segurança física em organizações governamentais
DESCRIPTION
Segurança Física em Organizações Governamentais. Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações. A guerra dos carneiros e das flores. - PowerPoint PPT PresentationTRANSCRIPT
Ana Rosa Carvalho de Abreu 1
Segurança Física em Organizações Governamentais
Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília
Curso de Especialização em Gestão da Segurança da Informação e Comunicações
30/6/2010
Ana Rosa Carvalho de Abreu 2
- Há milhões e milhões de anos que as flores fabricam espinhos. Há milhões e milhões de anos que os carneiros as comem, apesar de tudo. E não será sério procurar compreender por que perdem tanto tempo fabricando espinhos inúteis? Não terá importância a guerra dos carneiros e das flores?
(Antoine de Saint-Exupery)
30/6/2010
A guerra dos carneiros e das flores
Ana Rosa Carvalho de Abreu 3
Se, apesar de todo um aparato de equipamentos de segurança física, para proteger os seus bens, os bancos continuam sendo alvo de furtos, não seria importante descobrir porque eles continuam a se comportar do mesmo modo? Onde estarão falhando? Quais as relações de causa e efeito entre as variáveis que influenciam a concretização de um evento negativo?
30/6/2010
A guerra dos bancos
Ana Rosa Carvalho de Abreu 4
Verificar a aplicabilidade e a efetividade das normas de segurança da informação da ABNT, no que concerne aos aspectos de segurança física, na
Administração Pública Federal.
30/6/2010
Objetivo do trabalho
Ana Rosa Carvalho de Abreu 5
Análise das normas técnicas: NBR ISO/IEC 27001:2006,NBR ISO/IEC 27002:2005 e NBR ISO/IEC 27005:2008
Análise de variáveis de segurança apontadas nas normas.
Validar a utilização dos requisitos de segurança apontados na NBR ISO/IEC 27001:2006, junto a especialistas em Gestão da Segurança da Informação.
Identificadas inter-relações e relações causais entre as variáveis estudadas.
30/6/2010
Etapas do trabalho
Ana Rosa Carvalho de Abreu 6
Descrição de Situação Problema Revisão da Literatura especializada sobre
o assunto Estudo de normas pertinentes. Coleta de Dados com utilização da Técnica
Delphi com especialistas em Gestão da Segurança da Informação
Entrevista semi-estruturada com Gerente da Área de Segurança do BCB.
30/6/2010
Instrumentos Utilizados
Ana Rosa Carvalho de Abreu 7
A) Uma visão sistêmica, não somente de dentro da organização, mas do macro-sistema que a envolve, torna-se necessária, para se definir a política de segurança de uma instituição;
B) Seguir todos os itens de segurança física, de forma isolada, não garante a segurança física das organizações;
30/6/2010
As hipóteses
Ana Rosa Carvalho de Abreu 8
C) Funcionários treinados em normas de segurança são necessários para diminuir a vulnerabilidade nas organizações governamentais;
D) Um planejamento estratégico, com respaldo da Administração Superior, fundamentado em uma Política de Segurança da Informação elaborada de forma participativa e editada pela autoridade maior da organização forma o pilar central para a segurança física das organizações.
30/6/2010
As hipóteses
Ana Rosa Carvalho de Abreu 930/6/2010
Variáveis e suas inter-relações
Area Segura
Perímetro desegurança
Proteção contra ameaçasexternas e do meio ambiente
Acesso ao público, áreasde entrega e carregamento
+
+
+
+ -
-
Ana Rosa Carvalho de Abreu 1030/6/2010
História das Normas NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2005
Ana Rosa Carvalho de Abreu 1130/6/2010
NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2005
metodologia estruturada, reconhecida
internacionalmente, dedicada à
segurança da informação;
processo definido para avaliar, implementar,
manter e gerenciar a segurança da
informação;
grupo completo de controles contendo
as melhores práticas para segurança da informação.
Ana Rosa Carvalho de Abreu 1230/6/2010
As normas ISO(continuação)
NBR ISO/IEC
27001:2006
apresenta requisitos de sistema
utilizada como padrão para a realização de auditorias
de certificação
NBR ISO/IEC
27002:2005
código de práticas
utilizada para orientação durante o desenvolvimento e implantação do sistema
de gestão de segurança da informação
30/6/2010Ana Rosa Carvalho de Abreu 13
As normas ISO(continuação)
NBR ISO/IEC 27001: 2006
processo sistemático para fortalecimento do
controle interno de segurança da
informação. Cobre todos os tipos de
organizações;
especifica os requisitos para
estabelecer, implementar,
operar, monitorar, analisar
criticamente, manter e melhorar
um SGSI documentado;
especifica requisitos para a
implementação de controles de segurança
personalizados para as
necessidades individuais de
organizações ou suas partes;
orienta como elaborar uma
matriz de riscos e identificar e
implantar controles para minimizar
estes riscos
30/6/2010Ana Rosa Carvalho de Abreu 14
As normas ISO(continuação)
NBR ISO/IEC 27002:2005
estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança
da informação em uma organização;
Os objetivos de controle e os controles têm como finalidade ser implementados para atender aos
requisitos identificados por meio da
análise/avaliação de riscos;
apresenta 11 cláusulas de controle de
segurança de A5 a A15 e 133 controles;
considera segurança física, técnica,
procedimental e em pessoas.
Ana Rosa Carvalho de Abreu 1530/6/2010
Fundamentos da segurança da informação
Confidencialidade• garantir que
apenas as pessoas que devam ter conhecimento a respeito de uma informação possam ter acesso a ela.
Integridade• proteger as
informações contra alterações em seu estado original. Essas alterações podem ser tanto intencionais quanto acidentais.
Disponibilidade• garantir que a
informação possa ser acessada por aqueles que dela necessitarem, no momento em que dela precisarem.
Ana Rosa Carvalho de Abreu 1630/6/2010
Legislação sobre segurança física no Brasil
Artigo 144 da Constituição Federal de 1988• A segurança pública, dever do Estado, direito e responsabilidade de todos,
é exercida para a preservação da ordem pública e da incolumidade das pessoas e do patrimônio.
Lei nº. 7.102, de 20 de junho de 1983• Dispõe sobre segurança para estabelecimentos financeiros, estabelece
normas para constituição e funcionamento das empresas particulares que exploram serviços de vigilância e de transporte de valores
Lei nº. 8.863, de 28 de março de 1994
• Altera o artigo n. 10 de da Lei nº 7.102 e define a categoria do vigilante.
Ana Rosa Carvalho de Abreu 1730/6/2010
Aspectos do Risco
Evento desfavorá
vel
Probabilidade de
ocorrência
Elementos que
definem o risco
Período de tempo
Ana Rosa Carvalho de Abreu 1830/6/2010
Gestão de risco NBR ISO/IEC 27005:2008
Definição do Contexto
• Objetivos, políticas e estratégia
• Processos e estrutura• Requisitos legais e
normativos• Política de segurança e
ativos de informação• Abordagem da Gestão de
risco• Características geográficas• Restrições que afetam a
organização e expectativas das partes interessadas
• Ambiente sociocultural e interfaces (ou seja, a troca de informações com o ambiente).
Análise/Avaliação de Riscos
• Identificação de riscos
• Identificação dos ativos
• Identificação das ameaças
• Identificação dos controles existentes
• Identificação das vulnerabilidades
• Identificação das conseqüências
• Estimativa de riscos• Avaliação de riscos
24/06/2010Ana Rosa Carvalho de Abreu 19
Pesquisa com especialistas - Enunciado
Como as organizações governament
ais entendem a atividade de segurança da informação?
Como a adoção das normas de segurança da informação da ABNT podem
contribuir para o aperfeiçoamento das atividades de segurança física
nessas instituições?
24/06/2010Ana Rosa Carvalho de Abreu 20
Dados sobre a pesquisa - Técnica Delphi de Coleta de Dados
Pessoas selecionadas 21
1ª rodada2ª rodada3ª rodada
19 pessoas15 pessoas13 pessoas
Entidades APF 14
Datas das rodadas 19 a 26 de abril de 201003 a 11 de maio de 2010 12 a 17 de maio de 2010
Ana Rosa Carvalho de Abreu 2130/6/2010
Respostas que confirmam as hipóteses A e B – Visão sistêmica
Questionou-se se o mecanismo de câmeras de segurança poderia ter sido uma vulnerabilidade no caso do furto ocorrido nas dependência do BCB em Fortaleza.
Exemplo de resposta que representa a maioria dos respondentes:“Deve ser avaliado o processo como um todo: análise do ambiente externo, análise do ambiente interno, escolha do equipamento, monitoração, gravação, análise, auditagem. A ineficiência está nas análises compartimentalizadas.
Ana Rosa Carvalho de Abreu 2230/6/2010
Respostas que confirmam as hipóteses – Treinamento e conscientização
Questionou-se se: “uma estrutura de proteção adequada das instalações, impedindo o acesso a pessoas não autorizadas ao recinto, impediria o incidente de segurança física no BCB em Fortaleza. E obteve-se respostas como:
“O que evita incidentes realmente são políticas de segurança bem implantadas, com os respectivos procedimentos formalizados, auditados e atualizados.”“É importante fortalecer, além da estrutura das instalações, os laços de confiança entre as pessoas e a organização. O indivíduo preciso ter ‘noção de pertencimento’ clarificada da sua empresa, como um sistema social que o considera”.
O que confirma as hipóteses A, B e C
Ana Rosa Carvalho de Abreu 2330/6/2010
Confirmação da hipótese C – Treinamento
Questionou-se se “falta de treinamento e conscientização dos funcionários pode ter sido uma das causas do desencadeamento do incidente de segurança”.
Obteve-se as respostas:“Não é possível cobrar ou até mesmo responsabilizar funcionários não treinados, e em um ambiente sem programa de conscientização. O treinamento e a conscientização devem fazer parte de um programa maior de segurança da informação.”“A segurança é formada por várias áreas que têm que ser modeladas e gerenciadas. É a eficácia harmônica das diversas áreas que torna o sistema eficaz. Não adiantaria ter excelência em uma das áreas de segurança e ser negligente com as outras áreas relacionadas."
Ana Rosa Carvalho de Abreu 2430/6/2010
Confirmação das hipóteses
Após a análise dos resultados da pesquisa observou-se a confirmação das hipóteses, ou seja: Há a necessidade de planejamento estratégico, com respaldo na Administração Superior, fundamentada em uma Política de Segurança da Informação, elaborada com a participação de funcionários
treinados e conscientes da sua importância para a segurança da informação da organização.
Ana Rosa Carvalho de Abreu 25
• Criação de uma área estruturada como departamento na sede, com gerências técnicas nas praças onde atua;
• Troca de experiências com organismos de outros países.
Visão Sistêmica
• Definição dos perfis mínimos de competência que devem ser detidos pelos servidores;
• Estabelecimento do plano de desenvolvimento para os servidores;
• Alocação de um quadro de pessoal adequadamente dimensionado.
Funcionários Treinados
• Reformulação dos Planos da área de segurançaPlanejamento Estratégico
30/6/2010
Resposta a um incidente de segurança física no BCB
Ana Rosa Carvalho de Abreu 2630/6/2010
BCB – Diretrizes
As atividades de segurança devem ter caráter permanente;O enfoque deve ser
sistêmico e preventivo, sem prejuízo de medidas
necessárias para a resposta e controle de
incidentes;As atividades/ações devem ser desenvolvidas
sempre numa perspectiva integrada e
corporativa.
Ana Rosa Carvalho de Abreu 2724/06/2010
Utilização das técnicas de cenários e sistemas dinâmicos para estudar um
melhor aproveitamento, aplicabilidade e efetividade das normas NBR ISO/IEC
27001:2006, NBR ISO/IEC 27002:2005:2005 e NBR ISO/IEC
27005:2008 na Administração Pública Federal Brasileira.
Trabalhos futuros
24/06/2010Ana Rosa Carvalho de Abreu 28
“Uma pessoa inteligente resolve um problema, um sábio o previne.” Albert Einstein
Obrigada!