FGP FACULDADE GENNARI & PEARTREE

Sistemas de Informao






GESTO DA SEGURANA DA INFORMAO








Alex de Oliveira Barros Maior
Fbio Antonio dos Santos
Sabrina Cristiane Dal Lacqua















PEDERNEIRAS SP
2006
www .ProjetodeRedes .com.br
Outros trabalhos em:
FGP FACULDADE GENNARI &
PEARTREE
Sistemas de Informao






GESTO DA SEGURANA DA INFORMAO





Alex de Oliveira Barros Maior
Fbio Antonio dos Santos
Sabrina Cristiane Dal Lacqua





Trabalho apresentado como requisito obrigatrio
concluso do Curso de Bacharelado de Sistema
de Informao da Faculdade Gennari & Peartree.

Orientador: Csar SantAnna Junior








PEDERNEIRAS SP
2006


































Dedicamos este trabalho a nossos pais, pelo admirvel apoio e
incentivo.


Agradecimentos































Deus, aos nossos familiares, ao nosso orientador Cezar
SantAnna Junior, a todos os professores, a empresa SAF aos
nossos amigos e a todos que de alguma forma contriburam
para o desenvolvimento deste trabalho.























Sabedoria a capacidade de prever as conseqncias a
longo prazo das aes atuais, a disposio de sacrificar
ganhos a curto prazo em favor de benefcios futuros e a
habilidade de controlar o que controlvel e de no se
afligir com o que no . A essncia da sabedoria,
portanto, a preocupao com o futuro.

ACKOFF, Planejamento Empresarial


RESUMO


A partir de definies de termos baseados na norma NBR ISO/IEC 17799:2001, e um estudo de
caso em uma empresa, este trabalho busca favorecer o entendimento da Segurana da
Informao, e tambm a conscientizao da seriedade que se deve dar a ela principalmente nos
dias atuais.

O trabalho mostrar que ao mesmo tempo em que no universo das informaes os dados circulam
na empresa com grande facilidade e muita rapidez, importante no fechar os olhos para o
perigo, ou seja, ele existe e no h como fugir das ameaas e dos riscos que a informao est
sujeita constantemente.

Portanto, ser fundamentada inclusive com dados estatsticos a importncia de se adotar uma
Poltica de Segurana da Informao nas empresas.

Palavras-chave: Segurana da Informao, Poltica da Segurana da Informao e NBR
ISO/IEC 17799:2001.


ABSTRACT


From the definition of words based on the rule NBR ISO/IEC 17799:2001, and a company
case study, this report searches to help the Information Security understanding, and also to
get the conscience of the importance one should give to it specially in these days.

The report will show us that at the at same time, in the information universe, data go into
companies in such an easy and fast way that is very important one not close its eyes to the
danger, that means, the danger exists and one can not run away from the threat and the risks
that the information is constantly under.

Therefore, the importance of having an Information Security Policy in the companies is
founded including with statistic data.

Key-Word: Information Security, Information Security Policy and NBR/ISO/IEC
17799:2001
LISTA DE ILUSTRAES



Figura 1 - Principais ameaas Segurana da Informao......................................................34
Figura 2 - Total de Spams citados pelo CERT.br por ano........................................................35
Figura 3 - Incidentes por dia da semana...................................................................................36
Figura 4 - Ataques ocorridos no perodo de janeiro a junho de 2006......................................37
Figura 5 - Incidentes no mundo................................................................................................38


Sumrio

1 INTRODUO 09

2 O QUE SEGURANA DA INFORMAO? 11
2.1 Informao: ativo de alta valorizao 11
2.2 Segurana: ao de prioridade 13
2.3 Segurana da informao: cultivada dia-a-dia 14
2.4 Procedimentos de segurana 16
2.5 Principais aspectos para o sucesso da implantao da Segurana
da Informao o cuidado de todos 18
2.6 Crescimento de Segurana da Informao nas empresas 19
2.7 Por que investir em segurana? Quais os benefcios? 21

3 COMPONENTES DA SEGURANA DAS INFORMAES 24
3.1 O que ativo? 24
3.1.1 Classificao de ativos 25
3.2 Ameaas 27
3.2.1 Vrus 28
3.2.2 SPAM 29
3.2..3 Trojan ou Cavalos de Tria 30
3.2..4 Funcionrios insatisfeitos 31
3.2.5 Furto e quebra de senhas 32
3.2.6 Vazamento de informao 32
3.2.7 Hacker 32
3.2.8 Falha de Segurana Interna 33
3.2.9 Estatsticas de ameaas 33
3.3 Vulnerabilidades 39
3.3.1 Classificao das Vulnerabilidade 40
3.3.1.1 Vulnerabilidades fsicas 40
3.3.1.2 Vulnerabilidades de hardware 40
3.3.1.3 Vulnerabilidades de software 41
3.3.1.4 Vulnerabilidades dos meios de armazenamento 42
3.3.1.5 Vulnerabilidades de comunicao 42
3.3.1.6 Vulnerabilidades humanas 43
3.4 Anlise de Riscos 43
3.4.1 Anlise tcnica de segurana 44

4. PADRONIZAO DE SEGURANA 48
4.1 Consideraes iniciais 48
4.2 Termos e Definies 48
4.3 Principais controles da Norma (NBR ISO/IEC 17799) 50
4.3.1 Poltica de Segurana da Informao 50
4.3.1.1 Documento da poltica de segurana da informao 50
4.3.2 Segurana Organizacional 51
4.3.2.1 Infra-estrutura da segurana da informao 51
4.3.2.2 Atribuio das responsabilidades em segurana da
informao 51
4.3.2.3 Cooperao entre organizaes 52
4.3.2.4 Segurana no acesso de prestadores de servios 52
4.3.2.4.1 Tipos de acesso 52
4.3.2.4.2 Contratados para servios internos 53
4.3.3 Classificao e Controle dos Ativos da Informao 53
4.3.3.1 Contabilizao dos ativos 54
4.3.3.2 Inventrio dos ativos 54
4.3.4 Segurana em Pessoas 55
4.3.4.1 Segurana na definio e nos recursos de trabalho 55
4.3.4.2 Incluindo segurana nas responsabilidades do trabalho 55
4.3.4.3 Seleo e poltica de pessoal 56
4.3.4.4 Termos de Trabalho 57
4.3.4.5 Treinamento dos Usurios 57
4.3.4.6 Notificando o mau funcionamento de software 57
4.3.5 Segurana Fsica e do Ambiente 57
4.3.5.1 reas de Segurana 58
4.3.5.2 Permetro de Segurana 58
4.3.5.3 Segurana em salas e instalaes de processamento 59
4.3.5.4 Segurana dos equipamentos 59
4.3.5.5 Instalao e proteo de equipamentos 59
4.3.6 Gerenciamento das Operaes e Comunicaes 60
4.3.6.1 Procedimentos e responsabilidades operacionais 60
4.3.6.1.1 Documentao dos procedimentos de operao 61
4.3.6.2 Procedimentos para o gerenciamento de incidentes 61
4.3.6.3 Controles de redes 61
4.3.6.4 Descarte de mdias 62
4.3.6.5 Troca de informaes e software 62
4.3.6.5.1 Segurana do comrcio eletrnico 63
4.3.7 Controle de Acesso 63
4.3.8 Desenvolvimento e manuteno de Sistemas 64
4.3.9 Gesto da Continuidade do Negcio 64
4.3.10 Conformidade 65

5 POLTICA DE SEGURANCA DA INFORMAO 66
5.1 Definio e Princpios da Poltica de Segurana da informao 67
5.2 Fundamentao operacional da Poltica 70
5.2.1 Utilizao dos recursos de TI 71
5.2.2 Disponibilidade dos recursos de tecnologia da informao 71
5.2.3 Titularidade das informaes 71
5.2.4 Segurana das informaes 72
5.2.5 Autorizao para uso dos recursos de tecnologia da informao 73
5.2.6 Estaes de trabalho e servidores 73
5.2.7 Proteo contra softwares maliciosos ou no autorizados 74
5.2.8 Procedimentos para acesso Internet 74
5.2.9 Procedimentos para uso de correio eletrnico 77
5.2.10 Gerenciamento, controle da rede, monitorao do uso
e acesso aos sistemas 78
5.2.11 Identificao e autenticao do usurio 79
5.2.12 Senhas 80
5.2.13 Cpias de segurana e Recuperao das Informaes 81
5.2.14 Controle de acesso fsico s reas sensveis 82
5.2.15 Segurana e tratamento de mdias 83
5.3 Principais benefcios alcanados 83

6 ESTUDO DE CASO 85
6.1 Apresentao da empresa e metodologia 85
6.2 Panorama atual da empresa e Solues Propostas 87
6.2.1 Poltica de Segurana da Informao 87
6.2.2 Titularidade das Informaes 88
6.2.3 Segurana das Informaes 89
6.2.4 Classificao das Informaes 90
6.2.5 Sigilo das Informaes 91
6.2.6 Autorizao para acesso a recursos tecnolgicos 92
6.2.7 Proteo contra vrus e softwares maliciosos 92
6.2.8 Procedimentos para acesso a Internet 93
6.2.9 Procedimentos para Correio Eletrnico 94
6.2.10 Gerenciamento, controle da rede, monitorao do uso
e acesso aos Sistemas 95
6.2.11 Senhas e processo de logon 95
6.2.12 Backup e Plano de contingncia 96
6.2.13 Controle de acesso fsico as reas restritas 97
6.2.14 Combate e preveno de incndios 98
6.2.15 Triagem de pessoal 99
6.2.16 Segurana e tratamento de mdias 100
6.2.17 Palavra dos diretores 100
6.2.18 Consideraes sobre o estudo de caso 101

7. CONCLUSO 108

Referncias 110
Glossrio 112
Apndice A Questes direcionadas administrao da empresa 121
Apndice B Questes direcionadas diretoria da empresa 126
Apndice C Questes direcionadas ao departamento industrial da empresa 127
Apndice D Questes direcionadas ao departamento de pesquisa e
desenvolvimento da empresa 132
Apndice E Questes direcionadas ao departamento de qualidade da empresa 137
Apndice F Questes direcionadas ao departamento de tecnologia da
informao da empresa 143
Anexo - Modelo de termo de responsabilidade e Confidencialidade 151


9
1 INTRODUO

O surgimento do computador fez com que a humanidade se sentisse diante de um
novo desafio, ou seja, a habilidade para manuse-lo. Hoje em dia ele se faz necessrio nos
lares, nas escolas, nas empresas e nos ambientes de lazer e a sua tecnologia nos serve de
forma to automtica que muitas vezes passa despercebida.
Com a introduo da informtica principalmente nas empresas, o trabalho foi
agilizado e logo, os volumes de papis, documentos circulados e arquivados foram
consideravelmente reduzidos. A informao nos serve de forma automtica, est embutida em
todos os lugares e a cada dia que passa ela se torna cada vez mais acessvel, por isso que se
deve zelar por sua segurana.
Porm com todas essas inovaes o principal combate das empresas a garantia da
segurana, ou seja, com tais mudanas fica cada vez mais difcil, tanto manter o sigilo das
informaes interna e externamente s empresas (o que se pode fazer para trancar um
computador?), quanto preservar os dados para que no sejam perdidos (o que seria de um
banco de dados se perdesse todos os dados de seus clientes?).
Afinal o que as empresas devem fazer para proteger suas informaes? Que informaes so
essas? O que significa segurana da informao?
Na dcada de 60, surgiram os sistemas de computadores, com o propsito de
substituir os sistemas manuais. A partir desse perodo a tecnologia, sobretudo na rea de
informtica se torna cada dia mais influente no mundo dos negcios. Com o advento destes
sistemas criados para ajudar as empresas a crescerem, prosperarem, capazes de trocar
informaes, controlar processos totalmente aliados a pesadas tecnologias e Internet as
empresas necessitam de um cuidado cada vez maior com relao segurana de informaes.

10
Todas as respostas para essas questes podem ser encontradas ao longo dos seis
captulos em que est organizado este trabalho, os quais exploram questes e termos
relacionados a Segurana da Informao. Ao mesmo tempo, um estudo de caso apresentando
as principais falhas de segurana da informao na empresa analisada e em seguida a
indicao de algumas solues para os problemas descobertos.
O presente trabalho est organizado da seguinte forma. O captulo um faz uma breve
instruo do que ser apresentado ao longo dos sete captulos. O captulo dois explana de
forma clara o que significa a segurana da informao, enfocando na sua importncia e nos
seus benefcios de aplicao dentro das empresas. O captulo trs visa o esclarecimento de
determinados componentes da Segurana da Informao, por exemplo, ativos, ameaas,
vulnerabilidades e riscos. O captulo quatro um resumo da Norma NBR ISO/IEC
17799/2001, explicando todos os termos e componentes da mesma. No captulo cinco
definido o que uma Poltica de Segurana da Informao, evidenciando o seu papel
fundamental dentro das empresas e o comprometimento de todos os envolvidos. No captulo
seis desenvolvido um estudo de caso, o qual demonstrar a empresa questionada, a
metodologia utilizada e as observaes seguidas das solues propostas pelo grupo com
relao segurana dentro da empresa. Por fim, o captulo sete que contm a concluso final
do trabalho com o que foi absorvido e concludo pelo grupo.







11
2 O QUE SEGURANA DA INFORMAO?

2.1 Informao: ativo de alta valorizao

Laudon e Laudon (1999, p. 10, grifo nosso), tratando de informao menciona que:
[...] vem da palavra Latina informare, que significa dar forma. A
maioria dos filsofos acredita que a mente humana que d forma aos
dados para criar uma informao e um conhecimento significativos.
Plato e outros filsofos gregos tiraram esse conceito de um mundo de
significado, inteno e conhecimento criado pelos seres humanos. Essas
idias esto no cerne da cultura ocidental.
A informao pode se manifestar de vrias maneiras, isto , de forma escrita,
eletrnica ou impressa. Ela representa um conjunto de dados dos quais so modificados e
tomam forma til e significativa (LAUDON E LAUDON, 1999). E por isso, seja qual a forma
de manifestao, a informao necessita estar sempre protegida.
De acordo com Smola (2003, p. 45), a informao pode ser definida como:
Conjunto de dados utilizados para a transferncia de uma
mensagem entre indivduos e/ou mquinas em processos comunicativos (isto
, baseados em troca de mensagens) ou transacionais (isto , processos em
que sejam realizadas as operaes que envolvam, por exemplo, a
transferncia de valores monetrios).
Na sociedade do conhecimento, na qual vive-se, na qual as empresas esto sujeitas a
vrias mudanas a cada momento e precisa sempre estar se reciclando com relao s
novidades do mundo dos negcios, a expresso informao, que tambm pode ser definida
como um ativo, tem um significado extremamente importante para a sua sobrevivncia. Ela
representa a porta para o crescimento e o sucesso.
12
Marcos Smola em sua obra Gesto da Segurana da Informao(2003, p.6),
registrou que O sangue da empresa a informao. O autor faz uma analogia com a
empresa e o corpo humano, da mesma maneira que os seres humanos dependem do sangue
para a sobrevivncia o mesmo acontece com a informao nas empresas. Assim como o
sangue circulado dos ps a cabea, a informao transportada incessantemente em todos os
ambientes, distribuda por todos os processos de negcio e responsvel por manter a
operao da empresa. Alm disso, ela representa a inteligncia competitiva dos negcios e
influenciada por fatores humanos, tecnolgicos e fsicos e por isso vive sob constante risco.
A informao segundo Ferreira e Arajo (2006) pode ser classificada segundo grau
de importncia em trs grupos:
Informaes Pblicas: sua divulgao livre. No exige controle. Por exemplo:
folhetos comerciais para o pblico em geral, ou dados divulgados pela imprensa e Internet.
Informaes de Uso Interno: no devem ser expostas fora da empresa. Devem ser
armazenadas em locais que no permitam o acesso pblico. Por exemplo: relatrios,
pareceres, documentos e processos de negcio que interessam apenas aos funcionrios da
empresa.
Informaes Confidenciais: exigem um cuidadoso esforo de proteo, uma vez que
sua divulgao pode vir a causar prejuzos na empresa. Devem ser armazenadas em locais de
mxima proteo, trancado e com acesso restrito. Quando elas estiverem contidas em meios
eletrnicos, imprescindvel que sejam utilizados meios seguros para seu armazenamento, de
preferncia equipados com programas criptogrficos e senhas de acesso. Por exemplo:
contratos, senhas, balanos, dados cadastrais de clientes e funcionrios e informaes que
devem ser protegidas por obrigatoriedade legal.
Independentemente da forma de como as informaes so representadas, elas
percorrem um ciclo de vida que pode ser definido por quatro fases. Essas fases segundo
13
(Smola, 2003) so: manuseio, armazenamento, transporte e descarte, que so descritas a
seguir:
Manuseio: a fase na qual a informao originada e manejada, seja na digitao,
folheamento de papis, ou at mesmo na utilizao de uma senha, por exemplo.
Armazenamento: a continuidade da fase anterior, ou seja, depois de manipulada a
informao deve seguir um caminho, por exemplo: gravao em uma mdia, preservao em
um arquivo de ferro ou depsito em gaveta para eventos futuros.
Transporte: seguido do armazenamento esta fase representa o instante em que a
informao encaminhada, seja via e-mail, fax, ou mesmo uma informao confidencial que
deve ser remetida pelo telefone.
Descarte: este o momento do destino que a informao ir tomar, seja para a
lixeira (material impresso), ou ento um arquivo que vai ser excludo do computador, alm de
outros.
A seguir sero apresentados os conceitos sobre segurana.

2.2 Segurana: ao de prioridade

No sentido geral uma das definies encontradas no dicionrio Aurlio, para o termo
segurana [...] um estado e qualidade ou condio de seguro, assim tambm como
convico e certeza. Dessa forma, a segurana de tempos em tempos passa a representar algo
de fundamental preciso para tentar garantir que o negcio no esteja vulnervel, porm
sempre disponvel, ou ainda mais do que isso, a segurana uma obrigao. As solues, as
decises e as sadas que hoje so seguras amanh podero no estar mais.
14
O termo segurana na viso da rea de informtica refere-se a todas as polticas,
procedimentos e ferramentas tcnicas utilizadas para defender sistemas de informao contra
acessos e modificaes no autorizados, alteraes, destruies, roubo e danos fsicos.
A segurana deve ser o primeiro passo a ser dado em uma empresa, e exatamente
por isso que o universo da tecnologia est sempre na busca por essa garantia. Essa busca deve
ser diria, como pode ser visto a seguir.

2.3 Segurana da informao: cultivada dia-a-dia

Inicialmente deve-se ter conhecimento de que o enunciado segurana da
informao pode exprimir dois sentidos, isto , a segurana representada como um meio
(instrumento) ou como um fim (concluso). No primeiro ela prope a garantia da proteo da
informao, visando conformidades com as normas e dando continuidades aos processos de
negcios na empresa. E no segundo representa quando a segurana atingida por meio de
prticas, polticas e processos que manipulam a informao.
Com a facilidade e a rapidez em que os dados circulam numa organizao as
informaes podem ser usadas de forma nociva e se propagarem perigosamente. Portanto o
perigo existe e no h como ignorar a necessidade de uma medida de segurana. Hoje em dia
preciso ter muita cautela.
Segurana da informao sempre um assunto delicado dentro das corporaes,
tratado com reservas e at certo enigma. Muitas pessoas associam Segurana da Informao a
uma mera aplicao de recursos tecnolgicos, mas na verdade um conjunto de
procedimentos e controles no qual Tecnologia da Informao
1
certamente tem seu papel
importante, todavia no tudo.
Tecnologia da Informao
1
: engloba termos mais conhecidos no jargo brasileiro como informtica, sistemas, telecomunicaes, cincia da
computao, processamento de dados, engenharia de sistemas e software.
15
De acordo com Ferreira e Arajo (2006) a funo bsica da Segurana da Informao
proteger o ativo de informao, minimizando os riscos a nveis aceitveis.
A segurana da informao uma necessidade das empresas para travar uma batalha
pelos riscos que a informao fica exposta. Riscos esses que so em tempo real e um pequeno
descuido podem gerar transtornos com graves conseqncias para a empresa e para os
negcios, pois a todo minuto se criam novas formas de ataque, invaso, vrus, entre
outros.Dessa forma, quando se fala em Segurana de Informao todo o esforo para proteger
os dados, estabelecer processos de controle e prevenir riscos sempre pouco.
Segurana de Informao relaciona-se com mltiplos e desiguais aspectos relativos a
confidencialidade, integridade e disponibilidade da informao. Esses trs termos
caracterizam a preservao da mesma e de acordo com (Smola, 2003) podem ser definidos
da seguinte maneira:
1. Confidencialidade: Toda informao deve estar segura de que ser acessada
somente pelas pessoas a quem ela se destina.
2. Integridade: Toda informao deve estar protegida e isenta de erros, ou seja, na
exatido em que a mesma foi disponibilizada. Visando tambm a proteo contra eventuais
alteraes acidentais ou intencionais.
3. Disponibilidade: Toda informao dever estar disponvel aos seus usurios
autorizados quando eles solicitarem e com a freqncia que necessitarem.
importante ressaltar que a segurana aplicada nas informaes no est restrita a
sistemas computacionais, informaes eletrnicas ou qualquer outra forma mecnica de
armazenamento. Ela se aplica a todos os aspectos de proteo e armazenamento de
informaes e dados, em qualquer forma, sejam elas em papel, em algum tipo de mdia ou
arquivo.
16
Alguns termos, que so aplicados segurana da informao, segundo (Smola,
2003), so descritos a seguir:
1. Informao: ativo de altssimo valor nas corporaes e que requer grande proteo
de acordo com o seu coeficiente de valor.
2. Ativo: a informao em si, ou qualquer componente que compe os processos que
interferem direta ou indiretamente o fluxo da informao na empresa desde a sua origem at o
seu destino. Exemplos: equipamentos computacionais, sistemas, manuais, ferramentas de
desenvolvimento, mdias, servios gerais (iluminao, eletricidade,...), entre outros.
3. Ameaas: condies que podem causar incidentes por meio da descoberta de
vulnerabilidades.
4. Vulnerabilidades: so brechas que podem abrir caminho para uma ameaa
ocorrer.
5. Impactos: decorrncia de uma vulnerabilidade ter sido descoberta por uma
ameaa.
6. Riscos: so as probabilidades das ameaas descobrirem as vulnerabilidades e
conseqentemente causar impactos nos negcios.
A seguir so apresentados alguns procedimentos de segurana necessrios
organizao.

2.4 Procedimentos de segurana

Antes de qualquer atitude importante observar que os riscos encontram-se fora e
dentro do ambiente da empresa, ou seja, ao mesmo tempo em que imprescindvel tomar
precaues contra os ataques externos, no se pode deixar de levar em conta que os riscos
tambm ocupam espao dentro da organizao. Entretanto a necessidade da conscientizao
17
dos funcionrios quanto implantao de novas regulamentaes, tecnologias e prticas de
segurana outro fator importante.
Os usurios muitas vezes no tm a devida noo da importncia da informao,
deixando que elas vazem, por exemplo. O prejuzo causado quando informaes confidenciais
so utilizadas indevidamente algo que no pode ser medido, pois as implicaes acabam por
atingir a imagem da empresa.
Os impactos causados pelos riscos podem ser evitados por medidas de segurana,
porm indispensvel ter conscincia de que o risco nunca poder ser nulo, isto , por mais
que a organizao esteja em conformidade com relao a prticas de segurana, as chances de
a mesma sofrer algum ataque inteiramente possvel.
Diante disso, pode-se concluir que os riscos so individuais e sempre ser necessrio
avali-los para poder aplicar a devida poro de segurana.
Os mecanismos de segurana trabalham para evitar ou minimizar a possibilidade de
ocorrncia de eventuais riscos decorrentes de falhas ou deficincias nos processos internos,
pessoas e sistemas, e tambm de fatores externos que so capazes de gerar perdas ou afetar
negativamente a organizao.
Alguns exemplos dessas medidas so: anlise de riscos, cmeras de vdeo, palestras
de conscientizao e polticas de segurana.
Por fim, toda essa prudncia serve para prevenir, detectar ou ento corrigir a
informao e seus ativos sempre com o intuito de impedir que as ameaas explorem
vulnerabilidades e causem impactos nos negcios.
A seguir so apresentados os principais aspectos a serem considerados para o sucesso
da implantao da Segurana da Informao nas organizaes.

18
2.5 Principais aspectos para o sucesso da implantao da Segurana da
Informao o cuidado de todos

O processo de implantao da Segurana da Informao em uma empresa no
simples e envolve muitos aspectos. Para que esta ao seja satisfatria, depende fatalmente de
um alto grau de comprometimento de todos para que a empresa possa ser recompensada.
As pessoas envolvidas precisam estar cientes que cada informao obtm a sua
classificao e salvaguarda, e tambm, que cada uma delas tem o seu acesso permitido, isto ,
os indivduos que compe a organizao devem estar atentos em relao aos graus de
importncia das informaes. Tudo isso para garantir a impossibilidade de pessoas no
autorizadas obterem informaes indevidas durante o acesso, o armazenamento, o transporte e
o descarte das mesmas.
Nesse sentido, extremamente importante que todos os membros da empresa tenham
extremo cuidado e prestem a mxima ateno ao abordar informaes, porque podem conter
dados estratgicos ou confidenciais, e cair em mos erradas.
Para alcanar esta esperada conscientizao indispensvel que a alta administrao
da empresa eduque os usurios com a inteno de evitar o mau uso das informaes, seja por
meio de cursos, treinamentos ou participao em palestras, ou seja, informando as polticas de
segurana que sero adotadas, afinal o importante assegurar que as informaes contidas no
ambiente no sejam acessadas antes dos usurios passarem por esses treinamentos.
Mas o que so essas polticas de segurana? Essas polticas servem para criar uma
harmonia dentro da empresa, e sua adoo necessria. Poltica de segurana basicamente
um documento que descreve as atividades dos usurios, dando a noo de quais informaes
da empresa eles esto autorizados a manipular, alm de especificar a maneira, o lugar e o
momento em que eles podem utilizar tais informaes. Esse manual de essencial seriedade
19
na empresa e deve contar com o apoio da alta administrao para que as regras impostas
sejam desempenhadas com perfeio e ser abordado em mais detalhes no captulo 5.
Aps os treinamentos os usurios estaro aptos para agir de forma correta no
ambiente da empresa.
Embora sejam realizados investimentos em recursos humanos, indispensvel que os
usurios colaborem incessantemente com as regras adotadas, para que sejam capazes de
acompanhar o desenvolvimento da empresa, pois planos e estratgias bem estruturados s
conseguem ser implementados se tiverem um time de profissionais bem treinados, motivados,
satisfeitos e principalmente interessados em aprender. Dessa forma, a partir do momento que
a segurana da informao tornar-se parte da cultura da empresa, cada funcionrio deve
cumprir o seu devido papel dentro da organizao, de acordo com as conformidades que sero
estabelecidas e ajudar a empresa na sua busca pela constante melhoria.
A seguir so apresentadas algumas consideraes sobre o aumento da Segurana da
Informao nas organizaes.

2.6 Crescimento de Segurana da Informao nas empresas

Plano de negcios, anlise de mercado, metas a serem atingidas e estratgias a serem
adotadas, nada disso ir fluir se os mesmos no estiverem aliados a uma gesto de segurana
da informao apropriada. No existe negcio sem risco e preciso saber conviver com eles e
fazer com que a empresa saiba administr-los com competncia. Nenhuma organizao ter
sucesso se no defender a segurana de suas informaes, pois impulsiona o andamento da
empresa em todos os seus departamentos, e justamente por este fato que dia-a-dia se torna
mais imperativa as atenes para as questes relacionadas a segurana da informao.
20
O crescimento de uma organizao tambm depende da imagem que ela representa
no mercado, e uma boa imagem fundamental para conquistar e manter novos espaos no
mercado, e por esse e vrios outros motivos, como o aumento de produtividades dos
usurios, reduo dos custos provocados pelas ameaas e pela m utilizao dos recursos
tecnolgicos, entre outros, que a implantao de mtodos de segurana da informao ir
refletir potencialmente no ambiente externo.
Caso a empresa no tenha adotado polticas de seguranas, definindo o grau de
importncia da informao e delimitando o seu acesso, as informaes podem estar a qualquer
momento nas mos dos concorrentes, funcionrios internos no autorizados e hackers. Diante
disso, fcil perceber a importncia da aplicao da segurana da informao nas empresas,
ou seja, somente com o emprego desta ao a empresa estar protegida com relao aos
riscos, podendo identific-los, enfrent-los e evit-los, para que os mesmos no possam vir a
comprometer o alcance dos objetivos de negcio da organizao. Alm de causar prejuzos
financeiros e danos imagem da empresa, os riscos impedem que a meta do crescimento seja
atingida, por isso, as atitudes de preveno so fundamentais no combate aos impactos dos
negcios.
A segurana tambm esta relacionada produtividade, porque a partir do momento
que a empresa conseguiu identificar suas ameaas e seus pontos vulnerveis, e aplicou as
eficientes aes de proteo nas suas informaes, os usurios passam a trabalhar em um
ambiente altamente organizado e isso influenciar substancialmente na produo, obtendo
maior controle sobre os recursos disponveis.
Entretanto, alm de garantir a credibilidade e a imagem da organizao, importante
reconhecer que a gesto da segurana da informao faz parte de um processo ininterrupto e
constante dentro da organizao.
21
A seguir so apresentados os benefcios com os investimentos em segurana.
Infelizmente, muitos empreendedores ainda acreditam que os recursos utilizados na segurana
das informaes so gastos. Mas isso tende a mudar.

2.7 Por que investir em segurana? Quais os benefcios?

O mundo globalizado de hoje, complexo e competitivo, exige vrios cuidados, e o
principal deles a segurana e por isso que independente do tipo e do tamanho da
organizao, o investimento em segurana da informao obviamente necessrio.
O termo segurana est longe de ser uma palavra vaga e distante, ela no representa
somente uma necessidade e sim uma obrigao, ou seja, o ingrediente prioritrio que
impulsionar a empresa em busca do seu desenvolvimento.
Mas antes de comear a investir preciso que a empresa considere quais so seus
objetivos, iniciando-se com um diagnstico da atual situao financeira, realizando um
planejamento cuidadoso, pois no mercado atual as empresas esto com seus oramentos cada
vez mais curtos e cada gasto deve ser justificado. Alm disso, necessrio investir de acordo
com a criticidade das ameaas e das vulnerabilidades que podem causar impactos nos
negcios da empresa.
O processo de segurana um processo de realimentao, que envolve pessoas,
equipamentos, sistemas e entre outros processos, a grande importncia em investir ainda
uma questo que traz diversas dvidas. Proteger informaes no sinnimo de luxo e muito
menos de uma ao de baixa prioridade, e muitos executivos desconhecem as ameaas e as
vulnerabilidades que a empresa est sujeita constantemente. Eles ainda no sabem ao certo,
quanto, como e onde investir em segurana.
22
Nesse sentido, a questo refletir em quanto a empresa pode perder se no investir e
no em quanto ela vai lucrar, ou seja, o ROI (Retorn of Investiment) da segurana no tem
uma dimenso definida, a questo de investimento est intimamente ligada ao diferencial
competitivo que algo estvel, e uma vez que a empresa apresentar uma gesto de processo
de segurana bem estabelecida, certamente ela atrair novos clientes e originar mais lucros.
De acordo com um artigo publicado no site da TRUE ACCESS (2004), Cristiane
Pereira (consultora de segurana da informao da True Access Consulting), define alguns
benefcios da aplicao da segurana da informao nas empresas:

Diferencial competitivo:
A concorrncia um fato indiscutvel e irreversvel. Dessa forma, se a estratgia de
segurana aplicada for bem sucedida, a empresa poder produzir com qualidade e segurana,
alm disso, poder superar os seus concorrentes e sinalizar credibilidade ao mercado. Alm da
manuteno dos clientes atuais, com uma boa imagem na mdia a organizao poder
aproximar clientes potenciais.
Reduo de riscos
Entre todos os benefcios da aplicao da segurana nas empresas este o mais
evidente, ou seja, a partir do momento que a empresa comear a tomar certos cuidados com a
exposio e manipulao de informaes, ela certamente reduzir a ocorrncia dos riscos. Por
exemplo, vazamentos, roubo de informaes, uso indevido e qualquer outro problema
relacionado aos princpios bsicos da informao que so a confidencialidade, a
disponibilidade e a integridade.
Diminuio de incidentes de segurana da informao e comprometimento de
ativos
Com a implantao de procedimentos preventivos, os ativos no sero afetados e os
imprevistos de segurana sero minimizados.
23
Pessoal atento segurana
A necessria realizao do processo de segurana s poder ser bem praticada se
tiver por trs um time de profissionais bem treinados, motivados e satisfeitos,
conseqentemente, essa integrao do pessoal junto com a segurana resultar em bons
resultados.
Clientes e fornecedores com alto nvel de segurana
Manifestao de respeito e confiana para clientes e parceiros de negcio tambm
uma das vantagens desse investimento, pois, demonstrar seriedade e relevncia da empresa
com relao aos seus negcios.
Direcionamento das diversas reas da empresa para a execuo fiel da segurana
da informao em seus negcios
Com a segurana da informao, haver um maior controle nos processos nas
diversas reas da empresa e um fcil acesso aos dados. Isso possibilitar que a informao
chegue no seu real destino com eqidade e com a preservao de interesses confidenciais e
sigilosos.
Decises melhor embasadas
Quanto mais eficaz for a soluo de segurana na empresa, as tomadas de decises
sero mais bem embasadas, novas aplicaes de negcio sero viabilizadas mais rapidamente
existindo assim um alinhamento de suas aes s melhores prticas de mercado.
Uma coisa certa, segurana da informao uma gesto que est em ebulio e
quaisquer que sejam os inmeros benefcios que a organizao obter com a implantao da
segurana, o mais importante a sua melhoria a qual dever ser buscada continuamente, pois
somente com o constante aperfeioamento, a empresa conseguir o reconhecimento e o
sucesso aos olhos do mercado.
A seguir sero abordados os principais componentes da Segurana da Informao.
24
3 COMPONENTES DA SEGURANA DAS INFORMAES



Os componentes da segurana da informao so: os ativos, as ameaas, as
vulnerabilidades e os riscos, que sero descritos a seguir.

3.1 O que ativo?

Ativo tudo aquilo que de alguma maneira possui valor para a empresa e como tudo
o que tem valor precisa ser bem protegido. Ativos so os elementos que a segurana da
informao busca proteger devido a sua importncia para as corporaes.
O valor do ativo pode ser o prprio ativo fisicamente, por exemplo, um servidor
(hardware), como tambm pode ser que o mesmo no seja palpvel, mas o seu valor seja
imensamente maior do que diversos outros ativos que so fsicos dentro da empresa, podendo
citar em muitos casos os dados e informaes contidos nos bancos de dados das empresas.
Os ativos evoluram e deixaram de ser a terra e os bens de produo para serem bens
intangveis como marcas, processos, banco de dados e tecnologias. Por conta disso, ganha
importncia a proteo dos ativos intangveis, uma vez que na evoluo da antiga economia
industrial para a economia digital, o patrimnio fsico e tangvel como mquinas e terrenos
deixaram de ser o principal gerador de valor.
Atualmente, o principal elemento criador de riqueza o conhecimento e todos os
ativos por ele gerados direta ou indiretamente, sejam eles, propriedade intelectual, marcas,
domnios, tecnologias, softwares, licenas, contedos, e compostos.
A seguir apresentada uma classificao de ativos.


25
3.1.1 Classificao de ativos
Os ativos podem ser classificados por diversos aspectos. Segundo Smola (2003) os
ativos podem ser divididos e agrupados de vrias formas para facilitar o seu tratamento e um
modelo pode ser o seguinte:
Informaes
Nesta categoria encontram-se as informaes propriamente ditas, estejam elas
armazenadas ou representadas de qualquer forma, em meio fsico, eletrnico ou mesmo que
sejam conhecimentos que estejam armazenados no crebro de quem a possui.
Exemplos: documentos, relatrios, cdigos de programao, arquivos de
configurao, tabelas de custos de produtos, planilhas de remunerao de funcionrios e
muitos outros.
Recursos que fornecem suporte a ela (informao);
Esta categoria pode ser dividida em outras trs subcategorias para facilitar o estudo e
entendimento da mesma.
a) Software
Este grupo de ativos contm todos os programas de computador utilizados para a
automatizao de processos, incluindo acesso, leitura, transmisso e armazenamento das
informaes.
De acordo com a Lei n 9.609/98, de 19 de fevereiro de 1998, Captulo 1 e artigo 1,
Programa de Computador definido como:
" a expresso de um conjunto organizado de instrues em
linguagem natural ou codificada, contida em suporte fsico de qualquer
natureza, de emprego necessrio em mquinas automticas de tratamento da
informao, dispositivos, instrumentos ou equipamentos perifricos,
baseados em tcnica digital ou anloga, para faz-los funcionar de modo e
para fins determinados."
26
A segurana da informao busca avaliar a maneira pela qual as aplicaes so
concebidas, disponibilizadas e utilizadas pelos usurios e por outros sistemas para detectar e
corrigir problemas existentes em seu funcionamento ou na forma que se comunicam. Alguns
exemplos de softwares: Sistemas Operacionais, aplicativos, solues ERP (Enterprise
Resource Planning), CRM (Customer Relationship Management) e outros softwares
instalados nos computadores da empresa.
b) Hardware
Este grupo de ativo representa todos os elementos fsicos dos sistemas
computacionais que oferecem suporte ao processamento, armazenamento e transmisso das
informaes.
A segurana da informao busca avaliar quais tipos de ameaas podem afetar este
tipo de ativo, para que assim possa proteg-los. As principais ameaas para este tipo de ativo
so: falhas eltricas que danifiquem os equipamentos, inundaes em centros de computao,
roubo de computadores portteis, entre outros. Alguns exemplos de hardware so:
computadores pessoais (PCs), servidores, laptops, mdias de armazenamento, hubs e switchs.
c) Organizacional
Neste grupo esto inclusos todos os aspectos que compem a estrutura fsica e
organizacional da empresa.
A segurana da informao busca proteger a empresa de ameaas que os prprios
colaboradores oferecem a ela, como: acesso indevido a locais restritos ou utilizao dos
recursos da empresa para fins particulares. Alguns exemplos de organizacional so: estrutura
departamental, hierarquia, CPD (Central de Processamento de Dados), etc.
Pessoas que a utilizam (usurios)
Neste grupo refere-se aos usurios, ou seja, os indivduos que lidam com as
informaes no seu dia-a-dia de trabalho.
27
O enfoque da segurana das informaes nos usurios est voltado para a formao
de conscincia sobre segurana, para que estes tomem decises e empreendam aes de
acordo com as necessidades de proteo. Isso vai desde a alta direo at os usurios finais da
informao, incluindo os grupos que mantm em funcionamento a estrutura tecnolgica,
como tcnicos, operadores e administradores. Dentro desta categoria podem ser enquadradas
praticamente todas as ameaas de origem humana, de roubo e invases.Alguns exemplos de
organizacional so: funcionrios, profissionais terceirizados e executivos.
A seguir so apresentadas possveis falhas na Segurana de Informao, ou seja, as
ameaas.

3.2 Ameaas

As ameaas so eventos capazes de explorar as falhas de segurana, que so
denominadas vulnerabilidades. Como conseqncias, provocam danos aos ativos da empresa
ou situaes no planejadas, afetando os seus negcios em ambos os casos por conta dos
prejuzos causados.
Os ativos esto constantemente sob ameaas que podem colocar em risco a
integridade, a confidencialidade e a disponibilidade das informaes. Essas ameaas sempre
existiro e esto relacionadas a causas que raramente as empresas controlam.
Dessa forma, entende-se que um dos objetivos da segurana da informao impedir que
as ameaas explorem as vulnerabilidades e afetem um dos princpios bsicos da segurana da
informao (integridade, disponibilidade, confidencialidade), provocando danos ao negcio
das empresas.
As ameaas so freqentes e podem ocorrer a qualquer momento. Essa relao de
freqncia-tempo se baseia no conceito de risco, o qual representa a probabilidade de que uma
28
ameaa se concretize por meio de uma vulnerabilidade, combinada com o impacto que a
ameaa ir causar, e pode ser classificada em trs grupos:
1. Ameaas naturais - condies da natureza que podero provocar danos nos
ativos. Por exemplo: fogo, inundao, terremotos, entre outros.
2. Intencionais - so ameaas deliberadas causadas por pessoas. Por exemplo:
fraudes, vandalismo, sabotagem, espionagem, invaso e furto de informaes,
entre outros.
3. Involuntrias - so ameaas resultantes de aes inconscientes de usurios,
muitas vezes originadas pela falta de conhecimento no uso dos ativos. Por
exemplo: erros e acidentes.
Algumas ameaas s informaes, como: vrus, spam, trojan ou cavalo de tria,
funcionrios insatisfeitos, furto e quebra de senhas, vazamento de informao, hacker, falha
de segurana interna, so descritas a seguir.

3.2.1 Vrus

Os vrus so pequenos segmentos de cdigos programados, normalmente com ms
intenes, que tm a caracterstica de se agregar ao cdigo de outros programas.
Assim que so executados, disparam o cdigo maliciosamente alterado a fim de causar
modificaes indevidas no processamento normal do sistema em que este se encontra,
causando danos leves a danos irreparveis.
De acordo com (Dias, 2000), os vrus podem ser classificados, da seguinte maneira:

Vrus de arquivos ou programas: infectam arquivos de programa. Esses arquivos
normalmente tm extenses como: .COM, .EXE, .OVL, .DLL, .DVR, .SYS, .BIN.
29
Vrus de setor de boot: infectam a rea do sistema de um disco, ou seja, o registro de
inicializao em disquetes e discos rgidos. Todos os disquetes e discos rgidos
(incluindo discos com dados apenas) contm um pequeno programa no registro de
inicializao que executado quando o computador iniciado. Os vrus de setor de
boot anexam-se a esta parte do disco e so ativados quando o usurio tenta iniciar a
parte do disco infectado. Exemplos de vrus de setor de boot so Form, Disk Killer,
Michelangelo e Stoned.
Vrus de macro: infectam os arquivos dos programas Microsoft Office Word, Excel,
PowerPoint e Access. Variaes mais recentes tambm esto aparecendo em outros
programas. Todos estes vrus usam a linguagem de programao interna do programa,
que foi criada para permitir que os usurios automatizem determinadas tarefas neste
programa. Devido facilidade com que estes vrus podem ser criados, existem
milhares deles espalhados.
Vrus Multipartite: infectam setores de boot, disquetes e arquivos executveis.
Exemplo: Dead.Boot.488, Pieck.4444.A, Delwin.1759.
Vrus Polimrficos: utilizam tcnicas de criptografia para construir a seqncia de
bytes de seu corpo. A cada cpia gerada, uma nova combinao utilizada para
criptografar essa seqncia. De forma que um nico vrus pode ter inmeras formas
diferentes, que so decodificadas por chaves contidas em uma pequena parte do vrus,
sempre que necessrio. Exemplo: Satan Bug, Spanska.4250, W95/HPS;
Worms: So programas maliciosos semelhantes aos vrus, porm se diferenciam na
forma de infeco. Os Worms somente fazem cpias deles prprios e as propagam.
Exemplo: LittleDavinia, LoveLetter, Navidad.

3.2.2 SPAM

30
Spam so mensagens eletrnicas no solicitadas enviadas em massa. Sua forma mais
popular consiste numa mensagem de correio eletrnico com fins publicitrio. Quando o
contedo exclusivamente comercial, este tipo de mensagem tambm referenciada como
UCE (do ingls Unsolicited Commercial E-mail).
Os usurios do servio de correio eletrnico podem ser afetados de diversas formas,
tais como:

Gasto desnecessrio de tempo: para cada spam recebido, o usurio necessita gastar um
determinado tempo para ler, identificar o e-mail como spam e remov-lo da caixa
postal.

Perda de produtividade: para quem utiliza o e-mail como uma ferramenta de trabalho,
o recebimento de spams aumenta o tempo dedicado tarefa de leitura de e-mails, alm
de existir a chance de mensagens importantes no serem lidas, serem lidas com atraso
ou apagadas por engano.

Prejuzos financeiros causados por fraude: o spam tem sido amplamente utilizado
como veculo para disseminar esquemas fraudulentos, que tentam induzir o usurio a
acessar pginas clonadas de instituies financeiras ou a instalar programas maliciosos
projetados para furtar dados pessoais e financeiros. Este tipo de spam conhecido
como phishing. O usurio pode sofrer grandes prejuzos financeiros, caso fornea as
informaes ou execute as instrues solicitadas neste tipo de mensagem fraudulenta.

3.2.3 Trojan ou Cavalos de Tria

Trojans ou Cavalos de Tria so programas executveis que transformam seu micro
em um terminal de Internet aberto. Estes programas eliminam as protees que impedem a
31
transferncia de informaes, ou seja, abrem uma porta de comunicao (backdoor) no
monitorada.
Um programa de cavalo de tria funciona como um servidor de rede (Server) e tem
um outro programa comparsa, que funciona como cliente (CLIENT). O server fica no seu
computador e o client fica no computador do cracker ( o termo usado para designar quem
quebra um sistema de segurana, de forma ilegal ou sem tica). Se ambos estiverem na
internet, o cracker pode estabelecer uma conexo direta (cliente-servidor), no monitorada e
imperceptvel com o Server (voc) por meio de uma backdoor. Uma backdoor (cuja traduo
literal porta de trs) apenas um canal de comunicao identificado por um nmero.
As formas mais comuns de receber trojans so por meio de e-mails (com executveis
ou arquivos camuflados) e por meio de outros programas, geralmente jogos.

3.2.4 Funcionrios insatisfeitos

Grande parte das invases realizadas nas empresas tem participao de funcionrios
ou ex-funcionrios.
A informtica e a tecnologia facilitam muito essas atividades, ou seja, um
funcionrio pode copiar o equivalente a uma sala de documentos em um pen drive e sair da
empresa com este acessrio no bolso. Um funcionrio insatisfeito com a empresa tambm
pode acrescentar uma cpia oculta, destinada ao concorrente, toda vez que enviar uma
proposta comercial para os clientes da organizao. E igualmente, um funcionrio descontente
pode acessar uma informao estratgica da empresa, ou at mesmo ou um conjunto delas e
apag-las, e com esse domnio poder divulgar o plano de negcio da empresa prejudicando a
mesma no mercado.
32
3.2.5 Furto e quebra de senhas

O arquivo de senha roubado de um servidor submetido quebra por uma
ferramenta de crack de senha. Assim so obtidas as senhas dos usurios que tiveram seu
servidor invadido.
Um cracker de senha qualquer programa que supera a segurana da senha
revelando senhas que foram criptografadas, porm, isto no significa que o cracker de senha
possa necessariamente desencriptar qualquer coisa. De fato a grande maioria dos crackers de
senha no consegue fazer isso. Em geral, no se pode desencriptar senhas com algoritmos
fortes, pois eles possuem chaves difceis de serem descobertas.

3.2.6 Vazamento de informao

O vazamento remoto de informaes obtido por meio da resposta a consulta de
Ping, Traceroute, Telnet, SNMP, etc. A coleta de informaes relativas verses de sistemas
operacionais e hosts do ao invasor informaes que o permitir planejar seu ataque rede.

3.2.7 Hacker

aquela pessoa que possui uma grande facilidade de anlise, assimilao,
compreenso e capacidades surpreendentes de conseguir fazer o que quiser (literalmente) com
um computador. Ela sabe perfeitamente que nenhum sistema completamente livre de falhas,
e sabe onde procurar por elas, utilizando tcnicas das mais variadas (alis, quanto mais
variado, mais valioso o conhecimento do hacker).
33
3.2.8 Falha de Segurana Interna

As ameaas internas podem ser consideradas como o risco segurana dos recursos
computacionais. Um bom programa de segurana fsica o passo inicial para a defesa da
corporao no sentido de proteger as suas informaes contra acessos indevidos. Este
programa deve iniciar no decurso da realizao de uma anlise de risco.
Os seguintes elementos devem ser checados durante esta anlise: portas das salas
trancadas, mesas e armrios trancados, estaes de trabalho protegido contra acessos
indevidos, disposio e proteo das mdias magnticas de armazenamento, cabeamento de
rede padronizado e seguro, informaes protegidas (em meio magntico e papel), documentos
sobre as mesas, descarte de informaes (se existem trituradoras de papis), reas de
circulao de visitantes a reas restritas.
Uma lista das principais ameaas de segurana fsica poderia conter os seguintes
itens: incndio (fogo e fumaa), gua, (vazamentos, corroso, enchentes), tempestades,
vandalismo, roubos, furtos, construes prximos a equipamentos de tecnologia, materiais
txicos, falhas em equipamentos, interrupo de energia, entre outros.
A seguir so apresentadas algumas estatsticas sobre as ameaas na segurana da
informao.

3.2.9 Estatsticas de ameaas

Foi realizado um estudo no ano 2003 pela Mdulo S.S.S.A, das principais ameaas
de segurana da informao no Brasil. A metodologia utilizada contou com a coleta de dados
em (2003), onde contou com respostas presenciais via on-line. No total, a pesquisa
34
quantitativa teve uma amostra de 682 questionrios, coletados entre maro e agosto de 2003,
junto a profissionais ligados s reas de Tecnologia e Segurana da Informao.
Os profissionais que participaram deste estudo esto distribudos em diversos
segmentos, como: Financeiro (21%), Governo (17%), Indstria e Comrcio (14%),
Tecnologia/Informtica (14%), Prestao de Servios (9%), Outros (8%), Telecomunicaes
(7%), Comrcio/Varejo (4%), Energia Eltrica (2%), Educao (2%) e Sade (2%),
correspondendo cerca de 50% das 1000 maiores empresas brasileiras.
Essas ameaas so apresentadas a seguir.
Principais ameaas Segurana da Informao
66%
53%
51%
49%
47%
41%
39%
37%
31%
29%
0%
10%
20%
30%
40%
50%
60%
70%
V

R
U
S
F
U
N
C
I
O
N

R
I
O
S
I
N
S
A
T
I
S
F
E
I
T
O
S
D
I
V
U
L
G
A

O
D
E

S
E
N
H
A
S
A
C
E
S
S
O
S
I
N
D
E
V
I
D
O
S
V
A
Z
A
M
E
N
T
O
D
E
I
N
F
O
R
M
A

E
S
F
R
A
U
D
E
S
,
E
R
R
O
S

E
A
C
I
D
E
N
T
E
S
H
A
C
K
E
R
S
F
A
L
H
A
S

N
A
S
E
G
U
R
A
N

A
F

S
I
C
A
U
S
O

D
E
N
O
T
E
B
O
O
K
S
F
R
A
U
D
E
S

E
M
E
M
A
I
L

Figura 1: Principais ameaas Segurana da Informao
Fonte: (Mdulo Security)
Dentre as principais ameaas que afetam as empresas, os vrus representam a maior
fatia de proporo.
A seguir so apresentados os valores acumulados de SPAM de 2003 a 2006 (agosto),
segundo CERT.br.
35

Figura 2: Total de Spams citados pelo CERT.br por ano
Fonte: (Cert.br Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurana no Brasil)

Nota-se que no perodo de 2003 at 2006 reduziu-se expressivamente o total de
spam.
A seguir so apresentados os incidentes por dia da semana.

36

Figura 3: Incidentes por dia da semana
Fonte: (Cert.br Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurana no Brasil)

Nota-se que o pico est na segunda-feira, ou seja, os incidentes tm uma tendncia
maior de incidncia no primeiro dia da semana.
A seguir so apresentados os incidentes reportados de Janeiro a Junho de 2006, que
comprova os tipos de ataques e a sua ocorrncia.

37

Figura 4: Ataques ocorridos no perodo de janeiro a junho de 2006
Fonte: (Cert.br Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurana no Brasil)

Observa-se que o ataque de que mais ocorreu neste semestre foi o causado por Worm
com 41,50% e os ataques por meio de Servidor web foi nula.
A seguir so apresentados os incidentes no mundo.

38

Figura 5: Incidentes no mundo
Fonte: (Cert.br Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurana no Brasil)

possvel observar os americanos ainda tem muita dificuldade de lidar com
incidentes, representando o primeiro no ranking de 10 pases. No entanto o Brasil ao mesmo
tempo tem uma grande parcela de volume vindo em segundo lugar no ranking.
Diante dessas estatsticas, nota-se que as empresas ainda falham muito na tarefa de
resguardarem os seus dados. Entre as principais ameaas, a ocorrncia de vrus, a insatisfao
dos funcionrios e a divulgao de senhas esto entre as mais freqentes, logo, os vrus,
representam a maior ameaa segurana da informao nas empresas.
Com relao aos incidentes, eles so freqentes, ou seja, podem ocorrer a qualquer
hora e dia da semana, e o Brasil, por exemplo, est em segundo lugar no ranking da pesquisa
com relao ocorrncia dos mesmos. No entanto, fica claro que com a importncia
estratgica que vem conquistando as tecnologias da informao, os prejuzos com as invases,
39
incidentes, fraudes, spams e vrus ainda esto provocando a cada ano impactos nos negcios
das empresas.
Portanto, as empresas hoje em dia devem ficar atentas principalmente aos perigos
que resultam da presena e do uso da internet, e reconhecer que a importncia da proteo dos
dados para o sucesso do negcio fundamental.
A seguir sero apresentadas algumas consideraes importantes sobre
vulnerabilidades.

3.3 Vulnerabilidades

As ameaas sempre existiro, por isso de se esperar que, medida que a tecnologia
progrida, tambm surjam novas formas por meio das quais elas possam se concretizar,
portanto, importante conhecer a estrutura geral de como se classificam as vulnerabilidades
que podem fazer com que essas ameaas causem impactos em nossos sistemas,
comprometendo os princpios da segurana da informao.
As vulnerabilidades podem estar expostas na parte fsica, hardware, software, meios
de armazenamento, comunicao e humanas.
As vulnerabilidades so situaes que, ao serem explorados por ameaas, afetam a
confidencialidade, a disponibilidade e a integridade das informaes de um indivduo ou
empresa.
Um dos primeiros passos para a implementao da segurana rastrear e eliminar as
vulnerabilidades de um ambiente de tecnologia da informao. Ao se identificarem as
vulnerabilidades, ser possvel dimensionar os riscos aos quais o ambiente est exposto e
definir as medidas de segurana mais apropriadas e urgentes para o ambiente.
40
As vulnerabilidades dependem da forma que se organizou o ambiente em que se
gerenciam as informaes. A existncia de vulnerabilidades est relacionada presena de
elementos que prejudicam o uso adequado da informao. Dessa forma, pode-se compreender
agora outro objetivo da segurana da informao: a correo de vulnerabilidades existentes no
ambiente em que se usam a informaes, com o objetivo de reduzir os riscos as quais elas
esto submetidas. Dessa forma, evita-se a concretizao das ameaas.
A seguir apresentada uma classificao de vulnerabilidades, de acordo com
(Smola, 2003).

3.3.1 Classificao das Vulnerabilidades

3.3.1.1 Vulnerabilidades fsicas

Os pontos fracos de ordem fsica so aqueles presentes nos ambientes em que esto
sendo armazenadas ou gerenciadas as informaes. Por exemplo: instalaes inadequadas do
espao de trabalho, ausncia de recursos para o combate a incndios, disposio
desorganizada dos cabos de energia e de rede, entre outros.

3.3.1.2 Vulnerabilidades de hardware

Os possveis defeitos de fabricao ou configurao dos equipamentos da empresa
que poderiam permitir que as informaes ou os prprios equipamentos fossem atacados.
A falta de configurao de equipamentos de contingncia poderia representar uma
vulnerabilidade para os sistemas da empresa, pois permite que uma ameaa de
indisponibilidade de servios crticos se concretizasse mais facilmente.
41
Existem muitos elementos que representam vulnerabilidades do hardware, tais
como: a ausncia de proteo contra acesso no autorizado, a conservao inadequada dos
equipamentos, etc.

3.3.1.3 Vulnerabilidades de software

As vulnerabilidades dos softwares se caracterizam normalmente por falhas de
programao e permitem, entre outras coisas, que ocorram acessos indevidos aos sistemas de
computador, inclusive sem o conhecimento de um usurio ou administrador de rede. A
configurao e a instalao indevida dos programas de computador, que podero levar ao uso
abusivo dos recursos por parte de usurios mal-intencionados um exemplo.
s vezes, a liberdade de uso implica aumento do risco. Por exemplo: programas de
e-mail que permitem a execuo de cdigos maliciosos, editores de texto que admitem a
execuo de vrus de macro, entre outros. Esses pontos fracos colocam em risco a segurana
dos ambientes tecnolgicos.
Os aplicativos so os elementos que fazem a leitura das informaes e permitem que
os usurios acessem determinados dados em diversas mdias e, por isso, se transformam no
objetivo favorito dos agentes causadores de ameaas. Por exemplo: os programas utilizados
para edio de texto e imagem ou para a automatizao de processos e os que admitem a
leitura de informaes, como os navegadores de pginas da Internet.
Os sistemas operacionais, como Microsoft Windows e Unix, que oferecem a interface
para o acesso ao hardware dos computadores, costumam ser alvo de ataques. Por meio destes
ataques possvel realizar ataques de alta gravidade, que normalmente comprometem todo o
sistema. Esses aplicativos so vulnerveis a vrias aes que afetam sua segurana. Por
42
exemplo: a configurao e a instalao inadequadas, a ausncia de atualizaes para bugs j
conhecidos, programao insegura, etc.

3.3.1.4 Vulnerabilidades dos meios de armazenamento

Os meios de armazenamento so os suportes ticos, magnticos, e outros, utilizados
para armazenar as informaes. E se forem afetados por vulnerabilidades podero sofrer
danos ou se tornarem indisponveis.
Entre os tipos de meios de armazenamento de informaes que esto expostos, pode-
se citar: CD-ROMs, fitas magnticas e discos rgidos. Estas mdias tambm podem possuir
vulnerabilidades que permitiriam a concretizao de ameaas.
Se os suportes (cd-rom, disquetes, fitas magnticas e discos rgidos) que armazenam
as informaes no forem utilizados de forma adequada, seu contedo poder estar vulnervel
a uma srie de fatores que podero afetar a integridade, a disponibilidade e a
confidencialidade das informaes. Alguns exemplos: falhas ocasionadas por mal
funcionamento, uso incorreto, local de armazenamento em locais inadequados, entre outros.

3.3.1.5 Vulnerabilidades de comunicao

Este tipo de vulnerabilidade abrange todo o trfego de informaes. Onde quer que
transitem as informaes, seja por cabo, satlite, fibra ptica ou ondas de rdio, deve haver
preocupaes com segurana. O sucesso no trfego dos dados um aspecto fundamental para
a implementao da segurana da informao. Assim, a segurana da informao tambm est
associada ao desempenho dos equipamentos envolvidos na comunicao, pois se preocupa
43
com a qualidade do ambiente que foi preparado para o trfego, tratamento, armazenamento e
leitura das informaes. Por exemplo, a ausncia de sistemas de criptografia nas
comunicaes poderia permitir que pessoas alheias organizao obtivessem informaes
privilegiadas, a m escolha dos sistemas de comunicao para envio de mensagens de alta
prioridade da empresa poderia fazer com que elas no alcanassem o destino esperado no
prazo adequado ou que a mensagem fosse interceptada no meio do caminho.

3.3.1.6 Vulnerabilidades humanas

Essa categoria de vulnerabilidade relaciona-se aos danos que as pessoas podem
causar s informaes e ao ambiente tecnolgico que lhes oferece suporte.
Os pontos fracos humanos podem ser intencionais ou no. Muitas vezes, os erros e
acidentes que ameaam a segurana da informao ocorrem dentro do ambiente empresarial.
A maior vulnerabilidade o desconhecimento das medidas de segurana adequadas que so
adotadas por cada elemento do sistema, principalmente os membros internos da empresa.
Alguns exemplos graves so: a ausncia de capacitao especfica em segurana para
a execuo das atividades inerentes s funes de cada um, falta de conscincia de segurana
para as atividades de rotina, erros ou omisses.
A seguir sero apresentadas algumas consideraes importantes sobre anlise de
riscos.

3.4 Anlise de Riscos

Anlise de risco uma medida que busca avaliar qual a real probabilidade de que
ameaas se concretizem utilizando as vulnerabilidades existentes, alm de identificar os
44
possveis impactos que possam ser causados. A anlise de riscos tem como resultado uma lista
de problemas que devem ser priorizados, uns dos principais objetivos diagnosticar a
situao da segurana da informao na organizao e recomendar aes para cada
vulnerabilidade mapeada.
Uma Anlise de Risco bem realizada poder garantir a confidencialidade, a
disponibilidade e a integridade das informaes nas empresas.
A tarefa da anlise de riscos identificar os processos comerciais da organizao em
que se deseja implementar ou analisar o nvel de segurana da informao. Na definio do
escopo do projeto de anlise de riscos, delimita-se o universo dos ativos sobre os quais
oferecero suas recomendaes, com base na relevncia do processo para a empresa no intuito
de alcanar os objetivos da organizao. De acordo com (Smola , 2003), fazem parte de uma
anlise de risco:
Processos de Negcio: identificar junto aos gestores e colaboradores os Processos de
Negcio existentes na Empresa.
Ativos: identificar os ativos que sero considerados na Anlise de Risco: Pessoas,
Infra-estrutura, Aplicaes, Tecnologia e informaes.
Vulnerabilidades: identificar as vulnerabilidades existentes nos ativos que possam
causar indisponibilidade dos servios ou serem utilizadas para roubo das suas informaes.
Ameaas: identificar os agentes que podem vir a ameaar a empresa.
Impacto: tendo identificado as vulnerabilidades e ameaas, identificamos o impacto
que estes podem causar na Empresa. Como roubo de informao, paralisao de servios,
perdas financeiras entre outros.
Ao definir o escopo, importante considerar que os processos podem ser uma
atuao da organizao frente ao mercado, uma funcionalidade interna e externa, uma
45
atividade exercida, ou um produto elaborado, precisando de toda a organizao para se tornar
viveis.
A seguir ser abordada a anlise tcnica de segurana, que realizada na anlise de
riscos.

3.4.1 Anlise tcnica de segurana

A anlise tcnica de segurana representa um dos pontos-chave na anlise de riscos
da empresa. Como j mencionado anteriormente, as informaes so, hoje em dia, um dos
principais ativos nas empresas, e, deste modo essa anlise indicar o nvel de segurana com o
qual se conta dentro da empresa atualmente.
Por meio desse check-up, que um dos passos mais importantes da anlise de riscos,
so feitas coletas de informaes sobre a forma em que os ativos foram configurados e como
so administrados por seus responsveis e tambm de como foram estruturados na rede de
comunicao.
No processo de anlise tcnica de segurana busca-se identificar vulnerabilidades de
segurana na utilizao e manipulao dos ativos da empresa e neste processo so
considerados diversos tipos de ativos. A seguir so apresentados os ativos tecnolgicos a
serem analisados quando se deseja monitorar as vulnerabilidades presentes atravs de erros de
configurao ou desconhecimento das possibilidades de ataque:
a) Estaes de trabalho

Dependem da forma como esto configuradas para evitar que os usurios (com
freqncia de forma inconsciente) permitam a ocorrncia das ameaas.
Entre os exemplos de vulnerabilidades comuns desse tipo de ativos esto:
46
Ausncia de protetor de telas bloqueado por senha, permitindo que as mquinas
deixadas sozinhas sejam utilizadas por pessoas no-autorizadas;
Ausncia de configuraes de segurana permitindo a instalao ou execuo de
arquivos maliciosos;
Periodicidade de atualizao dos programas antivrus, presena ou ausncia de
documentos confidenciais;
Forma de utilizao da estrutura de servidores de arquivos, que garantam de uma
maneira mais eficiente o backup dos dados, ou seja, sua disponibilidade.
b) Conexes
As conexes de comunicao entre as redes devem estar seguras: fibra ptica,
satlite, rdio, antenas, etc. Para isso, importante realizar atividades de anlise sobre a forma
com que as conexes esto configuradas e dispostas na representao topolgica da rede. Isso
garante que a comunicao seja realizada em um meio seguro, criptografada, se for
necessrio, livre de possibilidades de rastreamento de pacotes ou mensagens, e tambm
desvio de trfego para outros destinos indesejados.
c) Aplicativos
Os aplicativos so os elementos que fazem a leitura das informaes de um processo
de negcio ou de uma organizao. Dessa forma, constituem um elemento muito importante,
pois fazem a interface entre diversos usurios e diversos tipos de informao no que se refere
a confidencialidade, integridade e disponibilidade. Dessa forma, os aplicativos devem garantir
um acesso restritivo, com base nos privilgios de cada usurio e s informaes que eles
manipulam. Alm disso, devem garantir tambm que suas configuraes estejam de acordo
com os princpios de segurana estabelecidos (muitos dos quais so reconhecidos por
organismos internacionais) com relao disponibilidade das informaes, forma como o
47
aplicativo s l, guarda e transmite, at maneira como o aplicativo foi desenvolvido, como
suas fontes so atualizadas e armazenadas, entre outros.
A seguir sero apresentadas algumas consideraes sobre as normas e padronizaes
internacionais de segurana.





















48
4 PADRONIZAO DE SEGURANA

4.1 Consideraes Iniciais

Os esforos relacionados com a busca de melhores mecanismos para defender a
segurana culminaram com a homologao da "Norma Internacional de Segurana da
Informao" denominada ISO/IEC 17799:2000. Esta norma trata da segurana das
informaes e no somente dos dados que trafegam pela rede ou que residem dentro de um
sistema computacional.
A Norma de Segurana da Informao trouxe mais do que vrios controles de
segurana. Essa norma permitiu a criao de um mecanismo de certificao das organizaes,
semelhante s certificaes ISO j existentes, ou seja, esta nova certificao conduz a
organizao a manipular os seus dados e os dados dos clientes, de forma segura, independente
da forma que so armazenados.
A tendncia que a ISO/IEC 17799 se torne cada vez mais importante para as
empresas do mundo todo, pois alm de garantir que suas informaes internas esto sendo
gerenciadas de forma segura. Alm disso, a certificao proporciona uma grande vantagem
competitiva que consiste em comprovar aos clientes e parceiros de negcio que a empresa
trata segurana da informao de forma sria e possui controles adequados para proteger
informaes sob sua guarda.
Nesse captulo ser apresentado os termos, as definies e os objetivos dos principais
controles da Norma ISO/IEC 17799.

4.2 Termos e Definies
49
A NBR ISO/IEC 17799 considera que a segurana de um ambiente caracterizada
pela manuteno de trs fatores primordiais:
d) Confidencialidade: o princpio da confidencialidade respeitado quando apenas
as pessoas explicitamente autorizadas podem ter acesso informao.
e) Integridade: o princpio de integridade respeitado quando a informao
acessada est completa sem alteraes e, portanto, confivel.
f) Disponibilidade: o princpio de disponibilidade respeitando quando a
informao est acessvel, por pessoas autorizadas, sempre que necessrio.
Afirmar que um ambiente aderente Norma de Segurana da Informao significa
dizer que o mesmo utiliza os recursos adequados para garantir a Disponibilidade,
Confidencialidade e a Integridade de suas informaes.
No entanto, devem ser aplicados ao ambiente alguns ou todos os controles existentes
na norma de segurana. A lista dos controles que devem ser aplicados depende de
caractersticas do prprio ambiente, por exemplo, forma e local de armazenamento das
informaes, valor das informaes armazenadas, quem poder acess-las, quais servidores
esto instalados, quais tipos de servios so disponibilizados aos usurios da rede interna e da
rede externa, entre outros.
A Norma Nacional de Segurana de Informao (NBR ISO/IEC 17799) dividida em
10 macros controles e cada um destes controles subdividido em vrios outros controles. Ao
todo a NBR ISO/IEC 17799 possui um total de 137 controles de segurana dos quais visam
manter e gerir a segurana da informao nas empresas. Dessa forma, um estudo aprofundado
da mesma essencial nas organizaes.
A seguir sero descritos alguns dos principais controles da Norma (NBR ISO/IEC
17799).

50
4.3 Principais controles da Norma (NBR ISO/IEC 17799)

4.3.1 Poltica de Segurana da Informao

Poltica de Segurana da Informao um documento que descreve quais atividades
os usurios esto autorizados a realizar, como e quando podem ser realizadas. de vital
importncia que a alta administrao apie o uso da poltica e demonstre o seu
comprometimento com a aplicao de suas penalidades cabveis.
O objetivo da Poltica de Segurana da Informao prover direo uma orientao
e apoio para a segurana da informao.

4.3.1.1 Documento da poltica de segurana da informao

adequado que um documento da poltica seja aprovado pela direo e, alm disso,
publicado e comunicado para todos os funcionrios da empresa. E apropriado que este
expresse as preocupaes da direo com a gesto da segurana da informao, incluindo:
a) Declarao e comprometimento da alta direo, apoiando a anlise da segurana da
informao.
b) Referncias documentao que possam apoiar a poltica, por exemplo, polticas e
procedimentos de segurana ou regras de segurana que os usurios devem seguir.

51
4.3.2 Segurana Organizacional

Segurana organizacional aborda a estrutura de uma gerncia para a segurana de
informao, assim como aborda o estabelecimento de responsabilidades incluindo terceiros e
fornecedores de servios.
O objetivo da segurana organizacional gerenciar a segurana da informao na
organizao.

4.3.2.1 Infra-estrutura da segurana da informao

Uma infra-estrutura de gerenciamento de segurana da informao necessria para
iniciar e controlar a implementao da segurana da informao dentro da organizao.
Convm que um enfoque multidisciplinar na segurana da informao seja incentivado, tais
como o envolvimento, cooperao e colaborao de gestores, usurios e administradores da
empresa.

4.3.2.2 Atribuio das responsabilidades em segurana da informao

adequado que as responsabilidades pela proteo de cada ativo e pelo cumprimento
de processos de segurana sejam claramente definidas.
52
Tambm necessrio que a poltica de segurana da informao fornea um guia
geral sobre a atribuio de regras e responsabilidades de segurana da informao na
organizao.

4.3.2.3 Cooperao entre organizaes

Os contatos com organismos regulares, provedores de servio de informao e
operadoras de telecomunicaes sero mantidos de forma a garantir que aes adequadas e
apoio especializado possam ser rapidamente acionados na ocorrncia de incidentes de
segurana.
As trocas de informaes de segurana sero restritas para garantir que as
informaes confidenciais da organizao no sejam passadas para pessoas no autorizadas.

4.3.2.4 Segurana no acesso de prestadores de servios

importante que seja mantida a segurana dos recursos de processamento de
informao e ativos organizacionais acessados por prestadores de servio.

4.3.2.4.1 Tipos de acesso
53
O tipo de acesso dado a prestadores de servio de especial importncia, tanto para
acesso fsico (escritrios, sala de computadores, gabinetes de cabeamento, etc) quanto acesso
lgico (bancos de dados da organizao, sistemas de informaes, etc).

4.3.2.4.2 Contratados para servios internos

Prestadores de servios que mantm contrato devem permanecer dentro da
organizao por um perodo de tempo determinado, pois podem aumentar a fragilidade na
segurana. Exemplos de prestadores de servios.
a) Equipes de suporte e manuteno de software e hardware;
b) Alocao de estagirios e outras contrataes temporrias;
c) Consultores.
essencial entender as regras necessrias para administrar o acesso de prestadores
de servios e contrataes temporrias. Convm que todas as regras de segurana resultantes
do acesso de prestadores de servios sejam colocadas nos contratos firmados.
O acesso por terceiros s instalaes de processamento de informao da organizao
do mesmo modo deve ser controlado.

4.3.3 Classificao e Controle dos Ativos da Informao
54
A informao possui vrios nveis de sensibilidade e criticidade, por isso
importante que ela seja classificada para indicar a importncia, a prioridade e o nvel de
proteo.
O objetivo da classificao e do controle dos ativos da informao assegurar que os
ativos de informao recebam um nvel adequado de proteo e manter a proteo adequada
dos ativos da organizao.

4.3.3.1 Contabilizao dos ativos

Todos os princpios ativos da informao da organizao devem ser inventariados e
ter um proprietrio responsvel. O inventrio de ativos ajuda a garantir que a proteo est
sendo mantida de forma adequada. Os proprietrios responsveis pelos principais ativos
devero ser identificados e atribudos da responsabilidade pela manuteno apropriada dos
controles.

4.3.3.2 Inventrio dos ativos

A informao dever ser classificada para indicar a importncia, a prioridade e o nvel
de proteo. Um sistema de classificao da informao deve ser usado para definir um
conjunto apropriado de nveis de proteo e determinar a necessidade de medidas especiais de
55
tratamento. conveniente que cada ativo e seu respectivo proprietrio sejam claramente
identificados, e a classificao de segurana seja documentada. Exemplos de ativos:

a) ativos de informao: arquivos, informaes armazenadas, documentao do sistema,
manuais de usurio, procedimentos de recuperao, material de treinamento.
b) ativos de software: aplicativos, sistemas coorporativos, ferramentas (grficas,
desenvolvimento, tomada de deciso).
c) ativos fsicos: fax, no-breaks, ar-condicionado, mdias magnticas, monitores, laptops,
roteadores.

4.3.4 Segurana em Pessoas

A segurana em pessoas envolve a seleo, a conscientizao e as condies de
trabalho de todos os funcionrios, prestadores de servio e usurios das instalaes de
processamento das informaes, com o propsito de que eles estejam cientes e equipados para
apoiar a poltica de segurana da organizao durante a execuo normal do seu trabalho.
O objetivo da segurana em pessoas reduzir os riscos de erro humano, roubo,
fraude ou uso de instalaes no autorizadas.

4.3.4.1 Segurana na definio e nos recursos de trabalho
56
As responsabilidades de segurana devem ser atribudas na fase de recrutamento dos
funcionrios, includa em contratos e monitorada durante a vigncia do contrato de
funcionrios. Usurios devem ser treinados nos procedimentos de segurana e no uso correto
das instalaes de processamento da informao, de forma a minimizar possveis riscos de
segurana.

4.3.4.2 Incluindo segurana nas responsabilidades do trabalho

Os incidentes que afetam a segurana devem ser notificados atravs dos canais
apropriados o mais rpido possvel. Todos os funcionrios e prestadores de servio devem
estar conscientes dos procedimentos para notificao dos diversos tipos de incidentes que
possam ter impactos na segurana dos ativos organizacionais.

4.3.4.3 Seleo e poltica de pessoal

til que regras sobre a equipe permanente sejam conduzidas no momento da
seleo dos candidatos, contendo: a verificao das qualidades e conhecimentos apresentados
no curriculum vitae e verificaes acadmicas e profissionais do candidato.
Em trabalhos que envolverem pessoas, adequado que a organizao verifique a
idoneidade das mesmas, ou seja, tanto os indivduos que tenham acessos s instalaes de
processamento da informao ou quanto queles que tratam de informaes financeiras ou
informaes altamente confidenciais devem conter os atributos de confiana e credibilidade.

57
4.3.4.4 Termos de Trabalho

apropriado que os termos e condies de trabalho determinem as responsabilidades
dos funcionrios pela segurana da informao.

4.3.4.5 Treinamento dos Usurios

til assegurar que os usurios estejam cientes das ameaas e das preocupaes de
segurana da informao na empresa. Alm disso, oportuno que eles sejam treinados nos
procedimentos de segurana da informao e no uso correto das instalaes de processamento
de informaes de forma a minimizar possveis riscos de segurana.

4.3.4.6 Notificando o mau funcionamento de software

adequado constituir procedimentos para mau funcionamento de software.
Aconselha-se, por exemplo, que quaisquer mensagens apresentadas na tela sejam anotadas e
que o assunto seja notificado imediatamente ao gestor de segurana da informao.

4.3.5 Segurana Fsica e do Ambiente

A segurana fsica e do ambiente conveniente para assegurar os recursos e
instalaes de processamento de informaes. Convm que a proteo fornecida seja
proporcional aos riscos identificados.
58
O objetivo da segurana fsica e do ambiente prevenir acesso no autorizado e dano
s informaes e instalaes fsicas da organizao.

4.3.5.1 reas de Segurana

de grande importncia definir reas de circulao restrita, e proteger equipamentos
e a infra-estrutura de tecnologia da informao. Os recursos e instalaes de processamento
de informaes, crticas ou sensveis do negcio, devem ser mantidas em reas seguras,
protegidas por um permetro de segurana definido, com barreiras de segurana apropriadas e
controle de acesso.

4.3.5.2 Permetro de Segurana

A proteo fsica pode ser alcanada atravs de diversas barreiras fsicas na
organizao. Cada barreira estabelecer um permetro de segurana a acessos indevidos de
pessoas no autorizadas dentro da organizao. Indicam-se as seguintes diretrizes para que
sejam avaliadas:
a) til que os permetros de segurana sejam definidos;
b) As reas restritas devem ter todas as portas externas protegidas, impedindo assim a
entrada de pessoas no autorizadas, por exemplo, com o uso de alarmes e travas.
59
4.3.5.3 Segurana em salas e instalaes de processamento

A seleo e o projeto de uma rea de segurana deve levar em considerao as
possibilidades de danos causados por desastres naturais ou causados pelo homem. Diante
disso, recomendado que os seguintes controles sejam analisados:
a) Instalaes crticas devem ser localizadas de forma a evitar o acesso pblico;
b) Portas e janelas devem ser mantidas fechadas quando no utilizadas e instaladas
protees externas, sobretudo quando as mesmas se localizarem no trreo;
c) Instalaes de processamento das informaes internas devem ficar fisicamente
separadas daquelas gerenciadas por prestadores de servio;
d) Equipamentos de contingncia e meios magnticos de reserva (backup) devem ser
guardados em uma distncia segura da instalao principal.

4.3.5.4 Segurana dos equipamentos

Os equipamentos devem ser devidamente protegidos contra ameaas sua segurana,
perigos ambientais e principalmente dos acessos no autorizados.

4.3.5.5 Instalao e proteo de equipamentos
60
Os equipamentos devem ser instalados e protegidos para reduzir o risco de ameaas
ambientais, perigos e acessos no autorizados. indispensvel adotar controles de forma a
minimizar ameaas potenciais como roubo, fogo, explosivos, gua, efeitos qumicos, entre
outros. E, alm disso, importante evitar o consumo de bebidas, alimentaes e cigarros nas
salas das instalaes de processamento de segurana da informao.

4.3.6 Gerenciamento das Operaes e Comunicaes

Gerenciamento das operaes e comunicaes aborda as principais reas que devem
ser objetos de especial ateno da segurana. Dentre estas reas destacam-se as questes
relativas a procedimentos operacionais e respectivas responsabilidades, gerncia de redes,
controle e preveno de vrus, controle de mudanas, execuo e guarda de back-up, controle
de documentao, segurana de correio eletrnico, entre outras.
O objetivo do gerenciamento das operaes e comunicaes garantir a operao
segura dos recursos de processamento da informao.

4.3.6.1 Procedimentos e responsabilidades operacionais
Os procedimentos e as responsabilidades pela gesto e operao de todos os recursos
de processamento das informaes devem ser definidos. Isto abrange o desenvolvimento de
procedimentos operacionais e de resposta a incidentes.
61
4.3.6.1.1 Documentao dos procedimentos de operao

Procedimentos operacionais devem ser documentados e mantidos atualizados para
futuras consultas, isto , sempre que ocorra mudana nos sistemas e nos recursos de
processamento da informao a documentao dever ser consultada e atualizada.

4.3.6.2 Procedimentos para o gerenciamento de incidentes

As responsabilidades e gerenciamento de incidentes devem ser definidos para
garantir uma resposta rpida e ordenada para os incidentes de segurana. Diante disso,
recomenda-se que os seguintes controles sejam considerados:
a) Estabelecer procedimentos para cubrir todos os tipos de incidentes. Por exemplo:
falha nos sistemas de informao e inoperncia dos servios;
b) Estabelecer procedimentos que contemplem a anlise e a identificao das causas
do incidente.
c) Relatar a ao tomada autoridade apropriada.

4.3.6.3 Controles de rede

62
As redes de comunicaes devem receber uma ampla ateno. As equipes tcnicas
devem implementar controles para garantir a segurana de dados e servios disponibilizados
contra servios no autorizados, e procedimentos e responsabilidades devem ser estabelecidos
para o gerenciamento de equipamentos remotos. Alm disso, pode ser preciso a utilizao de
controles para proteo de dados sensveis que transitam por redes pblicas.

4.3.6.4 Descarte de mdias

As mdias devem ser descartadas de uma maneira segura quando no forem mais
utilizadas, pois, informaes sensveis podem ser divulgadas ou utilizadas por pessoas de fora
da organizao atravs de mdias que no foram descartadas corretamente. As melhores
tcnicas para remoo de mdias so por meio de triturao e incinerao. Os itens abaixo
demandam descarte seguro:
a) papel carbono;
b) documento em papel;
c) relatrios impressos;
d) discos removveis;
e) documentao de softwares.

4.3.6.5 Troca de informaes e software

63
As trocas de informaes e software entre organizaes e as possveis implicaes
nos negcios e na segurana relacionadas com o comrcio eletrnico devem ser controladas
com a finalidade de prevenir a perda, modificao ou mau uso de informaes.

4.3.6.5.1 Segurana do comrcio eletrnico

Todo controle de correio eletrnico da empresa controlado por um servidor de e-
mail, evitando que ataques ao correio eletrnico aconteam. Existe uso de regras e
criptografia para proteger a confidencialidade e integridade das mensagens eletrnicas,
mensagens de marketing e publicidade (spam) at chegarem no usurio final.

4.3.7 Controle de Acesso

Este tpico aborda o controle de acesso a sistemas, a definio de competncias, o
sistema de monitorao de acesso e uso, a utilizao de senhas, dentre outros assuntos.
Os acessos informao e processo do negcio devem ser controlados na base dos
requisitos de segurana e do negcio. Procedimentos formais devem ser estabelecidos para
controlar a concesso s chaves de direitos de acesso aos sistemas de informao e servios.
A cooperao dos usurios autorizados essencial para a eficcia da segurana. Os
usurios devem estar cientes de suas responsabilidades para a manuteno efetiva dos
controles de acesso, considerando o uso de senhas e a segurana dos equipamentos de sua
utilizao.
O objetivo do controle de acesso controlar o acesso s informaes.
64
4.3.8 Desenvolvimento e manuteno de Sistemas

Os requisitos de segurana dos sistemas devem ser identificados e acordados antes
do desenvolvimento dos sistemas de informao. Estes requisitos so: a infra-estrutura, as
aplicaes do negcio e as aplicaes desenvolvidas pelo usurio. adequado que o acesso
aos sistemas de arquivos seja controlado.
O objetivo do desenvolvimento e da manuteno de sistemas garantir que a
segurana seja parte dos sistemas de informao.

4.3.9 Gesto da Continuidade do Negcio

Esta seo refora a necessidade de se ter um plano de continuidade e contingncia
desenvolvido, implementado, testado e atualizado.
O processo de continuidade deve ser implementado para reduzir a interrupo
causada por um desastre ou falha na segurana para um nvel aceitvel atravs de uma
combinao de aes preventivas e de recuperao.
As conseqncias de desastres, falhas de segurana e perda de servios devem ser
analisadas. Os planos de contingncia devem ser desenvolvidos e implementados para
garantir que os processos do negcio possam ser recuperados no tempo devido.
O objetivo da gesto e da continuidade do negcio no permitir interrupo das
atividades do negcio.

65
4.3.10 Conformidade

A seo final aborda a necessidade de observar os requisitos legais, tais como a
propriedade intelectual e a proteo das informaes de clientes.
O projeto, a operao, o uso e a gesto de sistemas de informao podem estar
sujeitos a requisitos de segurana contratuais, regulamentos ou estatutos.
Consultoria em requisitos legais especficos pode ser procurada em organizaes de
consultoria jurdica, ou em profissionais liberais, adequadamente qualificados nos aspectos
legais.
O objetivo da conformidade evitar violao de qualquer lei criminal ou civil,
regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana.








66
5 POLTICA DE SEGURANA DA INFORMAO

O crescente uso da internet, a disponibilizao de novos servios e linhas de
negcios, e cada dia recursos de tecnologia da informao mais complexos, fazem da gesto
de segurana da informao pea fundamental para qualquer empresa.
Nesse contexto, para que o gerenciamento seja efetivo e no dependa de talentos
humanos, tornam-se necessrias criao e a implementao de uma Poltica de Segurana da
Informao, dirigida especialmente organizao e completamente integrada ao seu negcio.
A Poltica de Segurana da Informao um conjunto de diretrizes, normas e
procedimentos que devem ser seguidos e, alm disso, visa conscientizar e orientar os
funcionrios, clientes, parceiros e fornecedores para o uso seguro do ambiente informatizado.
Alm disso, contm informaes sobre como gerenciar, distribuir e proteger seus principais
ativos.
Com uma Poltica de Segurana da Informao bem formatada, todos os processos
da empresa ficam menos suscetveis ao extravio de informaes por responsveis internos e
externos, alm de otimizar todos os processos e diminuir prejuzos por falhas ocasionais. A
Poltica de Segurana da Informao o ponto de partida para o gerenciamento dos riscos
associados aos sistemas de informao ou aos processos da empresa, que conseqentemente
ir diminuir as vulnerabilidades que a empresa apresenta.
Para que uma Poltica de Segurana da Informao tenha sucesso dentro de uma
empresa importante que ela contemple algumas caractersticas das quais so essenciais a fim
de que toda a energia empregada nesta tarefa seja bem aproveitada. Alm disso, deve ter a
participao de todos os funcionrios da empresa.
A seguir so apresentadas as principais caractersticas de uma Poltica de Segurana
da Informao:
67
Usar uma linguagem simples, com poucos termos tcnicos;
Ser de fcil compreenso e aplicabilidade;
Ser clara e concisa;
Ter o apoio da alta direo;
Estar de acordo com a realidade prtica;
Ser amplamente divulgada;
Ser revisada periodicamente;
Estar implementada.

5.1 Definio e Princpios da Poltica de Segurana da Informao

Para o cumprimento do que estabelecido na Poltica de Segurana da Informao as
atribuies e as responsabilidades devem ser bem definidas e estarem claras com os
envolvidos. Dessa forma a empresa pode ser dividida em 5 grandes reas para facilitar essas
atribuies e responsabilidades. Abaixo ser descrita cada uma destas cinco reas que so:
Comit de Segurana da Informao, Proprietrio das Informaes, rea de Segurana da
Informao, Usurios das Informaes e Recursos Humanos, segundo Ferreira e Arajo:
Comit de Segurana da Informao, Proprietrio das Informaes, rea de
Segurana da Informao, Usurios das Informaes e Recursos Humanos, segundo Ferreira e
Arajo:
Comit de Segurana da Informao

A funo deste comit deve ser de divulgar e estabelecer aos procedimentos
de segurana, assim como se reunir periodicamente, ou a qualquer momento
conforme requerido pelas circunstncias, com o objetivo de manter a
segurana em todas as reas da organizao.
A reunio de gestores com vises do mesmo objeto, mas de pontos
diferentes, fundamental para a obteno real dos problemas, desafios e
conseqncias. Dessa forma, envolver representantes das reas de
68
Tecnologia, Comercial, Jurdica, Negcio, Financeira, Auditoria, entre
outras, trar muitos benefcios para a gesto da segurana da informao.
As responsabilidades do comit incluem, mas no esto limitados a:

Aprovao das polticas, normas e procedimentos de segurana da
informao;
Designao, definio ou alterao das responsabilidades da rea de
Segurana da Informao;
Aprovao de novos controles ou alterao das responsabilidades da rea
de Segurana da Informao;
Apoio implantao de solues para a minimizao dos riscos;
Suporte s iniciativas da rea de Segurana da Informao;
Deliberar sobre temas ou aes no definidos / includos em nenhuma
norma j publicada.

O comit deve ser composto por integrantes, com ou sem prazo fixo de
mandato, nomeados pelo Conselho de Administrao. As deliberaes do
comit devem ser tomadas pela maioria dos membros que o compe e a
funo de integrante do comit ser indelegvel.
Devem ser preparadas atas documentando o contedo das reunies, que
devem ser revisadas pelos integrantes do comit e distribudas ao demais
participantes.
A poltica necessita especificar que, ao final dos semestres, ou em outro
momento determinado pela organizao, deve-se elaborar o documento
denominado Relatrio do Comit de Segurana a ser enviado ao Conselho
de Administrao, contendo entre outros aspectos, as seguintes informaes:

Descrio das atividades exercidas durante o perodo;
Avaliao da efetividade do sistema de controles de segurana, com
nfase nos regulamentos, cdigos internos e cumprimento das leis em
vigor;
Anlise dos resultados parciais e finais das aes de forma a medir
efeitos, comparando-os s metas definidas e realizando os devidos
ajustes;
Descrio das deficincias detectadas, bem como das recomendaes
apresentadas diretoria, com a indicao daquelas no acatadas e
respectivas justificativas.

Proprietrio das Informaes

O proprietrio das informaes o responsvel pela autorizao do acesso s
informaes, considerando as polticas vigentes dentro da organizao. Suas
responsabilidades e necessidades de conhecimento incluem, mas no esto
limitadas a:

Domnio sobre as informaes geradas em sua rea de negcio e atuao;
Identificar e classificar as informaes conforme critrios definidos pela
poltica vigente na organizao;
Periodicamente revisar as informaes classificadas;
Garantir que os usurios entendam e sigam os procedimentos de
segurana;
Autorizar e revisar os acessos informao.

Identificao dos proprietrios
69

Com as classificaes, regras e responsabilidades definidas, devemos
identificar os proprietrios das informaes. Estes profissionais devem ser
das unidades de negcio da organizao, pois ela que ser afetada caso as
informaes tornem-se pblicas ou sejam corrompidas / perdidas. Os
seguintes critrios devem ser observados para a identificao deste
responsvel:

Obrigatoriamente deve ser a pessoa de negocio;
O suporte dos altos executivos um fator de sucesso;
Para algumas funes de negcio, deve ser considerada a participao de
mais de um executivo.

A identificao por etapas destes profissionais ser mais bem conduzida ao
invs de se tentar identific-los todos de uma vez. A equipe formada e
designada para desenvolver as regras e responsabilidades deve tambm
desenvolver o plano inicial. Primeiramente, os dados crticos ou mais
importantes para a organizao devem ser identificados. mais fcil
identificar proprietrios para esses tipos de informaes. Outros proprietrios
podero ser definidos posteriormente.

rea de segurana da informao

A funo bsica da rea de Segurana da Informao proteger o ativo de
informao, minimizando os riscos a nveis aceitveis. Em algumas
organizaes, esta rea tambm responsvel pela elaborao do plano de
continuidade de negcio.
A implementao de controles por meio de processos para a proteo das
informaes uma das formas de prover segurana aos sistemas de
informao.
Suas responsabilidades incluem, mas no esto limitadas a:

Fazer cumprir a Poltica de Segurana da Informao;
Definir, implementar e revisar os controles;
Identificar os riscos inerentes e residuais da segurana;
Definir perfis e recursos para a realizao das trilhas de auditoria;
Definir os critrios e procedimentos para a realizao da classificao da
informao, protegendo as mais crticas;
Avaliar os procedimentos de segurana reportando seus resultados e
discutindo com os envolvidos as melhorias necessrias;
Definir a estrutura de segurana a ser cumprida pelas reas;
Definir as solues de segurana antes da implementao e durante a
manuteno;
Elaborar programas de treinamentos visando a capacitao dos
proprietrios e usurios da informao;
Desenvolver, implementar e manter planos de continuidade que visem
garantir as operaes em casos de desastres e indisponibilidade dos
sistemas de informao;
Prover e administrar salvaguardas fsicas contra acessos no autorizados,
protegendo contra eventuais prejuzos no negcio;
Monitorar o uso da web e do trfego de mensagens de correio eletrnico.

Usurios das informaes

70
O usurio das informaes qualquer indivduo com acesso s informaes
da organizao, seja um funcionrio ou um contratado, com atividades
internas ou sem seu prprio escritrio. Suas responsabilidades incluem, mas
no esto limitadas a:

Entender e seguir a poltica assegurando que os procedimentos de
segurana sejam respeitados e cumpridos;
Cumprir as regras de segurana determinadas pelas polticas vigentes na
organizao;
Utilizar as informaes apenas para os propsitos do negcio;
Informar imediatamente ao canal de comunicao disponvel qualquer
violao / incidente de segurana.

Recursos Humanos

Esta rea deve estabelecer as sanes e penalidades a serem aplicadas nas
situaes em que a poltica for desrespeitada.
Tambm responsabilidade do RH comunicar rea de Tecnologia da
Informao, a ausncia ou desligamento de funcionrios. Deve haver m
procedimento formal de comunicao, de forma que no exponha a
organizao a riscos desnecessrios de uso no autorizado de contas
de usurios ausentes.
A rea de Recursos Humanos deve auxiliar na obteno da assinatura dos
Termos de Responsabilidade de Segurana da Informao.
Tal documento deve formalizar o conhecimento e a concordncia do
funcionrio sobre as polticas estabelecidas para o uso adequado da
informao e tambm das penalidades da organizao e da lei. (FERREIRA
E ARAJO,2006, pg 41 46)

A diviso da empresas em grandes reas pode no ser aplicada em todos os tamanhos
de empresas, pois principalmente em algumas empresas de pequeno porte, esta estrutura no
suportada pela empresa.
A seguir apresentada uma fundamentao das operaes da poltica de segurana
da informao.

5.2 Fundamentao operacional da Poltica de Segurana da Informao

Neste item sero abordados os principais aspectos que devem ser contemplados no
desenvolvimento de uma Poltica de Segurana da Informao, que so descritos a seguir.

71
5.2.1 Utilizao dos recursos de TI

A utilizao dos recursos de TI pelos colaboradores deve ocorrer apenas para o
desenvolvimento de atividades diretamente relacionadas aos negcios da empresa. Deve ser
definido nas polticas da empresa que os recursos tecnolgicos no devem de maneira alguma
ser utilizado para a prtica de discriminao ou provocao em razo de sexo, raa, cor,
religio, nacionalidade, idade, porte de deficincia, ou qualquer outra condio prevista em
lei.
Os meios de comunicao da empresa no devem em hiptese alguma ser utilizados
para receber, enviar ou armazenar contedos que sejam discriminatrios, difamatrios,
participar de correntes (ver glossrio) ou qualquer outro tipo de material que no estejam
relacionados com os negcios da empresa.

5.2.2 Disponibilidade dos recursos de tecnologia da informao

A empresa deve somente disponibilizar recursos tecnolgicos a colaboradores
(funcionrios ou terceiros) que estejam previamente autorizados pelos seus superiores, na
finalidade de auxili-los no desempenho de suas funes e execuo dos trabalhos.
Na Poltica de Segurana da Informao deve estar descrito que cada colaborador
(funcionrio) responsvel pela guarda, zelo e bom uso dos recursos que lhe foi concedido e
caso isso no seja cumprido, implicar em medidas disciplinares.

5.2.3 Titularidade das informaes

72
A Poltica de Segurana da Informao deve assegurar que todas as informaes que
so trocadas ou armazenadas em seus recursos de TI, independente de contedo so de
propriedade nica e exclusiva da empresa e que os colaboradores apenas utilizam os recursos
disponibilizados pela empresa para a conduo dos negcios da mesma. Deve ser estar bem
claro que inclusive as mensagens de correio eletrnico so de propriedade nica e exclusiva
da empresa, ou seja, independente das que so trocadas com contatos particulares, familiares e
afins.
A poltica tambm deve prever que podem ocorrer auditorias e que a empresa tem o
direito de a qualquer momento acessar o contedo de qualquer usurio, independentemente do
meio tecnolgico que esteja armazenado. Por exemplo, em computadores, correio eletrnico,
correio de voz, mdias ou at mesmo em materiais impressos.
Este tipo de ao deve ser suportado por um termo previamente assinado por cada
usurio.

5.2.4 Segurana das informaes

A responsabilidade pela segurana das informaes deve estar estabelecida nos
documentos oficiais da empresa e principalmente na Poltica de Segurana da Informao que
cada colaborador da empresa responsvel pela segurana das informaes dentro da
empresa, principalmente pelas informaes que esto sob sua responsabilidade.
Deve ser de conhecimento de todos a importncia das senhas de acesso, ou seja, as
mesmas no devem ser compartilhadas ou divulgadas para que outros colaboradores tenham
acesso a informaes confidencias ou que no lhes pertencem.
73
Para acesso a informaes confidencias deve existir uma autorizao formal por
parte do diretor ou gerente responsvel pela aprovao dos acessos, os quais tm o direito de
acessar e garantir o sigilo das informaes.

5.2.5 Autorizao para uso dos recursos de tecnologia da informao

Uma poltica de liberao de acessos deve ser elaborada para descrever e formalizar
quem so os responsveis por liberar acessos a novos colaboradores ou liberar novos acessos
a colaboradores j existentes. Esta poltica deve estabelecer que cada usurio deva somente e
exclusivamente ter os acessos que possuem relao com suas tarefas. Uma hierarquia de
responsabilidades como a que segue abaixo pode ser utilizada para facilitar o entendimento
desta poltica:
Diretor: poder efetuar autorizaes e aprovaes necessrias para os
diretores e gerentes sob sua subordinao direta;
Gerente: poder efetuar autorizaes e aprovaes necessrias para os
gerentes, supervisores, encarregados e demais colaboradores sob sua
subordinao direta.(FERREIRA E ARAJO, 2006, p.64).

5.2.6 Estaes de trabalho e servidores

As estaes de trabalho e os servidores merecem um acompanhamento no que diz
respeito a sua utilizao, pois devem ser apenas empregadas para a realizao de atividades
que esto diretamente relacionadas com as normas da empresa.
A seguir so apresentadas algumas consideraes sobre segurana aplicadas s
estaes de trabalho:
Precisam ser monitoradas para que usurios no instalem softwares que no so
homologados pela empresa e que conseqentemente a empresa no possui
74
licena sobre os mesmos. Devem ser bloqueados quaisquer tipos de jogos ou
outros aplicativos que possam reduzir o desempenho dos usurios.
Devem ser padronizadas de acordo com o que cada departamento ou colaborador
necessita. Por exemplo, as estaes que esto na produo no devem ter acessos
aos sistemas de recursos humanos.
Devem ser bloqueadas com uma senha quando os usurios ausentarem-se de seu
local de trabalho. Pode ser a prpria proteo do sistema operacional, proteo de
tela com senha ou qualquer outro recurso oferecido pela empresa para esta
finalidade. Este tipo de ao importante para que usurios no autorizados
venham a se privilegiar de acessos dos quais no possuem alvar.
Devem conter controles sobre os dispositivos e I/O (entrada e sada) de
informaes na empresa, como: drives de disquete, gravadores de CDs,
gravadores de Dvds, dispositivos UBS e quaisquer outros meios fsicos que
permitam a entrada e principalmente a sada de informaes sem controle. A
sada ou utilizao destes recursos deve ser autorizada formalmente.
Devem ter dispositivos extras de segurana que no permitam o acesso no
autorizado s informaes que esto contidas nele, Neste caso, aplicado s
Estaes de trabalho mveis (notebooks/laptops).
Os servidores devem ter o acesso fsico restrito e sua utilizao deve ser apenas
para suas aplicaes principais. Por exemplo, um servidor no deve ser usado
para ficar navegando na internet.

5.2.7 Proteo contra softwares maliciosos ou no autorizados

75
Os vrus de computador so apontados como o principal problema de segurana da
informao atualmente.
A principal e mais utilizada forma de proteo contra os vrus so os chamados
antivrus, ou seja, softwares que so desenvolvidos baseados em regras que detectam a
presena de cdigos maliciosos que estejam presentes na mquina.
Como a evoluo dos vrus muito rpida o antivrus utiliza-se de atualizaes para
o seu software para que o mesmo fique conhecendo os novos vrus, bem como formas de
combat-los. As atualizaes para este tipo de software so praticamente dirias.
Todos os computadores da empresa devem possuir um antivrus instalado e
programado para que seja atualizado constantemente, e de preferncia, que no dependa de
uma ao do usurio. O antivrus deve estar configurado para verificar todos os arquivos que
so enviados e principalmente recebidos atravs do correio eletrnico.
As polticas da empresa devem ser claras ao ressaltar a usurios que todos os
softwares utilizados na empresa possuem licena de uso e so homologados, e que no
permitida a instalao de qualquer software sem autorizao formal da rea de TI.
Uma publicao americana observou que usurios sempre so usurios.
Ainda que a organizao oferea uma mquina rpida, repleta de memria,
certamente ele tentar instalar seus prprios programas. E, por isso, impedir
que usurios acrescentem softwares no autorizados em seus computadores
de mesa ou notebooks se tornou uma preocupao comum entre os gerentes
de TI. (FERREIRA E ARAJO, 2006, p. 67).

5.2.8 Procedimentos para acesso Internet

Atualmente a internet um dos principais meios de comunicao utilizada para
pesquisas, consultas bancrias, informaes sobre atualidades, enfim praticamente
indispensvel no local de trabalho. Mas embora seja uma poderosa ferramenta para os
colaboradores, a internet pode vir a ser uma grande vil quando se trata de produtividade, pois
76
estudos revelam que o acesso em banda larga pode levar um usurio a desperdiar at 20 %
do seu tempo produtivo acessando contedos para fins particulares.
A utilizao da internet deve ser baseada em um procedimento que vise padronizar o
uso da mesma, com a finalidade de proteger a propriedade intelectual, privacidade das
informaes e quaisquer tipos de discriminao.
importante que neste procedimento seja explanado a importncia da internet para a
conduo dos negcios da empresa, de modo que fiquem esclarecidos aos usurios os
principais processos que podem causar danos quando so utilizados de maneira inadequada.
Por exemplo, uma filial da empresa utiliza a internet para conectar no sistema de gesto para
lanar os seus pedidos de venda.
As pginas da internet so das mais variadas formas e podem trazer tanto contedos
teis, como contedos maliciosos que possa danificar o computador ou at mesmo a rede que
est lhe acessando. muito comum que os sites utilizem cookies (ver glossrio), para
conhecer o perfil de cada usurio.
A integridade e transparncia do nome da empresa podem vir a ser abalada pelo uso
indevido da internet por parte dos seus colaboradores, pois praticamente tudo que feito na
internet monitorado e armazenado e a prtica de atividades ilegais pode ser identificada por
intermdio de tcnicas que conseguem identificar os dados como IP, data e hora da conexo,
afinal tudo isso poder acarretar srios problemas para a empresa.
A monitorao do uso da internet muito importante para que sejam registrados
todos os acessos de cada usurio e os mesmos possam ser notificados e at mesmo punidos
nos casos de acesso que sejam contrrios a poltica da empresa. Para fins de auditoria e
comprovao dos acessos indispensvel que algumas informaes sejam armazenadas
juntamente com os sites utilizados. Alguns dos principais dados que precisam ser
77
armazenados so: identidade do usurio, data e hora da conexo, endereo IP de origem,
protocolos utilizados e quantidade de dados sendo transmitidos e/ou recebidos.
Quanto abrangncia dos procedimentos de utilizao dos recursos da internet
importante que os mesmos sejam analisados pelo Departamento Jurdico da empresa. Devem
ser contemplados os seguintes aspectos:
Se os funcionrios tero permisso para navegar na Web para uso pessoal e / ou
fins comerciais;
Se os funcionrios podero usar a Internet para fins particulares e em quais
perodos (durante o almoo, depois do expediente, etc.);
Se e como a organizao efetuar a monitorao do uso da Internet e a qual nvel
de privacidade os funcionrios esto sujeitos;
Acessos no permitidos, determinando os tipos de sites que sero inaceitveis,
como:
Download de contedo ofensivo ou preconceituoso;
Atitude ameaadora ou violenta;
Atividades ilegais;
Solicitaes comerciais (no relacionadas ao trabalho);
Outros aspectos que a organizao julgar necessrios. (FERREIRA E
ARAJO, 2006, p. 69).

Neste procedimento tambm devem constar as sanes para os tipos de acesso que
forem julgadas inadequadas pela empresa.
Todos os usurios devem receber um treinamento sobre este procedimento, bem
como instrues para uma navegao segura e assinar termos de cincia deste procedimento.

5.2.9 Procedimentos para uso de correio eletrnico

78
A utilizao do correio eletrnico no meio corporativo uma prtica cada vez mais
adotada pelas empresas para trocarem informaes de uma maneira rpida e prtica, e
tambm como garantia de documentao.
Quando o assunto segurana da informao o uso do correio eletrnico oferece
diversos riscos para a empresa. Recentemente tm surgido diversas maneiras de burlar o
correio eletrnico e utiliz-lo para a propagao de vrus, acesso no autorizado a mensagens
e envio de spams (ver glossrio).
E apesar dessas vrias maneiras de fraudar as mensagens do correio eletrnico, no se
pode desconsiderar que ele pode ser utilizado por funcionrios mal intencionados para enviar
informaes confidenciais sem a autorizao dos responsveis, provocando impactos
inesperados s empresas.
Dessa forma, a poltica de segurana da informao deve tratar a questo do correio
eletrnico com bastante cautela, para que pontos importantes na utilizao deste recurso sejam
tratados conforme as necessidades da empresa e que sigam os preceitos de segurana. Alm
disso, a elaborao desta parte da poltica deve ser analisada e aprovada pelo Departamento
Jurdico da empresa, para que sejam avaliadas as normas legais para evitar a invaso de
privacidade de cada usurio e no deixar a mesma vulnervel.

5.2.10 Gerenciamento, controle da rede, monitorao do uso e acesso aos
sistemas

As polticas de controle de acesso devem abranger os recursos tecnolgicos que
pretendem proteger e a quem se devem dar privilgios e acessos. A proteo est baseada no
que cada usurio pode ou no pode acessar em determinados sistemas, que em sua grande
maioria realizada por intermdio de um ID e senha durante o processo de logon.
79
Os controles de acesso lgico devem assegurar que:
Apenas os usurios autorizados tenham acesso aos recursos;
Os usurios tenham acesso apenas aos recursos realmente necessrios
para a execuo de suas atividades.
O acesso aos recursos crticos seja constantemente monitorado e restrito;
Os usurios sejam impedidos de executar transaes incompatveis com a
sua funo.

Controle de acesso pode ser resumido nas funes:

Identificao e autenticao de usurios;
Gerenciamento e monitoramento de privilgios;
Limitao e desabilitao de acessos e na preveno de acessos no
autorizados.
O processo adequado para a manuteno de um controle efetivo
sobre os acessos aos sistemas requer processos com intervalos peridicos
para a reviso das contas de usurios e seus respectivos privilgios. Dessa
forma, a organizao deve padronizar os seguintes aspectos:

Todas as solicitaes de acesso devem ser formais e devidamente
aprovadas pelos nveis requeridos;
Os acessos de usurios devem ser revistos periodicamente e sempre que
houver alguma alterao no ambiente dos sistemas, incluindo tambm
administradores ou quaisquer outros tipos de acesso privilegiado;
Os usurios que forem demitidos devem ser removidos de forma imediata
dos sistemas;
As contas dos usurios afastados ou em frias devem ser bloqueadas
temporariamente;
A comunicao dessas situaes deve ocorrer por meio de procedimento
efetuado pelo departamento pessoal ou de recursos humanos. A
periodicidade da comunicao deve ser mensal para os casos de
afastamento e frias, no entanto, para os casos de demisso, a mesma
deve ser imediata. (FERREIRA E ARAJO, 2006, p. 71 72).

Os controles e processos acima citados so primcias para que os pilares da
segurana da informao sejam mantidos dentro da empresa, pois a falta destes controles
coloca em risco a integridade, confidencialidade e disponibilidade das informaes.

5.2.11 Identificao e autenticao do usurio

A identificao do usurio, ou User ID, deve ser nico, ou seja, cada usurio
autorizado deve possuir o seu. Deve ser evitado de todas as formas a utilizao de usurios e
senhas compartilhadas.
80
por intermdio do ID de cada usurio que possvel rastrear o que foi realizado
por determinado usurio nos sistemas. Dessa forma, possvel identificar de maneira segura
quem foi o usurio responsvel por determinada ao nos sistemas da empresa.

5.2.12 Senhas

A criao de senhas merece tambm uma ateno especial na Poltica de Segurana
da Informao. importante que a Poltica defina claramente algumas regras para a criao
de senhas.
A Poltica de Segurana da Informao pode trazer exemplos de como no criar uma
senha, tais como: nmeros seqenciais, datas de nascimento, sobrenome, placa de carros,
entre outros, pois esses dados so muito fceis de se obter e qualquer pessoa poderia utilizar
esse tipo de informao para uma autenticao vlida.
Os sistemas devem ser configurados para no permitir a criao de senhas
consideradas de fcil descobrimento e devem ter alguns parmetros bsicos para ajudar neste
trabalho. A seguir alguns destes parmetros so apresentados:
Nmero de caracteres para composio da senha: deve ser composta no mnimo
por seis caracteres;
Expirao da senha: deve ser forada a alterao das senhas dos usurios
periodicamente;
Repetio de senha: restringir, pelo menos, a utilizao das ltimas cinco senhas
utilizadas;
Quantidade de tentativas invlidas de acesso: deve haver um limite para realizar
o bloqueio das tentativas de acesso invlidas, de forma a evitar a descoberta das
senhas. A boa prtica sugere trs tentativas;
81
Troca de senhas iniciais (default): As senhas iniciais dos sistemas, banco de
dados e quaisquer outros produtos, devem ser trocadas de forma imediata, antes
de sua utilizao em ambiente seguro;
Bloqueio automtico por tempo de inatividade (Time Out): Os sistemas devem
possuir tempo mximo determinado para realizar bloqueio/trmino de um acesso
por inatividade.

5.2.13 Cpias de Segurana e Recuperao das informaes

A disponibilidade das informaes um dos pilares da segurana da informao,
sendo fundamental para qualquer organizao, independentemente de seu tamanho, possuam
um procedimento de cpias de segurana (backup) e recuperao (restore) de informaes, os
quais sejam capazes de orientar as aes de realizao e recuperao das informaes.
A Poltica de Segurana deve fornecer as diretrizes necessrias para orientar o
desenvolvimento dos procedimentos de cpias de segurana e recuperao das informaes.
O valor da informao produzida na organizao, alm do valor estratgico, tambm a soma
de inmeras horas de trabalho no desenvolvimento de documentos, informaes, produtos,
entre outros esforos que provavelmente em qualquer tentativa de quantificar seu valor, ser
encontrado um nmero aproximado, porm dificilmente exato e com grandes probabilidades
de que para cada clculo realizado tenha um valor diferente.
Para a implementao da cpia de segurana deve-se levar em considerao a
importncia da informao, o nvel de classificao utilizado, sua periodicidade de atualizao
e tambm sua volatilidade. Com base nos conceitos apresentados, a empresa deve ter as
seguintes premissas nos seus procedimentos de backup:
Realizar backup visando diminuir os riscos de continuidade;
82
Manter os backups em local fsico distante da localidade de armazenamento dos
dados originais;
Realizar testes nas mdias que armazenam os backups para assegurar que os
mantidos em ambiente interno e externo estejam seguros e em perfeito estado
para serem utilizados;
Desenvolver e manter a documentao dos procedimentos de backup e restore
sempre atualizada;
Assegurar que seja mantido um inventrio sobre as mdias que armazenam os
backups.
A freqncia para a realizao dos backups e as respectivas retenes deve ser
determinada considerando a velocidade e a volatilidade da informao, ou seja, depende da
periodicidade em que os dados so alterados.
A Poltica de Segurana da informao tambm deve apresentar a maneira de como
os testes de restaurao devem ser realizados e qual a periodicidade para os mesmos, com a
finalidade de:
Verificar a integridade da informao armazenada;
Avaliar a funcionalidade dos procedimentos;
Identificar procedimentos desatualizados ou ineficazes;
Identificar falhas ou defeitos.

5.2.14 Controle de acesso fsico s reas sensveis

A segurana em tecnologia da informao pode ser compreendida por dois principais
aspectos: segurana lgica e segurana fsica. A segurana fsica desempenha um papel to
83
importante quanto a segurana lgica, pois elas so a base para a proteo de qualquer
investimento feito por uma empresa.
Qualquer acesso s dependncias da empresa, desde as reas de trabalho at aquelas
consideradas crticas, deve ser controlado e sempre praticando sua formalizao.
Os sistemas de segurana fsica devem ser implementados para garantir que somente
tero acesso aos locais seguros da empresa as pessoas que tiverem autorizao e permisso
formal.

5.2.15 Segurana e tratamento de mdias

Para as informaes contidas em computadores, discos e outros equipamentos que
sero descartados ou transferidos para outros usos, devem-se assegurar que estas estaro
definitivamente destrudas, sem risco de comprometer a perda de confidencialidade.
Com isso, todos os recursos capazes de armazenar informaes devem ser definidos
como mdias e a organizao deve possuir procedimentos especficos para orientar todo o
tratamento das mesmas.
Depois de terem sido julgados os principais aspectos que uma Poltica de Segurana
da Informao deve abordar, imediatamente cabe empresa avaliar quais so aplicveis e
redigir os procedimentos para cada um deles, compondo assim a Poltica de Segurana da
Informao da empresa.

5.3 Principais benefcios alcanados

Se a poltica implantada for efetiva, ou seja, se ela apresentar as caractersticas
necessrias como: simplicidade, comprometimento de todos os envolvidas da organizao,
84
exatido, e estar adequada para todos, certamente ela obter alguns benefcios. De acordo com
Ferreira e Arajo (2006) os principais benefcios so classificados de acordo com o prazo, dos
quais so:
Curto prazo
Formalizao e documentao dos procedimentos de segurana seguidos pela
empresa.
Implementao de novos procedimentos e controles
Precauo de acessos no autorizados, danos ou interferncias do fluxo dos
negcios.
Maior segurana nos processos de negcio.
Mdio prazo
Padronizao das metodologias de segurana incorporados na rotina da empresa.
Adequao segura de novos processos do negcio.
Qualificao dos sistemas de respostas a incidentes.
Conformidade com a Norma ISO/IEC 17799.
Longo prazo
Retorno do investimento aplicado, por meio da reduo de incidentes decorrentes
por problemas relacionados segurana.
Solidificao da imagem associada a Segurana da Informao.
A seguir ser apresentado um estudo de caso, mostrando a atual situao da empresa,
e em seguida sero apontadas algumas solues com base nas deficincias encontradas com
relao segurana da informao.




85
6 ESTUDO DE CASO


6.1 Apresentao da empresa e metodologia


O estudo de caso foi realizado em uma indstria do ramo alimentcio/farmacutico e
que est localizada na regio centro-oeste do Estado de So Paulo. A SAF (nome fictcio dado
empresa para preservar sua integridade) uma empresa que est h mais de 45 anos no
mercado e uma das empresas de destaque no seu segmento, contando atualmente com
aproximadamente 200 funcionrios.
A parceria com a empresa SAF foi viabilizada devido um dos integrantes do grupo
deste TCC (Trabalho de Concluso de Curso) conhecer o Gestor do Departamento de
Tecnologia da Informao da empresa, o qual j havia exposto a necessidade de um estudo
sobre Segurana da Informao na empresa.
Como a empresa SAF tinha a necessidade de realizar um estudo sobre Segurana da
Informao foram realizadas duas reunies entre os integrantes do grupo e o Gestor do
Departamento de Tecnologia da Informao para que fossem identificadas as necessidades da
empresa com relao a Segurana da Informao.
A empresa SAF apresentou para o grupo deste TCC que suas principais necessidades
atualmente para Segurana da Informao so: um estudo sobre os principais problemas que a
empresa apresenta atualmente e como estes problemas podem ser solucionados sem que a
SAF tenha que realizar grandes investimentos em ferramentas e tecnologias de Segurana da
Informao. O objetivo da empresa SAF utilizar-se deste estudo como base para o incio de
suas aes para aumentar e melhorar sua Segurana das Informaes.
A empresa SAF gentilmente permitiu a permanncia dos alunos durante vrios dias
acompanhando o cotidiano de trabalho da mesma e, alm disso, permitiu que diversos
86
funcionrios fossem entrevistados, inclusive o Presidente e os Diretores da Empresa,
mostrando o comprometimento da alta direo para com o assunto.
Para que fosse possvel a identificao dos principais problemas de Segurana da
Informao que a SAF apresenta atualmente foi realizado um acompanhamento dos trabalhos
realizados pelos seus funcionrios. Este acompanhamento foi o primeiro passo para que fosse
possvel conhecer como o dia a dia dos funcionrios da Empresa e qual a importncia que
dada por eles para a Segurana das Informaes da Empresa.
Baseado no que foi encontrado no dia a dia de trabalho da empresa em conjunto com
seus atuais objetivos para Segurana da Informao foram elaboradas entrevistas direcionadas
aos seguintes departamentos da Empresa: Presidncia, Diretorias, Tecnologia da Informao,
Recursos Humanos, Administrativo / Financeiro, Industrial, Pesquisa & Desenvolvimento e
Garantia da Qualidade / Controle da Qualidade. Cada questionrio de entrevista (ver
apndices) constituiu-se de questes das quais eram diretamente ligadas ao departamento em
estudo, para que facilitasse a anlise de cada item internamente no departamento, o que
conseqentemente iria refletir para a Empresa como um todo, aps a consolidao das
entrevistas.
Para a elaborao das questes em cada uma das entrevistas foram considerados
como bases os conceitos apresentados nos captulos anteriores, principalmente o terceiro e o
quinto captulo, no entanto, alguns tpicos destes captulos no foram abordados na
elaborao das questes e na continuidade do estudo na Empresa por terem sido classificados
como no aplicveis para o momento.
O mtodo de entrevista foi o escolhido para o levantamento por oferecer a
possibilidade de questionamentos durante a entrevista, dando a oportunidade dos
entrevistadores conseguirem absorver o mximo de cada entrevista.
87
Em seguida, com base em tudo o que foi identificado na empresa, ou seja, com o
apoio das entrevistas realizadas com os diversos funcionrios da empresa e com o devido
acompanhamento dirio dos funcionrios, foi possvel fazer um panorama com a atual
situao da empresa com relao Segurana das Informaes.
A seguir ser apresentado o panorama atual da empresa para cada tpico avaliado,
bem como as solues propostas para cada tpico.

6.2 Panorama atual da empresa e Solues Propostas

6.2.1 Poltica de Segurana da Informao

Existe atualmente uma Poltica que define algumas regras e as boas prticas para o
uso dos recursos computacionais e de telecomunicaes. Esta Poltica chamada de Poltica
de Utilizao dos Recursos Computacionais e de Telecomunicaes. Em boa parte ela
contempla os requisitos para uma Poltica de Segurana da Informao, porm no aborda os
tpicos com a nfase e detalhamento que receberiam se fizesse parte de uma Poltica de
Segurana da Informao.
Este documento foi publicado na empresa no ano de 2003 e at hoje no sofreu
nenhuma reviso. Foi verificado que o mesmo no apresentou uma correta divulgao pela
empresa, pois muitos dos entrevistados no conseguiram se recordar como tiveram cincia
deste documento e os que conseguiram lembrar entraram em divergncia com o que foi
apresentado pelo Departamento de Tecnologia da Informao, que foi o responsvel pela
elaborao e divulgao da poltica.
Segundo o Departamento de Tecnologia da Informao, a divulgao do documento
ocorreu por intermdio de uma reunio com todos os gestores das reas, na qual ficou
88
definido que cada gestor era responsvel pela divulgao dentro de suas reas de
responsabilidades.
Solues propostas:
Revisar a Poltica atual, pois j se passaram trs anos de sua implantao, sem
nenhuma reviso;
Criar um Comit de Segurana da Informao, para que possa ajudar na reviso
da Poltica atual;
Realizar um treinamento com todos os colaboradores da empresa aps a reviso
deste documento;
Ministrar o treinamento por um pessoal que tenha amplo conhecimento do
assunto, para evitar eventuais dvidas;
Formalizar que todos tm cincia do que a Poltica de Segurana da informao
rege, para evitar problemas futuros.

6.2.2 Titularidade das Informaes

A Poltica atual da empresa fala sobre a titularidade das informaes, ela define que a
empresa tem todos os direitos sobre toda e qualquer informao que esteja armazenada nos
recursos tecnolgicos da empresa e que propriedade da empresa. No entanto, foi constatado
que isto no est muito claro para todos os usurios, o que pode trazer srios problemas para a
empresa caso seja necessrio tomar alguma atitude embasada nesta poltica.
Solues propostas:
Com a devida divulgao da nova Poltica, conforme citado no item anterior este
problema ser solucionado, uma vez que a Poltica abrange este tema.

89
6.2.3 Segurana das Informaes

A Segurana das Informaes foi apresentada por praticamente todos os
departamentos como uma questo de fundamental importncia para a empresa. A Poltica
existente estabelece alguns pontos sobre Segurana das Informaes, e quem so os
responsveis diretos e indiretos.
A Segurana das Informaes na SAF apresentou diversas falhas e vulnerabilidades
da empresa em diversos aspectos e setores da mesma.
Algumas das principais falhas encontradas foram:
Falta de controle efetivo de pessoas que entram e saem da empresa com cmeras
digitais, celulares com cmera, pen drivers, disquetes e outros dispositivos de
armazenamento;
Falta de identificao dos gestores de ativos, principalmente em ativos do tipo
informao;
Ausncia de um treinamento sobre a importncia do IDs e senhas dos usurios,
principalmente com funcionrios mais antigos da empresa, que ingressaram antes
de 2005;
No existe controle sobre envio e recebimento de mensagens pelo correio
eletrnico, todos que tm acesso a esta ferramenta podem enviar e receber
anexos;
Praticamente todas as estaes de trabalho possuem unidades de disquete e USB
liberados;
Insuficincia de controle sobre a impresso de ordens de produo, pois as
mesmas trazem as frmulas dos produtos na ntegra;
90
Falta de cuidado com a impresso e manuseio de documentos contendo
informaes estratgicas e confidenciais, que so deixados prximos s
impressoras por horas e at mesmo por dias.
Solues propostas:
Realizar um controle efetivo de pessoas que entram na empresa com dispositivos
como: cmeras, celulares com cmera, filmadoras e afins, inclusive a entrada de
funcionrios com este tipo de equipamento;
Melhorar a identificao dos gestores dos ativos da empresa;
Fortalecer no treinamento da nova Poltica a importncia do ID e senha de cada
usurio;
Adquirir um sistema que consiga controlar o envio / recebimento de mensagens
de correio eletrnico, principalmente que consiga dividir os usurios em grupos
com diferentes tipos de acesso a este recurso, como por exemplo: os que podem e
os que no podem enviar ou receber mensagens com anexos;
Remover das estaes de trabalho as unidades de disquete, CD Rom e bloquear
as portas do tipo USB;
Criar um mecanismo que controle a impresso de ordens de produo e outros
documentos que possuam informaes altamente confidenciais, como as
frmulas que esto nas ordens de produo.

6.2.4 Classificao das Informaes

No existe a classificao das informaes na SAF, ou seja, elas so classificadas
quanto a sua sensibilidade ou importncia para a empresa. O que foi considerado por muitos
com relao classificao das informaes o fato de terem uma rea da rede de arquivos
91
em que possvel determinar nveis de acessos diferentes para usurios distintos. Esta rea da
rede mencionada pelos usurios considerada pelo Depto. de TI como sendo uma importante
rea de armazenamento de informaes, sejam elas confidenciais ou no, porm a falta da
classificao destas informaes no permite que seja realizado um trabalho efetivo para a
proteo de uma maneira mais intensa nas informaes classificadas como crticas e
confidenciais.
Solues propostas:
Iniciar um trabalho de classificao das informaes, pois atualmente isso no
existe na empresa, ou seja, identificar junto aos gestores em qual nvel de
classificao (internas, pblicas ou confidenciais) cada grupo de informaes
pertence, para que seja aplicado o nvel de segurana adequado para cada nvel
de classificao.

6.6 Sigilo das Informaes

Como no existe uma classificao das informaes difcil para a SAF poder
controlar e garantir o sigilo das informaes. Foi apurado que informaes consideradas
confidenciais pelos departamentos so enviadas pelo correio eletrnico sem nenhum controle,
isto , qualquer indivduo que tenha acesso informao pode a qualquer momento enviar um
arquivo anexado em uma mensagem de correio eletrnico sem o controle ou autorizao de
um superior.
Do mesmo modo, no h na empresa uma poltica de mesas e telas vazias, com o
intuito de diminuir a oportunidade de pessoas no autorizadas obterem acesso a informaes
confidenciais ou sigilosas da empresa.

92
Solues propostas:
Aps o trabalho de classificao das informaes ser possvel controlar de uma
maneira efetiva as informaes sigilosas;
No treinamento da nova Poltica falar sobre a importncia de no deixar
informaes importantes espalhadas pela mesa;
Destacar tambm no treinamento a importncia de bloquear a estao de trabalho
quando se ausentar.

6.2.6 Autorizao para acesso a recursos tecnolgicos

A autorizao para novos acessos e novos usurios est bem definida na Poltica
atual da empresa, e este foi um ponto no qual observou-se que praticamente todos apresentam
cincia da hierarquia existente e seguem a regra estabelecida na Poltica vigente. Um ponto
fraco encontrado foi que uma simples mensagem de correio eletrnico ou do sistema de
comunicao interna da empresa, enviada pelas pessoas autorizadas j suficiente para a
liberao do acesso.
Solues propostas:
Criar um mecanismo um pouco mais formal para a solicitao. Por exemplo, um
documento especfico para a solicitao de novos usurios ou novos acessos, que
force o solicitante a refletir principalmente o motivo pelo qual est fazendo esta
solicitao e se realmente necessrio para o momento.

6.2.7 Proteo contra vrus e softwares maliciosos

93
Todas as estaes de trabalho possuem sistema de antivrus instalados e os mesmos
so atualizados diariamente. A atualizao no totalmente automatizada, pois depende da
confirmao do usurio para aceitar ou no que o arquivo de atualizao seja executado na
estao de trabalho.
Os usurios em sua grande maioria no receberam nenhum tipo de treinamento com
relao ao uso deste tipo de software de maneira adequada, possibilitando assim o acesso a
arquivos que possam estar infectados sem uma verificao anterior.
A Poltica estabelece tambm que a empresa reserva-se no direito de recusar
determinados tipos de arquivos ou contedos, principalmente pelo correio eletrnico, esta
prtica no est muito bem difundida pelos usurios, pois eles no sabem exatamente quais os
tipos de arquivos que so recusados pela empresa e tambm no possuem a adequada
instruo de leitura para as mensagens de correio eletrnico o qual o servidor gera
automaticamente quando acontece este tipo de situao.
Solues propostas:
Implantao de um sistema de antivrus do tipo corporativo, o qual oferece mais
recursos e maior controle das estaes de trabalho;
Deixar claro na nova Poltica como estabelecida a recusa de determinados tipos
de arquivos, e quais so estes tipos;
Implantar um sistema de anti spam.

6.2.8 Procedimentos para acesso a internet

A Poltica existente define que o acesso internet pelos usurios previamente
autorizado pelos seus superiores. O acesso acontece aps a validao de usurio e senha.
Existe um firewall que faz um controle de contedo e monitora todos os acessos de todos os
94
usurios. Praticamente, todos tm cincia de que os acessos realizados na internet so
arquivados para fins de auditoria por parte do gestor responsvel pela rea.
Por outro lado, os gestores no tm total cincia de que podem a qualquer momento
solicitar relatrios dos acessos dos usurios que esto sob sua responsabilidade.
Solues propostas:
Implementar uma ferramenta que gerencie melhor os acessos dos usurios e que
consiga fornecer relatrios de uma maneira prtica;
Controlar os usurios de ferramentas de mensagem instantnea, inclusive a lista
de contatos de cada um, para evitar desperdcio de tempo;
Enviar relatrios peridicos para os gestores.

6.2.9 Procedimentos para Correio Eletrnico

A Poltica existente aborda o tema de correio eletrnico, definindo claramente como
liberado o acesso a este recurso, e como se deve utilizar tal ferramenta. Ao mesmo tempo,
na Poltica se determinam boas prticas de utilizao do e-mail corporativo.
Uma grande falha que a utilizao desta ferramenta apresenta que no existe um
controle efetivo sobre o envio / recebimento de e-mails, principalmente com anexos, apenas
so bloqueados alguns tipos de extenses de arquivos (.exe, .bat, rom, por exemplo), todavia
todos os usurios de correio eletrnico podem enviar anexos (.doc, .pdf, .ppt, por exemplo).
Esta uma grande falha, pois arquivos confidenciais podem sair da empresa sem o
conhecimento dos responsveis pela informao.
Solues propostas:
Adquirir ou desenvolver um sistema que seja capaz de controlar o
envio/recebimento de mensagens com anexos e dividir os usurios em grupos,
95
por exemplo, usurios que podem apenas enviar mensagens com anexo
internamente, definir conforme a necessidade atual.

6.2.10 Gerenciamento, controle da rede, monitorao do uso e acesso aos
Sistemas

Na Poltica de Segurana da Informao, o gerenciamento e controle dos acessos aos
sistemas, rede e demais recursos que necessitam de um ID e senha, est definido que para a
solicitao destes recursos necessrio que se faa uma solicitao formal do Supervisor ou
Gerente para o Depto. de TI, mencionando o usurio e quais os acessos ele obter.
A hierarquia definida nesta Poltica respeitada e utilizada na prtica.
Somente um problema foi observado neste tpico, com relao a usurios afastados
ou de frias, ou seja, quando os mesmos esto ausentes da empresa por algum dos motivos
citados, eles no tm suas contas bloqueadas nestes perodos, o que pode facilitar para que
pessoas no autorizadas venham a utilizar o login destes usurios, perdendo a rastreabilidade
do que efetivamente cada usurio fez com seu login.
Solues propostas:
Acrescentar na poltica que usurios que saem de frias, licena mdica ou por
qualquer outro motivo se afastem do trabalho por um perodo determinado,
devem ter seus usurios bloqueados neste perodo.

6.2.11 Senhas e processo de logon

A Poltica existente aborda os aspectos de senhas e processos de logon e trata
aspectos como nmero mnimo de caracteres e quantidade de conexes simultneas.
96
Na prtica no so utilizados todos os conceitos apresentados na Poltica, alguns dos
principais problemas encontrados foram:
Senhas genricas;
Senhas sem o tamanho mnimo;
Sistemas no configurados para rejeitar senhas anteriores;
Senhas no expiram depois de determinado perodo;
Login no bloqueado depois de um grande tempo de inatividade.
Solues propostas:
No permitir o uso de usurios genricos;
Configurar os sistemas operacionais e demais softwares utilizados pela empresa
para no permitirem a criao/alterao de senhas que no cumpram com o
comprimento mnimo estipulado pela poltica;
Configurar os sistemas operacionais e demais softwares utilizados pela empresa
para no permitirem o uso das ltimas senhas de cada usurio;
Configurar os sistemas para bloquearem automaticamente no caso de ser digitado
a senha errada um determinado nmero de vezes, conforme definido na poltica;
Configurar os sistemas para bloquearem a estao de trabalho automaticamente
caso haja um determinado perodo de inatividade, conforme estabelecido pela
poltica.

6.2.12 Backup e Plano de contingncia

A Poltica atual da empresa aborda aspectos de backup. Foi verificado que so
realizados backups dirios e mensais de parte dos servidores, porm alguns servidores ou
97
equipamentos que possuem informaes crticas no possuem backup, devido a falta de
espao nas mdias de armazenamento de backup.
O sistema para realizao de backup nativo do prprio sistema operacional do
servidor no qual fica o equipamento de backup oferece, ele simples e no oferece muitos
recursos para o gerenciamento dos backups.
Os backups so realizados para o um tipo de mdia especfica para backup com
capacidade de at 80 Gb, as mdias so catalogadas apenas com o nome da mesma e no
possuem uma identificao prtica para fcil identificao de contedo nas mesmas.
As mdias de backup semanal ficam na mesma sala onde esto localizados os
servidores, o que expe a empresa a graves problemas no caso de um incndio, por exemplo,
pois todas as mdias se perderiam.
Solues propostas:
Incluir nos backups servidores e equipamentos crticos que atualmente no so
submetidos a isto;
No deixar mdias da semana na mesma sala onde ficam localizados os
servidores;
Criar um mecanismo para validar diariamente os backups e conseqentemente a
integridade das mdias;
Estudar a possibilidade de implantar um sistema de backup mais eficiente,
principalmente que tenha sistema de recuperao integral de sistemas.

6.2.13 Controle de acesso fsico as reas restritas

98
O controle de acesso fsico uma prtica nos departamentos em que ficam as
informaes crticas na empresa. Os dois departamentos, que possuem a maior parte das
informaes crticas da empresa, possuem um bom controle de acesso.
Solues propostas:
Evitar que a sala dos servidores fique destrancada quando no houver algum
responsvel por perto. Por exemplo, na hora do almoo a sala deve ser trancada
com chave e que cada um dos funcionrios habilitados a entrar na sala dos
servidores tenham uma cpia da chave, aumentado a segurana das informaes
sem grandes custos.

6.2.14 Combate e preveno de incndios

Combate e preveno de incndios na empresa uma preocupao muito grande e
bem divulgada entre todos os colaboradores.
Existe na empresa uma brigada de incndio, na qual participam colaboradores de
praticamente todos os turnos, garantindo assim, que em todos os momentos de funcionamento
da empresa, tenha um funcionrio da brigada presente.
A brigada de incndio recebe treinamentos peridicos e realiza simulaes para os
participantes ficarem aptos para trabalharem em diversas situaes.
Hidrantes e extintores esto bem dispostos pela empresa e so constantemente
verificados, principalmente validades dos extintores.
Os extintores so divididos conforme os riscos oferecidos em cada rea, garantindo
assim que o tipo ideal para apagar determinado incndio esteja prximo do local.
Existe tambm um sistema de alarme para alertar, caso ocorra algum incidente de
incndio ou outro que necessite de uma ateno especial de todos. H uma lista com os
99
nmeros de ramais ou telefones importantes, que fica fixada em diversos locais da empresa
facilitando a comunicao em caso de algum incidente.
Solues propostas:
A Poltica de Segurana da Informao deve abordar aspectos de combate e
preveno de incndios.

6.2.15 Triagem de pessoal

A triagem de pessoal est estabelecida em alguns documentos oficiais da rea de
recursos humanos.
A triagem existente atualmente na empresa se preocupa muito com o ato da
contratao dos novos colaboradores, realizando diversas checagens e submetendo os
candidatos ao processo correspondente com a rea de atuao.
Uma falha que pode ser apontada neste processo a falta de uma verificao
peridica dos colaboradores efetivos, principalmente aqueles que ocupam cargos que
manipulam informaes crticas, ou que tenham acesso na parte financeira da empresa.
Outro ponto importante neste processo, que no prtica da empresa atualmente, o
acompanhamento de pessoas que so demitidas ou se desligam da empresa, pois como o
contrato de confidencialidade da empresa estipula um prazo de dois anos para tal
confidencialidade, estas pessoas podem vir a divulgar informaes importantes da empresa
antes do trmino deste perodo.
Solues propostas:
Verificar constantemente a situao financeira dos colaboradores que trabalham
em departamentos estratgicos e que tenham acesso a informaes financeiras e
de resultados da empresa. A verificao pode ser feita por intermdio de
100
consultas a instituies como o SERASA, ou outras instituies que so
acionadas pelas empresas para cadastrarem clientes que esto em dbitos com
elas;
Criar mecanismos para acompanhar ex-colaboradores, principalmente se no
foram transferidos para uma empresa concorrente.

6.2.16 Segurana e tratamento de mdias

A segurana e o tratamento de mdias no esto descritos em nenhuma poltica ou
documento da empresa. No entanto praticado de maneira isolada em alguns departamentos,
principalmente em dados considerados extremamente crticos.
Solues propostas:
Incluir na Poltica de Segurana da Informao um item que especifique como
deve ser realizado o tratamento dos diversos tipos de mdia;
Estar atento com a classificao das informaes, pois somente com uma
classificao bem feita possvel realizar o descarte correto dos diferentes tipos
de mdias e informaes.

6.2.17 Palavra dos diretores

Todos os diretores da empresa foram entrevistados, inclusive o Presidente da
empresa. As entrevistas foram bastante proveitosas, pois os mesmos foram entrevistados
separadamente e cada um pode mostrar o seu conhecimento sobre segurana da informao e
o que pensam para o futuro da empresa.
101
A partir das respostas pode-se observar que todos eles tm conhecimentos sobre o
que segurana da informao de uma maneira bem global.
Os diretores da empresa esto cientes que atualmente a empresa no possui uma
gesto de segurana da informao adequada com o que consideram necessrio para a mesma,
isso ficou muito claro quando questionados sobre a nota que dariam para a segurana da
informao atualmente na empresa e a mdia obtida foi 4,5.
Outro consenso entre os diretores que a segurana da informao um ponto
importantssimo para a empresa, principalmente pelo fato do ramo de atividade da empresa
ser alimentcio/farmacutico, pois so reas que merecem uma grande ateno para questes
de segurana da informao.
A segurana da informao foi classificada por eles como um forte diferencial
competitivo no mercado atual, e que cada vez mais as empresas vo se fortalecer para garantir
principalmente a confidencialidade das informaes das empresas que trabalham em parceria
para grandes e estratgicos projetos.
Segundo os diretores, a rea de segurana da informao uma rea que merece
maior ateno para os prximos anos e que pretendem investir na medida do possvel para
melhor-la. Alm de investimentos, todos deixaram claro que para um projeto de segurana
da informao dentro da empresa, eles daro total apoio para que novas medidas de segurana
da informao sejam implementadas e afirmaram que realmente segurana da informao
uma preocupao da empresa.

6.2.18 Consideraes sobre o Estudo de Caso

102
A Segurana da Informao atualmente na SAF uma rea bastante limitada, ou
seja, tem o bsico para que a Empresa consiga manter seus recursos de sistemas de
informao em funcionamento e sempre disponvel.
Os pontos acima listados foram as principais falhas de segurana da informao
encontradas atualmente na empresa. Seguindo a orientao da empresa, o foco das solues
apresentadas em sua grande maioria so aes que no dependem de investimentos em
recursos tecnolgicos e sim de processos que precisam ser melhorados e implementados na
empresa.
As solues apresentadas para a SAF so as bases que a Empresa necessita para
elaborar um plano de ao de segurana da informao. Estas solues podem ser
implementadas na empresa sem que haja grandes investimentos em recursos tecnolgicos,
mas oferece para a Empresa a possibilidade de criar uma estrutura de segurana da
informao, fazendo com que seus funcionrios tenham no seu dia a dia a cultura de
segurana da informao e comecem a perceber que a segurana da informao um forte
diferencial competitivo para a empresa e no apenas uma rea que apenas restringe e controla
todas as transaes dentro da Empresa.
A seguir ser apresentada uma tabela contendo os principais problemas encontrados
na empresa, seguido das solues propostas.







103
Tabela Problemas e solues com relao segurana da informao na empresa SAF.
Poltica de Segurana da Informao
Problemas Solues
Existncia de uma Poltica desatualizada. Revisar a Poltica atual;

Criar um Comit de Segurana da
Informao;

Realizar um treinamento aps a reviso da
poltica;

Ministrar o treinamento por um pessoal que
tenha amplo conhecimento do assunto;

Formalizar que todos tm cincia do que a
Poltica de Segurana da informao rege.

Titularidade das Informaes
Problemas

Solues
Desconhecimento dos usurios Realizar uma ampla divulgao da nova
Poltica.

Segurana das Informaes
Problemas

Solues
Falta de controle efetivo de pessoas que
entram e saem da empresa com cmeras
digitais, celulares com cmera e dispositivos
de armazenamento;

Falta de identificao dos gestores de ativos;


Ausncia de um treinamento sobre a
importncia do IDs e senhas dos usurios;

No existe controle sobre envio e
recebimento de mensagens pelo correio
eletrnico;



Praticamente todas as estaes de trabalho
possuem unidades de disquete e USB
liberados;

Realizar um controle efetivo de pessoas e
funcionrios que entram na empresa com
dispositivos como: cmeras, celulares com
cmera, filmadoras e afins;

Melhorar a identificao dos gestores dos
ativos da empresa;

Fortalecer no treinamento da nova Poltica a
importncia do ID e senha de cada usurio;

Adquirir ou desenvolver um sistema que
controle o envio/recebimento de mensagens
de correio eletrnico e que divida em grupos:
os que podem e os que no podem enviar
anexos;

Remover das estaes de trabalho as
unidades de disquete, CD Rom e bloquear as
portas do tipo USB;

104
Insuficincia de controle sobre a impresso
de ordens de produo;


Falta de cuidado com a impresso de
documentos contendo informaes
estratgicas e confidenciais, que so deixados
prximos s impressoras por muito tempo.
Criar um mecanismo que controle a
impresso de ordens de produo e
documentos com informaes confidenciais;

Instruir os usurios para no deixarem
documentos importantes impressos prximos
s impressoras, ou seja, sempre que
imprimirem algo buscar em seguida.

Classificao das Informaes
Problemas

Solues
No existe a classificao de informaes. Iniciar um trabalho de classificao das
informaes.

Sigilo das Informaes
Problemas

Solues
No h controle no sigilo das informaes;



No existe uma poltica de mesas e telas
vazias;
Com a classificao das informaes ser
possvel controlar de uma maneira efetiva as
informaes sigilosas;

No treinamento da nova Poltica abordar
sobre a importncia de no deixar
informaes importantes espalhadas pela
mesa e bloquear a estao de trabalho
quando se ausentar.

Autorizao para acesso a recursos tecnolgicos
Problemas

Solues
A liberao do acesso feita por uma
simples mensagem de correio eletrnico ou
do sistema de comunicao interna da
empresa, enviada pelas pessoas autorizadas.

Criar um mecanismo um pouco mais formal
para a solicitao. Por exemplo, um
documento especfico para a solicitao de
novos usurios ou novos acessos.

Proteo contra vrus e softwares maliciosos
Problemas

Solues
A atualizao do antivrus no
automatizada;



A prtica de recusa de determinados arquivos
no bem difundida pelos usurios.
Implantao de um sistema de antivrus do
tipo corporativo, o qual oferece mais
recursos e maior controle das estaes de
trabalho;

Deixar claro na nova Poltica como
estabelecida a recusa de determinados tipos
de arquivos e quais so estes tipos e
implantar um sistema de anti spam.

105


Procedimentos para acesso a internet
Problemas

Solues
Falta de total cincia dos gestores de que
podem a qualquer momento solicitar
relatrios dos acessos dos usurios que esto
sob sua responsabilidade.

Enviar relatrios peridicos para os gestores;

Implementar uma ferramenta que gerencie
melhor os acessos dos usurios e que consiga
fornecer relatrios de uma maneira prtica;

Controlar os usurios de ferramentas de
mensagem instantnea, e a lista de contatos
de todos, para evitar desperdcio de tempo.

Procedimentos para Correio Eletrnico
Problemas

Solues
No existe um controle efetivo sobre o
envio/recebimento de e-mails,
principalmente com anexos.
Adquirir ou desenvolver um sistema que seja
capaz de controlar o envio/recebimento de
mensagens com anexos e definir os usurios
que podem enviar mensagens com anexo.

Gerenciamento, controle da rede, monitorao do uso e acesso aos Sistemas
Problemas

Solues
Usurios afastados ou de frias no tm seus
IDs bloqueados neste perodo.
Acrescentar na poltica que usurios que se
afastem do trabalho por qualquer motivo
tenha seu usurio bloqueado neste perodo.

Senhas e processo de logon
Problemas

Solues
Senhas genricas;

Senhas sem o tamanho mnimo;





Sistemas no configurados para rejeitar
senhas anteriores;


Senhas no expiram depois de determinado
perodo;


No permitir o uso de usurios genricos;

Configurar os sistemas operacionais e demais
softwares utilizados pela empresa para no
permitirem a criao/alterao de senhas que
no cumpram com o comprimento mnimo
estipulado pela poltica;

Configurar os sistemas operacionais e demais
softwares utilizados pela empresa para no
permitirem o uso de senhas antigas.

Configurar os sistemas para bloquearem
automaticamente a senha, caso ela seja
digitada errada vrias vezes conforme
definido na poltica;
106

Login no bloqueado depois de um grande
tempo de inatividade.


Configurar os sistemas para bloquearem a
estao de trabalho automaticamente caso
haja um determinado perodo de inatividade,
conforme estabelecido pela poltica.

Backup e Plano de contingncia
Problemas

Solues
Alguns servidores ou equipamentos que
possuem informaes crticas no possuem
backup;

O sistema para realizao de backup nativo
do prprio sistema operacional do servidor,
ele simples e no oferece muitos recursos;


As mdias so catalogadas apenas com o
nome e no possuem uma identificao
prtica para fcil identificao do contedo.

As mdias de backup semanal ficam na
mesma sala onde esto localizados os
servidores.
Incluir nos backups servidores e
equipamentos crticos que atualmente no
so submetidos a isto.

Estudar a possibilidade de implantar um
sistema de backup mais eficiente,
principalmente que tenha sistema de
recuperao integral de sistemas;

Criar um mecanismo para validar
diariamente os backups e conseqentemente
a integridade das mdias;

No deixar mdias da semana na mesma sala
onde ficam localizados os servidores.

Controle de acesso fsico as reas restritas
Problemas

Solues
O controle bom, porm todo cuidado
pouco.
Evitar que a sala dos servidores fique
destrancada quando no houver algum
responsvel por perto.


Combate e preveno de incndios
Problemas

Solues
Ausncia de documentao. Abordar aspectos de combate e preveno de
incndios na nova Poltica de Segurana da
Informao.

Triagem de pessoal
Problemas

Solues
Falta de uma verificao peridica dos
colaboradores efetivos, principalmente os da
rea financeira;

Falta de acompanhamento de pessoas que so
demitidas ou se desligam da empresa.
Verificar constantemente a situao
financeira dos colaboradores, por meio do
SERASA ou qualquer outra instituio;

Criar mecanismos para acompanharem ex-
colaboradores.
107
Segurana e tratamento de mdias
Problemas

Solues
No existe nada documentado na poltica e
nem em qualquer outro documento da
empresa;

Prtica realizada de maneira isolada em
alguns departamentos.
Incluir na Poltica de Segurana da
Informao uma especificao de como deve
ser realizado o tratamento das mdias;

Atentar-se com a classificao das
informaes para realizar o descarte correto
das mdias.








































108
7 CONCLUSO

Segurana da Informao uma rea que est em evidncia no mercado e as
empresas esto cada vez mais buscando garantir a segurana de suas informaes. A
globalizao e a rapidez com que as empresas precisam se comunicar fazem com que o
volume de informaes geradas seja cada vez maior e mais estratgico, tornando a informao
um valioso ativo para a empresa.
As empresas buscam cada vez mais diferenciais competitivos no mercado e podem
em muitos casos encontrar esse diferencial justamente na Segurana das Informaes. Para a
empresa SAF a Segurana da Informao foi apontada por seu Presidente e Diretores como
um grande diferencial competitivo, pois, garantir para seus clientes e parceiros que as
informaes de seus projetos esto seguras, aumenta sua credibilidade no mercado,
demonstrando respeito e transparncia a toda a sua cadeia de relacionamentos.
A Gesto da Segurana da Informao oferece para a empresa inmeras vantagens e
melhorias, mas estas vantagens so na grande maioria relacionada ao nvel de gerenciamento
que a empresa tem sobre seus funcionrios. A Segurana da Informao no possibilita lucros
diretos, no entanto evita que a empresa venha a sofrer prejuzos que podem ser imensurveis.
Para uma empresa ter sucesso na Gesto da Segurana da Informao necessrio
que fique atenta em duas grandes reas que so: os Recursos Tecnolgicos e Humanos. No
basta comprar os melhores produtos de Segurana da Informao disponveis no mercado,
colocando apenas tecnologia de ponta, ou seja, dinheiro apenas no suficiente, de extrema
importncia o comprometimento da alta direo bem como que a Segurana da Informao
seja inserida na cultura da empresa, para que os funcionrios a vivenciem.
109
Com os funcionrios bem treinados e conscientes de suas responsabilidades com a
Segurana da Informao para a empresa, certamente as tecnologias posteriormente
implementadas apresentaro melhores resultados.
Diante disso a Segurana da Informao apresenta-se no apenas como modismo
entre as empresas e sim como uma rea realmente necessria, que pode oferecer um
diferencial competitivo e principalmente garantir que sempre que uma informao seja
solicitada esta esteja ntegra, disponvel e com sua confidencialidade garantida.

110
REFERNCIAS

ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Cdigo de Prtica para a Gesto
da Segurana da Informao. NBR ISO/IEC 17799: So Paulo, 2001.

BuscaLegis.ccj.ufsc.br. Disponvel em:
<http://www.buscalegis.ufsc.br/arquivos/direito_autoral_programas_comp.htm>.Acesso em: 16
mai. 2006.

Cert.br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil
Disponvel em:<http://www.cert.br/stats/incidentes/2006-apr-jun/top-atacantescc.html> Acesso
em: 25/09/2006.

Convergncia Digital O melhor contedo de TI e Telecom da Internet Brasileira.Disponvel
em:http://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?from%5Finfo%5Findex=
11&infoid=3578&query=simple&search%5Fby%5Fauthorname=all&search%5Fby%5Ffield=tax
&search%5Fby%5Fheadline=false&search%5Fby%5Fkeywords=any&search%5Fby%5Fpriority
=all&search%5Fby%5Fsection=all&search%5Fby%5Fstate=all&search%5Ftext%5Foptions=all
&sid=3&text=seguran%E7a+da+informa%E7%E3o+no+brasil> Acesso em 04 set 2006.

DIAS, Claudia. Segurana e Auditoria da Tecnologia da Informao. 4. ed. Rio de Janeiro:
Axcel Books do Brasil, 2000.

FERREIRA, Aurlio Buarque de Holanda, Minidicionrio Aurlio da Lngua Portuguesa, 4
Edio, 2002.

FERREIRA, Fernando Nicolau Freitas; ARAJO, Mrcio Tadeu de.Poltica de Segurana da
Informao - Guia Prtico para Elaborao e Implementao. 1 ed.Rio de Janeiro: Cincia
Moderna,2006.

FOCO SECURITY. Disponvel em:
<http://www.focosecurity.com.br/servicos/analise_risco.asp> Acesso em: 30/09/2006

IDG NOW! Tecnologia em primeiro lugar. Disponvel em:
<http://idgnow.uol.com.br/seguranca/2006/08/18/idgnoticia.2006-08-18.4274651371/
IDGNoticia_view> Acesso em 29 ago 2006.

IDG NOW! Tecnologia em primeiro lugar. Disponvel em:
http://idgnow.uol.com.br/seguranca/2006/06/26/idgnoticia.2006-06-
26.1265987913/IDGNoticia_view> Acesso em 30 ago 2006.

InfoSecurity Task Force. Disponvel em :<http://www.istf.com.br/> Acesso em: 10/09/2006.

LAUDON, Kenneth C, LAUDON, Jane Price Sistemas de Informao com Internet. 4. ed. Rio
de Janeiro: LTC-Livros Tcnicos e Cientficos S. A, 1999.

111
Mdulo Security. Disponvel em:
<http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=2&objid=393&pagecounter=0&idiom
=0 >. Acesso em: 16 mai. 2006.

Mdulo Security. Disponvel em:
<http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=18&objid=21&idiom=0>. Acesso em:
18 mai. 2006.

Next Generation Center. Disponvel em:<http:// www.nextg.com.br>. Acesso em: 09 abr. 2006.

Security Experts. Disponvel em:
<http://www.securityexperts.com.br/modules.php?name=News&file=article&sid=49>Acesso em
14/09/2006.

Smola, Marcos.Gesto da Segurana da Informao. 2. ed. Rio de Janeiro: Campus, 2003.

Symantec.Disponvel em:<http://www.symantec.com.br> Acesso em: 28 set 2006.

TRUE ACCESS Essencial em Segurana da Informao. Disponvel em:
<http://www.trueaccess.com.br/downl_artigos/artigo%20-
%20investimento%20em%20seguranca%20.pdf.> Acesso em: 22 ago.2006.

TRUE ACCESS Essencial em Segurana da Informao. Disponvel em:
<http://www.trueaccess.com.br/downl_artigos/artigo%20-
%20atividades%20da%20gestao%20corporativa%20de%20seguranca.pdf>
Acesso em: 30 ago.2006.

WIKIPDIA, A enciclopdia livre. Disponvel em:<http://pt.wikipedia.org/wiki/Spam> Acesso
em: 20/08/2006.







112
Glossrio

A

Algoritmo
Seqncia de passos necessrios para resolver problemas lgicos ou matemticos. Certos
algoritmos de criptografia so usados para codificar ou decodificar arquivos de dados e
mensagens, e para assinar documentos digitalmente. Ver Criptografia e Assinatura digital.

Alias
No h um padro comumente aceito pela indstria de segurana para os nomes dos vrus de
cdigos maliciosos mveis. Cada vrus pode ser conhecido por diferentes nomes ou apelidos.

Ameaa combinada
Ou Blended threat As ameaas combinadas renem caractersticas de Vrus, worms,
cavalos de Tria e cdigos maliciosos e valem-se da vulnerabilidade dos servidores e da
Internet para iniciar, transmitir e disseminar ataques. Devido utilizao de diversos mtodos
e tcnicas, as ameaas combinadas podem espalhar-se rapidamente, provocando danos
generalizados. Entre as caractersticas das ameaas combinadas encontram-se:
- A gerao de danos: desencadeiam um ataque de recusa de servio no endereo IP visando,
deformam servidores da Web ou inserem programas cavalo de tria para uma posterior
execuo.
- A propagao atravs de diversos mtodos: procuram vulnerabilidades com o intuito de
comprometer os sistemas, incorporando cdigos em arquivos HTML dos servidores,
infectando os visitantes de sites comprometidos e enviando e-mails no autorizados (com
worms anexados) de servidores comprometidos, por exemplo.
- Os ataques de vrios pontos: as ameaas combinadas injetam cdigos maliciosos nos
arquivos.exe aumentam o nvel de privilgio da conta de convidado (guest), criam
compartilhamentos de rede e legveis, fazem vrias alteraes no registro e injetam cdigo de
script nos arquivos HTML dos Sistemas.
- A disseminao sem interveno humana: verificam a Internet constantemente, em busca de
servidores vulnerveis para atacar.
- A explorao das vulnerabilidades: aproveita-se de problemas muito conhecidos, como
buffers cheios, vulnerabilidades de validao na entrada do http e senhas conhecidas, para
ganhar acesso administrativo no autorizado.

Acionador de atividade
Condio que desencadeia a ativao do vrus ou o faz executar sua rotina destrutiva. A
atividade de alguns vrus acionada em uma determinada data.
A de outros pode ser acionada a partir de execuo de certos programas ou da disponibilidade
de uma conexo com a internet. Ver Gatilho

Applet
Miniatura de aplicao transportada pela Internet, especialmente como uma melhoria em uma
pgina Web. Autores freqentemente embutem applets em pginas HTML como um tipo de
programa adicional. Os applets Java so geralmente os nicos que tm acesso permitido a
determinadas reas do sistema do usurio.Ver Controles ActiveX.

Antivrus
Programa especificamente desenvolvido para detectar, anular e eliminar vrus de computador.
113

Arquivo (vrus de)
Vrus que substitui ou anexa-se a arquivos COM e EXE. Eles podem infectar arquivos com
extenses SYS, DRV, BIN, OVL e OVY. Os vrus de arquivo infectam um ou mais arquivos
onde quer que o arquivo infectado rode. Ver Vrus.

Arquivos COM
Tipo de arquivo executvel com tamanho limitado a 64 kbytes.Esses arquivos simples so
freqentemente usados por programas utilitrios e pequenas rotinas. Como os arquivos COM
so executveis, os vrus podem infect-los.

Assinatura digital
Cdigo utilizado para verificar a integridade de um texto ou mensagem. Tambm pode ser
utilizado para verificar se o remetente de uma mensagem mesmo quem dez ser.

Ataque
Ato de tentar desviar dos controles de segurana de um sistema. Um ataque pode ser ativo,
tendo por resultado a liberao dos dados. Nota: o fato de um ataque estar acontecendo no
significa necessariamente que ele ter sucesso. O nvel de sucesso depende da vulnerabilidade
do sistema ou da atividade e da eficcia das contramedidas existentes.

Ataque interno
Ataque originado de dentro da rede protegida.

Atividade
Trata-se do cdigo de programa que executa a atividade do vrus. Nem todos os vrus tm
atividades - alguns apenas se espalham ou se duplicam- e nem todas as atividades executam
aes destrutivas.

Autenticao
Processo de determinar a identidade de um usurio que esteja tentando alcanar um sistema.
Verificao de identidade.

Avaliao da ameaa
Consiste em uma classificao da gravidade do vrus, worm ou cavalo de Tria. Ela leva em
conta o dano causado pela ameaa, a rapidez com que ela se dissemina em outros
computadores (sua distribuio) e a extenso das infeces registradas.

B

Back door
Falha de segurana de um sistema deixada propositalmente pelo desenvolvedor. Cdigos
maliciosos podem abrir back doors em computadores dando aceso remoto ao micro
contaminado por hackers.

Bipartite (ou bimodal)
Vrus que infecta o setor de boot e arquivos. Ver Vrus

Blindado
114
Vrus que tenta evitar que seu cdigo seja examinado. O vrus pode usar vrios mtodos para
tomar mais difcil o rastreamento, o desmanche e a engenharia reversa de seu cdigo.

Bomba lgica
Cdigo inserido clandestinamente em uma aplicao ou um sistema operacional que leva a
realizar alguma atividade destrutiva ou que comprometa a segurana toda vez que condies
especificadas so encontradas. Compare com Back door.

Boot
1 - Setor do disco rgido ou de disquetes onde ficam gravadas as informaes essenciais de
um programa ou do sistema operacional;
2 - Vrus que infecta a primeira trilha do disco lgico e impede o funcionamento correto do
sistema.Ver Vrus.

Brincalho
Programa inofensivo que faz o computador executar vrias atividades no destrutivas (por
exemplo, apresentar de repente uma nova proteo de tela).ver Vrus.

Bug
Falha no intencional que provoca mau funcionamento em um programa de computador ou
em uma peca de hardware. O termo, que em portugus significa inseto, uma referncia
primeira falha real encontrada em um computador: uma mariposa que havia se instalado entre
os circuitos do computador Mark II, da Universidade de Harvard,causando mau
funcionamento.

Buraco ou brecha
Vulnerabilidade na construo do software ou hardware que permite burlar medidas de
segurana.

C

Carga viral
Ao que o vrus executa no computador infectado. Pode ser relativamente incua (como a
exibio de mensagens ou a ejeo do drive de CD) ou bastante destrutiva (como o
pagamento de todo o contedo do disco rgido).

Cavalo de Tria
Um programa que no se duplica sem se copia, mas provoca danos e compromete a segurana
do computador. Normalmente, ele no envia a si mesmo e pode chegar sob a forma de algum
software ou programa brincalho.Ver Vrus.

Certificao
Avaliao detalhada das caractersticas tcnicas e no tcnicas da segurana de um sistema e
de outras protees, com base no processo de credenciamento,que estabelece a extenso na
qual um projeto se encontra em relao a um conjunto especfico de exigncia da segurana.

Chave de registro
O registro do Windows usa chave para armazenar o ambiente de configurao do computado.
Quando um usurio instala um novo programa, ou as configuraes so alteradas, os valores
115
dessas chaves mudam. Se um vrus modificar essas chaves,elas podero produzir efeitos
danosos. A edio do registro do Windows s deve ser feita por usurios avanados.

Cluster (vrus de)
Vrus que modifica a tabela de entrada de diretrios para que o vrus seja carregado antes de
qualquer outro programa. O cdigo do vrus s existe em um local, mas executar qualquer
programa executar o vrus tambm. Como modificam o diretrio, os vrus de cluster parecem
infectar todos os programas de um disco. Ver Vrus.

Cdigo malicioso
Programa introduzido intencionalmente no computador do usurio com o objetivo de roubar
informaes ou derrubar barreiras de segurana. Ver Cavalo de Tria;Controles Active X.

Cdigo mvel
Programa (software) transferido do host para o cliente (ou para outro computador Host) a fim
de ser executado. Um exemplo de cdigo mvel malicioso o worm.

Confidencialidade
Propriedade de certas informaes que no podem ser disponibilizadas ou divulgadas sem
autorizao para pessoas, entidades ou processos. O conceito garantir que a informao
sensvel seja limitada a um grupo apropriado de pessoas ou organizaes.

Controles ActiveX
Mdulos de software que adicionam funcionalidades a aplicaes baseadas na arquitetura do
modelo de objetos da Microsoft. Na Internet, os controles Active-X transformam uma pgina
Web em pginas de software, que agem como qualquer programa carregado a partir de um
servidor. Por esse motivo, os controles Active-X podem dar pleno acesso ao sistema. Na
maioria das vezes, esse aceso legtimo, mas programadores mal-intencionados podem usar a
tecnologia para aplicaes nada nobres. Ver Applet.

Cookie
Arquivo de texto armazenado no computador do internauta e que serve para identificar o
usurio que visita de novo um site. Um cookie pode conter informaes de registro em um
site e preferncias do usurio. Quando um servidor recebe uma requisio do navegador que
inclui um cookie, o servidor pode usar a informao armazenada no arquivo para personalizar
o site para o internauta. Os cookies podem ser usados para coletar informaes importantes
sobre um usurio que seriam impossveis de obter sem ele.

Correo
Pedao de cdigo feito para corrigir falhas em um software ou no sistema operacional.
Geralmente, as correes so liberadas pelo desenvolvedor do software defeituoso.Ver Patch.

Correntes
Corrente de e-mail ou conhecido no Brasil tambm como forward, trata-se de um e-mail que
enviado para diversos conhecidos ao mesmo tempo e que so eventualmente repassadas
adiante e na maioria das vezes se espalham em ritmo exponencial por causa do efeito domin,
atingindo assim muitas vezes milhes de pessoas.

Cracker
116
Pessoa que quebra a segurana de um sistema sem, necessariamente,conhecer seu
funcionamento a fundo. Intrometido e malicioso que tente descobrir informaes sensveis
bisbilhotando.Ver Hacker.

Criptografado
So os que utilizam a criptografia para se esconder dos verificadores de vrus,ou seja, eles
desorganizam seu cdigo de programa para dificultar a deteco. Ver Vrus.

Criptografia
Conjunto de tcnica que permitem embaralhar as informaes (mensagens, dados
armazenados) transmitidas entre os computadores, de modo a impedir que o contedo dessas
informaes seja lido no meio do caminho. A criptografia usada para autenticar a identidade
de usurios e transaes bancrias e proteger transferncias eletrnicas de fundos e o sigilo
das comunicaes pessoais e comerciais. Ver Encriptao.

D

Dano
O componente relativo a danos avalia os estragos que uma determinada ameaa pode
provocar.Essa avaliao inclui os eventos acionados, a obstruo de servidores de e-mail, a
excluso ou modificao de arquivos, a liberao informaes sigilosas, a degradao do
desempenho, os erros no cdigo do vrus, o comprometimento das configuraes de
segurana e a facilidade com a qual os danos podem ser reparados.

Destrutivo
Os vrus d computador podem ter uma rotina que pode acionar a carga viral. Um vrus ser
definido como destrutivo se sua carga viral causar algum dano ao sistema, como corromper e
deletar arquivos, formatar o HD e executar ataques de negao de servio.

DoS (Denial of Service)
Ou negao de servio, em portugus.Trata-se de um ataque com a finalidade de tirar um site
ou um servidor do ar. Consiste no envio de milhares de requisies simultneas a um
endereo, sobrecarregando o sistema e impedindo o acesso de usurios reais.

E

Encriptao
Processo de disfarar a informao de modo que ela no seja compreendida por uma pessoa
no autorizada. Ver Criptografia.

Engenharia social
Termo usado para tcnicas que apiam mais em pessoas do que no software. O objetivo
levar funcionrios e colaboradores de uma empresa a revelar, por ingenuidade ou confiana,
senhas e outras informaes que possam comprometer a segurana de um sistema.

Explorao
Quando um programa ou tcnica se aproveita de uma vulnerabilidade do software. As
exploraes podem ser usadas para violar a segurana ou atacar um host atravs da rede.

F
117

Firewall
Filtro colocado no computador que funciona como ima barreira contra intrusos ou uso
indevido dos recursos do sistema. Pode ser software, hardware ou uma combinao dos dois.

G

Gatilho
Ao ou data que pode acionar o vrus no computador infectado. Os vrus ativados por data
podem afetar o computador nos 365 dias do ano, pois podem infectar a mquina antes da data
para sua execuo.

H

Hacker
Pessoa que gosta de explorar os detalhes e ampliar as capacidades de sistemas programveis.
Ao contrrio da maioria dos usurios, que prefere aprender apenas o mnimo necessrio, o
hacker:
- programa entusiasticamente ou gosta mais de programar do que apenas teorizar sobre
programao;
- programa rapidamente;
- especialista em algum tipo de programa ou que freqentemente fez seu trabalho usando a
especialidade ou baseado nela;
- gosta do desafio intelectual de superar ou driblar limitaes.
Ver Cracker

Hoax
Vrus falso ou vrus-boato. Normalmente uma mensagem de e-mail enviada sob a forma de
corrente que descreve algum vrus devastador de existncia bastante improvvel. bem
fcil identific-lo porque mo h arquivos anexados, nem o aval de nenhuma autoridade para
as declaraes de mensagem, e tambm pelo tom geral da mensagem.Ver Vrus.

I

Infeco
Ao que um vrus coloca em prtica quando entra em um sistema de computador ou em um
dispositivo de armazenamento.

Intruso
Invaso ou tentativa de invaso de um sistema protegido.

M

Macro
Programa ou segmento de cdigo escrito na linguagem de macro interna de um aplicativo.
Algumas macros se duplicam, enquanto outras infectam documentos. Ver Vrus.

Malware
Termo genrico usado para descrever cdigos maliciosos como vrus, cavalos de Tria,
contedo ativo malicioso etc.
118

P

Patch
Remendo, em portugus, um pedao de software para ser adicionado temporariamente a um
programa com a finalidade de corrigir um defeito. Um patch pode ou no funcionar, e pode ou
no ser incorporado definitivamente no programa. Ver Correo.

PGP
Sigla para Pretty Good Privacy, programa de criptografia que utiliza conceitos de chave
pblica e chave privada.

Phreaker
Pessoa que quebra a segurana de redes de telefonia.

Polimorfo
Vrus que cria cpias variadas e funcionais de si mesmo como meio de evitar a deteco por
softwares antivrus.o mesmo vrus pode parecer completamente diferente em sistemas
diferentes ou em arquivos diferentes.Ver Vrus.

Proxy
Um servidor que atua como intermedirio entre um cliente e outro servidor.Normalmente
utilizado em empresas para aumentar a performance de acesso a determinados servios ou
permitir que mais de uma mquina se conectes e utilizados como uma forma de tornar
annimas algumas aes na Internet, como, por exemplo, atacar outras redes ou enviar
SPAM.

R

Replicao
Processo pelo qual um vrus faz cpias de si mesmo com o objetivo de executar infeces
subseqentes. A replicao um das caractersticas que separa os vrus de outros programas
de computador.

Residente de memria
Vrus que permanece na memria depois que executado e infecta outros arquivos quando
certas condies so encontradas.Em contraposio, os vrus no residentes ficam ativos
somente quando a aplicao infectada est rodando.

Retrovrus
Vrus que desabilitam ou infectam um software antivrus especfico.

S

Scam
Falsas mensagens de e-mail enviadas aos usurios utilizando nomes de empresas e servios
conhecidos.Os scams incentivam o usurio a fazer download de arquivos, os quais
posteriormente so detectados como worms, cavalos de Tria ou outras ameaas.Em alguns
casos, essas mensagens simulam formulrios ou pginas de web referentes a bancos ou outro
servio que exija cadastramento, com o objetivo de capturar informaes confidenciais, como,
119
por exemplo, dados bancrios, nmero de carto de crdito, nome e endereo, entre
outras.Ver Hoax.

Senha
Conjunto de caracteres (letras, nmeros e smbolos) de conhecimento exclusivo do usurio.A
senha usada no processo de verificao de identidade.

Sneaker
Indivduo contratado para invadir lugares com o objetivo de testar a segurana.

Spam
Propaganda no solicitada enviada por e-mail.originalmente, o termo usado para definir o
ato de derrubar um programa ao fazer um buffer de tamanho fixo transbordar por causa de
entrada de dados excessivamente grandes.

Spammer
Pessoa que envia mensagens no solicitadas.

Spoofing
Tentativa de ganhar acesso a um sistema fingindo ser um usurio autorizado.

SSL (Secura Sockets Layer)
Protocolo que possibilita realizar comunicaes seguras atravs de criptografia e autenticao.

T

Trojan
Ver Cavalo de Tria.

V

Variante
Novas linhagens de vrus que tomam emprestado o cdigo de outros vrus conhecidos, em
graus variados.As variantes em geral so identificadas por uma ou mais letras aps o
sobrenome do vrus, como: VBS.LoveLetter:B, VBS.LoveLetter.C etc.

Vrus
Programa ou cdigo que se duplica, ou seja, infecta outro programa, setor de inicializao,
setor de partio ou documento que suporta macros inserindo-se ou anexando-se quela meio.
Quando esses programas so executados, o vrus embutido executado tambm, propagando
a infeco.isso normalmente acontece sem que o usurio da mquina perceba.Ao contrrio do
worm, um vrus no pode infectar computadores sem ajuda.Ele se propaga usando vetores,
como, por exemplo, programas trocados por usurios. Os vrus podem no fazer nada, a no
ser propagar-se e deixar o programa infectado funcionar normalmente.Contudo, depois de se
propagar silenciosamente por um perodo, ele comea a exibir mensagens ou pregar peas.

Ver tambm:
- Criptografado
- Polimorfo ou mutante
- Macro
120
- Boot
- Hoax (falso)
- Cavalo de Tria
- Worm
- Arquivo
- Blindado
- Cluster
- Residente de memria

Vulnerabilidade
Qualquer caracterstica de um sistema que permita que algum o impea de operar
corretamente ou que permita a usurios no autorizados assumirem o controlo sobre ele.

W

Wep
Do ingls Wired equivalente Privacy, protocolo de segurana para redes sem fio que usa a
criptografia para a transmisso de dados.

Worm
Programa que faz cpias d si mesmo, por exemplo: de uma unidade de disco para outra,
atravs de e-mail ou outro mecanismo de transporte.ele pode danificar o computador e
comprometer sua segurana, apresentando-se sob a forma de algum software ou programa
brincalho.

















121
APNDICE A Questes direcionadas administrao da empresa

Verificao de existncia de poltica de segurana
01. de seu conhecimento a existncia de poltica de segurana da informao ou algum
documento que trate alguns aspectos de segurana?
02. Esse documento de seu conhecimento?
03. Como foi divulgado este documento no seu departamento?
Titularidade das informaes
04. A empresa tem algum documento que estabelea que a empresa quem detm todos os
direitos sobre toda e qualquer informao que esteja armazena em seus recursos tecnolgicos?
05. A empresa possui um documento que estabelece que ela possa a qualquer momento
acessar qualquer informao armazenada nos seus recursos tecnolgicos de seu
conhecimento este documento
Segurana das informaes
06. A poltica da empresa define que cada funcionrio responsvel direto ou indireto pela
segurana das informaes na empresa de seu conhecimento este procedimento?
07. Voc j recebeu algum treinamento falando sobre a importncia da confidencialidade de
seu usurio e senha nos sistemas?
08. Existe na empresa um documento que prev que os usurios podem vir a serem punidos
caso seja identificado que de alguma maneira tenta burlar ou desabilitar os recursos de
segurana da empresa de seu conhecimento este documento?
09. Atualmente so identificados os gestores de todos os ativos relevantes, e atribudas as
responsabilidades pela manuteno de controles apropriados?
10. feito inventrio de ativos na empresa?
11. A empresa oferece nveis de proteo compatveis com o valor e a importncia dos ativos?
122
12. A organizao capaz de identificar os seus ativos e saber o valor relativo e a importncia
dos mesmos?
13. elaborado e mantido um inventrio dos ativos importantes associados a cada sistema de
informao?
14. evitado o trabalho no supervisionado em reas seguras, tanto por motivo de segurana
como para no dar oportunidade a atividades mal intencionadas?
15. proibida a presena de equipamento fotogrfico, de vdeo, udio ou gravao, a no ser
com autorizao?
16. A organizao estabelece uma poltica referente aos atos de comer, beber e fumar nas
instalaes de processamento de informaes, locais restritos ou prximos a materiais
inflamveis?
Classificao das informaes
17. Existe uma classificao das informaes para assegurar que os ativos de informao
recebam um nvel de proteo adequado?
18. Sabendo-se que algumas informaes so mais sensveis e criticas do que outras e que
alguns itens podem exigir um nvel adicional de proteo ou manuseio especial tem sido
utilizado um sistema de classificao para definir um conjunto apropriado de nveis de
proteo e comunicar a necessidade de medidas especiais de manuseio?
19. As informaes so rotuladas para indicar at que ponto so criticas para a empresa,
quanto sua integridade e disponibilidade?
Sigilo das informaes
20. A empresa estabelece regras para a sada de informaes confidenciais da empresa?
21. Existe controle sobre o envio de informaes confidenciais?
22. permitido o envio deste tipo de informao pelo correio eletrnico? Isto controlado?
123
23. So definidos os colaboradores que devem ter acesso s informaes confidenciais dentro
do departamento?
24. Existe poltica de mesa vazia e tela vazia para reduzir o risco de acessos no autorizados
ou danos a documentos, mdia e instalaes de processamento de informaes?
Autorizao para uso de recursos tecnolgicos
25. Os acessos aos recursos tecnolgicos so definidos conforme a necessidade de cada
usurio?
26. A poltica define a hierarquia para solicitaes de acessos? Esta hierarquia utilizada na
prtica dentro do seu departamento?
27. A poltica estabelece que quando os usurios deixarem suas estaes de trabalho eles
devem bloquear as mesmas para evitar acessos no autorizados? Isso praticado? Se no qual
o motivo?
28. Nas estaes de trabalho so instalados apenas os aplicativos referentes tarefa do seu
departamento?
29. Voc tem permisso para fazer downloads e instalao de softwares em sua estao de
trabalho?
30. de seu conhecimento a hierarquia para solicitao de usurio ou novos acessos?
Proteo contra software malicioso e vrus
31. Seu computador possui um software de antivrus instalado?
32. A atualizao do antivrus automtica? Depende de alguma ao sua para atualizar?
33. Voc recebeu algum tipo de treinamento para a utilizao correta do antivrus?
34. A poltica da empresa estabelece o direito de recusa de determinados tipos de anexos ou
contedos contidos nas mensagens de correio eletrnico de seu conhecimento que
determinados arquivos no so permitidos enviar e receber?
124
35. A poltica estabelece que todos os softwares da empresa so homologados e todos os
direitos sobre os mesmos so da empresa e que nenhum funcionrio pode realizar upload
(enviar) de softwares
Procedimentos para acesso internet
36. Existe uma poltica de acesso internet? de seu conhecimento?
37. Para a utilizao da internet necessrio um ID e uma senha? Algum tem conhecimento
de seu ID e senha?
38. Existe controle de contedo permitido acessar na Internet? de seu conhecimento como
isto estabelecido?
39. Existe monitoramento sobre os acessos dos usurios de seu conhecimento este
monitoramento?
40. Voc j recebeu algum treinamento sobre como utilizar a internet de maneira segura e
produtiva?
Procedimentos para uso de correio eletrnico
41. Existe uma poltica para a utilizao de correio eletrnico de conhecimento de seu
conhecimento?
42. Quem o proprietrio dos e-mails que voc envia e recebe?
43. A poltica estabelece que no permitido o uso do correio eletrnico corporativo para fins
particulares de seu conhecimento?
44. Existe algum treinamento sobre como utilizar o correio eletrnico de maneira adequada
poltica da empresa?
Gerenciamento, controle da rede, monitorao do uso e acesso aos sistemas
45. Todas as solicitaes de acesso so formais e liberadas conforme a hierarquia definida na
poltica? Isso controlado no departamento?
46. Existe reviso peridica dos acessos?
125
Identificao e autenticao do usurio, senhas e processo de logon
47. A identificao do usurio individual? Existem senhas genricas no departamento?
48. Existe um nmero mnimo de caracteres para a criao de senha?
Controle de acesso fsico e proteo fsica as reas restritas
49. Existe controle de acesso sala em que esto os documentos de desenvolvimento?
50. Existe monitoramento por circuito fechado de TV s reas em que so armazenadas as
informaes confidenciais do departamento?
51. Existe sistema de combate a incndio prximo a sala em que esto armazenadas as
informaes confidenciais?
52. Existe sistema de deteco de fumaa?
Segurana e tratamento de mdias
53. Existem procedimentos para descarte de mdias (CDs, impressos, disquetes, Hds, etc)?
de conhecimento de todos do departamento?

126
APNDICE B Questes direcionadas diretoria da empresa


01. O que o Sr. (a) entende por segurana da informao? (questionar sobre abrangncia e
processos)

02. Em reunies, eventos, visitas e bate papos em geral com outros empresrios j
conversaram sobre segurana da informao?

03. Qual a importncia da segurana da informao no ramo de atividade da empresa?

04. O Sr (a). tm conhecimento de algum documento que trate aspectos de segurana da
informao na empresa?

05. Em uma escala de 0 a 10 qual nota daria para a segurana da informao da empresa?

06. No segmento da empresa, tem noo se o que existe de segurana em sua empresa
compatvel com o da concorrncia?

07. Na sua viso de quem a responsabilidade pela segurana da informao?

08. Considera que a segurana da informao pode ser um diferencial competitivo da
empresa? Justifique.

09. Acha que a empresa j sofreu algum tipo de ataque?

10. Atualmente, a informao um ativo de grande valor para as empresas e cada vez mais
deve ser protegida como ou at melhor que qualquer outro ativo da empresa. Qual sua
perspectiva para a segurana da informao dentro de sua empresa nos prximos cinco anos?
127
APNDICE C Questes direcionadas ao departamento industrial da empresa

Verificao de existncia de poltica de segurana
01. de seu conhecimento a existncia de poltica de segurana da informao ou algum
documento que trate alguns aspectos de segurana?
02. Esse documento de seu conhecimento?
03. Como foi divulgado este documento no seu departamento?
Titularidade das informaes
04. A empresa tem algum documento que estabelea que a empresa quem detm todos os
direitos sobre toda e qualquer informao que esteja armazenada em seus recursos
tecnolgicos?
05. A empresa possui um documento que estabelece que ela pode a qualquer momento acessar
qualquer informao armazenada nos seus recursos tecnolgicos. de seu conhecimento este
documento?
Segurana das informaes
06. A poltica da empresa define que cada funcionrio responsvel direto ou indireto pela
segurana das informaes na empresa. de seu conhecimento este procedimento?
07. Voc j recebeu algum treinamento falando sobre a importncia da confidencialidade de
seu usurio e senha nos sistemas?
08. Existe na empresa um documento que presume que qualquer usurio possa vir a ser
punido caso seja identificado que de alguma maneira tenta burlar ou desabilitar os recursos de
segurana da empresa? de seu conhecimento este documento?
09. Atualmente so identificados os gestores de todos os ativos relevantes e so atribudas as
responsabilidades pela manuteno de controles apropriados?
128
10. evitado o trabalho no supervisionado em reas seguras, tanto por motivo de segurana
como para no dar oportunidade a atividades mal intencionadas?
11. As reas seguras desocupadas so trancadas fisicamente e inspecionadas periodicamente?
12. proibida a presena de equipamento fotogrfico, de vdeo, udio ou gravao, a no ser
com autorizao?
13. O material recebido inspecionado para detectar eventuais perigos antes de ser
transportado da rea de armazenagem provisria para o local de utilizao?
14. A organizao estabelece uma poltica referente aos atos de comer, beber e fumar nas
instalaes de processamento de informaes, locais restritos ou prximos a materiais
inflamveis?
15. Existe controle sobre a impresso de ordens de produo?
16. Se a ordem for perdida e o operador solicitar uma nova ordem, existe controle sobre este
procedimento?
17. No caso de uma nova solicitao de ordem exigido que traga a ordem velha, mesmo que
seja rasgada, suja ou com danos ao documento?
18. Na ordem de produo vem escrita a frmula de como fazer o produto ?
Classificao das informaes
19. Existe uma classificao das informaes para assegurar que os ativos de informao
recebam um nvel de proteo adequado?
20. Sabendo-se que algumas informaes so mais sensveis e crticas do que outras e que
alguns itens podem exigir um nvel adicional de proteo ou manuseio especial, tem sido
utilizado um sistema de classificao para definir um conjunto apropriado de nveis de
proteo e comunicar a necessidade de medidas especiais de manuseio?
21. As informaes so rotuladas para indicar at que ponto elas so criticas para a empresa,
quanto sua integridade e disponibilidade?
129
Sigilo das informaes
22. A empresa estabelece regras para a sada de informaes confidenciais da empresa?
23. Existe controle sobre o envio de informaes confidenciais?
24. permitido o envio deste tipo de informao pelo correio eletrnico? Isto controlado?
25. So definidos os colaboradores que devem ter acesso s informaes confidenciais dentro
do departamento?
26. Existe poltica de mesa vazia e tela vazia para reduzir o risco de acessos no autorizados
ou danos a documentos, mdia e instalaes de processamento de informaes?
Autorizao para uso de recursos tecnolgicos
27. Os acessos aos recursos tecnolgicos so definidos conforme a necessidade de cada
usurio?
28. A poltica define a hierarquia para solicitaes de acessos? Esta hierarquia utilizada na
prtica dentro do seu departamento?
29. A poltica estabelece que quando os usurios deixarem suas estaes de trabalho eles
devem bloquear as mesmas para evitar acessos no autorizados? Isso praticado? Caso no
seja qual o motivo?
30. Nas estaes de trabalho so instalados apenas os aplicativos referentes tarefa do seu
departamento?
31. Voc tem permisso para fazer downloads e instalao de softwares em sua estao de
trabalho?
32. de seu conhecimento a hierarquia para solicitao de usurio ou novos acessos?
Proteo contra software malicioso e vrus
33. Seu computador possui um software de anti-vrus instalado?
34. A atualizao do antivrus automtica ou depende de alguma ao sua para atualizar?
35. Voc recebeu algum tipo de treinamento para a utilizao correta do anti-vrus?
130
36. A poltica da empresa estabelece o direito de recusa de determinados tipos de anexos ou
contedos contidos nas mensagens de correio eletrnico. de seu conhecimento que
determinados arquivos no so permitidos enviar e receber?
37. A poltica estabelece que todos os softwares da empresa so homologados e todos os
direitos sobre os mesmos so da empresa e que nenhum funcionrio pode realizar upload
(enviar) de softwares?
Procedimentos para acesso internet
38. Existe uma poltica de acesso internet? de seu conhecimento?
39. Para a utilizao da internet necessrio um ID e uma senha. Algum tem conhecimento
de seu ID e senha?
40. Existe controle de contedo que permitido acessar na internet. de seu conhecimento?
Como isso estabelecido?
41. Existe monitoramento sobre os acessos dos usurios. de seu conhecimento este
monitoramento?
42. Voc j recebeu algum treinamento sobre como utilizar a internet de maneira segura e
produtiva?
Procedimentos para uso de correio eletrnico
43. Existe uma poltica para a utilizao de correio eletrnico. de seu conhecimento?
44. Quem o proprietrio dos e-mails que voc envia e recebe?
45. A poltica estabelece que no permitido o uso do correio eletrnico corporativo para fins
particulares. de seu conhecimento?
46. Existe algum treinamento sobre como utilizar o correio eletrnico de maneira adequada
poltica da empresa?
Gerenciamento, controle da rede, monitorao do uso e acesso aos sistemas.
131
47. Todas as solicitaes de acesso so formais e liberadas conforme a hierarquia definida na
poltica? Isso controlado no departamento?
48. Existe reviso peridica dos acessos?
Identificao e autenticao do usurio, senhas e processo de logon
49 . A identificao do usurio individual? Existem senhas genricas no departamento?
50 . Existe um nmero mnimo de caracteres para a criao de senha?
Controle de acesso fsico e proteo fsica as reas restritas
51 . Existe controle de acesso sala em que esto os documentos de desenvolvimento?
52 . Existe monitoramento por circuito fechado de TV s reas em que so armazenadas as
informaes confidenciais do departamento?
53 . Existe sistema de combate a incndio prximo a sala em que esto armazenadas as
informaes confidenciais?
54 . Existe sistema de deteco de fumaa?
55 . Materiais perigosos ou combustveis so armazenados de modo seguro e a uma distncia
adequada?
56 . Os suprimentos em grande volume so armazenados dentro de uma rea segura, somente
sendo requisitados medida que forem sendo utilizados?
Segurana e tratamento de mdias
57. Existem procedimentos para descarte de mdias (CDs, impressos, disquetes, Hds, etc)?
de conhecimento de todos do departamento?
132
APNDICE D Questes direcionadas ao departamento de pesquisa e
desenvolvimento da empresa

Verificao de existncia de poltica de segurana
01. de seu conhecimento a existncia de poltica de segurana da informao ou algum
documento que trate alguns aspectos de segurana?
02. Esse documento de seu conhecimento?
03. Como foi divulgado este documento no seu departamento?
Titularidade das informaes
04. A empresa tem algum documento que estabelea que a empresa quem detm todos os
direitos sobre toda e qualquer informao que esteja armazenada em seus recursos
tecnolgicos?
05. A empresa possui um documento que estabelece que ela possa a qualquer momento
acessar qualquer informao armazenada nos seus recursos tecnolgicos. de seu
conhecimento este documento?
Segurana das informaes
06. A poltica da empresa define que cada funcionrio responsvel direto ou indireto pela
segurana das informaes na empresa. de seu conhecimento este procedimento?
07. Voc j recebeu algum treinamento falando sobre a importncia da confidencialidade de
seu usurio e senha nos sistemas?
08. Existe na empresa um documento que prev que qualquer usurio pode vir a ser punido
caso seja identificado que de alguma maneira tentou burlar ou desabilitar os recursos de
segurana da empresa? de seu conhecimento este documento?
09. Atualmente so identificados os gestores de todos os ativos relevantes, e atribuda a
responsabilidade pela manuteno de controles apropriados?
133
10. evitado o trabalho no supervisionado em reas seguras, tanto por motivo de segurana
como para no dar oportunidade a atividades mal intencionadas?
11. As reas seguras desocupadas so trancadas fisicamente e inspecionadas periodicamente?
12. proibida a presena de equipamento fotogrfico, de vdeo, udio ou gravao, a no ser
com autorizao?
13. A organizao estabelece uma poltica referente aos atos de comer, beber e fumar nas
instalaes de processamento de informaes, locais restritos ou prximos a materiais
inflamveis?
Classificao das informaes
14. Existe uma classificao das informaes para assegurar que os ativos de informao
recebam um nvel de proteo adequado?
15. Sabendo-se que algumas informaes so mais sensveis e crticas do que outras e que
alguns itens podem exigir um nvel adicional de proteo ou manuseio especial, tem sido
utilizado um sistema de classificao para definir um conjunto apropriado de nveis de
proteo e comunicar a necessidade de medidas especiais de manuseio?
16. As informaes e as sadas produzidas por sistemas que processam dados, so rotuladas
quanto ao seu valor e grau de sensibilidade para a empresa?
17. As informaes so rotuladas para indicar at que ponto elas so criticas para a empresa,
quanto sua integridade e disponibilidade?
18. As diretrizes de classificao levam em conta e prevem o fato de que a classificao de
um determinado item de informao no necessariamente imutvel no tempo e que pode
mudar de acordo com uma poltica pr-determinada?
19. A responsabilidade pela definio da classificao de uma determinada informao e pela
reviso peridica desta classificao delegada da pessoa que originou a informao ou do
gestor designado da informao?
134
20. So abrangidos os ativos de informao tanto em formato fsico quanto em formato
eletrnico?
21. Para cada classificao so definidos procedimentos de manuseio referentes a tipos de
atividade de processamento da informao como: cpia, armazenagem, transmisso (oral, e-
mail, telefone, correio, celular) e descarte de mdias?
22. Os itens a serem levados em conta incluem relatrios impressos, display na tela,
informaes gravadas (fita, disco, CD Rom), mensagens eletrnicas e transferncia de
arquivos?
23. Etiquetas fsicas (geralmente meio mais apropriado) so utilizadas na rotulagem?
Sigilo das informaes
24. A empresa estabelece regras para a sada de informaes confidenciais da empresa?
25. Existe controle sobre o envio de informaes confidenciais?
26. permitido o envio deste tipo de informao pelo correio eletrnico? Isto controlado?
27. So definidos os colaboradores que devem ter acesso s informaes confidenciais dentro
do departamento?
28. Existe poltica de mesa vazia e tela vazia para reduzir o risco de acessos no autorizados
ou danos documentos, mdia e instalaes de processamento de informaes?
Autorizao para uso de recursos tecnolgicos
29. Os acessos aos recursos tecnolgicos so definidos conforme a necessidade de cada
usurio?
30. A poltica define a hierarquia para solicitaes de acessos? Esta hierarquia utilizada na
prtica dentro do seu departamento?
31. A poltica estabelece que quando os usurios deixarem suas estaes de trabalho eles
devem bloquear as mesmas para evitar acessos no autorizados? Isso praticado? Caso no
seja qual o motivo?
135
32. Nas estaes de trabalho so instalados apenas os aplicativos referentes tarefa do seu
departamento?
33. Voc tem permisso para fazer downloads e instalao de softwares em sua estao de
trabalho?
34. de seu conhecimento a hierarquia para solicitao de usurio ou novos acessos?
Proteo contra software malicioso e vrus
35. Seu computador possui um software de anti-vrus instalado?
36. A atualizao do anti-vrus automtica ou depende de alguma ao sua para atualizar?
37. Voc recebeu algum tipo de treinamento para a utilizao correta do anti-vrus?
38. A poltica da empresa estabelece o direito de recusa de determinados tipos de anexos ou
contedos contidos nas mensagens de correio eletrnico? de seu conhecimento que
determinados arquivos no so permitidos enviar e receber?
39. A poltica estabelece que todos os softwares da empresa so homologados e todos os
direitos sobre os mesmos so da empresa e que nenhum funcionrio pode realizar upload
(enviar) de softwares.
Procedimentos para acesso internet
40. Existe uma poltica de acesso internet? de seu conhecimento?
41. Para a utilizao da internet necessrio um ID e uma senha? Algum tem conhecimento
de seu ID e senha?
42. Existe controle de contedo que permitido acessar na Internet? de seu conhecimento
como isto estabelecido?
43. Existe monitoramento sobre os acessos dos usurios? de seu conhecimento este
monitoramento?
44. Voc j recebeu algum treinamento sobre como utilizar a internet de maneira segura e
produtiva?
136
Procedimentos para uso de correio eletrnico
45. Existe uma poltica para a utilizao de correio eletrnico. de seu conhecimento?
46. Quem o proprietrio dos e-mails que voc envia e recebe?
47. A poltica estabelece que no permitido o uso do correio eletrnico corporativo para fins
particulares? de seu conhecimento?
48. Existe algum treinamento sobre como utilizar o correio eletrnico de maneira adequada
poltica da empresa?
Gerenciamento, controle da rede, monitorao do uso e acesso aos sistemas.
49. Todas as solicitaes de acesso so formais e liberadas conforme a hierarquia definida na
poltica? Isso controlado no departamento?
50. Existe reviso peridica dos acessos?
Identificao e autenticao do usurio, senhas e processo de logon
51. A identificao do usurio individual? Existem senhas genricas no departamento?
52. Existe um nmero mnimo de caracteres para a criao de senha?
Controle de acesso fsico e proteo fsica as reas restritas
53. Existe controle de acesso sala em que esto os documentos de desenvolvimento?
54. Existe monitoramento por circuito fechado de TV s reas em que so armazenadas as
informaes confidenciais do departamento?
55. Existe sistema de combate a incndio prximo a sala em que esto armazenadas as
informaes confidenciais?
56. Existe sistema de deteco de fumaa?
57. O grau de proteo proporcional aos riscos identificados?
Segurana e tratamento de mdias
58. Existem procedimentos para descarte de mdias (CDs, impressos, disquetes, Hds, etc)?
de conhecimento de todos do departamento?
137
APNDICE E Questes direcionadas ao departamento de qualidade da
empresa

Verificao de existncia de poltica de segurana
01. de seu conhecimento a existncia de poltica de segurana da informao ou algum
documento que trate alguns aspectos de segurana?
02. Esse documento de seu conhecimento?
03. Como foi divulgado este documento no seu departamento?
Titularidade das informaes
04. A empresa tem algum documento que estabelea que a empresa quem detm todos os
direitos sobre toda e qualquer informao que esteja armazenada em seus recursos
tecnolgicos?
05. A empresa possui um documento que estabelece que a mesma pode a qualquer momento
acessar qualquer informao armazenada nos seus recursos tecnolgicos. de seu
conhecimento este documento?
Segurana das informaes
06. A poltica da empresa define que cada funcionrio responsvel direto ou indireto pela
segurana das informaes na empresa. de seu conhecimento este procedimento?
07. Voc j recebeu algum treinamento falando sobre a importncia da confidencialidade de
seu usurio e senha nos sistemas?
08. Existe na empresa um documento que prev que qualquer usurio possa vir a ser punido
caso seja identificado que de alguma maneira tentou burlar ou desabilitar os recursos de
segurana da empresa. de seu conhecimento este documento?
09. Atualmente so identificados os gestores de todos os ativos relevantes, e atribuda a
responsabilidade pela manuteno de controles apropriados?
138
10. Existe uma classificao das informaes para assegurar que os ativos de informao
recebem um nvel de proteo adequado?
Sigilo das informaes
11. A empresa estabelece regras para a sada de informaes confidenciais da empresa?
12. Existe controle sobre o envio de informaes confidenciais?
13. permitido o envio deste tipo de informao pelo correio eletrnico? Isto controlado?
14. So definidos os colaboradores que devem ter acesso s informaes confidenciais dentro
do departamento?
15. evitado o trabalho no supervisionado em reas seguras, tanto por motivo de segurana
quanto para no dar oportunidade a atividades mal intencionadas?
16. As reas seguras desocupadas so trancadas fisicamente e inspecionadas periodicamente?
17. proibida a presena de equipamento fotogrfico, de vdeo, udio ou gravao, a no ser
com autorizao?
18. A organizao estabelece uma poltica referente aos atos de comer, beber e fumar nas
instalaes de processamento de informaes, locais restritos ou prximos a materiais
inflamveis?
Classificao das informaes
19. Existe uma classificao das informaes para assegurar que os ativos de informao
recebam um nvel de proteo adequado?
20. Sabendo-se que algumas informaes so mais sensveis e crticas do que outras e que
alguns itens podem exigir um nvel adicional de proteo ou manuseio especial, tem sido
utilizado um sistema de classificao para definir um conjunto apropriado de nveis de
proteo, e comunicar a necessidade de medidas especiais de manuseio?
21. As informaes e as sadas produzidas por sistemas que processam dados, so rotuladas
quanto ao seu valor e grau de sensibilidade para a empresa?
139
22. As informaes so rotuladas para indicar at que ponto elas so crticas para a empresa,
quanto sua integridade e disponibilidade?
23. As diretrizes de classificao levam em conta e prevem o fato de que a classificao de
um determinado item de informao no necessariamente imutvel no tempo, e que pode
mudar de acordo com uma poltica pr-determinada?
24. A responsabilidade pela definio da classificao de uma determinada informao e pela
reviso peridica desta classificao delegada da pessoa que originou a informao ou do
gestor designado da informao?
25. So abrangidos os ativos de informao tanto em formato fsico quanto em formato
eletrnico?
26. Para cada classificao so definidos procedimentos de manuseio referentes a tipos de
atividade de processamento da informao como: cpia, armazenagem, transmisso (oral, e-
mail, telefone, correio, celular) e descarte de mdias?
27. Os itens a serem levados em conta incluem: relatrios impressos, display na tela,
informaes gravadas (fita, disco, CD ROM), mensagens eletrnicas e transferncia de
arquivos?
28. Etiquetas fsicas (geralmente meio mais apropriado) so utilizadas na rotulagem?
Autorizao para uso de recursos tecnolgicos
29. Os acessos aos recursos tecnolgicos so definidos conforme a necessidade de cada
usurio?
30. A poltica define a hierarquia para solicitaes de acessos? Esta hierarquia utilizada na
prtica dentro do seu departamento?
31. A poltica estabelece que quando os usurios deixarem suas estaes de trabalho eles
devem bloquear as mesmas para evitar acessos no autorizados? Isso praticado? Caso no
seja, qual o motivo?
140
32. Nas estaes de trabalho so instalados apenas os aplicativos referentes tarefa do seu
departamento?
33. Voc tem permisso para fazer downloads e instalao de softwares em sua estao de
trabalho?
34. de seu conhecimento a hierarquia para solicitao de usurio ou novos acessos?
35. Existe poltica de mesa vazia e tela vazia para reduzir o risco de acessos no autorizados
ou danos documentos, mdia e instalaes de processamento de informaes?
Proteo contra software malicioso e vrus
36. Seu computador possui um software de anti-vrus instalado?
37. A atualizao do anti-vrus automtica ou depende de alguma ao sua para atualizar?
38.Voc recebeu algum tipo de treinamento para a utilizao correta do anti-vrus?
39. A poltica da empresa estabelece o direito de recusa de determinados tipos de anexos ou
contedos contidos nas mensagens de correio eletrnico? de seu conhecimento que
determinados arquivos no so permitidos enviar e receber?
40. A poltica estabelece que todos os softwares da empresa so homologados e todos os
direitos sobre os mesmos so da empresa e que nenhum funcionrio pode realizar upload
(enviar) de softwares.
Procedimentos para acesso internet
41. Existe uma poltica de acesso internet? de seu conhecimento?
42. Para a utilizao da internet necessrio um ID e uma senha/ Algum tem conhecimento
de seu ID e senha?
43. Existe controle do contedo que permitido acessar na Internet? de seu conhecimento?
Como isto estabelecido?
44. Existe monitoramento sobre os acessos dos usurios. de seu conhecimento este
monitoramento?
141
45. Voc j recebeu algum treinamento sobre como utilizar a internet de maneira segura e
produtiva?
Procedimentos para uso de correio eletrnico
46. Existe uma poltica para a utilizao de correio eletrnico. de seu conhecimento?
47. Quem o proprietrio dos e-mails que voc envia e recebe?
48. A poltica estabelece que no permitido o uso do correio eletrnico corporativo para fins
particulares. de seu conhecimento?
49. Existe algum treinamento sobre como utilizar o correio eletrnico de maneira adequada
poltica da empresa?
Gerenciamento, controle da rede, monitorao do uso e acesso aos sistemas.
50. Todas as solicitaes de acesso so formais e liberadas conforme a hierarquia definida na
poltica? Isso controlado no departamento?
51. Existe reviso peridica dos acessos?
Identificao e autenticao do usurio, senhas e processo de logon
52. A identificao do usurio individual? Existem senhas genricas no departamento?
53. Existe um nmero mnimo de caracteres para a criao de senha?
Controle de acesso fsico e proteo fsica as reas restritas
54. Existe controle de acesso sala em que esto os documentos de desenvolvimento?
55. Existe monitoramento por circuito fechado de TV s reas em que so armazenadas as
informaes confidenciais do departamento?
56. Existe sistema de combate a incndio prximo sala em que esto armazenadas as
informaes confidenciais?
57. Existe sistema de deteco de fumaa?
Segurana e tratamento de mdias
142
58. Existem procedimentos para descarte de mdias (CDs, impressos, disquetes, Hds, etc)?
de conhecimento de todos do departamento?

143
APNDICE F Questes direcionadas ao departamento de tecnologia da
informao da empresa

Verificao de existncia de poltica de segurana
01 . Existe alguma poltica de segurana da informao ou algum documento que trate alguns
aspectos de segurana?
02. Esse documento de conhecimento de todos na empresa? Desde a alta direo at os
cargos menores?
03. Como foi realizada a divulgao deste documento?
Titularidade das informaes
04. A empresa tem alguma poltica ou documento que estabelea que a empresa quem
detm todos os direitos sobre toda e qualquer informao que esteja armazenada em seus
recursos tecnolgicos?
05. A poltica da empresa estabelece que a mesma pode a qualquer momento acessar qualquer
informao armazenada nos seus recursos tecnolgicos?
06. Estes documentos so de conhecimento de todos?
Segurana das informaes
07. A poltica da empresa define que cada funcionrio responsvel direto e indireto pela
segurana das informaes na empresa?
08. Os usurios so orientados quanto importncia da privacidade de seus logins e senhas?
09. Colaboradores que de alguma maneira tentar burlar ou desabilitar algum recurso de
segurana pode ser penalizado? Est definido na poltica?
10. mantida uma proteo apropriada dos ativos da organizao?
11. Atualmente so identificados os gestores de todos os ativos relevantes, e atribuda
responsabilidade pela manuteno de controles apropriados?
144
12. feito inventrio de ativos na empresa?
13. A empresa oferece nveis de proteo compatveis com o valor e a importncia dos ativos?
14. A organizao capaz de identificar os seus ativos e saber o valor relativo e a importncia
dos mesmos?
15. elaborado e mantido um inventrio dos ativos importantes associados a cada sistema de
informao?
16. evitado o trabalho no supervisionado em reas seguras, tanto por motivo de segurana
quanto para no dar oportunidade atividades mal intencionadas?
17. As reas seguras desocupadas so trancadas fisicamente e inspecionadas periodicamente?
18. proibida a presena de equipamento fotogrfico, de vdeo, udio ou gravao, a no ser
com autorizao?
19. A organizao estabelece uma poltica referente aos atos de comer, beber e fumar nas
instalaes de processamento de informaes, locais restritos ou prximos a materiais
inflamveis?
20. So monitoradas as condies ambientais quanto a fatores que poderiam afetar
negativamente a operao dos equipamentos de processamento de informaes?
Classificao das informaes
21. Existe uma classificao das informaes para assegurar que os ativos de informao
recebam um nvel de proteo adequado?
22. A classificao da informao indica a necessidade, as prioridades e o grau de proteo?
23. Sabendo-se que algumas informaes so mais sensveis e crticas do que outras e que
alguns itens podem exigir um nvel adicional de proteo ou manuseio especial, tem sido
utilizado um sistema de classificao para definir um conjunto apropriado de nveis de
proteo, e comunicar a necessidade de medidas especiais de manuseio?
145
24. As informaes e as sadas produzidas por sistemas que processam dados, so rotuladas
quanto ao seu valor e grau de sensibilidade para a empresa?
25. As informaes so rotuladas para indicar at que ponto elas so criticas para a empresa,
quanto sua integridade e disponibilidade?
26. As diretrizes de classificao levam em conta e prevem o fato de que a classificao de
um determinado item de informao no necessariamente imutvel no tempo e que pode
mudar de acordo com uma poltica pr-determinada?
27. A responsabilidade pela definio da classificao de uma determinada informao e pela
reviso peridica desta classificao delegada da pessoa que originou a informao ou do
gestor designado da informao?
28. So abrangidos os ativos de informao tanto em formato fsico quanto em formato
eletrnico?
29. Para cada classificao so definidos procedimentos de manuseio referentes a tipos de
atividade de processamento da informao como: cpia, armazenagem, transmisso (oral, e-
mail, telefone, correio, celular) e descarte de mdias?
30. Os itens a serem levados em conta incluem relatrios impressos, display na tela,
informaes gravadas (fita, disco, CD ROM), mensagens eletrnicas e transferncia de
arquivos?
31. Etiquetas fsicas (geralmente meio mais apropriado) so utilizadas na rotulagem?
Sigilo das informaes
32. A poltica estabelece regras para a sada de informaes confidenciais da empresa?
33. Existe controle sobre o envio de informaes confidenciais?
34. permitido o envio deste tipo de informao pelo correio eletrnico? Isto controlado?
35. So definidos os colaboradores que devem ter acesso s informaes confidenciais?
36. Existe algum termo de confidencialidade quando funcionrios so contratados?
146
Autorizao para uso de recursos tecnolgicos
37. Os acessos aos recursos tecnolgicos so definidos conforme a necessidade de cada
usurio?
38. A poltica define a hierarquia para solicitaes de acessos? Esta hierarquia utilizada na
prtica?
39. A poltica estabelece que quando os usurios deixarem suas estaes de trabalho eles
devem bloquear as mesmas para evitar acessos no autorizados? Isso praticado?
40. Nas estaes de trabalho so instalados apenas os aplicativos referentes tarefa de cada
departamento?
41. Existe controle sobre a instalao de novos softwares nas estaes de trabalhos? Como
este controle?
42. Os usurios tm a permisso para fazer downloads e instalao de softwares?
43. de conhecimento de todos a definio da hierarquia de liberao de acesso?
44. Os dispositivos de entrada e sada das estaes de trabalho (USB, disquete, CD) so
bloqueados? Existe controle sobre o que entra e sai na empresa atravs destes dispositivos?
45. Estaes de trabalho mveis como notebooks e laptops tm um tratamento especial com
relao segurana das informaes? Como isso realizado?
46. Existe poltica de mesa vazia e tela vazia para reduzir o risco de acessos no autorizados
ou danos a documentos, mdia e instalaes de processamento de informaes?
Proteo contra software malicioso e vrus
47. Todos os computadores possuem anti-vrus instalado?
48. A atualizao do anti-vrus automtica ou depende de alguma ao do usurio para
atualizar?
49. O anti-vrus instalado nas estaes de trabalho algum do tipo corporativo ou do tipo
individual?
147
50. Todas as mensagens de correio eletrnico, tanto as recebidas quanto s enviadas so
verificadas pelo anti-vrus?
51. Usurios recebem algum tipo de treinamento para a utilizao correta do anti-vrus?
52. A poltica da empresa estabelece o direito de recusa de determinados tipos de anexos ou
contedos contidos nas mensagens de correio eletrnico?
53. A poltica estabelece que todos os softwares da empresa so homologados e todos os
direitos sobre os mesmos so da empresa?
Procedimentos para acesso internet
54. Existe uma poltica de acesso internet? de conhecimento de todos?
55. Todos os colaboradores tm acesso internet?
56. Para a utilizao da internet necessrio um ID e uma senha?
57. Existe controle de contedo que permitido acessar na internet?
58. Existe monitoramento sobre os acessos dos usurios? Quais so os dados armazenados
para a identificao dos acessos?
59. Qual a freqncia que checada os acessos dos usurios?
60. A poltica de acesso internet define medidas administrativas para tratar os acessos
indevidos?
61. definido na poltica horrio para que usurios possam utilizar a internet de maneira
particular? Como isso controlado?
62. possvel identificar atravs do login e senha de um usurio, de qual estao de trabalho
ele realizou determinado acesso?
63. Usurios so treinados para utilizar a internet de maneira segura?
Procedimentos para uso de correio eletrnico
64. Existe uma poltica para a utilizao de correio eletrnico? de conhecimento de todos?
65. Todos os colaboradores tm acesso ao correio eletrnico?
148
66. Existe controle de contedo das mensagens recebidas e principalmente enviadas? de
conhecimento de todos?
67. Todos os usurios de correio eletrnico podem enviar e receber anexos?
68. A poltica estabelece se permitida a utilizao do correio eletrnico para fins
particulares?
69. Existe algum treinamento sobre como utilizar o correio eletrnico de maneira adequada
poltica da empresa? Todos os usurios receberam este treinamento?
Gerenciamento, controle da rede, monitorao do uso e acesso aos sistemas
70 . A criao ou liberao de novos acessos realizada conforme a necessidade de cada
usurio?
71 . Todas as solicitaes de acesso so formais e liberadas conforme a hierarquia definida na
poltica? Isso controlado?
72 . Existe reviso peridica dos acessos?
73 . Existe procedimento para quando usurios forem demitidos da empresa?
74 . Contas de usurios em frias ou afastados so bloqueadas nestes perodos?
Identificao e autenticao do usurio, senhas e processo de logon
75 . A identificao do usurio individual? Existem senhas genricas?
76 . Os sistemas permitem conexes simultneas de um usurio?
77 . Existe um nmero mnimo de caracteres para a criao de senha?
78 . Os sistemas so configurados para no aceitar a criao de uma senha considerada fraca?
79 . Os sistemas so configurados para bloquear o usurio quando houver um determinado
nmero de tentativas de entrada invlidas?
80 . A senha expira aps um determinado perodo, forando o usurio a troc-la?
81 . permitida a repetio de senha?
82 . O login bloqueado automaticamente se houver um tempo de inatividade grande?
149
83 . So armazenados os logs de acesso dos usurios, para fins de auditoria?
Backup e Plano de contingncia
84 . Existe uma poltica de backup?
85 . Qual a freqncia da realizao de backup?
86 . So realizados testes de integridade nas mdias?
87 . As mdias de backup so armazenadas em prdio ou sala diferente da sala dos servidores?
88 . Existe algum responsvel pela tarefa de backup? Como feito na ausncia do
responsvel? Isso definido na poltica e oficializado com todos os envolvidos?
89 . As mdias so identificadas de maneira a ser fcil a identificao das mesmas?
90 . Todos os servidores ou equipamentos considerados crticos possuem backup?
91 . Existe um plano de contingncia para a restaurao total ou parcial de algum
equipamento?
Controle de acesso fsico e proteo fsica as reas restritas
92 . Existe controle de acesso s salas em que ficam os servidores? Como feito esse
controle?
93 . Existe monitoramento por circuito fechado de TV s reas de processamento de dados?
94 . A rede eltrica do CPD estabilizada?
95 . A fiao eltrica que vai para o CPD independente da que vai para as demais reas?
96 . Os servidores so ligados em nobreaks? Qual o tempo mdio de autonomia?
97 . Existe um plano de manuteno para os nobreaks?
98 . Existe alguma forma de fornecimento de energia alternativo?
99 . Existe sistema de combate a incndio prximo a sala dos servidores?
100 . Existe sistema de deteco de fumaa no CPD?
101. A sala dos servidores monitorada por sistema de alarme?
102. O grau de proteo proporcional aos riscos identificados?
150
Acesso de terceiros rede
103. Existe algum procedimento para a instalao de equipamento de terceiros a rede da
empresa?
104. Existe controle de entrada de terceiros com equipamentos como notebook e laptop?
Segurana e tratamento de mdias
105 . Existem procedimentos para descarte de mdias (CDs, impressos, disquetes, Hds, etc)?
de conhecimento de todos?
151
ANEXO A - Modelo de termo de responsabilidade e Confidencialidade


Eu, _______________________,declaro, nesta data, ter plena cincia e concordncia com todos
os termos estabelecidos por este termo de Responsabilidade e Confidencialidade da Organizao
Ltda. Estou ciente das sanes previamente estabelecidas e divulgadas, sendo que tais
determinaes deste termo perduraro inclusive aps a resciso do vnculo de trabalho.

Firmo o compromisso de seguir todas as consideraes abaixo:

No divulgar quaisquer informaes da organizao, sem a autorizao prvia.
Manter a confidencialidade das senhas sob minha custdia, seguindo todos os
procedimentos e polticas adotados.
No utilizar os equipamentos para nenhuma outra finalidade que no seja aquela ligada s
atividades da organizao.
Obter aprovao formal para a entrada ou sada de equipamentos e informaes.
No utilizar softwares que no sejam homologados.
Utilizar o recurso de correio eletrnico somente para fins profissionais, autorizados
Organizao Ltda a leitura de todas as mensagens trafegadas.
Devoluo, em caso de desligamento, de todo e qualquer material de utilizao da
organizao.
Informar imediatamente qualquer violao das normas estabelecidas, incluindo as
violaes no intencionais e culposas.

Confirmo que li e entendi a Poltica de Segurana da Informao e que irei seguir todas as
determinaes por ela realizadas fielmente.


Local, ___ de ____________ de 20__.


___________________________________
Nome e assinatura do Colaborador