CENTRO DE TECNOLOGIA
DEPARTAMENTO DE INFORMTICA
PROGRAMA DE PS-GRADUAO EM CINCIA DA COMPUTAO
Maring
2013
DAIANE MARCELA PICCOLO
Maring
2013
AGRADECIMENTOS
RESUMO
Com os avanos nas reas de telecomunicao, computao e miniaturizao de
computadores, novos produtos tecnolgicos foram desenvolvidos e rapidamente tornaram-se
pontos-chaves para as novas abordagens de comunicao e estratgias de negcios. E com a
situao atual do mundo dos negcios ao qual se tem o crescimento do uso de tecnologias,
para diminuir custos e aumentar a produtividade, empresas de desenvolvimento de software
tm portado suas aplicaes para plataformas mveis atendendo o mercado atual. No entanto,
medida que as organizaes adquirem as solues mveis, novos atributos e funcionalidades
so identificados para serem apropriados tanto pelo desenvolvimento de software para
dispositivos mveis como pela segurana da informao, pois novos riscos e desafios
incitaram a empresa e gerentes. Entre esses novos riscos e desafios h a necessidade de uma
gesto de segurana da informao que aborde as peculiaridades das empresas do contexto de
desenvolvimento de software para dispositivos mveis. Neste trabalho, apresentada uma
estratgia de segurana da informao em empresas de desenvolvimento de software para
dispositivos mveis que visa auxiliar a segurana da informao protegendo seus principais
ativos. Esta estratgia envolve um arcabouo com temticas que incluem a gesto de projetos,
as tecnologias mveis e aspectos de segurana da informao, abordando elementos para
garantir a segurana da informao tais como: interpretao da norma ISO 27001, definio
do escopo do projeto, elaborao do SGSI, gerenciamento de risco, desenvolvimento e
treinamento das normas e procedimentos de segurana e gesto de continuidade do negcio.
A avaliao da estratgia seguiu os princpios da engenharia de software experimental sob
uma perspectiva de gestores de segurana da informao.
Palavras-chave: Aplicaes mveis, Segurana da Informao, Polticas de Segurana da
Informao.
ABSTRACT
With advances in the areas of telecommunication, computing and miniaturization of
computers new technology products were developed and quickly became key points to new
approaches for communication and business strategies. And with the current state of the
business world where you have the growing use of technology to reduce costs and increase
productivity, software development companies have ported their applications to mobile
platforms given the current market. However as organizations acquire mobile solutions, new
attributes and features are identified to be suitable for both the development of software for
mobile devices like the security of information, as new risks and challenges and urged the
company managers. Among these new risks and challenges is the need for information
security management to address the peculiarities of companies in the context of software
development for mobile devices. This paper presents a strategy for information security in
companies developing software for mobile devices that aims to assist information security
protecting its main assets. The strategy involves a framework with themes that include project
management, mobile technologies and aspects of information security, addressing elements to
ensure the security of information such as the interpretation of the ISO 27001 definition of
project scope, preparing the SGSI , survey and risk analysis, training and development of
standards and procedures for security and business continuity management. The evaluation of
the strategy followed the principles of software engineering from the perspective of
experimental information security managers.
Keywords: Mobile applications, Information Security, Information Security Policy
LISTA DE ILUSTRAES
SUMRIO
Introduo ............................................................................................................................... 14
1.1. Objetivos........................................................................................................................ 15
1.2. Objetivos Especficos .................................................................................................... 15
1.3. Justificativa .................................................................................................................... 16
1.4. Metodologia de Desenvolvimento ................................................................................. 17
1.5. Organizao do Trabalho............................................................................................... 18
Reviso Bibliogrfica.............................................................................................................. 20
2.1. Consideraes Iniciais ................................................................................................... 20
2.2. Gerenciamento de Projeto de Software ......................................................................... 21
2.3. Computao mvel ........................................................................................................ 24
2.4. Dispositivos mveis....................................................................................................... 24
2.5. Aplicaes Mveis ........................................................................................................ 25
2.6. Desafios no desenvolvimento das aplicaes mveis ................................................... 26
2.7. Segurana da Informao .............................................................................................. 26
2.7.1 Ameaas e ataques ................................................................................................... 28
2.7.2. Preveno ............................................................................................................... 29
2.7.3. Deteco ................................................................................................................. 29
2.7.4. Recuperao............................................................................................................ 30
2.7.5. Vulnerabilidades ..................................................................................................... 30
2.7.6. Riscos ..................................................................................................................... 31
2.7.7. Ataques ................................................................................................................... 34
2.8. Gesto de Segurana da Informao ............................................................................. 36
2.9. Normas ISO/IEC 27001:2006 e ISO/IEC 27002:2005 ................................................. 36
2.9.1. Norma ISO 27001 Sistema de Gesto de Segurana da Informao (SGSI) ...... 37
2.9.2. Norma ISO 27002 Cdigo de Prtica para SGSI ................................................ 39
2.10. Trabalhos relacionados ................................................................................................ 41
2.10.1. Anlise dos trabalhos relacionados....................................................................... 41
2.11. Consideraes Finais ................................................................................................... 43
Bases da Estratgia de Segurana da Informao............................................................... 45
3.1. Consideraes iniciais ................................................................................................... 45
3.2. Segurana da informao nas aplicaes mveis .......................................................... 46
3.3. Desafios da segurana da informao em projetos de desenvolvimento de software para
12
Captulo
1
Introduo
1.1. Objetivos
Para alcanar o objetivo geral, necessrio atingir os objetivos especficos, que so:
Definir os ativos da empresa que devem ser protegidos e principalmente, qual
o nvel de segurana que cada ativo deve ter para que a mesma obtenha sucesso
em seus projetos.
Verificar se a hiptese (H0) A estratgia de SI para empresas de
desenvolvimento de software para dispositivos mveis ineficiente para o
contexto de desenvolvimento de software mvel refutada, e as hipteses
(H1)Os elementos abordados na estratgia de SI para empresa de
desenvolvimento de software para dispositivos mveis satisfazem com eficincia
a segurana da informao de empresas do contexto mvel e (H2) A estratgia
de SI para empresa de desenvolvimento de software para dispositivos mveis
minimiza os impactos negativos de riscos identificados, so afirmativas na
opinio do grupo de gestores.
16
1.3. Justificativa
Assim, a estratgia aqui proposta contribui para que o gerente tenha uma viso sobre a
segurana das informaes, podendo planejar e acompanhar esse item imprescindvel para
aplicaes mveis e podendo compor um dos elementos da abordagem M-Aplic no quesito
segurana da informao.
Travassos, 2006).
Redao: consiste na escrita da dissertao e do artigo, bem com a respectiva defesa
da dissertao e submisso do artigo para um evento da rea de engenharia de
software.
Problema
Bases da
estratgia
Dispositivos Gesto da
segurana da ISO/IEC ISO/IEC Caractersticas da
mveis SI em empresas de
informao 27001 27002 DS para
dispositivos
Aplicaes mveis
mveis
Anlise e controles
de documentos de
Desafios no segurana
desenvolviment
o das aplicaes
mveis Reviso Bibliogrfica
Captulo
2
Reviso Bibliogrfica
Em empresas circulam informaes muitas vezes confidenciais que, se forem fornecidas para
pessoas no autorizadas, podem afetar no seu sucesso. Porm, se no existir um processo que
proteja essas informaes e defina quais podem ser fornecidas e para quem, a proteo dessas
se torna quase impossvel (Rodrigues, 2011).
A rea responsvel por essa proteo a da Segurana da Informao, que tem como
objetivo manter a confidencialidade, integridade e disponibilidade tanto das informaes
corporativas quanto das pessoais, trazendo como benefcios a reduo dos riscos de
vazamentos, fraudes, erros, sabotagens, uso indevido, roubo ou outros problemas que possam
comprometer qualquer um dos objetivos acima citados.
Garantir a segurana da informao em projetos de desenvolvimento de software mvel
um fator primordial para o seu sucesso, uma vez, que o crescimento dessa tecnologia
aumentou e as organizaes tm portado suas aplicaes para essa plataforma fazendo com
que as empresas de desenvolvimento de software mudassem tambm sua tecnologia.
Neste captulo apresentado um estudo sobre os componentes relevantes da proposta de
uma estratgia de segurana da informao em empresas de desenvolvimento de software
para dispositivos mveis. Os elementos relacionados ao arcabouo e que fornecem subsdios
para o desenvolvimento da estratgia foram baseados nos estudos de Andrade (2012), Fontes
(2011), Boulhosa (2011), Wangham (2007), Machado (2007), Souza (2007), Sima (2006),
Fouskas 20L 20L. (2005) e so:
Gerenciamento de projetos de software;
21
Computao mvel;
Dispositivos mveis;
Aplicaes mveis;
Segurana da informao e;
Os padres e normas citados por Fernandes e Abreu (2008) e Enami (2006) contribuem
para o gerenciamento de projetos de software e possuem aplicabilidade especfica conforme a
necessidade e objetivo do projeto.
Computao mvel pode ser representada como um novo paradigma computacional que
permite que usurios desse ambiente tenham acesso a servios independentemente de sua
localizao, podendo inclusive, estar em movimento. Mais tecnicamente, um conceito que
envolve processamento, mobilidade e comunicao sem fio. A ideia ter acesso informao
em qualquer lugar e a qualquer momento.
A computao mvel caracterizada por trs propriedades essenciais: mobilidade,
portabilidade e conectividade (Souza, 2007).
Lee, et.(2005) classifica o conceito mobilidade como:
Capacidade de poder se deslocar ou ser deslocado facilmente. No
contexto da computao mvel a mobilidade se refere ao uso pelas
pessoas de dispositivos mveis portteis funcionalmente poderosos
que ofeream capacidade de realizar facilmente um conjunto de
funes de aplicao, sendo tambm capazes de conectar-se, obter
dados e fornec-los a outros usurios, aplicaes e sistemas. (Lee;
24L 24L , 2005, p. 56)
Ainda segundo Lee, et., (2005) mesmo que muitos dispositivos mveis tenham
aplicaes independentes, que permitem aos usurios operarem de forma independente
durante certo tempo, a sua funo primria da conectividade conectar as pessoas ou sistemas
e transmitir e receber informaes.
hospitais, etc; Aplicaes verticais que o gerenciamento de frota, alocao de recursos, etc;
Publicidade que so os servios oferecidos do tipo push1 e Servio de valor agregado M-
commerce que est relacionado com a venda a varejo, compra de bilhetes e o Banking que so
os servios bancrios e Comrcio Financeiro.
Com base na norma NBR ISO/IEC 27002 (ABNT, 2005), Informao um ativo que, como
qualquer outro ativo importante para os negcios, tem um valor para a organizao e
1
Push um sistema de distribuio de contedo da Internet em que a informao sai de um servidor para
um cliente, com base em uma srie de parmetros estabelecidos pelo cliente, tambm chamado de "assinatura".
27
informaes pessoais que podem ser alvo dos hackers, pois no h verificao de segurana.
Assim com a evoluo dessa tecnologia mvel, a informao concretizou-se como o
ativo mais valioso das empresas, e a segurana dessa informao um fator primordial, pois de
uma forma crescente, as organizaes, seus sistemas de informaes e suas redes de
computadores apresentam-se diante de uma srie de ameaas, sendo que, algumas vezes, estas
ameaas podem resultar em prejuzos para as empresas.
A segurana da informao visa proteger as empresas de um grande nmero de
ameaas para assegurar a continuidade do negcio. Esta segurana obtida a partir da
implementao de uma srie de controles, que podem ser polticas, prticas e procedimentos,
os quais precisam ser estabelecidos para garantir que os objetivos de segurana especficos da
organizao sejam atendidos.
O Relatrio Symantec (28R28.symantec.com.br) no primeiro semestre de 2010 sobre
Segurana da Informao nas Empresas mostra que as empresas da Amrica Latina perdem
mais de US$ 500 mil por ano em decorrncia de ataques virtuais. Outra pesquisa da Qualibest
(28R28.qualibest.com.br) apontou que mais de 85% dos funcionrios no Brasil usam a
internet da empresa para fins pessoais. Desses, quase 80% usam o e-mail pessoal durante o
expediente, mais de 60% fazem pesquisas pessoais em sites de busca, mais de 50% fazem
operaes com internet banking e cerca de 15% utilizam a conexo com a internet da empresa
para download de msicas, jogos e outros downloads de interesses pessoais.
2.7.2. Preveno
Segundo Fontes (2011), as organizaes e os indivduos podem prevenir seus sistemas contras
ameaas e ataques de muitas maneiras, tais como:
Proteo de hardware: normalmente chamada de segurana fsica, impede acessos
fsicos no autorizados infraestrutura da rede, prevenindo roubos de dados, desligamento de
equipamentos e demais danos quando se est fisicamente no local.
Proteo de arquivos e dados: proporcionada pela autenticao, controle de acesso e
sistemas antivrus. No processo de autenticao, verificada a identidade do usurio; o
controle de acesso disponibiliza apenas as transaes pertinentes ao usurio e os programas
antivrus garantem a proteo do sistema contra programas maliciosos;
Proteo de permetro: ferramentas de firewall e routers cuidam desse aspecto,
mantendo a rede protegida contra tentativas de intruso (interna e externa rede).
2.7.3. Deteco
Segundo Turbam (2007), os controles de deteco de intruses alertam os responsveis pela
segurana sobre qualquer sinal de invaso ou mudana suspeita no comportamento da rede
que possa significar um padro de ataque. Os avisos podem ser via e-mail, mensagem no
console de gerncia, celular, etc. A instalao desses controles necessria, mas no o
suficiente, pois tambm necessrio responder a questes como as seguintes: Os controles
foram instalados conforme pretendido? Eles so eficazes? Ocorreu alguma brecha de
segurana? Nesse caso, quais as aes necessrias para evitar que ocorram novamente?.
Ressalta ainda que essas questes devem ser respondidas por observadores
30
independentes e imparciais.
Tais observadores executam a tarefa de auditoria de sistemas de
informao ao qual periodicamente devem-se analisar os componentes
crticos do sistema a procura de mudanas suspeitas. Esse processo
pode ser realizado por ferramentas que procuram, por exemplo,
modificaes no tamanho dos arquivos de senhas, usurios inativos,
etc. (Turban, 2007, p. 45).
2.7.4. Recuperao
A melhor defesa estar preparado para diversas eventualidades. Um elemento importante em
qualquer sistema de segurana um plano de recuperao de acidentes. A destruio dos
recursos de computao de uma organizao pode provocar danos significativos (Turban,
2007; Potter; Rainer, pag. 454.). Assim, algumas medidas podem ser tomadas, tais como:
Cpia de segurana dos dados (Backup): manter sempre atualizados e testados os
arquivos de segurana em mdia confivel e separados fsica e logicamente dos servidores;
Aplicativos de Backup: ferramentas que proporcionam a recuperao rpida e
confivel dos dados atualizados em caso da perda das informaes originais do sistema;
Backup de hardware: a existncia de hardware reserva, fornecimento autnomo de
energia, linhas de dados redundantes, etc., podem ser justificados levando-se em conta o custo
da indisponibilidade dos sistemas.
2.7.5. Vulnerabilidades
Segundo Nakamura (2002, p.29-89), vulnerabilidades so deficincias de diversas origens, as
quais muitas vezes, no so identificadas a tempo ou, mesmo quando isso ocorre, no so
devidamente tratadas de modo a evitar um ataque.
Moreira (2001 apud Souza, 2007), afirma que a vulnerabilidade o ponto onde poder
acontecer um ataque, ou seja, o ponto onde uma fraqueza ou deficincia de segurana poder
ser explorada, causando assim um incidente de segurana.
A vulnerabilidade o ponto onde qualquer sistema suscetvel a um
ataque, ou seja, uma condio encontrada em determinados recursos,
processos, configuraes, etc. Condio causada muitas vezes pela
ausncia ou ineficincia das medidas de proteo utilizadas de
salvaguardar os bens da empresa. (Moreira, 2001, p. 22 apud Souza,
2007)
As vulnerabilidades podem ter origens diversas como apresentado na lista sugerida por
Semla (Semla, 2003, p.48 49).
31
Agentes da natureza, umidade, poeira, poluio e calor podem causar danos aos ativos.
Deve-se levar em considerao tambm fatores geogrficos que possam resultar em ameaas.
Por exemplo, instalaes prximas a rios que causam inundaes.
Hardware: falha no dimensionamento do equipamento a ser utilizado, problemas de
projeto e manuteno.
Software: falhas no desenvolvimento que permitem a incluso e execuo de
softwares com cdigos maliciosos.
Mdias de armazenamento: falhas de fabricao ou estocagem de CD-ROM, disco
rgido, DVD-ROM entre outros.
Meios de comunicao: problemas no cabeamento, antenas de rdio inadequadas
entre outros problemas na infraestrutura de comunicao.
Humanas: relativas aos danos que o ser humano pode causar s informaes quando
de espionagem, m utilizao e acidentes derivados da falta de treinamento,
insatisfao com o trabalho, erros dentre outros fatores.
2.7.6. Riscos
Os riscos podem ser definidos como a probabilidade da ocorrncia de um determinado evento
sem a pretenso de invoc-lo e que aps sua concretizao resulte em um impacto positivo ou
negativo (Heldman, 2006; PMI 2008 apud Andrade, 2012).
Entretanto, Mdulo (2007) diz que os riscos so as possibilidades das ameaas
explorarem as vulnerabilidades, ocasionando danos ou perdas de dados, proporcionando
prejuzos aos negcios da empresa e que acabam por afetar os princpios de
confidencialidade, integridade e disponibilidade.
Existem diversas formas de se analisar os riscos e por intermdio de um estudo
classificar as informaes em categorias permitindo avaliar o impacto que uma ameaa pode
trazer.
A norma NBR 27001 descreve os controles de segurana requeridos no ambiente
organizacional e preconiza que os sistemas de gesto de segurana da informao devem se
focar na gesto de riscos a fim de atingir os seguintes objetivos:
identificar o valor e analisar eventuais fraquezas dos ativos de informao;
permitir que a gerncia tome decises fundamentadas sobre a gesto do risco,
eventualmente justificando despesas alocadas a este fim; e
incrementar a informao organizacional sobre os sistemas de tecnologia da
32
1 - Identificao de riscos:
Identificar os eventos que possam ter impacto negativo nos negcios da
organizao.
Devem ser identificados os ativos, suas vulnerabilidades e as ameaas que
podem causar danos aos ativos. Identificar as consequncias que as perdas de
confidencialidade, de integridade e de disponibilidade podem ter sobre os ativos.
2 - Estimativa de riscos:
Atribuir valor ao impacto que um risco pode ter e a probabilidade de sua
ocorrncia, de forma qualitativa ou quantitativa. Estimar o risco atravs da
combinao entre a probabilidade de um cenrio de incidente e suas consequncias.
3 - Avaliao de riscos:
Determinar a prioridade de cada risco atravs de uma comparao entre o nvel
estimado do risco e o nvel aceitvel estabelecido pela organizao.
O ponto de deciso 1, visto na Figura 2.4, verifica se a avaliao dos riscos foi
satisfatria, conforme os critrios estabelecidos pela organizao. Caso no seja
satisfatria, a atividade pode ser reiniciada de forma que se possa revisar, aprofundar e
detalhar ainda mais a avaliao, assegurando que os riscos possam ser adequadamente
avaliados.
Tratamento do risco: Implementar controles para reduzir, reter, evitar ou transferir
os riscos. Se o tratamento do risco no for satisfatrio, ou seja, no resultar em um
nvel de risco residual que seja aceitvel, deve-se iniciar novamente a atividade ou o
processo at que os riscos residuais sejam explicitamente aceitos pelos gestores da
organizao. Esta iterao se d no ponto de deciso 2, como visto na figura 2.4.
Aceitao do risco: Registrar formalmente a aprovao dos planos de tratamento do
risco e os riscos residuais resultantes, juntamente com a responsabilidade pela deciso.
Comunicao do risco: Desenvolver planos de comunicao dos riscos para
assegurar que todos tenham conscincia sobre os riscos e controles a serem adotados.
Monitoramento e anlise crtica de riscos: Monitorar continuamente os riscos e seus
fatores a fim de identificar eventuais mudanas no contexto. Certificar que o processo
de gesto de riscos de segurana da informao e as atividades relacionadas
permaneam apropriados nas circunstncias presentes.
34
2.7.7. Ataques
Existem muitos mtodos de ataque a recursos de computao, e novos mtodos aparecem
regularmente.
Coletar informaes da ocorrncia dos tipos de ataques um passo necessrio para dar
incio a um plano de ao de segurana da informao (Hatch, 2003, p.225 apud Souza,
2007), os ataques podem ter origem nas ameaas descritas na seo 2.7.1 deste trabalho. A
Tabela 2.1 apresenta uma lista de ataques comuns:
Tabela 2.1: Tipos de ataques comuns
Mtodo Definio
Vrus Instrues secretas inseridas em programas (ou dados) que so executadas
inocentemente durante as tarefas normais. As instrues secretas podem
destruir ou alterar dados, bem como se espalhar dentro do sistema ou para
outros sistemas de computador.
Worm Software que no precisa ser executado para ser utilizado. Fornece
informaes que so transmitidas a hackers de modo imperceptvel ao
usurio.
Cavalo de Tria Um programa ilegal, contido dentro de outro programa, que permanece
dormindo at que um evento especfico ocorra, o que aciona o programa
ilegal para ser ativado e causar danos.
Denial of Ataque de negao de servio, responsvel por sobrecarregar servidores
Service (DoS) com grande volume de informao, causando a parada do sistema
operacional, provocando o preenchimento da memria do computador e a
sobrecarga de operaes do processador.
Packet Sniffing Um programa que procura senhas ou contedo em um pacote de dados
enquanto passam pela Internet.
Cracker de Um programa que tenta adivinhar senhas.
senha
Portas dos Os invasores de um sistema criam vrios pontos de entrada; mesmo que
fundos voc descubra e feche um, eles ainda podem entrar pelos outros.
Apples Pequenos programas em JAVA que se aproveitam dos recursos do seu
maliciosos computador, modificam seus arquivos, enviam e-mails falsos, etc.
Salami slicing Um programa destinado a extrair pequenas quantidades de dinheiro de
diversas transaes maiores, de modo que a quantidade tirada no seja
35
imediatamente aparente.
Scan Tambm conhecido como Port Scanning, analisa portas IP que possuem
servios associados, como por exemplo, telnet.
Invaso Um ataque bem sucedido que resulte no acesso no autorizado a um
computador ou rede.
Web Um caso particular de ataque visando especificamente o comprometimento
de servidores Web ou desfiguraes de pginas na Internet.
Fraude Qualquer ato ardiloso, enganoso, de m-f, com intuito de lesar ou
ludibriar outrem, ou de no cumprir determinado dever; logro. Esta
categoria engloba as notificaes de tentativas de fraudes, ou seja, de
incidentes em que ocorre uma tentativa de obter vantagem.
Fonte: Adaptado de Turban, 2005
Entre os anos de 1999 a 2012 foram reportados ao CERT.br - Centro de Estudo,
Respostas e Tratamento de Incidentes de Segurana no Brasil vrios incidentes com relao
a ataques em empresas atravs dos mtodos apresentados na tabela 2.1.
Segundo (Fontes, 2011) o processo de segurana da informao existe para possibilitar que a
organizao utilize de maneira confivel os recursos que suportam as informaes necessrias
para as suas atividades estratgicas, tticas e operacionais.
Thomas Peltier define a segurana da informao dando nfase na proteo dos
recursos:
Segurana da informao direciona e suporta a organizao para
proteo de seus recursos de informao intencional ou no
intencional divulgao indevida, modificao no autorizada,
destruio no desejada, ou negao de servio atravs da
implantao de controles de segurana definidos em polticas e
procedimentos. (Peltier, 2004, p.9).
Peltier continua indicando que segurana da informao est ligada fortemente aos
objetivos do negcio. Para Peltier a segurana da informao no deve existir para ela mesma;
a segurana da informao deve existir para atender organizao e aos seus objetivos de
negcios.
A NBR ISO/IEC 27002:2005 refora que segurana da informao importante para o
setor pblico e para o setor privado.
Por sua vez a norma ISO/IEC 27001:2006 orienta sobre a maneira de implantao de
um SGSI (Sistema de Gesto de Segurana da Informao).
Em relao ao processo de gesto da segurana da informao a NBR ISO/IEC
27001:2006 prov um modelo para estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI)
conforme as necessidades da organizao.
A norma ISO 27001 (ABNT ISO 27001, 2006) prov e apresenta requisitos para que a
organizao possa estruturar um sistema de gesto de segurana da informao (SGSI). Por
sua vez, a norma ISO 27002 (ABNT ISO 27002, 2005) um conjunto de boas prticas que
podem ser aplicadas por um SGSI.
Segundo Souza (2007) o conjunto destas duas normas pode ser descritos como: i) um
37
Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de Segurana da
Informao (SGSI). A adoo de um SGSI deve ser uma deciso estratgica para uma
organizao. A especificao e a implementao do SGSI de uma organizao so
influenciadas pelas suas necessidades e objetivos, requisitos de segurana, processos
empregados e tamanho e estrutura da organizao.
O SGSI pode ser simplesmente definido como um comit multidisciplinar que tem
como principal responsabilidade estabelecer polticas de segurana, multiplicar o
conhecimento envolvido e tambm determinar os responsveis e as medidas cabveis dentro
de seus limites de atuao (ABNT ISO 27001, 2005).
Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act (PDCA),
apresentado na Figura 2.6, que aplicado para estruturar todos os processos do SGSI.
Plan (planejar) (estabelecer o SGSI): Estabelecer a poltica, objetivos, processos e
procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana
da informao para produzir resultados de acordo com as polticas e objetivos globais
de uma organizao.
Do (fazer) (implementar e operar o SGSI): Implementar e operar a poltica,
controles, processos e procedimentos do SGSI.
Check (checar) (monitorar e analisar criticamente o SGSI): Avaliar e, quando
aplicvel, medir o desempenho de um processo frente poltica, objetivos e
experincia prtica do SGSI e apresentar os resultados para a anlise crtica pela
direo.
Act (agir) (manter e melhorar o SGSI): Executar as aes corretivas e preventivas,
com base nos resultados da auditoria interna do SGSI e da anlise crtica pela direo
ou outra informao pertinente, para alcanar a melhoria contnua do SGSI. A figura
2.6 apresenta o relacionamento do modelo PDCA com as etapas do SGSI.
38
SGSI
Esta seo apresenta trs trabalhos relacionados com o tema de pesquisa e constitui a fonte
precpua para elaborar uma estratgia de segurana da informao em empresas de
desenvolvimento de software para aplicaes mveis. Os trabalhos definem, respectivamente,
modelo de planejamento para iniciativas de adoo de tecnologias mveis na interao entre
organizao e indivduo (Machado, 2007), um roteiro para sistematizar e orientar pesquisas
relacionadas a negcios mveis (Fouskas 41L al., 2005) e alinhamento da gesto de segurana
da informao com as reas de negcio: uma avaliao da contribuio das diretrizes da
norma NBR ISO/IEC 27002:2005 (Fontes, 2011).
A gesto de segurana da informao possui desafios que podem ser superados ao adotar
tcnicas que atendam as necessidades de um determinado contexto de aplicao. O
desenvolvimento de software para dispositivos mveis um exemplo de contexto especfico e
que exige uma estratgia que satisfaa suas bases e princpios.
Neste captulo foram apresentados os componentes que fundamentam o arcabouo de
uma estratgia de segurana da informao em empresa de desenvolvimento de software para
dispositivos mveis com base nos trabalhos de Machado (2011), Fouskas et al. (2005) e
Fontes (2011). Dentre os componentes esto os conceitos de gerenciamento de projetos, que
apresenta reas que auxiliam a elaborao de projetos; tecnologias, dispositivos e aplicaes
44
mveis, ao qual aborda os desafios enfrentados por essa tecnologia; requisitos de segurana
da informao, auxiliando na definio de ferramentas, normas e procedimentos para
desenvolvimento de diretrizes de segurana. No prximo captulo so discutidas as bases da
construo da estratgia de segurana.
45
Captulo
3
Bases da Estratgia de Segurana
da Informao
A massificao das tecnologias digitais mveis uma das foras tecnolgicas recentes mais
importantes (Machado, 2007). Alm da rpida disseminao entre as pessoas, as empresas
vm, cada vez mais, adotando esse tipo de tecnologia para atender a atual situao de
mercado, embora nem sempre considerando todos os aspectos e riscos envolvidos nesse tipo
de iniciativa. Como observado no Captulo 2 na seo 2.6, s tecnologias mveis apresentam
caractersticas prprias, introduzindo novas dimenses que as diferenciam das tecnologias
convencionais, requerendo assim novas abordagens sobre sua adoo e uso.
Para Rodrigues, (2011) a maioria das empresas peca em segurana quando investe muito em
software e hardware e esquece dos processos e do treinamento de pessoal. As pessoas devem
conhecer a importncia das polticas de segurana da empresa, o valor das informaes e o
impacto que o fornecimento de uma informao confidencial para algum no autorizado
pode causar (Rodrigues, 2011, p.58).
Como dito anteriormente, em empresas circulam muitas informaes confidenciais
que podem ser fornecidas para pessoas indevidas, causando danos irreparveis. Geralmente,
as pessoas que trabalham em um projeto no tm como mensurar o valor que uma informao
tem para a organizao e muito menos o impacto que a disponibilizao da mesma para
pessoas no autorizadas pode causar. Por esse motivo importante que exista um processo
que identifique, categorize e proteja todas as informaes de um projeto.
Em projetos de desenvolvimento de software para dispositivos mveis, conforme
descrito na Seo 2.6, so apresentados vrios desafios para a empresa e os gerentes de
projetos, pois se trata de uma tecnologia que possui suas prprias caractersticas, limitaes e
ameaas.
Dentre os vrios desafios abordados destaca-se a segurana da informao, na qual
esto relacionados riscos que se no gerenciados podem influenciar diretamente no projeto.
Os riscos associados a esses projetos so diferentes dos enfrentados por projetos
clssicos, (Andrade, 2012). Na Tabela 3.1 tm-se os riscos mais incidentes e relevantes em
projetos de desenvolvimento de software para dispositivos mveis.
Tabela 3.1: Riscos identificados em GPS para dispositivos mveis (Andrade, 2012)
Grupo ID Risco
Geral R01 Rotatividade interna e externa de recursos humanos por motivos
salariais e melhores condies de trabalho.
R02 Assdio de recursos humanos pela concorrncia por motivos de mo
de obra qualificada.
R03 Exposio de dados sigilosos ou aplicaes estratgicas da empresa.
R04 Alterao de escopo do projeto.
R05 Mudana de plataforma e ferramentas de desenvolvimento.
R06 Impercia em definir e avaliar os processos organizacionais para o
desenvolvimento e a implantao das aplicaes mveis.
que j no faz parte da equipe e que mantm informaes, acesso as dependncias da empresa
e ativos de uso particular da empresa.
No entanto, os riscos [R3], [R5], [R10], [R11], [R12], [R13], [R15], [R16], [R17],
[R18], [R19], [R20], [R21] e [R22] esto relacionados com os requisitos lgicos de segurana
da empresa, pois esto diretamente ligados aos ativos de informaes e dados que, se
expostos, podem trazer impactos prejudiciais empresa.
Aps essa identificao, os riscos devero ser priorizados e classificados. A partir
dessa lista dever ser criado um plano de resposta aos riscos, no qual estaro s estratgias de
mitigao e contingncia dos riscos considerados mais crticos para o projeto auxiliando a
empresa e o gerente de projetos na gesto de segurana da informao.
[R1] [R7]
[R9]
[R2] [R14]
Desafios da SI
para as empresas
[R5] [R8] de software para
[R11] [R18] dispositivos
[R16]
[R10] [R12] mveis
[R17]
[R20] [R19]
[R13] [R15]
[R22]
[R21]
Figura 3.2: Diagrama de Ishikawa aplicado na SI para o GPS para dispositivos mveis
As mudanas de
tecnologias fazem com que
novas ferramentas e
plataformas de
[R05] desenvolvimento sejam
[R10] adquiridas, com isso
Equipamentos [R11] necessitando de novas
[R12] instalaes de softwares e
[R13] hardwares, no que impacta
[R22] na segurana dos dados,
pois devido a alta demanda
de servios no
desenvolvimento das
aplicaes mveis e
pensando no prazo do
projeto qualquer pessoa
pode realizar instalaes
software e hardware no
Lgico autorizado prejudicando a
segurana das informaes.
O impacto que esses riscos podem causar empresa irreparvel, neste cenrio a
anlise de riscos, como descrito na Seo 2.7.6 se concentra em ativos, ameaas e
vulnerabilidades. Como apresentados na Tabela 3.3 vrios riscos podem afetar os ativos da
empresa atravs das ameaas e vulnerabilidades burlando a segurana da informao. No
entanto, Tsoumas e Tryfonas (2004) reforam a importncia da automao da gesto da
segurana da informao a fim de dar vazo complexidade e variabilidade dos elementos da
segurana.
Conforme descrito na seo 2.9.2 deste trabalho, a norma ISO 27002 define 133 controles
para gesto de segurana da informao.
Para anlise e definio da estratgia foi definido que um controle seria referenciado
quando fosse citado pelo menos por 60% das empresas. As empresas foram divididas em dois
segmentos: Segmento 1, no qual so as empresas de desenvolvimento de software do
contexto mvel, totalizando trs empresas e Segmento 2, ao qual so classificadas as
empresas do segmento de desenvolvimento de software no contexto clssico,
desenvolvimento de software para web e empresas de suporte e manuteno no total de 12
empresas.
Os controles foram classificados por lgico e fsico. A Tabela 3.4 apresenta os
controles da norma e a sua referncia pelas empresas quanto do documento de segurana da
informao do segmento software no contexto mvel.
Tabela 3.4: Classificao dos controles das empresas do Segmento 1
Controles em comum dos Percentual de Controle referente a
documentos de segurana empresas norma ISO 27002
Requisitos fsicos
Proteo do prdio 100% Segurana fsica e do
ambiente
Monitoramento de entradas de 66% Segurana fsica e do
pessoas na empresa ambiente
Proteo da infraestrutura 100% Gesto da continuidade do
negcio
Perda do dispositivo mvel 66% Classificao e controle dos
ativos de informao
Requisitos lgicos
Cpias de segurana 100% Controle de acesso
Monitoramento de uso de 66% Segurana fsica e do
softwares ambiente
Instalao de hardware e 66% Segurana fsica e do
softwares no autorizados ambiente
Uso de dispositivos portteis e 100% Classificao e controle dos
mveis ativos de informao
Testes e simulaes nos 100% Segurana fsica e do
dispositivos mveis ambiente
Acesso rede para uso de 66% Segurana fsica e do
dispositivos mveis ambiente
54
Para uma anlise mais apurada dos dados, a tabela 3.5 apresenta os controles
utilizados pelas empresas quanto do documento de segurana da informao das empresas do
Segmento 2 .
Tabela 3.5: Classificao dos controles das empresas do Segmento 2
Controles em comum dos Percentual de Controle
documentos de segurana empresas referente a norma ISO
27002
Requisitos fsicos
Proteo da infraestrutura 100% Segurana fsica e do
ambiente
Proteo de equipamento 100% Segurana fsica e do
ambiente
Controle de entrada e sada de 100% Gesto de continuidade do
pessoas na empresa negcio
Requisitos lgicos
Cpias de segurana 100% Controle de acesso
Treinamento 70% Controle de acesso
Uso de softwares de 80% Segurana fsica e do
comunicao ambiente
Autenticao e senha 90% Poltica organizacional
Combate a vrus 100% Gerenciamento de
operaes e comunicaes
Controle do sistema 100% Gerenciamento de
(documentao) operaes e comunicaes
Captulo
4
Estratgia de Implantao de
Segurana da Informao
4.1. Consideraes iniciais
Gerencimanto de risco
4 Etapa
Desenvolvimento e treinamento
5 Etapa
Nas sees a seguir so descritas as etapas da estratgia apresentado na Figura 4.1 de forma
detalhada.
Criar Controle
Planejamento Definio Verificao
do
do escopo do escopo EAP do escopo
escopo
A etapa do escopo da estratgia ocorre aps a conhecimento da norma ISO 27001. neste
momento em que se determina a viabilidade do projeto, com base nos processos apresentados
na Figura 4.2.
Planejamento do escopo: Criao de um plano de gerenciamento do escopo que documenta
como o escopo do projeto ser definido, verificado e controlado e como a estrutura analtica
do projeto (EAP) ser criada e definida.
Nesta fase so realizadas estimativas iniciais de custo, alocao de pessoal,
cronograma, objetivos e metas abrangendo duas etapas:
Diagnstico da situao atual: verifica-se a existncia de alguma poltica de
Segurana da Informao, aproveitando-se de controles j implementados.
Planejamento do SGSI e preparao para a sua implantao: nesta etapa,
conforme as normas ISO/IEC 27001 e ISO/IEC 27002 recomenda-se a formao
do comit responsvel pela implantao do SGSI na organizao.
Definio do escopo: Desenvolvimento de uma declarao do escopo detalhada do projeto
como a base para futuras decises do projeto. Inclui tambm o levantamento dos ativos que
62
SGSI
a) Participantes do SGSI: o SGSI ser formado por representante de cada setor que so
responsveis pelos seus departamentos na empresa. A participao do departamento
do RH essencial, pois este detm os dados referentes aos colaboradores e, tambm,
responsvel por gerenciar todos os treinamentos internos e externos. Fica a cargo do
64
Interaes no SGSI
Para melhor entender a Figura 4.4 so apresentadas as interaes no SGSI:
Gesto de Negcios (GN): processo representado pelos diretores da empresa. So os
patrocinadores do projeto e os membros responsveis por auditar todos os trabalhos do
SGSI aplicando o conceito PDCA.
Gesto de Recursos (GR): este processo composto por dois departamentos:
o Recursos Humanos (RH): responsveis pelos treinamentos, construo das
regras, mediao de conflitos entre setores da empresa;
o Suporte e Manuteno (SM): responsvel pelos treinamentos dos recursos
informatizados (hardware e software) e tambm por manter a infraestrutura.
Responsveis dos Setores: so todos os gerentes, supervisores e encarregados de
todos os setores da empresa que participam do desenvolvimento, aplicao e
multiplicao da poltica de segurana da informao.
Sistema de Gesto de Segurana da Informao: formado por todos os
66
organizao definiu quais sero tratados, as medidas de segurana devem ser de fato
implementadas.
Nessa etapa ainda podem ser definidas medidas adicionais de segurana, como os
Planos de Continuidade dos Negcios que visam manter em funcionamento os servios de
misso-crtica, essenciais ao negcio da empresa, em situaes emergenciais e Response
Teams que possibilitam a deteco e avaliao dos riscos em tempo real, permitindo que as
providncias cabveis sejam tomadas rapidamente.
Todo o processo do gerenciamento das reas de risco de segurana da informao,
praticamente desenvolve-se em sete etapas, conforme a Figura 4.5.
1 - Anlise e
2 - Identificao 3 - Anlise dos
atribuio de
dos riscos riscos
valores de ativos
6 - Monitorao
5 - Tratamento dos 4 - Avaliao dos
dos controles para
riscos riscos
minimizar os riscos
7 - Reavaliao
peridica dos
riscos
5 - Tratamento dos riscos (medidas a serem adotadas) - maneira como lidar com as ameaas.
As principais alternativas so: eliminar o risco, prevenir, limitar ou transferir as perdas ou
aceitar o risco;
6 - Monitorao da eficcia dos controles adotados para minimizar os riscos identificados;
7 - Reavaliao peridica dos riscos em intervalos de tempo no superiores a 6 (seis) meses;
Com a interpretao da norma ISO 27002 base nos riscos identificados pelas empresas
em seus documentos de segurana da informao e em literaturas, foi possvel realizar o
levantamento dos riscos que impactam a segurana da informao em um ambiente de
desenvolvimento de software para dispositivos mveis conforme apresentado na tabela 4.1.
Segurana Lgica
a) Documentao dos procedimentos de operao:
Todos os sistemas, que estiverem em desenvolvimento devero estar com a
documentao atualizada.
b) Ambiente Operacional:
Todos os equipamentos de infraestrutura, interligaes das redes, interligaes de
hardware de grande porte, software bsicos, de apoio e plataformas mveis devero
manter uma documentao necessria e suficiente, que possibilite a qualquer tcnico
habilitado entend-la, visando a manutenes preventivas, corretivas e evolutivas, no
ambiente operacional.
responsveis por ela, a data e hora da execuo, o tempo previsto, o impacto potencial
e um plano de recuperao em caso de insucesso e aprovada pela Direo da empresa.
Para mudanas em regime de emergncia devido s atualizaes da tecnologia mvel,
os procedimentos continuaro a serem os mesmos, porm, podero ser executadas,
com a aprovao da Direo, e documentadas logo aps a soluo do problema.
d) Gerenciamento e controle de problemas:
Quaisquer problemas que ocorram no ambiente operacional sejam eles de
infraestrutura, hardware, equipamentos mveis e de comunicao de dados, software e
sistemas aplicativos mveis, devem ser registrados com, no mnimo, as seguintes
informaes: a descrio do problema, a data e hora da ocorrncia do mesmo, a
identificao de quem o registrou e de quem foi acionado para solucion-lo, as
consequncias do problema, a data e a hora da soluo, identificao de quem o
solucionou e a descrio da soluo adotada.
e) Diretrizes quanto utilizao da internet
Implantao de um sistema de rede estruturado em Cliente / Servidor, um sistema de
Proxy fazendo todo o bloqueio e monitoramento dos acessos a sites.
A internet deve ser utilizada para fins corporativos, o enriquecimento intelectual de
seus colaboradores ou como ferramenta para busca de informaes de novos conceitos
devido a atualizao rpida da tecnologia mvel onde venham contribuir para o
desenvolvimento de seus trabalhos.
Fica vedada a utilizao de e-mail pessoal na empresa, podendo somente ser utilizado
o e-mail corporativo.
Quanto utilizao das redes sociais ser permitido apenas para o setor responsvel
pelo marketing, somente para fins de divulgao da empresa, ficando proibido para
uso pessoal.
O uso do dispositivo mvel s permitido para fins de teste e simulaes das
aplicaes da empresa.
f) E-mail corporativo:
Desconfiar de todos os e-mails com assuntos estranhos ao ambiente de trabalho.
No reenviar e-mails do tipo corrente, aviso de vrus, propagandas de empresas, entre
outros.
No utilizar o e-mail corporativo para fins pessoais.
72
g) A realizao de download:
A realizao de downloads deve ser vista com muito cuidado e feita somente em casos
de extrema necessidade para uso da empresa.
A realizao de download exige banda de navegao do servidor e, se realizado em
demasia, congestiona o trfego e torna a navegao para os demais usurios mais
demorada principalmente para as simulaes e testes das aplicaes. Alm disso,
dever ser limitada para arquivos grandes, pois podem congestionar o fluxo e
comprometer os sistemas que funcionam on-line.
i) Senhas de acesso
Cada setor dever, atravs de comunicado oficial, indicar novos colaboradores e o
perfil que devem possuir na rede e nos sistemas da empresa.
A senha de acesso pessoal, intransfervel, cabendo ao seu titular total
responsabilidade quanto ao seu sigilo.
O compartilhamento de senhas de acesso proibido e o titular que divulgar sua senha
a outrem responder pelas infraes por esse cometidas, estando passvel de
advertncia.
Caso o usurio desconfie que sua senha no seja mais segura, poder solicitar ao
departamento de SM a alterao desta.
A senha para uso dos aplicativos mveis da empresa dever ser autorizada pelo
departamento de SM.
k) A instalao de software:
Qualquer software que, por necessidade do servio, necessitar ser instalado, dever ser
comunicado ao departamento de SM, que proceder a instalao caso constate a
necessidade do mesmo tanto nos dispositivos mveis com em desktop.
Fica proibida a instalao de qualquer software sem licena de uso.
O departamento de SM poder utilizar de sua autonomia para desinstalar, sem aviso
prvio, todo e qualquer software sem licena de uso, em atendimento lei do software
(Lei 9.609/98).
l) Acesso ao telefone:
A utilizao dos telefones da empresa ser restrita ao desempenho das atividades
laborais dos funcionrios.
No ser permitido o uso dos dispositivos mveis para realizao de ligaes tanto
pessoal como para fins da empresa.
Os dispositivos mveis sero para uso de teste e simulaes das aplicaes da
empresa.
m) Penalidades:
O usurio que infringir qualquer uma das diretrizes de segurana expostas neste
instrumento estar passvel das seguintes penalidades (sem prvio aviso):
Perda da senha de acesso aos sistemas de internet;
Cancelamento do e-mail corporativo;
Advertncia formal por intermdio do departamento de RH podendo levar
inclusive a demisso do colaborador.
o) Divulgao e treinamento:
O documento de segurana deve ser divulgado por intermdio de treinamento aos
74
p) Vigncia e validade:
O documento passa a vigorar a partir da data de sua homologao e publicao, sendo
vlida por tempo indeterminado podendo ser alterada conforme necessidades
previamente detectadas.
Captulo
5
Avaliao da estratgia proposta
Verificar a capacidade da estratgia de produzir efeitos positivos dentro das empresas que
desenvolvem software para dispositivos mveis.
Esta etapa prepara a aplicao e conduo do mtodo da engenharia experimental por meio da
seleo e justificativa do contexto e dos participantes, da definio das hipteses e do projeto
e instrumento do estudo.
O experimento caracteriza-se como uma pesquisa de opinio e visa coletar dados a partir da
anlise de gestores da rea de segurana da informao. Sendo assim, foram realizadas duas
anlises, uma de medida para identificar o perfil dos participantes e outra para apurar de forma
descritiva a representatividade das medidas obtidas pela escala de Likert2 para avaliar a estratgia.
Os resultados da escala de Likert sero sintetizados em valores representativos por
meio do clculo da moda, cujo resultado representa a opinio majoritria dos gestores. A
Tabela 5.1 apresenta a escala de mensurao adotada para as variveis dependentes e
independentes.
2
A escala Likert um tipo de escala de resposta bipolar, medindo ou uma resposta positiva ou negativa a uma
afirmao.
81
A Tabela 5.1 apresenta a escala das variveis no qual varia de [1] a [5], a escala [6] foi
includa para eliminar as respostas no conformes (outliers3) geradas por dvidas,
desconhecimento ou interpretao que descarta o item a ttulo de anlise descritiva para obter
o valor mais representativo, ou seja, a moda.
Como instrumento que prove meios para realizar a execuo e anlise do experimento
selecionou-se o questionrio de opinio. O Apndice B ilustra este questionrio cuja
denominao Questionrio de Avaliao de SI em Empresas de Desenvolvimento de
Software para Dispositivos Mveis. O questionrio cobriu 03 (trs) grupos de informaes,
coletando dados sobre (a) o respondente, (b) as bases da estratgia proposta e (c) a estratgia
proposta. O primeiro grupo (a) visa identificar o perfil dos respondentes, o grupo (b) avaliar
os nveis de importncia e concordncia das bases utilizadas para elaborao da estratgia e,
por conseguinte, o ltimo grupo (c) avaliar a estratgia de segurana da informao para
empresas de desenvolvimento de software para dispositivos mveis.
Para a validao buscou-se a tcnica de validade conclusiva ou constructo. A partir da
anlise do perfil e conhecimento dos participantes sobre rea de gesto de projetos de
software (grupos (a) e (b) do questionrio) ser assumido como confivel ou no confivel os
dados coletados. Esta tcnica faz-se adequada para este estudo experimental, haja vista a
restrio da aplicao prtica em empresas.
3
Outlier um resultado atpico que apresenta um grande afastamento dos demais valores. So ameaas em
pesquisas e estudos experimentais.
82
O questionrio foi aplicado a trs avaliadores, dos quais dois possuem conhecimento em
desenvolvimento de software para aplicaes mveis e um com experincia em
desenvolvimento de software no contexto clssico. No entanto, dois deles com experincia em
empresas de desenvolvimento de software para dispositivos mveis com certificao em SI.
Os gestores esto na rea de SI h mais de cinco anos.
Esta etapa refere-se estatstica descritiva dos resultados tabulados dos grupos de
informaes sobre as bases da abordagem e a abordagem propriamente dita, bem como a
verificao das hipteses.
Pode-se observar na Figura 5.2 que os elementos [E01] Conhecimento da norma ISO
27001 e [E03] Elaborao do SGSI so os nicos elementos cuja importncia razovel
para SI em empresas de desenvolvimento de software para dispositivos mveis, mas que
possui concordncia total pelos gestores.
Similar Tabela 5.2, a Tabela 5.3 apresenta as siglas associadas aos elementos do
escopo.
Tabela 5.3: Tabela de siglas dos requisitos do escopo
Escopo Sigla
Custo: Implantao da norma ISO 27001; [S01]
Prazo para implantao da norma; [S02]
Descrio de atribuio a clientes, colaboradores, fornecedores incluindo termos de [S03]
responsabilidade e acordos confidencialidades;
Elaborao da poltica de segurana da informao, caracterizada pelo conjunto de [S04]
84
Na Figura 5.3 o elemento do escopo [S01], Custo: Implantao da norma ISO 27001,
no obteve concordncia total dos gestores, no entanto, os gestores acreditam ser importante
para o contexto SI em empresas de desenvolvimento de software para dispositivos mveis. O
85
Um fato interessante foi o resultado da Figura 5.4, no qual os dois elementos do SGSI
[C01] e [C02], tiveram concordncia e importncia total na opinio dos entrevistados.
Para dar continuidade na anlise dos requistos fsicos abordados na estratgia, a
Tabela 5.5 apresenta as siglas associadas aos requisitos.
86
Percebe-se na Figura 5.6 que somente o requisito [L08] Execuo de jogos e rdios
online o nico risco cuja concordncia total ou relevncia para a SI na empresa de
desenvolvimento de software para dispositivos mveis no aceita pela maioria dos gestores,
mas mesmo assim considerado relevante. Nesta anlise, destaca-se os requisitos lgicos
88
A mesma escala e medida utilizada na anlise das bases da estratgia tambm foram aplicadas
para analisar a estratgia proposta.
Uma anlise geral sobre os quesitos de aplicabilidade de eficincia da estratgia
tambm foi realizada. Em suma, os resultados foram satisfatrios e atenderam os objetivos do
estudo. As Figuras 5.8 e 5.9 ilustram, respectivamente, o percentual de aceitao dos
participantes da pesquisa quanto aplicao da estratgia e sua eficincia se adotada pelas
organizaes.
Conforme observado nas figuras 5.8 e 5.9 tanto a aplicabilidade como a eficincia da
estratgia foram satisfatrias no ponto de vista dos gestores de segurana da informao,
apresentando um total de 67% de aceitao do nvel de concordncia dos requisitos abordados
na estratgia.
Com os resultados das Figuras 5.8 e 5.9 pode-se refutar a hiptese nula (H0), ou seja, prova-se
pelo percentual de concordncia e eficincia que A estratgia de SI para empresa de
91
Captulo
6
Concluso
A falta de colaborao dos gestores de segurana da informao para a coleta dos dados.
6.2. Contribuies
Este trabalho contribui com uma linha de pesquisa pouco explorada, alm de propor uma soluo
particular gesto da segurana da informao em empresas de desenvolvimento de software para
dispositivos mveis. Tambm, disponibiliza um material acessvel para subsidiar a empresa e
gerentes na segurana de dados e informaes nas atividades desenvolvidas na empresa. Desta
forma as contribuies da pesquisa so:
A definio de uma estratgia segurana da informao em empresas de desenvolvimento de
software para dispositivos mveis; e
Nesta seo, apresentam-se algumas indicaes sobre trabalhos que podero ser
desenvolvidos a partir desta estratgia. So eles:
94
Referncias
ABNT ISO 17799. Associao Brasileira de Normas Tcnicas (ABNT). Norma ABNT NBR
ISO/IEC 17799:2005 Cdigo de Prtica para Gesto da Segurana da Informao, 2005.
ABNT ISO 27001. Associao Brasileira de Normas Tcnicas (ABNT). Norma ABNT NBR
ISO/IEC 27001:2006 Cdigo de Prtica para Gesto da Segurana da Informao, 2006.
ALI-HASSAN, H.; NEVO, D.; NEVO, S. Mobile Collaboration: Exploring the Role of Social
Capital. ACM SIGMIS Database table of contents archive. ACM, New York, NY, v. 41, 2 ed., p.
9-24, may. 2010.
COUNTS, S.; HOFTE, H.; SMITH, I. Mobile Social Software: Realizing Potential, Managing
Risks. In: CHI 2006 Workshop. Montral, Qubec, Canada. pp.1703 - 1706
Disponvel em <http://www.seer.ufrgs.br/index.php/rita/article/view/rita_v14_n2_p199-
219/3547>. Acesso em: 03 ago. 2010.
DIAS, K. L; SADOK, D. F.H. Internet Mvel: Tecnologias, Aplicaes e QoS. XIX Simpsio
Brasileiro de Redes de Computadores, 2001.
ISSAC, H. e LECLERCQ, A. Give me a mobile phone, and I will work harder! - Assessing
the value of mobile technologies in organizations : an exploratory research. Proceedings of
the International Conference on Mobile Business (ICMB06). 2006.
LUGANO, G. Digital Community Design: Exploring the Role of Mobile Social Software in
the Processo f Digital Convergence. 2010. Tese (Doutorado) University of Jyvaskyla,
Jyvaskyla, 2010. Disponvel em <http://digitalcommunity.cosix.it/>. Acesso em: 08 nov.
2011.
LUND, M. S.; SOLHAUG, B. & STLEN, K. Evolution in relation to risk and trust
management. IEEE Computer Society, 2010, p. 49-55.
MOHELSKA, H.; Mobile Technologies and Their Use in a Company. In: World
Multiconference on APPLIED ECONOMICS, BUSINESS AND DEVELOPMENT (AEBD
'10), 2nd, 2010, Kantaoui, Sousse, Tunisia. APPLIED ECONOMICS, BUSINESS and
DEVELOPMENT. WSEAS Press, may. 253 p., 141-146.
POTTER, B. Wireless security policies. Network Security, v. 2003, n. 10, p. 1012, 2003.
SIMA. A.F.; Autenticao forte: aplicaes e desafios para a computao mvel. Conferncia
IADIS Ibero-Americana. Disponvel em:
http://www.iadis.net/dl/final_uploads/200607P080.pdf. Acessado em: 15/11/2011.
TSOUMAS, V.; TRYFONAS, T. From risk analysis effective security management: towards
an automated approach. In: International Journal of Information Management & Computer
Security. Vol 12, fevereiro, 2004, Pag 91-101.
VOS e KLEIN. The Essential Guide to Mobile Business. Prentice Hall: 2002.
Cdigo:
Status:
Responsvel: Data: _____/______/______
Descrio do Risco:
Anlise do Risco
Impacto Baixo Mdio Alto
Probabilidade Insignificante Tolervel Srio Catastrfico
Consequncia:
Plano de Ao
Objetivo do plano Evitar Minimizar Transferir Contingncia
Detalhamento do Plano:
100
Apndice B
Importncia Concordncia
Elementos
SR [5] [4] [3] [2] [1] [1] [2] [3] [4] [5] SR
Conhecimento da norma ISO
27001
Desenvolvimento do escopo do
projeto
Elaborao do SGSI
Levantamento, anlise e
gerenciamento de risco.
Desenvolvimento e treinamento
dos requisitos de segurana da
informao
Plano de continuidade do negcio
Importncia Concordncia
Escopo
SR [5] [4] [3] [2] [1] [1] [2] [3] [4] [5] SR
Custo: Implantao da norma
ISO 27001;
Prazo para implantao da
norma;
Descrio de atribuio a
clientes, colaboradores,
fornecedores incluindo termos de
responsabilidade e acordos
confidencialidades;
Elaborao da poltica de
segurana da informao,
caracterizada pelo conjunto de
princpios e valores estruturais,
nos quais a empresa explicita os
102
Levantamento da infraestrutura
do prdio como classificao de
reas crticas.
Importncia Concordncia
SGSI
SR [5] [4] [3] [2] [1] [1] [2] [3] [4] [5] SR
Participantes dos SGSI:
representante de cada setor.
- Diretores, Recursos Humanos,
Suporte e Manuteno.
Responsabilidade: responsvel
por divulgar a poltica da
informao da empresa e
auditorias internas.
- Observar fatores legais e
contratuais envolvidos nos
negcios da empresa
- Desenvolver critrios para
avaliao de riscos aos negcios.
Importncia Concordncia
Requisitos Fsicos
SR [5] [4] [3] [2] [1] [1] [2] [3] [4] [5] SR
reas de segurana
Importncia Concordncia
Requisitos Lgicos
SR [5] [4] [3] [2] [1] [1] [2] [3] [4] [5] SR
Documentao dos
procedimentos de operao
Ambiente operacional
Gerenciamento e controle de
mudana
Gerenciamento e controle de
problemas
Importncia Concordncia
Gesto de Continuidade do
SR [5] [4] [3] [2] [1] [1] [2] [3] [4] [5] SR
Negcio
Perda ou roubo de dispositivos
mveis ou portteis da empresa
Perda de equipamentos de grande
porte servidores de redes e
arquivos.
Parada de softwares, plataformas
de desenvolvimento, aplicativos,
105
Sobre a estratgia
13 Em sua opinio, a estratgia proposta atende o quesito de aplicabilidade?
A estratgia funcional e passvel de ser aplicada dentro das organizaes.
Concordncia
SR [5] [4] [3] [2] [1]
Concordncia
SR [5] [4] [3] [2] [1]
Consideraes do questionrio
ANEXO A
2 Referncia normativa
O documento a seguir referenciado indispensvel para a aplicao desta Norma. Para
referncia datada, aplica-se apenas a edio citada. Para referncia no datada, aplica-se a
ltima edio do documento referenciado (incluindo as emendas).
ABNT NBR ISO/IEC 17799:2005, Tecnologia da informao Tcnicas de segurana
Cdigo de prtica para a gesto da segurana da informao.
3 Termos e definies
Para os efeitos desta Norma, aplicam-se os seguintes termos e definies.
3.1 Ativo
Qualquer coisa que tenha valor para a organizao [ISO/IEC 13335-1:2004]
3.2 Disponibilidade
Propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada
[ISO/IEC 13335-1:2004]
3.3 Confidencialidade
Propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou
processos no autorizados [ISO/IEC 13335-1:2004]
3.4 Segurana da informao
Preservao da confidencialidade, integridade e disponibilidade da informao;
adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no repdio e
confiabilidade, podem tambm estar envolvidas [ABNT NBR ISO/IEC 17799:2005]
3.5 Evento de segurana da informao
Uma ocorrncia identificada de um estado de sistema, servio ou rede, indicando uma
possvel violao da poltica de segurana da informao ou falha de controles, ou uma
situao previamente desconhecida, que possa ser relevante para a segurana da informao
[ISO/IEC TR 18044:2004]
3.6 Incidente de segurana da informao
Um simples ou uma srie de eventos de segurana da informao indesejados ou inesperados,
que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a
segurana da informao [ISO/IEC TR 18044:2004]
107