Renata-Michele-Correa Monografia e TabelaExcel 1207

RENATA MICHELE CORRA
UM ESTUDO DE CASO SOBRE A

GESTO DA SEGURANA DA INFORMAO
EM UMA EMPRESA PRIVADA
LAVRAS MG
2014
UM ESTUDO DE CASO SOBRE A GESTO DA SEGURANA DA

INFORMAO EM UMA EMPRESA PRIVADA
Monografia apresentada ao Colegiado do Curso

de Sistemas de Informao, para a obteno do
ttulo de Bacharel em Sistemas de Informao.
rea de Concentrao:
Segurana da Informao
Orientador:
Prof. Rmulo Maia Alves
LAVRAS - MG
2014
UM ESTUDO DE CASO SOBRE A GESTO DA SEGURANA DA

INFORMAO EM UMA EMPRESA PRIVADA
Monografia apresentada ao Colegiado do Curso

de Sistemas de Informao, para a obteno do
ttulo de Bacharel em Sistemas de Informao.
LAVRAS - MG
2014
AGRADECIMENTOS
Deus primeiramente, por ter sempre me mostrado claramente os
caminhos e me ajudado em todos os aspectos da minha vida, me abenoando
sempre.
Ao meu orientador Rmulo Maia Alves, que com seu conhecimento e
sabedoria colaborou enormemente durante a elaborao deste trabalho, obrigada
por tudo.
Ao pessoal do DGTI, que durante toda a minha graduao dividiram
comigo suas experincias e me ensinaram muito, o que contribuiu para minha
formao pessoal e profissional. Em especial, Clayton Ferreira Santos que
colaborou imensamente para este trabalho.
minha irm Sheila e seu esposo Edgar por acreditarem na minha
capacidade me dando a possibilidade da concretizao de um sonho, e pela
gentileza de ajudar-me em minha pesquisa.
minha famlia por participar de toda essa caminhada, me apoiando
sempre, e me dando fora para continuar e no desistir. Em especial a minha
me, que sempre cuidou e me amou incondicionalmente, estando sempre
presente em todos os momentos de minha vida.
Ao meu namorado Diego, que esteve cada segundo ao meu lado no me
deixando desanimar e me dando todo seu amor. Pela sua pacincia e
compreenso nos meus momentos difceis e por partilhar comigo a sua vida.
Obrigada meu amor, por tudo.
Aos amigos que me acompanharam durante essa caminhada longa e
cheia de desafios.
Por fim, agradeo a todos que no citei aqui, mas que colaboraram direta
ou indiretamente.
RESUMO
A Segurana da Informao se tornou um ponto crucial para a sobrevivncia das

empresas no mercado, dado ao aumento no uso da internet e no crescimento
desenfreado de novas tecnologias. Este trabalho monogrfico apresenta um
estudo de caso sobre a Gesto de Segurana da informao em uma empresa
privada, onde foram analisados os objetivos de controle e controles relacionados
segurana da informao. Foram coletadas as informaes por meio de visitas
ao local, e tiradas fotos de falhas de segurana. So apresentados os principais
problemas, e sugerem-se solues para os principais pontos problemticos
encontrados. So feitas anlises quanto conformidade da gesto da segurana
da informao da empresa em relao s normas da famlia ISO 27000,
sobretudo as normas ABNT NBR ISO/IEC 27001 Sistemas de Gesto de
Segurana da Informao Requisitos, ABNT NBR ISO/IEC 27002 Cdigo
de Prtica para a Gesto de Segurana da informao, ABNT NBR ISO/IEC
27005 Gesto de risco de segurana da informao e demais modelos e
mtodos de gesto de risco e segurana da informao. Por fim, foi elaborado
um relatrio com base na gesto de riscos.
Palavras-chave: Segurana da Informao, Gesto da Segurana da Informao,

ISO/IEC 27001:2006, ISO/IEC 27002:2005, ISO/IEC 27005:2008.
ABSTRACT
Information security has become a crucial point for the survival of companies in
the market, given the increasing use of the Internet and the rampant growth of
new technologies. This monograph presents a case study about the information
security management in a private company, the control objectives and controls
related to information security were analyzed. Information through site visits
was collected and photos were taken from security flaws. The main problems are
presented, and it is suggested solutions to the major problematic points found.
Analyses are made about the conformity of the company information security
management in relation to ISO 27000 family standards, particularly ABNT NBR
ISO/IEC 27001 Information Security Management Systems Requirements,
ABNT NBR ISO/IEC 27002 - Code of Practice for Information Security
Management, ABNT NBR ISO/IEC 27005 Risk management and information
security models, and other risk management and information security methods.
Finally, a report was produced based on the risk management.
Keywords: Information Security, Information Security Management, ISO/IEC

27001:2006, ISO/IEC 27002:2005, ISO/IEC 27005:2008.
LISTA DE FIGURAS
Figura 1: Quadro de Ameaas............................................................................... 8
Figura 2: Composio dos Riscos ....................................................................... 10
Figura 3: PDCA .................................................................................................. 20
Figura 4: Processo de Gesto de Riscos de Segurana da Informao ............... 23
Figura 5: Organograma Geral ............................................................................ 29
Figura 6: Organograma TI .................................................................................. 30
LISTA DE QUADROS
Quadro 1: Anlise SWOT ................................................................................... 31
Quadro 2: Controles selecionados do COBIT .................................................... 72
Quadro 3: Controles da Norma ABNT NBR 27001 ........................................... 90
LISTA DE GRFICOS
Grfico 1: Distribuio dos Ativos ..................................................................... 44
Grfico 2: Impactos ............................................................................................ 45
Grfico 3: Quantidade de Riscos ........................................................................ 46
Grfico 4: Riscos Residuais ................................................................................ 47
LISTA DE ABREVIATURAS E SIGLAS

ABNT
COBIT
ERP
IEC
ISACF
ISO
ITGI
ITIL
NBR
PDCA
SGSI
TI
Associao Brasileira de Normas Tcnicas

Control Objectives for Information and Related Technology
Enterprise Resource Planning
International Electrotechnical Comission
Information Systems Audit and Control Foundation
International Organization for Standardization
The IT Governance Institute
Information Technology Infrastructure Library
Norma Brasileira
Planejamento, Execuo, Controle e Ao
Sistema de Gesto de Segurana da Informao
Tecnologia da Informao
SUMRIO
1 INTRODUO ................................................................................................. 1
1.1 Motivao .......................................................................................... 3
1.2 Objetivos ............................................................................................ 3
1.3 Estrutura do Trabalho......................................................................... 4
2 SEGURANA DA INFORMAO ................................................................ 5
2.1 Consideraes iniciais ........................................................................ 5
2.2 Viso Geral ........................................................................................ 5
2.3 Princpios da Segurana da Informao ............................................. 7
2.4 Vulnerabilidades ............................................................................... 7
2.5 Ameaas Segurana da Informao ................................................ 8
2.5.1 Tipos de Ameaas .............................................................. 8
2.6 Mecanismos de proteo .................................................................... 9
2.6.1 Poltica de Segurana da Informao ................................. 9
2.6.2 Avaliao de Riscos ........................................................... 9
2.6.3 A Segurana fsica............................................................ 10
2.7 Gesto de Riscos .............................................................................. 11
2.8 Segurana da Informao e sua importncia dentro do ambiente
empresarial ............................................................................................. 12
2.9 COBIT (Control Objectives for Information and Related
Technology) ........................................................................................... 13
2.9.1 Os critrios de informao do COBIT ............................. 14
2.9.2 Caractersticas do COBIT ................................................ 15
2.9.3 Tipos de Controle ............................................................. 15
2.9.4 Medies ......................................................................... 16
2.9.5 Modelo de maturidade do COBIT .................................... 16
2.10 Normas ABNT NBR ISO/IEC da srie 27000 ............................... 17
2.10.1 Consideraes Iniciais .................................................... 17
2.10.2 ABNT NBR ISO/IEC 27001 .......................................... 18
2.10.3 ABNT NBR ISO/IEC 27002 .......................................... 19
2.10.4 ABNT NBR ISO/IEC 27005 .......................................... 21
2.11 Poltica de Segurana da Informao ............................................. 24
2.11.1 Caractersticas e benefcios da poltica .......................... 25
3 METODOLOGIA ............................................................................................ 27
3.1 Tipos de Pesquisa ............................................................................. 27
3.2 Procedimentos Metodolgicos ......................................................... 27
3.3 Misso .............................................................................................. 28
3.4 Caracterizao da empresa ............................................................... 28
3.5 Definio do Escopo do projeto ....................................................... 30
3.6 Anlise SWOT ................................................................................. 31
3.6.1 Pontos positivos da empresa ............................................ 32
3.6.2 Pontos negativos da empresa............................................ 32

3.6.3 Fatores crticos ................................................................. 33
3.7 Gesto de Riscos .............................................................................. 34
4 RESULTADOS OBTIDOS ............................................................................. 44
5 CONSIDERAES FINAIS .......................................................................... 52
REFERNCIAS BIBLIOGRFICAS................................................................ 54
APNDICE A: Poltica de Segurana ................................................................ 60
APNDICE B: Relatrio Final para a empresa .................................................. 71
APNDICE C: Sugesto de Controles do COBIT ............................................. 72
APNDICE D: Sugesto de Controles da Norma 27001 ................................... 90
APNDICE E: Termo de Aceitao dos Riscos................................................. 94
ANEXO A: Fotos................................................................................................ 95
ANEXO B: Termo de Confidencialidade ......................................................... 104
1.
INTRODUO
A Segurana da informao a proteo da informao de vrios tipos

de ameaas para garantir a continuidade do negcio, minimizar o risco ao
negcio, maximizar o retorno sobre os investimentos e as oportunidades de
negcio. Definir, alcanar, manter e melhorar a segurana da informao pode
ser atividade essencial para assegurar a competitividade da empresa no mercado
(ABNT NBR ISO/IEC 27002, 2005).
A Segurana da informao se tornou alvo de discusses em todo o
mundo. Nas pequenas e mdias empresas a Segurana ainda menor por falta de
pessoal qualificado, e falta de adoo de medidas preventivas. A tecnologia est
presente em todas as atividades de hoje em dia, e o diferencial das empresas
poder dar ao cliente e fornecedores um nvel adequado de Segurana.
Segundo CARVALHO (2013), o problema da Segurana est
relacionado com as vulnerabilidades no tratadas, ou seja, produtos mal
configurados, software desatualizados, profissionais sem treinamento ou com
treinamento falho, funcionrios sem comprometimento e falta de uma poltica
de Segurana.
preciso que as empresas se conscientizem que a tecnologia sozinha
no vai resolver o problema da segurana, e preciso qualificar os profissionais
e estruturar os processos. As normas mais utilizadas para buscar a eficincia na
segurana so as internacionais da ISO (International Organization for
Standardization) ou ISO/IEC (International Organization for Standardization/
International Electrotechnical Comission).
A empresa na qual se realizou o estudo de caso preferiu no ser
identificada, ela restringiu e manteve sigilo a algumas informaes. Assim
adotou-se como pseudnimo Anonimous Corporation para preservar o objeto de
estudo. A justificativa para este trabalho manifesta-se na importncia de se
avaliar como est estabelecida a Gesto de Segurana da informao na empresa

Anonimous Corporation.
H 50 anos no mercado, a empresa hoje, encontra-se defasada em
relao s outras empresas que esto atentas as novas tecnologias e a
importncia da segurana de suas informaes. Este trabalho tem como principal
objetivo auxiliar a empresa nos seus pontos negativos e, colaborar com
sugestes de melhoria cabveis dentro das normas da famlia NBR ISO/IEC
27000.
A proposta tentar entender bem o negcio da organizao e suas
relaes internas e externas, e a partir da fazer uma Gesto de Riscos. No
contexto empresarial, necessrio estar atento segurana dos dados para evitar
o retrabalho e possveis prejuzos empresa.
Portanto, as organizaes devem satisfazer os requisitos de qualidade,
guarda e segurana de suas informaes, bem como de todos seus bens. Os
executivos devem tambm otimizar o uso dos recursos de TI disponveis,
incluindo os aplicativos, informaes, infraestrutura e pessoas. Para cumprir
essas responsabilidades, bem como atingir seus objetivos, os executivos devem
entender o estgio atual de sua arquitetura de TI e decidir que governana e
controle ela deve prover (ITGI, 2007 p. 7).
3
1.1
Motivao
Pode-se considerar como motivao para a concretizao deste trabalho:

Entendimento mais aprofundado das normas.
Avaliar como est estabelecida a Gesto de Segurana da Informao no
setor de TI da empresa Anonimous Corporation.
Conscientizao dos responsveis da empresa quanto importncia da
Gesto da Informao.
Maior conhecimento do ambiente empresarial, principalmente do setor
TI.
1.2 Objetivos
O objetivo principal deste estudo apresentar um estudo de caso sobre a

Gesto de Segurana da informao no setor de TI em uma empresa privada.
Este estudo ser realizado com o auxlio das normas ABNT ISO/IEC da srie
27000 e o COBIT. Como resultado, pretende-se propor um relatrio a empresa
objeto deste estudo com melhoria nas boas prticas de segurana da informao.
Para que isso ocorra, como objetivos especficos, so definidos os seguintes
passos:
Fazer a anlise de Gesto de Risco da empresa;
Apresentar a Segurana da Informao e sua importncia dentro do

ambiente empresarial;
Apresentar as caractersticas das normas da srie 27000;
Apresentar as caractersticas do COBIT;
Observar e analisar os controles de segurana da informao

encontrados na organizao relativos poltica de segurana da
informao, tendo como base o disposto nas normas da srie 27000;
Analisar fatores crticos de sucesso Gesto de Segurana da

Informao na empresa, como por exemplo, o apoio da alta
administrao, a participao de todas as reas e a conscientizao e
capacitao em Segurana da Informao;
Propor um relatrio de melhoria das boas prticas de Gesto de

Segurana da informao;
1.3 Estrutura do Trabalho
Este trabalho encontra-se organizado em seis captulos, sendo os

prximos descritos a seguir. No Captulo 1 deste trabalho so apresentados a
motivao e os objetivos. No Captulo 2 apresentada uma reviso bibliogrfica
do assunto que ser abordado, os Princpios da Segurana da Informao na
Seo 2.3, Vulnerabilidades na Seo 2.4, Ameaas a Segurana da Informao
na Seo 2.5, mecanismos de proteo na Seo 2.6 e uma breve introduo da
Gesto de Riscos e Importncia da Segurana no ambiente empresarial na Seo
2.7 e 2.8. Na Seo 2.10 so apresentadas as normas da srie 27000, e no
Captulo 3 feita uma anlise da organizao.
Os resultados obtidos, as consideraes finais e sugestes de trabalhos
futuros se encontram respectivamente nos Captulos 4, 5 e 6.
5
2. SEGURANA DA INFORMAO
2.1 Consideraes Iniciais
Neste captulo, ser apresentado o referencial terico que serviu como

base para este estudo. Foram reunidos os conceitos e definies de Segurana da
Informao, classificao da informao, a importncia da Segurana da
Informao no contexto empresarial e os tipos de Segurana. Em seguida, so
descritos os princpios, vulnerabilidades, ameaas, tipos de ameaas, os
mecanismos de proteo, a segurana fsica e o controle de acesso.
2.2 Viso Geral
Boran (1996) e Abreu (2001) classificam a informao em nveis de

prioridade, respeitando a necessidade de cada empresa assim como a
importncia da classe de informao para a manuteno das atividades da
empresa:
Pblica: Informao que pode vir a pblico sem maiores consequncias

ao funcionamento normal da empresa, e cuja integridade no vital.
Interna: O acesso livre a este tipo de informao deve ser evitado,

embora as consequncias do uso no autorizado no sejam por demais
srias. Sua integridade importante, mesmo que no seja vital.
Confidencial: Informao restrita aos limites da empresa, cuja

divulgao ou perda pode levar a desequilbrio operacional, e
eventualmente, a perdas financeiras ou de confiabilidade perante o
cliente externo.
Secreta: Informao crtica para as atividades da empresa, cuja

integridade deve ser preservada a qualquer custo e cujo acesso deve ser
6
restrito a um nmero reduzido de pessoas. A segurana desse tipo de
informao vital para a companhia.
A Segurana da Informao a rea do conhecimento dedicada

proteo de ativos da informao contra acessos no autorizados, alteraes
indevidas ou sua indisponibilidade. Os ativos so recursos, pessoas, bens e
servios, que a empresa possui e que geram receita (SMOLA, 2003).
A Segurana da Informao um ponto importante, pois ela defende um
dos principais ativos das organizaes, suas informaes. H uma enorme
necessidade de garantir a segurana deste ativo. Entretanto, ainda hoje a
segurana tratada de maneira superficial por grande parte das organizaes.
No recebendo a devida importncia e sem a definio de uma boa estratgia de
segurana, so utilizadas tcnicas parciais ou incompletas que podem aumentar a
vulnerabilidade da organizao (NAKAMURA; GEUS, 2007).
A mudana e o crescimento da tecnologia dos computadores tomam
conta dos ambientes de escritrio, quebram o paradigma e chegam a qualquer
lugar do mundo, atravs dos computadores portteis e da rede mundial de
computadores: a Internet (SMOLA, 2003).
Como a Internet, a segurana da informao tambm evoluiu. Saiu da
rea da TI, onde se preocupava em ter um sistema de antivrus, um firewall
configurado, para um nvel de gesto que precisa investir e desenvolver pessoas
e processos. A segurana um tema amplo e vem sendo discutida por muitos
especialistas, e possvel afirmar que nada est totalmente seguro (GABBAY,
2003, p. 14).
7
2.3 Princpios da Segurana da Informao
Segundo Albuquerque (2002) e Krause (1999) h trs princpios bsicos

para garantir a segurana da informao:
Confidencialidade: A informao somente pode ser acessada por

pessoas explicitamente autorizadas. a proteo de sistemas de
informao para impedir que pessoas no autorizadas tenham acesso.
Disponibilidade: A informao deve estar disponvel no momento em

que a mesma for necessria.
Integridade: A informao deve ser recuperada em sua forma original

(no momento em que foi armazenada). a proteo dos dados ou
informaes contra modificaes intencionais ou acidentais no
autorizadas.
2.4 Vulnerabilidades
Uma vulnerabilidade um defeito ou fraqueza no design ou na

implementao de um sistema de informaes (incluindo procedimentos de
segurana e controles de segurana associados ao sistema), que pode ser
intencionalmente ou acidentalmente explorada, afetando a confidencialidade,
integridade ou disponibilidade (ROSS, 2005).
A vulnerabilidade precisa de investigao e ser tratada de forma
prioritria, pois pode acarretar prejuzos se explorada por terceiros mal
intencionados.
8
2.5 Ameaas Segurana da Informao
Ameaa so agentes ou condies que causam incidentes que

comprometem as informaes e seus ativos por meio de explorao de
vulnerabilidades, provocando perdas de confidencialidade, integridade e
disponibilidade, consequentemente, causando impactos aos negcios de uma
organizao (SMOLA, 2003).
2.5.1 Tipos de Ameaas
As ameaas de segurana podem ser divididas em ameaas humanas e

ameaas naturais causadas por desastres da natureza conforme ilustrado na
Figura 1. As Ameaas humanas podem ser intencionais, ou seja, provocadas de
propsito, e ameaas no intencionais provocados por treinamento falho, por
exemplo.
Figura 1: Quadro de Ameaas. Fonte: SMOLA, 2003.
9
2.6 Mecanismos de proteo
2.6.1 Poltica de Segurana da Informao
O objetivo da Poltica de Segurana da informao fornecer orientao

e apoio s aes da Gesto de Segurana da informao sobre os requisitos de
negcios e as leis e regulamentos pertinentes. A gerncia deve estabelecer uma
poltica clara e de acordo com os objetivos do negcio, e demonstrar seu apoio e
comprometimento com a segurana da informao atravs da publicao e
manuteno de uma Poltica de Segurana da informao para toda a
organizao (ISO/IEC 27002, 2005, p.12).
A Poltica de Segurana atribui direito e responsabilidades s pessoas
que lidam com os recursos computacionais de uma instituio e com as
informaes nelas armazenadas. Ela tambm define as atribuies de cada um
em relao segurana dos recursos com os quais trabalham. Uma Poltica de
Segurana tambm deve prever o que pode ser feito na rede da instituio e o
que ser considerado inaceitvel. Tudo o que descumprir a Poltica de Segurana
pode ser considerado um incidente de segurana. Na Poltica de Segurana
tambm so definidas as penalidades as quais esto sujeitos queles que no
cumprirem a poltica (CERT.BR, 2005).
2.6.2 Avaliao de riscos
Riscos probabilidade de ameaas explorarem vulnerabilidades,

provocando perdas de confidencialidade, integridade e disponibilidade,
causando, possivelmente, impacto nos negcios (SMOLA, 2003). As medidas
de segurana reduzem esses impactos, protegem o negcio que baseado em
10
informaes que esto sujeitas as vulnerabilidades, conforme a Figura 2, que
mostra a composio dos riscos.
Figura 2: Composio do Risco. Fonte: SMOLA, 2003.
2.6.3 A segurana fsica
A segurana fsica e do ambiente manter a rea de trabalho segura de

interferncias, a norma ISO/IEC 27002 traz algumas boas prticas que auxiliam
nessa segurana. Segundo a norma ISO/IEC 27002, 2005, p.47:
11
Para a segurana fsica e de ambiente, o objetivo impedir
o acesso fsico no autorizado, dano ou interferncia nas
instalaes e informaes da organizao. Os servios de
processamento de informaes sensveis devem ser realizados
em reas seguras e protegidas, em um permetro de
segurana definido por barreiras e controles de entrada
adequada. Estas reas devem ser fisicamente protegidas
contra acesso no autorizado, danos e interferncias. A
proteo fornecida deve ser proporcional aos riscos
identificados. Para evitar a perda, dano, roubo ou
comprometimento de ativos e interrupo das atividades da
organizao, os equipamentos devem ser protegidos contra
ameaas fsicas e ambientais. A proteo dos equipamentos
necessria para reduzir o risco de acesso no autorizado
informao e proteo contra perda ou roubo. Da mesma
forma, deve-se a considerar controles especiais para proteo
contra ameaas contra estruturas fsicas e a garantia de
servios como eletricidade e infraestrutura local.
2.7 Gesto de Riscos
Para identificar o risco necessrio especificar todas as ameaas e

vulnerabilidades que podem afetar a segurana dos sistemas de informao em
todo o seu ciclo de vida (HAMPSHIRE; TOMIMURA, 2004).
A implementao da metodologia de avaliao dos riscos envolve a
identificao dos ativos, das ameaas, das vulnerabilidades e dos riscos,
avaliando e selecionando medidas de segurana para reduzir os riscos e para
implementar medidas que assegurem a segurana (VELLANI, 2006).
Com a implementao da metodologia de avaliao de riscos, possvel
aumentar a eficincia operacional reduzindo assim as perdas, fraudes, falhas,
acidentes, conduzindo a organizao melhoria dos seus processos (MAYER;
FAGUNDES, 2008). A avaliao de riscos procura identificar os riscos de
segurana envolvidos com a confiana em um sistema definido. Com base no
entendimento de alguns fatores como os ativos, as ameaas e as vulnerabilidades
so possveis identificar a exposio a um risco (VELLANI, 2006).
12
2.8 Segurana da Informao e sua importncia dentro do ambiente
empresarial
Os incidentes de segurana tm aumentado em todo o mundo, sendo os

ataques de hackers no limitados mais as empresas. De acordo com a Pesquisa
Global de Segurana de Informao (PWC do Brasil, 2013), a maioria dos
executivos de vrios setores empresariais no mundo, inclusive no Brasil, se
sentem confiantes com relao segurana. E dizem que, para competir no
mercado preciso alinhamento, liderana e profissionais treinados, alm disso,
estratgia inteligente, tecnologia apropriada e ateno aos concorrentes.
Segundo Netto e Vidal. (2004), medida que as empresas foram
tornando-se dependentes da tecnologia, mais vulnerveis ficaram a crimes e
fraudes. Toda organizao tem processo produtivo ou servio, clientes,
funcionrios, acesso internet, dados confidenciais e pontos crticos que
interessam a agentes mal intencionados ou a terceiros. Algumas questes podem
ajudar a esclarecer a importncia da segurana da informao: Quanto custa para
a empresa um dia de parada? Uma entrega atrasada? Qual o impacto financeiro
em perder um cliente responsvel por uma linha de produo? Em enviar
produo sem laudo da Qualidade? Do fechamento do ms sem apurao do
custo de produo? Como produzir sem ordem/controle de produo?
Alguns funcionrios ainda preocupam-se apenas com aspectos
relacionados segurana dos ativos tecnolgicos, quando na verdade a
segurana da informao depende tambm de fatores humanos, de processos.
Mesmo sob as constataes acima explicitadas, os funcionrios consideram que,
ainda que de forma reativa, a segurana da informao na empresa consegue na
maioria do tempo manter a integridade, disponibilidade e a confidencialidade
das informaes organizacionais (GUALBERTO, 2010).
13
2.9 COBIT (Control Objectives for Information and Related Technology)
A governana de TI pode ser entendida como a autoridade e

responsabilidade pelas decises referentes ao uso de TI. A administrao de TI,
com seus processos de planejamento, organizao, direo e controle, tem como
objetivo garantir a realizao bem-sucedida dos esforos para o uso de TI, desde
a sua definio com o alinhamento estratgico, influenciado pelo contexto, at a
mensurao dos seus impactos no desempenho empresarial. Ela no deve ser
realizada apenas pelos executivos dessa rea, mas como uma responsabilidade
organizacional pelos executivos de negcio, que tm participao decisiva no
seu sucesso (SCHEIN, 1989).
Segundo Fagundes (2004) o COBIT um guia para a gesto de TI
recomendado pelo ISACF (Information Systems Audit and Control Foundation).
Inclui recursos tais como, sumrio executivo, framework, controle de objetivos,
mapas de auditoria, conjunto de ferramentas de implementao e guia com
tcnicas de gerenciamento. As prticas de gesto do COBIT so recomendadas
pelos peritos em gesto de TI que ajudam a otimizar os investimentos de TI e
fornecem mtricas para avaliao dos resultados.
O COBIT (2007) tem um conjunto de ferramentas eficazes focadas no
controle dos processos, dando o diagnstico do que fazer, mas no como fazer,
questo que ter de ser resolvida com a ajuda das melhores prticas de outras
metodologias. um modelo abrangente, sua utilizao independe da plataforma
de TI utilizada, ou ramo da empresa. O COBIT um instrumento de apoio para
desenhar, melhorar ou auditar processos, dizendo o que o processo deve ter.
O COBIT composto por quatro reas distintas (Planejamento e
Organizao, Aquisio e Implementao, Entrega e Suporte, Monitorao e
Suporte). Em cada uma destas reas definida uma srie de processos que visam
garantir o controle de todas as etapas. O COBIT possui 34 objetivos de controle
14
de alto nvel e 215 objetivos de controle detalhados (processos), sendo
atualmente o framework mais completo para Governana de TI. O COBIT
tambm orienta sobre as melhores prticas de gesto para cada rea da
organizao de TI. Entretanto, o COBIT no descreve detalhadamente os
procedimentos,
mesmo
porque
cada
organizao
tem
suas
prprias
caractersticas. (ITGI, 2007).
2.9.1 Os critrios de informao do COBIT:
Para atender aos objetivos de negcios, as informaes precisam se

adequar a certos critrios de controles, aos quais o COBIT denomina
necessidades de informao da empresa. Baseado em abrangentes requisitos de
qualidade, guarda e segurana, sete critrios de informao distintos e
sobrepostos so definidos. Os critrios de informao so efetividade, eficincia,
confidencialidade, integridade, disponibilidade, conformidade, confiabilidade
(COBIT, 2007).
Efetividade: a informao deve ser entregue de forma correta,

consistente e em formato til.
Eficincia: a informao deve ser provida por meio do uso otimizado

dos recursos.
Confidencialidade: informao deve ser protegida contra acesso no

autorizado.
Integridade: preciso e completude de informaes.
Disponibilidade: informaes disponveis sempre que necessrio.
Conformidade: informao deve obedecer a leis, regulamentos e

clusulas contratuais aos quais os processos de negcio esto sujeitos.
Confiabilidade: informaes adequadas para que a organizao exercite

suas atividades de negcio.
15
2.9.2 Caractersticas do COBIT:
De acordo com o ITGI (2007), as caractersticas do COBIT so:
Foco no negcio: alinhamento entre objetivos de negcio e objetivos de

TI.
Orientao a processos: organizao das atividades de TI em um

modelo de processos.
Baseado em controles: definio de objetivos de controle a serem

considerados ao gerenciar os processos.
Direcionado a medies: uso de indicadores e modelos de maturidade.
2.9.3 Tipos de Controle
Controles gerais devem ser considerados juntamente com os objetivos

de controle, para ter uma viso completa dos requisitos de controle para os
processos de TI:
Controles gerais de processos (Process Controls PCs)
Controles gerais de aplicao (Application Controls ACs)

Objetivos de controle: Especficos para cada processo (incluindo os
detalhados do COBIT). Prticas de controle (implantao de objetivos de

controle): mecanismos de controle que suportam o alcance dos objetivos de
controle, por meio do uso responsvel de recursos, gerenciamento adequado dos
riscos e alinhamento da TI aos objetivos de negcio (ITGI, 2007).
16
2.9.4 Medies
De acordo com o ITGI (2007), os nveis de maturidade descrevem perfis

de processos de TI que possam ser reconhecidos pelas organizaes, esses nveis
no estabelece patamares evolutivos, onde no se pode alcanar um nvel
superior sem antes passar pelos inferiores. A partir dos nveis de maturidade
descritos para cada um dos 34 processos, possvel identificar:
O desempenho real da organizao (onde se encontra a organizao

atualmente)
A situao atual de organizaes similares
Os avanos possibilitados pelos padres e modelos disponveis no

mercado
A meta para melhoria do processo da organizao (onde gostaria de

chegar)
2.9.5 Modelo de maturidade do COBIT
De acordo com o ITGI (2007), no COBIT, existe uma forma que auxilia
os gestores saber como sua organizao se situa no mercado, em relao aos
concorrentes, as melhores prticas existentes e identificar o que necessrio
para alcanar um nvel de gesto adequado para os processos de TI.
Para cada processo de TI relacionado um dos nveis do modelo de maturidade:
No existente: Carncia completa de qualquer processo reconhecido.
Inicial: organizao reconhece que tem problemas, porm os

mesmos so resolvidos pontualmente, sem padronizao.
Repetido: Os problemas so resolvidos com envolvimento da TI,

inclusive o nvel de gerncia. Porm no existe um processo
17
definido, tendo prticas Governana como meta. As informaes
concentram-se nos indivduos.
Definido: Definido e documentado uma estrutura de processo para

superviso da gerncia, baseado nos princpios das boas prticas.
Administrado: Nesta etapa so tomadas aes corretivas quando

existem desvios dos objetivos. Os processos esto seguindo seu fluxo
normal, e podem ocorrer melhorias nestes, quando necessrio.
Otimizado: Boas prticas de governana so seguidas. H uma

harmonia entre a TI e objetivos da empresa existindo um controle
efetivo das estratgias de TI.
2.10 Normas ABNT NBR ISO/IEC da srie 27000
2.10.1 Consideraes Iniciais
Este captulo apresenta caractersticas das normas ISO/IEC da srie

27000, o que cada norma enfatiza. A ISO/IEC 27001:2006 - Sistema de Gesto
de Segurana da Informao especifica requerimentos para estabelecer,
implementar, monitorar e rever, alm de manter e provisionar um sistema de
gerenciamento completo. A norma 27001 utiliza o PDCA como princpio da
norma e certificvel para empresas, o PDCA (Planejar-Executar-VerificarAgir, do ingls: PLAN - DO - CHECK - ACT) um mtodo iterativo de gesto
de quatro passos, utilizado para o controle e melhoria contnua de processos e
produtos. A ISO/IEC 27002:2005 - Cdigo de Melhores Prticas para a
Gesto de Segurana da Informao - mostra o caminho de como alcanar os
controles certificveis na ISO 27001. Essa ISO certificvel para profissionais e
no para empresas. A ISO/IEC 27005:2008 - Gesto de Riscos de Segurana da
Informao - responsvel por todo ciclo de controle de riscos na organizao,
18
atuando junto ISO 27001 em casos de certificao ou atravs da ISO 27002 em
casos de somente implantao.
2.10.2 ABNT NBR ISO/IEC 27001
A norma ISO/IEC 27001 foi publicada em maro de 2006 e substituiu a

norma BS 7799-2 para certificao de sistema de gesto de segurana da
informao.
A norma ISO/IEC 27001 foi preparada para prover um modelo para
estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um
Sistema de Gesto de Segurana da Informao (SGSI). A adoo de um SGSI
deve ser uma deciso estratgica para uma organizao. A especificao e
implementao do SGSI de uma organizao, so influenciadas pelas suas
necessidades e objetivos, exigncias de segurana, os processos empregados e o
tamanho e estrutura da organizao (ISO/IEC 27001, 2006, p.1).
Segundo a norma ISO/IEC 27001, a aplicao de um sistema de
processos dentro de uma organizao, junto com a identificao e interaes
destes processos, e sua gesto, pode ser chamada de abordagem de processo.
A abordagem de processo para a gesto da segurana da informao apresentada
nesta norma encoraja que seus usurios enfatizem a importncia de:
Entendimento dos requisitos de segurana da informao de uma

organizao e da necessidade de estabelecer uma poltica e objetivos
para a segurana de informao;
Implementao e operao de controles para gerenciar os riscos de

segurana da informao de uma organizao no contexto dos riscos
de negcio globais da organizao;
Monitorao e reviso do desempenho e efetividade do SGSI; e
Melhoria contnua baseada em medidas objetivas.
19
A norma ISO/IEC 27001 adota o modelo de processo "Plan-Do-CheckAct (PDCA), que aplicado para estruturar todos os processos do SGSI. Um
SGSI considera as entradas de requisitos de segurana de informao e as
expectativas das partes interessadas, e como as aes necessrias e processos de
segurana da informao produzidos resultam no atendimento a estes requisitos
e expectativas (ISO/IEC 27001, 2006, p.2).
O SGSI projetado para assegurar a seleo de controles de segurana
adequados para proteger os ativos de informao e proporcionar confiana s
partes interessadas (ISO/IEC 27001, 2006, p.3).
A norma ISO/IEC 27001 ser utilizada como auxlio na avaliao de
conformidade e na sugesto de melhorias, pois ela enfoca objetivos de controles
importantes no contexto empresarial.
Com origem no Governo Britnico, a norma BS7799 a base para a

norma ISO/IEC 17799 que hoje se tornou a ISO/IEC 27002. O Cdigo de Boas
Prticas ISO/IEC 27002 fornece uma estrutura para avaliar os sistemas de gesto
de segurana da informao, baseada em um conjunto de diretrizes e princpios
que tm sido adotadas por empresas, governos e organizaes empresariais em
todo o mundo (ISO/IEC 27002, 2005).
A ISO/IEC 27002 utiliza fortemente o ciclo de Planejamento, Execuo,
Controle e Ao (PDCA). O ciclo composto por um conjunto de aes em
sequncia, dada pela ordem estabelecida pelas letras que compem a sigla: P
(plan: planejar), D (do: fazer, executar), C (check: verificar, controlar), e
finalmente o A (act: agir, atuar corretivamente). Na Figura 4, apresentado o
ciclo PDCA como proposto pela ISO/IEC 27002 para sistemas de gerenciamento
de segurana da informao.
20
Figura 3: PDCA. Fonte: ISO/IEC 27002 (2007)
A norma ISO/IEC 27002 est estruturada em 11 sees, cada uma destas

constituda por categorias de segurana da informao, sendo que cada
categoria tem um objetivo de controle definido, um ou mais controles que
podem ser aplicados para atender ao objetivo de controle, as descries dos
controles, as diretrizes de implementao e informaes adicionais.
Ao todo, so 133 controles divididos em (1) poltica de segurana da
informao, (2) organizao da segurana da informao, (3) gesto de ativos,
(4) segurana em recursos humanos, (5) segurana fsica e de ambiente, (6)
gerenciamento das operaes e comunicaes, (7) controle de acesso, (8)
aquisio, desenvolvimento e manuteno de sistemas de informao, (9)
gerenciamento de incidentes de segurana da informao, (10) gerenciamento da
continuidade do negcio e (11) conformidade legal.
A norma ISO/IEC 27002 ser utilizada como auxlio na elaborao da
Poltica de Segurana.
21
A norma ISO/IEC 27005 fornece diretrizes para o processo de Gesto de

Riscos de Segurana da Informao de uma organizao, atendendo
particularmente aos requisitos de um SGSI de acordo com a ABNT NBR
ISO/IEC 27001. Entretanto, esta norma internacional no inclui uma
metodologia especfica para a gesto de riscos de segurana da informao.
Cabe organizao definir sua abordagem ao processo de gesto de riscos,
levando em conta, por exemplo, o escopo do seu SGSI, o contexto da gesto de
riscos e o seu setor de atividade econmica. H vrias metodologias que podem
ser utilizadas de acordo com a estrutura descrita nesta norma internacional para
implementar os requisitos de um SGSI (ISO/IEC 27005, 2008, p.4).
Uma abordagem sistemtica de Gesto de Riscos de Segurana da
informao necessria para se identificar as necessidades da organizao em
relao aos requisitos de segurana da informao, e para criar um sistema de
gesto de segurana da informao (SGSI) que seja eficaz (ISO/IEC 27005,
2008, p.6). Ainda, de acordo com a ISO/IEC 27005 convm que a Gesto de
Riscos de Segurana da informao contribua para:
Identificao de riscos;
Anlise/avaliao de riscos em funo das consequncias ao negcio

e da probabilidade de sua ocorrncia;
Comunicao e entendimento da probabilidade e das consequncias

destes riscos;
Estabelecimento da ordem prioritria para tratamento do risco;
Priorizao das aes para reduzir a ocorrncia dos riscos;
22
Envolvimento das partes interessadas quando as decises de gesto

de riscos so tomadas e mantidas informadas sobre a situao da
gesto de riscos;
Eficcia do monitoramento do tratamento do risco;
Monitoramento e a anlise crtica regular de riscos e do processo de

gesto dos mesmos;
Coleta de informaes de forma a melhorar a abordagem da gesto

de riscos;
Treinamento de gestores e pessoal a respeito dos riscos e das aes

para mitig-los.
O processo de gesto de riscos de segurana da informao pode ser

aplicado organizao como um todo a uma rea especfica da organizao, por
exemplo: um departamento, uma localidade, um servio, a um sistema de
informaes, a controles j existentes, planejados ou apenas a aspectos
particulares de um controle, por exemplo: plano de continuidade de negcios
(ISO/IEC 27005, 2008, p.5).
O processo de gesto de riscos de segurana da informao consiste na
definio do contexto, anlise/avaliao de riscos, tratamento do risco, aceitao
do risco, comunicao do risco e monitoramento e anlise crtica de riscos
(ISO/IEC 27005, 2008, p.7).
23
.
Figura 4: Processo de gesto de riscos de segurana da informao.
Fonte: ABNT ISO/IEC 27005 (2008, pg 8)
Como mostra a Figura 4, o processo de gesto de riscos de segurana da

informao pode ter as atividades de anlise/avaliao de riscos e/ou de
tratamento do risco sendo realizadas mais de uma vez. Um enfoque iterativo na
execuo da anlise/avaliao de riscos torna possvel aprofundar e detalhar a
avaliao em cada repetio. O enfoque iterativo permite minimizar o tempo e o
esforo despendidos na identificao de controles e, ainda assim, assegura que
riscos de alto impacto ou de alta probabilidade possam ser adequadamente
avaliados. Primeiramente, o contexto estabelecido. Em seguida, executa-se
uma anlise/avaliao de riscos. Se ela fornecer informaes suficientes para
24
que se determine de forma eficaz as aes necessrias para reduzir os riscos a
um nvel aceitvel, ento a tarefa est completa e o tratamento do risco pode
suceder-se. Por outro lado, se as informaes forem insuficientes, executa-se
outra iterao da anlise/avaliao de riscos, revisando-se o contexto (ISO/IEC
27005, 2008, p.9).
2.11 Poltica de Segurana da Informao
Segundo a norma ISO/IEC 27002:2005, o objetivo da Poltica de

Segurana da informao prover uma orientao e apoio da alta direo para a
Segurana da Informao de acordo com os requisitos do negcio e com as leis e
regulamentaes pertinentes.
Os itens mais importantes para manter a Segurana da informao da
empresa so: elaborar a Poltica de Segurana e o gerenciamento de suporte
adequados, seguido do nvel de conscientizao dos funcionrios (ASCIUTTI,
2012).
Segundo a CERT.BR (2006), a Poltica de Segurana atribuir os
direitos e responsabilidades s pessoas que lidam com os recursos
computacionais da empresa e com as informaes nelas armazenados. Para
Ferreira e Arajo (2008, p. 36), a Poltica de Segurana define o conjunto de
normas, mtodos e procedimentos utilizados para a manuteno da segurana da
informao, devendo ser formalizada e divulgada a todos os usurios que fazem
uso dos ativos de informao.
A elaborao da Poltica de Segurana deve ser feita em fases:
Levantamento de informaes: que aborda o entendimento das

necessidades, obteno de informaes sobre o ambiente de negcio e
sobre o ambiente tecnolgico;
Desenvolvimento de contedo da Poltica e Normas de Segurana;
25
Elaborao
dos
Procedimentos
de
Segurana
da
Informao:
entendimento das melhores prticas em segurana da informao

utilizadas no mercado.
2.11.1 Caractersticas e benefcios da poltica:
Verdadeira: Coerente com as aes da organizao, e possvel de ser

cumprida;
Complementada com a disponibilidade de recursos: disponibilizao

de recursos financeiros e de pessoal para que as diretrizes descritas
possam ser implementadas ao longo do tempo;
Vlida para todos: deve ser cumprida por todos os usurios que
utilizam a informao da empresa.
Simples: de fcil leitura e compreenso;
Comprometimento da alta administrao da organizao: ser

assinada pelo mais alto executivo da empresa, e integrada
documentao.
Os principais benefcios que podem ser alcanados pelo investimento e

apoio Poltica de Segurana da Informao so: maior segurana nos processos
de negcio e reduo dos problemas e incidentes de segurana da informao.
De acordo com a Norma NBR ISO/IEC 27002, deve-se garantir que os
usurios estejam cientes das ameaas e das preocupaes de segurana da
informao e estejam equipados para apoiar a poltica de segurana da
organizao durante a execuo normal de seu trabalho.
Em outras palavras, todos os funcionrios da empresa devem ter
conhecimento da existncia da Poltica de Segurana, pois mesmo existindo
diversas tecnologias destinadas a proteo dos ativos de informao, o elemento
26
humano fundamental para que a Poltica de Segurana seja implementada
eficazmente.
27
3. METODOLOGIA
Este captulo abordar a caracterizao da empresa, bem como a
definio de escopo do projeto, anlise SWOT e outros pontos acerca da
organizao.
3.1 Tipo de Pesquisa
Quanto natureza, este trabalho classifica-se como pesquisa aplicada,

pois tem como objetivo gerar soluo de problemas especficos da empresa para
posterior aplicao prtica, com base no relatrio que ser gerado como
resultado. Quanto aos objetivos, este trabalho pode ser caracterizado como uma
pesquisa exploratria, pois visa familiaridade com os problemas com vistas a
torn-lo explcito. Envolver levantamento bibliogrfico, observao do
ambiente de estudo, e contato com pessoas, assumindo forma de estudo de caso.
Quanto abordagem, este trabalho uma pesquisa qualitativa, visto que no faz
uso de mtodos e tcnicas estatsticas, o ambiente natural a fonte direta para
coleta de dados. Quanto aos procedimentos, este trabalho pode ser caracterizado
como um estudo de caso nico, pois envolve um estudo profundo e exaustivo
que permitir um amplo e detalhado conhecimento. Quanto ao mtodo para
coleta de dados ser a observao.
3.2 Procedimentos Metodolgicos
Este trabalho iniciou-se em cinco de dezembro de 2012 com

levantamento
bibliogrfico.
Foram
feitas
visitas
na
empresa
para
acompanhamento da rotina por duas semanas no ms de maio de 2013, e tiradas

fotografias de pontos crticos da empresa (Anexo A). Houve acesso a alguns
documentos cedidos pela empresa, que foram utilizados como fonte de pesquisa.
28
Foi utilizada como instrumento para elaborao da Gesto de Riscos,
uma planilha no Excel baseada na norma ISO/IEC 27005, criada por Edson
Kowask Bezerra para o curso de Gesto de Riscos na Escola Superior de Redes
(RNP) e cedida para a realizao deste estudo.
3.3 Misso
A empresa tem a seguinte misso dentro da Poltica Ambiental:

Fornecer cabos flexveis e componentes para aplicao veicular,
destinados aos mercados interno e externo de equipamento original e de
reposio, minimizando seu impacto ambiental, atravs de um processo de
melhoria contnua para gerenciamento de resduos, com aes para sua
reduo e preveno da poluio.
A misso da empresa dentro da Poltica de Qualidade:

Fornecer produtos e servios que satisfaam plenamente as
necessidades dos nossos clientes.
3.4 Caracterizao da empresa
A empresa Anonimous Corporation foi fundada em 1961 e atua no

mercado de autopeas e moto peas. Ocupa aproximadamente 11.500 mts de
rea construda e emprega mais de 450 funcionrios.
dividida em departamentos conforme figura abaixo, sendo eles:
Departamento Comercial, Compras, Administrao (inclui Recursos Humanos,
Financeiro), Engenharia ou Desenvolvimento, Tecnologia da Informao,
Qualidade, Expedio, Planejamento e Controle da Produo e Produo, os
quais esto distribudos da seguinte maneira:
29
Figura 5: Organograma Geral. Fonte: Manual da Qualidade da empresa
Os principais produtos produzidos pela empresa so:
Cabos de Velocmetro
Cabos de Freio
Cabos de Acelerador
Cabos de Embreagem
Cabos de Comando de Ar
Cabos de Abertura de Cap
Cabos de Comando de Retrovisor
30
3.5 Definio do Escopo do projeto
O motivo pelo qual ficou centralizado o estudo no setor de TI foi que a

empresa j possui certificado de Qualidade ISO 9001:2008, ABNT ISO/TS16949, e por isso os processos esto definidos em documentos, bem como
melhores prticas de trabalho, tanto no setor administrativo quanto no setor de
produo. Porm, o setor de TI ainda se encontra defasado com relao ao
restante da empresa, sem processos definidos, com um espao de trabalho
limitado, problemas estruturais como goteiras e pouco investimento por parte da
Alta Administrao.
O Departamento da Tecnologia da Informao tm as seguintes funes:
suporte aos usurios da rede; Infraestrutura e administrao de rede; Servio de
e-mail; Suporte tcnico, ou seja, manter o bom funcionamento dos computadores
de toda a empresa, incluindo o funcionamento da rede de Internet, e programas
terceirizados; Instalao de novos computadores; Instalao de cabos de redes e
softwares; Reparos e consertos em hardwares.
composto por cinco funcionrios, os quais esto distribudos conforme
a Figura 6:
Encarregado
de TI
Analista de
Suporte
Analista de
Suporte
Tcnico de
Informtica
Terceirizado
Figura 6: Organograma TI
Hoje o departamento de TI um setor de suporte, e no faz parte da

gesto estratgica da empresa. O processo de tomada de deciso baseado nas
expectativas e nos conhecimentos que os funcionrios possuem e na atual
31
disponibilidade de recursos da organizao. A Alta Administrao centraliza as
decises da empresa.
Segundo pesquisa da Gartner (2005), ideal seria que a cada 100
funcionrios, houvesse de 5 a 7 funcionrios de TI. O que ocorre de fato
sobrecarga de trabalho dada a demanda de servio, e com isso as dificuldades
em se definir o papel de cada funcionrio nesse setor.
3.6 Anlise SWOT
De acordo com a Wikipdia, SWOT a sigla dos termos ingleses

Strengths (Foras), Weaknesses (Fraquezas), Opportunities (Oportunidades) e
Threats (Ameaas). Em Administrao de Empresas, a Anlise SWOT um
importante instrumento utilizado para planejamento estratgico que consiste em
recolher dados importantes que caracterizam o ambiente interno (foras e
fraquezas) e externo (oportunidades e ameaas) da empresa.
rente 1
Concor-
Anonimous Corporation
Empresa
Fortes
Fracos
Referncia em qualidade no mercado; Possui

equipe de vendas em todo o pas
acompanhando os resultados parciais e
apoiando as finalizaes para cumprimento
das metas; Campanhas de vendas mensais so
realizadas nas matrizes e filiais de todos os
distribuidores; Ministram o maior nmero de
palestras Tcnicas e Motivacionais para os
seus distribuidores, autopeas e oficina
mecnicas, fortalecendo a parceria.
Atua fortemente em montadoras da linha
pesada e possui maiores variedades em
lanamentos nesta linha.
Falta
de
novos
lanamentos devido
empresa concorrente 1
ter patenteado a maioria
deles
No possui equipe de
vendas que atuam nos
distribuidores nacionais,
regionais.
Concorrente 2
32
Possuem maiores variedades em produtos da
linha leve e menores preos no mercado.
No oferece nenhum tipo

de ao ou incentivo s
vendas;
No respeita o ciclo.
Alm
de
atender
distribuidores,
vende
tambm diretamente nas
maiores autopeas e
oficinas mecnicas.
Quadro 1: Anlise SWOT
3.6.1 Pontos positivos da empresa
Os principais pontos positivos encontrados so:
A empresa possui 50 anos de mercado e conhecida pela qualidade de

seus produtos. Comercializa seus produtos nacionalmente, e possui boa
localizao e infraestrutura fsica;
A Anonimous Corporation tem seu Sistema de Gesto da Qualidade

estabelecido, documentado, implementado, baseado nas normas
ISO/TS-16949 e ISO 9001:2008;
Existe controle de acesso empresa, com entrega de crach para

visitante, cmeras de segurana na portaria para controle, bem como a
implantao de novas cmeras para controle efetivo;
Os funcionrios do setor de TI trabalham em equipe e tem muita

facilidade de comunicao, tambm so formados e capacitados para
atuarem na rea.
3.6.2 Pontos negativos da empresa
Os principais pontos negativos encontrados so:
33
A inexistncia de uma poltica de segurana, e a alta administrao vista

como parte do problema no considerando a tecnologia da informao
como estratgia, e a resistncia na cultura organizacional;
As falhas nas instalaes de cabeamento, expostos ao tempo e de fcil

manuseio por qualquer pessoa. Esse problema poderia ser maior se
houvesse a interferncia de agentes mal intencionados suspendendo os
servios, causando a parada de algum setor e consequentemente
prejuzos financeiros e atrasos nos trabalhos;
O pequeno nmero de funcionrios no setor de TI dado demanda de

servio;
A inexistncia de um documento definindo as tarefas dos funcionrios,

bem como falta do mapeamento dos processos;
Os usurios tm deficincia no uso dos recursos computacionais bsicos,

como cpias de arquivos de pasta, renomear arquivos, conhecimentos
nas ferramentas RM/Sistec;
O espao fsico limitado e, existem outros problemas como,

delimitao da sala por divisrias onde os ativos ficam expostos,
goteiras no teto e no h extintor. Os funcionrios trabalham em espao
mnimo, e se posicionam de maneira incorreta;
Servidores da empresa esto vulnerveis, posicionados em locais

inadequados e acessveis a qualquer pessoa no autorizada.
3.6.3 Fatores crticos
Como foi visto no tpico anterior sobre controles essenciais para toda
organizao, deve-se considerar tambm a dificuldade em estabelecer esses
controles dentro da empresa. Os seguintes fatores so geralmente crticos para o
34
sucesso da implementao da segurana da informao dentro de uma
organizao (ISO/IEC 27002:2005):
Poltica de segurana da informao, objetivos e atividades, que reflitam

os objetivos do negcio;
Uma abordagem e uma estrutura para a implementao, manuteno,

monitoramento e melhoria da segurana da informao que seja
consistente com a cultura organizacional;
Comprometimento e apoio visvel de todos os nveis gerenciais;
Um bom entendimento dos requisitos de segurana da informao, da

anlise/avaliao de risco e de gesto de risco;
Divulgao eficiente da segurana da informao para todos os gerentes,

funcionrios e outras partes envolvidas para alcanar a conscientizao;
Distribuio de diretrizes e normas sobre a poltica de segurana da

informao para todos os gerentes, funcionrios e outras partes
envolvidas;
Proviso de recursos financeiros para as atividades de gesto da

segurana da informao;
Proviso da conscientizao, treinamento e educao adequados;
Estabelecimento de um eficiente processo de gesto de incidentes de

segurana da informao.
Os fatores acima mencionados so aplicveis a este estudo de caso,
principalmente pela cultura organizacional e pela escassez de recursos

financeiros.
3.7 Gesto de Riscos
Nesta fase foi utilizada como instrumento para elaborao da Gesto de

Riscos, uma planilha no Excel baseada na norma ISO/IEC 27005, criada por
35
Edson Kowask Bezerra1 para o curso de Gesto de Riscos na Escola Superior de
Redes (RNP), cedida para a realizao deste estudo e disponibilizada em
formato digital, gravado em um CD.
Com base nas informaes recolhidas na empresa e as informaes
encontradas na norma NBR ISO/IEC 27005:2008 Tecnologia da informao
Tcnicas de segurana Gesto de riscos de segurana da informao foi
possvel o preenchimento da tabela. A tabela possui oito sees, baseadas na
NBR ISO/IEC 27005:2008, sendo as atividades divididas conforme a seguir:
Seo 2 Definir o contexto, Identificar as restries, Definir o Escopo e
Definir os critrios.
Definio do contexto: onde se define o contexto que ser estudado e

onde ser aplicada a gesto de risco. Tem como entrada todas as
informaes da organizao como, por exemplo, principais produtos,
fornecedores, misso e como sada o escopo e a organizao responsvel
pelo processo.
Identificar as restries: So as restries que afetam a organizao.

Alguns exemplos de restries, segundo a norma NBR ISO/IEC
27005:2008.
o
Restries de natureza poltica: Relativas orientao

estratgica ou operacional determinadas por uma rea do
governo.
Restries advindas do ambiente econmico e poltico:

Greves ou crises nacionais e internacionais que interfiram na
operao da organizao.
Edson Kowaski Bezerra um profissional da rea de segurana da informao e
36
o
Restries de natureza cultural: Hbitos de trabalho,

educao,
instruo,
experincia
profissional,
opinies,
filosofia.
o
Restries de natureza estratgica: So as mudanas na

estrutura ou na orientao da organizao.
Restries estruturais: Tem a ver com a natureza da estrutura

de uma organizao (departamental, funcional, ou outra
qualquer).
Restries funcionais: So aquelas derivadas diretamente da

misso da organizao.
Restries relativas aos recursos humanos: Esto associadas

ao nvel de responsabilidade, tipo de recrutamento, qualificao,
treinamento,
conscientizao
em
segurana,
motivao,
disponibilidade.
o
Restries advindas da agenda da organizao: Vem da

reestruturao ou da definio de novas polticas.
Restries oramentrias: Custo, dinheiro.
Restries
territoriais:
Relacionado
localizao
distribuio geogrfica.
Restries que afetam o escopo: Complementam as restries que

afetam a organizao.
o
Restries derivadas de processos preexistentes: Relativas a

processos que j existem.
Restries tcnicas: Relativas infraestrutura, normalmente

surgem em funes do software e hardware instalados.
Restries financeiras: Oramento, alocao oramentria.
Restries ambientais: Surgem do ambiente geogrfico ou

econmico, pas, clima, riscos naturais, situao geogrfica.
37
o
Restries temporais: Tempo.
Restries
organizacionais:
Operao,
manuteno,
gerenciamento administrativo.
Definio de escopo e limite: Definem a abrangncia.
Critrios para avaliao dos riscos: Posicionar um ativo em uma

escala em funo do seu valor.
o
Critrios de probabilidade:
Frequente: Tem ocorrido pelo menos uma vez a cada

ms. Seu peso fica definido como cinco.
Provvel: possvel de ocorrer a cada seis meses ou

menos. Nos ltimos seis meses ocorreu. Seu peso fica
definido como quatro.
Ocasional: No ltimo ano j ocorreu pelo menos uma

vez. Seu peso fica definido como trs.
Remoto: Nos ltimos cinco anos, ocorreu pelo menos

uma vez. Seu peso fica definido como dois.
Improvvel: Nunca ocorreu. Seu peso fica definido

como um.
Relevncia do ativo:
Insignificante: No afeta o bom andamento da rotina se

o ativo no estiver disponvel. Seu peso fica definido
como um.
Baixo: Pouco afeta o andamento da rotina se o ativo no

estiver disponvel. Seu peso fica definido como dois.
38
Significante: Importante para o negcio, pois todos os

processos passam por ele. Seu peso fica definido como
trs.
Importante: Alm de todos os processos passarem por

ele, imprescindvel, pois afeta nos custos. Seu peso
fica definido como quatro.
Crtico: Sem esse ativo, a empresa tem prejuzos

financeiros e no executa suas atividades. Seu peso fica
definido como cinco.
Severidade das consequncias:
Insignificante: As ocorrncias no afetam os negcios

ou no causam paradas por mais que cinco minutos. Seu
peso fica definido como um.
Baixa: As ocorrncias afetam o negcio, mas no

causam consequncias graves. Seu peso fica definido
como dois.
Mdia: As ocorrncias afetam parcialmente o negcio,

porm os prejuzos podem ser contornados. Seu peso
fica definido como trs.
Alta: As ocorrncias afetam o negcio, e os prejuzos

so altos. Seu peso fica definido como quatro.
Elevada: As ocorrncias afetam todo o negcio,

causando prejuzos altssimos. Seu peso fica definido
como cinco.
Impacto:
Desprezvel: No afeta a organizao, mas deve ser

tratado. Seu peso fica definido como um.
39
Baixo: Pouco afeta a organizao, e pode ser

contornado rapidamente. Seu peso fica definido como
dois.
Significativo: Afeta a organizao e causa interrupes

de uma hora. Seu peso fica definido como trs.
Importante: Afetam a imagem da organizao e causam

interrupo de doze horas nos negcios. A empresa
deixa de funcionar/produzir por doze horas. Seu peso
fica definido como quatro.
Desastre: A empresa deixa de funcionar por mais de

doze horas, e tem altssimos prejuzos. Seu peso fica
definido como cinco.
Critrios de Risco: O critrio de risco calculado atravs da

multiplicao do critrio de probabilidade, relevncia do ativo e
severidade da consequncia.
Extremo: A organizao interrompe totalmente seus

servios por mais de 48 horas, impedindo de executar
servios e produzir, afetando sua imagem pblica de
forma significativa. Prejuzos financeiros elevados,
aes na justia. Seu valor varia de 101 a 125.
Alto: A organizao interrompe seus servios por doze

horas, impedindo a produo, afetando sua imagem e
dando prejuzos financeiros. Seu valor varia de 65 a
100.
Mdio: A organizao interrompe seus servios por

uma hora, tendo prejuzos financeiros. Seu valor varia
de 28 a 64.
40
Baixo: A organizao tem paradas de dez a trinta

minutos pelo menos uma vez a cada seis meses
causando prejuzo financeiro, pois deixa de produzir
nesse perodo, porm no afeta a imagem da
organizao. Seu valor varia de 9 a 27.
Irrelevante: A organizao para por 30 min durante o

ano, mas no h consequncias srias. Seu valor varia
de 1 a 8.
Seo 3 Identificar os ativos, Identificar as Ameaas e Identificar os

controles existentes ou planejados.
Identificar os ativos: Listar os ativos primrios e secundrios da

empresa. Neste estudo de caso os ativos primrios no sero listados por
no haver processo definido no escopo. Os ativos secundrios so os
ativos de suporte e infraestrutura como software, hardware, recursos
humanos, instalaes fsicas, etc.
Identificar as ameaas: Ameaas podem ser intencionais, acidentais ou

de origem natural. Para cada ativo foram identificados at duas ameaas.
Identificar os controles existentes ou planejados: Se a empresa j

possui um controle ou se planejou algum.
Seo 4 Identificar as vulnerabilidades e Identificar as Consequncias.
Identificar as vulnerabilidades: a fragilidade de um ativo ou grupo

de ativos que pode ser explorada por uma ou mais ameaas.
41
Identificar as consequncias: Est relacionada a perdas operacionais

relativas proteo de ativos. As consequncias so avaliadas em
funo da perda da confidencialidade, integridade, disponibilidade,
autenticidade, prejuzos financeiros por retrabalho e se afeta a imagem e
a reputao.
Seo 5 Avaliao Qualitativa dos ativos e Avaliao Qualitativa

severidade das consequncias.
Avaliao Qualitativa dos ativos: Verifica a relevncia do ativo para o

negcio, conforme critrios de avaliao de risco.
Avaliao Qualitativa severidade das consequncias: Avalia a

severidade das consequncias, conforme critrios de avaliao de risco.
Seo 6 Avaliao da probabilidade, Definio da Estimativa e Resultado

Estimativa Qualitativa.
Avaliao da probabilidade: Verifica os critrios de probabilidades,

conforme critrios de avaliao de risco.
Definio da Estimativa: Os pesos para cada critrio de risco so

atribudos
Resultado Estimativa Qualitativa: Onde sero conferidos valores para

a probabilidade e consequncia do risco. Resultado o impacto. Impacto
a Relevncia do ativo versus a Severidade.
Seo 7 Calcular o Risco e Avaliar o Risco
42
Calcular o Risco: O Risco dado resultado da multiplicao da

probabilidade pelo impacto.
Avaliar o Risco: A aceitao do risco varia em grau de prioridade
Seo 8 Definir tratamento, Definir controles do plano, Levantar e definir

riscos residuais, Aceitao dos Riscos.
Definir tratamento:
o
Reduo do risco: Aes tomadas para reduzir a probabilidade,

as consequncias negativas, ou ambas, associadas a um risco.
Reduzir o risco atravs da seleo de controles, para que o risco
residual possa ser reavaliado e ento considerado aceitvel.
Reteno do risco: Aceitao do nus da perda ou do benefcio

ganho associado a um determinado risco.
Ao de evitar o risco: Deciso de no se envolver ou agir de

forma a se retirar de uma situao de risco. A atividade ou
condio que d origem ao risco seja evitada, podendo ser
eliminado a atividade planejada ou existente.
Transferncia do risco: Transferir o risco para outra entidade

que possa gerenci-lo de forma mais eficaz, ou seja,
compartilhar certos riscos com entidades externas podendo ser
criados novos riscos ou modificar os riscos existentes.
Definir controles do plano: Definir controles para tratamento do risco
Levantar e definir riscos residuais: Definir se existem os riscos

residuais, ou seja, aquele o risco remanescente aps o tratamento de
riscos e quais so eles. O Risco Residual dado pela multiplicao da
nova probabilidade pela multiplicao nova severidade e relevncia do
ativo.
43
Aceitao dos Riscos: formalizar a deciso de aceitar o risco pelo

responsvel. Seu valor varia em grau de prioridade, de 1 a 5, sendo o de
valor 1 de maior prioridade, e 5 de menor prioridade. Outro grau de
prioridade seria nenhum ou estudo futuro.
Seo 9 Comunicao dos Riscos.
Comunicao dos Riscos: Compartilhamento contnuo das informaes

referentes aos riscos entre as partes interessadas durante o processo de
gesto de risco. A comunicao do risco uma atividade contnua. A
empresa deve definir um comit, que faa essa comunicao.
44
4. RESULTADOS OBTIDOS
Os grficos gerados pela Gesto de Riscos como resultados podem ser

vistos a seguir:
DISTRIBUIO ATIVOS
Quant
7%
20%
46%
0%
27%
CRTICO
IMPORTANTE
BAIXO
INSIGNIFICANTE
SIGNIFICANTE
CRTICO
IMPORTANTE
SIGNIFICANTE
BAIXO
INSIGNIFICANTE
Grfico 1: Distribuio dos ativos
O grfico, Distribuio dos Ativos, feito com base nas informaes

sobre relevncia do ativo conforme critrios de riscos:
Insignificante: No afeta o bom andamento da rotina se o ativo no

estiver disponvel
Baixo: Pouco afeta o andamento da rotina de o ativo no estiver

disponvel
Significante: Importante para o negcio, pois todos os processos passam

por ele.
Importante: Alm de todos os processos passarem por ele,

imprescindvel, pois, afeta nos custos.
Crtico: Sem esse ativo a empresa tem prejuzos financeiros e no

executa suas atividades
Com o grfico Distribuio dos ativos possvel verificar que existem
sete ativos considerados de nvel Crtico (Sistema Operacional, Os meios fsicos

e a infraestrutura, Switches, Roteadores e Hubs, Recursos Humanos Pessoal da
45
TI, Comunicao linha telefnica e internet, instalaes fsicas, Organizao
Subcontratados, fornecedores, fabricantes). Trs ativos de nvel Baixo
(Equipamento Mvel, Perifricos de Processamento, Outros tipos de mdias).
Quatro ativos de nvel Importante (Equipamento Fixo, Software de prateleira,
Recursos Humanos Alta Administrao, Usurios) e um ativo de nvel
Insignificante (Mdia eletrnica).
O segundo grfico gerado relativo aos Impactos das vulnerabilidades
dos ativos para a empresa:
IMPACTO
45
40
35
30
25
20
15
10
5
0
Desastre
Importante Significativo Baixo
Desastre
11
Importante
41
Significativo
21
Baixo
19
Desprezvel
22
Desprezvel
Grfico 2: Impactos
O Impacto o resultado da multiplicao da Relevncia do ativo versus

a Severidade, e feito o clculo para cada uma das vulnerabilidades
encontradas, podendo estar entre os seguintes valores:
Desprezvel: No afeta a organizao, mas deve ser tratado.
Baixo: Pouco afeta a organizao, e pode ser contornado rapidamente.
Significativo: Afeta a organizao e causa interrupes de 1 hora
46
Importante: Afetam a imagem da organizao e causam interrupo de

12 horas nos negcios. A empresa deixar de funcionar/produzir por 12
horas.
Desastre: A empresa deixa de funcionar por mais de 12 horas, e tem

altssimos prejuzos.
Das 114 vulnerabilidades encontradas, 11 foram consideradas como
Desastre, 41 como Importantes, 21 como Significativos, 19 como Baixos e 22

como Desprezveis.
O terceiro grfico gerado relativo quantidade de riscos:
QUANTIDADE de RISCOS
60
Extremo
Alto
Mdio
Baixo
Irrelevante
50
40
Quantidade 30
20
0
8
52
36
18
10
0
Categoria de Risco
Extremo
Alto
Mdio
Baixo
Irrelevante
Grfico 3: Quantidade de Riscos
O grfico, Quantidade de Riscos, feito com base na Aceitao do

Risco. O risco resultado da multiplicao da probabilidade versus o impacto, e
feito o clculo para cada uma das vulnerabilidades encontradas, podendo estar
entre os seguintes valores:
Extremo: A organizao interrompe totalmente seus servios por mais

de 48 horas, impedindo de executar servios e produzir, afetando sua
47
imagem pblica de forma significativa. Prejuzos financeiros elevados,
aes na justia.
Alto: A organizao interrompe seus servios por 12 horas, impedindo a

produo, afetando sua imagem e dano prejuzos financeiros.
Mdio: A organizao interrompe seus servios por 1 hora, tendo

prejuzos financeiros.
Baixo: A organizao tem paradas de 10 a 30 min pelo menos uma vez a

cada 6 meses causando prejuzo financeiro pois deixa de produzir nesse
perodo, porm no afeta a imagem da organizao.
Irrelevante: A organizao para por 30min durante o ano, mas no h

consequncias srias.
Das 114 vulnerabilidades encontradas: 18 so consideradas riscos
Irrelevantes, 36 Baixo, 52 Mdio, 8 Alto e nenhum extremo.
Riscos Residuais
Nenhum Risco
Mdio
41
35
Baixo
37
Irrelevante
35
Mdio
Irrelevante
Baixo
Nenhum Risco Residual
1
41
37
Riscos Residuais
Grfico 4: Riscos Residuais
No Grfico de Risco Residual nota-se a diminuio de riscos na empresa

se feita implantao dos controles sugeridos.
48
Comparando os grficos de Risco Residual e Quantidade de Riscos, os
riscos de nvel Alto deixaro de existir. Os de nvel mdio sero reduzidos
significativamente a 1. Os riscos de nvel Baixo tero pouca variao de 36
ativos anteriormente, para 37. O risco de nvel Irrelevante ir ser modificado de
18 ativos para 35. E, 41 ativos no tero mais riscos. Ou seja, se implantados
alguns controles bsicos, por exemplo, instalao de sensores de incndio, o
risco em relao a essa vulnerabilidade deixa de existir.
Esses grficos comprovam a necessidade de mudana na empresa,
principalmente do departamento de tecnologia. Mostram tambm, que se forem
seguidas as orientaes demonstradas nesse projeto, atravs do uso de normas e
procedimentos, os riscos podem ser diminudos consideravelmente.
De forma geral, este projeto contribuiu para que houvesse na empresa
uma conscientizao da importncia do setor de TI, que antes era considerado
um setor tcnico, e no como uma estratgia de negcios. Foi possvel
identificar os pontos fortes e fracos na Gesto da Segurana da Informao e nos
processos da empresa coletando dados atravs da observao e pesquisa.
Foi elaborada uma verso inicial da Poltica de Segurana (APNDICE
A), para um escopo definido previamente, o setor de Tecnologia da Informao.
A Poltica de Segurana foi baseada na Norma ISO/IEC 27002. O entendimento
do que deve ser protegido abrangeu alm de hardware e software, mas as
pessoas e os processos de negcio. Buscou-se ser simples, clara e concisa na
escrita da poltica, sendo que posteriormente a mesma deve ser atualizada e
homologada pela Alta Administrao, e inserida na documentao da empresa.
Embora a organizao Anonimous Corporation tenha dado um grande
passo abrindo espao para este estudo e, colaborar para a elaborao da poltica
de segurana da informao, a mudana de cultura para que a segurana da
informao seja vista como organizacional e no apenas como algo imposto pela
TI um fator importante que deve ser observado.
49
A empresa ainda no gerencia os riscos de segurana da informao aos
quais est exposto, o que pode ser decorrente da ausncia da poltica de
segurana da informao e tambm pelo fato da segurana da informao ainda
no ser tratada como estratgica. Existem apenas medidas emergenciais que
tentam tratar estes riscos e na maioria das vezes acontecem de forma intuitiva,
no chegando a ser um processo formal definido.
A tecnologia est diretamente ligada ao andamento da empresa, como
vendas, comunicao interna e externa, e balanos financeiros. Em todos os
departamentos ela est presente. Por isso, os objetivos de se ter um plano de
melhorias, so:
Financeiros: Reduo dos custos de TI; Melhoria da tomada de deciso

em investimento; Melhor direcionamento dos recursos da organizao;
Otimizao de aproveitamento dos recursos de TI.
Cliente: Garantia da satisfao dos clientes.
Estratgicos: Obteno de vantagem competitiva e tecnolgica sobre os

concorrentes; ampliao do fornecimento de servios.
Foi gerado um relatrio (APNDICE B) sugerindo melhorias na Gesto

da Segurana da empresa.
Infelizmente
processo
de
adaptao
conscientizao da empresa um processo lento, sendo necessrio um tempo

maior do que este do projeto para que a empresa faa as alteraes devidas e se
organize financeiramente para investir mais no setor de TI.
Conseguiu-se com este projeto, mostrar a alta administrao e aos outros
setores da empresa a importncia do setor de TI e, como ele pode auxiliar no
ganho financeiro da empresa se tratado com uma viso diferente de um setor de
suporte.
O projeto ser utilizado pela empresa para projetos internos, buscando a
melhoria no s no setor de TI, mas na empresa como um todo.
50
Sugere-se que o Termo de Confidencialidade seja atualizado para conter
tpicos importantes que, analisado o documento (ANEXO B) foi constatada a
falta de informaes poderiam prejudicar a empresa em caso de roubo ou furto
de informaes, mesmo depois do desligamento de funcionrios. necessrio
detalhar as clusulas para que o funcionrio tenha conhecimento claro do termo.
Os tpicos abaixo so as sugestes de melhoria:
No utilizar as informaes confidenciais a que tiver acesso para gerar

benefcio prprio exclusivo e/ou unilateral, presente ou futuro, ou para
uso de terceiros;
No efetuar nenhuma gravao ou cpia de documentao, base de

dados, sistemas computacionais, informaes ou outras tecnologias a
que tiver acesso com funcionrio sem autorizao de um responsvel;
proibido produzir cpias, por qualquer meio ou forma, de qualquer

informao confidencial sem expressa autorizao;
O termo de confidencialidade obrigatria mesmo aps o trmino das

atividades da PARTE COMPROMETIDA como funcionrio/estagirio;
Deve ser colocadas assinaturas de pelo menos duas testemunhas no

documento.
No Apndice C esto os controles do COBIT que foram selecionados

segundo a deficincia da empresa. O propsito da utilizao do COBIT utilizlo como instrumento de apoio, pois essa ferramenta permite boas prticas para
controles de TI em toda a empresa. Embora as empresas tenham os processoschave de TI, elas dificilmente aplicaro todos os processos do COBIT. Esses
objetivos de controle sero um auxilio para mapear os processos de forma mais
detalhadas.
Os controles do COBIT foram selecionados atravs das deficincias
mais urgentes percebidas na empresa.
51
No Apndice D esto os controles da norma 27001 que foram sugeridos
para auxlio nas boas prticas de gesto da empresa. A norma 27001, aborda
pontos importantes como Gerenciamento de acesso ao usurio, e mostra a
melhor forma que pode ser feita uma atividade.
Os controles da norma 27001 foram selecionados aps ter sido feita uma
visita na empresa e percebido as deficincias nas atividades dirias da empresa.
A norma 27001 vai ajudar a empresa a melhorar a gesto de segurana da
informao.
No Apndice E encontra-se o Termo de Aceite dos Riscos, elaborada
para que a empresa tenha cincia dos Riscos a que est submetida mesmo aps o
tratamento atravs de controles sugeridos.
52
5. CONSIDERAES FINAIS
Foi apresentada uma viso geral sobre a Segurana da Informao e os

modelos que auxiliam na Gesto da Segurana da Informao com o intuito de
apresentar as definies feitas por alguns autores. Nos ltimos anos, as
organizaes no medem esforos para proteger seus ativos dado ao grande
crescimento no uso da Internet. Com essa proteo, as empresas de todos os
ramos de atuao, evitam perda de tempo e dinheiro.
visvel a grande dificuldade em modificar a cultura organizacional de
uma empresa. Para desenvolver este trabalho foram inmeras as dificuldades,
como falta de procedimentos documentados no setor, a falta de descrio de
funo do funcionrio, que nos termos mais populares so os fazem tudo, ou
seja, atendem ordens de servios de todos os setores da empresa, sem nenhum
controle. Os funcionrios mais antigos so resistentes s mudanas, sendo ento,
um potencial problema para a empresa.
Todos os problemas foram considerados durante a elaborao deste
projeto, por isso, as sugestes de que as mudanas sejam feitas de forma gradual,
para que se tenha um bom resultado.
Para a empresa, foi possvel constatar que o setor de TI o centro de
tudo, e, sem o perfeito funcionamento desse setor, toda a empresa se torna um
caos, e consequentemente com menos clientes e menos lucro. Com a verso
inicial da Poltica de Segurana elaborada vai ser possvel definir mais
responsabilidades e limites, devendo este documento estar sempre atualizado.
Os
funcionrios
do
setor
de
tecnologia
da
informao
se
comprometeram a reunir com a alta direo para discutir as mudanas que

precisam ser feitas, e os procedimentos que devem ser adotados com mxima
urgncia para no expor mais a organizao a tantos riscos desnecessrios.
53
Enfim, todos os funcionrios, inclusive a alta administrao da empresa,
esto conscientes que preciso mudar para competir no mercado, e que este
projeto apenas um passo inicial.
Como trabalhos futuros ficam as propostas de estudo, analisando o
trabalho desenvolvido, a implantao e acompanhamento da Poltica de
Segurana na empresa. Mapear e modelar os processos do setor de TI, bem
como sua defini-los. A atualizao deste estudo para as novas normas 27001 e
27002 na verso 2013.
54
REFERNCIAS BIBLIOGRFICAS
ASCIUTTI, C. A. Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a

administrao pblica -USP , 2012. Acesso em 16 de Nov de 2013.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR 27002.

Tecnologia da informao Tcnicas de Segurana Cdigo de prtica
para a gesto da segurana da informao. Rio de Janeiro, 2005.

Tecnologia da informao Tcnicas de Segurana Requisitos. Rio de
Janeiro, 2006.

Tecnologia da informao - Tcnicas de segurana - Gesto de riscos de
segurana da informao. Rio de Janeiro, 2008.
ABREU, Dimitri. 2001. Melhores Prticas para Classificar as Informaes.

Mdulo
e-Security
Magazine.
So
Paulo,
agosto.
Disponvel
em
www.modulo.com.br. Acesso em: 05 fev. 2013.
ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. 2002. Segurana no

Desenvolvimento de Software Como desenvolver sistemas seguros e
avaliar a segurana de aplicaes desenvolvidas com base na ISO 15.408.
Disponvel
em
55
http://www.ppgia.pucpr.br/~euclidesfjr/SEGURANCA_DA_INFORMACAO/ec
onomia_tecnologia_seguranca_2005.pdf. Acesso em: 30 mar. 2013.
BEZERRA, E. K. Tabela de Gesto de Riscos. 2009
BORAN,
Sean.
IT
Security
Cookbook,
1996.
Disponvel
em
http://www.boran.com/security/. Acesso em: 01 fev. 2013.
CARVALHO, Flvio. Empresas Brasileiras pretendem investir at R$ 110

mil
em
Segurana
da
informao
neste
ano.
Disponvel
em:
http://convergecom.com.br/tiinside/04/10/2013/empresas-brasileiras-pretendeminvestir-ate-r-110-mil-seguranca-informacao-neste-ano/#.Ulm2JtKsiSo. Acesso
em 07 Out 2013.
CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de

Segurana no Brasil, Prticas de Segurana para Administradores de Redes
Internet, 05 de JUN de 2005. Disponvel em:< http://www.cert.br/docs/segadm-redes/seg-admredes.html#subsec2.1 >. Acesso em: 15 jan. 2013.
Escola Superior de Redes da RNP - http://www.esr.rnp.br/. Acesso em 10 Dez.

2013.
FAGUNDES, E. M. COBIT um kit de ferramentas para a excelncia na

gesto de TI. 2004. Disponvel em <www.efagundes.com/Artigos/Arquivos
_pdf/cobit.pdf>. Acesso em: 17 set. 2013.
56
FERREIRA, F. N. F.; ARAJO, M. T. de. Poltica de Segurana da
Informao: Guia prtico para elaborao e implementao. 2. ed. Rio de
Janeiro: Cincia Moderna, 2008.
GABBAY, M. S. Fatores influenciadores na implementao de aes de

gesto de segurana da informao: um estudo com executivos e gerentes de
tecnologia da informao em empresas do Rio Grande do Norte. Tese
(mestrado) Universidade Federal do Rio Grande do Norte, 2003.
GUALBERTO, E. S. Um estudo de caso sobre gesto da Segurana da

Informao em uma organizao pblica. Universidade de Braslia, 2010.
HAMPSHIRE, M. C. S.; TOMIMURA, C. T. Proposta de implementao da

Anlise de Risco em um Projeto de implantao da Segurana da
Informao.
Centro Tecnolgico da Marinha em So Paulo (CTMSP), So
Paulo SP,
Disponvel em http://www.mar.mil.br/sdms/artigos/6956.pdf.
Acesso em 15 mar. 2013.
ISACA. CobiT 4.1: modelo, objetivos de controle, diretrizes de gerenciamento e

mode-los
de
maturidade.
EUA,
abr.
2010.
Dispon-vel
em:
<http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBI
T6/Obtain_COBIT/Obtain_COBIT.htm>. Acesso em: 02 fev. 2013.
ITGI (Steering Committee and IT Governance Institute). Cobit Framework,

Technical Report, 2007.
57
ITGI (2008). IT Governance Institute. COBIT 4.1: Control Objectives
/Management Guidelines / Maturity Models. ITGI, USA.
KRAUSE, Micki e TIPTON, Harold F. 1999. Handbook of Information

Security
Management.
Auerbach
Publications.
Disponvel
https://www.cccure.org/Documents/HISM/ewtoc.html. Acesso em
em
17 mar.
2013.
MAYER, J.; Fagundes, L. L. Proposta de um Modelo para Avaliar o Nvel de

Maturidade do Processo de Gesto de Riscos em Segurana da Informao.
VIII Simpsio Brasileiro em Segurana da Informao e de Sistemas
Computacionais,
So
Leopoldo-RS,
2008.
Disponvel
http://sbseg2008.inf.ufrgs.br/proceedings/data/pdf/st02_03_wticg.pdf.
em
Acesso
em 03 fev. 2013.
NAKAMURA, Emilio Tissato; GEUS, Paulo Lcio de. Segurana de redes em

ambientes cooperativos. So Paulo: Novatec, 2007. 482 p.
PwC Brasil. Pesquisa Global de Segurana da Informao 2013. Disponvel

em: http://www.pwc.com.br/pt/estudos-pesquisas/index.jhtml. Acesso em 15 de
Out de 2013.
Pesquisa Gartner. Qual o tamanho ideal de uma equipe de TI?. Disponvel

em: http://pt.scribd.com/doc/22719689/Qual-e-o-tamanho-ideal-de-uma-equipede-TI. Acesso em 16 de Out de 2013.
58
SCHEIN, Edgar. Organizational Culture and Leadership. San Francisco,
Jossey Bass Publications. 2 Ed. 1989
SMOLA, M. 2003. Gesto da Segurana da Informao: viso executiva da

segurana da informao. Elsevier 1.Ed. Rio de Janeiro.
UNIVERSIDADE FEDERAL DE LAVRAS, Biblioteca da UFLA, Manual de

normalizao e estrutura de trabalhos acadmicos: TCC, monografias,
dissertaes
teses.
Lavras,
2010.
Disponvel
em:
<http://www.biblioteca.ufla.br/site/index.php>. Acesso em 18 de Nov de 2013.
VELLANI, K. H. Strategic Security Management: A Risk Assessment Guide

for Decision Makers. [S.I.] USA: Elsevier, 2006. 416 p. Disponvel em
http://books.google.com.br/books?hl=ptBR&lr=&id=qkkHX9KHpysC&oi=fnd
&pg=PP2&dq=Strategic+Security+Management:+A+Risk+Assessment+Guide+
for+Decision+Makers&ots=OmCChihEbs&sig=Lj5ZHgHc_ykL7vmuecv6yoZP
6hg. Acesso em 25 mar. 2013.
VIDAL, A. G. da R; NETTO, A. da S. Viabilizando o acesso a internet para

pequenas empresas. Disponvel em http://www.convibra.com.br/2004/pdf/143
.pdf . Acesso em 16 de Nov de 2013.
WEILL, Peter; ROSS, Jeanne W. Governana de TI, tecnologia da

informao. So Paulo: M.Books, 2006.
59
Wikipdia. A enciclopdia livre. <http://pt.wikipedia.org/wiki/Wikip%C3%A
9d ia:P%C3%A1gina_principal> . Acesso em 10 Dez 2013.
60
APNDICE A POLTICA DE SEGURANA
Contm a Poltica de Segurana elaborada de forma generalizada para

que a empresa possa estar sempre atualizando.
POLTICA DE SEGURANA DA INFORMAO
CAPTULO I
DA POLTICA DE SEGURANA DA INFORMAO
Para fins de execuo aplicam-se os seguintes conceitos:

I.
Ativo de Informao qualquer recurso que faa parte dos sistemas

de informao e meios para gerao de documentos que tenham
valor para a empresa;
II.
Ativo de Sistema patrimnio composto por todos os dados e

informaes geradas e manipuladas durante a execuo de sistemas
e processos da empresa;
III.
Ativo de processamento - patrimnio composto por todos os

elementos de hardware, software, servio, infraestrutura ou
instalaes fsicas necessrios para a execuo de sistemas e
processos da empresa, tanto aqueles produzidos internamente
quanto aos adquiridos pela empresa;
IV.
Controle de Acesso - restries ao acesso s informaes de um

sistema exercido pelo Setor de Ti da empresa;
V.
Custdia consiste na responsabilidade de se guardar um ativo para

terceiros sem, contudo, permitir automaticamente o acesso ao ativo
ou o direito de conceder acesso aos outros;
61
VI.
Direito de Acesso privilgio associado a um cargo, pessoa ou

processo para ter acesso a um ativo;
VII.
Ferramentas
conjunto
de
equipamentos,
programas,
procedimentos, normas e demais recursos por meio dos quais se

aplica a Poltica de Segurana da Informao da empresa;
VIII.
Incidente de Segurana qualquer evento ou ocorrncia que

promova uma ou mais aes que comprometa, ou que seja uma
ameaa integridade, autenticidade ou disponibilidade de qualquer
ativo da empresa;
IX.
Proteo dos ativos processo pelo qual os ativos devem receber

classificao quanto ao grau de sensibilidade, sendo que o meio de
registro de um ativo de informao deve receber a mesma
classificao de proteo dada ao ativo que o contm;
X.
Responsabilidade obrigaes e deveres da pessoa que ocupa

determinada funo em relao ao acervo de informaes.
CAPTULO II
DOS OBJETIVOS E DA ABRANGNCIA
O setor de TI tem os seguintes objetivos:

I.
Definir o escopo da segurana da Informao da empresa;
II.
Orientar as aes de segurana, para reduzir riscos e garantir a

integridade, autenticidade, confidencialidade e disponibilidade dos
ativos de tecnologia da informao da empresa;
III.
Permitir a adoo de solues de segurana integrada;
IV.
Servir de referncia para auditoria, apurao e avaliao de

responsabilidade.
62
1 Para efeitos desta Resoluo, entende-se como ativo de
tecnologia da informao qualquer informao que tenha valor para
a empresa, tais como sistemas de informao, banco de dados,
imagens do sistema de segurana eletrnica, correspondncias
eletrnicas, contedo de pginas Web, telefonia VoIP, ou qualquer
outra informao armazenada e transmitida por meio digital, entre
outros.
2 As responsabilidades sobre os ativos sero definidos em normas
e procedimentos especficos elaborados pelo setor de TI e
submetidos aprovao da Alta Administrao da empresa.
A Poltica de Segurana abrange os seguintes aspectos:
I.
Requisitos de Segurana em Recursos Humanos
II.
Requisitos de Segurana ao Patrimnio Fsico e Ambiental;
III.
Requisitos de Segurana Lgica;
IV.
Requisitos de Segurana dos Recursos Criptogrficos.
CAPTULO III
DO GERENCIAMENTO DE RISCOS E INCIDENTES DE SEGURANA
DA INFORMAO
Entende-se como gerenciamento de risco o processo que visa proteo

dos servios da empresa, por meio da eliminao, reduo ou transferncia dos
riscos, conforme seja economicamente (e estrategicamente) mais vivel. Os
seguintes pontos devem ser identificados:
I.
O que se deve ser protegido;
II.
Anlise dos riscos (contra quem ou contra o qu deve ser protegido);
63
III.
Avaliao de riscos (anlise da relao custo/benefcio);
O processo de gerenciamento de riscos ser institudo e revisto

periodicamente pelo setor de TI, para preveno contra riscos advindos de novas
tecnologias e ameaas externas, visando elaborao de planos de ao
apropriados para proteo aos ativos ameaados.
Pargrafo nico: Todos os ativos da empresa devero ser inventariados,
classificados e reavaliados periodicamente pelo setor de TI da empresa.
Os incidentes de segurana da informao devero ser prontamente reportados,
de forma sigilosa, s autoridades responsveis e apurados pelo Setor de TI.
CAPTULO IV
DOS DEVERES E RESPONSABILIDADES
dever de todo usurio dos ativos de informao:

I.
Preservar a integridade e guardar sigilo das informaes de que

fazem uso, bem como zelar e proteger os respectivos recursos de
tecnologia da informao (TI);
II.
Utilizar os sistemas de informaes da empresa e os recursos a ela

relacionados somente para os fins previstos pelo setor de TI;
III.
Cumprir as regras, normas e procedimentos de proteo

estabelecidos aos ativos de informaes pelo setor de TI;
IV.
Responder por todo e qualquer acesso aos recursos de TI da

empresa, bem como pelos efeitos de acessos efetivados atravs de
seu cdigo de identificao ou outro atributo empregado para esse
fim;
V.
Abster-se de utilizar, utilizar, inspecionar, copiar ou armazenar

programas de computador ou qualquer outro material, em violao
legislao de propriedade intelectual pertinente;
64
VI.
Comunicar-se ao seu superior imediato qualquer irregularidade ou

desvio.
Entendem-se como responsabilidades das chefias as seguintes atividades:

I.
Gerenciar o cumprimento da poltica de segurana por parte de seus

funcionrios;
II.
Identificar os desvios praticados e adotar medidas corretivas

apropriadas;
III.
Proteger, em nvel fsico e lgico, os ativos de informao e de

processamento da empresa relacionados com sua rea de atuao;
IV.
Garantir que o pessoal sob sua superviso compreenda e colabore

para com sua proteo dos ativos de informao da empresa;
V.
Solicitar ao setor de TI a concesso de acesso privilegiado a

usurios sob sua superviso que podem acessar as informaes da
unidade administrativa sob sua responsabilidade.
Entendem-se como responsabilidade do setor de TI:

I.
Estabelecer regras de proteo aos ativos de informao da empresa;
II.
Decidir quanto s medidas a serem adotadas em caso de violao

das regras estabelecidas;
III.
Revisar periodicamente as polticas, normas e procedimentos de

segurana da informao da empresa;
IV.
Executar as regras de proteo estabelecidas por esta Poltica de

Segurana;
V.
Detectar, identificar, registrar as violaes ou tentativas de acesso

no autorizados;
VI.
Fornecer acesso ao recurso de TI, mantendo-se o devido registro e

controle.
65
CAPITULO V
DISPONIBILIDADE
DOS
RECURSOS
DE
TECNOLOGIA
DA
INFORMAO
1. Os colaboradores devem ser responsveis pela guarda, zelo e bom uso

dos recursos tecnolgicos disponibilizados, conforme instrues do
fabricante e da Poltica de Segurana.
2. Ao desrespeitar a poltica da organizao, no que diz respeito ao uso de
seus recursos tecnolgicos, o colaborador deve estar sujeito a medidas
disciplinares.
CAPTULO VI
TITULARIDADE DAS INFORMAES
1. A empresa detm todos os direitos, independentemente de seu contedo,

sobre todos os dados e informaes armazenados nos componentes do
sistema de computao, bem como sobre as mensagens, dados e
informaes enviadas e recebidas no sistema de correio eletrnico e
correio de voz.
2. A empresa se reserva no direito de acessar a seu critrio, aleatoriamente
e a qualquer momento, todos os seus meios tecnolgicos, incluindo
computadores, sistema de correio eletrnico, Internet e correio de voz.
CAPITULO VII
SEGURANA DA INFORMAO
1. Conforme atribuda as responsabilidades, o usurio dos recursos

tecnolgicos responsvel pela segurana das informaes da empresa
que esto sob sua responsabilidade.
66
2. Determinados recursos tecnolgicos da empresa podem ser acessados
apenas mediante ao fornecimento de uma senha vlida, ou seja, as
senhas so utilizadas para prevenir acessos no autorizados
informao e no conferem ao colaborador nenhum direito de
privacidade.
3. Os colaboradores devem manter suas senhas como informao
confidencial. No permitido compartilh-la, nem acessar sistemas de
outros colaboradores sem expressa autorizao, conforme a hierarquia
interna de responsabilidade para autorizaes e aprovaes. Nestes
casos, somente o diretor ou o gerente (responsvel pelo funcionrio),
que tenha autorizado formalmente a quebra de sigilo de um colaborador,
pode acessar essas informaes, de modo a garantir o sigilo das demais
informaes.
4. Os colaboradores que tentarem burlar ou desabilitar os dispositivos de
segurana, que asseguram a integridade dos recursos tecnolgicos da
organizao, devem estar sujeitos a aes disciplinares.
CAPITULO VIII
SIGILO DAS INFORMAES
1. No autorizada a transmisso de informao confidencial por meios

eletrnicos para destinatrios fora dos domnios da organizao.
2. A transmisso de informao classificada como confidencial dentro da
rede da organizao requer aprovao do diretor ou do gerente
responsvel.
Sempre que possvel, o setor de TI ir providenciar para seus usurios
meios eletronicamente seguros para a transmisso e o arquivamento das
informaes e dados classificados como confidenciais. Considere
meio eletronicamente seguro como a transmisso de dados
67
criptografados atravs de uma rede privada de dados, neste caso, em
nenhuma hiptese o cdigo de acesso (ou chave do cdigo) ser
transmitido junto com os dados confidenciais.
CAPITULO IX
AUTORIZAO PARA USO DOS RECURSOS DE TECNOLOGIA DA

INFORMAO
1. O acesso ser concedido levando em conta a funo desempenhada pelo

colaborador. As autorizaes e aprovaes necessrias para o
cumprimento dos procedimentos e instrues de trabalho devem ser
fornecidas conforme a hierarquia de responsabilidades abaixo:
Diretor: poder efetuar autorizaes e aprovaes necessrias

para os diretores e gerentes sob sua subordinao direta;
Gerente: poder efetuar autorizaes e aprovaes necessrias

para os gerentes, chefes, encarregados e demais colaboradores
sob sua subordinao direta.
ESTAES DE TRABALHO E SERVIDORES
1. Equipamentos e recursos tecnolgicos so de propriedade e uso restrito

da organizao. Devem estar em local seguro, ter acesso restrito e
protegido contra desastres com um nvel de segurana proporcional
importncia do bem e das informaes neles contidas.
Nos casos em que o usurio se ausentar de seu local de trabalho,
recomenda-se que ele ative a proteo de tela/ bloqueio do teclado.
68
Ressalvo que as estaes so configuradas para bloqueio automtico,
como forma de proteo adicional, aps um perodo de inatividade.
2. Como forma de proteger a entrada e, principalmente, a sada de
informao da organizao, dispositivos USB e CD tem uso controlado
e autorizado formalmente.
ESTAES MVEIS DE TRABALHO
1. Alm das recomendaes de segurana citadas para as estaes de

trabalho, as estaes mveis de trabalho (notebooks/laptops/PDAs)
devem possuir recursos de segurana que impeam o acesso no
autorizado s informaes.
CAPITULO X
PROTEO CONTRA SOFTWARES MALICIOSOS
1. Uso obrigatrio de software antivrus em todos os equipamentos, sendo

este instalado pelo setor de Tecnologia de Informao conforme adotado
pela empresa.
2. Atualizao peridica da lista de vrus e da verso do produto.
3. Verificao de todo o arquivo recebido anexado em e-mail, ou
download, pelo software de antivrus.
4. Disponibilizao de treinamento adequado que oriente a utilizao do
software antivrus para os usurios.
SOFTWARES NO AUTORIZADOS
1. Todos os programas de computador (software) em uso na empresa

possuem licenas de uso oficial e so homologados, sendo proibida a
69
instalao de software de propriedade da empresa alm da quantidade de
licenas adquiridas ou em equipamentos de terceiros.
2. Todos os programas de computador (software) em uso na empresa
possuem licenas de uso oficial e so homologados, sendo proibida a
instalao de qualquer software nas estaes de trabalho pelo prprio
usurio, sem conhecimento e autorizao do setor de TI.
REUTILIZAO E ALIENAO SEGURA DE EQUIPAMENTOS
1. Todos os equipamentos que contenham mdias de armazenamento de

dados devem ser examinados antes do descarte, para assegurar que todos
os dados sensveis e softwares licenciados tenham sido removidos ou
sobregravados com segurana.
CAPITULO XI
PROCEDIMENTOS PARA ACESSO INTERNET
1. A empresa possui os direitos de autoria sobre quaisquer materiais

criados internamente por qualquer colaborador.
2. Qualquer usurio interno da Internet responsvel e pode ser
responsabilizado por brechas que intencionalmente afetem a segurana
ou a confidencialidade dos dados internos.
3. Todas as tentativas de conexes so registradas para fins de auditoria:
Identidade do usurio;
Data, hora e tempo de permanncia das conexes;
Endereo IP e URLs acessadas (bloqueadas ou liberadas);
Protocolos utilizados;
Quantidade de dados sendo transmitidos ou recebidos.
70
CAPITULO XII
PROCEDIMENTOS EM CASOS DE VIOLAO
1. Infraes punveis pelos termos da Lei

Encaminhar
para
vrias
pessoas mensagem contendo
um boato eletrnico
Enviar uma mensagem para
terceiros com informao
considerada confidencial
Enviar
um
vrus
que
comprometa equipamento ou
contedo de terceiros
Copiar um contedo e no
mencionar a fonte, baixar
arquivos de mdia (MP3,
MPEG, entre outros) que no
possua controle de direitos
autorais
Enviar mensagem de correio
eletrnico com remetente falso
(spam)
Fazer cadastro com nome ou
informaes falsas em pginas
diversas na internet
Entrar em rede corporativa e
alterar informaes (mesmo
que com uso de software) sem
autorizao prvia
Usar logomarca de empresa
em mensagem de correio
eletrnico,
documentos,
propostas ou contratos sem
autorizao do titular, no todo
ou em parte, ou imit-la de
modo que possa induzir a
confuso
Uso de mecanismos (softwares
ou ferramentas diversas) para
coleta de informaes sem
autorizao prvia
Usar cpia de software sem ter
a licena para tanto
Difamao
Artigo 139 do
Cdigo Penal
Divulgao de segredo
Artigo 153 do
Cdigo Penal
Dano
Artigo 163 do
Cdigo Penal
Violao
autoral
do
direito
Artigo 184 do
Cdigo Penal
Falsa identidade
Artigo 307 do
Cdigo Penal
Insero de dados falsos

em
sistema
de
informaes
Adulterar Dados em
Sistema de informaes
Artigo 313-A do
Cdigo Penal
Crime
contra
propriedade industrial
Artigo 195
Lei 9.279/96
Interceptao
de
comunicaes
da
informtica
Crimes contra Software
Pirataria
Artigo 313-B do
Cdigo Penal
da
Artigo 10 da Lei
9.296/96
Artigo 12 da Lei
9.609/98
71
APENDICE B RELATRIO FINAL PARA A EMPRESA
A anlise feita na empresa foi para colaborar no entendimento da

importncia da Gesto da Segurana da Informao no mbito empresarial.
Como resultado foi proposta uma Poltica de Segurana que deve ser
implantada na empresa e utilizada por todos os funcionrios, atualizando
constantemente o documento conforme as necessidades da empresa e
comunicando essas mudanas a empresa toda. A verso inicial da Poltica pode
ser encontrada no Apndice A do projeto. Tambm indicada a atualizao do
Termo de Confidencialidade conforme sugerida na monografia no captulo 4 Resultados obtidos.
indicado que a empresa utilize a referncia Boas Prticas em
Segurana da Informao, elaborado pelo Tribunal de Contas da Unio, pois
um manual completo e embasado em normas, e pode ser encontrado no site
http://portal2.tcu.gov.br/portal/pls/portal/docs/2511466.PDF.
Bem
como
se
sugere a utilizao das normas 27001 e 27002 como auxlio nas tarefas dirias.
A planilha utilizada para elaborar a Gesto de Risco ser repassada a
empresa, para tenha informaes detalhadas sobre os riscos que est sujeita e
como trata-las utilizando controles presentes nas normas da srie 27000.
Controles do COBIT tambm foram sugeridos no Captulo 3.6 e podem
ser consultados pela empresa.
De maneira geral, o primeiro passo definir pessoas responsveis que
faro parte de um comit para discutir junto a Alta Administrao as
necessidades do setor de TI e mostrar como isso afetaria no bom andamento da
empresa. O segundo passo, utilizar a Poltica de Segurana elaborada como
base e adicionar itens de interesse da empresa. Comunicar a Poltica o passo
seguinte. O projeto pode ser utilizado como uma base para que as mudanas
ocorram.
72
APNDICE C CONTROLES DO COBIT
Foram selecionados Objetivos de Controle que podem colaborar com a
Objetivos de controle
Justificativas
Modelo
Maturidade
PO1.1 Gerenciamento
de Valor da TI
preciso gerenciar todos

os recursos de TI da
melhor maneira
importante que a
empresa reconhea o
envolvimento da TI nos
negcios
preciso avaliar quanto
custa a TI para a empresa,
pontos
fortes
e
fragilidades
Como a TI vai colaborar
com a empresa? Deve ser
definido nesse plano
A empresa precisa definir
como a TI vai ajudar, o
que vai ser preciso e como
ser feito
Gerenciar
os
investimentos de TI para
atingir
os
objetivos
estratgicos especficos de
negcios
Falta estabelecer e manter
um modelo de informao
da organizao
Definir um Plano Estratgico de TI
PO1
PO1.2 Alinhamento
entre TI e Negcio
PO1.3 Avaliao da
Capacidade
e
Desempenho
Correntes
PO1.4
Plano
Estratgico de TI
PO1.5 Planos Tticos
de TI
Definir a Arquitetura da
Informao
PO2
PO1.6 Gerenciamento
do Portflio de TI
PO2.1 Modelo de
Arquitetura
da
informao
da
organizao
PO2.3 Esquema de
Classificao
de
Dados
PO2.4 Gerenciamento
de Integridade
Classificar os dados para

definir tipos de acesso
Assegurar a integridade
do banco de dados e todos
os arquivos e dados da
empresa
2 Repetvel, porm intuitivo:

Procedimentos ainda que
informais e intuitivos so
diferentes
por
seguidos
pessoas dentro da organizao.
Controles
1 Inicial: A necessidade conhecida, mas o planejamento

feito caso a caso
empresa, seguidos de justificativas e o nvel de maturidade, so eles:

de
Falta um plano de
investimento em pessoal e
sistemas de informao
PO3.3 Monitoramento
de Regulamentos e
Tendncias Futuras
Monitorar as tendncias
de
tecnologia,
infraestrutura.
PO4.1 Estrutura
Processos de TI
de
Falta mapear e estruturar

os processos de TI
PO4.2
Comit
Estratgico de TI
Falta definir um comit

estratgico de TI
PO4.3
Comit
Executivo de TI
PO4.4 Posicionamento
Organizacional
da
rea de TI
PO4.5
Estrutura
Organizacional de TI
Falta definir um comit

executivo
Falta posicionar a rea de
TI na estrutura geral
organizacional
Falta estabelecer um
processo para revisar
periodicamente a estrutura
organizacional e ajustar os
requisitos de pessoal
Falta definir papis e
responsabilidades
e
comunicar para todo o
pessoal
Falta
definir
um
responsvel
pela
Segurana da informao
PO4.6 Definio de
Papis
e
Responsabilidades
PO4.8
Responsabilidades por
Riscos,
Segurana,
Conformidade
PO 4.9 Proprietrios
de Dados e sistemas
Falta
definir
um
responsvel para tomar
de um planejamento de infraestrutura.
de
maneira inconsistente. A TI envolvida apenas nos estgios finais dos

projetos de negcio. A rea de TI considerada uma rea de apoio, sem
uma perspectiva geral da organizao. H um entendimento implcito da
necessidade de uma organizao de TI, entretanto os papis e
responsabilidades no so formalizados nem impostos.
PO3.2
Plano
Infraestrutura
Tecnolgica
1 Inicial: As reas e atividades de TI so reativas e implementadas de 0 Inexistente: no h conscientizao da importncia
Determinar o Direcionamento Tecnolgico

Definir os Processos, Organizao e os Relacionamentos de TI
PO4
PO3
73
74
PO 4.10 Superviso
PO4.11 Segregao de
Funes
PO4.12 Recrutamento
de pessoal de TI
PO4.13 Pessoal Chave

de TI
PO4.14 Polticas e
Procedimentos
para
Pessoal Contratado
PO4.15
Relacionamentos
decises
sobre
a
classificao
da
informao
Falta
controle
para
assegurar que os papis e
responsabilidades sejam
exercidos adequadamente.
separar
papis
e
responsabilidades
que
reduza a possibilidade de
um
nico
indivduo
subverter um processo
crtico.
A
gerncia
tambm deve se certificar
de que o pessoal esteja
executando apenas tarefas
autorizadas relevantes aos
seus respectivos cargos e
posies.
Avaliar os requisitos de
contratao e garantir que
a rea de TI tenha
quantidade suficiente de
pessoal para suportar de
forma
adequada
os
objetivos e metas de
negcios.
Falta definir pessoalchave e minimizar o
excesso de confiana em
um nico individuo
Definir e implementar
polticas e procedimentos
para
controlar
as
atividades de consultores
e outros contratados da
rea de TI visando
assegurar a proteo dos
ativos de informao da
organizao
e
o
cumprimento
das
exigncias
contratuais
firmadas
Estabelecer e manter uma
estrutura otimizada de
coordenao,
Falta um processo para

alocar os recursos de TI
de maneira adequada
Definir prioridades no
oramento
Comparar custo com
benefcios reais
PO6.1 Poltica de TI e
Ambiente de Controle
Falta
poltica
segurana
PO6.2 Risco de TI
Corporativo
e
Estrutura Interna de
Controle
Falta controle de Riscos
PO6.3 Gerenciamento
de Polticas de TI
PO6.4 Distribuio da
Poltica
Falta gerenciamento de
polticas de TI
Falta assegurar que as
polticas de TI sejam
impostas e distribudas
para todo o pessoal
Falta comunicao para
conscientizao
e
entendimento
dos
objetivos
Falta
padro
na
contratao do pessoal de
TI
Falta
avaliao
de
competncia pessoal
Falta definir, monitorar e
supervisionar funes
Falta treinamento eficaz
PO6.5 Comunicao
dos
objetivos
e
Diretrizes de TI
PO 7.1 Recrutamento
e Reteno de Pessoal
PO 7.2 Competncias
Pessoais
PO7.3 Preenchimento
de Vagas
PO 7.4 Treinamento
de Pessoal
de
1
Inicial:
A
organizao
reconhece
a
necessidade
de
gerenciar
o
investimento em
TI,
mas
comunicada
inconsistentement
e. As decises so
focadas
operacionalmente.
0 Inexistente: Direo no estabeleceu um
ambiente de controle da informao. No h
reconhecimento da necessidade de estabelecer um
conjunto de polticas, padres, procedimentos e
processos de conformidade.
PO5.1 Estrutura da
Administrao
Financeira
PO5.2
Priorizao
dentro do Oramento
de TI
PO5.3 Processo de
Oramento de TI
PO5.4 Gerenciamento
de Custo
comunicao e conexo
entre a funo de TI e
diversos outros interesses
dentro ou fora da rea de
TI;
Falta estabelecer uma
estrutura financeira
a
Inicial:
1
administrao
a
reconhece
de
necessidade
dos
gerenciamento
recursos humanos de
TI
Gerenciar os investimentos de
TI
Comunicar as Diretrizes e Expectativas da
Diretoria
Gerenciar os Recursos
Humanos de TI
PO7
PO6
PO5
75
Avaliar e Gerenciar os Riscos de TI
PO 7.5 Dependncia
de Indivduos
PO 7.6 Procedimentos
de
Liberao
de
Pessoal
PO 7.7 Avaliao de
Desempenho
Profissional
PO 7.8 Mudana e
Desligamento
de
Cargo
Falta definir funes
PO 9.1 Alinhamento
da gesto de riscos de
TI e de negcios
Falta estabelecer uma

estrutura de gesto de
riscos de TI alinhada com
a da organizao
PO
9.2
Estabelecimento
do
Contexto de risco
Falta
estabelecer
o
contexto ao qual a
estrutura de avaliao de
riscos aplicada
Falta manter histrico dos
riscos relevantes
PO 9.3 Identificao
de Eventos
PO 9.4 Avaliao de
Risco
PO 9.5 Resposta ao
risco
PO 9.6 Manuteno e
monitoramento
do
plano de ao de risco
AI1
Definio
e
Manuteno
de
Requisitos Tcnicos e
funcionais de negcio
AI1
Identificar
Solues
Automatiz
adas
PO9
76
Falta incluir anlise de

antecedentes no processo
de recrutamento de TI.
Falta
avaliar
o
desempenho
periodicamente
Falta
poltica
de
desligamento
Falta avaliar regularmente

a probabilidade e o
impacto de todos os riscos
identificados
Falta
desenvolver
e
manter um processo de
respostas aos riscos.
Falta
planejar
as
atividades de controle
para
implementar
as
respostas aos riscos
Falta
identificar
os
requisitos tcnicos e
funcionais do negcio
cobrindo todo escopo de
todas
as
iniciativas
0
Inexistente:
Gerenciar riscos
no considerado
relevante
para
adquirir solues
ou
entregar
servios de TI
1 Inicial: Os
requisitos no so
documentados.
H
uma
conscincia
da
Adquirir e Manter Infraestrutura de Tecnologia
AI3
77
AI1.2 Relatrio
Anlise de Risco
de
AI3.1
Plano
Aquisio
Infraestrutura
tecnolgica
de
de
AI3.2 Infraestrutura de
recursos, proteo e
disponibilidade
Habilitar Operao e Uso
AI4
AI 3.3 Manuteno da
infraestrutura
AI 4.1 Planejamento
para
solues
operacionais
AI 4.2 Transferncia de
Conhecimento ao
gerenciamento do
negcio
AI4.3 Transferncia de
conhecimentos
dos
usurios finais
necessrias para obter os

resultados esperados de
investimentos em TI
Falta documentar os
riscos associados ao
negcio
Falta um plano para
aquisio,
implementao
e
manuteno
da
infraestrutura tecnolgica
que
satisfaa
aos
requisitos tcnicos e
funcionais estabelecidos
do negcio e esteja de
acordo com a direo
tecnolgica
da
organizao.
Falta
Implementar
controles
internos,
medidas de segurana e
auditabilidade durante a
configurao, integrao
e
manuteno
de
hardware e software da
infraestrutura
para
proteger os recursos e
assegurar disponibilidade
e integridade.
Falta um plano de
manuteno
da
infraestrutura
Falta desenvolver um
plano para identificar e
documentar todos os
aspectos tcnicos, a
capacidade operacional e
os nveis de servios
necessrios para que
todos que iro operar,
utilizar e manter as
solues automatizadas
necessidade
definir
requisitos
identificar
solues.
de
os
e
as
1 Inicial: Existe
conscincia
de
que
a
infraestrutura de
TI importante,
no h nenhuma
abordagem
consistente.
1 Inicial: H
conscincia de
que a
documentao de
processos
necessria. A
documentao
ocasionalmente
produzida e
inconsistentement
78
Adquirir recursos de TI
Gerenciar Mudanas
Instalar e Homologar
Solues e Mudanas
AI7
AI6
AI5
AI 4.4 Transferncia de
conhecimento
s
equipes de operaes e
suporte
AI5.1 Controle de
Aquisies
AI 5.3 Seleo
Fornecedores
de
AI 5.4 Aquisio de
Recursos de TI
AI 6.1 Padres e
Procedimentos
de
Mudana
AI 6.2 Avaliao de
Impacto, priorizao e
autorizao.
AI 6.3 Mudanas de
Emergncia
AI
6.4
Acompanhamento de
Status e Relatrios de
Mudanas
AI 6.5 Finalizao da
Mudana
e
Documentao
AI 7.1 Treinamento
AI 7.2 Plano de teste
AI 7.5 Converso de
dados e sistemas
possam exercer
responsabilidades.
suas
Falta acompanhamento
para assegurar que a
aquisio
de
infraestrutura, hardware,
software satisfaa os
requisitos de negcios.
Falta uma seletiva de
fornecedores com opes
viveis.
Falta uma documentao
para
aquisio
de
recursos de TI.
Falta acompanhamento e
documentao.
Falta
treinamento
consistente.
Falta definir papis e
responsabilidade na TI
Falta planejamento na
migrao de dados e
procedimentos de retorno
situao anterior e de
recuperao de falhas.
e distribuda a
grupos limitados.
0 Inexistente: No
h
nenhum
processo definido
de aquisio de
recursos de TI.
0 Inexistente: No
h um processo
de gerenciamento
de
mudanas
formalmente
estabelecido, e as
mudanas podem
ser
feitas
praticamente sem
nenhum controle.
1 Inicial: Existe a
conscincia
da
necessidade. As
abordagens
de
testes variam.
de
de
DS 1.2 definio de
servios
Falta definir um modelo

de acordo de nveis de
servios(SLAs) entre
empresa e provedor.
Falta
portflio
de
servios
executados
pela TI
DS 1.4 Acordos de nvel

operacional
Falta definir como

sero feitos os servios.
DS 1.5 monitoramento e
relatrio de realizaes
de nvel de servio
Falta um controle de
desempenho
e
andamento de servio
DS 2.1 Identificao do
relacionamento
com
todos os fornecedores
Falta Identificar todos

os
servios
terceirizados
e
categoriz-los
de
acordo com o tipo, a
importncia
e
a
criticidade.
Manter
documentao formal
dos
relacionamentos
tcnicos
e
organizacionais
contemplando papis e
responsabilidades,
metas,
produtos
esperados
e
as
credenciais
dos
representantes desses
fornecedores
Garantir
que
os
contratos estejam em
conformidade com os
padres universais de
negcios de acordo com
as exigncias legais e
regulamentares.
DS 2.3 Gerenciamento
dos riscos do fornecedor
DS 2.4 Monitoramento
de
desempenho
do
fornecedor
Estabelecer um processo
para monitorar a prestao
do servio de modo a
assegurar
que
o
fornecedor atenda aos
requisitos
atuais
do
0 Inexistente: A direo no reconhece a

necessidade de um processo para definir
os nveis de servio. No so atribudas
responsabilidades para monitor-los.
DS1.1
Estrutura
gesto de nveis
servios
2 Repetvel, porm intuitivo: O processo para supervisionar os fornecedores de servios

terceirizados, riscos associados e entrega dos servios informal. utilizado um contrato pro
forma assinado, contendo termos e condies padronizados pelos distribuidores/vendedores
(por exemplo, a descrio dos servios a serem prestados). Relatrios dos servios prestados
so disponibilizados, mas no satisfazem aos objetivos do negcio.
Definir e Gerenciar Nveis de Servios

Gerenciar Servios de Terceiros
DS2
DS1
79
80
DS 3.1 desempenho e
planejamento
de
capacidade
Gerenciar capacidade de desempenho
DS3
DS 3.2 capacidade e
desempenho atuais
DS 3.3 capacidade e
desempenho futuros
DS 3.4 Disponibilidade
de recursos de TI
DS 3.5 monitoramento e
relatrio
Falta Estabelecer um
processo
de
planejamento para a
realizao de anlise
crtica do desempenho e
da capacidade dos
recursos de TI,
Realizar
a
anlise
crtica do desempenho e
a capacidade atual dos
recursos de TI
Identificar
as
tendncias de carga de
trabalho e realizar
previses para orientar
o plano de capacidade e
desempenho.
A
Direo
deve
assegurar que os planos
de
contingncia
viabilizem
apropriadamente
a
disponibilidade,
a
capacidade
e
o
desempenho de cada
recurso de TI.
Monitorar
constantemente
o
desempenho
e
a
capacidade dos recursos
de TI
1 Inicial: A medida tomada no sentido do gerenciamento de desempenho e de

capacidade tipicamente reativa. O processo de planejamento de capacidade e
desempenho informal
negcio.
DS 4.1 estrutura
continuidade
de
O modelo deve orientar

a
estrutura
organizacional quanto
ao gerenciamento da
continuidade,
contemplando papis,
tarefas
e
responsabilidades dos
provedores de servio
internos e externos,
seus gerenciamentos,
clientes e as regras e
estruturas
para
documentar, testar e
executar planos de
recuperao
de
desastres
e
continuidade de TI.
DS 4.2 Planos
continuidade de TI
de
Desenvolver planos de
continuidade de TI com
base na estrutura e
projetados para reduzir o
impacto de uma grande
interrupo de funes e
processos de negcio
fundamentais.
DS 4.3 recursos crticos

de TI
Dar ateno especial

aos itens mais crticos
no
plano
de
continuidade de TI para
assegurar a capacidade
de restabelecimento e
definir prioridades em
situaes
de
recuperao
essencial que as
mudanas
nos
procedimentos
e
responsabilidades sejam
comunicadas
claramente e de forma
oportuna.
Testar o plano de
continuidade de TI
regularmente
para
assegurar
que
os
sistemas de TI possam
DS 4.4 Manuteno do
plano de continuidade de
TI
DS 4.5 Teste do plano de

continuidade de TI
1 Inicial: as responsabilidades pela continuidade dos servios so informais e a autoridade ra exercer essas responsabilidades
limitada.
Assegurar a continuidade de servios
DS4
81
82
DS 4.7 Distribuio do
plano de continuidade
Assegurar a segurana dos

servios
DS5
DS 4.8 Recuperao e
retomada dos servios de
TI
DS 4.9 Armazenamento
de cpias de segurana
em locais remotos
Armazenar remotamente
todas as mdias de cpias
de segurana crticas,
documentao e outros
recursos de TI necessrios
para a recuperao da TI e
os planos de continuidade
de negcio.
DS 5.1 gesto da
segurana de TI
DS 5.2 plano de
segurana de TI
DS 5.3 Gesto de
identidade
DS 5.4 gesto de contas
de usurio
DS
5.5
teste
de
segurana, vigilncia e
monitoramento
Falta documentao
1 Inicial: A organizao
reconhece a necessidade de
segurana de TI. A conscincia
da necessidade de segurana
depende principalmente das
pessoas. A segurana de TI
tratada de forma reativa e no
mensurada. As falhas de
segurana de TI detectadas
geram acusaes internas, pois a
atribuio de responsabilidades
obscura. As respostas s falhas
de segurana de TI so
imprevisveis.
DS 4.6 treinamento do
plano de continuidade de
TI
ser
efetivamente
recuperados
Assegurar que todas as
partes
envolvidas
recebam
treinamento
regular
sobre
os
procedimentos, papis e
respectivas
responsabilidades
no
caso de um incidente ou
desastre.
Falta gerenciar para que
os
planos
estejam
apropriadamente
disponveis s partes
interessadas
e
autorizados quando e
onde necessrio.
Planejar as aes a
serem executadas nos
momentos
de
recuperao
e
retomadas dos servios
de TI. Isto pode incluir
ativao de backup
sites,
DS 6.2 Contabilidade de
TI
Educar e treinar os usurios
DS7
DS 7.1 identificao das

necessidades de ensino e
treinamento
DS 7.2 Entrega de
treinamento e ensino
DS 7.3 Avaliao do
treinamento recebido
Identificar todos os
custos de TI e associlos aos servios de TI,
sustentando um modelo
transparente de custeio.
Coletar e alocar os
custos vigentes de
acordo com o modelo
de custo definido.
Estabelecer e atualizar
regularmente
um
currculo para cada
grupo-alvo
de
empregados,
Registrar
inscries
(incluindo
prrequisitos), frequncia
de
participao
e
avaliaes
de
desempenho.
Avaliar o contedo do
ensino e do treinamento
recebidos no que diz
respeito a relevncia,
qualidade, efetividade,
absoro e reteno do
conhecimento, custo e
valor.
1 Inicial: Os custos de TI so
custo
como
alocados
operacional geral.
DS 5.6 Definio de
Incidente de segurana
DS 5.7 Proteo da
tecnologia de segurana
DS 5.8 gesto de chave
criptogrfica
DS
5.9
preveno,
deteco e correo de
software malicioso
DS 5.10 Segurana de
rede
DS 5.11 comunicao de
dados confidenciais
DS 6.1 definio de
servios
2 Repetvel, porm Intuitivo: H conscincia na

organizao da necessidade de um programa de ensino e
treinamento e de processos associados.
Identificar e alocar custos
DS6
83
DS 8 Central de servio
Gerenciar a central de servio e os incidentes
DS8
DS 8.2 Registro dos

chamados dos clientes
DS 8.3 Escalonamento
de incidentes
DS 8.4 Encerramento de
incidentes
Falta Estabelecer uma

central de servio, que
a interface entre o
usurio e a TI, para
registrar,
comunicar,
despachar e analisar
todos os chamados,
incidentes reportados,
solicitaes de servios
e
demanda
de
informaes
Falta um sistema que
permitam o registro e o
rastreamento
de
ligaes,
incidentes,
solicitaes de servios
e
necessidade
de
informaes
Estabelecer
os
procedimentos
da
central de servio para
que os incidentes que
no
podem
ser
resolvidos
imediatamente sejam
adequadamente
encaminhados,
e
solues
temporrias
sejam implementadas,
se aplicvel.
Estabelecer
procedimentos para o
monitoramento
peridico
do
encerramento
de
chamados de clientes.
Tambm registrar e
relatar incidentes no
solucionados (erros j
conhecidos
e
alternativas existentes)
para
prover
informaes visando o
adequado
gerenciamento
de
problemas.
0 Inexistente: H uma completa falta de processo de gerenciamento de incidente. A organizao no reconhece que h uma
questo a ser tratada.
84
DS 9.2 identificao e
manuteno dos itens de
configurao
DS 9.3 reviso
integridade
configurao
da
de
Gerenciar os problemas
Gerencia
r os
dados
DS11
DS10
DS 10.1 Identificar e
classificar os problemas
DS 10.2 Rastreamento e
resoluo de problemas
DS 11.1 Requisitos de
negcio
para
o
gerenciamento de dados
0 Inexistente: No h conscientizao da
necessidade de gerenciamento de problemas
tampouco h diferenciao entre problemas e
incidentes. Portanto, no h tentativa de
identificar a origem dos incidentes.
Gerenciar a configurao
DS9
DS 9.1 repositrio de
configurao e perfis
bsicos
Gerar relatrios de
atividades da central de
servio,
Estabelecer
uma
ferramenta de suporte e
um repositrio central
para conter todas as
informaes relevantes
sobre os itens de
configurao.
Implantar
procedimentos
de
configurao
para
suportar a Direo e
registrar
todas
as
alteraes
no
repositrio
de
configuraes.
Periodicamente revisar
os
dados
de
configurao
para
verificar e confirmar a
integridade
da
configurao atual e
histrica.
Implementar processos
para
reportar
e
classificar os problemas
identificados
como
parte do gerenciamento
de incidentes
O sistema de
gerenciamento de
problemas deve
fornecer recursos de
trilha de auditoria
adequados que
permitam o
rastreamento, a anlise
e a identificao da
causa-raiz de todos os
problemas reportados,
Estabelecer
arranjos
para assegurar que
todos
os
dados
esperados
sejam
1 Inicial:
responsa
bilidade
final
pelo
gerencia
mento
dos
dados
no
clara.
Existem
procedi
mentos
de cpia
de
seguran
DS 8.5 Relatrios e
anlises de tendncias
0 Inexistente: A Diretoria no tem uma viso dos benefcios

de contar com um processo implementado capaz de reportar
e gerenciar a infraestrutura de TI, no que se refere a
configuraes de hardware e de software.
85
86
DS 11.2 Arranjos de
armazenamento
e
reteno
DS 11.3 Sistemas de
gerenciamento
de
biblioteca de mdia
DS 11.5 Backup e
restaurao
DS 11.6 Requisitos de
segurana
para
o
gerenciamento de dados
recebidos, processados
de maneira completa,
precisa e no tempo
apropriado e que toda
sada seja entregue de
acordo
com
os
requisitos de negcio.
procedimentos para um
efetivo
e
eficiente
armazenamento
de
dados,
reteno
e
arquivamento
para
atender aos objetivos de
negcio, poltica de
segurana
da
organizao
e
s
exigncias regulatrias.
procedimentos
para
manter um inventrio
de
mdia
local,
assegurando
sua
usabilidade
e
integridade.
Falta
documentao
mais detalhada.
Definir e estabelecer
polticas
e
procedimentos
para
identificar e aplicar
requisitos de segurana
aplicveis
ao
recebimento,
processamento,
armazenamento fsico e
sada de dados para
atender aos objetivos de
negcio, poltica de
segurana
da
organizao
e
a
exigncias regulatrias
Definir e selecionar o
local
para
os
equipamentos de TI.
DS 12.2 Medidas de
segurana fsica
medidas de segurana
fsica alinhadas com os
requisitos de negcio
para proteger o local e
os ativos fsicos
Os acessos a
instalaes, prdios e
reas devem ser
justificados,
autorizados, registrados
e monitorados.
Projetar e implementar
medidas de proteo
contra
fatores
ambientais
Gerenciar as instalaes
fsicas,
incluindo
equipamentos
de
energia e comunicao,
Definir, implementar e
manter procedimentos
padronizados para as
operaes de TI e
assegurar que a equipe
de operaes esteja
familiarizada com todas
as
atividades
operacionais relevantes
procedimentos
para
monitorar
a
infraestrutura de TI e
eventos relacionados.
Estabelecer
proteo
fsica
apropriada,
prticas de controle e
gerenciamento
de
inventrio sobre ativos
crticos de TI
DS 12.3 Acesso fsico
DS 12.4 Proteo contra

fatores ambientais
DS 12.5 gerenciamento
de instalaes fsicas
Gerenciar as operaes
DS13
DS 13.1 procedimentos e
instrues de operaes
DS 13.3 monitoramento
da infraestrutura de TI
DS 13.4 documentos
confidenciais
e
dispositivos de sada
2 Repetvel: A segurana fsica um processo informal conduzido

por um pequeno grupo de funcionrios com alto nvel de preocupao
com a proteo das instalaes fsicas. Os procedimentos de
manuteno das instalaes no esto bem documentados e se
baseiam em boas prticas de poucos indivduos.
DS 12.1 seleo do local

e layout
1 Inicial: A organizao reconhece a necessidade de

estruturao das funes de suporte de TI. Poucos
procedimentos padres esto estabelecidos, e as
atividades de operao so reativas por natureza. A
maioria dos processos operacionais programada
informalmente, e solicitaes do processamento so
aceitas sem prvia validao.
Gerenciar o ambiente fsico
DS12
87
ME 1.4 avaliao de
desempenho
Analisar periodicamente o
desempenho com base nas
metas, executar anlise de
causa-raiz dos problemas e
iniciar ao corretiva para
tratar as causas ocultas.
Identificar e iniciar aes
corretivas com base no
monitoramento,
na
avaliao e nos relatrios
de desempenho.
o
Inicial:
1
Normalmente
monitoramento implementado
como resposta a um incidente que
tenha causado algum tipo de perda
ou embarao organizao.
Monitorar e Avaliar os Controles Internos
ME 2.1 monitoramento
da estrutura de controles
internos
Falta monitoramento
ME
2.2
Reviso
Gerencial
ME 2.5 garantia dos
controles internos
ME 2.7 aes corretivas
A Direo de TI no atribuiu
formalmente a responsabilidade pela
eficcia do monitoramento dos controles
internos.
ME 4.1 estabelecimento
de uma estrutura de
governana de TI
Falta
avaliao
dos
controles internos de TI
Garantir a abrangncia dos
controles internos
Identificar,
iniciar,
monitorar e implementar
aes corretivas com base
nas avaliaes e nos
relatrios de controle
Definir,
estabelecer
e
alinhar a estrutura de
governana de TI com a
governana organizacional
e o ambiente de controle.
ME 1.6 aes corretivas
1 Inicial:
H
reconheci
mento de
que
existem
questes
sobre a
governana
de TI que
precisam
ser
tratadas.
procedimentos
para
assegurar a manuteno
da infraestrutura em
tempo
hbil
para
reduzir a frequncia e o
impacto de falhas ou
degradao
de
desempenho.
Monitorar e Avaliar o
Desempenho
DS 13.5 Manuteno
preventiva de hardware
Prover a
Governan
a de TI
ME4
ME2
ME1
88
89
ME 4.2 alinhamento
estratgico
ME 4.4 gerenciamento
de recursos
ME 4.5 gesto de riscos

ME 4.6 medio
desempenho
de
Trabalhar com o conselho

diretor para definir e
implementar as estruturas
de governana, como um
comit de estratgia de TI,
para dar direo estratgica
ao gerenciamento relativo a
TI,
Supervisionar
o
investimento, o uso e a
alocao dos recursos de TI
por meio de avaliaes
peridicas
Falta uma gesto de Riscos
Confirmar se os objetivos
acordados de TI foram
atingidos ou excedidos ou
se o progresso na direo
dos objetivos de TI atende
as expectativas
Quadro 2: Controles selecionados do COBIT
90
APNDICE D SUGESTES DECONTROLES DA NORMA 27001
A tabela abaixo relaciona os controles da Norma ABNT NBR 27001 que

cabem ao contexto da empresa:
Falta na empresa
Poltica de Segurana
Apoio da Alta
Administrao
Faltam responsveis
Atualizao de
Confidencialidade
Identificar requisitos antes
de conceder acesso aos
ativos ou s informaes
Responsveis pelos ativos
Classificao das
informaes
RH antes da contratao
RH Durante a contratao
Desligamento de
funcionrios
Segurana fsica e do
ambiente
Controles Relacionado na Norma 27001

A.5.1.1 Documento da poltica de Segurana da
Informao
A.5.1.2 Anlise Crtica da poltica de segurana
da informao
A.6.1.1 Comprometimento da direo com a
segurana da informao
A.6.1.2 Coordenao da segurana da
informao
A.6.1.3 Atribuio de responsabilidades para a
A.6.1.5 Acordos de Confidencialidade
A.6.2.2 Identificando a segurana da
informao quando tratando com os clientes
A.7.1.1 Inventrio dos ativos
A.7.1.2 Proprietrio dos ativos
A.7.1.3 Uso Aceitvel dos ativos
A.7.2.1 Rtulos e tratamento da informao
A.8.1.1 Papis e responsabilidades
A.8.2.1 Responsabilidades da direo
A.8.2.2 Conscientizao, educao e
treinamento em segurana da informao.
A.8.3.2 Devoluo dos ativos
A.8.3.3 Retirada de direitos de acesso
A.9.1.2 Controles de entrada fsica
A.9.1.3 Segurana em escritrios salas e
instalaes
A.9.1.4 Proteo contra ameaas externas e do
meio ambiente
91
Segurana de
equipamentos
Gerenciamento das
operaes
Planejamento e aceitao
dos sistemas
Proteo contra cdigos
maliciosos
Cpias de segurana
Gerenciamento da
segurana em redes
Manuseio de mdias
A.9.2.1 Instalao e proteo do equipamento

A.9.2.2 Utilidades (equipamentos protegidos
contra a falta de energia e outras interrupes)
A.9.2.3 Segurana do cabeamento
A.9.2.4 Manuteno dos equipamentos
A.9.2.5 Segurana de equipamentos fora das
dependncias das organizaes
A.9.2.6 Reutilizao e alienao segura de
equipamentos
A.9.2.7 Remoo de propriedade (no devem
ser retirados do local sem autorizao prvia)
A.10.1.1 Documentao dos procedimentos de
operao
A.10.1.2 Gesto de Mudanas
A.10.3.1 Gesto da capacidade (monitoramento
da utilizao dos recursos, fazer projees).
A.10.4.1 Controle contra cdigos maliciosos
Troca de informaes
A.10.5.1 Cpias de segurana das informaes

A.10.6.1 Controle de redes
A.10.6.2 Segurana dos servios de rede
A.10.7.1 Gerenciamento de mdias removveis
A.10.7.2 Descarte de Mdias (procedimentos
formais para descarte)
A.10.7.3 Procedimentos para tratamento de
informao (proteo contra a divulgao no
autorizada ou uso indevido)
A.10.7.4 Segurana da documentao dos
sistemas (proteo contra acessos no
autorizados)
A.10.8.1 Polticas e procedimentos para troca de
informaes
A.10.8.3 Mdias em trnsito (Mdias contendo
informaes devem ser protegidas contra acesso
no autorizado, uso imprprio ou alterao
indevida durante o transporte externo aos
limites fsicos da organizao)
A.10.8.4 Mensagens eletrnicas
92
Monitoramento
Controle de acessos
Gerenciamento de acesso
do usurio
Responsabilidades dos
usurios
Controle de acesso rede
A.10.10.1 Registros de auditoria (Registros

(log) de auditoria contendo atividades dos
usurios, excees e outros eventos de
segurana da informao).
A.10.10.2 Monitoramento do uso do sistema
A.10.10.3 Proteo das informaes dos
registros (logs) (protegidos contra falsificao
e acesso no autorizado)
A.10.10.4 Registros (log) de administrador e
operador (As atividades dos administradores e
operadores do sistema devem ser registradas)
A.10.10.5 Registros (logs) de falhas
A.10.10.6 Sincronizao dos relgios
A.11.1.1 Poltica de controle de acesso
A.11.2.1 Registro de usurio

A.11.2.2 Gerenciamento de privilgios
A.11.2.3 Gerenciamento de senha do usurio
A.11.2.4 Anlise crtica dos direitos de acesso
de usurio (O gestor deve conduzir a intervalos
regulares a anlise crtica dos direitos de acesso
dos usurios, por meio de um processo formal)
A.11.3.1 Uso de senhas

A.11.3.2 Equipamento de usurio sem
monitorao
A.11.3.3 Poltica de mesa limpa e tela limpa
A.11.4.1 Poltica de uso dos servios de rede
A.11.4.2 Autenticao para conexo externa do
usurio
A.11.4.3 Identificao de equipamento em redes
A.11.4.4 Proteo de portas de configurao e
diagnstico remotos
A.11.4.6 Controle de conexo de rede (Para
redes compartilhadas, especialmente as que se
estendem pelos limites da organizao, a
capacidade de usurios para conectar-se rede
deve ser restrita, de acordo com a poltica de
controle de acesso e os requisitos das aplicaes
do negcio)
93
Controle de acesso ao
sistema operacional
Computao mvel e
trabalho remoto
Segurana dos arquivos do
sistema
Segurana em processos de
desenvolvimento e de
suporte
Gesto de incidentes de
Gesto de incidentes de
segurana da informao e
melhorias
Gesto da continuidade do
negcio
Conformidade com
requisitos legais
Conformidade com normas
e polticas de segurana da
informao e conformidade
tcnica
A.11.5.1 Procedimentos seguros de entrada no

sistema (log-on)
A.11.5.2 Identificao e autenticao de usurio
A.11.5.3 Sistema de gerenciamento de senha
A.11.5.4 Uso de utilitrios de sistema
(programas utilitrios que podem ser capazes de
sobrepor os controles dos sistemas e aplicaes
deve ser restrito e estritamente controlado.)
A.11.5.5 Limite de tempo de sesso
A.11.5.6 Limitao de horrio de conexo
A.11.7.2 Trabalho remoto
A.12.4.1 Controle de software Operacional
(Procedimentos para controlar a instalao de
software em sistemas operacionais devem ser
implementados).
A.12.5.4 Vazamento de informaes
A.13.1.1 notificao de eventos de segurana da
informao
A.13.1.2 Notificando fragilidades de segurana
da informao
A.13.2.1 Responsabilidades e Procedimentos
A.13.2.2 Aprendendo com os incidentes de
A.13.2.3 Coleta de evidncias
A.14.1.2 Continuidade de negcios e
anlise/avaliao de risco (Devem ser
identificados os eventos que podem causar
interrupes aos processos de negcio, junto
probabilidade e impacto de tais interrupes e as
consequncias para a segurana de informao)
A.15.1.4 Proteo de dados e privacidade da
informao pessoal
A.15.1.5 Preveno de mau uso de recursos de
processamento da informao
A.15.2.1 Conformidade com as polticas e
normas de segurana da informao
Quadro 3: Controles da Norma ABNT NBR 27001
94
APNDICE E MODELO TERMO DE ACEITAO DO RISCO
Declaro estar ciente de que sou responsvel pelo Monitoramento e

Comunicao dos Riscos na EMPRESA. Tenho conhecimento que os riscos
existem e que necessitam ser discutidos.
A EMPRESA compromete-se a se reunir com os gestores e o
responsvel pelo setor de TI para que sejam discutidas as formas de se eliminar
os riscos e assim tomar as medidas cabveis.
OBS: Os riscos se encontram detalhados no CD de Gesto de Riscos entregue ao

Encarregado de TI.
______________________________
Responsvel pelo setor de TI
______________________________
Diretor Geral
Data (XX/XX/XXXX).
95
ANEXO A FOTOS DE PONTOS CRTICOS DA EMPRESA
Este anexo contm fotos tiradas na empresa, em pontos diferentes, dos

pontos vulnerveis na empresa, que justificam a importncia deste projeto.
Foto 1: Desfazimento da empresa
96
Foto 2: Rack das cmeras na sala do Gerente Geral
Foto 3: Rack das cmeras na sala do Gerente Geral_foto_2
97
Foto 4: Cabos espalhados na Sala de Qualidade
Foto 5: Switch na mesa de funcionrios na Sala de Qualidade
98
Foto 6: Rack do Setor de PCP, cabos soltos e expostos.
Foto 7: Rack no setor de Produo, destrancado e aberto.
99
Foto 8: Setor de TI
Foto 9: Setor de TI_2
100
101
Foto 12: Rack Geral da Empresa, no setor de TI
Foto 13: Rack Geral no Setor de TI_2
102
Foto 14: Setor de TI_Cofre
Foto 15: Provedores Expostos_Sala_deTI
103
Foto 16: Teto do Setor com problemas de goteira
Foto 17: Setor de TI, Materiais Expostos
104
ANEXO B TERMO DE CONFIDENCIALIDADE
ADITAMENTO AO CONTRATO DE TRABALHO E TERMO DE

CONFIDENCIALIDADE
Pelo presente instrumento particular de aditamento ao meu Contrato de
Trabalho, eu:
(Nome do Funcionrio)
Declaro estar ciente de que sou responsvel por preservar, perante terceiros,
quaisquer fatos ou informao confidenciais que venha a ter conhecimento em
razo do meu trabalho ou por outras fontes que digam EMPRESA.
Considerando que Confidencialidade alm de ser um meio capaz de impedir que
terceiros se apoderem de forma ilegtima de informaes geradas nesta
organizao.
Dever ser considerado como informao confidencial toda e qualquer
informao escrita ou oral revelada, contendo ela ou no a expresso
CONFIDENCIAL, espera contar com a receptividade e apoio dos colaboradores
e demais interessados para efetivar a implantao do termo de confidencialidade
e impedir que terceiros faam uso indevido de possveis informaes adquiridas.
Tenho conhecimento de que, dentro de qualquer dos departamentos da
EMPRESA, bem como em outras reas externas que lhe servem de
complemento operacional, assim como na sede de terceiros. terminantemente
proibido filmar ou fotografar, a no ser em caso especialmente autorizado e
controlado.
Concorda e se compromete:
Manter sigilo, escrito e verbal, de todos os dados de complemento operacional,
assim como na sede de terceiros e de desenvolvimento de fornecedores,
informaes trabalhistas, tributrias, fiscais, comerciais, documentais, caderno
de protocolo, anotaes e arquivos eletrnicos contendo dados e informaes
relativos EMPRESA. Sendo terminantemente proibido filmar e fotografar, a
no ser em caso especialmente autorizado e controlado;
105
Que o no cumprimento desse termo de sigilo acarretar todos os efeitos de
ordem penal, civil e administrativa contra seus transgressores, assumindo as
respectivas responsabilidades.
Por meio de minha assinatura declaro ter lido e compreendido este termo, bem
como me comprometo a cumprir todas as responsabilidades nelas contidas, sob
pena de ter o meu contrato de trabalho rescindido por justa causa, a teor do art.
482 letra g da CLT, como tambm estou ciente de que posso ser acionado
judicialmente a indenizar a EMPRESA por danos ocasionados, na Forma da
Legislao Vigente.
Local, Data.
___________________________________
Chapa:
CPF:
Carimbo CNPJ:
__________________________________
REPRESENTANTE DO EMPREGADOR

Renata-Michele-Correa Monografia e TabelaExcel 1207

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Renata-Michele-Correa Monografia e TabelaExcel 1207

Diunggah oleh

Hak Cipta:

Format Tersedia

RENATA MICHELE CORRA

UM ESTUDO DE CASO SOBRE A

RENATA MICHELE CORRA

UM ESTUDO DE CASO SOBRE A GESTO DA SEGURANA DA

Monografia apresentada ao Colegiado do Curso

RENATA MICHELE CORRA

UM ESTUDO DE CASO SOBRE A GESTO DA SEGURANA DA

Monografia apresentada ao Colegiado do Curso

A Segurana da Informao se tornou um ponto crucial para a sobrevivncia das

Palavras-chave: Segurana da Informao, Gesto da Segurana da Informao,

Keywords: Information Security, Information Security Management, ISO/IEC

LISTA DE ABREVIATURAS E SIGLAS

Associao Brasileira de Normas Tcnicas

3.6.2 Pontos negativos da empresa............................................ 32

A Segurana da informao a proteo da informao de vrios tipos

avaliar como est estabelecida a Gesto de Segurana da informao na empresa

Pode-se considerar como motivao para a concretizao deste trabalho:

O objetivo principal deste estudo apresentar um estudo de caso sobre a

Fazer a anlise de Gesto de Risco da empresa;

Apresentar a Segurana da Informao e sua importncia dentro do

Apresentar as caractersticas das normas da srie 27000;

Apresentar as caractersticas do COBIT;

Observar e analisar os controles de segurana da informao

Analisar fatores crticos de sucesso Gesto de Segurana da

Propor um relatrio de melhoria das boas prticas de Gesto de

1.3 Estrutura do Trabalho

Este trabalho encontra-se organizado em seis captulos, sendo os

2.1 Consideraes Iniciais

Neste captulo, ser apresentado o referencial terico que serviu como

2.2 Viso Geral

Boran (1996) e Abreu (2001) classificam a informao em nveis de

Pblica: Informao que pode vir a pblico sem maiores consequncias

Interna: O acesso livre a este tipo de informao deve ser evitado,

Confidencial: Informao restrita aos limites da empresa, cuja

Secreta: Informao crtica para as atividades da empresa, cuja

A Segurana da Informao a rea do conhecimento dedicada

Segundo Albuquerque (2002) e Krause (1999) h trs princpios bsicos

Confidencialidade: A informao somente pode ser acessada por

Disponibilidade: A informao deve estar disponvel no momento em

Integridade: A informao deve ser recuperada em sua forma original

Uma vulnerabilidade um defeito ou fraqueza no design ou na

Ameaa so agentes ou condies que causam incidentes que

2.5.1 Tipos de Ameaas

As ameaas de segurana podem ser divididas em ameaas humanas e

Figura 1: Quadro de Ameaas. Fonte: SMOLA, 2003.

2.6.1 Poltica de Segurana da Informao

O objetivo da Poltica de Segurana da informao fornecer orientao

2.6.2 Avaliao de riscos

Riscos probabilidade de ameaas explorarem vulnerabilidades,

Figura 2: Composio do Risco. Fonte: SMOLA, 2003.

2.6.3 A segurana fsica

A segurana fsica e do ambiente manter a rea de trabalho segura de

2.7 Gesto de Riscos

Para identificar o risco necessrio especificar todas as ameaas e

Os incidentes de segurana tm aumentado em todo o mundo, sendo os

A governana de TI pode ser entendida como a autoridade e

caractersticas. (ITGI, 2007).

2.9.1 Os critrios de informao do COBIT:

Para atender aos objetivos de negcios, as informaes precisam se

Efetividade: a informao deve ser entregue de forma correta,

Eficincia: a informao deve ser provida por meio do uso otimizado

Confidencialidade: informao deve ser protegida contra acesso no

Integridade: preciso e completude de informaes.

Disponibilidade: informaes disponveis sempre que necessrio.