperao, software bsico e aplicaes computacionais, sistemas de redes, e instalaes prediais. As prxima sees descrevem estes elementos:
Servidores - So computadores robustos, geralmente com uma boa capacidade de processamento, de memria e de espao em discos. Podem ser de trs tipos: servidor torre (em um gabinete tal qual desktops), servidores em rack horizontal e servidores blade, que so instalados verticalmente em racks e abrigam servidores, storage e switches em um mesmo chassi, conforme indicado em Araujo (2010). Desktops e notebooks - Os computatores pessoais so ativos importantes da infraestrutura de TI, visto que por meio destes que os colaboradores podem usufruir dos servios disponibilizados para a organizao.
35
4.3.4 Redes
Para que a informao possa ser comunicada dentro de ambientes organizacionais, faz-se necessrio um conjunto de elementos da infraestrutura de TI voltado para o estabelecimento dessa comunicao, esses elementos esto relacionados a redes de computadores e telecomunicaes. Como principais elementos da infraestrutura de rede, de acordo com Tanenbaum (2003), podem-se citar:
Placas de rede
Permitem aos computadores se conectar rede de uma organizao, geralmente utilizando o protocolo tcp/ip.
Bridges
So responsveis por interligar duas ou mais redes, atuam tanto como regenerador de sinais, quanto como vericador de endereos contidos nos frames das mensagens.
Hubs
So responsveis pela comunicao entre diferentes redes de computadores (por exemplo uma LAN internet), permitindo que computadores distantes se comuniquem.
Switches
So dispositivos responsveis por reencaminhar mdulos (frames) entre os diversos ns de uma rede.
Repetidores
So esquipamentos responsveis por regenerar o padro de bits de sinais recebidos, com vistas a evitar danos integridade do sinal transmitido e que o mesmo no chegue muito fraco ao prximo ponto da rede.
Gateway
Responsvel por interligar redes que usam protocolos diferentes.
Cabeamento de rede
Para que os dispositivos citados possam realizar suas funes, eles precisam estar conectados. Esta funo dos cabos de rede, possibilitar a comunicao entre os dispositivos de redes. So exemplos de cabos de redes: cabo coaxial, cabo de par tranado e cabo de bra ptica.
Energia
O fornecimento de energia eltria deve ser adequadamente planejado com vistas a garantir alta disponibilidade dos componentes da infraestrutura de TI, evitando que problemas relacionados ao sistema eltrico impactem diretamente nestes componentes. No-breaks e sistemas de energia redundantes devem ser usados para garantir esta estabilidade infraestrutura de TI.
Climatizao
Tambm deve haver um projeto adequado para climatizao do ambiente que abriga a infraestrutura de TI, para que o mesmo seja dimensionado de forma correta e a temperatura e umidade sejam adequadas aos equipamentos.
Controle de acesso
Conforme versa a norma ISO 27002:
"Convm que o acesso informao, recursos de processamento das informaes e processos de negcios sejam controlados com base nos requisitos de negcio e segurana da informao".
Considerando que a infraestrutura de TI composta de elementos crticos aos processos da organizao, faz-se necessrio controlar o acesso aos ambientes que os abrigam, alm de evitar violaes fsicas, danos e interferncias a estes. Esta uma necessidade relacionada no s segurana da informao, como tambm perenidade do negcio. Para tal, podem ser utilizados controles de identicao biomtrica, cmeras de monitorao, sistemas de supresso de incndio etc.
37
38
a pesquisa visa explorar novos processos ou comportamentos, para gerar entendimentos ou teorias (como por exemplo identicar como algo se manifesta ou porque se manifesta); importante que os processos sejam compreendidos em seu contexto organizacional e seja necessria uma abordagem dinmica que consiga acompanhar este uxo; existem variados fatores e relacionamentos que precisam ser estudados para concepo da pesquisa; a pesquisa tem por objeto comportamentos organizacionais informais.
estratgia de pesquisa no for bem elaborado, o estudo pode se delongar e inviabilizar a obteno dos resultados. Como grande parte da explicitao dos resultados encontrados no estudo exposta de forma descritiva, faz-se necessria uma explicao clara do fco da pesquisa, das formas de coleta de dados e dos dados obtidos, alm dos fundamentos em que a anlise dos mesmos foi baseada. Esta explicao explicita a validade e conabilidade do estudo, alm de evitar alegaes de que o estudo foi baseado em uma viso viesada, pois conforme armado em Yin (2001), o pesquisador deve tratar os dados relativos a sua pesquisa de forma imparcial.
40
Observao Direta
Observaram-se os controles de segurana existentes, suas aplicaes e sua eccia; o comportamento dos colaboradores; as relaes com fornecedores e terceiros etc. Estes elementos foram observados ao longo do perodo de janeiro a agosto de 2010.
Anlise documental
41
Foram analisados: a lei de criao da organizao OPF e as leis relacionadas a sua rea de atuao, o regimento interno, o plano diretor de TI e a prvia da poltica de segurana da informao que esta sendo elaborada e ser instituda em breve;
Entrevistas
Por meio dos questionrios que se encontram no apndice deste trabalho, foram realizadas entrevistas, nos meses de maio, junho e julho deste ano, com os responsveis pelas aes e decises relacionadas TI e segurana da informao, assim como com os usurios dos recursos que utilizam estas informaes organizacionais. Estes questionrios tiveram como objetivo principal coletar dados acerca da segurana da informao na organizao OPF, o fazendo por meio da observao de elementos especifcos, mas ao mesmo tempo relacionados entre s, quais sejam: poltica de segurana da informao, sistemas de informao e infraestrutura de segurana da informao. As entrevistas baseadas no questionrio com fco no elemento poltica de segurana da informao foram realizadas com o gerente geral da rea de TI, com um gerente operacional de uma rea da TI, com um analista da rea de TI e com um analista administrativo, para que fossem observadas as consideraes acerca da segurana da informao em diversas perspectivas. As entrevistas baseadas no questionrio com fco nos sistemas de informao foram realizadas com os analistas de TI que trabalham diretamente com a rea de desenvolvimento e manuteno de sistemas de informao e tambm com aqueles que trabalham na sua aquisio. As entrevistas baseadas no questionrio com fco na infraestrutura de TI foram realizadas com gerentes operacionais e analistas da rea de infraestrutura de TI, visto que algumas questes relativas a este questionrio exigiam um conhecimento mais tcnico do assunto. A tabela 6.1 indica quais participantes foram entrevistados com cada tipo de questionrio.
Participante
1 2 3 4 5 6 7 8 9 10 11 12 13 14
Gerente Geral de TI Poltica de Segurana da Informao Gererente Operacional de TI 1 Poltica de Segurana da Informao Analista de TI 1 Poltica de Segurana da Informao Analista Administrativo 1 Poltica de Segurana da Informao Analista de TI 2 Sistemas de Informao Analista de TI 3 Sistemas de Informao Analista de TI 4 Sistemas de Informao Analista de TI 5 Sistemas de Informao Gererente Operacional de TI 2 Infraestrutura de TI Gererente Operacional de TI 3 Infraestrutura de TI Gererente Operacional de TI 4 Infraestrutura de TI Analista de TI 6 Infraestrutura de TI Analista de TI 7 Infraestrutura de TI Analista de TI 8 Infraestrutura de TI Tabela 6.1: Participantes entrevistados e fcos do questionrios utilizados nas respectivas pesquisas 42
Cargo/Funo
Fco do Questionrio
As questes propostas, que motivaram esta pesquisa e que so discutidas nas sees e captulos que se seguem, foram:
Como a organizao OPF gerencia a segurana da informao? Quais as melhores prticas e controles de segurana da informao foram adotados/implementados na organizao OPF? Que medidas e aes podem ser tomadas para promover mais qualidade gesto de segurana da informao na organizao OPF?
Expedir normas e padres que especiquem a base de operao para o setor regulado; Fiscalizar se as empresas que prestam os servios regulados esto de acordo com as normas e padres especicados; Atuar como autoridade legal em matria relacionada ao setor por ela regulado; Administrar o setor regulado no que diz respeito distribuio de concesses para explorao e prestao de servios.
43
Figura 6.1: Estrutura organizacional do nvel hierarquico entre o conselho diretor, as superintendncias, as gerncias gerais, as gerncias executivas e as gerncias operacionais. Os processos relacionados TI da organizao so geridos por uma gerncia geral, que est vinculada Superintendncia de administrao que a superintndencia responsvel pelos assuntos administrativos da organizao OPF tais como: planejamento, oramento, nanas, gesto da informao, recursos humanos e desenvolvimento organizacional. As outras superintendncias que compem a organizao OPF so direcionadas s suas atividades-m. Atualmente toda esta estrutura organizacional conta com aproximadamente 1500 servidores pblicos efetivos, sem contar os colaboradores cedidos de outros rgos e vrios funcionrios terceirizados.
44
6.2.4
Stakeholdes
Conforme armado no captulo 2, stakeholders diz respeito a todos aqueles que tem interesse nos processos de uma organizao e na sua perenidade, so os seus intervenientes. Com relao organizao OPF podem ser citados os seguintes:
Clientes:
Servidores pblicos efetivos de carreira da organizao OPF; Servidores pblicos nomeados para a organizao OPF; Empregados e servidores pblicos cedidos de outros rgos e entidades; Funcionrios terceirizados;
6.2.5 Requisitos de
Compliance
A organizao OPF, como outras entidades e rgos da APF, est sujeita a vrias regulamentaes de compliance. Assim, este conjunto de normas, leis e polticas, e os requisitos a ele associados devem ser observados e cumpridos. Abaixo so listados alguns dos principais requisitos de compliance relacionados segurana da informao a serem observados pela organizao OPF:
Instrues normativas do Gabinete de Segurana da Informao; Instruo Normativa no 04, de 19 de maio de 2008, do Ministrio do Planejamento, Oramento e Gesto; Normas Brasileiras de Segurana da Informao;
A prvia da poltica de segurana da informao que est prevista para ser publicada em breve, apresenta adequao s melhores prticas recomendadas a este tipo de documento e a sua elaborao. Apresenta os conceitos e denies relacionados segurana da informao a ser abordados por ela, alm das leis e normas em que se baseia; os princpios que a orientam e que orientaro a segurana da informao na organizao OPF, assim como as suas diretrizes gerais que estabelecem as linhas-mestras que sero especicadas caso-a-caso posteriormente por outros documentos; as responsabilidades, competncias e penalidades; alm de prever a peridiocidade e os acontecimentos para sua atualizao/modicao. Este documento tem como objetivo ser o marco da promoo da segurana da informao na organizao OPF, visto que at ento no existe um documento que estabelea, para a organizao como um todo, os princpios, diretrizes, necessidades e benefcios relacionados segurana da informao organizacional. Assim, as medidas e procedimentos que agora tentam garantir a segurana da informao de forma pontual, faro parte de um processo institucionalizado, que aliado promoo de uma cultura de segurana da informao na organizao OPF, possibilitar preservar as informaes em sua integridade, condencialidade, disponibilidade, autenticidade e legalidade. A segurana da informao na organizao OPF, at estas iniciativas relativas ao comit de segurana da informao e a poltica de segurana da informao, vinha sendo preocupao unicamente da rea de TI, que tentava garantir pelo menos a segurana nos ativos tecnolgicos. Porm estas medidas sem uma poltica que explicasse o seu intuito e estabelecesse as responsabilidades e regras envolvidas, se tornavam, em alguns casos, inecientes. Pode-se observar esta diculdade na implementao da segurana da informao como tentativa isolada da TI e tambm o entendimento dos colaboradores/usurios destes controles, na resposta do analista administrativo quando perguntado sobre a importncia de uma poltica de segurana da Informao para os colaboradores:
"...muitos dos controles de segurana da informao so entendidos como modismos da rea de TI e a existncia de uma poltica de segurana ajudaria a mudar este entendimento."
Alm desta diculdade, h um consenso entre grande parte dos colaboradores que antes de se cobrar determinados comportamentos e penalizar quando da no observncia destes, deveriam haver esforos para conscientizar e capacitar os colaboradores quanto segurana da informao. Este receio quanto promoo da segurana da informao bem exemplicado pela resposta de um dos participantes da entrevista, quando perguntado se a observncia, por parte dos colaboradores, aos procedimentos de segurana da informao estimulada pela alta administrao:
"Estimula pouco. Penso que o estmulo est ligado a mostrar a importncia de tais procedimentos e capacitar os seus executores para efetu-los, e no se concentrar em denir punies para as infraes, embora este aspecto tambm seja importante."
E tambm na resposta do gerente geral da rea de TI, quando perguntado sobre a percepo que os clientes tm da segurana da informao na organizao OPF:
46
"Ainda no h uma anlise nesse sentido. No entanto, medidas pontuais para aumentar a segurana das informaes j foram combatidas pelos usurios pela ausncia da poltica de segurana."
Embora a organizao OPF tenha dado um grande passo criando um comit de segurana da informao e o designando para elaborar a poltica de segurana da informao, a mudana de cultura para que a segurana da informao seja vista como organizacional e no apenas como algo imposto pela TI um fator importante que deve ser observado. Alguns colaboradores ainda possuem a viso de ponta de iceberg quanto segurana da informao, preocupando-se apenas com aspectos relacionados segurana dos ativos tecnolgicos, quando na verdade a segurana da informao depende tambm de fatores humanos, de processos etc. Mesmo sob as constataes acima explicitadas, os colaboradores consideram que, mesmo que frequentemente de forma reativa, a segurana da informao na organizao OPF consegue na maioria do tempo preservar a integridade, a disponibilidade e a condencialidade das informaes organizacionais. A organizao OPF ainda no gerencia os riscos de segurana da informao aos quais est exposta, o que pode ser decorrente da ausncia de uma poltica de seguraa da informao e tambm pelo fato de a segurana da informao ainda no ser tratada como estratgica, conforme responderam os entrevistados. Existem apenas medidas paliativas que tentam tratar estes riscos e na maioria das vezes acontecem de forma intuitiva ou ad hoc, no chegando a ser um processo formal denido e repetvel. Quanto requisitos de segurana da informao quando dos contratos com terceiros, observa-se algum nvel de maturidade na sua especicao. As recomendaes da Instruo Normativa 04 do Ministrio do Planejamento, Oramento e Gesto so seguidas. So estabelecidos requisitos de segurana da informao para as contrataes, alm de realizada uma anlise dos riscos, ainda que incipiente, das contrataes, caso-a-caso. Ocorre que embora sejam traados os requisitos, sejam previstos termos de sigilo e outros instrumentos para promover o acesso seguro s informaes da Organizao, o acesso, por parte de funcionrios terceirizados, das informaes organizacionais ainda pouco controlado, ou seja, existe um bom planejamento, mas na prtica ele no totalmente executado. Isto pode ser observado pelas respostas do gerente geral de TI e do gerente operacional de TI 1, respectivamente, quando perguntados acerca da existncia de requisitos de segurana da informao em contratos com terceiros:
"Existem, mas os terceiros ainda possuem acesso mais informaes que o necessrio para executar suas funes." "Sim, porm pretende-se aperfeioar por meio de estudos de como est sendo aplicado o controle e requisitos em outros rgos da Administrao Pblica Federal."
O analista de TI 2 ilustrou bem qual o cenrio atual da organizao OPF no que tange a requisitos de segurana da informao tanto para aquisio, desenvolvimento e manuteno de sistemas de informao, quanto para outras aquisies da rea de TI:
Quando falamos em requisitos de segurana e segurana de informao, ainda estamos muito longe de uma cenrio ideal, ainda estamos dando os primeiros passos nessas questes. O contexto de segurana bastante amplo. Acredito que faltam
47
denies no que diz respeito poltica de segurana, organizao de segurana da informao, disseminao da cultura de segurana da informao, implantao de mtodos de desenvolvimento de aplicaes seguras durante todo o ciclo de desenvolvimento. Como falei, estamos dando os primeiros passos.
Quanto aos sistemas de informao, existe, entre os analistas de TI que trabalham como seu desenvolvimento, manuteno e aquisio, uma certa divergncia com reao ao seu tratamento como estratgico pela alta administrao:
"Para alguns sistemas pode at haver essa viso estratgica, o que no signica que dada a devida importncia para tais sistemas. Com relao a investimentos nanceiros, no me acho apto a responder esta questo, j com relao a pessoal e a prpria rea de TI, acredito que os investimentos cam muito a desejar. Como exemplo posso citar a no adoo da TI como uma rea estratgica na organizao." "No. A alta administrao no tem a viso estratgica dos sistemas. Os investimentos so decorrentes das necessidades, mas no h mtricas entre os sistemas e os resultados do rgo." "Sim, a alta administrao tem conscincia da importncia dos sistemas crticos, at porque alguns deles de certa forma se confundem com a prpria atividade da organizao. Desta forma, h sim, um investimento considervel em sistemas de informao dentro da organizao OPF."
Esta divergncia pode ser decorrente da interpretao de que alguns destes sistemas, principalmente os sistemas de misso crtica, tm um tratamento diferenciado pela organizao. Existe tambm uma grande insatisfao quanto questo da capacitao, pois a organizao OPF quando das requisies de treinamento, em observncia sua misso e s suas competncias, prioriza os treinamentos da rea-m o que muitas das vezes desaponta os servidores da rea-meio, principalmente os da rea de TI, colaborando para que estes considerem que os elementos relacionados TI (infraestrutura, sistemas de informao, recursos humanos capacitados etc) no so vistos como estratgicos. Quanto infraestrutura de TI, j existe um certo consenso, pelo menos entre os colaboradores da rea de TI, que os elementos que a compem so crticos para as atividades e misso da organizao OPF e que os mesmos so tratados como estratgicos. H a percepo de que a indisponibilidade dos elementos de infraestrutura impactam diretamente nas atividades, na conabilidade, e na imagem da organizao, conforme exemplicam as respostas dos entrevistados quando perguntados sobre o assunto:
"Internamente a instituio trabalha com base em sistemas de informtica. Alm disto, a mesma instituio prov mecanismos de comunicao e reclamao junto s empresas reguladas e consumidores de todo o Pas. Assim, problemas na infraestrutura de TI iro afetar estes sistemas e consequentemente a imagem da instituio." "Como as atividades tcnicas e administrativas da organizao OPF so suportadas pelos sistemas, as falhas em elementos da inftraestrutura de TI comprometem diretamente na prestao de servios. Tambm na conabilidade da organizao, em relao aos usurios da sociedade brasileira que utilizam os servios disponibilizados e das empresas dos setor que so usurios das aplicaes da organizao OPF."
48
"Como a maior parte dos servios prestados sociedade so suportados por sistemas, a indisponibilidade ou mesmo o baixo desempenho impactam negativamente no desempenho das atribuies da organizao OPF e, por conseguinte, na sua imagem."
Observa-se que a TI levada em considerao quando do planejamento estratgico, inclusive tem um dos maiores oramentos para investimento. Existe a percepo que muitos dos objetivos e metas da organizao OPF s podem ser alcanados se suportados pela rea de TI, assim so planejados investimentos e modernizaes na rea TI (infraestrutura e sistemas de informao principalmente). O paradoxo que no feita uma anlise respeito do retorno sobre estes investimentos, os resultados alcanados pela organizao OPF nem sempre so associados a esta rea. A respostas do analista de TI 5, quando perguntando acerca dos sistemas de informao e sua percepo pela organizao ilustra este contexto:
"Os sistemas so vistos como balizadores das atividades da organizao OPF, ocorre infelizmente que na maioria das vezes eles s so vistos como tais pela rea de TI. Os sistemas de misso crtica ainda tm uma percepo maior, por afetar diretamente vrias reas da organizao, porm a inuncia de outros sistemas, que tambm so importantes, mesmo que indiretamente, para as atividades da organizao OPF, no percebida, a menos que estes sistemas falhem." "Sim, os sistemas de informao so vistos como estratgicos pela alta administrao, inclusive grande parte do oramento da organizao OPF destinada aos investimentos na rea de TI. Muitos dos colaboradors consideram um absurdo a verba destinada a estes investimentos. No transparente para eles que estes investimentos reetem em melhores resultados nas atividades desempenhadas pela organizao, nem que muitos dos resultados alcanados foram possbilitados pelos investimentos citados."
Com relao a caractersticas especcas dos sistemas de informao, foram observadas as seguintes: O processo de validao de dados de entrada e sada dos sistemas de informao, assim como o controle do processamento interno nestes sistemas, no est formalizado. Eles so planejados e executados de acordo com a concepo de cada equipe de projeto de um sistema de informao. Com tudo, h sistemas mais antigos para os quais no foram previstos estes procedimentos. Com relao a atualizaes e mudanas em sistemas operacionais, softwares e pacotes de softwares dos quais os sistemas de informao da organizao dependam, sempre tentase mapear quais sistemas podero ser afetados, e ento so executados testes para vericar a estabilidade destes. So especicados tambm planos de roll back, caso as modicaes no sejam bem sucedidas. No existe uma poltica bem denida quanto ao acesso aos cdigos-fonte dos sistemas de informao. Todavia este acesso controlado por meio dos sofwtares de versionamento, atravs dos quais restringe-se a utilizao destes cdigos a somente s pessoas autorizadas. Est em fase de planejamento a gerncia de congurao e com a instituio deste processo espara-se poder promover uma poltica formal para estes procedimentos. 49
Com relao a controles criptogrcos, observou-se que, embora no exista uma poltica especca para implementao de controles criptogrcos, estes so utilizados em alguns sistemas, principalmente nos sistemas de misso crtica. J em relao ao uso de certicao digital, pde-se observar que, embora tenha sido previsto no plano diretor de TI 2009-2010 que seriam mapeados os sistemas de informao que usariam esta tecnologia, esta utilizao ainda no foi implementada. Porm, existe a utilizao deste tipo de certicao em comunicaes eletrnicas, principalmente quando necessrio garantir a autenticidade dos autores de documentos enviados, e tambm no site, intranet e portal da organizao OPF. O controle relativo ao desenvolvimento terceirizado de software ainda no o recomendado. Conforme j indicado, os terceiros ainda tm mais acesso que o necessrio, alm disso, como armado na resposta do analista de TI 2 quanto a este assunto, os controles existentes no so efetivos.
"Existe alguns controles: acompanhamento dos projetos e equipe de testes. Mas acho que ainda deixam a desejar no que diz respeito a desenvolvimento seguro, cobertura de testes e seguimento dos processos denidos."
J com relao a caractersticas e conguraes da infraestrutura de TI, os seguintes cenrios observados merecem destaque: O Fornecimento de energia e a climatizao so vistos como elementos da infraestrutura de TI. Observa-se que estes itens foram bem planejados e atendem bem s necessidades e criticidade dos servios de TI prestados pela organizao. As instalaes eltricas referentes sala-cofre onde est localizado o DATACENTER, por meio de dois circuitos independentes (com um no-break para cada um deles), proporcionam redundncia no fornecimento de energia com vistas a possibilitar a continuidade dos servios oferecidos. A climatizao tem atendido s necessidades deste ambiente, embora seja necessria uma reviso com vistas a adequ-la aos novos servidores corporativos adquiridos recentemente. Quanto ao gerenciamento de acesso aos ambientes, existem as seguintes categorias de controles:
- O acesso aos prdios e instalaes da organizao OPF controlado. Para tal, deve ser efetuado cadastro na recepo no trreo informando o assunto/motivo da visita, que dever contar com o acompanhamento de um servidor da organizao OPF.
- o acesso a este ambiente feito mediante identicao biomtrica da geometria da mo das pessoas autorizadas que s so cadastradas como tal aps autorizao da chea imediata.
Acesso fsico s salas de switches - as salas de switches existentes em cada andar Monitorao por cmeras de vdeo
s so acessadas mediante o uso de carto magntico, fornecido aos funcionrios autorizados pela gerncia imediata. - os ambientes so monitorados por cmeras de vdeo localizadas em pontos estratgicos das instalaes. Esta monitorao tambm gravada.
50
Observa-se, que a pesar dos controles citados acima, ainda necessria, na organizao OPF, uma conscientizao da importncia de tais controles e de sua observncia. No adianta restringir, por exemplo, o acesso por meio de identicao biomtrica se os funcionrios da limpeza tm acesso a este ambiente sem um responsvel por monitorar tais atividades. A infraestrutura de TI na organizao OPF tem atendido s necessidades do negcio. Foram identicados vrios componentes desta, tais como: DATACENTER, servidores corporativos, switches, roteadores, rewalls etc. Inclusive existe a percepo de que mesmo os componentes de uso individual (como microcomputadores desktops e notebooks ) fazem parte desta infraestrutura, sendo instrumentos importantes na execuo das atividades da organizao OPF. Esta viso pode ser observada nas respostas dos entrevistados, quando perguntados se estes ativos so vistos como necessrios prestao de servios pela organizao:
"(...) Sim, pois os sistemas do rgo exigem boa capacidade de processamento dos microcomputadores dos usurios. No seria ecaz se o investimento em TI desconsiderasse estes equipamentos." "(...) Sim, visto que estes componentes individuais possibilitam a utilizao dos sistemas de informao da organizao OPF, alm de ser o grande possibilitador da utilizao dos servios de TI por parte dos colaboradores." "(...) Tendo em vista que praticamente todos os funcionrios realizam suas atividades laborais fazendo uso de equipamentos de informtica, estes equipamentos so, sim, considerados necessrios eciente prestao dos servidos da organizao."
Com relao estrutura fsica da rede de computadores, observou-se um projeto estruturado e documentado que abrange mais de 75 localidades. Esta estrutura permite o monitoramento e a scalizao de aspectos do setor regulado em todo o Brasil. Esta estrutura composta por switches, rewall, roteadores, servidores de redes etc. Existe uma boa estrutura de armazenamento e recuperao de dados, com poltica e procedimentos de backup bem denidos (dirio, semanal, mensal e anual); servidor de arquivos e, poltica de pastas pblicas e compartilhamentos; utilizao de storage (com capacidade de mais de 15 TB) etc. A poltica e controle dos compartilhamentos inclusive muito eciente, utilizam-se das informaes da base de dados do recursos humanos para distribuir os usurios da rede corporativa em grupos de acesso pr-congurados. Esses grupos so utilizados para denir quem deve ter permisso de acesso nos devidos compartilhamentos. Todas as madrugadas, por meio de scripts, todos os usurios de cada grupo so excludos e logo em seguida, com base nas informaes atualizadas da base de dados dos recursos humanos, so inseridos novamente nestes compartilhamentos. Assim se um colaborador tiver sido lotado em outra rea, ele ser excludo do compartilhamento da rea em que trabalhava e ser includo no da sua nova rea de lotao. Este compartilhamento promove, como observado, condencialidade e disponibilidade de dados e informaes das reas proprietrias dos compartilhamentos, e por conseguinte da organizao OPF. So realizados monitoramentos do funcionamento dos equipamentos da infraestrutura de TI, estes so realizados por uma equipe que observa a disponibilidade dos elementos e servios de TI e tambm por meio do acompanhamento do desempenho e capacidade 51
destes elementos. Entretanto, os resultados destes monitoramentos ainda no so usados para promover melhorias na infraestrutura de TI, o que colabora para uma TI mais reativa. A organizao OPF possui um DATACENTER estruturado em uma sala-cofre localizada nas suas prprias instalaes. O projeto deste seguiu um projeto especco e tem atendido s necessidades do negcio da organizao. Este DATACENTER caracteriza-se como corporativo monoltico e pode ser classicado, segundo a norma TIA 942, como TIER 3. Por meio deste e das suas estruturas so oferecidos servios de armazenamento de dados, de rede, banco de dados, segurana, e-mail corporativo, alm de abrigar os ambientes de desenvolvimento, teste, homologao e produo.
52
da informao
Como a segurana da informao na organizao OPF ainda d os primeiros passos, estes documentos so conhecidos e discutidos somente na rea de TI. Espera-se que com a publicao da poltica de segurana, estes sejam de conhecimento de todos os colaboradores.
da informao
A segurana da informao no vem sendo tratada como estratgica e requerer recursos nanceiros para suas atividades torna-se uma tarefa mais difcil sem essa caracterizao.
54
7.2 Avaliao do atendimento dos objetivos de controle de segurana da informao na organizao OPF
Formulou-se um questionrio vericador de conformidade com a norma ABNT NBR ISO/IEC 27002, presente no Apndice B, com base no Gap Analysis Light proposto em Smola (2003) e no checklist proposto pelo System Administration, Networking and Security Institute (SANS) em SANS (2010). Com base nos resultados obtidos pelo estudo de caso deste trabalho e utilizando como auxiliador este questionrio, avaliaram-se os objetivos de controle de segurana da informao presentes na organizao OPF quanto ao seu atendimento. A tabela 7.1 descreve esta avaliao, onde sim simboliza que todos os controles de um determinado objetivo de controle so atendidos, parcialmente simboliza que alguns controles so atendidos e no simboliza que nenhum controle atendido.
Nmero
4.1 4.2 5.1 6.1 6.2
Objetivo de Controle
Analisando/avaliando os riscos de segurana da informao Tratando os riscos de segurana da informao Poltica de Segurana da Informao Organizao interna Partes externas 55
7.1 7.2 8.1 8.2 8.3 9.1 9.2 10.1 10.2 10.3 10.4 10.5 10.6 10.7 10.8 10.9 10.10 11.1 11.2 11.3 11.4 11.5 11.6 12.1 12.2 12.3 12.4 12.5 12.6 13.1
Responsabilidades pelos ativos Classicao da informao Antes da contratao Durante a contratao Encerramento ou mudana da contratao reas seguras Segurana de equipamentos Procedimentos e responsabilidades operacionais Gerenciamento de servios terceirizados Planejamento e aceitao dos sistemas Proteo contra cdigos maliciosos e cdigos mveis Cpias de segurana Gerenciamento de segurana em redes Manuseio de mdias Troca de informaes Servios de comrcio eletrnico Monitoramento Requisitos de negcio para o controle de acesso Gerenciamento de acesso ao usurio Responsabilidades dos usurios Controle de acesso rede Controle de acesso ao sistema operacional Controle de acesso aplicao e informao Requisitos de segurana de sistemas de informao Processamento correto nas aplicaes Controles criptogrcos Segurana dos arquivos do sistema Segurana em processos de desenvolvimento e de suporte Gesto de vulnerabilidades tcnicas Noticao de fragilidades e eventos de segurana da informao 56
Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Pacialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente No
Gesto de incidentes de segurana No da informao e melhorias 14.1 Aspectos da gesto da continui- Parcialmente dade do negcio, relativos segurana da informao 15.1 Conformidade com requisitos le- Sim gais 15.2 Conformidade com normas e pol- Parcialmente ticas de segurana da informao e conformidade tcnica 15.3 Consideraes quanto auditoria Parcialmente de sistemas de informao Tabela 7.1: Avaliao do atendimento dos objetivos de controle de segurana da informao na organizao OPF
13.2
Observou-se que a gesto de segurana da informao na organizao OPF ainda um processo que se inicia. Assim faz-se extremamente necessrio que nesta etapa de implantao deste gerenciamento, assim como nas fases posteriores de manuteno e melhoria, a governana sobre a segurana da informao seja tratada com ateno, pois ela quem vai direcionar a gesto de segurana da informao de acordo com o negcio da organizao OPF. Com uma governana efetiva (que envolve aspectos como investimento nanceiro e apresentao de resultados alcanados), exercida pela alta administrao, a segurana da informao poder ser reconhecida, por todos os stakeholders, como estratgica e essencial ao negcio. Consoante a esta importncia da governana de segurana da informao na organizao OPF, crtico tambm que os riscos de segurana da informao a que esta organizao est sujeita sejam gerenciados. Assim pode-se proteger os ativos de TI e de negcio das ameaas que podem explorar suas vulnerabilidades e causar impactos e danos a estes ativos e consequentemente organizao OPF. Um outro ponto fundamental e de grande criticidade para que seja possvel estabelecer um sistema de gesto de segurana da informao na organizao OPF a conscientizao dos stakeholdes quanto importncia da segurana da informao para esta organizao. Para que este sistema seja de fato implantando, imprescindvel que exista uma cultura de segurana da informao por parte dos colaboradores e partes interessadas, assim a segurana da informao ser vista, no como uma prtica parte das atividades da organizao, mas como um elemento que deve compor todas elas.
57
Estudos de caso, como o realizado neste trabalho no estudo da gesto de segurana da informao na organizao OPF, podem ser utilizados ainda para preparar e orientar organizaes, para que estas estejam em conformidade com os requisitos, planos e polticas de segurana da informao aos quais esto sujeitas. Assim, pode-se utilizar estes estudos de caso como preparao para auditorias, com o objetivo de identicar, previamente a este tipo de vericao, eventuais falhas e adequaes necessrias.
58
Captulo 8 Concluso
Por meio deste trabalho, e do estudo de caso que ele abrangeu, foi possvel avaliar a organizao OPF quanto sua gesto de segurana da informao, observando os seus controles e a sua efetividade; as normas, diretrizes e legislaes a que est sujeita e a cultura de segurana da informao nesta organizao. Observou-se que a gesto da segurana da informao nesta organizao uma questo ainda inicial, alm de a mesma ainda no contar com uma poltica de segurana da informao, que como pde-se perceber , de fato, um elemento crtico da segurana da informao sobre o qual se basea a estrutura e as aes relacionadas segurana da informao. Assim, a sua ausncia prejudica bastante o gerenciamento desta segurana, visto que a segurana da informao acaba sendo caracterizada como algo informal, que no tem o apoio da alta administrao e que no um processo que envolve todos os colaboradores, dicultando a promoo de uma cultura organizacional em segurana da informao. Pde-se observar tambm que controles de segurana da informao quando desprovidos de alguns fatores, como um processo institucionalizado de gesto, a participao de todas as reas e a percepo da segurana da informao como uma questo sistmica (e consequentemente responsabilidade de todos os colaboradores), tm sua eccia reduzida, visto que estes acabam por no contemplar as necessidades e requisitos especcos do negcio da organizao. Vericou-se que a falta de um sistema de gesto de segurana da informao institudo de maneira formal na organizao OPF prejudica o gerenciamento de segurana de suas informaes. Por meio deste tipo de sistema podem ser denidos requisitos de segurana condizentes com as estratgias do negcio da organizao, alm de se gerenciar riscos, gerenciar a continuidade do negcio e vericar os resultados que a segurana da informao tem trago e pode trazer para esta organizao. Houve tambm a percepo de que a segurana da informao deve ser tratada de forma estratgica pela organizao, pois caso contrrio, este processo ser visto como algo parte das atividades de seus colaboradores e da organizao como um todo, e no como um preceito que deve estar inserido na prpria execuo das atividades. Alm do que, quando a segurana da informao tratada como estratgica, podem ser destinados investimentos para esta questo, destinados a conscientizao dos stakeholders, capacitao de colaboradores, aquisio de recursos tecnolgicos que auxiliem na segurana das informaes etc. 59
Alm destas concluses relativas segurana da informao na organizao OPF e relativas a alguns fatores e aspectos gerais relacionados segurana da informao, puderam ser vericados os benefcios e a aplicabilidade da tcnica de estudo de caso na rea de segurana da informao. Esta tcnica, por possibilitar a utilizao de vrios mtodos e formas de pesquisa (tais como questionrios, entrevistas, observao direta, observao participante etc), consegue compreender os fatores e elementos de um contexto de segurana da informao, considerando tambm as relaes entre eles, que so crticas pesquisa. Observou-se tambm que este tipo de abordagem de pesquisa pode ser utilizada em vrias perspectivas de estudo de segurana da informao, como em vericaes de conformidade, em gesto de riscos, em observaes da governana de segurana da informao, em auditorias e em preparaes para estas, em gap analysis, em vericao e promoo da cultura de segurana da informao etc.
60
Referncias
ABNT (2005). Associao Brasileira de Normas Tcnicas. ABNT NBR ISO/IEC 27002. ABNT, Rio de Janeiro. 3, 10, 12, 13, 14, 15, 16, 20, 22, 30, 34, 35, 36, 41, 53 ABNT (2006). ABNT NBR ISO/IEC 27001. ABNT, Rio de Janeiro. viii, 10, 12, 14, 15, 20, 34, 41 ABNT (2008). ABNT NBR ISO/IEC 27005 - Gesto de riscos de segurana da informao. ABNT, Rio de Janeiro. viii, 12, 16, 19, 20, 22, 23, 24, 25 Alexandrino, M. (1996). Direito Administrativo Descomplicado. Forense. 26 Araujo, A. P. F. (2010). Mdulo: Infraestrutura de Tecnologia da Informao - Curso de especializao em Gesto da Segurana da Informao e Comunicaes. Universidade de Braslia. 34, 35, 36 AS/NZS (2004). Standards Autralian and Standards New Zealand. AS/NZS 4360:2004 RISK MANAGEMENT: Australian/New Zealand Standard. AS/NZS, Autralia: GPO Box 5420, Sydney / New Zealand: Private Bag 2439,Wellington 6020. 16, 19, 20, 21, 22, 23, 24 Audrey, C. A. D. (2002). Managing Information Security Risks: The OCTAVE Approach. Addison Wesley. viii, 16, 18, 19, 20 Brasil (2000). Poder executivo. Decreto-lei n 3505, de 13 de junho de 2000 - Institui a
Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal. Brasil. 1, 3, 13
Costa, D. R. (2009). Fatores Crticos de Sucesso para Elaborao de Polticas de Segurana da Informao e Comunicaes no mbito da Administrao Pblica Federal. Universidade de Braslia. 31 CVM (2002). Comisso de Valores Mobilirios. Cartilha de Governana: Recomendaes da CVM sobre governana corporativa. CVM. 6 de Abreu, A. A. F. . V. F. (2006). Implantando a Governana de TI - da Estratgia Gesto de Processos e Servios. Brasport, Rio de Janeiro. 9, 34 Diniz, F. L. R. D. . P. E. F. (2009). Avaliao preliminar da gesto de segurana da informao em duas organizaes pblicas. Departamento de Cincia da Computao da Universidade de Braslia. 12 61
Faustini, R. (2010). Poltica de segurana da informao. acessado em maio de 2010, http://www.faustiniconsulting.com/artigo05.htm. 12 Fernandes, J. H. C. (2010a). Mdulo: Sistemas, Informao e Comunicao - Curso de especializao em Gesto da Segurana da Informao e Comunicaes. Universidade de Braslia. 7, 8, 33 Fernandes, J. H. C. (2010b). Metologia de Pesquisa de Estudo de Caso no Programa Universidade de Braslia. 38, 39
de Formao de Especialistas para Desenvolvimento da Estratgia e Metodologia Brasileira de Gesto de Segurana da Informao e Comunicaes - PEEMBGSIC: Rev 1.
Gomes, J. S. (2006). O Mtodo de Estudo de Caso Aplicado Gesto de Negcios. Atlas. 38, 39 GSI (2008a). Gabinete de Segurana Institucional da Presidncia da Repblica. Instruo Normativa GSI no 1, de 13 de junho de 2008. GSI. 2, 3, 10 GSI (2008b). Gabinete de Segurana Institucional da Presidncia da Repblica. Norma Complementar GSI no 2, de 14 de outubro de 2008. GSI. 2 GSI (2009). Gabinete de Segurana Institucional da Presidncia da Repblica. Norma Complementar GSI no 3, de 30 de junho de 2009. GSI. 2 GSI (2010). Gabinete de segurana institucional. quadro da legislao relacionada segurana da informao. acessado em julho de 2010, http://www.planalto.gov. br/gsi/cgsi/quadro_legislacao.htm. 27 Gualberto, E. S. (2008). Um modelo de informaes para gerncia de riscos de segurana da informao: aplicao em uma organizao pblica. Departamento de Cincia da Computao da Universidade de Braslia. 16 Hartley, J. F. (1994). Case studies in organizational research. In: CASSELL & SYMON (Ed.) Qualitative methods in organizational research: a pratical guide. Sage, London. 39 Hillson, D. (2007). When is a risk not a risk? Project Manager Today, 1(3):1516. 17 IBGC (2004). Instituto Brasileiro de Gorvenana Corporativa. Cdigo de Melhores Prticas de Governana Corporativa. IBGC, So Paulo. 6, 7 IBGC (2007). Instituto Brasileiro de Governana Corporativa. Guia de Orientao para Gerenciamento de Riscos Corporativos. IBGC, So Paulo, SP. 16, 17, 19 IBGC (2010). Instituto brasileiro de governana corporativa. governana corporativa. acessado em junho de 2010, http://www.ibgc.org.br. 6 IRM (2002). Institute of Risk Management - IRM, The Association of Insurance and Risk Newtown Square, Pennsylvania 19073-3299 EUA. 17, 19, 21, 23 62
Manegers - AIRMIC and National Forum for Risk Management in the Public Sector - ALARM. A Risk Management Standard c AIRMIC, ALARM, IRM:2002. IRM,
ISO (2004). International Organization for Standardization. ISO/IEC 13335 - Guidelines for the management of IT Security. ISO. 10 ITGI (2008). IT Governance Institute. COBIT 4.1: Control Objectives / Management Guidelines / Maturity Models. ITGI, USA. 9 Lameira, V. J. (2001). Governana Corporativa. Forense Universitria, Rio de Janeiro. 6 Laudon, K. C. L. . J. P. (2004). Sistemas de informaes gerenciais: administrando a empresa digital. Prentice Hall, So Paulo. viii, 7, 8, 32 Neto, J. S. (2010). Poltica e Cultura de de Segurana - Curso de especializao em Gesto da Segurana da Informao e Comunicaes. Universidade de Braslia. 31 OGC (2007). ITIL - The Ocial Introduction to the ITIL Service Lifecycle. OGC, Londres. 9 Peltier, T. R. (2004). Information Security Policies and Procedures: a practitioners reference. Auerbach Publications. 30 Pietro, M. S. Z. D. (2010). Direito Administrativo. Atlas. 26, 43 PMI (2004). Project Management Institute, Inc. PMBOK. Pennsylvania 19073-3299 EUA. 19 PMI, Newtown Square,
Pressman, R. (2006). Engenharia de Software. McGraw-Hill. 32, 33, 34 Rezende, D. A. (2005). Engenharia de Software e Sistemas de Informao. Brasport, Rio de Janeiro. 7 Ross, P. W. . J. W. (2005). Governana de TI - Tecnologia da Informao. M. Books, So Paulo. 9 SANS (2010). System administration, networking and security institute. sans iso 17799 checklist. acessado em julho de 2010, http://www.sans.org/score/checklists/ISO_ 17799_checklist.pdf. 55 Shitsuka, D. (2005). Sistemas de Informao: Um Enfoque Computacional. Cincia Moderna, Rio de Janeiro. 7 SLTI/MPOG (2008). Secretaria de Logstica e Tecnologia da Informao do Ministrio
Smola, M. (2003). Gesto da segurana da informao: viso executiva da segurana da informao. Elsevier, Rio de Janeiro. viii, 11, 14, 55 SOFTEX (2009). MPS.BR - Melhoria de Processo do Software Brasileiro. SOFTEX. 34 Sommerville, I. (2007). Engenharia de Software. Addison Wesley. 33 Tanenbaum, A. S. (2003). Redes de Computadores. Campus. 36 63
TCU (2008). Tribunal de Contas da Unio. Acrdo no 1603 de 2008 - Plenrio. TCU. 28 UnB (2010). Universidade de braslia. curso de especializao em gesto da segurana da informao e comunicaes. acessado em julho de 2010, http://selecao.cegsic. unb.br/. 28 Veras, M. (2009). Datacenter Componente Central da Infraestrutura de TI. Brasport. 35 Yin, R. (2001). Estudo de Caso: Planejamento e Mtodos. Bookman, Porto Alegre. 39, 40
64
A seguir so expostas as respostas aos questionrios relativos a sistemas de informao, infraestrutura de tecnologia da informao e poltica de segurana da informao.
aprovao e atualizao consideraram (ou consideraro) as vises de todos os agentes envolvidos? Como isto (ser) feito?
Ainda no. Ela est em desenvolvimento com a participao de todas as reas da instituio.
2. Dos fatores crticos de sucesso, listados abaixo, escolha cinco que consi-
dera mais importantes para a elaborao de uma poltica de segurana da informao, numerando-os de acordo com sua prioridade de 1 a 5 (onde 1 o mais relevante e 5 o menos relevante dentro dos 5 fatores escolhidos):
( ) A adequao com a realidade prtica ( ) A necessidade de inventrio dos ativos 65
( ) O conhecimento por parte da equipe sobre conceitos de segurana ( ) A aplicao de penalidades (2) A participao de pessoas de todas as reas da organizao ( ) O conhecimento dos principais problemas de segurana da organizao ( ) A denio de responsabilidades ( ) A previso de um programa inicial de conscientizao para os usurios a respeito das responsabilidades inerentes ao acesso s informaes e utilizao dos recursos de TI (3) O embasamento legal (dos requisitos de conformidade com a legislao, regulamentos e contratos) ( ) A denio de uma estratgia de elaborao ( ) A referncia da documentao de apoio ( ) escopo de todos os processos internos que tangem a segurana da informao ( ) A expectativa determinante para a existncia de cada regra ( ) A reproduo da necessidade do negcio declarada na misso da organizao ( ) O estabelecimento dos objetivos de controle e os controles adequados ( ) A formao prvia da equipe de segurana ( ) A reviso dos documentos (4) O planejamento estratgico de segurana ( ) A incluso dos requisitos de gesto de continuidade do negcio ( ) As metas globais (5) A linguagem simples, objetiva, clara, concisa e ser de fcil compreenso e aplicabilidade (1) O apoio e comprometimento da alta direo 3. A poltica de segurana da informao estabelece (estabelecer) as linhas-
Sim, e car a cargo das normas e procedimentos operacionais denir melhor essas linhas-mestras para cada assunto que se relacione com segurana da informao. 4. Existem (existiro) previses de reviso da poltica de segurana da in-
rana da informao por partes dos colaboradores? Como isto (ser) mensurado?
66
Ainda no h. Isso ser mensurado atravs do monitoramento contnuo dos recursos de acesso s informaes, atravs da anlise de incidentes de segurana e por auditorias rotineiras. 6. A poltica de segurana da informao dene (denir) expressamente os
Ainda no considerada no planejamento estratgico institucional. 8. A alta administrao (direo) considera a gesto de segurana da infor-
Sim, tanto que aprovou a criao da Comisso de segurana da informao com membros do alto escalo da instituio. 9. A alta administrao (direo) estimula (estimular) os colaboradores
(servidores e terceirizados) a seguir os procedimentos de segurana aprovados pela poltica de segurana da informao? De que forma isto (ser) feito?
Sim, pois a poltica de segurana ser assinada e publicada pela alta administrao.
forma isolada pela rea de TI ou em conjunto com a equipe responsvel pelas decises estratgias da organizao?
Por todas as reas da instituio. Todas esto representadas na Comisso de segurana da informao. 11. O acesso s informaes preserva os critrios de condencialidade, inte-
gridade e disponibilidade?
Esse o objetivo precpuo do trabalho em segurana da informao feito por todas as reas. No entanto existem falhas ocasionais. 12. Na poltica de segurana da informao (existente ou a ser publicada)
Sim, dever ser implementado um programa de gerenciamento de riscos para anlise peridica dos ativos da instituio, com objetivo de identicar e solucionar as vulnerabilidades que resultem em riscos para a segurana das informaes. 13. Como feita a identicao dos riscos? Eles so previstos atravs de um
plano de contingncia?
Ainda no foi executado.
da informao na organizao?
Todos os usurios, mas principalmente a alta administrao e a rea de TI. A segurana da informao de interesse da instituio e da populao brasileira. 67
15. Quais as percepes podem ser notadas dos principais clientes (internos
Ainda no h uma anlise nesse sentido. No entanto, medidas pontuais para aumentar a segurana das informaes j foram combatidas pelos usurios pela ausncia da poltica de segurana. 16. Como gerenciado o acesso informao aos clientes externos? Este
Existem, mas os terceiros ainda possuem acesso mais informaes que o necessrio para executar suas funes. 18. Os colaboradores (servidores e terceirizados) recebem/receberam (rece-
bero) treinamento da Poltica de Segurana da Informao? H previso de processo disciplinar formal para aqueles que a violarem?
A poltica ainda no foi implementada, mas esto previstos capacitao e processo disciplinar formal para os que a violarem. 19. A Gesto da Informao dentro da sua organizao considerada reativa
ou proativa?
Em alguns casos (reas) ela j atingiu maior maturidade e proativa, no entanto em outras ainda reativa. 20. As medidas que dizem respeito segurana da informao so analisadas
aprovao e atualizao consideraram (ou consideraro) as vises de todos os agentes envolvidos? Como isto (ser) feito?
No h poltica de segurana da informao aprovada, todavia um Grupo de Trabalho foi formado com envolvimento do corpo executivo de Gerentes-Gerais da organizao. Aps nalizao da minuta da PSI, a mesma ser publicada no ambiente de intranet para comentrios e participao de todos os usurios. Ao trmino ser encaminhada para aprovao do Presidente da organizao OPF. 68
2. Dos fatores crticos de sucesso, listados abaixo, escolha cinco que consi-
dera mais importantes para a elaborao de uma poltica de segurana da informao, numerando-os de acordo com sua prioridade de 1 a 5 (onde 1 o mais relevante e 5 o menos relevante dentro dos 5 fatores escolhidos):
( ) A adequao com a realidade prtica ( ) A necessidade de inventrio dos ativos ( ) O conhecimento por parte da equipe sobre conceitos de segurana ( ) A aplicao de penalidades (5) A participao de pessoas de todas as reas da organizao ( ) O conhecimento dos principais problemas de segurana da organizao ( ) A denio de responsabilidades ( ) A previso de um programa inicial de conscientizao para os usurios a respeito das responsabilidades inerentes ao acesso s informaes e utilizao dos recursos de TI ( ) O embasamento legal (dos requisitos de conformidade com a legislao, regulamentos e contratos) ( ) A denio de uma estratgia de elaborao ( ) A referncia da documentao de apoio ( ) escopo de todos os processos internos que tangem a segurana da informao ( ) A expectativa determinante para a existncia de cada regra ( ) A reproduo da necessidade do negcio declarada na misso da organizao (4) O estabelecimento dos objetivos de controle e os controles adequados (2) A formao prvia da equipe de segurana ( ) A reviso dos documentos (3) O planejamento estratgico de segurana ( ) A incluso dos requisitos de gesto de continuidade do negcio ( ) As metas globais ( ) A linguagem simples, objetiva, clara, concisa e ser de fcil compreenso e aplicabilidade (1) O apoio e comprometimento da alta direo
Sim, incluindo pontos de controle crticos da infraestrutura de Tecnologia da Informao e Comunicao. 4. Existem (existiro) previses de reviso da poltica de segurana da informao a intervalos planejados ou quando ocorrerem mudanas signicativas? Sim, especialmente quando novo instrumento normativo for publicado pela Administrao Pblica Federal ou visando a melhoria contnua da PSI. 69
rana da informao por partes dos colaboradores? Como isto (ser) mensurado?
Sim, ademais ser proposta capacitao com provas ou resposta a questionrios ao nal do curso ou Workshop de Segurana da Informao e Comunicao para mensurar. 6. A poltica de segurana da informao dene (denir) expressamente os
Sim, incluindo as etapas de auditorias peridicas e qual grupo responsvel por averiguao das informaes. 7. Quando da formulao do planejamento estratgico da organizao, a
Sim. Por meio da iniciativa do Gerente Geral da rea de TI, o tema e o Grupo de Trabalho foram propostos pelo Superintendente de Administrao Geral ao Presidente da organizao OPF, permeando a cadeia de nveis da alta administrao. Todavia, em se tratando de um rgo colegiado, os membros do Conselho Diretor podero tambm ser envolvidos na apreciao e aprovao da PSI. 9. A alta administrao (direo) estimula (estimular) os colaboradores
(servidores e terceirizados) a seguir os procedimentos de segurana aprovados pela poltica de segurana da informao? De que forma isto (ser) feito?
Sim, sempre por meio de Workshops, capacitao, exigncia contratual por meio de clusulas de compromisso de sigilo, alm de constante monitorao de pontos de controle crticos com a devida punio, desde um alerta educativo sano administrativa / disciplinar.
forma isolada pela rea de TI ou em conjunto com a equipe responsvel pelas decises estratgias da organizao?
Atualmente, ocorrem de forma isolada, porm h um esforo coletivo para as decises permeiem ambas (equipe de TI e executivos).
gridade e disponibilidade?
A Organizao OPF sempre persegue a trade da segurana da informao e comunicaes. 12. Na poltica de segurana da informao (existente ou a ser publicada)
plano de contingncia?
Existe plano de contingncia para todo projeto de implantao e modernizao, e conforme IN04/SLTI identicam-se os riscos. 14. Quem so as principais partes interessadas (stakeholders) da segurana
da informao na organizao?
A rea de Gesto da Informao, incluindo em especial as reas de redes e sistemas de informaes. A rea de scalizao e regulatria. 15. Quais as percepes podem ser notadas dos principais clientes (internos
Atualmente necessrio fortalecer e aumentar o rigor do monitoramento para evitar vazamentos de informaes para imprensa e garantir a rastreabilidade. Outro modo fazer com que a organizao OPF seja mais transparente, o que minimiza o vazamento e mitiga a captura de informaes por clientes externos. Em alguns cenrios a equipe de redes observa que a grande questo est no acesso informao sem necessidade de conhec-la. 16. Como gerenciado o acesso informao aos clientes externos? Este
Sim, porm pretende-se aperfeioar por meio de estudos de como est sendo aplicado o controle e requisitos em outros rgos da Administrao Pblica Federal. 18. Os colaboradores (servidores e terceirizados) recebem/receberam (rece-
bero) treinamento da Poltica de Segurana da Informao? H previso de processo disciplinar formal para aqueles que a violarem?
Sim, recebero capacitao. Haver processo disciplinar formal.
ou proativa?
Reativa para algumas aes, proativas para outras. 20. As medidas que dizem respeito segurana da informao so analisadas
71
A.1.3 Analista de TI 1
1. A sua organizao possui uma poltica de segurana da informao? Sua
aprovao e atualizao consideraram (ou consideraro) as vises de todos os agentes envolvidos? Como isto (ser) feito?
Est em elaborao. Mas no sei informar se leva em considerao todas as vises dos agentes envolvidos.
2. Dos fatores crticos de sucesso, listados abaixo, escolha cinco que consi-
dera mais importantes para a elaborao de uma poltica de segurana da informao, numerando-os de acordo com sua prioridade de 1 a 5 (onde 1 o mais relevante e 5 o menos relevante dentro dos 5 fatores escolhidos):
(2) A adequao com a realidade prtica ( ) A necessidade de inventrio dos ativos ( ) O conhecimento por parte da equipe sobre conceitos de segurana (3) A aplicao de penalidades (5) A participao de pessoas de todas as reas da organizao ( ) O conhecimento dos principais problemas de segurana da organizao ( ) A denio de responsabilidades ( ) A previso de um programa inicial de conscientizao para os usurios a respeito das responsabilidades inerentes ao acesso s informaes e utilizao dos recursos de TI ( ) O embasamento legal (dos requisitos de conformidade com a legislao, regulamentos e contratos) ( ) A denio de uma estratgia de elaborao ( ) A referncia da documentao de apoio ( ) escopo de todos os processos internos que tangem a segurana da informao ( ) A expectativa determinante para a existncia de cada regra ( ) A reproduo da necessidade do negcio declarada na misso da organizao ( ) O estabelecimento dos objetivos de controle e os controles adequados ( ) A formao prvia da equipe de segurana ( ) A reviso dos documentos (4) O planejamento estratgico de segurana ( ) A incluso dos requisitos de gesto de continuidade do negcio ( ) As metas globais ( ) A linguagem simples, objetiva, clara, concisa e ser de fcil compreenso e aplicabilidade (1) O apoio e comprometimento da alta direo
72
Sim; est deve ser a funo de uma poltica de segurana da informao. 4. Existem (existiro) previses de reviso da poltica de segurana da in-
rana da informao por partes dos colaboradores? Como isto (ser) mensurado?
Sim. Em razo do alto nvel de qualicao dos prossionais que frequentam a instituio, esta conscientizao acaba sendo inerente s suas atribuies. 6. A poltica de segurana da informao dene (denir) expressamente os
Em partes. Estar mais bem denida quando vir ocialmente um Plano. 7. Quando da formulao do planejamento estratgico da organizao, a
Sim. Por possuir a quase totalidade dos seus dados sob a gerncia de uma infraestrutura computacional, torna-se imperativo dar uma importncia prioritria segurana das informaes. 9. A alta administrao (direo) estimula (estimular) os colaboradores
(servidores e terceirizados) a seguir os procedimentos de segurana aprovados pela poltica de segurana da informao? De que forma isto (ser) feito?
Ainda no. Existem apenas medidas pontuais, como mensagens que so mostradas nos navegadores de internet quando se tenta acessar um contedo que no autorizado pelo rewall, bem como atravs do uso de senhas.
forma isolada pela rea de TI ou em conjunto com a equipe responsvel pelas decises estratgias da organizao?
Em conjunto com a equipe responsvel pelas decises estratgicas da organizao.
gridade e disponibilidade?
73
plano de contingncia?
O Plano de Contingncia ainda est em produo, como integrante da poltica de segurana da informao. 14. Quem so as principais partes interessadas (stakeholders) da segurana
da informao na organizao?
Como a Poltica de Segurana da Informao ainda no est ocializada, no h como denir ao certo. 15. Quais as percepes podem ser notadas dos principais clientes (internos
Que a instituio apresenta cuidados com a segurana da informao, porm ainda incipiente dado o seu porte. Entre as causas est o fato de ser uma instituio nova. 16. Como gerenciado o acesso informao aos clientes externos? Este
17. Existem controles e requisitos de segurana da informao quando dos contratos com
terceiros?
Sim. Os terceiros tm acessos controlados e, quando possuidores de acesso a algumas informaes, so obrigados a assinar termos de sigilo. 18. Os colaboradores (servidores e terceirizados) recebem/receberam (rece-
bero) treinamento da Poltica de Segurana da Informao? H previso de processo disciplinar formal para aqueles que a violarem?
Acredito que aps a Institucionalizao de uma Poltica de Segurana da Informao iro receber tal treinamento. Atualmente, os contratos impem penalidades aos que violares as regras estabelecidas pela instituio. 19. A Gesto da Informao dentro da sua organizao considerada reativa
ou proativa? Atualmente encontra-se em ambos os casos, havendo prevalncia da reatividade. O intuito da instituio caminhar para adquirir uma postura o mais proativa possvel. para que haja um processo de melhoria contnua deste processo decisrio?
74
Sim. Embora no haja ainda instituda uma poltica de segurana da informao, as regras inerentes a este tema so objeto de transformaes para que se adquem s novas necessidades.
aprovao e atualizao consideraram (ou consideraro) as vises de todos os agentes envolvidos? Como isto (ser) feito?
No possui. Sei que existem alguns esforos para sua elaborao, porm no sei informar se considera as vises de todos os agentes envolvidos.
2. Dos fatores crticos de sucesso, listados abaixo, escolha cinco que consi-
dera mais importantes para a elaborao de uma poltica de segurana da informao, numerando-os de acordo com sua prioridade de 1 a 5 (onde 1 o mais relevante e 5 o menos relevante dentro dos 5 fatores escolhidos):
(3) A adequao com a realidade prtica ( ) A necessidade de inventrio dos ativos ( ) O conhecimento por parte da equipe sobre conceitos de segurana ( ) A aplicao de penalidades (4) A participao de pessoas de todas as reas da organizao ( ) O conhecimento dos principais problemas de segurana da organizao ( ) A denio de responsabilidades (2) A previso de um programa inicial de conscientizao para os usurios a respeito das responsabilidades inerentes ao acesso s informaes e utilizao dos recursos de TI ( ) O embasamento legal (dos requisitos de conformidade com a legislao, regulamentos e contratos) ( ) A denio de uma estratgia de elaborao ( ) A referncia da documentao de apoio ( ) escopo de todos os processos internos que tangem a segurana da informao ( ) A expectativa determinante para a existncia de cada regra ( ) A reproduo da necessidade do negcio declarada na misso da organizao ( ) O estabelecimento dos objetivos de controle e os controles adequados ( ) A formao prvia da equipe de segurana ( ) A reviso dos documentos ( ) O planejamento estratgico de segurana ( ) A incluso dos requisitos de gesto de continuidade do negcio ( ) As metas globais 75
(5) A linguagem simples, objetiva, clara, concisa e ser de fcil compreenso e aplicabilidade (1) O apoio e comprometimento da alta direo 3. A poltica de segurana da informao estabelece (estabelecer) as linhas-
No posso armar com certeza, mas espero que sim nal esta orientar os procedimentos da segurana da informao organizacional. 4. Existem (existiro) previses de reviso da poltica de segurana da in-
rana da informao por partes dos colaboradores? Como isto (ser) mensurado?
No existe, muitos dos controles de segurana da informao so entendidos como modismos da rea de TI e a existncia de uma politica de segurana ajudaria a mudar este entendimento. 6. A poltica de segurana da informao dene (denir) expressamente os
No, e quando considerada geralmente so levados em conta apenas aspectos tecnolgicos. 8. A alta administrao (direo) considera a gesto de segurana da infor-
(servidores e terceirizados) a seguir os procedimentos de segurana aprovados pela poltica de segurana da informao? De que forma isto (ser) feito?
Estimula pouco. Penso que o estmulo est ligado a mostrar a importncia de tais procedimentos e capacitar os seus executores para efetu-los, e no se concentrar em denir punies para as infraes, embora este aspecto tambm seja importante.
forma isolada pela rea de TI ou em conjunto com a equipe responsvel pelas decises estratgias da organizao?
Ainda esto em sua maioria concentradas sobre a TI.
76
gridade e disponibilidade?
Pelo menos tenta, embora nem sempre estes aspectos sejam garantidos. 12. Na poltica de segurana da informao (existente ou a ser publicada)
plano de contingncia?
No existe um processo proativo, geralmente os riscos s so identicados depois se concretizar. 14. Quem so as principais partes interessadas (stakeholders) da segurana
da informao na organizao?
A TI e a alta administrao.
15. Quais as percepes podem ser notadas dos principais clientes (internos
Sim, estes tm sido melhorados, desde a instruo normativa 4 do MPOG. 18. Os colaboradores (servidores e terceirizados) recebem/receberam (rece-
bero) treinamento da Poltica de Segurana da Informao? H previso de processo disciplinar formal para aqueles que a violarem?
No houve ainda treinamento voltado para o corpo organizacional.
ou proativa?
Mais reativa que proativa 20. As medidas que dizem respeito segurana da informao so analisadas
Muito pouco, acho que isso ser melhor executado quando a poltica de segurana for publicada.
77
enso, dentro da organizao, da inuncia dos sistemas de informao, sobretudo dos sistemas de misso crtica, no cumprimento de sua misso?
Com relao Gerncia de TI, acredito que haja alguma compreenso nesse sentido, j levando em considerao a organizao, no vejo por parte da presidncia e da diretoria a atribuio da devida importncia dos sistemas de informao para a organizao. 2. A alta administrao v os sistemas de informao, sobretudo os sistemas
de misso crtica, como elementos estratgicos da organizao? Como so vistos os investimentos em sistemas de informao pela organizao? Esses investimentos so associados aos resultados da organizao?
Para alguns sistemas pode at haver essa viso estratgica, o que no signica que dada a devida importncia para tais sistemas. Com relao a investimentos nanceiros, no me acho apto a responder esta questo, j com relao a pessoal e a prpria rea de TI, acredito que os investimentos cam muito a desejar. Como exemplo posso citar a no adoo da TI como uma rea estratgica na organizao.
misso crtica, afetam a prestao de servios e a conabilidade da organizao? Qual a relao entre a ecincia da organizao e seus sistemas de informao?
Falha em sistemas de informao, de alguma forma ou de outra, seja para o usurio institucional ou externo, afeta o prestao de servio, a qualidade do servio prestado e a conabilidade que o usurio tem por qualquer organizao. Quando os sistemas de informao da organizao falham, esta falha vai minando a credibilidade que os clientes e usurios depositam na organizao. Esta relao direta, em maior grau em algumas organizaes e menor em outras.
lhoria de sistemas existentes, os requisitos de segurana so incorporados como parte integrante da declarao dos requisitos do negcio? H percepo de que a organizao deve se preocupar com o desenvolvimento de sistemas de forma integrada segurana?
Quando falamos em requisitos de segurana e segurana de informao, ainda estamos muito longe de uma cenrio ideal, ainda estamos dando os primeiros passos nessas questes. O contexto de segurana bastante amplo. Acredito que faltam denies no que diz respeito poltica de segurana, organizao de segurana da informao, disseminao da cultura de segurana da informao, implanta-
78
o de mtodos de desenvolvimento de aplicaes seguras durante todo o ciclo de desenvolvimento. Como falei, estamos dando os primeiros passos. 5. H validao dos dados de entrada e sada dos sistemas de informao?
Existe um controle do processamento interno destes sistemas de informao? E quanto ao armazenamento destes dados, so previstos procedimentos de segurana?
Com relao segurana, ainda no vejo procedimentos desse nvel aplicados ao processo de desenvolvimento presente na organizao, em nenhum dos itens. 6. H uma poltica para o uso de controles criptogrcos para a proteo da
informao? Tcnicas de criptograa so/foram utilizadas para proteger os dados dos sistemas de informao? Assinaturas digitais so/foram utilizadas para proteger a autenticidade e integridade de documentos eletrnicos?
No me sinto apto a responder essa questo.
No. Estamos caminhando para a implantao de uma Gerncia de Congurao, o que vai ajudar na aplicao de tais polticas de controle de acesso. 8. H procedimentos de controle de mudanas nos sistemas de informao?
H uma reviso do funcionamento destas aplicaes aps mudanas no sistema operacional? Como isto realizado?
Como falei, estamos caminhando para a implantao do Gerenciamento de Congurao e Controle de Mudana. 9. So previstas restries para limitar modicaes dos pacotes de softwa-
res adquiridos? As modicaes aceitas so testadas e documentadas, alm de serem realizadas em cpias dos pacotes originais?
No me sinto apto a responder essa questo. Mas em princpio no vejo nenhuma poltica de validao em produtos (pacotes) adquiridos.
10. Existem controles sobre o desenvolvimento terceirizado de software? Quais? Existe alguns controles: acompanhamento dos projetos e equipe de testes. Mas acho que ainda deixam a desejar no que diz respeito a desenvolvimento seguro, cobertura de testes e seguimento dos processos denidos. 11. O conjunto de medidas de segurana eventualmente adotadas por sua
organizao, relativamente aos sistemas segurados, manifesta-se de forma organizada ou ad hoc (desenvolvido apenas no momento em que ser usado)?
Vejo tentativas de uma organizao, no posso responder quanto a ecincia e eccia destas tentativas.
79
A.2.2 Analista de TI 3
1. Como so vistos os sistemas de informao na organizao? H compre-
enso, dentro da organizao, da inuncia dos sistemas de informao, sobretudo dos sistemas de misso crtica, no cumprimento de sua misso?
So vistos como sistemas de auxlio a execuo dos trabalhos.
No, os usurios no compreendem a importncia dos sistemas para o sucesso do negcio. 2. A alta administrao v os sistemas de informao, sobretudo os sistemas
de misso crtica, como elementos estratgicos da organizao? Como so vistos os investimentos em sistemas de informao pela organizao? Esses investimentos so associados aos resultados da organizao?
No. A alta administrao no tem a viso estratgica dos sistemas. Os investimentos so decorrentes das necessidades, mas no h mtricas entre os sistemas e os resultados do rgo.
misso crtica, afetam a prestao de servios e a conabilidade da organizao? Qual a relao entre a ecincia da organizao e seus sistemas de informao?
As falhas causam transtorno e perda de credibilidade dos responsveis pelos sistemas. Em que pese a necessidade de melhoria dos sistemas de informao, h estreita relao entre a ecincia da organizao e os servios dos sistemas de informao.
lhoria de sistemas existentes, os requisitos de segurana so incorporados como parte integrante da declarao dos requisitos do negcio? H percepo de que a organizao deve se preocupar com o desenvolvimento de sistemas de forma integrada segurana?
Alguns requisitos de segurana so incorporados nas etapas iniciais dos sistemas. Existe a preocupao com a segurana, porm ela no tem seu devido valor.
Existe um controle do processamento interno destes sistemas de informao? E quanto ao armazenamento destes dados, so previstos procedimentos de segurana?
Alguns sistemas validam a entrada dos dados, mas h muitos sistemas antigos que foram construdos sem essa preocupao. Alguns dados possuem regras adicionais de segurana, como por exemplo o uso de hash. 6. H uma poltica para o uso de controles criptogrcos para a proteo da
informao? Tcnicas de criptograa so/foram utilizadas para proteger os dados dos sistemas de informao? Assinaturas digitais so/foram
80
Os cdigos so versionados e o controle de acesso feito sobre essas ferramentas de controle de verso. 8. H procedimentos de controle de mudanas nos sistemas de informao?
H uma reviso do funcionamento destas aplicaes aps mudanas no sistema operacional? Como isto realizado?
No h procedimentos de controle de mudanas. Aps uma mudana, a equipe de teste escalada para vericar o funcionamento da aplicao. 9. So previstas restries para limitar modicaes dos pacotes de softwa-
res adquiridos? As modicaes aceitas so testadas e documentadas, alm de serem realizadas em cpias dos pacotes originais?
As restries de modicaes so inseridas na ferramenta de controle de verso. As modicaes so documentadas e posteriormente testadas. 10. Existem controles sobre o desenvolvimento terceirizado de software? Quais? No h uma poltica ecaz para controle sobre o desenvolvimento terceirizado. 11. O conjunto de medidas de segurana eventualmente adotadas por sua
organizao, relativamente aos sistemas segurados, manifesta-se de forma organizada ou ad hoc (desenvolvido apenas no momento em que ser usado)?
As medidas de segurana dos sistemas no so acompanhadas, elas so desenvolvidas e tem sua importncia apenas quando so elaboradas.
A.2.3 Analista de TI 4
1. Como so vistos os sistemas de informao na organizao? H compre-
enso, dentro da organizao, da inuncia dos sistemas de informao, sobretudo dos sistemas de misso crtica, no cumprimento de sua misso?
Pela natureza da instituio, h sistemas criados com nalidade de regular o setor especco dentro do Pas, o que os liga de forma direta misso crtica da instituio.
de misso crtica, como elementos estratgicos da organizao? Como so vistos os investimentos em sistemas de informao pela organizao? Esses investimentos so associados aos resultados da organizao?
Sim, a alta administrao tem conscincia da importncia dos sistemas crticos, at porque alguns deles de certa forma se confundem com a prpria atividade da 81
organizao. Desta forma, h sim, um investimento considervel em sistemas de informao dentro da organizao OPF. 3. Como as falhas em sistemas de informao, sobretudo em sistemas de
misso crtica, afetam a prestao de servios e a conabilidade da organizao? Qual a relao entre a ecincia da organizao e seus sistemas de informao?
A relao entre a ecincia da organizao e a de seus sistemas de informao direta, haja vista que muitos sistemas do suporte rea m da instituio, fazendo com que as atividades nalsticas quem seriamente comprometidas se os sistemas no estiverem em execuo.
lhoria de sistemas existentes, os requisitos de segurana so incorporados como parte integrante da declarao dos requisitos do negcio? H percepo de que a organizao deve se preocupar com o desenvolvimento de sistemas de forma integrada segurana?
Sim, h este nvel de preocupao com a segurana dos sistemas.
Existe um controle do processamento interno destes sistemas de informao? E quanto ao armazenamento destes dados, so previstos procedimentos de segurana?
No tenho conhecimento se existe ou no esta prtica dentro da instituio.
informao? Tcnicas de criptograa so/foram utilizadas para proteger os dados dos sistemas de informao? Assinaturas digitais so/foram utilizadas para proteger a autenticidade e integridade de documentos eletrnicos?
Sim, existe esta preocupao dentro da instituio. Inclusive os gerentes dos mais diversos nveis possuem certicados digitais e enviam suas correpondncias fazendo uso destes.
No possuo a informao de se este controle feito ou se esta poltica existe. Mas existem repositrios de versionamento onde os cdigos-fontes so armazenados, e muito provvel que existe esta poltica/controle. 8. H procedimentos de controle de mudanas nos sistemas de informao?
H uma reviso do funcionamento destas aplicaes aps mudanas no sistema operacional? Como isto realizado?
Existem ambientes de desenvolvimento, teste, homologao e produo. O uso destes ambientes, quando feito de forma adequada, prov a oportunidade de se aferir o comportamento do sistema diante de tais mudanas.
82
res adquiridos? As modicaes aceitas so testadas e documentadas, alm de serem realizadas em cpias dos pacotes originais?
No tenho conhecimento suciente das prticas de desenvolvimento da instituio para responder esta questo. 10. Existem controles sobre o desenvolvimento terceirizado de software? Quais? Os terceirizados que desenvolvem software para a instituio trabalham dentro da mesma e sob a superviso de servidores efetivos da instituio. 11. O conjunto de medidas de segurana eventualmente adotadas por sua
organizao, relativamente aos sistemas segurados, manifesta-se de forma organizada ou ad hoc (desenvolvido apenas no momento em que ser usado)?
Pelo conhecimento que possuo sobre a construo de sistemas na instituio, acredito que seja um meio termo entre uma forma ad hoc e uma forma organizada. A instituio est num momento de evoluo quanto aos seus processos de trabalho, o que atinge esta questo.
A.2.4 Analista de TI 5
1. Como so vistos os sistemas de informao na organizao? H compre-
enso, dentro da organizao, da inuncia dos sistemas de informao, sobretudo dos sistemas de misso crtica, no cumprimento de sua misso?
Os sistemas so vistos como balizadores das atividades da organizao OPF, ocorre infelizmente que na maioria das vezes eles s so vistos como tais pela rea de TI.
Os sistemas de misso crtica ainda tm uma percepo maior, por afetar diretamente vrias reas da organizao, porm a inuncia de outros sistemas, que tambm so importantes, mesmo que indiretamente, para as atividades da organizao OPF, no percebida, a menos que estes sistemas falhem. 2. A alta administrao v os sistemas de informao, sobretudo os sistemas
de misso crtica, como elementos estratgicos da organizao? Como so vistos os investimentos em sistemas de informao pela organizao? Esses investimentos so associados aos resultados da organizao?
Sim, os sistemas de informao so vistos como estratgicos pela alta administrao, inclusive grande parte do oramento da organizao OPF destinada aos investimentos na rea de TI. Muitos dos colaboradores consideram um absurdo a verba destinada a estes investimentos. No transparente para eles que estes investimentos reetem em melhores resultados nas atividades desempenhadas pela organizao, nem que muitos dos resultados alcanados foram possbilitados pelos investimentos citados.
lhoria de sistemas existentes, os requisitos de segurana so incorporados como parte integrante da declarao dos requisitos do negcio? H percepo de que a organizao deve se preocupar com o desenvolvimento de sistemas de forma integrada segurana?
At existe uma preocupao com a especicao destes requisitos, porm eles nem sempre so observados ao longo de todo o processo de desenvolvimento.
Existe um controle do processamento interno destes sistemas de informao? E quanto ao armazenamento destes dados, so previstos procedimentos de segurana?
Existe um processo para tal validao, porm este ainda no formalizado. Assim cada equipe de projeto de um sistema o faz da maneira que acha mais conveniente. 6. H uma poltica para o uso de controles criptogrcos para a proteo da
informao? Tcnicas de criptograa so/foram utilizadas para proteger os dados dos sistemas de informao? Assinaturas digitais so/foram utilizadas para proteger a autenticidade e integridade de documentos eletrnicos?
No tenho conhecimento respeito da existncia de tal poltica. Existe o uso de criptograa no armazenamento de dados de muitos dos sistemas de informao da organizao. Embora tenha sido previsto do plano diretor de TI um levantamento dos sistemas que seriam adptados para utilizao de certicados digitais, estes ainda no foram implementados. No entanto, muitos dos gerentes utilizam certicados digitais quando vo encaminhar documentos crticos e que necessitam de garantia da autenticidade por parte de seu autor.
No existe uma poltica denida, mas existe o controle de versionamento por meio de softwares e o acesso aos cdigos-fontes de tais sistemas s realizado mediante autorizao e cadastro do login. 8. H procedimentos de controle de mudanas nos sistemas de informao?
H uma reviso do funcionamento destas aplicaes aps mudanas no sistema operacional? Como isto realizado?
84
Sim, quando so previstas mudanas todos os responsveis pelos sistemas que podem ser afetados so comunicados e so executados testes. Alguns problemas no entanto s so encontrados aps estes testes. 9. So previstas restries para limitar modicaes dos pacotes de softwa-
res adquiridos? As modicaes aceitas so testadas e documentadas, alm de serem realizadas em cpias dos pacotes originais?
Os sistemas operacionais e pacotes correlatos so mantidos como adquidos, eventuais excees e atualizaes so primeiramente acordadas e depois testadas, at que se apresentem como estveis. 10. Existem controles sobre o desenvolvimento terceirizado de software? Quais? Existem, mas precisam ser melhorados, muitos sistemas esto sob cuidados exclusivamente de terceiros o que lhes d acesso a mais informaes do que necessrio para exercer suas atividades. 11. O conjunto de medidas de segurana eventualmente adotadas por sua
organizao, relativamente aos sistemas segurados, manifesta-se de forma organizada ou ad hoc (desenvolvido apenas no momento em que ser usado)? Este processo ainda ad hoc, embora medidas venham sendo elaboradas e adotadas
para mudar esta forma.
da organizao? Como so vistos os investimentos em infraestrutura de TI pela organizao? Esses investimentos so associados aos resultados da organizao?
A alta administrao entende a importncia do investimento na infraestrutura de TI. Os oramentos anuais normalmente no sofrem alteraes no rgo diretor da organizao OPF. Entretanto, o corte de investimento pelo Governo Federal muitas vezes fator impeditivo para a consecuo do planejado. O investimento na infraestrutura de TI est atrelado a consecuo dos resultados planejados para organizao. 85
ganizacionais?
Sim. A cultura organizacional entende a infraestrutura de TI como fator preponderante. 4. Existe a compreenso de que a infraestrutura de TI da organizao
Erroneamente a cultura organizacional entende a infraestrutura como elemento central e nico da segurana da informao. 5. Como as falhas em elementos da infraestrutura de TI afetam a presta-
o de servios e conabilidade da organizao? Qual a relao entre a ecincia da organizao e sua infraestrutura de TI?
Como a maior parte dos servios prestados sociedade so suportados por sistemas, a indisponibilidade ou mesmo o baixo desempenho impactam negativamente no desempenho das atribuies da organizao OPF e, por conseguinte, na sua imagem.
volvido especicamente para o ambiente de TI? As instalaes eltricas atendem necessidade e criticidade dos servios de TI prestados pela organizao? O projeto eltrico segue as normas vigentes a respeito do assunto?
O projeto no foi especco para a rea de TI, mas considerou a necessidade "no stop"dos servios de informtica. Desconheo a respeito do projeto estar em consonncia com as normas.
8. A climatizao est corretamente dimensionada? Sim. 9. Quais controles de acesso fsicos ao ambiente de TI esto implementados
O acesso aos ambientes controlado por dispositivo eletrnico. Mas esta soluo no garante por si s a eccia do controle. 10. Quais equipamentos compem a infraestrutura de TI da organizao?
A implantao dos equipamentos de TI segue um projeto que visa ao atendimento das necessidades de negcio?
Servidores, microcomputadores, switches, storages, roteadores. Sim.
os equipamentos utilizados? Existe projeto de rede que documente a estrutura dos componentes da rede?
Servidores, Roteadores, Switches, microcomputadores (...). Existe documento com a estrutura da rede do rgo.
um projeto e as normas adequadas? O projeto leva em considerao as necessidades de prestao de servios da organizao?
Sim. Sim.
Existe sistema de backup e estes dados so armazenados em tas. O rgo possui storage. 16. A organizao possui um DATACENTER? Como ele est estruturado? Sim. Desconheo. 17. Existe a terceirizao de servios de DATACENTER pela organizao? No. 18. A implantao do DATACENTER seguiu um projeto? O projeto foi feito
seguindo normas e padres adequados? O DATACENTER foi projetado de forma a atender as necessidades do negcio?
Desconheo.
87
21. Quais os servios prestados pelo DATACENTER da organizao? Armazenamentos de servidores de aplicao, redes, banco de dados, portal, rewall, (...)
da organizao? Como so vistos os investimentos em infraestrutura de TI pela organizao? Esses investimentos so associados aos resultados da organizao?
Sim.
ganizacionais?
Sim.
o de servios e conabilidade da organizao? Qual a relao entre a ecincia da organizao e sua infraestrutura de TI?
Como as atividades tcnicas e administrativas da organizao OPF so suportadas pelos sistemas, as falhas em elementos da inftraestrutura de TI comprometem diretamente na prestao de servios. Tambm na conabilidade da organizao, em relao aos usurios da sociedade brasileira que utilizam os servios disponibilizados e das empresas dos setor que so usurios das aplicaes da organizao OPF.
volvido especicamente para o ambiente de TI? As instalaes eltricas atendem necessidade e criticidade dos servios de TI prestados pela
88
A implantao dos equipamentos de TI segue um projeto que visa ao atendimento das necessidades de negcio? Servidores em rack com tecnologia Intel, rea de armazenamento em storage, unidades de tas de backup, desktops e notebooks para o desempenho das atividades
dos colaboradores. Sim a capacidade de TI tem sido planejada para que a organizao OPF atenda aos objetivos propostos.
da infraestrutura de TI da organizao? Esses equipamentos so vistos como elementos necessrios eciente prestao de servio pela organizao?
Sim.
Sim, visto que estes componentes individuais possibilitam a utilizao dos sistemas de informao da organizao OPF, alm de ser o grande possibilitador da utilizao dos servios de TI por parte dos colaboradores. 12. Como composta a estrutura fsica da rede de computadores? Quais
os equipamentos utilizados? Existe projeto de rede que documente a estrutura dos componentes da rede?
utilizada uma topologia em estrela, tendo como n central a unidade sede em Braslia. Switches, roteadores e links contratados de terceiros. Sim. 13. Os componentes fsicos de rede so adquiridos e implantados seguindo
um projeto e as normas adequadas? O projeto leva em considerao as necessidades de prestao de servios da organi-zao?
Sim. 89
Sim, inclusive est em processo de aquisio a nova infraestrutura de rede e telefonia que foi desenhada para atender as necessidades atuais das atividades da organizao OPF. 14. O monitoramento do correto funcionamento dos equipamentos da infra-
na organizao? utilizado storage ? Existe uma poltica de backup dos dados da organizao (cpias dirias, semanal,
mensal e anual). utilizado storage.
16. A organizao possui um DATACENTER? Como ele est estruturado? Sim. Ele est estruturado conforme descrito acima dentro de uma sala cofre. 17. Existe a terceirizao de servios de DATACENTER pela organizao? No. 18. A implantao do DATACENTER seguiu um projeto? O projeto foi feito
seguindo normas e padres adequados? O DATACENTER foi projetado de forma a atender as necessidades do negcio?
Sim. Sim. Sim.
19. Qual a categoria do DATACENTER da organizao? No me sinto apto responder. 20. A topologia do DATACENTER est de acordo com a norma TIA 942?
21. Quais os servios prestados pelo DATACENTER da organizao? Sistemas de informao, armazenamento e recuperao de dados e servios de correio eletrnico.
Sim. A TI vista como estratgica. Oramento de TI o segundo maior da organizao OPF, perdendo apenas para rea m scalizao. 2. A alta administrao v a infraestrutura de TI como elemento estratgico
da organizao? Como so vistos os investimentos em infraestrutura de TI pela organizao? Esses investimentos so associados aos resultados da organizao?
Sim a TI vista como estratgia para a misso da organizao OPF. Oramento anual dicilmente gasto em sua totatiliade. Aproximadamente 30 milhes de reais.
ganizacionais?
No.
o de servios e conabilidade da organizao? Qual a relao entre a ecincia da organizao e sua infraestrutura de TI?
Total. O menor impacto da infra-estrutura de TI causa danos a sociedade que utiliza diretamente os servios de TI da organizao OPF. Infelizmente a terceirizao ampla na organizao OPF prejudica muito a ecincia da TI uma vez que o compromisso destes colaboradores terceirizados com a instituio menor.
volvido especicamente para o ambiente de TI? As instalaes eltricas atendem necessidade e criticidade dos servios de TI prestados pela organizao? O projeto eltrico segue as normas vigentes a respeito do assunto?
Sim. Sim. Sim.
8. A climatizao est corretamente dimensionada? Sim. 9. Quais controles de acesso fsicos ao ambiente de TI esto implementados
- Acesso as salas de switches existente em cada andar realizado por meio de carto magntico. Somente funcionrios autorizados conseguem acesso a porta. - Sala se servidores possuem identicao biomtrica por meio da geometria da mo, alm de cdigo de carto de acesso. Controle e autorizao para acesso de pessoal: - Acesso ao prdio controlado. Sendo necessrio identicao na recepo. - Em cada andar existe uma nova recepo que conrma o motivo da visita e solicita acompanhamento de um servidor da casa junto ao visitante. Ningum transita no prdio sem acompanhamento. Sistemas de monitorao baseados em cmeras de vdeo - Existe sistema de gravao e monitorao em tempo real em pontos estratgicos do prdio. Sistemas de identicao e autenticao pessoal - Biometria, carto de acesso, token e senhas. Muitos colaboradores acham estes controles de acesso desnecessrios, enquanto outros so conscientes de sua importncia. 10. Quais equipamentos compem a infraestrutura de TI da organizao?
A implantao dos equipamentos de TI segue um projeto que visa ao atendimento das necessidades de negcio?
Switches, roteadores, rewalls, servidores, entre outros. A grande maioria dos equipamentos visam o atendimento das necessidades de negcio.
da infraestrutura de TI da organizao? Esses equipamentos so vistos como elementos necessrios eciente prestao de servio pela organizao?
Sim.
os equipamentos utilizados? Existe projeto de rede que documente a estrutura dos componentes da rede?
A rede estruturada e abrange mais de 75 localidades do territrio nacional. O Objetivo principal e possibilitar a monitorao de alguns aspectos do setor regulado em todo territrio nacional.
Os equipamentos so compostos por roteadores, rewall, switches e servidores de redes. Existe projeto que documenta a estruturao da redes, distribuio de endereamentos IPs entre outras informaes. 13. Os componentes fsicos de rede so adquiridos e implantados seguindo
um projeto e as normas adequadas? O projeto leva em considerao as necessidades de prestao de servios da organizao?
92
na organizao? utilizado storage ? Alm do storage existe rob de backup. A recuperao realizada por meio de
solicitao via aplicativo de registros de chamados para rea de TI. Sim.
16. A organizao possui um DATACENTER? Como ele est estruturado? Sim. 17. Existe a terceirizao de servios de DATACENTER pela organizao? No. 18. A implantao do DATACENTER seguiu um projeto? O projeto foi feito
seguindo normas e padres adequados? O DATACENTER foi projetado de forma a atender as necessidades do negcio?
No.
19. Qual a categoria do DATACENTER da organizao? No sei informar 20. A topologia do DATACENTER est de acordo com a norma TIA 942?
21. Quais os servios prestados pelo DATACENTER da organizao? Armazenamento de todos os servidores e infra-estrura crtica da organizao OPF.
A.3.4 Analista de TI 6
1. Como vista a infraestrutura de TI na organizao? H compreenso,
da organizao? Como so vistos os investimentos em infraestrutura de TI pela organizao? Esses investimentos so associados aos resultados da organizao?
93
Sim, a alta administrao tem a viso de que a infraestrutura em TI primordial e diretamente relacionada com a atividade m da organizao. Os investimentos em infraestrutura de TI servem para dar suporte a praticamente todas as atividades desempenhadas na organizao, relacionando-se diretamente com seus resultados. 3. A cultura organizacional relaciona a infraestrutura de TI aos riscos or-
ganizacionais?
Sim. Praticamente toda a atividade da instituio est alicerada no uso da infraestrutura de TI, o que torna esta rea de uma importncia crtica. Assim, riscos relacionados com a infraestrutura de TI so diretamente transformados em riscos para toda a instituio. 4. Existe a compreenso de que a infraestrutura de TI da organizao
Sim, existe, tanto que est em elaborao um Plano de Gesto da Segurana da Informao, para formalizar esta poltica dentro da instituio. 5. Como as falhas em elementos da infraestrutura de TI afetam a presta-
o de servios e conabilidade da organizao? Qual a relao entre a ecincia da organizao e sua infraestrutura de TI?
Internamente a instituio trabalha com base em sistemas de informtica. Alm disto, a mesma instituio prov mecanismos de comunicao e reclamao junto s empresas reguladas e consumidores de todo o Pas. Assim, problemas na infraestrutura de TI iro afetar estes sistemas e consequentemente a imagem da instituio.
No. So elementos sob responsabilidade de outro setor dentro da instituio. 7. O projeto da estrutura de fornecimento de energia eltrica foi desen-
volvido especicamente para o ambiente de TI? As instalaes eltricas atendem necessidade e criticidade dos servios de TI prestados pela organizao? O projeto eltrico segue as normas vigentes a respeito do assunto?
No se informar, mas pelo porte da instituio acredito que sim.
8. A climatizao est corretamente dimensionada? No sei infomar, mas pelo frio que faz na sala dos servidores acredito que sim! 9. Quais controles de acesso fsicos ao ambiente de TI esto implementados
Para acesso s salas dos servidores, necessrio ter senha e fazer uso de mecanismos biomtricos. Para transitar internamente na instituio necessrio possuir crach. O crach ir delimitar a tramitao do indivduo dentro da instituio.
94
A implantao dos equipamentos de TI segue um projeto que visa ao atendimento das necessidades de negcio?
H dezenas de servidores de ltima gerao que foram adquiridos para alinhar os ativos de TI s ltimas tecnologias. A cada 4 anos busca-se atualizar estes ativos de TI para dar suporte s demandas criadas. 11. Mesmo os equipamentos de uso individual so vistos como componentes
da infraestrutura de TI da organizao? Esses equipamentos so vistos como elementos necessrios eciente prestao de servio pela organizao?
Tendo em vista que praticamente todos os funcionrios realizam suas atividades laborais fazendo uso de equipamentos de informtica, estes equipamentos so, sim, considerados necessrios eciente prestao dos servidos da organizao. 12. Como composta a estrutura fsica da rede de computadores? Quais
os equipamentos utilizados? Existe projeto de rede que documente a estrutura dos componentes da rede?
No sei informar.
um projeto e as normas adequadas? O projeto leva em considerao as necessidades de prestao de servios da organizao?
Pelo porte da instituio, acredito que sim. Mas no tenho informao suciente para determinar.
O monitoramento realizado por uma equipe criada exclusivamente para tal. Os resultados do monitoramento so, sim, utilizados para subsidiar decises. 15. Como a estrutura de armazenamento e recuperao de dados utilizada
H armazenamento de informao tanto dentro do Storage quanto fora dele. Procurase priorizar o armazenamento realizado dentro do storage. 16. A organizao possui um DATACENTER? Como ele est estruturado? A organizao possui um ambiente especialmente criado para centralizar seus servidores de informao. 17. Existe a terceirizao de servios de DATACENTER pela organizao? No, contudo h prosisonais que executam algumas atividades dentro do datacenter e que so terceirizados. 18. A implantao do DATACENTER seguiu um projeto? O projeto foi feito
seguindo normas e padres adequados? O DATACENTER foi projetado de forma a atender as necessidades do negcio?
95
No possuo tal informao. 19. Qual a categoria do DATACENTER da organizao? No possuo tal informao. 20. A topologia do DATACENTER est de acordo com a norma TIA 942?
21. Quais os servios prestados pelo DATACENTER da organizao? L esto aglomerados todos os servidores de informao, incluindo os do ambiente de desenvolvimento, teste e homologao, alm dos de produo.
A.3.5 Analista de TI 7
1. Como vista a infraestrutura de TI na organizao? H compreenso,
da organizao? Como so vistos os investimentos em infraestrutura de TI pela organizao? Esses investimentos so associados aos resultados da organizao?
Creio que em parte. No sei como este investimento visto. No sei.
ganizacionais?
Pouco.
Por parte da TI sim, mas no sei as outras reas tambm. 5. Como as falhas em elementos da infraestrutura de TI afetam a presta-
o de servios e conabilidade da organizao? Qual a relao entre a ecincia da organizao e sua infraestrutura de TI?
Diretamente, a atividade m em grande parte ca comprometida. Diretamente relacionada.
96
volvido especicamente para o ambiente de TI? As instalaes eltricas atendem necessidade e criticidade dos servios de TI prestados pela organizao? O projeto eltrico segue as normas vigentes a respeito do assunto?
Sim. Parcialmente. No.
8. A climatizao est corretamente dimensionada? Sim. 9. Quais controles de acesso fsicos ao ambiente de TI esto implementados
Controle biomtrico associado a senha. Existe tambm empresa de segurana patrimonial que faz o controle de entrada/sada de pessoas autorizadas. 10. Quais equipamentos compem a infraestrutura de TI da organizao?
A implantao dos equipamentos de TI segue um projeto que visa ao atendimento das necessidades de negcio? Servidores, storage e ativos de rede. Est tendo se adequar. da infraestrutura de TI da organizao? Esses equipamentos so vistos como elementos necessrios eciente prestao de servio pela organizao?
Sim. Sim.
os equipamentos utilizados? Existe projeto de rede que documente a estrutura dos componentes da rede? Switches geogracamente distribudos e em stack. Quanto ao cabeamento no sei
se est aderente as normas pertinentes.
Switches.
No existe projeto. 13. Os componentes fsicos de rede so adquiridos e implantados seguindo
um projeto e as normas adequadas? O projeto leva em considerao as necessidades de prestao de servios da organizao?
At o momento no.
Em parte. Em grande parte apenas reativamente. 15. Como a estrutura de armazenamento e recuperao de dados utilizada
na organizao? utilizado storage ? Utiliza-se storage de mdio porte. Existe rotina adequada de backup, e em grande
16. A organizao possui um DATACENTER? Como ele est estruturado? Sim. Existem todos os sistemas auxiliares. No entanto ele ca no subsolo e no possui nenhuma redundncia. 17. Existe a terceirizao de servios de DATACENTER pela organizao? No. 18. A implantao do DATACENTER seguiu um projeto? O projeto foi feito
seguindo normas e padres adequados? O DATACENTER foi projetado de forma a atender as necessidades do negcio?
Creio que seguiu projeto e seguiu as normas. Quanto ao atendimento as necessidades do negcio, creio que sim.
19. Qual a categoria do DATACENTER da organizao? Corporativo monoltico. 20. A topologia do DATACENTER est de acordo com a norma TIA 942?
21. Quais os servios prestados pelo DATACENTER da organizao? Apenas uso interno. No fazemos colocation para nenhuma outra entidade, nem hosting.
A.3.6 Analista de TI 8
1. Como vista a infraestrutura de TI na organizao? H compreenso,
da organizao? Como so vistos os investimentos em infraestrutura de TI pela organizao? Esses investimentos so associados aos resultados da organizao?
Sim, so tratados como estratgicos e so objetos de uma boa parte dos investimentos da organizao OPF.
98
ganizacionais?
Sim.
o de servios e conabilidade da organizao? Qual a relao entre a ecincia da organizao e sua infraestrutura de TI?
As falhas reetem diretamente no desempenho das atividades, visto que muitas delas so suportadas por sistemas e elementos da infraestrutura. Estas falhas prejudicam a execuo dos servios e atrapalham o alcance da misso, alm de prejudicar a imagem de organizao OPF.
volvido especicamente para o ambiente de TI? As instalaes eltricas atendem necessidade e criticidade dos servios de TI prestados pela organizao? O projeto eltrico segue as normas vigentes a respeito do assunto?
No sei. Sim. No sei.
8. A climatizao est corretamente dimensionada? Sim. 9. Quais controles de acesso fsicos ao ambiente de TI esto implementados
Identicao por meio de crachs, identicao biomtrica pela geometria da mo, vericao de autorizao de cadastro para acesso junto chea imediata etc. So vistos como uma forma de garantir segurana em alguns ambientes. 10. Quais equipamentos compem a infraestrutura de TI da organizao?
A implantao dos equipamentos de TI segue um projeto que visa ao atendimento das necessidades de negcio? Servidores Corporativos, switches, rewall, microcomputadores desktops, notebooks, no-breaks, storages, unidades de backup etc.
99
da infraestrutura de TI da organizao? Esses equipamentos so vistos como elementos necessrios eciente prestao de servio pela organizao?
Sim. Sim.
os equipamentos utilizados? Existe projeto de rede que documente a estrutura dos componentes da rede? Firewall, switches, cabeamento de redes etc.
um projeto e as normas adequadas? O projeto leva em considerao as necessidades de prestao de servios da organizao?
No sei.
A estrutura de armazenamento e recuperao de dados muito boa, possui atualmente mais de 10 Tb de capacidade. utilizado storage. 16. A organizao possui um DATACENTER? Como ele est estruturado? Sim, possui. Ele est estruturado dentro de uma sala-cofre no subsolo. 17. Existe a terceirizao de servios de DATACENTER pela organizao? No. 18. A implantao do DATACENTER seguiu um projeto? O projeto foi feito
seguindo normas e padres adequados? O DATACENTER foi projetado de forma a atender as necessidades do negcio?
Sim. Sim. Sim.
21. Quais os servios prestados pelo DATACENTER da organizao? Armazenamento e recuperao de dados, sistemas de informao da organizao, servio de e-mail corporativo etc.
101
Apndice B Questionrio vericador de conformidade com a norma ABNT NBR ISO/IEC 27002
H uma poltica de segurana da informao aprovada pela alta administrao, publicada e comunicada?
Poltica de segurana
Segurana organizacional
Sim Sim, porm desatualizada No
102
Sim Sim, porm estas atividades de coordenao ainda so distribudas em um nmero reduzido de reas No
H uma denio clara das atribuies de responsabilidade associadas segurana da informao?
Gesto de ativos
Sim
H papis e responsabilidades de segurana da informao denidos e documentados que devem ser cumpridos por funcionrios, fornecedores e terceiros?
No
H controles para proteger a integridade das informaes disponibilizada em sistemas publicamente acessveis?
Controle de acesso
Sim
No
Os usurios so orientados a seguir boas prticas de segurana da informao na seleo e uso de senhas?
Sim
110
H um processo de comunicao que notica sobre fragilidades e eventos de segurana da informao associados aos sistemas de informao?
Conformidade
Sim
112