Universidade de Braslia

Instituto de Cincias Exatas Departamento de Cincia da Computao

Um estudo de caso sobre a gesto da segurana da informao em uma organizao pblica

der Souza Gualberto

Monograa apresentada como requisito parcial para concluso do Bacharelado em Cincia da Computao

Orientador Prof. Dr. Jorge Henrique Cabral Fernandes

Braslia 2010

Universidade de Braslia  UnB Instituto de Cincias Exatas Departamento de Cincia da Computao Bacharelado em Cincia da Computao

Coordenador: Prof. Dr. Marcus Vinicius Lamar

Banca examinadora composta por: Prof. Dr. Jorge Henrique Cabral Fernandes (Orientador)  CIC/UnB Prof. Ms. Joo Jos Costa Gondim  CIC/UnB Prof. Dr. Wilson Henrique Veneziano  CIC/UnB

CIP  Catalogao Internacional na Publicao

Gualberto, der Souza. Um estudo de caso sobre a gesto da segurana da informao em uma organizao pblica / der Souza Gualberto. Braslia : UnB, 2010. 124 p. : il. ; 29,5 cm.

Monograa (Graduao)  Universidade de Braslia, Braslia, 2010. 1. segurana da informao, 2. gesto da segurana da informao, 3. administrao pblica federal, 4. processos, 5. controles CDU 004.4

Endereo:

Universidade de Braslia Campus Universitrio Darcy Ribeiro  Asa Norte CEP 70910-900 BrasliaDF  Brasil

Universidade de Braslia
Instituto de Cincias Exatas Departamento de Cincia da Computao

Um estudo de caso sobre a gesto da segurana da informao em uma organizao pblica

der Souza Gualberto

Monograa apresentada como requisito parcial para concluso do Bacharelado em Cincia da Computao

Prof. Dr. Jorge Henrique Cabral Fernandes (Orientador) CIC/UnB

Prof. Ms. Joo Jos Costa Gondim CIC/UnB

Prof. Dr. Wilson Henrique Veneziano CIC/UnB

Prof. Dr. Marcus Vinicius Lamar Coordenador do Bacharelado em Cincia da Computao

Braslia, 13 de julho de 2010

Dedicatria
Ao meu grandioso e maravilhoso Deus, por todas as manifestaes de sua bondade em minha vida.
"esfora-te, faz a obra que Eu te mandei, tem bom nimo, no pasmes, nem te espantes, e Eu serei contigo por onde quer que andares." (Josu 1:8) "esforai-vos e no desfaleam as vossas mos, porque a vossa obra tem uma recompensa." (II Crnicas 15:7) "Quando Deus quer, no h quem no queira." Ayrton Senna

Aos meus pais, ao meu irmo e Fernanda que, com amor e carinho, me proporcionam a conana e apoio que necessito para seguir na busca por nossos sonhos. A todos os meus amigos e colegas, tanto os que trilharam comigo os caminhos desta longa jornada deste curso, quanto os que auxiliaram em tal, sem os quais esta conquista no teria sido to graticante.

Agradecimentos
Ao professor Jorge Fernandes por novamente ser meu orientador em um trabalho de concluso de curso. Tambm aos colegas que ajudaram na pesquisa, discutindo os conceitos envolvidos, respondendo os questionrios das entrevistas e dirimindo dvidas relativas ao ambiente pesquisado.

ii

Resumo
Este trabalho apresenta um estudo de caso sobre a gesto de segurana da informao em uma organizao plica, onde foram analisados os objetivos de controle e controles relacionados segurana da informao implementados nesta entidade. So apresentados os principais problemas e tambm as aes utilizadas at ento neste processo. So feitas avaliaes quanto conformidade da gesto de segurana da informao desta organizao em relao s normas da famlia ISO 27000, sobretudo em relao norma ABNT NBR ISO/IEC 27002 - Cdigo de Prtica para a Gesto de Segurana da Informao e norma ABNT NBR ISO/IEC 27001 - Sistemas de Gestao de Segurana da Informao Requisitos. So analisados tambm fatores crticos de sucesso gesto de segurana da informao em organizaes como por exemplo o apoio da alta administrao, a participao de todas as reas e a conscientizao e capacitao em segurana da informao. Alm destes resultados, discutida tambm a importncia e pertinncia da tcnica de estudo de caso em pesquisas de gerenciamento de segurana da informao em ambientes organizacionais.

Palavras-chave: segurana da informao, gesto da segurana da informao, administrao pblica federal, processos, controles

iii

Abstract
This monograph presents a public organization information security management case study, where information security control objectives and controls implemented in this entity were analyzed. The main problems and also the actions used so far in this process are shown. Assessments are made to verify the compliance of the organization information security management in relation to the standards family ISO 27000, especially in relation to ABNT NBR ISO / IEC 27002 - Code of Practice for the Information Security Management and ABNT NBR ISO / IEC 27001 - Information Security Management Systems - Requirements. This study also analyzes the critical success factors for information security management in organizations such as the support of top management, all areas participation and the information security awareness and training. Besides these results, the importance and relevance of the case study technique for research in information security management in organizational environment are discussed.

Keywords: information security, information security management, federal public administration, processes, controls

iv

Sumrio
1 Introduo
1.1 1.2 1.3 1.4 1.5 1.6 2.1 Problemtica . . . . . . . . Objetivo Geral . . . . . . . Objetivos Especcos . . . . Justicativa . . . . . . . . . Metodologia . . . . . . . . . Organizao deste trabalho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1
2 3 3 3 4 4

2 Segurana da Informao e Aspectos Relacionados

2.2 2.3 2.4 2.5 2.6

2.7 3.1 3.2 3.3

Governana Corporativa, Sistemas de Informao e Tecnologias da Informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1 Governana Corporativa . . . . . . . . . . . . . . . . . . . . . . . 2.1.2 Sistemas de Informao . . . . . . . . . . . . . . . . . . . . . . . . 2.1.3 Tecnologia da Informao . . . . . . . . . . . . . . . . . . . . . . Princpios da Segurana da Informao . . . . . . . . . . . . . . . . . . . Gesto da Segurana da Informao . . . . . . . . . . . . . . . . . . . . . Objetivos de Controle e Controles de Gesto Segurana da Informao . Sistema de Gesto de Segurana da Informao . . . . . . . . . . . . . . Gerncia de riscos de segurana da informao . . . . . . . . . . . . . . . 2.6.1 Princpios da gerncia de riscos de segurana da informao . . . 2.6.2 Processos que compem a gerncia de riscos . . . . . . . . . . . . 2.6.3 Denio de contexto . . . . . . . . . . . . . . . . . . . . . . . . . 2.6.4 Apreciao de riscos . . . . . . . . . . . . . . . . . . . . . . . . . 2.6.5 Tratamento de riscos . . . . . . . . . . . . . . . . . . . . . . . . . 2.6.6 Aceitao do risco de segurana da informao . . . . . . . . . . . 2.6.7 Monitoramento e reviso . . . . . . . . . . . . . . . . . . . . . . . 2.6.8 Comunicao e consulta . . . . . . . . . . . . . . . . . . . . . . . Consideraes Finais . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6
. . . . . . . . . . . . . . . . . . 6 6 7 8 10 12 12 14 16 17 19 21 21 23 24 24 24 24

3 Administrao Pblica Federal e Segurana da Informao

Administrao Pblica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Segurana da Informao da esfera federal da Administrao Pblica . . . 27 Consideraes Finais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

26

4 Sistemas de Informao, Infraestrutura de TI e Poltica de Segurana da Informao 30

4.1 4.2 Poltica de Segurana da Informao . . . . . . . . . . . . . . . . 4.1.1 Elaborao de uma poltica de segurana da informao . . 4.1.2 Divulgao da poltica de segurana da informao . . . . Sistemas de Informao . . . . . . . . . . . . . . . . . . . . . . . . 4.2.1 Sistemas de Misso Crtica . . . . . . . . . . . . . . . . . . 4.2.2 Desenvolvimento e Manuteno de Sistemas de Informao 4.2.3 Aquisio de Sistemas de Informao . . . . . . . . . . . . Infraestrutura de TI . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.1 Computadores e equipamentos relacionados . . . . . . . . 4.3.2 Sistemas de armazenamento e recuperao . . . . . . . . . 4.3.3 Software bsico e aplicaes computacionais . . . . . . . . 4.3.4 Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.5 Instalaes Prediais . . . . . . . . . . . . . . . . . . . . . . Consideraes Finais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4.3

4.4

30 31 32 32 33 33 34 34 35 35 35 36 36 37

5 Estudos de caso como estratgia de pesquisa na rea de Segurana da Informao 38

5.1 5.2 5.3 5.4 5.5 5.6 6.1 6.2 Estudo de Caso . . . . . . . . . . . . . . . . . . . . . Caractersticas da estratgia de Estudo de Caso . . . Utilizao de Estudos de Caso . . . . . . . . . . . . . Vantagens e desvantagens da utilizao de Estudos de Estudos de caso e segurana da informao . . . . . . Consideraes Finais . . . . . . . . . . . . . . . . . . . . . . . . . . . Caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

38 39 39 39 40 40

6 O estudo de caso realizado na organizao OPF

6.3 6.4 7.1 7.2 7.3

Aspectos do estudo de caso realizado na organizao OPF A Organizao OPF . . . . . . . . . . . . . . . . . . . . . 6.2.1 Natureza e Misso . . . . . . . . . . . . . . . . . . 6.2.2 Competncias e Negcios . . . . . . . . . . . . . . . 6.2.3 Gesto e Estrutura Organizacional . . . . . . . . . 6.2.4 Stakeholdes . . . . . . . . . . . . . . . . . . . . . . 6.2.5 Requisitos de Compliance . . . . . . . . . . . . . . A Segurana da Informao na Organizao OPF . . . . . Consideraes Finais . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

41

41 43 43 43 44 45 45 45 52

7 Discusso dos resultados

Consideraes a cerca da gesto de segurana da informao na organizao OPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Avaliao do atendimento dos objetivos de controle de segurana da informao na organizao OPF . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Comentrios Finais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

53

8 Concluso Referncias
vi

59 61

A Instrumento de Pesquisa - Respostas dos Questionrios

A.1 Poltica de Segurana da Informao e Gesto de Segurana da Informao A.1.1 Gerente Geral de TI e presidente do comit de segurana da informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.1.2 Gerente Operacional de TI 1 . . . . . . . . . . . . . . . . . . . . . . A.1.3 Analista de TI 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.1.4 Analista Administrativo 1 . . . . . . . . . . . . . . . . . . . . . . . A.2 Aquisio, desenvolvimento e manuteno de Sistemas de Informao e Gesto de Segurana da Informao . . . . . . . . . . . . . . . . . . . . . . A.2.1 Analista de TI 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.2.2 Analista de TI 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.2.3 Analista de TI 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.2.4 Analista de TI 5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.3 Infraestrutura de Tecnologia da Informao (TI) e Gesto de Segurana da Informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.3.1 Gerente Operacional de TI 2 . . . . . . . . . . . . . . . . . . . . . . A.3.2 Gerente Operacional de TI 3 . . . . . . . . . . . . . . . . . . . . . . A.3.3 Gerente Operacional de TI 4 . . . . . . . . . . . . . . . . . . . . . . A.3.4 Analista de TI 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.3.5 Analista de TI 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.3.6 Analista de TI 8 . . . . . . . . . . . . . . . . . . . . . . . . . . . .

65

65

65 68 72 75 78 78 80 81 83 85 85 88 90 93 96 98

B Questionrio vericador de conformidade com a norma ABNT NBR ISO/IEC 27002 102

vii

Lista de Figuras
2.1 2.2 2.3 2.4 2.5 3.1 6.1 Funes de um sistema de informao de acordo com Laudon (2004) . . . Ciclo de vida da informao e as caractersticas deste ativo de acordo com Smola (2003). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Processos de um Sistema de Gesto de Segurana da Informao (SGSI) de acordo com ABNT (2006). . . . . . . . . . . . . . . . . . . . . . . . . Princpios de gerenciamento de riscos de segurana da informao de acordo com Audrey (2002). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Etapas e processos que compem a gerncia de riscos de segurana da informao, considerando o disposto em ABNT (2008). . . . . . . . . . . . 8 . 11 . 15 . 20 . 25

planejamento para disseminar a cultura de segurana da informao no mbito da APF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Estrutura organizacional do nvel hierarquico entre o conselho diretor, as superintendncias, as gerncias gerais, as gerncias executivas e as gerncias operacionais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

viii

Lista de Tabelas
3.1 6.1 7.1 Principais normativos relacionados segurana da informao aplicadas Administrao Pblica Federal . . . . . . . . . . . . . . . . . . . . . . . . . 28 Participantes entrevistados e fcos do questionrios utilizados nas respectivas pesquisas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Avaliao do atendimento dos objetivos de controle de segurana da informao na organizao OPF . . . . . . . . . . . . . . . . . . . . . . . . . . 57

ix

Captulo 1 Introduo
Os sistemas de informao e, sobretudo, as informaes relacionadas a estes caracterizam-se como ativos de grande criticidade para as organizaes. Prover segurana a estes ativos e gerir as aes que garantam a manuteno efetiva desta segurana essencial para o negcio destas. A segurana da informao diz respeito a proteo da informao contra ameaas que possam valer-se das vulnerabilidades deste ativo, preservando-a assim em suas propriedades quais sejam disponibilidade, integridade, condencialidade e autenticidade, dentre outras. importante observar, no entanto, que a segurana da informao no se concentra exclusivamente sobre questes relacionadas tecnologia da informao (TI), visto que a segurana que proporcionada por meios tecnolgicos no supre toda a demanda por segurana que este ativo apresenta, conforme arma a norma ABNT NBR ISO/IEC 27002 - Cdigo de Prtica para a Gesto da Segurana da informao. Esta, juntamente com a norma ABNT NBR ISO/IEC 27001 - Sistemas de Gesto de Segurana da informao, que refere-se aos requisitos de sistemas de gesto de segurana da informao que devem ser implementados por uma organizao; e com a norma ABNT NBR ISO/IEC 27005 Gesto de Riscos de Segurana da informao, que, como o prprio nome indica, relativa ao processo de gesto de riscos de segurana da informao e das suas atividades; alm do restante das normas da famlia ISO 27000; formam um grupo completo de controles contendo as melhores prticas para segurana da informao. Estas normas versam acerca a importncia da segurana da informao, seja ela inerente a organizaes pblicas ou privadas, concentrando indicaes de requisitos e melhores prticas para sistemas de gesto de segurana da informao. Nelas est explcito que a gesto da segurana da informao no deve ser tratada apenas pela rea de TI, mas por todas as reas da organizao, sobretudo pela alta administrao. Esta abordagem condizente com os propsitos de governana corporativa, alm de viabilizar a promoo da conscientizao em segurana da informao, fazendo com que a cultura de segurana da informao seja parte das atividades de seus colaboradores. Considerando a importncia de salvaguardar as informaes, a Administrao Pblica Federal (APF), tem, cada vez mais, discutido e tentado disciplinar a questo da gesto da segurana da informao. Em 2000, foi instituda, pelo decreto 3.505, (Brasil, 2000), a Poltica de Segurana da Informao nos rgos e entidades da APF, que tem como um de seus principais ojetivos:

"Dotar os rgos e as entidades da Administrao Pblica Federal de instrumentos jurdicos, normativos e organizacionais que os capacitem cientca, tecnolgica e administrativamente a assegurar a condencialidade, a integridade, a autenticidade, o no-repdio e a disponibilidade dos dados e das informaes tratadas, classicadas e sensveis; (...)"

Em 2003, o Tribunal de Contas da Unio (TCU) publicou um Guia de Boas Prticas em Segurana da informao com o intuito de auxiliar os rgos e entidades da APF no que tange s suas respectivas gestes de segurana da informao. Este guia teve sua terceira edio publicada em 2008. Tambm em 2008, foram publicadas a instruo normativa GSI/PR no 1, GSI (2008a), que disciplina a gesto de segurana da informao e comunicaes na APF, direta e indireta, e a norma complementar GSI/PR no 2, GSI (2008b), que dene a metodologia de gesto de segurana da informao e comunicaes, baseando-se no processo de melhoria contnua, denominado ciclo Plan-Do-Check-Act (PDCA). Alm desta norma complementar, foi publicada ainda, pela Secretaria de Logstica e tecnologia da Informao do Ministrio do Planejamento Oramento e Gesto (SLTI/MPOG), a instruo normativa SLTI/MPOG no 04, SLTI/MPOG (2008), que, alm de seu objetivo principal que disciplinar a contratao de servios de Tecnologia da Informao pelos rgos e entidades integrantes do Sistema de Administrao dos Recursos de Informao e Informtica - SISP, explicita, no intem 3 do artigo 5, que a gesto de segurana da informao dos referidos rgos e entidades no pode ser objeto de contratao. Em 2009, atentando-se para a criticidade de uma poltica de segurana da informao na gesto da segurana da informao, publicou-se a norma complementar GSI/PR no 3, (GSI, 2009), com o objetivo principal de:
"Estabelecer diretrizes, critrios e procedimentos para elaborao, institucionalizao, divulgao e atualizao da Poltica de Segurana da Informao e Comunicaes (POSIC) nos rgos e entidades da Administrao Pblica Federal, direta e indireta - APF."

1.1 Problemtica
Considerando o teor das publicaes relacionadas APF citadas e a importncia da promoo das aes relativas segurana da informao e a sua gesto, este trabalho teve como propsito vericar a gesto de segurana da informao em uma organizao pblica com foco nos 3 tpicos que se seguem: poltica de segurana da informao, sistemas de informao (aquisio, desenvolvimento e manuteno) e infraestrutura de Tecnologia da Informao (TI) observando se os controles propostos pelas normas ISO 27001 e ISO 27002 tm sido adotados e implementados. Para isso, adotaram-se como questes norteadoras: Como a organizao gerencia a segurana da informao? Quais as melhores prticas e controles de segurana da informao foram adotados/implementados nesta organizao? Que medidas e aes podem ser tomadas para promover mais qualidade gesto de segurana da informao nesta organizao? 2

1.2 Objetivo Geral

Avaliar uma organizao quanto a sua gesto de segurana da informao, utilizando para isso estudo de caso exploratrio com fco nos seguintes tpicos: poltica de segurana da informao, sistemas de informao (aquisio, desenvolvimento e manuteno) e infraestrutura de TI, considerando os requisitos e controles de segurana da informao especicados pelas normas ISO 27001 e ISO 27002.

1.3 Objetivos Especcos

Elencar e sistematizar os conceitos e teorias respeito da gesto de segurana da informao, bem como identicar e relacionar as principais normas, legislaes e procedimentos aplicados a Administrao Pblica Federal no que tange segurana da informao. Apresentar as caractersticas das principais normas da famlia ISO 27000. Elaborar estudo de caso em uma organizao pblica federal, entitulada organizao OPF 1 e daqui em diante referenciado por esta denominao, observando a gesto de segurana da informao instituda at ento. Vericar e analisar os controles de segurana da informao encontrados na organizao OPF relativos poltica de segurana da informao, aos sistemas de informao (aquisio, desenvolvimento e manuteno) e infraestrutura de TI, tendo com base o disposto nas normas ISO 27001 e ISO 27002. Listar os controles implementados e apresentar propostas de implementao para controles ainda inexistentes ou mal executados, apresentando ainda os principais fatores que dicultam uma gesto de segurana da informao efetiva na organizao pblica objeto deste estudo de caso.

1.4 Justicativa
Dada a importncia da informao para as organizaes e a decorrente necessidade de garantir a segurana deste ativo, caracteriza-se como fator crtico de sucesso que organizaes pblicas tambm promovam a gesto de segurana de suas informaes. Como exposto em GSI (2008a), as organizaes pblicas, como fornecedoras de servios aos cidados, devem prezar pela segurana das informaes sob sua responsabilidade visto que estas caracterizam-se como ativos valiosos para a eciente prestao desses servios. A segurana da informao, como denido em (Brasil, 2000), prov:
"(...) proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modicao desautorizada de dados ou informaes, armazenados, em processamento ou em trnsito, abrangendo, inclusive, a segurana dos recursos humanos, da documentao e do material, das reas e instalaes das comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaas a seu desenvolvimento."

Porm, faz-se necessria uma gesto acerca das aes e decises de segurana da informao, pois, como armado em ABNT (2005), a efetividade que pode ser provida
1 denominao adotada utilizando o acrnimo para organizao pblica federal

 segurana da informao por meios tcnicos limitada. A gesto de segurana da informao permite que a questo da segurana da informao seja pensada tambm em termos das caractersticas organizacionais e humanas, com vistas a promover medidas alinhadas ao negcio da organizao. Assim, a justicativa para este trabalho manifesta-se na importncia e criticidade de se avaliar como est estabelecida a gesto de segurana da informao nos rgos e entidades da APF, valendo-se para isso de um estudo de caso sobre a gesto de segurana da informao na organizao OPF.

1.5 Metodologia
Este trabalho foi elaborado utilizando as seguintes tcnicas: pesquisa bibliogrca e estudo de caso. A pesquisa bibliogrca elencou os conceitos, diretrizes, legislaes e correntes de pensamentos relacionados segurana da informao sobre os quais analisou-se a organizao escolhida para este estudo de caso. O Estudo de caso foi realizado em uma organizao pblica federal (organizao OPF), com vistas a observar os aspectos relacionados gesto de segurana da informao, vericando as aes e controles adotados, utilizando para isso estudos de caso referentes poltica de segurana da informao, aos sistemas de informao (aquisio, desenvolvimento e manuteno) e infraestrutura de TI. Quanto ao estudo de caso, foram utilizados para coleta de dados as seguintes fontes:

Anlide de documentos - o estudo dos documentos que estejam relacionados a organizao OPF e s suas atividades viabiliza o entendimento do seu respectivo negcio, alm dos requisitos de compliance aos quais a mesma est sujeita, para que o estudo da gesto de segurana da informao possa se dar de forma adequada e considere as particularidades desta organizao; Entrevistas individuais - entrevistas direcionadas s pessoas responsveis pelas aes/decises de gesto de segurana da informao na organizao OPF; Observao direta - observaes no ambiente da organizao OPF, com o objetivo de vericar a efetividade das aes de segurana da informao, como tambm as eventuais ausncias de medidas e procedimentos relativos a esta segurana.

1.6 Organizao deste trabalho

Captulo 1
apresentada a motivao para a realizao deste trabalho, explicitando a importncia da gesto de segurana da informao nas organizaes, sobretudo nas organizaes pblicas. So traados o objetivo geral e os objetivos especcos deste trabalho, assim como a sua justicativa e a metodologia utilizada para consecuo dos objetivos.

Captulo 2
4

Explicitam-se os princpios e conceitos relacionados segurana da informao e sua gesto, alm das normas da famlia ISO 27000 e aspectos (tal como governana corporativa, sistemas de informao, tecnologia da informao, governana de TI etc) relacionados a este tema.

Captulo 3
Neste Captulo, descreve-se o contexto relacionado segurana da informao no mbito da Administrao Pblica Federal, explicitando as leis e diretrizes aplicveis, alm das medidas e aes tomadas quanto a este tema.

Captulo 4
So discutidos os elementos balizadores deste estudo de caso, quais sejam poltica de segurana da informao, sistemas de informao e infraestrutura de TI. So explicitados seus conceitos e delineado o escopo de sua aplicao nesta pesquisa.

Captulo 5
Discorre-se sobre a abordagem de pesquisa baseada em estudo de caso, seus conceitos e princpios, alm das tcnicas que podem ser utilizadas quando da sua aplicao. apresentada tambm uma discusso acerca da utilizao deste tipo de abordagem de pesquisa para estudos relacionados segurana da informao.

Captulo 6
So apresentadas as caractersticas e dados relacionados segurana da informao, observados na organizao OPF, objeto do estudo de caso compreendido por esta pesquisa.

Captulo 7
So discutidos os resultados obtidos, relacionando-os s melhores prticas de segurana da informao. So apresentadas tambm observaes que podem ser importantes para promover mudanas e melhorias no cenrio de segurana da informao da organizao OPF.

Captulo 8
Neste captulo so apresentadas as principais concluses deste trabalho, tal como a importncia dos estudos de caso na rea de segurana da informao e a sua utilizao como vericador de controles de segurana .

Captulo 2 Segurana da Informao e Aspectos Relacionados

Este captulo apresenta os principais conceitos e princpios relacionados segurana da informao, alm de apresentar previamente os elementos e aspectos relacionados a esta rea que tm grande inuncia sobre esta questo.

2.1 Governana Corporativa, Sistemas de Informao e Tecnologias da Informao

2.1.1 Governana Corporativa
Governana Corporativa, de acordo com IBGC (2010), o mtodo utilizado para gerir organizaes que leva em conta os relacionamentos entre os intervenientes, visando agregar mais valor s mesmas, aumentar seu capital e contribuir para a sua perenidade. Em Lameira (2001), dene-se que governana corporativa caracteriza-se como o conjunto de processos econmicos e legais que so moldados por processos polticos, com o intuito de preservar os direitos dos shareholders 1 e dos stakeholders 2 . J CVM (2002), delimita governana corporativa como a coleo das prticas que objetiva, por meio da proteo dos interesses dos acionistas e das partes interessadas, melhorar o desempenho da organizao e facilitar o acesso ao capital, valendo-se de transparncia, equidade de tratamento para com todos os acionistas, majoritrios e minoritrios, e prestao de contas aos mesmos para isso. Em suma, todas as denies para esse termo convergem para um processo que otimiza os negcios e lucros da organizao, alm de garantir a preservao dos direitos de todos aqueles que nela tem interesse. A governana corporativa tem como principais princpios, de acordo com o Cdigo de Melhores Prticas de Governana Corporativa IBGC (2004):

Transparncia

1 acionistas;

2 so todos aqueles que, independente de ser ou no acionistas, so partes interessadas nos negcios e
processos da organizao. Ex: funcionrios, fornecedores, clientes, governo etc.

A conana requer o respeito a vrios pontos. Um deles com certeza transparncia no ambiente organizacional. Logo, a informao deve ser livremente disponvel e acessvel para aqueles que sero afetados por ela.

Equidade
A Organizao deve prezar pelo tratamento justo e igualitrio, na medida de suas diferenas, para todos os grupos, minoritrios e majoritrios, tanto dos acionistas, quanto das partes interessadas.

Prestao de contas
essencial que os agentes da governana corporativa, ou seja, aqueles que governam, devam prestar contas de sua poltica queles que os elegeram. Logo, essa informao deve ser transparente e acessvel a todos que dela dependam e dela participem.

Responsabilidade Corporativa
A estratgia da organizao no deve abranger s os seus interesses e os interesses de seus colaboradores, mas deve extrapolar as suas consideraes a m de contemplar todos os relacionamentos com o espao social em que atua IBGC (2004).

importante observar que existe uma relao de complementao entre os princpios em que se baseia o cdigo de melhores prticas, ou seja, eles devem existir conjuntamente e mutuamente se relacionar.

2.1.2 Sistemas de Informao

Para que uma governana corporativa acontea de maneira efetiva, alm de considerar os princpios elencados, a administrao deve ter sua disposio vrios ativos (bens, recursos e direitos que a empresa detm) tais como maquinrio, capital, recursos humanos etc. Para fazer que esses ativos se relacionem, a organizao se vale de informao e a mesma deve estar disponvel sempre que requerida, de maneira segura e convel. Ou seja, deve-se zelar pela manuteno da disponibilidade, integridade e condencialidade da informao, a m de mobilizar adequadamente os demais ativos da organizao. De acordo com Fernandes (2010a), o conceito de informao pode ser denido sob duas perspectivas: como estrutura, pode ser conceituada como um conjunto de dados ou registros representados em uma determinada forma/ordem que lhes permitem ser entendidos; e como processo, a informao pode ser entendida como o resultado da interao entre agentes capazes de interpretar e decidir. No obstante, a informao caracteriza-se como um ativo com grande importncia para as organizaes, visto que a mesma ajuda, e por vezes determina, a tomada de decises, a coordenao e o controle que se tem da organizao e de seus negcios. Para coletar, recuperar, processar, armazenar e distribuir essas informaes, utiliza-se um conjunto de componentes inter-relacionados ao qual denominamos sistema de informao, como observado em Rezende (2005) e Shitsuka (2005). Conforme indica Laudon (2004), sistema de informao uma soluo organizacional e administrativa, que utiliza ferramentas automatizadas e manuais, a m de administrar situaes advindas das atividades da organizao. Pode-se notar que os sistemas de informao, na verdade,

so partes integrantes das organizaes e para uma utilizao efetiva dos mesmos faz-se necessrio um entendimento aprofundado da organizao e de sua administrao. As informaes que so utilizadas nas organizaes so geradas por meio de trs atividades de um sistema de informao: a entrada de dados, o seu processamento e a sada de informaes, como exposto em Laudon (2004) e Fernandes (2010a). Na entrada de dados, recebe-se os dados em sua forma bruta, sem uma organizao. No processamento, esses dados so processados, classicados, organizados e/ou calculados. Essa atividade lhes prove uma forma de serem entendidos. E por ltimo, na sada, temos as informaes disponveis para que possam ser utilizadas pela organizao.

Figura 2.1: Funes de um sistema de informao de acordo com Laudon (2004) Pode-se notar pela gura 2.1 que os fornecedores, os clientes, os concorrentes, acionistas e organizaes reguladoras se relacionam com uma organizao por meio de seu sistema de informao e vice e versa, pode-se notar ainda que as informaes que so geridas pelo sistema de informao podem ser utilizadas como dados para se obter novas informaes. A esse processo chamamos feedback, conforme indicado em Laudon (2004). No captulo 4, os sistemas de informao so discutidos mais detalhadamente, alm de exporem-se aspectos relacionados a sua aquisio, desenvolvimento e manuteno.

2.1.3 Tecnologia da Informao

Tecnologia da informao corresponde combinao entre o conjunto de recursos de processamento (hardware, software, redes, etc.), as pessoas, as comunicaes e os frameworks ; objetivando a criao, a manuteno, a utilizao e a recuperao da informao, conforme indicado em Laudon (2004). Pode-se armar que as tecnologias da informao so ferramentas dos sistemas de informao. So elas que em parte possibilitam a sua existncia. Logo a TI funciona em prol dos sistemas de informao, ajudando-os 8

a fazer com que a organizao desempenhe suas funes e administre seus negcios. No captulo 4, ser discutida a infraestrutura de TI e os elementos que a compem. Como j dito anteriormente, a informao um ativo crtico para as organizaes, pois os seus negcios dependem dela. Portanto aqueles que, de melhor maneira, a organizam e a preservam, melhores resultados e rendimentos obtm em suas funes e negcios. Atualmente uma tarefa complicada dissociar uma empresa de seus sistemas de informao, e consequentemente da tecnologia da informao que a suporta e da qual ela depende. Fundar e manter a estrutura de tecnologia da informao de uma organizao envolve grande aplicao de capital. Esse investimento muitas das vezes, quando no planejado, pode no produzir o retorno esperado. Logo preciso denir uma estrutura por meio da qual seja possvel o gerenciamento e o controle da rea de TI, objetivando garantir o retorno dos investimentos feitos nesta rea e agregar melhorias aos processos de negcios da organizao. O conceito de governana de TI vem de encontro a isso. De acordo com Ross (2005) e ITGI (2008), governana de TI o termo utilizado para designar as estruturas e processos que buscam maximizar o valor dos objetivos e estratgias da organizao por meio do alinhamento da tecnologia de informao aos interesses da organizao. Como armado em (de Abreu, 2006):
"A Governana de TI busca o compartilhamento de decises de TI com os demais dirigentes da organizao, assim como estabelece as regras, a organizao e os processos que nortearo o uso da tecnologia da informao pelos usurios, departamentos, divises, negcios da organizao, fornecedores e clientes, determinando como a TI deve prover os servios para a empresa."

A TI geralmente no vista de modo transparente pelos outros seguimentos da organizao, pois sua linguagem e seu funcionamento no so compreendidos. S mudanas diretamente efetivadas na base da governana desta rea podem fazer com que a TI seja entendida de maneira holstica e aproveitada de forma abrangente. A adoo de estratgias organizacionais estticas, que se resumem a denir uma estrutura e distribuir funes, possibilitam s organizaes uma ecincia limitada. Os ambientes onde se do as aes e processos de negcios utilizam-se cada vez mais da TI, assumindo um dinamismo que exige das organizaes uma gesto exvel e mais gil, que foca seus esforos e atenes nas tomadas de deciso. Para tal prtica necessrio que a TI esteja alinhada s estratgias e objetivos da organizao, como armado em ITGI (2008). Assim, como defende de Abreu (2006), o modelo de governana de TI deve contemplar tanto um alinhamento estratgico esttico3 quanto um alinhamento estratgico dinmico4 , com isso, alm de derivar sua estratgia da estratgia de negcios, a TI pode potencializar novas oportunidades para a organizao, como por exemplo por meio de novos servios de TI conforme indica a biblioteca ITIL em sua terceira verso, OGC (2007). Embora a segurana da informao, como j armado, no seja uma questo que se restrinja somente rea de TI, muito de suas atenes e medidas so direcionadas para tal, haja visto que a TI proporciona tanto tratamentos para riscos de segurana da informao
3 derivao da estratgia de TI a partir do plano estratgico ou de negcios da organizao; 4 alterao da estratgia de TI em funo da mudana aleatria da estratgia de negcios da organizao.

como tambm vulnerabilidades que podem vir a ser exploradas. Assim fundamental que existam controles especcos voltados para a rea de TI. Para tratar e especicar tcnicas de gesto de segurana das Tecnologias da Informao foi criada a norma ISO/IEC 13335, ISO (2004). Esta norma dene os termos e discute acerca dos modelos de gerenciamento de segurana das tecnologias da informao. Uma nova verso desta norma est sendo elaborada com vistas a atualiz-la e estabelecer tambm tcnicas para gerenciamento de riscos de segurana das tecnologias da informao.

2.2 Princpios da Segurana da Informao

Independente da sua forma: textual, digital, oral etc; a informao, enquanto ativo5 , cada vez mais, tem cado sujeita a ameaas6 tais como: fraudes eletrnicas, espionagem, sabotagem etc, que podem explorar suas vulnerabilidades7 . Caso esta explorao acontea, potenciais consequncias8 podem ocorrer. Considerando a criticidade em torno da informao, as organizaes implementam conjuntos variados de controles para proteg-la, incluindo: polticas, processos, procedimentos etc; com o intuito de alcanar os objetivos de negcio e de segurana dessa informao. Obtm-se a, o que denominamos segurana da informao, que a proteo da informao contra vrios tipos de ameaas, objetivando a continuidade dos negcios, minimizando os riscos, maximizando os lucros e as suas oportunidades, conforme indicado em ABNT (2005). A segurana da informao tem o intuito de preservar as caractersticas da informao no que concerne em sua disponibilidade, condencialidade e integridade, alm de aspectos como autenticidade e legalidade:

Disponibilidade Integridade

- propriedade que a informao apresenta, de estar disponvel e utilizvel numa eventual requisio de uma entidade autorizada ABNT (2006). - propriedade que a informao apresenta, de estar completa e el ao estado original ABNT (2006).

Condencialidade

- propriedade que a informao apresenta, de estar disponvel apenas para queles que esto autorizados a obt-la ABNT (2006).

autenticidade - aspecto comprovante de que a informao foi produzida, expedida,

modicada ou destruda por uma determinada pessoa fsica, ou por um determinado sistema, rgo ou entidade GSI (2008a).

Legalidade - aspecto comprovante do valor legal (onde todos os ativos relacionados

esto de acordo com os requisitos de compliance ) que uma informao pode ter em

5 ativos constituem-se como qualquer coisa que tenha valor para a organizao e que precisa ser protegida. No contexto desse trabalho, o melhor exemplo possvel de ativo a informao; 6 ameaas so as causas potenciais de um incidente indesejado, que podem acarretar danos organizao, ao(s) seu(s) sistemas, aos seus objetivos; 7 vulnerabilidades so fragilidades de um ou vrios ativos que podem eventualmente ser exploradas por ameaas; 8 consequncias so as variaes no esperadas nos objetivos da organizao positiva ou negativamente que advm da ocorrncia dos riscos.

10

um processo de comunicao, foi produzida, expedida, modicada ou destruda por uma determinada pessoa fsica, ou por um determinado sistema, rgo ou entidade Smola (2003). Em Smola (2003) expressa-se que a informao deve ser protegida ao longo de todo o seu ciclo de vida, pois quando este ativo ou os ativos que a utilizam e a suportam (ativos de TI, ativos fsicos e ativos humanos) cam expostos riscos. O ciclo de vida da informao dividido em 4 momentos: manuseio (criao e manipulao da informao), armazenamento, transporte e descarte. Pode-se observar o relacionamento entre o ciclo de vida da informao, e suas propriedades e aspectos, na gura 2.2

Figura 2.2: Ciclo de vida da informao e as caractersticas deste ativo de acordo com Smola (2003). A preservao das propriedades e dos aspectos da informao anteriormente mencionados depende do estabelecimento de uma ao gerencial explcita, que chamada de gesto da segurana da informao (GSI). 11

2.3 Gesto da Segurana da Informao

Como observado, a segurana da informao diz respeito proteo da informao em suas propriedades (condencialidade, integridade e disponibilidade) e em seus aspectos (autenticidade, legalidade etc), evitando que as vulnerabilidades dos ativos relacionados sejam exploradas por ameaas e possam trazer consequncias para os negcios de uma organizao. Porm para a efetividade das aes de segurana da informao necessrio mais que medidas extritamente tcnicas, pois esta questo em mbitos organizacionais, conforme explicado em Diniz (2009), envolve tambm caractersticas denominadas soft, tais como caractersticas humanas, organizacionais e estratgicas. sobre estas caractersticas relativas segurana da informao que a gesto de segurana da informao (GSI) se concentra, pois ao controlar e gerenciar tais pontos potencializa-se a promoo da cultura de segurana da informao, tornando-a uma prtica sistmica. A GSI tem como objetivo principal fazer com que as aes e decises relativas segurana da informao estejam alinhadas aos objetivos e estratgias do negcio da organizao. Considerando a importncia de se gerenciar a segurana da informao e as melhores prticas adotadas at ento, a International Standardization Organization (ISO) publicou a famlia de normas 27000 que tem como objetivo cobrir as necessidades das organizaes no que tange segurana da informao. As principais normas desta famlia so: ABNT NBR ISO/IEC 27002, (ABNT, 2005), que prope um cdigo de prtica para a gesto de segurana da informao; ABNT NBR ISO/IEC 27001, (ABNT, 2006), que indica requisitos para um sistema de gesto de segurana da informao e a ABNT NBR ISO/IEC 27005, (ABNT, 2008), que especca uma gesto de riscos de segurana da informao. Estas normas e os controles, processos e procedimentos que elas propem so descritos a seguir.

2.4 Objetivos de Controle e Controles de Gesto Segurana da Informao

A norma ABNT NBR ISO/IEC 27002 foi a numerao atualizada atribuida norma ABNT NBR ISO/IEC 17799 para inclu-la na famlia de normas 27000 que trata da gesto de segurana da informao. Esta ltima foi criada em 2000 com base no padro britnico BS 7799-1:1999 e revisada em 2005, quando foi includo um captulo relacionado gesto de incidentes de segurana da informao. A ISO 27002 descreve um cdigo de prtica para a gesto da segurana da informao baseado nas melhores prticas de segurana da informao. So especicados 39 objetivos de controle e 133 controles, distribudos em 11 captulos que denotam as 11 clusulas de controle. A seguir so descritos os objetos de cada uma destas clusulas:

Poltica de Segurana da Informao

Conforme armado em Faustini (2010), a poltica de segurana da informao de uma organizao o seu "pilar de eccia"da segurana da informao, caracterizandose como o arranjo de princpios/procedimentos que servem de base para a gesto de segurana da informao na mesma e que devem ser observados por todos seus colaboradores. 12

De acordo com Decreto no . 3.505 Brasil (2000), de 13 de junho de 2000, esse documento tem como principais objetivos: promover as aes necessrias implementao e manuteno da segurana da informao, estabelecer normas jurdicas necessrias efetiva implementao da segurana da informao, conscientizar as organizaes acerca da informao utilizada no mbito corporativo e acerca dos riscos atrelados s vulnerabilidades destas etc. No captulo 4, feita uma exposio maior dos aspectos relacionados a poltica de segurana da informao.

Organizao da Segurana da Informao

Diz respeito ao estabelecimento de uma estrutura que suporte a gesto da segurana da informao dentro da organizao. Por meio da mesma que sero planejadas e implementadas as medidas e aes referentes segurana da informao.

Gesto de Ativos
Trata da proteo dos ativos da organizao (tais como ativos de informao, ativos de software, ativos fsicos, servios, pessoas e ativos intangveis). Aborda itens como inventrio de ativos, responsabilidade por ativos e utilizao de ativos, alm de controles e diretrizes especcos para o ativo informao.

Segurana em Recursos Humanos

Elenca diretrizes que visam garantir a segurana da informao antes, durante e aps a contratao de recurso humanos. A observao desta clusula garante que os recursos humanos envolvidos com a organizao (sejam eles funcionrios, fornecedores ou terceiros) estejam cientes de suas responsabilidade e papis no que tange segurana da informao.

Segurana Fsica e do Ambiente

Estabelece controles relativos a permetros de segurana; entrada fsica e segurana em ambientes fsicos (como escritrios, salas e instalaes) e instalao, utilizao e manuteno de equipamentos dentro e fora da organizao.

Gesto das Operaes e Comunicaes

Este captulo um pouco maior que os outros devido ao grande domnio que mapeia. Esta clsusula dispe diretrizes desde procedimentos e responsabilidades operacionais a itens como cpias de segurana, gerenciamento da segurana em redes e manuseio de mdias. Seu objetivo central, conforme indica (ABNT, 2005), :
"Garantir a operao segura e correta dos recursos de processamento da informao."

Controle de Acesso
Aborda a dinmica de distribuio e manuteno de acessos aos sitemas de informao da organizao, com o objetivo de controlar o acesso informao e ativos relacionados.

13

 Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao

A abrangncia deste captulo tambm vasta, tem como foco fazer com que os sistemas de informao tenham como parte integrante a segurana da informao, com vistas a garantir a segurana da informao processada pelos mesmos.

Gesto de Incidentes de Segurana da Informao

Como explicitado em (ABNT, 2005), este captulo/clusula tem como objetivo:
"Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil."

Gesto de Continuidade do Negcio

De acordo com Smola (2003), a gesto de continuidade do negcio tem como objetivo permitir a continuidade de processos e informaes essenciais sobrevivncia da organizao, no menor intervalo de tempo possvel, com vistas a evitar/minimizar os impactos de incidentes.

Conformidade
Elenca os objetivos de controle e controles necessrios para que a organizao possa respeitar os requisitos de compliance relacionados segurana da informao a que est sujeita, ou seja, tem como objetivo garantir que o conjunto de normas, leis, regulamentaes, polticas etc (impostas interna ou externamente) sejam cumpridos.

2.5 Sistema de Gesto de Segurana da Informao

Conforme descrito acima, a segurana da informao promovida por meio de um conjunto de controles (tais como procedimentos, estruturas organizacionais, polticas etc) com objetivos especcos. Um Sistema de Gesto de Segurana da Informao (SGSI) visa (com base na anlise, avaliao e tratamento de riscos) justamente permitir que a organizao que o implementa alcance seus objetivos relativos segurana da informao. A prpria norma ABNT NBR ISO/IEC 27001, (ABNT, 2006), que especca requisitos paras um SGSI, versa que: Um Sistema de Gesto de Segurana da Informao baseia-se numa anlise de riscos para estabelecer, programar, operar, monitorizar, rever, manter e melhorar a Segurana da Informao.
"O SGSI projetado para assegurar a seleo de controles de segurana adequados e proporcionados para proteger os ativos de informao e propiciar conana s partes interessadas."

Um SGSI, conforme especicado na norma, dentre outros requisitos, prev uma estrutura organizacional denida, metodologia de medio e avaliao, e sistematizao de processos. Por meio de tais, potencializa-se a identicao e correo de pontos fracos na GSI, promoo da cultura de segurana da informao, alcance dos objetivos propostos aos controles implementados etc. 14

Figura 2.3: Processos de um Sistema de Gesto de Segurana da Informao (SGSI) de acordo com ABNT (2006). Os processos do SGSI, que so estruturados com base no modelo Plan-Do-Check-Act (PDCA) e sua sistematizao podem ser visualizados na gura 2.3. Na gura 2.3, que ilustra um SGSI, como em qualquer sistema de informao, temos as entradas, que so as expectativas das partes interessadas e os requisitos de segurana da informao; o processamento que o ciclo de processos do SGSI estruturados com base no modelo PDCA e a sada, que a prpria segurana da informao gerenciada. Alm disso, pode-se observar o relacionamento das partes interessadas com este sistema de informao. Os processos do SGSI proposto so:

Estabelecimento do SGSI (Plan )

Aqui so planejados e elaborados os princpios e as estruturas em que se basear o SGSI, tais como poltica, objetivos de controle, controles, processos e procedimentos. Tambm denido o escopo de aplicao do SGSI, alm de analisar e avaliar os riscos de segurana da informao;

Implementao e Operao do SGSI (Do )

Os pricpios e estruturas so ento implementados, e os tratamentos para os riscos analisados e avaliados so formulados e tambm colocados em prtica;

Monitoramento e Anlise crtica do SGSI (Check )

Conforme armado em ABNT (2005), os processos implementados so monitorados, analisados criticamente e passam por auditorias, considerando as metas traadas pela poltica e objetivos controle. So analisados tambm os resultados dos tratamentos de riscos implementados, levando em considerao os nveis de riscos (residuais e aceitveis); 15

 Manuteno e Melhoria do SGSI (Act )

Os pontos de melhoria diagnosticados no processo de "monitoramento e anlise do SGSI"so analisados frente aos objetivos traados, e ento aes que atuaro sobre estes so implementadas. Alm da descrio destes processos, a ISO 27001 traz ainda, em seu anexo A, uma relao dos objetivos de controles e controles derivados daqueles especicados em ABNT (2005).

2.6 Gerncia de riscos de segurana da informao

O gerenciamento de riscos de segurana da informao, assim como qualquer gesto de riscos, uma gesto interativa cuja implementao tem o intuito de melhorar continuamente o desempenho e a tomada de decises de uma organizao maximizando as possibilidades de ganho, ao mesmo tempo em que minimiza as possibilidades de perda, conforme indicado em ABNT (2008). A gerncia de riscos ser tanto mais ecaz, quanto mais presente e incorporada estiver na cultura organizacional da empresa. Ou seja, quanto mais importncia for dada gesto de riscos nas atividades da organizao e na forma em que estas atividades so executadas, mais qualidade e resultados sero resultantes da mesma. Em Gualberto (2008), pode se observado um modelo de informaes para gesto de riscos de segurana da informao e os resultados que podem ser alcanados com a implementao deste processo de gesto de riscos. A gerncia de riscos pode ser aplicada nas mais variadas esferas de uma organizao, seja nela como um todo, ou apenas em um projeto desenvolvido por ela. Em qualquer situao esse ambiente onde a mesma ser desenvolvida deve ser bem denido, de modo a permitir as decises especcas e corretas que impliquem em aes ecientes nesses processos. Ou seja, o escopo de aplicao da gesto de riscos deve ser transparente e delineado. A denio de onde ou em que ser implantada a gerncia de riscos de segurana da informao um dos itens mais importantes no que tange ao princpio de estabelecer uma base para um processo de gesto contnuo, conforme denido em Audrey (2002). A gesto de riscos caracteriza-se como parte imprescindvel em uma boa governana corporativa, pois organizaes que conseguem com xito cuidar dos riscos aos quais esto propensas, tendem a atingir seus objetivos e a faz-lo com um menor custo global como arma AS/NZS (2004). De acordo com IBGC (2007), a gesto de riscos promove maior transparncia, ao informar aos investidores e ao pblico em geral os riscos aos quais a organizao est sujeita, as polticas adotadas para sua mitigao, bem como a eccia das mesmas, alm de melhorar os padres de governana, mediante a explicitao do perl de riscos adotado, em consonncia com o posicionamento dos acionistas e a cultura da organizao. Adicionalmente, a gesto de riscos introduz uma uniformidade conceitual em todos os nveis da organizao, seu conselho de administrao e acionistas. No mbito das organizaes, qualquer que seja ela, sempre existe a potencialidade de um evento ser uma oportunidade para xito da mesma ou uma ameaa a uma execuo eciente. Nesse processo, de acordo com ABNT (2008), o risco visto como um evento ou 16

condio incerta, algo que pode, ou no, acontecer, e que se acontecer ter um impacto negativo sobre as metas e objetivos da organizao. Resumidamente como arma IRM (2002), risco a combinao da probabilidade de um evento acontecer e suas consequncias nos objetivos da organizao. Chama-se de oportunidade um possvel evento que se acontecer acarrete em impactos vistos como positivos para a organizao. No se pode confundir, aqui, incertezas com riscos, pois esses termos no so sinnimos. O ponto chave para denir o que risco e o que apenas incerteza a relao que esses eventos tm com os objetivos da organizao. Se um evento incerto, mas as suas consequncias so indiferentes organizao ele no se caracteriza como um risco, mas apenas como uma incerteza, pois como armado em Hillson (2007), um risco no pode existir num vcuo. preciso enumerar os objetivos ou informaes que seriam afetados se esse evento ocorresse. Os riscos podem ser divididos por natureza e/ou por origem. Quanto natureza os riscos podem ser categorizados em estratgicos, operacionais e nanceiros, podendo ter naturezas distintas, como tambm, ter vrias naturezas concomitantemente. De acordo com IBGC (2007), podem ser dos seguintes tipos:

Riscos de natureza estratgica - so aqueles ligados tomada de deciso da alta administrao e que podem vir a gerar perdas substanciais no valor econmico da organizao, quedas nos valores de suas aes. Riscos de natureza operacional - so aqueles ligados possibilidade de ocorrncia de perdas (de produo, de ativos, de clientes, de receitas) resultantes de falhas, decincias ou inadequao de processos internos, pessoas e sistemas, assim como de eventos externos como catstrofes naturais, fraudes, greves e atos terroristas. Riscos de natureza nanceira - so aqueles ligados exposio das operaes nanceiras da organizao. So os riscos de que os uxos de caixa no sejam administrados de forma efetiva no possibilitando a maximizao da gerao de caixa operacional, o gerenciamento dos riscos e os retornos especcos das transaes nanceiras, e a captao e aplicao dos recursos nanceiros de acordo com as polticas estabelecidas.
Quanto origem, ainda de acordo com o IBGC (2007), denido que as origens dos eventos podem ser de dois tipos, externas e internas:

Riscos externos - so aqueles eventos que tm ligao com o ambiente macroeconmico, poltico, social, natural ou setorial em que a organizao opera, ou seja, esto ligados sua atuao e geralmente no podem ser tratados diretamente pela organizao. Riscos Internos - so aqueles eventos que se originam no mbito da prpria organizao, pelos seus processos, seu quadro de pessoal ou de seu ambiente de tecnologia, ou seja, so aqueles que so inerentes s atividades da organizao e que, em geral, podem ser tratados com aes pr-ativas por parte da instituio.

2.6.1 Princpios da gerncia de riscos de segurana da informao

Quando da implementao de uma gerncia de riscos de segurana da informao, deve-se garantir o respeito de alguns princpios, princpios esses que moldam a natureza 17

da gerncia de riscos, conforme indicado em Audrey (2002), e que podem ser agrupados em trs reas: avaliao de riscos de segurana da informao, gerncia de riscos, e organizao e cultura.

Princpios de avaliao de riscos de segurana da informao

So os princpios que constituem o alicerce para um processo de avaliao de riscos de segurana da informao ecaz.

 Auto-direcionamento - refere-se ao ato de gerenciar e direcionar a avaliao

de riscos de segurana da informao para a organizao. As pessoas que o fazem so responsveis por gerenciar as atividades de gerncia de riscos e pela tomada de decises no que diz respeito aos esforos da organizao na manuteno dessa segurana, Audrey (2002). de avaliao exvel, visto que a segurana da informao e a tecnologia de informao mudam muito rpido. Para que isso seja possvel, so necessrios catlogos correntes de informaes, que denem as prticas de segurana aceitas, as fontes e tratamentos conhecidos, assim como suas vulnerabilidades, Audrey (2002).

 Medidas adaptveis - refere-se necessidade de se estabelecer um processo

 Processos denidos - programas de avaliao de segurana da informao

devem depender de processos e procedimentos denidos e padronizados, que ajudem a organizao a institucionalizar o processo, atribuindo assim coerncia na aplicao da avaliao. Para isso necessria a distribuio de responsabilidades para a execuo dessa avaliao, a denio de todas as atividades de avaliao requeridas (assim como as ferramentas e materiais por elas utilizados) e a criao de um formato comum para documentar os resultados da avaliao, Audrey (2002). tura de segurana ao longo do tempo, as organizaes devem implementar prticas de segurana com base em estratgias e planos. Adotando essa perspectiva, a organizao acaba por institucionalizar esse processo, tornando-o parte da forma como a organizao realiza rotineiramente suas atividades, Audrey (2002).

 Base para um processo contnuo - objetivando o incremento de sua pos-

Princpios de gerncia de riscos

So os princpios bsicos para uma prtica efetiva da gerncia de riscos. Os princpios aqui encontrados so extensveis a todas as categorias de riscos, no s aos de segurana da informao.

 Perspectiva de viso futura - refere-se necessidade de se planejar no s

o presente, o cotidiano, mas o amanh da organizao, ou seja, deve-se tentar preestabelecer aes para eventuais acontecimentos futuros. Esse tipo de viso futura centrado no gerenciamento da incerteza, Audrey (2002). mais crticas de segurana de informao. Para isso necessrio que a mesma 18

 Foco nos pontos crticos - a organizao deve concentrar-se nas questes

use uma coleo de dados direcionados para a coleta de informao acerca dos riscos de segurana e identique os ativos mais crticos para que possa selecionar as prticas de segurana para sua proteo, Audrey (2002).

 Gesto integrada - refere-se necessidade de que as polticas e estratgias

de segurana sejam coerentes com as polticas e estratgias organizacionais, Audrey (2002).

Princpios organizacionais e culturais

Os princpios organizacionais e culturais ajudam a criar uma cultura organizacional favorvel a uma gesto de riscos efetiva. A no-observao a esses princpios pode fazer que questes importantes para a organizao passem despercebidas pela gesto de riscos, alm de acarretar em um falta de compromisso e empenho para com esse gerenciamento, por parte das pessoas que constituem a organizao. O respeito a esses princpios extremamente importante para que seja possvel a criao de um ambiente em que a troca aberta de idias seja incentivada, Audrey (2002).

 Comunicao aberta - o xito da gesto de riscos de segurana da informao

est diretamente ligado a uma comunicao aberta dentro da organizao, pois no se solucionaria um risco de segurana da informao se o mesmo no fosse comunicado e entendido pelas partes envolvidas. Para sua aplicao, pode-se valer de atividades de avaliao que so desenvolvidas por meio de colaborao e incentivo ao intercmbio de informaes relativas a riscos de segurana entre todos os nveis de uma organizao, Audrey (2002). ganizao, de se chegar a um consenso acerca do que mais importante para a organizao. So diagnosticadas as opinies individuais e posteriormente as mesmas so consolidadas, dando origem a um quadro global de riscos de segurana da informao com o qual a empresa tem de lidar, Audrey (2002). da organizao se unam, formando equipes interdisciplinares, objetivando o entendimento das questes relacionadas segurana da informao. So questes fundamentais relacionadas criao e manuteno dessas equipes interdisciplinares: a sua criao para conduzir a avaliao dos riscos, incluses oportunas de novas perspectivas para essa avaliao, trabalho em equipe para o sucesso dessa avaliao e o impulsionamento s habilidades e capacidades de seus membros, Audrey (2002).

 Perspectiva global - refere-se necessidade, por parte dos membros da or-

 Trabalho de equipe - refere-se necessidade de que os indivduos membros

Esses princpios baseiam as atividades de avaliao de riscos de segurana da informao. Pode-se observar na gura 2.4 um quadro resumo desses princpios e a sua disposio.

2.6.2 Processos que compem a gerncia de riscos

Existem vrios padres de fato e de direito, tais como IBGC (2007) , PMI (2004), AS/NZS (2004), ABNT (2008), Audrey (2002) e IRM (2002), que explanam acerca da gerncia de riscos, da gerncia de riscos de segurana da informao especicamente e dos 19

Figura 2.4: Princpios de gerenciamento de riscos de segurana da informao de acordo com Audrey (2002). processos que as compem, denindo-as em conjuntos de subprocessos/atividades. Para os propsitos deste trabalho, adotar-se-o os processos denidos na ABNT (2008) (visto que esta norma, como j mencionado, uma integrante da famlia de normas 27000 e totalmente aderente ao que proposto pelas normas ABNT (2006) e ABNT (2005) j discutidas): denio de contexto, anlise/avaliao dos riscos, tratamento dos riscos e aceitao dos riscos, alm de um monitoramento e reviso de riscos, e das comunicaes e consultas s partes interessadas, em todas essas etapas. Cada um desses processos deve ter seus resultados, mtodos, fonte de dados e anlises registrados, pois esses registros so um dos requisitos para uma boa governana corporativa, levando-se em conta a necessidade de ser criar e manter esses registros, os custos envolvidos em tal manuteno e as vantagens que sero obtidas por meio de tais, conforme especicado em AS/NZS (2004).

20

Os processos que compem a gerncia de riscos, mostrados na gura 2.5, so descritos a seguir.

2.6.3 Denio de contexto

Quando da deciso da implementao de uma gerncia de riscos, faz-se extremamente necessrio o estabelecimento de um contexto bem denido, que sero os parmetros bsicos para que possa ser diagnosticado com excelncia o escopo dos riscos que sero considerados. Esse contexto alm de detalhar o ambiente interno e externo da organizao, se estende a denir o propsito da aplicao da gerncia de riscos de segurana da informao, o seu ambiente, seus objetivos, suas estratgias, os critrios utilizados em cada um dos processos que a compem e a elaborao de uma estrutura lgica de seguimento para o restante do processo de gesto, AS/NZS (2004).

2.6.4 Apreciao de riscos

Nessa etapa, que se divide em anlise de riscos e avaliao de riscos, identicam-se: os ativos de segurana de informao, sua valorao, suas vulnerabilidades, as ameaas potenciais s mesmas, as consequncias que podem advir de uma eventual explorao de uma vulnerabilidade por uma ameaa e os controles existentes sobre esses riscos; analisase qualitativa e/ou quantitativamente as consequncias, a probabilidade dos incidentes, estima-se o nvel dos riscos e avaliam-se os riscos.

Anlise de Riscos
 Identicao de riscos
Identicar os riscos delinear e caracterizar os eventos que podem interferir nos propsitos de uma atividade, projeto, processo, organizao, etc, a m de gerenci-los. Para isso, como exposto no IRM (2002), necessrio um conhecimento intrnseco da organizao, do campo em que ela atua, do ambiente em que ela existe, das relaes e servios jurdicos, polticos, sociais, culturais que ela engloba, e sobretudo ter uma viso ampla de seus objetivos, descrevendo as informaes crticas para o seu sucesso. Pode-se dividir a identicao de riscos nas seguintes etapas: identicao dos ativos, identicao das vulnerabilidades, identicao das ameaas, identicao das consequncias, identicao dos controles existentes e registro dessas informaes.

identicao dos ativos

A partir do escopo e limites denidos na denio do contexto, identicamse os ativos e as caractersticas e propriedades dos mesmos so detalhadas, com vista a colher informaes sucientes para a anlise/avaliao de riscos. A cada ativo, ou a conjuntos deles, devem ser atribudos responsveis, que na tica da gesto de riscos de segurana da informao, so as pessoas mais apropriadas para determinar a valorao desses ativos relativamente organizao.

21

identicao das vulnerabilidades

preciso que as vulnerabilidades intrnsecas e extrnsecas aos ativos sejam detalhadas, visto que embora uma vulnerabilidade em si no seja um dano organizao, a sua combinao com uma ameaa o . Uma vulnerabilidade que no presente no est sendo explorada, pode futuramente ser, logo preciso que haja um monitoramento sobre todas elas, ABNT (2008) e ABNT (2005).

identicao das ameaas

As ameaas podem ser de origem natural ou humana e podem ser acidentais ou intencionais. Seja qual for o tipo, todas as ameaas e suas fontes devem ser identicadas, ABNT (2008).

identicao das consequncias

Nessa etapa, empenha-se em denir os prejuzos e/ou consequncias para organizao que potencialmente podem decorrer de um cenrio de um incidente, ou seja, que podem decorrer da explorao de uma vulnerabilidade por uma ameaa em um incidente de segurana da informao, essa denio do impacto que pode atingir a organizao denida valendo-se dos critrios de impacto denidos no processo de denio do contexto, ABNT (2008).

identicao dos controles existentes

A identicao dos controles existentes, visa identicar e analisar se os controles existentes esto atendendo aos ns que lhes deram origem, com vistas a evitar trabalho desnecessrio com duplicao de controles e a sua manuteno ou a sua substituio, ABNT (2008).

Registro de riscos

Aps reconhecer os riscos, estes devem ser registrados em um documento chamado registro de riscos. Inicialmente, quando da execuo da identicao dos riscos, se comea com uma lista preliminar dos riscos identicados, suas causas e as eventuais respostas; porm esse documento abrigar ainda as informaes referentes aos resultados dos outros processos de gerenciamento de riscos que sucedem o processo de identicao.

Estimativa de riscos
Esse processo objetiva desenvolver a compreenso dos riscos. A observao nessa etapa se baseia nas consequncias de um determinado evento e nas suas probabilidades de acontecer. Analisando a natureza, as consequncias e as probabilidades dos mesmos, decide-se se os riscos devem ser tratados, com qual prioridade e quais as estratgias de tratamento apropriadas e com melhor custo-benefcio relativos a tais riscos. A estimativa de riscos pode ser qualitativa (geralmente a primeira a ser feita, dando uma viso geral dos nveis dos riscos e identicando os riscos de maior prioridade), quantitativa (em geral utilizada depois de uma estimativa qualitativa, atuando sobre os riscos mais prioritrios, ou que podem trazer maior impacto por meio de suas consequncias) ou semi-quantitativa, AS/NZS (2004).

Avaliao de riscos
22

De acordo com IRM (2002), o processo de avaliao de riscos consiste na comparao dos riscos estimados com os critrios que foram estabelecidos no processo de denio do contexto, que envolviam custos associados ao tratamento dos riscos, benefcios, fatores ambientais, opinies das partes interessadas etc. Alm de considerar a denio do contexto, deve-se levar em conta outros documentos e requisitos tais como: requisitos contratuais, requisitos legais e requisitos regulatrios. O principal objetivo desse processo a tomada de decises a respeito dos riscos que necessitam de tratamentos e daqueles que necessitam de tratamentos prioritrios, baseando-se nos objetivos e no grau de oportunidade que pode ser gerado para a organizao, respeitando o contexto denido, ABNT (2008).

2.6.5 Tratamento de riscos

No processo de tratamento de riscos, de acordo com AS/NZS (2004), identicamse opes para proteger a atividade, projeto, organizao etc; dos riscos identicados, analisados e avaliados. Ou seja, o tratamento de riscos sugere tratamentos para esses riscos. Avalia-se esses tratamentos decidindo-se quais opes sero adotadas e em qual ordem sero executadas, fazendo-se a preparao para que seja possvel execut-las e nalmente, implementando as aes planejadas. Fazer com que uma organizao no que exposta a nenhum risco impossvel. Diante dessa certeza, faz-se extremamente necessrio a denio de prioridades e de direes dos esforos e controles a m de minimizar o impacto negativo e maximizar as oportunidades. Consoante a ABNT (2008), o processo de tratamento de riscos pode ser de quatro tipos, no excludentes entre si: reduo do risco, reteno do risco, evitar o risco e transferncia do risco.

Reduo do risco
Refere-se a selecionar os controles apropriados, de acordo com a denio de contexto e anlise/avaliao de riscos, para mitigar os riscos de segurana da informao.

Reteno do risco
Refere-se a no necessidade de se implementar controles para tratamento de um risco, diante do fato de o nvel desse risco atender aos critrios para a aceitao de riscos. Essa deciso deve ser tomada com base na avaliao de riscos.

Evitar o risco
Quando o tratamento para certos riscos elevados for muito dispendioso, pode-se optar por eliminar a(s) atividade(s) que o causam ou por promover alteraes nas condies de operao de tal.

Transferncia dos riscos

Refere-se deciso de compartilhar determinados riscos com entidades externas, para que o mesmo seja tratado de forma mais ecaz.

23

2.6.6 Aceitao do risco de segurana da informao

De acordo com ABNT (2008), nessa atividade que se delimita quais riscos sero ou no aceitos formalmente, de acordo com os critrios para aceitao de riscos, descrevendo como seu tratamento se dar, os possveis riscos residuais resultantes e as condies associadas a essas decises.

2.6.7 Monitoramento e reviso

O processo de monitoramento e reviso ao longo do gerenciamento de riscos e ao seu nal assegura que novos riscos que surjam durante a execuo do projeto/atividade no sejam desconsiderados ou que mudanas nos riscos sero rapidamente reconhecidas pelo fato de os mesmos serem analisados e revisados frequentemente, alm de revisar a execuo de respostas a riscos enquanto avalia sua eccia. Em suma, esse processo prima pela continuidade da pertinncia da gerncia de riscos, conforme entendimento explcito em AS/NZS (2004) ABNT (2008).

2.6.8 Comunicao e consulta

Esse processo engloba os dilogos com as partes interessadas, internas e externas, sabendo que os mesmos tm vises pertinentes acerca dos riscos da organizao e que essas percepes tm grande inuncia em quais decises so tomadas. Ento, partindo dessa premissa, as comunicaes e consultas a esses intervenientes devem ser constantes, envolvendo assuntos tanto dos riscos, quanto da sua gesto ao longo de todo esse macroprocesso que a gesto de riscos. Alm disso, quando existe uma comunicao efetiva, a distribuio de responsabilidades e o entendimento da base em que se tomam as decises so facilitados.

2.7 Consideraes Finais

Este captulo apresentou a segurana da informao e os tpicos relacionados a esta questo. No captulo 3, apresentada uma breve viso dos regulamentos e legislaes relativos segurana da informao na Adminitrao Pblica Federal (APF), alm dos estudos e capacitaes que tm sido propostos neste mbito.

24

Figura 2.5: Etapas e processos que compem a gerncia de riscos de segurana da informao, considerando o disposto em ABNT (2008).

25

Captulo 3 Administrao Pblica Federal e Segurana da Informao

Neste captulo so apresentadas algumas denies no que diz respeito administrao pblica, alm de explicitados as legislaes, estudos e capacitaes em segurana da informao promovidos pela APF atualmente.

3.1 Administrao Pblica

De acordo com Pietro (2010), o termo administrao pblica diz respeito tanto ao conjunto de atividades desenvolvidas pelos Estado quanto aos entes que exercem estas atividades administrativas, ou seja, relativo ao aparato de entes e rgos, e processos que tm como principal objetivo a administrao da mquina pblica, tendo como principal princpio o interesse coletivo. Segundo Alexandrino (1996), o arcabouo de atividades administrativas desempenhadas refere-se administrao pblica em seu sentido objetivo, material ou funcional; enquanto que o cojunto de entes que exercem tais atividades refere-se administrao pblica em seu sentido subjetivo, formal ou orgnico. Quanto ao sentido objetivo, a administrao pblica compreende o fomento, a polcia administrativa e o servio pblico, j no sentido subjetivo, a administrao pblica abrange tanto a administrao direta quanto a indireta. Ainda de acordo com Pietro (2010), a administrao direta composta pelos rgos integrantes da unio, dos estados, dos municpios e do Distrito Federal, aos quais conferido o exerccio de funes administrativas; ao passo que a administrao indireta composta pelas pessoas jurdicas com personalidade de direito pblico ou privado (criadas para realizar estas atividades de forma descentralizada) a quem foi transferida a execuo da atividade administrativa. So entes da administrao indireta: empresas pblicas, sociedades de economia mista e fundaes pblicas.

26

3.2 Segurana da Informao da esfera federal da Administrao Pblica

Como indicado no captulo 1, a APF tem direcionado grande ateno para a segurana da informao e comunicaes, visto a criticidade de se proteger os ativos relacionados a esta questo. Como ilustrao a esta preocupao, podem ser citadas as normas, diretrizes e leis expedidas para gerir as aes e decises de segurana da informao e comunicaes. H uma tabela sistematizada em GSI (2010) que lista algumas dessas legislaes relacionadas segurana da informao que aplicam-se especicamente APF, as principais, juntamente com outras mais rescentes no contidas na referida tabela, so listadas abaixo:

Regulamento
Lei no 7.232, de 29 de outubro de 1984. Medida Provisria no 2.200-2, de 24 de agosto de 2001. Decreto no 3.505, de 13 de junho de 2000. Decreto no 3.996, de 31 de outubro de 2001. Decreto no 4.553, de 27 de dezembro de 2002.

Assunto
Dispe sobre a Poltica Nacional de Informtica, e d outras providncias. Institui a Infra-Estrutura de Chaves Pblicas Brasileira  ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informao em autarquia, e d outras providncias. Institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal. Dispe sobre a prestao de servios de certicao digital no mbito da Administrao Pblica Federal. Dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado, no mbito da Administrao Pblica Federal, e d outras providncias. Institui na estrutura regimental do Gabinete de Segurana Institucional da Presidncia da Repblica o Departamento de Segurana da Informao e Comunicaes com diversas atribuies na rea de segurana da informao e comunicaes. Disciplina a Gesto de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta, e d outras providncias. Dene a metodologia de gesto de segurana da informao e comunicaes utilizada pelos rgos e entidades da Administrao Pblica Federal, direta e indireta.

Decreto no 5.772, de 08 de maio de 2006, art. 8o .

Instruo Normativa no 1 do GSI, de 13 de junho de 2008. Norma Complementar no 002 Metodologia de gestao de SIC.

27

Norma Complementar no 003 Elaborao e manuteno da Poltica de Segurana.

Estabelece diretrizes, critrios e procedimentos para elaborao, institucionalizao, divulgao e atualizao da Poltica de Segurana da Informao e Comunicaes (POSIC) nos rgos e entidades da Administrao Pblica Federal, direta e indireta - APF. Norma Complementar no 004 - Estabelece diretrizes para o processo de Gesto de Gesto de Riscos. Riscos de Segurana da Informao e Comunicaes  GRSIC nos rgos ou entidades da Administrao Pblica Federal, direta e indireta  APF. o Norma Complementar n 005 Disciplina a criao de Equipe de Tratamento e - Disciplina criao de ETIR Resposta a Incidentes em Redes Computacionais (CRI).  ETIR nos rgos e entidades da Administrao Pblica Federal, direta e indireta  APF. Norma Complementar no 006 - Estabelece diretrizes para Gesto de Continuidade GCN. de Negcios, nos aspectos relacionados Segurana da Informao e Comunicaes, nos rgos e entidades da Administrao Pblica Federal, direta e indireta  APF. Instruo Normativa no 04, de de Dispe sobre o processo de contratao de servios 19 de maio de 2008. de Tecnologia da Informao pela Administrao Pblica Federal direta, autrquica e fundacional. Tabela 3.1: Principais normativos relacionados segurana da informao aplicadas Administrao Pblica Federal

Alm das legislaes direcionadas, outras medidas tm sido tomadas quanto segurana da informao no mbito da APF, tais como estudos e capacitaes. Quanto a estudos pode-se citar o acrdo no 1603 de 2008, TCU (2008), que analisou a situao da governana de TI nos rgos e entidades da APF e encontrou dentre os vrios problemas: falta de planejamento estratgico institucional e de TI nos rgos/entidades, falta de polticas de segurana da informao, falta de um gerenciamento de riscos de segurana da informao etc. Em contrapartida, as capacitaes tentam promover a segurana da informao na APF. Um grande exemplo disso o curso de especializao em gesto da segurana da informao e comunicaes promovido pelo Gabinete de Segurana Institucional da Presidncia da Repblica em parceria com o Departamento de Cincia da Computao da Universidade de Braslia UnB (2010), que j est em sua terceira turma (que conta com mais de 150 alunos servidores e empregados pblicos federais). Esta especializao faz parte de um programa de segurana da informao na APF de escopo ainda maior. O governo federal, por meio do gabinete de segurana institucional (GSI), estimou em cerca de 900 mil os servidores pblicos federais e a partir desta estimativa, fez o seguinte planejamento para promover a cultura de segurana da informao e comunicaes na APF:

28

 Sensibilizar os 900 mil servidores pblicos federais - com vistas a permitir que estes servidores sejam capazes de incorporar s suas atividades de trabalho a segurana da informao e comunicaes; Conscientizar 90 mil servidores pblicos federais - com vistas a permitir que estes servidores sejam capazes de explanar sobre a segurana da informao e comunicaes e sua importncia, e tambm de orientar outros servidores sobre tal; Capacitar 9 mil servidores pblicos federais - com vistas a permitir que estes servidores sejam capazes de utilizar/trabalhar com ferramentas, tecnologias e metodologias importantes na gesto da segurana da informao e comunicaes (tais como gerenciamento de riscos, gerenciamento da continuidade do negcio, controle de acesso, elaborao de polticas de segurana da informao e comunicaes etc); Especializar 900 servidores pblicos federais - com vistas a permitir que estes servidores sejam capazes de reetir acerca da segurana da informao e comunicaes e propor novas abordagens/solues para os assuntos relacionados a esta rea, ou seja, para que estes sejam capazes de atuar como pesquisadores sobre este tema;
A gura 3.1 mostra o esquema deste planejamento para disseminar a cultura de segurana da informao no mbito da APF:

Figura 3.1: planejamento para disseminar a cultura de segurana da informao no mbito da APF

3.3 Consideraes Finais

Este captulo apresentou as diretrizes gerais que disciplinam a segurana da informao e a sua gesto na APF. No captulo 4, so detalhados os elementos por meio dos quais se estudar a gesto de segurana da informao em uma organizao pblica da APF: sistemas de informao, infraestrutura de TI e poltica de segurana da informao. 29

Captulo 4 Sistemas de Informao, Infraestrutura de TI e Poltica de Segurana da Informao

As 11 sees em que esto distribuidos os 133 controles de segurana da informao em ABNT (2005) so basicamente relacionadas ao trip: pessoas, processos e tecnologia. Os elementos: poltica de segurana da informao, sistemas de informao e infraestrutura de TI, escolhidos como base deste trabalho, so abrangidos por boa parte destes controles, o que permite uma visualizao, mesmo que incipiente, da gesto de segurana da informao de uma organizao. Assim, este captulo descreve estes elementos e delimita as interpretaes de sua utilizao nesta pesquisa.

4.1 Poltica de Segurana da Informao

Organizaes que pretendem gerenciar a segurana da informao em seus negcios devem tentar faz-lo de forma sistmica. A segurana da informao precisa estar presente nas atividades e conscincias de todos os colaboradores. Para isso, fazem-se necessrios instrumentos que promovam tal status. Uma Poltica de Segurana da Informao constitue-se como uma das primeiras e mais importantes medidas a serem tomadas, visto que ser a base de princpios que reger esse processo de gesto. A Poltica de Segurana da Informao o documento que especica as linhas-mestras para a segurana da informao numa organizao. Conforme indicado em Peltier (2004), uma poltica de segurana traz consigo as normas e diretrizes para o gerencimento da segurana da informao, explicitando aspectos como: os princpios de segurana da informao, a explicitao da preocupao da alta administrao com a questo da segurana da informao, as metas e objetivos, requisitos para promover a cultura de segurana da informao da organizao, as responsabilidades e penalidades etc. Ou seja, a poltica de segurana da informao vai estabelecer a estrutura bsica da organizao da gesto da segurana da informao na organizao.

30

4.1.1 Elaborao de uma poltica de segurana da informao

A elaborao de uma poltica de segurana da informao deve seguir certas etapas e atender a requisitos especcos para que seja instituda e aplicada de forma efetiva. As etapas do processo de implantao de uma poltica de segurana, segundo Neto (2010), so:

Elaborao da Poltica:
Nesta etapa, so estabelecidos os princpios e requisitos que sero expressos na poltica e sero a base da segurana da informao na organizao;

Aprovao da Poltica:
Nesta etapa, so realizadas as atividades necessrias para aprovao da poltica pela alta administrao, tais como mudanas, ajustes, padronizaes etc;

Implementao da Poltica:
Nesta etapa, aquilo que foi planejado e estabelecido pela poltica deve ser institucionalizado com vistas a permitir inserir no desempenho das atividades dos colaboradores a cultura de segurana da informao. Nesta etapa, o apoio da alta administrao muito importante, visto que, na maioria das vezes, so necessrias decises e aes top-down para que as pessoas deixem uma eventual zona de conforto, alm de simbolizar que a segurana da informao no apenas um capricho da TI, mas sim uma questo organizacional.

Conformidade com a Poltica:

Nesta etapa, vericado se a poltica realmente est sendo efetiva e se est cumprindo o objetivo para qual foi instituda.

Manuteno da Poltica:
Nesta etapa, que reinicia o ciclo de implantao da poltica, so feitas revises neste documento com vistas a manter a sua pertincia e aplicabilidade. Revises devem ser executadas a intervalos planejados e tambm quando ocorrerem mudanas signicativas relativas segurana da informao. Alm de seguir as etapas listadas acima, vital que alguns aspectos e requisitos sejam estabelecidos. Em Costa (2009), so elencados 22 fatores crticos de sucesso para elaborao de uma poltica de segurana da informao, estes so citados seguir:

a adequao com a realidade prtica; a aplicao de penalidades; a denio de responsabilidades; a denio de uma estratgia de elaborao; a expectativa determinante para a existncia de cada regra; a formao prvia da equipe de segurana; a incluso dos requisitos de gesto de continuidade do negcio;
31

 a linguagem simples, objetiva, clara, concisa e ser de fcil compreenso e aplicabilidade; a necessidade de inventrio de ativos; a participao de pessoas de todas as reas da organizao; a previso de um programa inicial de conscientizao para os usurios a respeito das responsabilidades inerentes ao acesso s informaes e utilizao dos recursos de TI; a referncia da documentao de apoio; a reproduo da necessidade do negcio declarada na misso da organizao; a reviso dos documentos; as metas globais; o apoio e comprometimento da alta direo; o conhecimento por parte da equipe sobre conceitos de segurana; o conhecimento dos principais problemas de segurana da organizao; o embasamento legal (dos requisitos de conformidade com a legislao, regulamentos e contratos); o escopo de todos os processos internos que tangem a segurana da informao; o estabelecimento dos objetivos de controle e os controles adequados; o planejamento estratgico de segurana.

4.1.2 Divulgao da poltica de segurana da informao

A poltica de segurana da informao deve ser dilvulgada aos colaboradores e no que for aplicvel, aos clientes e fornecedores, pois a cincia e entendimento deste documento por parte dos stakeholders da organizao que ajudar a promover a segurana da informao. Para este m, podem ser ministrados treinamentos, palestras, workshops etc.

4.2 Sistemas de Informao

No captulo 2, quando da apresentao dos conceitos de segurana da informao e contextualizao dos tpicos relacionados, a denio de sistema de informao foi delineada consoante ao exposto em Laudon (2004), porm, para o foco desta pesquisa, restringiu-se o entedimento de sistemas de informao a somente sistemas baseados em computador. Em Pressman (2006), arma-se que um sistema baseado em computador diz respeito a um conjunto de elementos organizados com vistas a alcanar objetivos denidos previamente, fazendo isso por meio do processamento da informao. Conforme observado em 32

Sommerville (2007), este conjunto de elementos organizados diz respeito parte estrutural de um sistema, enquanto que o processamento da informao diz respeito parte comportamental. Assim, espera-se que um sistema de informao, quando do processamento de informaes, apresente um comportamento determinado pelas estruturas que o compem. Os sistemas de informao suportam processos das organizaes. Para realizar esta funo so feitas abstraes do processo do mundo real, ou seja, reduz-se um fenmeno observvel (no caso, os processos) a uma representao formal para que o mesmo possa ser executado/simulado em um ambiente computacional. Nas especicaes das estruturas e comportamentos destes sistemas, utilizam-se as chamadas linguagens de programao. Conforme explicado em Fernandes (2010a), o objetivo a ser alcanado por meio do sistema de informao o que determina o nvel de abstrao com que os processos sero modelados, visto que o modelo abstrato no apresenta todas as informaes de uma realidade modelada, mas sim uma poro delas para uma determinada perspectiva. Assim, a modelagem de processos para um sistema conduzida com vistas a permitir que este realize as funes para as quais foi criado, atendendo assim aos objetivos relacionados a sua misso.

4.2.1 Sistemas de Misso Crtica

Ainda de acordo com Fernandes (2010a), as organizaes tm uma misso a cumprir, e muitas das vezes se valem de sistemas para suportar os processos relacionados a esta misso. Sistemas essenciais ao cumprimento de tais processos so denominados sistemas de misso crtica, eles recebem essa nomenclatura pois caso deixem de cumprir sua funo comprometero o cumprimento da misso da organizao.

4.2.2 Desenvolvimento e Manuteno de Sistemas de Informao

O desenvolvimento e a manuteno de sistemas so os objetos de estudo da engenharia de software. A abordagem sistemtica proposta por esta rea de conhecimento compreende o conjunto de processos, mtodos e ferramentas utilizados no macro-processo de software. As atividades genricas de um processo de software so a comunicao, o planejamento, a modelagem, a construo e a implantao. Os processos possibilitam o gerenciamento do desenvolvimento e manuteno de softwares como projeto, ao passo que os mtodos dizem respeito parte prtica e tnica (como fazer) da construo do software, enquanto as ferramentas apoiam os processos e os mtodos de forma automatizada, Pressman (2006). Quanto aos processos de software, existem dois tipos de modelos (prescritivos e agis), conforme armado em Pressman (2006) e Sommerville (2007), que utilizam-se de paradigmas diferentes. Os modelos prescritivos de processo de software adotam uma abordagem mais sistemtica que tem como foco a denio das atividades e tarefas de cada um dos processos, os uxos de trabalho, os produtos de trabalho etc. So exemplos de modelos prescritivos: o modelo em cascata, o modelo espiral e os modelos baseados em mtodos formais. J os modelos geis de processo de software possuem um paradigma mais informal que foca nos indivduos e nas interaes entre eles, reduzindo os processos a um conjunto reduzido de tarefas que leva construo e entrega de incrementos de software 33

de forma mais rpida e dinmica. So exemplos de modelos geis: extreme programming (XP) e SCRUM. Observa-se que o melhor modelo de processo de software aquele que atende s necessidades da equipe de software e da organizao, logo o modelo deve ser adaptado s peculiaridades do projeto, e no o contrrio. Os mtodos denem como as atividades elencadas nos processos devem ser realizadas, ou seja, como fazer o levantamento e anlise de requisitos, a modelagem de anlise e projeto, o projeto arquitetural do software, o projeto de suas estruturas ou componentes, o projeto de sua parte comportamenal, testes, mtricas etc. Mtodos para teste de software, por exemplo, como exposto em Pressman (2006), disponibilizam tcnicas e procedimentos para elaborar testes que vericam o processamento interno e fazem validao dos dados de entrada e sada do software. Testes de sistemas de informao so controles abrangidos por ABNT (2006) e ABNT (2005).

4.2.3 Aquisio de Sistemas de Informao

Quando uma organizao decide por utilizar sistemas de informao para apoiar e suportar seus processos, so feitas avaliaes desta necessidade, onde de posse da denio da mesma pode-se contratar o sistema que ir suprir esta demanda. Ocorre que em algumas ocasies, seja por questes de prazo, de segurana, de natureza do processo a ser suportado etc, no oportuno (ou vivel) desenvolver este sistema, mas sim adquiri-lo. Adquirir um software, no entanto, vai muito alm de ter oramento para tal e efetuar a compra. Faz-se necessrio um processo de gesto que estabelea as especicaes, objetivos e avaliaes para esta contratao. Caso contrrio, pode-se enfrentar problemas com custos, prazos, resultados etc. A aquisio de software por organizaes uma atividade comum e existe uma grande preocupao com este tipo de contratao, documentos como a norma IEEE STD 1062 de 1998 e como o guia de aquisio de software do modelo de referncia para Melhoria do Processo de Software Brasileiro (MPS.BR) denotam esta ateno. Nestes so denidas boas prticas para denir claramente o sistema de informao que se quer adquirir, os critrios para seleo da soluo a ser contratada, as caractersticas e requisitos a serem entregues e mantidos (que devem constar no contrato da aquisio) etc. Deve haver uma anlise criteriosa desta aquisio no que tange segurana da informao, como observado em ABNT (2005), visto que estes sistemas iro processar informaes da organizao contratante, e estas informaes podem ser crticas para o seu negcio. Assim, requisitos e critrios de segurana da informao que estabeleam esta segurana devem ser especicados. Conforme indicado em SOFTEX (2009), seguir estas boas prticas possibilita organizao denir bem o sistema que se quer adquirir, compr-lo por um preo justo (caso ele seja pago), especicar critrios para seleo do fornecedor e gerenciamento da contratao etc, com vistas a alcanar o objetivo da aquisio do sistema de informao.

4.3 Infraestrutura de TI
De acordo com de Abreu (2006), a infraestrutura de TI diz respeito fundao da capacidade planejada de TI disponvel em forma de servios, ou seja, base onde operam as aplicaes que suportam os processos de negcio da organizao. Segundo Araujo (2010), 34

a infraestrutura de TI composta dos seguintes elementos: computadores e equipamentos relacionados, sistemas de armazenamento e recuperao, software bsico e aplicaes computacionais, sistemas de redes, e instalaes prediais. As prxima sees descrevem estes elementos:

4.3.1 Computadores e equipamentos relacionados

desktops e notebooks a servidores. Na verdade, esta categoria bem mais ampla que
Os itens dessa categoria de elementos de infraestrutura de TI vo desde computadores somente computadores, englobando itens como: impressoras, celulares, GPS etc. Os principais so discutidos a seguir:

Servidores - So computadores robustos, geralmente com uma boa capacidade de processamento, de memria e de espao em discos. Podem ser de trs tipos: servidor torre (em um gabinete tal qual desktops), servidores em rack horizontal e servidores blade, que so instalados verticalmente em racks e abrigam servidores, storage e switches em um mesmo chassi, conforme indicado em Araujo (2010). Desktops e notebooks - Os computatores pessoais so ativos importantes da infraestrutura de TI, visto que por meio destes que os colaboradores podem usufruir dos servios disponibilizados para a organizao.

4.3.2 Sistemas de armazenamento e recuperao

Armazenar os dados e as informaes de uma organizao tambm uma questo crtica de responsabilidade da infraestrutura de TI. Faz-se necessrio que os mecanismos responsveis por armazenar e recuperar dados e informaes organizacionais o faam mantendo a segurana da informao, com vistas a manter as caractersticas da informao no que tange sua integridade, disponibilidade e condencialidade, alm de sua atenticidade, como versa a norma ISO 27002 ABNT (2005). Neste contexto, o storage , que pode ser considerado como um servidor de discos para armazenamento de dados em uma rede, conforme indica Veras (2009), o principal elemento do sistema de armazenamento, garantindo robusts e segurana aos dados armazenados.

4.3.3 Software bsico e aplicaes computacionais

Softwares, como visto na segunda seo deste captulo, so sistemas baseados em computador. por meio de sua utilizao que so suportados, diretamente ou indiretamente, os processos da organizao. De acordo com Araujo (2010), podem ser softwares de sistema (softwares bsicos s rotinas do computador, fazendo com que seus componentes funcionem corretamente e interajam entre si), aplicativo (aqueles utilizados pelos usurios para desempenhar tarefas) ou embarcado (software embutidos que disponibilizam as funes a que se destinam equipamentos que no so computadores, como por exemplo um microondas).

35

4.3.4 Redes
Para que a informao possa ser comunicada dentro de ambientes organizacionais, faz-se necessrio um conjunto de elementos da infraestrutura de TI voltado para o estabelecimento dessa comunicao, esses elementos esto relacionados a redes de computadores e telecomunicaes. Como principais elementos da infraestrutura de rede, de acordo com Tanenbaum (2003), podem-se citar:

Placas de rede
Permitem aos computadores se conectar rede de uma organizao, geralmente utilizando o protocolo tcp/ip.

Bridges
So responsveis por interligar duas ou mais redes, atuam tanto como regenerador de sinais, quanto como vericador de endereos contidos nos frames das mensagens.

Hubs
So responsveis pela comunicao entre diferentes redes de computadores (por exemplo uma LAN internet), permitindo que computadores distantes se comuniquem.

Switches
So dispositivos responsveis por reencaminhar mdulos (frames) entre os diversos ns de uma rede.

Repetidores
So esquipamentos responsveis por regenerar o padro de bits de sinais recebidos, com vistas a evitar danos integridade do sinal transmitido e que o mesmo no chegue muito fraco ao prximo ponto da rede.

Gateway
Responsvel por interligar redes que usam protocolos diferentes.

Cabeamento de rede
Para que os dispositivos citados possam realizar suas funes, eles precisam estar conectados. Esta funo dos cabos de rede, possibilitar a comunicao entre os dispositivos de redes. So exemplos de cabos de redes: cabo coaxial, cabo de par tranado e cabo de bra ptica.

4.3.5 Instalaes Prediais

A infraestrutura de TI, conforme explicitado em Araujo (2010), precisa ser alocada em local seguro e suprida com energia eltrica suciente para sua operao. Faz-se necessria tambm uma adequada climatizao do ambiente, com vistas a manter o funcionamento adequado dos equipamentos, alm de controlar o acesso a estas instalaes, evitando o acesso no autorizado, danos e interferncias a estes itens e s informaes organizacionais armazenadas, como j versa a norma ABNT (2005). 36

Abaixo so descritas algumas caractersticas destes aspectos das instalaes prediais:

Energia
O fornecimento de energia eltria deve ser adequadamente planejado com vistas a garantir alta disponibilidade dos componentes da infraestrutura de TI, evitando que problemas relacionados ao sistema eltrico impactem diretamente nestes componentes. No-breaks e sistemas de energia redundantes devem ser usados para garantir esta estabilidade infraestrutura de TI.

Climatizao
Tambm deve haver um projeto adequado para climatizao do ambiente que abriga a infraestrutura de TI, para que o mesmo seja dimensionado de forma correta e a temperatura e umidade sejam adequadas aos equipamentos.

Controle de acesso
Conforme versa a norma ISO 27002:
"Convm que o acesso informao, recursos de processamento das informaes e processos de negcios sejam controlados com base nos requisitos de negcio e segurana da informao".

Considerando que a infraestrutura de TI composta de elementos crticos aos processos da organizao, faz-se necessrio controlar o acesso aos ambientes que os abrigam, alm de evitar violaes fsicas, danos e interferncias a estes. Esta uma necessidade relacionada no s segurana da informao, como tambm perenidade do negcio. Para tal, podem ser utilizados controles de identicao biomtrica, cmeras de monitorao, sistemas de supresso de incndio etc.

4.4 Consideraes Finais

Este captulo apresentou os elementos: poltica de segurana da informao, sistemas de informao e infraestrutura de TI, que sero a base da pesquisa, realizada por meio de um estudo de caso, da situao atual gesto de segurana da informao na organizao OPF. O captulo 5 apresenta as principais caractersticas da tcnica de estudo de caso e tambm a sua utilizao em pesquisas acerca da segurana da informao.

37

Captulo 5 Estudos de caso como estratgia de pesquisa na rea de Segurana da Informao

A caracterstica exploratria dos estudos de casos extremamente importante para vericar situaes das gestes de segurana da informao em organizaes conforme indicado em Fernandes (2010b). Neste captulo, so abordadas as teorias a cerca desta tcnica de pesquisa, explicitando suas caractersticas e abordagens, alm de discutir a sua pertincia como estratgia de pesquisa na rea de Segurana da informao.

5.1 Estudo de Caso

A estratgia de pesquisa baseada em estudo de caso diz respeito investigao de um fenmeno dentro de um ambiente especco. Observam-se as variveis e fatores inseridos neste contexto, alm das relaes entre estes, na busca por caractersticas que explicitem ou descrevam uma determinada situao, conforme denido em Gomes (2006). Assim, a tcnica de estudo de caso diz respeito pesquisa de um objeto com vistas a compreend-lo de forma ampla em seu contexto. Segundo Fernandes (2010b), pesquisas baseadas em estudos de caso podem tanto descrever uma determinada congurao de ambiente, como tambm servir de pressuposto a generalizaes. Em estudos de caso relacionados vericao do estado atual da segurana da informao em uma organizao, por exemplo, de acordo com o nvel de maturidade da organizao nesta questo, pode-se: -Conceber uma pesquisa, de carter incipiente, com vistas a diagnosticar a situao deste ambiente; -Ou a partir desta, traar uma perl da segurana da informao na organizao como um todo, generalizando os resultados obtidos pelo estudo de caso de um conjunto de fatores e variveis em um contexto reduzido representativo desta organizao.

38

5.2 Caractersticas da estratgia de Estudo de Caso

Ainda segundo Fernandes (2010b), os estudos de casos podem ser de cunho exploratrio, descritivo ou explicativo, assim este tipo de abordagem no se limita a caracterizar um determinado ambiente. Pode ser utilizada tambm para esclarecer um fenmeno que ainda no foi diagnosticado ou caracterizado, bem como para explicar fatores que levaram a um determinado status deste fenmeno. Para isso, consoante ao exposto em Gomes (2006), pode-se optar por estudar vrios casos (vrios contextos ou questes de pesquisa) ou um caso nico (uma nica questo de pesquisa ou ambiente). Este tipo de denio depende da pesquisa proposta, do objetivo desta pesquisa e do seu escopo de abrangncia. Nesta estratgia de pesquisa possvel se adotar abordagens de natureza qualitativa ou quantitativa que, conforme indica Yin (2001), podem ser suportadas por variados mecanismos de pesquisa, tais como entrevista, anlise documental, observao direta, observao participante, mtricas formais etc.

5.3 Utilizao de Estudos de Caso

Pelas caractersticas expostas acima, percebe-se que a utilizao de estudos de caso como estratgia de pesquisa proporciona grande exibilidade tanto ao pesquisador quanto pesquisa. Assim, este pode ser utilizado em pesquisas de variados fenmenos sociais, organizacionais, cientcos etc; e diante das situaes encontradas pelo pesquisador, podese optar pelas tcnicas e mtodos que forem mais pertinentes ao problema estudado. Em ambientes organizacionais, por exemplo, conforme indica Hartley (1994), a utilizao de estudos de caso, dentre outras, indicada quando:

a pesquisa visa explorar novos processos ou comportamentos, para gerar entendimentos ou teorias (como por exemplo identicar como algo se manifesta ou porque se manifesta); importante que os processos sejam compreendidos em seu contexto organizacional e seja necessria uma abordagem dinmica que consiga acompanhar este uxo; existem variados fatores e relacionamentos que precisam ser estudados para concepo da pesquisa; a pesquisa tem por objeto comportamentos organizacionais informais.

5.4 Vantagens e desvantagens da utilizao de Estudos de Caso

Diante das denies e caractersticas expostas acima, fazem-se as seguintes avaliaes acerca da utilizao de estudos de caso: Pesquisas que utilizam estudos de caso podem conceber investigaes baseadas em diversas fontes e variveis, fato possibilitado em parte, por ser possvel o uso de vrias tcnicas e mtodos para coleta de dados. Porm, se o planejamento para a utilizao desta 39

estratgia de pesquisa no for bem elaborado, o estudo pode se delongar e inviabilizar a obteno dos resultados. Como grande parte da explicitao dos resultados encontrados no estudo exposta de forma descritiva, faz-se necessria uma explicao clara do fco da pesquisa, das formas de coleta de dados e dos dados obtidos, alm dos fundamentos em que a anlise dos mesmos foi baseada. Esta explicao explicita a validade e conabilidade do estudo, alm de evitar alegaes de que o estudo foi baseado em uma viso viesada, pois conforme armado em Yin (2001), o pesquisador deve tratar os dados relativos a sua pesquisa de forma imparcial.

5.5 Estudos de caso e segurana da informao

Estudos de caso, como discutido anteriormente, podem ser utilizados como tcnicas de pesquisa em contextos organizacionais em uma srie de situaes, principalmente por ser uma abordagem de pesquisa que consegue captar no s as caractersticas dos elementos que compem um ambiente, como tambm as relaes entre eles. Considerando estas caractersticas e o aspecto sistmico e organizacional relacionado cultura de segurana da informao crtico para a gesto de segurana da informao, observa-se que estudos de caso constituem-se como uma tcnica de pesquisa adequada para estudos relativos situao destes processos de gesto em organizaes. Por meio destes, podem ser observados os controles, procedimentos, polticas etc relacionados segurana da informao, alm de tambm poder observar as relaces entre estes e sobretudo a sua efetividade. Assim podem ser fetias anlises com diversas abordagens: vericao de conformidade, governana, nvel de gesto, qualidade e resultados, preparao para auditoria etc.

5.6 Consideraes Finais

Este captulo apresentou as principais caractersticas da tcnica de estudo de caso, assim como a sua utilizao em pesquisas sobre segurana da informao em organizaes. O captulo seguinte apresenta as caractersticas e contexto do estudo de caso na organizao OPF, alm dos dados e informaes obtidos nesta pesquisa.

40

Captulo 6 O estudo de caso realizado na organizao OPF

Este captulo apresenta o estudo de caso reliazado na organizao OPF, explicitando as tcnicas e mtodos utilizados, as caractersticas da organizao OPF e o cenrio de segurana da informao observado nesta organizao.

6.1 Aspectos do estudo de caso realizado na organizao OPF

Este estudo de caso teve como objetivo observar e descrever a questo da gesto da segurana da informao em uma organizao pblica federal, para isso baseou-se em trs tpicos principais relacionados segurana da informao: poltica de segurana da informao, sistemas de informao e infraestrutura crtica de TI. Estes elementos foram escolhidos como balizadores desta pesquisa por serem objetos de grande parte dos controles de segurana da informao especicados em ABNT (2005) e ABNT (2006), por juntos contemplarem o trip: pessoas, processos e TI e por possibilitar assim explorar a situao da segurana da informao na organizao OPF. A organizao OPF foi assim denominada para que no fossem expostas suas vulnerabilidades, informaes condenciais e outros ativos crticos. O estudo de caso desta pesquisa, embora se atenha a descrever alguns detalhes do fenmeno pesquisado, foi de natureza exploratria, com vistas a identicar a situao atual da segurana da informao na organizao OPF, tema at ento no pesquisado nesta organizao. Baseou-se em uma abordagem qualitativa, utilizando como tcnicas e mtodos de pesquisa, os seguintes:

Observao Direta
Observaram-se os controles de segurana existentes, suas aplicaes e sua eccia; o comportamento dos colaboradores; as relaes com fornecedores e terceiros etc. Estes elementos foram observados ao longo do perodo de janeiro a agosto de 2010.

Anlise documental

41

Foram analisados: a lei de criao da organizao OPF e as leis relacionadas a sua rea de atuao, o regimento interno, o plano diretor de TI e a prvia da poltica de segurana da informao que esta sendo elaborada e ser instituda em breve;

Entrevistas
Por meio dos questionrios que se encontram no apndice deste trabalho, foram realizadas entrevistas, nos meses de maio, junho e julho deste ano, com os responsveis pelas aes e decises relacionadas TI e segurana da informao, assim como com os usurios dos recursos que utilizam estas informaes organizacionais. Estes questionrios tiveram como objetivo principal coletar dados acerca da segurana da informao na organizao OPF, o fazendo por meio da observao de elementos especifcos, mas ao mesmo tempo relacionados entre s, quais sejam: poltica de segurana da informao, sistemas de informao e infraestrutura de segurana da informao. As entrevistas baseadas no questionrio com fco no elemento poltica de segurana da informao foram realizadas com o gerente geral da rea de TI, com um gerente operacional de uma rea da TI, com um analista da rea de TI e com um analista administrativo, para que fossem observadas as consideraes acerca da segurana da informao em diversas perspectivas. As entrevistas baseadas no questionrio com fco nos sistemas de informao foram realizadas com os analistas de TI que trabalham diretamente com a rea de desenvolvimento e manuteno de sistemas de informao e tambm com aqueles que trabalham na sua aquisio. As entrevistas baseadas no questionrio com fco na infraestrutura de TI foram realizadas com gerentes operacionais e analistas da rea de infraestrutura de TI, visto que algumas questes relativas a este questionrio exigiam um conhecimento mais tcnico do assunto. A tabela 6.1 indica quais participantes foram entrevistados com cada tipo de questionrio.

Participante
1 2 3 4 5 6 7 8 9 10 11 12 13 14

Gerente Geral de TI Poltica de Segurana da Informao Gererente Operacional de TI 1 Poltica de Segurana da Informao Analista de TI 1 Poltica de Segurana da Informao Analista Administrativo 1 Poltica de Segurana da Informao Analista de TI 2 Sistemas de Informao Analista de TI 3 Sistemas de Informao Analista de TI 4 Sistemas de Informao Analista de TI 5 Sistemas de Informao Gererente Operacional de TI 2 Infraestrutura de TI Gererente Operacional de TI 3 Infraestrutura de TI Gererente Operacional de TI 4 Infraestrutura de TI Analista de TI 6 Infraestrutura de TI Analista de TI 7 Infraestrutura de TI Analista de TI 8 Infraestrutura de TI Tabela 6.1: Participantes entrevistados e fcos do questionrios utilizados nas respectivas pesquisas 42

Cargo/Funo

Fco do Questionrio

As questes propostas, que motivaram esta pesquisa e que so discutidas nas sees e captulos que se seguem, foram:

Como a organizao OPF gerencia a segurana da informao? Quais as melhores prticas e controles de segurana da informao foram adotados/implementados na organizao OPF? Que medidas e aes podem ser tomadas para promover mais qualidade gesto de segurana da informao na organizao OPF?

6.2 A Organizao OPF

6.2.1 Natureza e Misso
A organizao OPF uma autarquia em regime especial que tem por misso regular a execuo, por particular, de servios pblicos de estado relacionados a um setor especco da economial, ou seja, uma agncia reguladora. Autarquia, conforme expressa o art. 5o do decreto-lei no 200/67, "o servio autnomo, criado por lei, com personalidade jurdica, patrimnio e receita prprios, para executar atividades tpicas da Administrao Pblica, que requeiram para seu melhor funcionamento, gesto administrativa e nanceira descentralizada.". J o regime especial diz respeito autonomia nanceira e a independncia administrativa necessrias ao exerccio da atividade de regulao, que exorbitam s propriedades de uma autarquia, conforme explica Pietro (2010). Para realizar sua misso, que regular o setor especicado de forma que o mesmo se desenvolva e seja capaz de oferecer a todo Brasil os servios esperados, esta organizao possui representaes espalhadas por todo o territrio nacional, o que a possibilita atuar de forma abrangente e tambm de forma pontual.

6.2.2 Competncias e Negcios

A regulao que a misso da organizao OPF, envolve atividades de regulamentao (normatizao e padronizao), scalizao e de concesso de direitos de atuao no setor regulado a entidades privadas. Assim, dentre as competncias desta, as principais so:

Expedir normas e padres que especiquem a base de operao para o setor regulado; Fiscalizar se as empresas que prestam os servios regulados esto de acordo com as normas e padres especicados; Atuar como autoridade legal em matria relacionada ao setor por ela regulado; Administrar o setor regulado no que diz respeito distribuio de concesses para explorao e prestao de servios.

43

6.2.3 Gesto e Estrutura Organizacional

Existe na organizao OPF um conselho composto de 5 integrantes, denominado conselho diretor. Este conselho tem por responsabilidade a direo dos rgos administrativos que compem esta entidade que a organizao OPF. O conselheiro presidente alm de presidir o conselho diretor em suas sesses, exerce as funes de presidente-executivo da organizao OPF, de representao desta organizao e o seu comando hierarquico no que tange aos recursos humanos e aos servios prestados. O conselho diretor e a presidncia so auxilidados por vrios rgos nas suas funes/decises: conselho consultivo, ouvidoria, procuradoria, corregedoria, auditoria e assesorias. J para a execuo dos servios, a organizao OPF tem hierarquicamente abaixo do conselho diretor a seguinte estrutura: superintndencias, que se dividem em gerncias gerais, que por sua vez se dividem em gerncias executivas, que ainda se dividem em gerncias operacionais. O relacionamento hierarquico entre estes rgos que compem a organizao OPF pode ser visualizado na gura 6.1.

Figura 6.1: Estrutura organizacional do nvel hierarquico entre o conselho diretor, as superintendncias, as gerncias gerais, as gerncias executivas e as gerncias operacionais. Os processos relacionados TI da organizao so geridos por uma gerncia geral, que est vinculada Superintendncia de administrao que a superintndencia responsvel pelos assuntos administrativos da organizao OPF tais como: planejamento, oramento, nanas, gesto da informao, recursos humanos e desenvolvimento organizacional. As outras superintendncias que compem a organizao OPF so direcionadas s suas atividades-m. Atualmente toda esta estrutura organizacional conta com aproximadamente 1500 servidores pblicos efetivos, sem contar os colaboradores cedidos de outros rgos e vrios funcionrios terceirizados.

44

6.2.4

Stakeholdes

Conforme armado no captulo 2, stakeholders diz respeito a todos aqueles que tem interesse nos processos de uma organizao e na sua perenidade, so os seus intervenientes. Com relao organizao OPF podem ser citados os seguintes:

Clientes:

 Sociedade;  Empresas do setor;  O Estado;

Colaboradores:

   

Servidores pblicos efetivos de carreira da organizao OPF; Servidores pblicos nomeados para a organizao OPF; Empregados e servidores pblicos cedidos de outros rgos e entidades; Funcionrios terceirizados;

6.2.5 Requisitos de

Compliance

A organizao OPF, como outras entidades e rgos da APF, est sujeita a vrias regulamentaes de compliance. Assim, este conjunto de normas, leis e polticas, e os requisitos a ele associados devem ser observados e cumpridos. Abaixo so listados alguns dos principais requisitos de compliance relacionados segurana da informao a serem observados pela organizao OPF:

Instrues normativas do Gabinete de Segurana da Informao; Instruo Normativa no 04, de 19 de maio de 2008, do Ministrio do Planejamento, Oramento e Gesto; Normas Brasileiras de Segurana da Informao;

6.3 A Segurana da Informao na Organizao OPF

A segurana da informao na organizao OPF caracteriza-se como inicial, pois a preocupao com a mesma ainda recente. A poltica de segurana da informao desta organizao ainda est sendo elaborada, mas j promoveu decises e aes importantes e crticas segurana da informao. A sua elaborao tem contado com a participao de todas as reas da organizao OPF no comit de segurana da informao e tem o apoio da alta administrao, pois foi a mesma que designou cada um dos participantes desta comisso para executar estas atividades. Conforme os entrevistados indicaram nos questionrios de pesquisa, existe uma boa compreenso de que a participao de todas as reas e o apoio da alta administrao so fatores crticos de sucesso na elaborao de uma poltica de segurana da informao. 45

A prvia da poltica de segurana da informao que est prevista para ser publicada em breve, apresenta adequao s melhores prticas recomendadas a este tipo de documento e a sua elaborao. Apresenta os conceitos e denies relacionados segurana da informao a ser abordados por ela, alm das leis e normas em que se baseia; os princpios que a orientam e que orientaro a segurana da informao na organizao OPF, assim como as suas diretrizes gerais que estabelecem as linhas-mestras que sero especicadas caso-a-caso posteriormente por outros documentos; as responsabilidades, competncias e penalidades; alm de prever a peridiocidade e os acontecimentos para sua atualizao/modicao. Este documento tem como objetivo ser o marco da promoo da segurana da informao na organizao OPF, visto que at ento no existe um documento que estabelea, para a organizao como um todo, os princpios, diretrizes, necessidades e benefcios relacionados segurana da informao organizacional. Assim, as medidas e procedimentos que agora tentam garantir a segurana da informao de forma pontual, faro parte de um processo institucionalizado, que aliado promoo de uma cultura de segurana da informao na organizao OPF, possibilitar preservar as informaes em sua integridade, condencialidade, disponibilidade, autenticidade e legalidade. A segurana da informao na organizao OPF, at estas iniciativas relativas ao comit de segurana da informao e a poltica de segurana da informao, vinha sendo preocupao unicamente da rea de TI, que tentava garantir pelo menos a segurana nos ativos tecnolgicos. Porm estas medidas sem uma poltica que explicasse o seu intuito e estabelecesse as responsabilidades e regras envolvidas, se tornavam, em alguns casos, inecientes. Pode-se observar esta diculdade na implementao da segurana da informao como tentativa isolada da TI e tambm o entendimento dos colaboradores/usurios destes controles, na resposta do analista administrativo quando perguntado sobre a importncia de uma poltica de segurana da Informao para os colaboradores:
"...muitos dos controles de segurana da informao so entendidos como modismos da rea de TI e a existncia de uma poltica de segurana ajudaria a mudar este entendimento."

Alm desta diculdade, h um consenso entre grande parte dos colaboradores que antes de se cobrar determinados comportamentos e penalizar quando da no observncia destes, deveriam haver esforos para conscientizar e capacitar os colaboradores quanto segurana da informao. Este receio quanto promoo da segurana da informao bem exemplicado pela resposta de um dos participantes da entrevista, quando perguntado se a observncia, por parte dos colaboradores, aos procedimentos de segurana da informao estimulada pela alta administrao:
"Estimula pouco. Penso que o estmulo est ligado a mostrar a importncia de tais procedimentos e capacitar os seus executores para efetu-los, e no se concentrar em denir punies para as infraes, embora este aspecto tambm seja importante."

E tambm na resposta do gerente geral da rea de TI, quando perguntado sobre a percepo que os clientes tm da segurana da informao na organizao OPF:

46

"Ainda no h uma anlise nesse sentido. No entanto, medidas pontuais para aumentar a segurana das informaes j foram combatidas pelos usurios pela ausncia da poltica de segurana."

Embora a organizao OPF tenha dado um grande passo criando um comit de segurana da informao e o designando para elaborar a poltica de segurana da informao, a mudana de cultura para que a segurana da informao seja vista como organizacional e no apenas como algo imposto pela TI um fator importante que deve ser observado. Alguns colaboradores ainda possuem a viso de ponta de iceberg quanto segurana da informao, preocupando-se apenas com aspectos relacionados segurana dos ativos tecnolgicos, quando na verdade a segurana da informao depende tambm de fatores humanos, de processos etc. Mesmo sob as constataes acima explicitadas, os colaboradores consideram que, mesmo que frequentemente de forma reativa, a segurana da informao na organizao OPF consegue na maioria do tempo preservar a integridade, a disponibilidade e a condencialidade das informaes organizacionais. A organizao OPF ainda no gerencia os riscos de segurana da informao aos quais est exposta, o que pode ser decorrente da ausncia de uma poltica de seguraa da informao e tambm pelo fato de a segurana da informao ainda no ser tratada como estratgica, conforme responderam os entrevistados. Existem apenas medidas paliativas que tentam tratar estes riscos e na maioria das vezes acontecem de forma intuitiva ou ad hoc, no chegando a ser um processo formal denido e repetvel. Quanto requisitos de segurana da informao quando dos contratos com terceiros, observa-se algum nvel de maturidade na sua especicao. As recomendaes da Instruo Normativa 04 do Ministrio do Planejamento, Oramento e Gesto so seguidas. So estabelecidos requisitos de segurana da informao para as contrataes, alm de realizada uma anlise dos riscos, ainda que incipiente, das contrataes, caso-a-caso. Ocorre que embora sejam traados os requisitos, sejam previstos termos de sigilo e outros instrumentos para promover o acesso seguro s informaes da Organizao, o acesso, por parte de funcionrios terceirizados, das informaes organizacionais ainda pouco controlado, ou seja, existe um bom planejamento, mas na prtica ele no totalmente executado. Isto pode ser observado pelas respostas do gerente geral de TI e do gerente operacional de TI 1, respectivamente, quando perguntados acerca da existncia de requisitos de segurana da informao em contratos com terceiros:
"Existem, mas os terceiros ainda possuem acesso mais informaes que o necessrio para executar suas funes." "Sim, porm pretende-se aperfeioar por meio de estudos de como est sendo aplicado o controle e requisitos em outros rgos da Administrao Pblica Federal."

O analista de TI 2 ilustrou bem qual o cenrio atual da organizao OPF no que tange a requisitos de segurana da informao tanto para aquisio, desenvolvimento e manuteno de sistemas de informao, quanto para outras aquisies da rea de TI:
Quando falamos em requisitos de segurana e segurana de informao, ainda estamos muito longe de uma cenrio ideal, ainda estamos dando os primeiros passos nessas questes. O contexto de segurana bastante amplo. Acredito que faltam

47

denies no que diz respeito poltica de segurana, organizao de segurana da informao, disseminao da cultura de segurana da informao, implantao de mtodos de desenvolvimento de aplicaes seguras durante todo o ciclo de desenvolvimento. Como falei, estamos dando os primeiros passos.

Quanto aos sistemas de informao, existe, entre os analistas de TI que trabalham como seu desenvolvimento, manuteno e aquisio, uma certa divergncia com reao ao seu tratamento como estratgico pela alta administrao:
"Para alguns sistemas pode at haver essa viso estratgica, o que no signica que dada a devida importncia para tais sistemas. Com relao a investimentos nanceiros, no me acho apto a responder esta questo, j com relao a pessoal e a prpria rea de TI, acredito que os investimentos cam muito a desejar. Como exemplo posso citar a no adoo da TI como uma rea estratgica na organizao." "No. A alta administrao no tem a viso estratgica dos sistemas. Os investimentos so decorrentes das necessidades, mas no h mtricas entre os sistemas e os resultados do rgo." "Sim, a alta administrao tem conscincia da importncia dos sistemas crticos, at porque alguns deles de certa forma se confundem com a prpria atividade da organizao. Desta forma, h sim, um investimento considervel em sistemas de informao dentro da organizao OPF."

Esta divergncia pode ser decorrente da interpretao de que alguns destes sistemas, principalmente os sistemas de misso crtica, tm um tratamento diferenciado pela organizao. Existe tambm uma grande insatisfao quanto questo da capacitao, pois a organizao OPF quando das requisies de treinamento, em observncia sua misso e s suas competncias, prioriza os treinamentos da rea-m o que muitas das vezes desaponta os servidores da rea-meio, principalmente os da rea de TI, colaborando para que estes considerem que os elementos relacionados TI (infraestrutura, sistemas de informao, recursos humanos capacitados etc) no so vistos como estratgicos. Quanto infraestrutura de TI, j existe um certo consenso, pelo menos entre os colaboradores da rea de TI, que os elementos que a compem so crticos para as atividades e misso da organizao OPF e que os mesmos so tratados como estratgicos. H a percepo de que a indisponibilidade dos elementos de infraestrutura impactam diretamente nas atividades, na conabilidade, e na imagem da organizao, conforme exemplicam as respostas dos entrevistados quando perguntados sobre o assunto:
"Internamente a instituio trabalha com base em sistemas de informtica. Alm disto, a mesma instituio prov mecanismos de comunicao e reclamao junto s empresas reguladas e consumidores de todo o Pas. Assim, problemas na infraestrutura de TI iro afetar estes sistemas e consequentemente a imagem da instituio." "Como as atividades tcnicas e administrativas da organizao OPF so suportadas pelos sistemas, as falhas em elementos da inftraestrutura de TI comprometem diretamente na prestao de servios. Tambm na conabilidade da organizao, em relao aos usurios da sociedade brasileira que utilizam os servios disponibilizados e das empresas dos setor que so usurios das aplicaes da organizao OPF."

48

"Como a maior parte dos servios prestados sociedade so suportados por sistemas, a indisponibilidade ou mesmo o baixo desempenho impactam negativamente no desempenho das atribuies da organizao OPF e, por conseguinte, na sua imagem."

Observa-se que a TI levada em considerao quando do planejamento estratgico, inclusive tem um dos maiores oramentos para investimento. Existe a percepo que muitos dos objetivos e metas da organizao OPF s podem ser alcanados se suportados pela rea de TI, assim so planejados investimentos e modernizaes na rea TI (infraestrutura e sistemas de informao principalmente). O paradoxo que no feita uma anlise respeito do retorno sobre estes investimentos, os resultados alcanados pela organizao OPF nem sempre so associados a esta rea. A respostas do analista de TI 5, quando perguntando acerca dos sistemas de informao e sua percepo pela organizao ilustra este contexto:
"Os sistemas so vistos como balizadores das atividades da organizao OPF, ocorre infelizmente que na maioria das vezes eles s so vistos como tais pela rea de TI. Os sistemas de misso crtica ainda tm uma percepo maior, por afetar diretamente vrias reas da organizao, porm a inuncia de outros sistemas, que tambm so importantes, mesmo que indiretamente, para as atividades da organizao OPF, no percebida, a menos que estes sistemas falhem." "Sim, os sistemas de informao so vistos como estratgicos pela alta administrao, inclusive grande parte do oramento da organizao OPF destinada aos investimentos na rea de TI. Muitos dos colaboradors consideram um absurdo a verba destinada a estes investimentos. No transparente para eles que estes investimentos reetem em melhores resultados nas atividades desempenhadas pela organizao, nem que muitos dos resultados alcanados foram possbilitados pelos investimentos citados."

Com relao a caractersticas especcas dos sistemas de informao, foram observadas as seguintes: O processo de validao de dados de entrada e sada dos sistemas de informao, assim como o controle do processamento interno nestes sistemas, no est formalizado. Eles so planejados e executados de acordo com a concepo de cada equipe de projeto de um sistema de informao. Com tudo, h sistemas mais antigos para os quais no foram previstos estes procedimentos. Com relao a atualizaes e mudanas em sistemas operacionais, softwares e pacotes de softwares dos quais os sistemas de informao da organizao dependam, sempre tentase mapear quais sistemas podero ser afetados, e ento so executados testes para vericar a estabilidade destes. So especicados tambm planos de roll back, caso as modicaes no sejam bem sucedidas. No existe uma poltica bem denida quanto ao acesso aos cdigos-fonte dos sistemas de informao. Todavia este acesso controlado por meio dos sofwtares de versionamento, atravs dos quais restringe-se a utilizao destes cdigos a somente s pessoas autorizadas. Est em fase de planejamento a gerncia de congurao e com a instituio deste processo espara-se poder promover uma poltica formal para estes procedimentos. 49

Com relao a controles criptogrcos, observou-se que, embora no exista uma poltica especca para implementao de controles criptogrcos, estes so utilizados em alguns sistemas, principalmente nos sistemas de misso crtica. J em relao ao uso de certicao digital, pde-se observar que, embora tenha sido previsto no plano diretor de TI 2009-2010 que seriam mapeados os sistemas de informao que usariam esta tecnologia, esta utilizao ainda no foi implementada. Porm, existe a utilizao deste tipo de certicao em comunicaes eletrnicas, principalmente quando necessrio garantir a autenticidade dos autores de documentos enviados, e tambm no site, intranet e portal da organizao OPF. O controle relativo ao desenvolvimento terceirizado de software ainda no o recomendado. Conforme j indicado, os terceiros ainda tm mais acesso que o necessrio, alm disso, como armado na resposta do analista de TI 2 quanto a este assunto, os controles existentes no so efetivos.
"Existe alguns controles: acompanhamento dos projetos e equipe de testes. Mas acho que ainda deixam a desejar no que diz respeito a desenvolvimento seguro, cobertura de testes e seguimento dos processos denidos."

J com relao a caractersticas e conguraes da infraestrutura de TI, os seguintes cenrios observados merecem destaque: O Fornecimento de energia e a climatizao so vistos como elementos da infraestrutura de TI. Observa-se que estes itens foram bem planejados e atendem bem s necessidades e criticidade dos servios de TI prestados pela organizao. As instalaes eltricas referentes sala-cofre onde est localizado o DATACENTER, por meio de dois circuitos independentes (com um no-break para cada um deles), proporcionam redundncia no fornecimento de energia com vistas a possibilitar a continuidade dos servios oferecidos. A climatizao tem atendido s necessidades deste ambiente, embora seja necessria uma reviso com vistas a adequ-la aos novos servidores corporativos adquiridos recentemente. Quanto ao gerenciamento de acesso aos ambientes, existem as seguintes categorias de controles:

- O acesso aos prdios e instalaes da organizao OPF controlado. Para tal, deve ser efetuado cadastro na recepo no trreo informando o assunto/motivo da visita, que dever contar com o acompanhamento de um servidor da organizao OPF.

Cadastro e autorizao para acesso de pessoal

Acesso fsico sala-cofre que abriga o DATACENTER

- o acesso a este ambiente feito mediante identicao biomtrica da geometria da mo das pessoas autorizadas que s so cadastradas como tal aps autorizao da chea imediata.

Acesso fsico s salas de switches - as salas de switches existentes em cada andar Monitorao por cmeras de vdeo

s so acessadas mediante o uso de carto magntico, fornecido aos funcionrios autorizados pela gerncia imediata. - os ambientes so monitorados por cmeras de vdeo localizadas em pontos estratgicos das instalaes. Esta monitorao tambm gravada.

50

Observa-se, que a pesar dos controles citados acima, ainda necessria, na organizao OPF, uma conscientizao da importncia de tais controles e de sua observncia. No adianta restringir, por exemplo, o acesso por meio de identicao biomtrica se os funcionrios da limpeza tm acesso a este ambiente sem um responsvel por monitorar tais atividades. A infraestrutura de TI na organizao OPF tem atendido s necessidades do negcio. Foram identicados vrios componentes desta, tais como: DATACENTER, servidores corporativos, switches, roteadores, rewalls etc. Inclusive existe a percepo de que mesmo os componentes de uso individual (como microcomputadores desktops e notebooks ) fazem parte desta infraestrutura, sendo instrumentos importantes na execuo das atividades da organizao OPF. Esta viso pode ser observada nas respostas dos entrevistados, quando perguntados se estes ativos so vistos como necessrios prestao de servios pela organizao:
"(...) Sim, pois os sistemas do rgo exigem boa capacidade de processamento dos microcomputadores dos usurios. No seria ecaz se o investimento em TI desconsiderasse estes equipamentos." "(...) Sim, visto que estes componentes individuais possibilitam a utilizao dos sistemas de informao da organizao OPF, alm de ser o grande possibilitador da utilizao dos servios de TI por parte dos colaboradores." "(...) Tendo em vista que praticamente todos os funcionrios realizam suas atividades laborais fazendo uso de equipamentos de informtica, estes equipamentos so, sim, considerados necessrios eciente prestao dos servidos da organizao."

Com relao estrutura fsica da rede de computadores, observou-se um projeto estruturado e documentado que abrange mais de 75 localidades. Esta estrutura permite o monitoramento e a scalizao de aspectos do setor regulado em todo o Brasil. Esta estrutura composta por switches, rewall, roteadores, servidores de redes etc. Existe uma boa estrutura de armazenamento e recuperao de dados, com poltica e procedimentos de backup bem denidos (dirio, semanal, mensal e anual); servidor de arquivos e, poltica de pastas pblicas e compartilhamentos; utilizao de storage (com capacidade de mais de 15 TB) etc. A poltica e controle dos compartilhamentos inclusive muito eciente, utilizam-se das informaes da base de dados do recursos humanos para distribuir os usurios da rede corporativa em grupos de acesso pr-congurados. Esses grupos so utilizados para denir quem deve ter permisso de acesso nos devidos compartilhamentos. Todas as madrugadas, por meio de scripts, todos os usurios de cada grupo so excludos e logo em seguida, com base nas informaes atualizadas da base de dados dos recursos humanos, so inseridos novamente nestes compartilhamentos. Assim se um colaborador tiver sido lotado em outra rea, ele ser excludo do compartilhamento da rea em que trabalhava e ser includo no da sua nova rea de lotao. Este compartilhamento promove, como observado, condencialidade e disponibilidade de dados e informaes das reas proprietrias dos compartilhamentos, e por conseguinte da organizao OPF. So realizados monitoramentos do funcionamento dos equipamentos da infraestrutura de TI, estes so realizados por uma equipe que observa a disponibilidade dos elementos e servios de TI e tambm por meio do acompanhamento do desempenho e capacidade 51

destes elementos. Entretanto, os resultados destes monitoramentos ainda no so usados para promover melhorias na infraestrutura de TI, o que colabora para uma TI mais reativa. A organizao OPF possui um DATACENTER estruturado em uma sala-cofre localizada nas suas prprias instalaes. O projeto deste seguiu um projeto especco e tem atendido s necessidades do negcio da organizao. Este DATACENTER caracteriza-se como corporativo monoltico e pode ser classicado, segundo a norma TIA 942, como TIER 3. Por meio deste e das suas estruturas so oferecidos servios de armazenamento de dados, de rede, banco de dados, segurana, e-mail corporativo, alm de abrigar os ambientes de desenvolvimento, teste, homologao e produo.

6.4 Consideraes Finais

Neste captulo foram apresentados os principais cenrios relacionados gesto da segurana da informao na organizao OPF levandatos por meio do estudo de caso proposto, alm das caractersticas e conguraes deste estudo. No captulo seguinte so feitas consideraes e proposies de mudanas acerca dos resultados obtidos.

52

Captulo 7 Discusso dos resultados

Neste captulo, so discutidos os resultados obtidos, relacionando-os s melhores prticas de segurana da informao. So apresentadas tambm observaes que podem ser importantes para promover mudanas e melhorias no cenrio de segurana da informao da organizao OPF.

7.1 Consideraes a cerca da gesto de segurana da informao na organizao OPF

Foram identicados, por meio do estudo de caso deste trabalho, o contexto e a situao atual da segurana da informao e da sua gesto na organizao OPF. Observou-se que esta organizao deu o primeiro passo para estabelecer a gesto da segurana das suas informaes, com a criao de um comit de segurana da informao e a designao deste para elaborar a sua poltica de segurana da informao. O referido comit conta com representao de todas as reas da organizao OPF e os seus integrantes foram nomeados pela alta administrao, conselho diretor, alm disso, atualmente, tem-se uma verso bem elaborada e discutida desta futura poltica de segurana da informao que em breve ser exposta para crticas, sugestes e questionamentos dos colaboradores. Assim, observa-se que a gesto de segurana da informao na organizao OPF uma discusso que ainda se inicia, embora apresente caractersticas importantes a este tipo de processo, tal como o apoio e envolvimento da alta administrao e a participao de todas as reas envolvidas. Abaixo so apresentadas as principais consideraes relacionadas aos fatores crticos de sucesso para implementao de segurana da informao, apontados em ABNT (2005), e a estruturao da segurana da informao encontrada na organizao OPF:

Poltica de segurana da informao

Como j explicitado, a organizao OPF ainda no possui poltica de segurana da informao, no entanto, o comit de segurana da informao est elaborando este documento que deve ser publicado em breve. Como este documento ainda no est pronto e a sua aplicao ainda no foi instituda, no existe a percepo de que a segurana da informao uma prtica que deve estar alinhada s necessidades do negcio dessa organizao. 53

 Abordagem e estrutura para segurana da informao

Quanto a este fator observa-se, inuenciado em parte pela inexistncia da poltica de segurana da informao, que no h estrutura sobre a qual se baseie a segurana da informao na organizao OPF, que este processo no est formalizado e era, at a criao da comisso de segurana da informao, um esforo isolado por parte da rea de TI.

Participao de todas as reas

Atualmente, a participao de todas as reas ainda no ocorre de forma ampla, visto os fatores j listados. No entanto, a iniciativa de formar um comit com membros de todas as reas facilitar o tratamento da segurana da informao como uma questo, no somente da TI, mas como organizacional.

Requisitos de segurana da informao e gesto de riscos

Os requisitos de segurana da informao j especicados so poucos e precisam ser melhor discutidos. Esta falta de denio dos requisitos diculta o gerenciamento de riscos, que at ento inexistente na organizao.

Divulgao da segurana da informao

A segurana da informao na organizao OPF no divulgada, com os esforos para instituir a poltica e os princpios nela explicitados, pretende-se mudar este cenrio e promover aes que auxiliem na conscientizao dos colaboradores nesta questo.

Distribuio/divulgao de diretrizes e normas relacionados segurana

da informao

Como a segurana da informao na organizao OPF ainda d os primeiros passos, estes documentos so conhecidos e discutidos somente na rea de TI. Espera-se que com a publicao da poltica de segurana, estes sejam de conhecimento de todos os colaboradores.

Proviso de recursos nanceiros para as atividades da gesto de segurana

da informao

A segurana da informao no vem sendo tratada como estratgica e requerer recursos nanceiros para suas atividades torna-se uma tarefa mais difcil sem essa caracterizao.

Conscientizao, treinamento e educao em segurana da informao

A conscientizao precisa abranger toda a organizao, atualmente, na organizao OPF, os colaboradores cientes da importncia da segurana da informao concentram-se, em sua maioria, na rea de TI. Quanto treinamentos e capacitao, ainda so pouco apoiados (estes poderiam ser vistos como investimentos em recursos humanos, que uma vez capacitados, poderiam ajudar na capacitao de outros colaboradores). Alm destes fatores, no existe a percepo, por parte dos colaboradores, que a segurana da informao s alcanada se for uma preocupao de todos na organizao, se for tratada como uma questo sistmica.

54

 Gesto de incidentes de segurana da informao

Os incidentes de segurana da informao so registrados, porm no costuma-se fazer uma anlise sobre estes, o que prejudica uma postura proativa da organizao quanto a incidentes futuros.

Sistema de gesto de seguraa da informao baseado no PDCA

A segurana da informao na organizao OPF no acontece de maneira formalizada, no existe at ento um processo de gerenciamento efetivo sobre esta. A mesma no tratada de forma sistmica e no existe uma conscientizao de sua importncia, sendo considerada apenas em algumas situaes. No existe qualquer indicador que objetive demonstrar as melhorias que a mesma traz ou pode trazer, nem mesmo uma mtrica que avalie a sua qualidade e desempenho. preciso raticar que os controles existentes na organizao OPF, de natureza tecnolgica ou no, precisam ser parte de uma ao maior. Eles precisam estar inseridos em uma cultura de segurana da informao, que seja praticada pelos colaboradores, pois os controles por si s, sem este arcabouo, tornam-se incuos. Assim, todo este contexto da segurana da informao, que deve ser estabelecido com base em uma poltica de segurana da informao, precisa existir para que a prtica dessa segurana seja efetiva.

7.2 Avaliao do atendimento dos objetivos de controle de segurana da informao na organizao OPF
Formulou-se um questionrio vericador de conformidade com a norma ABNT NBR ISO/IEC 27002, presente no Apndice B, com base no Gap Analysis Light proposto em Smola (2003) e no checklist proposto pelo System Administration, Networking and Security Institute (SANS) em SANS (2010). Com base nos resultados obtidos pelo estudo de caso deste trabalho e utilizando como auxiliador este questionrio, avaliaram-se os objetivos de controle de segurana da informao presentes na organizao OPF quanto ao seu atendimento. A tabela 7.1 descreve esta avaliao, onde sim simboliza que todos os controles de um determinado objetivo de controle so atendidos, parcialmente simboliza que alguns controles so atendidos e no simboliza que nenhum controle atendido.

Nmero
4.1 4.2 5.1 6.1 6.2

Objetivo de Controle
Analisando/avaliando os riscos de segurana da informao Tratando os riscos de segurana da informao Poltica de Segurana da Informao Organizao interna Partes externas 55

Atendimento ao objetivo de controle

No Parcialmente No Parcialmente Parcialmente

7.1 7.2 8.1 8.2 8.3 9.1 9.2 10.1 10.2 10.3 10.4 10.5 10.6 10.7 10.8 10.9 10.10 11.1 11.2 11.3 11.4 11.5 11.6 12.1 12.2 12.3 12.4 12.5 12.6 13.1

Responsabilidades pelos ativos Classicao da informao Antes da contratao Durante a contratao Encerramento ou mudana da contratao reas seguras Segurana de equipamentos Procedimentos e responsabilidades operacionais Gerenciamento de servios terceirizados Planejamento e aceitao dos sistemas Proteo contra cdigos maliciosos e cdigos mveis Cpias de segurana Gerenciamento de segurana em redes Manuseio de mdias Troca de informaes Servios de comrcio eletrnico Monitoramento Requisitos de negcio para o controle de acesso Gerenciamento de acesso ao usurio Responsabilidades dos usurios Controle de acesso rede Controle de acesso ao sistema operacional Controle de acesso aplicao e informao Requisitos de segurana de sistemas de informao Processamento correto nas aplicaes Controles criptogrcos Segurana dos arquivos do sistema Segurana em processos de desenvolvimento e de suporte Gesto de vulnerabilidades tcnicas Noticao de fragilidades e eventos de segurana da informao 56

Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Pacialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente Parcialmente No

Gesto de incidentes de segurana No da informao e melhorias 14.1 Aspectos da gesto da continui- Parcialmente dade do negcio, relativos segurana da informao 15.1 Conformidade com requisitos le- Sim gais 15.2 Conformidade com normas e pol- Parcialmente ticas de segurana da informao e conformidade tcnica 15.3 Consideraes quanto auditoria Parcialmente de sistemas de informao Tabela 7.1: Avaliao do atendimento dos objetivos de controle de segurana da informao na organizao OPF

13.2

7.3 Comentrios Finais

Alm da situao atual da gesto de segurana da informao na organizao OPF, o estudo de caso proposto neste trabalho possibilitou ainda analisar outros pontos sobre os quais pode-se atuar para melhorar a segurana da informao nesta organizao, tais como:

Observou-se que a gesto de segurana da informao na organizao OPF ainda um processo que se inicia. Assim faz-se extremamente necessrio que nesta etapa de implantao deste gerenciamento, assim como nas fases posteriores de manuteno e melhoria, a governana sobre a segurana da informao seja tratada com ateno, pois ela quem vai direcionar a gesto de segurana da informao de acordo com o negcio da organizao OPF. Com uma governana efetiva (que envolve aspectos como investimento nanceiro e apresentao de resultados alcanados), exercida pela alta administrao, a segurana da informao poder ser reconhecida, por todos os stakeholders, como estratgica e essencial ao negcio. Consoante a esta importncia da governana de segurana da informao na organizao OPF, crtico tambm que os riscos de segurana da informao a que esta organizao est sujeita sejam gerenciados. Assim pode-se proteger os ativos de TI e de negcio das ameaas que podem explorar suas vulnerabilidades e causar impactos e danos a estes ativos e consequentemente organizao OPF. Um outro ponto fundamental e de grande criticidade para que seja possvel estabelecer um sistema de gesto de segurana da informao na organizao OPF a conscientizao dos stakeholdes quanto importncia da segurana da informao para esta organizao. Para que este sistema seja de fato implantando, imprescindvel que exista uma cultura de segurana da informao por parte dos colaboradores e partes interessadas, assim a segurana da informao ser vista, no como uma prtica parte das atividades da organizao, mas como um elemento que deve compor todas elas.
57

Estudos de caso, como o realizado neste trabalho no estudo da gesto de segurana da informao na organizao OPF, podem ser utilizados ainda para preparar e orientar organizaes, para que estas estejam em conformidade com os requisitos, planos e polticas de segurana da informao aos quais esto sujeitas. Assim, pode-se utilizar estes estudos de caso como preparao para auditorias, com o objetivo de identicar, previamente a este tipo de vericao, eventuais falhas e adequaes necessrias.

58

Captulo 8 Concluso
Por meio deste trabalho, e do estudo de caso que ele abrangeu, foi possvel avaliar a organizao OPF quanto sua gesto de segurana da informao, observando os seus controles e a sua efetividade; as normas, diretrizes e legislaes a que est sujeita e a cultura de segurana da informao nesta organizao. Observou-se que a gesto da segurana da informao nesta organizao uma questo ainda inicial, alm de a mesma ainda no contar com uma poltica de segurana da informao, que como pde-se perceber , de fato, um elemento crtico da segurana da informao sobre o qual se basea a estrutura e as aes relacionadas segurana da informao. Assim, a sua ausncia prejudica bastante o gerenciamento desta segurana, visto que a segurana da informao acaba sendo caracterizada como algo informal, que no tem o apoio da alta administrao e que no um processo que envolve todos os colaboradores, dicultando a promoo de uma cultura organizacional em segurana da informao. Pde-se observar tambm que controles de segurana da informao quando desprovidos de alguns fatores, como um processo institucionalizado de gesto, a participao de todas as reas e a percepo da segurana da informao como uma questo sistmica (e consequentemente responsabilidade de todos os colaboradores), tm sua eccia reduzida, visto que estes acabam por no contemplar as necessidades e requisitos especcos do negcio da organizao. Vericou-se que a falta de um sistema de gesto de segurana da informao institudo de maneira formal na organizao OPF prejudica o gerenciamento de segurana de suas informaes. Por meio deste tipo de sistema podem ser denidos requisitos de segurana condizentes com as estratgias do negcio da organizao, alm de se gerenciar riscos, gerenciar a continuidade do negcio e vericar os resultados que a segurana da informao tem trago e pode trazer para esta organizao. Houve tambm a percepo de que a segurana da informao deve ser tratada de forma estratgica pela organizao, pois caso contrrio, este processo ser visto como algo parte das atividades de seus colaboradores e da organizao como um todo, e no como um preceito que deve estar inserido na prpria execuo das atividades. Alm do que, quando a segurana da informao tratada como estratgica, podem ser destinados investimentos para esta questo, destinados a conscientizao dos stakeholders, capacitao de colaboradores, aquisio de recursos tecnolgicos que auxiliem na segurana das informaes etc. 59

Alm destas concluses relativas segurana da informao na organizao OPF e relativas a alguns fatores e aspectos gerais relacionados segurana da informao, puderam ser vericados os benefcios e a aplicabilidade da tcnica de estudo de caso na rea de segurana da informao. Esta tcnica, por possibilitar a utilizao de vrios mtodos e formas de pesquisa (tais como questionrios, entrevistas, observao direta, observao participante etc), consegue compreender os fatores e elementos de um contexto de segurana da informao, considerando tambm as relaes entre eles, que so crticas pesquisa. Observou-se tambm que este tipo de abordagem de pesquisa pode ser utilizada em vrias perspectivas de estudo de segurana da informao, como em vericaes de conformidade, em gesto de riscos, em observaes da governana de segurana da informao, em auditorias e em preparaes para estas, em gap analysis, em vericao e promoo da cultura de segurana da informao etc.

60

Referncias
ABNT (2005). Associao Brasileira de Normas Tcnicas. ABNT NBR ISO/IEC 27002. ABNT, Rio de Janeiro. 3, 10, 12, 13, 14, 15, 16, 20, 22, 30, 34, 35, 36, 41, 53 ABNT (2006). ABNT NBR ISO/IEC 27001. ABNT, Rio de Janeiro. viii, 10, 12, 14, 15, 20, 34, 41 ABNT (2008). ABNT NBR ISO/IEC 27005 - Gesto de riscos de segurana da informao. ABNT, Rio de Janeiro. viii, 12, 16, 19, 20, 22, 23, 24, 25 Alexandrino, M. (1996). Direito Administrativo Descomplicado. Forense. 26 Araujo, A. P. F. (2010). Mdulo: Infraestrutura de Tecnologia da Informao - Curso de especializao em Gesto da Segurana da Informao e Comunicaes. Universidade de Braslia. 34, 35, 36 AS/NZS (2004). Standards Autralian and Standards New Zealand. AS/NZS 4360:2004 RISK MANAGEMENT: Australian/New Zealand Standard. AS/NZS, Autralia: GPO Box 5420, Sydney / New Zealand: Private Bag 2439,Wellington 6020. 16, 19, 20, 21, 22, 23, 24 Audrey, C. A. D. (2002). Managing Information Security Risks: The OCTAVE Approach. Addison Wesley. viii, 16, 18, 19, 20 Brasil (2000). Poder executivo. Decreto-lei n 3505, de 13 de junho de 2000 - Institui a

Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal. Brasil. 1, 3, 13

Costa, D. R. (2009). Fatores Crticos de Sucesso para Elaborao de Polticas de Segurana da Informao e Comunicaes no mbito da Administrao Pblica Federal. Universidade de Braslia. 31 CVM (2002). Comisso de Valores Mobilirios. Cartilha de Governana: Recomendaes da CVM sobre governana corporativa. CVM. 6 de Abreu, A. A. F. . V. F. (2006). Implantando a Governana de TI - da Estratgia Gesto de Processos e Servios. Brasport, Rio de Janeiro. 9, 34 Diniz, F. L. R. D. . P. E. F. (2009). Avaliao preliminar da gesto de segurana da informao em duas organizaes pblicas. Departamento de Cincia da Computao da Universidade de Braslia. 12 61

Faustini, R. (2010). Poltica de segurana da informao. acessado em maio de 2010, http://www.faustiniconsulting.com/artigo05.htm. 12 Fernandes, J. H. C. (2010a). Mdulo: Sistemas, Informao e Comunicao - Curso de especializao em Gesto da Segurana da Informao e Comunicaes. Universidade de Braslia. 7, 8, 33 Fernandes, J. H. C. (2010b). Metologia de Pesquisa de Estudo de Caso no Programa Universidade de Braslia. 38, 39

de Formao de Especialistas para Desenvolvimento da Estratgia e Metodologia Brasileira de Gesto de Segurana da Informao e Comunicaes - PEEMBGSIC: Rev 1.

Gomes, J. S. (2006). O Mtodo de Estudo de Caso Aplicado Gesto de Negcios. Atlas. 38, 39 GSI (2008a). Gabinete de Segurana Institucional da Presidncia da Repblica. Instruo Normativa GSI no 1, de 13 de junho de 2008. GSI. 2, 3, 10 GSI (2008b). Gabinete de Segurana Institucional da Presidncia da Repblica. Norma Complementar GSI no 2, de 14 de outubro de 2008. GSI. 2 GSI (2009). Gabinete de Segurana Institucional da Presidncia da Repblica. Norma Complementar GSI no 3, de 30 de junho de 2009. GSI. 2 GSI (2010). Gabinete de segurana institucional. quadro da legislao relacionada segurana da informao. acessado em julho de 2010, http://www.planalto.gov. br/gsi/cgsi/quadro_legislacao.htm. 27 Gualberto, E. S. (2008). Um modelo de informaes para gerncia de riscos de segurana da informao: aplicao em uma organizao pblica. Departamento de Cincia da Computao da Universidade de Braslia. 16 Hartley, J. F. (1994). Case studies in organizational research. In: CASSELL & SYMON (Ed.) Qualitative methods in organizational research: a pratical guide. Sage, London. 39 Hillson, D. (2007). When is a risk not a risk? Project Manager Today, 1(3):1516. 17 IBGC (2004). Instituto Brasileiro de Gorvenana Corporativa. Cdigo de Melhores Prticas de Governana Corporativa. IBGC, So Paulo. 6, 7 IBGC (2007). Instituto Brasileiro de Governana Corporativa. Guia de Orientao para Gerenciamento de Riscos Corporativos. IBGC, So Paulo, SP. 16, 17, 19 IBGC (2010). Instituto brasileiro de governana corporativa. governana corporativa. acessado em junho de 2010, http://www.ibgc.org.br. 6 IRM (2002). Institute of Risk Management - IRM, The Association of Insurance and Risk Newtown Square, Pennsylvania 19073-3299 EUA. 17, 19, 21, 23 62

Manegers - AIRMIC and National Forum for Risk Management in the Public Sector - ALARM. A Risk Management Standard c AIRMIC, ALARM, IRM:2002. IRM,

ISO (2004). International Organization for Standardization. ISO/IEC 13335 - Guidelines for the management of IT Security. ISO. 10 ITGI (2008). IT Governance Institute. COBIT 4.1: Control Objectives / Management Guidelines / Maturity Models. ITGI, USA. 9 Lameira, V. J. (2001). Governana Corporativa. Forense Universitria, Rio de Janeiro. 6 Laudon, K. C. L. . J. P. (2004). Sistemas de informaes gerenciais: administrando a empresa digital. Prentice Hall, So Paulo. viii, 7, 8, 32 Neto, J. S. (2010). Poltica e Cultura de de Segurana - Curso de especializao em Gesto da Segurana da Informao e Comunicaes. Universidade de Braslia. 31 OGC (2007). ITIL - The Ocial Introduction to the ITIL Service Lifecycle. OGC, Londres. 9 Peltier, T. R. (2004). Information Security Policies and Procedures: a practitioners reference. Auerbach Publications. 30 Pietro, M. S. Z. D. (2010). Direito Administrativo. Atlas. 26, 43 PMI (2004). Project Management Institute, Inc. PMBOK. Pennsylvania 19073-3299 EUA. 19 PMI, Newtown Square,

Pressman, R. (2006). Engenharia de Software. McGraw-Hill. 32, 33, 34 Rezende, D. A. (2005). Engenharia de Software e Sistemas de Informao. Brasport, Rio de Janeiro. 7 Ross, P. W. . J. W. (2005). Governana de TI - Tecnologia da Informao. M. Books, So Paulo. 9 SANS (2010). System administration, networking and security institute. sans iso 17799 checklist. acessado em julho de 2010, http://www.sans.org/score/checklists/ISO_ 17799_checklist.pdf. 55 Shitsuka, D. (2005). Sistemas de Informao: Um Enfoque Computacional. Cincia Moderna, Rio de Janeiro. 7 SLTI/MPOG (2008). Secretaria de Logstica e Tecnologia da Informao do Ministrio

do Planejamento, Oramento e Gesto. Instruo Normativa no 4, de 19 de maio de 2008. SLTI/MPOG. 2

Smola, M. (2003). Gesto da segurana da informao: viso executiva da segurana da informao. Elsevier, Rio de Janeiro. viii, 11, 14, 55 SOFTEX (2009). MPS.BR - Melhoria de Processo do Software Brasileiro. SOFTEX. 34 Sommerville, I. (2007). Engenharia de Software. Addison Wesley. 33 Tanenbaum, A. S. (2003). Redes de Computadores. Campus. 36 63

TCU (2008). Tribunal de Contas da Unio. Acrdo no 1603 de 2008 - Plenrio. TCU. 28 UnB (2010). Universidade de braslia. curso de especializao em gesto da segurana da informao e comunicaes. acessado em julho de 2010, http://selecao.cegsic. unb.br/. 28 Veras, M. (2009). Datacenter Componente Central da Infraestrutura de TI. Brasport. 35 Yin, R. (2001). Estudo de Caso: Planejamento e Mtodos. Bookman, Porto Alegre. 39, 40

64

Apndice A Instrumento de Pesquisa - Respostas dos Questionrios

Na capa dos questionrios, constava o seguinte texto:
Os dados e informaes coletados por meio deste questionrio sero utilizados exclusivamente para a pesquisa acadmica do curso de bacharelado em Cincia da Computao da Universidade de Braslia  UnB. As informaes sero apresentadas, sem identicao dos respondentes e da organizao, com o objetivo analisar/avaliar a gesto de segurana da informao nesta organizao.

Utilizao dos dados e das informaes e Objetivo desta pesquisa

A seguir so expostas as respostas aos questionrios relativos a sistemas de informao, infraestrutura de tecnologia da informao e poltica de segurana da informao.

A.1 Poltica de Segurana da Informao e Gesto de Segurana da Informao

A.1.1 Gerente Geral de TI e presidente do comit de segurana da informao
1. A sua organizao possui uma poltica de segurana da informao? Sua

aprovao e atualizao consideraram (ou consideraro) as vises de todos os agentes envolvidos? Como isto (ser) feito?
Ainda no. Ela est em desenvolvimento com a participao de todas as reas da instituio.

2. Dos fatores crticos de sucesso, listados abaixo, escolha cinco que consi-

dera mais importantes para a elaborao de uma poltica de segurana da informao, numerando-os de acordo com sua prioridade de 1 a 5 (onde 1 o mais relevante e 5 o menos relevante dentro dos 5 fatores escolhidos):
( ) A adequao com a realidade prtica ( ) A necessidade de inventrio dos ativos 65

( ) O conhecimento por parte da equipe sobre conceitos de segurana ( ) A aplicao de penalidades (2) A participao de pessoas de todas as reas da organizao ( ) O conhecimento dos principais problemas de segurana da organizao ( ) A denio de responsabilidades ( ) A previso de um programa inicial de conscientizao para os usurios a respeito das responsabilidades inerentes ao acesso s informaes e utilizao dos recursos de TI (3) O embasamento legal (dos requisitos de conformidade com a legislao, regulamentos e contratos) ( ) A denio de uma estratgia de elaborao ( ) A referncia da documentao de apoio ( ) escopo de todos os processos internos que tangem a segurana da informao ( ) A expectativa determinante para a existncia de cada regra ( ) A reproduo da necessidade do negcio declarada na misso da organizao ( ) O estabelecimento dos objetivos de controle e os controles adequados ( ) A formao prvia da equipe de segurana ( ) A reviso dos documentos (4) O planejamento estratgico de segurana ( ) A incluso dos requisitos de gesto de continuidade do negcio ( ) As metas globais (5) A linguagem simples, objetiva, clara, concisa e ser de fcil compreenso e aplicabilidade (1) O apoio e comprometimento da alta direo 3. A poltica de segurana da informao estabelece (estabelecer) as linhas-

mestras para a gesto da segurana da informao?

Sim, e car a cargo das normas e procedimentos operacionais denir melhor essas linhas-mestras para cada assunto que se relacione com segurana da informao. 4. Existem (existiro) previses de reviso da poltica de segurana da in-

formao a intervalos planejados ou quando ocorrerem mudanas signicativas?

Sim, a cada trs anos ou a qualquer tempo caso haja alguma mudana na organizao que exija sua adequao.

5. Existe uma boa conscientizao da importncia de uma poltica de segu-

rana da informao por partes dos colaboradores? Como isto (ser) mensurado?

66

Ainda no h. Isso ser mensurado atravs do monitoramento contnuo dos recursos de acesso s informaes, atravs da anlise de incidentes de segurana e por auditorias rotineiras. 6. A poltica de segurana da informao dene (denir) expressamente os

papis e responsabilidades pela segurana da informao?

Sim.

7. Quando da formulao do planejamento estratgico da organizao, a

segurana da informao considerada?

Ainda no considerada no planejamento estratgico institucional. 8. A alta administrao (direo) considera a gesto de segurana da infor-

mao como questo crtica para a organizao?

Sim, tanto que aprovou a criao da Comisso de segurana da informao com membros do alto escalo da instituio. 9. A alta administrao (direo) estimula (estimular) os colaboradores

(servidores e terceirizados) a seguir os procedimentos de segurana aprovados pela poltica de segurana da informao? De que forma isto (ser) feito?
Sim, pois a poltica de segurana ser assinada e publicada pela alta administrao.

10. As decises relacionadas com a segurana da informao ocorrem de

forma isolada pela rea de TI ou em conjunto com a equipe responsvel pelas decises estratgias da organizao?

Por todas as reas da instituio. Todas esto representadas na Comisso de segurana da informao. 11. O acesso s informaes preserva os critrios de condencialidade, inte-

gridade e disponibilidade?

Esse o objetivo precpuo do trabalho em segurana da informao feito por todas as reas. No entanto existem falhas ocasionais. 12. Na poltica de segurana da informao (existente ou a ser publicada)

existe previso quanto a anlise e a avaliao de riscos?

Sim, dever ser implementado um programa de gerenciamento de riscos para anlise peridica dos ativos da instituio, com objetivo de identicar e solucionar as vulnerabilidades que resultem em riscos para a segurana das informaes. 13. Como feita a identicao dos riscos? Eles so previstos atravs de um

plano de contingncia?
Ainda no foi executado.

14. Quem so as principais partes interessadas (stakeholders) da segurana

da informao na organizao?

Todos os usurios, mas principalmente a alta administrao e a rea de TI. A segurana da informao de interesse da instituio e da populao brasileira. 67

15. Quais as percepes podem ser notadas dos principais clientes (internos

e externos) quanto segurana da informao na sua organizao?

Ainda no h uma anlise nesse sentido. No entanto, medidas pontuais para aumentar a segurana das informaes j foram combatidas pelos usurios pela ausncia da poltica de segurana. 16. Como gerenciado o acesso informao aos clientes externos? Este

acesso liberado antes ou aps a identicao dos requisitos de segurana?

Como no h uma poltica de segurana, e consequentemente as normas e procedimentos para garantir padronizao no tratamento do acesso s informaes, s posso garantir que o acesso atravs das ferramentas de TI feito somente aps anlise dos requisitos de segurana.

17. Existem controles e requisitos de segurana da informao quando dos

contratos com terceiros?

Existem, mas os terceiros ainda possuem acesso mais informaes que o necessrio para executar suas funes. 18. Os colaboradores (servidores e terceirizados) recebem/receberam (rece-

bero) treinamento da Poltica de Segurana da Informao? H previso de processo disciplinar formal para aqueles que a violarem?

A poltica ainda no foi implementada, mas esto previstos capacitao e processo disciplinar formal para os que a violarem. 19. A Gesto da Informao dentro da sua organizao considerada reativa

ou proativa?

Em alguns casos (reas) ela j atingiu maior maturidade e proativa, no entanto em outras ainda reativa. 20. As medidas que dizem respeito segurana da informao so analisadas

para que haja um processo de melhoria contnua deste processo decisrio?

A poltica ainda no foi publicada, mas os controles j implementados so sempre analisados e eventualmente o processo modicado para melhoria, no entanto, no existe um processo formal de anlise.

A.1.2 Gerente Operacional de TI 1

1. A sua organizao possui uma poltica de segurana da informao? Sua

aprovao e atualizao consideraram (ou consideraro) as vises de todos os agentes envolvidos? Como isto (ser) feito?
No h poltica de segurana da informao aprovada, todavia um Grupo de Trabalho foi formado com envolvimento do corpo executivo de Gerentes-Gerais da organizao. Aps nalizao da minuta da PSI, a mesma ser publicada no ambiente de intranet para comentrios e participao de todos os usurios. Ao trmino ser encaminhada para aprovao do Presidente da organizao OPF. 68

2. Dos fatores crticos de sucesso, listados abaixo, escolha cinco que consi-

dera mais importantes para a elaborao de uma poltica de segurana da informao, numerando-os de acordo com sua prioridade de 1 a 5 (onde 1 o mais relevante e 5 o menos relevante dentro dos 5 fatores escolhidos):
( ) A adequao com a realidade prtica ( ) A necessidade de inventrio dos ativos ( ) O conhecimento por parte da equipe sobre conceitos de segurana ( ) A aplicao de penalidades (5) A participao de pessoas de todas as reas da organizao ( ) O conhecimento dos principais problemas de segurana da organizao ( ) A denio de responsabilidades ( ) A previso de um programa inicial de conscientizao para os usurios a respeito das responsabilidades inerentes ao acesso s informaes e utilizao dos recursos de TI ( ) O embasamento legal (dos requisitos de conformidade com a legislao, regulamentos e contratos) ( ) A denio de uma estratgia de elaborao ( ) A referncia da documentao de apoio ( ) escopo de todos os processos internos que tangem a segurana da informao ( ) A expectativa determinante para a existncia de cada regra ( ) A reproduo da necessidade do negcio declarada na misso da organizao (4) O estabelecimento dos objetivos de controle e os controles adequados (2) A formao prvia da equipe de segurana ( ) A reviso dos documentos (3) O planejamento estratgico de segurana ( ) A incluso dos requisitos de gesto de continuidade do negcio ( ) As metas globais ( ) A linguagem simples, objetiva, clara, concisa e ser de fcil compreenso e aplicabilidade (1) O apoio e comprometimento da alta direo

3. A poltica de segurana da informao estabelece (estabelecer) as linhas-

mestras para a gesto da segurana da informao?

Sim, incluindo pontos de controle crticos da infraestrutura de Tecnologia da Informao e Comunicao. 4. Existem (existiro) previses de reviso da poltica de segurana da informao a intervalos planejados ou quando ocorrerem mudanas signicativas? Sim, especialmente quando novo instrumento normativo for publicado pela Administrao Pblica Federal ou visando a melhoria contnua da PSI. 69

5. Existe uma boa conscientizao da importncia de uma poltica de segu-

rana da informao por partes dos colaboradores? Como isto (ser) mensurado?

Sim, ademais ser proposta capacitao com provas ou resposta a questionrios ao nal do curso ou Workshop de Segurana da Informao e Comunicao para mensurar. 6. A poltica de segurana da informao dene (denir) expressamente os

papis e responsabilidades pela segurana da informao?

Sim, incluindo as etapas de auditorias peridicas e qual grupo responsvel por averiguao das informaes. 7. Quando da formulao do planejamento estratgico da organizao, a

segurana da informao considerada?

No.

8. A alta administrao (direo) considera a gesto de segurana da infor-

mao como questo crtica para a organizao?

Sim. Por meio da iniciativa do Gerente Geral da rea de TI, o tema e o Grupo de Trabalho foram propostos pelo Superintendente de Administrao Geral ao Presidente da organizao OPF, permeando a cadeia de nveis da alta administrao. Todavia, em se tratando de um rgo colegiado, os membros do Conselho Diretor podero tambm ser envolvidos na apreciao e aprovao da PSI. 9. A alta administrao (direo) estimula (estimular) os colaboradores

(servidores e terceirizados) a seguir os procedimentos de segurana aprovados pela poltica de segurana da informao? De que forma isto (ser) feito?
Sim, sempre por meio de Workshops, capacitao, exigncia contratual por meio de clusulas de compromisso de sigilo, alm de constante monitorao de pontos de controle crticos com a devida punio, desde um alerta educativo sano administrativa / disciplinar.

10. As decises relacionadas com a segurana da informao ocorrem de

forma isolada pela rea de TI ou em conjunto com a equipe responsvel pelas decises estratgias da organizao?
Atualmente, ocorrem de forma isolada, porm h um esforo coletivo para as decises permeiem ambas (equipe de TI e executivos).

11. O acesso s informaes preserva os critrios de condencialidade, inte-

gridade e disponibilidade?

A Organizao OPF sempre persegue a trade da segurana da informao e comunicaes. 12. Na poltica de segurana da informao (existente ou a ser publicada)

existe previso quanto a anlise e a avaliao de riscos?

Sim, especialmente em relao ameaas internas e externas. 70

13. Como feita a identicao dos riscos? Eles so previstos atravs de um

plano de contingncia?

Existe plano de contingncia para todo projeto de implantao e modernizao, e conforme IN04/SLTI identicam-se os riscos. 14. Quem so as principais partes interessadas (stakeholders) da segurana

da informao na organizao?

A rea de Gesto da Informao, incluindo em especial as reas de redes e sistemas de informaes. A rea de scalizao e regulatria. 15. Quais as percepes podem ser notadas dos principais clientes (internos

e externos) quanto segurana da informao na sua organizao?

Atualmente necessrio fortalecer e aumentar o rigor do monitoramento para evitar vazamentos de informaes para imprensa e garantir a rastreabilidade. Outro modo fazer com que a organizao OPF seja mais transparente, o que minimiza o vazamento e mitiga a captura de informaes por clientes externos. Em alguns cenrios a equipe de redes observa que a grande questo est no acesso informao sem necessidade de conhec-la. 16. Como gerenciado o acesso informao aos clientes externos? Este

acesso liberado antes ou aps a identicao dos requisitos de segurana?

No h acesso informao, por parte de clientes externos, sem autorizao prvia da Organizao OPF. Este sempre se d por meio de coletiva de imprensa, nota imprensa, sob responsabilidade da Assessoria Parlamentar e de Comunicao. Outro meio pelo qual podem ser obtidas informaes pela Biblioteca, onde toda a identicao registrada.

17. Existem controles e requisitos de segurana da informao quando dos

contratos com terceiros?

Sim, porm pretende-se aperfeioar por meio de estudos de como est sendo aplicado o controle e requisitos em outros rgos da Administrao Pblica Federal. 18. Os colaboradores (servidores e terceirizados) recebem/receberam (rece-

bero) treinamento da Poltica de Segurana da Informao? H previso de processo disciplinar formal para aqueles que a violarem?
Sim, recebero capacitao. Haver processo disciplinar formal.

19. A Gesto da Informao dentro da sua organizao considerada reativa

ou proativa?

Reativa para algumas aes, proativas para outras. 20. As medidas que dizem respeito segurana da informao so analisadas

para que haja um processo de melhoria contnua deste processo decisrio?

Sim. Sero analisadas pelo Grupo de Resposta a Incidentes de Segurana.

71

A.1.3 Analista de TI 1
1. A sua organizao possui uma poltica de segurana da informao? Sua

aprovao e atualizao consideraram (ou consideraro) as vises de todos os agentes envolvidos? Como isto (ser) feito?
Est em elaborao. Mas no sei informar se leva em considerao todas as vises dos agentes envolvidos.

2. Dos fatores crticos de sucesso, listados abaixo, escolha cinco que consi-

dera mais importantes para a elaborao de uma poltica de segurana da informao, numerando-os de acordo com sua prioridade de 1 a 5 (onde 1 o mais relevante e 5 o menos relevante dentro dos 5 fatores escolhidos):
(2) A adequao com a realidade prtica ( ) A necessidade de inventrio dos ativos ( ) O conhecimento por parte da equipe sobre conceitos de segurana (3) A aplicao de penalidades (5) A participao de pessoas de todas as reas da organizao ( ) O conhecimento dos principais problemas de segurana da organizao ( ) A denio de responsabilidades ( ) A previso de um programa inicial de conscientizao para os usurios a respeito das responsabilidades inerentes ao acesso s informaes e utilizao dos recursos de TI ( ) O embasamento legal (dos requisitos de conformidade com a legislao, regulamentos e contratos) ( ) A denio de uma estratgia de elaborao ( ) A referncia da documentao de apoio ( ) escopo de todos os processos internos que tangem a segurana da informao ( ) A expectativa determinante para a existncia de cada regra ( ) A reproduo da necessidade do negcio declarada na misso da organizao ( ) O estabelecimento dos objetivos de controle e os controles adequados ( ) A formao prvia da equipe de segurana ( ) A reviso dos documentos (4) O planejamento estratgico de segurana ( ) A incluso dos requisitos de gesto de continuidade do negcio ( ) As metas globais ( ) A linguagem simples, objetiva, clara, concisa e ser de fcil compreenso e aplicabilidade (1) O apoio e comprometimento da alta direo

72

3. A poltica de segurana da informao estabelece (estabelecer) as linhas-

mestras para a gesto da segurana da informao?

Sim; est deve ser a funo de uma poltica de segurana da informao. 4. Existem (existiro) previses de reviso da poltica de segurana da in-

formao a intervalos planejados ou quando ocorrerem mudanas signicativas?

Eu sinceramente no sei, mas devem existir.

5. Existe uma boa conscientizao da importncia de uma poltica de segu-

rana da informao por partes dos colaboradores? Como isto (ser) mensurado?

Sim. Em razo do alto nvel de qualicao dos prossionais que frequentam a instituio, esta conscientizao acaba sendo inerente s suas atribuies. 6. A poltica de segurana da informao dene (denir) expressamente os

papis e responsabilidades pela segurana da informao?

Em partes. Estar mais bem denida quando vir ocialmente um Plano. 7. Quando da formulao do planejamento estratgico da organizao, a

segurana da informao considerada?

No considerada.

8. A alta administrao (direo) considera a gesto de segurana da infor-

mao como questo crtica para a organizao?

Sim. Por possuir a quase totalidade dos seus dados sob a gerncia de uma infraestrutura computacional, torna-se imperativo dar uma importncia prioritria segurana das informaes. 9. A alta administrao (direo) estimula (estimular) os colaboradores

(servidores e terceirizados) a seguir os procedimentos de segurana aprovados pela poltica de segurana da informao? De que forma isto (ser) feito?
Ainda no. Existem apenas medidas pontuais, como mensagens que so mostradas nos navegadores de internet quando se tenta acessar um contedo que no autorizado pelo rewall, bem como atravs do uso de senhas.

10. As decises relacionadas com a segurana da informao ocorrem de

forma isolada pela rea de TI ou em conjunto com a equipe responsvel pelas decises estratgias da organizao?
Em conjunto com a equipe responsvel pelas decises estratgicas da organizao.

11. O acesso s informaes preserva os critrios de condencialidade, inte-

gridade e disponibilidade?

No integralmente, nem em 100% do tempo, mas de uma forma geral preserva.

73

12. Na poltica de segurana da informao (existente ou a ser publicada)

existe previso quanto a anlise e a avaliao de riscos?

No tenho conhecimento se leva em considerao os riscos.

13. Como feita a identicao dos riscos? Eles so previstos atravs de um

plano de contingncia?

O Plano de Contingncia ainda est em produo, como integrante da poltica de segurana da informao. 14. Quem so as principais partes interessadas (stakeholders) da segurana

da informao na organizao?

Como a Poltica de Segurana da Informao ainda no est ocializada, no h como denir ao certo. 15. Quais as percepes podem ser notadas dos principais clientes (internos

e externos) quanto segurana da informao na sua organizao?

Que a instituio apresenta cuidados com a segurana da informao, porm ainda incipiente dado o seu porte. Entre as causas est o fato de ser uma instituio nova. 16. Como gerenciado o acesso informao aos clientes externos? Este

acesso liberado antes ou aps a identicao dos requisitos de segurana?

Os clientes externos acessam a informao atravs do portal da instituio, na Internet. H situaes em que no h requisio de identicao, e h sistemas que requerem identicao.

17. Existem controles e requisitos de segurana da informao quando dos contratos com

terceiros?

Sim. Os terceiros tm acessos controlados e, quando possuidores de acesso a algumas informaes, so obrigados a assinar termos de sigilo. 18. Os colaboradores (servidores e terceirizados) recebem/receberam (rece-

bero) treinamento da Poltica de Segurana da Informao? H previso de processo disciplinar formal para aqueles que a violarem?

Acredito que aps a Institucionalizao de uma Poltica de Segurana da Informao iro receber tal treinamento. Atualmente, os contratos impem penalidades aos que violares as regras estabelecidas pela instituio. 19. A Gesto da Informao dentro da sua organizao considerada reativa

ou proativa? Atualmente encontra-se em ambos os casos, havendo prevalncia da reatividade. O intuito da instituio caminhar para adquirir uma postura o mais proativa possvel. para que haja um processo de melhoria contnua deste processo decisrio?

20. As medidas que dizem respeito segurana da informao so analisadas

74

Sim. Embora no haja ainda instituda uma poltica de segurana da informao, as regras inerentes a este tema so objeto de transformaes para que se adquem s novas necessidades.

A.1.4 Analista Administrativo 1

1. A sua organizao possui uma poltica de segurana da informao? Sua

aprovao e atualizao consideraram (ou consideraro) as vises de todos os agentes envolvidos? Como isto (ser) feito?
No possui. Sei que existem alguns esforos para sua elaborao, porm no sei informar se considera as vises de todos os agentes envolvidos.

2. Dos fatores crticos de sucesso, listados abaixo, escolha cinco que consi-

dera mais importantes para a elaborao de uma poltica de segurana da informao, numerando-os de acordo com sua prioridade de 1 a 5 (onde 1 o mais relevante e 5 o menos relevante dentro dos 5 fatores escolhidos):
(3) A adequao com a realidade prtica ( ) A necessidade de inventrio dos ativos ( ) O conhecimento por parte da equipe sobre conceitos de segurana ( ) A aplicao de penalidades (4) A participao de pessoas de todas as reas da organizao ( ) O conhecimento dos principais problemas de segurana da organizao ( ) A denio de responsabilidades (2) A previso de um programa inicial de conscientizao para os usurios a respeito das responsabilidades inerentes ao acesso s informaes e utilizao dos recursos de TI ( ) O embasamento legal (dos requisitos de conformidade com a legislao, regulamentos e contratos) ( ) A denio de uma estratgia de elaborao ( ) A referncia da documentao de apoio ( ) escopo de todos os processos internos que tangem a segurana da informao ( ) A expectativa determinante para a existncia de cada regra ( ) A reproduo da necessidade do negcio declarada na misso da organizao ( ) O estabelecimento dos objetivos de controle e os controles adequados ( ) A formao prvia da equipe de segurana ( ) A reviso dos documentos ( ) O planejamento estratgico de segurana ( ) A incluso dos requisitos de gesto de continuidade do negcio ( ) As metas globais 75

(5) A linguagem simples, objetiva, clara, concisa e ser de fcil compreenso e aplicabilidade (1) O apoio e comprometimento da alta direo 3. A poltica de segurana da informao estabelece (estabelecer) as linhas-

mestras para a gesto da segurana da informao?

No posso armar com certeza, mas espero que sim nal esta orientar os procedimentos da segurana da informao organizacional. 4. Existem (existiro) previses de reviso da poltica de segurana da in-

formao a intervalos planejados ou quando ocorrerem mudanas signicativas?

No sei informar

5. Existe uma boa conscientizao da importncia de uma poltica de segu-

rana da informao por partes dos colaboradores? Como isto (ser) mensurado?

No existe, muitos dos controles de segurana da informao so entendidos como modismos da rea de TI e a existncia de uma politica de segurana ajudaria a mudar este entendimento. 6. A poltica de segurana da informao dene (denir) expressamente os

papis e responsabilidades pela segurana da informao?

No sei informar.

7. Quando da formulao do planejamento estratgico da organizao, a

segurana da informao considerada?

No, e quando considerada geralmente so levados em conta apenas aspectos tecnolgicos. 8. A alta administrao (direo) considera a gesto de segurana da infor-

mao como questo crtica para a organizao?

Sim, mas no com tanta importncia como deveria.

9. A alta administrao (direo) estimula (estimular) os colaboradores

(servidores e terceirizados) a seguir os procedimentos de segurana aprovados pela poltica de segurana da informao? De que forma isto (ser) feito?
Estimula pouco. Penso que o estmulo est ligado a mostrar a importncia de tais procedimentos e capacitar os seus executores para efetu-los, e no se concentrar em denir punies para as infraes, embora este aspecto tambm seja importante.

10. As decises relacionadas com a segurana da informao ocorrem de

forma isolada pela rea de TI ou em conjunto com a equipe responsvel pelas decises estratgias da organizao?
Ainda esto em sua maioria concentradas sobre a TI.

76

11. O acesso s informaes preserva os critrios de condencialidade, inte-

gridade e disponibilidade?

Pelo menos tenta, embora nem sempre estes aspectos sejam garantidos. 12. Na poltica de segurana da informao (existente ou a ser publicada)

existe previso quanto a anlise e a avaliao de riscos?

No sei informar, mas um item importante de uma poltica

13. Como feita a identicao dos riscos? Eles so previstos atravs de um

plano de contingncia?

No existe um processo proativo, geralmente os riscos s so identicados depois se concretizar. 14. Quem so as principais partes interessadas (stakeholders) da segurana

da informao na organizao?
A TI e a alta administrao.

15. Quais as percepes podem ser notadas dos principais clientes (internos

e externos) quanto segurana da informao na sua organizao?

No sei informar.

16. Como gerenciado o acesso informao aos clientes externos? Este

acesso liberado antes ou aps a identicao dos requisitos de segurana?

Existem controles para este tipo de acesso, e o mesmo liberado aps a identicao dos requisitos de segurana

17. Existem controles e requisitos de segurana da informao quando dos

contratos com terceiros?

Sim, estes tm sido melhorados, desde a instruo normativa 4 do MPOG. 18. Os colaboradores (servidores e terceirizados) recebem/receberam (rece-

bero) treinamento da Poltica de Segurana da Informao? H previso de processo disciplinar formal para aqueles que a violarem?
No houve ainda treinamento voltado para o corpo organizacional.

19. A Gesto da Informao dentro da sua organizao considerada reativa

ou proativa?

Mais reativa que proativa 20. As medidas que dizem respeito segurana da informao so analisadas

para que haja um processo de melhoria contnua deste processo decisrio?

Muito pouco, acho que isso ser melhor executado quando a poltica de segurana for publicada.

77

A.2 Aquisio, desenvolvimento e manuteno de Sistemas de Informao e Gesto de Segurana da Informao

A.2.1 Analista de TI 2
1. Como so vistos os sistemas de informao na organizao? H compre-

enso, dentro da organizao, da inuncia dos sistemas de informao, sobretudo dos sistemas de misso crtica, no cumprimento de sua misso?

Com relao Gerncia de TI, acredito que haja alguma compreenso nesse sentido, j levando em considerao a organizao, no vejo por parte da presidncia e da diretoria a atribuio da devida importncia dos sistemas de informao para a organizao. 2. A alta administrao v os sistemas de informao, sobretudo os sistemas

de misso crtica, como elementos estratgicos da organizao? Como so vistos os investimentos em sistemas de informao pela organizao? Esses investimentos so associados aos resultados da organizao?
Para alguns sistemas pode at haver essa viso estratgica, o que no signica que dada a devida importncia para tais sistemas. Com relao a investimentos nanceiros, no me acho apto a responder esta questo, j com relao a pessoal e a prpria rea de TI, acredito que os investimentos cam muito a desejar. Como exemplo posso citar a no adoo da TI como uma rea estratgica na organizao.

3. Como as falhas em sistemas de informao, sobretudo em sistemas de

misso crtica, afetam a prestao de servios e a conabilidade da organizao? Qual a relao entre a ecincia da organizao e seus sistemas de informao?
Falha em sistemas de informao, de alguma forma ou de outra, seja para o usurio institucional ou externo, afeta o prestao de servio, a qualidade do servio prestado e a conabilidade que o usurio tem por qualquer organizao. Quando os sistemas de informao da organizao falham, esta falha vai minando a credibilidade que os clientes e usurios depositam na organizao. Esta relao direta, em maior grau em algumas organizaes e menor em outras.

4. Quando da aquisio ou desenvolvimento de novos sistemas e/ou da me-

lhoria de sistemas existentes, os requisitos de segurana so incorporados como parte integrante da declarao dos requisitos do negcio? H percepo de que a organizao deve se preocupar com o desenvolvimento de sistemas de forma integrada segurana?
Quando falamos em requisitos de segurana e segurana de informao, ainda estamos muito longe de uma cenrio ideal, ainda estamos dando os primeiros passos nessas questes. O contexto de segurana bastante amplo. Acredito que faltam denies no que diz respeito poltica de segurana, organizao de segurana da informao, disseminao da cultura de segurana da informao, implanta-

78

o de mtodos de desenvolvimento de aplicaes seguras durante todo o ciclo de desenvolvimento. Como falei, estamos dando os primeiros passos. 5. H validao dos dados de entrada e sada dos sistemas de informao?

Existe um controle do processamento interno destes sistemas de informao? E quanto ao armazenamento destes dados, so previstos procedimentos de segurana?

Com relao segurana, ainda no vejo procedimentos desse nvel aplicados ao processo de desenvolvimento presente na organizao, em nenhum dos itens. 6. H uma poltica para o uso de controles criptogrcos para a proteo da

informao? Tcnicas de criptograa so/foram utilizadas para proteger os dados dos sistemas de informao? Assinaturas digitais so/foram utilizadas para proteger a autenticidade e integridade de documentos eletrnicos?
No me sinto apto a responder essa questo.

7. H polticas e/ou controles de acesso aos cdigos-fontes dos sistemas de

informao? Como este acesso gerenciado?

No. Estamos caminhando para a implantao de uma Gerncia de Congurao, o que vai ajudar na aplicao de tais polticas de controle de acesso. 8. H procedimentos de controle de mudanas nos sistemas de informao?

H uma reviso do funcionamento destas aplicaes aps mudanas no sistema operacional? Como isto realizado?

Como falei, estamos caminhando para a implantao do Gerenciamento de Congurao e Controle de Mudana. 9. So previstas restries para limitar modicaes dos pacotes de softwa-

res adquiridos? As modicaes aceitas so testadas e documentadas, alm de serem realizadas em cpias dos pacotes originais?
No me sinto apto a responder essa questo. Mas em princpio no vejo nenhuma poltica de validao em produtos (pacotes) adquiridos.

10. Existem controles sobre o desenvolvimento terceirizado de software? Quais? Existe alguns controles: acompanhamento dos projetos e equipe de testes. Mas acho que ainda deixam a desejar no que diz respeito a desenvolvimento seguro, cobertura de testes e seguimento dos processos denidos. 11. O conjunto de medidas de segurana eventualmente adotadas por sua

organizao, relativamente aos sistemas segurados, manifesta-se de forma organizada ou ad hoc (desenvolvido apenas no momento em que ser usado)?
Vejo tentativas de uma organizao, no posso responder quanto a ecincia e eccia destas tentativas.

79

A.2.2 Analista de TI 3
1. Como so vistos os sistemas de informao na organizao? H compre-

enso, dentro da organizao, da inuncia dos sistemas de informao, sobretudo dos sistemas de misso crtica, no cumprimento de sua misso?
So vistos como sistemas de auxlio a execuo dos trabalhos.

No, os usurios no compreendem a importncia dos sistemas para o sucesso do negcio. 2. A alta administrao v os sistemas de informao, sobretudo os sistemas

de misso crtica, como elementos estratgicos da organizao? Como so vistos os investimentos em sistemas de informao pela organizao? Esses investimentos so associados aos resultados da organizao?
No. A alta administrao no tem a viso estratgica dos sistemas. Os investimentos so decorrentes das necessidades, mas no h mtricas entre os sistemas e os resultados do rgo.

3. Como as falhas em sistemas de informao, sobretudo em sistemas de

misso crtica, afetam a prestao de servios e a conabilidade da organizao? Qual a relao entre a ecincia da organizao e seus sistemas de informao?
As falhas causam transtorno e perda de credibilidade dos responsveis pelos sistemas. Em que pese a necessidade de melhoria dos sistemas de informao, h estreita relao entre a ecincia da organizao e os servios dos sistemas de informao.

4. Quando da aquisio ou desenvolvimento de novos sistemas e/ou da me-

lhoria de sistemas existentes, os requisitos de segurana so incorporados como parte integrante da declarao dos requisitos do negcio? H percepo de que a organizao deve se preocupar com o desenvolvimento de sistemas de forma integrada segurana?
Alguns requisitos de segurana so incorporados nas etapas iniciais dos sistemas. Existe a preocupao com a segurana, porm ela no tem seu devido valor.

5. H validao dos dados de entrada e sada dos sistemas de informao?

Existe um controle do processamento interno destes sistemas de informao? E quanto ao armazenamento destes dados, so previstos procedimentos de segurana?

Alguns sistemas validam a entrada dos dados, mas h muitos sistemas antigos que foram construdos sem essa preocupao. Alguns dados possuem regras adicionais de segurana, como por exemplo o uso de hash. 6. H uma poltica para o uso de controles criptogrcos para a proteo da

informao? Tcnicas de criptograa so/foram utilizadas para proteger os dados dos sistemas de informao? Assinaturas digitais so/foram
80

utilizadas para proteger a autenticidade e integridade de documentos eletrnicos?

Algumas aplicaes possuem controles criptogrcos, utilizadas para a proteo dos dados. Desconheo o uso de assinaturas digitais nos sistemas do rgo. 7. H polticas e/ou controles de acesso aos cdigos-fontes dos sistemas de

informao? Como este acesso gerenciado?

Os cdigos so versionados e o controle de acesso feito sobre essas ferramentas de controle de verso. 8. H procedimentos de controle de mudanas nos sistemas de informao?

H uma reviso do funcionamento destas aplicaes aps mudanas no sistema operacional? Como isto realizado?

No h procedimentos de controle de mudanas. Aps uma mudana, a equipe de teste escalada para vericar o funcionamento da aplicao. 9. So previstas restries para limitar modicaes dos pacotes de softwa-

res adquiridos? As modicaes aceitas so testadas e documentadas, alm de serem realizadas em cpias dos pacotes originais?

As restries de modicaes so inseridas na ferramenta de controle de verso. As modicaes so documentadas e posteriormente testadas. 10. Existem controles sobre o desenvolvimento terceirizado de software? Quais? No h uma poltica ecaz para controle sobre o desenvolvimento terceirizado. 11. O conjunto de medidas de segurana eventualmente adotadas por sua

organizao, relativamente aos sistemas segurados, manifesta-se de forma organizada ou ad hoc (desenvolvido apenas no momento em que ser usado)?
As medidas de segurana dos sistemas no so acompanhadas, elas so desenvolvidas e tem sua importncia apenas quando so elaboradas.

A.2.3 Analista de TI 4
1. Como so vistos os sistemas de informao na organizao? H compre-

enso, dentro da organizao, da inuncia dos sistemas de informao, sobretudo dos sistemas de misso crtica, no cumprimento de sua misso?
Pela natureza da instituio, h sistemas criados com nalidade de regular o setor especco dentro do Pas, o que os liga de forma direta misso crtica da instituio.

2. A alta administrao v os sistemas de informao, sobretudo os sistemas

de misso crtica, como elementos estratgicos da organizao? Como so vistos os investimentos em sistemas de informao pela organizao? Esses investimentos so associados aos resultados da organizao?
Sim, a alta administrao tem conscincia da importncia dos sistemas crticos, at porque alguns deles de certa forma se confundem com a prpria atividade da 81

organizao. Desta forma, h sim, um investimento considervel em sistemas de informao dentro da organizao OPF. 3. Como as falhas em sistemas de informao, sobretudo em sistemas de

misso crtica, afetam a prestao de servios e a conabilidade da organizao? Qual a relao entre a ecincia da organizao e seus sistemas de informao?
A relao entre a ecincia da organizao e a de seus sistemas de informao direta, haja vista que muitos sistemas do suporte rea m da instituio, fazendo com que as atividades nalsticas quem seriamente comprometidas se os sistemas no estiverem em execuo.

4. Quando da aquisio ou desenvolvimento de novos sistemas e/ou da me-

lhoria de sistemas existentes, os requisitos de segurana so incorporados como parte integrante da declarao dos requisitos do negcio? H percepo de que a organizao deve se preocupar com o desenvolvimento de sistemas de forma integrada segurana?
Sim, h este nvel de preocupao com a segurana dos sistemas.

5. H validao dos dados de entrada e sada dos sistemas de informao?

Existe um controle do processamento interno destes sistemas de informao? E quanto ao armazenamento destes dados, so previstos procedimentos de segurana?
No tenho conhecimento se existe ou no esta prtica dentro da instituio.

6. H uma poltica para o uso de controles criptogrcos para a proteo da

informao? Tcnicas de criptograa so/foram utilizadas para proteger os dados dos sistemas de informao? Assinaturas digitais so/foram utilizadas para proteger a autenticidade e integridade de documentos eletrnicos?
Sim, existe esta preocupao dentro da instituio. Inclusive os gerentes dos mais diversos nveis possuem certicados digitais e enviam suas correpondncias fazendo uso destes.

7. H polticas e/ou controles de acesso aos cdigos-fontes dos sistemas de

informao? Como este acesso gerenciado?

No possuo a informao de se este controle feito ou se esta poltica existe. Mas existem repositrios de versionamento onde os cdigos-fontes so armazenados, e muito provvel que existe esta poltica/controle. 8. H procedimentos de controle de mudanas nos sistemas de informao?

H uma reviso do funcionamento destas aplicaes aps mudanas no sistema operacional? Como isto realizado?

Existem ambientes de desenvolvimento, teste, homologao e produo. O uso destes ambientes, quando feito de forma adequada, prov a oportunidade de se aferir o comportamento do sistema diante de tais mudanas.

82

9. So previstas restries para limitar modicaes dos pacotes de softwa-

res adquiridos? As modicaes aceitas so testadas e documentadas, alm de serem realizadas em cpias dos pacotes originais?

No tenho conhecimento suciente das prticas de desenvolvimento da instituio para responder esta questo. 10. Existem controles sobre o desenvolvimento terceirizado de software? Quais? Os terceirizados que desenvolvem software para a instituio trabalham dentro da mesma e sob a superviso de servidores efetivos da instituio. 11. O conjunto de medidas de segurana eventualmente adotadas por sua

organizao, relativamente aos sistemas segurados, manifesta-se de forma organizada ou ad hoc (desenvolvido apenas no momento em que ser usado)?
Pelo conhecimento que possuo sobre a construo de sistemas na instituio, acredito que seja um meio termo entre uma forma ad hoc e uma forma organizada. A instituio est num momento de evoluo quanto aos seus processos de trabalho, o que atinge esta questo.

A.2.4 Analista de TI 5
1. Como so vistos os sistemas de informao na organizao? H compre-

enso, dentro da organizao, da inuncia dos sistemas de informao, sobretudo dos sistemas de misso crtica, no cumprimento de sua misso?
Os sistemas so vistos como balizadores das atividades da organizao OPF, ocorre infelizmente que na maioria das vezes eles s so vistos como tais pela rea de TI.

Os sistemas de misso crtica ainda tm uma percepo maior, por afetar diretamente vrias reas da organizao, porm a inuncia de outros sistemas, que tambm so importantes, mesmo que indiretamente, para as atividades da organizao OPF, no percebida, a menos que estes sistemas falhem. 2. A alta administrao v os sistemas de informao, sobretudo os sistemas

de misso crtica, como elementos estratgicos da organizao? Como so vistos os investimentos em sistemas de informao pela organizao? Esses investimentos so associados aos resultados da organizao?
Sim, os sistemas de informao so vistos como estratgicos pela alta administrao, inclusive grande parte do oramento da organizao OPF destinada aos investimentos na rea de TI. Muitos dos colaboradores consideram um absurdo a verba destinada a estes investimentos. No transparente para eles que estes investimentos reetem em melhores resultados nas atividades desempenhadas pela organizao, nem que muitos dos resultados alcanados foram possbilitados pelos investimentos citados.

3. Como as falhas em sistemas de informao, sobretudo em sistemas de

misso crtica, afetam a prestao de servios e a conabilidade da orga83

nizao? Qual a relao entre a ecincia da organizao e seus sistemas de informao?

Sim, muitos dos servios e atividades desempenhados pela organizao OPF so suportados por sistemas de informao e quando estes apresentam indisponibilidades afetam estes servios e atividades, alm da conabilidade da organizao. A relao extremamente estreita, muito dos resultados da organizao suportado por estes sistemas de informao, sobretudo os de misso crtica. 4. Quando da aquisio ou desenvolvimento de novos sistemas e/ou da me-

lhoria de sistemas existentes, os requisitos de segurana so incorporados como parte integrante da declarao dos requisitos do negcio? H percepo de que a organizao deve se preocupar com o desenvolvimento de sistemas de forma integrada segurana?
At existe uma preocupao com a especicao destes requisitos, porm eles nem sempre so observados ao longo de todo o processo de desenvolvimento.

5. H validao dos dados de entrada e sada dos sistemas de informao?

Existe um controle do processamento interno destes sistemas de informao? E quanto ao armazenamento destes dados, so previstos procedimentos de segurana?

Existe um processo para tal validao, porm este ainda no formalizado. Assim cada equipe de projeto de um sistema o faz da maneira que acha mais conveniente. 6. H uma poltica para o uso de controles criptogrcos para a proteo da

informao? Tcnicas de criptograa so/foram utilizadas para proteger os dados dos sistemas de informao? Assinaturas digitais so/foram utilizadas para proteger a autenticidade e integridade de documentos eletrnicos?
No tenho conhecimento respeito da existncia de tal poltica. Existe o uso de criptograa no armazenamento de dados de muitos dos sistemas de informao da organizao. Embora tenha sido previsto do plano diretor de TI um levantamento dos sistemas que seriam adptados para utilizao de certicados digitais, estes ainda no foram implementados. No entanto, muitos dos gerentes utilizam certicados digitais quando vo encaminhar documentos crticos e que necessitam de garantia da autenticidade por parte de seu autor.

7. H polticas e/ou controles de acesso aos cdigos-fontes dos sistemas de

informao? Como este acesso gerenciado?

No existe uma poltica denida, mas existe o controle de versionamento por meio de softwares e o acesso aos cdigos-fontes de tais sistemas s realizado mediante autorizao e cadastro do login. 8. H procedimentos de controle de mudanas nos sistemas de informao?

H uma reviso do funcionamento destas aplicaes aps mudanas no sistema operacional? Como isto realizado?
84

Sim, quando so previstas mudanas todos os responsveis pelos sistemas que podem ser afetados so comunicados e so executados testes. Alguns problemas no entanto s so encontrados aps estes testes. 9. So previstas restries para limitar modicaes dos pacotes de softwa-

res adquiridos? As modicaes aceitas so testadas e documentadas, alm de serem realizadas em cpias dos pacotes originais?

Os sistemas operacionais e pacotes correlatos so mantidos como adquidos, eventuais excees e atualizaes so primeiramente acordadas e depois testadas, at que se apresentem como estveis. 10. Existem controles sobre o desenvolvimento terceirizado de software? Quais? Existem, mas precisam ser melhorados, muitos sistemas esto sob cuidados exclusivamente de terceiros o que lhes d acesso a mais informaes do que necessrio para exercer suas atividades. 11. O conjunto de medidas de segurana eventualmente adotadas por sua

organizao, relativamente aos sistemas segurados, manifesta-se de forma organizada ou ad hoc (desenvolvido apenas no momento em que ser usado)? Este processo ainda ad hoc, embora medidas venham sendo elaboradas e adotadas
para mudar esta forma.

A.3 Infraestrutura de Tecnologia da Informao (TI) e Gesto de Segurana da Informao

A.3.1 Gerente Operacional de TI 2
1. Como vista a infraestrutura de TI na organizao? H compreenso,

dentro da organizao, da inuncia da infraestrutura de TI no cumprimento de sua misso?

A infraestrutura de TI considerada fundamental. Est fundamentada no fato de que a maior parte das atividades desenvolvidas na organizao OPF e as mais importantes so suportadas por sistemas.

2. A alta administrao v a infraestrutura de TI como elemento estratgico

da organizao? Como so vistos os investimentos em infraestrutura de TI pela organizao? Esses investimentos so associados aos resultados da organizao?
A alta administrao entende a importncia do investimento na infraestrutura de TI. Os oramentos anuais normalmente no sofrem alteraes no rgo diretor da organizao OPF. Entretanto, o corte de investimento pelo Governo Federal muitas vezes fator impeditivo para a consecuo do planejado. O investimento na infraestrutura de TI est atrelado a consecuo dos resultados planejados para organizao. 85

3. A cultura organizacional relaciona a infraestrutura de TI aos riscos or-

ganizacionais?

Sim. A cultura organizacional entende a infraestrutura de TI como fator preponderante. 4. Existe a compreenso de que a infraestrutura de TI da organizao

elemento central da segurana da informao?

Erroneamente a cultura organizacional entende a infraestrutura como elemento central e nico da segurana da informao. 5. Como as falhas em elementos da infraestrutura de TI afetam a presta-

o de servios e conabilidade da organizao? Qual a relao entre a ecincia da organizao e sua infraestrutura de TI?
Como a maior parte dos servios prestados sociedade so suportados por sistemas, a indisponibilidade ou mesmo o baixo desempenho impactam negativamente no desempenho das atribuies da organizao OPF e, por conseguinte, na sua imagem.

6. O fornecimento de energia eltrica e climatizao so vistos como ele-

mentos de infraestrutura de TI?

Sim.

7. O projeto da estrutura de fornecimento de energia eltrica foi desen-

volvido especicamente para o ambiente de TI? As instalaes eltricas atendem necessidade e criticidade dos servios de TI prestados pela organizao? O projeto eltrico segue as normas vigentes a respeito do assunto?
O projeto no foi especco para a rea de TI, mas considerou a necessidade "no stop"dos servios de informtica. Desconheo a respeito do projeto estar em consonncia com as normas.

8. A climatizao est corretamente dimensionada? Sim. 9. Quais controles de acesso fsicos ao ambiente de TI esto implementados

na organizao? Como estes controles de acesso so vistos na organizao?

O acesso aos ambientes controlado por dispositivo eletrnico. Mas esta soluo no garante por si s a eccia do controle. 10. Quais equipamentos compem a infraestrutura de TI da organizao?

A implantao dos equipamentos de TI segue um projeto que visa ao atendimento das necessidades de negcio?
Servidores, microcomputadores, switches, storages, roteadores. Sim.

11. Mesmo os equipamentos de uso individual so vistos como componentes

da infraestrutura de TI da organizao? Esses equipamentos so vistos

86

como elementos necessrios eciente prestao de servio pela organizao?

Certamente. Sim, pois os sistemas do rgo exigem boa capacidade de processamento dos microcomputadores dos usurios. No seria ecaz se o investimento em TI desconsiderasse estes equipamentos. 12. Como composta a estrutura fsica da rede de computadores? Quais

os equipamentos utilizados? Existe projeto de rede que documente a estrutura dos componentes da rede?
Servidores, Roteadores, Switches, microcomputadores (...). Existe documento com a estrutura da rede do rgo.

13. Os componentes fsicos de rede so adquiridos e implantados seguindo

um projeto e as normas adequadas? O projeto leva em considerao as necessidades de prestao de servios da organizao?
Sim. Sim.

14. O monitoramento do correto funcionamento dos equipamentos da infra-

estrutura de TI feito? Os resultados do monitoramento so usados para melhoria da infraestrutura de TI?

O monitoramento dos equipamentos feito, mas ainda no completo ao ponto de ser considerando quando da proposta de melhoria da infraestrutura de TI.

15. Como a estrutura de armazenamento e recuperao de dados utilizada

na organizao? utilizado storage?

Existe sistema de backup e estes dados so armazenados em tas. O rgo possui storage. 16. A organizao possui um DATACENTER? Como ele est estruturado? Sim. Desconheo. 17. Existe a terceirizao de servios de DATACENTER pela organizao? No. 18. A implantao do DATACENTER seguiu um projeto? O projeto foi feito

seguindo normas e padres adequados? O DATACENTER foi projetado de forma a atender as necessidades do negcio?
Desconheo.

19. Qual a categoria do DATACENTER da organizao? Desconheo.

87

20. A topologia do DATACENTER est de acordo com a norma TIA 942?

Qual a classicao do DATACENTER, de acordo com a norma TIA 942?

Desconheo.

21. Quais os servios prestados pelo DATACENTER da organizao? Armazenamentos de servidores de aplicao, redes, banco de dados, portal, rewall, (...)

A.3.2 Gerente Operacional de TI 3

1. Como vista a infraestrutura de TI na organizao? H compreenso,

dentro da organizao, da inuncia da infraestrutura de TI no cumprimento de sua misso?

Sim, todas as atividades tcnicas e administrativas da organizao OPF so suportadas pelos sistemas de informao.

2. A alta administrao v a infraestrutura de TI como elemento estratgico

da organizao? Como so vistos os investimentos em infraestrutura de TI pela organizao? Esses investimentos so associados aos resultados da organizao?
Sim.

3. A cultura organizacional relaciona a infraestrutura de TI aos riscos or-

ganizacionais?
Sim.

4. Existe a compreenso de que a infraestrutura de TI da organizao

elemento central da segurana da informao?

No.

5. Como as falhas em elementos da infraestrutura de TI afetam a presta-

o de servios e conabilidade da organizao? Qual a relao entre a ecincia da organizao e sua infraestrutura de TI?
Como as atividades tcnicas e administrativas da organizao OPF so suportadas pelos sistemas, as falhas em elementos da inftraestrutura de TI comprometem diretamente na prestao de servios. Tambm na conabilidade da organizao, em relao aos usurios da sociedade brasileira que utilizam os servios disponibilizados e das empresas dos setor que so usurios das aplicaes da organizao OPF.

6. O fornecimento de energia eltrica e climatizao so vistos como ele-

mentos de infraestrutura de TI?

Sim.

7. O projeto da estrutura de fornecimento de energia eltrica foi desen-

volvido especicamente para o ambiente de TI? As instalaes eltricas atendem necessidade e criticidade dos servios de TI prestados pela
88

organizao? O projeto eltrico segue as normas vigentes a respeito do assunto?

Na organizao OPF foi construda uma sala cofre com a estrutura de fornecimento de energia redundante com dois circuitos independentes, com um nobreak para cada um dos circuitos, garantindo a continuidade dos servios de TI. 8. A climatizao est corretamente dimensionada? Sim. 9. Quais controles de acesso fsicos ao ambiente de TI esto implementados

na organizao? Como estes controles de acesso so vistos na organizao?

Identicao biomtrica com geometria da mo, tm acesso a sala cofre somente pessoas credenciadas e autorizadas pela gesto.

10. Quais equipamentos compem a infraestrutura de TI da organizao?

A implantao dos equipamentos de TI segue um projeto que visa ao atendimento das necessidades de negcio? Servidores em rack com tecnologia Intel, rea de armazenamento em storage, unidades de tas de backup, desktops e notebooks para o desempenho das atividades
dos colaboradores. Sim a capacidade de TI tem sido planejada para que a organizao OPF atenda aos objetivos propostos.

11. Mesmo os equipamentos de uso individual so vistos como componentes

da infraestrutura de TI da organizao? Esses equipamentos so vistos como elementos necessrios eciente prestao de servio pela organizao?
Sim.

Sim, visto que estes componentes individuais possibilitam a utilizao dos sistemas de informao da organizao OPF, alm de ser o grande possibilitador da utilizao dos servios de TI por parte dos colaboradores. 12. Como composta a estrutura fsica da rede de computadores? Quais

os equipamentos utilizados? Existe projeto de rede que documente a estrutura dos componentes da rede?

utilizada uma topologia em estrela, tendo como n central a unidade sede em Braslia. Switches, roteadores e links contratados de terceiros. Sim. 13. Os componentes fsicos de rede so adquiridos e implantados seguindo

um projeto e as normas adequadas? O projeto leva em considerao as necessidades de prestao de servios da organi-zao?
Sim. 89

Sim, inclusive est em processo de aquisio a nova infraestrutura de rede e telefonia que foi desenhada para atender as necessidades atuais das atividades da organizao OPF. 14. O monitoramento do correto funcionamento dos equipamentos da infra-

estrutura de TI feito? Os resultados do monitoramento so usados para melhoria da infraestrutura de TI?

Existe uma equipe utilizando software de monitoramento para que seja garantida a maior disponibilidade dos recursos de TI. Alm disso so monitorados tambm o desempenho e capacidade dos elementos da infraestrutura de TI.

15. Como a estrutura de armazenamento e recuperao de dados utilizada

na organizao? utilizado storage ? Existe uma poltica de backup dos dados da organizao (cpias dirias, semanal,
mensal e anual). utilizado storage.

16. A organizao possui um DATACENTER? Como ele est estruturado? Sim. Ele est estruturado conforme descrito acima dentro de uma sala cofre. 17. Existe a terceirizao de servios de DATACENTER pela organizao? No. 18. A implantao do DATACENTER seguiu um projeto? O projeto foi feito

seguindo normas e padres adequados? O DATACENTER foi projetado de forma a atender as necessidades do negcio?
Sim. Sim. Sim.

19. Qual a categoria do DATACENTER da organizao? No me sinto apto responder. 20. A topologia do DATACENTER est de acordo com a norma TIA 942?

Qual a classicao do DATACENTER, de acordo com a norma TIA 942?

No me sinto apto responder.

21. Quais os servios prestados pelo DATACENTER da organizao? Sistemas de informao, armazenamento e recuperao de dados e servios de correio eletrnico.

A.3.3 Gerente Operacional de TI 4

1. Como vista a infraestrutura de TI na organizao? H compreenso,

dentro da organizao, da inuncia da infraestrutura de TI no cumprimento de sua misso?

90

Sim. A TI vista como estratgica. Oramento de TI o segundo maior da organizao OPF, perdendo apenas para rea m  scalizao. 2. A alta administrao v a infraestrutura de TI como elemento estratgico

da organizao? Como so vistos os investimentos em infraestrutura de TI pela organizao? Esses investimentos so associados aos resultados da organizao?
Sim a TI vista como estratgia para a misso da organizao OPF. Oramento anual dicilmente gasto em sua totatiliade. Aproximadamente 30 milhes de reais.

3. A cultura organizacional relaciona a infraestrutura de TI aos riscos or-

ganizacionais?
No.

4. Existe a compreenso de que a infraestrutura de TI da organizao

elemento central da segurana da informao?

Infelizmente no.

5. Como as falhas em elementos da infraestrutura de TI afetam a presta-

o de servios e conabilidade da organizao? Qual a relao entre a ecincia da organizao e sua infraestrutura de TI?
Total. O menor impacto da infra-estrutura de TI causa danos a sociedade que utiliza diretamente os servios de TI da organizao OPF. Infelizmente a terceirizao ampla na organizao OPF prejudica muito a ecincia da TI uma vez que o compromisso destes colaboradores terceirizados com a instituio menor.

6. O fornecimento de energia eltrica e climatizao so vistos como ele-

mentos de infraestrutura de TI?

Sim.

7. O projeto da estrutura de fornecimento de energia eltrica foi desen-

volvido especicamente para o ambiente de TI? As instalaes eltricas atendem necessidade e criticidade dos servios de TI prestados pela organizao? O projeto eltrico segue as normas vigentes a respeito do assunto?
Sim. Sim. Sim.

8. A climatizao est corretamente dimensionada? Sim. 9. Quais controles de acesso fsicos ao ambiente de TI esto implementados

na organizao? Como estes controles de acesso so vistos na organizao?

Controde para acesso fsico ao ambiente computacional: 91

- Acesso as salas de switches existente em cada andar realizado por meio de carto magntico. Somente funcionrios autorizados conseguem acesso a porta. - Sala se servidores possuem identicao biomtrica por meio da geometria da mo, alm de cdigo de carto de acesso. Controle e autorizao para acesso de pessoal: - Acesso ao prdio controlado. Sendo necessrio identicao na recepo. - Em cada andar existe uma nova recepo que conrma o motivo da visita e solicita acompanhamento de um servidor da casa junto ao visitante. Ningum transita no prdio sem acompanhamento. Sistemas de monitorao baseados em cmeras de vdeo - Existe sistema de gravao e monitorao em tempo real em pontos estratgicos do prdio. Sistemas de identicao e autenticao pessoal - Biometria, carto de acesso, token e senhas. Muitos colaboradores acham estes controles de acesso desnecessrios, enquanto outros so conscientes de sua importncia. 10. Quais equipamentos compem a infraestrutura de TI da organizao?

A implantao dos equipamentos de TI segue um projeto que visa ao atendimento das necessidades de negcio?
Switches, roteadores, rewalls, servidores, entre outros. A grande maioria dos equipamentos visam o atendimento das necessidades de negcio.

11. Mesmo os equipamentos de uso individual so vistos como componentes

da infraestrutura de TI da organizao? Esses equipamentos so vistos como elementos necessrios eciente prestao de servio pela organizao?
Sim.

12. Como composta a estrutura fsica da rede de computadores? Quais

os equipamentos utilizados? Existe projeto de rede que documente a estrutura dos componentes da rede?
A rede estruturada e abrange mais de 75 localidades do territrio nacional. O Objetivo principal e possibilitar a monitorao de alguns aspectos do setor regulado em todo territrio nacional.

Os equipamentos so compostos por roteadores, rewall, switches e servidores de redes. Existe projeto que documenta a estruturao da redes, distribuio de endereamentos IPs entre outras informaes. 13. Os componentes fsicos de rede so adquiridos e implantados seguindo

um projeto e as normas adequadas? O projeto leva em considerao as necessidades de prestao de servios da organizao?
92

Sim. Sim. 14. O monitoramento do correto funcionamento dos equipamentos da infra-

estrutura de TI feito? Os resultados do monitoramento so usados para melhoria da infraestrutura de TI?

Sim.

15. Como a estrutura de armazenamento e recuperao de dados utilizada

na organizao? utilizado storage ? Alm do storage existe rob de backup. A recuperao realizada por meio de
solicitao via aplicativo de registros de chamados para rea de TI. Sim.

16. A organizao possui um DATACENTER? Como ele est estruturado? Sim. 17. Existe a terceirizao de servios de DATACENTER pela organizao? No. 18. A implantao do DATACENTER seguiu um projeto? O projeto foi feito

seguindo normas e padres adequados? O DATACENTER foi projetado de forma a atender as necessidades do negcio?
No.

19. Qual a categoria do DATACENTER da organizao? No sei informar 20. A topologia do DATACENTER est de acordo com a norma TIA 942?

Qual a classicao do DATACENTER, de acordo com a norma TIA 942?

No sei informar

21. Quais os servios prestados pelo DATACENTER da organizao? Armazenamento de todos os servidores e infra-estrura crtica da organizao OPF.

A.3.4 Analista de TI 6
1. Como vista a infraestrutura de TI na organizao? H compreenso,

dentro da organizao, da inuncia da infraestrutura de TI no cumprimento de sua misso?

H plena compreenso da importncia da infraestrutura de TI para a misso da instituio.

2. A alta administrao v a infraestrutura de TI como elemento estratgico

da organizao? Como so vistos os investimentos em infraestrutura de TI pela organizao? Esses investimentos so associados aos resultados da organizao?
93

Sim, a alta administrao tem a viso de que a infraestrutura em TI primordial e diretamente relacionada com a atividade m da organizao. Os investimentos em infraestrutura de TI servem para dar suporte a praticamente todas as atividades desempenhadas na organizao, relacionando-se diretamente com seus resultados. 3. A cultura organizacional relaciona a infraestrutura de TI aos riscos or-

ganizacionais?

Sim. Praticamente toda a atividade da instituio est alicerada no uso da infraestrutura de TI, o que torna esta rea de uma importncia crtica. Assim, riscos relacionados com a infraestrutura de TI so diretamente transformados em riscos para toda a instituio. 4. Existe a compreenso de que a infraestrutura de TI da organizao

elemento central da segurana da informao?

Sim, existe, tanto que est em elaborao um Plano de Gesto da Segurana da Informao, para formalizar esta poltica dentro da instituio. 5. Como as falhas em elementos da infraestrutura de TI afetam a presta-

o de servios e conabilidade da organizao? Qual a relao entre a ecincia da organizao e sua infraestrutura de TI?
Internamente a instituio trabalha com base em sistemas de informtica. Alm disto, a mesma instituio prov mecanismos de comunicao e reclamao junto s empresas reguladas e consumidores de todo o Pas. Assim, problemas na infraestrutura de TI iro afetar estes sistemas e consequentemente a imagem da instituio.

6. O fornecimento de energia eltrica e climatizao so vistos como ele-

mentos de infraestrutura de TI?

No. So elementos sob responsabilidade de outro setor dentro da instituio. 7. O projeto da estrutura de fornecimento de energia eltrica foi desen-

volvido especicamente para o ambiente de TI? As instalaes eltricas atendem necessidade e criticidade dos servios de TI prestados pela organizao? O projeto eltrico segue as normas vigentes a respeito do assunto?
No se informar, mas pelo porte da instituio acredito que sim.

8. A climatizao est corretamente dimensionada? No sei infomar, mas pelo frio que faz na sala dos servidores acredito que sim! 9. Quais controles de acesso fsicos ao ambiente de TI esto implementados

na organizao? Como estes controles de acesso so vistos na organizao?

Para acesso s salas dos servidores, necessrio ter senha e fazer uso de mecanismos biomtricos. Para transitar internamente na instituio necessrio possuir crach. O crach ir delimitar a tramitao do indivduo dentro da instituio.

94

10. Quais equipamentos compem a infraestrutura de TI da organizao?

A implantao dos equipamentos de TI segue um projeto que visa ao atendimento das necessidades de negcio?

H dezenas de servidores de ltima gerao que foram adquiridos para alinhar os ativos de TI s ltimas tecnologias. A cada 4 anos busca-se atualizar estes ativos de TI para dar suporte s demandas criadas. 11. Mesmo os equipamentos de uso individual so vistos como componentes

da infraestrutura de TI da organizao? Esses equipamentos so vistos como elementos necessrios eciente prestao de servio pela organizao?

Tendo em vista que praticamente todos os funcionrios realizam suas atividades laborais fazendo uso de equipamentos de informtica, estes equipamentos so, sim, considerados necessrios eciente prestao dos servidos da organizao. 12. Como composta a estrutura fsica da rede de computadores? Quais

os equipamentos utilizados? Existe projeto de rede que documente a estrutura dos componentes da rede?
No sei informar.

13. Os componentes fsicos de rede so adquiridos e implantados seguindo

um projeto e as normas adequadas? O projeto leva em considerao as necessidades de prestao de servios da organizao?
Pelo porte da instituio, acredito que sim. Mas no tenho informao suciente para determinar.

14. O monitoramento do correto funcionamento dos equipamentos da infraestrutura de

TI feito? Os resultados do monitoramento so usados para melhoria da infraestrutura de TI?

O monitoramento realizado por uma equipe criada exclusivamente para tal. Os resultados do monitoramento so, sim, utilizados para subsidiar decises. 15. Como a estrutura de armazenamento e recuperao de dados utilizada

na organizao? utilizado storage ?

H armazenamento de informao tanto dentro do Storage quanto fora dele. Procurase priorizar o armazenamento realizado dentro do storage. 16. A organizao possui um DATACENTER? Como ele est estruturado? A organizao possui um ambiente especialmente criado para centralizar seus servidores de informao. 17. Existe a terceirizao de servios de DATACENTER pela organizao? No, contudo h prosisonais que executam algumas atividades dentro do datacenter e que so terceirizados. 18. A implantao do DATACENTER seguiu um projeto? O projeto foi feito

seguindo normas e padres adequados? O DATACENTER foi projetado de forma a atender as necessidades do negcio?
95

No possuo tal informao. 19. Qual a categoria do DATACENTER da organizao? No possuo tal informao. 20. A topologia do DATACENTER est de acordo com a norma TIA 942?

Qual a classicao do DATACENTER, de acordo com a norma TIA 942?

No possuo tal informao.

21. Quais os servios prestados pelo DATACENTER da organizao? L esto aglomerados todos os servidores de informao, incluindo os do ambiente de desenvolvimento, teste e homologao, alm dos de produo.

A.3.5 Analista de TI 7
1. Como vista a infraestrutura de TI na organizao? H compreenso,

dentro da organizao, da inuncia da infraestrutura de TI no cumprimento de sua misso?

No tenho conhecimento. Existe este entendimento que a TI suporta o alcance da misso.

2. A alta administrao v a infraestrutura de TI como elemento estratgico

da organizao? Como so vistos os investimentos em infraestrutura de TI pela organizao? Esses investimentos so associados aos resultados da organizao?
Creio que em parte. No sei como este investimento visto. No sei.

3. A cultura organizacional relaciona a infraestrutura de TI aos riscos or-

ganizacionais?
Pouco.

4. Existe a compreenso de que a infraestrutura de TI da organizao

elemento central da segurana da informao?

Por parte da TI sim, mas no sei as outras reas tambm. 5. Como as falhas em elementos da infraestrutura de TI afetam a presta-

o de servios e conabilidade da organizao? Qual a relao entre a ecincia da organizao e sua infraestrutura de TI?
Diretamente, a atividade m em grande parte ca comprometida. Diretamente relacionada.

6. O fornecimento de energia eltrica e climatizao so vistos como ele-

mentos de infraestrutura de TI?

Sim.

96

7. O projeto da estrutura de fornecimento de energia eltrica foi desen-

volvido especicamente para o ambiente de TI? As instalaes eltricas atendem necessidade e criticidade dos servios de TI prestados pela organizao? O projeto eltrico segue as normas vigentes a respeito do assunto?
Sim. Parcialmente. No.

8. A climatizao est corretamente dimensionada? Sim. 9. Quais controles de acesso fsicos ao ambiente de TI esto implementados

na organizao? Como estes controles de acesso so vistos na organizao?

Controle biomtrico associado a senha. Existe tambm empresa de segurana patrimonial que faz o controle de entrada/sada de pessoas autorizadas. 10. Quais equipamentos compem a infraestrutura de TI da organizao?

A implantao dos equipamentos de TI segue um projeto que visa ao atendimento das necessidades de negcio? Servidores, storage e ativos de rede. Est tendo se adequar. da infraestrutura de TI da organizao? Esses equipamentos so vistos como elementos necessrios eciente prestao de servio pela organizao?
Sim. Sim.

11. Mesmo os equipamentos de uso individual so vistos como componentes

12. Como composta a estrutura fsica da rede de computadores? Quais

os equipamentos utilizados? Existe projeto de rede que documente a estrutura dos componentes da rede? Switches geogracamente distribudos e em stack. Quanto ao cabeamento no sei
se est aderente as normas pertinentes.

Switches.
No existe projeto. 13. Os componentes fsicos de rede so adquiridos e implantados seguindo

um projeto e as normas adequadas? O projeto leva em considerao as necessidades de prestao de servios da organizao?
At o momento no.

14. O monitoramento do correto funcionamento dos equipamentos da infra-

estrutura de TI feito? Os resultados do monitoramento so usados para melhoria da infraestrutura de TI?

97

Em parte. Em grande parte apenas reativamente. 15. Como a estrutura de armazenamento e recuperao de dados utilizada

parte o restore atende ao proposto.

na organizao? utilizado storage ? Utiliza-se storage de mdio porte. Existe rotina adequada de backup, e em grande

16. A organizao possui um DATACENTER? Como ele est estruturado? Sim. Existem todos os sistemas auxiliares. No entanto ele ca no subsolo e no possui nenhuma redundncia. 17. Existe a terceirizao de servios de DATACENTER pela organizao? No. 18. A implantao do DATACENTER seguiu um projeto? O projeto foi feito

seguindo normas e padres adequados? O DATACENTER foi projetado de forma a atender as necessidades do negcio?
Creio que seguiu projeto e seguiu as normas. Quanto ao atendimento as necessidades do negcio, creio que sim.

19. Qual a categoria do DATACENTER da organizao? Corporativo monoltico. 20. A topologia do DATACENTER est de acordo com a norma TIA 942?

Qual a classicao do DATACENTER, de acordo com a norma TIA 942?

Sim. TIER 3.

21. Quais os servios prestados pelo DATACENTER da organizao? Apenas uso interno. No fazemos colocation para nenhuma outra entidade, nem hosting.

A.3.6 Analista de TI 8
1. Como vista a infraestrutura de TI na organizao? H compreenso,

dentro da organizao, da inuncia da infraestrutura de TI no cumprimento de sua misso?

A infraestrutura vista como crtica para o desempenho das atividades e da misso da organizao.

2. A alta administrao v a infraestrutura de TI como elemento estratgico

da organizao? Como so vistos os investimentos em infraestrutura de TI pela organizao? Esses investimentos so associados aos resultados da organizao?
Sim, so tratados como estratgicos e so objetos de uma boa parte dos investimentos da organizao OPF.

98

3. A cultura organizacional relaciona a infraestrutura de TI aos riscos or-

ganizacionais?
Sim.

4. Existe a compreenso de que a infraestrutura de TI da organizao

elemento central da segurana da informao?

No.

5. Como as falhas em elementos da infraestrutura de TI afetam a presta-

o de servios e conabilidade da organizao? Qual a relao entre a ecincia da organizao e sua infraestrutura de TI?
As falhas reetem diretamente no desempenho das atividades, visto que muitas delas so suportadas por sistemas e elementos da infraestrutura. Estas falhas prejudicam a execuo dos servios e atrapalham o alcance da misso, alm de prejudicar a imagem de organizao OPF.

6. O fornecimento de energia eltrica e climatizao so vistos como ele-

mentos de infraestrutura de TI?

Sim.

7. O projeto da estrutura de fornecimento de energia eltrica foi desen-

volvido especicamente para o ambiente de TI? As instalaes eltricas atendem necessidade e criticidade dos servios de TI prestados pela organizao? O projeto eltrico segue as normas vigentes a respeito do assunto?
No sei. Sim. No sei.

8. A climatizao est corretamente dimensionada? Sim. 9. Quais controles de acesso fsicos ao ambiente de TI esto implementados

na organizao? Como estes controles de acesso so vistos na organizao?

Identicao por meio de crachs, identicao biomtrica pela geometria da mo, vericao de autorizao de cadastro para acesso junto chea imediata etc. So vistos como uma forma de garantir segurana em alguns ambientes. 10. Quais equipamentos compem a infraestrutura de TI da organizao?

A implantao dos equipamentos de TI segue um projeto que visa ao atendimento das necessidades de negcio? Servidores Corporativos, switches, rewall, microcomputadores desktops, notebooks, no-breaks, storages, unidades de backup etc.

99

11. Mesmo os equipamentos de uso individual so vistos como componentes

da infraestrutura de TI da organizao? Esses equipamentos so vistos como elementos necessrios eciente prestao de servio pela organizao?
Sim. Sim.

12. Como composta a estrutura fsica da rede de computadores? Quais

os equipamentos utilizados? Existe projeto de rede que documente a estrutura dos componentes da rede? Firewall, switches, cabeamento de redes etc.

13. Os componentes fsicos de rede so adquiridos e implantados seguindo

um projeto e as normas adequadas? O projeto leva em considerao as necessidades de prestao de servios da organizao?
No sei.

14. O monitoramento do correto funcionamento dos equipamentos da infra-

estrutura de TI feito? Os resultados do monitoramento so usados para melhoria da infraestrutura de TI?

Sim. Existe a utilizao destes resultados, mas os mesmos poderiam ser mais utilizados para melhorar o ambiente.

15. Como a estrutura de armazenamento e recuperao de dados utilizada

na organizao? utilizado storage ?

A estrutura de armazenamento e recuperao de dados muito boa, possui atualmente mais de 10 Tb de capacidade. utilizado storage. 16. A organizao possui um DATACENTER? Como ele est estruturado? Sim, possui. Ele est estruturado dentro de uma sala-cofre no subsolo. 17. Existe a terceirizao de servios de DATACENTER pela organizao? No. 18. A implantao do DATACENTER seguiu um projeto? O projeto foi feito

seguindo normas e padres adequados? O DATACENTER foi projetado de forma a atender as necessidades do negcio?
Sim. Sim. Sim.

19. Qual a categoria do DATACENTER da organizao? Corporativo Monoltico. 100

20. A topologia do DATACENTER est de acordo com a norma TIA 942?

Qual a classicao do DATACENTER, de acordo com a norma TIA 942?

Sim, est de acordo. TIER 3.

21. Quais os servios prestados pelo DATACENTER da organizao? Armazenamento e recuperao de dados, sistemas de informao da organizao, servio de e-mail corporativo etc.

101

Apndice B Questionrio vericador de conformidade com a norma ABNT NBR ISO/IEC 27002
H uma poltica de segurana da informao aprovada pela alta administrao, publicada e comunicada?

Poltica de segurana

Sim Sim, porm desatualizada No

H um responsvel pela gesto da poltica de segurana da informao?

Sim Sim, porm no est desempenhando esta funo No

So realizadas anlises crticas/revises da poltica de segurana da informao a intervalos planejados e quando ocorrem mudanas signicativas?

Sim Sim, porm nem sempre No

Segurana organizacional
Sim Sim, porm desatualizada No

H infra-estrutura de segurana da informao para gerenciar as aes corporativas?

102

H apoio ativo segurana da informao por parte da alta administrao?

Sim Sim, porm nem sempre h um comprometimento explcito No

As atividades de segurana da informao so coordenadas por representantes de diferentes partes da organizao, com funes e papis relevantes?

Sim Sim, porm estas atividades de coordenao ainda so distribudas em um nmero reduzido de reas No
H uma denio clara das atribuies de responsabilidade associadas segurana da informao?

Sim Sim, porm desatualizada No

Os requisitos para condencialidade ou acordos de no divulgao que reetem as necessidades da organizao para a proteo da informao so identicados e analisados criticamente?

Sim Sim, porm nem sempre de maneira formal No

H um contato com autoridades e grupos de interesses especiais?

Sim Sim, s com autoridades ou s com grupos de interesses especiais No

So realizadas anlises crticas/revises dos objetivos de controle, controles, processos e procedimentos de segurana da informao a intervalos planejados e quando ocorrem mudanas signicativas?

Sim Sim, porm nem sempre No

103

H identicao dos riscos no acesso de prestadores de servio?

Sim Sim, porm desatualizada No

H controle de acesso especco para os prestadores de servio?

Sim Sim, porm desatualizada No

H requisitos de segurana dos contratos de terceirizao?

Sim Sim, porm desatualizados No

Gesto de ativos
Sim

H um inventrio dos ativos fsicos, tecnolgicos e humanos?

Sim, porm desatualizada No

Os ativos esto associados proprietrios?

Sim Sim, porm nem todos No

H regras que delimitam o uso aceitvel dos ativos?

Sim Sim, porm desatualizadas No

H critrios de classicao da informao?

Sim Sim, porm desatualizada No

104

H papis e responsabilidades de segurana da informao denidos e documentados que devem ser cumpridos por funcionrios, fornecedores e terceiros?

Segurana em recursos humanos

Sim Sim, porm desatualizados No

H critrios de seleo e poltica de pessoal?

Sim Sim, porm desatualizados No

H um acordo de condencialidade, termos e condies de trabalho?

Sim Sim, porm desatualizados No

H treinamento apropriado em conscientizao, e atualizaes regulares nas polticas e procedimentos organizacionais para os usurios?

Sim Sim, porm desatualizados No

H estrutura para noticar e responder aos incidentes e falhas de segurana?

Sim Sim, porm desatualizada No

H processos de encerramento de atividades, devoluo de ativos e retirada de direitos de acesso?

Sim Sim, porm desatualizados No

Segurana fsica e do ambiente

H uma denio de permetros e controles de acesso fsico aos ambientes? 105

 Sim Sim, porm desatualizada No

H proteo contra ameaas externas e do meio ambiente?

Sim Sim, porm desatualizada No

H recursos para segurana e manuteno dos equipamentos?

Sim Sim, porm desatualizada No

H estrutura para fornecimento adequado de energia?

Sim Sim, porm desatualizada No

H segurana no cabeamento?

Sim Sim, porm desatualizada No

H um processo para retirada de equipamentos, informaes ou software do local?

Sim Sim, porm desatualizado No

Gerenciamento das operaes e comunicaes

H procedimentos e responsabilidades operacionais?

Sim Sim, porm desatualizados No

H controle de mudanas operacionais? 106

 Sim Sim, porm desatualizada No

H segregao de funes e ambientes?

Sim Sim, porm desatualizada No

H separao dos recursos de desenvolvimento, de teste e de produo?

Sim Sim, porm desatualizada No

H um processo de controle da entrega de servios terceirizados?

Sim Sim, porm desatualizado No

H um processo de monitoramento, anlise crtica e auditoria dos servios terceirizados?

Sim Sim, porm desatualizado No

H um processo de gerenciamento de mudanas para servios terceirizados?

Sim Sim, porm desatualizado No

H planejamento e aceitao de sistemas?

Sim Sim, porm desatualizados No

H controles contra cdigos maliciosos e contra cdigos mveis no autorizados? 107

 Sim Sim, porm desatualizados No

H procedimentos para cpias de segurana?

Sim Sim, porm desatualizados No

H controles e gerenciamento de rede?

Sim Sim, porm desatualizados No

H mecanismos de segurana e tratamento de mdias?

Sim Sim, porm desatualizados No

H procedimentos para documentao de sistemas e segurana desta documentao?

Sim Sim, porm desatualizados No

H polticas, procedimentos e controles para proteger a troca de informaes em todos os tipos de recursos de comunicao (inclusive correio eletrnico e sistemas de informaes do negcio)?

Sim Sim, porm desatualizados No

H controles para proteger as transaes on-line de transmisses incompletas, erros de roteamento, duplicao ou reapresentao de mensagem no autorizada etc?

Sim Sim, porm desatualizados

108

 No
H controles para proteger a integridade das informaes disponibilizada em sistemas publicamente acessveis?

Sim Sim, porm desatualizados No

Os registros (log ) para auditoria que contm atividades de usurios, excees e outros eventos de segurana da informao so produzidos e mantidos em segurana por um determinado perodo de tempo acordado?

Sim Sim, porm somente de alguns sistemas No

H processos de monitoramento e anlise crtica da utilizao dos recursos de processamento da informao?

Sim Sim, porm desatualizados No

Os relgios dos sistemas de processamento de informaes relevantes, dentro da organizao ou do domnio de segurana, esto sincronizados de acordo com a hora ocial?

Sim Sim, porm nem todos No

Controle de acesso
Sim

A poltica de controle de acesso baseada em requisitos do negcio?

Sim, porm os requisitos esto desatualizados No

H gerenciamento de acessos dos usurios?

Sim Sim, porm desatualizado

109

 No
Os usurios so orientados a seguir boas prticas de segurana da informao na seleo e uso de senhas?

Sim Sim, porm as boas prticas esto desatualizadas No

H polticas de mesa limpa e tela limpa?

Sim Sim, porm desatualizadas No

H controle de acesso rede?

Sim Sim, porm desatualizado No

H controle de acesso ao sistema operacional?

Sim Sim, porm desatualizado No

H controle de acesso s aplicaes?

Sim Sim, porm desatualizados No

H ambientes computacionais dedicados para sistemas sensveis?

Sim Sim, porm esto obsoletos No

H critrios para computao mvel e trabalho remoto?

Sim
110

 Sim, porm desatualizados No

Aquisio, desenvolvimento e manuteno de sistemas de informao

H requisitos de segurana de sistemas?

Sim Sim, porm desatualizados No

H controles que previnam a ocorrncia de erros, perdas, modicao no autorizada ou mau uso de informaes em aplicaes?

Sim Sim, porm desatualizados No

H controles de criptograa?

Sim Sim, porm desatualizados No

H controles de proteo que garantam a segurana dos arquivos de sistemas operacionais, de dados de teste e cdigo-fonte?

Sim Sim, porm desatualizados No

H mecanismos de segurana nos processos de desenvolvimento e suporte?

Sim Sim, porm desatualizados No

H gerenciamento de vulnerabilidades tcnicas?

Sim Sim, porm desatualizado No

111

H um processo de comunicao que notica sobre fragilidades e eventos de segurana da informao associados aos sistemas de informao?

Gesto de incidentes de segurana da informao

Sim Sim, porm desatualizado No

H um processo de gesto de incidentes de segurana da informao e melhorias?

Sim Sim, porm desatualizado No

H um processo de gesto da continuidade do negcio que considera segurana da informao?

Gesto da continuidade do negcio

Sim Sim, porm desatualizado No

Conformidade
Sim

H uma gesto de conformidades tcnicas e legais?

Sim, porm desatualizada No

H recursos e critrios para auditoria de sistemas?

Sim Sim, porm desatualizados No

112