CENTRO DE CIÊNCIAS EXATAS, AMBIENTAIS E

DE TECNOLOGIAS

Curso de Especialização em Análise de Sistemas

Ênfase em Arquitetura Cliente-Servidor

Gerenciamento da Segurança de Informação em Redes

de Computadores e a Aplicação da Norma
ISO/IEC 17799:2001

Luciano Eduardo Caciato

Monografia desenvolvida sob orientação

do Professor Mestre Cristiano Roque Roland
Portella, apresentada ao Centro de Ciências
Exatas, Ambientais e de Tecnologias da
Pontifícia Universidade Católica de Campinas
como requisito para obtenção do título de
Especialista em Análise de Sistemas.

Campinas, 2004
 PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS

GRÃO-CHANCELER
Dom Bruno Gamberini

MAGNÍFICO REITOR
Prof. Pe. José Benedito de Almeida David

VICE-REITOR
Prof. Pe. Wilson Denadai

PRÓ-REITORIA DE PÓS-GRADUAÇÃO E PESQUISA

Profa. Dra. Vera Sílvia Marão Beraquet

DIRETOR DO CENTRO DE CIÊNCIAS EXATAS, AMBIENTAIS E DE

TECNOLOGIAS
Prof. Dr. Orandi Mina Falsarella

COORDENADOR DA ESPECIALIZAÇÃO EM ANÁLISE DE SISTEMAS: ÊNFASE EM

ARQUITEURA CLIENTE-SERVIDOR
Prof. Ivan Granja
DEDICATÓRIA
Aos meus pais Vanderlei e Gabriela
Aos meus irmãos Daniel e Vanderlei
A minha noiva Estefania
A Deus por me dar saúde.
AGRADECIMENTOS
Ao Prof. Portella pelos conselhos e pela
paciência na ajuda da criação deste trabalho.

Aos funcionários do Centro de Ciências

Exatas, Ambientais e de Tecnologias da
PUC-Campinas, que muito contribuíram para
que este trabalho fosse concluído.
 RESUMO

Com o avanço da tecnologia e as grandes exigências do mercado, as organizações começaram a

preocupar-se em garantir a segurança da informação, estabelecendo procedimentos em
transações, operando por meio de regras de acesso e restrições e criando hierarquia de
responsabilidades. A Internet onde foram possíveis a digitalização do negócio, a expansão do
comércio exterior e a interconexão entre organizações, era preciso uma norma que garantisse a
segurança da informação. Com a criação da NBR ISO/IEC 17799, é possível garantir através de
diretrizes que as informações sejam protegidas e sem riscos de acessos não autorizados. É
abordado como implantar um ambiente seguro para os negócios, com ênfase em redes de
computadores.

Palavras-Chave: NBR ISO/IEC 17799:2001, Segurança da Informação, Tecnologia da

Informação, Redes de Computadores.

v
SUMÁRIO
Índice dos capítulos

1. Introdução ...............................................................................……….....................008

2. Gestão de Tecnologia da Informação e Segurança da Informação ................................010

2.1. O que é segurança da informação.............................................................................010
2.2. Por que é necessária a segurança da informação......................................................012
2.3. Como estabelecer os requisitos de segurança...........................................................012
2.4. Avaliando os riscos de segurança.............................................................................013
2.5. Selecionando controles para garantir a segurança da informação............................013
2.6. Ponto de partida para a segurança da informação.....................................................015
2.7. Fatores críticos de sucesso........................................................................................015

3. Conformidade com a Norma ISO/IEC 17799:2001..........................................................017

3.1. O que é a NBR ISO/IEC 17799...............................................................................017
3.2. Framework e os controles de segurança da informação da Norma BS7799............018
3.3. Política de segurança da informação .......................................................................018

4. Gerenciamento de Segurança de Redes de Computadores..............................................020

4.1. Controles para as redes de computadores................................................................020
4.2. Segregação de funções..............................................................................................021
4.3. Controle de acesso à rede..........................................................................................021
4.4. Controles Criptográficos...........................................................................................022

5. Conclusão.............................................................................................................................023

6. Referências bibliográficas..................................................................................................024

vi
Lista de Figuras
Figura 1 - Conceitos Básicos da Segurança da Informação.................................................012

vii
 1
Introdução

Com o avanço da tecnologia e o custo cada vez menor do acesso a Internet, é realidade
dizer que existem mais usuários conectados a rede, e por esse motivo é maior a exposição
das organizações, tornando necessário que seja investido em tecnologias como
equipamentos que garantam a segurança dos negócios, porém mesmo com esses
equipamentos ainda não é eficaz a segurança da informação.
Invasão de hacker, espionagem industrial, é cada vez mais fácil enviar as informações
ou mesmo torná-las indisponível. Sempre houve a preocupação em adquirir novos
equipamentos de segurança, mas não se imaginava que o ser humano é um sistema de
informação e que pode transportar essas informações. Por esse motivo é necessária uma
norma que possa implementar a partir da alta direção, uma política de segurança na
organização. Mas como fazer isso?
É possível ter uma rede de computadores totalmente segura em uma organização?
Serão abordados neste trabalho quais são as melhores práticas de segurança da
informação em redes de computadores aplicando a NBR ISO/IEC 17799:2001.
A metodologia utilizada é através da interpretação e utilização das diretrizes da NBR
ISO/IEC 17799:2001 e pesquisa de livros de Gerenciamento de Tecnologia da Informação
e Gestão de Segurança.
O tema gerenciamento da segurança de informação em redes de computadores é de
extrema importância na atualidade, com o aumento expressivo de negócios realizados por
meios de comunicação e os altos investimentos e lucros obtidos é obrigatório que as
organizações mantenham a comunicação entre seus clientes e fornecedores, sempre
disponibilizadas, integras e confiáveis.
Este trabalho está organizado em 6 capítulos fornecendo todo o conteúdo teórico para
a utilização das diretrizes de segurança.
O capitulo dois apresenta as informações teóricas para o entendimento das diretrizes, é
neste capítulo que está definido o que é informação, o porque da segurança da informação
e quais os seus controles de segurança.
O capitulo três apresenta as conformidades da NBR ISO/IEC 17799:2001, o
framework da Norma Britânica BS7779 e como criar a política de segurança da
informação na organização.
O capitulo quatro apresenta as diretrizes da NBR ISO/IEC 17799:2001 relativo à
segurança da informação nas redes de computadores, os controles de acesso e os controles
criptográficos.
O capitulo cinco apresenta a conclusão do trabalho e o porque de utilizar a política e
as diretrizes de segurança.

8
 O capitulo seis apresenta as referencias bibliográficas de onde foram baseadas e
retiradas às informações deste trabalho.

9
 2
Gestão de Tecnologia da Informação e
Segurança da Informação

Em todas as fases da evolução corporativa, é fato que as transações de toda a

cadeia de produção – passando pelos fornecedores, fabricantes, distribuidores e
consumidores – sempre teve na informação uma base fundamental de
relacionamento e coexistência.
Seja para troca de mercadorias, segredo estratégico, regras de mercado, dados
operacionais ou simplesmente pesquisas, a informação, aliada à crescente
complexidade do mercado, à forte concorrência e a velocidade imposta pela
modernização das relações corporativas, elevou seu posto na pirâmide
estratégica do executivo, tornando-se fator vital para seu sucesso ou fracasso.
É ao lado destas variáveis de mercado que a tecnologia, por meio de
instrumentos e soluções sofisticadas, preparadas para atender qualquer demanda
do mercado, se transformou na principal mola propulsora desta nova fase da
informação dentro das corporações, sob o nome já clássico de Tecnologia da
Informação (TI).
Descentralização de informações para compartilhamento em redes, necessidade
de integração de parceiros de negócios, acesso rápido, atualização constante de
base de dados, integração de unidades de negócios e colaboradores internos,
disponibilidade ao cliente. Para completar, tudo isso envolvido em uma grande
malha digital em constante expansão, a Internet.
Estas são algumas das partes de um cenário que transformou a informação na
principal moeda corrente do mundo corporativo, das transações de automação
bancária ao mercado financeiro, do controle de estoque ao comércio eletrônico.
No entanto, da mesma forma que esta mudança de paradigma apresenta
constantes oportunidades, com espaço para se criar e ousar sobre os caminhos,
acaba também por ser tornar um ambiente muitas vezes hostilizado, altamente
visado por ações ilícitas e invariavelmente desprovido de instrumentos para
combater e lidar com estas ocorrências.
(HTTP://WWW.NEXTGENERATIONCENTER.COM/BR/).
2.1. O que é segurança da informação
A informação é um ativo, entre outros ativos de extrema importância nos negócios. A
informação deve ser protegida de maneira que não ocorra a possibilidade de acessos não
autorizados, alterações indevidas ou sua indisponibilidade.
A segurança da informação deve ser implantada em todas as áreas da organização,
pois são encontradas em diversos meios como: impresso ou escrito em papel, armazenado
eletronicamente, enviado pelo correio ou através de meios eletrônicos.
A segurança da informação, conforme mostrado na figura 1, tem como objetivo a
preservação de três princípios básicos pelos quais se norteia a implementação desta prática:

Confiabilidade – Toda informação deve ser protegida de acordo com o grau de

sigilo de seu conteúdo, visando à limitação de seu acesso e uso apenas às
pessoas para quem elas são destinadas.

10
 Integridade – Toda a Informação deve ser mantida na mesma condição em que
foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações
indevidas, intencionais ou acidentais.

Disponibilidade – Toda a informação gerada ou adquirida por um individuo ou

instituição deve estar disponível aos seus usuários no momento em que os
mesmos delas necessitem para qualquer finalidade. (SÊMOLA, 2003, p.45).

Confiabilidade

Integridade

Disponibilidade

Segurança da Informação

Figura 1: Conceitos Básicos da Segurança da Informação

Informação

Conjunto de dados utilizados para a transferência de uma mensagem entre

indivíduos e/ou máquinas em processos comunicativos (isto é, baseados em
troca de mensagens) ou transacionais (isto é, processos em que sejam realizadas
operações que envolvam, por exemplo, a transferência de valores monetários).

A informação pode estar presente ou ser manipulada por inúmeros elementos

deste processo, chamados ativos, os quais são alvos de proteção da segurança da
informação.

Ativo

Todo elemento que compõe os processos, incluindo o próprio processo, que

manipulam e processam a informação, a contar a própria informação, o meio em
que ela é armazenada, os equipamentos em que ela é manuseada, transportada e
descartada.

O termo “ativo” possui esta denominação, oriunda da área financeira, por ser
considerado em elemento de valor para o individuo ou organização, e que, por
esse motivo, necessita de proteção adequada.

Existem muitas formas de dividir e agrupar os ativos para facilitar seu

tratamento, um deles é: equipamentos, aplicações, usuários, ambientes,
informações e processos. Desta forma, torna-se possível identificar melhor as
fronteiras de cada grupo, tratando-os com especificidade e aumentando
qualitativamente as atividades de segurança.(SÊMOLA, 2003, p. 45 e 46).

11
2.2. Por que é necessária a segurança da informação
A informação e os processos de apoio, sistemas e redes são importantes ativos e
também, estratégicos para os negócios. Confiabilidade, integridade e disponibilidade, são
características chave para a segurança da informação, é através dessas características que é
possível preservar a competitividade, o faturamento, a lucratividade, o atendimento aos
requisitos legais e a imagem da organização no mercado.
As organizações estão extremamente preocupadas com a segurança nos sistemas de
informação e redes de computadores, esses tipos de ameaças à segurança podem acarretar
em enormes prejuízos aos negócios, são utilizadas variedades de fontes como, fraudes
eletrônicas, espionagem, sabotagem, entre outras.
É necessário garantir a confiabilidade e segurança de suas transações e combater os
ataques causados por vírus, hackers, e ataques de “denial of service1”, que estão se
tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados.
A dependência nos sistemas de informação e serviços significa que as
organizações estão cada vez mais vulneráveis às ameaças de segurança. A
interconexão de redes públicas e privadas e o compartilhamento de recursos de
informação aumentam a dificuldade de se controlar o acesso. A tendência da
computação distribuída dificulta a implementação de um controle de acesso
centralizado realmente eficiente.(ISO/IEC 17799, 2001, p. 2).

Muitos sistemas de informação não foram projetados para garantir a segurança, pelo
motivo que esses sistemas foram desenvolvidos em uma época em que não existia a
interconexão das redes de computadores. A segurança que pode ser alcançada por meios
técnicos é limitada e convém que seja apoiada por uma gestão e procedimentos
apropriados. É necessário escolher controles que permitam a implantação da segurança,
mas para que os resultados sejam alcançados é necessária à participação de todos os
funcionários da organização, e possivelmente a participação dos fornecedores, clientes e
acionistas.
Os controles de segurança da informação são consideravelmente mais baratos e mais
eficientes se forem incorporados nos estágios do projeto e da especificação dos requisitos.

2.3. Como estabelecer os requisitos de segurança

Toda organização para obter segurança de suas informações deve estabelecer
requisitos, conforme a norma ISO/IEC 17799, pode ser dividido em três fontes principais:
A primeira fonte é derivada da avaliação de risco dos ativos da organização.
Através da avaliação de risco são identificadas as ameaças aos ativos, as
vulnerabilidades e sua probabilidade de ocorrência é avaliada, bem como o
impacto potencial é estimado.

A segunda fonte é a legislação vigente, os estatutos, a regulamentação e as

cláusulas contratuais que a organização, seus parceiros, contratados e
prestadores de serviço têm que atender.

1
Denial of Service: ou DoS é uma técnica que consiste em dificultar ou impedir o bom funcionamento de um
serviço de Internet, através de um grande volume de requisições de serviço para esse servidor.

12
 A terceira fonte são as particularidades da organização, objetivos e requisitos
para o processamento da informação que uma organização tem que se
desenvolver para apoiar suas operações.(ISO/IEC 17799, 2001, p. 2).

2.4. Avaliando os riscos de segurança

Os requisitos de segurança são identificados através de uma avaliação
sistemática dos riscos de segurança. Os gastos com os controles necessitam ser
balanceado de acordo com os danos causados aos negócios gerados pelas
potenciais falhas de segurança. As técnicas de avaliação de riscos podem ser
aplicadas em toda a organização ou apenas em parte dela, assim como em um
sistema de informações individuais, componentes de um sistema especifico ou
serviços, quando for viável, prático e útil. (ISO/IEC 17799, 2001, p. 2).

Na visão holística do risco é conceitual considerar os planos e identificar os desafios e

as características especificas do negócio são os primeiros passos para modelar uma solução
de segurança adequada.
Sendo assim, risco é a probabilidade de ameaças explorarem vulnerabilidades,
provocando perdas de confiabilidade, integridade e disponibilidade, causando
possivelmente, impactos para a organização.
Com os resultados obtidos na avaliação de risco é possível direcionar e determinar as
ações gerenciais e prioridades mais adequadas para um gerenciamento de riscos da
segurança da informação e a selecionar os controles a serem implementados para a
proteção contra estes riscos.
É necessário realizar análises críticas periódicas dos riscos de segurança e dos
controles implementados para:
a) considerar as mudanças nos requisitos de negócios e suas prioridades;
b) considerar novas ameaças e vulnerabilidades;
c) confirmar que os controles permanecem eficientes e adequados.
É de grande importância que as análises críticas sejam executadas em diferentes níveis
de profundidade, dependendo dos resultados obtidos nas avaliações de riscos e das
mudanças nos níveis de riscos é verificado se é aceitável para o negócio.
A seqüência correta para a verificação das vulnerabilidades, deve ser primeiro a
avaliação de riscos em um nível mais geral, como uma forma de priorizar recursos em
áreas de alto risco, e então em um nível mais detalhado, para solucionar riscos específicos.

2.5. Selecionando controles para garantir a segurança da informação

Uma vez tendo sido identificado os requisitos de segurança, convêm que os controles
sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um
nível aceitável. Comumente esta atividade faz parte de uma orientação obtida pela análise
de riscos ou por sugestões de normas específicas de segurança, como a ISO17799, o

13
CobiT2, o Technical Report 13335 ou, ainda, normas específicas como a de cabeamento
estruturado EIA/TIA586A.
O universo de controles aplicáveis é enorme, pois estamos falando de mecanismos
destinados à segurança física, tecnológica e humana. Se pensarmos no “peopleware”, ou
seja, no capital humano como um dos elos mais críticos e relevantes para a redução dos
riscos, temos alguns controles como: Seminários de sensibilização, Cursos de capacitação,
Campanhas de divulgação da política de segurança, Crachás de identificação,
Procedimentos específicos para demissão e admissão de funcionários, Termo de
responsabilidade, Termo de confiabilidade, Softwares de auditoria de acessos, Softwares
de monitoramento e filtragem de conteúdo etc...
Muitos controles humanos citados interferem direta ou indiretamente no ambiente
físico, mas este deve receber a implementação de um outro conjunto de mecanismos
voltados a controlar o acesso e as condições de ambientes físicos, sinalizando registrando,
impedindo e autorizando acessos e estados, dentre os quais podem ser utilizados: Roletas
de controle de acesso físico, Climatizadores de ambiente, Detectores de fumaça,
Acionadores de água para combater o incêndio, Extintores de incêndio, Cabeamento
estruturado, Salas-cofre, Dispositivos biométricos, Smartcards, Certificados Digitais de
Token, Circuitos internos de televisão, Alarmes e sirenes, Dispositivos de proteção física
de equipamentos, Nobreaks, Dispositivos de armazenamento de mídia magnética,
Fragmentadores de papel, Etc.
Assim como ocorre com os controles físicos e humanos, a lista dos dispositivos
aplicáveis aos ativos tecnológicos é extensa; afinal, além da diversidade e heterogeneidade
de tecnologias, ainda temos que considerar a velocidade criativa do setor que nos apresenta
uma nova ferramenta ou equipamento praticamente a cada dia.Os instrumentos aplicáveis
aos ativos tecnológicos podem ser divididos em três famílias.
Autenticação e autorização
Destinados a suprir os processos de identificação de pessoas, equipamentos, sistemas e
agentes em geral, os mecanismos de autenticação mostram-se fundamentais para os atuais
padrões de informação, automação e compartilhamento de informações. Sem identificar a
origem de um acesso e seu agente, torna-se praticamente inviável realizar autorizações
condizentes com os direitos de acesso, podendo levar a empresa a compartilhar
informações valiosas sem controle.
Combate a ataques e invasões
Destinados a suprir a infra-estrutura tecnológica com os dispositivos de software e
hardware de proteção, controle de acesso e conseqüente combate a ataques e invasões, esta
família de mecanismos tem papel importante no modelo de gestão de segurança, à medida
que as conexões eletrônicas e tentativas de acesso indevido crescem exponencialmente.
Privacidade das comunicações
É inevitável falar de criptografia quando o assunto é privacidade das comunicações. A
criptografia é uma ciência que estuda os princípios, meios e métodos para proteger a
confiabilidade das informações através da codificação ou processo de cifração e que

2
CobiT (Control Objectives for Information and related Tecnhology), modelo utilizado para verificar a
governança de Tecnologia da Informação em uma organização.
14
permite a restauração da informação original através do processo de
decifração.Largamente aplicada na comunicação de dados, esta ciência utiliza algoritmos
matemáticos e da criptoanálise, para conferir maior ou menor proteção de acordo com a
sua complexidade e estrutura de desenvolvimento. Quando vemos software de criptografia
de mensagem ou, por exemplo, aplicações que adotam criptografia, estamos diante de
situações em que a ciência foi empregada e materializada em forma de programas de
computador.

2.6. Ponto de partida para a segurança da informação

Um número de controles pode ser considerado como princípios básicos, fornecendo
um bom ponto de partida para a implementação da segurança da informação. São baseados
tanto em requisitos legais como nas melhores práticas de segurança da informação
normalmente usadas.
Os controles considerados essenciais para uma organização, sob o ponto de vista legal,
incluem:
a) proteção de dados e privacidade de informações pessoais;
b) salvaguarda de registros organizacionais;
c) direitos de propriedade intelectual.

Os controles considerados como melhores práticas para a segurança da informação

incluem:
a) documento da política de segurança da informação;
b) definição das responsabilidades na segurança da informação;
c) educação e treinamento em segurança da informação;
d) relatório dos incidentes de segurança;
e) gestão da continuidade do negócio.
Estes controles se aplicam para a maioria dos ambientes corporativos, seguindo a
Norma ISO/IEC 17799, percebemos que somente é possível utilizar esses controles, se
determinarmos anteriormente a seleção dos controles (item 5), onde coletando as
informações através da avaliação de riscos, é possível verificar as vulnerabilidades e
garantir sua correção.

2.7. Fatores críticos de sucesso

A experiência tem mostrado que os seguintes fatores são geralmente críticos para o
sucesso da implementação da segurança da informação dentro de uma organização:
a) política de segurança, objetivos e atividades, que reflitam os objetivos do negócio;

15
 b) um enfoque para a implementação da segurança que seja consistente com a cultura
organizacional;
c) comprometimento e apoio visível da direção;
d) um bom entendimento dos requisitos de segurança, avaliação de risco e
gerenciamento de risco;
e) divulgação eficiente da segurança para todos os gestores e funcionários;
f) distribuição das diretrizes sobre as normas e política de segurança da informação
para todos os funcionários e fornecedores;
g) proporcionar educação e treinamento adequados;
h) um abrangente e balanceado sistema de medição, que é usado para avaliar o
desempenho da gestão de segurança da informação e obtenção de sugestões para a
melhoria.

16
 3
Conformidade com a Norma ISO/IEC 17799:2001

A evolução tecnológica proporciona para as organizações maiores negócios com seus

clientes, fornecedores e colaboradores, onde a conectividade tem um papel fundamental
para alcançar o sucesso.
Com o crescimento do sistema de informações colaborativas, é cada vez mais crucial
manter essas informações seguras e suas fontes confiáveis. Mas para que essas
informações sejam armazenadas e transmitidas de uma maneira segura, é preciso que
sejam estabelecidos controles que garantam a qualidade e integridade da informação.

Por esse motivo várias organizações começaram a se preocupar com a segurança da

informação, mas não possuíam nenhum tipo de metodologia e controles que atendessem
suas necessidades, pelo motivo de que cada organização trabalha de uma maneira e suas
prioridades entre os níveis de segurança podem variar de uma organização para a outra.
Com isso a International Organization for Standardization (ISO), onde seu objetivo é
criar normas e padrões universalmente aceitos, criou a Norma ISO 17799, sendo no Brasil
controlada pela Associação Brasileira de Norma Técnicas (ABNT), como NBR ISO/IEC
17799, que tem como nome Tecnologia da Informação – Código de prática para a gestão
da segurança da informação, onde proporciona para as organizações os controles
necessários para a segurança da informação.
3.1. A NBR ISO/IEC 17799
A NBR (Norma Brasileira) ISO/IEC 17799 - Tecnologia da Informação – Código de
prática para a gestão da segurança da informação, é originada da Norma Britânica BS7799
Parte 13, desenvolvida pela British Standards Institute (BSI), com inicio em 1995, e depois
padronizada pela International Organization for Standardization (ISO) em 2000, como
ISO/IEC 17799.
Esta norma tem como objetivo fornecer recomendações para a gestão da segurança da
informação para uso dos departamentos responsáveis pela introdução, implementação ou
manutenção da segurança em suas organizações. Proporcionando uma base comum para o
desenvolvimento das normas de segurança organizacional e das práticas efetivas de gestão
da segurança, e prover confiança nos relacionamentos entre as organizações. É importante
observar que essas recomendações descritas na norma estejam de acordo com a legislação
e regulamentação vigente.
A NBR ISO/IEC 17799, abrange ao todo 10 domínios, reunidos em 36 grupos que se
totalizam em 127 controles, sendo seus domínios, a Política de Segurança, a Segurança
Organizacional, a Classificação e Controle dos Ativos de Informação, a Segurança de

3
É a primeira parte da norma, já homologada. Contém uma introdução, definição de extensão e condições
principais de uso da norma. Disponibiliza 148 controles divididos em dez partes distintas. É planejado como
um documento de referência para implementar "boas práticas" de segurança na empresa.
17
Pessoas, a Segurança Física e do Ambiente, o Gerenciamento das Operações e
Comunicações, o Controle de Acesso, o Desenvolvimento e Manutenção de Sistemas, a
Gestão da Continuidade do Negócio e a Conformidade.

3.2. Framework e os controles de segurança da informação da Norma

BS7799
O Framework e os controles de segurança da informação estão descritos na parte 2 da
Norma Britânica BS77994, onde estabelece o Sistema de Gestão de Segurança da
Informação (SGSI), que somados ao conjunto de controles sugeridos na parte 1 da norma,
torna possível a certificação.
As empresas podem conduzir as ações de segurança sob a orientação de uma
base comum proposta pela norma, além de se prepararem indiretamente para o
reconhecimento de conformidade aferido por órgãos credenciados. A
certificação da segurança, similar aos reflexos obtidos pela conquista da
certificação de qualidade ISO9000, promove melhorias nas relações business-
to-business e business-to-consumer, além de adicionar valor à empresa por
representar um diferencial competitivo e uma demonstração pública do
compromisso com a segurança das informações de seus clientes.

As seis fases principais para que se possa alcançar a certificação, se iniciam na:

- Definição das diretrizes da política de segurança

- Definição do SGSI – Sistema de Gestão de Segurança da Informação

- Execução de análise de riscos

- Definição de uma estrutura para gerenciamento de risco

- Seleção dos objetos de controles e os controles aplicáveis

- Preparação da declaração de aplicabilidade dos controles.(SÊMOLA, 2003,

p.141).

3.3 Política de segurança da informação

O objetivo da política de segurança da informação é prover à direção uma orientação e
apoio para a segurança da informação.
Segundo a NBR ISO/IEC 17799 (2001, p. 4) “Convém que a direção estabeleça uma
política clara e demonstre apoio e comprometimento com a segurança da informação
através da emissão e manutenção de uma política de segurança da informação para toda a
organização”.
Para que seja possível a implantação da política é necessário que a alta direção tenha
aprovado, comunicado e publicado, de maneira adequada para os funcionários. É
necessário que a alta direção esteja sempre preocupada com o processo e estabeleça as
linhas mestras para a gestão da segurança da informação. Onde devem ser estabelecidas no
mínimo as seguintes orientações:
4
A segunda parte da norma, ainda não homologada, cujo objetivo é proporcionar uma base para gerenciar a
segurança da informação dos sistemas das empresas.
18
a) Definição de segurança da informação, resumo das metas e escopo e a
importância da segurança como um mecanismo que habilita o compartilhamento
da informação;

b) Declaração do comprometimento da alta direção, apoiando as metas e

princípios da segurança da informação;

c) Breve explanação das políticas, princípios, padrões, e requisitos de

conformidade de importância específica para a organização, por exemplo:

1) Conformidade com a legislação e cláusulas contratuais;

2) Requisitos na educação de segurança;

3) Prevenção e detecção de vírus e software maliciosos;

4) Gestão da continuidade no negócio;

5) Conseqüências das violações na política de segurança da informação;

d) Definição das responsabilidades gerais e específicas na gestão da

segurança da informação, incluindo o registro dos incidentes de segurança;

e) Referencias à documentação que possam apoiar a política, por exemplo,

políticas e procedimentos de segurança mais detalhados de sistemas de
informação específicos ou regras de segurança que convém que os usuários
sigam. (ISO/IEC 17799, 2001, p. 4).

19
 4
Gerenciamento de Segurança de Redes de
Computadores

Uma das principais portas de entrada para incidentes de segurança em uma

organização é a Internet. Pelo motivo de que as organizações não possuem controle dos
acessos feitos pelos seus funcionários, permitindo o acesso total. E também permitem
acessos de outras corporações via extranets 5 e e-businnes 6 através de links dedicados ou
web.
Com o avanço da tecnologia e o acesso a Internet, está aumentando a cada ano o
número de ataques por meio de redes de computadores, as organizações ainda não possuem
um plano de ação para evitar os riscos. O grande problema apresentado não é o tecnológico
e sim o cultural.
A falta de conscientização do publico interno da organização, tanto dos executivos
como dos funcionários em geral, podem colocar em risco suas estratégias de negócios e a
credibilidade no mercado. Para minimizar esses problemas é importante que seja
estabelecida uma política de segurança utilizando controles que possam nortear um sistema
de informação segura.

4.1. Controles para as Redes de Computadores

É necessário que seja utilizado um conjunto de controles, para obter uma melhor
preservação da segurança nas redes de computadores.São os gestores de segurança que
devem implementar os controles para garantir a segurança dos dados nas redes, assim
como a proteção dos serviços disponibilizados contra acessos não autorizados. É
recomendado que os itens a seguir sejam considerados:
a) A responsabilidade operacional sobre a rede deve ser segregada da operação dos
computadores, desta forma são minimizados problemas de mau uso acidental ou
deliberação dos sistemas.
b) Estabelecimento de procedimentos e responsabilidades para gerenciamento de
equipamentos remotos, incluindo equipamentos nas instalações dos usuários.
c) Quando necessário deve ser estabelecido controles especiais para garantir a
confidencialidade e a integridade dos dados que trafegam em redes públicas e para
proteger os sistemas. Também podem ser utilizados para garantir a disponibilidade dos
serviços de rede e dos computadores conectados.

5
Interconexão de Redes Locais em regiões demográficas diferentes.
6
Comércio, venda e compra de produtos e serviços utilizando a Internet como meio.
20
 d) Deve ser cuidadosamente gerenciada as atividades para otimizar os serviços
prestados, e garantir que os controles sejam aplicados de forma consistente por toda a
infra-estrutura de processamento de informação.

4.2. Segregação de funções

A segregação de funções é um método pelo qual é garantido a redução dos riscos de
mau uso acidental ou uso mal intencionado dos sistemas. Convém que seja separada a
administração ou a execução de certas funções ou responsabilidades, diminuindo a
oportunidade de modificações não autorizadas, mau uso das informações ou dos serviços.
Em organizações pequenas pode ser considerado este método de controle difícil de ser
implantado, mas deve ser aplicado o quanto antes possível. Na implantação onde for difícil
à segregação, deve ser utilizados outros controles como monitoramento das atividades,
auditorias e acompanhamento gerencial.
Deve-se tomar o cuidado de não deixar a responsabilidade das redes de computadores
a cargo de somente um funcionário, para que não haja a possibilidade de fraudes que não
possam ser detectadas. Todas as atividades devem ser separadas as autorizações, dessa
forma poderão ser evitadas problemas de segurança futuros.
Devem ser considerados os controles a seguir:
a) É de grande importância segregar atividades que precisem de conivência para
concretizar a fraude.
b) Se houver possibilidade de conivência, então os controles devem ser planejados de
modo que dois ou mais funcionários sejam envolvidos, diminuindo assim a possibilidade
de conspiração.

4.3 Controle de Acesso à Rede

Para garantir a proteção aos serviços das redes de computadores é necessário que haja
um controle, e que também seja garantido que os usuários com acesso as redes e aos
serviços não comprometam a segurança. Devem ser assegurados os itens a seguir:
a) Uso apropriado das interfaces entre as redes da organização e as redes de outras
organizações e também as redes públicas.
b) Uso de autenticação dos usuários e equipamentos da organização, sendo
apropriadamente íntegros e seguros.
c) Controle de acesso dos usuários aos serviços de informação.
Para que o controle de acesso às redes seja eficaz, é necessária uma política de acesso
às redes, onde deve citar as condições ideais para garantir a segurança.
Esta política de controle é importante para as conexões de rede com as aplicações
sensíveis ou críticas do negócio ou para os usuários que estão em locais de alto risco, como
exemplo as áreas públicas ou externas que se encontram fora do controle e da gerencia de
segurança da organização.
21
 Na criação de uma política, considerando o uso de redes e seus serviços, devem ser
observados os seguintes itens:
a) Redes e serviços de redes aos quais o acesso é permitido;
b) Procedimentos de autorização para determinar os usuários que possam ter acesso à
rede e quais os serviços de rede;
c) Procedimentos e controles de gerenciamento da segurança para proteger os acessos
às conexões e serviços de rede.

4.4 Controles Criptográficos

Os controles criptográficos têm como objetivo a confidencialidade, autenticidade ou
integridade das informações. As técnicas e sistemas criptográficos são usados para a
proteção das informações que são consideradas de risco e para as quais outros controles
não forneçam a proteção adequada.
Para os controles criptográficos também é necessário que seja estabelecida uma
política para o uso de controles de criptografia.
Na política de uso de controles de criptografia é determinada que seja feita uma
avaliação de riscos do ambiente, para determinar o nível de proteção que deve ser dada à
informação. Essas informações podem ser usadas para determinar se um controle é
apropriado, ou qual o tipo de controle deve ser aplicado.
É conveniente para a organização que desenvolva uma política de uso de controles
criptográficos, dessa forma é possível garantir a diminuição dos riscos e o aumento da
segurança da informação.
Para a criação da política é recomendado que seja baseado nos itens a seguir:
a) Deve haver um posicionamento da alta direção perante o uso dos controles
criptográficos da organização, disponibilizando e solicitando quais as informações do
negócio devem ser protegidas.
b) Utilizar um gerenciamento de chaves, criando métodos para tratar a recuperação de
informações criptografadas em caso de chaves perdidas ou danificadas.
c) Regras e Responsabilidades, devem ser nomeadas os funcionários responsáveis
pelas criptografias.
d) Implementação da Política.
e) Gerenciamento das chaves.
f) Determinação do nível apropriado de proteção criptográfica.
g) Quais as normas que devem ser adotadas para cada fim, deve-se observar que cada
situação pode haver um nível diferente de criptografia.

22
 5
Conclusão

É observado que sejam estabelecidas responsabilidades e que haja o apoio da alta

direção da organização, criando uma política de segurança eficaz e que seja norteada pelas
diretrizes da NBR ISO/IEC 17799:2001.
Deve ser criado uma comissão de segurança com o devido gestor de segurança, onde
serão estabelecidos e fiscalizados os sistemas de informação da organização.
Utilizando as diretrizes de segurança no sistema de informação nas redes de
computadores, é possível ter um bom nível de proteção. Sendo que com a aplicação da
NBR ISO/IEC 17799:2001 é resolvido o problema de gerenciamento de segurança das
redes de computadores em relação à invasão nas redes internas (meios controlados pela
organização) e redes externas (meios não controlados pela organização).
Nas redes de computadores é conclusivo que a criptografia possui um papel
fundamental, porém deve ser observada as diretrizes da norma em relação à implantação e
responsabilidades.
Com a política de segurança é possível estabelecer regras do bom uso da informação
de forma confidencial e segura, levando em consideração que essa informação é um ativo
de grande importância para a organização.
Com a aplicação da NBR ISO/IEC 17799:2001, é possível atingir um alto nível de
proteção no sistema de informação e nas redes de computadores.
E são garantidos os três princípios básicos da segurança da informação:
confiabilidade, integridade e disponibilidade.
Concluímos que a NBR ISO/IEC 17799:2001 funciona nas organizações que estão
preocupadas com uma política de segurança utilizando as diretrizes da norma para garantir
a segurança da informação.
A implantação da norma não é tão simples, pois é necessário o comprometimento de
todos, ou seja, executivos, alta direção e funcionários administrativos, que devem ser
incentivados para garantir a qualidade da segurança da informação.
E através das diretrizes descritas na norma é possível organizar as atividades relativas
à segurança da informação, estabelecendo um ambiente seguro para a organização.

23
 6
Referências Bibliográficas
SÊMOLA, M. Gestão da Segurança da Informação – Uma visão executiva. 3. Ed. Rio
de Janeiro: Elsevier, 2003. 160p.

NBR/ISO/IEC 17799. Tecnologia da Informação – Código de prática para a gestão da

segurança da informação. Rio de Janeiro: Associação Brasileira de Normas Técnicas,
2001. 56p.

DE SORDI, J.O. Tecnologia da Informação Aplicada aos Negócios. 1. Ed. São Paulo:
Atlas, 2003. 185p.

NICCOLAI, M.; BEZERRA, M.; VERAS, F. Tudo pela Segurança da Informação. São
Paulo, Junho. 2004. Disponível em: <http://www.nextgenerationcenter.com/br/>. Acesso
em: 02 Jun. 2004.

VIEIRA, S. Segurança da Informação com selo de qualidade. São Paulo, Junho. 2004.
Disponível em: <http://www.nextgenerationcenter.com/br/>. Acesso em: 02 Jun. 2004.

RIGATIERI, V.; DOLENC, L.; DUARTE, M.; ZARZA, C. ; CAMPOY, E. Segurança.

São Paulo. Maio. 2004. Disponível em: <http://www.nextgenerationcenter.com/br/>.
Acesso em: 04 Mai. 2004.

24