183

Anurio da Produo
Acadmica Docente
Vol. III, N. 4, Ano 2009
Jocnio Marquios Epaminondas
Faculdade de Negcios e Tecnologias
da Informao - FACNET
jepaminondas@facnet.com.br


















POLTICA DE SEGURANA DA INFORMAO
APLICADA INSTITUIO DE EDUCAO
SUPERIOR

RESUMO
A informao o maior patrimnio das empresas, para garantir sua guarda
so utilizados vrios mtodos e padres para garantir sua confiabilidade,
integridade e disponibilidade da informao. A Poltica de Segurana da
informao auxilia a definir e orientar de forma consciente os processos e
padres para criao de uma boa norma a fim de garantir a segurana das
informaes, dos ativos envolvidos, seus elementos, pontos a serem
observados na implementao e estrutura da poltica.
Palavras-Chave: poltica; segurana da informao; Instituio de Educao
Superior; elementos.
ABSTRACT
The Information is the greatest asset of companies, to ensure their cares are
used various methods and standards to ensure their reliability, integrity and
availability of information. The common security of information helps to
define and consciously guide the processes and patterns to create a good
standard to ensure the security of information, the assets involved, elements,
points to be observed in the implementation and policy framework.
Keywords: policy; security; information; Higher Education Institution;
elements.

Anhanguera Educacional S.A.
Correspondncia/Contato
Alameda Maria Tereza, 2000
Valinhos, So Paulo
CEP 13.278-181
rc.ipade@unianhanguera.edu.br
Coordenao
Instituto de Pesquisas Aplicadas e
Desenvolvimento Educacional - IPADE
Artigo Original
Recebido em: 5/10/2009
Avaliado em: 31/10/2009
Publicao: 19 de maro de 2010
184 Poltica de Segurana da Informao aplicada Instituio de Educao Superior
Anurio da Produo Acadmica Docente Vol. III, N. 4, Ano 2009 p. 183-194
1. INTRODUO
A tecnologia da informao evolui de forma rpida, a Internet um exemplo desta
evoluo. Neste contexto, a Internet pode ser uma grande ameaa para as instituies,
pois estas esto passveis a invaso de suas bases de dados, redes de computadores,
disseminao de vrus, trojans e ataques de hackers e crackers.
Para preservar e controlar o armazenamento de suas informaes as
organizaes devem incorporar em seu ambiente mtodos e padres que venham a
resolver 3 problemas bsicos, apresentados na NBR-17799:
Integridade: exatido das informaes.
Disponibilidade: garantia de acesso sempre que necessrio.
Confidencialidade: acesso somente a pessoas autorizadas.
A criao e cumprimento de uma poltica de segurana da informao o meio
de controle proposto para garantir a segurana da informao.
Neste, ser apresentado como criar uma boa poltica de segurana, suas etapas,
objetivos, elementos, necessidades para uma boa poltica de segurana da informao
para a Instituio de Educao Superior (IES), sua implementao e estrutura.
2. DEFINIO
Temos diversas definies para poltica de segurana da informao, abaixo sero
apresentadas as vises de renomados autores.
A poltica de segurana da informao um documento que registra os
princpios e diretrizes de segurana da informao adotado pela organizao, a serem
observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas
de informao e processos corporativos (BEAL, 2005).
Poltica de segurana um conjunto de diretrizes gerais destinadas a governar a
proteo a ser dada a ativos da companhia (CARUSO, 1999).
Entende-se tambm poltica de segurana como um conjunto de leis, regras e
prticas que regulam como uma organizao gerencia, protege e distribui suas
informaes e recursos (SOARES, 1997). Uma poltica de segurana significa delegar
responsabilidades para funcionrios, que passam a responder por seus atos. A
importncia da conscientizao da equipe de profissionais consenso entre os
especialistas em segurana (BARBOSA, 2001, p. 27).
Jocnio Marquios Epaminondas 185
Anurio da Produo Acadmica Docente Vol. III, N. 4, Ano 2009 p. 183-194
Para definir tal poltica na organizao necessrio (GIL, 1994):
Pesquisar o contedo que ter a poltica;
Minutar o texto que descreve a poltica;
Obter a aprovao dos altos escales da administrao da organizao;
Disseminar a poltica de segurana em todos os escales da organizao.
Porm, valido destacar que a alta cpula executiva Diretoria Executiva
dever dar apoio incondicional para implementao, aplicao e divulgao desta poltica
dentro da IES. Sendo implementada, divulgada e monitorada constantemente a poltica
de segurana da Informao garantir a guarda de seu maior patrimnio A Informao.
3. IMPORTNCIA
A poltica de segurana tem como funo definir a proteo dos recursos existentes e sua
maior importncia para as corporaes evitar problemas atravs de normas e
procedimentos criados (NAKAMURA, 1999).
A evoluo do mercado de tecnologia e a maior conscientizao sobre a
necessidade de investimentos em segurana da informao ajudaram as empresas a
estarem mais preparada para enfrentar algumas falhas de segurana. Apesar disso,
maioria (55%) considera a falta de conscientizao dos executivos e usurios o principal
obstculo para a implementao da segurana na empresa, seguido pela falta de
oramento (28%). E o maior motivador para a tomada de decises visando a segurana o
nvel de conscincia dos executivos e usurios (31%), segundo os pesquisados. A imagem
da empresa no mercado (23%) e o valor agregado aos produtos e negcios (19%) tambm
influenciam. (MDULO, 2007).
Dentro da IES, a poltica deve especificar os mecanismos a serem utilizados e
informar como adquirir, configurar e auditar os sistemas computacionais e redes.
Segundo (CARUSO, 1999) a poltica de segurana passa por etapas que seguem
uma seqncia lgica, apesar de poder ser alterada de acordo com a necessidade do
ambiente. A destacar:
Classificao quanto ao sigilo e preservao;
Anlise econmica da segurana;
Inventrio de usurios e recursos;
Definio do tipo de estrutura de administrao da segurana;
Escolha das ferramentas de segurana; e
186 Poltica de Segurana da Informao aplicada Instituio de Educao Superior
Anurio da Produo Acadmica Docente Vol. III, N. 4, Ano 2009 p. 183-194
Implantao.
Para que sejam adequadas s etapas propostas e se obtenha sucesso necessrio
que:
Todos os usurios devem ter conhecimento da referida poltica.
Todas as mudanas sugeridas devem ser implementadas e aceitas por
todos.
Toda tecnologia definida deve ser implantada com sucesso.
Todas as ferramentas sejam instaladas.
As regras divulgadas em todo ambiente corporativo.
Os usurios estejam conscientizados do valor da informao.
Que todo o ambiente seja configurado conforme procedimentos contidos
na poltica.
Segundo Nakamura (2003), a poltica de segurana trata aspectos humanos
culturais e tecnolgicos dentro da empresa, levando em considerao os processos e os
negcios, alm da legislao local.
Uma vez implementada a poltica de segurana na IES ela ter a funo de
facilitar e simplificar o gerenciamento de todos os recursos. Entretanto, para se ter uma
boa gerncia preciso que tudo esteja bem definido.
4. ELEMENTOS ENVOLVIDOS
A poltica de segurana adequada apresenta todas as alternativas vitais para o proteger a
informao contra qualquer situao anormal no permetro da IES.
Segundo Park (1994), a poltica de segurana da informao contempla seis
elementos bsicos:
Disponibilidade O sistema deve estar disponvel para uso quando o
usurio precisar. Dados crticos devem estar disponveis de forma
ininterrupta.
Utilizao O sistema e os dados devem ser utilizados para as devidas
finalidades.
Integridade O sistema e os dados devem estar completamente ntegros e
em condies de serem utilizados.
Autenticidade O sistema dever ter condies de verificar a identidade
do usurio e o usurio deve ter condies de verificar a identidade do
sistema.
Confidencialidade Dados privados devem ser apresentados somente
para os donos dos dados ou para o grupo de usurios para o qual o dono
dos dados permitir.
Jocnio Marquios Epaminondas 187
Anurio da Produo Acadmica Docente Vol. III, N. 4, Ano 2009 p. 183-194
Posse O dono do sistema deve ter condies de control-lo.
A poltica de segurana no deve conter detalhes tcnicos especficos de
mecanismos a serem utilizados ou procedimentos que devam ser adotados por indivduos
particulares, mas sim, regras gerais e estruturais que se aplicam no contexto de toda a
organizao. Devendo esta ser flexvel para que no sofra alteraes freqentes e
abrangentes o bastante para abarcar possveis excees (NAKAMURA, 2003).
Devem ser acrescidas na poltica de segurana: polticas, normas e procedimentos
especficos para setores e reas particulares, como rea de informtica, rea de segurana,
rea de conservao etc.
5. PONTOS A SEREMOBSERVADOS
A poltica dever representar os objetivos da organizao. Caso exista uma poltica ou
processos, os administradores devem documentar e formalizar junto aos rgos
competentes, evitando assim que as responsabilidades recaiam sobre si (NAKAMURA,
2003).
importante que todos os colaboradores participem do desenvolvimento da
poltica a ser adotada. Esta dever tratar aspectos tcnicos, trabalhando as pessoas e o
gerenciamento. Tambm devero ser considerados os aspectos culturais e regionais.
(NAKAMURA, 2003).
A poltica dever definir as punies e procedimentos a serem adotados no caso
de no cumprimento da poltica, preocupando-se em evitar abusos e deixar clara a
importncia da poltica para a empresa (BEAL, 2005).
Manter a poltica de segurana sempre atualizada e coerente com os riscos para o
negcio possibilita organizao manter o foco nas prioridades e requisitos de proteo
(BEAL, 2005).
A divulgao de informaes, incluindo apenas as regras e recomendaes
aplicveis ao grupo ao qual se destina a comunicao ou a um aspecto da especifico da
segurana, aumenta o potencial de reteno da informao pelos seus destinatrios,
colaborando para a melhor compreenso e aplicao das regras existentes (exemplo, para
encarregados de servios gerais, faxineiros, vigilantes e outros colaboradores que no
fazem parte dos recursos computacionais, mas precisam ser informados sobre suas
responsabilidades de segurana durante o desempenho de suas atividades, podendo
assim, excluir os trechos referentes s polticas de uso da TI - Tecnologia da Informao)
(BEAL, 2005).
188 Poltica de Segurana da Informao aplicada Instituio de Educao Superior
Anurio da Produo Acadmica Docente Vol. III, N. 4, Ano 2009 p. 183-194
Segundo Nakamura (2003) alguns detalhes relevantes em uma poltica de
segurana podem ser inseridos em uma norma e procedimentos especficos. Por exemplo,
alguns detalhes que podem ser definidos com base do ambiente da rede e de seus riscos,
so:
A segurana mais importante que os servios, a no ser que os
executivos assumam formalmente os eventuais riscos existentes.
A poltica deve evoluir constantemente, de acordo com os riscos e
mudanas na estrutura organizacional.
Tudo que no expressamente permitido ser proibido. Restringe-se tudo
e liberar os servios caso a caso conforme anlise e riscos.
No ser permitida conexo externa rede corporativa.
Implementao simples dos servios.
Metodologia de autenticao para acesso remoto discado, somente com
utilizao de mtodos de criptografia dos dados.
No utilizar senhas sem utilizao de criptografia.
As informaes utilizadas em computadores mveis devem ser cifradas
atravs do uso de uma VPN (Virtual Provide Network).
6. ESTRUTURA DE UMA POLTICA DE SEGURANA
A poltica de segurana especfica para cada tipo de empresa, sendo assim, no
possvel utilizar mesma norma em empresas diferentes. Para que seja eficiente conforme
j citado no decorre deste estudo, ela deve ser abrangente, flexvel e deve conter regras
gerais e estruturais que devero ser aplicadas em todas as organizaes. Tambm
orientada que seja curta o suficiente para que seja lida e de conhecimento de todos os
colaboradores da organizao, sendo assim cada empresa dever acrescentar os detalhes
necessrios para sua poltica de segurana.
Abaixo uma proposta para estrutura de poltica de segurana apresentada por
Nakamura (2003):
1. Introduo.
1.1 Poltica de Segurana.
1.1.1 Informaes Gerais.
1.1.2 Objetivos.
1.2 Estrutura de responsabilidades organizacional.
1.2.1 Servios de informao corporativos.
1.2.1.1 Servios de informao de unidades de negcio.
1.2.1.2 Organizaes internacionais.
1.2.1.3 Encarregados.
Jocnio Marquios Epaminondas 189
Anurio da Produo Acadmica Docente Vol. III, N. 4, Ano 2009 p. 183-194
1.2.2 Padres de segurana.
1.2.2.1 Confiabilidade.
1.2.2.2 Integridade.
1.2.2.3 Autorizao.
1.2.2.4 Acesso.
1.2.2.5 Uso proprietrio.
1.2.2.6 Privacidade dos funcionrios.
2. Descrio do sistema.
2.1 Papel do sistema.
2.1.1 Tipo de informao manipulada pelo sistema.
2.1.2 Tipos de Usurios.
2.1.3 Nmero de usurios.
2.1.4 Classificao dos dados.
2.1.5 Configurao do sistema.
2.1.6 Tipos de Usurios.
2.1.6.1 Nmero de Terminais.
2.1.6.2 Nmero de consoles de controle.
2.1.6.3 Nmero e tipos de terminais (inteligente, burro, de impresso
etc.).
2.1.6.4 Arranjos para carregamento de mdias.
2.1.6.5 Software (Sistema operacional e verso).
2.1.6.6 Interconexes (LAN e WAN).
3. Requisitos de Segurana e medidas.
3.1 Ameaa confiabilidade, integridade e disponibilidade dos dados.
3.2 Natureza e recursos de possveis ataques e atratividade do sistema e dos dados
como alvo.
3.3 Impactos do comprometimento acidental dos dados.
4. Plano de resposta a incidentes de segurana.
4.1 Preparao e planejamento da resposta a incidentes.
4.2 Notificao e pontos de contato.
4.3 Identificao de um incidente.
4.4 Resposta a um incidente.
4.5 Conseqncias de um incidente.
4.6 Florence computacional e implicaes legais.
4.7 Contatos de relaes pblicas.
4.8 Passos-chave.
4.8.1 Conteno.
4.8.2 Erradicao.
190 Poltica de Segurana da Informao aplicada Instituio de Educao Superior
Anurio da Produo Acadmica Docente Vol. III, N. 4, Ano 2009 p. 183-194
4.8.3 Recuperao.
4.8.4 Acompanhamento.
4.8.5 Conseqncias / Lies aprendidas.
4.8.6 Responsabilidades.
5. Contatos e outros recursos.
7. REFERNCIAS
De acordo com a norma tcnica NBR ISO/IEC 17799:2001, que aceita mundialmente
como um dos melhores padres para segurana da informao, especificado o contedo
bsico das Normas destinadas aos usurios e administradores que devem ser parte
integrante de uma Poltica:
o Gerenciamento da Poltica de Segurana:
Definio da segurana da informao.
Objetivo do gerenciamento.
Posse da Poltica de Segurana.
Gerenciamento da verso e manuteno da Poltica.
o Responsabilidades:
Definio das responsabilidades da segurana.
Usurios de informaes.
Recursos humanos em TI.
Auditoria interna.
o Classificao das Informaes:
Classificao das informaes.
Manuseando as informaes.
Cuidados com impressoras, copiadores e fax.
Divulgao a terceiros.
Propriedade intelectual.
Privacidade da informao.
o Procedimentos de Segurana da Informao:
Servidores.
Estaes de Trabalho.
Backup.
Replicao/redundncia.
Uso de senhas.
Acesso remoto.
Acesso via modem.
Jocnio Marquios Epaminondas 191
Anurio da Produo Acadmica Docente Vol. III, N. 4, Ano 2009 p. 183-194
Admisso / demisso de funcionrio.
Servio de manuteno em microcomputadores por terceiros.
Servios terceirizados em geral.
Princpios legais e ticos.
Sistemas desenvolvidos por terceiros.
Uso do correio eletrnico.
Sistemas desenvolvidos internamente.
Uso da Internet.
Envio de arquivos.
Recebimento de arquivos externos.
Responsabilidades e sanes.
Uso de notebook internamente e externamente.
Classificao das informaes.
Recursos criptogrficos.
Controle de mudanas.
Servio de help-desk.
Mudanas na operao de sistemas em funo de novas tcnicas.
Operao no CPD.
Agendamento de servios.
Utilizao de meios magnticos.
Controle de acesso lgico e fsico.
Uso de antivrus.
Administrao de Banco de Dados.
Gerncia de Rede.
Recebimento de microcomputadores de terceiros.
Poltica de controle ambiental.
Segurana fsica.
Segurana de rede corporativa.
Segurana de usurio.
Segurana de dados.
Auditorias.
Treinamentos.
Plano de continuidade.
Campanhas de divulgao.
192 Poltica de Segurana da Informao aplicada Instituio de Educao Superior
Anurio da Produo Acadmica Docente Vol. III, N. 4, Ano 2009 p. 183-194
8. IMPLEMENTAO
Esta a parte mais difcil da poltica de segurana, sendo que todos os usurios devem
conhecer a poltica, todas as mudanas devem ser implementadas e aceitas por todos e
devem ser implantadas com sucesso. Os executivos devem seguir firmemente a poltica e
valoriz-la, servindo de apoio para os demais.
Antes de implementar uma Poltica de Segurana as seguintes questes devem
ser analisadas:
O que se quer proteger?
Quais so as ameaas mais provveis?
Qual a importncia de cada ativo?
Qual o grau de proteo desejado?
Quais os impactos para o negcio da empresa se os ativos forem
atingidos?
Quanto tempo, recursos humanos e financeiros pretendem-se gastar para
se atingir os objetivos?
A implantao de uma poltica de segurana baseia-se na aplicao de regras que
limitam o acesso de entidade s informaes e recursos, com base na comparao do seu
nvel de autorizao relativo a esta informao ou recursos, na designao a sensibilidade
da informao ou recursos e na forma de acesso empregada (SOARES, 1995).
A divulgao da poltica dever ser efetiva, definindo regras estruturais e os
controles bsicos. Algumas formas de divulgao que podem ser utilizadas pela
organizao (NAKARUMA, 1999):
Comunicao interna (e-mail, painis etc.).
Reunies de divulgao e conscientizao.
Treinamento especfico ou incluso em programas vigentes.
Dramatizao de exemplos prticos em peas teatrais.
Incorporao do programa de recepo a novos funcionrios.
Psteres, protetores de tela e mouse pad.
Para o sucesso de sua implementao importante que a instituio tenha um
oramento reservado, com os seus planejamentos, equipes e dependncias dentro
pirmide de hierarquia. Observa-se que uma poltica bem definida ajuda a diminuir os
custos operacionais, porque a especificao de recursos a serem protegidos, dos controles
e das tecnologias necessrias, e de seus valores, resulta em um controle mais eficaz.
A poltica de segurana dever ser aplicada de forma rigorosa, assim como suas
aes disciplinares. Para garantir sua eficcia devero ser realizadas auditorias peridicas,
Jocnio Marquios Epaminondas 193
Anurio da Produo Acadmica Docente Vol. III, N. 4, Ano 2009 p. 183-194
monitoramento e reviso da poltica, afim de que a melhoria dos processos envolvidos
tenha sempre continuidade dos procedimentos de segurana.
Alm das dificuldades naturais pertinentes implementao da segurana,
alguns obstculos podem surgir durante o projeto da poltica de segurana
(NAKAMURA, 2003):
Falta de verbas.
Resistncia dos executivos em compreender os reais objetivos da poltica
de segurana para a organizao.
Os executivos devem compreender de que somente aprovar e publicar os
documentos referentes poltica no suficiente.
Aprovao da poltica por parte dos executivos apenas para satisfazer os
analistas.
9. CONSIDERAES FINAIS
Diariamente as corporaes precisam de novas tcnicas que junto com uma boa poltica
de segurana pode garantir a segurana de seu maior patrimnio A INFORMAO.
No decorrer deste trabalho podemos observar que a principal preocupao da
poltica de segurana garantir a segurana das informaes, que tem como premissa o
tratamento das informaes da organizao.
Um dos fatores chaves a serem observados nesta poltica dentro de uma IES a
questo de definies de ACLs (Lista de Controle de Acessos), na qual definem as
polticas de acesso aos servios: Internet, correio eletrnico, servidores de arquivos, redes
sem fio, banco de dados, acesso s mquinas laboratoriais, sistemas de monitoramento de
cmeras, dentre outros. Tais listas protegem os ativos contra tentativas de invases por
parte do corpo discente ou ataques externos IES.
Infelizmente diversos obstculos so enfrentados durante a implantao da
poltica de segurana. Podemos citar a desconfiana por parte de alguns executivos que
no acham a segurana das informaes um elemento importante para a organizao e a
falta de oramento.
Por meio de uma poltica de informao, as IES tero um controle efetivo dos
recursos e d maior sustentabilidade segurana da informao, fornecendo
recomendaes e melhores prticas. Com isso minimizando riscos de seus ativos e
possveis vulnerabilidades.
Vale destacar que as instituies de IES, devero sempre estar investindo em
projetos de sensibilizao para seus colaboradores e corpo discente (atravs de palestras,
194 Poltica de Segurana da Informao aplicada Instituio de Educao Superior
Anurio da Produo Acadmica Docente Vol. III, N. 4, Ano 2009 p. 183-194
cursos de capacitao tcnica para a rea de TI, divulgao em murais, e diversos meios
de divulgao). Tambm importante que os altos executivos dem maior prioridade
segurana da informao assim a implementao das polticas de segurana tero xito.
REFERNCIAS
ANBT. Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 17799 - Tecnologia da
Informao: Cdigo de Prtica para a gesto de segurana da informao. Rio de Janeiro: ABNT,
2001.
BARBOSA, Alexandre. E-business com segurana. Internet Business com segurana. So Paulo,
ano 5, n. 49, p. 27, set. 2001.
BEAL, Adriana. Segurana da Informao: princpios e melhores prticas para a proteo de
ativos de informao nas organizaes. So Paulo: Editora Atlas, 2005.
CARUSO, Carlos A.A; STEFFEN, Flvio Deny. Segurana em Informtica e de Informaes. 2a
Ed.rev.e ampl. So Paulo: Editora SENAC, 1999.
GIL, Antonio de Loureiro. Segurana em Informtica. So Paulo: Editora Atlas,1994.
MDULO. 10 Pesquisa Nacional sobre Segurana da Informao. Disponvel em:
<http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf>. Acesso em: 13 set. 2009.
NAKAMURA, Emlio Tissato; GEUS, Paulo Lcio de. Segurana de Redes em ambientes
cooperativos. So Paulo: Editora Futura, 2003.
PARKER, Donn B. Demonstrating the elements of information security with threats. In: The 17th
National Computer Security Conference, Proceedings... p. 421-430, 1994.
SOARES, Luiz Fernando Gomes. Redes de Computadores. So Paulo: Editora Campus, 1995.
Jocnio Marquios Epaminondas
Mestre em Engenharia da Produo com nfase
em Informtica; Administrador de Empresas;
Professor Titular nos cursos de Bacharelado em
Sistemas de Informaes, Tecnlogo em Sistemas
de Telecomunicaes e Tecnlogo em Sistemas
para Internet das Faculdades Anhanguera
FACNET/FAST; Professor Titular nos cursos de
Bacharelado em Administrao e Bacharelado em
Sistemas de Informao da Faculdade FACEB.