UNIVERSIDADE MUNICIPAL DE SO CAETANO DO SUL

PR-REITORIA DE PS-GRADUAO E PESQUISA

PROGRAMA DE MESTRADO EM ADMINISTRAO

ABNER DA SILVA NETTO

GESTO DA SEGURANA DA INFORMAO:

FATORES QUE INFLUENCIAM SUA ADOO EM PEQUENAS E
MDIAS EMPRESAS

So Caetano do Sul
2007

FICHA CATALOGRFICA

Silva Netto, Abner da

Gesto da Segurana da Informao: fatores que influenciam sua
adoo em pequenas e mdias empresas / Abner da Silva Netto.
So Caetano do Sul, 2007.
104 f.
Dissertao de mestrado - Universidade Municipal de So Caetano
do Sul IMES. Programa de Mestrado em Administrao.
Orientador: Prof. Dr. Marco Antonio Pinheiro da Silveira

1. Informao (Segurana) 2. Empresas (Pequenas e mdias)

3. Normas (ISO 17799) I. Ttulo
CDD 005.8

ABNER DA SILVA NETTO

GESTO DA SEGURANA DA INFORMAO:

FATORES QUE INFLUENCIAM SUA ADOO EM PEQUENAS E
MDIAS EMPRESAS

Dissertao apresentada ao Programa de

Mestrado
em
Administrao
da
Universidade Municipal de So Caetano
do Sul como requisito parcial para a
obteno do ttulo de Mestre em
Administrao.
rea de Concentrao: Gesto
Regionalidade e das Organizaes.

da

Orientador: Prof. Dr. Marco Antonio

Pinheiro da Silveira

So Caetano do Sul
2007

UNIVERSIDADE MUNICIPAL DE SO CAETANO DO SUL

CAMPUS II Rua Santo Antonio, 50 Centro So Caetano do Sul (SP)

Reitor:
Prof. Dr. Larcio Baptista da Silva
Pr-Reitor de Ps-graduao e Pesquisa:
Prof. Dr. Ren Henrique Licht
Coordenador do Programa de Mestrado em Administrao:
Prof. Dr. Eduardo de Camargo Oliva

Dissertao defendida e aprovada em 04/05/2007 pela Banca Examinadora

constituda pelos professores:

Prof. Dr. Marco Antonio Pinheiro da Silveira

Prof. Dr. Mauro Neves Garcia

Prof. Dr. Csar Alexandre de Souza

Aos meus queridos pais, Edite e Jos, pelo

carinho, dedicao, respeito e exemplo de
vida. Ao professor e amigo Orlando Dal
Degran Jr. pelo incentivo e a oportunidade
de lecionar no ensino superior.

AGRADECIMENTOS

Muitas pessoas ajudaram e incentivaram a realizao deste trabalho, em

especial minha namorada Graziele Meniti por entender meus momentos de
ausncia nos longos finais de semana longe de sua presena.
Meu orientador e professor Marco Pinheiro pela pacincia, por acreditar
em meu trabalho, por deixar expor minhas idias e question-las quando
necessrio. Responsvel final pela qualidade deste trabalho.
Ao professor Eduardo Diniz da Fundao Getlio Vargas, por suas
consideraes seguras e pertinentes sobre o tema durante a qualificao. Ao
professor Antonio Carlos Gil pelas aulas proveitosas e animadas de
metodologia cientfica, por compartilhar comigo um pouco de seu vasto
conhecimento e pela grande ajuda no entendimento do meu problema de
pesquisa. Aos professores Csar Alexandre de Souza e Mauro Neves por suas
consideraes na banca de defesa que ajudaram que esse trabalho tivesse
uma maior qualidade nas anlises estatsticas. E ao professor Dirceu que muito
ajudou na elaborao dos testes estatsticos usando o software SPSS. A todos
esses grandes mestres, meu muito obrigado!
A todos meus queridos amigos e colegas de profisso professores,
administradores, tcnicos - pela fora e incentivo. Especialmente aos grandes
amigos Glauber Gonalves Biazzoto e Fabiano Cutigi Ferrari que estiveram
sempre dispostos a ouvir minhas consideraes.
No posso deixar de registrar meus agradecimentos tambm a toda
minha equipe da Enygma Tecnologia: Edmilson, Fernanda, Adonis, Eduardo e
Danilo. Especialmente a Fernanda que realizou grande parte das ligaes s
empresas e ao Adonis pela programao do questionrio web. Muito obrigado!

LISTA DE GRFICOS
Grfico 1: evoluo dos ataques externos reportados no Brasil ...................... 20
Grfico 2: cargo................................................................................................ 66
Grfico 3: departamento................................................................................... 67
Grfico 4: deciso de compra........................................................................... 67
Grfico 5: nmero de empregados................................................................... 68
Grfico 6: quantidade de computadores .......................................................... 68
Grfico 7: responsabilidade da rea de TI ....................................................... 69
Grfico 8: nvel de informatizao .................................................................... 69
Grfico 9: camada fsica................................................................................... 72
Grfico 10: camada lgica................................................................................ 73
Grfico 11: camada humana ............................................................................ 75
Grfico 12: grau de importncia das ferramentas/tcnicas .............................. 76
Grfico 13: avaliao de segurana nas trs camadas.................................... 78
Grfico 14: histograma de utilizao de ferramentas/ tcnicas ........................ 79
Grfico 15: avaliao de segurana nas trs camadas por porte de empresa. 80
Grfico 16: fatores motivadores ....................................................................... 84
Grfico 17: fatores inibidores............................................................................ 85
Grfico 18: fatores motivadores com a existncia da rea de TI interna.......... 88
Grfico 19: fatores inibidores com a existncia da rea de TI interna.............. 88
Grfico 20: fatores motivadores de acordo com o tamanho da empresa ......... 90
Grfico 21: fatores inibidores de acordo com o tamanho da empresa ............. 90
Grfico 22: fatores motivadores na anlise quantidade de computadores....... 92
Grfico 23: fatores inibidores na anlise quantidade de computadores ........... 92
Grfico 24: fatores motivadores na anlise nvel de informatizao ................ 94
Grfico 25: fatores inibidores na anlise nvel de informatizao..................... 94
LISTA DE TABELAS
Tabela 1: distribuio por atividade de pequenas e mdias empresas ............ 58
Tabela 2: camada fsica ................................................................................... 70
Tabela 3: camada lgica .................................................................................. 72
Tabela 4: camada humana............................................................................... 74
Tabela 5: principais ferramentas ou tcnicas que as empresas no possuem
implantadas............................................................................................... 80
Tabela 6: aderncia s sees da norma ISO 17799 ...................................... 81
Tabela 7: fatores motivadores e inibidores....................................................... 83
Tabela 8: teste Mann-Whitney.......................................................................... 84
Tabela 9: rea de TI interna ............................................................................. 87
Tabela 10: teste Mann-Whitney rea de TI interna ....................................... 87
Tabela 11: tamanho da empresa...................................................................... 89
Tabela 12: teste Kruskal Wallis Tamanho da Empresa................................. 89
Tabela 13: teste Mann-Whitney Pequena Empresa ...................................... 89
Tabela 14: quantidade de computadores ......................................................... 91
Tabela 15: teste Kruskal Wallis Quantidades de Computadores................... 91
Tabela 16: teste Mann-Whitney Acima de 20 micros .................................... 91
Tabela 17: nvel de informatizao dos negcios............................................. 93

Tabela 18: teste Kruskal Wallis Nvel de Informatizao dos Negcios ........ 93
Tabela 19: teste Mann-Whitney Nvel de Informatizao Mdio ................... 93

LISTA DE FIGURAS
Figura 1: componentes do risco e medidas de proteo usadas para reduzi-lo.
.................................................................................................................. 24
Figura 2: escopo da soluo de segurana da informao em camadas......... 33

LISTA DE QUADROS
Quadro 1: normas ISO srie 27000.................................................................. 46
Quadro 2: comparao entre o modelo de Adachi e Diniz e a norma ISO 17799
.................................................................................................................. 47
Quadro 3: comparao entre os domnios de Smola e Beal e a norma ISO
17799 ........................................................................................................ 47
Quadro 4: sees da norma ISO 17799 por camadas ..................................... 48
Quadro 5: estgios de crescimento de TI, segundo Nolan............................... 55
Quadro 6: principais contribuies das entrevistas .......................................... 63
Quadro 7: conjunto de variveis....................................................................... 64

SUMRIO

1 INTRODUO ....................................................................................... 10
2 REFERENCIAL TERICO .................................................................... 14
2.1 Conceito de Segurana da Informao ............................................... 14
2.1.1 Implementao da Gesto da Segurana da Informao ................ 17
2.1.2 Informaes Recentes sobre Segurana da Informao ................. 19
2.2 O Valor das Informaes..................................................................... 21
2.3 Gerenciamento do Risco..................................................................... 23
2.3.1 Ameaas .......................................................................................... 25
2.3.2 Tcnicas de Defesa.......................................................................... 28
2.4 Camadas de Segurana da Informao.............................................. 31
2.4.1 Camada Fsica ................................................................................. 33
2.4.2 Camada Lgica ................................................................................ 34
2.4.3 Camada Humana ............................................................................. 36
2.5 Normas e Padres de Segurana ....................................................... 37
2.5.1 COBIT .............................................................................................. 37
2.5.2 ABNT NBR ISO/IEC 17799:2005 ..................................................... 37
2.5.2.1 Sees e Controles da Norma 17799:2005 .................................. 40
2.5.3 ISO/IEC 27001 ................................................................................. 45
2.6 Domnios da Segurana da Informao .............................................. 47
2.7 Concepes errneas acerca da segurana....................................... 50
2.8 Tecnologia da Informao em pequenas e mdias empresas ............ 51
2.9 Fatores influenciadores para adoo de TI em pequenas e mdias
empresas .................................................................................................. 53
3 METODOLOGIA .................................................................................... 57
3.1 Tipo de Pesquisa ................................................................................ 57
3.2 Amostra e Sujeitos da Pesquisa ......................................................... 57
3.3 Instrumento da Pesquisa..................................................................... 58
3.3.1 Entrevistas para Criao do Questionrio........................................ 59
3.3.2 Principais Resultados das Entrevistas ............................................. 60
3.3.3 Questionrio ..................................................................................... 63
3.4 Procedimentos para Coleta de Dados................................................. 64
3.5 Procedimentos para Anlise dos Resultados...................................... 65
4 ANLISE E DISCUSSO DOS RESULTADOS ................................... 66
4.1 Caracterizao da Amostra................................................................. 66
4.2 Ferramentas e Tcnicas de Gesto da Segurana da Informao ..... 70
4.2.1 Camada Fsica ................................................................................. 70
4.2.2 Camada Lgica ................................................................................ 72
4.2.3 Camada Humana ............................................................................. 74
4.3 Gesto da Segurana da Informao nas Trs Camadas .................. 78
4.4 Aderncia s sees da norma ISO 17799......................................... 80
4.5 Fatores motivadores e inibidores ........................................................ 82
4.5.1 rea de TI interna............................................................................. 87

4.5.2 Tamanho da empresa ...................................................................... 89

4.5.3 Quantidade de computadores .......................................................... 91
4.5.4 Nvel de informatizao dos negcios.............................................. 93
5 CONCLUSO ........................................................................................ 95
6 REFERNCIAS ..................................................................................... 97

RESUMO
Este estudo teve como objetivos: 1. verificar em que medida as pequenas e
mdias empresas realizam gesto da segurana da informao e 2. identificar
fatores que influenciam pequenas e mdias empresas a adotarem medidas de
gesto da segurana da informao. Foi realizada pesquisa de natureza
exploratrio-descritiva, e utilizou-se como delineamento o levantamento
(survey). A amostra consistiu em 43 indstrias do setor de fabricao de
produtos de metal situadas na regio do grande ABC. Com base na literatura
sobre gesto da segurana da informao e na norma brasileira de segurana
da informao, foram identificadas as ferramentas ou tcnicas de gesto da
segurana da informao e classificadas em trs camadas: fsica, lgica e
humana. O estudo identificou que a camada humana a que apresenta a
maior carncia de cuidados por parte das empresas, seguida pela camada
lgica. O antivrus a ferramenta/tcnica mais utilizada pelas empresas
pesquisadas para garantir a segurana da informao. A pesquisa relevou que
59% das empresas pesquisadas possuem um nvel de segurana satisfatrio e
que o principal fator motivador para adoo de gesto da segurana da
informao "evitar possveis perdas financeiras". Todos os fatores inibidores
se

mostraram

importantes

para

as

empresas

pesquisadas:

falta

de

conhecimento, valor do investimento, dificuldade em mensurar custo/ benefcio,

cultura organizacional.

ABSTRACT

The objectives of this study were: 1. verify in what measure the small and
medium companies accomplish the management security information and 2.
identify which factors influence the small and medium companies to adopt
measures of management security information. The source research was
exploratory-descriptive and the design was used to the survey. The sample was
compound of 43 metal production industries located in ABC region. According
to management information security literature and Brazilian norm of information
security were identified the tools or techniques of management security
information and classified it into three layers: physic, logic and human. The
study identified that the human layer is the one that presents the major shortage
of cares in the companies followed by the logical one. The companies get used
to have the antivirus as the main security tool/technique according to the
researched companies to guarantee the safety of information. Besides that, the
research showed that 59% of the companies have a safety satisfactory level
and the main motivator factor to adopt the management security information is
"to avoid possible financial loss. On the other hand, all the inhibitors factors
showed important to the researched companies like: lack of knowledge,
investments value, organization culture and difficulty to measure cost/benefit.

10

1 INTRODUO
Com a utilizao dos computadores em diversas organizaes, as
informaes comearam a se concentrar em um nico lugar e o grande volume
dessas informaes passou a ser um problema para a segurana. Os riscos
aumentaram com o uso dos microcomputadores, a utilizao de redes locais e
remotas, a abertura comercial da Internet e a disseminao da informtica para
diversos setores da sociedade.
De forma geral, os mesmos riscos presentes em um ambiente de grandes
computadores tambm existem em ambientes de microcomputadores ou
redes, porm, devido arquitetura aberta das plataformas do tipo PC e
similares esses equipamentos e seus softwares so essencialmente
inseguros. (CARUSO e STEFFEN, 1999).

A expanso da microinformtica e seu uso cada vez mais freqente nos

negcios, principalmente por pessoas com pouco ou nenhum conhecimento
aprofundado em Tecnologia da Informao (TI), implica riscos crescentes
segurana da informao uma vez que os microcomputadores aumentam a
capacidade de processamento, facilidade de uso, armazenamento de dados e
compartilhamento de informaes, com a conseqente dependncia de muitas
organizaes em relao aos mesmos.
Embora

as

organizaes

tenham-se

beneficiado

desse

avano

principalmente do uso da Internet, utilizando sua infra-estrutura para economizar

custos de comunicao, facilidades na divulgao de produtos, ganho de tempo na
maior agilidade das operaes com bancos, fornecedores e clientes, a Internet de
uso pblico o que a torna disponvel praticamente a qualquer pessoa, podendo ser
utilizada com m inteno. Portanto, a segurana das informaes das empresas
fica comprometida e fcil de ser explorada, tornando-se assim importante gerencila para uso eficiente dos seus sistemas internos e a garantia da continuidade do
negcio.
Origem do Estudo
A gesto da segurana da informao trata-se de um tema importante para as
empresas e seus gestores, devido ao fato da informao ser um recurso necessrio
para o sucesso de praticamente qualquer tipo de negcio atual. Com a maior
divulgao de incidentes e fraudes envolvendo informaes armazenadas em

11

recursos de tecnologia, a maior disseminao dos conceitos e ferramentas de

segurana da informao e sua utilizao cada vez mais freqente pelas
organizaes independentemente de seu porte, o tema ganhou relevncia
empresarial nos ltimos anos. Este trabalho busca o aperfeioamento de
conhecimentos a fim de contribuir com a comunidade acadmica e empresarial para
melhor entendimento do assunto visando descrever os principais motivos que levam
as organizaes a adotarem controles e medidas para gesto da segurana da
informao.
Com o acompanhamento da evoluo da informtica desde a dcada de 90,
principalmente em pequenas e mdias empresas, foi possvel acompanhar o
processo de informatizao de algumas organizaes e a evoluo das redes
computacionais. A abertura comercial da Internet, antes restrita a poucas
universidades, tornou o estudo das redes mais relevante porque ampliou seus vrios
benefcios de comunicaes s organizaes do mundo todo. Entretanto, logo
surgiram problemas de fraudes, roubo e crimes, utilizando-se das facilidades das
redes e da Internet o que despertou o interesse para os problemas de segurana da
informao, suas tcnicas, ferramentas, ameaas e sua correta gesto.
Problematizao
O problema de pesquisa tratado neste trabalho : Que fatores so capazes
de influenciar a adoo da gesto da segurana da informao por pequenas e
mdias empresas?
Objetivo
O objetivo geral deste trabalho identificar os fatores que influenciam
pequenas e mdias empresas a adotarem medidas de gesto da segurana da
informao e avaliar o grau de importncia deles.
Outro objetivo descrever, atravs dos controles contidos na norma brasileira
de segurana da informao ABNT NBR ISO/IEC 17799:2005 (Tecnologia da
Informao Tcnicas de Segurana e Cdigo de Prticas para a Gesto da
Segurana da Informao), se as empresas pesquisadas possuem requisitos
mnimos e satisfatrios de gesto da segurana da informao. Para tanto, os
controles descritos na norma foram classificados em trs camadas: fsica, lgica e

12

humana. A empresa considerada satisfatria deve possuir controles efetivos nas

trs camadas.
Justificativa
Este estudo mostra-se importante porque pouca literatura referente adoo
da gesto da segurana da informao foi encontrada, principalmente em pequenas
e mdias empresas do Brasil. Assim, o desenvolvimento de pesquisas sobre o tema
pode fornecer resultados que ajudem a melhor compreender o valor das
informaes empresariais, os riscos e as ameaas, o impacto nos negcios e os
fatores motivadores ou inibidores relacionados a sua adoo em pequenas e mdias
empresas.
A gesto da segurana da informao ganha a cada dia maior foco por parte
dos gestores e mdias especializadas, com a publicao da norma ABNT NBR
ISO/IEC 17799:2005 e da norma ABNT NBR ISO/IEC 27001:2006; uma com o
intuito de normalizar e a outra, de certificar um Sistema de Gesto da Segurana da
Informao (SGSI) devem ganhar maior adoo por organizaes de todos os
portes. A gesto da segurana da informao envolve no s recursos tecnolgicos,
mas tambm recursos humanos e culturais da organizao. Assim sua correta
gesto pode ajudar a evitar fraudes financeiras, perda da imagem e confiana por
parceiros, fornecedores e clientes.
Delimitao do Estudo
Esse trabalho estudou as pequenas e mdias empresas industriais presentes
na regio do Grande ABC, composta pelas cidades de: Santo Andr, So Bernardo
do Campo, So Caetano do Sul, Diadema, Mau e Ribeiro Pires.
Vrias categorizaes existem para definir o porte da empresa. O Estatuto
Nacional da Microempresa e da Empresa de Pequeno Porte, institudo pela Lei
Complementar n 123 de 14/12/2006, utiliza o valor do faturamento anual. O Servio
Brasileiro de Apoio Microempresa (SEBRAE) alm de utilizar o faturamento, utilizase tambm do nmero de pessoas ocupadas. Para este trabalho a categorizao
usada para pequenas e mdias empresas foi o nmero de empregados, conforme
definido pelo Centro de Indstria do Estado de So Paulo (CIESP), sendo:

13

pequena empresa - de 10 a 99 empregados;

mdia empresa - entre 100 e 499 empregados.

Vinculao Linha de Pesquisa

Esta pesquisa se vincula Linha 2 do Programa de Mestrado em
Administrao da Universidade Municipal de So Caetano do Sul - IMES: Gesto e
Inovao Organizacional, pelo fato de tratar assuntos ligados a gesto empresarial e
adoo de novas tecnologias.

14

2 REFERENCIAL TERICO
Para construo do referencial terico deste trabalho, primeiramente foi
pesquisado na literatura da rea o conceito de segurana da informao e os dados
mais recentes sobre incidentes envolvendo o tema; em seguida procurou-se levantar
o valor das informaes organizacionais, sua forma de classificao e sua
importncia para a continuidade do negcio. Numa viso da gesto da segurana da
informao baseada no gerenciamento do risco, foram levantados os principais
componentes do risco e as medidas de proteo adequadas, as ameaas ao
negcio e as possveis tcnicas de defesa. Outros itens pesquisados na literatura
foram as normas internacionais relativas gesto da segurana da informao, seu
histrico e seus itens de controles. Vrios autores foram consultados sobre o uso de
TI em pequenas empresas e gesto da segurana da informao, bem como os
fatores de sucesso e insucesso para sua implementao e os influenciadores para
sua adoo.

2.1 CONCEITO DE SEGURANA DA INFORMAO

Segurana da informao um tema atual em constante discusso nas mais
diversas organizaes, seja governo, educao, indstria, comrcio ou servios;
visto que as organizaes utilizam-se da TI para apoiar e gerar negcios, aliados
aos benefcios da Internet. Desse modo, independentemente do segmento de
mercado, core business ou porte, todas as organizaes sempre usufruiro da
informao, objetivando melhor produtividade, reduo de custos, ganho na
participao de mercado, aumento de agilidade, competitividade e apoio tomada
de deciso. (SMOLA, 2003, p. 1).
Segurana da informao, conforme Beal (2005), o processo de proteo
da informao das ameaas a sua integridade, disponibilidade e confidencialidade.
Smola (2003) define segurana da informao como uma rea do conhecimento
dedicada proteo de ativos da informao contra acessos no autorizados,
alteraes indevidas ou sua indisponibilidade. A ISO/IEC 17799:2005, em sua
seo introdutria define segurana da informao como a proteo da informao
de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o
risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de

15

negcio.

Assim, podemos definir segurana da informao como a rea do

conhecimento que visa proteo da informao das ameaas a sua integridade,

disponibilidade e confidencialidade a fim de garantir a continuidade do negcio e
minimizar os riscos.
Beal (2005) e Smola (2003) asseveram que o objetivo da segurana da
informao preservar os ativos de informao quanto a sua confidencialidade,
integridade e disponibilidade:

a confidencialidade da informao a garantia de que somente pessoas

autorizadas tero acesso a ela, protegendo-a de acordo com o grau de sigilo
do se contedo;

a integridade da informao tem como objetivo garantir a exatido da

informao, assegurando que pessoas no autorizadas possam modific-la,
adicion-la ou remov-la, seja de forma intencional ou acidental;

a disponibilidade garante que os autorizados a acessarem a informao

possam faz-lo sempre que necessrio.
Smola (2003) ainda acrescenta a estes trs objetivos o de:

legalidade - garantia de que a informao foi produzida em conformidade

com a lei;

autenticidade - garantia de que num processo de comunicao os

remetentes sejam exatamente o que dizem ser e que a mensagem ou
informao no foi alterada aps o seu envio ou validao.
Para Beal (2005), o objetivo legalidade melhor classificado como objetivo

organizacional, assim como o objetivo de uso legtimo da informao citados por

outros autores, pois deles derivam os requisitos de segurana da informao.
Quanto ao objetivo: autenticidade, a autora o entende necessrio somente quando
usado num processo de transmisso de informaes, e estabelece alguns objetivos
adicionais relativos segurana da comunicao:

integridade do contedo;

irretratabilidade da comunicao;

16

autenticidade do emissor e do receptor;

confidencialidade do contedo;

capacidade de recuperao do contedo pelo receptor.

Smola (2003) adverte sobre a expresso Segurana da Informao,

dizendo que por si s, um termo ambguo, podendo assumir dupla interpretao:

segurana como uma prtica adotada para tornar um ambiente seguro ou o
resultado da prtica adotada, objetivo a ser alcanado. O autor cita exemplos:

segurana como meio a segurana da informao visa garantir a

confidencialidade,

integridade

disponibilidade

da

informao,

impossibilidade de agentes participantes em transaes ou na comunicao

repudiem a autoria de suas mensagens, a conformidade com a legislao
vigente e a continuidade dos negcios;

segurana como fim a segurana da informao alcanada por meio

de prticas e polticas voltadas a uma adequada padronizao operacional e
gerencial dos ativos, e processos que manipulem e executem a informao.
Para Cernev e Leite (2005), deve-se tomar cuidado com a definio de

segurana pela confuso corrente do termo com risco, privacidade e confiana. No

caso da confiana explicam: confiana engloba e significa muito mais do que
segurana. Confiana o pilar de sustentao de qualquer negcio ou
empreendimento, tradicional ou eletrnico, dentro ou fora da Internet, sendo a
segurana um dos seus principais construtos.
Existem alguns termos relacionados gesto da segurana da informao
que merecem ateno; so eles (SMOLA, 2003; BEAL, 2005):

Ativo: tudo aquilo que tem valor para a organizao;

Ameaa: expectativa de acontecimento acidental ou proposital, causado por

um agente, que pode afetar um ambiente, sistema ou ativo de informao.
algo normalmente externo ao ativo que se quer proteger (falha de energia,
fogo, vrus);

17

Vulnerabilidade: fragilidade que poderia ser explorada por uma ameaa para
concretizar um ataque. Est associada ao prprio ativo, podendo ser
decorrente de uma srie de fatores, como falta de treinamento, falta de
manuteno, falha nos controles de acesso etc;

Impacto: efeito ou conseqncia de um ataque ou incidente para a

organizao;

Ataque: evento decorrente da explorao de uma vulnerabilidade por uma

ameaa. Exemplos de ataque: digitao incorreta de dados pelo usurio,
vazamento de informaes, incluso indevida no sistema de pagamento de
compra fictcia;

Incidente: fato (ou evento) decorrente da ao de uma ameaa, que explora

uma ou mais vulnerabilidades, levando perda de princpios da segurana da
informao: confidencialidade, integridade e disponibilidade.

2.1.1 IMPLEMENTAO DA GESTO DA SEGURANA DA INFORMAO

Para se implementar a gesto da segurana da informao, Beal (2005)

sugere o uso do mtodo PDCA, muito utilizado em sistemas de gesto da qualidade.
O significado da sigla PDCA vem de:

P = Plan, de planejar

D = Do, de executar

C = Check, de verificar, avaliar

A = Act, de agir corretivamente

Com o uso do mtodo PDCA, a autora estipulou as seguintes etapas

aplicadas gesto da segurana da informao:

Planejamento da segurana comeando do nvel mais alto, identificam-se

os processos crticos de negcio e dos fluxos de informao associados, para
depois descer para o nvel dos sistemas e servios de informao e da infraestrutura de TI que d suporte a tais sistemas e servios;

18

Implementao da segurana as atividades necessrias para se colocar em

prtica aquilo que foi planejado para atender aos requisitos de segurana da
organizao;

Avaliao e ao corretiva nesta etapa, deve-se coletar o maior nmero

possvel de informaes e averiguar se a segurana implantada atende aos
requisitos da fase de planejamento;

Anlise crtica independente da segurana da informao recomenda que

seja feito, por auditoria interna ou prestador de servios especializado na
rea, um levantamento que ajude a garantir que as prticas da organizao
permaneam condizentes com sua poltica e adequadas para situao de
risco existente.
Quando se implementa um processo de gesto da segurana da informao,

procura-se eliminar o mximo possvel de pontos fracos ou garantir o mximo de

segurana possvel. (CARUSO e STEFFEN, 1999).
Conforme Beal (2005, p. XII) os problemas de segurana da informao so
complexos, e normalmente tm sua origem em preocupaes organizacionais e de
negcio, no de tecnologia. A fim de garantir um nvel de proteo adequado para
seus ativos de informao, as organizaes e seus principais gestores precisam ter
uma viso clara das informaes que esto tentando salvaguardar, de que ameaas
e por que razo, antes de poder passar a seleo de solues especficas de
segurana. Grande parte dos dados importantes ao negcio da empresa est
armazenada

em

computadores,

por

isso

as

organizaes

dependem

da

confiabilidade de seus sistemas baseados em TI; se a confiana nesses dados for

destruda, o impacto pode ser comparvel prpria destruio do sistema.
Ainda conforme a autora, os administradores devem preocupar-se com a
segurana dos componentes de TI e da informao neles armazenada por quatro
razes principais:

Dependncia da tecnologia da informao;

Vulnerabilidade da infra-estrutura tecnolgica hardware e software;

Alto valor da informao armazenada;

19

Pouca ateno dada segurana nos estgios iniciais do desenvolvimento de

software.
Dessa forma, as organizaes precisam adotar controles de segurana

medidas de proteo que abranjam uma grande diversidade de iniciativas que

sejam capazes de proteger adequadamente dados, informaes e conhecimentos,
escolhidos, levando-se em conta os riscos reais a que esto sujeitos esses ativos.
(BEAL, 2005).
medida que as empresas tornam-se mais dependentes da informtica, mais
vulnerveis ficam as organizaes a crimes e fraudes cometidos com o uso de
recursos computacionais. Na maioria dos casos ocorridos, nada publicado, por
necessidade de preservao da imagem. Porm em mdia, aps a ocorrncia de um
desastre completo no departamento de TI, a capacidade de operao da empresa
declina em 90% e segundo estatsticas mundiais, mais de 75% das empresas que
sofrem esse tipo de desastre deixam de existir ou acabam sendo compradas.
(CARUSO e STEFFEN, 1999).
Os autores ainda alertam que importante que a segurana da informao
no seja tratada como um segredo militar ou diplomtico, mas no se deve deix-la
ao acaso, pois, mais cedo ou mais tarde, aparece algum que no s conhece os
meios tcnicos para se apossar das informaes, como sabe lucrar com elas.

2.1.2 INFORMAES RECENTES SOBRE SEGURANA DA INFORMAO

Informaes recentes publicadas na mdia indicam o crescimento de

incidentes de segurana da informao, suas principais ameaas e os investimentos
na rea:

Dados divulgados pelo Comit Gestor da Internet no Brasil atravs do Centro

de Estudos, Respostas e Tratamento de Incidentes de Segurana no Brasil
(CERT.br) mostram que o nmero de incidentes de segurana motivados por
falhas e vulnerabilidades de software a ataques externos, vrus etc, passou de
3,1 mil em 1999 para 52,6 mil em 2004. Houve, entre o final de 2002 e o

20

primeiro trimestre de 2003, um aumento de 84% no nmero de ataques e

incidentes de segurana (MESQUITA, 2003).

Uma pesquisa mais recente do CERT.br aponta um crescimento de 1.313%

no segundo trimestre de 2005 nas notificaes associadas s fraudes virtuais,
se comparadas com o mesmo perodo de ano passado. Em relao ao
trimestre anterior, as fraudes cresceram 259% (BANTEL, 2005).
Total de Incidentes Reportados ao CERT.br por Ano
84000

75722
68000

total de incidentes

72000
54607

60000
48000
36000

28133

25092
24000
12301
12000

3107

5997

0
1999

2000

2001

2002

2003

2004

2005

jun/06

Grfico 1: evoluo dos ataques externos reportados no Brasil

Fonte: Comit Gestor da Internet no Brasil (2006)

Outro estudo do Comit Gestor da Internet no Brasil (2006) destaca que

praticamente metade das empresas brasileiras com acesso Internet j
sofreu algum incidente de segurana, sendo o mais comum o ataque de vrus
(50%), seguido pelo ataque de trojans (31%) e pelos worms ou bots (17%). A
pesquisa tambm revela que as empresas tm conscincia do problema e
utilizam as seguintes medidas de proteo: 96% usam antivrus, 60% utilizam
software anti-spyware, 54% possuem firewall e 49% usam conexo segura
entre clientes e servidores (via SSL, HTTPS).

Segundo ComputerWorld (2006), as pequenas e mdias empresas brasileiras

devero investir em 2007 cerca de 260 milhes de dlares com solues de
segurana em TI, em virtude, principalmente, da ascenso dos crimes
digitais. Os investimentos em aplicaes de firewall e antivrus continuam,
porm sero feitos investimentos com maior intensidade em solues de
Redes Privadas Virtuais (Virtual Private Network - VPN) e softwares de

21

deteco ou preveno de intruses. Segundo o estudo, cerca de 50% das

mdias empresas do Pas implantaram um roteador ou uma aplicao
baseada em firewall em suas operaes. Ao mesmo tempo, 24% delas
pretendem implementar algo desse tipo nos prximos 12 meses.

A 9 Pesquisa Nacional de Segurana da Informao (Mdulo, 2003)

constatou que 23% dos entrevistados vem a falta de conscincia dos
executivos como o principal obstculo para implementao da segurana, em
contrapartida a outros fatores como: dificuldade de demonstrar o retorno,
custo, falta de conscincia dos usurios, falta de prioridade, falta de
oramento, entre outros....

2.2 O VALOR DAS INFORMAES

O bem mais valioso de uma empresa so as informaes relacionadas com
os bens de consumo ou servios prestados por ela (CARUSO e STEFFEN, 1999), e
pela alta capacidade que dados, informao e conhecimento tm de adicionar valor
a processos, produtos e servios, esses constituem recursos cada vez mais crticos
para o alcance da misso e dos objetivos organizacionais. Conseqentemente, as
informaes crticas para o negcio precisam ser protegidas contra as ameaas que
podem levar sua destruio, indisponibilidade temporria, adulterao ou
divulgao no autorizada. (BEAL, 2005, p. XI).
A informao um recurso que tem valor para a organizao e deve ser
bem gerenciada e utilizada [...] necessrio garantir que ela esteja sendo
disponibilizada apenas para as pessoas que precisam dela para o desempenho de
suas atividades profissionais. (FONTES, 2006, p. 38). O autor ainda alerta que o
maior risco para as informaes a organizao no se preocupar com a segurana
e com os possveis ataques a ela, achando que isso acontece apenas com os
outros.
importante que os gestores se conscientizem de que todas as informaes
tm algum tipo de valor para algum e/ou para algo; o que ocorre que ainda no
se descobriu para quem ou para qu. (CARUSO e STEFFEN, 1999).

22

O ser humano sempre buscou o controle sobre as informaes que lhe

eram importantes, at mesmo na mais remota antiguidade, o que mudou
foram as formas de registro e armazenamento dessas informaes, que nos
dois ltimos sculos passaram a ter importncia crucial para as
organizaes humanas. Devido ao modo arcaico de registro de informaes
na antiguidade, era natural que o controle e disseminao das informaes
tornassem o acesso s mesmas restrito e a uma minoria sempre ligada ao
grupo que dominava o poder econmico e poltico da sociedade. Os
primeiros suportes para registro de informaes foram as paredes das
habitaes humanas; por si s implicava um conjunto de conseqncias:
restries de acesso fsico, de transferncias para terceiros ou para outro
local e de pessoal capacitado. Alm da imobilidade das informaes,
quase ningum na poca detinha conhecimento necessrio para reconheclas. Em meados do sculo XX a alfabetizao se universalizou, o que
possibilitou a vrias pessoas o acesso informao. (CARUSO e
STEFFEN, 1999).

Para os autores, no h organizao humana que no seja dependente da

tecnologia de informaes, fato que se potencializou em funo da evoluo da
informtica com o acmulo de grande quantidade de informaes em pequenos
espaos. Essa caracterstica acarreta conseqncias graves para essas mesmas
organizaes, por facilitar os ataques de pessoas no-autorizadas. Independente do
setor da economia em que a empresa atue, as informaes esto relacionadas com
seus processos de produo e de negcios, polticas estratgicas, de marketing,
cadastros de clientes, dados contbeis e financeiros etc. E no importa o meio de
armazenamento, elas so de valor inestimvel no s para a empresa que as gerou
como tambm para seus concorrentes.
Segundo Moraes, Terence e Escrivo Filho (2004), nenhuma empresa pode
escapar aos efeitos da revoluo causada pela informao; dessa forma, deve-se ter
conscincia de que a informao um requisito to importante quanto os recursos
humanos, pois dela depende o sucesso ou fracasso das tomadas de decises
dirias.
Os riscos so agravados, medida que informaes essenciais aos negcios
da empresa so centralizadas. Ainda que esses riscos sejam srios, as vantagens
dessa centralizao so maiores, tanto sob aspectos econmicos como pela
agilizao de processos na tomada de deciso.
Segurana, mais que estrutura hierrquica, homens e equipamentos, envolve
uma postura gerencial, o que ultrapassa a tradicional abordagem da maioria das
empresas. preciso cercar o ambiente de informaes com medidas que garantam
sua segurana efetiva, a um custo aceitvel, visto ser impossvel obter-se segurana

23

absoluta, j que a partir de um determinado ponto, os custos se tornam inaceitveis.

(CARUSO e STEFFEN, 1999).

2.3 GERENCIAMENTO DO RISCO

A segurana de informaes confidenciais para a empresa sempre foi de
extrema importncia. Tanto informaes armazenadas em papel quanto informaes
armazenadas em banco de dados computacionais, na mo de pessoas erradas
podem trazer prejuzos dos mais variados possveis para as empresas. A estrutura
da segurana de informaes no pode ser algo esttico dentro da empresa e
depende da cooperao de todos os envolvidos para seu sucesso. Porm muitos
gestores tm ignorado os riscos que os seus negcios correm com o vazamento e
perda de informaes e simplesmente no se preocupam o suficiente com a
segurana da informao. (CARUSO e STEFFEN, 1999).
Dessa forma, toda a organizao precisa adquirir uma viso sistmica das
suas necessidades de segurana, dos recursos a serem protegidos e das ameaas
s quais est sujeita, para ento poder identificar as medidas de proteo mais
adequadas, economicamente viveis e capazes de reduzir ou eliminar os principais
riscos para o negcio. (BEAL, 2005).
Fontes (2006) alerta para o constante crescimento de incidentes de
segurana da informao, principalmente no Brasil. De forma crescente as
organizaes esto potencialmente mais expostas a novas formas de ataques,
independentemente do porte ou do tipo de negcio.
Devido alta complexidade e ao alto custo de manter os ativos da informao
salvos de ameaas sua confidencialidade, integridade e disponibilidade,
importante adotar um enfoque de gesto baseado nos riscos especficos para o
negcio. (Beal, 2005).
O risco a probabilidade de ocorrncia de um evento adverso para uma
determinada situao esperada. Smola (2003) o define como: a probabilidade de
que agentes, que so ameaas, explorem vulnerabilidades, expondo os ativos a
perdas de confidencialidade, integridade e disponibilidade, e causando impacto nos
negcios. Os impactos so limitados por medidas de segurana, que ajudam a

24

diminuir o risco. Para demonstrar essa relao, o autor prope a seguinte equao
do risco de segurana da informao:
RISCO = VULNERABILIDADES x AMEAAS x IMPACTOS
MEDIDAS DE SEGURANA

Para Hitt (2005), a gesto do risco estratgica, pois influencia diretamente

as capacidades e competncias essenciais da empresa, com maior nfase nos
riscos administrativo e individual. Os riscos interagem com a realidade e so fatos na
vida corporativa, uma vez que resultados incertos so reflexos de decises
gerenciais.
Gesto do risco o conjunto de processos que permite s organizaes
identificar e implementar as medidas de proteo necessrias para diminuir
os riscos a que esto sujeitos os seus ativos de informao, e equilibr-los
com os custos operacionais e financeiros envolvidos. (BEAL, 2005).

A figura 1 exibe os componentes do risco e as principais medidas de proteo

usadas para reduzi-lo:
MTODOS
DETECTIVOS

DESENCADEIAM

EXPEM

MEDIDAS
REATIVAS
REDUZEM

AMEAA +

VULNERABILIDADE

ATAQUE

INCIDENTE

IMPACTO

Erro humano
Desastres
naturais
Fraude
Invaso,
espionagem
etc.

Pessoal mal treinado

Instalaes desprotegidas
Controles inadequados etc.

Invaso
Acesso indevido
Insero
incorreta de
dados etc.

Destruio de
dados
Perda de
integridade
Divulgao indevida
Quebra de
equipamentos etc.

Prejuzo
financeiro
Prejuzo para a
imagem
Perda de
eficincia etc.

REDUZEM

MEDIDAS
PREVENTIVAS
Figura 1: componentes do risco e medidas de proteo usadas para reduzi-lo.
Fonte: Beal (2005).

As ameaas somadas s vulnerabilidades quando mal gerenciadas facilitam o

ataque a um ativo da informao. Um ataque concludo gera o incidente de
segurana que culmina em um impacto para os negcios da organizao. As
seguintes medidas podem ser implementadas para melhor gerenciar o risco:

25

MEDIDAS PREVENTIVAS: reduzem a probabilidade de uma ameaa se

concretizar ou diminuem o grau de vulnerabilidade do ambiente, ativo ou
sistema; reduzindo assim a probabilidade de um ataque e/ou sua capacidade
de gerar efeitos adversos na organizao. Exemplos de medidas preventivas:
o Poltica de segurana;
o Controles de acesso fsicos e lgicos;
o Programas de conscientizao e treinamento; etc.

MTODOS DETECTIVOS: expem ataques ou incidentes e disparam

medidas reativas, tentando evitar a concretizao do dano, reduzi-lo ou
impedir que se repita. Exemplos de mtodos detectivos:
o Monitorao da rede;
o Sistemas de deteco de intrusos;
o Auditorias; etc.

MEDIDAS REATIVAS: reduzem o impacto de um ataque ou incidente. So

medidas tomadas durante ou aps a ocorrncia do evento. Exemplos de
medidas reativas:
o Ao legal;
o Restaurao do servio;
o Procedimentos de resposta a incidentes; etc.

2.3.1 AMEAAS
A todo instante os negcios, seus processos e ativos fsicos, tecnolgicos e
humanos so alvo de investidas de ameaas de toda ordem, que buscam
identificar um ponto fraco compatvel, uma vulnerabilidade capaz de
potencializar sua ao. Quando essa possibilidade aparece, a quebra de
segurana consumada. (SMOLA, 2001, p. 18).

As ameaas do mundo digital espelham as ameaas no mundo fsico. Se o

desfalque uma ameaa, ento o desfalque digital tambm uma ameaa. Se os
bancos fsicos so roubados, ento os bancos digitais sero roubados.
(SCHNEIER, 2001). O crime no ciberespao inclui tudo o que se pode esperar do

26

mundo fsico: roubo, extorso, vandalismo, voyeurismo, explorao, jogos de

trapaas, fraude, etc.
Desde que os computadores comearam a ser usados, as tentativas de
acesso no autorizado a eles existem; entretanto, foi s aps o uso comercial da
Internet que o problema tornou-se mais crtico. Associados a essas ameaas
encontram-se alguns termos que se tornaram manchetes de publicaes destinadas
ao pblico especializado em informtica e at na imprensa no-especializada:
(CARUSO e STEFFEN, 1999).

Hackers so em geral jovens e adolescentes, amadores aficionados por

informtica, normalmente com alto grau de inteligncia e capacitao no
ramo, cuja principal diverso conseguir ultrapassar as barreiras de acesso
aos grandes sistemas de computao que operam em rede, principalmente
na Internet. Em uma outra definio, hacker o indivduo que conhece muito
sobre tecnologia mas que no usa seus conhecimentos para o mal, enquanto
que o termo cracker, define o aficionado por tecnologia que usa seus
conhecimentos para praticar violaes de sistemas e roubo de informaes,
de forma a obter proveito prprio ou para terceiros.

Vrus so programas de computador capazes de se reproduzir, se autocopiando para disquetes, unidades de redes ou anexos de e-mail.
Geralmente, destroem os programas e arquivos de seu computador, ou
simplesmente o atrapalham deixando seu micro mais lento.

Worm uma subclasse de vrus que geralmente se alastra sem a ao do

usurio e distribui cpias completas de si mesmo atravs das redes. Um
worm pode consumir memria e largura de banda de rede, o que pode travar
o computador.

Cavalo de Tria deve seu nome ao fato de funcionar baseado em

estratgia similar contada pela mitologia grega. Atualmente o cavalo virou um
programa e a Tria um computador. Conhecidos tambm como Trojan
Houses, estes programas so construdos de tal maneira que, uma vez
instalados nos computadores, abrem portas no computador infectado,
tornando possvel o acesso de hackers.

27

Backdoors existe uma confuso entre o que um backdoor e um trojan,

principalmente porque os problemas provocados por ambos so semelhantes.
Um trojan um programa que cria deliberadamente um backdoor em seu
computador. Eles so abertos devido a defeitos de fabricao ou falhas no
projeto, isto pode acontecer tanto acidentalmente como propositalmente.

SPAM o envio em massa de mensagens de e-mails no-solicitadas,

algumas inofensivas, outras com contedo publicitrio, porm, alguns
invasores utilizam-se de SPAM para distribuio de cdigos maliciosos.

Spyware um programa instalado no computador do usurio sem seu

consentimento que captura informaes atravs de tudo que digitado no
teclado, seus costumes na Internet e informaes pessoais para depois
enviar a uma entidade externa na Internet. Podem ser desenvolvidos por
empresas que desejam monitorar os hbitos do usurio e depois vend-los na
Internet.
Outra ameaa muito freqente e que no depende necessariamente de

recursos de TI a engenharia social. Engenharia Social a tcnica de aproveitar-se

da boa f das pessoas para obter informaes que possibilitem ou facilitem o acesso
aos recursos computacionais de uma organizao por parte de usurios no
autorizados. Fontes (2006) define engenharia social como: o conjunto de
procedimentos e aes que so utilizados para adquirir informaes de uma
organizao ou de uma pessoa por meio de contatos falsos sem o uso da fora, do
arrombamento fsico ou de qualquer brutalidade. Mitnick e Simons (2003) definem a
engenharia social como a arte de fazer com que as pessoas faam coisas que
normalmente no fariam para um estranho.
Existem diversas formas de se efetuar um ataque de engenharia social, mas
todas elas tm em comum a caracterstica de usarem basicamente psicologia e
perspiccia para atingir os seus propsitos. Atualmente, as mais populares so:

Usar telefone ou e-mail para se fazer passar por uma pessoa ou instituio
que precisa de determinadas informaes para resolver um suposto
problema;

28

Enviar programas maliciosos ou instrues especialmente preparadas, com o

objetivo de abrir brechas na segurana da rede ou coletar o mximo de
informaes possveis sobre ela. Essa tcnica ficou conhecida como
Phishing, pois leva a vtima at uma pgina falsa na Internet, que pode
instalar um trojan no computador da vtima. Em outros casos pode ser de uma
instituio financeira, com a qual geralmente a vtima possui relacionamento,
fazendo que fornea seus dados como agncia, conta e senha, para depois
efetuar fraudes eletrnicas. Tambm conhecido como Phishing Scam ou
somente Scam.
A principal maneira de se prevenir contra estes ataques orientando os

usurios e administradores de redes e sistemas sobre como agir nestas situaes.

Procure reduzir a exposio da rede em fruns pblicos na Internet e no revele
nada mais que o suficiente sobre a topologia da rede. Tome cuidado com
orientaes passadas por pessoas desconhecidas, e evite executar programas de
origem obscura ou no confivel eles podem ser uma armadilha.

2.3.2 TCNICAS DE DEFESA

O que se pode fazer est relacionado com diversas tcnicas e pacotes que
cuidam de aspectos diversos do problema e que podem ser usados para essa
finalidade, como, por exemplo:

Poltica de Segurana - um instrumento importante para proteger as

empresas contra ameaas segurana da informao. Ela no define
procedimentos especficos de manipulao e proteo da informao, mas
atribui direitos e responsabilidades aos usurios (funcionrios, gerentes,
administradores de redes e sistemas, etc) que lidam com essa informao. A
poltica de segurana tambm estipula as penalidades s quais esto sujeitos
os que a descumprem;

Plano de Contingncia - consiste em procedimentos de recuperao

preestabelecidos, com a finalidade de minimizar o impacto sobre as
atividades da organizao, no caso de ocorrncia de um dano ou desastre
que os procedimentos de segurana no conseguiram evitar;

29

Softwares de Segurana e Firewall - um firewall uma barreira inteligente

entre a sua rede local e a Internet, atravs da qual s passa trfego
autorizado. Este trfego examinado pelo firewall em tempo real e a seleo
feita de acordo com a regra "o que no foi expressamente permitido,
proibido".

Sistema de Backup - corresponde a cpias de segurana de todas as

informaes importantes para a empresa que reside em seus servidores e
microcomputadores. Nunca deve ser feito dentro da prpria mquina, e
mesmo sendo feito em mdia removvel, extremamente aconselhvel que
essa fique guardada em local seguro, de preferncia fora do permetro da
empresa. O backup feito geralmente de madrugada, quando ningum est
utilizando o sistema.

Software Antivrus so programas destinados a barrar e combater os vrus

de computadores; os mais recentes incluem proteo contra worms, trojans e
spywares.

Atualizaes

do

sistema

operacional

aplicativos

vrias

vulnerabilidades so descobertas em programas de uso dirio como o

sistema operacional (Windows, Linux) e programas aplicativos (Word, Excel,
PowerPoint etc). Mant-los atualizados com as mais recentes correes
contribui para minimizar os riscos de um incidente em segurana da
informao.
Para Caruso e Steffen (1999), toda rede local com conexo dedicada
Internet precisa de proteo. um engano pensar que somente as grandes
corporaes so alvo de hackers. Qualquer empresa com conexo dedicada
Internet um alvo, pois as ferramentas automticas de hackers atacam milhares de
endereos por hora e invadem o primeiro site desprotegido. Segundo os autores
existem mais de 80.000 sites na prpria Internet dedicados a atividades de hacking
onde possvel obter ferramentas para invaso de sistemas.
Entretanto, nenhum dos recursos acima resolve todos os problemas de
ataques. Esse tipo de tarefa deve ser feito mais no campo administrativo, com
medidas destinadas a disciplinar o uso de recursos, como: senhas individuais e
secretas, auditoria das atividades executadas na rede, documentao organizada,

30

evitar ao mximo o acmulo de responsabilidades e funes nas mos de poucas

pessoas. Ressalta-se que, independentemente da forma de controle de acesso
adotada, no existem meios de se impedir que uma pessoa autorizada e com o nvel
de acesso suficiente cause danos, de forma voluntria ou no. (CARUSO e
STEFFEN, 1999).
Fontes (2006) assevera que a classificao e uma poltica rgida de utilizao
da informao so medidas preventivas que podem ajudar a minimizar os riscos.
Mitnick e Simon (2003, p. 210) corroboram ao afirmarem que uma poltica de
classificao de dados fundamental para proteger as informaes de uma
organizao e estabelecer as categorias responsveis pela liberao das
informaes confidenciais. Na viso de Beal (2005) inventariar os ativos da
informao existentes e classific-los de acordo com o valor e o grau de
sensibilidade atribuda pela organizao permite determinar mais precisamente os
requisitos de tratamento e proteo a eles aplicveis.
Os autores Mitnick e Simon (2003) sugerem a classificao das informaes
em:

Confidencial informaes compartilhadas com um nmero muito limitado

de pessoas que tenham necessidade absoluta de conhec-las;

Particular informaes de natureza pessoal que se destinam apenas ao

uso dentro da organizao, como: histrico mdico de empregados, os
benefcios de sade, histrico de salrio etc.;

Interna informaes que podem ser fornecidas livremente para todos os

empregados da organizao, mas que devem ser controladas para
vazamento externos e de terceiros. Exemplo: grficos organizacionais, nomes
dos sistemas internos, procedimentos de acesso remoto etc.;

Pblica informaes criadas especificamente para liberao ao pblico,

como: telefone do servio de atendimento ao cliente (SAC), manuais do
produto, notcias para a imprensa etc.
Grande parte dos problemas de segurana so originados na rede interna da

organizao e, muitas vezes, so causados pelo desconhecimento de conceitos e

procedimentos bsicos de segurana por parte dos usurios. Um exemplo deste

31

problema a m configurao do programa de leitura de e-mails de um usurio, que

faz com que qualquer arquivo anexado a uma mensagem seja automaticamente
aberto ou executado, permitindo a instalao de backdoors, cavalos de tria,
disseminao de vrus etc.
Um fator que contribui para o processo de educao dos usurios o
estabelecimento de polticas de segurana claras, conhecidas e completamente
entendidas pelos usurios da rede. O estabelecimento de um canal de comunicao
(intranet, lista de e-mail, cartazes etc.) para transmitir informaes importantes sobre
segurana de informaes e principalmente a notificao de descoberta de um novo
vrus, sua forma de infeco e mtodos de preveno.
Porm, o uso de treinamentos peridicos no deve ser descartado, podem ser
treinamentos curtos de duas ou quatro horas de maneira a sensibilizar o usurio
para o uso correto dos ativos de informao da organizao.

2.4 CAMADAS DE SEGURANA DA INFORMAO

Para facilitar o entendimento e o estudo da gesto da segurana em Internet
Banking, Adachi (2004) utilizou em sua dissertao de mestrado uma classificao
em trs camadas da segurana da informao: fsica, lgica e humana. Este
trabalho usa esta classificao, vislumbrando um modo mais amplo que o tratado
pela autora, ao estudar todo o processo de gesto da segurana da informao e
no somente a segurana do Internet Banking.
Segue a definio das trs camadas de segurana da informao:

Camada fsica o ambiente onde est instalado fisicamente o hardware

computadores, servidores, meio de comunicao podendo ser o escritrio
da empresa, a fbrica ou at a residncia do usurio no caso de acesso
remoto ou uso de computadores portteis. O controle de acesso aos recursos
de TI, equipamentos para fornecimento ininterrupto de energia e firewalls so
algumas das formas de gerir a segurana desta camada.

Camada lgica - caracterizada pelo uso de softwares - programas de

computador - responsveis pela funcionalidade do hardware, pela realizao

32

de transaes em base de dados organizacionais, criptografia de senhas e

mensagens etc. As atualizaes de segurana, disponibilizadas pelos
fabricantes, contra vulnerabilidades conhecidas representam uma das formas
de controlar a segurana desta camada.

Camada humana - formada por todos os recursos humanos presentes na

organizao, principalmente os que possuem acesso a recursos de TI, seja
para manuteno ou uso. So aspectos importantes desta camada: a
percepo do risco pelas pessoas: como elas lidam com os incidentes de
segurana que ocorrem; so usurios instrudos ou ignorantes no uso da TI; o
perigo dos intrusos maliciosos ou ingnuos; e a engenharia social (ADACHI,
2004). A poltica de segurana e a conscientizao dos usurios so algumas
das formas de controlar a segurana desta camada.
A gesto destas camadas pode ser feita de diversas formas: centralizada,
por camada e especialidade; interdisciplinar, que atinge mais de uma
camada e por processos, que permeiam um item como cadastramento de
usurio e acesso final. A idia central da diviso por camadas categorizar
os temas, ou domnios a serem abordados, em uma gesto de segurana.
(ADACHI, 2004, p. 78)
Com uma s camada de defesa, os ativos da informao passam a estar
vulnerveis assim que um ataque consegue superar esse nvel nico de
proteo. [...] Uma boa segurana em camadas abrange controles fsicos,
lgicos e manuais, e considera o equilbrio entre medidas de preveno,
deteco e recuperao de possveis impactos. (BEAL, 2003, p. 168)

Smola (2003) classifica a gesto da segurana da informao dividindo-a em

trs aspectos: tecnolgicos, fsicos e humanos. Para o autor as organizaes
preocupam-se principalmente com os aspectos tecnolgicos (redes, computadores,
vrus, hackers, Internet) e se esquecem dos outros fsicos e humanos to
importantes e relevantes para a segurana do negcio quanto os aspectos
tecnolgicos.

33

VULNERABILIDADES

a
rid

de

dis
po
nib
i

lid
ad
e

AD
A

gica
s

ICA

eg
int

FS

PROCESSOS

Tec
nol

NEGCIO

Fsica

CA
M

DA
MA
CA

L
GI
C

AMEAAS

INFORMAO
confidencialidade

ATIVOS

s
Humana

CAMADA HUMANA

Figura 2: escopo da soluo de segurana da informao em camadas.

Fonte: adaptado de Smola (2005).

2.4.1 CAMADA FSICA

A camada fsica representa o ambiente em que se encontram os
computadores e seus perifricos, bem como a rede de telecomunicao
com seus modems, cabos e a memria fsica, armazenada em disquetes,
fitas ou CDs. (ADACHI, 2004).
A segurana fsica relaciona-se diretamente com os aspectos associados ao
acesso fsico a recursos de informaes, tais como disponibilidade fsica ou
o prprio acesso fsico, sejam esses recursos as prprias informaes, seus
meios de suporte e armazenamento ou os mecanismos de controle de
acesso s informaes. Alm disso, est tambm relacionada com as
tcnicas de preservao e recuperao das informaes e seus meios de
suporte e armazenamento. (CARUSO e STEFFEN, 1999)

No caso de informaes, o acesso fsico est representado pelo acesso ao

meio de registro ou suporte que abriga as informaes. No caso de informaes
registradas em papel, no h como separar o acesso fsico do lgico.
O acesso fsico est muito menos sujeito a riscos do que o acesso lgico,
entretanto, o controle pode ser mais difcil, j que depende muito mais de
interveno humana.
Normalmente, os riscos relacionados com o acesso fsico afetam os meios de
registro e suporte das informaes, ao passo que os riscos relacionados com o
acesso lgico afetam o contedo.

34

Os controles importantes de segurana desta camada, so:

Prevenir acesso fsico no-autorizado s instalaes;

Proteo de acesso sala dos servidores, somente para pessoal autorizado;

Controle de acesso a visitantes;

Preveno contra incndio;

Proteo e controle de acesso fsico aos servidores;

Preveno contra quedas de energia.

2.4.2 CAMADA LGICA

A camada lgica composta por programas e aplicativos softwares.

Segundo Adachi (2004), nessa camada que esto as regras, normas, protocolo
de comunicao e onde efetivamente, ocorrem as transaes e consultas.
A segurana de acesso lgico refere-se ao acesso que indivduos tm a
aplicaes residentes em ambientes informatizados, no importando o tipo de
aplicao ou o tamanho do computador. As ferramentas de controle so, em sua
maior parte, invisveis aos olhos de pessoas externas aos ambientes de
informtica; estas s os reconhecem quando tm o seu acesso barrado pelo controle
de acesso.
O mecanismo bsico de controle de acesso lgico era inicialmente baseado
em senhas. Entretanto, as senhas so um mecanismo muito frgil e, atualmente,
seu papel resume-se mais em autenticar a identidade de usurios que esto
tentando acessar determinado ambiente protegido. O acesso propriamente dito
controlado por mecanismos de listas de acesso, que descrevem quais usurios
podem acessar quais recursos e, dentro de cada recurso que o mesmo tenha direito
de acessar, qual o nvel de acesso concedido. O controle de acesso lgico est
relacionado com as atividades de controle e auditoria normalmente existentes dentro
das maiores organizaes.

35

O termo acesso lgico, comumente usado em informtica, de forma precisa

o acesso ao ambiente de informaes. Est relacionado com o acesso
ao contedo informacional. Faz mais sentido para acesso a ambientes
informatizados, que so colocados disposio de pessoas para que
executem as tarefas para as quais foram contratadas. Ele abrange aspectos
como o acesso de pessoas a terminais e outros equipamentos de
computao e manuseio de listagem (parcialmente uma questo de acesso
fsico), funes autorizadas dentro do ambiente informatizado, a exemplo de
transaes que possam efetuar, arquivos aos quais tenham acesso,
programas que possam executar, etc. Parte do acesso lgico se confunde
com o acesso fsico, sendo impossvel separar onde comea um e onde
termina o outro, a exemplo do acesso a equipamentos ou papis. (CARUSO
e STEFFEN, 1999)

A pequena e mdia empresa tm seus dados armazenados geralmente em

servidores de rede ou em estaes compartilhadas, onde nem sempre o acesso
fsico restrito. Na maioria das vezes, esse mesmo servidor ou estao possui
acesso liberado e ilimitado a Internet, o que aumenta o risco de um incidente de
segurana. Como as pequenas empresas possuem menos recursos financeiros e
humanos do que grandes empresas, o controle de acesso a esses recursos
negligenciado: as senhas de acesso so compartilhadas entre todos os
empregados, no existe classificao de informao e nem termo de utilizao de
recursos de TI. Na mdia empresa, o cenrio menos problemtico, porm no o
ideal, principalmente devido conscientizao dos funcionrios sobre segurana da
informao.
O que antes era realizado por pessoas, foi migrado para as mquinas
(hardwares), que pensam conforme foram programadas (softwares),
portanto, a camada lgica est sempre sendo ameaada e um dos pontos
focais para ataques. Os ataques, distncia, ocorrem na camada lgica,
por meio de vrus, cavalos-de-tria e e-mails maliciosos. (ADACHI, 2004)

Nesta camada, conforme o guia desenvolvido pela Interpol sobre segurana e

mtodos de preveno de crimes de TI (INTERPOL, 2000) apud ADACHI (2004),
podem ser implantadas as seguintes medidas de precaues no servidor:

Registro (log) de quem, quando, o que e onde foi realizado um evento (este
dado o material mais importante em uma investigao);

Backup dos dados e redundncia dos sistemas e aplicativos;

Firewall para filtrar as informaes que entram e saem;

Sistema para detectar intruso nos sistemas e programas.

Do outro lado, as estaes se previne das seguintes formas:

36

Instalar e atualizar, constantemente, o sistema de firewall pessoal e de

antivrus;

Manter atualizado os aplicativos com as correes (patches) sugeridas pelos

fornecedores idneos de softwares;

No instalar no computador programas suspeitos.

2.4.3 CAMADA HUMANA

Das trs camadas, esta a mais difcil de se avaliarem os riscos e gerenciar a
segurana, pois envolve o fator humano, com caractersticas psicolgicas, scioculturais e emocionais, que variam de forma individual (SCHNEIER, 2001).
A gesto da segurana da informao envolve mais do que gerenciar os
recursos de tecnologia hardware e software envolve pessoas e processos,
porm algumas empresas negligenciam esse fator.
Muitas tarefas humanas, realizadas por pessoas, esto sendo, cada vez
mais, substitudas por mquinas, softwares e hardwares, isto ocorre por
interesse relacionado economia de custos, ganho em escala, necessidade
de gerenciamento e tambm para minimizar os riscos de erros ou falhas
humanas. Todavia, em todos os processos, sempre haver um recurso
humano, podendo ser desde o criador at o usurio final. (ADACHI, 2004)

Wadlow (2000) apud Adachi (2004) descreveu trs qualidades que podem
levar uma pessoa a atacar um sistema: habilidade, motivao e oportunidade. Os
funcionrios da empresa possuem duas das trs qualidades: habilidade e
oportunidade, basta ter uma motivao para ameaar, invadir, fraudar ou roubar,
quebrando a segurana da empresa. Desta forma, o processo e as condies de
contratao de recursos humanos, internos ou externos, devem ser rigorosos,
seguindo a poltica de segurana elaborada pela empresa. Uma poltica de
segurana clara, largamente disseminada e incutida em todos os recursos humanos,
importante para zelar pela segurana da empresa e de seus clientes. Alm disso,
importante que na poltica de segurana sejam discriminadas as penalidades,
conforme as infraes, e que elas sejam efetivamente executadas, conforme
julgamento de um conselho de anlise de incidentes.

37

2.5 NORMAS E PADRES DE SEGURANA

Normas e padres tm por objetivo definir regras, princpios e critrios,
registrar as melhores prticas e prover uniformidade e qualidade a processos,
produtos ou servios, tendo em vista sua eficincia e eficcia. (BEAL, 2005, p. 36).
Concomitantemente Smola (2003) diz que uma norma tem o propsito de definir
regras, padres e instrumentos de controle que dem uniformidade a um processo,
produto ou servio.
Os principais padres e normas seguidos atualmente pelas empresas so o
COBIT e a ISO 17799.

2.5.1 COBIT
O Control Objectives for Information and related Technology (COBIT) um
guia formulado como framework, dirigido para a gesto de TI. Segundo Rocha
(2003), esse tradicional conjunto de boas prticas para o gerenciamento de
processos traduz a realidade da governana em TI de uma organizao.
O COBIT prov boas prticas para o gerenciamento dos processos de TI
em uma estrutura lgica e gerencivel, encontrando as mltiplas
necessidades do gerenciamento empresarial, interligando os gaps entre os
riscos de negcio, assuntos tcnicos, necessidades de controle e requisitos
de medies de performance. O COBIT habilita o desenvolvimento de uma
poltica clara e de boas prticas para o controle de TI da organizao,
dentre eles possui amplas recomendaes de segurana da informao. O
COBIT bastante usado no Brasil pela comunidade de auditoria, em
especial no segmento bancrio. (NERY e PARANHOS, 2003)

2.5.2 ABNT NBR ISO/IEC 17799:2005

A fim de implementar e normalizar a atuao das empresas na gesto da
segurana da informao, em 1989, o Commercial Computer Security Center, rgo
ligado ao departamento de indstria e comrcio do Reino Unido, publicou a primeira
verso do Cdigo para Gerenciamento de Segurana da Informao - PD0003. Seis
anos depois, este cdigo foi revisado e publicado como uma British Standard,
denominado BS 7799, que apresentava as melhores prticas em controles de
segurana para auxiliar as organizaes comerciais e de governo na implantao e
crescimento da segurana da informao. (OLIVA e OLIVEIRA, 2003).

38

Devido ao interesse internacional em uma norma de segurana da

informao, a BS 7799-1:1999 foi submetida a International Organization for
Standardization (ISO), organizao internacional que aglomera os grmios de
padronizao/normalizao de 148 pases. Em dezembro de 2000 a parte 1 BS
7799-1:1999 foi publicada como norma internacional ISO 17799:2000. Em 2001, a
Associao Brasileira de Normas Tcnicas - ABNT, publicou a verso brasileira da
ISO 17799:2000 que ficou com a denominao de NBR/ISO 17799 Cdigo de
Prtica para a Gesto da Segurana da Informao. Em setembro de 2005, a norma
foi revisada e publicada como NBR ISO/IEC 17799:2005. (ISO 17799, 2005).
A norma ISO/IEC 17799:2005 define 127 controles que compem o escopo
do Sistema de Gesto de Segurana da Informao (Information Security
Management System ISMS) agrupados em 11 sees de controles, conforme
descrito abaixo:
1. Poltica de Segurana da Informao: recomendaes para a formalizao
de uma poltica. Contendo: diretrizes, princpios e regras que iro prover
orientao e apoio para implantao e manuteno da segurana. Caruso e
Steffen (1999) afirmam que a correta implantao de uma poltica de
segurana pode ser resumida em trs aspectos: reduo da probabilidade de
ocorrncia, reduo dos danos provocados por eventuais ocorrncias, e
criao de procedimentos para se recuperar de eventuais danos;
2. Organizao da Segurana da Informao: recomendaes para o
estabelecimento de uma estrutura de gesto para planejar e controlar a
implementao da segurana da informao na organizao; (BEAL, 2005, p.
33)
3. Gesto de Ativos: recomendaes sobre a realizao de inventrio dos
ativos informacionais e atribuio de responsabilidades pela manuteno dos
controles necessrios para proteg-los;
4. Segurana em Recursos Humanos: recomendaes para reduzir os riscos
de erro humano, roubo, fraude ou uso indevido das instalaes;

39

5. Segurana Fsica e do Ambiente: recomendaes para a proteo dos

recursos e instalaes de processamento de informaes crticas ou
sensveis ao negcio contra acesso no autorizado, dano ou interferncia;
6. Gesto das Operaes e Comunicaes: recomendaes para garantir a
operao correta e segura dos recursos de processamento de informaes e
proteger a integridade de servios e informaes;
7. Controle de Acesso: recomendaes para a monitorao e o controle do
acesso a recursos computacionais, para proteg-los contra abusos internos e
ataques externos;
8. Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao:
recomendaes para o uso de controles de segurana em todas as etapas do
ciclo de vida foram que, com todos os esforos de TI, tudo seja
implementado e mantido com a segurana em mente, usando controles de
segurana em todas as etapas do processo;
9. Gesto de Incidentes da Segurana da Informao: recomendaes para
notificao de fragilidades e eventos de segurana da informao,
responsabilidades e procedimentos e coleta de evidncias.
10. Gesto da Continuidade do Negcio: recomendaes para preparar a
organizao para neutralizar as interrupes s atividades comerciais e
proteger os processos crticos em caso de ocorrncia de falha ou desastre;
11. Conformidade: recomendaes para a preservao da conformidade com
requisitos legais (tais como direitos autorais e direito privacidade), com
normas e diretrizes internas e com os requisitos tcnicos de segurana.
H uma seo introdutria na norma que trata da Anlise, Avaliao e
Tratamento de Riscos a fim de orientar na identificao, quantificao e priorizao
do gerenciamento do risco, bem com os critrios definidos para aceitar o risco ou
no (ISO 17799, 2005).
A adequao de qualquer empresa norma ISO/IEC 17799:2005 garante
conformidade com as melhores prticas em gesto da segurana da informao. As
normas so criadas para estabelecer diretrizes e princpios para melhorar a gesto
de segurana nas empresas e organizaes. (HOLANDA, 2006).

40

2.5.2.1 SEES E CONTROLES DA NORMA 17799:2005

A norma ABNT NBR ISO/IEC 17799 em sua verso 2005, encontra-se
estruturada nas seguintes sees e seus respectivos controles:
1. Poltica de Segurana da Informao
1.1. Poltica de Segurana da Informao
Objetivo: prover uma orientao e apoio da direo para a segurana da informao de acordo com
os requisitos do negcio e com as leis e regulamentaes relevantes.
1. documento aprovado pela direo, publicado e comunicado para todos os funcionrios e
terceiros;
2. deve ser analisada criticamente a intervalos planejados ou quando ocorrem mudanas
significativas.

2. Organizao da Segurana de Informao

2.1. Infra-estrutura da segurana da informao
Objetivo: gerenciar a segurana de informao dentro da organizao.
1. a direo deve apoiar ativamente a segurana da informao dentro da organizao;
2. as atividades de segurana devem ser coordenadas por representantes de diferentes partes
da organizao, com funes e papis relevantes;
3. todas as responsabilidades pela segurana da informao estejam claramente definidas;
4. definir e implementar um processo de gesto de autorizao para novos recursos de
processamento da informao;
5. definir acordos de confidencialidade e de no divulgao;
6. quando e quais autoridades devem ser contatadas no caso de incidentes de segurana da
informao;
7. contatos com grupos de interesse especiais ou outros fruns especializados e associaes
profissionais;
8. anlise crtica independente da segurana da informao (gerncia de outra rea ou
empresa terceira)
2.2. Partes Externas
Objetivo: manter a segurana dos recursos de processamento da informao e da informao da
organizao, que so acessados, processados, comunicados ou gerenciados por partes externas.
1. avaliar os riscos de processos de negcios com terceiros implementando controles
apropriados antes de se conceder o acesso;
2. consideraes sobre o acesso de clientes aos ativos da informao;
3. acordos com terceiros assegurando que no existe mal-entendido entre as partes e
possibilidade de indenizao.

3. Gesto de Ativos
3.1. Responsabilidade pelos ativos
Objetivo: alcanar e manter a proteo adequada dos ativos da organizao.
1. todos os ativos devem ser identificados, inventariados e documentada sua importncia;
2. todos os ativos de informao devem possuir um proprietrio;
3. definio de regras para uso da informao e dos recursos de processamento da
informao (Internet, e-mail, dispositivos mveis);
3.2. Classificao da informao
Objetivo: assegurar que a informao receba um nvel adequado de proteo.
1. classificao da informao em termos do seu valor, requisitos legais, sensibilidade e
criticidade para a organizao;
2. definio de um conjunto de procedimentos para rotulao e tratamento da informao,
tanto dos ativos da informao no formato fsico quanto no eletrnico.

41

4. Segurana em Recursos Humanos

4.1. Antes da contratao
Objetivo: assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades
e estejam de acordos com seus papis e reduzir o risco de roubos, fraudes ou mau uso de recursos.
1. papis e responsabilidades;
2. seleo;
3. termos e condies de contratao.
4.2 Durante a contratao
Objetivo: assegurar que os funcionrios, fornecedores e terceiros esto conscientes das ameaas e
preocupaes relativas segurana da informao, de suas responsabilidades e obrigaes, e
esto preparados para apoiar a poltica de segurana da informao da organizao durante os
seus trabalhos normais, e para reduzir o risco de erro humano.
1. responsabilidades da direo;
2. conscientizao, educao e treinamento em segurana da informao;
3. processo disciplinar.
4.3 Encerramento ou mudana da contratao
Objetivo: assegurar que os funcionrios, fornecedores e terceiros deixem a organizao ou mudem
de trabalho de forma ordenada.
1. encerramento de atividades;
2. devoluo de ativos;
3. retirada de direitos de acesso.

5. Segurana Fsica e do Ambiente

5.1 reas seguras
Objetivo: prevenir o acesso fsico no-autorizado, danos e interferncias com as instalaes e
informaes da organizao.
1. permetro de segurana fsica;
2. controles de entrada fsica;
3. segurana em escritrios, salas e instalaes;
4. proteo contra ameaas externas e do meio ambiente;
5. trabalhando em reas seguras;
6. acesso do pblico, reas de entrega e de carregamento.
5.2 Segurana de equipamentos
Objetivo: impedir perdas, danos, furto ou comprometimento de ativos e interrupo das atividades da
organizao.
1. instalao e proteo do equipamento;
2. utilidades (falha de energia eltrica);
3. segurana do cabeamento;
4. manuteno dos equipamentos;
5. segurana de equipamentos fora das dependncias da organizao;
6. reutilizao e alienao segura de equipamentos;
7. remoo de propriedade.

6. Gerenciamento das Operaes e Comunicaes

6.1. Procedimentos e responsabilidades operacionais
Objetivo: garantir a operao segura e correta dos recursos de processamento da informao.
1. documento formal com procedimentos operacionais para: backup, contatos de suporte,
recuperao em caso de falha do sistema etc.
2. existncia de ambiente separado para recursos de desenvolvimento, teste e produo em
sistemas
6.2. Gerenciamento de servios terceirizados

42

Objetivo: implementar e manter o nvel apropriado de segurana da informao e entrega de

servios em consonncia com acordos de entrega de servios terceirizados.
1. monitoramento dos servios terceirizados quanto entrega do servio, relatrios e possveis
mudanas
6.3. Planejamento e aceitao dos sistemas
Objetivo: minimizar o risco de falhas nos sistemas.
1. implantao de novos sistemas, atualizaes e novas verses somente aps serem
devidamente testados, considerando o impacto na segurana da organizao como um todo
6.4. Proteo contra cdigos maliciosos e cdigos mveis
Objetivo: proteger a integridade do software e da informao.
1. antivrus
2. proibio de uso de softwares no autorizados
6.5. Cpias de segurana
Objetivo: manter a integridade e disponibilidade da informao e dos recursos de processamento da
informao.
1. implantao de sistema de backup
6.6. Gerenciamento da segurana em redes
Objetivo: garantir a proteo das informaes em redes e a proteo da infra-estrutura de suporte.
1. firewalls
2. sistema de deteco de intrusos - IDS
6.7. Manuseio de mdias
Objetivo: prevenir contra divulgao no autorizada, modificao, remoo ou destruio aos ativos,
e interrupes das atividades do negcio.
1. manter as mdias e documentao de sistemas seguras em um ambiente protegido
2. existncia de cpia em outro local
3. descarte seguro da mdia removvel: incinerao ou triturao
4. identificao da classificao da mdia: confidencial, restrita etc
6.8. Troca de informaes
Objetivo: manter a segurana na troca de informaes e softwares internamente organizao e
com quaisquer entidades externas.
1. uso de criptografia na troca de informaes, principalmente entre empresas e mensagens
com anexos
2. conscientizao das pessoas sobre os risco de troca de informaes em locais no seguros:
corredores, bares, cafs, banheiros, celulares em local pblico etc.
3. compartilhamento adequado e seguro das informaes
6.9. Servios de comrcio eletrnico
Objetivo: garantir a segurana de servios de comrcio eletrnico e sua utilizao segura.
1. uso de criptografia de chave pblica
2. uso de assinaturas digitais
6.10. Monitoramento
Objetivo: detectar atividades no autorizadas de processamento da informao.
1. monitoramento, proteo e anlise crtica dos registros (logs) de auditoria com atividades
dos usurios, excees e outros eventos de segurana da informao para assegurar que
os usurios esto executando somente as atividades que foram explicitamente autorizadas,
melhorar a compreenso das ameaas encontradas no sistema e a maneira pela qual isto
pode acontecer
2. sincronizao dos relgios de todos os sistemas de acordo com uma hora oficial

7. Controle de Acesso
7.1. Requisitos de negcio para controle de acesso
Objetivo: controlar acesso informao
1. poltica de controle de acesso

43

7.2. Gerenciamento de acesso do usurio

Objetivo: assegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas de
informao
1. registro de usurio
2. gerenciamento de privilgios
3. gerenciamento de senha do usurio
4. anlise crtica dos direitos de acesso de usurio
7.3. Responsabilidade dos usurios
Objetivo: prevenir o acesso no autorizado dos usurios e evitar o comprometimento ou roubo da
informao e dos recursos de processamento da informao.
1. uso de senhas
2. equipamento de usurio sem monitorao
3. poltica de mesa limpa e tela limpa
7.4. Controle de acesso rede
Objetivo: prevenir acesso no autorizado aos servios da rede.
1. poltica de uso dos servios da rede
2. autenticao para conexo externa do usurio
3. identificao de equipamento em redes
4. proteo e configurao de portas de diagnstico remotas
5. segregao de redes
6. controle de conexo de rede
7. controle de roteamento de redes
7.5. Controle de acesso ao sistema operacional
Objetivo: prevenir acesso no autorizado aos sistemas operacionais
1. procedimentos seguros de entrada no sistema (log-on)
2. identificao e autenticao de usurio
3. sistema de gerenciamento de senha
4. uso de utilitrios de sistema
5. desconexo de terminal por inatividade
6. limitao de horrio de conexo
7.6. Controle de acesso aplicao e informao
Objetivo: prevenir acesso no autorizado informao contida nos sistemas de aplicao.
1. restrio de acesso informao
2. isolamento de sistemas sensveis
7.7. Computao mvel e trabalho remoto
Objetivo: garantir a segurana da informao quando se utilizam a computao mvel e recursos de
trabalho remoto.
1. computao e comunicao mvel
2. trabalho remoto

8. Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao

8.1. Requisitos de segurana de sistemas de informao
Objetivo: garantir que segurana parte integrante de sistemas de informao.
1. anlise e especificao dos requisitos de segurana
8.2. Processamento correto nas aplicaes
Objetivo: prevenir a ocorrncia de erros, perdas, modificao no autorizada ou mau uso de
informaes em aplicaes.
1. validao dos dados de entrada
2. controle de processamento interno
3. integridade de mensagens
4. validao de dados de sada
8.3. Controles criptogrficos
Objetivo: proteger a confidencialidade, a autenticidade ou a integridade das informaes por meios
criptogrficos.

44

1. poltica para o uso de controles criptogrficos

2. gerenciamento de chaves
8.4. Segurana dos arquivos do sistema
Objetivo: garantir a segurana de arquivos de sistema
1. controle de software operacional
2. proteo dos dados para teste de sistema
3. controle de acesso ao cdigo-fonte de programa
8.5. Segurana em processos de desenvolvimento e de suporte
Objetivo: manter a segurana de sistemas aplicativos e da informao.
1. procedimentos para controle de mudanas
2. anlise crtica tcnica das aplicaes aps mudanas no sistema operacional
3. restries sobre mudanas em pacotes de software
4. vazamento de informaes
5. desenvolvimento terceirizado de software
8.6. Gesto de vulnerabilidades tcnicas
Objetivo: reduzir riscos resultantes da explorao de vulnerabilidades tcnicas conhecidas.
1. controle de vulnerabilidades tcnicas

9. Gesto de Incidentes de Segurana da Informao

9.1. Notificao de fragilidades e eventos de segurana da informao
Objetivo: assegurar que um enfoque consistente e efetivo seja aplicado a gesto de incidentes da
segurana da informao.
1. notificao de eventos de segurana da informao
2. notificando fragilidades de segurana da informao
9.2. Gesto de incidentes de segurana da informao e melhorias
Objetivo: assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de
segurana da informao.
1. responsabilidades e procedimentos
2. aprendendo com os incidentes de segurana da informao
3. coleta de evidncias

10. Gesto da Continuidade do Negcio

10.1. Aspectos da gesto da continuidade do negcio, relativos segurana da informao
Objetivo: no permitir a interrupo das atividades do negcio e proteger os processos crticos
contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hbil se
for o caso.
1. incluindo segurana da informao no processo de gesto da continuidade de negcio
2. continuidade de negcios e anlise/avaliao de riscos
3. desenvolvimento e implementao de planos de continuidade relativos segurana da
informao
4. estrutura do plano de continuidade do negcio
5. testes, manuteno e reavaliao dos planos de continuidade do negcio

45

11. Conformidade
11.1. Conformidade com requisitos legais
Objetivo: evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes
contratuais e de quaisquer requisitos de segurana da informao.
1. identificao da legislao vigente
2. direitos de propriedade intelectual
3. proteo de registros organizacionais
4. proteo de dados e privacidade de informaes pessoais
5. preveno de mau uso de recursos de processamento da informao
6. regulamentao de controles de criptografia
11.2. Conformidade com normas e polticas de segurana da informao e conformidade
tcnica
Objetivo: garantir a conformidade dos sistemas com as polticas e normas organizacionais de
segurana da informao.
1. conformidade com as polticas e normas de segurana da informao
2. verificao da conformidade tcnica
11.3. Consideraes quanto auditoria de sistemas de informao
Objetivo: maximizar a eficcia e minimizar a interferncia no processo de auditoria dos sistemas de
informao.
1. controles de auditoria de sistemas de informao
2. proteo de ferramentas de auditoria de sistemas de informao

2.5.3 ISO/IEC 27001

A ISO/IEC 27001 a norma que trata de Sistemas de Gesto de Segurana
da Informao. Sua utilizao est diretamente relacionada ISO/IEC 17799:2005.
A nova famlia da srie ISO IEC 27000-27009 est relacionada com os
requisitos mandatrios da ISO/IEC 27001:2005, como, por exemplo, a
definio do escopo do Sistema de Gesto da Segurana da Informao, a
avaliao de riscos, a identificao de ativos e a eficcia dos controles
implementados. (HOLANDA, 2006).

Hoje, se uma empresa brasileira desejar obter a certificao em Gesto da

Segurana da Informao, deve se adequar s prticas determinadas na NBR/ISO
17799:2005 e ser auditada conforme os padres estabelecidos na NBR/ISO
27001:2006, uma reviso atualizada da BS 7799-2. De acordo com a empresa de
segurana Mdulo (2005), existem no mundo 194 empresas certificadas pela BS
7799-2, das quais 192 em pases como Reino Unido (82), Japo (21), Coria (9),
ndia (9), Alemanha (8), Finlndia (8). No Brasil existem duas empresas certificadas:
o SERASA-SP e a prpria Mdulo Security, sendo que a empresa Mdulo Security
encontra-se certificada pela NBR/ISO 27001:2006.
Fundamentando a escolha do tema gesto da segurana da informao em
pequenas e mdias empresas, Holanda (2006) corrobora afirmando que a maioria
das organizaes, independentemente do seu porte ou ramo de atuao, podem
fazer uso da norma ISO/IEC 27001:2006.

46

Ainda segundo Holanda (2006), o comit que trata da segurana da

informao na ISO aprovou a criao de uma famlia de normas sobre gesto da
segurana da informao, batizada pela srie 27000.
Ttulo
ISO IEC NWIP 27000
Information Security
Management Systems Fundamentals and
Vocabulary

Objetivo
Apresentar os principais conceitos
e modelos relacionados com
segurana da informao.

ISO IEC 27001:2005

Information Security
Management Systems
Requirements.

Esta norma aplicvel a qualquer

organizao, independente do seu
ramo de atuao, e define
requisitos para estabelecer,
implementar, operar, monitorar,
revisar, manter e melhorar um
Sistema de Gesto de Segurana
da Informao. A ISO IEC 27001
a norma usada para fins de
certificao e substitui a norma
Britnica BS 7799-2:2002.
Portanto, uma organizao que
deseje implantar um SGSI deve
adotar como base a ISO IEC
27001.
um guia prtico que estabelece
diretrizes e princpios gerais para
iniciar, implementar, manter e
melhorar a gesto de segurana da
informao em uma organizao.
Os objetivos de controle e os
controles definidos nesta norma
tm como finalidade atender aos
requisitos identificados na
anlise/avaliao de riscos.
Fornecer um guia prtico para
implementao de um Sistema de
Gesto da Segurana da
Informao, baseado na ISO IEC
27001.
Fornecer diretrizes com relao a
tcnicas e procedimentos de
medio para avaliar a eficcia dos
controles de segurana da
informao implementados, dos
processos de segurana da
informao e do Sistema de
Gesto da Segurana da
Informao.
Fornece diretrizes para o
gerenciamento de riscos de
segurana da informao.

ISO IEC 27002:2005

Information Technology
- Code of practice for
information Security
Management.

ISO IEC 1 st WD 27003

Information Security
Management SystemsImplementation
Guidance.
ISO IEC 2nd WD 27004
Information Security
ManagementMeasurements

ISO IEC 2nd CD 27005

Information Security
Management SystemsInformation Security
Risk Management.

Quadro 1: normas ISO srie 27000

Situao Atual
Encontra-se ainda nos primeiros
estgios de desenvolvimento,
denominado de NWIP-New Work
Item Proposal. A previso para
publicao como norma
internacional 2008-2009.
Norma aprovada e publicada pela
ISO em Genebra, em 15/10/2005 e
no Brasil pela ABNT em 2006.

Norma aprovada e publicada pela

ISO em Genebra, em 15/06/2005.
No Brasil, a ABNT publicou como
Norma Brasileira NBR ISO IEC
17799 no dia 24 de agosto de 2005.

Encontra-se em um estgio de
desenvolvimento, denominado de
WD-Working Draft. A previso para
publicao como norma
internacional 2008-2009.
Encontra-se em um estgio em que
vrios comentrios j foram
discutidos e incorporados ao
projeto. A previso para publicao
como norma internacional 20082009.

Encontra-se em um estgio mais

avanado, pois vem sendo
discutido h mais de dois anos. A
previso para publicao como
norma internacional em 2007.

47

2.6 DOMNIOS DA SEGURANA DA INFORMAO

Para facilitar o estudo e o entendimento dos diversos controles da norma ISO
17799, os autores Adachi e Diniz (2005), Smola (2003) e Beal (2005) propuseram
sua diviso em dez domnios. Os autores Adachi e Diniz ainda os classificou nas
trs camadas de segurana da informao. Os prximos quadros exibem essa
diviso, comparando-as com as sees apresentadas da norma ISO/IEC
17799:2005.
Adachi e Diniz

humana
humana

ISO/IEC 17799:2005
Sees
Poltica de segurana da informao
Gesto de Ativos
Controle de acesso
Gesto das operaes e
comunicaes
Segurana fsica e do ambiente
Aquisio, desenvolvimento e
manuteno de sistemas de
informao
Organizando a segurana da
informao
Conformidade

humana

humana

Gesto da continuidade do negcio

humana

Segurana em recursos humanos

Gesto de incidentes de segurana
da informao

humana

Domnio

Camada

Arquitetura e modelos de segurana

fsica

Sistemas de controle de acesso

Segurana em telecomunicao e
redes
Segurana fsica

fsica

Desenvolvimento de sistemas e
aplicativos
Criptografia
Prticas de gerenciamento de
segurana
Segurana de Operao
Legislao, investigao e tica
Plano de continuidade do negcio e
plano de recuperao em caso de
desastre

fsica
fsica
lgica
lgica
humana

Camada
humana
fsica
fsica
fsica
lgica
humana

fsica

Quadro 2: comparao entre o modelo de Adachi e Diniz e a norma ISO 17799

Smola e Beal
Domnio
Poltica de segurana
Segurana organizacional
Classificao e controle dos ativos da
Informao
Segurana em pessoas
Segurana fsica e do ambiente
Gesto das operaes e comunicaes
Controle de Acesso
Manuteno e desenvolvimento de sistemas
Gesto da continuidade do negcio
Conformidade

ISO/IEC 17799:2005
Sees
Poltica de segurana da informao
Organizando a segurana da
informao

Camada
humana
humana

Gesto de Ativos

humana

Segurana em recursos humanos

Segurana fsica e do ambiente
Gesto das operaes e
comunicaes
Controle de acesso
Aquisio, desenvolvimento e
manuteno de Sistemas de
Informao
Gesto da continuidade do negcio
Conformidade
Gesto de incidentes de segurana
da informao

humana
fsica

Quadro 3: comparao entre os domnios de Smola e Beal e a norma ISO 17799

fsica
fsica
lgica
humana
humana
fsica

48

Neste trabalho foram utilizadas as sees da norma ISO 17799 divididas nas
trs camadas conforme abaixo:
Camada
Fsica

Seo
Gesto das operaes e
comunicaes
Segurana fsica e do ambiente

Controle de acesso

Gesto de incidentes de
segurana da informao
Lgica

Aquisio, desenvolvimento e
manuteno de Sistemas de
Informao

Humana

Organizando a segurana da
informao

Gesto de Ativos

Segurana em recursos humanos

Gesto da continuidade do
negcio

Conformidade

Poltica de segurana da
informao

Objetivos
garantir a operao segura e correta dos recursos de
processamento da informao.
prevenir o acesso fsico no-autorizado, danos e
interferncias com as instalaes e informaes da
organizao; impedir perdas, danos, furto ou
comprometimento de ativos e interrupo das
atividades da organizao.
controlar acesso informao; assegurar acesso de
usurio autorizado e prevenir acesso no autorizado
a sistemas de informao; prevenir o acesso no
autorizado dos usurios e evitar o comprometimento
ou roubo da informao e dos recursos de
processamento da informao; prevenir acesso no
autorizado aos servios da rede.
assegurar que um enfoque consistente e efetivo seja
aplicado gesto de incidentes da segurana da
informao.
garantir que segurana parte integrante de sistemas
de informao; prevenir a ocorrncia de erros,
perdas, modificao no autorizada ou mau uso de
informaes em aplicaes; proteger a
confidencialidade, a autenticidade ou a integridade
das informaes por meios criptogrficos;
garantir a segurana de arquivos de sistema; manter
a segurana de sistemas aplicativos e da informao.
reduzir riscos resultantes da explorao de
vulnerabilidades tcnicas conhecidas.
gerenciar a segurana de informao dentro da
organizao; manter a segurana dos recursos de
processamento da informao e da informao da
organizao, que so acessados, processados,
comunicados ou gerenciados por partes externas.
alcanar e manter a proteo adequada dos ativos da
organizao; assegurar que a informao receba um
nvel adequado de proteo.
assegurar que os funcionrios, fornecedores e
terceiros entendam suas responsabilidades e estejam
de acordo com seus papis e reduzir o risco de
roubos, fraudes ou mau uso de recursos.
no permitir a interrupo das atividades do negcio
e proteger os processos crticos contra efeitos de
falhas ou desastres significativos e assegurar a sua
retomada em tempo hbil se for o caso.
evitar violao de qualquer lei criminal ou civil,
estatutos, regulamentaes ou obrigaes contratuais
e de quaisquer requisitos de segurana da
informao.
prover uma orientao e apoio da direo para a
segurana da informao de acordo com os
requisitos do negcio e com as leis e
regulamentaes relevantes.

Quadro 4: sees da norma ISO 17799 por camadas

49

Muitas sees da norma ISO/IEC 17799:2005 possuem caractersticas das

trs camadas de segurana da informao (fsica, lgica e humana). Houve um
esforo neste trabalho no sentido de classificar a seo pela camada que apresenta
a maioria dos controles de uma delas.
Apesar da norma ISO/IEC 17799:2005 tratar em seu escopo de 127
controles, nem todos podem ser implementados devido complexidade e custo de
implantao, para tanto, conforme recomendao da prpria norma "a relevncia de
qualquer controle deve ser determinada segundo os riscos especficos a que uma
organizao est exposta." (ISO 17799, 2005).
Segundo recomendaes da norma os controles considerados essenciais
para uma organizao so:
a) proteo de dados e privacidade de informaes pessoais;
b) proteo de registros organizacionais;
c) direitos de propriedade intelectual.
Outros controles considerados prticas para a segurana da informao
incluem:
a) documento da poltica de segurana da informao;
b) atribuio de responsabilidades para a segurana da informao;
c) conscientizao, educao e treinamento em segurana da informao;
d) processamento correto nas aplicaes;
e) gesto de vulnerabilidades tcnicas;
f) gesto da continuidade do negcio;
g) gesto de incidentes de segurana da informao e melhorias.

50

2.7 CONCEPES ERRNEAS ACERCA DA SEGURANA

Segundo Caruso e Steffen (1999), existem algumas concepes errneas

sobre segurana que foram criadas com o tempo dentro das empresas e que
merecem esclarecimento:

Uma vez implantada a segurana, as informaes esto seguras: a

segurana nunca ser um produto acabado, pois reflete o atual ambiente de
informaes das organizaes modernas, altamente dinmico.

A implantao da segurana um processo simples: a implantao da

segurana deve ser um processo gradual; o maior esforo recai sobre os
usurios dos sistemas de informao, pois neles que reside o conhecimento
do que importante para ser protegido.

A segurana um assunto de exclusiva responsabilidade da rea de

segurana: o proprietrio das informaes que deve avaliar o que deve ou
no ser protegido; dessa forma, a segurana tambm passa a ser assunto de
sua responsabilidade.

A estrutura de segurana relativamente esttica: da mesma maneira que

outras estruturas na empresa sofrem mudanas, a estrutura de segurana
deve ser dinmica o suficiente para acompanhar tais mudanas.
Smola (2003) contribui com a viso de Caruso e Steffen (1999) afirmando

que muitos erros so praticados na gesto da segurana da informao pela viso

mope e a percepo distorcida do problema, pois muitos gestores enxergam
somente

os

problemas

associados

tecnologia

como:

Internet,

redes,

computadores, e-mail, vrus e hacker. Em funo desse entendimento parcial, o

autor lista uma srie de concepes errneas acerca da gesto da segurana da
informao:

Atribuir exclusivamente rea tecnolgica a segurana da informao;

Posicionar hierarquicamente essa equipe abaixo da diretoria de TI;

Definir investimentos subestimados e limitados abrangncia dessa diretoria;

Elaborar planos de ao orientados reatividade;

51

No perceber a interferncia direta da segurana com o negcio;

Tratar as atividades como despesa e no como investimento;

Adotar ferramentas pontuais como medida paliativa;

Satisfazer-se com a sensao de segurana provocada por aes isoladas;

No cultivar corporativamente a mentalidade de segurana;

Tratar a segurana como um projeto e no como um processo.

2.8 TECNOLOGIA DA INFORMAO EM PEQUENAS E MDIAS EMPRESAS

Devido ao fato da maioria das informaes de negcio das organizaes
modernas estarem armazenadas em microcomputadores e haver vasta utilizao
dos recursos de TI para sustentar o negcio, v-se como importante e fundamental
estudar as empresas que adotam esses recursos e sua dependncia a eles, de
forma que, quanto mais dependente de um recurso de TI, maior deve ser sua
preocupao com a gesto da segurana da informao. Em particular, as pequenas
e mdias empresas, por possurem menores recursos financeiros e humanos
comparados as grandes organizaes, um processo de tomada de deciso
geralmente centralizado em uma ou duas pessoas e a falta ou quase inexistncia de
burocracia.
A TI tem transformado muitas organizaes nas ltimas dcadas, mas
somente aps o advento do microcomputador na dcada de 80, que o impacto
comeou a atingir as pequenas e mdias empresas no mundo. Com a abertura
comercial da Internet, as possibilidades de uso da TI por pequenas e mdias
empresas se multiplicaro, pois custos de equipamentos, servios e produtos
entraram em queda constante, alm do aumento da oferta de solues.
No h mais dvidas de que para as funes da administrao
planejamento, organizao, liderana e controle so de suma importncia os
sistemas que fornecem informaes aos administradores (Prates e Ospina, 2004, p.
10). A qualidade e preciso dessas informaes so decisivas para transformar os
objetivos tranados em planos concretos, seja em qualquer tipo ou tamanho de
organizao.

52

A pequena e a mdia empresa que durante o perodo inicial de

desenvolvimento da TI foram classificadas por fornecedores como pblico-alvo
secundrio, ganham espao nas discusses de planejamento de mercado dessas
empresas, sejam grandes ou pequenos fornecedores. Devido principalmente
estagnao do mercado das grandes empresas, que em sua grande maioria,
possuem as mais diversas ferramentas de TI e recursos humanos qualificados para
oper-los.
Independente do tamanho da empresa, a TI pode auxiliar nos processos
operacionais, bem como na tomada de deciso: coletando, analisando e fornecendo
informaes para o andamento do negcio. Porm na pequena e mdia empresa, os
recursos disponveis so mais escassos que na grande empresa, o que as limita a
investirem em tecnologias maduras e amplamente divulgadas no mercado, de
maneira a aliviar os riscos.
Nos pases de primeiro mundo, a TI tem sido considerada como um dos
fatores responsveis pelo sucesso das organizaes, tanto no mbito de
sobrevivncia, quanto no aumento da competitividade. (YOUG apud Prates e
Ospina, 2004). Para Lunardi e Dolci (2006) citando Leite em muitos casos a TI
vista como um mal necessrio: concorda-se em t-la, mas busca-se minimizar cada
vez mais o transtorno de aumentar o seu total de recursos investidos.
Prates e Ospina (2004) argumentam que os administradores investem em
novas ferramentas de TI, porque acreditam no aumento da velocidade de suas
operaes e na diminuio do custo associado, e o fazem para atingir objetivos
estratgicos e para planejar e alcanar um ou mais dos trs objetivos operacionais
independentes:

Aumentar a continuidade - integrao funcional, automao intensificada,

resposta rpida;

Melhorar o controle preciso, acuidade, previsibilidade, consistncia,

certeza;

Proporcionar maior compreenso das funes produtivas visibilidade,

anlise, sntese.

53

No Brasil, segundo Prates e Ospina (2004), as pequenas empresas possuem

informatizao apenas em processos operacionais isolados e no se extraem
informaes relevantes para a tomada de deciso, nem do ambiente interno e muito
menos do ambiente externo da empresa. Assim, um sistema de informao voltado
para a pequena empresa (e mdia) deve respeitar alguns quesitos: custo, tempo e
qualidade.

2.9 FATORES INFLUENCIADORES PARA ADOO DE TI EM PEQUENAS E

MDIAS EMPRESAS
Pouca literatura foi encontrada sobre a adoo da gesto da segurana da
informao em organizaes de qualquer porte. Porm, devido ao fato de a maioria
das pessoas entender segurana da informao como simplesmente segurana de
rede ou segurana em TI, e a confuso gerada a partir disso, buscou-se entender os
motivos para a adoo de TI como forma de entendimento para a adoo da gesto
da

segurana

da

informao.

Seguem

os

autores

pesquisados

suas

consideraes:
Thong (apud Prates e Ospina, 2004) salienta que as pequenas empresas no
conhecem a importncia de fatores-chave em TI, alm de disporem de recursos
reduzidos, e podem estar gastando recursos e energia em fatores de pouca
importncia para o sucesso da implementao da TI. O autor, em pesquisa realizada
com 114 pequenas empresas de Singapura, concluiu que as pequenas empresas
com sucesso em TI tendiam a ter alta participao de especialistas externos,
investimento adequado, alto conhecimento dos usurios, alto grau de envolvimento
do usurio e alto suporte do gerente geral. Porm a chave principal do sucesso de
implantao da TI seria a alta participao do especialista externo.
Palvia e Palvia (1999) conduziram uma pesquisa em uma amostra de 1460
pequenas empresas para verificar os padres de satisfao com TI - onde o
proprietrio era tambm gerente, principal usurio, alm de desempenhar as
principais atividades de TI. Os autores concluram que as caractersticas do
proprietrio tm impacto maior na satisfao em TI do que qualquer outro fator; para
tanto foram considerados gnero, idade do proprietrio, raa e habilidade em
computao.

54

Outra pesquisa foi conduzida por Anandajaran, Igbaria e Anakwe (apud

Prates e Ospina, 2004) com dados coletados de 143 usurios na Nigria, a fim de
determinar os fatores que motivam os usurios a aceitar a TI. Os resultados
apontaram que a presso social um importante fator.
Em pesquisa realizada com 25 pequenas empresas da macro-regio de
Ribeiro Preto SP, Prates e Ospina (2004), identificaram que os principais motivos
que levaram as empresas a implantar TI foram:

melhoria dos controles organizacionais;

aumento de participao no mercado;

aumento de produtividade;

reduo de custos.
Em relao s dificuldades encontradas, a resistncia pelos funcionrios foi a

mais expressiva com mdia 3,2 (numa escala de pontos de 1 a 5), seguida pela
cultura tradicional e ausncia de pessoal qualificado. O fator: falhas de segurana
recebeu mdia 1,6 ficando em 13 de um total de 16 fatores pesquisados. Como a
maioria das empresas pesquisadas (72,2%) esto no estgio 1 (iniciao) ou 2
(contgio) da escala de Nolan apresentada no quadro 5. Conclui-se que essas
possuem pouca ou nenhuma dependncia da TI em seus processos de negcios,
assim a perda, fraude ou furto de tais sistemas ou informaes pode no ser
considerados importantes.
Os autores ainda pesquisaram os fatores de xito para utilizao de TI
chegando aos seguintes resultados, em ordem de importncia:

percepo da necessidade pelos usurios;

apoio da cpula executiva;

treinamento adequado;

aceitao por toda a organizao;

dedicao da equipe de implementao;

responsabilidade do gerente de operaes e

55

superao de barreiras scio-culturais.

Cragg e King (1993) pesquisaram os fatores motivadores e inibidores para

utilizao de computadores em pequenas empresas. Como fatores motivadores

encontraram o que nomearam como relative advantage que se refere:

s economias de tempo e esforo;

benefcios econmicos e

diminuio de muitas tarefas repetidas.

Estgio I

Iniciao

Estgio II

Contgio

Estgio III

Controle

Estgio IV

Integrao

Estgio V

Administrao
de Dados

Estgio VI

Maturidade

Neste estgio os usurios esto assustados e surpreendidos com a

tecnologia, no existe planejamento nem controle de tecnologia ou
processamento de dados suficientes.
Durante este estgio existe um encorajamento por parte da
organizao para aplicao extensiva de tecnologia, porm problemas
so criados pela inexperincia dos programadores, que trabalham
sem os benefcios de um efetivo sistema de controle gerencial.
caracterizada pela reestruturao e profissionalizao da atividade
de processamento de dados, melhorando sua reputao na
organizao.
Este estgio atingido quando as mudanas iniciadas no estagio
anterior so realizadas por completo e os usurios que j tinham
desistido comeam a ganhar algo novo, como tecnologia de banco de
dados e terminais interativos.
Os usurios comeam a ter uma postura mais participativa. O enfoque
deste estgio est no compartilhamento de bases de dados nicas
pelos sistemas de informaes.
A carteira de aplicaes completada e sua estrutura espelha a
organizao e seus fluxos de informaes.

Quadro 5: estgios de crescimento de TI, segundo Nolan

Fonte: Albertin (2004).

O entusiasmo de alguns proprietrios com a tecnologia e a forte influncia de

consultores de TI tambm foram fatores considerados como motivadores da adoo.
Os fatores que desencorajaram o crescimento de TI foram agrupados em:
educacionais, tempo administrativo, econmicos e tcnicos. Os fatores educacionais
so relativos falta de conhecimento sobre os sistemas utilizados, bem como falta
de pessoas com conhecimentos especficos de anlise de sistemas, design e
desenvolvimento. Referente ao fator tempo administrativo, muitos sistemas que so
freqentemente adquiridos para economizar tempo, bem como reduzir custos,
acabam consumindo considervel quantia de tempo dos gerentes no processo de
implantao. Os fatores econmicos referem-se situao econmica da empresa
no momento e anlise informal de custo-benefcio dos sistemas. Com pouco

56

conhecimento tcnico interno, pequenas empresas so muito confiantes no conselho

e apoio que obtm de seus fornecedores de TI, o que as limita muitas vezes ao uso
de pacotes de aplicativos, aceitao de limitaes no software e a sua adaptao
aos requerimentos do sistema.
Lunardi e Dolci (2006) realizaram uma pesquisa com 123 micros e pequenas
empresas (MPEs) do Rio Grande do Sul a fim de analisar o relacionamento existente
entre a adoo de TI e o seu impacto no desempenho organizacional percebido
destas empresas. Os principais motivos que tm levado as MPEs a adotarem TI
esto relacionadas s:

presses externas (os concorrentes diretos tm adotado ou por influncia de

clientes, fornecedores ou do prprio governo) que a empresa enfrenta e

existncia de um ambiente organizacional favorvel (funcionrios em

condies de utiliz-la e com uma estrutura organizacional adequada).
Relacionado gesto da segurana da informao, Gupta e Hammond

(2004), realizaram uma pesquisa com 138 pequenas e mdias empresas nos
Estados Unidos que apontou como maior preocupao, considerando as vrias
fontes de ameaas segurana, os vrus, seguido por: falha de energia, problemas
em softwares, integridade dos dados, integridade das transaes e segredo dos
dados. Somente 19% dos pesquisados alegaram um incidente de segurana nos
ltimos 12 meses, isto pode explicar a baixa porcentagem de pequenas empresas
que desenvolve uma poltica de segurana e adquire proteo bsica e software de
backup.
Gabbay (2003), em sua dissertao de mestrado, estudou os fatores que
influenciam os Executivos e Gerentes de TI das empresas com maior contribuio
de ICMS no Rio Grande do Norte nas suas percepes em relao s diretrizes de
Segurana da Informao na norma NBR ISO/IEC 17799 dimenso controle de
acesso. Em sua concluso evidenciou a associao entre as variveis tamanho do
parque de informtica e a freqncia dos ataques sofridos com a varivel Nvel de
concordncia em relao norma NBR ISO/IEC 17799 dimenso controle de
acesso.

57

3 METODOLOGIA
3.1 TIPO DE PESQUISA
Essa pesquisa utilizou o mtodo exploratrio-descritivo. De acordo com Gil
(2002, p. 42) as pesquisas descritivas tm como objetivo primordial a descrio das
caractersticas

de

determinada

populao

ou

fenmeno

ou,

ento,

estabelecimento de relaes entre variveis. Ainda segundo o autor, as pesquisas

descritivas tm por objetivo levantar as opinies, atitudes e crenas de uma
populao. Para tanto, foi realizada pesquisa bibliogrfica de forma a aprofundar os
conceitos sobre o tema e posteriormente o levantamento dos dados em campo,
atravs da coleta de resposta aos questionrios enviados s empresas selecionadas
numa base de dados, fornecida pelo Centro das Indstrias do Estado de So Paulo
(CIESP).
Gil (2002) considera que o levantamento o procedimento tcnico mais
adequado a ser utilizado em pesquisas descritivas, visto que procede-se
solicitao de informaes a um grupo significativo de pessoas acerca do problema
estudado para, em seguida, mediante anlise quantitativa, obterem-se as
concluses correspondentes aos dados coletados. Para Appolinrio (2006), o
levantamento tem por finalidade investigar as caractersticas de determinada
realidade ou mesmo descobrir as variveis componentes dessa realidade. Gil
(2002) acrescenta que os levantamentos trazem as seguintes vantagens:
conhecimento direto da realidade (evita subjetivismo dos pesquisadores), economia
e rapidez (dados obtidos por questionrios tm custos relativamente baixos),
quantificao (possibilidade de anlise estatstica, com o uso de correlaes e
outros procedimentos).

3.2 AMOSTRA E SUJEITOS DA PESQUISA

A populao foi constituda por 1348 indstrias situadas na regio do Grande
ABC listadas em cadastro do CIESP. Devido dificuldade de contato com todas as
empresas, foi selecionada uma amostra no probabilstica por convenincia, do
setor mais expressivo do cadastro.

58

O cdigo CNAE que concentrou o maior nmero de empresas foi o cdigo 28

fabricao de produtos de metal, exclusive mquinas e equipamentos com 256
empresas cadastradas, sendo 225 classificadas como empresas de pequeno porte e
31 empresas classificadas como mdio porte pelo prprio cadastro.
Os sujeitos da pesquisa foram os gestores (gerentes ou proprietrios) ou
analistas que possuem algum envolvimento no processo de aquisio ou em
investimentos em gesto da segurana da informao ou em TI.
Tabela 1: distribuio por atividade de pequenas e mdias empresas
CNAE Registros % Total
Descrio do CNAE
54
4,0% FABRICAAO DE PRODUTOS ALIMENTICIOS E BEBIDAS
15
27
2,0% FABRICAAO DE PRODUTOS TEXTEIS
17
24
1,8% CONFECAO DE ARTIGOS DO VESTUARIO E ACESSORIOS
18
4
0,3% PREPARAAO DE COUROS E FABRICAAO DE ARTEFATOS DE COURO, ARTIGOS DE VIAGEM E CALADOS
19
15
1,1% FABRICAAO DE PRODUTOS DE MADEIRA
20
31
2,3% FABRICAAO DE CELULOSE, PAPEL E PRODUTOS DE PAPEL
21
49
3,6% EDIAO, IMPRESSAO E REPRODUAO DE GRAVAOES
22
1
0,1% REFINO DE PETRLEO
23
140
10,4% FABRICAAO DE PRODUTOS QUIMICOS
24
204
15,1% FABRICAAO DE ARTIGOS DE BORRACHA E DE MATERIAL PLASTICO
25
58
4,3% METALURGIA BASICA
27
256
19,0% FABRICAAO DE PRODUTOS DE METAL - EXCLUSIVE MAQUINAS E EQUIPAMENTOS
28
178
13,2% FABRICAAO DE MAQUINAS E EQUIPAMENTOS
29
53
3,9% FABRICAAO DE MAQUINAS, APARELHOS E MATERIAIS ELTRICOS
31
15
1,1% FABRICAAO DE MATERIAL ELETRONICO E DE APARELHOS E EQUIPAMENTOS DE COMUNICAOES
32
33
34
35
36
37
45

24
79
4
103
3
26
1348

1,8%
5,9%
0,3%
7,6%
0,2%
1,9%
100,0%

FABRICAAO DE EQUIPAMENTOS DE INSTRUMENTAAO MDICO-HOSPITALARES, INSTRUMENTOS DE PRECISAO E

OPTICOS, EQUIPAMENTOS PARA AUTOMAAO INDUSTRIAL, CRONOMETROS E RELOGIOS
FABRICAAO E MONTAGEM DE VEICULOS AUTOMOTORES, REBOQUES E CARROCERIAS
FABRICAAO DE OUTROS EQUIPAMENTOS DE TRANSPORTE
FABRICAAO DE MOVEIS E INDUSTRIAS DIVERSAS
RECICLAGEM
CONSTRUAO

3.3 INSTRUMENTO DA PESQUISA

Foram realizadas entrevistas semi-estruturadas com gestores de modo a
levantar os principais motivos que os levam a investir em gesto da segurana da
informao, quais so os principais riscos percebidos e seu nvel de conhecimento
sobre o assunto. As questes foram agrupadas em: perfil do gestor, perfil da
empresa, valor das informaes, anlise de risco, ferramentas e tcnicas de defesa
e fatores (motivadores e inibidores). Aps a entrevista, foi confeccionado um
questionrio eletrnico utilizando informaes da literatura da rea e algumas das
respostas mais expressivas da entrevista.

59

3.3.1 ENTREVISTAS PARA CRIAO DO QUESTIONRIO

Para fornecer subsdios para criao do questionrio, foram realizadas
entrevistas semi-estruturadas com sete gestores de quatro organizaes diferentes.
As entrevistas foram realizadas no ms de setembro de 2006, foram gravadas e
tiveram durao aproximada de quarenta minutos. Em trs empresas, as entrevistas
foram realizadas com dois gestores simultaneamente, somente em uma das
empresas, a entrevista foi individual. Por serem semi-estruturadas, as entrevistas
permitiram o acompanhamento da resposta e quando necessrio, foram efetuadas
perguntas relacionadas, que no estavam includas no roteiro original. Isso ajudou,
segundo defendido por Hair, Jr. et al. (2005), na descoberta de informaes
adicionais.
A entrevista em profundidade, segundo Hair, Jr. et al. (2005), consiste em
uma discusso individual entre o entrevistador e o entrevistado, e permite uma
sondagem muito mais profunda dos temas a serem discutidos. Ainda segundo o
autor, as entrevistas pessoais so tradicionalmente usadas para obter informaes
qualitativas detalhadas, a partir de um nmero relativamente pequeno de indivduos.
Procurou-se nas entrevistas conhecer primeiramente o perfil do gestor
entrevistado, questionando-o sobre incidentes pessoais de segurana ocorridos
anteriormente e como ele se mantm informado sobre assuntos ligados a TI e
segurana da informao. Buscou-se levantar tambm o perfil da empresa e saber o
conhecimento do gestor sobre incidentes ocorridos com sua empresa. O valor da
informao e o risco inerente a ela tambm foi objeto de questionamento, de forma a
entender como as empresas tm lidado com esse tema. Por fim a entrevista
questionou-os sobre as ferramentas e tcnicas de defesa implantadas na empresa e
os motivos que contriburam ou contribuiriam para elevar os investimentos em
gesto da segurana da informao.

60

3.3.2 PRINCIPAIS RESULTADOS DAS ENTREVISTAS

Perfil do Gestor
Dos sete gestores entrevistados, somente dois alegaram incidentes pessoais
relacionados segurana da informao, causados principalmente por vrus.
Durante a entrevista, pde-se perceber a desconfiana de dois gestores em realizar
suas transaes pela Internet ou outro meio digital, preferindo o mtodo tradicional.
Todos os pesquisados disseram no se manter informados sobre notcias ou
informaes especficas relacionadas a TI ou gesto da segurana da informao.
Quando recebem alguma informao geralmente por amigos, especialistas da
rea ou em mdias de divulgao geral como jornais e telejornais.

Perfil da Empresa
Os entrevistados pertencem a organizaes de ramos distintos, sendo:

empresa 1 ramo de atividade: confeco de brindes, aproximadamente 60

funcionrios e 15 computadores em uso;

empresa 2 ramo de atividade: refrigerao industrial, aproximadamente 160

funcionrios e 102 computadores em uso;

empresa 3 ramo de atividade: liga de alumnio, aproximadamente 80

funcionrios e 40 computadores em uso;

empresa 4 ramo de atividade: mo-de-obra temporria e efetiva,

aproximadamente 20 funcionrios administrativos-diretos e 25 computadores
em uso.
Quando perguntados sobre incidentes de segurana da informao ocorridos

na empresa, somente um dos gestores no soube responder; todos os demais j

passaram por incidentes como furto de agendas com informaes do negcio, perda
de informaes causadas por vrus, indisponibilidade da informao por paradas no
esperadas na rede ou servidores. A maioria das medidas tomadas foi reativa, ou
seja, s ocorreram aps o incidente.

61

Valor da Informao
Na empresa 1 no existe maior preocupao com o valor das informaes,
isso pode ser explicado pelo perfil do gestor entrevistado, por sua pouca idade e por
ser filho do proprietrio. Porm responde pela rea de TI e pelos investimentos em
segurana da informao.
Na empresa 2 onde a entrevista foi conduzida com o diretor financeiro, esse
mostrou um maior zelo com a informao e sua preocupao com o lay-out da
empresa, que segundo o mesmo, representa uma ameaa segurana das
informaes por no possuir divisrias entre os departamentos, dizendo: ganha-se
em comunicao, mais perde-se em segurana. A empresa no possui qualquer
tipo de classificao das informaes implantada, a mesma dada pela percepo
da gerncia. Esse gestor em especial demonstrou uma grande preocupao com o
valor das informaes ao afirmar que sem ela a empresa efetivamente pra: hoje
existe uma necessidade da informao extrema, o ponto zero da empresa, ou seja,
sem a informao no fazemos nada. A empresa tem uma real necessidade dos
recursos de informao e de TI.
Os demais gestores mostraram sua preocupao principalmente com
informaes armazenadas em recursos de TI, quem sabe pelo fato de no
conhecerem efetivamente o modo de control-las.

Anlise de Risco
Sobre o risco de perda de informaes, os pesquisados evidenciaram vrias
preocupaes como segue:

empresa 1 - acredita que existe um risco de perda de informaes, mas que

essa informao fcil de ser recuperada pelos vrios documentos que
compem a venda ou oramento, como notas fiscais e pagamento de
comisso (feita por funcionrio ligado famlia confiana). Explicitou o
medo de acesso externo efetuado por hackers.

empresa 2 citou o uso do backup dirio como forma de minimizar o risco,

mas declarou seu medo com o pessoal interno, que com conhecimentos

62

necessrios, poderiam manusear a base de dados da empresa e copiar

informaes; disse no saber como controlar isso, e o que resta a confiana
em funcionrios e terceiros.

empresa 3 considera a maior ameaa segurana das informaes os

prprios funcionrios, pois possuem acesso aos dados e s informaes da
empresa. Com os funcionrios, corremos o risco; no tem como fazer de
forma diferente.

empresa 4 considera grande o risco de um incidente de segurana da

informao e principalmente o impacto desse risco. Um incidente num recurso
de TI mais problemtico do que em papel.

Ferramentas e Tcnicas de Defesas

Todas as empresas utilizam cpia de segurana (backup) e software antivrus
como medida de segurana, porm alguns gestores mostraram maior preocupao
com o backup dirio e a recuperao desta informao. Somente na empresa 2
foram citados o uso do firewall e campanhas de conscientizao dos funcionrios
para segurana da informao.
Perguntados sobre o possvel compartilhamento de senhas de acesso rede
pelos funcionrios, todos disseram acreditar que no acontece em suas empresas.
O gestor da empresa 2 disse que foi alertado por sua assessoria que na rea
de gesto da informao o mais importante do que se ter um bom prestador servio
ter um bom contrato de servio.
O gestor da empresa 3 possui processos internos para evitar a engenharia
social, como no fornecer informao por telefone, somente por escrito. Existe uma
poltica de informtica sobre o que se pode ou no fazer com os recursos de TI.
Na empresa 4, no possuem nenhum tipo de controle sobre o uso dos
recursos de TI, acreditam ser coisa de grandes empresas e levantaram a questo de
que ao alertar pode-se tambm motivar o funcionrio a fazer a ao.

63

Fatores (motivadores ou inibidores)

Em todas as empresas, a orientao de um especialista externo ou
fornecedor de TI foi motivadora para implantao de algum recurso para a gesto da
segurana da informao. A empresa 2 citou tambm as recomendaes de sua
auditoria.
O gestor da empresa 3 s investiria mais em segurana caso perdesse algo
que no esperava e acha importante verificar a relao custo/benefcio do
investimento, porm sem ser paranico. Avaliar a relevncia do risco, pois se fosse
depender do pessoal de TI estaria totalmente enclausurado. Alegou existir a
dificuldade de enxergar o benefcio desse investimento.
Na empresa 4, o fato de ocorrer um incidente no departamento financeiro
contribuiu para mudana dos processos internos, de forma a aumentar a segurana.
Perfil do Gestor
Perfil da Empresa
Valor da Informao e
Anlise de Risco
Ferramentas e Tcnicas
de Defesas
Fatores

No se mantm informados sobre a rea (falta de conhecimento).

Enfrentaram incidentes de segurana relacionados a: vrus, parada da
rede ou servidor, furto de informaes.
A maioria dos gestores alegaram preocupao com as informaes
armazenadas em TI;
Alguns gestores alegaram que o principal risco so os funcionrios.
Antivrus;
Backup;
Firewall.
Orientao de um especialista externo;
Importncia da relao custo/benefcio do investimento;
Incidentes anteriores.

Quadro 6: principais contribuies das entrevistas

3.3.3 QUESTIONRIO
O questionrio foi disponibilizado s empresas pesquisadas em um web site
da Internet dividido em quatro etapas. A primeira refere-se apresentao da
pesquisa e ao modo de contato com o pesquisador, de forma a imprimir maior
confiana para os pesquisados. Na segunda etapa, foram efetuadas perguntas
referentes ao perfil do gestor, perfil da empresa, nvel de utilizao de TI e das
ferramentas e tcnicas em segurana da informao. A terceira etapa questionou
sobre os fatores que, na percepo do gestor, contribuem para a adoo da gesto
da segurana da informao ou a inibem. quarta e ltima etapa coube um
agradecimento pelas respostas.

64

Grupo de
Variveis

O que se pretende investigar

Perfil do Gestor

Perfil da
Empresa

Qtde
Questes

Identificao do responsvel pelos

investimentos em TI e segurana da
informao
Identificao da empresa e do parque
de informtica, nvel de utilizao dos
recursos de TI

Importncia das ferramentas e

tcnicas de gesto da segurana da
informao, se a empresa a possui
Questiona sobre os fatores
motivadores ou inibidores para adoo
Fatores
da gesto da segurana da
informao
TOTAL DE QUESTES
Ferramentas e
Tcnicas

20

Exemplos de
Questes
e-mail, cargo,
departamento, deciso de
compra
nmero de funcionrios,
qtde de computadores,
responsabilidade pela rea
de TI
na sua empresa qual o grau
de importncia do uso do
firewall, antivrus etc.
recomendao de um
especialista externo ou
fornecedor da rea

36

Quadro 7: conjunto de variveis

Este trabalho selecionou 20 controles dos 127 presentes na norma ISO/IEC

17799:2005 para serem pesquisados junto s pequenas e mdias empresas. Dentre
as 11 sees presentes, foi selecionado pelo menos um controle de cada seo,
entretanto, em algumas sees mais de um controle se mostrou importante por sua
possvel aplicao nas empresas pesquisadas. As sees da norma onde foram
selecionados mais de um controle so: Gesto de Ativos (2); Segurana Fsica e do
Ambiente

(2);

Gesto

das

Operaes

Comunicaes

(4);

Aquisio,

Desenvolvimento e Manuteno de Sistemas de Informao (3); Conformidade (2).

A seleo dos controles baseou-se em pesquisas sobre segurana da
informao realizadas pela Mdulo Security no Brasil, pelo FBI nos Estados Unidos,
pelas recomendaes da norma ABNT NBR ISO/IEC 17799:2005, atravs de
entrevistas preliminares realizadas com os gestores, alm da experincia
profissional do pesquisador. Os controles selecionados, bem como a fonte de
pesquisa usada para cada um deles, encontra-se no anexo deste trabalho.

3.4 PROCEDIMENTOS PARA COLETA DE DADOS

Para a coleta de dados, o pesquisador realizou telefonemas diretamente ao
gestor (nome e funo disponibilizados no cadastro CIESP) explicando os motivos
da pesquisa e pedindo suas respostas ou da pessoa responsvel por aprovao de
investimentos em gesto da segurana da informao. Aps contato telefnico, foi

65

enviado e-mail reforando o pedido e indicando o endereo do web site

(www.professorvirtual.com.br/mestrado) em que o mesmo poderia responder ao
questionrio eletrnico.

3.5 PROCEDIMENTOS PARA ANLISE DOS RESULTADOS

Foram realizados procedimentos de estatstica descritiva para verificao de
significncia dos dados atravs de procedimentos de amostragem, coleta e
validao dos dados, utilizando o software Microsoft Excel e o software SPSS.
Buscou-se verificar a existncia de relao positiva entre a adoo da gesto
da segurana da informao e os seguintes fatores:

tamanho da empresa pequena ou mdia;

quantidade de computadores em uso;

existncia de um departamento interno de TI;

nvel de informatizao dos negcios da empresa.

66

4 ANLISE E DISCUSSO DOS RESULTADOS

A pesquisa foi realizada entre os meses de fevereiro e maro de 2007. Foram
contatadas por telefone as 256 empresas da amostra, sendo que destas:

165 aceitaram participar da pesquisa e foram encaminhadas informaes por

e-mail com o endereo eletrnico do questionrio;

21 empresas desistiram de participar aps receberem o e-mail e serem

contatadas pela segunda vez;

43 empresas responderam ao questionrio.

4.1 CARACTERIZAO DA AMOSTRA

Dentre as empresas que responderam ao questionrio, a amostra ficou
representada da seguinte forma:

Quanto ao cargo que ocupa na empresa:

Cargo
analista
16%
s cio -pro prietrio
42%

superviso r
12%

gerente
14%

direto r
16%

Grfico 2: cargo

67

Quanto ao departamento em que atua:

Departamento
engenharia
5%

co mercial (vendas)
7%

suprimento s
5%
tecno lo gia da info rmao
21%

finanas
9%

qualidade
5%
recurso s humano s
7%

presidncia/gerncia geral
41%

Grfico 3: departamento

Quanto deciso de compra:

Deciso de Compra
no participa
2%

a deciso
minha
47%

participa do
processo
51%
Grfico 4: deciso de compra

Na amostra, 84% dos pesquisados ocupam cargos gerenciais ou acima,

sendo: 12% supervisores, 14% gerentes, 16% diretores e a maioria so sciosproprietrios representando 42% dos pesquisados. Esses dados se confirmam na
questo sobre o departamento de atuao onde 41% encontram-se na presidncia
ou gerncia geral da empresa, seguidos em 21% pelo departamento de Tecnologia
da Informao e 9% no departamento de Finanas.

68

Na amostra, 98% dos pesquisados possuem envolvimento sobre a deciso de

compra de ferramentas e tcnicas de gesto da segurana da informao ou TI.
Quanto s caractersticas das empresas respondentes em relao ao porte e
ao nmero de empregados, a amostra coletada est representada da seguinte
forma: 5% so micro-empresas (at 10 empregados), 81% so pequenas empresas
(entre 10 e 99 funcionrios) e 14% so mdias empresas (de 100 a 499
funcionrios). A delimitao da pesquisa inclui somente pequenas e mdias
empresas, assim as 5% consideradas micro-empresas sero excludas da amostra
para as anlises das ferramentas/tcnicas e fatores de adoo.
Nmero de Empregados
1a9
5%

10 a 49
48%

acima de 500
0%
100 a 499
14%
50 a 99
33%

Grfico 5: nmero de empregados

Quanto ao nmero de computadores, a maioria das empresas pesquisadas

possui entre 5 e 100 computadores (72%), com maior concentrao entre 10 a 20
computadores (28%).
Qtde de Computadores
acima de 500
0%

meno s de 5
21%

5 a 10
21%

de 201a 500
2%

de 101a 200
5%
de 21a 100
23%

de 10 a 20
28%

Grfico 6: quantidade de computadores

69

A responsabilidade da rea de TI na maioria das empresas da amostra de

um departamento interno ou funcionrio (56%), enquanto os outros 44% so de
empresas terceiras, sendo 23% com contrato e 21% contatadas por chamados
eventuais.
Responsabilidade da rea de TI
terceiro co m
chamado s
eventuais
21%

departamento
interno
56%

terceiro co m
co ntrato
23%

Grfico 7: responsabilidade da rea de TI

Quando perguntados sobre o nvel de informatizao de suas operaes, a

maioria das empresas o considerou entre mdio (65%) e alto (28%) o que pode
sugerir a necessidade de uma gesto de segurana da informao mais eficaz
nessas empresas devido a maior concentrao de informaes em computadores.
Nvel de Informatizao

nvel alto
28%

nvel baixo
7%

nvel mdio
65%

Grfico 8: nvel de informatizao

Para ajudar as empresas pesquisadas a responder sobre o nvel de

informatizao de suas operaes, foram consideradas as seguintes proposies no
questionrio:

70

baixo: uso constante de edio de documentos, e-mails, acesso a Internet;

mdio: as consideraes do nvel baixo, mais uso intensivo de planilhas

eletrnicas e Internet Banking;

alto: as consideraes do nvel mdio, mais uso de sistema integrado,

acesso remoto a funcionrios/fornecedores, comrcio eletrnico.

4.2 FERRAMENTAS E TCNICAS DE GESTO DA SEGURANA DA

INFORMAO
Os resultados apresentados a seguir, das ferramentas e tcnicas de gesto
da segurana da informao, foram divididos nas trs camadas da gesto da
segurana da informao: fsica, lgica e humana. A amostra foi purificada, sendo
retiradas duas empresas, uma por no estar enquadrada como pequena ou mdia
empresa definida neste trabalho e a outra porque respondeu no participar do
processo de aquisio de ferramentas/tcnicas de gesto de segurana da
informao ou TI.

4.2.1 CAMADA FSICA

Nove questes foram formuladas para representar a camada fsica com base
nas sees: Gesto das operaes e comunicaes, Segurana fsica e do
ambiente, Controle de acesso, Gesto de incidentes de segurana da informao;
presentes na norma ISO/IEC 17799:2005.
Tabela 2: camada fsica
FERRAMENTAS/TCNICAS

Mdia Desvio Possui

No

Antivrus

4,56

0,84

41

Sistema de backup

4,46

1,03

40

Firewall

4,29

1,08

33

Equipamento para proteo de falhas na energia eltrica

3,73

1,53

34

Nome de usurio, senha individual e secreta para acesso a rede

3,68

1,44

33

Sala de servidores protegida e em local restrito

3,15

1,59

18

23

Descarte seguro da mdia removvel

3,07

1,31

13

28

Monitoramento e anlise crtica dos registros (logs )

3,07

1,25

13

28

Canais de comunicao para registro de eventos de segurana

2,83

1,14

16

25

71

Foi unnime para as empresas pesquisadas o uso do Antivrus como

ferramenta/tcnica de gesto da segurana da informao, tanto em grau de
importncia com mdia 4,59 e desvio padro 0,84 quanto se possuem ou no, e
100% das empresas pesquisadas alegaram possuir. O fato pode ser atribudo aos
histricos estragos causados em informaes empresariais conseqentes de vrus
de computador como: I Love You, Melissa e Slamer. Alm do conhecimento pblico
do uso do antivrus e sua constante distribuio junto venda de computadores
novos, como parte integrante do pacote de softwares pr-instalados.
Sistema de backup ficou em segundo lugar em ordem de importncia e de
instalao, demonstrando a preocupao das empresas pesquisadas com a guarda
e recuperao de informaes importantes ao negcio no caso de qualquer fraude
ou pane nos recursos de TI. Firewall aparece em terceiro lugar em ordem de
importncia e em quarto lugar quando ordenado pela coluna possui ou no a
ferramenta/tcnica de segurana. Em seu lugar, aparece Equipamento para
proteo de falhas de energia eltrica (no-breaks), o que demonstra que as
empresas reconhecem a importncia do Firewall como uma ferramenta importante
para proteo de suas redes na Internet, porm, a instalao de no-breaks possui
um processo de implementao mais fcil e mais elementar seu uso, afinal uma
simples queda de energia eltrica pode fazer sentir seus efeitos.
Chamou ateno o baixo nmero de empresas que protegem o acesso a
console de seus servidores (18 de 41 empresas), o que pode indicar que as
empresas se sentem seguras internamente no considerando as pesquisas que
alegam que o maior nmero de incidentes ocorre por culpa de funcionrios da
prpria empresa. Tambm no existe em vrias das empresas pesquisadas um
monitoramento dos registros de segurana o que pode deix-las sem qualquer
informao sobre as fraudes em seu sistema, inclusive se o invasor no deixar
rastros aparentes.
O grfico 9 mostra a quantidade de empresas que possui ou no a
ferramenta/tcnica de gesto da segurana da informao na camada fsica.

72

Ferramentas e Tcnicas - Camada Fsica

Possui

No possui

40

35

30

25

20

15

10

M onitoram ento e
anlise crtica dos
registros (logs)

Descarte seguro da
m dia rem ovvel

Canais de
com unicao para
registro de eventos
de segurana

Sala de servidores
protegida e em local
restrito

Nom e de usurio,
senha individual e
secreta para acesso a
rede

Firewall

Equipam ento para

proteo de falhas na
energia eltrica

Sistem a de backup

Antivrus

Grfico 9: camada fsica

4.2.2 CAMADA LGICA

Na camada lgica, foram elaboradas trs perguntas todas pertencentes
seo da norma ISO/IEC 17799:2005 - Aquisio, Desenvolvimento e Manuteno
de Sistemas de Informao.
Tabela 3: camada lgica
FERRAMENTAS/TCNICAS

Mdia Desvio Possui

No

Atualizao de software para correo de falhas de segurana

3,56

1,32

27

14

Criptografia em banco de dados e/ou para troca de informaes

3,10

1,48

17

24

Superviso do desenvolvimento terceirizado de software com requisitos para

controles de segurana da informao

2,80

1,35

14

27

A ferramenta/tcnica Atualizao de software para correo de falhas de

segurana foi a que apresentou maior mdia (3,56) e menor desvio padro (1,32).
Apesar de receber o primeiro lugar em relao s demais ferramentas/tcnicas da
camada lgica somente 65,85% das empresas pesquisadas possui implantadas,

73

uma porcentagem baixa de adeso, considerando que a ferramenta/tcnica

disponibilizada gratuitamente na maioria dos sistemas operacionais atuais como
Windows XP e softwares aplicativos como Office, Photoshop, Acrobat. As
vulnerabilidades presentes em softwares representam uma porta de entrada
importante e muito usada por hackers de todo o mundo.
A pesquisa comprovou, conforme assevera Beal (2005), a baixa preocupao
das empresas com o desenvolvimento do software terceirizado, podendo indicar a
existncia de um alto grau de confiana nos desenvolvedores e/ou nos produtos de
softwares desenvolvidos por terceiros, ou uma despreocupao por parte das
empresas.

Ferramentas e Tcnicas - Camada Lgica

Possui

No Possui

40

35

30

25

20

15

10

Superviso do
desenvolvimento
terceirizado de
software com
requisitos para
controles de
segurana da
informao

Criptografia em
banco de dados
e/ou para troca de
informaes

Atualizao de
software para
correo de falhas
de segurana

Grfico 10: camada lgica

A criptografia pouca usada ainda pelas pequenas e mdias empresas,

possivelmente devido falta de conhecimento de seus benefcios. Com a
possibilidade oferecida pelo governo de assinar digitalmente documentos como a
declarao de renda, obter certides da Receita Federal, cadastrar procuraes e

74

acompanhar processos tributrios eletronicamente, o uso da criptografia e dos

certificados deve ganhar maior importncia para as pequenas e mdias empresas
com o tempo, principalmente o uso do e-CPF e do e-CNPJ que so documentos
eletrnicos vinculados aos nmeros dos respectivos documentos fsicos.

4.2.3 CAMADA HUMANA

A camada humana representa o maior desafio para a gesto da segurana da

informao, devido complexidade do elemento humano e s inmeras variveis
presentes em seu comportamento. Nesta camada, oito questes enunciadas no
questionrio e extradas das sees: Poltica de segurana da informao, Gesto
de ativos, Organizando a segurana da informao, Segurana em Recursos
Humanos e Gesto da continuidade do negcio da norma NBR ISO/IEC 17999:2005
tentaram conhecer a preocupao das empresas com essa camada e o que
efetivamente est sendo feito.
Tabela 4: camada humana
FERRAMENTAS/TCNICAS

Mdia Desvio Possui

No

Regras para uso da informao e dos recursos de TI

3,68

1,19

26

15

Controle dos direitos de propriedade intelectual

3,49

1,36

25

16

Aviso aos usurios sobre o monitoramento dos recursos de TI

3,39

1,43

24

17

Contratos com terceiros com termos claros relativos a segurana

3,32

1,46

18

23

Poltica de segurana da informao

3,24

1,34

19

22

Classificao da informao

3,17

1,26

19

22

Conscientizao, educao e treinamento em segurana

2,95

1,30

15

26

Plano de recuperao de desastres e contingncia

2,88

1,44

16

25

A ferramenta/tcnica Regras para uso da informao e dos recursos de TI

foi a que apresentou a maior mdia (3,68) e menor desvio padro (1,19). Trata-se de
um controle fcil de ser implementando por ser um documento (na maioria das
vezes com apenas uma folha) com as normas de uso da informao assinados
pelos funcionrios e em algumas empresas fazem parte do prprio regulamento
interno. complementado pela ferramenta/tcnica Aviso aos usurios sobre o
monitoramento dos recursos de TI. Porm, para efetividade desses dois controles,

75

necessrio que ferramentas/tcnicas sejam implantadas para o monitoramento dos

usurios. Das nove ferramentas/tcnicas pesquisadas na camada fsica, o
Monitoramento e anlise crtica dos registros (logs) de auditoria ficou em oitavo
lugar e somente 31,7% das empresas pesquisadas alegaram possuir, o que
demonstra que, apesar das pequenas e mdias empresas se preocuparem em
definir regras de uso dos recursos de TI e avisar aos usurios sobre o
monitoramento, pouco se monitora efetivamente.
Controle dos direitos de propriedade intelectual ficou classificado em
segundo lugar em grau de importncia na camada humana, com mdia de 3,49 e
desvio padro 1,36. O conhecimento das leis que protegem os direitos autorais de
software, por parte das empresas, e suas penalidades podem explicar a resposta.
Outra ferramenta/tcnica de fcil implantao e que pode representar um
ganho na gesto de segurana da informao de pequenas e mdias empresas a
Conscientizao, educao e treinamento em segurana dos empregados e
terceiros, porm apresentou baixo grau de importncia para as empresas e pouca
adeso implantao.
Ferramentas e Tcnicas - Camada Humana
Possui

No Possui

40

35

30

25

20

15

10

Grfico 11: camada humana

Conscientizao,
educao e
treinam ento em
segurana

Plano de
recuperao de
desastres e
contingncia

Contratos com
terceiros com
termos claros
relativos a
segurana

Classificao da
inform ao

Poltica de
segurana da
inform ao

Aviso aos usurios

sobre o
monitoramento dos
recursos de TI

Controle dos
direitos de
propriedade
intelectual

Regras para uso da

informao e dos
recursos de TI

76

Se observarmos os grficos de adeso das trs camadas: fsica, lgica e

humana pelas empresas pesquisadas, percebe-se que a camada humana, devido
ao nmero de ferramentas/tcnicas, a que apresenta maior carncia de cuidados
por parte dos administradores. Esta constatao confirma as alegaes de Schneier
(2001) e as preocupaes de Fontes (2006).
O interessante que muitas das ferramentas/tcnicas listadas neste trabalho
na camada humana no so de difcil implementao, requerem na maioria dos
casos baixo investimento em ferramentas computacionais e tempo e dedicao da
gerncia. O que confirma as consideraes de Smola (2003) quando diz que as
empresas se preocupam mais com os aspectos tecnolgicos da segurana da
informao do que com os aspectos fsicos e humanos.
O prximo grfico representa o grau de importncia atribudo a todas as
ferramentas ou tcnicas de gesto da segurana da informao independente da
camada a que foi categorizado:
Grau de Importncia das
Ferramentas e Tcnicas para Gesto da Segurana
Antivrus
Sistema de backup
Firewall
Equipamento para proteo de falhas na energia eltrica
Regras para uso da informao e dos recursos de TI
Nome de usurio, senha individual e secreta para acesso a rede
Atualizao de software para correo de falhas de segurana
Controle dos direitos de propriedade intelectual
Aviso aos usurios sobre o monitoramento dos recursos de TI
Contratos com terceiros com termos claros relativos a segurana
Poltica de segurana da informao
Classificao da informao
Sala de servidores protegida e em local restrito
Criptografia em banco de dados e/ou para troca de informaes
Monitoramento e anlise crtica dos registros (logs)
Descarte seguro da mdia removvel
Conscientizao, educao e treinamento em segurana
Plano de recuperao de desastres e contingncia
Canais de comunicao para registro de eventos de segurana
Superviso do desenvolvimento terceirizado de software com
requisitos para controles de segurana da informao
2,4

2,6

2,8

3,0

3,2

3,4

3,6

3,8

4,0

4,2

4,4

4,6

4,8

5,0

Grfico 12: grau de importncia das ferramentas/tcnicas

77

O grfico confirma alguns dados reportados na 9 Pesquisa Nacional de

Segurana de Informao realizada pela empresa Mdulo Security em outubro de
2003 e da pesquisa Computer Crime and Security Survey realizada em 2005 pelo
Computer Security Institute (CSI) e pelo Federal Bureau Investigation (FBI) nos
Estados Unidos, que apresentam que a maior ameaa e causa de perda de dinheiro
com fraudes pelas empresas so os vrus de computador. Este fato justifica o grau
de importncia ser to elevado tambm para pequenas e mdias empresas. As
ferramentas/tcnicas Sistema de Backup e Firewall, respectivamente consideradas
segunda e terceira mais importantes, tambm coincidem com a pesquisa da
empresa Mdulo e diferem da pesquisa do CSI/FBI que aponta em ordem de
importncia, as seguintes ferramentas/tcnicas: Firewall, Antivrus e Sistema de
Deteco de Intrusos (o ltimo item no foi considerado nesta pesquisa por no ser
de uso comum em pequenas e mdias empresas).
As entrevistas realizadas com gestores para criao do questionrio
eletrnico tambm confirmam o grau de importncia apontado na pesquisa, ao
indicar o Antivrus, Backup e o Firewall como as principais ferramentas/tcnicas
citadas.
A implementao de uma Poltica de Segurana da Informao ficou em 11
lugar entre as 20 ferramentas/tcnicas pesquisadas, uma posio modesta perante
a importncia que vrios autores estudados e a norma NBR ISO/IEC 17799:2005
atribuem ferramenta. Este fato indica que a maioria das pequenas e mdias
empresas investem e se preocupam com ferramentas/tcnicas de uso pontual e
ignoram ou esquecem o gerenciamento correto da segurana da informao
enquanto atividade administrativa.
Em ltimo lugar em grau de importncia aparece Superviso do
desenvolvimento terceirizado de software com requisitos para controles de
segurana da informao uma preocupao alegada por Beal (2005) para a
implantao da gesto da segurana da informao nas empresas, mas como indica
a pesquisa, no recebe a devida importncia por parte das empresas.

78

4.3 GESTO DA SEGURANA DA INFORMAO NAS TRS CAMADAS

A fim de avaliar o nvel de gesto da segurana da informao implementadas

nas pequenas e mdias empresas pesquisadas e conseqentemente sua
adequao a alguns itens da norma ISO/IEC 17799:2005, foi desenvolvida a
seguinte metodologia:
a) verificar se a empresa possui pelo menos uma ferramenta/tcnica instalada
em cada uma das camadas de segurana: fsica, lgica e humana;
b) verificar se a porcentagem das ferramentas/tcnicas que a empresa possui
instalada maior ou igual a 50%, independente da camada de segurana;
c) caso a empresa atenda s condies determinadas no item a e b, sua gesto
da segurana da informao classificada como satisfatria, caso contrrio
classificada como insatisfatria.
O grfico 13 mostra que a maioria das empresas pesquisadas (59%) se
enquadrou no nvel satisfatrio, o que indica que existe uma preocupao da maioria
das empresas com as trs camadas da segurana.
Avaliao de Segurana nas Trs Camadas
satisfatrio
59%
insatisfatrio
41%

Grfico 13: avaliao de segurana nas trs camadas

O grfico 14 representa a distribuio das ferramentas/tcnicas instaladas nas

empresas pesquisadas. A maior distribuio de freqncia encontrada est no
intervalo entre 60% a 80% das ferramentas/tcnicas instaladas, com 13 empresas.
Acima de 80% encontram-se 9 empresas. Somando as duas freqncias, temos que
53,7% das empresas pesquisadas possuem mais que 60% das ferramentas/tcnicas

79

instaladas o que pode inferir que a maioria encontram-se adequadas a gesto da

segurana da informao independente da camada.

N de Empresas

16
14
12
10
8
6
4
2

Ferramentas/Tcnicas Implantadas
13
10

9
7

0-20

20-40

40-60

60-80

80-100

% ferramentas/tcnicas implantadas em relao ao total das ferramentas

pesquisadas

Grfico 14: quantidade de ferramentas/tcnicas implantadas, por faixa, nas 43 empresas

pesquisadas

Ao diferenciar as pequenas empresas das mdias empresas, pde-se

observar que somente em uma das mdias empresas a gesto da segurana da
informao foi categorizada como insatisfatria, pois no atende aos requisitos
mnimos estabelecidos. Todas as demais consideradas insatisfatrias so
representadas por pequenas empresas, por possurem menos recursos financeiros e
humanos acabam no conseguindo atender s trs camadas efetivamente. Ao
analisar o grfico 15, percebe-se que as pequenas empresas possuem mais
ferramentas/tcnicas instaladas do que as mdias empresas, isso deve-se ao fato
do pequeno nmero de mdias empresas que responderam a pesquisa.

80

Avaliao de Segurana nas Trs Camadas por Porte

19
5

16
1
pequena

satisfatrio
insatisfatrio

mdia

Grfico 15: avaliao de segurana nas trs camadas por porte de empresa

As principais ferramentas ou tcnicas que as pequenas e mdias empresas

no possuem implantadas e que merecem maior ateno de seus administradores
so:
Tabela 5: principais ferramentas ou tcnicas que as empresas no possuem implantadas
Camada de
Segurana
Fsica

Lgica

Humana

Ferramenta ou Tcnica
Descarte seguro da mdia removvel
Monitoramento e anlise crtica dos registros (logs)
Canais de comunicao para registro de eventos de segurana
Superviso do desenvolvimento terceirizado de software com
requisitos para controles de segurana da informao
Criptografia em banco de dados e/ou para troca de informaes
Conscientizao, educao e treinamento em segurana
Plano de recuperao de desastres e contingncia
Contratos com terceiros com termos claros relativos
segurana

% de empresas
que no possui
68%
68%
61%
66%
59%
63%
61%
56%

4.4 ADERNCIA S SEES DA NORMA ISO 17799

A prxima anlise verifica a porcentagem das ferramentas/tcnicas de gesto

da segurana da informao que as empresas pesquisadas possuem implantadas
em relao a cada seo da norma ISO/IEC 17799:2005. Nas sees em que
existiam mais de uma ferramenta/tcnica abordada pela pesquisa, foi efetuada uma
mdia aritmtica simples.

81

Tabela 6: aderncia s sees da norma ISO 17799

Seo da Norma

Ferramenta ou Tcnica Pesquisada

Poltica de Segurana da
Poltica de segurana da informao
Informao
Organizando a
Contratos com terceiros com termos claros
Segurana da
relativos segurana
Informao
Regras para uso da informao e dos
recursos de TI
Gesto de Ativos
Classificao da informao
Segurana em Recursos
Humanos
Segurana Fsica e do
Ambiente

Gesto das Operaes e

Comunicaes

3,24

46%

3,32

44%

3,68

55%

3,17

Conscientizao, educao e treinamento

em segurana
Equipamento para proteo de falhas na
energia eltrica
Sala de servidores protegida e em local
restrito

3,73

Antivrus

4,56

Sistema de backup

4,46

Firewall

4,29

Descarte seguro da mdia removvel

3,07

Monitoramento e anlise crtica dos

registros (logs)

3,07

Nome de usurio, senha individual e

secreta para acesso rede
Atualizao de software para correo de
falhas de segurana
Aquisio,
Criptografia em banco de dados e/ou para
Desenvolvimento e
Manuteno de Sistemas troca de informaes
Superviso do desenvolvimento
de Informao
terceirizado de software com requisitos
para controles de segurana da informao
Gesto de Incidentes de
Canais de comunicao para registro de
Segurana da
eventos de segurana
Informao
Gesto da Continuidade Plano de recuperao de desastres e
de Negcio
contingncia
Controle dos direitos de propriedade
intelectual
Conformidade
Aviso aos usurios sobre o monitoramento
dos recursos de TI
Controle de Acesso

Mdia Porcentagem

2,95

37%

63%
3,15

3,68

68%

80%

3,56
3,10

47%

2,80

2,83

39%

2,88

39%

3,49
60%
3,39

A seo que apresenta maior aderncia por parte das pequenas e mdias
empresas a Controle de Acesso, com 80%, seguida por Gesto das Operaes e
Comunicaes (68%) e por Segurana Fsica e do Ambiente (63%). Comprovando

82

novamente as consideraes de Smola (2003) sobre a preocupao das empresas

com os aspectos tecnolgicos da gesto da segurana da informao e o
esquecimento de outros aspectos importantes.
Cabe dizer que a inteno desta anlise no verificar se a empresa pode
ser certificada ou no pela norma, pois as informaes aqui apresentadas so
respostas s percepes e ao conhecimento do respondente. Para verificar a correta
adequao da empresa aos requisitos da norma, faz-se necessrio um
acompanhamento in loco dos controles implantados.

4.5 FATORES MOTIVADORES E INIBIDORES

Alm de levantar as principais ferramentas e tcnicas utilizadas pelas
pequenas e mdias empresas pesquisadas, este trabalho atravs de sua pergunta
problema verificou os fatores motivadores e inibidores para uso e aplicao da
gesto da segurana da informao, pesquisando os seguintes fatores:

Motivadores:
o Recomendao de um especialista externo ou fornecedor da rea;
o Incidente de segurana ocorrido anteriormente;
o Conscincia do prprio gestor (no sentido do mesmo conhecer a
importncia das ferramentas/tcnicas para a adoo da gesto da
segurana da informao);
o Para evitar possveis perdas financeiras ou operacionais.

Inibidores:
o Valor do investimento;
o Dificuldade em mensurar a relao custo/benefcio do investimento;
o Falta de conhecimentos sobre ferramentas ou tcnicas de defesa;
o Cultura organizacional.
A mdia com o grau de importncia de cada fator, desvio padro e erro

amostral calculado para um nvel de confiana de 95% encontra-se na tabela 7.

83

Tabela 7: fatores motivadores e inibidores

inibidores

motivadores

Fatores

mdia

Amostra
erro
limite
amostral
superior

limite
inferior

especialista externo

3,51

1,12

0,35

3,87

3,16

incidente anterior

3,34

1,24

0,39

3,73

2,95

conscincia do gestor

3,63

1,13

0,36

3,99

3,28

evitar perdas
financeiras

4,37

0,83

0,26

4,63

4,10

valor do investimento

3,66

1,13

0,36

4,02

3,30

relao custo/ benefcio

3,37

1,13

0,36

3,72

3,01

falta de conhecimento

3,71

1,15

0,36

4,07

3,35

cultura organizacional

3,66

1,02

0,32

3,98

3,34

Para verificar a significncia das mdias apresentadas na tabela 7, foram

realizados os seguintes testes com o uso do software SPSS verso 13.0:
1. teste Shapiro-Wilk para verificar a normalidade dos dados;
2. teste Kruskal-Wallis para verificar a significncia entre as mdias;
3. teste Mann-Whitney para verificar a mdia que apresentava maior
significncia;
O teste Shapiro-Wilk revelou um valor de p < 0,0001, para tanto a distribuio
no pode ser considerada normal, o que inviabilizou o uso de testes paramtricos
como ANOVA Analysis of Variance. Assim, procedeu-se ao uso de testes noparamtricos.
O teste Kruskal-Wallis realizado com as mdias dos fatores motivadores e
com as mdias dos fatores inibidores revelou que em fatores motivadores nem todas
as mdias so iguais estatisticamente (p < 0,0001), porm as mdias dos fatores
inibidores no apresentaram diferenas significativas entre si (p = 0,429), ao nvel de
confiana de 95%, o que pode inferir que todos os fatores inibidores tm a mesma
importncia para a amostra de empresas pesquisadas.
Para confirmar entre os fatores motivadores a mdia que apresentava
diferena significativa foi realizado o teste Mann-Whitney, comparando a mdia de
cada fator entre si. Os resultados esto apresentados na tabela 8:

84

Tabela 8: teste Mann-Whitney

Fatores Motivadores
especialista interno x incidente anterior
especialista interno x conscincia do gestor
especialista interno x evitar perdas financeiras
incidente anterior x evitar perdas financeiras
conscincia do gestor x evitar perdas financeiras

MannWhitner
U
773,000
775,500
482,000
443,500
529,000

Wilcoxon
W

Asymp.Sig
(2-tailed)

1634,000
1636,500
1343,000
1304,500
1390,000

-0,648
-0,626
-3,529
-3,870
-3,061

0,517
0,531
0,000
0,000
0,002

A coluna Asymp. Sig (2-tailed) da tabela 8, representa o valor de p para cada

anlise. Dentre as mdias analisadas a que apresentou diferena significativa entre
as demais foi a do fator evitar perdas financeiras, com p < 0,05, inferindo que o
fator motivador para as empresas implantarem ferramentas/tcnicas de gesto da
segurana da informao se d principalmente para evitar possveis perdas
financeiras ou operacionais.
Fatores Motivadores
5,0

4,37

4,5
4,0

3,51

3,34

recomendao especialista
externo

incidente anterior

3,5

3,63

3,0
2,5
2,0
1,5
1,0

conscincia do gestor

evitar perdas financeiras

Grfico 16: fatores motivadores

Apesar dos testes estatsticos revelarem que os demais fatores motivadores

tm a mesma significncia em termos de mdia, o fator conscincia do gestor
(segunda maior mdia) merece ateno por indicar certa incoerncia com os fatores
inibidores que mostram a falta de conhecimento com a maior mdia, pois
estranho identificar que o gestor tem conscincia dos perigos que sua empresa corre
com relao s informaes, porm no se preocupa em ter o conhecimento
adequado para sanar os problemas. Fato que tambm ficou claro nas entrevistas
preliminares.
Nas entrevistas realizadas para criao do questionrio ficou evidenciado que
incidentes anteriores tinham um peso considervel na adoo de gesto da

85

segurana da informao, assim como pesquisado por Gabbay (2003), porm nesta
pesquisa no se apresentou como fator importante, o que pode indicar que as
pequenas e mdias empresas no tm sofrido incidentes de segurana da
informao como apontado por Gupta e Hammond (2004) ou no tm monitorado
(como apresenta o baixo grau de importncia nas ferramentas/tcnicas no item
anterior) seus recursos para descobrir evidncias de ataques aos ativos de
informao, o que pode representar um srio risco a continuidade do negcio e/ou
vazamento de segredos industriais e processos a concorrentes.
A importncia da recomendao de um especialista externo ou fornecedor da
rea tambm ficou clara nas entrevistas e foi apontada nas pesquisas sobre adoo
de TI de Cragg e King (1993) e Thong. Porm no apresentou mdia significativa
como fator motivador na adoo de gesto da segurana da informao na amostra
pesquisada.
Fatores Inibidores
5,0
4,5
4,0

3,66

3,5

3,37

3,71

3,66

falta de conhecimento

cultura organizacional

3,0
2,5
2,0
1,5
1,0

valor do investimento

dificuldades em mensurar
custo/benefcio

Grfico 17: fatores inibidores

Nos fatores inibidores no possvel destacar o mais importante, visto as

mdias encontradas no apresentarem diferenas significativas. Porm, de acordo
com as entrevistas preliminares a falta de conhecimento do gestor um fator inibidor
que merece certa ateno, pois ficou explcito nas entrevistas que no existe uma
preocupao dos gestores em se manterem informados sobre assuntos ligados
gesto da segurana. Em relao aos outros fatores inibidores, conclui-se que para
as empresas pesquisadas o valor do investimento e sua mensurao em razo do
custo/benefcio no so dispendiosos e portanto fceis de serem aprovados no
oramento e implementados quando a questo segurana da informao. A
cultura organizacional tambm no mereceu destaque entre os fatores inibidores,
possivelmente pela crescente divulgao de notcias relacionadas a incidentes de

86

segurana da informao na mdia em geral, e a conseqente conscientizao das

pessoas com relao mesma.
Conforme proposto no item 3.5 Procedimentos para Anlise de Resultados,
buscou-se verificar a existncia de relao positiva entre a adoo da gesto da
segurana da informao e os seguintes itens:

tamanho da empresa pequena ou mdia;

quantidade de computadores em uso;

existncia de um departamento interno de TI;

nvel de informatizao dos negcios da empresa;

Para tanto, a amostra foi dividida em grupos conforme as particularidades

acima e analisado cada caso para verificar a influncia na adoo da gesto de

segurana da informao.

87

4.5.1 REA DE TI INTERNA

Tabela 9: rea de TI interna

inibidores

motivadores

Fatores

Amostra
mdia

TI Interna
mdia

especialista externo

3,51

1,12

3,50

1,29

incidente anterior

3,34

1,24

3,17

1,34

conscincia do gestor

3,63

1,13

3,63

1,21

evitar perdas
financeiras

4,37

0,83

4,33

0,92

valor do investimento

3,66

1,13

3,67

1,24

relao custo/ benefcio

3,37

1,13

3,29

1,16

falta de conhecimento

3,71

1,15

3,46

1,32

cultura organizacional

3,66

1,02

3,58

1,14

O teste Kruskal-Wallis foi realizado para verificar a significncia das mdias

dos fatores motivadores e inibidores nas empresas que responderam possuir a rea
de TI interna e resultou um p = 0,011 para os fatores motivadores e p = 0,711 para
os fatores inibidores, indicando que somente em fatores motivadores possvel
determinar um fator relevante pois o valor de p menor que 0,05. A tabela 10 exibe
os resultados do teste Mann-Whitney com os dados das empresas que possuem
departamento interno de TI, confirmando os resultados da amostra total que o nico
fator motivador que possui mdia significativa evitar perdas financeiras.
Tabela 10: teste Mann-Whitney rea de TI interna

Fatores Motivadores
especialista interno x incidente anterior
especialista interno x conscincia do gestor
especialista interno x evitar perdas financeiras
incidente anterior x evitar perdas financeiras
conscincia do gestor x evitar perdas financeiras

MannWhitner
U
244,500
272,500
180,500
141,000
189,000

Wilcoxon
W

Asymp.Sig
(2-tailed)

544,500
572,500
480,500
441,000
489,000

-0,923
-0,330
-2,386
-3,178
-2,174

0,356
0,741
0,017
0,001
0,030

Nos fatores inibidores, assim como na amostra total, no foi possvel

determinar o mais importante, mas percebe-se uma diferena matemtica nas
mdias da amostra total em relao amostra das empresas que possuem a rea
de TI, migrando a maior mdia do fator inibidor falta de conhecimento para valor
do investimento. Porm devido aos testes estatsticos realizados e a influncia do

88

pequeno tamanho da amostra no foi possvel indicar a influncia do departamento

de TI em recomendar ou sugerir ferramentas e tcnicas para gesto da segurana
da informao.
Os grficos 18 e 19 exibem as mdias da amostra total em relao amostra
das empresas que possuem o departamento interno de TI.
Fatores Motivadores - rea de TI Interna
5,0

4,37

4,5
4,0

3,51

3,50

3,5

3,34

3,63

4,33

3,63
amostra total

3,17

TI interna

3,0
2,5
2,0
1,5
1,0

recomendao
especialista externo

incidente anterior

conscincia do gestor

evitar perdas financeiras

Grfico 18: fatores motivadores com a existncia da rea de TI interna

Fatores Inibidores - rea de TI Interna

5,0
4,5
4,0

3,66

3,67

3,5

3,37

3,71
3,29

3,46

3,66

3,58
amostra total

3,0

TI interna

2,5
2,0
1,5
1,0

valor do investimento

dificuldades em
mensurar o
custo/benefcio

falta de conhecimento

cultura organizacional

Grfico 19: fatores inibidores com a existncia da rea de TI interna

89

4.5.2 TAMANHO DA EMPRESA

Tabela 11: tamanho da empresa

inibidores

motivadores

Fatores

Amostra
mdia

Pequena
mdia

Mdia
mdia

especialista externo

3,51

1,12

3,51

1,17

3,50

0,84

incidente anterior

3,34

1,24

3,26

1,20

3,83

1,47

conscincia do gestor

3,63

1,13

3,60

1,14

3,83

1,17

evitar perdas
financeiras

4,37

0,83

4,31

0,83

4,67

0,82

valor do investimento

3,66

1,13

3,54

1,15

4,33

0,82

relao custo/ benefcio

3,37

1,13

3,37

1,19

3,33

0,82

falta de conhecimento

3,71

1,15

3,63

1,19

4,17

0,75

cultura organizacional

3,66

1,02

3,63

1,00

3,83

1,17

Outra verificao feita foi comparao entre os resultados obtidos na amostra total
com os obtidos nos grupos porte da empresa: pequeno ou mdio. Novamente
executaram-se os testes estatsticos Kruskal Wallis e Mann-Whitney para verificar se
a diferena matemtica apresentada nas mdias da tabela 11 era significativa
estatisticamente.
Tabela 12: teste Kruskal Wallis Tamanho da Empresa
porte
pequena empresa
mdia empresa

valor de p
fatores motivadores
0,001
0,253

valor de p
fatores inibidores
0,675
0,254

Tabela 13: teste Mann-Whitney Pequena Empresa

Fatores
especialista interno x incidente anterior
especialista interno x conscincia do gestor
especialista interno x evitar perdas financeiras
incidente anterior x evitar perdas financeiras
conscincia do gestor x evitar perdas financeiras

MannWhitner
U
540,000
579,00
375,00
306,500
393,500

Wilcoxon
W

Asymp.Sig
(2-tailed)

1170,00
1209,00
1005,00
936,500
1023,500

-0,880
-0,408
-2,945
-3,752
-2,713

0,379
0,683
0,003
0,000
0,007

A tabela 12 revela que somente na amostra de pequenas empresas em

fatores motivadores existia diferena significativa entre as mdias (p < 0,05). A

90

tabela 13 exibe os resultados dos testes efetuados com essa amostra, indicando
novamente o fator evitar perdas financeiras.
Os grficos 20 e 21 exibem a comparao entre as mdias da amostra total
em relao amostra das empresas por tamanho/porte pequena e mdia.
Fatores Motivadores - Tamanho da Empresa
5,0

4,37 4,31

4,5
4,0

3,51 3,51 3,50

3,5

3,83
3,34 3,26

3,63 3,60

4,67

3,83

amostra total
pequena empresa

3,0

mdia empresa

2,5
2,0
1,5
1,0

recomendao
especialista externo

incidente anterior

conscincia do gestor

evitar perdas financeiras

Grfico 20: fatores motivadores de acordo com o tamanho da empresa

Fatores Inibidores - Tamanho da Empresa

5,0

4,33

4,5
4,0

3,66 3,54

3,5

4,17
3,37 3,37 3,33

3,71 3,63

3,66 3,63 3,83

amostra total
pequena empresa

3,0

mdia empresa

2,5
2,0
1,5
1,0

valor do investimento

dificuldades em
mensurar o
custo/benefcio

falta de conhecimento

cultura organizacional

Grfico 21: fatores inibidores de acordo com o tamanho da empresa

91

4.5.3 QUANTIDADE DE COMPUTADORES

Tabela 14: quantidade de computadores
Amostra
mdia

inibidores

motivadores

Fatores

At 10 micros
mdia

De 11 a 20
mdia

Acima de 20
mdia

especialista externo

3,51

1,12

3,59

1,23

3,83

1,19

3,08

0,79

incidente anterior

3,34

1,24

3,24

1,25

3,58

1,24

3,25

1,29

conscincia do gestor

3,63

1,13

3,24

1,25

4,00

0,95

3,83

1,03

evitar perdas
financeiras

4,37

0,83

4,06

0,90

4,50

0,67

4,67

0,78

valor do investimento

3,66

1,13

3,53

1,07

3,58

1,31

3,92

1,08

relao custo/ benefcio

3,37

1,13

3,35

1,27

3,42

1,00

3,33

1,15

falta de conhecimento

3,71

1,15

3,65

1,11

3,92

1,31

3,58

1,08

cultura organizacional

3,66

1,02

3,41

1,12

3,67

0,98

4,00

0,85

Na anlise referente quantidade de computadores que as empresas

pesquisadas possuem, novamente o fator evitar perdas financeiras se confirmou
com a maior mdia matemtica e tambm aps realizao dos testes estatsticos,
conforme as tabelas 15 e 16.
Tabela 15: teste Kruskal Wallis Quantidades de Computadores
quantidade
at 10
de 11 a 20
acima de 20

valor de p
fatores motivadores
0,158
0,199
0,003

valor de p
fatores inibidores
0,842
0,600
0,415

Tabela 16: teste Mann-Whitney Acima de 20 micros

Fatores
especialista interno x incidente anterior
especialista interno x conscincia do gestor
especialista interno x evitar perdas financeiras
incidente anterior x evitar perdas financeiras
conscincia do gestor x evitar perdas financeiras

MannWhitner
U
71,400
41,500
17,000
27,000
38,000

Wilcoxon
W

Asymp.Sig
(2-tailed)

149,500
119,500
95,000
105,000
116,000

-0,030
-1,898
-3,481
-2,855
-2,215

0,976
0,058
0,000
0,004
0,027

Os fatores inibidores novamente no apresentaram diferenas significativas

entre suas mdias, porm vlido observar no grfico 23 que o fator inibidor se
altera dependendo da quantidade de computadores que a empresa possui, sendo

92

para as empresas com at 10 micros e de 11 a 20 micros a falta de conhecimento

e para as que possuem acima de 20 micros a cultura organizacional.

Fatores Motivadores - Quantidade de Computadores

5,0

4,37

4,5
4,0

3,51 3,59

3,83
3,08

3,5

3,34 3,24

3,58

4,00 3,83

3,63
3,25

4,50 4,67
4,06

amostra total

3,24

at 10 micros

3,0

de 11 a 20 micros

2,5

acima de 20 micros

2,0
1,5
1,0

recomendao
especialista externo

incidente anterior

conscincia do gestor

evitar perdas financeiras

Grfico 22: fatores motivadores na anlise quantidade de computadores

Fatores Inibidores - Quantidade de Computadores

5,0
4,5
4,0

3,66 3,53 3,58

3,92

3,5

3,37 3,35 3,42 3,33

3,71 3,65

3,92

3,58

3,66

3,41

3,67

4,00
amostra total
at 10 micros

3,0
2,5

de 11 a 20 micros

2,0

acima de 20 micros

1,5
1,0

valor do investimento

dificuldades em
mensurar o
custo/benefcio

falta de conhecimento

cultura organizacional

Grfico 23: fatores inibidores na anlise quantidade de computadores

93

4.5.4 NVEL DE INFORMATIZAO DOS NEGCIOS

Tabela 17: nvel de informatizao dos negcios
Amostra
mdia

inibidores

motivadores

Fatores

Baixo
mdia

Mdio
mdia

Alto
mdia

especialista externo

3,51

1,12

3,25

1,26

3,52

1,05

3,64

1,29

incidente anterior

3,34

1,24

3,00

0,82

3,30

1,35

3,36

1,29

conscincia do gestor

3,63

1,13

3,25

1,26

3,67

1,24

3,82

0,87

evitar perdas
financeiras

4,37

0,83

4,00

0,82

4,41

0,89

4,45

0,69

valor do investimento

3,66

1,13

3,25

0,50

3,74

1,16

3,64

1,21

relao custo/ benefcio

3,37

1,13

3,25

0,50

3,48

1,25

3,18

0,98

falta de conhecimento

3,71

1,15

4,00

0,82

3,74

1,10

3,64

1,43

cultura organizacional

3,66

1,02

3,25

0,50

3,81

1,08

3,45

0,93

A ltima anlise feita foi em relao ao nvel de informatizao dos negcios.

O fator motivador evitar perdas financeiras prevaleceu sobre todos os demais e os
fatores inibidores novamente no apresentaram diferena significativa. A tabela 18
exiba os resultados do teste Kruskal Wallis para verificar as diferenas entre as
mdias, somente na amostra de empresas com nvel de informatizao mdio houve
diferenas significativas entre as mdias, nas outras anlises nvel de
informatizao baixo e alto tanto os fatores motivadores como inibidores tem o
mesmo peso na adoo da gesto da segurana da informao. A tabela 19
confirma o fator motivador evitar perdas financeiras.
Tabela 18: teste Kruskal Wallis Nvel de Informatizao dos Negcios
nvel de
informatizao
baixo
mdio
alto

valor de p
fatores motivadores
0,489
0,004
0,130

valor de p
fatores inibidores
0,298
0,774
0,600

Tabela 19: teste Mann-Whitney Nvel de Informatizao Mdio

Fatores
especialista interno x incidente anterior
especialista interno x conscincia do gestor
especialista interno x evitar perdas financeiras
incidente anterior x evitar perdas financeiras
conscincia do gestor x evitar perdas financeiras

MannWhitner
U
328,500
327,000
195,500
192,500
238,000

Wilcoxon
W

Asymp.Sig
(2-tailed)

706,500
705,000
573,500
570,500
616,000

-0,643
-0,672
-3,115
-3,193
-2,373

0,521
0,501
0,002
0,001
0,018

94

Fatores Motivadores - Nvel de Informatizao

5,0

4,0

4,41 4,45

4,37

4,5

3,51

3,5

3,25

3,52 3,64

3,34
3,00

3,30 3,36

4,00

3,67 3,82

3,63

amostra total

3,25

baixo

3,0

mdio

2,5

alto

2,0
1,5
1,0

recomendao especialista
externo

incidente anterior

conscincia do gestor

evitar perdas financeiras

Grfico 24: fatores motivadores na anlise nvel de informatizao

Fatores Inibidores - Nvel de Informatizao

5,0
4,5
4,0
3,5

3,74 3,64

3,66
3,25

3,37 3,25 3,48

3,18

3,71

4,00

3,74 3,64

3,81

3,66
3,25

3,45

amostra total

3,0

baixo

2,5

mdio

2,0

alto

1,5
1,0

valor do investimento

dificuldades em mensurar
o custo/benefcio

falta de conhecimento

cultura organizacional

Grfico 25: fatores inibidores na anlise nvel de informatizao

95

5 CONCLUSO
Este trabalho respondeu seguinte pergunta: Que fatores so capazes de
influenciar a adoo da gesto da segurana da informao por pequenas e mdias
empresas?
Para tanto, foram entrevistados sete gestores a fim de entender suas
preocupaes com a gesto da segurana da informao e para fornecer subsdios
para criao do questionrio. O questionrio on-line foi respondido por 43 empresas
do ramo de fabricao de produtos de metal e apresentou os seguintes resultados:

evitar perdas financeiras foi o fator motivador para adoo de gesto da

segurana da informao que apresentou maior mdia e o nico que
apresentou diferena significativa das mdias comparando com os
demais fatores. O fator refora a preocupao constante das empresas
em evitar perdas principalmente financeiras ou reduzir custos. Os demais
fatores motivadores, conforme comprovaram os testes estatsticos,
podem ser considerados com pesos iguais.

no foi possvel indicar o principal fator inibidor na adoo da gesto da

segurana da informao, pois os testes estatsticos revelaram que todos
os fatores possuam o mesmo nvel de significncia. Porm, nas
entrevistas realizadas com os gestores a falta de conhecimento apareceu
como um possvel fator inibidor e aps a realizao das pesquisas
quantitativas apresentou a maior mdia matemtica.

Outro objetivo era avaliar atravs dos controles descritos na norma brasileira
de segurana - ABNT NBR ISO/IEC 17799:2005 - se a empresa possua gesto da
segurana da informao.
Das empresas pesquisadas, 80% possuem pelo menos um controle em cada
uma das camadas de segurana: fsica, lgica e humana. Essa porcentagem diminui
para 59% quando avaliado se possuem pelo menos metade dos controles
pesquisados implantados. A ferramenta mais utilizada foi o antivrus, presente em
todas das empresas pesquisadas.
A

camada

humana

foi

que

apresentou

menor

ndice

de

ferramentas/tcnicas implantadas pelas empresas pelo nmero de controles

96

pesquisados nesta camada. As empresas ainda se preocupam mais com controles

tecnolgicos para diminuir o risco de incidentes de segurana da informao.
A pesquisa tambm verificou a porcentagem dos controles, independente da
camada, as empresas pesquisadas possuam. Das 41 empresas pesquisadas, 21
possuem menos ou 60% dos controles pesquisados presentes na ISO/IEC
17799:2005.
Em relao s sees da norma ISO/IEC 17799:2005 foi verificada uma baixa
adequao das pequenas e mdias empresas, o que pode demonstrar que a norma
requer muitos controles que a maioria no est preocupada em implantar ou no
possuem tempo ou dinheiro para isso. Contando que a norma sugere 127 controles
e neste trabalho foram selecionados somente 20, esperava-se uma grande
adequao aos controles.
O presente estudo mostrou que as pequenas e mdias empresas, apesar de
considerarem a perda financeira como o principal fator para adoo da gesto da
segurana da informao, so carentes de informaes sobre a correta gesto da
segurana da informao.
Para estudos futuros, recomenda-se aplicar a pesquisa em outros setores da
economia como empresas de: servios ou comrcio, a fim de verificar a amplitude
das anlises. Uma amostra maior de empresas tambm poderia relevar maiores
informaes e possibilitar indicar um fator inibidor.
Recomendam-se tambm estudos para verificar a causa da falta de
conhecimento dos gestores em gesto da segurana da informao e TI, haveria
uma falta de interesse por parte das empresas ou dos gestores?

97

6 REFERNCIAS
ADACHI, Tomi. Gesto de Segurana em Internet Banking So Paulo: FGV,
2004. 121p. Mestrado. Fundao Getlio Vargas Administrao. Orientador:
Eduardo Henrique Diniz.
____________; DINIZ, Eduardo Henrique. Gesto de Segurana em Internet
Banking: um estudo de casos mltiplos no Brasil. ENANPAD - 29 Encontro da
ANPAD, 2005.
ALBERTIN, Alberto Luiz. Administrao de Informtica: funes e fatores
crticos de sucesso So Paulo: Atlas, 2004.
APPOLINRIO, Fabio. Metodologia da Cincia: filosofia e prtica da pesquisa
So Paulo: Pioneira Thomson Learning, 2006.
BANTEL, Guilherme. Fraudes virtuais crescem 1.313% no Brasil IDG Now:
08/07/2005 12h14. Disponvel em: <http://www.idgnow.uol.com.br>.
BEAL, Adriana. Segurana da Informao: princpios e melhores prticas para a
proteo dos ativos de informao nas organizaes So Paulo: Atlas, 2005.
CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em Informtica e de
Informaes So Paulo: Editora SENAC So Paulo, 1999.
CERNEV, Adrian Kemmer; LEITE, Jaci Corra. Segurana na Internet: a
percepo dos usurios como fator de restrio ao comrcio eletrnico no
Brasil ENANPAD, 2005.
COMIT GESTOR DA INTERNET NO BRASIL. Pesquisa sobre o uso das
tecnologias da informao e da comunicao no Brasil 2005. Disponvel em
<http://www.mct.gov.br/upd_blob/10819.pdf>. Acesso em 27/12/2006 s 20h48min.
COMPUTERWORLD. SMBs brasileiras investem US$ 260 mi em segurana em
2007

ComputerWorld,

<http://computerworld.uol.com.br/

21/11/2006

08h05.

Disponvel

em

seguranca/2006/11/21/idgnoticia.2006-11-

20.6002581207/IDGNoticia_view>. Acesso em 28/12/2006 s 12h10.

CRAGG, Paul B.; KING, Malcolm. Small-Firm Computing: motivators and
inhibitors MIS Quarterly, maro/1993, pg. 47-60.

98

FONTES, Edison. Segurana da Informao: o usurio faz a diferena - So

Paulo: Saraiva, 2006.
GABBAY, Max Simon. Fatores influenciadores da implementao de aes de
Gesto de Segurana da Informao: um estudo com executivos e gerentes de
tecnologia da informao em empresas do Rio Grande do Norte. 01/06/2003. 1v.
150p. Mestrado. Universidade Federal do Rio Grande do Norte - Engenharia de
Produo. Orientador(es): Anatlia Saraiva Martins Ramos. Biblioteca Depositaria:
BCZM
GIL, Antonio Carlos. Como elaborar projetos de pesquisa So Paulo: Atlas,
2002.
GUPTA, Atul; HAMMOND, Rex. Information systems security issues and
decisions for small business: an empirical examination Information
Management

&

Computer

Security,

2004,

pg.

297-310.

Disponvel

em

<http://www.emeralinsight.com/0968-5227.htm>. Acesso em 09/09/2006.

HAIR, JR Joseph F.; BABIN, Barry; MONEY Arthur H.; SAMOUEL, Phillip.
Fundamentos de Mtodos de Pesquisa em Administrao - Porto Alegre:
Bookman, 2005.
HITT, Michael A.; IRELAND, R. Duane; HOSKISSON, Robert E. Administrao
Estratgica So Paulo: Pioneira Thomson Learning, 2005.
HOLANDA, Roosevelt de. O estado da arte em sistemas de gesto da segurana
da Informao: Norma ISO/IEC 27001:2005 So Paulo: Mdulo Security
Magazine, 19 jan 2006. Disponvel em <http://www.modulo.com.br>.
ISO 17799. ABNT NBR ISO/IEC 17799:2005 Tecnologia da Informao
Tcnicas de segurana Cdigo de prtica para a gesto da segurana da
informao. Associao Brasileira de Normas Tcnicas Rio de Janeiro: ABNT,
2005.
MESQUITA, Renata. Ataques hackers triplicaram no 1 trimestre - Planto INFO:
30/04/2003 09h49. Disponvel em <http://www.infoexame.com.br>.

99

MITNICK, Kevin D.; SIMONS, William L. A Arte de Enganar: ataques de hackers:

controlando o fator humano na segurana da informao So Paulo: Pearson
Education, 2003.
MDULO. 9 Pesquisa Nacional de Segurana da Informao Rio de Janeiro:
Outubro/2003. Disponvel em <http://www.modulo.com.br>.
MORAES, Giseli Diniz de Almeida; TERENCE, Ana Cladia Fernandes; ESCRIVO
FILHO, Edmundo. A tecnologia da informao como suporte gesto
estratgica da informao na pequena empresa Revista de Gesto da
Tecnologia e Sistemas da Informao, v.1, n.1, 2004, pg. 28-44.
NERY, Fernando; PARANHOS, Maurcio. COBIT ou ISO 17799? Iniciando a reflexo
- Mdulo Security Magazine, 23/09/2003. Disponvel em http://www.modulo.com.br.
LUNARDI, Guilherme Lerch; DOLCI, Pietro Cunha. Adoo de Tecnologia da
Informao e seu Impacto no Desempenho Organizacional: um estudo
realizado com micro e pequenas empresas Salvador: ENANPAD - 30 Encontro
da ANPAD, 2006.
OLIVA, Rodrigo Polydoro; OLIVEIRA, Mrian. Elaborao, Implantao e
Manuteno de Poltica de Segurana por Empresas no Rio Grande do Sul em
relao s recomendaes da NBR/ISO17799 ENANPAD, 2003.
PALVIA, Prashant C.;

PALVIA, Shailendra C. An examination of the IT

satisfaction of small-business users. Information & Management. Amsterdam: Mar

8, 1999.Vol.35, Iss. 3; pg. 127, 11 pgs
PRATES, Glucia Aparecida; OSPINA, Marco Tlio. Tecnologia da Informao em
Pequenas Empresas: fatores de xito, restries e benefcios RAC, v.8, n.2,
Abr/Jun-2004, pg. 09-26.
ROCHA, Lus Fernando. Governana em TI e Segurana: COBIT e ISO 17799 no
mercado financeiro Modulo Security Magazine, 29/09/2003. Disponvel em
<http://www.modulo.com.br>.
SANTOS

JR.,

Silvio;

FREITAS,

Henrique;

LUCIANO,

Edimara

Mezzomo.

Dificuldades para o uso da tecnologia da informao RAE Eletrnica, v.4, n.2,

art.20, jul/dez-2005.

100

SCHNEIER, Bruce. Segurana.com: segredos e mentiras sobre a proteo na

vida digital Rio de Janeiro: Campus, 2001.
SMOLA, Marcos. Gesto da Segurana da Informao: uma viso executiva
Rio de Janeiro: Campus, 2003.
VALIM, Carlos Eduardo. Polcia Civil cobra informaes sobre fraudes
ComputerWorld:

27/04/2005

<http://www.computerworld.uol.com.br>.

16h26.

Disponvel

em

101

APNDICE

102

QUESTIONRIO
Grupo de variveis e seu construto
Grupo de
Variveis
Perfil do
Gestor
Perfil do
Gestor
Perfil do
Gestor

Enunciado

Opes de Resposta

Por favor, informe seu e-mail:

aberta

Escolha abaixo o cargo que mais se aproxima do seu:

Perfil do
Gestor

Selecione abaixo a opo que melhor descreve o seu envolvimento

nos processos de aquisio de produtos ou servios em Tecnologia
da Informao e/ou Gesto da Segurana da Informao:
Qual o nmero total de funcionrios de sua empresa?

cargo: scio-proprietrio, diretor,

gerente, supervisor, analista
departamento: presidncia/
gerncia geral, finanas,
tecnologia da informao,
suprimentos, engenharia,
contabilidade, comercial (vendas),
qualidade, rh, jurdico, auditoria
a deciso minha; a deciso final
no minha, mas contribuo, no
participo do processo
01 a 09, 10 a 49, 50 a 99, 100 a
499, acima de 500

Perfil da
Empresa

Qual seu departamento?

Perfil da
Empresa

Qual a quantidade de computadores em uso?

Perfil da
Empresa

Na sua empresa a responsabilidade pela rea de Tecnologia da

Informao (TI) de:

Perfil da
Empresa

Quanto ao nvel de informatizao da sua empresa voc o considera:

menos de 5, de 5 a 10, de 10 a
20, de 21 a 100, de 101 a 500,
acima de 500
um departamento interno, uma
empresa terceira com contrato,
uma empresa terceira com
chamadas eventuais
baixo (edio de documentos, emails, acesso a internet); mdio
(nvel baixo + uso intensivo de
planilha eletrnicas, Internet
Banking); alto (nvel mdio +
sistema integrado, acesso remoto
a funcionrios/ fornecedores,
comrcio eletrnico)

Fonte

Santos Jr, Freitas e Luciano

(2005)

Gabbay (2003)

103

Ferramentas e
Tcnicas

Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas

Atribua uma nota relativa ao grau de importncia atribudo pela sua

empresa s ferramentas ou tcnicas de Segurana da Informao.
Quanto maior a nota mais importante para sua empresa.
Classificao da informao no formato fsico e no formato eletrnico
(ex: confidencial, restrita, interna, pblica)
Regras para uso da informao e dos recursos de TI (internet, email, ...)
Sala de servidores protegida e em local restrito
Equipamento para proteo de falhas na energia eltrica (ex: nobreak)
Antivrus

nota de 1 a 5, se a empresa
possui ou no

Beal (2005), Caruso e Steffen

(1999), Mdulo (2003), ISO
17799 (2005)

nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no

ISO 17799 (2005)

Ferramentas e
Tcnicas

Sistema de backup (cpia de segurana)

nota de 1 a 5, se a empresa
possui ou no

Ferramentas e
Tcnicas
Ferramentas e
Tcnicas

Firewall (proteo da rede local contra acessos indevidos)

nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no

Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas

Descarte seguro da mdia removvel (ex: disquete, CD, DVD, ...) e

documentao de sistemas quando no forem mais necessrias,
usando incinerao ou triturao
Monitoramento e anlise crtica dos registros (logs) de auditoria com
atividades dos usurios, excees e outros eventos de segurana da
informao
Canais de comunicao para registro e notificao de fragilidades e
eventos de segurana da informao (ex: intranet, formulrios,
telefone de suporte)
Nome de usurio, senha individual e secreta para acesso a rede
Uso de criptografia em banco de dados e/ou para troca de
informaes (ex: (certificados de chaves pblicas, assinaturas
digitais)
Superviso do desenvolvimento terceirizado de software com
requisitos para controles de segurana da informao
Atualizao de software para correo de falhas de segurana e/ou
vulnerabilidades tcnicas (ex: Windows Update)

Caruso e Steffen (1999), ISO

17799 (2005)
Mdulo (2003), ISO 17799
(2005)
Caruso e Steffen (1999),
Mdulo (2003), ISO 17799
(2005)
Beal (2005), Caruso e Steffen
(1999), Mdulo (2003), ISO
17799 (2005)
ISO 17799 (2005)
ISO 17799 (2005), Smola
(2003)

nota de 1 a 5, se a empresa
possui ou no

ISO 17799 (2005)

nota de 1 a 5, se a empresa
possui ou no

ISO 17799 (2005)

nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no

Caruso e Steffen (1999), ISO

17799 (2005)
Adachi (2005), ISO 17799
(2005)

nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no

Beal (2005), ISO 17799 (2005)

ISO 17799 (2005)

104

Ferramentas e
Tcnicas

Poltica de segurana da informao formalizada com apoio da

direo e divulgao a todos os funcionrios

nota de 1 a 5, se a empresa
possui ou no

Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas

Contratos e acordos com terceiros contendo termos claros relativos a

segurana
Conscientizao, educao e treinamento em segurana da
informao (ex: palestras, cursos, cartazes, ...)
Plano formalizado de recuperao de desastres e contingncia,
visando a continuidade do negcio da organizao
Controle dos direitos de propriedade intelectual (software,
documentos, projetos, marcas, patentes, licenas de cdigo-fonte)
de acordo com requisitos legais
Aviso aos usurios sobre o monitoramento dos recursos de TI, de
forma a dissuadi-los a us-los para propsitos no autorizados e
garantir que a organizao est em conformidade com a lei
Recomendao de um especialista externo ou fornecedor da rea

nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no

Fontes (2006), ISO 17799

(2005)

nota de 1 a 5

Incidente de segurana ocorrido anteriormente

nota de 1 a 5

Conscincia do prprio gestor

nota de 1 a 5

Entrevista, Thong (2004),

Cragg e King (1993)
Entrevista, Gabbay (2003),
Gupta e Hammond (2004)
Palvia e Palvia (1999)

Para evitar possveis perdas financeiras ou operacionais

nota de 1 a 5

Entrevista

Valor do investimento
Dificuldade em mensurar a relao custo/benefcio do investimento
Falta de conhecimentos sobre ferramentas ou tcnicas de defesa

nota de 1 a 5
nota de 1 a 5
nota de 1 a 5

Cultura organizacional

nota de 1 a 5

Prates e Ospina (2004)

Entrevista, Mdulo (2003)
Entrevista, Prates e Ospina
(2004)
Lunardi e Dolci (2006)

Ferramentas e
Tcnicas
Fator
Motivador
Fator
Motivador
Fator
Motivador
Fator
Motivador
Fator Inibidor
Fator Inibidor
Fator Inibidor
Fator Inibidor

Beal (2005), ISO 17799

(2005), Smola (2003), Caruso
e Steffen (1999)
ISO 17799 (2005)
Fontes (2006), ISO 17799
(2005)
ISO 17799 (2005)
ISO 17799 (2005)