Piccolo

UNIVERSIDADE ESTADUAL DE MARING
CENTRO DE TECNOLOGIA
DEPARTAMENTO DE INFORMTICA
PROGRAMA DE PS-GRADUAO EM CINCIA DA COMPUTAO
DAIANE MARCELA PICCOLO
Estratgia de segurana da informao em empresas de desenvolvimento de

software para dispositivos mveis
Maring
2013
DAIANE MARCELA PICCOLO

Dissertao apresentada ao Programa de

Ps-Graduao em Cincia da Computao do
Departamento de Informtica, Centro de
Tecnologia da Universidade Estadual de Maring,
como requisito parcial para obteno do ttulo de
Mestre em Cincia da Computao.
Orientador: Prof. Dr. Srgio Roberto Pereira da

Silva
Maring
2013
AGRADECIMENTOS
Agradeo primeiramente a todos os professores e colaboradores do Programa de Ps-

Graduao em Cincia da Computao (PCC-UEM) que contriburam para a minha formao.
No posso deixar de fazer um agradecimento especial aos meus orientadores Prof. Dr. Srgio
Roberto Pereira da Silva e Profa. Dra. Tania Fatima Calvi Tait que instigaram, auxiliaram e
acreditaram no desenvolvimento deste trabalho. Tambm agradeo aos meus companheiros de
estudo, por terem compartilhado essa jornada, e a Maria Ins Davano, cuja simpatia e
eficincia provam que existem pessoas que fazem a diferena em nossas vidas.
Um agradecimento especial ao meu esposo Claudio Munhoz pela pacincia e
companheirismo.
RESUMO
Com os avanos nas reas de telecomunicao, computao e miniaturizao de
computadores, novos produtos tecnolgicos foram desenvolvidos e rapidamente tornaram-se
pontos-chaves para as novas abordagens de comunicao e estratgias de negcios. E com a
situao atual do mundo dos negcios ao qual se tem o crescimento do uso de tecnologias,
para diminuir custos e aumentar a produtividade, empresas de desenvolvimento de software
tm portado suas aplicaes para plataformas mveis atendendo o mercado atual. No entanto,
medida que as organizaes adquirem as solues mveis, novos atributos e funcionalidades
so identificados para serem apropriados tanto pelo desenvolvimento de software para
dispositivos mveis como pela segurana da informao, pois novos riscos e desafios
incitaram a empresa e gerentes. Entre esses novos riscos e desafios h a necessidade de uma
gesto de segurana da informao que aborde as peculiaridades das empresas do contexto de
desenvolvimento de software para dispositivos mveis. Neste trabalho, apresentada uma
estratgia de segurana da informao em empresas de desenvolvimento de software para
dispositivos mveis que visa auxiliar a segurana da informao protegendo seus principais
ativos. Esta estratgia envolve um arcabouo com temticas que incluem a gesto de projetos,
as tecnologias mveis e aspectos de segurana da informao, abordando elementos para
garantir a segurana da informao tais como: interpretao da norma ISO 27001, definio
do escopo do projeto, elaborao do SGSI, gerenciamento de risco, desenvolvimento e
treinamento das normas e procedimentos de segurana e gesto de continuidade do negcio.
A avaliao da estratgia seguiu os princpios da engenharia de software experimental sob
uma perspectiva de gestores de segurana da informao.
Palavras-chave: Aplicaes mveis, Segurana da Informao, Polticas de Segurana da
Informao.
ABSTRACT
With advances in the areas of telecommunication, computing and miniaturization of
computers new technology products were developed and quickly became key points to new
approaches for communication and business strategies. And with the current state of the
business world where you have the growing use of technology to reduce costs and increase
productivity, software development companies have ported their applications to mobile
platforms given the current market. However as organizations acquire mobile solutions, new
attributes and features are identified to be suitable for both the development of software for
mobile devices like the security of information, as new risks and challenges and urged the
company managers. Among these new risks and challenges is the need for information
security management to address the peculiarities of companies in the context of software
development for mobile devices. This paper presents a strategy for information security in
companies developing software for mobile devices that aims to assist information security
protecting its main assets. The strategy involves a framework with themes that include project
management, mobile technologies and aspects of information security, addressing elements to
ensure the security of information such as the interpretation of the ISO 27001 definition of
project scope, preparing the SGSI , survey and risk analysis, training and development of
standards and procedures for security and business continuity management. The evaluation of
the strategy followed the principles of software engineering from the perspective of
experimental information security managers.
Keywords: Mobile applications, Information Security, Information Security Policy
LISTA DE ILUSTRAES
Figura 1.1: Etapas da metodologia de desenvolvimento da pesquisa ................................ 17

Figura 1.2: Estrutura do trabalho ........................................................................................ 19
Figura 2.1: Conexo entre os grupos de processos .............................................................. 22
Figura 2.3: reas de conhecimento dos grupos de processos ............................................. 23
Figura 2.4: Processo de gesto de riscos de segurana da informao .............................. 32
Figura 2.5: Totais de incidentes de segurana reportadas ao CERT ................................ 35
Figura 2.6: Modelo do PDCA ................................................................................................ 38
Figura 2.7: Modelo terico do planejamento da adoo de iniciativas mveis na
interao entre organizao e indivduo (Machado, 2007). ................................................ 42
Figura 2.8. Dimenses de pesquisa do roadmap (Foukas et al., 2005, p. 359) .................. 43
Figura 3.2: Diagrama de Ishikawa aplicado na SI para o GPS para dispositivos mveis
.................................................................................................................................................. 49
Figura 3.3: Percentual das organizaes pesquisadas por segmento de negcios ............ 52
Figura 4.1: Estratgia de segurana da informao ............................................................ 59
Figura 4.2: Processos para definio do escopo ................................................................... 61
Figura 4.3: Critrios para elaborao do SGSI (adaptado da norma ISO 27001) ........... 63
Figura 4.4: Metodologia do comit gestor de sistema de informao ................................ 65
Figura 4.5: Gerenciamento das reas de risco de segurana da informao .................... 67
Figura 5.1: Etapas do processo da avaliao da estratgia proposta ................................ 78
Figura 5.2: Anlise dos elementos identificados para SI em empresas de
desenvolvimento de software para dispositivos mveis ...................................................... 83
Figura 5.3: Anlise dos elementos do escopo identificados para SI em empresas de
Figura 5.4: Anlise dos elementos do SGSI identificados para SI em empresas de
Figura 5.5: Anlise dos requistos fsicos identificados para SI em empresas de
Figura 5.6: Anlise dos requistos lgicos identificados para SI em empresas de
Figura 5.7: Anlise dos planos de continuidade identificados para SI em empresas de
Figura 5.8: Anlise quanto aplicabilidade da estratgia de SI para empresas de
Figura 5.9: Anlise quanto da eficincia da estratgia de SI para empresas de
LISTA DE TABELAS
Tabela 2.1: Tipos de ataques comuns ................................................................................... 34

Tabela 2.2: Requisitos da Norma ISO 27001 ....................................................................... 38
Tabela 2.3: Controles da Norma ISO 27002 ........................................................................ 40
Tabela 3.1: Riscos identificados em GPS para dispositivos mveis (Andrade, 2012) ...... 46
Tabela 3.3: Impactos dos riscos a segurana da informao em empresa de
Tabela 3.4: Classificao dos controles das empresas do Segmento 1 ........................... 53
Tabela 3.5: Classificao dos controles das empresas do Segmento 2 ........................... 54
Tabela 3.6: Controles comum e especfico das empresas de desenvolvimento do
Segmento 1 e Segmento 2 ............................................................................................... 55
Tabela 3.7: Problemas enfrentados pelas empresas ............................................................ 56
Tabela 4.1: Riscos identificados com impacto a SI em empresas de desenvolvimento de
software para dispositivos mveis ......................................................................................... 68
Tabela 4.2: Situaes de contingenciamento ........................................................................ 75
Tabela 5.1: Escala de mensurao das variveis dependentes e independentes ............... 81
Tabela 5.2: Tabela de siglas dos elementos .......................................................................... 83
Tabela 5.3: Tabela de siglas dos requisitos do escopo ......................................................... 83
Tabela 5.4: Tabela de siglas dos requisitos do SGSI ........................................................... 85
Tabela 5.5: Tabela de siglas dos requisitos fsicos ............................................................... 86
Tabela 5.6: Tabela de siglas dos requisitos lgicos .............................................................. 86
Tabela 5.7: Tabela de siglas dos planos de continuidade .................................................... 88
LISTA DE ABREVIATURAS E SIGLAS
ABNT Associao Brasileira de Normas Tcnicas

CERT Computer Emergency Response Team
CMMI Capability Maturity Model Integration
CobiT Control Objectives for Information and Related Technology
DOS Denial of Service
EAP Estrutura Analtica do Projeto
GPGPS Grupo de Pesquisa de Gerenciamento de Projetos de Software
GPS Gerenciamento de Projetos de Software
IP Internet Protocol
MPS-BR Melhoria de Processos do Software Brasileiro
MR-MPS Modelo de Referncia de MPS.BR
PDA Personal Digital Assistants
PDCA Plan-Do-Check-Act
PMI Project Management Institute
Prince2 Projetct in Controlled Environments
SGSI Sistema de Gesto de Segurana da Informao
SI Sistema de Informao
SIGP Sistema da Informao de Gerenciamento de Projetos
SM Suporte e Manuteno
TI Tecnologia da Informao
11
SUMRIO
Introduo ............................................................................................................................... 14
1.1. Objetivos........................................................................................................................ 15
1.2. Objetivos Especficos .................................................................................................... 15
1.3. Justificativa .................................................................................................................... 16
1.4. Metodologia de Desenvolvimento ................................................................................. 17
1.5. Organizao do Trabalho............................................................................................... 18
Reviso Bibliogrfica.............................................................................................................. 20
2.1. Consideraes Iniciais ................................................................................................... 20
2.2. Gerenciamento de Projeto de Software ......................................................................... 21
2.3. Computao mvel ........................................................................................................ 24
2.4. Dispositivos mveis....................................................................................................... 24
2.5. Aplicaes Mveis ........................................................................................................ 25
2.6. Desafios no desenvolvimento das aplicaes mveis ................................................... 26
2.7. Segurana da Informao .............................................................................................. 26
2.7.1 Ameaas e ataques ................................................................................................... 28
2.7.2. Preveno ............................................................................................................... 29
2.7.3. Deteco ................................................................................................................. 29
2.7.4. Recuperao............................................................................................................ 30
2.7.5. Vulnerabilidades ..................................................................................................... 30
2.7.6. Riscos ..................................................................................................................... 31
2.7.7. Ataques ................................................................................................................... 34
2.8. Gesto de Segurana da Informao ............................................................................. 36
2.9. Normas ISO/IEC 27001:2006 e ISO/IEC 27002:2005 ................................................. 36
2.9.1. Norma ISO 27001 Sistema de Gesto de Segurana da Informao (SGSI) ...... 37
2.9.2. Norma ISO 27002 Cdigo de Prtica para SGSI ................................................ 39
2.10. Trabalhos relacionados ................................................................................................ 41
2.10.1. Anlise dos trabalhos relacionados....................................................................... 41
2.11. Consideraes Finais ................................................................................................... 43
Bases da Estratgia de Segurana da Informao............................................................... 45
3.1. Consideraes iniciais ................................................................................................... 45
3.2. Segurana da informao nas aplicaes mveis .......................................................... 46
3.3. Desafios da segurana da informao em projetos de desenvolvimento de software para
12
dispositivos mveis .............................................................................................................. 48

3.4. Caractersticas da segurana da informao em empresas de desenvolvimento de
software para dispositivos mveis ........................................................................................ 51
3.5. Anlise dos controles dos documentos de segurana da informao ............................ 53
3.6. Consideraes finais ...................................................................................................... 57
Estratgia de Implantao de Segurana da Informao ................................................... 58
4.2. Contribuio das normas ISO 27001 e ISO 27002 para a estratgia proposta .............. 60
4.3. Incio do Projeto de Segurana ...................................................................................... 60
Avaliao da estratgia proposta .......................................................................................... 77
5.2. Organizao da avaliao da estratgia de SI em empresas de desenvolvimento de
software para dispositivos mveis ........................................................................................ 77
5.3. Definio da avaliao................................................................................................... 78
5.3.1. Objetivo geral da avaliao .................................................................................... 78
5.3.2. Objetivos especficos da avaliao ......................................................................... 78
5.3.3. Questes da avaliao ............................................................................................. 79
5.4. Planejamento e avaliao............................................................................................... 79
5.4.1. Seleo do contexto e dos participantes ................................................................. 79
5.4.2. Hipteses e variveis .............................................................................................. 79
5.4.3. Projeto do experimento e instrumentao .............................................................. 80
5.5. Execuo do experimento.............................................................................................. 81
5.5.1. Anlise dos participantes ........................................................................................ 82
5.6. Anlise e interpretao do experimento ........................................................................ 82
5.6.1. Anlise das bases da estratgia ............................................................................... 82
5.6.1.1. Resultado das bases da estratgia .................................................................... 89
5.6.2. Anlise da estratgia ............................................................................................... 89
5.6.2.1. Resultado da avaliao da estratgia ............................................................... 90
5.6.3. Verificao das hipteses ....................................................................................... 90
Concluso ................................................................................................................................ 92
6.1. Dificuldades e limitaes .............................................................................................. 93
6.2. Contribuies ................................................................................................................. 93
13
6.3. Sobre a avaliao da estratgia proposta ....................................................................... 93

6.4. Trabalhos futuros ........................................................................................................... 93
Referncias .............................................................................................................................. 95
Apndice A .............................................................................................................................. 99
Apndice B ............................................................................................................................ 100
ANEXO A .............................................................................................................................. 106
14
Captulo
1
Introduo
As empresas desenvolvedoras de software vivem num momento de convergncia digital, ao

qual um mesmo servio ou produto est disponvel em diversos meios digitais como celular,
televiso, Internet, entre outros.
Para Cukierman et al. (2007), essas novas tecnologias so reputadas como fontes de
mudanas radicais e, neste caso, constituem um cenrio no qual transformam
significativamente vrias dimenses da vida moderna. Esse cenrio, constitudo de mltiplos
processos de mobilidade, nasce da soma da computao, telecomunicao e tecnologia e
possibilitado pela conexo mvel.
Krotov e Junglas (2006) e Issac (2006) sustentam que, medida que os dispositivos
mveis foram amplamente adotados pelos indivduos, as organizaes tambm comearam a
adotar esse tipo de tecnologia de diferentes formas. Atualmente, diversas empresas usam as
tecnologias mveis para interagir com seus diferentes pblicos-alvo como clientes,
colaboradores, fornecedores ou acionistas, aproveitando-se da popularizao dos telefones
celulares, bem como de outros benefcios prprios da tecnologia, obtendo, assim, maior
agilidade e produtividade.
Neste cenrio, empresas de desenvolvimento de software tm portado suas aplicaes
para plataformas mveis. No entanto, medida que as organizaes adquirem as solues
mveis, novos atributos e funcionalidades so identificados para serem apropriados no
desenvolvimento de software e na segurana da informao para dispositivos mveis. Esses
novos atributos e funcionalidades tambm caracterizam o contexto mvel mudando at
mesmo a maneira como a gesto de segurana da informao deve ser conduzida para garantir
15
a qualidade dos produtos.

Entretanto, para que empresas de desenvolvimento de software para dispositivos
mveis alcancem o sucesso na implantao e no alinhamento estratgico de tecnologias
mveis necessrio o emprego de medidas especficas de segurana da informao. Neste
sentido, o presente trabalho apresenta uma estratgia de segurana da informao
especificando diretrizes a serem seguidas no que diz respeito adoo de procedimentos e
mecanismos relacionados segurana da informao nos projetos de desenvolvimento de
software para dispositivos mveis contribuindo com o desenvolvimento de novas aplicaes
mais seguras.
1.1. Objetivos
O objetivo geral apresentar uma estratgia de segurana da informao para empresas de

desenvolvimento de software para dispositivos mveis com base nas normas ISO 27001, ISO
27002 e polticas de segurana da informao de empresas do setor de TI (Tecnologia da
Informao). Desta forma, apoiar a empresa e gerentes sobre os fatores de segurana da
informao no planejamento, execuo e monitoramento de seus projetos.
1.2. Objetivos Especficos
Para alcanar o objetivo geral, necessrio atingir os objetivos especficos, que so:
Definir os ativos da empresa que devem ser protegidos e principalmente, qual
o nvel de segurana que cada ativo deve ter para que a mesma obtenha sucesso
em seus projetos.
Verificar se a hiptese (H0) A estratgia de SI para empresas de
desenvolvimento de software para dispositivos mveis ineficiente para o
contexto de desenvolvimento de software mvel refutada, e as hipteses
(H1)Os elementos abordados na estratgia de SI para empresa de
desenvolvimento de software para dispositivos mveis satisfazem com eficincia
a segurana da informao de empresas do contexto mvel e (H2) A estratgia
de SI para empresa de desenvolvimento de software para dispositivos mveis
minimiza os impactos negativos de riscos identificados, so afirmativas na
opinio do grupo de gestores.
16
Validar a estratgia de segurana da informao em empresas de

desenvolvimento de software para dispositivos mveis.
1.3. Justificativa
Pesquisas em tecnologias e aplicaes mveis tm crescido e se tornando uma das reas

multidisciplinares com maior representatividade nos ltimos anos (Machado; Freitas, 2009;
Fouskas et. 2005). E com a situao atual do mundo dos negcios ao qual se tem o
crescimento do uso de tecnologias, para diminuir custos e aumentar a produtividade, com
sistemas cada vez mais interligados cria-se ento a necessidade de tornar esta tecnologia
segura e confivel.
Neste cenrio, modelos, metodologias ou estratgias de gesto envolvendo a segurana
da informao para projetos de desenvolvimento de software para dispositivos mveis so
alvos de pequena parte das pesquisas, deixando vasto espao para estudos sobre o assunto.
Como pode ser observado, a partir dos trabalhos de Wangham (2007), Boulhosa (2011) e
Sima (2006), nos quais os mesmos tratam de segurana da informao em aplicaes mveis
a partir de ferramentas e protocolos especficos para implementao do software.
Apesar dessas metodologias integrarem aspectos de segurana, suas aplicaes no
so especficas para a gesto de segurana, ao qual envolva aspectos tanto dos requisitos
fsicos como lgicos da empresa. Embora uma empresa possa ter as melhores tcnicas,
softwares ou equipamentos para segurana, somente isso no suficiente, uma vez que
pessoas podem ser facilmente influenciadas, persuadidas, enganadas e convencidas a fornecer
informaes a pessoas no autorizadas a receb-las.
Outra justificativa acerca da proposta de segurana da informao em empresas de
desenvolvimento de software para dispositivos mveis que at 2014 o nmero de aplicativos
disponvel para download em app stores para smartphones e tablets saltar de 200, em 2012,
para mais de 1,2 mil em 2014 (Gartner, 2013).
Nesse contexto, uma estratgia de segurana da informao em empresas de
desenvolvimento de software para dispositivos mveis proposta visando definir etapas para
subsidiar a empresa e os gerentes de projeto no planejamento, na coordenao, na cooperao,
na execuo do projeto e no desenvolvimento do software mvel.
Dada relevncia das aplicaes mveis no cenrio atual, na Universidade Estadual
de Maring (UEM) est sendo desenvolvido o projeto M-Aplic Uma abordagem para gesto
de projetos para aplicaes mveis, com apoio da Fundao Araucria e como parte das
atividades do Grupo de Pesquisa em Gesto de Projetos (GPGPS).
17
Assim, a estratgia aqui proposta contribui para que o gerente tenha uma viso sobre a
segurana das informaes, podendo planejar e acompanhar esse item imprescindvel para
aplicaes mveis e podendo compor um dos elementos da abordagem M-Aplic no quesito
segurana da informao.
1.4. Metodologia de Desenvolvimento
A metodologia utilizada para o desenvolvimento da proposta de dissertao composta por

quatro fases. Assim, para atender aos objetivos da proposta, utilizada a metodologia
apresentada na Figura 1.1.
Figura 1.1: Etapas da metodologia de desenvolvimento da pesquisa

Reviso Bibliogrfica: envolve a reviso inicial da literatura, que teve como objetivo
formar um referencial terico consistente e visualizar o estado da arte.
Definio da Estratgia: identifica, especifica e defini, com base na etapa anterior,
os elementos necessrios para uma estratgia de segurana da informao em
ambiente de desenvolvimento de software para dispositivos mveis.
Avaliao da Estratgia: verifica se a estratgia proposta satisfaz os objetivos de
acordo com a avaliao por meio da engenharia de software experimental (Mafra e
18
Travassos, 2006).
Redao: consiste na escrita da dissertao e do artigo, bem com a respectiva defesa
da dissertao e submisso do artigo para um evento da rea de engenharia de
software.
1.5. Organizao do Trabalho
Neste captulo foram apresentados os propsitos e a motivao da proposta de elaborao de

uma abordagem de estratgia de segurana da informao em empresas de desenvolvimento
de software para dispositivos mveis, bem como orientaes sobre como o estudo ser
conduzido para alcanar o objetivo geral e os objetivos especficos.
O restante do trabalho encontra-se organizado da seguinte forma:
Captulo 2 - Reviso bibliogrfica: apresenta os conceitos relevantes para o
desenvolvimento deste trabalho, sendo eles: gerenciamento de projetos de software,
computao mvel, dispositivos mveis, aplicaes mveis, desafios no
desenvolvimento das aplicaes mveis, segurana da informao, gesto da segurana da
informao e normas de segurana da informao.
Captulo 3 - Bases da estratgia de segurana da informao: aborda os elementos
que subsidiaram a elaborao do arcabouo da estratgia de segurana da informao
em empresa de desenvolvimento de software para dispositivos mveis.
Captulo 4 - Estratgia de implementao da segurana da informao: apresenta
os elementos que faro parte do documento de segurana.
Captulo 5 Avaliao da estratgia: ilustra o processo de avaliao das bases que
aliceram a proposta da estratgia de segurana da informao.
Captulo 6 Concluso: apresenta as contribuies e os trabalhos futuros
identificados a partir do desenvolvimento da estratgia de segurana da informao em
empresas de desenvolvimento de software para dispositivos mveis.
A figura 1.2 apresenta a estrutura do trabalho de uma forma mais detalhada.
19
Problema
Como garantir a segurana da informao em empresas de desenvolvimento de software para

dispositivos mveis?, com a situao atual do mundo dos negcios, onde se tem o crescimento
do uso de tecnologias, para diminuir custos e aumentar a produtividade, uma vez com a
implantao dessa tecnologia, novos atributos e funcionalidades so identificados para serem
apropriados tanto pelo desenvolvimento de software para dispositivos mveis como pela
segurana da informao, pois novos riscos e desafios incitaram a empresa e gerentes.
Bases da
estratgia
Gerenciamento Computao Segurana da SI em empresas de

de projeto de DS para
mvel Informao dispositivos
software mveis
Dispositivos Gesto da
segurana da ISO/IEC ISO/IEC Caractersticas da
mveis SI em empresas de
informao 27001 27002 DS para
dispositivos
Aplicaes mveis
mveis
Anlise e controles
de documentos de
Desafios no segurana
desenvolviment
o das aplicaes
mveis Reviso Bibliogrfica
Proposta de estratgia de segurana Estratgia de segurana da

da informao baseadas nas informao em empresa de
abordagens das normas ISO 27001 desenvolvimento de software para
e ISO 27002, polticas de segurana dispositivos mveis.
para empresas do contexto mvel.
Avaliao da estratgia sob a Validao da estratgia com

tica de gestores de segurana da aplicao de questionrio
informao abordando elementos da
estratgia
Resultados, Anlise e Concluso

da Estratgia
Figura 1.2: Estrutura do trabalho

20
Captulo
2
Reviso Bibliogrfica
2.1. Consideraes Iniciais
Em empresas circulam informaes muitas vezes confidenciais que, se forem fornecidas para
pessoas no autorizadas, podem afetar no seu sucesso. Porm, se no existir um processo que
proteja essas informaes e defina quais podem ser fornecidas e para quem, a proteo dessas
se torna quase impossvel (Rodrigues, 2011).
A rea responsvel por essa proteo a da Segurana da Informao, que tem como
objetivo manter a confidencialidade, integridade e disponibilidade tanto das informaes
corporativas quanto das pessoais, trazendo como benefcios a reduo dos riscos de
vazamentos, fraudes, erros, sabotagens, uso indevido, roubo ou outros problemas que possam
comprometer qualquer um dos objetivos acima citados.
Garantir a segurana da informao em projetos de desenvolvimento de software mvel
um fator primordial para o seu sucesso, uma vez, que o crescimento dessa tecnologia
aumentou e as organizaes tm portado suas aplicaes para essa plataforma fazendo com
que as empresas de desenvolvimento de software mudassem tambm sua tecnologia.
Neste captulo apresentado um estudo sobre os componentes relevantes da proposta de
uma estratgia de segurana da informao em empresas de desenvolvimento de software
para dispositivos mveis. Os elementos relacionados ao arcabouo e que fornecem subsdios
para o desenvolvimento da estratgia foram baseados nos estudos de Andrade (2012), Fontes
(2011), Boulhosa (2011), Wangham (2007), Machado (2007), Souza (2007), Sima (2006),
Fouskas 20L 20L. (2005) e so:
Gerenciamento de projetos de software;
21
Computao mvel;
Dispositivos mveis;
Aplicaes mveis;
Desafios no desenvolvimento das aplicaes mveis;
Segurana da informao e;
Gesto de segurana da informao
Desta forma, so abordadas as reas de gerenciamento de projetos de software, o

cenrio da tecnologia para aplicaes mveis, a segurana da informao em ambiente de
desenvolvimento de software e a gesto de segurana da informao.
2.2. Gerenciamento de Projeto de Software
O gerenciamento de um projeto (GP) o processo de tomar decises que envolvem o uso de

recursos, tanto materiais como humanos, para realizar atividades, temporrias, com o objetivo
de fornecer um resultado (Huzita e Tait, 2006). A essncia do gerenciamento de um projeto
a elaborao, planejamento, controle e a execuo das atividades que definem um projeto
especfico. O GP a primeira camada do processo de engenharia de software, pois abrange
todo o processo de desenvolvimento, do comeo ao fim (Pressman, 1995).
O GPS envolve alm das etapas de GP (planejamento, avaliao e controle), as etapas
do desenvolvimento de um projeto de software (tcnicas de desenvolvimento, testes e
qualidade). Segundo Enami (2006, p.55), a rea de gerncia de projetos de software possui
particularidades que dificultam ainda mais o gerenciamento, tais como: mudana da
tecnologia, rodzio de pessoal que possui conhecimento especfico sobre a tecnologia e a
intangibilidade do software.
A qualidade do GP depende da qualidade do sistema de informaes em GP (SIGP),
que: fornecer informaes aos stakeholders do projeto utilizando-se de fontes formais e
informais; ir cobrir o ciclo de vida do desenvolvimento; ir apoiar o SI (Sistema da
Informao) da organizao interagindo com os SIs de outras reas da organizao; facilitar
a tomada de deciso; reduzir as surpresas ao longo do projeto; e, estar focado nas reas
crticas do projeto.Conforme o PMI (2008, p.6) o gerenciamento de projetos a aplicao do
conhecimento, habilidades, ferramentas e tcnicas s atividades do projeto a fim de atender
aos seus requisitos. A aplicao do conhecimento diz respeito aos processos que devem ser
22
aplicados e integrados para efetivao do gerenciamento de projetos. O PMI (2008, p.37)

define processo como sendo um conjunto de aes e atividades inter-relacionadas realizadas
para alcanar um produto, resultado ou servio pr-especificado. A aplicao das habilidades
e ferramentas feita nas entradas de um processo e resultam em uma ou mais sadas que
alimentam outros processos. Os processos esto divididos em cinco grupos de processos de
gerenciamento de projetos (PMI, 2008): Iniciao, Planejamento, Execuo, Monitoramento,
Controle e Encerramento.
Os resultados que um processo produz, geralmente, so consumidos na entrada de outro
processo, formando assim, conexes entre os processos, que se pode elevar ao nvel dos
grupos de processos conforme a Figura 2.1 (PMI, 2008).
Figura 2.1: Conexo entre os grupos de processos

Fonte: Guia PMBOK. Um Guia do Conjunto de Conhecimentos em Gerenciamento de Projetos. 3
edio. Pensilvnia: Project Management Institute, 2008.
Os grupos de processos, porm, de acordo com o PMI (2008, p.40) raramente so

eventos distintos ou nicos; eles so atividades sobrepostas que ocorrem em diversos nveis
de intensidade durante todo o projeto como mostrado na Figura 2.2.
Figura 2.2: Interao entre os grupos de processos

Fonte: Guia PMBOK. Um Guia do Conjunto de Conhecimentos em Gerenciamento de Projetos. 3
edio. Pensilvnia: Project Management Institute, 2008.
23
Alm da diviso por grupos, os processos tambm so organizados em nove reas de

conhecimento (PMI, 2008), conforme Figura 2.3.
Figura 2.3: reas de conhecimento dos grupos de processos
As nove reas de conhecimento dos grupos de processos apresentado na Figura 2.3,

apresentam requisitos para auxiliar as fases do gerenciamento do projeto.
Segundo Enami (2006), dentre os principais padres e modelos para o gerenciamento do
projeto destacam-se os modelos processuais do PMI (Project Management Institute), o CMMI
(Capability Maturity Model Integration) e o MR-MPS (Modelo de Referncia de Melhoria de
Processos de Software), este ltimo tambm conhecido como MPS.BR (Melhoria de Processo
de Software Brasileiro). Fernandes e Abreu (2008) complementam a lista com os modelos
PRINCE2 (Projetct in Controlled Environments) e CobiT (Control Objectives for Information
and Related Technology).
No entanto as normas ISO 9001, ISO/IEC 9126 e ISO/IEC 12207 auxiliam o gerente de
projetos a obter dados relevantes do ambiente e padronizar o desenvolvimento de software,
contribuindo para a gesto de projetos de software (Fernandes e Abreu , 2008).
24
Os padres e normas citados por Fernandes e Abreu (2008) e Enami (2006) contribuem
para o gerenciamento de projetos de software e possuem aplicabilidade especfica conforme a
necessidade e objetivo do projeto.
2.3. Computao mvel
Computao mvel pode ser representada como um novo paradigma computacional que
permite que usurios desse ambiente tenham acesso a servios independentemente de sua
localizao, podendo inclusive, estar em movimento. Mais tecnicamente, um conceito que
envolve processamento, mobilidade e comunicao sem fio. A ideia ter acesso informao
em qualquer lugar e a qualquer momento.
A computao mvel caracterizada por trs propriedades essenciais: mobilidade,
portabilidade e conectividade (Souza, 2007).
Lee, et.(2005) classifica o conceito mobilidade como:
Capacidade de poder se deslocar ou ser deslocado facilmente. No
contexto da computao mvel a mobilidade se refere ao uso pelas
pessoas de dispositivos mveis portteis funcionalmente poderosos
que ofeream capacidade de realizar facilmente um conjunto de
funes de aplicao, sendo tambm capazes de conectar-se, obter
dados e fornec-los a outros usurios, aplicaes e sistemas. (Lee;
24L 24L , 2005, p. 56)
J o conceito de Portabilidade definido como a capacidade de ser facilmente

transportvel (Lee, et., 2005 apud Souza, 2007).
Para um dispositivo mvel ser porttil, deve ser pequeno e leve
(incluindo acessrios), no entanto, essa portabilidade tem
consequncia limitaes como capacidade de memria,
armazenamento, poder de processamento e tamanho de tela. Alm
disso, a portabilidade aumenta o risco de perda ou danos no
dispositivo mvel. (Augustin et., 2001, p. 35 apud Souza, 2007).
Ainda segundo Lee, et., (2005) mesmo que muitos dispositivos mveis tenham
aplicaes independentes, que permitem aos usurios operarem de forma independente
durante certo tempo, a sua funo primria da conectividade conectar as pessoas ou sistemas
e transmitir e receber informaes.
2.4. Dispositivos mveis
A implantao de tecnologias mveis pelas organizaes exige uma abordagem estratgica

para incorporar aos negcios. A tecnologia mvel precisa ser estudada, compreendida e
25
incorporada pelas organizaes por meio de estratgicas cuidadosamente interpretadas e

pesquisadas, visando prover um valor ao negcio e aos envolvidos (Unhelkar, 2009).
As tecnologias mveis possibilitam a ocorrncia de interaes entre os envolvidos
(pessoas, organizaes, clientes, fornecedores, etc.) a qualquer hora e em qualquer lugar. Esse
paradigma possvel com a implementao de uma infraestrutura adequada que envolve
padres de comunicao mvel e a utilizao de dispositivos portteis (Unhelkar, 2009;
Machado; Freitas, 2009), incluindo os celulares, smartphones, Personal Digital Assistants
(PDAs), palmtops, notebooks e netbooks.
Segundo Boulhosa (2011), estes aparelhos esto cada vez mais sofisticados e embutem
diversos dispositivos que permitem conexo de banda larga, sensores e funcionalidade de
geolocalizao, entre outras funes, que nos abre inmeras oportunidades de explorao.
O desafio para a rea de TI que estes aparelhos esto entrando nas empresas por
todos os lados. Impedir seu uso impossvel, mas necessrio criar procedimentos que
garantam a segurana e privacidade dos dados considerados crticos para o negcio (Andrade,
2012).
2.5. Aplicaes Mveis
Com os avanos nas reas de telecomunicao, computao e miniaturizao de

computadores, novos produtos tecnolgicos foram desenvolvidos e, rapidamente tornaram-se
pontos-chave para as novas abordagens de comunicao e estratgias de negcio (Ali-Hassan
et., 2010; Counts et., 2006). Neste cenrio, tm-se as aplicaes mveis que apresentam
vrias caractersticas que agregam funcionalidade aos seus usurios. A primeira delas a
mobilidade, a capacidade de manter voz constante e comunicao de dados enquanto em
movimento. Em segundo lugar, est o imediatismo, que permite aos usurios obter
conectividade quando necessrio, sem considerar a localizao e sem uma longa sesso de
login. Finalmente, localizao permite aos usurios obterem informaes relevantes para suas
localizaes atuais.
A combinao dessas caractersticas fornece uma grande faixa de possveis aplicaes

que podem ser oferecidas aos usurios que utilizam dispositivos mveis, tais como:
Comunicaes que so as aplicaes de comunicaes onde incluem aquelas em que o
usurio utiliza a rede de comunicao mvel apenas como um canal para acessar mensagens
ou informaes (e-mail, mensagem unificada e acesso intranet/Internet); Aplicao baseada
em localizao que navegao, condies de trfego de veculos, localizao de pessoas e
26
hospitais, etc; Aplicaes verticais que o gerenciamento de frota, alocao de recursos, etc;
Publicidade que so os servios oferecidos do tipo push1 e Servio de valor agregado M-
commerce que est relacionado com a venda a varejo, compra de bilhetes e o Banking que so
os servios bancrios e Comrcio Financeiro.
2.6. Desafios no desenvolvimento das aplicaes mveis
O desenvolvimento de software para dispositivos mveis resulta em uma tarefa desafiadora

(Boll et., 2005; Hosbond, 2005; Varshney &Vetter, 2000 apud Souza, 2007) e apresenta
muitos desafios diferentes das tpicas aplicaes convencionais. Ressalta ainda que um dos
desafios enfrentados a falta de padronizao e a variedade de modelos, plataformas (Java,
Windows Mobile, Symbian, Android e iPhone).
Devido a essa falta de padronizao, ao definirmos os requisitos de um projeto de
software para dispositivos mveis, muito importante levar em considerao a variedade de
hardware (processadores, memrias, tamanho da tela, etc) e de software (sistemas
operacionais e seus recursos) encontrada em dispositivos mveis (Muchow, 2004 apud Souza,
2007).
Segundo Alberto Leite, presidente da SupportComm, empresa brasileira especializada
no desenvolvimento de aplicativos mveis, em um artigo publicado em abril de 2012,
acrescenta que, alm da visualizao, a forma de processar e de armazenar as aplicaes
tambm varia de celular para celular. E tudo isso precisa ser ajustado grande quantidade de
modelos disponveis no mercado o que torna um grande desafio para os gerentes de projetos.
Esse ambiente de comunicao mvel, associado combinao complexa de
protocolos de rede, faz o projeto de solues de segurana para aplicaes mveis um desafio
particular (Josang e Sanderrud, 2003). Portanto, segurana e opes de conectividade sem fios
so fatores que tambm devem ser levados em considerao no desenvolvimento de
aplicaes mveis.
2.7. Segurana da Informao
Com base na norma NBR ISO/IEC 27002 (ABNT, 2005), Informao um ativo que, como
qualquer outro ativo importante para os negcios, tem um valor para a organizao e
1
Push um sistema de distribuio de contedo da Internet em que a informao sai de um servidor para
um cliente, com base em uma srie de parmetros estabelecidos pelo cliente, tambm chamado de "assinatura".
27
consequentemente necessita ser adequadamente protegido.

A informao utilizada tanto para administrar internamente a organizao como para
prever situaes de mercado e concorrentes. Por esse motivo, ela um bem poderoso para a
empresa (Carvalho, 2011). Por ser to importante, a informao necessita ser segura e neste
aspecto necessrio analisar a segurana da informao. A gerao de informao algo
muito comum para qualquer empresa e a segurana dessas informaes vital tambm quanto
ao carter estratgico. Para Bluephoenix (2008) a segurana da informao de uma empresa
garante, em muitos casos, a continuidade de negcio, incrementa a estabilidade e permite que
as pessoas e os bens estejam seguros de ameaas e perigos.
Segundo a norma (ABNT NBR ISO/IEC 27002, 2005) para que se possa garantir a
segurana da informao alguns princpios bsicos devem ser respeitados, tais como:
Confidencialidade: significa que a informao deve ser protegida contra sua
divulgao para pessoas no autorizadas interna ou externamente. Consiste em
proteger a informao contra cpias e distribuio no autorizada. Dessa forma, a
informao deve ser confidencial e sua utilizao dever ser feita por pessoas
previamente autorizadas.
Integridade: consiste em garantir que a informao gerada no seja modificada sem a
devida autorizao da(s) pessoa(s) responsvel por ela. Isto implica que no deve ser
permitido que a informao original sofra nenhum tipo de violao seja ela escrita,
alterao de contedo, alterao de status, remoo e criao de informaes.
Autenticidade: o controle de autenticidade est ligado ao fato da informao que
esteja sendo trafegada seja de fato originada do proprietrio a ela relacionado. No
deve ser permitida a violao da origem da informao.
Disponibilidade: garantir que a informao esteja disponvel s pessoas autorizadas
sem nenhum tipo de modificao e sempre que elas necessitarem. Pode ser chamado
tambm de continuidade do servio.
Atravs da garantia desses servios, a segurana da informao poder trazer

benefcios relevantes para a organizao como, por exemplo: aumentar a produtividade dos
usurios atravs de um ambiente mais organizado, maior controle sobre os recursos de
informtica e, finalmente, garantir a funcionalidade das aplicaes crticas da empresa.
Neste cenrio, empresas que desenvolvem ou que esto mudando suas aplicaes para
dispositivos mveis devem estar cientes dos fatores mais comumente considerados
pelas empresas do ramo que a segurana. Os dispositivos mveis geralmente contm
28
informaes pessoais que podem ser alvo dos hackers, pois no h verificao de segurana.
Assim com a evoluo dessa tecnologia mvel, a informao concretizou-se como o
ativo mais valioso das empresas, e a segurana dessa informao um fator primordial, pois de
uma forma crescente, as organizaes, seus sistemas de informaes e suas redes de
computadores apresentam-se diante de uma srie de ameaas, sendo que, algumas vezes, estas
ameaas podem resultar em prejuzos para as empresas.
A segurana da informao visa proteger as empresas de um grande nmero de
ameaas para assegurar a continuidade do negcio. Esta segurana obtida a partir da
implementao de uma srie de controles, que podem ser polticas, prticas e procedimentos,
os quais precisam ser estabelecidos para garantir que os objetivos de segurana especficos da
organizao sejam atendidos.
O Relatrio Symantec (28R28.symantec.com.br) no primeiro semestre de 2010 sobre
Segurana da Informao nas Empresas mostra que as empresas da Amrica Latina perdem
mais de US$ 500 mil por ano em decorrncia de ataques virtuais. Outra pesquisa da Qualibest
(28R28.qualibest.com.br) apontou que mais de 85% dos funcionrios no Brasil usam a
internet da empresa para fins pessoais. Desses, quase 80% usam o e-mail pessoal durante o
expediente, mais de 60% fazem pesquisas pessoais em sites de busca, mais de 50% fazem
operaes com internet banking e cerca de 15% utilizam a conexo com a internet da empresa
para download de msicas, jogos e outros downloads de interesses pessoais.
2.7.1 Ameaas e ataques

As ameaas ao sistema de informao esto relacionadas com a quebra dos quatro princpios
bsicos da segurana da informao: Confiabilidade, Integridade, Autenticidade e
Disponibilidade.
Uma ameaa consiste em uma possvel violao de um sistema computacional e pode
ser acidental ou intencional (Pinheiro, 2007). Uma ameaa acidental aquela que no foi
planejada. Pode ser, por exemplo, uma falha no hardware ou no software. J uma ameaa
intencional, como o nome diz, est associada intencionalidade premeditada.
Por ameaas entendem-se tambm os elementos que tem a condio de explorar a
vulnerabilidades e causar problemas severos aos ativos de uma empresa (Mdul, 2011; Souza,
2011). Dentre as vrias classificaes na literatura, podemos citar as seguintes:
Naturais - condies da natureza que podem causar danos, como por exemplo:
enchentes, incndio e terremotos.
Intencionais: propositais como vrus de computador, espionagem, fraude, vandalismo,
29
roubo entre outros.

Involuntrias: originadas por falhas no intencionais dos usurios como acidentes,
erros, falta de conhecimento dos ativos.
Um ataque ocorre quando uma ameaa intencional realizada. Os ataques ocorrem
por motivos diversos. Variam desde a pura curiosidade, passando pelo interesse em adquirir
maior conhecimento sobre os sistemas, at o extremo, envolvendo ganhos financeiros,
extorso, chantagem de algum tipo, espionagem industrial, venda de informaes
confidenciais e, ferir a imagem de um governo ou uma determinada empresa ou servio. Trs
aspectos que um sistema de informao deve atender para evitar a concretizao das ameaas
e ataques: Preveno, Deteco e Recuperao.
2.7.2. Preveno
Segundo Fontes (2011), as organizaes e os indivduos podem prevenir seus sistemas contras
ameaas e ataques de muitas maneiras, tais como:
Proteo de hardware: normalmente chamada de segurana fsica, impede acessos
fsicos no autorizados infraestrutura da rede, prevenindo roubos de dados, desligamento de
equipamentos e demais danos quando se est fisicamente no local.
Proteo de arquivos e dados: proporcionada pela autenticao, controle de acesso e
sistemas antivrus. No processo de autenticao, verificada a identidade do usurio; o
controle de acesso disponibiliza apenas as transaes pertinentes ao usurio e os programas
antivrus garantem a proteo do sistema contra programas maliciosos;
Proteo de permetro: ferramentas de firewall e routers cuidam desse aspecto,
mantendo a rede protegida contra tentativas de intruso (interna e externa rede).
2.7.3. Deteco
Segundo Turbam (2007), os controles de deteco de intruses alertam os responsveis pela
segurana sobre qualquer sinal de invaso ou mudana suspeita no comportamento da rede
que possa significar um padro de ataque. Os avisos podem ser via e-mail, mensagem no
console de gerncia, celular, etc. A instalao desses controles necessria, mas no o
suficiente, pois tambm necessrio responder a questes como as seguintes: Os controles
foram instalados conforme pretendido? Eles so eficazes? Ocorreu alguma brecha de
segurana? Nesse caso, quais as aes necessrias para evitar que ocorram novamente?.
Ressalta ainda que essas questes devem ser respondidas por observadores
30
independentes e imparciais.
Tais observadores executam a tarefa de auditoria de sistemas de
informao ao qual periodicamente devem-se analisar os componentes
crticos do sistema a procura de mudanas suspeitas. Esse processo
pode ser realizado por ferramentas que procuram, por exemplo,
modificaes no tamanho dos arquivos de senhas, usurios inativos,
etc. (Turban, 2007, p. 45).
2.7.4. Recuperao
A melhor defesa estar preparado para diversas eventualidades. Um elemento importante em
qualquer sistema de segurana um plano de recuperao de acidentes. A destruio dos
recursos de computao de uma organizao pode provocar danos significativos (Turban,
2007; Potter; Rainer, pag. 454.). Assim, algumas medidas podem ser tomadas, tais como:
Cpia de segurana dos dados (Backup): manter sempre atualizados e testados os
arquivos de segurana em mdia confivel e separados fsica e logicamente dos servidores;
Aplicativos de Backup: ferramentas que proporcionam a recuperao rpida e
confivel dos dados atualizados em caso da perda das informaes originais do sistema;
Backup de hardware: a existncia de hardware reserva, fornecimento autnomo de
energia, linhas de dados redundantes, etc., podem ser justificados levando-se em conta o custo
da indisponibilidade dos sistemas.
2.7.5. Vulnerabilidades
Segundo Nakamura (2002, p.29-89), vulnerabilidades so deficincias de diversas origens, as
quais muitas vezes, no so identificadas a tempo ou, mesmo quando isso ocorre, no so
devidamente tratadas de modo a evitar um ataque.
Moreira (2001 apud Souza, 2007), afirma que a vulnerabilidade o ponto onde poder
acontecer um ataque, ou seja, o ponto onde uma fraqueza ou deficincia de segurana poder
ser explorada, causando assim um incidente de segurana.
A vulnerabilidade o ponto onde qualquer sistema suscetvel a um
ataque, ou seja, uma condio encontrada em determinados recursos,
processos, configuraes, etc. Condio causada muitas vezes pela
ausncia ou ineficincia das medidas de proteo utilizadas de
salvaguardar os bens da empresa. (Moreira, 2001, p. 22 apud Souza,
2007)
As vulnerabilidades podem ter origens diversas como apresentado na lista sugerida por
Semla (Semla, 2003, p.48 49).
31
Agentes da natureza, umidade, poeira, poluio e calor podem causar danos aos ativos.
Deve-se levar em considerao tambm fatores geogrficos que possam resultar em ameaas.
Por exemplo, instalaes prximas a rios que causam inundaes.
Hardware: falha no dimensionamento do equipamento a ser utilizado, problemas de
projeto e manuteno.
Software: falhas no desenvolvimento que permitem a incluso e execuo de
softwares com cdigos maliciosos.
Mdias de armazenamento: falhas de fabricao ou estocagem de CD-ROM, disco
rgido, DVD-ROM entre outros.
Meios de comunicao: problemas no cabeamento, antenas de rdio inadequadas
entre outros problemas na infraestrutura de comunicao.
Humanas: relativas aos danos que o ser humano pode causar s informaes quando
de espionagem, m utilizao e acidentes derivados da falta de treinamento,
insatisfao com o trabalho, erros dentre outros fatores.
2.7.6. Riscos
Os riscos podem ser definidos como a probabilidade da ocorrncia de um determinado evento
sem a pretenso de invoc-lo e que aps sua concretizao resulte em um impacto positivo ou
negativo (Heldman, 2006; PMI 2008 apud Andrade, 2012).
Entretanto, Mdulo (2007) diz que os riscos so as possibilidades das ameaas
explorarem as vulnerabilidades, ocasionando danos ou perdas de dados, proporcionando
prejuzos aos negcios da empresa e que acabam por afetar os princpios de
confidencialidade, integridade e disponibilidade.
Existem diversas formas de se analisar os riscos e por intermdio de um estudo
classificar as informaes em categorias permitindo avaliar o impacto que uma ameaa pode
trazer.
A norma NBR 27001 descreve os controles de segurana requeridos no ambiente
organizacional e preconiza que os sistemas de gesto de segurana da informao devem se
focar na gesto de riscos a fim de atingir os seguintes objetivos:
identificar o valor e analisar eventuais fraquezas dos ativos de informao;
permitir que a gerncia tome decises fundamentadas sobre a gesto do risco,
eventualmente justificando despesas alocadas a este fim; e
incrementar a informao organizacional sobre os sistemas de tecnologia da
32
informao a fim de melhorar sua segurana.

O processo de gesto de riscos definido por oito atividades que so apresentados na
norma ISO/IEC 27005:2008 que tem por objetivo fornecer as diretrizes para o
processo de Gesto de Riscos de Segurana da Informao e so apresentadas na
Figura 2.4.
Figura 2.4: Processo de gesto de riscos de segurana da informao

Fonte: ABNT NBR ISO/IEC 27005, 2008
Para cada etapa da norma so propostas diretrizes para implementao que sero
brevemente descritas a seguir (ABNT NBR ISO/IEC 27005, 2008).
Definio do contexto: Definir o escopo e limites que sero levados em considerao

na gesto de riscos.
Devero ser descritos os processos que fazem parte do escopo, garantindo a identificao
dos ativos relevantes para a gesto dos riscos. Alm disso, a definio do contexto inclui
determinar os critrios gerais de aceitao dos riscos para a organizao e as
responsabilidades para a gesto de riscos. nessa definio do escopo e limites que a poltica
de segurana da informao considerada.
Anlise/Avaliao dos riscos de segurana da informao: Este item apresenta todo

processo de anlise e avaliao dos riscos de segurana da informao, tais como:
33
1 - Identificao de riscos:
Identificar os eventos que possam ter impacto negativo nos negcios da
organizao.
Devem ser identificados os ativos, suas vulnerabilidades e as ameaas que
podem causar danos aos ativos. Identificar as consequncias que as perdas de
confidencialidade, de integridade e de disponibilidade podem ter sobre os ativos.
2 - Estimativa de riscos:
Atribuir valor ao impacto que um risco pode ter e a probabilidade de sua
ocorrncia, de forma qualitativa ou quantitativa. Estimar o risco atravs da
combinao entre a probabilidade de um cenrio de incidente e suas consequncias.
3 - Avaliao de riscos:
Determinar a prioridade de cada risco atravs de uma comparao entre o nvel
estimado do risco e o nvel aceitvel estabelecido pela organizao.
O ponto de deciso 1, visto na Figura 2.4, verifica se a avaliao dos riscos foi
satisfatria, conforme os critrios estabelecidos pela organizao. Caso no seja
satisfatria, a atividade pode ser reiniciada de forma que se possa revisar, aprofundar e
detalhar ainda mais a avaliao, assegurando que os riscos possam ser adequadamente
avaliados.
Tratamento do risco: Implementar controles para reduzir, reter, evitar ou transferir
os riscos. Se o tratamento do risco no for satisfatrio, ou seja, no resultar em um
nvel de risco residual que seja aceitvel, deve-se iniciar novamente a atividade ou o
processo at que os riscos residuais sejam explicitamente aceitos pelos gestores da
organizao. Esta iterao se d no ponto de deciso 2, como visto na figura 2.4.
Aceitao do risco: Registrar formalmente a aprovao dos planos de tratamento do
risco e os riscos residuais resultantes, juntamente com a responsabilidade pela deciso.
Comunicao do risco: Desenvolver planos de comunicao dos riscos para
assegurar que todos tenham conscincia sobre os riscos e controles a serem adotados.
Monitoramento e anlise crtica de riscos: Monitorar continuamente os riscos e seus
fatores a fim de identificar eventuais mudanas no contexto. Certificar que o processo
de gesto de riscos de segurana da informao e as atividades relacionadas
permaneam apropriados nas circunstncias presentes.
34
A norma ISO/IEC 27005 no inclui uma metodologia especfica para a gesto de

riscos de segurana da informao, cabendo a cada organizao definir a melhor abordagem
conforme o contexto na qual est inserida.
Criada para apoiar o entendimento das especificaes e conceitos estabelecidos pela
norma ISO/IEC 27001, esta norma define as melhores prticas em gesto de riscos de
segurana da informao e podem ser aplicadas a organizaes de todos os portes e
segmentos.
2.7.7. Ataques
Existem muitos mtodos de ataque a recursos de computao, e novos mtodos aparecem
regularmente.
Coletar informaes da ocorrncia dos tipos de ataques um passo necessrio para dar
incio a um plano de ao de segurana da informao (Hatch, 2003, p.225 apud Souza,
2007), os ataques podem ter origem nas ameaas descritas na seo 2.7.1 deste trabalho. A
Tabela 2.1 apresenta uma lista de ataques comuns:
Tabela 2.1: Tipos de ataques comuns
Mtodo Definio
Vrus Instrues secretas inseridas em programas (ou dados) que so executadas
inocentemente durante as tarefas normais. As instrues secretas podem
destruir ou alterar dados, bem como se espalhar dentro do sistema ou para
outros sistemas de computador.
Worm Software que no precisa ser executado para ser utilizado. Fornece
informaes que so transmitidas a hackers de modo imperceptvel ao
usurio.
Cavalo de Tria Um programa ilegal, contido dentro de outro programa, que permanece
dormindo at que um evento especfico ocorra, o que aciona o programa
ilegal para ser ativado e causar danos.
Denial of Ataque de negao de servio, responsvel por sobrecarregar servidores
Service (DoS) com grande volume de informao, causando a parada do sistema
operacional, provocando o preenchimento da memria do computador e a
sobrecarga de operaes do processador.
Packet Sniffing Um programa que procura senhas ou contedo em um pacote de dados
enquanto passam pela Internet.
Cracker de Um programa que tenta adivinhar senhas.
senha
Portas dos Os invasores de um sistema criam vrios pontos de entrada; mesmo que
fundos voc descubra e feche um, eles ainda podem entrar pelos outros.
Apples Pequenos programas em JAVA que se aproveitam dos recursos do seu
maliciosos computador, modificam seus arquivos, enviam e-mails falsos, etc.
Salami slicing Um programa destinado a extrair pequenas quantidades de dinheiro de
diversas transaes maiores, de modo que a quantidade tirada no seja
35
imediatamente aparente.
Scan Tambm conhecido como Port Scanning, analisa portas IP que possuem
servios associados, como por exemplo, telnet.
Invaso Um ataque bem sucedido que resulte no acesso no autorizado a um
computador ou rede.
Web Um caso particular de ataque visando especificamente o comprometimento
de servidores Web ou desfiguraes de pginas na Internet.
Fraude Qualquer ato ardiloso, enganoso, de m-f, com intuito de lesar ou
ludibriar outrem, ou de no cumprir determinado dever; logro. Esta
categoria engloba as notificaes de tentativas de fraudes, ou seja, de
incidentes em que ocorre uma tentativa de obter vantagem.
Fonte: Adaptado de Turban, 2005
Entre os anos de 1999 a 2012 foram reportados ao CERT.br - Centro de Estudo,
Respostas e Tratamento de Incidentes de Segurana no Brasil vrios incidentes com relao
a ataques em empresas atravs dos mtodos apresentados na tabela 2.1.
Figura 2.5: Totais de incidentes de segurana reportadas ao CERT

Fonte: CERT.br. Disponvel em http://www.cert.br/stats/incidentes. Acesso: 10 mar. 2013.
Segundo a CERT e como apresentado na Figura 2.5 o total de notificaes recebidas

em 2012 foi de 466.029, este nmero foi 17% maior que o total de 2011. Nesse cenrio, a
quantidade de incidentes de segurana por si s motiva as empresas a pensarem a implantar
segurana em seus negcios, visto que muitas informaes so crticas. Algumas delas so
secretas e possuem alto valor estratgico.
A implantao de segurana atravs de uma estratgia pode auxiliar as empresas nas
36
mudanas culturais e organizacionais relacionadas segurana da informao.
2.8. Gesto de Segurana da Informao
Segundo (Fontes, 2011) o processo de segurana da informao existe para possibilitar que a
organizao utilize de maneira confivel os recursos que suportam as informaes necessrias
para as suas atividades estratgicas, tticas e operacionais.
Thomas Peltier define a segurana da informao dando nfase na proteo dos
recursos:
Segurana da informao direciona e suporta a organizao para
proteo de seus recursos de informao intencional ou no
intencional divulgao indevida, modificao no autorizada,
destruio no desejada, ou negao de servio atravs da
implantao de controles de segurana definidos em polticas e
procedimentos. (Peltier, 2004, p.9).
Peltier continua indicando que segurana da informao est ligada fortemente aos
objetivos do negcio. Para Peltier a segurana da informao no deve existir para ela mesma;
a segurana da informao deve existir para atender organizao e aos seus objetivos de
negcios.
A NBR ISO/IEC 27002:2005 refora que segurana da informao importante para o
setor pblico e para o setor privado.
Por sua vez a norma ISO/IEC 27001:2006 orienta sobre a maneira de implantao de
um SGSI (Sistema de Gesto de Segurana da Informao).
Em relao ao processo de gesto da segurana da informao a NBR ISO/IEC
27001:2006 prov um modelo para estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI)
conforme as necessidades da organizao.
2.9. Normas ISO/IEC 27001:2006 e ISO/IEC 27002:2005
A norma ISO 27001 (ABNT ISO 27001, 2006) prov e apresenta requisitos para que a
organizao possa estruturar um sistema de gesto de segurana da informao (SGSI). Por
sua vez, a norma ISO 27002 (ABNT ISO 27002, 2005) um conjunto de boas prticas que
podem ser aplicadas por um SGSI.
Segundo Souza (2007) o conjunto destas duas normas pode ser descritos como: i) um
37
mtodo estruturado reconhecido internacionalmente para segurana da informao; ii) um

processo definido para avaliar, manter e gerenciar a segurana da informao; iii) um grupo
completo de controles contendo as melhores prticas a serem adotadas por empresas (ABNT
ISO 27001, 2005).
2.9.1. Norma ISO 27001 Sistema de Gesto de Segurana

da Informao (SGSI)
Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de Segurana da
Informao (SGSI). A adoo de um SGSI deve ser uma deciso estratgica para uma
organizao. A especificao e a implementao do SGSI de uma organizao so
influenciadas pelas suas necessidades e objetivos, requisitos de segurana, processos
empregados e tamanho e estrutura da organizao.
O SGSI pode ser simplesmente definido como um comit multidisciplinar que tem
como principal responsabilidade estabelecer polticas de segurana, multiplicar o
conhecimento envolvido e tambm determinar os responsveis e as medidas cabveis dentro
de seus limites de atuao (ABNT ISO 27001, 2005).
Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act (PDCA),
apresentado na Figura 2.6, que aplicado para estruturar todos os processos do SGSI.
Plan (planejar) (estabelecer o SGSI): Estabelecer a poltica, objetivos, processos e
procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana
da informao para produzir resultados de acordo com as polticas e objetivos globais
de uma organizao.
Do (fazer) (implementar e operar o SGSI): Implementar e operar a poltica,
controles, processos e procedimentos do SGSI.
Check (checar) (monitorar e analisar criticamente o SGSI): Avaliar e, quando
aplicvel, medir o desempenho de um processo frente poltica, objetivos e
experincia prtica do SGSI e apresentar os resultados para a anlise crtica pela
direo.
Act (agir) (manter e melhorar o SGSI): Executar as aes corretivas e preventivas,
com base nos resultados da auditoria interna do SGSI e da anlise crtica pela direo
ou outra informao pertinente, para alcanar a melhoria contnua do SGSI. A figura
2.6 apresenta o relacionamento do modelo PDCA com as etapas do SGSI.
38
Figura 2.6: Modelo do PDCA

Fonte: NBR ISO/IEC 27001:2006
Com a alta direo compromissada e o treinamento eficaz dos colaboradores,
possvel se reduzir o nmero de ameaas que exploram eventuais vulnerabilidades. Na Tabela
2.2 apresentam-se os requisitos existentes na Norma ISO 27001 para auxiliar a implantao
do SGSI na organizao.
Tabela 2.2: Requisitos da Norma ISO 27001
N Requisito Descrio
1 Escopo Abrangncia da Norma
2 Referncia Normativa Normas e padres relacionados norma 27001
3 Termos e definies Termos e definies relacionados segurana da
informao
4 Sistema de Gesto de Referente criao, implementao, monitoramento e
Segurana de Informao melhoria do SGSI, tambm trata de documentao e de
registros de informaes.
5 Responsabilidade da Definies de responsabilidades, treinamento e proviso
Direo de recursos do SGSI.
6 Auditorias Internas Auditorias internas realizadas por pessoal treinado e
comprometido com o SGSI
7 Anlise crtica do SGSI Anlise realizada pelo corpo diretivo da organizao das
aes efetuadas pelo SGSI
8 Melhoria do SGSI Trata das aes corretivas e preventivas efetuadas pelo
39
SGSI
Fonte: Adaptado de (ABNT ISO 27001, 2006)
2.9.2. Norma ISO 27002 Cdigo de Prtica para SGSI

Essa norma foi baseada na norma britnica BS 17799-1:1999 (ABNT ISO 17799, 2005)
sendo aplicada como um documento de referncia, que chamada de guia de melhores
prticas.
A ISO 27001 uma norma que apresenta requisitos de segurana para a organizao,
ou seja, cria um sistema de segurana (SGSI) dentro da empresa. Isso em nenhum momento
garante segurana, com um sistema desses implementado, a organizao consegue "ver" o
problema de segurana facilmente. A ISO 27002, contem todos os controles que tem na ISO
27001 s que com explicaes e exemplos de implementao.
A norma composta por 16 (dezesseis) captulos, numerados de 0 (zero) 15 (quinze)
e so consideradas 11 (onze) sees de controles de segurana da informao. Cada seo
composta por um nmero variado de categorias principais de segurana da informao e cada
categoria possui certo nmero de controles. Estes controles, apresentados na tabela 2.3, so
elementos que definem o que a norma considera importante para um processo de segurana da
informao na organizao e devem ser os elementos considerados para as polticas de
segurana da informao das organizaes.
Existem 133 (centro e trinta e trs) controles explcitos nesta norma. Estes controles,
de maneira isolada ou agrupada, ou considerando outros controles no descritos nesta norma,
so os elementos considerados nesta pesquisa para a identificao da estratgia de segurana
da informao de uma organizao tomando por base elementos comuns existentes em
polticas de organizaes afins.
40
Tabela 2.3: Controles da Norma ISO 27002

Item Controles Descrio
[C01] Poltica de Segurana So as normas desenvolvidas que consideram
as responsabilidades, punies e autoridades
[C02] Poltica Organizacional Estrutura da gerencia da segurana
[C03] Classificao e Controle dos Classificao, registro e controle dos ativos

Ativos de Informao
[C04] Segurana em Pessoas Foco do risco decorrente de atos decorrentes

de aes das pessoas
[C05] Segurana Fsica e do ambiente Levantamento da necessidade de definio das

reas de circulao restrita e de se proteger
equipamentos e infraestrutura de TI
[C06] Gerenciamento de Operaes e Aborda temas relacionados : procedimentos

Comunicaes operacionais, homologao e implantao de
sistemas, entre outras.
[C07] Controle de Acesso Controle do acesso aos sistemas, definio de

competncias e responsabilidades.
[C08] Desenvolvimento da Segurana Requisitos para os sistemas, criptografia,

de Sistemas arquivos e desenvolvimento e suporte de
sistemas.
[C9] Gesto de incidentes de Notificao de vulnerabilidades, ocorrncias

segurana de segurana e gesto de incidentes.
[C10] Gesto da continuidade do Reforo na necessidade de ter um plano de

negcio continuidade e contingncia.
[C11] Conformidade Referente necessidade de observar os

requisitos legais, como a propriedade
intelectual.
Fonte: Adaptado de (ABNT ISO 27002, 2005)
Esta norma considera que controles adicionais e recomendaes no includas nessa
norma podem ser necessrios.
A segurana da informao obtida a partir da implementao de um
conjunto de controles adequados, incluindo polticas, processos,
procedimentos, estruturas organizacionais e funes de software e
hardware. Estes controles precisam ser estabelecidos, implementados,
monitorados, analisados criticamente e melhorados onde necessrios, para
garantir que os objetivos de negcio e de segurana da organizao sejam
atendidos. (ABNT, 2005, p.x)
41
2.10. Trabalhos relacionados
Esta seo apresenta trs trabalhos relacionados com o tema de pesquisa e constitui a fonte
precpua para elaborar uma estratgia de segurana da informao em empresas de
desenvolvimento de software para aplicaes mveis. Os trabalhos definem, respectivamente,
modelo de planejamento para iniciativas de adoo de tecnologias mveis na interao entre
organizao e indivduo (Machado, 2007), um roteiro para sistematizar e orientar pesquisas
relacionadas a negcios mveis (Fouskas 41L al., 2005) e alinhamento da gesto de segurana
da informao com as reas de negcio: uma avaliao da contribuio das diretrizes da
norma NBR ISO/IEC 27002:2005 (Fontes, 2011).
2.10.1. Anlise dos trabalhos relacionados

Machado (2007) prope em seu trabalho um modelo para planejamento das iniciativas de
adoo de tecnologias mveis pelas organizaes na interao com seus pblicos-alvo. O
modelo aborda as principais questes, impactos e riscos sobre adoo e uso organizacional de
tecnologias mveis, bem como a percepo de especialistas sobre o que deve ser considerado
pelas organizaes ao planejar projetos de mobilidade e como os gestores planejam seus
projetos de mobilidade.
A pesquisa realizada pelo autor limitou-se a grandes organizaes e foi concentrada
em apenas uma forma de tecnologia mvel (SMS corporativo). Outro aspecto desse trabalho
refere-se validao do modelo. O autor no aplicou as tcnicas de validao ou
experimentao, propondo a aderncia do modelo em casos reais como trabalhos futuros. Por
conseguinte, o modelo elaborado no contempla tcnicas de segurana da informao, apenas
o planejamento da adoo dessas tecnologias.
42
Figura 2.7: Modelo terico do planejamento da adoo de iniciativas mveis na interao

entre organizao e indivduo (Machado, 2007).
Fouskas et al. (2005) propem um roadmap para sistematizar e orientar a pesquisa de

negcios mveis em uma perspectiva metodolgica e interdisciplinar, envolvendo
interessados das reas acadmica e industrial. A Figura 2.8 ilustra esquematicamente as
dimenses de pesquisa abordadas no roadmap e organizadas em quatro dimenses.
O trabalho de Foukas et al. (2005) contribui e estabelece diretrizes para identificar os
desafios na adoo e uso das tecnologias mveis aos negcios. Contudo, a rea de negcios
mveis dinmica e alguns dos desafios identificados, tais como infraestrutura, treinamento,
tecnologia, polticas e regulamentaes devem ser revisadas, pois desde a elaborao do
roadmap a rea de mobilidade evoluiu.
43
Figura 2.8. Dimenses de pesquisa do roadmap (Foukas et al., 2005, p. 359)

Fontes (2011) em seu trabalho busca identificar os elementos que devem compor um
padro mnimo para a poltica de segurana da informao de uma organizao. No entanto,
no trata de questes especficas de segurana da informao em empresas de
desenvolvimento de software para aplicaes mveis. Outro aspecto, que o trabalho no
apresenta tcnica de validao, e sim, prope aplicao futura em uma empresa.
2.11. Consideraes Finais
A gesto de segurana da informao possui desafios que podem ser superados ao adotar
tcnicas que atendam as necessidades de um determinado contexto de aplicao. O
desenvolvimento de software para dispositivos mveis um exemplo de contexto especfico e
que exige uma estratgia que satisfaa suas bases e princpios.
Neste captulo foram apresentados os componentes que fundamentam o arcabouo de
uma estratgia de segurana da informao em empresa de desenvolvimento de software para
dispositivos mveis com base nos trabalhos de Machado (2011), Fouskas et al. (2005) e
Fontes (2011). Dentre os componentes esto os conceitos de gerenciamento de projetos, que
apresenta reas que auxiliam a elaborao de projetos; tecnologias, dispositivos e aplicaes
44
mveis, ao qual aborda os desafios enfrentados por essa tecnologia; requisitos de segurana
da informao, auxiliando na definio de ferramentas, normas e procedimentos para
desenvolvimento de diretrizes de segurana. No prximo captulo so discutidas as bases da
construo da estratgia de segurana.
45
Captulo
3
Bases da Estratgia de Segurana
da Informao
3.1. Consideraes iniciais
A massificao das tecnologias digitais mveis uma das foras tecnolgicas recentes mais
importantes (Machado, 2007). Alm da rpida disseminao entre as pessoas, as empresas
vm, cada vez mais, adotando esse tipo de tecnologia para atender a atual situao de
mercado, embora nem sempre considerando todos os aspectos e riscos envolvidos nesse tipo
de iniciativa. Como observado no Captulo 2 na seo 2.6, s tecnologias mveis apresentam
caractersticas prprias, introduzindo novas dimenses que as diferenciam das tecnologias
convencionais, requerendo assim novas abordagens sobre sua adoo e uso.
No entanto, pesquisas visando explorar e entender os riscos e os desafios de segurana

nas empresas de desenvolvimento de software para dispositivos mveis sob a percepo dos
gerentes e especialistas em gesto de segurana da informao tem sido pouco retratado por
autores, dentre eles: Andrade (2012), Fontes (2011), Boulhosa (2011), Wangham (2007),
Machado (2007), Souza (2007), Sima (2006) e Fouskas et al. (2005).
Este captulo apresenta as bases para uma estratgia de segurana da informao em
empresa de desenvolvimento de software para dispositivos mveis visando identificar os
principais desafios e riscos que as empresas podem enfrentar com a adoo dessa tecnologia,
bem como apresentar solues para minimizar o impacto desses riscos a essas empresas.
46
3.2. Segurana da informao nas aplicaes mveis
Para Rodrigues, (2011) a maioria das empresas peca em segurana quando investe muito em
software e hardware e esquece dos processos e do treinamento de pessoal. As pessoas devem
conhecer a importncia das polticas de segurana da empresa, o valor das informaes e o
impacto que o fornecimento de uma informao confidencial para algum no autorizado
pode causar (Rodrigues, 2011, p.58).
Como dito anteriormente, em empresas circulam muitas informaes confidenciais
que podem ser fornecidas para pessoas indevidas, causando danos irreparveis. Geralmente,
as pessoas que trabalham em um projeto no tm como mensurar o valor que uma informao
tem para a organizao e muito menos o impacto que a disponibilizao da mesma para
pessoas no autorizadas pode causar. Por esse motivo importante que exista um processo
que identifique, categorize e proteja todas as informaes de um projeto.
Em projetos de desenvolvimento de software para dispositivos mveis, conforme
descrito na Seo 2.6, so apresentados vrios desafios para a empresa e os gerentes de
projetos, pois se trata de uma tecnologia que possui suas prprias caractersticas, limitaes e
ameaas.
Dentre os vrios desafios abordados destaca-se a segurana da informao, na qual
esto relacionados riscos que se no gerenciados podem influenciar diretamente no projeto.
Os riscos associados a esses projetos so diferentes dos enfrentados por projetos
clssicos, (Andrade, 2012). Na Tabela 3.1 tm-se os riscos mais incidentes e relevantes em
projetos de desenvolvimento de software para dispositivos mveis.
Tabela 3.1: Riscos identificados em GPS para dispositivos mveis (Andrade, 2012)
Grupo ID Risco
Geral R01 Rotatividade interna e externa de recursos humanos por motivos
salariais e melhores condies de trabalho.
R02 Assdio de recursos humanos pela concorrncia por motivos de mo
de obra qualificada.
R03 Exposio de dados sigilosos ou aplicaes estratgicas da empresa.
R04 Alterao de escopo do projeto.
R05 Mudana de plataforma e ferramentas de desenvolvimento.
R06 Impercia em definir e avaliar os processos organizacionais para o
desenvolvimento e a implantao das aplicaes mveis.
R07 Mau uso do dispositivo mvel pela equipe de desenvolvimento e

pelos usurios finais.
Especfico R08 Instalao de software no autorizado que prejudique o desempenho
do dispositivo mvel na execuo da aplicao.
R09 Danos involuntrios ao dispositivo mvel.
47
R10 Comportamento instvel do dispositivo mvel devido presena de

vrus.
R11 Obsolescncia programada dos dispositivos mveis.
R12 Limitao das capacidades de processamento. Armazenamento e
durabilidade dos dispositivos mveis ao executar as aplicaes
corporativas.
R13 Incompatibilidade dos dispositivos mveis com as aplicaes
corporativas (especificaes tcnicas).
R14 Perda ou roubo do dispositivo mvel.
R15 Desalinhamento dos processos mveis com a estratgia da empresa
(processos especficos em relao mobilidade).
R16 Redefinio de processos organizacionais existentes para o
desenvolvimento e a implantao das aplicaes mveis.
R17 Mudana de layout das aplicaes mveis (usabilidade, escolha do
tipo do teclado, touch ou multitouch).
R18 Problema de convergncia entre aplicaes mveis e sistemas
organizacionais, ou seja, na integrao entre sistemas internos ou
externos.
R19 Limitao de cobertura de sinal das operadoras de dados.
R20 Limitao de largura de banda das operadoras de dados.
R21 Ausncia ou baixa interoperabilidade dos padres de comunicao
mvel.
R22 Baixa qualidade de conexo dos dispositivos e das operadoras de
dados.
Fonte: Andrade (2012)

Os riscos identificados por Andrade (2012) so organizados em dois grupos: gerais e
especficos, no qual os riscos especficos correspondem aos riscos associados especificamente
com o contexto de desenvolvimento de software para dispositivos mveis e os riscos gerais
correspondem aos riscos comuns em projetos de desenvolvimento de software.
No entanto, esses riscos precisam ser gerenciados. Deve ser feita uma anlise
criteriosa, pois, dependendo da informao que seja divulgada indevidamente, esta poder
inviabilizar a continuidade do projeto. Todas as informaes, independentemente da categoria
na qual se enquadram, precisam ser identificadas e avaliadas quanto probabilidade de serem
disponibilizadas indevidamente, e quanto ao impacto que essa disponibilizao poder causar.
Os riscos identificados na Tabela 3.1 sustentam a particularidade do gerenciamento da
segurana da informao, pois esto relacionados diretamente com os requisitos fsicos e
lgicos da segurana da empresa. Os requisitos fsicos esto relacionados com algo que possa
danificar a parte fsica da segurana e os requisitos lgicos esto relacionados com a
segurana de dados e informaes. Por exemplo, os riscos [R1], [R2], [R7], [R9] e [R14]
esto diretamente ligados com os requisitos fsicos de segurana da empresa, pois trata da
gesto de pessoas envolvendo a grande rotatividade de pessoas dentro da empresa, pessoas
48
que j no faz parte da equipe e que mantm informaes, acesso as dependncias da empresa
e ativos de uso particular da empresa.
No entanto, os riscos [R3], [R5], [R10], [R11], [R12], [R13], [R15], [R16], [R17],
[R18], [R19], [R20], [R21] e [R22] esto relacionados com os requisitos lgicos de segurana
da empresa, pois esto diretamente ligados aos ativos de informaes e dados que, se
expostos, podem trazer impactos prejudiciais empresa.
Aps essa identificao, os riscos devero ser priorizados e classificados. A partir
dessa lista dever ser criado um plano de resposta aos riscos, no qual estaro s estratgias de
mitigao e contingncia dos riscos considerados mais crticos para o projeto auxiliando a
empresa e o gerente de projetos na gesto de segurana da informao.
3.3. Desafios da segurana da informao em projetos de

desenvolvimento de software para dispositivos mveis
Os desafios da segurana da informao em projetos de desenvolvimento de software para

dispositivos mveis podem ser resultados da ocorrncia de riscos proporcionados pela
complexidade das tecnologias e negcios mveis e da necessidade de lig-las com mltiplas
reas de conhecimento, condies e contextos.
No entanto, os riscos identificados por Andrade, (2012) caracterizam grandes desafios
para a segurana da informao, pois fica clara a diferena entre gerenciar os riscos em um
projeto clssico de software e um projeto de software no contexto mvel quando divididos em
geral e especficos.
A Figura 3.2 ilustra os riscos categorizados em quatro grupos que afetam a segurana
da informao da empresa apresentados no diagrama de Ishikawa, tambm conhecido como
diagrama de espinha de peixe ou causa e efeito, uma ferramenta grfica que ilustra como
diversos fatores podem estar ligados a problemas ou efeitos potenciais (PMI, 2008).
Originalmente utilizado no controle da qualidade de processos, o diagrama de
Ishikawa se alastrou pelas mais diversas reas e segmentos profissionais. Segundo o PMI
(2008) trata-se de uma ferramenta utilizada na gesto de qualidade, mas tambm aplicada
nas atividades de identificao e anlise de riscos. Seu formato simplificado composto por
uma estrutura principal (seta horizontal), pelas causas (linhas ou setas) e pelo efeito (caixa
com a descrio do problema). As causas so ligadas a estrutura principal que por sua vez
apontada para o efeito. Extenses do diagrama tambm so aplicadas e abrangem subcausas e
categorias. As subcausas so definidas como as causas potenciais que podem contribuir com
49
uma causa especfica e as categorias so o agrupamento de causas a partir de fatores relacionados

ao efeito.
Os riscos e suas relaes so representados respectivamente pelos componentes causas e
subcausas e os desafios, gerados pela incidncia dos riscos, so representados pelo componente
efeito.
Os grupos foram divididos em: Infraestrutura e Pessoal (relacionada diretamente com a
segurana fsica), Equipamento e Informao (relacionada com a segurana lgica).
Segurana Fsica: Infraestrutura Segurana Fsica: Pessoal
[R1] [R7]
[R9]
[R2] [R14]
Desafios da SI
para as empresas
[R5] [R8] de software para
[R11] [R18] dispositivos
[R16]
[R10] [R12] mveis
[R17]
[R20] [R19]
[R13] [R15]
[R22]
[R21]
Segurana Lgica: Equipamento Segurana Lgica: Informao
Figura 3.2: Diagrama de Ishikawa aplicado na SI para o GPS para dispositivos mveis
As categorias definidas na Figura 3.2 no seguem nenhum padro estabelecido e sim

formas de identificao de riscos para um melhor gerenciamento no impacto que os mesmos
podem causar s empresas com relao segurana da informao.
Uma anlise mais apurada da Figura 3.2 permite observar que o diagrama foi dividido
em Infraestrutura e Pessoal ao qual est associada diretamente a segurana fsica da empresa.
As categorias Equipamentos e Informao esto relacionadas segurana lgica que
apresentam riscos que impactam diretamente no desenvolvimento do projeto afetando dados e
informaes da empresa.
A Tabela 3.3 apresenta os impactos que os riscos associados ao desenvolvimento de
software para dispositivos mveis afetam na segurana da informao da empresa.
50
Tabela 3.3: Impactos dos riscos a segurana da informao em empresa de desenvolvimento

de software para dispositivos mveis (elaborada pelo autor)
Requisitos de Segurana Riscos Impacto na Segurana da
Informao
As mudanas na
composio da equipe do
projeto impactam no
somente no tempo de
Infraestrutura [R01] concluso do projeto, mas
[R02] tambm na segurana da
informao, pois com a
rotatividade de pessoas
pode fazer com que
informaes importantes do
projeto sejam divulgadas
Fsico indevidamente.
Perda, roubo ou danos nos
dispositivos mveis pelo
uso inadequado, impactam
[R07] diretamente na segurana
Pessoal [R09] da informao, pois
[R14] informaes importantes da
empresa podem estar
contidas no dispositivo.
As mudanas de
tecnologias fazem com que
novas ferramentas e
plataformas de
[R05] desenvolvimento sejam
[R10] adquiridas, com isso
Equipamentos [R11] necessitando de novas
[R12] instalaes de softwares e
[R13] hardwares, no que impacta
[R22] na segurana dos dados,
pois devido a alta demanda
de servios no
desenvolvimento das
aplicaes mveis e
pensando no prazo do
projeto qualquer pessoa
pode realizar instalaes
software e hardware no
Lgico autorizado prejudicando a
segurana das informaes.
[R08] Com a redefinio de

51
[R15] processos organizacionais

Informaes [R16] existentes para o
[R17] desenvolvimento,
[R18] implantao das aplicaes
[R19] mveis, o desempenho e
[R20] testes dos softwares mveis
[R21] podem ser prejudicados
com a presena de
aplicativos maliciosos ou
no autorizados nos
dispositivos mveis
prejudicando a segurana
dos dados gerados na
empresa.
O impacto que esses riscos podem causar empresa irreparvel, neste cenrio a
anlise de riscos, como descrito na Seo 2.7.6 se concentra em ativos, ameaas e
vulnerabilidades. Como apresentados na Tabela 3.3 vrios riscos podem afetar os ativos da
empresa atravs das ameaas e vulnerabilidades burlando a segurana da informao. No
entanto, Tsoumas e Tryfonas (2004) reforam a importncia da automao da gesto da
segurana da informao a fim de dar vazo complexidade e variabilidade dos elementos da
segurana.
3.4. Caractersticas da segurana da informao em

empresas de desenvolvimento de software para
dispositivos mveis
O desenvolvimento de software para dispositivos mveis caracterizado por uma srie de

incertezas e desafios que envolvem desde a concepo das aplicaes e servios (Foukas et al.,
2005 apud Andrade, 2012) at a segurana da informao.
A partir do levantamento bibliogrfico dos autores Andrade (2012), Fontes (2011),
Boulhosa (2011), Wangham (2007), Machado (2007), Souza (2007), Sima (2006) e Fouskas
et al. (2005), dos desafios e riscos que impactam a segurana da informao envolvendo os
requisitos fsicos e lgicos de segurana da empresa com adoo de e uso de tecnologias
mveis e de desenvolvimento de software para dispositivos mveis fez-se necessrio realizar
uma pesquisa de campo com o objetivo de identificar e ratificar evidncias que
comprovassem os relatos e estudos da literatura sobre os desafios e riscos sob a tica
gerencial da segurana da informao no desenvolvimento de aplicaes mveis.
52
Para o desenvolvimento da estratgia foram analisados 15 (quinze) documentos de

segurana da informao de empresas do segmento de Tecnologia da Informao (TI). Na
solicitao do documento foi informado que o nome da empresa sigiloso. As 15 empresas
esto distribudas em quatro segmentos de TI conforme apresentado na figura 3.3.
Figura 3.3: Percentual das organizaes pesquisadas por segmento de negcios

A anlise foi realizada para verificar os tpicos triviais que as empresas tratam com relao
poltica de segurana e identificar as diferenas dos documentos.
No entanto, a anlise foi dividida entre as empresas do segmento de desenvolvimento
de software para dispositivos mveis e demais empresas do setor de TI, podendo realizar uma
anlise mais apurada dos requisitos e controles abordados nos documentos de segurana das
empresas dos dois segmentos.
Todas as empresas analisadas esto no mercado h mais de 10 anos e possui um
documento de segurana pelo menos h cinco anos, o que fortalece a pesquisa para uma
melhor anlise para desenvolvimento de uma estratgia para empresas de desenvolvimento de
software para dispositivos mveis.
Uma resposta interessante em todas as empresas pesquisadas foi o fato de tomarem
como base a Norma ISO 27002. Tal fato refora o estudo em questo, uma vez que essa
norma foi tomada como base para anlise dos controles da estratgia de segurana da
informao apresentada neste trabalho.
53
3.5. Anlise dos controles dos documentos de segurana

da informao
Conforme descrito na seo 2.9.2 deste trabalho, a norma ISO 27002 define 133 controles
para gesto de segurana da informao.
Para anlise e definio da estratgia foi definido que um controle seria referenciado
quando fosse citado pelo menos por 60% das empresas. As empresas foram divididas em dois
segmentos: Segmento 1, no qual so as empresas de desenvolvimento de software do
contexto mvel, totalizando trs empresas e Segmento 2, ao qual so classificadas as
empresas do segmento de desenvolvimento de software no contexto clssico,
desenvolvimento de software para web e empresas de suporte e manuteno no total de 12
empresas.
Os controles foram classificados por lgico e fsico. A Tabela 3.4 apresenta os
controles da norma e a sua referncia pelas empresas quanto do documento de segurana da
informao do segmento software no contexto mvel.
Tabela 3.4: Classificao dos controles das empresas do Segmento 1
Controles em comum dos Percentual de Controle referente a
documentos de segurana empresas norma ISO 27002
Requisitos fsicos
Proteo do prdio 100% Segurana fsica e do
ambiente
Monitoramento de entradas de 66% Segurana fsica e do
pessoas na empresa ambiente
Proteo da infraestrutura 100% Gesto da continuidade do
negcio
Perda do dispositivo mvel 66% Classificao e controle dos
ativos de informao
Requisitos lgicos
Cpias de segurana 100% Controle de acesso
Monitoramento de uso de 66% Segurana fsica e do
softwares ambiente
Instalao de hardware e 66% Segurana fsica e do
softwares no autorizados ambiente
Uso de dispositivos portteis e 100% Classificao e controle dos
mveis ativos de informao
Testes e simulaes nos 100% Segurana fsica e do
dispositivos mveis ambiente
Acesso rede para uso de 66% Segurana fsica e do
dispositivos mveis ambiente
54
Conscientizao e treinamento 66% Poltica organizacional

Uso de e-mail pessoal e 100% Gerenciamento de
corporativo operaes e comunicaes
Uso de softwares de 100% Gerenciamento de
comunicao operaes e comunicaes
Segurana da rede 100% Gerenciamento de
operaes e comunicaes
Transporte das informaes 66% Gerenciamento de
Controle de senha 100% Controle de acesso
Para uma anlise mais apurada dos dados, a tabela 3.5 apresenta os controles
utilizados pelas empresas quanto do documento de segurana da informao das empresas do
Segmento 2 .
Tabela 3.5: Classificao dos controles das empresas do Segmento 2
Controles em comum dos Percentual de Controle
documentos de segurana empresas referente a norma ISO
27002
Requisitos fsicos
Proteo da infraestrutura 100% Segurana fsica e do
ambiente
Proteo de equipamento 100% Segurana fsica e do
ambiente
Controle de entrada e sada de 100% Gesto de continuidade do
pessoas na empresa negcio
Requisitos lgicos
Cpias de segurana 100% Controle de acesso
Treinamento 70% Controle de acesso
Uso de softwares de 80% Segurana fsica e do
comunicao ambiente
Autenticao e senha 90% Poltica organizacional
Combate a vrus 100% Gerenciamento de
Controle do sistema 100% Gerenciamento de
(documentao) operaes e comunicaes
Observa-se que as empresas do Segmento 1 adotou caractersticas especficas dos

controles de segurana da informao com relao s empresas do Segmento 2. Na Tabela
3.6 possvel analisar a veracidade das proposies definidas no plano do levantamento
exploratrio.
55
Tabela 3.6: Controles comum e especfico das empresas de desenvolvimento do Segmento

1 e Segmento 2
Controles para segurana da informao
Proteo da infraestrutura
Monitoramento de entrada e sada de
pessoas
Comum (contexto clssico e mvel) Cpias de segurana
Treinamento
Uso de softwares de comunicao
Controle de senha
Monitoramento de uso de softwares
Uso de dispositivos portteis e
mveis
Acesso rede para uso de
dispositivos mveis
Uso de e-mail pessoal e corporativo
Especfico (contexto mvel) Segurana da rede
Transmisso das informaes
Testes e simulaes nos dispositivos
mveis
A Tabela 3.6 apresenta os controles similares entre os documentos de segurana da

informao das empresas, no item Comum (Segmento 1 e Segmento 2) e os controles
especficos das empresas do contexto mvel, podendo verificar as diferenas de alguns
requisitos de segurana entre as empresas. Alm dos controles analisados, todos os
documentos apresentam os seguintes requisitos: apresentao, objetivos, abrangncia da
norma, regras gerais do documento e gerenciamento dos riscos, inventrio dos ativos, as
penalidades (caso do no cumprimento das regras), divulgao do documento de segurana e
plano de continuidade do negcio, no qual so requisitos importantes e bsicos para
formulao de um documento de segurana.
No entanto, um fato interessante que os documentos foram desenvolvidos, mas no
h um acompanhamento das regras e procedimentos estabelecidos, pois no existe um comit
especifico para a segurana da informao. Esse fato ocorre em todas as empresas
pesquisadas nos dois segmentos.
Nas empresas do Segmento 1 um fato importante que o documento foi divulgado
apenas uma vez e no existe atualizao do mesmo. Ou seja, poucas pessoas tem
conhecimento das regras e procedimentos de segurana, o que resulta nos problemas que
foram abordados pelas empresas classificados na Tabela 3.7.
56
Tabela 3.7: Problemas enfrentados pelas empresas

# Problemas Descrio
Acesso restrito em reas No existe restrio ao acesso de pessoas em
[P1] crticas das empresas reas crticas da empresa, ou seja, todos tem
acesso a todos os setores, o que impacta
diretamente na segurana de dados e
informaes.
No existe o controle do uso dos dispositivos
mveis na empresa, j que a empresa utiliza os
mesmos para uso especfico, nos quais so
[P2] Uso de dispositivos mveis realizados testes e simulaes das aplicaes,
no entanto, o uso particular no controlado,
assim esses aparelhos ficam interligados
diretamente na rede da empresa.
O uso de emails dentro da empresa
totalmente livre, todos utilizam seus emails
[P3] Uso de emails
pessoais para enviar e receber informaes
importantes da empresa.
Todos tm acesso diretamente instalao de
software e hardware, caso algum necessite de
[P4] Instalao de software e
algum aplicativo a instalao realizada sem
hardware nenhuma restrio, o que est afetando os
equipamentos com relao segurana.
No existe controle de acesso a softwares,
sistemas e internet. Assim o uso dessas
[P5] Acesso a redes sociais
aplicaes livre, o que est causando srios
problemas com relao divulgao de
informaes importantes da empresa.
Compartilhamento de dados e A rede da empresa aberta, onde dados e
[P6] informaes na rede informaes so trafegadas com facilidade,
tanto informaes da empresa e pessoal.
A tabela 3.7 apresentou os problemas expostos de forma geral pelas empresas do

Segmento 1, no entanto nem todos os problemas foram abordados por todas as empresas.
O problema [P1] Acesso restrito em reas crticas da empresa foi destacado por duas
empresas, os problemas [P2] Uso de dispositivos mveis, [P3] Uso de emails, [P4]
Instalao de software e hardware e [P5] Acesso a redes sociais foram abordados pelas
trs empresas, no qual as mesmas ressaltam que existe uma dificuldade grande com relao ao
controle dos problemas [P2], [P3] e [P4], uma vez que a atualizao e acesso a dados
acontecem constantemente e controlar o uso de email, a instalao a software e acesso aos
dispositivos mveis podem atrasar as atividades do projeto. Por fim, o problema [P6] foi
destacado por uma empresa, em que a mesma teve prejuzos com sadas de informaes
57
indevidas da empresa por meio da rede.

Pode-se observar que as empresas adotaram o documento de segurana, no entanto,
esto enfrentando dificuldades na aplicao do mesmo.
Neste cenrio, essencial o desenvolvimento de uma estratgia de segurana da
informao para suprir as deficincias de segurana enfrentadas pelas empresas de
desenvolvimento de software para dispositivos mveis, uma vez que uma tecnologia que
vem crescendo constantemente aumentando os riscos e desafios para a empresa. Mas, se
existir um documento que apresente tcnicas e procedimentos de segurana, abordando
requisitos de proteo, o impacto negativos dos riscos podem ser menores.
3.6. Consideraes finais
A segurana da informao em empresas de desenvolvimento de software para

dispositivos mveis exige uma ateno em alguns pontos em especfico, tais como, a
identificao e ocorrncia de riscos e maior preciso no planejamento da poltica de segurana
da informao. Esses pontos permitem conduzir a segurana das informaes com maior
eficcia, no somente em alguns ativos e sim em todos ativos da empresa desde a
infraestrutura at o desenvolvimento final do software.
Da compreenso desses contedos, possvel observar diferentes problemas
abordados nas empresas do contexto clssico e mvel. Este captulo apresentou alguns dos
principais riscos e desafios da segurana da informao encontrados em empresas de
desenvolvimento de software para dispositivos mveis e foi baseado na literatura com
anlises de documentos de segurana da informao de empresas.
58
Captulo
4
Estratgia de Implantao de
Segurana da Informao
Com os riscos e desafios da segurana da informao em empresas de desenvolvimento de

software para dispositivos mveis, a estratgia proposta nesta dissertao tem como objetivo
orientar o processo de implantao de uma estratgia de segurana da informao em um
ambiente organizacional de desenvolvimento de software para dispositivos mveis abordando
elementos de segurana envolvendo ativos fsicos e lgicos da empresa. Tal estratgia
baseada nos requisitos e controles das normas ISO 27001, ISO 27002 e anlise de
documentos de segurana da informao de empresas do setor de TI.
As duas normas apresentam requistos de segurana para todo tipo de empresa, no
entanto, os requisitos e controles utilizados para a proposta desta dissertao foram
implementados com base nas caractersticas e desafios das empresas de aplicaes mveis
descritas no Captulo 3.
Conforme descrito nas sees 2.9.1 e 2.9.2, as Normas ISO no citam quais linhas de
trabalho devem ser adotadas. Apenas apresenta requisitos e controles para que uma
organizao possa estruturar um SGSI. Portanto com o crescimento da tecnologia mvel, em
que empresas de desenvolvimento de software esto adotando essa tecnologia com o intuito
de suprir a alta demanda vinda dos usurios, elaborou-se uma estratgia com o objetivo de
proporcionar um mtodo lgico para implantar segurana da informao em empresas de
desenvolvimento de software para aplicaes mveis cuidando da infraestrutura da empresa e
do ciclo de vida do projeto. Na Figura 4.1 apresenta-se a estratgia proposta para implantao
da segurana da informao em empresas de desenvolvimento de software para aplicaes
mveis.
59
Etapas da estratgia de segurana da informao em empresas de

desenvolvimento de software para aplicaes mveis
Conhecimento da norma ISO 27001

1 Etapa
Definio do escopo do projeto

2 Etapa
Elaborao do comit do SGSI

3 Etapa
Gerencimanto de risco
4 Etapa
Desenvolvimento e treinamento
5 Etapa
Plano de continuidade do negcio

6 Etapa
Figura 4.1: Estratgia de segurana da informao

60
Nas sees a seguir so descritas as etapas da estratgia apresentado na Figura 4.1 de forma
detalhada.
4.2. Contribuio das normas ISO 27001 e ISO 27002 para a

estratgia proposta
Para o desenvolvimento da estratgia de segurana da informao as normas ISO 27001 e ISO

27002 foram fundamentais. As mesmas apresentam requistos de segurana para todo tipo de
empresa, no entanto, cada organizao deve identificar quais as sees aplicveis.
Os requisitos e controles utilizados para a proposta desta dissertao foram
implementados com base nas caractersticas e desafios das empresas de aplicaes mveis
descritas no Captulo 3.
4.3. Incio do Projeto de Segurana
A estratgia de segurana da informao estar associada a todos colaboradores da empresa.
1 Etapa: Conhecimento da norma ISO 27001

A fase de conhecimento da norma ISO 27001 deve ocorrer no incio do projeto, para
compreenso dos requisitos necessrios de segurana do ambiente, na qual dever ser
realizados pelo gerente de segurana com a leitura dos requisitos 01, 02 e 03 detalhados no
anexo A.
Primeiramente realizada a anlise do requisito 01 do escopo, no qual definido o
comit gestor de segurana da informao (SGSI).
No requisito 02 apresentada a norma ISO 27002 que contm as melhores prticas
adotadas para segurana da informao.
No requisito 03 tm os termos e definies relacionados segurana da informao,
por exemplo, a definio de ameaas, vulnerabilidades entre outros, como apresentado no
Captulo 2 desta dissertao. Aps a leitura do Requisito 03 possvel realizar a leitura dos
prximos requisitos e implantar a estratgia de segurana em empresa de desenvolvimento de
61
2 Etapa: Definio do escopo

De acordo com PMBOK (2008) o escopo do projeto composto dos processos, conforme
apresentado na Figura 4.2, para garantir que o projeto inclua todo o trabalho exigido, e
somente o trabalho exigido, para completar o projeto com sucesso. A definio do escopo se
segue ao entendimento dos objetivos do projeto, dos resultados esperados e descrio
sumria do trabalho a ser realizado.
Criar Controle
Planejamento Definio Verificao
do
do escopo do escopo EAP do escopo
escopo
Figura 4.2: Processos para definio do escopo
A etapa do escopo da estratgia ocorre aps a conhecimento da norma ISO 27001. neste
momento em que se determina a viabilidade do projeto, com base nos processos apresentados
na Figura 4.2.
Planejamento do escopo: Criao de um plano de gerenciamento do escopo que documenta
como o escopo do projeto ser definido, verificado e controlado e como a estrutura analtica
do projeto (EAP) ser criada e definida.
Nesta fase so realizadas estimativas iniciais de custo, alocao de pessoal,
cronograma, objetivos e metas abrangendo duas etapas:
Diagnstico da situao atual: verifica-se a existncia de alguma poltica de
Segurana da Informao, aproveitando-se de controles j implementados.
Planejamento do SGSI e preparao para a sua implantao: nesta etapa,
conforme as normas ISO/IEC 27001 e ISO/IEC 27002 recomenda-se a formao
do comit responsvel pela implantao do SGSI na organizao.
Definio do escopo: Desenvolvimento de uma declarao do escopo detalhada do projeto
como a base para futuras decises do projeto. Inclui tambm o levantamento dos ativos que
62
sero envolvidos, tais como: Equipamentos; Sistemas; Nome da organizao; Estrutura de

comunicao (Internet, correio eletrnico); Pessoas; Servios; Infraestrutura de rede interna e
externa e Classificao da informao.
Criar EAP: Criao da Estrutura Analtica do Projeto decomposio hierrquica orientada
entrega do trabalho a ser executado pela equipe do projeto para atingir os seus objetivos e
criar as entregas necessrias.
Verificao do escopo: A verificao do escopo o processo de obter o aceite formal do
escopo do projeto pelas partes envolvidas (patrocinador, cliente, etc). Isto exige uma reviso
dos produtos e resultados do trabalho para garantir que tudo foi completado correta e
satisfatoriamente.
Controle do escopo: O controle do escopo consiste em (a) influenciar os fatores que criam
mudanas no escopo para garantir que as mudanas sejam discutidas e combinadas (b)
determinar que uma mudana no escopo ocorreu, e (c) gerenciar as mudanas efetivas quando
ocorrerem. O controle das mudanas do escopo deve se integrar aos demais processos de
controle (controle de prazo, controle de custo, controle de qualidade).
Para definio do escopo da estratgia de segurana foram abordados e classificados
requisitos analisados dos documentos de segurana da informao e das literaturas estudadas.
Dentre os autores destaca-se: Fontes (2011) e Souza (2007).
Requisitos para definio do escopo

a) Custo: Implantao da norma ISO 27001;
b) Prazo para implantao da norma;
c) Descrio de atribuio a clientes, colaboradores, fornecedores incluindo termos de
responsabilidade e acordos confidencialidades;
d) Elaborao da poltica de segurana da informao, caracterizada pelo conjunto de
princpios e valores estruturais, nos quais a empresa explicita os seus propsitos,
traduzidos em regras especficas para proteger as informaes que so de sua
propriedade ou que esto sob sua responsabilidade;
e) Classificao de ativos de software utilizados como programas fontes, ferramentas
de apoio ao desenvolvimento;
f) Definio de equipamentos de Tecnologia da Informao que devero dar suporte
Poltica que esto relacionados com os equipamentos computacionais (computadores
de grande porte, microcomputadores, notebooks, etc.), equipamentos de comunicao
63
(roteadores, modens, switchs, etc.), dispositivos de entrada e sada (discos,

impressoras, etc.);
g) Levantamento da estrutura de comunicao como ferramentas de conversao
instantnea;
h) Classificao das pessoas envolvidas na empresa como direo, gerentes,
colaboradores dos setores da empresa;
i) Definio de servios realizados pela empresa que so as atividades desenvolvidas;
j) Levantamento da infraestrutura de equipamentos como no-breaks, geradores de
eletricidade alternativa, quadros eltricos, equipamentos de refrigerao, etc.
3 Etapa: Elaborao do comit do SGSI

Nesta fase com a aprovao da direo possvel implementar o SGSI com os responsveis
de cada setor da empresa, ficando a cargo do Gerente de Segurana da Informao e do
Analista de RH (Recursos Humanos) a responsabilidade de organizar o comit gestor de
segurana da informao. A figura 4.3 apresenta os principais critrios que faro parte da
elaborao do SGSI.
SGSI
Fatores Fatores Avaliao de

Participantes legais contratuais riscos aos
da empresa da empresa negcios
Objetivos Responsabilidades Limites
Figura 4.3: Critrios para elaborao do SGSI (adaptado da norma ISO

27001)
a) Participantes do SGSI: o SGSI ser formado por representante de cada setor que so
responsveis pelos seus departamentos na empresa. A participao do departamento
do RH essencial, pois este detm os dados referentes aos colaboradores e, tambm,
responsvel por gerenciar todos os treinamentos internos e externos. Fica a cargo do
64
gerente de segurana da informao o treinamento dos colaboradores, definies de

hardware e software, alm de implantar, configurar e monitorar toda atividade de
troca e armazenamento de informaes da empresa esclarecendo dvidas quanto aos
objetivos, responsabilidades e limites do SGSI.
1. Objetivos do SGSI: o objetivo do SGSI ser um comit aberto a discusses e
voltado ao desenvolvimento contnuo do projeto de segurana da informao.
2. Responsabilidades do SGSI: o SGSI responsvel por divulgar a poltica da
segurana da empresa e pelas auditorias internas.
3. Limites de atuao do SGSI: o SGSI subordinado direo da empresa.
b) Observar fatores legais e contratuais envolvidos nos negcios da empresa: o SGSI
deve respeitar as leis federais, estaduais e municipais, bem como todos os contratos
existentes com seus parceiros.
c) Critrios para avaliao de riscos aos negcios: devem ser desenvolvidos em conjunto
com seus parceiros de negcios, sendo associado s leis e contratos existentes.
d) Para o desenvolvimento do SGSI deve ser adotado o modelo PDCA, discutido na
seo 2.5.2 deste trabalho.
Aps os requisitos apresentados anteriormente apresentado na Figura 4.4 metodologia
do comit gestor de sistema de informao para adoo.
65
Figura 4.4: Metodologia do comit gestor de sistema de informao

Fonte: adaptado de Campos, (2011)
Interaes no SGSI
Para melhor entender a Figura 4.4 so apresentadas as interaes no SGSI:
Gesto de Negcios (GN): processo representado pelos diretores da empresa. So os
patrocinadores do projeto e os membros responsveis por auditar todos os trabalhos do
SGSI aplicando o conceito PDCA.
Gesto de Recursos (GR): este processo composto por dois departamentos:
o Recursos Humanos (RH): responsveis pelos treinamentos, construo das
regras, mediao de conflitos entre setores da empresa;
o Suporte e Manuteno (SM): responsvel pelos treinamentos dos recursos
informatizados (hardware e software) e tambm por manter a infraestrutura.
Responsveis dos Setores: so todos os gerentes, supervisores e encarregados de
todos os setores da empresa que participam do desenvolvimento, aplicao e
multiplicao da poltica de segurana da informao.
Sistema de Gesto de Segurana da Informao: formado por todos os
66
componentes do SGSI. Responsvel por criar, manter e desenvolver a poltica de

4 Etapa: Gerenciamento de Risco

Nesta etapa realizado o diagnstico da segurana para o escopo definido, atravs da
identificao dos ativos de informao envolvidos e do mapeamento de todas as ameaas
relacionadas a estes. Para cada ameaa deve ser determinado o nvel de risco envolvido.
No desenvolvimento da anlise de riscos, a ISO 27005 ocupa um papel importante.
Conforme apresentado na seo 2.7.6, esta norma trata detalhadamente a questo de anlise
de riscos, apresentando diversas opes e estratgias de conduo da anlise de riscos que
podem ser escolhidas em funo do tempo e oramento existente e dos objetivos.
Aps o diagnstico dos riscos, deve-se definir junto alta administrao da empresa,
quais os nveis de risco aceitveis e no aceitveis. Entre os no aceitveis, pode-se escolher
uma entre as seguintes opes:
Reduzir o nvel de risco: atravs da aplicao de controles de segurana.
Aceitar o risco: considerar que ele existe, mas no aplicar qualquer controle.
Transferir o risco: repassar a responsabilidade de segurana a um terceiro, como, por
exemplo, um data center.
Negar o risco: esta a opo menos recomendada.
Trs pontos devem ser levados em considerao quanto ao gerenciamento do risco:
a) O que deve ser protegido;
b) Anlise de risco (contra quem ou contra o que deve ser protegido);
c) Avaliao de riscos (anlise da relao custo/benefcio)
O relatrio de anlise de risco deve conter identificao e classificao de ativos e
processos de negcio, anlise de ameaas e vulnerabilidades, e anlise e parametrizao de
riscos e definio de tratamento dos riscos.
O Gerenciamento de Riscos um processo contnuo, que no termina com a
implementao de uma medida de segurana. Atravs de uma monitorao constante,
possvel identificar quais reas foram bem sucedidas e quais precisam de revises e ajustes.
Nessa etapa estimado o impacto que um determinado risco pode causar ao negcio.
Como praticamente impossvel oferecer proteo total contra todas as ameaas existentes,
preciso identificar os ativos e as vulnerabilidades mais crticas, possibilitando a priorizao
dos esforos e os gastos com segurana. Uma vez que os riscos tenham sido identificados e a
67
organizao definiu quais sero tratados, as medidas de segurana devem ser de fato
implementadas.
Nessa etapa ainda podem ser definidas medidas adicionais de segurana, como os
Planos de Continuidade dos Negcios que visam manter em funcionamento os servios de
misso-crtica, essenciais ao negcio da empresa, em situaes emergenciais e Response
Teams que possibilitam a deteco e avaliao dos riscos em tempo real, permitindo que as
providncias cabveis sejam tomadas rapidamente.
Todo o processo do gerenciamento das reas de risco de segurana da informao,
praticamente desenvolve-se em sete etapas, conforme a Figura 4.5.
1 - Anlise e
2 - Identificao 3 - Anlise dos
atribuio de
dos riscos riscos
valores de ativos
6 - Monitorao
5 - Tratamento dos 4 - Avaliao dos
dos controles para
riscos riscos
minimizar os riscos
7 - Reavaliao
peridica dos
riscos
Figura 4.5: Gerenciamento das reas de risco de segurana da informao
Descrio das etapas do gerenciamento de riscos:

1 - Identificao dos recursos a serem protegidos hardware, rede, software, dados,
informaes pessoais, documentao, suprimentos;
2 - Identificao dos riscos (ameaas) - que podem ser naturais (tempestades, inundaes),
causadas por pessoas (ataques, furtos, vandalismos, erros ou negligncias) ou de qualquer
outro tipo (incndios);
3 - Anlise dos riscos (vulnerabilidades e impactos) - identificar as vulnerabilidades e os
impactos associados;
4 - Avaliao dos riscos (probabilidade de ocorrncia) - levantamento da probabilidade da
ameaa vir a acontecer, estimando o valor do provvel prejuzo. Esta avaliao pode ser feita
com base em informaes histricas ou em tabelas internacionais;
68
5 - Tratamento dos riscos (medidas a serem adotadas) - maneira como lidar com as ameaas.
As principais alternativas so: eliminar o risco, prevenir, limitar ou transferir as perdas ou
aceitar o risco;
6 - Monitorao da eficcia dos controles adotados para minimizar os riscos identificados;
7 - Reavaliao peridica dos riscos em intervalos de tempo no superiores a 6 (seis) meses;
Com a interpretao da norma ISO 27002 base nos riscos identificados pelas empresas
em seus documentos de segurana da informao e em literaturas, foi possvel realizar o
levantamento dos riscos que impactam a segurana da informao em um ambiente de
desenvolvimento de software para dispositivos mveis conforme apresentado na tabela 4.1.
Tabela 4.1: Riscos identificados com impacto a SI em empresas de desenvolvimento de

Risco Descrio Impacto segurana da
informao
[R-A] Perda ou roubo do dispositivo mvel Exposio de dados sigilosos ou
aplicaes estratgicas da empresa;
[R-B] Acesso indevido rede da empresa para uso Acesso a informaes da empresa
de dispositivos mveis
[R-C] Mau uso dos dispositivos mveis nas Prejudicando testes e simulaes
aplicaes da empresa das aplicaes
[R-D] Instalao de software no autorizado em Expor informaes dos resultados
dispositivos mveis da empresa dos testes das aplicaes
[R-E] Interdies ou interrupes de servios Vulnerabilidade das informaes
essenciais atravs do acesso rede da atravs do mau uso de
empresa principalmente de equipamentos
mveis e portteis
[R-F] Acesso empresa de pessoas sem Acesso a informaes indevidas
identificao
[R-G] Omisso, erro, negligncia, imprudncia, Revelao de informaes
impercia, sabotagem e perda de sensveis.
conhecimento de pessoas devido nova
tecnologia.
[R-H] Assdio dos recursos humanos pela Rotatividade de pessoal, com
concorrncia devido a falta de mo de obra acesso a informaes da empresa
qualificada
5 Etapa: Desenvolvimento e Treinamento do Documento

de Segurana
Para o desenvolvimento do documento de segurana da informao dois requisitos so

abordados:
Requisitos de Segurana Lgica e;
69
Requisitos de Segurana Fsica.

Para definio dos requisitos de segurana lgica so considerados os ativos de dados,
informaes, acesso, restrio. J para a definio dos requisitos fsicos os ativos como
infraestrutura e pessoal so abordados.
Aps o desenvolvimento do documento de segurana, o mesmo deve ser publicado
para todos os colaboradores da empresa, bem como realizar treinamento identificando todos
os itens abordados. Para definio dos requisitos fsicos e lgicos de segurana da
informao, foram consideradas as bases da estratgia de segurana apresentada no captulo 3.
Requisitos de segurana do ambiente fsico

a) reas de Segurana:
Dever ser estabelecido o permetro fsico do prdio da empresa, identificando todas
as suas fronteiras e identificados todos os pontos de acesso.
b) Controle de entrada e sada de pessoas:
Devem ser classificadas todas as reas do prdio da empresa para acesso, quanto
criticidade alta criticidade, mdia criticidade, baixa criticidade e sem criticidade e
quanto restrio alta restrio, mdia restrio, baixa restrio e sem restrio;
Devem ser criados mecanismos para identificao e controle de acesso de pessoas que
no sejam funcionrios, s instalaes da empresa, indicando quem teve acesso, data e
hora e quem autorizou o acesso;
Os funcionrios tero seu controle de acesso atravs do registro de ponto eletrnico,
que dever ser disponibilizado nas portarias de acesso. Todos devero registrar a
entrada e sada, mesmo os liberados do controle de ponto.
Devem ser criados mecanismos especiais que protejam o acesso aos locais
considerados de alta restrio.
c) Autonomia do departamento de Suporte e Manuteno (SM):
O departamento de SM possui total autonomia para atuar sobre os equipamentos da
empresa, sem prvio aviso, no que se refere aos seguintes tpicos:
Realizao de auditoria local ou remota em dispositivos mveis e desktop;
Definio de perfis de usurios cujos privilgios no permitam a realizao de
atividades tidas como prejudiciais ao hardware e software ou rede com um todo;
A instalao e configurao de softwares de monitoramento em dispositivos
mveis e desktop;
70
A desinstalao de quaisquer softwares considerados prejudiciais rede

principalmente nos dispositivos mveis;
Credenciamento e descredenciamento de usurios.
d) Proteo do prdio, equipamentos e infraestrutura:

As instalaes prediais devem ser seguradas, pelo menos contra incndio;
O cabeamento eltrico, que alimenta e interliga os vrios equipamentos, deve ser
protegido de forma adequada;
Dever ser instalado um sistema de no-break, que alimente pelo menos os
equipamentos e os locais considerados crticos;
Devem ser criados mecanismos de proteo e combate a incndio, principalmente em
locais considerados crticos;
Os equipamentos, principalmente os considerados crticos, devem estar instalados em
reas protegidas de acesso;
Segurana Lgica
a) Documentao dos procedimentos de operao:
Todos os sistemas, que estiverem em desenvolvimento devero estar com a
documentao atualizada.
b) Ambiente Operacional:
Todos os equipamentos de infraestrutura, interligaes das redes, interligaes de
hardware de grande porte, software bsicos, de apoio e plataformas mveis devero
manter uma documentao necessria e suficiente, que possibilite a qualquer tcnico
habilitado entend-la, visando a manutenes preventivas, corretivas e evolutivas, no
ambiente operacional.
c) Gerenciamento e controle de mudanas:

Qualquer mudana no ambiente de desenvolvimento mvel, seja ela de infraestrutura,
hardware, comunicaes, softwares bsicos, softwares de apoio ao desenvolvimento
das aplicaes mveis, plataformas mveis, procedimentos etc., dever ser planejada
e documentada com no mnimo as seguintes informaes: a descrio da mudana, os
71
responsveis por ela, a data e hora da execuo, o tempo previsto, o impacto potencial
e um plano de recuperao em caso de insucesso e aprovada pela Direo da empresa.
Para mudanas em regime de emergncia devido s atualizaes da tecnologia mvel,
os procedimentos continuaro a serem os mesmos, porm, podero ser executadas,
com a aprovao da Direo, e documentadas logo aps a soluo do problema.
d) Gerenciamento e controle de problemas:
Quaisquer problemas que ocorram no ambiente operacional sejam eles de
infraestrutura, hardware, equipamentos mveis e de comunicao de dados, software e
sistemas aplicativos mveis, devem ser registrados com, no mnimo, as seguintes
informaes: a descrio do problema, a data e hora da ocorrncia do mesmo, a
identificao de quem o registrou e de quem foi acionado para solucion-lo, as
consequncias do problema, a data e a hora da soluo, identificao de quem o
solucionou e a descrio da soluo adotada.
e) Diretrizes quanto utilizao da internet
Implantao de um sistema de rede estruturado em Cliente / Servidor, um sistema de
Proxy fazendo todo o bloqueio e monitoramento dos acessos a sites.
A internet deve ser utilizada para fins corporativos, o enriquecimento intelectual de
seus colaboradores ou como ferramenta para busca de informaes de novos conceitos
devido a atualizao rpida da tecnologia mvel onde venham contribuir para o
desenvolvimento de seus trabalhos.
Fica vedada a utilizao de e-mail pessoal na empresa, podendo somente ser utilizado
o e-mail corporativo.
Quanto utilizao das redes sociais ser permitido apenas para o setor responsvel
pelo marketing, somente para fins de divulgao da empresa, ficando proibido para
uso pessoal.
O uso do dispositivo mvel s permitido para fins de teste e simulaes das
aplicaes da empresa.
f) E-mail corporativo:
Desconfiar de todos os e-mails com assuntos estranhos ao ambiente de trabalho.
No reenviar e-mails do tipo corrente, aviso de vrus, propagandas de empresas, entre
outros.
No utilizar o e-mail corporativo para fins pessoais.
72
g) A realizao de download:
A realizao de downloads deve ser vista com muito cuidado e feita somente em casos
de extrema necessidade para uso da empresa.
A realizao de download exige banda de navegao do servidor e, se realizado em
demasia, congestiona o trfego e torna a navegao para os demais usurios mais
demorada principalmente para as simulaes e testes das aplicaes. Alm disso,
dever ser limitada para arquivos grandes, pois podem congestionar o fluxo e
comprometer os sistemas que funcionam on-line.
h) Execuo de jogos e rdios on-line

proibida a execuo de jogos, msicas ou rdios on-line, visto que esta prtica
congestiona a banda de internet, dificultando a execuo de servios que necessitam
deste recurso, j que as aplicaes so simuladas com uso da internet.
i) Senhas de acesso
Cada setor dever, atravs de comunicado oficial, indicar novos colaboradores e o
perfil que devem possuir na rede e nos sistemas da empresa.
A senha de acesso pessoal, intransfervel, cabendo ao seu titular total
responsabilidade quanto ao seu sigilo.
O compartilhamento de senhas de acesso proibido e o titular que divulgar sua senha
a outrem responder pelas infraes por esse cometidas, estando passvel de
advertncia.
Caso o usurio desconfie que sua senha no seja mais segura, poder solicitar ao
departamento de SM a alterao desta.
A senha para uso dos aplicativos mveis da empresa dever ser autorizada pelo
departamento de SM.
j) Controle de Instant Messenger:

proibido aos setores o uso de software de mensagem instantnea nos equipamentos
de dispositivos mveis, portteis ou desktop, que no forem autorizados pela empresa,
ou que o uso no seja para fins da empresa.
73
k) A instalao de software:
Qualquer software que, por necessidade do servio, necessitar ser instalado, dever ser
comunicado ao departamento de SM, que proceder a instalao caso constate a
necessidade do mesmo tanto nos dispositivos mveis com em desktop.
Fica proibida a instalao de qualquer software sem licena de uso.
O departamento de SM poder utilizar de sua autonomia para desinstalar, sem aviso
prvio, todo e qualquer software sem licena de uso, em atendimento lei do software
(Lei 9.609/98).
l) Acesso ao telefone:
A utilizao dos telefones da empresa ser restrita ao desempenho das atividades
laborais dos funcionrios.
No ser permitido o uso dos dispositivos mveis para realizao de ligaes tanto
pessoal como para fins da empresa.
Os dispositivos mveis sero para uso de teste e simulaes das aplicaes da
empresa.
m) Penalidades:
O usurio que infringir qualquer uma das diretrizes de segurana expostas neste
instrumento estar passvel das seguintes penalidades (sem prvio aviso):
Perda da senha de acesso aos sistemas de internet;
Cancelamento do e-mail corporativo;
Advertncia formal por intermdio do departamento de RH podendo levar
inclusive a demisso do colaborador.
n) Equipe de segurana da informao:

Os colaboradores relacionados a seguir so diretamente responsveis pela implantao da
poltica:
Gerente de Segurana da Informao,
Responsvel de cada setor.
o) Divulgao e treinamento:
O documento de segurana deve ser divulgado por intermdio de treinamento aos
74
colaboradores, clientes e fornecedores, podendo ainda ser divulgada por e-mail

corporativo, mural ou jornal interno.
p) Vigncia e validade:
O documento passa a vigorar a partir da data de sua homologao e publicao, sendo
vlida por tempo indeterminado podendo ser alterada conforme necessidades
previamente detectadas.
6 Etapa: Plano de continuidade de negcio

Com o objetivo de manter em funcionamento os servios e processos crticos da empresa, na
eventualidade da ocorrncia de desastres, atentados e falhas, devem ser preparados planos de
continuidade.
Para cada situao, deve existir um plano de continuidade, contendo no mnimo as
seguintes informaes:
Anlise Qualitativa e Quantitativa de Riscos: consiste em avaliar a probabilidade
(Baixo, Mdio, e Alto) e o impacto (insignificante, tolervel, srio e catastrfico) dos
riscos, de modo a priorizar seus efeitos sobre os objetivos do projeto.
Segundo (Crouhy, et. al 2004 apud Fernandes, et. al 2011) possvel considerar a
existncia de duas abordagens de mensurao de riscos, a qualitativa e a quantitativa. Em
ambas, a mensurao definida a partir do conhecimento das variveis frequncia (ou
probabilidade de ocorrncia) e severidade (ou impacto financeiro), associadas aos eventos
de perdas identificados nos processos das empresas. Pela abordagem qualitativa, o nvel
de risco avaliado a partir da atribuio de critrios de classificao frequncia e
severidade, enquanto que pela abordagem quantitativa o risco avaliado por modelos
probabilsticos (Jorion, 2003).
Data de elaborao do plano;
Data de atualizao do plano;
Data do ltimo teste do plano;
Fator desencadeador de ao;
Equipe que elaborou o plano, quais as pessoas que o executaro e seus substitutos
imediatos e os procedimentos para execuo dos mesmos.
75
No entanto, o plano de continuidade deve ser elaborado pelo SGSI. O Apndice A

apresenta o modelo proposto para elaborao do plano de continuidade do negcio da
empresa.
Levando em considerao os riscos e problemas identificados em empresas de
desenvolvimento de software para dispositivos mveis apresentados nas tabelas 3.1, 3.3 e 3.7,
sugerem-se planos para, no mnimo, as seguintes situaes de contingenciamento conforme a
Tabela 4.2.
Tabela 4.2: Situaes de contingenciamento
Planos Contingenciamento Justificativa
[P-1] Perda ou roubo de dispositivos mveis ou Armazenamento de informaes,
portteis da empresa testes e simulaes so realizados
diariamente.
[P-2] Perda de equipamentos de grande porte Grande armazenamento de
servidores de redes e arquivos. informaes importantes da
empresa.
[P-3] Parada de softwares, plataformas de Alta demanda de aplicaes
desenvolvimento, aplicativos, simulao e devido ao nmero elevado de
testes das aplicaes mveis. dispositivos mveis no mercado.
[P-4] Rotatividade da equipe de desenvolvimento Falta de mo de obra qualificada
[P-5] Perda total do prdio Recursos e ativos da empresa
esto armazenados em nico
lugar.
Todo pessoal envolvido com o Plano de Continuidade do Negcio deve receber um

treinamento especfico para poder enfrentar os incidentes abordados na Tabela 4.1.
Nos documentos analisados das empresas de desenvolvimento de software para
dispositivos mveis pouco se aborda sobre o plano de continuidade do negcio, no qual
refora ainda mais a implantao da estratgia proposta.
Os planos destacados na tabela 4.1 contribuem para o gerenciamento dos riscos que
podem ser enfrentados pelas empresas, no entanto, cada empresa do contexto mvel deve
analisar cuidadosamente suas particularidades. No entanto, com base nas empresas analisadas
pode-se observar a necessidade mnima de implantao dos planos citados.
A estratgia de segurana da informao proposta constitui-se de seis etapas que se

resumem em: Conhecimento da norma ISO 27001, definio do escopo do projeto, elaborao
76
do comit do SGSI, gerenciamento de risco, desenvolvimento e treinamento do documento de

segurana da informao e gesto de continuidade do negcio.
Cada uma dessas etapas prope soluo para problemas de segurana da informao
enfrentados por empresas de desenvolvimento de software para aplicaes mveis com
aplicaes de algumas prticas relacionadas aos requisitos fsicos e lgicos podendo auxiliar
essas empresas em seus projetos e atividades dirias, minimizando os impactos negativos dos
riscos.
77
Captulo
5
Avaliao da estratgia proposta
A avaliao da estratgia de segurana da informao em empresas de desenvolvimento de

software para dispositivos mveis, conforme apresentado na metodologia de desenvolvimento
(Captulo 1), utilizou-se da Engenharia de Software Experimental com base no trabalho de
Mafra e Travassos (2006).
Com a identificao e o controle parcial das variveis da pesquisa e a interao do
grupo de avaliadores com a estratgia proposta, o estudo caracteriza-se como quasi
experimental in virtuo.
Esta avaliao tem por objetivo justificar as estratgias de segurana da informao
em empresas de desenvolvimento de software para dispositivos mveis. No do mrito deste
estudo provar a eficcia prtica da estratgia, mas sim, verificar se a estratgia amplia o
conhecimento da modalidade de segurana da informao em empresas desenvolvimento de
software para dispositivos mveis e passvel de ser aplicada e produzir resultados positivos.
5.2. Organizao da avaliao da estratgia de SI em

empresas de desenvolvimento de software para
dispositivos mveis
A organizao da avaliao baseou-se no trabalho de Mafra e Travassos (2006), o qual

apresenta a formatao apresentada na Figura 5.1.
78
Figura 5.1: Etapas do processo da avaliao da estratgia proposta
Etapas da formatao da avaliao:

Definio: trata do propsito do estudo experimental para avaliar a estratgia;
Planejamento e avaliao: abordam a especificao e as tcnicas aplicadas na
avaliao;
Execuo: refere-se conduo do experimento;
Anlise e interpretao: envolvem estatstica descritiva e a interpretao dos dados
para validar ou refutar as hipteses definidas no planejamento.
5.3. Definio da avaliao
Analisar a estratgia de segurana da informao em empresas de desenvolvimento de

software para dispositivos mveis com o propsito de avaliar as bases e prticas definidas
dentro das organizaes que desenvolvem software para negcios mveis a partir do ponto de
vista dos gestores da rea de segurana da informao.
5.3.1. Objetivo geral da avaliao
Verificar a capacidade da estratgia de produzir efeitos positivos dentro das empresas que
desenvolvem software para dispositivos mveis.
5.3.2. Objetivos especficos da avaliao
Verificar se as regras, normas e procedimentos de segurana da informao tratadas na

estratgia de SI em empresas de desenvolvimento de software para dispositivos mveis so
consideradas crticas;
Verificar se a estratgia de SI em empresas de desenvolvimento de software para

dispositivos mveis capaz de mitigar os riscos e desafios, apresentados no terceiro captulo,
relacionados segurana da informao.
79
Verificar o grau de aplicabilidade da estratgia sob o vis dos gestores de segurana da

informao.
5.3.3. Questes da avaliao
Q1: Os elementos apresentados so suficientes para elaborar uma estratgia de segurana da

informao em empresas de desenvolvimento de software para dispositivos mveis?
Mtrica: As bases dos elementos da estratgia.
Q2: A estratgia possui aplicabilidade nas atividades desenvolvidas pelas empresas de

desenvolvimento de software para dispositivos mveis?
Mtrica: As estratgias de riscos.
Q3: A estratgia capaz de produzir resultados eficientes em contextos de desenvolvimento de

software para dispositivos mveis?
Mtrica: A eficincia da estratgia.
5.4. Planejamento e avaliao
Esta etapa prepara a aplicao e conduo do mtodo da engenharia experimental por meio da
seleo e justificativa do contexto e dos participantes, da definio das hipteses e do projeto
e instrumento do estudo.
5.4.1. Seleo do contexto e dos participantes
A estratgia de segurana da informao em empresas de desenvolvimento de software para

dispositivos mveis se props a resolver problemas reais produzidos pelos riscos e desafios
existentes em contexto de desenvolvimento de software mvel. O contexto da avaliao off-line,
ou seja, no foi aplicado na indstria, e sim, sob tica de gestores de segurana da informao.
5.4.2. Hipteses e variveis
H0: A estratgia de SI para empresa de desenvolvimento de software para dispositivos

mveis ineficiente para o contexto de desenvolvimento de software mvel.
Variveis:
80
Tipo Descrio Escala

Independente Eficincia da estratgia Intervalar
H1: Os elementos abordados na estratgia de SI para empresa de desenvolvimento de

software para dispositivos mveis satisfazem com eficincia a segurana da informao de
empresas do contexto mvel.
Variveis:
Tipo Descrio Escala
Independente Importncia da estratgia Intervalar
Dependente Concordncia com a estratgia Intervalar
H2: A estratgia de SI para empresa de desenvolvimento de software para dispositivos

mveis minimiza os impactos negativos de riscos identificados.
Variveis:
Tipo Descrio Escala
Independente Importncia da estratgia Intervalar
Dependente Concordncia com a estratgia Intervalar
5.4.3. Projeto do experimento e instrumentao
O experimento caracteriza-se como uma pesquisa de opinio e visa coletar dados a partir da
anlise de gestores da rea de segurana da informao. Sendo assim, foram realizadas duas
anlises, uma de medida para identificar o perfil dos participantes e outra para apurar de forma
descritiva a representatividade das medidas obtidas pela escala de Likert2 para avaliar a estratgia.
Os resultados da escala de Likert sero sintetizados em valores representativos por
meio do clculo da moda, cujo resultado representa a opinio majoritria dos gestores. A
Tabela 5.1 apresenta a escala de mensurao adotada para as variveis dependentes e
independentes.
2
A escala Likert um tipo de escala de resposta bipolar, medindo ou uma resposta positiva ou negativa a uma
afirmao.
81
Tabela 5.1: Escala de mensurao das variveis dependentes e independentes

Varivel\Valor [1] [2] [3] [4] [5] [6]
Importncia Essenciais Muito Mais ou menos Sem muita Irrelevante Sem
importante importante importncia resposta
Concordncia Concordo Concordo Concordo/Discordo Discordo Discordo Sem
totalmente parcialmente parcialmente parcialmente totalmente resposta
A Tabela 5.1 apresenta a escala das variveis no qual varia de [1] a [5], a escala [6] foi
includa para eliminar as respostas no conformes (outliers3) geradas por dvidas,
desconhecimento ou interpretao que descarta o item a ttulo de anlise descritiva para obter
o valor mais representativo, ou seja, a moda.
Como instrumento que prove meios para realizar a execuo e anlise do experimento
selecionou-se o questionrio de opinio. O Apndice B ilustra este questionrio cuja
denominao Questionrio de Avaliao de SI em Empresas de Desenvolvimento de
Software para Dispositivos Mveis. O questionrio cobriu 03 (trs) grupos de informaes,
coletando dados sobre (a) o respondente, (b) as bases da estratgia proposta e (c) a estratgia
proposta. O primeiro grupo (a) visa identificar o perfil dos respondentes, o grupo (b) avaliar
os nveis de importncia e concordncia das bases utilizadas para elaborao da estratgia e,
por conseguinte, o ltimo grupo (c) avaliar a estratgia de segurana da informao para
empresas de desenvolvimento de software para dispositivos mveis.
Para a validao buscou-se a tcnica de validade conclusiva ou constructo. A partir da
anlise do perfil e conhecimento dos participantes sobre rea de gesto de projetos de
software (grupos (a) e (b) do questionrio) ser assumido como confivel ou no confivel os
dados coletados. Esta tcnica faz-se adequada para este estudo experimental, haja vista a
restrio da aplicao prtica em empresas.
5.5. Execuo do experimento
Realizou-se uma apresentao a cada participante da avaliao abordando a fundamentao,

as bases da estratgia e a estratgia de SI em empresas de desenvolvimento de software para
dispositivos mveis. O Questionrio de Avaliao de SI em Empresas de Desenvolvimento
de Software para Dispositivos Mveis. foi aplicado a 03 (trs) participantes.
A durao mdia de resposta do questionrio pelos respondentes foi de 02 horas. Aps
a devoluo dos questionrios os dados foram tabulados.
3
Outlier um resultado atpico que apresenta um grande afastamento dos demais valores. So ameaas em
pesquisas e estudos experimentais.
82
5.5.1. Anlise dos participantes
O questionrio foi aplicado a trs avaliadores, dos quais dois possuem conhecimento em
desenvolvimento de software para aplicaes mveis e um com experincia em
desenvolvimento de software no contexto clssico. No entanto, dois deles com experincia em
empresas de desenvolvimento de software para dispositivos mveis com certificao em SI.
Os gestores esto na rea de SI h mais de cinco anos.
5.6. Anlise e interpretao do experimento
Esta etapa refere-se estatstica descritiva dos resultados tabulados dos grupos de
informaes sobre as bases da abordagem e a abordagem propriamente dita, bem como a
verificao das hipteses.
5.6.1. Anlise das bases da estratgia
A mensurao das medidas de tendncia central ressalta o comportamento da distribuio de

valores em relao ao agrupamento em torno dos valores centrais. A moda uma dessas
medidas e representa o valor que ocorre com maior frequncia em uma srie de valores, ou
seja, calculada pela contagem do nmero de ocorrncias de cada valor, selecionando o mais
comum.
A escala de Likert possibilitou descrever as variveis importncia e concordncia
em uma escala intervalar de [1] [5]. A partir da distribuio dessas variveis possvel
conhecer a tendncia das respostas e a opinio majoritria dos respondentes, ou seja, a moda
da distribuio estatstica.
As Figuras de 5.1 a 5.9 que seguem este estudo mapeiam o domnio de frequncia da
varivel independente e dependente sob cada anlise estatstica. Para exibir os resultados, a
moda de cada varivel representada na forma de um grfico de radar. O grfico de radar foi
selecionado por melhor apresentar o grau de importncia e concordncia das variveis.
Quanto mais externo os pontos maior o grau de importncia e concordncia, e quanto mais
interno menor o grau de importncia e concordncia.
Para compreender a Figura 5.2 faz-se necessrio a apresentao da Tabela 5.2, cujos
elementos so associados a siglas.
83
Tabela 5.2: Tabela de siglas dos elementos

Elementos Sigla
Conhecimento da norma ISO 27001 [E01]
Desenvolvimento do escopo do projeto [E02]
Elaborao do SGSI [E03]
Levantamento, anlise e gerenciamento de risco. [E04]
Desenvolvimento e treinamento dos requisitos de segurana da informao [E05]
Gesto de continuidade do negcio [E06]
Figura 5.2: Anlise dos elementos identificados para SI em empresas de desenvolvimento de

Pode-se observar na Figura 5.2 que os elementos [E01] Conhecimento da norma ISO
27001 e [E03] Elaborao do SGSI so os nicos elementos cuja importncia razovel
para SI em empresas de desenvolvimento de software para dispositivos mveis, mas que
possui concordncia total pelos gestores.
Similar Tabela 5.2, a Tabela 5.3 apresenta as siglas associadas aos elementos do
escopo.
Tabela 5.3: Tabela de siglas dos requisitos do escopo
Escopo Sigla
Custo: Implantao da norma ISO 27001; [S01]
Prazo para implantao da norma; [S02]
Descrio de atribuio a clientes, colaboradores, fornecedores incluindo termos de [S03]
responsabilidade e acordos confidencialidades;
Elaborao da poltica de segurana da informao, caracterizada pelo conjunto de [S04]
84
princpios e valores estruturais, nos quais a empresa explicita os seus propsitos,

traduzidos em regras especficas para proteger as informaes que so de sua
propriedade ou que esto sob sua responsabilidade;
Classificao de ativos de software utilizados como programas fontes, ferramentas [S05]
de apoio ao desenvolvimento, softwares bsicos e de apoio aos utilitrios;
Definio de equipamentos de Tecnologia da Informao que devero dar suporte [S06]
Poltica que esto relacionados com os equipamentos computacionais
(computadores de grande porte, microcomputadores, notebooks, etc.), equipamentos
de comunicao (roteadores, modens, switchs, etc.), dispositivos de entrada e sada
(discos, impressoras, etc.);
Levantamento da estrutura de comunicao como ferramentas de conversao [S07]
instantnea;
Classificao das pessoas envolvidas na empresa como direo, gerentes, [S08]
colaboradores dos setores da empresa;
Definio de servios realizados pela empresa que so as atividades desenvolvidas; [S09]
Levantamento da infraestrutura de equipamentos como no-breaks, geradores de [S10]
eletricidade alternativa, quadros eltricos, equipamentos de refrigerao, etc.
Classificao dos ativos informao que so os dados contidos em SGBD [S11]
Sistemas Gerenciadores de Bancos de Dados, os dados contidos em arquivos
convencionais, a documentao de sistema anlise, usurio e operao a
documentao de softwares bsicos e de apoio e os planos de continuidade.
Levantamento da infraestrutura do prdio como classificao de reas crticas. [S12]
Figura 5.3: Anlise dos elementos do escopo identificados para SI em empresas de

Na Figura 5.3 o elemento do escopo [S01], Custo: Implantao da norma ISO 27001,
no obteve concordncia total dos gestores, no entanto, os gestores acreditam ser importante
para o contexto SI em empresas de desenvolvimento de software para dispositivos mveis. O
85
elemento [S03], Descrio de atribuio a clientes, colaboradores, fornecedores incluindo

termos de responsabilidade e acordos confidencialidades, todos concordam, porm,
apresentam importncia relevante.
A Tabela 5.4, apresenta as siglas associadas aos elementos identificados para o SGSI.
Tabela 5.4: Tabela de siglas dos requisitos do SGSI

SGSI Sigla
Participantes dos SGSI: representante de cada setor. [C01]
- Diretores, Recursos Humanos, Suporte e Manuteno.
Responsabilidade: responsvel por divulgar a poltica da informao da empresa e
auditorias internas. [C02]
- Observar fatores legais e contratuais envolvidos nos negcios da empresa
- Desenvolver critrios para avaliao de riscos aos negcios.
Figura 5.4: Anlise dos elementos do SGSI identificados para SI em empresas de

Um fato interessante foi o resultado da Figura 5.4, no qual os dois elementos do SGSI
[C01] e [C02], tiveram concordncia e importncia total na opinio dos entrevistados.
Para dar continuidade na anlise dos requistos fsicos abordados na estratgia, a
Tabela 5.5 apresenta as siglas associadas aos requisitos.
86
Tabela 5.5: Tabela de siglas dos requisitos fsicos

Requisitos fsicos Sigla
reas de segurana [F01]
Controle de entrada e sada de pessoas [F02]
Autonomia do departamento de SM [F03]
Proteo do prdio [F04]
Figura 5.5: Anlise dos requistos fsicos identificados para SI em empresas de

Na Figura 5.5 os elementos [F01], reas de segurana, [F02], Controle de entrada e

sada de pessoas, [F03] , Autonomia do departamento de SM e [F04], Proteo do
prdio, apresentaram concordncia total no resultado da anlise. Entretanto, ao avaliar a
importncia da Autonomia do departamento de SM da estratgia esta no foi unnime
quanto ao nvel de importncia essencial.
A tabela de siglas associados aos requistos lgicos apresentado na Tabela 5.6, assim
podendo analisar a prxima figura.
Tabela 5.6: Tabela de siglas dos requisitos lgicos
Requisitos lgicos Sigla
Documentao dos procedimentos de operao [L01]
Ambiente operacional [L02]
Gerenciamento e controle de mudana [L03]
87
Gerenciamento e controle de problemas [L04]

Diretrizes quanto utilizao da internet [L05]
E-mail corporativo [L06]
Realizao de download [L07]
Execuo de jogos e rdios online [L08]
Senhas de acesso [L09]
Controle de instant messenger [L10]
Instalao de software [L11]
Acesso ao telefone [L12]
Penalidades [L13]
Equipe de segurana [L14]
Divulgao e treinamento [L15]
Vigncia e validade [L16]
Figura 5.6: Anlise dos requistos lgicos identificados para SI em empresas de

Percebe-se na Figura 5.6 que somente o requisito [L08] Execuo de jogos e rdios
online o nico risco cuja concordncia total ou relevncia para a SI na empresa de
desenvolvimento de software para dispositivos mveis no aceita pela maioria dos gestores,
mas mesmo assim considerado relevante. Nesta anlise, destaca-se os requisitos lgicos
88
[L03] Gerenciamento e controle de mudana, [L04] Gerenciamento e controle de

problemas e [L06] E-mail corporativo, cujo grau de importncia razovel para a
segurana da informao de empresa no contexto mvel.
As siglas para os planos de continuidade so apresentadas na Tabela 5.7.
Tabela 5.7: Tabela de siglas dos planos de continuidade

Plano de continuidade Sigla
Perda ou roubo de dispositivos mveis ou portteis da empresa [P01]
Perda de equipamentos de grande porte servidores de redes e arquivos. [P02]
Parada de softwares, plataformas de desenvolvimento, aplicativos, simulao e [P03]
testes das aplicaes mveis.
Rotatividade da equipe de desenvolvimento [P04]
Perda total do prdio [P05]
Figura 5.7: Anlise dos planos de continuidade identificados para SI em empresas de

Na Figura 5.7 pode-se observar a concordncia unnime dos planos de continuidade

de negcio para os planos [P01] Perda ou roubo de dispositivos mveis ou portteis da
empresa, [P02] Perda de equipamentos de grande porte servidores de redes e arquivos,
[P03] Parada de softwares, plataformas de desenvolvimento, aplicativos, simulao e testes
das aplicaes mveis, [P04] Rotatividade da equipe de desenvolvimento e [P05] Perda
total do prdio. Entretanto, para os planos [P03] e [P04] houve importncia relevante.
89
5.6.1.1. Resultado das bases da estratgia
A partir da anlise dos grficos resultantes da anlise das bases da estratgia de SI em

empresas de desenvolvimento de software para dispositivos mveis pode-se concluir que um
dos objetivos do estudo foi alcanado e a primeira questo (Q1) Os elementos apresentados
so suficientes para elaborar uma estratgia de segurana da informao em empresas de
desenvolvimento de software para dispositivos mveis? possui resposta afirmativa.
Essa concluso baseia-se nas premissas de importncia e concordncia dos gestores
quanto s bases da estratgia.
5.6.2. Anlise da estratgia
A mesma escala e medida utilizada na anlise das bases da estratgia tambm foram aplicadas
para analisar a estratgia proposta.
Uma anlise geral sobre os quesitos de aplicabilidade de eficincia da estratgia
tambm foi realizada. Em suma, os resultados foram satisfatrios e atenderam os objetivos do
estudo. As Figuras 5.8 e 5.9 ilustram, respectivamente, o percentual de aceitao dos
participantes da pesquisa quanto aplicao da estratgia e sua eficincia se adotada pelas
organizaes.
Figura 5.8: Anlise quanto aplicabilidade da estratgia de SI para empresas de

90
Figura 5.9: Anlise quanto da eficincia da estratgia de SI para empresas de

Conforme observado nas figuras 5.8 e 5.9 tanto a aplicabilidade como a eficincia da
estratgia foram satisfatrias no ponto de vista dos gestores de segurana da informao,
apresentando um total de 67% de aceitao do nvel de concordncia dos requisitos abordados
na estratgia.
5.6.2.1. Resultado da avaliao da estratgia
A partir da anlise dos grficos resultantes da anlise da estratgia de SI em empresas de

desenvolvimento de software para dispositivos mveis pode-se concluir que os objetivos do
estudo foram alcanados e as questes (Q2) A estratgia possui aplicabilidade nas atividades
desenvolvidas pelas empresas de desenvolvimento de software para dispositivos mveis? e
(Q3) A estratgia de SI capaz de produzir resultados eficientes em contextos de
desenvolvimento de software para dispositivos mveis? possuem respostas afirmativas.
Essa concluso baseia-se nas premissas no percentual de satisfao dos pesquisadores
quanto aplicabilidade e eficincia da estratgia nas empresas de desenvolvimento de
software mvel.
5.6.3. Verificao das hipteses
Com os resultados das Figuras 5.8 e 5.9 pode-se refutar a hiptese nula (H0), ou seja, prova-se
pelo percentual de concordncia e eficincia que A estratgia de SI para empresa de
91
desenvolvimento de software para dispositivos mveis ineficiente para o contexto de

desenvolvimento de software mvel. A partir da Figura 6.11 conclu-se tambm que as
hipteses alternativas (H1) Os elementos abordados na estratgia de SI para empresa de
desenvolvimento de software para dispositivos mveis satisfaz com eficincia a segurana da
informao de empresas do contexto mvel., (H2) A estratgia de SI para empresa de
desenvolvimento de software para dispositivos mveis minimiza os impactos negativos de
riscos identificados, so afirmativas e expressam a opinio do grupo de gestores.
Este captulo buscou avaliar a estratgia de segurana da informao em empresas de

desenvolvimento de software para dispositivos mveis por meio da medida de tendncia
central denominada moda estatstica. As concluses sobre a avaliao e a estratgia so
tratadas no prximo captulo.
92
Captulo
6
Concluso
A segurana da informao caracteriza-se pela proteo de dados e informaes da empresa.

medida que novas tecnologias surgem, novos riscos e desafios tambm surgem. No entanto,
uma estratgia deve estar fundamentada em conceitos cientficos acerca de componentes que
envolvam o arcabouo dessa estratgia. Os temas sobre tecnologias mveis, dispositivos
mveis, aplicaes mveis, desafios no desenvolvimento de aplicaes mveis, segurana da
informao e desafios da segurana da informao foram descritos como componentes que
proporcionaram o desenvolvimento da estratgia de segurana da informao em empresas de
A estratgia proposta apresenta diretrizes especficas para o gerenciamento e controle
da segurana da informao em empresas de desenvolvimento de software para aplicaes
mveis, minimizando os impactos negativos dos riscos, uma vez que essas empresas
apresentam caractersticas especficas em suas aplicaes estas precisam ser gerenciadas de
forma que suas particularidades sejam protegidas. Assim, esta estratgia preocupa-se com a
segurana dessas particularidades ressaltando requisitos que satisfaam a necessidade dessas
empresas.
Esta premissa confirmada pelo estudo experimental cujo propsito foi avaliar a
aplicabilidade e eficincia da estratgia em empresas de desenvolvimento de software para
dispositivos mveis. Pode-se observar nos resultados que a estratgia possui significncia
para os gestores de segurana da informao.
93
6.1. Dificuldades e limitaes
Dentre as dificuldades e limitaes encontradas durante a pesquisa e o desenvolvimento da

estratgia esto:
Dificuldade de acesso s empresas no mbito regional que desenvolvem software para
dispositivos mveis.
A falta de colaborao dos gestores de segurana da informao para a coleta dos dados.
A falta de colaborao dos gestores de segurana da informao para a avaliao da estratgia de

segurana da informao em empresas de desenvolvimento de software para dispositivos mveis.
6.2. Contribuies
Este trabalho contribui com uma linha de pesquisa pouco explorada, alm de propor uma soluo
particular gesto da segurana da informao em empresas de desenvolvimento de software para
dispositivos mveis. Tambm, disponibiliza um material acessvel para subsidiar a empresa e
gerentes na segurana de dados e informaes nas atividades desenvolvidas na empresa. Desta
forma as contribuies da pesquisa so:
A definio de uma estratgia segurana da informao em empresas de desenvolvimento de
software para dispositivos mveis; e
A indicao de tcnicas especficas de segurana da informao para empresas de

6.3. Sobre a avaliao da estratgia proposta
O teste de engenharia experimental envolveu aspectos tericos e da experincia profissional

individual de cada participante da avaliao, possibilitando ratificar a importncia dos
elementos de segurana especficos para empresas de desenvolvimento de software do
contexto mvel e identificar um nvel aceitvel quanto aplicabilidade e eficincia da
estratgia.
6.4. Trabalhos futuros
Nesta seo, apresentam-se algumas indicaes sobre trabalhos que podero ser
desenvolvidos a partir desta estratgia. So eles:
94
Aplicao desta estratgia em organizaes que atuam com desenvolvimento de

software no contexto mvel e efetuar um estudo de caso no impacto por ele causado,
com as dificuldades, bem como, as possveis vantagens e benefcios alcanados pela
sua utilizao;
Elaborar uma ferramenta de apoio automatizada da estratgia proposta para organizar
as informaes geradas.
95
Referncias
ABNT ISO 17799. Associao Brasileira de Normas Tcnicas (ABNT). Norma ABNT NBR
ISO/IEC 17799:2005 Cdigo de Prtica para Gesto da Segurana da Informao, 2005.
ABNT ISO 27001. Associao Brasileira de Normas Tcnicas (ABNT). Norma ABNT NBR
ISO/IEC 27001:2006 Cdigo de Prtica para Gesto da Segurana da Informao, 2006.
ALI-HASSAN, H.; NEVO, D.; NEVO, S. Mobile Collaboration: Exploring the Role of Social
Capital. ACM SIGMIS Database table of contents archive. ACM, New York, NY, v. 41, 2 ed., p.
9-24, may. 2010.
ANDRADE, S. C. Uma abordagem de Gerenciamento de Projetos de Software para

Dispositivos Mveis. 2012. Dissertao (Mestrado em Cincia da Computao)
Departamento de Informtica. Universidade Estadual de Maring, Maring. 2012.
ATADES, A. C. Um Mtodo para Acompanhamento e Controle da Implantao do CMMI.

Dissertao de mestrado em Engenharia Eltrica. UnB Universidade de Braslia, 2006.
BECKERS, K.; SCHMIDT, H.; KSTER, J. C. & FABENDER. S. Pattern-Based Support

for Context Establishment and Asset Identification of the ISO 27000 in the Field of Cloud
Computing. Sixth International Conference on Availability, Reliability and Security, 2011,
p.327-333.
BLUE PHOENIX. Boas prticas de segurana. Disponvel em: www.bluephoenix.pt.

Acessado em: 15/10/2011.
BOULHOSA.R.; Arquitetura de Pr-Autenticao Segura com Suporte a QoE para

Aplicaes Mveis Multimdia em Redes WiMAX. Disponvel em:
http://www.lrc.ic.unicamp.br/wra/2011/dmdocuments/85487_1.pdf. Acesado em: 10/11/2011.
CAMPOS, A. Sistema de segurana da informao: controlando os riscos. Florianopolis:

Visual Books, 2 ed, 2007.
CARVALHO, N. L. J. O problema da proteo e controle de acesso informao Proteo

digital e vigilncia do ambiente operacional de um mdulo criptogrfico. Rio de Janeiro:
Universidade ferderal do Rio de Janeiro UFRJ, Tese de Doutorado, Programa de Ps
Graduao em Engenharia Civil, 2007.
CERT. br. Centro de Estudos, Respostas e Tratamento de Incidentes de Segurana no Brasil.

Estatsticas do CERT. BR. Disponvel em: HTTP://www.cert.br/incidentes/ Acesso em: 10 de
maro de 2013.
COUNTS, S.; HOFTE, H.; SMITH, I. Mobile Social Software: Realizing Potential, Managing
Risks. In: CHI 2006 Workshop. Montral, Qubec, Canada. pp.1703 - 1706
CUKIERMAN, H. L.; TEXEIRA, C.; PRIKLADINICKI, R. Um Olhar Sociotcnico sobre a

Engenharia de Software. In: Revista de Informtica Terica e Aplicada - RITA. n 2, 2007.
96
Disponvel em <http://www.seer.ufrgs.br/index.php/rita/article/view/rita_v14_n2_p199-
219/3547>. Acesso em: 03 ago. 2010.
DIAS, K. L; SADOK, D. F.H. Internet Mvel: Tecnologias, Aplicaes e QoS. XIX Simpsio
Brasileiro de Redes de Computadores, 2001.
ENAMI, L. N. M. Um Modelo de Gerenciamento de Projeto para um Ambiente de

Desenvolvimento Distribudo de Software. 2006. 217 f. Dissertao (Mestrado em Cincia da
Computao). Universidade Estadual de Maring, Maring, 2006.
ENAMI, L.; TAIT, T. F. C.; HUZITA, E. H. M. A Project Management Model to a

Distributed Software Engineering Environment. In: ICEIS 2006 - International Conference on
Enterprise Information Systems, 2006, Papus. Anais do ICEIS06, 2006.
FERNANDES, A. A.; ABREU, V. F. Implantando a Governana de TI: da estratgia

gesto dos processos e servios. 2 ed. Rio de Janeiro: Brasport, 2008. 444 p.
FONTES, E. L. G. Poltica de Segurana da Informao: uma contribuio para o

estabelecimento de um padro mnimo. Dissertao (mestrado). Faculdade de Tecnologia -
FATEC. Centro Estadual de Educao Paula Souza, 2011.
FOUSKAS, K. G.; GIAGLIS, G. M.; KOUROUTHANASSIS, P. E.; KARNOUKOS, S.;

PITSILLIDES, A.; STYLIANOU, M. A roadmap for research in mobile business. In:
International Journal of Mobile Communications (IJMC), v.3, n.4. 2005.
GIBB, F.; BUCHANAN, S. A framework for business continuity management. International

Journal of Information Management, Vol 26, Abril 2006, Pag 128-141
HELDMAN, K. Gerncia de projetos: guia para o exame oficial do PMI. Traduo de

Luciana do Amaral Teixeira. Rio de Janeiro: Elsevier, 2006 - 5 Reimpresso.
HUZITA, E. H. M.; TAIT, T. F. C. Gerncia de Projetos de Software. Escola Regional de

Informtica. Bandeirantes - Paran, 2006.
KITCHENHAM, Barbara. Procedures for Performing Systematic Reviews. Keele, 2004.
ISSAC, H. e LECLERCQ, A. Give me a mobile phone, and I will work harder! - Assessing
the value of mobile technologies in organizations : an exploratory research. Proceedings of
the International Conference on Mobile Business (ICMB06). 2006.
JOSANG, A. e SANDERUD, G. Security in mobile communications: challenges and

opportunities. Proceedings of the Australasian information security workshop conference on
ACSW frontiers 2003 - Volume 21. Adelaide, Australia: Australian Computer Society,
Inc.2003.
JORIOM, P. Value at Risk - A Nova Fonte de Referncia para o Controle de Risco de

mercado. 2 edio. Editora BM&F, 2003.
KROTOV, V. e JUNGLAS, I. Mobile Technology as an Enabler of Organizational Agility. Mobile

Business, 2006. ICMB '06. International Conference on, 2006.
97
LEE, T. e JUN, J. Contextual perceived usefulness? Toward an understanding of mobile

commerce acceptance. Mobile Business, 2005. ICMB 2005. International Conference on,
2005.
LUGANO, G. Digital Community Design: Exploring the Role of Mobile Social Software in
the Processo f Digital Convergence. 2010. Tese (Doutorado) University of Jyvaskyla,
Jyvaskyla, 2010. Disponvel em <http://digitalcommunity.cosix.it/>. Acesso em: 08 nov.
2011.
LUND, M. S.; SOLHAUG, B. & STLEN, K. Evolution in relation to risk and trust
management. IEEE Computer Society, 2010, p. 49-55.
MACHADO, C. B.; FREITAS, H. Planejamento de Iniciativas de Adoo de Tecnologias

Mvies. Revista GEPROS, ano 4, n. 1, p. 101-115, jan/mar., 2008. Disponvel em
<http://www.ea.ufrgs.br/professores/hfreitas/files/artigos/2009/2009_gepros_cbm_hf_planejam_te
cn_moveis.pdf >. Acesso em: 30 abr. 2011.
MACHADO, C., Modelo para Planejamento de Iniciativas de Adoo de tecnologias mveis

na Interao entre Organizao e Indivduo. 2007. Dissertao de Mestrado em
Administrao. Universidade Federal do Rio Grande do Sul, 2007.
MAFRA, S. N.; TRAVASSOS, G. H. Estudos Primrios e Secundrios apoiando a busca por

Evidncia na Engenharia de Software. Rio de Janeiro: Programa de Engenharia de Sistemas e
Computao. Mar. 2006. RT-ES 687/06.
METHA, Nivav. Mobile Web Development. Birmingham: Packt, 2008.
MODULO Security Soluction. 2011. Disponvel em: http://modulo.com.br. Acesso em: 10 de

setembro de 2012.
MOHELSKA, H.; Mobile Technologies and Their Use in a Company. In: World
Multiconference on APPLIED ECONOMICS, BUSINESS AND DEVELOPMENT (AEBD
'10), 2nd, 2010, Kantaoui, Sousse, Tunisia. APPLIED ECONOMICS, BUSINESS and
DEVELOPMENT. WSEAS Press, may. 253 p., 141-146.
NAKAMURA, E.T.; GEUS, P. L. Segurana de Redes: Em ambientes Cooporativos. So

Paulo: Novatec, 2007.
PMI.a Project Management Institute. Um Guia do Conhecimento em Gerenciamento de

Projetos Guia Pmbok. 4 Edio, Newton Square, Pennsylvania, Editora Project
Management Inst-id, 2008.
POTTER, B. Wireless security policies. Network Security, v. 2003, n. 10, p. 1012, 2003.
SANTAELLA, L. Linguagens Lquidas na era da mobilidade. So Paulo: Editora Paulus,

2007 - Comunicao.
SANTANDER. Principais itens em segurana da informao. Disponvel em:

http://www.santander.com.br/document/gsb/seguranca_parceiros_principais_itens.pdf.
Acessado em: 25/09/2011.
98
SANTOS, A. S. A methodology to implement an information security management system.

Journal of Information Systems and Technology Management, Vol. 2, No. 2, 2005, pp. 121-
136.
SEMOLA, M. Gesto da Segurana da Informao. So Paulo. Editora Campus, 2003.
SOUZA, R. M. Implantao de Ferramentas e Tcnicas de Segurana da Informao em

Conformidade com as Normas ISO 27001 e ISO 17799. 2007. Dissertao (Mestrado)
Pontifica Universidade Catlica de Campinas.
SIMA. A.F.; Autenticao forte: aplicaes e desafios para a computao mvel. Conferncia
IADIS Ibero-Americana. Disponvel em:
http://www.iadis.net/dl/final_uploads/200607P080.pdf. Acessado em: 15/11/2011.
TEIXEIRA, C. A. N.; CUKIERMAN, H. L. Por que Falham os Projetos de Implantao de

Processos de Software?. In: III WORKSHOP Um Olhar Sociotcnico sobre a Engenharia de
Software - WOSES, 2007, Porto de Galinhas. Pernambuco, 2007.
TRAVASSOS, G. H. Introduo engenharia de software experimental. Relatrio Tcnico ES-

590/02, Programa de Engenharia de Sistemas e Computao, COPPE/UFRJ, 2002.
TSOUMAS, V.; TRYFONAS, T. From risk analysis effective security management: towards
an automated approach. In: International Journal of Information Management & Computer
Security. Vol 12, fevereiro, 2004, Pag 91-101.
Thomas R. P. Information Security Risk Analysis. Editora: Auerbach Publications, 2001.
TURBAN, E. Administrao de Tecnologia da Informao: teoria e prtica. Rio de Janeiro.

Editora Elsevier, 2005.
UNHELKAR, B. Mobile Enterprise Transition and Management. Auerbach Publications
Boston, MA, USA. 2009. (Advanced and emerging communications technologies series).
RODRIGUES, E. A importncia da segurana da informao em projetos. Techoje uma revista

de opinio, Belo Horizonte, abr. 2009.
VOS e KLEIN. The Essential Guide to Mobile Business. Prentice Hall: 2002.
WANGHAM M. S.; Mecanismos de Segurana para Plataformas de Agentes Mveis,

baseados em Redes de Confiana SPKI/SDSI. XXI Simpsio Brasileiro de Redes de
Computadores, v.3, n.5. 2007.
Apndice A 99
Cdigo:
Status:
Responsvel: Data: _____/______/______
Descrio do Risco:
Anlise do Risco
Impacto Baixo Mdio Alto
Probabilidade Insignificante Tolervel Srio Catastrfico
Consequncia:
Fator desencadeador de ao:
Plano de Ao
Objetivo do plano Evitar Minimizar Transferir Contingncia
Detalhamento do Plano:
100
Apndice B
Questionrio de Avaliao da Estratgia de SI em empresas de desenvolvimento de

Hora Incio:_______ Hora Trmino:________
Sobre o respondente
1 Formao
Informe o curso referente ao maior grau de escolaridade (ex: Cincia da Computao,
Administrao com nfase em TI)
[_______________________________________________________________]
2 Possui experincia em desenvolvimento de software?
Sim No
Tempo [__________] [ ] meses [ ] anos
3 - Possui experincia em desenvolvimento de software para dispositivos mveis?
Sim No
Tempo [__________] [ ] meses [ ] anos
4 Possui experincia em gesto de segurana da informao h quanto tempo?
Tempo [__________] [ ] meses [ ] anos
5 J implantou polticas de segurana da informao em empresas de desenvolvimento de
software para dispositivos mveis?
Sim No
6 Possui certificao em segurana da informao?

Sim No
Qual?
Sobre as bases da estratgia proposta
Legenda para as questes de 7 a 14

Varivel\Valor [1] [2] [3] [4] [5] [6]
Importncia Essenciais Muito Mais ou menos Sem muita Irrelevante Sem
101
importante importante importncia resposta

Concordncia Concordo Concordo Concordo/Discordo Discordo Discordo Sem
totalmente parcialmente parcialmente parcialmente totalmente resposta
7 Avalie a importncia e concordncia dos elementos de segurana abordados e

classificados na estratgia de segurana da informao em empresas de desenvolvimento de
Para cada elemento listado marque o grau de importncia e concordncia.
Importncia Concordncia
Elementos
SR [5] [4] [3] [2] [1] [1] [2] [3] [4] [5] SR
Conhecimento da norma ISO
27001
Desenvolvimento do escopo do
projeto
Elaborao do SGSI
Levantamento, anlise e
gerenciamento de risco.
Desenvolvimento e treinamento
dos requisitos de segurana da
informao
Plano de continuidade do negcio
8 Avalie a importncia e concordncia dos requisitos classificados no escopo do

documento de segurana da informao em empresas de desenvolvimento de software para
dispositivos mveis.
Para cada requisito listado marque o grau de importncia e concordncia.
Escopo
SR [5] [4] [3] [2] [1] [1] [2] [3] [4] [5] SR
Custo: Implantao da norma
ISO 27001;
Prazo para implantao da
norma;
Descrio de atribuio a
clientes, colaboradores,
fornecedores incluindo termos de
responsabilidade e acordos
confidencialidades;
Elaborao da poltica de
segurana da informao,
caracterizada pelo conjunto de
princpios e valores estruturais,
nos quais a empresa explicita os
102
seus propsitos, traduzidos em

regras especficas para proteger
as informaes que so de sua
propriedade ou que esto sob sua
responsabilidade;
Classificao de ativos de
software utilizados como
programas fontes, ferramentas de
apoio ao desenvolvimento,
softwares bsicos e de apoio aos
utilitrios;
Definio de equipamentos de
Tecnologia da Informao que
devero dar suporte Poltica que
esto relacionados com os
equipamentos computacionais
(computadores de grande porte,
microcomputadores, notebooks,
etc.), equipamentos de
comunicao (roteadores,
modens, switchs, etc.),
dispositivos de entrada e sada
(discos, impressoras, etc.);
Levantamento da estrutura de
comunicao como ferramentas
de conversao instantnea;
Classificao das pessoas
envolvidas na empresa como
direo, gerentes, colaboradores
dos setores da empresa;
Definio de servios realizados
pela empresa que so as
atividades desenvolvidas;
Levantamento da infraestrutura
de equipamentos como no-
breaks, geradores de eletricidade
alternativa, quadros eltricos,
equipamentos de refrigerao,
etc.
Classificao dos ativos
informao que so os dados
contidos em SGBD Sistemas
Gerenciadores de Bancos de
Dados, os dados contidos em
arquivos convencionais, a
documentao de sistema
anlise, usurio e operao a
documentao de softwares
bsicos e de apoio e os planos de
continuidade.
103
Levantamento da infraestrutura
do prdio como classificao de
reas crticas.
9 Avalie a importncia e concordncia da equipe do SGSI (membros e funo)

classificados no documento de segurana da informao em empresas de desenvolvimento de
SGSI
SR [5] [4] [3] [2] [1] [1] [2] [3] [4] [5] SR
Participantes dos SGSI:
representante de cada setor.
- Diretores, Recursos Humanos,
Suporte e Manuteno.
Responsabilidade: responsvel
por divulgar a poltica da
informao da empresa e
auditorias internas.
- Observar fatores legais e
contratuais envolvidos nos
negcios da empresa
- Desenvolver critrios para
avaliao de riscos aos negcios.
10 Avalie a importncia e concordncia dos requisitos fsicos classificados no

dispositivos mveis.
Requisitos Fsicos
SR [5] [4] [3] [2] [1] [1] [2] [3] [4] [5] SR
reas de segurana
Controle de entrada e sada de

pessoas
Autonomia do departamento de
SM
Proteo do prdio
11 Avalie a importncia e concordncia dos requisitos lgicos classificados no

dispositivos mveis.
104
Requisitos Lgicos
SR [5] [4] [3] [2] [1] [1] [2] [3] [4] [5] SR
Documentao dos
procedimentos de operao
Ambiente operacional
Gerenciamento e controle de
mudana
Gerenciamento e controle de
problemas
Diretrizes quanto utilizao da

internet
E-mail corporativo
Realizao de download
Execuo de jogos e rdios
online
Senhas de acesso
Controle de instant messenger
Instalao de software
Acesso ao telefone
Penalidades
Equipe de segurana
Divulgao e treinamento
Vigncia e validade
12 Avalie a importncia e concordncia dos requisitos do gesto de continuidade

classificados no documento de segurana da informao em empresas de desenvolvimento de
Gesto de Continuidade do
SR [5] [4] [3] [2] [1] [1] [2] [3] [4] [5] SR
Negcio
Perda ou roubo de dispositivos
mveis ou portteis da empresa
Perda de equipamentos de grande
porte servidores de redes e
arquivos.
Parada de softwares, plataformas
de desenvolvimento, aplicativos,
105
simulao e testes das aplicaes

mveis.
Rotatividade da equipe de
desenvolvimento
Perda total do prdio
Sobre a estratgia
13 Em sua opinio, a estratgia proposta atende o quesito de aplicabilidade?
A estratgia funcional e passvel de ser aplicada dentro das organizaes.
Concordncia
SR [5] [4] [3] [2] [1]
14 - Em sua opinio, a estratgia proposta atende o quesito de eficcia?

A estratgia funcional e capaz de mitigar os riscos e auxiliar a empresa e gerentes na
conduo de segurana no desenvolvimento de software para dispositivos mveis.
Concordncia
SR [5] [4] [3] [2] [1]
Consideraes do questionrio
Maring, ______ de ___________________ de 2013

106
ANEXO A
Tecnologia da informao Tcnicas de segurana Sistemas de

gesto de segurana da informao Requisitos
2 Referncia normativa
O documento a seguir referenciado indispensvel para a aplicao desta Norma. Para
referncia datada, aplica-se apenas a edio citada. Para referncia no datada, aplica-se a
ltima edio do documento referenciado (incluindo as emendas).
ABNT NBR ISO/IEC 17799:2005, Tecnologia da informao Tcnicas de segurana
Cdigo de prtica para a gesto da segurana da informao.
3 Termos e definies
Para os efeitos desta Norma, aplicam-se os seguintes termos e definies.
3.1 Ativo
Qualquer coisa que tenha valor para a organizao [ISO/IEC 13335-1:2004]
3.2 Disponibilidade
Propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada
[ISO/IEC 13335-1:2004]
3.3 Confidencialidade
Propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou
processos no autorizados [ISO/IEC 13335-1:2004]
3.4 Segurana da informao
Preservao da confidencialidade, integridade e disponibilidade da informao;
adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no repdio e
confiabilidade, podem tambm estar envolvidas [ABNT NBR ISO/IEC 17799:2005]
3.5 Evento de segurana da informao
Uma ocorrncia identificada de um estado de sistema, servio ou rede, indicando uma
possvel violao da poltica de segurana da informao ou falha de controles, ou uma
situao previamente desconhecida, que possa ser relevante para a segurana da informao
[ISO/IEC TR 18044:2004]
3.6 Incidente de segurana da informao
Um simples ou uma srie de eventos de segurana da informao indesejados ou inesperados,
que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a
segurana da informao [ISO/IEC TR 18044:2004]
107
3.7 Sistema de gesto da segurana da informao (SGSI)

A parte do sistema de gesto global, baseado na abordagem de riscos do negcio, para
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a
NOTA: O sistema de gesto inclui estrutura organizacional, polticas, atividades de
planejamento, responsabilidades, prticas, procedimentos, processos e recursos.
3.8 Integridade
Propriedade de salvaguarda da exatido e completeza de ativos [ISO/IEC 13335-1:2004]
3.9 Risco residual
Risco remanescente aps o tratamento de riscos [ABNT ISO/IEC Guia 73:2005]
3.10 Aceitao do risco
Deciso de aceitar um risco [ABNT ISO/IEC Guia 73:2005]
3.11 Anlise de riscos
Uso sistemtico de informaes para identificar fontes e estimar o risco [ABNT ISO/IEC
Guia 73:2005]
3.12 Anlise/avaliao de riscos
Processo completo de anlise e avaliao de riscos [ABNT ISO/IEC Guia 73:2005]
3.13
avaliao de riscos
processo de comparar o risco estimado com critrios de risco predefinidos para determinar a
importncia do risco [ABNT ISO/IEC Guia 73:2005]
3.14 Gesto de riscos
Atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos
NOTA: A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de
riscos, a aceitao de riscos e a comunicao de riscos. [ABNT ISO/IEC Guia 73:2005]
3.15 Tratamento do risco
Processo de seleo e implementao de medidas para modificar um risco [ABNT ISO/IEC
Guia 73:2005]
NOTA: Nesta Norma o termo controle usado como um sinnimo para medida.
3.16 Declarao de aplicabilidade
Declarao documentada que descreve os objetivos de controle e controles que so
pertinentes e aplicveis ao SGSI da organizao.
NOTA: Os objetivos de controle e controles esto baseados nos resultados e concluses dos
processos de anlise/avaliao de riscos e tratamento de risco, dos requisitos legais ou
108
regulamentares, obrigaes contratuais e os requisitos de negcio da organizao para a


Piccolo

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Piccolo

Diunggah oleh

Hak Cipta:

Format Tersedia

UNIVERSIDADE ESTADUAL DE MARING

DAIANE MARCELA PICCOLO

Estratgia de segurana da informao em empresas de desenvolvimento de

Estratgia de segurana da informao em empresas de desenvolvimento de

Dissertao apresentada ao Programa de

Orientador: Prof. Dr. Srgio Roberto Pereira da

Agradeo primeiramente a todos os professores e colaboradores do Programa de Ps-

Figura 1.1: Etapas da metodologia de desenvolvimento da pesquisa ................................ 17

Tabela 2.1: Tipos de ataques comuns ................................................................................... 34

ABNT Associao Brasileira de Normas Tcnicas

dispositivos mveis .............................................................................................................. 48

6.3. Sobre a avaliao da estratgia proposta ....................................................................... 93

As empresas desenvolvedoras de software vivem num momento de convergncia digital, ao

a qualidade dos produtos.

O objetivo geral apresentar uma estratgia de segurana da informao para empresas de

1.2. Objetivos Especficos

Validar a estratgia de segurana da informao em empresas de

Pesquisas em tecnologias e aplicaes mveis tm crescido e se tornando uma das reas

1.4. Metodologia de Desenvolvimento

A metodologia utilizada para o desenvolvimento da proposta de dissertao composta por

Figura 1.1: Etapas da metodologia de desenvolvimento da pesquisa

1.5. Organizao do Trabalho

Neste captulo foram apresentados os propsitos e a motivao da proposta de elaborao de

Como garantir a segurana da informao em empresas de desenvolvimento de software para

Gerenciamento Computao Segurana da SI em empresas de

Proposta de estratgia de segurana Estratgia de segurana da

Avaliao da estratgia sob a Validao da estratgia com

Resultados, Anlise e Concluso

Figura 1.2: Estrutura do trabalho

2.1. Consideraes Iniciais

Desafios no desenvolvimento das aplicaes mveis;

Gesto de segurana da informao

Desta forma, so abordadas as reas de gerenciamento de projetos de software, o

2.2. Gerenciamento de Projeto de Software

O gerenciamento de um projeto (GP) o processo de tomar decises que envolvem o uso de

aplicados e integrados para efetivao do gerenciamento de projetos. O PMI (2008, p.37)

Figura 2.1: Conexo entre os grupos de processos

Os grupos de processos, porm, de acordo com o PMI (2008, p.40) raramente so

Figura 2.2: Interao entre os grupos de processos

Alm da diviso por grupos, os processos tambm so organizados em nove reas de

Figura 2.3: reas de conhecimento dos grupos de processos

As nove reas de conhecimento dos grupos de processos apresentado na Figura 2.3,

2.3. Computao mvel

J o conceito de Portabilidade definido como a capacidade de ser facilmente

2.4. Dispositivos mveis

A implantao de tecnologias mveis pelas organizaes exige uma abordagem estratgica

incorporada pelas organizaes por meio de estratgicas cuidadosamente interpretadas e

2.5. Aplicaes Mveis

Com os avanos nas reas de telecomunicao, computao e miniaturizao de

A combinao dessas caractersticas fornece uma grande faixa de possveis aplicaes

2.6. Desafios no desenvolvimento das aplicaes mveis

O desenvolvimento de software para dispositivos mveis resulta em uma tarefa desafiadora

2.7. Segurana da Informao

consequentemente necessita ser adequadamente protegido.

Atravs da garantia desses servios, a segurana da informao poder trazer

2.7.1 Ameaas e ataques

roubo entre outros.

informao a fim de melhorar sua segurana.

Figura 2.4: Processo de gesto de riscos de segurana da informao

Definio do contexto: Definir o escopo e limites que sero levados em considerao

Anlise/Avaliao dos riscos de segurana da informao: Este item apresenta todo

A norma ISO/IEC 27005 no inclui uma metodologia especfica para a gesto de

Figura 2.5: Totais de incidentes de segurana reportadas ao CERT

Segundo a CERT e como apresentado na Figura 2.5 o total de notificaes recebidas