CAMPINAS
2009
CAMPINAS
2009
Ficha Catalogrfica
Elaborada pelo Sistema de Bibliotecas e
Informao SBI PUC-Campinas
S750g
AGRADECIMENTOS
RESUMO
SILVA, Claudete Aurora. Gesto da segurana da informao: um olhar a partir da
Cincia da Informao. Campinas: [s.n.], 2009. Dissertao (Mestrado) Pontifcia
Universidade Catlica de Campinas. Ps-Graduao em Cincia da Informao.
A informao tem sido apontada como a principal fonte de poder nas organizaes
e, portanto faz necessrio ser protegida. Para isso NBR ISO/ IEC 27001 define
diretrizes para implementao de um Sistema de Gesto de Segurana da
Informao, sujo o objetivo salvaguardar os ativos da organizao, garantir a
continuidade dos negcios e propiciar confianas nas partes interessadas.
ABSTRACT
SILVA, Claudete Aurora. Information security management: a look from the
Information Science. Campinas: [s.n.], 2009. Dissertao (Mestrado) - Pontifcia
Universidade Catlica de Campinas. Graduate Studies in Information Science
The information has been identified as the main source of power in organizations and
therefore is necessary to be protected. For that NBR ISO/ IEC 27001 defines
guidelines for implementation of a Management System of Information Security, dirty
the objective is to safeguard the assets of the organization, ensuring continuity of
business and provide confidence in stakeholders. This study aimed to characterize
the theoretical and methodological aspects used in the processing of information can
help in implementing a safety management system the necessary information. The
methods used for this research was qualitative, based on a literature review to
contribute to the theoretical foundation on the topic and readings of works for
reasons of research. From the discussion of concepts, tried to explain how the
management of information in view of information science can provide evidence to
suggest the safety management system of information. As the main result is a
conceptual model of information system that is effective to support the managers in
the implementation process of SGSI.
Keywords: information security, information system, management system of
information security
.
LISTA DE ILUSTRAES
FIGURAS
Figura 1 Grfico da pesquisa
23
26
30
38
39
39
40
59
63
LISTA DE ABREVIATURAS
ABNT
CI
Cincia da Informao
GI
Gesto da Informao
SI
Segurana da Informao
SGSI
TI
Tecnologia da Informao
SUMRIO
1 INTRODUO ...................................................................................................14
1.1
1.2
Hiptese ........................................................................................................18
1.3
1.4
Objetivos .......................................................................................................19
1.5
1.6
2.2
2.3
2.4
Ativos de Informao.....................................................................................36
2.5
2.6
3.2
3.3
CINCIA DA INFORMAO
6 CONSIDERAES .........................................................................................95
REFERNCIAS ....................................................................................................99
14
1 INTRODUO
medida que as organizaes crescem e se tornam mais complexas,
ocorre um aumento da necessidade da importncia da informao. A informao
passa a ser no somente til em nvel operacional, mas tambm em nvel ttico e
estratgico. Nesse contexto, no apenas o contedo da informao relevante, mas
a forma como a informao trabalhada ganha importncia. A eficcia no
tratamento da informao depende de grande parte de como ela administrada e do
bom entendimento de alguns conceitos e relaes, sob pena de fornecer ao usurio
apenas dados desconexos, comprometendo o processo decisrio.
Foram
grandes
as
transformaes
ocorridas
no
sculo
XX,
15
16
17
Ordem terica
No processo de sistematizao desse estudo foi enfatizada a rea da
CI sob a linha de pesquisa Gesto da Informao no mbito da Organizao e
Tratamento da Informao como recurso para melhor compreenso dos processos
de implementao de um SGSI.
Para compreenso da importncia da informao no contexto da SI e a
necessidade de mecanismos de SI, nos pautamos nas orientaes tericoconceituais e metodolgicas da CI, visto que esta investiga as propriedades e o
comportamento da informao, seu fluxo e os meios de process-la para otimizar a
sua acessibilidade.
importante ressaltar que a produo de conhecimentos sobre o
desenvolvimento, aplicao e uso do SGSI no campo da CI ainda pouco
expressivo, em termos acadmicos. No Brasil a questo legitimada com
pioneirismo nas discusses empreendidas pelas reas da Tecnologia da Informao
(TI).
Ordem prtica
Trabalhos produzidos na linha desta dissertao podem ser de grande
relevncia no sentido de apresentar argumentos que venham a ajudar gestores a
trabalharem com sistema de informao voltado para as melhores prticas de SI,
ajudando seu posicionamento estratgico devido ao conhecimento das normas e
padres que garantam os servios corporativos, bem como para continuidade dos
negcios da empresa.
18
1.2 Hiptese
A reviso da literatura e a observao emprica da autora mostraram
que o SGSI muitas vezes implementado e estruturado somente no ambiente
lgico, isto , as prticas usuais privilegiam os seus aspectos tcnicos e
tecnolgicos, tais como implementao de ferramentas de monitorao de diversas
atividades dos usurios e firewall.
Considerando o fato de que, cada vez mais as organizaes
manipulam grandes volumes de informaes, dados e conhecimentos no mbito
formal e informal, h necessidade de dotar mecanismos e recursos tecnolgicos
baseados nas premissas da organizao, tratamento e representao, recuperao
da informao para garantir uma abordagem sistmica de um SGSI.
Nesse sentido Davenport (2000, p.12) alerta que no basta somente
investimentos em recursos tecnolgicos para se fazer a gesto da informao,
necessrio implementar uma abordagem sistmica dos processos de produo,
comunicao e uso da informao, enfatizando principalmente as questes em torno
da organizao e tratamento da informao.
Davenport (2000, p.14), prope uma abordagem denominada de
ecologia da informao para o gerenciamento da informao. Enfatiza a maneira
como as pessoas criam, distribuem, compreendem e usam a informao. O autor
complementa esta orientao ao afirmar que:
a informao no facilmente arquivada em computadores e no
constituda apenas de dados;
quanto mais complexo o modelo de informao, menor ser sua
utilidade;
a informao pode ter muitos significados em uma organizao;
a tecnologia apenas um dos componentes do ambiente de
informao e freqentemente no se apresenta como meio adequado
para operar mudanas.
19
1.4 Objetivos
Esta pesquisa buscou examinar a concepo de um SGSI atravs de
dispositivos metodolgicos no contexto da Gesto da Informao (GI) na perspectiva
da Cincia da Informao (CI), utilizando o tratamento da informao no seu ciclo de
vida, ou seja, no contexto de coleta, organizao, armazenamento, recuperao e
disseminao. Parte dos esforos realizados pelos sistemas de informao
assegurar o fluxo de informao de modo a servir os profissionais e parceiros de
uma organizao e a sustentar a operacionalizao do seu negcio.
Caracterizar os princpios bsicos dos controles de segurana do
tratamento da informao, da classificao e controles dos ativos de informao
enquanto componentes de um SGSI, proposto pela NBR ISO/ IEC 27001;
20
dissertaes
trabalhos
existentes
nas
universidades
brasileiras,
21
22
2 SEGURANA DA INFORMAO
A preocupao com a SI sempre existiu na humanidade. Estudos
mostraram que alguns monumentos construdos por Khnumhote, arquiteto do fara
Amenemhet II, foram documentados e tiveram trechos dessas documentaes
codificados atravs da substituio de palavras ou trechos do texto escrito em
tabletes de argila. Caso esse tablete fosse roubado, o ladro no encontraria o
caminho que o levaria ao tesouro morreria de fome, perdido nas catacumbas da
pirmide. (KAHN, 1967).
Diversos algoritmos de compactao foram desenvolvidos desde a
Segunda guerra mundial devido necessidade de comunicao entre as tropas.
Durante a guerra, a utilidade da compactao no era apenas a de diminuir a
quantidade de informao que era passada atravs dos rdios, mas tambm a de
esconder de alguma forma, o contedo da informao para que esta no pudesse
ser lida pelo inimigo. Isto possvel, pois um algoritmo de compactao nada mais
do que um codificador e um decodificador que aplicado a um conjunto de dados.
J nos tempos dos mainframes, as empresas no tinham somente uma
preocupao com o sigilo das informaes, mas tambm com o prprio equipamento
devido ao seu grande custo. Estes equipamentos ficavam em salas isoladas com
baixa temperatura e acesso restrito poucas pessoas. Alm da preocupao com o
ambiente fsico, as empresas tambm buscavam se assegurar que, em caso de
danos das informaes por acidentes ou defeitos nos equipamentos, tambm
pudessem recuperar as informaes perdidas. Realizavam ento, cpias das
informaes (backup) como medida de segurana, para recuperao de dados em
caso de perdas acidentais ou intencionais.
Para enfatizar a segurana de informao e os mecanismos, foi
aplicada uma pesquisa nacional de SI realizada em outubro de 2003 pela empresa
Mdulo Security Solutions S.A, conforme os resultados abaixo .
23
fraudes em e-mail
29%
uso de notebooks
31%
37%
39%
41%
vazamento de informao
47%
49%
acessos indevidos
divulgao de senha
51%
53%
funcionrio insatisfeito
66%
virus
0%
20%
40%
60%
80%
Figura 1 Grfico de pesquisa realizada pela empresa Mdulo Security Solutios S.A.1
Fonte: Menezes (2006, p.26)
24
25
inteiramente
seguro, faz-se necessria a aplicao dos mesmos cuidados com a segurana fsica
no que diz respeito aos equipamentos que armazenam essas informaes, pois a
segurana fsica complementa a segurana lgica.
Para Foina (2001, p. 138) o objetivo da segurana fsica preservar o
patrimnio da empresa, inclusive seus arquivos, contra roubos e sabotagem para
preveno. Garantir os controle fsicos para a preservao dos equipamentos e
instalaes para que usurios mau intencionados no
danifiquem ou destruam
Roubo
de
insumos
(fitas,
disquetes,
etc.)
partes
de
adoo de
Segundo LAROUSSE Cultural. So Paulo: Nova Cultural, 1999. p. 435. Conjunto de fitas
magnticas estocadas e organizadas para serem conservadas ou utilizadas em um centro de
processamento de dados.
26
processos,
Na gesto da SI, a qualidade do processo dever contemplar os trs
principais recursos da organizao, conforme a figura abaixo:
Pessoas
Processos
Proteo da informao
Tecnologia
27
28
utiliza
os
recursos
adequados
para
garantir
disponibilidade,
29
30
Possibilita
Vulnerabilidade
Incidente de Segurana
Afeta
Clientes
Impacta
Imagem
Negcio
Negativamente
Produto
naturais:
ameaas
decorrentes
da
natureza,
como
incndios,
31
32
33
Extrado da apostila desenvolvida pelo Mdulo Security e revisada pelo captulo Brasil da
ISSA, em parceria com a Microsoft Informtica em dezembro de 2006. Material distribudo em aula.
34
necessrio utiliz-la.
Para proteger a disponibilidade da informao, necessrio
35
rotas
alternativas
para
trnsito
da
inclusive
quando
alguns
dos
recursos
classificao
deve
levar
em
conta
estas
premissas
36
removveis;
37
38
Capital
Mode-obra
Geram
ATIVOS
Produtos
Bens
Informaes
Processos
39
Informao
Valor $
Ativo comum
Nmero de
Informao no utilizada
acessos
informao
pode
ser
compartilhada
infinitamente
usada
simultaneamente por inmeras pessoas, sem que seja consumida nesse processo
ao contrrio dos ativos comuns.
Informao
Ativos comuns
Nmero de usurios
40
Informao
Valor $
100%
Desinformao
Preciso (%)
Quanto mais precisa for a informao, mais til se torna e portanto mais
valiosa.
Informaes
inexatas
podem
causar
prejuzos,
provocando
erros
41
42
Categorizar a informao;
Documentar as excees;
aplicado a
informao.
Outra classificao dos ativos quanto sua integridade as
necessidades podem ter vrios nveis: baixo, mdio, alto, crtico etc. de acordo com
a necessidade da organizao.
Pela tica da disponibilidade, a classificao da informao acontece
de acordo com a extenso do impacto que sua falta ocasionar, no temos
categorias pr-definidas, mas podemos classificar por intervalo de tempo. Esses
critrios podem definir tambm o tempo de reteno de uma determinada
informao muitas vezes estabelecido por clausulas legais.
Conforme (CARUSO, STEFFEN, 1999, p.78) apresenta a classificao
de informao quanto necessidade de evitar a destruio:
43
44
poltica de segurana
45
alm disso, a preveno costuma ser mais barata que a restaurao dos danos
provocados por falta de segurana. necessrio que as estruturas organizacionais
conhecem os limites das atribuies e responsabilidades dentro de suas reas de
atuao e os ricos envolvidos, mesmo quando no existem normas a respeito da
segurana.
Segundo CARUSO; STEFFEN( 1999) a poltica de segurana no
constitui exceo, de modo que preciso seguir as mesmas etapas
que seriam seguidas em qualquer outra atividade dentro de uma
empresa. Segurana tambm implica uso de capital, mo-de-obra e
recursos, isto , representa investimento e despesas para a empresa.
46
informao;
pessoais do usurio;
47
seja cumprida.
Para que a poltica da segurana obtenha sucesso necessrio
concientizao de todos os usurios da organizao. Para tanto necessrio que a
empresa se empenhe em divulgar e esclarecer atravs de campanhas a poltica de
segurana da empresa.
Na elaborao da poltica de SI deve haver uma rea responsvel, que
se incumbir de sua criao, implantao, reviso, atualizao e designao de
funes. Nessa rea deve ser escolhido um gestor responsvel pela anlise e
manuteno da poltica. Para garantir a aplicao eficaz da poltica, o ideal que o
alto escalo, como diretoria, gerentes e supervisores faam parte dessa rea, alm
de usurios, desenvolvedores, auditores, especialistas em questes legais, recursos
humanos, TI e gesto de riscos.
48
3 SISTEMA DE
INFORMAO
GESTO
DA
SEGURANA
DA
49
50
1 Anlise de riscos
2 Poltica de segurana
3 implementao de segurana
4 monitoramento e Feedback
A primeira fase do ciclo anlise de risco, onde se conhecem o
51
deve ser vista como parte integrante das estratgias de negocio. A aquisio ou
desenvolvimento de sistemas leva em conta os princpios de segurana a serem
52
53
Atribuio de responsabilidades;
54
55
4 GESTO DA INFORMAO
56
Gerenciamento de projetos;
setores
da
organizao,
prospeco,
coleta,
filtro,
monitoramento,
cultura
organizacional
positiva
compartilhamento/socializao de informao;
em
relao
ao
57
58
Administrao
Tecnologia da Informao
Cincia da Informao
A GI est voltada
incrementao da
competitividade
empresarial e dos
processos de
diferentes arquiteturas de
modernizao da
hardware e software, e
redes de (tele)
capacitao dos
comunicaes de acordo
profissionais para o
com as necessidades
gerenciamento de
identificadas.
tecnologias da informao.
Fonte: Marchiori (2002, p.74)
Quadro 1 Enfoques da Administrao, TI e CI
59
Determinao
das exigncias
Obteno
Distribuio
Utilizao
60
especfica, a distribuio mais efetiva. Esta pode ser feita utilizando qualquer
meio ou suporte informacional, dependendo a sua inevitabilidade.
4. Uso da informao: este a etapa final de todo o processo de gerenciamento
informacional. O uso da informao algo extremamente pessoal, porm pode
ser medido atravs de uma avaliao de desempenho. J que houve necessidade
de informao, a empresa pode questionar ao usurio o uso que se fez dela.
Outra maneira tornar em estatstica o uso do material informacional.
Neste sentido, pode-se compreender que a GI tem como objetivos:
apoiar a poltica da empresa, na medida em que torna mais eficiente o conhecimento
e a articulao entre vrios subsistemas que a constituem, apoiar os gestores na
tomada de decises e, tornar mais eficaz o conhecimento do meio envolvente.
Wilson (1989) pondera que a GI a gesto eficaz de todos os
recursos de informao relevantes para a organizao, tanto gerados internamente
como os produzidos externamente, utilizando sempre que necessrio a TI.
Sob esta perspectiva, a GI deve incluir em dimenses estratgicas e
operacionais, os mecanismos de obteno e utilizao de recursos humanos,
tecnolgicos, financeiros, materiais e fsicos. A partir disso, deve ser disponibilizada
como ensino til e estratgico para indivduos, grupos e organizaes (PONJUN
DANTE, 1998).
Pode-se afirmar que o processo de GI tem como funo,
desenvolver e conectar estratgias, de acordo com o foco do negcio da
organizao, para orientar estrategicamente as aes de tecnologias da informao
e sistemas de informao. Para atingir seus objetivos desenvolve aes de gesto e
mapeamento
de
processos
organizacionais,
organizao
tratamento
da
61
envolvem
os
recursos
de
entrada,
processamento,
62
especificao,
design;
implementao,
avaliao
63
64
SISTEMA
DE
GESTO
DE
SEGURANA
DA
INFORMAO
65
fenmenos
da
informao,
decorrentes
da
exploso,
disperso
66
proposta
paradigmticas
crescimento
desordenado
de
informaes
conhecimentos,
67
ressalta que a exploso da informao um problema social que teve seu incio
com o desenvolvimento das cincias, e hoje se estende para todas atividades
humanas.
A
exploso
informacional
aliada
ao
desenvolvimento
GUTIERREZ, 1999, p.52 apud KOBASHI, TLAMO, 2003, p.7) afirmam que o
O marco tecnolgico indissocivel e indispensvel na teoria e nas
prticas informacionais, no somente pelos aspectos pragmticos de
ambas, mas tambm porque sua ausncia torna inservvel qualquer
proposta de ao. A tecnologia elemento conceitual e constitutivo
[da Cincia da Informao]. a tal ponto que, atualmente, no
possvel a pesquisa de procedimentos informacionais fora desse
quadro.
68
69
discusso
travada
por
autores
de
diversas
disciplinas,
perspectiva
pertinente
construo
de
modelos
70
transmisso,
transformao
utilizao
da
71
Dessa
forma,
os
enfoqu
na
comunicao
tcnica
da
informao
72
para
instituir
modelos
de
SGSI
imprescindvel
73
Documento
Perda de
Informao
PROCESSO DE
ESPECIFICAO
DO SISTEMA
PROCESSO DE
INDEXAO
ndices
Necessidades
do usurio
Uma
representao
Do documento
Consulta
PROCESSO DE
RECUPERAO
Lista de documentos
Recuperados
74
75
76
77
78
um
novo
paradigma,
de
organizao,
gesto
79
essa
preocupao
desde
Antiguidade
pelas
evidencias
80
81
aspectos
inerentes
de
Organizao
Tratamento
da
Informao,
que
envolvem
as
prticas
de
organizao,
tratamento,
82
83
4. Uso: Esta etapa a mais importante da GI, pois ter informao necessria e
disponvel no significa que est sendo usada, ou seja, no a existncia da
informao que garante melhores resultados, e sim o uso que feito da mesma.
5. Armazenamento: H a necessidade de se guardar as informaes teis
empresa, permitindo seu uso ou reuso. Deve-se atentar para qual mdia a
informao est sendo armazenada, fazendo sempre uma cpia de segurana, e
no caso de dados sigilosos, necessrio criar mecanismos de proteo
impedindo o acesso de pessoas no autorizadas.
6. Descarte: Quando uma informao perde o seu valor ou torna-se obsoleta para a
organizao, ela deve ser descartada. Isto faz com que se economizem recursos
de armazenamento, aumentando a rapidez e eficincia na localizao de
informaes necessrias.
Considera-se, portanto, que a GI no contexto das organizaes deve
atuar em conjunto com os princpios da SI para assegurar os ativos de informao
corporativa,
modelar
sistemas
de
informao
pautados
nos
pilares
84
ENTRADAS / IMPUTS
PROCESSOS
TRANSFORMAES
SADAS / RESPOSTAS
SO ESPERADAS
SO PLANEJADAS
SO CONTROLADAS
Ativo
Ativo de informaes
SGSI
Confidencialidade
Integridade
disponibilidade
85
86
87
88
abordagem
orientada
pelo
paradigma
da
informao
para
89
serem
cumpridas
pela
organizao
produtora/recebedora
de
90
91
o processo de gesto da SI, pois nessa faze onde se evidencia quais os ativos de
informao e tambm quais necessitam de proteo, quem so os seus donos
custodiantes e principalmente para a SI ser classificada quanto ao grau de sigilo.
Aps a classificao outro passo muito importante para a GI a
indexao onde atribudo aos termos descrio do documento4, utilizando
vocabulrio controlado e/ou lista de descritores, tesauro e o prprio plano de
classificao. Essas atividades em conjunto auxiliaro o cumprimento dos requisitos
na norma NBR ISO/ IEC 27002 principalmente na concepo da Poltica de
segurana, classificao e controles dos ativos de informao, segurana fsica e do
ambiente, gerenciamento das operaes e comunicaes, controle de acesso,
4
92
93
94
95
6 CONSIDERAES
96
97
se
tal
faz
parte
da
sua
realidade),
sero
alta
administrao
e,
principalmente,
os
necessidades
implementao
reais
deve
da
ocorrer
organizao,
a
gesto
ou
que
seja,
antes
da
compreende
A empresa investe
98
99
REFERNCIAS
NBR ISO/ IEC 27001. Associao Brasileira de Normas Tcnicas (ABNT). Norma
ISO/ IEC 27001-2006 -Sistemas de Gesto da Segurana da Informao
Requisito, 2006.
NBR ISO/ IEC 27002. Associao Brasileira de Normas Tcnicas (ABNT). Norma
NBR ISO/IEC 17799:2005-cdigo de prtica para a Gesto da Segurana da
Informao, 2005.
ABREU, Aline Frana de; REZENDE, Denis Alcides. Tecnologia da informao
aplicada a sistemas de informao empresariais: o papel estratgico da
informao e dos sistemas de informao nas empresas. 2. ed. So Paulo:
Atlas, 2001.
ASCENO, Braga. A gesto da informao. Mestrado em Gesto - Universidade da Beira
Interior (1996), Disponvel em: http://www.ipv.pt/millenium/19_arq1.htm. Acesso em 08 dez.
2008.
BARRETO, Aldo. A transferncia da informao para o conhecimento. Disponvel em
<http://www.e-iasi.org/cinfor/transfkk.htm>. Acesso em 09 de jun. de 2006.
BARRETO, Aldo. A condio da informao. Revista So Paulo em Perspectiva,
So Paulo, v.16., n.3, p.67-74, 2002.
BEAL, Adriana. Gesto estratgica da informao. So Paulo: Atlas, 2004.
BEAL, Adriana. Segurana da informao. So Paulo: Atlas, 2005.
BEDA, Ednelson. A importante arte de administrar a informao. Disponvel em:
<www.unescnet.br/artigos/artigo%20arte%20informacao2.htm>. Acesso em: 20 mar.
2008.
BORKO H. Information Science: what is it?. American Documentation, v.19, n.1,
p.3-5, 1968.
BOUTHILLIER, France; SHEARER, Kathleen.
Understanding knowledge
management and information management: the need for an empirical perspective.
Information Research, Montreal, v.8, n.1, paper n.141, 2002.
BUCKLAND, M. K. Information as thing. Journal of the American Society for
Information Science (JASIS), v.45, n.5, p. 351-360, 1991.
100
101
102
Metodologia cientfica.
103