sumário - eventos caf | campus ufv...

�

Sumário

Apresentação........................................................................................................................................ 5

Organização do Caderno de Estudos e Pesquisa ................................................................................ 6

Organização da Disciplina ................................................................................................................... 7

Introdução ............................................................................................................................................ 9

Unidade I – Conceitos e Padrões de Segurança da Informação ........................................................ 11

Capítulo1– HistóricodasNormasdeSegurançadaInformação............................................... 11

Capítulo2– ConceituaçãoBásicadeSegurançadaInformação................................................ 12

Capítulo3– AspectosdeConformidade(LegislaçãoInternacionaleBrasileira).......................... 13

Capítulo4– PadrõeseNormas(NBRISO/IEC17799, RFC2196,ISO/IEC15408,COBIT)....................................................................... 14

Capítulo5– PlanejamentodeSegurançadaInformação........................................................... 17

Capítulo6– ModelosdeGestãodeSegurançadaInformação................................................... 18

Unidade II – Análise de Riscos ............................................................................................................ 21

Capítulo7– IntroduçãoeConceitosFundamentaisdeAnálisedeRiscos................................... 21

Capítulo8– ElementosdaAnálisedeRiscos............................................................................. 23

Capítulo9– AbordagensQualitativaeQuantitativanaAnálisedeRiscos.................................. 25

Capítulo10– AnálisedeProcessosemTI................................................................................... 27

Capítulo11– RiscosemProjetosdeSistemasdeInformação..................................................... 29

Capítulo12– RiscosnaContrataçãodeTerceiros...................................................................... 31

Unidade III – Politica de Segurança da Informação ........................................................................... 33

Capítulo13– DefiniçãodoqueéPolíticadeSegurançaesuasExtensões................................... 33

Capítulo14– DefiniçãodosElementosPolítica,NormaseProcedimentos................................... 34

Capítulo15– AImportânciadaPolíticadeSegurançanaEmpresaeseu RelacionamentocomasoutrasÁreas.................................................................... 36

Capítulo16– ComoElaborarumaPolíticadeSegurançadeFormaa AdequaroModeloNBRISO/IEC17799naOrganização......................................... 37

Capítulo17– ComoDivulgar,ConscientizareGarantiraAplicaçãodaPolítica............................ 38

Capítulo18– QuaisosInstrumentosLegaisdeRepreensãoemCasodo nãoCumprimentodaPolítica................................................................................. 39

Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

�

SumárioApresentaçãoApresentação

Capítulo19– ComoFazerumaRevisãodaPolíticadeSegurança................................................ 40

Unidade IV – Segurança Física, Planejamento de Contingências e Recuperação de Desastres ........................................................................................... 41

Capítulo20– ConceitosdeSegurançaFísica,Segurançade PerímetroeSegurançaPatrimonial....................................................................... 41

Capítulo21– ElementosespecíficosdeSegurançaFísica, SegurançadePerímetroeSegurançaPatrimonial.................................................. 43

Capítulo22– ConceitoseModelosdePlanosdeContingência, ContinuidadedeNegócioseRecuperaçãodeDesastres......................................... 47

Capítulo23– PráticasdedesenvolvimentodeBusinessImpactAnalysis..................................... 48

Capítulo24– PráticasnodesenvolvimentodosPlanos................................................................ 49

Para (não) finalizar ........................................................................................................................ 50

Referências ........................................................................................................................................... 51

Introdução

�

“A nossa tarefa na vida não é ultrapassar os outros, mas passar à frente de nós mesmos – quebrar os nossos recordes, superar o nosso ontem com o nosso hoje, realizar o nosso trabalho com mais intensidade do que nunca.”

(Stuart Johnson)

APolíticadeSegurançadaInformaçãotornou-seuminstrumentofundamentalparaasempresasdehoje.VeremosdesdeaadoçãodasnormasdeSegurançadaInformação,aconceituaçãobásicadeSegurançadaInformação,veremosoporquêdosaspectosdeconformidadenalegislaçãobrasileiraeinternacional,oplanejamentodeSegurançadaInformaçãoeosmodelosdegestãodeSegurançadaInformação.

Apósisso,estudaremosaAnálisedeRiscos,começandopelosconceitosfundamentaisdeanálisederiscos,veremososelementosdaanálise,asabordagensqualitativaequantitativa,aanálisedeprocessosemtecnologiadeinformação,osriscosemprojetosdesistemasdeinformaçãoeosriscosnacontrataçãodeterceiros.

Assim,passaremosparaaPolíticadeSegurançada Informaçãoesuasextensões,oselementosPolítica,normaseprocedimentosnecessáriose,após,analisaremosaimportânciadaPolíticadeSegurançanaempresaeseurelacionamentocomasoutrasáreas,comoelaborarumaPolíticadeSegurançadeformaaadequaromodeloNBRISO/IEC17799naorganizaçãoedivulgar,conscientizandoegarantindoaaplicaçãodapolítica.

Finalmente,observaremosoqueéequaisoselementosdasegurançafísica,doplanejamentodecontingênciasedarecuperaçãodedesastres,veremososconceitoseummodelosimplificadodePlanosdecontingência,continuidadedenegóciosedarecuperaçãodedesastres,algumaspráticassobreopráticasdedesenvolvimentodeBusinessImpactAnalysiseterminaremosobservandoaspráticasnodesenvolvimentodosplanos.

Unidade I

��

Capítulo 1 – Histórico das Normas de Segurança da Informação

“A verdadeira aprendizagem está intimamente relacionada com o que significa ser humano. Por intermédio da aprendizagem nós nos recriamos, tornamo-nos capazes de fazer o que nunca conseguimos fazer.”

(Peter Senge, 1990).

Foi criado pelo departamento de comércio e indústria do Reino Unido (DTI), em 1987, um centro de segurança deinformaçõesdenominadoCCSC(CommercialComputerSecurityCentre–CentrodeSegurança)oqualtinhaaincumbênciadecriarnormasdesegurançadeinformaçõesparaaquelepaíse,apartirde1989,forampublicadosdiversosdocumentoscomestefim.

Em1995,oCCSCpublicouaprimeiraversãodaBritishStandart7799(BS7799-1),conhecidacomo“CodeofPracticeforInformationSecurityManagement”,tratandoespecificamentesobresegurançaemtecnologiadainformação.TaldocumentocorrespondeuaumCódigodepráticaparagestãodasegurançadainformaçãonasempresasefoichamadodeParte1,umavezqueanormaBS7799-1teve,em1998,umasegundapartepublicada.

Assim,em1998,oCCSCpublicouumaprimeiraversãodaParte2daBS7799,aBS7799-2,quetratouarespeitodosSistemasdeGestãodaSegurançadaInformação,suasespecificações,sendoumguiaparautilização.

Destaforma,podemosdizerqueanormaBritishStandart7799foiumdocumentodisponibilizadoaopúblicoemduaspartes,sendoaprimeiraem1995easegundaem1998.

Em1999aBS7799-1(Parte1)sofreuumarevisãoqueacresceuconceitosdezoneamentodesegurança,subdividindoemtrêscamadase,naqueleano,sendoestapublicadapeloCCSC.

Em2000,baseadonaParte1daBS7799,houveapublicaçãodaversãoinicialdanormaISO/IEC17799,arespeitodesegurançaemtecnologiadainformação,seconstituindoemumCódigodePrática.

NoBrasil,em2001,foipublicadaaprimeiraversãodanorma,quesechamouNBRISO/IEC17799,sendoumaversãomuitosemelhanteaParte1danormainglesaBS7799,tambémcomoumCódigodePrática.

OCCSC,em2002,publicouumrevisãodaParte2danormaBS7799(BS7799-2),comrespeitoaGestãodaSegurançadaInformação,commaisespecificaçõeseumguiaparasuautilizaçãoprática.

Em2005,precisamentenomêsdeagosto,houve,noBrasil,umanovapublicaçãodeumasegundaversãodanormaNBRISO/IEC17799,ajustando-aasatualizaçõesocorridasanteriormente.

Naquelemesmoano(2005),nomêsdeoutubro,foipublicadaanormaISO27001apresentandoatécnicasdesegurançaerequisitosparaumsistemadegestãodaSegurançadaInformação.

Porfim,emsetembrode2001,aABNThomologouaversãobrasileiradanorma,denominadaNBRISO/IEC17799.

Conceitos e Padrões deSegurança da Informação

Unidade I Unidade IConceitos e Padrões de Segurança da Informação Conceitos e Padrões de Segurança da Informação

Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

��


Capítulo 2 – Conceituação Básica de Segurança da Informação

“Proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento (COMITÊ GESTOR DA SEGURANÇA DA INFORMAÇÃO, 2003).

SegundoGODOY(2004),aoserconsiderandoovalordainformaçãonasociedadeatualeoníveldedependênciadasempresasede seusexecutivosna tecnologia enos sistemasde informação, podemoscompreenderporquêo tema“segurança da informação” ganhou papel de destaque nas empresas. De fato, os altos índices de informatização,conectividadeecompartilhamentodedadoscontribuíramparaaumentarasvulnerabilidadesdossistemascorporativosquegerenciamainformação.Comisso,incidentesquelevamàperdadedados,ouindisponibilidadedeserviços,passaramaafetardiretamenteosresultadosdonegócioeovalordasempresas.

ConformeanormaISO/IEC/17799(2001),podemoscaracterizarasegurançadeinformaçõescomoapreservaçãoda:

– confidencialidade(informaçãoacessadaapenasporquemfoipreviamenteconcedidooacesso);

– integridade(informaçõesemétodosdeprocessamentopreservadosemsuainteirezaeexatidão);

– disponibilidade (garantia que usuários autorizados acessem às informações e sistemas quando fornecessário).

Unidade I Unidade IConceitos e Padrões de Segurança da Informação Conceitos e Padrões de Segurança da InformaçãoUnidade I Unidade IConceitos e Padrões de Segurança da Informação Conceitos e Padrões de Segurança da Informação

��

Capítulo 3 – Aspectos de conformidade (legislação internacional e brasileira)

“... uma norma tem o propósito de definir regras, padrões e instrumentos de controle que dêem uniformidade a um processo, produto ou serviço”

Sêmola (2003).

SegundoANDERSON(2001),duranteséculos,oslimitesdapropriedadeedaprivacidadeforamdefinidoseprotegidosatravésdousodecadeados,cercas,assinaturaselacres,esuportadosporumaamplagamadeinvençõessociaisqueincluíamacordosinternacionais,legislaçõesnacionaisou,apenascostumeseregrasmoraiseéticas.

Contudo,comostratadosdecomércioe,maisrecentemente,comaGlobalização,asempresasperceberamqueprecisavamdeformasquefacilitassemessesistemacomplexodetrocasconstantesdebenseserviços,atravésdautilizaçãodamoedasafimdeconcretizaremsuasrelaçõescomerciaisefinanceiras.Diantedisso,ésaudávelquetodasasempresasprocuremumabasecomumquefaciliteasuainteraçãoepossaaumentaraconfiançaepossambuscarelementosepadrõesparaaumentarsuacompetitividadeereconhecimentomercadológico,procurandodiferenciaiscompetitivosnãoapenasanívellocal,masanívelmundial.

Apartirdesseavançoseviuanecessidadedequenormassurgissemparasugerirbasescomuns,cadaqualcomasuaespecificidade,E,assim,foramsurgindocritérios,padrõeseinstrumentosdecontrole,osquaispodiamseraplicádosparcialmenteoutotalmenteemfunçãodanaturezadecadanegócio.Estesforamaospoucoscriandoumaculturaerecebendooreconhecimentomundialdediversossegmentosespecíficos,sobretudonosquemaisserecentiampelaantigafaltadepadrões.

Àssim,namedidaqueosnegóciospassaramaseutilizarmaisdastecnologiasdeinformaçãoafimdesuportarseusprocessosprodutivoseoperacionais,ainformaçãofoisetornandocadavezmaisimportanteparaasempresasetêmsetornadoumingredientevitalasobrevivênciaeacontinuidadedasorganizações,sendoqueaproteçãodessasinformaçõespassaramaserprimordiaisaoseusucesso.

Hoje,atecnologiadainformaçãodeixoudeserumameraauxiliarnosprocessosoperacionaisepassouaserativanasrelaçõescomerciaiseaprotagonizarodesenvolvimentodasempresas,servindodecanalparaatrocadeinformaçõese intermediadoradas transaçõescomerciais.Claroque, para tanto, é necessáriaumagrande integraçãodoparquetecnológico,quemesmosendoextremamenteheterogêneo,tembuscadoformardeaumentarsuainter-conectividadeedemanteremsalvaguardaassuasinformaçõeseadeseusparceiroscomerciais,defornecedores,clientese,sobretudo,asinformaçõesprivilegiadasesigilosasdaprópriaempresa.

Assim, o mercado tem gradativamente chegado a um alto nível de automação, com uma grande necessidade decompartilhamentodeinformaçõesquetemmotivadoosurgimentoeacompilaçãonormasespecíficasafimdeorientaracriaçãodepadrõeseumanecessidadecrescentedagestãodesegurançadainformação.

Nabuscadessespadrões,alémdenormas,apróprialegislaçãodospaísesvemseadequandopaulatinamenteàlegislaçãointernacionalafimdefacilitarasrelaçõescomerciaisefazerfrenteanovosproblemasadvindoscomoavançotecnológico,relacionadoàfraudes,furtoseoutrosproblemasinerentesaousoporpessoasmalintencionadasdatecnologia.


Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

��


Capítulo 4 – Padrões e Normas (NBR ISO/IEC 17799,RFC 2196, ISO/IEC 15408, COBIT)

“Normas e padrões têm por objetivo definir regras, princípios e critérios, registrar as melhores práticas e prover uniformidade e qualidade a processos, produtos ou serviços, tendo em vista sua eficiência e eficácia.”

BEAL (2005, p. 36)

Norma NBR ISO/IEC 17799

Estanormadescreveoscontrolesdesegurançaquesãorequeridosnoambientedasempresasedissertaqueossistemasdegestãodesegurançadainformaçãodevemsefocarnagestãoderiscosafimdeatingirosobjetivosde:melhorarainformaçãoempresarialarespeitodossistemasdetecnologiadainformaçãoafimdemelhorarsuasegurança;quantificareanalisarfraquezaseventuaisdosativosdeinformaçãoepermitirqueagerênciatomedecisõesfundamentadassobregestãoderisco,eventualmentejustificandodespesasalocadasaestefim.Comovimosanteriormente,estanormafoiinspiradapelaBS7799,desenvolvidanaInglaterra.

Segundo WOOD (2002), a Norma da “International Organization for Standardization/International ElectrotechnicalCommission”–ISO/IEC17799,cujaadoçãonoBrasilsedeupormeiodaNormadaAssociaçãoBrasileiradeNormasTécnicas–ABNTNormaBrasileiradeReferência–NBR17799(ABNT,2002),ouadescriçãoderecomendaçõesdeinstitutosdetecnologiaedepadrõesinternacionalmenteaceitos,partindodepressupostosdescritoserepresentandomelhorespráticas.

Anormafoirevisadaemjunhode2005,passandoporalgumasmodificaçõesestruturaistaiscomooincrementodedezessetecontrolesnovosadmitidos,umnovocapítulosobreaGestãodeIncidentesdeSegurançadaInformação,umacláusulasobreãavaliaçãoeotratamentodoriscoeainserçãodeonzecláusulasdecontroledesegurança.

Especificamentecomrelaçãoaestanorma,acrescentamosqueelaprocuracobrirdiversostópicosreferentesàáreadesegurançaemtecnologiadainformaçãoe,assim,possuiumgrandenúmerodecontroleserequerimentososquais,aoseremcumpridos,podemmelhorarou,decertaforma,garantirasegurançadasinformaçõesemumaempresa.Alémdisso,apresentaumCódigodePráticaparaaGestãodeSegurançadaInformação,apresentandocercade10domíniosreunidosem36grupososquaissedesdobramem127controles.

ComosetratadeumCódigodePrática,estapartedanormanãovemaserobjetodecertificação,masrecomendaumamploconjuntodecontrolesquevieramaauxiliaremmuitoosresponsáveispelagestãodeSegurançadaInformaçãonasempresas.

Norma RFC 2196

ARFC2196,SiteSecurityHandbook,descrevepolíticaseprocedimentosdesegurançaparasitescomsistemasnaInternet.

Conformeafirmaemsuaintrodução,estedocumentotemoobjetivoodeserumguiaparadesenvolvimentodepolíticasdesegurançaeminformáticaeparaosprocedimentosdesitesqueapresentamsistemasdisponíveisnaInternet.


��

Destaforma,apresentacomopropósitoodeserumaespéciedeguiapráticoaosgestoresparatentarfornecermaiorsegurançaaumagrandevariedadedeinformaçõeseserviços.Osassuntosabordadosincluemosconteúdosdepolíticasdesegurançaesuaformação,algunstópicostécnicosespecíficosdesegurançaderedes,epossíveisatitudesquedevemsertomadasfrenteaincidentesdesegurança.Emresumo,odocumentoRFC2196tratadasPolíticasdeSegurança,daarquiteturadosplanosdesegurançaedaproteçãoaosserviços,dosserviço

Norma ISO/IEC 15408

Anorma ISO/IEC15408 tratadasegurançadosprocessosdedesenvolvimento,manutençãoeanálisedesistemasinformatizadoseapresenta-sesubdivididaessêncialmenteemtrêspartesquesão:definiçõesemetodologia,requisitosdesegurançaeasmetodologiasdeavaliação.

Estanormasurgiuafimdebuscaraunificaçãodospadrõesdesegurançaeuropeuenorteamericano,visandogarantirasegurançadosoftwareeprocurandosatisfazerosprincípiosdasegurançadainformação.

Paratanto,elaéutilizadatantonodesenvolvimentocomonaanálisedesistemaseaplicaçõesprontas,Ganhouimportânciadevidoàbuscacrescentedasempresasdeinvestirnaproteçãoesegurançadesuasinformações.

Especificamente,aISO15408abordaasdefiniçõesdoscomponentestécnicosdesegurançaosquaisvisamumprocessodeavaliaçãodesistemas.EsteprocessoéconhecidocomoCommonCriteria(CritériosComuns)eseuobjetivoprincipalédiscutirdefiniçõesemetodologiaseavaliações,listandoumconjuntoderequisitosdesegurançaemsistemas.Apartedeavaliaçãocontémclassessimilaresasdeespecificaçõesondeasclassessereferemagerenciamentodeconfiguração,entregaeinstalaçãodesoftware,edesenvolvimentoedocumentação.

COBIT

OCOBIT (ControlObjectives for InformationandRelatedTechnology–ObjetivosdeControlepara InformaçãoeTecnologia)foidesenvolvidopelaISACA(InformationSystemAuditandControlAssociation)nadécadade90temcomoprincipalobjetivoodetratarofluxodeinformaçõesquevenhaacontribuirparaumbomplanejamentoestratégico,adistribuiçãoderesponsabilidadesegerenciamentodosrecursos.Assim,trata-sedeummodelodegovernançadeTIquealinhaosprocessoserecursoscomosobjetivosdonegócio,apartemonetária,aqualidadeeasnecessidadesdesegurança.

Segundo CACIATO (2005), o COBIT possibilita que a organização, através de indicadores de performance, possamonitoraroquantoaáreadetecnologiadainformaçãoestáagregandovaloraosnegóciosdaempresa,sendocompostoporquatrodomíniosquesão:oplanejementoeorganização(níveltáticoeestratégico–metasdonegócio);aquisiçãoeimplementação(efetuaaestratégiadeTI);entregaesuporte(atendimentodasnecessidadesdosusuáriosemrelaçãoaosserviçosprestados);emonitoramento(verificaeavalia–eficiênciaqualitativa).Taisdomíniossãoencadeadosporumasériedeprocessos.

Assim,oCOBITatuanoscontroles,asmetodologias,pessoas,sistemas,infra-estrutura,ferramentasde“workflow”(fluxo)enosdemaisrecursosquesãoosmecanismos,queirãotransformarosinputsedemandas,sobretudodaáreadeTI,emsoluçõeseserviçosdecomvaloragregadoaonegócio.


Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

��


Memo PT F7098891Max CN=F7098891 stdNotesLtr98

True F7098891 0 0 0 OpenDocument

1 0 20/09/2008

Web 0 F7098891 mail/dom10100 ($Inbox) F7098891Max

maxgodoy,ma OqueéCOBr maxgodoy@b OqueéCOBT

F7098891Max F7098891Max 20/09/200812 Favorrespon Enviados F7098891Max

F7098891 20/09/0812:3: Favorrespond –SemTítulo– maxgodoy@

OqueéCOBr


��

Capítulo 5 – Planejamento de Segurança da Informação

“... preciso entender como a tecnologia da informação está alterando nosso negócio e preciso assegurar que nossa organização utilize eficazmente a tecnologia. Por conseguinte, passo grande parte de meu tempo tentando entender as implicações das novas tecnologias”

NEWMAN (1994)

SegundoGODOY(2004),odifícilparaaempresaédeterminaroquevaieoquenãoprecisaserprotegido.Quandofalamosemprotegerinformaçõesdevemospensarquaisinformaçõesnãoprecisamserprotegidas.Umavezdefinidasquaissãoénecessárioseidentificarosrequisitosdesegurançanecessáriosparataleoseucusto.

Apósseremidentificadososrequisitosdesegurança,estesdevemserselecionadoseimplementadoscontrolesafimdegarantirqueosriscossejamreduzidosaumnívelaceitável.Taiscontrolespodemserselecionadosapartirdeumdocumentoondeconstemtaisrequisitos,oudeoutrosconjuntosdecontroles.Assim,novoscontrolespodemserprojetadosafimdesatisfazerasnecessidadesespecíficasdaempresa.

Várioscontrolespodemserconsideradoscomoprincípiosorientadoresquefornecemumbompontodepartidaparaimplementaçãodasegurançade informações.Taiscontrolessãobaseadosnasexigências legaisoucomoamelhorpráticaaserrealizadaafimdeatingirummelhorníveldesegurançadainformação.Assim,lembramosquearelevânciadequalquercontroleédeterminadasobaóticadosriscosespecíficosenfrentadospelaempresa.

SegundoanormaISO/IEC/17799,oscontrolesconsideradosdopontodevistalegal,comoessenciaisparaumaempresa,são:

– aproteçãodedadoseprivacidadedeinformaçõespessoais;

– osdireitosàpropriedadeintelectual;

– aguardaàsalvodosregistrosorganizacionais.

Amesmanorma,alémdoscontroleslegaisessênciaisvistosacima,consideracomocontrolesde“melhorpráticacomumparaasegurançadeinformações”osreferentesa:

– alocarresponsabilidadesquantoàsegurançadasinformações;

– estabelecerpolíticadesegurançadeinformaçõesexpressaemdocumento;

– treinareeducarparasegurançadasinformações;

– relatarformalmenteosincidentesdesegurança;

– gerenciaracontinuidadedonegócio.

SegundoanormaISO/IEC17799(2000),oscontrolesdevemserselecionadosconsiderandoocustodesuaimplementaçãoemrelaçãoaosriscosqueestessepropõemareduzireaosprejuízosquepoderiamocorrercasohouvesseumaquebradesegurança.Devemserconsiderados,também,osfatoresnãomonetários,comoaimagemdaInstituição,suaperdadereputaçãofrenteaosclientes,fornecedoreseasociedade.

Assim,aoserescolhidooqueseráprotegido,comoserãoequecontrolesserãoutilizadosparaverificaraefetividadedessaproteção,bemcomoaintegridade,confidencialidadeedisponibilidadedosdados,érecomendadoquesejamontadoumdocumentoquedescrevaoqueserárealizado,osriscosqueaindapersistemesugestõesdecomoesepoderãosermitigados.


Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

��


Capítulo 6 – Modelos de Gestão de Segurança da Informação

“... a probabilidade de que agentes, que são ameaças, explorem vulnerabilidades, expondo os ativos a perdas de confidencialidade, integridade e disponibilidade, e causando impactos nos negócios. Estes impactos são limitados por medidas de segurança que protegem os ativos, impedindo que as ameaças explorem as vulnerabilidades, diminuindo assim o risco.“

SÊMOLA (2003, p. 56).

Conformecitamosanteriormente(noCapítulo1),apartirdaparte2danormaBS7799–2,publicadaem1998erevisadaem2002,foramdefidasasbasesnecessáriasparaumSGSI.

Assim,umSistemadeGerenciamentodaSegurançadaInformaçãoéumsistemadegestãosemelhanteumsistemadecontroledaqualidadetotale,comotal,podesercertificadoapartirdasprtáticasededocumentosoriundosdoconjuntodecontrolesqueforamimplantados.

Taiscontrolesprecisamserregistradosecontinuamenteexecutados.Assim,estemodelodegestãobaseia-senociclodemelhoriacontínua,conhecidocomo“PDCA”“Plan-Do-Check-Act”(Planejar,Fazer,VerificareAgir)

Figura 1 – Ciclo de um SGSI = PDCA.

ParaaimplantaçãodeumSGSIénecessárioqueaempresarealizeumadetalhadaanálisedeseusprocessos,identificandoa existência de superposição de controles ou normas, e como se processa a complementaridade entre seus váriosprocessos.

Apósisso,passamosa implantaçãodagestãodesegurançadainformaçãoquecomeçapeladefiniçãodedositensespecificadoscomovitaisparaaatividadedaempresaeseestãonospadrõesdesegurançaexigidoseemquesedistanciamdestes.

Outra das primeiras medidas a serem tomadas e buscar de todos os representantes dos mais diversos setores daorganizaçãooseucomprometimentocomapolíticadeSegurançada Informaçãoqueserá implantada/alterada.Talcomprometimentoseráobtidoatravésdoesclarecimentodaimportânciaedosriscosqueaempresaestariacorrendo.Alémdisso,ocomprometimentoseráratificadoatravésdacriaçãodeumcomitêdesegurançadainformação(podendo,deacordocomotamanhodaempresaserumFórum),oqualiráagendarreuniõesregularesafimderespaldarotrabalhoaserdesenvolvido.


��

Estecomitêterácomofunçãoadedefinirosníveisderiscoaceitávelpelaorganizaçãoeelaborarumametodologiadeimplementaçãoparaoprojetodesegurançadainformação.

Aelaboraçãodametodologia éuma tarefa complexadevidoaosníveis dedetalhamento easpectosespecíficosdaorganizaçãoaseremlevantados,tantoparaostécnicosquantoparaosgerenciaisaplicáveis.DessaanáliseadviriaasoluçãodeseimplantareacompanharainstalaçãodeumSistemadeGestãodaSegurançadaInformaçãonaorganizaçãoesuasimplicaçõesouimpactonoprocessoprodutivo.

Apósessaanálisedaempresa,oComitê,deveestabelecerumaPolíticadeSegurançadaInformação,aqualparaserconstruídapodemsertomadascomobaseospadrõesenormasapresentados,sobretudoaBS7799/ISO17799eaRFC2196(1997).

Depois, segue-se a definição do escopo a qual inclui o levantamento dos ativos que serão envolvidos (sistemas,equipamentos,comunicação,internet,rede,infra-estruturaetc.)eaclassificaçãodainformação.Destelevantamentoégeradaumadeclaraçãodeescopo,quedeveserrevisadae,casonecessário,corrigida.LembramosquequantomaioroescopomaioracomplexidadedoSGSIaserimplementado.

Aanálisederiscossegueafimdedeterminaraquaisriscosessesativosestãosujeitosecomomitigá-los.Assim,passamosaoGerenciamentodeRiscosquerepresentaumprocessocontínuo,oqualnãoterminaapenascomaimplementaçãodemedidasdesegurança,realizandoumamonitoraçãoconstante-eparatantoénecessárioseelegerresponsáveis,épossívelquesejamidentificadasquaisseriamasáreasbemsucedidasnessecontroleequaisasquenecessitamdeajustesourevisão.

Devemosteremmentequeépraticamente impossíveloferecerproteçãototalcontratodasasameaçasexistentes,portantoénecessário identificarosativosprincipaiseaspioresvulnerabilidadesquepossuemeverificarpossíveisameaças,afimdemitigar(diminuir)orisco.

Talatitudepossibilitaapriorizaçãoderecursoseesforçoscomsegurançaondeémaisnecessário.Resumidamente,apósosriscosteremsidoidentificados,aorganizaçãodefiniráquaisasuaprioridadeparatratadoseasmedidasdesegurançaquedevemserimplementadasmaisrapidamente.

Unidade IIUnidade II

��

Análise de Riscos

Capítulo 7 – Introdução e Conceitos Fundamentais de Análise de Riscos

“A distinção entre interna e externa, polícia e exército, crime e guerra, guerra e paz – que subjazem à nossa concepção do mundo – desapareceram, e necessitam ser renegociadas e reimplantadas.”

BECK, (2002, p. 3)

Antesdeestudarmosumpoucodaanálisederiscosénecessárioquepossamosentenderosconceitosqueseseguem:

Ameaça

SegundoGODOY(2004),emsegurançadainformação,umaameaçarepresentaumaaçãooucondiçãocapazdecausarincidentes que possam comprometer as informações e seus ativos, e que se consuma após identificar e explorarvulnerabilidadescompatíveis.

Assim,taisameaçaspodemser:naturais(comoumdesabamento,umaexplosão,umincêndio,umainundaçãoetc.),involuntárias(decorrentesdeacidentesoudeerros)ouvoluntárias(malintencionadastaiscomoaaçãodehackers1,crackers2,fraudadores,disseminadoresdevírusdecomputadoretc).

Vulnerabilidades

Asvulnerabilidadessãopontosdefalhaspotenciaisemumativoqueofragilizam,ouseja,algoqueépossíveldeserexploradoporalgumaameaçaeefetivarumprejuízooudano.

Risco

Oriscopodeserdefinidocomoapossibilidadedeperdadedeterminadoativo,bem, informação,quepodemocorrermedianteaadoçãodedeterminadocursodeação.Pode-semediroriscoemtermosdavalor(utilidadesmonetárias).Contudo,oriscopodeserminimizado,masdificilmentepodeserintegralmenteeliminado.

Riscos Internos

Osriscosinternossãoosoriundosdapossibilidadededanoscausadosporfuncionáriosdesonestosoumalintencionados,osquais,nomundodigital,podemserdemaioresproporções,poiséondepredominaoconhecimentoespecializado.O

1 Hacker–“Emtermosgeraisumhackeréalguémquegostadeexplorartodososaspectosdossistemasdeinformática,incluindosistemasdesegurança.Apalavra‘’hacker’’significa,paraamaioriadosutilizadores,apessoaqueviolaasegurançadesistemasdeinformática.”Disponívelem:<http://bvi.clix.pt/glossario/#e23>.[16abr.2003].

2 Cracker–“Indivíduocomaçõesmaisdestrutivasqueumhacker,poisinvadeosistemadesegurançadeumcomputadorourededecomputadorescomoobjetivoderoubar,destruirouapagarinformações.”Disponívelem:<http://dicas.bol.com.br/ferramentas/glossario.jhtm#h>.[16abr.2003].

Unidade IIAnálise de Riscos

Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

��

programadorqueescreveumsoftwaredesegurançapodecolocaruma“portadosfundos”;apessoaqueinstalaumfirewallpodedeixarumaaberturasecreta;eassimpordiante.Cautelanaseleçãodopessoalpareceserasoluçãoóbvia,masestamedidadevesercomplementadaporauditoriasperiódicas,quepoderãodetectarosdanosocorridoseresponsabilizarosculpados.(SCHNEIER,2001;SÊMOLA,2003).

Análise de Riscos

AAnálisedeRiscos,queseconcentranoestudoenarelaçãoentreosativos,suasvulnerabilidades,aspossíveisameaçasenoimpactoquecadaameaçapodecausar,casoseefetive.

SegundoALBERTS&DOROFEE(2002),váriasmetodologiasdeanálisederiscotêmsidopropostase,emsuagrandemaioria,apresentamsoluçõesdecustoelevadoderealização.

Medidas de segurança

Sãoaçõesprojetadaseoperacionalizadaspara“[...]evitar/barrar/conter‘causas’,ouparaminimizar/eliminar‘conseqüências’deameaçaslatentesoupotenciais[...],emfacedavulnerabilidadedeumbem,[...][dentrodo]seuperímetrodeproteção.“(GIL,1998,p.18).

Elaspodemserpreventivas(quandooobjetivoéevitaraocorrênciadedeterminadaameaça);dedetecção(quandobuscamflagraraocorrênciadeumaameaça);corretivas(quandovisameliminareminimizarasconseqüênciasdedeterminadaameaça;ou restauradoras (quandoametaé restabelecerasistemáticaoperacionaleasituaçãodenormalidade).


��

Capítulo 8 – Elementos da Análise de Riscos

“Quem olhar o mundo como um risco de terror, torna−se incapaz de agir. É esta a primeira armadilha armada pelos terroristas. A segunda: a manipulação política da percepção do risco de terrorismo desencadeia a necessidade de segurança, que suprime a liberdade e a democracia. Justamente as coisas que constituem a superioridade da modernidade. Se nos confrontarmos com a escolha entre liberdade e sobrevivência será já demasiado tarde, pois a maioria das pessoas escolherá situar-se contra a liberdade. O maior perigo, por isso, não é o risco mas a percepção do risco, que liberta fantasias de perigo e antídotos para elas, roubando dessa maneira à sociedade moderna a sua liberdade de ação”.

BECK (2002, p. 1)

Ofatorprimordialdeumaanálisederiscosédeterminarquaisosativosquevamosprotegereaqueriscosestesestãoexpostos?Protegertudoé,quasesempre,inviávelouimpossível.

Devemosteremmentequenenhumaameaçaétotalmenteinócuaquandooassuntosãoosativos,conhecimentoeossistemasdeinformaçãodeumaempresa.Otempodespendidocomaleituradeumamensagemdecorreioeletrônicoirrelevante,porexemplo,járepresentaaperdadeumativoimportante:otempo.Nãohácomonegarqueamagnitudedoimpactonosnegóciospodevariar,comrepercussõesmuitooupoucosignificativas.Issodependedousoqueéfeitodainformação,decomoestainformaçãoafetaonegócioeprincipalmenteatéquepontoadivulgação,corrupçãooudeleçãodainformaçãopodeafetarnegativamenteaorganização.

Parasabercomoeondeinvestirprioritariamente,osadministradoresprecisamconhecerarealsituaçãodesegurançadaempresa.Aanálisederiscosevulnerabilidadeséoprimeiropassoemqualquersoluçãodesegurançaeaprincipalferramentautilizadapelosadministradores.Tambémchamadasimplesmentedeavaliaçãode risco,esta ferramentaenvolveaanálisedevulnerabilidades,ameaças,probabilidadedeocorrência,perdaouimpactoeeficáciateóricadasmedidasdesegurançaescolhidas.

SegundoSêmola(2003),aanálisederiscosdevecomeçarcomacoletadeevidênciaseidentificaçãodasameaçasevulnerabilidadesdosativos.Dadaaimpossibilidadedecoletartodasasevidênciasatravésdedispositivosautomatizadosouinformatizados,estafasetambémprecisaenvolverentrevistascomgestoreseusuários,observaçãocomportamentale inspeção física,alémdoestudodedocumentoseanálises técnicasdosativos tecnológicos.Esta fase resultanaformaçãodeumaamplaBasedeConhecimentoqueseráfundamentalparasuportarasaçõesdediagnósticoeoprocessodetomadadedecisão.

Assim,umavezcoletadasasevidências,aempresapoderámontarummapaderelacionamentodecausaeefeitoqueconsidere:

– arelevânciadeumprocessoparatodoonegócio;

– arelaçãodedependênciaentreumoumaisprocessosdenegóciocomoativo;

– qualificaçãodasvulnerabilidadesdecadaativo;

– qualificaçãodasameaçaspotenciais;

– probabilidadedaameaçaexplorarumavulnerabilidade;

– severidadepotencialdaexploraçãodoativo;


Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

��

– osimpactosdaconcretizaçãodeumaameaça;

Munidosdestesdados,osgestoresdaempresapodemmodelarcontramedidasespecíficaseelaborarprogramasdegestãoderiscosparaoperímetrodaempresa.Poroutrolado,afaltadeumadefiniçãoclaradasituaçãodesegurançadaempresaimpedequeosadministradoresdeterminemcorretamenteoorçamentoparaseusplanosderecuperaçãodedesastres.


��

Capítulo 9 – Abordagens Qualitativa e Quantitativa na Análise de Riscos

“Uma organização é uma entidade social conscientemente coordenada com uma fronteira relativamente identificável, que funciona em uma base relativamente contínua para atingir um objetivo comum ou um conjunto de objetivos”.

ROBBINS (1990)

Existemduastendênciasdelinhasmetodológicasparaaanálisederiscos:aquantitativaeaqualitativa

Abordagem Quantitativa

AAnáliseQuantitativamedeosimpactosfinanceirosprovocadosporumincidenteemfunçãodavalorizaçãodosativosatingidos.

Destaforma,aAnálisedeRiscoQuantitativaconsistenaquantificaçãodosdiferenteselementosdorisco,sobretudocomdestaquenaprobabilidadedaocorrênciaenaseveridadedasconseqüências.

Comovantagens,aquantitativaapresentaresultadosmaisobjetivos (mensuráveis),apuraçãodocusto/benefício,exposiçãoemlinguagemmaisobjetivae,sobretudo,permiteumaanálisedoefeitoda implementaçãodemedidasmitigadorasoudecontroledoriscooudecontrolederiscoemempresasouemprojetos.Contudo,comolimitações,prescindedemetodologiasestruturadasnaapuraçãodoscustos,dosrecursos(necessárioseemformação),existeumarazoávelcomplexidadeelentidãonosemseucálculo(maisapurado)eexigeumamaiorquantidadeequalidadenasinformaçõesnecessárias.

Abordagem Qualitativa

JáaAnáliseQualitativaestimaosimpactosaonegóciocausadospelaexploraçãodeumavulnerabilidade.SegundoSêmola(2003,p.108-113),ométodoqualitativopermitelevaremconsideraçãoasinúmerasvariáveis,endógenaseexógenas,queextrapolamosaspectostecnológicosepodemalteraronívelderiscodeumnegócio.Asvariáveisendógenastratamdeaspectoshumanos,físicoselegais;enquantoasvariáveisexógenaspodemrefletirmudançasnocontextoeconômico,aentradadeumconcorrentenomercado,ouacriaçãodeumanovaunidadedenegócio.

Apesardereconhecerosméritosdeambasasmetodologias,oautorconsideraque,dadaa“[...]subjetividadenoprocessodevaloraçãodosativose[...][os]impactosemcascata,diretoseindiretos,potencialmenteprovocadosporumaquebradesegurança,ametodologiadeanálisequalitativatemdemonstradoeficiênciasuperior.”Sêmolaobservaquemuitosserviçosdeanálisedevulnerabilidadesoferecidosnomercado“[...]apenasaplicamferramentasdesoftware,scannersqueautomatizamotrabalhodevarreduraàprocuradefalhasdesegurança[...]eemitemumrelatórioprofundamentetécnicoe[...]nãocontextualizadoaolinguajareàsnecessidadesdonegócio.”(SÊMOLA,2002).Masaanálisederiscosevulnerabilidadesnãodevesebasearapenasnosativostecnológicos,ouseja,noperímetroderedecomseusservidores,sistemasoperacionais,serviçoseletrônicoseequipamentosdeconectividade.Asvulnerabilidadesfísicasehumanastambémprecisamfazerpartedaequaçãodorisco.

Assim,resumidamente,aAnálisedeRiscoQualitativaestábaseadanaavaliaçãodecenáriosindividuais,ouseja,nasestimativasdosdiferentesriscoscombaseemrespostasaquestionamentosdesituaçõeshipotéticas(exemplo:Oqueocorrecomesseativo/sistemase...)


Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

��

Comovantagensestametodologiaapresentaofatodesermaissimples,nãorequerendocálculoselaboradosenemquantificaçãoprecisacomoaoutra;nãoénecessáriaumarigorosaidentificaçãodasconseqüênciasetornamaisfáciloenvolvimentodediferenteselementosdaorganizaçãoporserdefácilcompreensão.Comodesvantagenstemofatodesermuitosubjetiva,nãopermitiraanálisedocusto/benefícioedependermuitodaexperiênciadosavaliadoresparasermaisefetiva.


��

Capítulo 10 – Análise de processos em TI

“Com a espantosa popularização de redes fornecendo os mais variados serviços, aumentou a dependência tecnológica de uma grande parcela da população aos serviços oferecidos. Falhas nesses serviços podem ser catastróficas para a segurança da população ou para a imagem e reputação das empresas.”

WEBER (2007)

SegundoJALOTE(1994,p.6),umafalhaemumsistemaacontecequandoocomportamentodesteocorredeformanãopreviamenteespecificada,ouseja,ocorrefalhaquandoosistemanãoconseguepreverafalhanoserviçodesejado.Talfalhacorrespondeaumaseqüênciadeaçõesquepodemserexecutadasatéquesejadetectadaaocorrênciadeumerro.Paraqueissonãoocorra,algumasmedidaspreventivaspodemserempregadasafimdeevitartaisfatosquecomprometemacredibilidadedosistemae,até,daprópriaempresa.

SegundoTANENBAUM(1995,p.212-213),asfalhasemsistemaspodemserclassificadascomotransientes(ocorreapenasumavez,mesmoseaoperaçãoforrepetida),intermitentes(ocorrecommaisfreqüênciamasmuitasvezesnãosãoprevisíveis)epermanentes(ocorremsempre).

ASegurançaemprocessosdeTIalémdasfalhasinvoluntáriasestáassociadaidéiadeevitarintençõesmaliciosasporpartedeterceiros,evitandoassimqueessespossamprejudicarosdoistiposdebensaliadosaessessistemasquesão:asinformaçõeseosserviços.Destaforma,osprocessosestandomaissegurospode-semelhoraraconfidencialidade,integridadeedisponibilidadedasinformaçõesedosserviçosdossistemasinformatizados.

Assim,aanálisedeprocessosemTIdeveserfocadanãoapenasnosprodutosdosistemaenasualógica,constantedadocumentação,mastambémemsuasinteraçõescomosusuários,organogramadechaves,manutençãodosacessos,acessoàsbasesdedadosdentroeforadosistema,aosdiretórioscompartilhadoseaalgunsatributosque,normalmente,passamdespercebidosdamaioriadosusuáriosmassãousualmentefalhasquepodemserexploradasporpessoasmalintencionadasouatéinadvertidamenteseremocasionadorasdefalhasoufurtodeinformações.

Oscuidadodegerardocumentaçãoantes,duranteedepoisdaconfecçãodossistemasinformatizados,aescolhadaequipedeanalistaseprogramadores,asupervisãodepessoahabilitadaedeconfiançaalémdousodecontratosetermosdesigiloeresponsabilizaçãosãofundamentaisnoiníciodoprocessodeconfecçãoedeoperaçãodossistemas.

Osmétodosdeanálise,avaliaçãoemodelagemdosprocessosemTIsãomuitosedivergemdeacordocomaestruturadasempresas,dosprojetosdeTI,deseusserviçosedacomplexidadedossistemaseprocessosdeTI,nãotendoumareceitaquepossaatendertodososcasosespecificamente.

Dentreasdiversasmetodologiasparaanáliseemodelagemdeprocessos,estãoasferramentasdeTQM(TotalQualityManagement–GerenciamentodaQualidadeTotal),os“6Sigma”,oBPM(BusinessProcessManagement–GerenciamentodeProcessosdeNegócio),IDEF(integratedDEFinitionMethods–MétodosIntegradosdeDefinição),BPR(BusinessProcessRedesign),oCOBIT(comdiversossubdomínios, incluindooISO17799:relativoàsegurança)eoutrasmetodologiasproprietáriasdeváriasconsultorias.

Contudo,sejaqualforametodologiaaseradotada,estaapresentaráfasesmuitosemelhantesdasrelatadasabaixo,quesãoafase:


Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

��

– demapeamentooulevantamentodasituaçãoatual,ondeseráfeitoomapeamentodetodaasituaçãoatualcombaseemdiagramaseformuláriosecomosquaisserãorepresentadasascaracterísticasdosprocessosatuaisaindaemuso;

– daanáliseediagnóstico,ondefocadonasrestriçõesdoprocesso,nanecessidadedosclientes,nosrequisitosdonegócioenacomparaçãocomoutrosprocessos,serárealizadoodianósticoeaanáliseemlinhacomohorizonteescolhido(visãodefuturo);

– dedesenhodasituaçãodesejada,ondesepartedoquefoimepeadocomosituaçãoatualeécriadoodesenhodo processo o qual se vislumbra o distanciamento em relação ao referencial escolhido, respeitado-se odirecionamentoestratégicoeadisponibilidadederecurso;

– daimplementação,ondesãorevistase,casonecessário,osprocedimentos,asnormase,senecessário,atéaspolíticas,easoutrasestruturassegundoonovodesenhodoprocesso;

– demonitoramento,éondesãomonitoradosos indicadoressegundoosníveisdeconformidadeacordados,atuando-senosdesvioseacompanhandoastendênciasafimdemanteroprocessoemumcicloconstantedemelhoria.


��

Capítulo 11 – Riscos em Projetos de Sistemas de Informação

“a subjetividade no processo de valoração dos ativos e os impactos em cascata, diretos e indiretos, potencialmente provocados por uma quebra de segurança e a metodologia de análise qualitativa tem demonstrado eficiência superior.”

SÊMOLA, (2003, p. 108-113).

Muitassãoasmetodologiasdeapuraçãodoriscodeprojetosdesistemasdeinformação,algumassãoproprietáriasdeconsultoriasoudeusomuitoespecífico.Oimportanteparasedefiniroriscoaoqualestásubmetidooprojetoéteranoçãorealoubempróximadarealidade,dasvulnerabilidadesedaspossíveisameaçasàsegurançaecontinuidadedoprojetooudosistemaemuso.Aseguir,falaremosdeduasmetodologiasbemutilizadasnomercadoquesãoométodoDelphi, utilizado emvários aspectos de segurança, inclusive os patrimoniaismas, pela sua simplicidade,aplicávelemváriostiposdeanálisederiscoinclusiveemTI:e,maisrecentemente,oOCTAVE,maisespecíficaparasistemasdeinformação.

Método Delphi

SegundoGil(1998,p.19),oRiscopodeserapuradosegundooalgoritmomatemáticoconstantedoMétodoDelphi:R = A X B,ondeAcorrespondeàscausaseBàsconseqüências,medidossegundoumaescaladepontuaçãopreviamentedefinida(normalmentede1a10).Oalgoritmoéaplicadoaumadeterminadaameaça,emfacedavulnerabilidadedeumativoemcertoperímetrodeproteção.

Método Octave

Outraformadeanálisederisco,comescopobemaplicável,édenominadaOCTAVE–“OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation,desenvolvidapelaCarnegieMellonUniversityequetemdocumentaçãoabertaparaconsultaseutilização.

Assim,ametodologia OCTAVEtemcomopressupostosbásicosacoordenaçãodeaçõespara:

• identificarosativosrelacionadosàinformaçãoquesãoimportantesparaaorganização;e

• priorizaraasatividadesdeanálisederiscosnosativosqueforemconsideradososmaiscríticos.

Destaforma,essesdoispressupostossãoelaboradosnastrêsfasesaseguir:

• elaborarperfisdeameaçasbaseadosemativos,ondeosmembrosdaorganizaçãoapresentamsuaperspectivasobrequaisativossãoimportantessobaaspectodasegurançaequeoestásendofeitoparapreservá-los;

• identificarinfra-estruturadevulnerabilidades,ondeotimedeanalistasdesegurançaidentificasistemasdeinformaçãoessenciaiseoscomponentesrelacionadosacadaativo,quesãoentãoanalisadosdopontodevistadasvulnerabilidadesrelacionadas;e

• desenvolverplanoseestratégiasdesegurança,ondesedecideoquedeveserfeitoarespeitodosativoscríticos.Cria-seumaestratégiadeproteçãoparaaorganizaçãoeplanosvoltadosaosriscosdosativosconsideradosprioritários.


Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

�0

Umavezrealizadoodiagnósticodosriscos,oresponsávelprecisadefinirjuntoaosgestoresdaorganização,quaisseriamosníveisderiscoaceitáveisenão-aceitáveis.Entreosnãoaceitáveis,pode-seescolherumaentreasseguintesopções:

– Aceitaroriscoconsiderarqueeleexiste,masnãoaplicarqualquercontrole;

– Mitigaroureduzironívelderiscoatravésdaaplicaçãodealgunscontrolesdesegurança,ou;

– Transferir o risco repassara responsabilidadedesegurançaaum terceiro, como,porexemplo,umdatacenter.


��

Capítulo 12 – Riscos na Contratação de Terceiros

“As normas são criadas para estabelecerem diretrizes e princípios para melhorar a gestão de segurança nas empresas e organizações.”

HOLANDA (2006)

SegundoMAIA(2002),nosúltimosanos,asempresastêmadotadoaestratégiadecontrataçãodeserviçosterceirizadosnaáreadetecnologiadainformação,comoprincipalobjetivodereduçãodecustos.Porém,estaescolhatambémtrazproblemasnoquedizrespeitoàqualidadeeàsegurançadosserviçosprestados,eimpõemedidasquetratemdareduçãoderiscosdeerroshumanos,roubo,fraudeouusoindevidoderecursos(instalações,equipamentosouinformações).

Poressarazão,quandoumaempresaoptapelaterceirização,nãobastafirmaroContratodePrestaçãodeServiços,ondedireitoseobrigaçõesdeambasaspartessãodetalhados,maséprecisotambémconsideraraelaboraçãodeumSLA(abreviaçãodotermoServiceLevelAgreement),tambémconhecidosimplesmentecomo:AcordodeNíveldeServiço.

ConformeanormaISO/IEC/17799(2001),osrequisitosdesegurançaquedevemconstardosContratoscomterceirosearranjososquaisenvolvamoacessodessesaossistemasàsfacilidadesdeprocessamentodeinformaçõesdaorganizaçãodevemserbaseadosemumcontratoformalcontendo,oureferenciando,todososrequisitosdesegurançaparagarantiraobediênciaàspolíticasepadrõesdesegurançadaorganização.Ocontratodevegarantirquenãohajamal-entendidosentreaorganizaçãoeaterceiraparte.Asorganizaçõesdevemsesatisfazerquantoàidoneidadedeseufornecedor.Osseguintestermosdevemserconsideradosparainclusãonocontratoa:

• PolíticaGeraldeSegurançadasInformações;

• ProteçãodosAtivos,

Ainda,conformeessanorma,quantoàproteçãodosativos,ocontratodeve incluirprocedimentosparaprotegerosativosdaorganização,suasinformaçõeseseus“softwares”;osprocedimentosparadeterminarseocorreuqualquercomprometimentodosativos(perdaoualteraçãodedados);instituircontrolesquegarantamadevoluçãooudestruiçãodeinformaçõeseativosnofinaldocontratoouemmomentoacordado;mnutençãodaintegridadeedisponibilidade;restriçõesquantoàcópiaeadivulgaçãodeinformações;devedescrevertodososserviçosdisponibilizados;oníveldesejadoeindesejável(nãoaceitável)deserviço;proverpossíveltransferênciadeequipesenecessárioparalocalmaisapropriado;estipularasresponsabilidadesdaspartescomrelaçãoaocontrato;descreverasresponsabilidadesrelacionadascomaspectoslegais(comoalegislaçãodeproteçãodedadosemdiferentessistemaslegaisnacionaisseocontratoenvolverparticipaçãooucooperaçãocomorganizaçõesemoutrospaíses);osdireitosdepropriedadeintelectualeatribuiçãodecopyrightseproteçãodequalquertrabalhocolaborativo;

Alémdesses,osacordosreferentesaocontroledeacesso,devemcobrirtambém:

– osmétodosdeacessopermitidos,eocontroleeousodeidentificadoresúnicos(senhaseidentificadoresdeusuários);

– processosdeautorizaçãodeacessodeusuárioseseusprivilégios;

– exigir a manutenção de uma lista de pessoas as quais estariam autorizadas a utilizar os serviçosdisponibilizados,


Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

��

– osseusdireitoseseusprivilégiosdeuso;

– definircritériosdedesempenhoverificáveis,monitorá-loseconfecçãoderelatórios;

– estabelecerodireitodemonitorar,erevogar,asatividadesdosusuários;

– instituirporescritoodireitodeauditarasresponsabilidadescontratuaisouderealizartaisauditoriasatravésdeoutros(externa);

– estabelecerprocessosdeescalonamentoafimderesolverproblemas;providênciasreferentesacontingênciastambémdevemserconsideradasondeapropriado;

– responsabilizarquantoainstalaçãoemanutençãodehardwareesoftware;

– estruturarclaramenterelatóriosinformativoseapresentarformatosacordadosemrelatórios;

– terprocessosclaroseespecificartrocadegerências;

– instituirquaisquercontrolesdeproteçãofísicanecessáriosemecanismosparaassegurarqueessescontrolessejamobedecidos;

– treinaradministradoreseusuáriosnosmétodos,procedimentosesegurança;

– instituircontrolesparaasseguraraproteçãocontrasoftwaremalicioso;

– fornecerarranjosparareportar,notificareinvestigarincidentesdesegurançaequebrasdesegurança;

– envolveraterceirizadacomseussubcontratados,e.

– descreverriscos(operacionaisefinanceiros).

��

Unidade III

Política de Segurançada Informação

Capítulo 13 – Definição do que é Política de Segurança e suas Extensões

“A política de segurança não é nada além de um ‘apelido’ que demos para a ferramenta (na forma de documentação) que expressa a formalização dos anseios da empresa para que suas informações mantenham-se íntegras, disponíveis e em sigilo.”

ABREU (2002).

A política de segurança é um documento formal que define as diretrizes e normas em relação à segurança e aosprocedimentosaseremseguidosportodaaempresa,semexceção.

SegundoABREU(2002),poderíamosdizerque“[...]políticadesegurançanãoénadaalémdeum‘apelido’quedemosparaaferramenta(naformadedocumentação)queexpressaaformalizaçãodosanseiosdaempresaparaquesuasinformaçõesmantenham-seíntegras,disponíveiseemsigilo.”

Por isso mesmo, cada empresa precisa desenvolver sua própria Política de Segurança. Esta deve ser definida emconjuntocomaaltadireçãodaempresaedeveserválidaparatodos,desdeopresidenteatéoníveloperacional.Alémdisso,éestritamentenecessárioquetenhaaaprovaçãoeocompromissodomaisaltoexecutivodaempresa,poisumapolíticadesegurançanãoconseguesobreviversemapoiofinanceiroquegarantasuaimplementação.Odocumentoquecompõeapolíticadesegurançanãoprecisasercomplexo,nemexcessivamentetécnicomasdeveapresentarregraseprocedimentosbemclarosedefinidos.

SegundoGODOY(2004),existemalgunscuidadosbásicosaseremtomadosduranteadefiniçãodapolíticadesegurança.Denadaadianta,porexemplo,negaracessoà Internetadeterminadosusuáriose,poroutro lado,deixar o drive de disquetes habilitado no computador desse usuário. De fato, pesquisas revelam que ataquesinternos(realizadosporusuáriosautorizadosounão-autorizados)podemsermaisperigososqueataquesexternosrealizadosviaInternet.

Unidade IIIPolítica de Segurança da Informação

Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

��

Capítulo 14 – Definição dos elementos da Política,Normas e Procedimentos

“o que distinguirá uma nação avançada de outra será a habilidade de coletar, organizar, processar e disseminar informações”.

Drucker (1968)

SegundoaRFC2196(2000),aPolíticadeSegurançaéumdocumentoquedescreveasrecomendações,asregras,asresponsabilidadeseaspráticasdesegurançavigentesnaempresaeabrangentesatodososfuncionários,contratadoseprestadoresdeserviçoqueutilizemossistemasdeinformação,seusprodutosouseusdados.Talpolíticadevesermoldadaàrealidadedecadaempresa,nãohavendoum“modelodepolítica”quepodeseradaptadosemrestriçõesouajustesreaisàespecificidadedecadaempresa.

QuantoadefiniçãodoselementosdaPolíticadeSegurança,devemoslembrarqueodocumentoquecompõeapolíticanãoprecisasercomplexoenemexcessivamentetécnicomasdeveapresentarregraseprocedimentosbemclarosedefinidos,taiscomo:

– definiçãodosagentesenvolvidosemsegurançadainformaçãodentrodaEmpresa;

– classificaçãodeinformações;

– políticadeacessosexternoseinternos;

– políticadeusodaIntranetedaInternet;

– eventosmínimosaseremlogadosnosSistemasCorporativos;

– trilhasdeauditoria;

– políticadebackup;

– políticadeusodesoftware;

– acessofísicoelógico

Contudo,claro,taiselementosdevemseradequadosàrealidadedaempresae,depreferência,devemtersidoacordadoscomosdiversossetores(representadospelosníveisgerenciaisetécnicos)atécomoformadedisseminaçãoe,posterior,interiorizaçãodapolítica.

AsnormassãoumaespecificaçãodapolíticaecorrespondemaosprocedimentosquedevemserseguidosafimdesecumpriremaPolíticadeSegurança.Assimcomoesta,asnormasdevemserelaboradasdeformaclaraecommaiorparticipaçãotécnicaafimdeseremexequíveisebemaceitas.

Jáosprocedimentosreferem-seaspráticas,ouseja,aospassosexecíficosquedevemserseguidosoumesmoasformasdeutilização,afimdegarantirocumprimentodasnormase,assim,agiremtotalacordocomaspolíticasdefinidas.

Alémdisso,segundoaISO/IEC17799(2000),aPolíticadeSegurançadeveapresentaralgumascaracterísticas,taiscomo:


��

– seraprovadapeladiretoria,

– divulgadaepublicadadeformaamplaparatodososcolaboradores;

– serrevisadaregularmente,comgarantiadeque,emcasodealteração,elasejarevista;

– estaremconformidadecomalegislaçãoeascláusulasdoscontratosfirmadospelaecomaempresa;

– definirasresponsabilidadesgeraiseespecíficas;

– disporasconseqüênciasdasviolaçõesdessasregras.


Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

��

Capítulo 15 – A importância da Política de Segurançana empresa e seu relacionamento com as outras áreas

“... o nível de segurança de uma empresa está diretamente associado à sua ‘porta’ mais fraca”

SÊMOLA (2003, p. 18)

UmavezdefinidaaPolíticadeSegurança,estadeveseraplicávelemtodaaempresae,principalmente,conhecidaportodosedisseminadafacilmenteatravésdoscanaisformaiseinformaisexistentes.

Oaspectomaisimportantedapolíticaéofatodequeelasejaacompanhadaesejaverificadooseucumprimentoportodososfuncionáriosnosdiversossetoresdaempresa.Advémdaíofatodelaserelaboradadeformamaisgeraleterdeserespecificadaatravésdenormaseprocedimentos,osquaispossuemumcarátermaisespecífico.

Segundo GODOY (2004), a segurança da informação pode funcionar no âmbito digital, mas é no movimento dasinformaçõesatéoâmbitodigital(naspessoas)queseencontraoelomaisfraconacorrentedasegurança.Amaiorprovadissoéoaumentononúmerodeataquesdeengenhariasocial(enganarpessoasparaseconseguirdadossigilososdasempresasouacessoprivilegiado),queexploramacredulidadeefaltadeconsciênciadaspessoasquantoàimportânciadainformação.Porisso,aidéiaquepermeiatodaaliteraturalidaarespeitodesegurança,ecomaqualconcordamos,éadequesegurançadainformaçãoéresponsabilidadedetodososfuncionáriosdeumaorganização.


��

Capítulo 16 – Como elaborar uma Política de Segurança deforma a Adequar o Modelo NBR ISO/IEC 17799 na Organização

“... a lógica econômica da Era da Informação: as idéias, o conhecimento, o processamento da informação e outros fatores intangíveis – os capitais humanos, estrutural e do cliente – podem criar riqueza mais rápido e de maneira mais barata que os ativos financeiros e físicos tradicionalmente empregados.”

STEWART (1998)

SegundoaISO/IEC17799(2000),apolíticadesegurançatemporobjetivoodefornecerdireçãoeapoiogerenciaisparaasegurançadeinformaçõeseagerênciadeveestabelecerumadireçãopolíticaclaraedemonstrarsuporteeocomprometimentocomasegurançadasinformaçõesatravésdaemissãoedamanutençãodeumapolíticadesegurançadeinformaçõesparatodaaorganização.

AindasegundoanormaISO/IEC17799(2000),Umdocumentocomapolíticadeveseraprovadopelagerência,publicadoe divulgado, conforme apropriado, para todos os empregados. Ele deve declarar o comprometimento da gerência eestabeleceraabordagemdaorganizaçãoquantoàgestãodasegurançadeinformações.Nomínimo,devemserincluídasasseguintesorientações:

a) definiçãodesegurançadeinformações,seusobjetivosgeraiseescopoeaimportânciadasegurançacomoummecanismocapacitadorparacompartilhamentodeinformações;

b) declaraçãodeintençãodagerência,apoiandoosobjetivoseprincípiosdasegurançadeinformações;

c) breveexplanaçãodaspolíticas,princípiosepadrõesdesegurançaedasexigênciasaseremobedecidasquesãodeparticularimportânciaparaaorganizaçãocomo,porexemplo:

– obediência às exigências legislativas e contratuais; – necessidades de educação (treinamento) parasegurança;–prevençãoedetecçãodevíruseoutrossoftwaresprejudiciais;

– gerenciamentodacontinuidadedonegócio;

– conseqüênciasdasviolaçõesdapolíticadesegurança;

– uma definição das responsabilidades gerais e específicas pela gestão da segurança das informações,incluindorelatóriosdeincidentesdesegurança;

– referênciasadocumentosquepodemapoiarapolítica,porexemplopolíticasdesegurançamaisdetalhadaseprocedimentosparasistemasdeinformaçãoespecíficosouregrasdesegurançaqueosusuáriosdevemobedecer.

Estapolíticadevesercomunicadaemtodaaorganizaçãoparaosusuáriosdeumaformaquesejarelevante,acessívelequepossaserentendidapeloleitor.


Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

��

Capítulo 17 – Como divulgar, conscientizar egarantir a aplicação da Política

“Ética refere-se aos princípios de certo e errado que podem ser usados pelos indivíduos que atuam como agentes de livre moral para fazer as escolhas que guiam seu comportamento”

Laudon & Laudon (1999)

SegundoSÊMOLA(2003,p.129-131),paraqueumaempresaentendaqueoníveldesegurançaalcançadoéfrutodaresponsabilidadecompartilhadadosfuncionárioséprecisoantesconstruirumaculturadesegurança.Issopodeserfeitoatravésdecampanhasdedivulgação,seminários,cursosdecapacitação,ouatémediantecomunicadooficialdoPresidente,oficializandoointeressedaempresanaquestãoesalientandoaimportânciadoenvolvimentodetodosnoprocesso.

SegundoGil (1998, p. 44) a segurança da informação deve ser exercida nos três níveis organizacionais.Assim,temos:

– dopontodevistaoperacional,ofocoénaatuaçãodosfuncionários,poissãoelesosresponsáveispelaexecuçãodamaiorpartedepráticaseprocedimentosdesegurança;

– noníveltático,aprioridadeéafunçãodecontrole,implementadaporgerentesesupervisores,comoobjetivodeproveromonitoramentocontínuodaspráticasdesegurançaestabelecidas;

– o nível estratégico é implementado pela alta administração, com a definição de diretrizes e planos,acompanhamentodarelaçãocusto-benefíciodasatividadesdesegurançaeadefiniçãodoníveldeaceitabilidadeetolerânciaaorisco.Afiguraabaixoapresentaexemplosdeatividadesdegestão,nostrêsníveisorganizacionaiseparacadamomentodociclodasegurança.

Figura 2 – Administração da Segurança Segundo os Níveis Organizacionais.

FunçõesPlanejamento Execução Controle Auditoria

Níveis

EstratégicoPlano de investimentosqüinqüenais

Autorizar investimentosqüinqüenais

Monitorar desembolso deinvestimentos

A v a l i a r r e t o r n o d einvestimentosemsegurança

TáticoO r ç a m e n t o a n u a l d esegurança

Administrar projetos desegurança

Apurardesviosdeprojetosdesegurança

Verificar produto final deprojetosdesegurança

OperacionalA c i o n a r s e g u r a n ç apreventiva

A c i o n a r m e d i d a s d esegurança

Acionarmedidasdesegurançarestauradoras

Verificar, testar e simularmedidasdesegurança

Fonte:AdaptadodeGIL,AntoniodeLoureiro.SegurançaemInformática.2.ed.SãoPaulo:Atlas.1998.p.44.


��

Capítulo 18 – Quais os Instrumentos Legais de Repreensãoem Caso do não Cumprimento da Política

“As empresas podem gastar milhões de dólares em proteções tecnológicas, mas isso será um desperdício se as pessoas puderem simplesmente ligar para alguém e convencê-lo a fazer algo que baixe as defesas do computador ou que revele as informações que estão buscando”

SCHNEIER (2001)

SegundoaISO/IEC17799(2000),aobediênciaàsexigênciaslegaistemporobjetivoevitarainfraçãodequalquerleicivilecriminal,estatutária,regulamentadoraoudeobrigaçõescontratuaisedequaisquerrequisitosdesegurança.Deformaqueumaoperação,ouso,projetoeogerenciamentodesistemasdeinformaçõespodemestarsujeitosaexigênciasdesegurançaestatutárias,regulamentadorasecontratuais.

Assim,apróprianormaorientaogestorabuscaraconselhamentosobreasexigênciaslegaisespecíficascomosconsultoresjurídicosdaorganização,ouprofissionaisadequadamentequalificados.Comrelaçãoàidentificaçãodalegislaçãoaplicável,aISO/IEC17799(2000)citaquetodasasexigênciascontratuais,estatutáriaseregulamentadorasrelevantesdevemserexplicitamentedefinidasedocumentadasparacadasistemadeinformações.Assim,oscontrolesespecíficoseasresponsabilidadesindividuaisparasatisfazerestasexigênciasdevemestarsimilarmentedefinidosedocumentados.

Quantoaosdireitosdepropriedade industrial (Copyright– textosesoftwares),anorma tambémesclareceque,osprocedimentosapropriadosdevemserimplementadosparagarantiraobservânciaderestriçõeslegaisquantoaousodematerialparaoqualpodemexistirdireitosdepropriedadeintelectual,taiscomocopyright,direitosdeprojetoemarcasregistradas.

Assimaviolaçãodecopyrightspodelevaraaçõeslegaisquepodemenvolverprocessocriminal,exigênciaslegislativas,regulamentadorasecontratuaispodemcolocarrestriçõesquantoàcópiadematerialproprietário.Emparticular,elaspodemobrigarqueapenasmaterialqueédesenvolvidopelaorganização,ouqueélicenciadooufornecidopelodesenvolvedorparaaorganização,possaserusado.

De semelhante modo, para os Produtos de software proprietários geralmente são fornecidos sob um contrato delicenciamentoquelimitaousodosprodutosamáquinasespecificadasepodepermitircópiasapenasparaacriaçãodebackups.Assimoscontrolesseguintesdevemserconsiderados:

– publicarumapolíticadeobediênciaacopyrightdesoftware,quedefineousolegaldossoftwareseprodutosdeinformação;emitirpadrõesparaosprocedimentosdeaquisiçãodeprodutosdesoftware;

– manteraconscientizaçãosobreaspolíticasdecopyrightedeaquisiçãodesoftwares,enotificaraintençãodetomarmedidasdisciplinarescontrapessoasqueasinfringirem;manterregistrosapropriadosdosativosedecomprovanteeevidênciasdepropriedadedelicenças,discosmestres,manuaisetc.;

– implementar controles que visem garantir que não seja excedida a quantidade máxima de usuáriospermitidos;

– executarverificaçãodequeapenassoftwareautorizadoeprodutoslicenciadosestãoinstalados;

– providenciarpolíticaparamantercondiçõesdelicençaapropriadas;

– criarpolíticaparadescarteoutransferênciadesoftwareparaoutros;

– obedeceraostermosecondiçõesrelativosaossoftwareseinformaçõesobtidosderedespúblicas,e;

– utilizarferramentasdeauditoriaapropriadas;


Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

�0

Capítulo 19 – Como fazer uma revisão da Política de Segurança

“As pessoas querem se comunicar e o sistema de segurança é, no máximo, algo que não prejudique esse desejo.”

SCHNEIER (2001, p. 260).

SegundoaISO/IEC17799(2000),noqueconserneàobediênciaàpolíticadesegurança,osgerentesdevemseassegurardequetodososprocedimentosdesegurançadentrodesuasáreasderesponsabilidadesãoexecutadoscorretamente.

Alémdisso,todasasáreasdentrodaorganizaçãodevemserconsideradasparaumarevisãoregulardecumprimentodapolítica,visandogarantiraobediênciaaospadrõesepolíticasdesegurançaesuaefetividade.

Estasrevisõesdevemincluirossistemasdeinformações;osprovedoresdesistemas;osproprietáriosdasinformaçõeseosativosdeinformação;asgerênciaseosusuários.Alémdisso,osproprietáriosdossistemasdeinformaçõesdevemapoiarrevisõesregularesafimdeverificarseseussistemasestãoobedecendoàspolíticasdesegurançaapropriadamente,aospadrõesequaisqueroutrosrequisitosdesegurança.

SegundoanormaISO/IEC17799(2000),apolíticadesegurançadeveterumencarregadoquesejaresponsávelporsuamanutençãoerevisãodeacordocomumprocessoderevisãodefinido.Esseprocessodeveassegurarquesejaexecutadaumarevisãoemrespostaaquaisquermudançasqueafetemabasedaavaliaçãoderiscosoriginal,porexemploincidentesdesegurançasignificativos,novasvulnerabilidadesoumudançasnainfra-estruturaorganizacionaloutécnica.Tambémdevemserprogramadasrevisõesperiódicasdosseguintesaspectos:

– a eficácia da política, demonstrada pela natureza, quantidade e impacto dos incidentes de segurançareportados;

– ocustoeimpactodoscontrolesnaeficiênciadonegócio;

– osefeitosdasmudançasnatecnologia.

No que concerne ã verificação da obediência técnica (se tudo está técnicamente adequado conforme àPolítica deSegurançaestabelecida),conformeanormaISO/IEC17799(2000),ossistemasdeinformaçãodevemserverificadosregularmentequantoàobediênciaaospadrõesdeimplementaçãodesegurança.Talverificaçãoenvolveoexamedossistemasdeoperaçãoporassistênciatécnicaespecializada,afimdegarantirqueoscontrolesdehardwareesoftwareforamcorretamenteimplementados.

Estaverificaçãodaobediênciapodeenvolvertestesde invasãoosquaispodemserexecutadosporespecialistasindependentescontratadosespecificamenteparaestefim,afimdedetectarpossíveisoueventuaisvulnerabilidadesnos sistemas e se atestar se são eficazes os controles na prevenção de acesso não autorizado. Desta forma,ressaltamosquetaisverificaçõesdeobediênciatécnicadevaseracompanhadadasupervisãodepessoasautorizadasecompetentes.

Unidade IV

��

Segurança Física, Planejamento de Contingências e Recuperação de Desastres

Capítulo 20 – Conceitos de Segurança Física,Segurança de Perímetro e Segurança Patrimonial

“Firewalls sào barreiras de proteção física, máquinas projetadas para conter os problemas dentro de uma pequena área de uma rede”.

SCHNEIER (2001, p. 191).

Segurança Física

SegundoGil(1998),asegurançafísicarefere-seàmanutençãodascondiçõesoperacionaisedeintegridadedosrecursosmateriaisusadosnoambientedeinformática.Estesrecursosincluem:hardware(terminais,impressorasetc.),insumos(disquetes,fitadeimpressoraetc.)ecomponentes(cabosdeconexão,estabilizadoresetc.).Asprincipaissituaçõesdeinsegurançafísicaeminformáticasão:

– roubo,perdaouextraviodeplanilhas,formulários,relatóriosedocumentosusadosougeradosnoambientedeinformática;

– roubo,perdaoudanosadisqueteseoutrosmeiosdegravação;

– agressõesfísicaspropositaisouacidentaisàconfiguraçãodocomputador.

Algunsexemplosdemedidasdesegurançafísicasão:manutençãodeestoquereservadehardware,insumosecomponentesparasuprimento imediatoemcasodeperdaseavarias;transportedemeiosmagnéticosemembalagensfechadaseprotegidascontrapoeira,violaçõeseinterferênciaseletromagnéticas.

SegurançadePerímetro

ASegurançadePerímetro(ouPerímetrodeProteção)correspondeaumambienteouumalinhaimaginária,físicaoulógica,emqueaameaçapodeocorrer.Oconceitodeperímetroteveorigemnasestratégiasmilitaresdedefesaehámuitotempoéutilizadopelaáreadesegurançapatrimonial.Acompartimentalizaçãocorretadosambientesfísicoselógicospermiteaaplicaçãodecontrolesadequados.Assim,asegurançadeperímetrosignificaumaáreaondeoníveldesegurançaémaiselevadoqueasdemaisáreascircunvizinhas.

Unidade IVSegurança Física, Planejamento de Contingências e Recuperação de Desastres

Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

��

Figura 3 – Perímetros Físicos e Lógicos.

Fonte:AdaptadodeSÊMOLA,Marcos.GestãodaSegurançadaInformação:UmaVisãoExecutiva.RiodeJaneiro:Campus,2003.p.50.

SegundoanormaISO/IEC17799(2000),aproteçãofísicapodeserobtidaaoseremcriandasdiversasbarreirasfísicasemtornodasinstalaçõeseaoredordasfacilidadesdeprocessamentodeinformaçõesdaempresa.Assim,cadabarreiraestabeleceráumaespéciedeperímetrodesegurança,eacadaum,iráaumentandogradativamenteaproteçãototalfornecida.

Destaforma,anormaorientaqueasorganizaçõesdevamseutilizardessesperímetrosdesegurançaafimdeprotegeráreasquecontenhamfacilidadesdeprocessamentodeinformações.

Logo,umperímetrodesegurançaéalgoqueconstituiumabarreira, talcomoummuro,umaparede,umportãodeentradacontroladoporcartõesdeacessoouumarecepçãocomatendentesquepossamevitaroacessodireto.Assim,alocalizaçãoearesistênciadecadabarreiraedecorrentedosresultadosdasavaliaçõesderiscos.

Segurança Patrimonial

São as formas de proteção do patrimônio, ou seja, representa qualqueratividadepreventivaoudefensivaassociadaàprocedimentose/ouequipamentosdesegurança,comopropósitodeguardarouprotegeropatrimônio(benspatrimoniais)contrariscosocasionaisouaçõeslesivasperpetradasporterceiros.

Osbenspatrimoniais correspondema todososbensquepossuemalgumvalor aos seusproprietários, podendo sermateriaisouimateriais.


��

Capítulo 21 – Elementos Específicos de Segurança Física,Segurança de Perímetro e Segurança Patrimonial

““... uma empresa que codifica todos os seus dados nos computadores mas não tranca seus gabinetes de arquivo ou não tritura seu lixo [em papel], está aberta ao ataque.”

SCHNEIER (2001, p. 256)

Oselementosespecíficosdesegurançafísicacorrespondemaosmeiospelosquaisumobjetoouáreapossatersuacondiçãodesegurançamelhoradadevidoàpresençadessedispositivodesegurança

Elementos Específicos de Segurança Física

SegundoanormaISO/IEC17799(2000),asáreasdesegurançafísicadevemserprotegidasporcontrolesdeentradaapropriados,paragarantirqueapenasopessoalautorizado tenhaacessoaelas.Osseguintescontrolesdevemserconsiderados:

– Visitantesnasáreasdesegurançadevemsersupervisionadosouconduzidospelasegurançaeasdatasehoráriosdesuaentradaesaídadevemserregistrados.Elesdevemterseuacessoconcedidoapenasparapropósitosespecíficoseautorizadosedevemserinstruídossobreosrequisitosdesegurançadaáreaesobreosprocedimentosdeemergência.

– Oacessoa informaçõessensíveis,efacilidadesdeprocessamentode informações,devesercontroladoerestringidoapenasaopessoalautorizado.

– Controlesdeautenticação,taiscomocartõesmagnéticoscomPIN,devemserusadosparaautorizarevalidartodososacessos.Umaaudittrail5detodososacessosdevesermantidoemsegurança.

– Todoopessoaldeveserobrigadoausaralgumaformavisíveldeidentificaçãoedeveserencorajadoaquestionarestranhosdesacompanhadosequalquerumquenãoestejausandoidentificaçãovisível;

– Sistemasadequadosdedetecçãodeinvasão,instaladosempadrõesprofissionaisetestadosregularmente,devemsercolocadosparacobrirtodasasportasexternasejanelasacessíveis.Áreasdesocupadasdevempermanecersemprecomoalarmeligado.Acoberturadevetambémserprovidenciadaparaoutrasáreas,comosaladecomputadoresousalasdetelecomunicações.

– Asinstalaçõesdeprocessamentodeinformaçõesgerenciadaspelaorganizaçãodevemserfisicamenteseparadasdaquelasgerenciadasporterceiraspartes.

– Listas telefônicas internas, que identifiquemos locais das instalações de processamento de informaçõessensíveis,nãodevemficardisponíveisparaopúblico.

– Materiaisperigososoucombustíveisdevemserarmazenadosaumadistânciaseguradeumaáreadesegurança.Suprimentosvolumosos,talcomopapel,nãodevemserarmazenadosdentrodeumaáreadesegurançaatéseremnecessários.

– Equipamentosparafallbackemídiadebackupdevemficarsituadosaumadistânciaseguraparaevitardanosprovocadosporumdesastrenositeprincipal.


Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

��

– Osdireitosdeacessoàsáreasdesegurançadevemserrevisadoseatualizadosregularmente.

Elementos Específicos de Perímetro

SegundoanormaISO/IEC17799(2000),paraasegurançadeperímetro,asdiretrizesecontrolesseguintesdevemserconsideradoseimplementadosondeforapropriado:

– perímetrodesegurançadeveserclaramentedefinido.

– perímetrodeumedifícioousitequecontenhafacilidadesdeprocessamentodeinformaçõesdeveserfisicamenteseguro(istoé,nãodevehaverbrechasnoperímetroouáreasondeumaentradaforçadapossaocorrercomfacilidade).Asparedesexternasdositedevemserdeconstruçãosólidaetodasasportasexternasdevemseradequadamenteprotegidascontraacessonãoautorizado,commecanismosdecontrole,barras,alarmes,trancasetc.

– Deveexistirumaáreaderecepçãocomatendentesououtrosmeiosdecontrolaroacessofísicoaositeouaoedifício.Oacessoaossitesouedifíciosdeveserrestritoapenasaopessoalautorizado.

– Asbarreirasfísicasdevem,senecessário,serestendidasdopisorealaotetorealparaimpedirentradanãoautorizadaecontaminaçãoambiental,taiscomoascausadasporincêndioouinundação.

– Todas as portas corta-fogo em um perímetro de segurança devem ter alarmes e devem fechar fazendobarulho.

Elementos Específicos de Segurança Patrimonial

SegundoanormaISO/IEC17799(2000),Osequipamentosdevemserprotegidos,oudispostosfisicamentedeformaadequada,parareduzirosriscosoriundosdeameaçaseperigosambientaisedeoportunidadesdeacessonãoautorizado.Osseguintescontrolesdevemserconsiderados:

– equipamentosdevemserdispostosfisicamentedeformaaminimizaracessosdesnecessáriosentreáreasdetrabalho;

– instalaçõesdeprocessamentoearmazenamentodeinformaçõesquelidamcomdadossensíveisdevemserposicionadasparareduziroriscodeasinformaçõesseremvistascasualmenteduranteseuuso.

– itensquenecessitamproteçãoespecialdevemserisoladosparareduzironívelgeraldeproteçãoexigido;

– oscontrolesdevemseradotadosparaminimizaroriscodeameaçaspotenciais,taiscomo:

– roubos;– incêndios;– explosivos;– fumaça;– faltad’água(falhanofornecimento);– poeira;– vibrações;– efeitosquímicos;– interferênciasnosuprimentoelétrico;– radiaçãoeletromagnética.


��

Devemserconsideradas,também:

– condiçõesambientais,asquaisprecisamsermonitoradasembuscadesituaçõesquepossamafetaraoperaçãodasinstalaçõesdeprocessamentodeinformações.

– utilizaçãodemétodosdeproteçãoespeciais;

Fatoresimportantes,queàsvexassãoesquecidosmassãodefundamentalimportânciae,portantodevemserconsideradossão:

– oimpactodeumdesastrequeaconteçaemprédiospróximos,incêndiosemedifíciosvizinhos,enchentesouvazamentosdeáguapelotetoouemandaresabaixodoníveldaruaou,atémesmo,apossibilidadedeexplosõesnarua.

Quantoafalhasdeenergia,osequipamentosdevemserprotegidoscontraafaltaoumesmoanomaliasnacorrenteelétrica(picosouquedas).Fonteselétricasdevemserprovidasdeacordocomasespecificaçõesdosfabricantesdosequipamentos.Paraseprecaver,aempresadeveráverificarasopçõesparaconseguiracontinuidadenofornecimentodeenergiataiscomo:

– múltiplasalimentações(evitamumúnicopontodefalha);

– “No-Break”–equipamentoparasuprirtemporariamenteaenergiaemcasodefalha;

– geradorsobressalente.

Os interruptores de energia de emergência devem estar localizados próximo às saídas de emergência nas salas deequipamentos,afimdefacilitarodesligamentorápidodaenergiaemcasode“pane”(emergência).E,nestescasos,ailuminaçãodeemergênciadeveserprovidaemcasodefalhanaenergiaprincipal.

Emtodososedifícios,osfiltrosdeproteçãocontraraiosdevemserinstaladoseemlinhasdecomunicaçãoexternas.

Alémdisso,oscabosdeenergiaedetelecomunicaçãoosquaistransportamdadosousuportamosserviçosinformatizadosdevemestarprotegidoscontra interceptação (“Sniffer”)oudanosacidentaisouprovocados.Para tanto,devemserconsideradososseguintescontroles:

– linhasdetelecomunicaçõessepossívelsubterrânease/ousujeitasaproteçõesalternativas;

– cabeamentoderedeprotegidocontrainterceptaçãonãoautorizadaoudanos,

– segregaçãodoscabosdeenergiadoscabosdecomunicaçãoafimdeimpedirinterferência.

– Parasistemascríticosousensíveis,controlesadicionaisdevemincluir:

– ainstalaçãodecondutoblindadoesalasoucaixastrancadasnospontosdeinspeçãoeterminação;– usoderoteamentoalternativooumídiadetransmissãoalternativa;– usodecabeamentodefibraótica;– iniciação de varreduras em busca de dispositivos não autorizados que possam ser conectados aos

cabos.

No que concerne à manutenção de equipamentos estes devem ser corretamente conservados para assegurar suadisponibilidadeeintegridadecontinuadas.Osseguintescontrolesdevemserconsiderados:

– osequipamentosdevempassarpormanutençãodeacordocomos intervaloseespecificaçõesdeserviçorecomendadospelofornecedor.


Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

��

– apenasopessoalautorizadodemanutençãodeveexecutarosreparoseamanutençãonosequipamentos.

– devemsermantidosregistrossobretodasasfalhasocorridasoususpeitadasesobretodasasmanutençõespreventivasecorretivas.

– controlesapropriadosdevemserrealizadosquandoseenviarequipamentosparaforadaorganizaçãoparamanutenção

– Todososrequisitosimpostospelaspolíticasdesegurançadevemserobedecidos.

ASegurançadeequipamentosforadaempresa,independentementedasuapropriedade,ousodequalquerequipamentoforadasinstalaçõesfísicasdaorganizaçãoparaprocessamentodeinformaçõesdeveserautorizadopelagerência.Asegurançafornecidadeveserequivalenteàqueladosequipamentos“on-site”(dedentrodaempresa)utilizadosparaosmesmospropósitos,Assim,levando-seemcontaosriscosdetrabalharforadolocaldaempresa.

ParaosEquipamentosdeprocessamentodeinformações,nosquaisincluemtodasasformasdecomputadorespessoais,organizadores,telefonesmóveis,papéisououtraforma,quesãomantidosparatrabalhoemcasaouqueestãosendotransportadosparalongedolocalnormaldetrabalhodevemserconsideradasasseguintesdiretrizes:

a) Equipamentosemídiasretiradosdoprédiodaorganizaçãonãodevemserdeixadosdesacompanhadosemlocaispúblicos.Emviagens,oscomputadoresportáteisdevemsertransportadoscomobagagempessoaledisfarçadosondepossível;

b) Asinstruçõesdosfabricantesparaproteçãodosequipamentosdevemsersempreobservadas,porexemploproteçãocontraexposiçãoacamposeletromagnéticosintensos;

c) Oscontrolesparatrabalhosemcasadevemserdeterminadosporumaavaliaçãoderiscoseoscontrolescabíveisaplicadosconformeapropriado,porexemplo,armários-arquivostrancáveis,políticade“mesalimpa”econtrolesdeacessoaoscomputadores.

d) Coberturadeseguroadequadadeveestarcontratadaparaprotegerequipamentos“off-site”(foradoslimitesdaempresa);

Osriscosdesegurança,taiscomodanos,rouboe“bisbilhotagem”,podemvariarconsideravelmenteentreoslocaisedevemserlevadosemcontanadeterminaçãodoscontrolesmaisapropriados.

Devemoslembrarqueasinformaçõespodemvazarousercomprometidasatravésdoseudescarteousuareutilizaçãoatravésdedescuidoscomosequipamentosqueascomportamtaiscomodisquetes,cd-rom,dvd-rom,“hard-disks”,“pen-drives”eoutrosdispositivosdearmazenamentoosquaispodemconterinformaçõessensíveisousigilosase,portanto,devemserfisicamentedestruídosouregravadosdeformasegura.Apagarapenaspodenãosersuficiente,umavezqueosdadospodemcomauxíliodeoutrossistemasseremrecuperadososdados.

Finalmente,osrelatóriosdescartadosquesãomeramenteamassadosoupoucorasgadosedepositadosemlixeiras,podemserreconstituidosporpessoasmalintencionadaseserafontedeproblemasoufugadeinformaçõesdasempresas,fragilizandooudivulgandodadosimportantesesigilosos.Assim,taispapeisdevemserfitilhadosemmáquinasespecíficasoudestruídosporincineração.


��

Capítulo 22 – Conceitos e Modelos de Planos de Contingência,Continuidade de Negócios e Recuperação de Desastres

“... nem mesmo os acontecimentos de 11 de setembro de 2001 nos EUA, mudaram esta situação para aqueles que não viveram de perto o drama de perder, ou estarem próximos de perder pessoas, ambientes e dados.”

ANTUNES (2002)

SegundoGODOY(2004),nopassadoaosefalardedesastresseriaamesmacoisaquecitarapenasasameaçasnaturais,taiscomo,terremotos,enchentesoufuracões.Pois,esteseramosgrandesvilõesresponsáveispelaindisponibilidadeepelocaosnasempresas.

Noentanto,esteconceitodedesastrevemsendosubstituídoaospoucospeloconceitode“evento”,queéaconcretizaçãodeumaameaçapreviamenteidentificada,podendoserseguidoounãodeumdesastre.

OPlanodeContingênciaeContinuidadedeNegócios(tambémchamadodePlanodeRespostaaIncidentes,ouPlanodeRecuperaçãodeDesastres)descreveasdiretrizeseprocedimentosparatratamentodosincidentes(eventos)desegurança,comoobjetivodeminimizaroriscodeinoperânciaouparalisaçãodoscomponenteseprocessosessenciaisaonegócio.Infelizmente,namaioriadasempresas,osignificadoeutilidadedoPlanodeContingênciaaindasãopoucoclaros.Alémdisso,desastressãotemasquecarregamforteconotaçãonegativa,porissoosprofissionaisdoramosãovistosmuitasvezescomantipatia,comopessoasquepensamsomenteemproblemas,desastres,sinistros,quandoaempresadeveriaestarpensandoem“produtividade”.

SegundoanormaISO/IEC/17799(2001),devemserdesenvolvidosplanosparamanterourestaurarasoperaçõesdonegócionasréguasdetempoexigidasseguintesàinterrupção,oufalha,nosprocessoscríticosdonegócio.Oprocessodeplanejamentodacontinuidadedonegóciodeveconsideraroseguinte:

– identificareacordartodasasresponsabilidadeseprocedimentosemergenciais;

– documentaçãodosprocessoseprocedimentosacordados;

– implementarprocedimentosemergenciaisafimdepropiciararecuperaçãoerestauraçãodentrodotempoexigido(comatençãoàavaliaçãodedependênciasexternasedodoscontratosvigentes);

– treinaradequadamenteaequipenosprocessoseprocedimentosemergenciaisenogerenciamentodecrise;

– realizartesteseatualizaçãodosplanos.

Destaforma,todooprocessodeplanejamentopoderáfocar-senosobjetivosrequeridospelonegócio,bemcomonosserviçoserecursosqueserãoutilizadosnesseprocessoparaqueomesmoseefetivecomsucesso.


Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

��

Capítulo 23 – Práticas de desenvolvimento de BusinessImpact Analysis (Analise de Impacto nos Negócios)

“... para o Plano de Continuidade de Negócios, onde todas as medidas para o estado de vigilância e ações de resposta emergenciais devem estar documentadas e destinadas às equipes de plantão responsáveis pela sua execução.”

PLACHTA (2001)

O“Business ImpactAnalysis” (Análise de Impacto nosNegócios) corresponde a umaanálise emcada processo daempresaafimdedeterminarqualseriaoseuvalordecustoparaaorganizaçãocasoestesofresseumaparadadevidoaumproblemaqualquer,ouseja,qualoimpactoparaaempresaseoprocessoanalisadofosseinterrompido.Assim,ocustodeparadadoprocessoéasuaavaliaçãoeadorespectivovaloragregadoqueesteprocessoespecíficosomaaofluxodeprocessosdaEmpresa.

Assimestaanálisemensuraocustodaparadadoprocesso,emfunçãodaperdaqueonegóciodaempresasofre.EstanãoéfundamentalparaaexecuçãodeumPlanodeContinuidadedeNegócios,porémauxiliamuito,nogerenciamentoeatualizaçãodasinformaçõesqueocompõe.


��

Capítulo 24 – Práticas no desenvolvimento dos Planos

“... todos se lembram do pessoal da ‘Segurança ou da Contingência’, não como uma área profissional, mas sim como um ‘bombeiro’, chamado para apagar o ‘incêndio”

ANTUNES (2002).

SegundoSÊMOLA(2003),adecisãosobrequalmedidaimplementarparagarantiracontinuidadedosnegóciosvariadeacordocomaintensidadeeoriscodaameaça,masdevesempreenvolveraparticipaçãoe/ouaprovaçãododepartamentojurídicoedaaltadireçãodaempresa(emalgunscasos,podesernecessáriaaintervençãodeautoridadeseórgãospoliciaistambém).Umplanodecontingênciaerespostaaincidentesdevecontemplar:

– Registrodetodasosincidentesdesegurançasobinvestigação;

– Controledainformaçãoduranteainvestigaçãodeumprovávelincidentedesegurança;

– Comoagircomofuncionárioenvolvidoqueforconsideradoresponsávelpelaocorrência;

– Suspeitadeataquesatravésdevírusdecomputadordequalquertipo;

– Suspeitadeviolaçãodeacesso;

– Tentativasdelogin,conexãonãoautorizada,análisenaredee/ouservidores;

– Comodeveserfeitoorestabelecimentodo(s)sistema(s)atingido(s);

– Comoentraremcontatocomafontedoataque.

SegundoSOUZA(2004,p.19),umasistemáticadegerenciamentoderiscos,consisteemseguirumaseqüênciadequatroetapasasquaisasempresaspodemseguirafimdeminimizarosefeitosdoriscoe,assim,melhoraremsuaschancesdesucesso.Assim,talsistemáticaécompostapelasetapasqueseseguem:

– Identificaçãodosriscos:nessaetapasãoidentificadososriscosaosquaisonegócioestásujeito.Independentedométodoadotadoparaaanálisederisco,essedevecontemplaratividadescomoolevantamentodeativos,definiçãodeumalistadeameaçaseidentificaçãodasvulnerabilidadesdosativos;

– Quantificaçãodosriscos:nessasegundaetapasãomensuradososimpactosdosriscosnonegócio.ÉduranteessaetapaqueferramentascomooBusinessImpactAnalysisdeverãoserutilizadasparaseestimarosprejuízosfinanceirosdecorrentesdeumapossívelparalizaçãodecadaumadesuasatividades;

– Tratamento dos riscos: identificados os riscos, faz-se uma classificação de acordo com a prioridade detratamento,definindoemseguidaasprovidênciascabíveisaseremtomadas;

– Monitoraçãodosriscos–gerenciarosriscoséumtrabalhocontínuoequenãocessacomaimplementaçãodemedidasdesegurança.Éprecisoumacompanhamentoconstante,analisandoodesempenhodasmedidastomadaserealizandoajustesnasáreasquenecessitem.

Para (não) Finalizar

Adm

inis

traç

ão d

a Se

gura

nça

da In

form

ação

�0

NestadisciplinaconhecemosaAdministraçãodaSegurançadaInformação,atravésdosconceitosedasnormasdefinindopadrõesparaaSegurançadaInformaçãonasempresas.

VerificamosqueéimportanteaobservânciaasaadoçãodasnormasdeSegurançadaInformação,aconceituaçãobásicadeSegurançadaInformaçãoeverificamosoporquêdehaveraspectosdeconformidadeentrealegislaçãobrasileiraeainternacional.

PassamosparaaelaboraçãodoplanejamentodeSegurançadaInformaçãoeverificamosmodelosdegestãodeSegurançadaInformação.

AssimpodemosvislmbraraimportânciaeaformacomosãoelaboradasasPolíticasdeSegurançadaInformação.

Apósisso,verificamosalgumasformasdeAnálisedeRiscoseoqueestarepresenta.Vimosalgunselementosdaanáliseedescortinamosasabordagensqualitativaequantitativa.Depois,vemosumpoucodaanálisedeprocessosemtecnologiadeinformaçãoedosriscosemprojetosdesistemasdeinformaçãoefomosalertadosparaosriscosnacontrataçãodeterceiros.

EstudadosasPolíticasdeSegurançada Informaçãoseuselementosesuasextensões,as normaseprocedimentosnecessáriosparacomplementá-laseanalisamos,também,suaimportânciaparaaempresaeoseurelacionamentocomasdemaisáreas.

Finalmente,verificamoscomoelaboraraPolíticadeSegurançadeformaaadequaromodeloNBRISO/IEC17799naorganizaçãoeadivulgardeformaaconscientizaregarantiraaplicaçãodesta.

Referências

��

ANDERSON,Ross.SecurityEngineering–AGuidetoBuildingDependableDistributedSystems,JohnWiley&Sons,2001.

ANTUNES,Edson.PlanejamentodeContingênciaeContinuidadedeNegócios.MóduloSecurityMagazine,26jun.2002.Disponívelem:<http://www.modulo.com.br>.[30jul.2002].

ASSOCIAÇÃOBRASILEIRADENORMASTÉCNICAS.ISO/IEC17799TecnologiadaInformação-CódigodepráticaparaaGestãodaSegurançadaInformação.InternationalOrganizationforStandardization,Switzerland,2000.

ATKINS,D.,et.al.InternetSecurity:ProfessionalReference.NewRidesPublishing,2nEd.1997.

GARFINKEL,S.;SPAFFORD,G.Comércio&SegurançanaWeb-Riscos,TecnologiaseEstratégias.MarketBooksBrasil,1999.

GIL,AntoniodeLoureiro.SegurançaemInformática.2.Ed.SãoPaulo:Atlas.1998.

GODOY,MaxBianchi.ASegurançadaInformaçãoeSuaImportânciaparaoSucessodasOrganizações:RiodeJaneiro,Ed.Kirios,2004

INTERNATIONALORGANISATIONFORSTANDARDISATION.DRAFTBS7799-2:2002:Informationsecuritymanagement–specificationforinformationsecuritymanagementsystems.BritishStandardInstitute,London,2001.

JALOTE,P.Faulttoleranceindistributedsystems.PrenticeHall,EnglewoodCliffs,NewJersey,1994.

NAKAMURA,E.T.;GEUS,P.L.Segurançaderedesemambientescooperativos.SãoPaulo,Berkeley,2002.

PLACHTA, Claudio. Plano de Continuidade de Negócios. Módulo Security Magazine, 22 nov. 2001. Disponível em:<http://www.modulo.com.br>.[30jul.2002].

RUFINO,N.M.O.SegurançaNacional-técnicaseferramentasdeataqueedefesadeRedesdeComputadores.Novatec,2002.

SCHNEIER,Bruce.Appliedcryptography:protocols,algorithmsandsourcecodeinC,2ed.JohnWiley&Sons,1996.

SÊMOLA,Marcos.GestãodaSegurançadaInformação:UmaVisãoExecutiva.RiodeJaneiro:Campus,2003

SOUZA,LucianeCaliaride.TratamentodeRiscosnoMercadoBrasileirodeEnergiaElétrica,noperíodode1998-2002.Florianópolis:UFSC,2004.

STALLING,W.–CryptographyandNetworkSecutiry–PrinciplesandPractice.3ªEd.,Prentice-Hall,2003.

STEWART,ThomasA.Capitalintelectual:ANovaVantagemCompetitivadasEmpresas.2ªEd..RiodeJaneiro:Campus,1998.

Sitesdepesquisa:

http://www.ogc.gov.uk/

http://www.ibgc.org.br/

http://www.itil.org

http://www.itil.co.ok

http://www.modulo.com.br

http://www.segurancadainformacao.com/

sumário - eventos caf | campus ufv...

Documents