Políticas de Segurança da Informação: um estudo de caso baseado nas normas ABNT NRT ISO / IEC 27014:2013 e ABNT NRT ISO / IEC 27005:2011

(1)

UNIJUÍ

UNIVERSIDADE REGIONAL DO NOROESTE DO ESTADO DO RIO

GRANDE DO SUL

DCEEng

DEPARTAMENTO DE CIÊNCIAS EXATAS E ENGENHARIAS

CURSO DE GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO

Políticas de Segurança da Informação: um estudo de caso baseado nas

normas ABNT NRT ISO / IEC 27014:2013 e ABNT NRT ISO / IEC

27005:2011

PATRICIA ESTER ULLMANN

Santa Rosa, RS - Brasil

(2)

PATRICIA ESTER ULLMANN

Políticas de Segurança da Informação: um estudo de caso baseado

nas normas ABNT NRT ISO / IEC 27014:2013 e ABNT NRT ISO / IEC

27005:2011

Trabalho de Conclusão de Curso apre-sentado ao curso de Ciência da Computação, do Departamento de Ciências Exatas e Engenharias, da Universidade Regional do Noroeste do Esta-do Esta-do Rio Grande Esta-do Sul, como requisito parcial obtenção do grau de Bacharel em Ciência da Computação.

Orientadora: Dra. Fabricia C. Roos Frantz

Santa Rosa, RS - Brasil 2015

(3)

PATRICIA ESTER ULLMANN

Políticas de Segurança da Informação: um estudo de caso baseado

nas normas ABNT NRT ISO / IEC 27014:2013 e ABNT NRT ISO / IEC

27005:2011

Trabalho de Conclusão de Curso apre-sentado ao curso de Ciência da Computação, do Departamento de Ciências Exatas e Engenharias, da Universidade Regional do Noroeste do Esta-do Esta-do Rio Grande Esta-do Sul, como requisito parcial obtenção do grau de Bacharel em Ciência da Computação.

_______________________________ Orientadora: Dra. Fabricia C. Roos Frantz

Banca Examinadora

_______________________________

Santa Rosa, RS - Brasil 2015

(4)

Dedicatória

Dedico este trabalho a todos os professores que já tive, pois sem eles nada seria possível.

(5)

AGRADECIMENTOS

Agradeço primeiramente a Deus, por me permitir a benção de mais uma encarnação, dos erros e aprendizados que só a vida terrena nos proporciona. Aos meus pais por terem me acolhido em sua família, obrigada por terem sido meus primeiros professores, me ensinando o valor do estudo e do trabalho, sem falar dos inúmeros valores morais. Ao meu marido pela paciência e apoio incondicional, obrigada por nunca ter me deixado desistir. Ao senhor Jose, proprietário da empresa Soldas Rosense, pela paciência e ajuda no desenvolvimento deste tra-balho em sua empresa. A todos os professores que já tive principalmente minha orientadora Fabrícia C. Roos Frantz. Agradeço também aos meus amigos que estavam sempre prontos pa-ra dar uma ajuda.

(6)

RESUMO

Com o crescimento desordenado da Internet se criou um ambiente propício ao desen-volvimento de ameaças, as quais se aproveitam da ausência de um ambiente seguro e da defi-ciência de políticas de segurança, trazendo grandes prejuízos às empresas. Consequentemente, devido a essa ausência de segurança, surgiu à necessidade de investimento em Segurança da Informação, o que se deu através da criação de políticas de segurança da informação. Este tra-balho aborda a importância das políticas de segurança da informação, tendo como base as Normas ABNT NBR ISO/IEC 27014:2014 e ABNT NBR ISSO/IEC 27005:2011 no qual se busca mostrar como e porque a utilização destas políticas nas empresas é essencial para o su-cesso dos seus negócios, tendo como objetivo final propor políticas de segurança da informa-ção para uma empresa estudada.

Palavras-chave: Políticas de Segurança da Informação, Segurança da Informação, Normas.

(7)

ABSTRACT

With the uncontrolled growth of the Internet, it was created a favorable environment for the development of threats, which take advantage of the absence of a safe environment and of deficient security policies, bringing great harm to businesses. Consequently, due to this lack of security, there was a need for investment in Information Security, which took place through the creation of information security policies. This work discusses the importance of informa-tion security policies, based on the ISO Standards / IEC 27014: 2014 and ABNT NBR ISO / IEC 27005: 2011.It intends to show how and why the use of such policies in companies is es-sential for the success of its business, aiming at proposing security policies information for a studied company.

(8)

LISTA DE SIGLAS

BD Banco de Dados

SI Segurança da Informação

PSI Políticas de Segurança da Informação SO Sistema Operacional

TI Tecnologia da Informação

SGSI Sistema de Gestão de Segurança da Informação PDCA Plan-Do-Check-Act

ABNT Associação Brasileira de Normas Técnicas NBR Denota uma norma brasileira emitida pela ABNT GSI Governança de Segurança da Informação

(9)

LISTA DE FIGURAS

FIGURA 1 – DIAGRAMA DE CONCEITO DOS COMPONENTES DA POLITICA ... 25 FIGURA 2 – LOCALIZAÇÃO DOS COMPUTADORES NA EMPRESA SOLDAS

ROSEN-SE LTDA. ... 39 FIGURA 3 – NOVA LOCALIZAÇÃO DO SERVIDOR ... 47

(10)

SUMÁRIO

1 INTRODUÇÃO ... 12 1.1 Motivação... 14 1.2 Objetivos ... 15 1.2.1 Objetivo geral ... 15 1.2.2 Objetivo específico ... 15 1.3 Metodologia ... 15 1.4 Estrutura do documento ... 16

2 POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO ... 17

2.1 Definição de informação ... 17

2.2 Definição de segurança da informação ... 20

2.3 Definição de política de segurança da informação ... 21

2.3.1 Etapas para o desenvolvimento de uma política ... 26

2.3.2 Características e benefícios das políticas de segurança ... 28

3 METODOLOGIAS E NORMAS PARA A APLICAÇÃO DAS POLITÍCAS ... 29

3.1 ABNT NBR ISO/IEC 27014:2013 ... 29

3.2 ABNT NBR ISO/IEC 27005:2011 ... 31

3.3 RESUMO DE NORMAS PERTENCENTES À FAMILIA ISO/IEC 27000 ... 33

3.3.1 ABNT NBR ISO/IEC 27001:2006 ... 34 3.3.2 ABNT NBR ISO/IEC 27002:2005 ... 34 3.3.3 ABNT NBR ISO/IEC 27003:2011 ... 36 3.3.4 ABNT NBR ISO/IEC 27004:2010 ... 36 3.3.5 ABNT NBR ISO/IEC 27007:2012 ... 36 4 ESTUDO DE CASO ... 38

4.1 Estrutura dos equipamentos de informática ... 38

4.2 Funcionamento, regras e normas atuais:... 40

5 PROPOSTAS UTIZANDO AS NORMAS E AS POLITICAS DE SEGURANÇA DA INFORMAÇÃO ... 42

5.1 Estabelecer a Segurança da Informação em toda a organização ... 42

5.2 Adotar uma abordagem baseada em riscos ... 42

5.2.1 Identificação dos riscos e coleta de informações ... 42

5.2.2 Avaliação de riscos ... 43

5.2.3 Comunicação e entendimento das probabilidades e consequências. ... 44

(11)

5.3 Estabelecer a direção de decisões de investimento ... 49

5.4 Assegurar conformidade com os requisitos internos e externos ... 49

5.5 Promover um ambiente positivo de segurança, com avaliação e analise dos resultados das PSI. ... 49

6 RESULTADOS ... 51

7 CONSIDERAÇÕES FINAIS ... 53

8 TRABALHOS FUTUROS ... 55

9 PERGUNTAS (ENTREVISTA) ... 56

(12)

1 INTRODUÇÃO

Devido aos avanços tecnológicos, as empresas passaram a ver a informação como um bem de grande valor, patrimônio que deve ser protegido. A perda de informação pode causar grandes prejuízos, os quais se tornam mais graves dependendo da importância que esta tem para a empresa.

Atualmente é muito difícil uma empresa crescer e se manter no mercado, sem utilizar recursos tecnológicos. Todas precisam investir em uma infraestrutura que seja de qualidade, com equipamentos capazes de realizar as tarefas necessárias para seu funcionamento. Com isso, cada vez mais as empresas estão dependentes dos equipamentos eletrônicos para a reali-zação de seus negócios. Com o aumento do uso de ambiente computacionais, mais colabora-dores da empresa possuem acesso aos dados aumentando a vulnerabilidade das informações.

Para Fontes (2006, p.15) o tema segurança da informação está cada vez mais presente nas empresas, devido ao armazenamento e processamento de suas informações em ambientes computacionais, tornando as organizações cada vez mais dependentes desses meios para reali-zar seus negócios. À medida que estas informações são disponibilizadas, todos os colaborado-res que delas necessitam para trabalhar devem ser informados de suas colaborado-responsabilidades pe-rante a segurança e das consequências ao descumprir as normas de segurança.

As empresas ainda têm dificuldade em entender a importância da segurança da in-formação. Elas imaginam que as soluções são caras e não trazem nenhum retorno financeiro e geralmente começam a pensar na implantação de medidas de segurança apenas após terem passado por algum tipo de incidente de segurança, que lhes tenha causado algum prejuízo.

Para ter uma melhor segurança as organizações devem perceber a importância da im-plantação de uma Política de Segurança da informação, já que estas são fundamentais para seus negócios. As empresas devem estar cientes que ao colocarem seus dados em computado-res, suas informações estarão expostas, tornando-se vulneráveis a ataques e acessos não auto-rizados. E ao serem roubadas, estas podem ser facilmente divulgadas na internet, estando dis-ponível a milhares de pessoas. Uma Política de Segurança da informação implantada com efi-ciência dificulta o roubo de informações.

As Políticas de Segurança da Informação foram criadas para padronizar a segurança às informações. Para que estas realmente funcionem, os colaboradores da empresa devem ter conhecimento delas, devem ser treinados para que as compreendam e não as deixem de cum-prir.

(13)

Para Spanceski (2004, p.12) a política de segurança de uma empresa é, provavelmen-te, o documento mais importante em um sistema de gerenciamento de segurança da informa-ção. Ela tem como objetivo normatizar as práticas e procedimentos de segurança da empresa. No entanto ela deve ser simples, objetiva, de fácil compreensão e aplicação. Onde os controles de segurança devem ser definidos para garantir um nível de segurança coerente com o negócio da empresa.

Ainda segundo Spanceski (2004, p.14), o ser humano tem um papel extremamente importante no processo de segurança, pois é através das pessoas que começa e termina os me-canismos de segurança. Tendo estas políticas resultados positivos se as pessoas se comprome-terem com o uso e tiverem consciência dos benefícios para a organização, já que uma política que não é corretamente usada, não poderá trazer tais benefícios.

Segundo Fontes:

“A política não pode, ou melhor, não deve surgir do nada. É necessário que ela esteja alinhada aos objetivos da organização. Onde a partir dos objetivos de negócio, são definidos os objetivos da segurança da informação, que tem como destaque: possibi-litar a realização do negócio no que depende do uso dos recursos de informação.” (FONTES, 2008, p.09).

Para Ferreira e Araújo:

“A política, preferencialmente, deve ser criada antes da ocorrência de problemas com a segurança, ou depois, para evitar reincidências. Ela é uma ferramenta tanto para prevenir problemas legais como para documentar a aderência ao processo de controle de qualidade.” (FERREIRA E ARAÚJO, 2008, p.37).

Sêmola (2003 apud Spanceski,2004, p.36) diz que a política é o elemento que orienta as ações e as implementações futuras, de uma forma global, enquanto as normas abordam os detalhes, como os passos da implementação, os conceitos e os projetos de sistemas e contro-les. Os procedimentos são utilizados para que os usuários possam cumprir aquilo que foi defi-nido na política e os administradores de sistemas possam configurar os sistemas de acordo com a necessidade da organização.

(14)

1.1 Motivação

Com o crescimento acelerado do uso da tecnologia e a alta aquisição de equipamentos tecnológicos, geralmente sem a preocupação de seus usuários com a segurança de suas infor-mações, está ocorrendo um grande aumento da perda e roubo das informações.

Considerando a vulnerabilidade atual das empresas em relação à segurança de seus da-dos, é importante que as empresas tenham a informação como um bem essencial para o seu crescimento no ambiente empresarial.

Uma empresa que não tem uma boa Política de Segurança da informação está sujeita a invasão, perda e modificação de suas informações. A perda das informações gera um custo enorme para as empresas, justificando a necessidade do uso de normas e processos para a pre-venção e medidas de segurança da informação.

A informação é um recurso muito importante para qualquer instituição, podendo ser considerada atualmente como um meio de fazer com que a empresa cresça no ambiente em-presarial. Se esta informação ficar sob conhecimento de pessoas de má-fé, pode comprometer significativamente a imagem da empresa em relação ao mercado e também o andamento dos próprios processos internos.

Para que isso não ocorra, ou diminua a possibilidade de ocorrer, existem normas, pro-cedimentos e regras a serem seguidas. Estas políticas de segurança de informações ajudam a definir e mostrar para as empresas qual o melhor meio de se proteger, servindo de referência e impondo diretrizes que devem ser seguidas para que sejam assegurados seus recursos compu-tacionais e suas informações.

Definindo políticas de segurança da informação, baseado se em normas, consegue se diminuir os riscos com problemas da falta de segurança da informação. Porem pode haver re-sistências em se colocar em prática e aceitar estas novas políticas de segurança no meio em-presarial. Já que estas devem ser seguidas por todos da empresa.

(15)

1.2 Objetivos

1.2.1 Objetivo geral

O objetivo geral deste trabalho é mostrar como e porque a utilização de políticas de segurança da informação nas empresas é essencial para o sucesso dos seus negócios.

1.2.2 Objetivo específico

O desenvolvimento deste trabalho se divide em etapas para que se possa chegar com êxito ao objetivo geral. Portanto, para o cumprimento do objetivo geral definiu-se os seguintes objetivos específicos.

• Fazer uma revisão bibliográfica dos conceitos de políticas da informação e das principais Normas, dando ênfase às Normas ABNT ISO/IEC 27014:2013 e ABNT NBR ISSO/IEC 27005:2011.

• Realizar um estudo de caso, no qual se propõe a utilização de políticas de segu-rança da informação em uma determinada empresa, tendo como base as normas ABNT ISO/IEC 27014:2013 e ABNT NBR ISO/IEC 27005:2011.

• Fazer uma análise da situação da empresa estudada com relação à aplicação de políticas de segurança da informação e equipamentos de informática. Analisar os recursos necessários para a aplicação das normas e a possibilidade da exis-tência de restrições e limitações da empresa em relação à utilização das políti-cas de segurança da informação.

• Identificar oportunidade de melhorias em relação à segurança da informação na empresa, possibilitando a ela um aumento da credibilidade.

• Analisar, identificar e apontar soluções aplicáveis ao ambiente empresarial uti-lizando como referência o estudo de estudo.

1.3 Metodologia

Tendo como base as normas ABNT ISO/IEC 27014:2013 e a ABNT NBR ISO/IEC 27005:2011, será feito um estudo de caso em uma determinada empresa.

(16)

A norma ABNT NBR ISSO/IEC 27014:2014 é uma das referências para assegurar a implantação eficaz de uma Governança de Segurança da Informação nas empresas. Esta nor-ma e a nornor-ma ABNT NBR ISSO/IEC 27005:2011 serão utilizadas para a elaboração de Políti-cas de Segurança da Informação que serão aplicadas a um estudo de Políti-caso a fim de que a em-presa estudada possa chegar o seu nível de conformidade com a norma e assim corrigir seus problemas de segurança da informação.

Os dados e informações para a pesquisa bibliográfica serão realizados através de li-vros de autores diferentes relacionado ao assunto proposto no presente estudo, bem como arti-gos, dissertações publicadas e através de pesquisa virtual.

A coleta de dados, necessária para a análise dos dados será realizada através de uma entrevista junto ao responsável da empresa, buscando elucidar informações específicas e com-preender as necessidades da empresa.

Com a ajuda das normas será feita uma análise dos dados obtidos para descobrir a melhor forma de aplicar as normas, elaborando assim as Políticas de Segurança da informação para a empresa estudada.

1.4 Estrutura do documento

O presente trabalho está estruturado em cinco capítulos. O capítulo um e dois introdu-zem o tema abordado e o referencial teórico, amparando conceitos abordados neste trabalho. O capítulo três apresenta o projeto no qual este trabalho está inserido, onde o estudo de caso será aplicado, já no capítulo quatro se apresenta detalhes da modelagem e implementação das políticas e das normas estudas, o ultimo capítulo apresenta os resultados obtidos e recomenda-ções de melhorias. Posteriormente são apresentas as considerarecomenda-ções finais, abordando as con-clusões obtidas durante a elaboração deste trabalho e as propostas para trabalhos futuros, se-guido das referências bibliográficas.

(17)

2 POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

As Políticas de Segurança da Informação surgiram para criar uma estrutura de segu-rança, visando sempre estarem de acordo com as necessidades das empresas.

Segundo Manoel:

“A política de Segurança da Informação é um mecanismo preventivo de proteção dos dados e processos importantes de uma organização, definindo um padrão a ser seguido pelo corpo técnico e gerencial e pelos usuários internos ou externos, ou seja, todos os funcionários devem seguir os seus preceitos. Pode ser usada para definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e a Segurança da Informação dos sistemas atuais. Essa política é um conjunto de regras que determina qual deve ser o comportamento das pessoas que se relacionam com a organização, no que se refere ao tratamento da informação. Deve ser um documento simples e de fácil entendimento. Deve ser claro e conciso, pois será lido por todas as pessoas que têm algum vínculo com a organização e por todos os níveis hierárquicos. A alta direção deve demonstrar comprometimento e apoio à política da Segurança da Informação como instrumento para a proteção das informações organizacionais, objetivando a continuidade das operações e a confiança da comunidade, envolvida em seus processos. Essa política de SI também deve ser divulgada a todos, bem como analisada e revida criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias.” (MANOEL, 2013, p.91).

Devido à ocorrência de incidentes de segurança nas empresas, as informações preci-sam estar cada vez mais protegidas, de modo que medidas de segurança sejam implementadas para assegurar e garantir a segurança da informação. Uma das medidas de segurança que pode ser implantada pelas organizações são as políticas de segurança da informação, que têm por objetivo definir procedimentos, normas, ferramentas e responsabilidades para garantir o con-trole e a segurança da informação na empresa. Estas políticas de segurança devem ser defini-das de acordo com os objetivos do negócio defini-das empresas, sendo que sua implementação e su-cesso dependerá de sua divulgação para todos os funcionários. (SPANCESKI, 2004, p.45)

2.1 Definição de informação

A informação nos proporciona o conhecimento de como o universo esta evoluído. Ela é mais que um conjunto de dados, pois pode transformar algo com pouco significado em um recurso de valor para a nossa vida pessoal ou profissional. Para as empresas a informação é um bem, e tem um valor, por isso deve ser protegida com políticas e regras, da mesma manei-ra que os recursos financeiros e materiais são tmanei-ratados dentro da empresa. Nenhuma

(18)

organiza-ção consegue estabelecer estratégias sem utilizar informações, e a empresa que dispõe de in-formações corretas na hora que precisa, consegue garantir mais clientes em uma possível dis-puta entre concorrentes empresariais (FONTES 2006, p.02). Devemos ter em vista que inde-pendente do formato da informação, ela é um ativo importante para as empresas, sendo indis-pensável à proteção dos ambientes e equipamentos usados para guardar e manipular estas in-formações.

Segundo Spanceski (2004, p.21), o usuário espera que suas informações estejam dis-poníveis no momento e local que determinar que sejam confiáveis corretas e mantidas fora do alcance de pessoas não autorizadas. Essas expectativas do usuário podem ser traduzidas como objetivos ou princípios da segurança.

As informações devem ser protegidas no momento em que é produzida, no seu ma-nuseio, no seu armazenamento, no transporte, ou seja, o encaminhamento desta informação por correio eletrônico ou no dialogo entre pessoas ou no transporte por meio de envelopes, ate seu descarte, momento onde a informação é deletada.

A norma ABNT NBR ISO/IEC 27002:2005 “define a informação como um ativo im-portante, sendo essencial para os negócios de uma organização, consequentemente, necessi-tando ser adequadamente protegida. A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for à forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é reco-mendado que ela seja sempre protegida adequadamente.”

Para Spanceski (2004, p.31) a informação deve ser classificada de acordo com seu grau de importância, garantindo assim, a proteção adequada para cada informação. Existem informações que podem ser divulgadas sem afetar o negócio da organização, porém, existem informações que são confidenciais e o acesso a elas deve ser extremamente controlado, evi-tando que possam ser acessadas por pessoas não autorizadas e prejudicar a organização

De acordo com Ferreira e Araújo (2008, p.44), as principais propriedades da infor-mação e da segurança da inforinfor-mação são:

(19)

• Confidencialidade: se deve tentar garantir que somente pessoas autorizadas pe-la empresa a ter acesso à determinada informação consigam acessar os dados.

• Integridade: toda a informação deve ser guardada, para que quando se queira acessá-la, esta esteja disponível da mesma forma que foi salva. Ou seja, todas as alterações, adições das informações, devem ser autorizadas pelas empresas.

• Disponibilidade: se deve tentar garantir que usuários acessem a informação correspondente sempre que necessário. Esta informação deve estar disponível para as pessoas autorizadas sempre que estas a necessitem.

• Legalidade: toda a informação usada deve estar de acordo com as leis aplicá-veis, regulamentos, licenças e contratos.

• Auditabilidade: todo o acesso à informação deve ser registrado, para garantir o reconhecimento de quem acessou determinada informação. O serviço de au-tenticação em um sistema deve assegurar que a mensagem é realmente proce-dente da origem informada em seu conteúdo.

• Não repúdio: o usuário não pode negar que fez o acesso, pois existem meios de reconhecer e localizar seu acesso.

Ainda segundo Ferreira e Araújo (2008, p.81), a informação deve ser organizada em níveis, onde cada empresa define a classificação de suas informações.

No primeiro nível estão às informações públicas, aquelas que todos têm acesso, não precisando de segurança, pois ao serem divulgadas fora da empresa, não trazem consequên-cias aos negócios da empresa. Como estas informações são liberadas, os recursos de armaze-namento não precisam de muito investimento.

No segundo nível, estão as informações internas, estas que de preferência não podem sair da empresa, porém caso isso ocorra não trará consequências graves à empresa. Estas in-formações precisam de mais cuidado com o seu armazenamento, devem ficar em áreas com acesso restrito, controlado e seu descarte não pode ser feito de qualquer forma, este deve ser controlado.

(20)

Por último, estão as informações confidenciais, que devem estar protegidas do acesso externo e de pessoas não autorizadas da empresa. Pois se saírem da empresa ou forem acessa-das por pessoas não autorizaacessa-das, a empresa terá grandes problemas com sérias consequências. O armazenamento destas informações deve ser feito de forma segura, tendo o envolvimento do responsável, sendo o seu acesso controlado, e ao serem excluídas, devem passar por uma ferramenta que destrua estas informações.

Depois de classificar as informações, estas precisam ser monitoras pelos responsáveis da empresa, pois do contrário este processo não trará o retorno esperado. É importante consci-entizar os usuários de que eles também são responsáveis pela segurança da informação, que sem a sua ajuda e comprometimento em manter as informações da empresa em sigilo, nenhu-ma classificação irá funcionar. Também é importante lembrar aos colaboradores que ao des-cumprir as normas de segurança estes estão sujeitos a medidas disciplinares da empresa.

2.2 Definição de segurança da informação

As empresas costumavam guardar suas informações em folhas de papel e as manti-nham em segurança em gavetas com chave. Hoje elas estão colocando tais informações em equipamentos tecnológicos, podendo em um simples descuido publicá-las na internet. Desta forma, estas informações estarão acessíveis a milhares de pessoas, que com tais informações podem criar grandes problemas para a empresa.

A dificuldade em entender a importância de segurança ainda é muito grande. A segu-rança ainda é um campo relativamente novo, muitas empresas ainda não conseguem perceber a sua importância, imaginando apenas que as soluções são caras e não trazem nenhum retorno financeiro, não imaginando as consequências que a falta da segurança poderá trazer para todo o negócio da empresa. (SPANCESKI, 2004, p.26)

A Segurança da informação visa proteger as informações das empresas contra possí-veis perdas, roubo ou acessos não autorizados, e garantir a integridade, disponibilidade, confi-dencialidade, auditabilidade e o não repúdio das informações.

“A segurança da informação deve estar ligada diretamente aos objetivos de negócio. A segurança da informação não deve existir para ela mesma, o processo de segurança da informação por si só não tem valor; a segurança da informação deve existir para atender à organização e aos seus objetivos de negócio.” (FONTES, 2012, p.08).

(21)

A norma ABNT NBR ISO/IEC 27002:2005 define, “Segurança da informação como a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. Sendo a segurança, obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e fun-ções de software e hardware. Estes controles precisam ser estabelecidos, implementados, mo-nitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objeti-vos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.”

2.3 Definição de política de segurança da informação

A Política de Segurança expressa um conjunto, estrutura de normas, diretrizes, regras, métodos e procedimentos, servindo como um manual, que podem ser utilizados pelas empre-sas para garantir a manutenção da segurança da informação. Estas políticas devem ser comu-nicadas a todos os usuários que tem acesso a estas informações. (FERREIRA E ARAÚJO, 2008, p.36). Ou seja, as políticas definem o que pode e o que não pode ser feito dentro de uma determinada empresa, e como os membros da empresa devem fazer para assegurar um ambi-ente mais seguro para suas informações, diminuindo os riscos e as ameaças, servindo como um pilar da eficácia da Segurança da Informação, estabelecendo investimentos em recursos humanos e tecnológicos.

Os propósitos básicos de uma política de Segurança da informação vão desde descre-ver o que está sendo protegido e por que, quem vai cuidar para que esta seja aplicada de forma correta e justa, quais informações têm maior prioridade de segurança, até quais os custos desse processo e as responsabilidades de cada um na empresa. (FERREIRA E ARAÚJO, 2008, p.36).

Segundo Fontes (2008, p.09) a política de segurança mostra qual é a filosofia usada pela organização, visando assegurar que todas as suas informações e de seus clientes estejam protegidas de possíveis perdas e roubos. Lembrando sempre que as políticas devem estar con-forme o que o responsável pela empresa precisa. Ou seja, a política de segurança serve para assegurar que as informações recebam a proteção conveniente, mantendo a integridade a con-fiabilidade e a disponibilidade da informação.

(22)

O mesmo autor na edição mais recente de seu livro ressalta que:

“A política é o mais alto nível de declaração do que a organização acredita e quer que exista em todas as suas áreas. A política é uma diretiva da direção executiva para criar um programa de segurança da informação, estabelecer seus objetivos e definir responsabilidades. O principal documento da política indicará qual é a filosofia da organização para o uso da informação pelos seus funcionários, prestadores de servi-ço, estagiários, diretores, acionistas a até pelo executivo-presidente. As regras defi-nidas valem para todos. E se o tratamento for diferente para tipos de usuários dife-rentes, esta definição deve estar formalizada na política e nos demais regulamentos de segurança da informação.” (FONTES, 2012, p.15).

Uma política deve ser constantemente revista, para ver possíveis atualizações e pos-síveis melhorias, sempre garantindo a segurança das informações nas empresas.

Para Fontes (2008, p.45), as Políticas, as normas e os procedimentos dão validade ao processo de segurança da informação, sendo estas aplicadas para:

• Garantir o acesso à informação. Onde será verificado qual o usuário está aces-sando, sua permissão e se a senha está correta. Definindo quem pode e quem não pode ter acesso, através de possíveis técnicas de autenticação.

• Classificar a informação. Definições de quais informações devem ter maior controle de segurança, através de classificação destas informações.

• Enfrentar situações de contingência. Garantir, que a empresa volte a funcionar o mais rápido possível no caso de algum problema em relação à queda de ener-gia, roubo de dados, vírus nos computadores, enchentes entre outras situações.

• Garantir a resiliência operacional. Tendo a capacidade de voltar ao seu estado normal depois de ter sofrido alteração.

• Proteger o ambiente físico e de infraestrutura. Garantia de que a infraestrutura, água, energia e temperatura estão adequadas para o uso pelos recursos de in-formação.

• Desenvolver aplicações para ter metodologias e documentações, garantindo a segurança e o conhecimento.

(23)

• Tratar incidentes de segurança. Registrar incidentes e mostrar soluções, o mais rápido possível.

• Garantir informações para atividade forense com treinamentos aos usuários pa-ra que estes possam resolver problemas e realizar análise forense de situações de fraude, erro ou recuperação de informações.

• Proteger recursos de tecnologia de possíveis acessos não autorizados, colocan-do proteção nos computacolocan-dores e na rede, garantincolocan-do sempre produtos atualiza-dos.

• Conscientizar e treinar os usuários. Proporcionar treinamentos para que tenham conhecimento de como evitar perdas das informações e de quais são os regu-lamentos adotados.

• Definir a área organizacional da segurança da informação. Definição de onde a segurança deve ser aplicada, quais os setores com mais problemas, assim como a identificação dos processos necessários para a gestão da segurança da infor-mação.

• Evitar fraudes pela tecnologia Definir meios de monitoramento e medidas pre-ventivas, maneiras de achar as fraudes.

Segundo Wadlow (2000 apud Spanceski 2004, p.33) uma política de segurança aten-de a vários propósitos, aten-dentre eles:

• Descrever o que está sendo protegido e por quê.

• Definir prioridades sobre o que precisa ser protegido em primeiro lugar e com qual custo.

• Estabelecer um acordo explícito com várias partes da empresa em relação ao valor da segurança.

• Fornecer ao departamento de segurança um motivo válido para dizer “não” quando necessário.

(24)

• Proporcionar ao departamento de segurança a autoridade necessária para sus-tentar o “não”.

• Impedir que o departamento de segurança tenha um desempenho fútil.

Para que uma Política de Segurança da Informação seja efetiva nos órgãos e entida-des da Administração Pública Federal, foi criado o decreto n° 3505, de Junho de 2000, que tem como pressupostos básicos:

“1°- Assegurar a garantia ao direito individual e coletivo das pessoas, à inviolabili-dade da sua intimiinviolabili-dade e ao sigilo da correspondência e das comunicações, nos ter-mos previstos na Constituição.

2°-Proteção de assuntos que mereçam tratamento especial. 3°- Capacitação dos segmentos das tecnologias sensíveis.

4°- Uso soberano de mecanismos de segurança da informação, com o domínio de tecnologias sensíveis e duais.

5°- Criação, desenvolvimento e manutenção de mentalidade de segurança da infor-mação.

6°-Capacitação científico-tecnológica do País para uso da criptografia na segurança e defesa do Estado.

7°-Conscientização dos órgãos e das entidades da Administração Pública Federal so-bre a importância das informações processadas e soso-bre o risco da sua vulnerabilida-de. ”(BRASIL, Decreto n°3505, Julho de 2000).

Para efeitos da Política de Segurança da Informação, ficam estabelecidas as seguintes conceituações:

“1°- Certificado de Conformidade: garantia formal de que um produto ou serviço, devidamente identificado, está em conformidade com uma norma legal;

2°- Segurança da Informação: proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação de-sautorizada de dados ou informações, armazenados, em processamento ou em trânsi-to, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desen-volvimento. "(BRASIL, Decreto n°3505, Julho de 2000).

Tendo como principais objetivos:

“1°- dotar os órgãos e as entidades da Administração Pública Federal de instrumen-tos jurídicos, normativos e organizacionais que os capacitem científica, tecnológica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não-repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis;

(25)

2°- eliminar a dependência externa em relação a sistemas, equipamentos, dispositi-vos e atividades vinculadas à segurança dos sistemas de informação;

3°- promover a capacitação de recursos humanos para o desenvolvimento de compe-tência científico-tecnológica em segurança da informação;

4°- estabelecer normas jurídicas necessárias à efetiva implementação da segurança da informação;

5°- promover as ações necessárias à implementação e manutenção da segurança da informação;

6°- promover o intercâmbio científico-tecnológico entre os órgãos e as entidades da Administração Pública Federal e as instituições públicas e privadas, sobre as ativi-dades de segurança da informação;

7°-promover a capacitação industrial do País com vistas à sua autonomia no desen-volvimento e na fabricação de produtos que incorporem recursos criptográficos, as-sim como estimular o setor produtivo a participar competitivamente do mercado de bens e de serviços relacionados com a segurança da informação;

8°- “assegurar a interoperabilidade entre os sistemas de segurança da informação”. (BRASIL, Decreto n°3505, Julho de 2000).

Para Spanceski (2004, p.34) a implementação pode ser considerada a parte mais difí-cil da política de segurança, pois sua criação e definição envolvem conhecimentos abrangen-tes de segurança, ambiente de rede, organização, cultura, pessoas e tecnologias, sendo uma tarefa complexa e trabalhosa.

Segundo Dimitri (2002 apud Spanceski 2004, p.35), podemos dividir a política de segurança em três tipos: nível estratégico, nível tático e nível operacional, como mostram a figura abaixo e descrição a seguir:

Figura 1: Diagrama de conceito dos componentes da política

(26)

No nível estratégico estão as decisões e situações do dia-a-dia que precisam ser reali-zadas. Neste nível deve-se decidir a melhor solução para a resolução dos problemas.

No nível tático pensa-se em padronização de ambiente. Neste nível se abrange os e-quipamentos, softwares, senhas, utilização de correio eletrônico, cópias de segurança, segu-rança física, entre outros, para que todos os ativos da empresa consigam ter o mesmo nível de segurança.

Já no nível operacional se tem o detalhamento para garantir a perfeição no atendimento e continuidade dos negócios, independentemente do fator humano. Se a configuração está no papel, ou seja, se existe um padrão formalizado, então este padrão deve ser seguido e a confi-guração deve ser realizada de forma igual por todos. A parte operacional da política de segu-rança vem exatamente para padronizar esses detalhes de configurações dos ambientes. Pode-se ter um padrão para toda a empresa, ou Pode-se existirem várias filiais pelo país, um padrão por estado. Isso irá depender da necessidade da empresa. O importante é saber que há a necessida-de necessida-desse padrão.

2.3.1 Etapas para o desenvolvimento de uma política

Para Ferreira e Araújo (2008, p.37) as políticas devem ser simples, flexíveis para poderem ser alteradas pelos representantes das empresas e de fácil compreensão para seus u-suários. Também possibilitar sua implantação por etapas, sempre seguindo os padrões da em-presa, e orientando sobre os riscos ao não seguir de forma correta uma política. Estas políti-cas não precisam ser sempre normas proibitivas ou punitivas, mas também positivas para a organização, e, o mais importante, devem ser aprovadas pela alta administração.

Segundo os mesmos autores, a construção e a aplicação das normas devem ser feitas em quatro etapas, as quais estão descritas abaixo:

Na primeira fase é realizado o levantamento de informações, onde se tem a obtenção dos padrões, normas e procedimentos de segurança. Fazendo um entendimento das necessida-des e uso dos recursos da tecnologia da informação. Assim como a obtenção de informação sobre os ambientes de negócios e tecnológicos nas empresas.

(27)

• A segunda fase abrange o desenvolvimento do conteúdo da Política e Normas de Segurança. Visando o gerenciamento da política de segurança, as atribuições de regras e responsabilidades, os critérios para a classificação das informações, e os procedimentos de segurança de informações.

• Na terceira fase se tem a elaboração dos procedimentos de Segurança da Informa-ção, com pesquisas sobre as melhores práticas em segurança da informação utili-zadas no mercado, desenvolvimento de padrões a serem discutidos com a alta ad-ministração e formalização dos procedimentos para a integração as políticas cor-porativas da empresa.

• Na quarta fase ocorre a revisão, aprovação e implantação das Políticas, Normas e Procedimentos de Segurança da informação.

Os mesmos autores ainda citam alguns itens importantes para o sucesso da Política de Segurança.

• Formalização dos processos e instruções de trabalho, pois assim fica registrada para o conhecimento de todos da empresa, as políticas de segurança adotadas pela organização.

• Utilização de tecnologias capazes de prover segurança pode melhorar a segu-rança da informação nas empresas.

• Atribuição formal das responsabilidades e das respectivas penalidades, só as-sim, uma política será respeitada por seus usuários, estas devendo ser aplica-das de forma igual a todos, não havendo distinção entre os cargos.

• Classificação das informações, com isso é possível ver quais informações po-dem ser acessados em cada setor da empresa. Diferenciando as que popo-dem ser acessadas por todos das que são restritas.

• Treinamento e conscientização constantes, sem fazer um treinamento são pos-síveis que os funcionários não compreendam as políticas implantadas, e assim

(28)

não façam uso destas. E sempre lembrando que a segurança da empresa de-pende de todos.

2.3.2 Características e benefícios das políticas de segurança

Para que a política funcione, Ferreira e Araújo (2008, p.45) sugerem que ela tenha as seguintes características:

• Ser verdadeira, onde é expresso o pensamento da empresa e coerente com as ações da organização. Ou seja, deve ser possível o seu cumprimento.

• Ser complementada com a disponibilidade de recurso, com o apoio financei-ro para que possa ser implementada ao longo do tempo. A política de segu-rança precisa ser um processo contínuo, assim como a segusegu-rança de rede que ela representa. Se não for mantido atual, o documento tornar-se-á obsoleto rapidamente.

• Ser válida para todos. Todos da os usuários desde o presidente ao recém- contratado, devem segui-la. Todos precisam saber que poderão ser punidos se executarem ou deixarem de executar determinadas ações. Para agir de a-cordo com a política, é necessário realmente punir as pessoas que a violarem. Não obedecer a um destes princípios poderá invalidar qualquer política. As dificuldades surgem na definição e aplicação de penalidades. Estas questões de penalidades devem estar bem claras desde o início.

• Ser simples, para que todos a entendam de forma clara. Deve-se tentar evitar termos técnicos que sejam de difícil compreensão. Uma política de segurança deve ser de fácil entendimento para toda a organização, se ninguém ler ou se todos lerem, e não conseguirem entender, a política de segurança não será seguida. Para proporcionar algum benefício, é necessário que a política esteja nas mãos das pessoas que deverão utilizá-la e, portanto, precisarão ler e lem-brar seu conteúdo.

• Comprometimento da alta administração da organização: Deve ser assinado pelo mais alto executivo, formalizando seu apoio à política.

(29)

3 METODOLOGIAS E NORMAS PARA A APLICAÇÃO DAS

POLI-TÍCAS

Segundo Ferreira e Araújo (2008, p.25), as normas surgiram devido à busca por pa-drões de mercado e à dificuldade nas áreas de TI, em manterem seus próprios modelos e estru-turas de segurança da informação.

As normas segundos os mesmos autores, tem como objetivo definir regras e instruções de controle, onde cada norma trata de um tema especifico e defini seus próprios critérios de aplicação. Como a tecnologia não para de evoluir as normas também precisam ser constante-mente atualizadas, deixando as empresas sempre com políticas de segurança atuais e moder-nas.

3.1 ABNT NBR ISO/IEC 27014:2013

No dia 25, de junho de 2014, a Associação Brasileira de Normas Técnicas (ABNT) publicou a norma ABNT NBR ISO/IEC 27014:2013 - Tecnologia da Informação - Técnicas de Segurança - Governança de segurança da informação, esta sendo elaborada pelo Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21). Esta norma que in-forma uma série de ações para implementar uma Governança de Segurança da Inin-formação (GSI).

“A norma ABNT NBR ISO/IEC 27014:2013, fornece orientações sobre conceitos e princípios para a governança de segurança da informação, pela qual as organizações podem avaliar dirigir, monitor e comunicar as atividades relacionadas com a segu-rança da informação dentro da organização.” (MANOEL, 2013. p.30)

Como a norma ABNT NBR ISO/IEC 27014:2013 não especifica quem e como ela de-ve ser implementada nas empresas, se propôs o modelo GSI o qual tem como objetivo alinhar a estratégia da Segurança da informação com os objetivos do negócio da organização, dando mais valor aos responsáveis pela empresa, e ainda assegurando que os riscos da informação sejam direcionados aos responsáveis. Após a implementação da Governança de segurança da informação, a alta direção da empresa terá clareza sobre a segurança de suas informações, possibilitando investimentos e uma abordagem rápida em relação aos riscos existentes, assim como a conformidade com os regulamentos (MANOEL, 2013. p.30).

(30)

Segundo Manoel (2013, p.31), a ABNT NBR ISO/IEC 27014:2013 mostra os princí-pios da Governança de Segurança da informação, definindo como a Segurança deve ser usada pelas empresas.

Sendo os princípios descritos abaixo:

“Princípio 1- Estabelecer a Segurança da Informação em toda a organização. A Segurança da Informação deve se tratada em um nível organizacional. Como ela está presente em todos os ativos de informação da organização, deverá ser levada em consideração nos processos de negócio, incluído a sua atribuição de responsabilida-de para a alta direção e as responsabilida-demais partes interessadas”. (MANOEL, 2013. p.31)

“Princípio 2- Adotar uma abordagem baseada em riscos. Para implantar uma ges-tão de riscos, a organização deverá utilizar a norma ABNT NBR ISSO/IEC 27005:2011. Ela deverá auxiliar quais os ricos serão identificados e tratados pelas ações de Segurança da Informação. A organização deverá incluir a definição do seu apetite para o risco estabelecendo o quanto se segurança é aceitável para os proces-sos de negócios funcionarem sem imprevistos.” (MANOEL, 2013. p.31)

“Princípio 3- Estabelecer a direção de decisões de investimento. A organização deve ter decisões sobre quanto e onde investir em Segurança da Informação, incluin-do aprovação de ações, projetos e as técnicas de justificação. Esse processo visa res-ponder a três perguntas: quanto gastar? Em que gastar? Como reconciliar necessida-des de diferentes grupos de interesse”. (MANOEL, 2013. p.31)

“Princípio 4- Assegurar conformidade com os requisitos internos e externos. A organização deve buscar sempre conformidade com requisitos externos que são le-gais, regulamentos ou contratuais, por meio de políticas e ações de Segurança da In-formação que atendam à legislação e a regulamentações pertinentes obrigatórias, as-sim como os requisitos de negócio ou contratuais e a outros requisitos externos ou internos”. (MANOEL, 2013. p.31)

“Princípio 5- Promover um ambiente positivo de segurança. O ativo de informa-ção mais importante para a Segurança da informainforma-ção são as pessoas. A organizainforma-ção deve dedicar tratamento especial às pessoas, por meio de um processo de conscienti-zação e treinamento periódico em SI para todos os funcionários, prestadores de ser-viços e terceiros”. (MANOEL, 2013. p.31)

“Princípio 6- Analisar criticamente o desempenho em relação aos resultados de

negócios. A organização deve estabelecer um processo para avaliar e monitorar

pe-riodicamente os resultados das ações de Segurança da Informação. Deve estabelecer um processo de medição de desempenho para monitorar, auditoria e melhoria, asso-ciando, assim, o desempenho da SI com desempenho do negocio.” (MANOEL, 2013. p.31)

O mesmo autor ainda ressalta que segundo a norma ABNT NBR ISO/IEC 27014:2013, os objetivos da GSI são:

“Alinhar os objetivos e a estratégia da Segurança da Informação com os objetivos e a estratégia do negócio da organização.” (MANOEL, 2013. p.32)

(31)

“Agregar valor para a alta direção e para as partes interessadas.” (MANOEL, 2013. p.32)

“Garantir que os riscos da informação estão sendo adequadamente endereçados para as pessoas responsáveis.” (MANOEL, 2013. p.32)

Os resultados desejados depois da implantação eficiente do GSI segundo a norma ABNT NBR ISO/IEC 27014:2013 são:

“Visibilidade da alta direção sobre a situação da Segurança da Informação.” (MA-NOEL, 2013. p.32)

“Uma abordagem ágil para a tomada de decisões sobre os riscos da informação.” (MANOEL, 2013. p.32)

“Investimentos eficientes e eficazes em Segurança da Informação.” (MANOEL, 2013. p.32)

“Conformidade com requisitos externos (legais regulamentares ou contratuais).” (MANOEL, 2013. p.32)

3.2 ABNT NBR ISO/IEC 27005:2011

No dia 17 de Novembro de 2011, a Associação Brasileira de Normas Técnicas (ABNT) publicou mais uma norma para fazer parte da série de normas ISO27000, esta que ficaria conhecida como ABNT NBR ISO/IEC 27005:2011 - Tecnologia da Informação - Téc-nicas de Segurança - Governança de segurança da informação. Esta norma que fornece diretri-zes para o processo de gestão de riscos de segurança da informação, foi elaborada para facili-tar a implementação da segurança da informação. Sua base está na abordagem de gestão de riscos, podendo ser aplica a todos os tipos de organizações, grandes, pequenas ou medias, desde que tenham a pretensão de gerir os riscos que poderiam comprometer a sua segurança da informação.

Segundo a norma ABNT NBR ISO/IEC 27005:2011, o processo da gestão de riscos consiste na definição do contexto, análise/avaliação de riscos, tratamento do risco, aceitação do risco, comunicação do risco e monitoramento e análise crítica destes riscos.

Na análise/avaliação dos riscos será feita a identificação dos riscos, considerando as ameaças e as vulnerabilidades associadas aos ativos de informação para, em seguida, serem

(32)

estimados os níveis de riscos de modo que eles sejam avaliados obtendo a probabilidade dos incidentes. (Diário Oficial da União, 2013).

O gerenciamento de riscos de segurança da informação deve tratar o conjunto de pro-cessos que permitem identificar e implementar as medidas de proteção, estas que são necessá-rias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos. Este gerenciamento pode ser aplicado à organização como um todo, a uma área específica da organização, a qualquer sistema de informações, a controles já existentes, aos planejados ou apenas aos aspectos parti-culares de um controle (Diário Oficial da União, 2013).

A norma ABNT NBR ISO/IEC 27005:2011 mostra como as empresas devem fazer o gerenciamento de riscos de segurança da informação. Abaixo estão descritos os principais meios para fazer este gerenciamento. (SANTANA, 2012).

• A identificação dos riscos. Onde se faz o processo de localização das fontes de riscos e listagem dos elementos de riscos. Para que assim se possa diminuir a probabilidade de ocorrência de um risco. Verificação dos setores com mais vulnerabilidade na empresa.

• O processo de avaliação de riscos em função dos impactos ao negócio e as pro-babilidades de sua ocorrência. Devem ser analisados todos os possíveis riscos, para que assim se saiba o quanto afetarão a empresa, ajudando-a a tomar deci-sões sobre ações futuras. Verificar os riscos para que possam trazer benefícios ao invés de problemas.

• A comunicação e entendimento da probabilidade e das consequências destes riscos. Deixar a todos cientes de que quando um risco ocorrer as pessoas res-ponsáveis pela fiscalização devem tomar conhecimento, pois só assim será possível melhorar a segurança para que o problema não volte a ocorrer.

• O estabelecimento de prioridade para tratamento do risco. Verificar quais seto-res devem ter maior segurança, quais as pessoas que devem ter acesso a estes dados.

(33)

• A priorização das ações para reduzir a ocorrência dos riscos. Fazer com que to-dos na empresa saibam quais os riscos que podem ocorrer, para que juntos con-sigam reduzir a ocorrência dos riscos.

• O envolvimento das partes interessadas quando as decisões de gestão de riscos são tomadas e para que as partes interessadas sejam mantidas informadas sobre a situação da gestão de riscos; Todas as mudanças devem ser informadas aos responsáveis, para que estes fiquem sabendo e possam tomar as medidas pre-vistas.

• A eficácia do monitoramento do tratamento dos riscos: Tudo deve ser monito-rado, não podendo ter exceções. Um monitoramento eficiente não deixa que possíveis problemas voltem a ocorrer.

• O monitoramento e análise crítica periódica dos riscos e do processo de gestão de riscos: Se faz a verificação se os processos aderidos estão tendo o retorno esperado, se estão garantindo a segurança.

• A coleta de informações de forma a melhorar a abordagem da gestão de riscos: Perguntar para todos os usuários do sistema de segurança como está o anda-mento, para que se possa adequar às necessidades de todos os envolvidos.

• O treinamento de gestores e suas equipes a respeito dos riscos e das ações para mitigá-los. Não adianta implantar um sistema de segurança se os usuários não sabem do que se trata e como devem usá-lo. Um treinamento eficiente ajuda a diminuir os problemas e garante que todos tenham conhecimento do funciona-mento da empresa.

3.3 RESUMO DE NORMAS PERTENCENTES À FAMILIA ISO/IEC 27000

Com as normas da família ISO 27000 podemos entender os requisitos, as necessidades de se implantar uma Política de Segurança de Informação, programar e operar controles de riscos, para assim monitorar o desempenho dentro da empresa, se realmente as Políticas estão funcionando e também promover melhorias nas empresas.

(34)

3.3.1 ABNT NBR ISO/IEC 27001:2006

A norma ABNT NBR ISO/IEC 27001:2006 promovia a adoção de uma abordagem de processo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e me-lhorar o Sistema de Gestão de Segurança da Informação. A norma adotava o modelo conheci-do como “Plan-Do-Check-Act” (PDCA), que é aplicaconheci-do para estruturar toconheci-dos os processos conheci-do Sistema de Gestão da Segurança da Informação (SGSI). A norma permitia que as organiza-ções no mundo todo pudessem certificar suas práticas de gestão de Segurança da informação. (MANOEL, 2013, p.90).

Essa norma foi substituída pela ABNT NBR ISO/IEC 27001:2013, a qual manteve os requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI dentro do contexto da organização. Esta Norma também inclui requisitos para a avaliação e tratamen-to de riscos de segurança da informação voltados para as necessidades da organização. (ABNT Catalogo, 2013).

3.3.2 ABNT NBR ISO/IEC 27002:2005

Segundo MANOEL (2013, p.90), a norma ABNT NBR ISO 27002:2005 continha 11 seções de controles de segurança da informação, que juntas totalizam 39 categorias principais de segurança e uma seção introdutória que abordava a análise/avaliação e o tratamento de ris-cos. Cada seção continha um número de categorias principais de segurança da informação. As 11 seções (acompanhadas com o respectivo número de categorias) são descritas a seguir:

• Política de Segurança da Informação (1 categoria);

• Organizando a Segurança da Informação (2 categorias);

• Gestão de Ativos (2 categorias);

• Segurança em Recursos Humanos (3 categorias);

• Segurança Física e do Ambiente (2 categorias);

• Gestão das Operações e Comunicações (10 categorias);

(35)

• Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação (6 categorias);

• Gestão de Incidentes de Segurança da Informação (2 categorias);

• Gestão da Continuidade do Negócio (1 categoria);

• Conformidade (3 categorias).

A norma ABNT NBR ISO 27002:2005 foi substituída pela norma ABNT NBR I-SO/IEC 27002:2013, a qual fornece diretrizes para práticas de gestão de segurança da infor-mação e normas de segurança da inforinfor-mação para as organizações, incluindo a seleção, a im-plementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização (ABNT Catalogo, 2013).

O objetivo da Norma ABNT NBR ISO 27002:2005 segundo a própria ABNT NBR ISO/IEC 27002 (2005), é estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.

Os objetivos definidos na norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação. Os objetivos de controle e os controles têm como finalidade ser implementados para atender aos requisitos identificados por meio da aná-lise/avaliação de riscos. A norma pode servir como um guia prático para desenvolver os pro-cedimentos de segurança da informação da organização e as eficientes práticas de gestão da segurança, e para ajudar a criar confiança nas atividades interorganizacionais.

Na nova norma houve o aumento do número de seções e a eliminação do número de controles à mudança de terminologias e estrutura de seções. A ação preventiva foi substituída por ações para enfrentar riscos e oportunidades. Abaixo segue a nova organização (ABNT Ca-talogo, 2013).

• Política de Segurança da Informação;

• Organizando a Segurança da Informação;

(36)

• Segurança em Recursos Humanos;

• Controle de Acesso;

• Criptografia;

• Segurança Física e do Ambiente;

• Segurança das Operações;

• Comunicação de Segurança;

• Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;

• Relacionamento com Fornecedor;

• Gerenciamento de Incidentes de SI;

• Conformidade;

3.3.3 ABNT NBR ISO/IEC 27003:2011

A norma ABNT NBR ISO 27004:2010, publicada em 01 de Abril de 2010, em vigor a partir do dia 01 de Maio de 2010, fornece orientação às empresas para que estas melhorem a eficiência dos seus SGSI, além de disponibilizar indicadores e formas de mensurar essa efici-ência e eficácia (MANOEL, 2013, p.92).

3.3.4 ABNT NBR ISO/IEC 27004:2010

A norma ABNT NBR ISO 27004:2010 foi publicada em 01 de Abril de 2010 entrando em vigor a partir do dia 01 de Maio de 2010, fornecem orientação de ajuda às empresas, para que melhorem a eficiência dos seus sistemas de gestão de Segurança da Informação. Tendo para isso indicadores e formas de medir a eficiência e eficácia do SGSI. (MANOEL, 2013, p.92).

3.3.5 ABNT NBR ISO/IEC 27007:2012

A norma ABNT NBR ISO 27007:2012, publicada em 22 de Junho de 2012, em vigor a partir do dia 22 de Julho de 2012, fornece diretrizes de como gerenciar um programa de

(37)

audi-tores de SGSI. Sua aplicação se destina a todos que precisam gerenciar ou entender ou realizar auditorias internas ou externas de um SGSI (MANOEL, 2013, p.93).

(38)

4 ESTUDO DE CASO

A empresa estudada é uma micro empresa que atua no mercado industrial desde 26 de agosto de 1986, com manutenção de máquinas de solda e ferramentas elétricas, assim como a venda de peças. Está localizada atualmente na Rua Nolar Kruel, número 180, no município de Santa Rosa.

Inicialmente, a empresa denominou-se Eletro Mecânica Noroente LTDA, localizada na Rua Ector Beltrame com a Fernando Albino da Rosa em uma peça com 8x12m², sendo seus fundadores o senhor Jose Finkler e senhor Roberto Modes. Após dois anos a empresa com-prou a propriedadena Rua Nolar Kruel, esta com 450m², na qual se encontra até hoje. No ano de 1991, com a idéia de passar a fabricar máquinas de soldas e tendo que alterar o contrato social para indústria, a empresa passou a denominar-se Soldas Rosense LTDA. Com o passar do tempo, com a variação do dólar frente ao real e a importação de máquinas estrangeiras com preços mais baratos, a fabricação de máquinas se tornou inviável, levando a empresa a investir novamente na manutenção de máquinas de solda e ferramentas elétricas, bem como na venda de peças, onde hoje a empresa é líder no estado.

Atualmente a empresa possui 18 funcionários, sendo seu quadro funcional dividido em: uma pessoa no setor financeiro, uma no setor de compras, três na área de vendas, uma na assistência técnica, uma no administrativo e onze funcionários na área de produção e manu-tenção. A contabilidade é prestada pelo escritório terceirizado denominado Ponto Contábil da cidade de Santa Rosa.

Considerando a importância das inovações tecnológicas no ramo de atuação do setor industrial, a empresa busca acompanhar e aperfeiçoar-se a essas inovações, tendo como prin-cipal objetivo manter-se como a empresa líder no estado do Rio Grande do Sul.

4.1 Estrutura dos equipamentos de informática

A partir de uma entrevista se chegou aos seguintes dados com relação à estrutura dos equipamentos de informática da empresa.

A empresa conta com quatro computadores de mesa com sistema operacional original Windows 7 e três notebooks, dois com sistema operacional original Windows 7 e um com Windows 8 original, estando distribuídos conforme a figura abaixo:

(39)

Figura 2: Localização dos computadores na empresa Soldas Rosense LTDA.

Fonte: Autoria própria.

Na sala de vendas está o computador que é utilizado para a emissão de cupom eletrô-nico, consulta de valores e vendas, assim como uma impressora fiscal.

Já na sala principal encontra-se um computador no qual são feitas as notas fiscais ele-trônicas e todo controle da empresa pelo proprietário. Também fica neste local o servidor da empresa, que não possui monitor, mouse e teclado a disposição.

A parte destinada ao administrativo conta com um computador ligado a uma impresso-ra que recebe os comandos de impressão dos demais computadores da rede. Assim como um notebook utilizado para o controle de estoque. Neste local também fica o roteador wireless que distribui o sinal para os notebooks.

A assistência tem a sua disposição um notebook, onde são emitidos os pedidos de as-sistência. E na sala do chefe tem um notebook de seu uso pessoal.

Todos os computadores têm nobreak à disposição para a eventual falta de energia, as-sim não correndo o risco de perder alguma informação quando ocorrer esta queda de energia elétrica.

(40)

4.2 Funcionamento, regras e normas atuais:

Foi realizado um questionário com 19 perguntas, por meio do qual se chegou às se-guintes conclusões com relação ao funcionamento, regras e normas atuais da empresa estuda-da.

A partir das perguntas 3,4 e 8 conclui-se que, ao contratar um funcionário, a empresa sempre busca passar as recomendações sobre o funcionamento da mesma. Apesar de propor-cionar ao funcionário um treinamento especifico para o qual este foi contratado, a empresa não lhe proporciona orientações sobre o manuseio das informações e a importância destas pa-ra a empresa.

Conforme levantado com a pergunta 5, os computadores não possuem senhas de inici-alização do sistema operacional, cada usuário tem sua senha de acesso ao sistema de automa-ção que é utilizada para sua funautoma-ção. A empresa utiliza o software da RK Software, uma em-presa com mais de 17 anos no mercado de automação, sendo reconhecida como emem-presa refe-rência no segmento de automação comercial, provendo solução completa às necessidades de seus clientes de produtos, softwares e serviços. Sendo a RK Software também responsável pela eventual manutenção dos equipamentos de informática.

Grande parte dos funcionários tem suas senhas de acesso salvas nos próprios sites da internet, logando automaticamente ao entrar na página, conforme se verifica com a pergunta de numero 6.

A partir da pergunta 7 se conclui que cada computador tem uma versão paga do antiví-rus Panda, o qual está programado para monitorar os computadores periodicamente. Porém, todos os funcionários têm acesso liberado para qualquer computador, somente recebem a re-comendação de fazer apenas o que lhe foi passado e o que cabe a sua função.

Conclui-se com as perguntas 10, 14, 16, 17,18 e 19 que a empresa não possui um sis-tema de restrição de pessoas às informações, ou seja, se o colaborador fizer a instalação ou remoção de algum programa nos computadores, esta alteração não será notada, já que não é feita uma verificação nos equipamentos periodicamente, apenas quando estes param de fun-cionar ou apresentam um problema que impeça seu uso. Os acessos a emails particulares junto

(41)

ao da empresa e a qualquer site da internet também são liberados, o que deixa à empresa vul-nerável a perda de informações por parte de acessos de terceiros não autorizados.

A empresa possuiu um servidor de backup conforme foi levantando a partir das per-guntas 9 e 11.O servidor está programado para fazer automaticamente a cópia de segurança do sistema da empresa para um HD externo, o qual se encontra fixo/colado na parte superior do computador. Porém, desde a compra deste computador, até o momento em que a entrevista foi realizada, nenhum dos funcionários ou dono da empresa verificou se este equipamento está funcionando corretamente, ou seja, se está fazendo a cópia de segurança efetivamente, devido à falta de um monitor e acessórios neste local.

Atualmente todos os documentos contendo informações de clientes e da empresa como notas, boletos entre outros, são apenas jogados na lata de lixo, sem ser classificados quanto ao seu sigilo e segurança. Além disso, as informações dos computadores também não são organi-zadas por nível de segurança dentro do computador, muitos arquivos importantes ficam ex-postos na área de trabalho do sistema operacional. Estes não estão organizados em pastas com senhas de acesso ou protegidos, conforme concluído com as perguntas 12 e15.

A partir das respostas às perguntas da entrevista, observa-se que atualmente as regras da empresa não são baseadas em alguma política de segurança da informação, deixando clara a necessidade de mudanças no manuseio das informações.

(42)

5 PROPOSTAS UTIZANDO AS NORMAS E AS POLITICAS DE

SE-GURANÇA DA INFORMAÇÃO

“O preço da liberdade é a eterna vigilância”

Thomas Jefferson

5.1 Estabelecer a Segurança da Informação em toda a organização

Há uma necessidade de se estabelecer uma política de segurança de informações a-brangente em toda a organização da empresa estudada para garantir a confidencialidade, inte-gridade e disponibilidade da informação. A seguir, apresentam-se como sugestão à empresa estudada algumas ações a serem realizadas a fim de estabelecer uma política de segurança da informação.

Como a empresa sempre deixa as salas abertas à disposição de todos, seria necessário consideraras seguintes alterações:

• Instalar portas nas salas que ainda não as possuem, para assim evitar o a-cesso de pessoas não autorizadas.

• Adotar medidas de proteção, tirando de vista de visitantes e funcionários não autorizados os equipamentos como servidor e pastas com arquivos importantes, tentando impedir, minimizar o risco de ameaças físicas, co-mo furto, incêndio, água, poeira, vibração, interferência com o suprimento de energia elétrica e vandalismo;

• Colocar câmeras de segurança, possibilitando a identificação, caso ocorra algum imprevisto relacionado à segurança na empresa.

5.2 Adotar uma abordagem baseada em riscos

Para implantar uma gestão de riscos, a organização deverá utilizar a norma ABNT NBR ISSO/IEC 27005:2011. Esta que será descrita a seguir.

5.2.1 Identificação dos riscos e coleta de informações

Após a entrevista foram identificados vários riscos à segurança das informações da empresa, como: