Professional Documents
Culture Documents
• Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
1. Prefácio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
Por: José Eduardo Campos
3. Método de Desenvolvimento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
3.a Agradecimentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
3.b Profissionais Componentes do InfoSec Council . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
9. Ambientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
Por: Dionísio Campos e Ricardo Franco Coelho
INFOSEC COUNCIL – 3
InfoSec Council
O InfoSec Council, criado em 2005, foi idealizado como uma reunião de Profissionais de alto nível (“C-level”)
cujas áreas de atuação implicassem no estímulo, criação, manutenção e evolução de técnicas e estratégias
voltadas à Segurança da Informação.
Ainda que esses Profissionais exerçam suas atividades em Organizações – privadas, públicas e associativas -
sua participação se dá em caráter PESSOAL, em função de sua comprovada e reconhecida experiência nesse
exercício. Além de Profissionais atuantes em Empresas, têm assento no InfoSec as Associações de
Profissionais representativas, tais como: ISACA, ISSA, ASIS, ABSEG e ABNT.
DIVULGAÇÃO
Os direitos autorais deste documento são do InfoSec Council e devem ser respeitados nos termos da Lei
9.610, de 19/02/1998, em especial quanto ao artigo 46.
É autorizada a reprodução do todo ou de suas partes para uso Acadêmico, devendo ser citada expressa-
mente sua fonte. É vedada a reprodução ou armazenamento deste documento para fins comerciais, exceto
em caso de autorização anterior, por escrito, do InfoSec Council. Nenhuma outra permissão ou direito são
concedidos em relação a este documento.
InfoSec Council
infosec.brasil@hotmail.com
INFOSEC COUNCIL – 5
1.PREFÁCIO 2. A QUEM SE DESTINA ESTE DOCUMENTO
Durante as primeiras reuniões realizadas, o tema Conscientização do Usuário e sua participação no Este trabalho é endereçado à Gerência Executiva, aos profissionais responsáveis pelos controles e pela
processo de Segurança foi identificado por todos como um tema extremamente relevante, que afeta qual- Informação (incluindo Gestores de SI e Gestores de TI) e aos profissionais de Auditoria, apoiando-os na
quer Organização independentemente do seu porte ou tipo de negócio. Considerando esse fato, foi deci- avaliação dos ambientes da Informação.
dida a elaboração de um guia prático e conceitual reunindo experiências dos participantes do grupo e
endereçando os diversos aspectos relacionados à conscientização do Usuário.
Com a possibilidade de uma intervenção, durante o CNASI/SP 2005 foi decidido, por meio de um debate, 3. MÉTODO DE DESENVOLVIMENTO
onde serão apresentados os aspectos a serem contemplados no documento final. Dessa forma, interagin-
do com a parcela da comunidade de segurança da informação presente no CNASI, os responsáveis pelo As contribuições para este documento incluem diversos representantes de vários segmentos privados e
desenvolvimento de cada tema poderiam obter mais subsídios para a execução da sua tarefa, além de de órgãos públicos. Como tal, é uma combinação de informações e opiniões de todos os participantes
agregar experiências e opiniões reais da comunidade - que poderá enviar, via correio eletrônico, sugestões do InfoSec Council e não expressa o ponto de vista de qualquer participante individual, menos ainda das
e comentários sobre o debate do CNASI. Organizações nas quais eles trabalham.
O resultado desse trabalho está materializado neste documento em forma de white-paper. O objetivo é 3.a Agradecimentos
fornecer à Comunidade um guia e uma fonte de argumentos na contínua tarefa de mantermos nossos O InfoSec Council deseja agradecer às Organizações e Empresas em que os seus Membros
Clientes, os Usuários, conscientes da importância representada pela Segurança da Informação. atuam, pelo estímulo e motivação que proporcionam aos seus Executivos.
De uma forma resumida, este documento descreve os principais aspectos que devem ser considerados
em um processo de formação de cultura em Segurança da Informação.
Deve-se criar cultura não por capricho de uma área, mas sim para o bem da Organização. O apoio explí- e) Identificar os grupos de usuários e adequar o treinamento
cito da Direção deixa claro que isto é uma decisão de negócio. Todos os Usuários devem ser conscientizados e receber treinamento de segurança da informação.
Do Presidente ao mais humilde Colaborador, bem como os Estagiários e Prestadores de serviço, todos
Cuidado para não interpretar de forma errada esse apoio, entendendo-o como colocar a cultura “gargan- devem passar por esses processos.
ta adentro”. Seu objetivo principal é mostrar a ligação com o sucesso e continuidade do negócio. Evidente
que, em alguns momentos, quando de uma inadequada rejeição da cultura, podemos lembrar ao Usuário O que podemos e devemos fazer é identificar grupos de Usuários que possuam necessidades similares e
que a Organização funciona de uma maneira determinada e que segue suas regras. Caso ele não con- dar o treinamento de forma direcionada a essas necessidades. Temos uma tendência de fazermos essa
corde com as mesmas, a Organização não deve ser um lugar adequado para ele trabalhar. classificação pelos grupos da hierarquia funcional. É uma opção e atende razoavelmente, porém, a
recomendação é para construir o treinamento pelo tipo de uso da informação. Isto é, todos que usam a
b) Formalizar os critérios básicos de que se quer implementar como cultura Internet devem ter um treinamento específico. Seja o Presidente ou seja o Usuário da área de Compras.
As regras básicas devem ser formalizadas em regulamentos (políticas, normas e procedimentos), ser de
conhecimento de todos os Usuários e ser de fácil acesso.
Exemplos de Políticas de Segurança: acessos a sites, utilização de senhas, usos dos recursos de TI, sigilo/
confidencialidade de informações, privacidade de Clientes, nível das informações em documentos etc. São
atribuições do Comitê de Segurança da Informação.
As Normas de Segurança orientam a forma correta e segura e os meios necessários para a operação dos
processos de negócios sem expor a riscos altos o manuseio/acesso em sua forma de execução.
Um exemplo prático de Norma de Segurança é o próprio Firewall, onde as regras definidas são compara-
das com as Políticas. As Normas de Segurança são as formas de como manusear as regras no Firewall.
Além disso, todos esses regulamentos devem ser escritos em uma linguagem simples, direta e de maneira
que cada Usuário da informação os entenda. Deve ser explicitado o que é obrigatório e o que é dese-
jável/opcional. Devemos nos lembrar que, caso algo possa ser interpretado de maneira errada, será inter-
pretado de maneira errada!
Que tipo de informação? Quanto é suficiente? Com que freqüência? De que fonte? Por conta dessas dúvi-
das, as próprias Normas e Políticas devem dar subsídios para podermos atender a necessidade de for-
talecimento dos nossos Usuários. As Políticas de Segurança da Informação devem refletir as melhores
práticas do mercado, fruto do trabalho da Comunidade de Segurança, atendendo a demanda por segu-
rança da informação e, em troca, serem compartilhadas.
Os profissionais da Tecnologia da Informação estão ligados ao complexo de atividades relacionadas às • COLABORADORES: outras pessoas como estagiários, cooperados e quaisquer terceiros que não se
diversas formas de utilização dos recursos proporcionados pelo computador. Como conseqüência, são enquadrem no conceito de empregado ou prestador de serviços, mas que, direta ou indiretamente,
responsáveis por proporem soluções capazes de maximizar o uso das ferramentas tecnológicas, bem exerçam alguma atividade dentro ou fora da empresa.
como por sugerir medidas tendentes a evitar riscos dos mais diversos tipos para a empresa, seja com
relação à perda de dados, vírus, entre outros. Assim, dentro do regulamento serão inseridas cláusulas relativas aos Usuários da rede; senhas e amplitude
de acesso a arquivos; controle de ameaças (vírus, hackers etc.); uso e instalação de software e hardware;
Estas considerações iniciais foram feitas com vistas a delimitar a atividade do gestor de segurança da infor- utilização de equipamentos (computadores, impressoras, notebooks, palmtops etc.); procedimentos de
mação, para que seja possível a análise da responsabilidade que poderá advir no desempenho de suas acesso à Internet e ao correio eletrônico; dentre outras.
funções.
O Termo de Uso de Segurança da Informação (TUSI) também deve ser utilizado pela empresa. O TUSI
O gestor tem o dever de promover o processo de conscientização e treinamento. consiste em um compromisso assumido individualmente de maneira expressa por empregados, presta-
dores de serviços ou colaboradores declarando estarem subordinados ao cumprimento das atribuições
Assim, é recomendável que elabore uma espécie de relatório com a descrição da atual situação da empre- e responsabilidades advindas do RISI.
sa, no que tange à tecnologia empregada.
O TUSI é um documento importante, na medida em que garante a ciência das partes e poderá ser um
A partir daí, um estudo deverá ser dirigido a este relatório para a verificação da existência de “brechas” excelente meio de prova, já que a pessoa se compromete por escrito.
para problemas de cunho econômico e jurídico.
Como visto, o gestor deve seguir os padrões delimitados pelo documento que outorgou esta função e Art. 1.011. O administrador da sociedade deverá ter, no exercício de suas funções, o cuidado e a diligên-
estar imbuído de boas práticas; afinal, cabe a ele fiscalizar o cumprimento das normas de segurança e ela- cia que todo homem ativo e probo costuma empregar na administração de seus próprios negócios.
borar projetos para garanti-la.
Art. 1.016. Os administradores respondem solidariamente perante a sociedade e os terceiros prejudi-
Ninguém pode alegar em sua defesa o desconhecimento das normas vigentes. Portanto, o gestor deverá cados, por culpa no desempenho de suas funções. Ademais, o funcionário, em razão do cargo ou função
estar sempre atualizado a respeito dos aspectos jurídicos que envolvem sua profissão. que ocupa, poderá tomar conhecimento de informações sigilosas, como componentes de fórmulas cri-
adas por empresas que elaborem produtos; detalhes sobre a vida de clientes que sejam partes em deman-
É muito importante que exista este tipo de conhecimento, pois o gestor de segurança poderá ser respon- das judiciais; dados cadastrais de clientes; planejamento para desenvolver a atividade comercial durante o
sabilizado, civil e criminalmente, por seus atos, seja em virtude da conivência com certos comportamen- ano; entre outras.
tos, ou, ainda, por não ter agido com o cuidado e diligência do “homem médio”, nos seguintes termos:
Por tais motivos, alguns dispositivos do Código Penal poderão incidir:
Código Penal:
Divulgação de segredo
Condescendência criminosa
Art. 153 - Divulgar a alguém, sem justa causa, conteúdo de documento particular ou de correspondên-
Art. 320 - Deixar o funcionário, por indulgência, de responsabilizar subordinado que cometeu infração cia confidencial de que é destinatário ou detentor e cuja divulgação possa produzir dano a outrem:
no exercício do cargo ou, quando lhe falte competência, não levar o fato ao conhecimento da autoridade Pena - detenção de um a seis meses ou multa.
competente:
Pena - detenção, de quinze dias a um mês, ou multa. § 1º Somente se procede mediante representação.
Art. 13 - O resultado, de que depende a existência do crime, somente é imputável a quem lhe deu § 1o-A. Divulgar, sem justa causa, informações sigilosas ou reservadas - assim definidas em lei - contidas
causa. Considera-se causa a ação ou omissão sem a qual o resultado não teria ocorrido. (Redação dada ou não nos sistemas de informações ou banco de dados da Administração Pública:
pela Lei nº 7.209, de 11.7.1984) Pena - detenção de 1 (um) a 4 (quatro) anos e multa.
Superveniência de causa independente § 2o Quando resultar prejuízo para a Administração Pública, a ação penal será incondicionada.
§ 2º - A omissão é penalmente relevante quando o omitente devia e podia agir para evitar o resultado. Art. 154 - Revelar alguém, sem justa causa, segredo de que tem ciência em razão de função, ministério,
O dever de agir incumbe a quem: (Redação dada pela Lei nº. 7.209, de 11.7.1984) ofício ou profissão e cuja revelação possa produzir dano a outrem:
a) tenha por lei obrigação de cuidado, proteção ou vigilância; Pena - detenção de 3 (três) meses a 1 (um) ano ou multa.
b) de outra forma, assumiu a responsabilidade de impedir o resuLtado; Parágrafo único - Somente se procede mediante representação.
c) com seu comportamento anterior, criou o risco da ocorrência do resultado.
Não obstante isso, pode acontecer de um funcionário acessar, sem a devida autorização, documentos ou
informações confidenciais de que não lhe seja permitido o conhecimento. Assim, ocorrerá o descumpri-
mento de ordens de seu empregador ou superior hierárquico, podendo o empregado ser demitido por
Para o Security Officer, o COBIT é utilizado como um modelo para um Programa de Segurança da O ITIL é um conjunto de padrões que provê os fundamentos para o processo de gerenciamento dos
Informação, INTEGRANDO segurança com os objetivos de TI relacionados aos negócios e também recursos tecnológicos da TI. Apresenta uma abordagem prática dos processos de produção e entrega dos
estruturando Políticas, Normas e Procedimentos de Segurança da Informação. serviços, baseada em experiência. Seu foco, portanto, é no serviço prestado pela TI das Organizações,
visando aumentar a qualidade desses serviços.
Nos Processos, existem objetivos focados para SI, tais como:
DS5: Garantir a Segurança dos Sistemas; Na Gestão de Segurança, o ITIL possui um processo específico para a Segurança da Informação, enfati-
PO9: Avaliar e Gerenciar Riscos de TI; zando a importância do adequado gerenciamento da SI e considerando os SLA’s entre os processos do
DS3: Gerência de Performance e Capacidade; Negócio e os da TI. Além disso, recomenda que o gerenciamento de Segurança é parte integrante do tra-
DS7:Treinamentos a Usuários; balho de cada Gerente, em todos os níveis.
DS10: Gerência de Problemas e Incidentes;
DS12: Gerência de Ambientes (Segurança Física). FUNDAMENTOS - Valor da Informação:
• Confidencialidade;
A estratégia do COBIT 4.0 faz com que ele assuma diversas funções dentro da Organização: • Integridade;
• Uma Ferramenta: para a Governança de TI; • Disponibilidade;
• Aderência da TI ao Negócio: Requisições orientadas e fundamentadas das áreas-fim da • Privacidade;
Organização, atendendo aos objetivos estratégicos; • Anonimato;
• Garantia de Qualidade: Harmonia e detalhamento para atender aos padrões e práticas de mer- • Autenticidade;
cado, tais como: ITIL, ISO 17799, PMBOK e PRINCE2; • Não Repúdio.
• Gestão de Risco: Controles objetivos e detalhados;
• Governança Corporativa: habilita e facilita a Arquitetura empresarial (RACI–Responsible, NEGÓCIO
Accountable, Consulted and Informed);
• Procedural: Definição de fluxos e processos de TI;
• Comunicação: Unifica a linguagem e divulga os processos de TI, em todos os níveis da Organização;
• Feedback: estimula os comentários, sugestões e recomendações de evolução.
SLA
PLANEJAMENTO
TECNOLOGIA
DA SEGURANCA
Como itens fundamentais para a Segurança, o ITIL recomenda fortemente alguns procedimentos que
Detecção Incidente
possibilitam essa evolução:
Repressão • Catálogo de Serviços: a TI deve publicar na Organização um descritivo de seus serviços, com
Danos as respectivas condições, que atendem a cada requisito do Negócio;
Correção
• OLA’s (Operational Level Agreement): deve ser estabelecido com cada tomador INTERNO de
Avaliação Recuperação serviço; é um SLA mais “enxuto”, mas prevendo integralmente os serviços e suas condições, inclu-
sive custos internos;
• UC’s – Underpinning Contracts: são aqueles estabelecidos com provedores externos, nos quais
devem ser previstas todas as condições, incluindo bônus, penalidades, condições de saída, etc;
O ITIL é dividido em 10 Processos Principais e 4 Processos de Apoio (satélites). Os Processos Principais
são agrupados em dois Grupos: • BD dos ativos existentes e suas configurações atualizadas, incluindo SW, HW, documentação
atualizada, Procedimentos e classificação quanto à Segurança (ver quadro “Valor da Informação”,
Grupo de Suporte aos Serviços (Service Support Set): acima);
• Gestão de Configuração e de Ativos;
• Controle de Incidentes / Help Desk; • Criação de um Service Desk como ponto focal de contato para todos os Usuários de TI; é a
• Gestão de Problemas; área “dona” de todos os incidentes e seu foco é a continuidade de serviço e manutenção do SLA;
• Gestão de Mudanças; incluem-se aí os incidentes de Segurança;
• Gestão de Liberação.
• Gestão de Problemas: nessa área são estudados os incidentes, determinando sua relação, causas
Grupo de Serviços Prestados (Service Delivery set): e medidas para evitá-los; essa abordagem permite detectar “brechas” de Segurança e deve pre-
• Gestão de Níveis de Serviço (SLA); ver forte documentação dos incidentes e soluções;
• Gestão de Disponibilidade;
• Gestão de Desempenho e Capacidade; • Gestão de Mudanças: coordena TODAS as mudanças em infra-estrutura de TI, apóia-se na do-
• Plano de Continuidade de Negócios; cumentação dos incidentes e é responsável end-to-end da mudança;
• Custeio e Gestão Financeira.
OBS: Falhas na Gestão de Mudanças são, historicamente, as causas mais freqüentes de incidentes
de Segurança.
Referências: A análise/avaliação de riscos é uma das três fontes principais para que uma Organização identifique os
www.itsmf.com • www.itsmf.com.br • www.itil.com.uk • www.cert.br • www.itil.org.uk seus requisitos de SI, além de legislações vigentes, estatutos, regulamentações e cláusulas contratuais que
a Organização deva atender; e os princípios, objetivos e requisitos do negócio que venha apoiar as ope-
Valmir Schreiber – presidente da ISACA-SP rações da Organização.
Astor Calasso – diretor da ISACA-SP
3) Existe uma nova definição de SI, agora contemplando outras propriedades: autenticidade, não repúdio
e confiabilidade. Os componentes principais para a preservação e proteção da informação, como a con-
fidencialidade, a integridade e a disponibilidade, foram mantidos na nova definição.
A NORMA NBR ISO IEC 17799:2005
4) O conceito de ativos foi ampliado para incluir pessoas e imagem/reputação da Organização, além dos
A NBR ISO IEC 17799 é um código de boas práticas para a gestão da Segurança da Informação, atua- ativos de informação, ativos de software, ativos físicos e serviços já existentes na versão 2000.
lizado pelo Comitê Internacional da ISO IEC.
5) Uma nova seção sobre Gestão de Incidentes de SI.
Aprovada pela ISO (em Genebra - 15/06/2005), é o resultado de um trabalho de cinco anos, que envolve
aproximadamente 100 especialistas em SI de 35 Países. 6) Os controles existentes foram atualizados, melhorados e incorporados com outros controles.
Mais de 4500 comentários foram analisados e discutidos nas várias reuniões realizadas em Seoul, Berlin, 7) 17 novos controles foram incorporados na versão 2005.
Varsóvia, Québec, Paris, Cingapura, Fortaleza e Viena, entre 2001 e 2005.
No Brasil, a ABNT (Associação Brasileira de Normas Técnicas) lançou no dia 24/08/2005 a versão NBR
A nova versão apresenta os mais modernos conceitos sobre Gestão da Segurança da Informação exis- ISO IEC 17799:2005; a partir de 2007 será numerada como NBR ISO IEC 27002.
tentes no mercado. As principais mudanças foram:
1) Tornou a norma “user friendly”, ou seja, de fácil leitura e entendimento. Apresenta o OBJETIVO DO
CONTROLE, define qual o CONTROLE a ser implementado e apresenta DIRETRIZES para a sua imple-
mentação. Além disso, ainda apresenta INFORMAÇÕES ADICIONAIS, como, por exemplo, aspectos
legais e referências a outras normas.
A NOVA FAMÍLIA DA NORMAS ISO IEC 27000 Número: ISO IEC 1 st WD 27003
Título: Information Security Management Systems - Implementation Guidance
Como forma de dar suporte à implantação da ISO IEC 27001:2005, o Comitê da ISO IEC que trata da segu- Situação: Em desenvolvimento, denominado de WD - Working Draft. Previsão de publicação como
rança da informação decidiu pela criação de uma família de normas sobre Gestão da Segurança da norma internacional: 2008-2009.
Informação. Esta família foi batizada pela série ISO IEC 27000, a exemplo da série ISO 9000 das normas de Aplicação: Fornecer um guia prático para implementação de um SGSI, baseado na ISO IEC 27001.
qualidade e da série ISO 14000 das normas sobre meio ambiente.
Número: ISO IEC 2 nd CD 27005 Na verdade, quando falamos em segurança da informação não nos referimos apenas
Título: Information Security Management Systems - Information Security Risk Management a algo que pertence somente à instituição na qual realizamos o nosso trabalho.A segu-
Situação: Em estágio avançado, vem sendo discutido há mais de 2 anos. Previsão de publicação como rança da informação traz consigo um pouco de cada um de nós porque somos nós
norma internacional: 2007. quem produzimos a informação. Portanto, alterar as informações institucionais é o
Aplicação: Fornece diretrizes para o gerenciamento de riscos de SI. mesmo que alterar informações pessoais, e ninguém deseja ter sua privacidade inva-
dida ou seus segredos íntimos revelados. A preservação da intimidade é algo natural
às pessoas e às sociedades humanas.
Ariosto Farias Jr. – Delegado do Brasil do Comitê ISO IEC JTC1/SC27, Coordenador do ABNT/CB21/SC02 e
Chairman do THE BRAZILIAN 7799 USER GROUP É por esse motivo que o responsável pela conscientização em relação à segurança da informação deve
iniciar seu trabalho pelas pessoas que trabalham na instituição e expandir gradativamente sua conscienti-
zação para a sociedade. Somente assim poderá atingir corações e mentes, sensibilizando-os para um tema
tão delicado e com presença tão constante na sociedade contemporânea.
Certa vez, trabalhando em uma Organização pública eu precisava alertar as pessoas das vulnerabilidades
a que elas estavam expostas ou que expunham suas instituições com o simples uso do e-mail via Internet.
Então enviei, durante uma campanha de conscientização, um e-mail com o seguinte texto, que expressa a
mais pura verdade técnica:
“Você sabia que os administradores dos servidores de rede, em especial os dos servidores de e-mail, podem ler
seus e-mails com grande facilidade?”
Como podemos constatar, o e-mail acima teve por objetivo despertar no Usuário um sentimento de
invasão de privacidade, já que o fato nele relatado não é de conhecimento da maioria das pessoas que
utilizam os sistemas de correio eletrônico.
As reações ao e-mail foram diversas. A primeira veio da área de Tecnologia da Informação, que nos acusou
Outro ponto interessante que pode ser tratado com facilidade diz respeito à classificação das infor- Ao compreendermos o valor das informações que estão em nossas mãos poderemos aumentar o nível
mações. Toda informação, seja ela da instituição ou pessoal, tem um valor intrínseco, mas somente algu- de segurança na sociedade, e isso só é possível pela conscientização. Lembre-se de João Batista, aquele
mas delas possuem potencial para causar prejuízo se forem disponibilizadas de maneira inadequada. personagem bíblico que falava que era a voz que clamava no deserto. O responsável pela segurança da
informação é o João Batista da instituição.
Alguns autores dizem que a diferença de uma pessoa bem sucedida e uma pessoa comum é a sua capaci-
dade de decidir e separar adequadamente o que é urgente e o que é importante. Com as informações
acontece algo bastante semelhante. O segredo do sucesso está em proteger aquelas mais importantes. TC João Rufino de Sales
Quando falamos sobre o assunto nas instituições, a maioria das pessoas pensa assim: “De novo aqueles Revisão – Marcelo Felipe Moreira Persegona M.S.C.
paranóicos da segurança querendo colocar o carimbo de secreto em todos os documentos e mandan-
do aquela cartinha dizendo que quem revelar os segredos vai para rua”. É justamente esse comporta-
mento negativo em relação a segurança que precisa ser revertido.
O assunto, como disse, é de difícil abordagem e não vale a pena para quem precisa chegar num auditório
falando sobre a importância da informação e sobre os graus de sigilo adotados pela sua instituição. Ao
invés disso, faça o seguinte: implemente um plano de visitas aos locais de trabalho de cada pessoa, do dire-
tor ao mais humilde funcionário, reúna um grupo de no máximo dez pessoas e chegue no horário em
que todos estejam envolvidos em suas atividades de rotina. Eu descobri nas minhas visitas que o único
papel que as pessoas conseguem atribuir de maneira palpável à noção de valor é ao papel moeda. Isso
mesmo, ao dinheiro. Ele é um excelente assistente para o seu trabalho de informar ao Usuário da
importância de atribuir segurança e proteção às informações.
Na maioria das vezes você vai encontrar sobre as mesas um número considerável de documentos sem
o menor tratamento de segurança, quer seja em meio físico ou digital. Sugira que cada colaborador anexe
O ambiente físico deve ser contemplado no processo de conscientização A proteção dessas informações, que estão entre os bens da empresa e integram seus ativos, é parte das
da informação do Usuário, o que é mais fácil nas empresas onde já existe atividades diárias da organização como um todo. Não pode ser vista como responsabilidade de uma área
um bom tratamento das questões de segurança patrimonial. Em geral, nes- isolada, porque as informações estão no meio que as contém (papéis, disquetes, computadores etc.) e,
sas empresas também já existe uma percepção clara da importância das principalmente, na cabeça de qualquer um que delas tenha conhecimento.
normas e de seu cumprimento, o que faz com que a migração dessa per-
cepção para o ambiente virtual se dê de forma natural, desde que esti- Qualquer programa de proteção de informações deve, portanto, prever ações de proteção de meios e
mulada. ambientes, além de ser amparado por procedimentos e atitudes dos funcionários, sem o qual não atingirá
seus objetivos.
Importante é dar ao Usuário uma visão clara de que as informações a pro-
teger estão por toda parte, de modo que os ambientes físico e virtual não Algumas noções podem orientar programas de divulgação, como, por exemplo, a informação, que é de pro-
podem ser tratados de maneira excludente ou isolada. priedade da empresa e não do funcionário; a discrição, que deve orientar as atitudes de proteção; os pro-
cedimentos, que devem estar estabelecidos formalmente etc.
Com efeito, a livre circulação de informações é condição de vida e de trabalho, de acesso a tecnologias e
a métodos de produção, o que faz com que ela esteja em toda parte, por necessidade de negócios e de No ambiente físico, podem ser desenvolvidas ações de proteção sobre documentos em geral, originados da
organização social. empresa ou a ela destinados. Como regra geral, todos os documentos são importantes e são de pro-
priedade da empresa, cabendo dispensar-lhe o devido cuidado no recebimento, transporte, manuseio e guar-
Mas a informação também é vital para a atividade criminosa contra as empresas, o que por si justifica a da, para que possam produzir o efeito desejado.
conscientização do Usuário para a importância da proteção das informações nos diversos ambientes em
que ela circula. Essa proteção deve alcançar materiais como impressos, anotações, cópias, carbonos, planos, diagramas, cro-
quis, mapas e outros, bem como partes, rascunhos ou fragmentos, além de fotos, negativos, slides, fitas de
Um programa de proteção e conscientização pode ser amparado pelo conhecimento de alguns cami- vídeo e outros suportes de imagens, materiais gráficos das diversas fases de produção de documento clas-
nhos possíveis para a realização dessa proteção e pela integração dos Usuários nas medidas de proteção. sificado, materiais de informática de maneira geral, inclusive listagens.
Essa proteção pode começar por um inventário das informações empresariais a serem protegidas, e aí se A proteção desses documentos e materiais somente será efetiva se acompanhada da proteção dos ambi-
incluem todas aquelas que poderão ser utilizadas em prejuízo da empresa se forem do conhecimento de entes físicos em que se encontram e aqueles onde são produzidas ou discutidas as informações sensíveis,
outras pessoas além das que delas necessitam para realizar seu trabalho. assim como os sistemas pelos quais essas informações circulam.
Outra providência é a classificação das informações para efeito de uniformização da linguagem dentro da Esses tópicos são complexos por tratarem da proteção contra monitoramento, transmissão ou intercep-
empresa, além dos critérios de classificação para evitar a inclusão de informações sem maior importância, tação de comunicações, quer verbal, quer por telefone, fax, microondas, rádio, Internet ou o que seja, o
para que não se deixe de incluir dados que, depois, se percebe que eram vitais. que exige controle sobre áreas, conhecimento técnico e equipamentos que permitam detecção de dis-
positivos, verificação constante de linhas, acompanhamento de manutenções, limpezas, entregas, retiradas
de móveis etc.
Um Usuário não informado e não comprometido com a empresa pode fornecer informações sensíveis a Segurança da Informação pode ser entendida como o processo de proteger informações garantindo sua inte-
terceiros nas mais diversas situações, tais como: gridade, disponibilidade e confidencialidade.
• Para demonstrar que é bem informado(a); A adoção de um modelo corporativo de gestão de segurança da informação permite à organização equa-
• Compulsivamente, sob o efeito de álcool ou outras drogas; cionar os desafios de proteção da informação levando em conta elementos essenciais para a segurança:
• Em restaurantes e encontros sociais, perto de pessoas que não conhece e que podem estar ali somente ambientes físico e lógico, pessoas e processos.
porque ele(a) está e porque sabem que costuma falar demais fora da empresa;
• Para agradar pessoas a quem deve favores ou de quem quer favores; E por que não extrapolar esse modelo para fora da organização e incorporar as melhores práticas de segu-
• Por dinheiro ou para obter vantagens; rança em nossas vidas? A conscientização de nossas famílias no ambiente doméstico é tão importante quan-
• Por estar apaixonado(a) por pessoa cujo objetivo é a informação e que não hesita em jogar com to no ambiente corporativo.
emoções para conseguir seu intento, para uso próprio ou a serviço de outros;
• Por estar sendo chantageado(a) etc. No ambiente físico, podemos considerar o cuidado com as mídias de computador (CDs, disquetes, DVDs
etc.) onde são armazenados os backups dos computadores domésticos. O cuidado com o manuseio dos
A espionagem industrial é desenvolvida para obter segredos empresariais, geralmente associados ao dife- próprios computadores seguindo padrões para instalação elétrica e cabeamento de dados, proteção contra
rencial competitivo da empresa visada. Traz imensos problemas para governos, empresas, universidades, danos ambientais (calor, umidade, chuva etc.) e a restrição de alimentos, bebidas e fumo próximos aos
institutos de pesquisa e outros. equipamentos.
Vemos, então, que é um engano a empresa não dispensar ao assunto a atenção devida; pode ser vítima O ambiente lógico traz diferentes ameaças pelo crescente aumento do uso da Internet. O indiscriminado
de espionagem e perder mercado, funcionários, produtos, oportunidades e imagem, sem entender o acesso a diferentes websites abre a possibilidade de infecção dos computadores por softwares maliciosos
porquê. como: vírus, bombas lógicas (códigos que permanecem inativos por um determinado período de tempo),
cavalos de tróia (códigos maliciosos “disfarçados” de programas inofensivos) e worms (programas que rodam
A proteção adequada assenta-se sobre a proteção do ambiente físico, do ambiente virtual e deve contar de forma independente).
com a participação consciente dos Usuários nas medidas e programas de proteção, sem a qual as diver-
sas barreiras, físicas ou virtuais, poderão ser vencidas de alguma forma. Outro ponto de atenção é o acesso feito a partir de computadores domésticos a websites bancários. Nesse
caso, as boas práticas de segurança são tão importantes na empresa como em casa, pois as mais avançadas
Dioniso Campos – Gerente de Seg. Corporativa / Nextel e VP / ASIS e Ricardo Franco Coelho – Coordenador barreiras eletrônicas de proteção conseguem bloquear a ação dos fraudadores eletrônicos.
Segurança-SP,VP da ASIS e ABSEG
Sem orientação adequada, o Internauta doméstico se expõe aos mais variados truques e vulnerabilidades
dos fraudadores eletrônicos, que têm como finalidade o roubo de dados bancários para efetuar transações
financeiras indevidas.
Também os sites de comércio eletrônico, amplamente acessados a partir do ambiente doméstico, merecem
atenção redobrada quando se faz uso de cartões de crédito para o pagamento de compras eletrônicas.
Muitos provedores de acesso à Internet, e principalmente a mídia, têm dado atenção aos golpes exis- A Gestão do Risco tornou-se uma questão de negócio, responsabilizando toda a hierarquia da
tentes e ajudado na divulgação e prevenção. Organização, sendo uma preocupação que atinge desde o Board Director até o mais singelo Colaborador.
Co-responsabilidade é a palavra chave. Fundamental então se torna a ampla compreensão dessa questão.
Christiane Mecca As diversas Áreas da Organização devem cerrar fileiras em torno do tema estabelecendo verdadeiras
parcerias em que a proatividade seja a regra. Por exemplo:
• O Gestor do Negócio estabelece os requisitos básicos para a Operação;
• O Gestor Jurídico deve analisar amplamente e acompanhar o ambiente legal e fiscal, estabele-
cendo as regras de adequação e atendimento às regulamentações internas e externas;
• O Gestor Financeiro deve prover o atendimento às imposições dos Acionistas, sua expectativa
de retorno e, principalmente, de perenidade do Negócio;
• O Gestor Operacional deve propor alternativas de processos que atendam às regras de
fornecimento dos produtos e serviços;
• O Gestor de TI (CIO, CTO, Sistemas etc.) deve garantir que as boas práticas estejam presentes
em cada sistema, desde a sua concepção;
No exemplo acima, pode até parecer que estão simplesmente enumeradas as funções básicas de cada
área. E é verdade! A melhor garantia de que os processos de uma Organização tenham uma boa atuação
e de que os investimentos e a sua própria reputação estejam protegidos é a colocação em prática des-
ses princípios fundamentais. Com isso, criar-se-á um ambiente em que as responsabilidades não sejam vis-
tas como fronteiras estritamente definidas, mas como uma atribuição constante e permanente; uma
questão maior que a todos envolve e afeta.
Uma prática que tem apresentado bons resultados é justamente a criação de Comitês de Segurança da
Informação, compostos por representantes de todas as áreas acima mencionadas. É uma forma de unir os
diversos interesses setoriais em torno de uma agenda comum.
Não por acaso, este tema de “Formação de Cultura em SI” foi o escolhido como o primeiro trabalho a
ser tratado pelo INFOSEC COUNCIL. Ele foi derivado exatamente dessa visão compartilhada pelos
Profissionais do Grupo, com enorme experiência no tema, de que a Cultura é o ponto primeiro de todo
o trabalho a ser desenvolvido pelos Gestores de SI das Organizações.
Essa é a base.