AFERIÇÃO DO NÍVEL DE PERCEPÇÃO DOS SERVIDORES DO INSTITUTO GERAL DE CONTROLE FINANCEIRO QUANTO À SIC - SEGURANÇA DAS INFORMAÇÕES E COMUNICAÇÕES

Tamanho: px
Começar a partir da página:

Download "AFERIÇÃO DO NÍVEL DE PERCEPÇÃO DOS SERVIDORES DO INSTITUTO GERAL DE CONTROLE FINANCEIRO QUANTO À SIC - SEGURANÇA DAS INFORMAÇÕES E COMUNICAÇÕES"

Transcrição

1 Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações RENATO FISCHER AFERIÇÃO DO NÍVEL DE PERCEPÇÃO DOS SERVIDORES DO INSTITUTO GERAL DE CONTROLE FINANCEIRO QUANTO À SIC - SEGURANÇA DAS INFORMAÇÕES E COMUNICAÇÕES Brasília 2011

2 RENATO FISCHER AFERIÇÃO DO NÍVEL DE PERCEPÇÃO DOS SERVIDORES DO INSTITUTO GERAL DE CONTROLE FINANCEIRO QUANTO À SIC - SEGURANÇA DAS INFORMAÇÕES E COMUNICAÇÕES Brasília 2011

3 RENATO FISCHER AFERIÇÃO DO NÍVEL DE PERCEPÇÃO DOS SERVIDORES DO INSTITUTO GERAL DE CONTROLE FINANCEIRO QUANTO À SIC - SEGURANÇA DAS INFORMAÇÕES E COMUNICAÇÕES Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como requisito parcial para a obtenção do título de Especialista em Ciência da Computação: Gestão da Segurança da Informação e Comunicações. Orientador: Prof. Dr. Eduardo Loureiro Jr. Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Brasília Novembro de 2011

4 Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão da Segurança da Informação e Comunicações - CEGSIC 2009/ Renato Fischer. Qualquer parte desta publicação pode ser reproduzida, desde que citada a fonte. FISCHER, Renato Aferição do nível de percepção dos servidores do Instituto Geral de Controle Financeiro quanto à SIC - Segurança das Informações e Comunicações / Renato Fischer. Brasília: Renato Fischer, p.; Ilustrado; 25 cm. Monografia (especialização) Universidade de Brasília. Instituto de Ciências Exatas. Departamento de Ciência da Computação, Inclui Bibliografia. 1. Segurança da Informação. 2. Conscientização. 3. Vulnerabilidades. I. Título. CDU

5

6 Dedico este trabalho aos meus filhos Ramon e Rebekah.

7 AGRADECIMENTOS Agradeço à minha esposa Cleide pelo apoio e compreensão durante os meses de estudo e elaboração deste trabalho.

8 A mudança mais significante na vida de uma pessoa é uma mudança de atitude. Atitudes corretas produzem ações corretas. (William J. Johnson)

9 RESUMO Segundo a norma ABNT NBR ISO/IEC 27002:2005 a informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização, independente do tamanho e natureza, e, portanto, necessita ser adequadamente protegida. Desta forma, este trabalho busca aferir o nível de percepção que os servidores do Instituto Geral de Controle Financeiro possuem da importância da Segurança das Informações e Comunicações (SIC) e da necessidade de se manter uma efetiva proteção dos dados e informações com os quais tem contato no diariamente. Para tanto o pesquisador desenvolveu uma metodologia que propõe a classificação da percepção em uma escala de cinco níveis e um instrumento de pesquisa, um questionário, com perguntas sobre como os entrevistados avaliam alguns aspectos da SIC. O autor criou também um modelo matemático que efetua a gradação, pontuação e classificação das respostas e a correlação direta entre esta classificação e os cinco níveis de percepção. Apresenta uma revisão da literatura abordando os principais conceitos da Segurança da Informação e um retrato da Gestão de SIC praticada pela instituição em face ao preconizado na literatura especializada sobre o tema. O pesquisador levantou a hipótese de que o atual nível de percepção dos trabalhadores da instituição impede o aparecimento de vulnerabilidades provocadas por comportamentos inseguros e atitudes inadequadas de proteção do conhecimento e, portanto, seria suficiente para garantir a segurança das informações. Como resultado, a hipótese foi refutada ao final do estudo de caso, tendo sido constatados incidentes de segurança provocados por comportamentos inseguros. O pesquisador concluiu discorrendo sobre a necessidade da realização de outros estudos na instituição, bem como sugere os temas para estes futuros estudos. Palavras chave: Segurança da Informação, Gestão, Conscientização, Vulnerabilidades.

10 ABSTRACT According to the standard ABNT ISO/IEC 27002:2005 the information is an asset which like any other valuable asset is essential to the business of any organization, regardless of the size and nature and therefore needs to be properly protected. Thus, this study attempts to measure the level of perception that the officials of the Institute of General Financial Control have the importance of the Security of Information and Communications (SIC) and the need to maintain an effective protection of data and information with which they have daily contact. For both the researcher has developed a methodology that proposes the classification of the perception on a scale of five levels and a research instrument, a questionnaire, with questions about how respondents assess some aspects of the SIC. The author has also created a mathematical model that performs gradation, the score and ranking of responses, and direct correlation between the classification of responses and the five levels of perception. Presents a review of the literature addressing the core concepts of information security and an overview of the SIC Management practiced by the institution in relation to recommended in the literature on the subject. The researcher hypothesizes that the current level of workers' perception prevents the emergence of vulnerabilities caused by unsafe behaviors and inadequate attitudes of knowledge's protection and, therefore, would be sufficient to guarantee the security of information. As a result the hypothesis was refuted at the end of the case study, having been detected security incidents caused by unsafe behavior. The researcher concludes discussing the need for further studies in the institution as well as suggested topics for the future studies. Keywords: Information Security, Management, Awareness, Vulnerabilities.

11 LISTA DE FIGURAS Figura 1 - Estrutura organizacional do Instituto Geral de Controle Financeiro Figura 2 - Painel de Níveis Figura 3 - Gráfico referente à Tabela Figura 4 - Gráfico referente à Tabela Figura 5 - Gráfico referente à Tabela Figura 6 - Gráfico referente à Tabela Figura 7 - Gráfico referente à Tabela Figura 8 - Gráfico referente à Tabela Figura 9 - Gráfico referente à Tabela Figura 10 - Classificação das questões conforme a pontuação alcançada Figura 11 - Painel de Níveis com os resultados... 78

12 LISTA DE TABELAS Tabela 1 - Seções da ABNT NBR ISO/IEC 27002:2005 com os respectivos números de Categorias e Controles Tabela 2 - Objeto das perguntas do questionário Tabela 3 - Correlação entre os níveis de percepção e os percentuais de respostas vs pesos Tabela 4 - Resultados obtidos para a pergunta nº 01 do questionário Tabela 5 - Resultados obtidos para a pergunta nº 01.1 do questionário Tabela 6 - Resultados obtidos para a pergunta nº 02 do questionário Tabela 7 - Resultados obtidos para a pergunta nº 03 do questionário Tabela 8 - Resultados obtidos para a pergunta nº 04 do questionário Tabela 9 - Resultados obtidos para a pergunta nº 05 do questionário Tabela 10 - Resultados obtidos para a pergunta nº 06 do questionário

13 LISTA DE ABREVIATURAS ABNT Associação Brasileira de Normas Técnicas NBR Norma Brasileira ISO International Organization for Standardization IEC International Electrotechnical Comission SIC Segurança das Informações e Comunicações GSIC Gestão da Segurança das Informações e Comunicações SGSI Sistema de Gestão de Segurança da Informação APF Administração Pública Federal GSIPR Gabinete de Segurança Institucional da Presidência da República DSIC Departamento de Segurança da Informação e Comunicações IN Instrução Normativa NC Norma Complementar SPF Sistema de Proteção Física TI Tecnologia de Informação SO Sistema Operacional CEGSIC Curso de Especialização em Gestão da Segurança da Informação e Comunicações PDTI Plano Diretor de Tecnologia da Informação PDS Processo de Desenvolvimento de Software

14 SUMÁRIO 1 DELIMITAÇÃO DO PROBLEMA Introdução Formulação da situação problema (Questões de pesquisa) Objetivos e escopo Objetivo Geral Objetivos Específicos Escopo Justificativa Hipótese REFERENCIAIS TEÓRICOS E FUNDAMENTOS Referencial teórico Conceitos adotados Informação Segurança da Informação Clasificação das Informações Gestão da SIC Treinamento e capacitação em SIC Percepção da Segurança das Informações Conscientização Riscos à segurança da Informação (vulnerabilidades x ameaças) Incidentes de segurança Referenciais Conceituais das Disciplinas do CEGSIC Política de Segurança Fatores comportamentais e responsabilidades das pessoas Gestão dos Incidentes de Segurança e GCN... 46

15 2.3.4 Auditoria e conformidade METODOLOGIA Estudo de Caso Estudos de Caso auxiliares Objetos de verificação dos Estudos de Caso auxiliares Questionário Passo 01 - Criação de Níveis de Percepção Passo 02 Atribuição de pesos Passo 03 Definição da forma de cálculo (% vs Peso) Passo 04 Definição dos intervalos dos níveis RESULTADOS Dados coletados com aplicação do questionário Consolidação dos resultados DISCUSSÃO Sobre o Painel de Níveis Análise dos resultados CONCLUSÕES E TRABALHOS FUTUROS Conclusões Trabalhos Futuros REFERÊNCIAS GLOSSÁRIO APÊNDICE A Instrumento de pesquisa (Questionário)

16 14 1 DELIMITAÇÃO DO PROBLEMA 1.1 Introdução O presente trabalho aborda o tema Conscientização das Pessoas, que é uma dentre as diversas linhas de pesquisa da SIC - Segurança das Informações e Comunicações, e foi desenvolvido tendo como pano de fundo o Sistema de Gestão de Segurança da Informação (SGSI) implementado no Instituto Geral de Controle Financeiro 1, e inserida neste contexto, a percepção dos servidores de dois departamentos do Instituto, o Departamento de Atividade Meio e o Departamento de Engenharia e Manutenção, em relação à proteção do conhecimento. Neste caso a percepção pode ser considerada como o fato da pessoa ter consciência da existência de algo e de ter reação a um estímulo externo. Ao examinarmos as funções do Instituto verificamos que existem inúmeras atribuições que o fazem detentor de informações extremamente sensíveis. Dentre as suas funções institucionais destacamos alguns aspectos: O Instituto participa da formulação e execução das políticas monetária, cambial, de crédito e de relações financeiras com o exterior; o Instituto tem papel primordial na gestão do Sistema de Pagamentos Brasileiro (SPB); o Instituto também ajuda a disciplinar a fiscalização do Sistema Financeiro Nacional (SFN) e atua na gerência do Sistema de Meio Circulante. Além de todos os ativos informacionais gerados por estas atribuições, o Instituto também é detentor de informações tanto de pessoas físicas, de pessoas jurídicas, de outras instituições financeiras e até de organizações controladas total ou parcialmente por entidades públicas. Diante deste quadro, é inegável a importância de prover todas estas informações com um algum grau de confidencialidade. Paiva (2006) tratando de riscos à segurança da informação em seu artigo Política de Segurança & Segurança da Informação menciona que: 1 Algumas informações sobre a organização objeto do presente estudo de caso, inclusive sua denominação e de seus departamentos, foram alteradas e mascaradas com a finalidade de preservar a segurança das informações e da instituição.

17 15 [...] Saídas inopinadas de um micro com este logado e com acesso livre, são comuns: Conversas sobre os novos projetos da empresa, feitos em ambientes públicos, em especial nos transportes e nos bares e restaurantes, fazem parte do dia-a-dia, onde mostrar que sabe é sinal de status! Deixar documentos sobre as mesas em forma de papel ou meio digital é uma prática comum. Permitir o acesso de visitantes a todas as áreas da empresa também é uma forma de mostrar gentileza. (PAIVA, 2006, p. 01). Da leitura do texto extraído do artigo notamos que o autor elencou diversos comportamentos inseguros potencialmente perigosos à segurança das informações, bem como é possível perceber que a informação pode se expressar sob várias formas, neste caso, de forma oral, escrita ou eletrônica. Em qualquer das formas na qual a informação se apresente, ela percorre um ciclo de vida, que segundo Sêmola (2003) é composto por quatro fases, e é quando a informação está em uma destas fases que está sujeita a riscos. descarte. e manipulada. As quatro fases propostas são: manuseio, armazenamento, transporte e Manuseio fase que se refere ao momento em que a informação é criada Armazenamento diz respeito a todas as formas em que a informação é passível de ser guardada, tanto manualmente como eletronicamente. Transporte é quando a informação é enviada de um local para outro, o que pode ocorrer de diversas formas, como , vias correios, fax, por telefone ou até em conversas informais. Descarte quando a informação é destruída ou eliminada e pode ser realizada de diversas formas: jogar documentos, papeis ou livro na lixeira, deletar um arquivo do computador, triturar um CD ou um disquete, etc. Se considerarmos que em qualquer fase do ciclo de vida na qual a informação se encontre o ser humano está fortemente presente, que o conhecimento já é considerado como um dos principais ativos de qualquer organização, que muitas vezes o conhecimento é fator preponderante entre o sucesso e o fracasso de uma organização, concluímos que de posse de ativo tão valioso é necessário protegê-lo, mas não basta apenas a implementação de uma Política de Segurança, devemos ter, por parte de todos aqueles que tem contato com tais informações, um envolvimento e comprometimento pessoal.

18 16 A Agência Brasileira de Inteligência (ABIN), organização da estrutura do Poder Executivo responsável por desenvolver atividades de Inteligência voltadas para a defesa do Estado Democrático de Direito, da sociedade, da eficácia do poder público e da soberania nacional, se preocupa com a questão da Segurança da Informação e Comunicações, pois preconiza na metodologia do Programa Nacional de Proteção ao Conhecimento Sensível (PNPC) a importância da sensibilização das pessoas para a necessidade de proteção dos conhecimentos. A sensibilização, que pode ser entendida como tornar as pessoas mais receptivas a determinado assunto, permeia todos os aspectos do trabalho de proteção dos conhecimentos, porque, para atingir um nível adequado de proteção, é essencial que todo o corpo funcional esteja motivado a adotar adequados procedimentos de proteção do conhecimento. Novamente Paiva (2006) tratando de riscos à segurança da informação pondera: Em algumas organizações, estas tem a posse de dados de clientes e fornecedores, e talvez não saibam, que são integralmente responsáveis cível e criminalmente, no caso da obtenção desses dados a partir de suas empresas! Um empregado que venha a desviar esses registros ou fazendo deles conhecimento público, importará na possível responsabilização da organização. (PAIVA, 2006, p. 01). Considerando que as fraquezas das pessoas podem ser intencionais ou não, que muitas vezes os erros cometidos e as ameaças estão dentro da própria organização, que se não tivermos conhecimento das medidas de segurança adequadas para cada situação estaremos aumentando em muito os riscos de perdas, que a não capacitação em segurança para a execução das atividades do dia a dia, a falta de consciência de segurança da informação, erros ou omissões contribuem para a ineficiência do controle da informação, facilmente podemos concordar com Martin (1991) que afirma que o controle da informação é um fator de sucesso crítico para os negócios. O autor complementa o pensamento dizendo que a realização de um controle da informação sempre teve uma importância fundamental para as corporações do ponto de vista estratégico e empresarial. Boa parte das organizações investe grandes somas de dinheiro em publicidade para reforçar a sua imagem, para melhorias em infraestrutura de segurança, firewall e outros equipamentos para a área de TI, e também em sua segurança orgânica. Porém, somente criar barreiras físicas ou eletrônicas e elaborar

19 17 manuais de segurança não são suficientes para conseguir o controle da informação e manter seguros os seus dados críticos quando não é dada a devida atenção às pessoas que tratam e manipulam estas informações. As pessoas que trabalham em uma organização são um elo importante na cadeia da segurança da informação e, por isto, devem ter um conhecimento adequado da importância da proteção do conhecimento. Para que os sistemas de segurança instalados sejam efetivos na sua missão de proteger as informações, as organizações precisam investir em políticas de segurança da informação, normas e procedimentos claros e que seus colaboradores sejam constantemente treinados, capacitados e conscientizados da importância da proteção do conhecimento. Usando como pressuposto a importância das pessoas na proteção do conhecimento, o autor buscou através deste trabalho aferir o nível de percepção que os servidores do Instituto Geral de Controle Financeiro possuem de alguns aspectos específicos da Segurança da Informação e Comunicações. A aferição da percepção se deu através da aplicação de um questionário com sete perguntas objetivas sobre algum aspecto específico da segurança da informação. Com o objetivo de poder quantificar esta percepção, que é qualitativa, o autor criou cinco níveis de percepção. O autor também arbitrou uma correlação direta entre os cinco níveis e os percentuais das respostas dos servidores para cada uma das sete questões do questionário aplicado aos servidores. A correlação foi possível de ser realizada, visto que o questionário utilizou somente questões com respostas objetivas, que são passíveis de serem agrupadas e quantificadas percentualmente. Apesar de ter sido analisado o Sistema de Gestão de Segurança da Informação (SGSI) tendo como escopo toda a organização, por questões metodológicas, o questionário foi aplicado apenas aos servidores de dois departamentos, escolhidos devido à sua proximidade física. O risco à segurança das informações de qualquer organização começa através da existência de vulnerabilidades ou falhas nos sistemas de proteção das informações. Sêmola (2003) classificou as vulnerabilidades em três categorias: Físicas, Tecnológicas e Humanas.

20 18 Como exemplos de vulnerabilidades tecnológicas podemos citar equipamentos de baixa qualidade, criptografia fraca, sistema operacional desatualizado, ausência ou antivírus sem atualização e configuração imprópria dos firewalls. Exemplos de vulnerabilidades físicas podem ser a ausência de gerador de energia, instalações elétricas impróprias e mídias de backups mal acondicionadas. As vulnerabilidades da categoria humana são quatro: Falta de treinamento, falta de qualificação, ausência de políticas de Gestão de Pessoas e ambiente organizacional ruim. Em relação à influência humana na segurança das informações, Veneziano (2010) defende que os fatores comportamentais e de uso podem afetar a segurança de uma determinada informação. Através da verificação dos níveis de percepção de aspectos da segurança da informação pode-se inferir se os servidores do Instituto estão propensos ou não a adotar comportamentos inseguros. Esta verificação faz-se necessária visto que vulnerabilidades podem ser criadas e incidentes de segurança podem ocorrer se existir, dentro do corpo funcional de qualquer organização, um baixo nível de percepção sobre aspectos da segurança da informação, como a existência de dados sigilosos que devam ser protegidos, e também um desconhecimento sobre a própria responsabilidade pela proteção destes conhecimentos sensíveis. Comportamentos inseguros podem ser catalisadores do aparecimento de vulnerabilidades, do tipo humana, que colocam em risco a segurança das informações das organizações. 1.2 Formulação da situação problema (Questões de pesquisa) O Instituto Geral de Controle Financeiro é detentor de muitas informações de diversas entidades, e está, por força de lei e pela sua própria missão institucional, obrigado a manter o sigilo e a confidencialidade destas informações em seu poder. Para que a segurança das informações seja de fato efetiva, vários fatores devem ser considerados.

21 19 O fator humano é fundamental para se conseguir manter uma adequada confidencialidade destas informações, porém desconhece-se o nível de percepção dos servidores do Instituto em relação à segurança das informações, então queremos saber qual é o nível de percepção dos servidores do Instituto Geral de Controle Financeiro em relação à Segurança das Informações e Comunicações (SIC). 1.3 Objetivos e escopo Objetivo Geral Considerando o fato do tema do presente trabalho ser sobre a conscientização de pessoas, notadamente sobre ameaças a conhecimentos sensíveis, considerando o escopo determinado: ser desenvolvido dentro do ambiente organizacional do instituto, e considerando a formulação da questão de pesquisa, temos como Objetivo Geral aferir o nível de percepção que os servidores possuem da importância da Segurança das Informações e Comunicações (SIC) bem como da necessidade de se manter uma efetiva proteção dos dados e informações com os quais tem contato em seu trabalho diário Objetivos Específicos Para que o trabalho atinja o Objetivo Geral proposto é necessário primeiramente atingir alguns Objetivos Específicos. Os Objetivos Específicos se referem à aferição da percepção dos servidores sobre alguns aspectos específicos da Segurança da Informação. Os Objetivos Específicos necessários para a realização deste trabalho são: 1 - Verificar o conhecimento dos servidores quanto à existência, leitura e acesso aos normativos que regem a proteção do conhecimento;

22 Averiguar percepção que os servidores possuem da existência ou não de dados sigilosos na organização e a capacidade destes servidores em classificar a informação; 3 - Identificar o interesse dos servidores quanto a conhecer mais sobre medidas de proteção do conhecimento; 4 - Avaliar a percepção que o conjunto dos servidores possui quanto à sua responsabilidade sobre a proteção dos dados, informações e conhecimentos sensíveis e a competência para proteger estes dados e informações Escopo O escopo determinado para o presente trabalho foi o ambiente organizacional do Instituto Geral de Controle Financeiro. Foram realizados diversos estudos de caso, para verificação de alguns controles da Segurança da Informação praticados internamente, que abrangeram toda a organização e também foi aplicado um questionário para aferir a percepção dos servidores sobre alguns aspectos da proteção do conhecimento. A aplicação do questionário limitou-se aos servidores de dois departamentos: O Departamento de Atividade Meio e do Departamento de Engenharia e Manutenção do Instituto. Os departamentos escolhidos para a aplicação do questionário contemplam em torno de 1/6 da população do edifício sede do Instituto, ou seja, apesar de ter sido analisada a Gestão de SIC do Instituto como um todo, o universo amostral escolhido para a aplicação do questionário representou apenas 15% de todos os servidores do Instituto. Foram escolhidos especificamente o Departamento de Atividade Meio e o Departamento de Engenharia e Manutenção do Instituto, pois como os dois departamentos estão localizados fisicamente num mesmo ambiente, o pesquisador como integrante de um deles, teve condições de realizar a coleta dos dados necessários para a realização do trabalho com a rapidez e presteza que este estudo de caso exigiu em decorrência do exíguo tempo disponível. Para um questionário qualquer atingir a totalidade dos servidores do Instituto algumas normas, exigências, burocracias internas e etapas devem ser cumpridas, tais como: disponibilização do questionário em meio eletrônico e via

23 21 intranet, obediência a diversas fases de planejamento, desenvolvimento, homologação e a realização de testes antes de ser colocado em ambiente de produção. As exigências feitas pelo Instituto normalmente consomem muito tempo. Este fato inviabilizou no presente trabalho a aplicação do questionário em toda a população do edifício sede do Instituto. A imagem a seguir demonstra como os dois departamentos escolhidos para a aplicação do questionário estão inseridos na estrutura organizacional do Instituto Geral de Controle Financeiro. Figura 1 - Estrutura organizacional do Instituto Geral de Controle Financeiro. Fonte: Elaborado pelo autor. 1.4 Justificativa Ao ingressar no Instituto Geral de Controle Financeiro como servidor, o autor notou, de imediato, alguns controles de segurança mais rígidos em relação ao que era praticado em outro órgão da Administração Pública Federal (APF) no qual havia trabalhado anteriormente.

24 22 Os controles mais rígidos praticados pelo Instituto são referentes tanto aos Sistemas de Proteção Física (SPF) quanto aos Sistemas de Informação (SI) em ambiente computacional. O Instituto possui ainda, diferentemente do órgão da Administração Pública Federal anterior no qual o autor teve experiência, uma infraestrutura de TI de melhor qualidade, sendo, por exemplo, o seu Data Center considerado pela classificação da TIA como Tier 4, ou seja, um Data Center Sem Tolerância a Falhas. Segundo a TIA 942 para um Data Center ser considerado sem tolerância a falhas deve possuir Downtime de 0,4 hr/ano, ou seja, deve estar disponível em 99,995% do tempo. O Instituto também possui implantada uma série de controles e normas para o acesso às suas dependências comuns e áreas seguras, e possui também Planos de Contingência implementados e testados para todos os seus processos críticos. Para o autor foi fácil perceber que o Instituto possui uma GSIC melhor elaborada que o órgão anterior, entretanto, mesmo neste ambiente de melhor estruturação da gestão de segurança das informações, o autor teve contato com relatos de incidentes de segurança. Observando que a mídia veicula quase que diariamente notícias relacionadas com quebras de segurança em empresas públicas e privadas, como no caso da perda dos notebooks da Petrobras e a quantidade imensa de informações que chegam ao Site Wikileaks, o autor, tendo em mente a idéia de Veneziano (2010) que afirma que fatores comportamentais e de uso de quem trabalha com informações podem afetar a segurança de uma determinada informação, considerou verificar se os servidores do Instituto possuem uma visão de segurança da informação adequada à necessidade de confidencialidade que a organização necessita ter com as informações que são por ela manipuladas. Mesmo não existindo muitos trabalhos sobre métodos e técnicas para aferição de níveis de percepção e até mesmo tais métodos serem difíceis de encontrar, o autor acredita ser possível aferir o nível de percepção dos servidores 2 Norma ANSI/TIA/EIA Telecomunications Infrastructure for Data Centers. Define padrão para: layout e espaço físico, infraestrutura de cabeamento, condições ambientais e classificação por níveis de disponibilidade.

25 23 quanto à proteção do conhecimento através da utilização de um questionário com questões que abordem alguns aspectos da segurança da informação. Esta verificação através de um questionário se deu dentro de um Estudo de Caso. O Estudo de Caso será tratado com mais detalhes no capítulo sobre metodologia. Apesar de acreditar ser possível realizar a verificação, o autor acha necessário ressaltar o aspecto do escopo da aplicação do questionário ser restrito a dois departamentos. Mesmo considerando a restrição relacionada ao público pesquisado, a metodologia desenvolvida para a realização da aferição pode ser tratada como um modelo viável de ser aplicado em todos os departamentos, visto que o Instituto, por obrigação legal, tem o dever de assegurar a confidencialidade de um universo muito grande de informações oriundas de diversas fontes. Para que o Instituto possa realmente proteger as informações das quais é detentor é necessário que a segurança seja focada em diversos fatores, e o fator abrangido mais detalhadamente por este trabalho é o humano. Quanto mais conscientes e bem informados forem os indivíduos dentro da organização, melhor será a eficiência da segurança das informações. Seguindo determinação do Decreto nº 4.533, de 27 de dezembro de 2002, o Instituto está em fase de implementação do Programa Nacional de Proteção ao Conhecimento Sensível (PNPC), programa este gerido pela Empresa Brasileira de Inteligência (ABIN). O PNPC possui como um dos objetivos conscientizar os detentores de conhecimentos sensíveis nacionais sobre as ameaças a que estão sujeitos. O autor acredita que a verificação de uma possível condição de fragilidade do Instituto Geral de Controle Financeiro perante eventuais ameaças que possam explorar vulnerabilidades criadas pelos servidores pode ser de extrema importância para os gestores da organização na adoção e implementação de políticas e normas de segurança das informações.

26 Hipótese O nível de percepção dos servidores do Instituto Geral de Controle Financeiro em relação à Segurança das Informações e Comunicações impede o aparecimento de vulnerabilidades que são provocadas por comportamentos inseguros e atitudes inadequadas de proteção do conhecimento e é, portanto, suficiente para garantir a segurança das informações.

27 25 2 REFERENCIAIS TEÓRICOS E FUNDAMENTOS Este capítulo com a revisão dos referenciais teóricos e fundamentos de um Sistema de Gestão de Segurança da Informação e Comunicações é composto por três partes. A primeira parte é uma listagem das normas e dos autores que foram utilizados como referencial teórico para a realização deste trabalho. A segunda e a terceira partes parte são abordagens sobre os principais conceitos que fazem parte do Sistema de Gestão da Segurança da Informação, sendo que na terceira parte estão abordados os conceitos utilizados no CEGSIC Referencial teórico Algumas fontes de consulta para a busca de normas de Gestão da Segurança da Informação e Comunicações (GSIC) são publicações oficiais, ou seja, documentos e normas editadas por órgãos do Governo Brasileiro, visto que a organização objeto deste trabalho faz parte da Administração Pública Federal (APF) e por isto está sujeita a estas normas. O trabalho tem como uma de suas bases a Norma ABNT NBR ISSO/IEC 27002:2005. A referida Norma estabelece as Diretrizes e Princípios Gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. As determinações sobre procedimentos de salvaguarda de dados e informações na Administração Pública Federal foram extraídos do Decreto nº 4.553, de 27 de dezembro de Outra publicação oficial, o Decreto n 3.505, de 13 de junho de 2000, traz determinações sobre a Política de Segurança nas instituições públicas federais. A Instrução Normativa nº 01, editada pelo Gabinete de Segurança Institucional da Presidência da República (GSI), bem como as suas Normas Complementares nº 03, nº 04, nº 06 e nº 07, editadas pelo seu Departamento de Segurança da Informação e Comunicações (DSIC), disciplinam a Gestão de

28 26 Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta. Todas estas determinações legais, complementadas pelos conceitos sobre a segurança das informações emitidos por pesquisadores reconhecidos, como Sêmola (2003), Carlos Paiva (2002, 2004 e 2006), Edison Fontes (2006), Marcos Mandarini (2005), Rezende e Abreu (2000), e outros, e também complementadas pelos conceitos emitidos pelos professores tutores das disciplinas do CEGSIC , permitem perceber como seria a estruturação ideal da Gestão da Segurança da Informação no Instituto Geral de Controle Financeiro para que a proteção dos dados, informações e conhecimentos fosse realmente efetiva. Sendo as pessoas um fator de sucesso, ou insucesso, na salvaguarda das informações, buscou-se aferir o nível de percepção dos servidores quanto às normas e conceitos abordados. Schermerhorn, Hunt e Osborn (1999), no livro Fundamentos de Comportamento Organizacional, tratam da questão do contexto físico, social e organizacional do ambiente e da percepção da realidade impactando o comportamento das pessoas. Marciano (2006) traz uma visão da Segurança da Informação sob o prisma das Ciências Sociais e trata também da questão da importância da conscientização das pessoas para a proteção do conhecimento. O autor cita diversos estudos, tais como o de Spurling (1995), que demonstram a necessidade de incrementar-se a consciência quanto à segurança da informação nos limites da organização. Para Fonseca (2009) o principal objetivo ao se implantar um programa de conscientização sobre segurança é conseguir influenciar as pessoas para que elas mudem seu comportamento e suas atitudes. A autora defende que esta mudança de comportamento motiva cada empregado a querer entrar no programa e fazer a sua parte para proteger os ativos de informações da organização. Alerta que o esforço de treinamento deve ser direcionado a cada pessoa que tem acesso a informações confidenciais ou aos sistemas corporativos de computadores e também deve ser contínuo e ser sempre revisado para atualizar as pessoas sobre as novas ameaças e vulnerabilidades.

29 Conceitos adotados Informação A Norma ABNT NBR ISO/IEC 27002:2005 define informação como: A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da interconectividade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades (ver OECD Diretrizes para a Segurança de Sistemas de Informações e Redes. A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. (ABNT NBR ISO/IEC 27002, 2005, p. x). Vemos, portanto que a informação está disseminada por toda a organização e de acordo com Sêmola (2003) a informação representa a inteligência competitiva dos negócios sendo reconhecida como um ativo crítico para a continuidade operacional da empresa. Mesma linha de pensamento é compartilhada por Dias (2003) que defende que a informação é o principal patrimônio da empresa, e complementa afirmando que, por ser o principal patrimônio das organizações, a informação permanece constantemente sob risco. Também sobre a importância da informação, Laureano (2005) defende que a mesma tem um valor muito significativo e representa grande poder para quem a possui. Para o autor a informação possui valor pelo fato de estar integrada com as pessoas, processos e tecnologias. Para Rezende e Abreu (2000), a informação e o conhecimento serão os diferenciais das empresas e dos profissionais que pretendem destacar-se no mercado e manter a sua competitividade. Então, por uma questão de eficiência e até de sobrevivência, as organizações necessitam proteger seus dados, informações e conhecimentos.

30 Segurança da Informação Segurança pode ser entendida como a condição de uma pessoa ou coisa que está livre de perigos, de incertezas, protegida de danos e riscos eventuais, afastada de toda ameaça. A Segurança da Informação foi definida por Sêmola (2003) como sendo uma área do conhecimento que é dedicada à proteção de ativos da informação. Os ativos são protegidos contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. Fontes (2006) considera que a Segurança da Informação pode ser definida como um conjunto de políticas, normas, orientações, procedimentos e demais ações cujo objetivo é proteger a informação possibilitando assim que o negócio da organização seja realizado e sua missão seja alcançada. O Decreto n também estabelece algumas conceituações e define Segurança da Informação como sendo: Proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento. (DECRETO 3.505, 2000, Art 2º). A Segurança da Informação deve então atuar na proteção da informação em todas as formas sob as quais é apresentada. Para Verde (2002) o objetivo maior da Segurança das Informações é proteger as informações da concretização do risco, seja ele qual for. Podemos considerar como risco a possibilidade de um evento desfavorável à segurança da informação ocorrer. A segurança das informações deve reduzir os riscos e o seu potencial de impacto através de medidas de segurança preventivas adequadas a cada tipo de situação. Para Sêmola (2003), as medidas de segurança possíveis de serem aplicadas são divididas em medidas preventivas, medidas detectáveis e medidas corretivas.

31 29 Preventivas [...] que tem como objetivo evitar que incidentes venham a ocorrer [...] como exemplo podemos citar as políticas de segurança, instruções e procedimentos de trabalho. Detectáveis [...] que visam identificar condições ou indivíduos causadores de ameaças [...] alguns exemplos são: sistemas de detecção de intruso, alertas de segurança. Corretivas [...] ações voltadas à correção de uma estrutura tecnológica e humana [...]: equipes de emergências, restauração de backup. (SÊMOLA, 2003, p. 49). A proteção proporcionada pelas medidas de segurança deve garantir as quatro propriedades básicas da informação: Disponibilidade, Integridade, Confidencialidade e Autenticidade (DICA). As definições para as propriedades básicas da informação adotadas pelo Gabinete de Segurança Institucional na Instrução Normativa GSI/PR nº 1 são as seguintes: Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade. (IN 01 GSI/PR, 2008, p. 02). Integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental. (IN 01 GSI/PR, 2008, p. 02). Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado. (IN 01 GSI/PR, 2008, p. 02). Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade. (IN 01 GSI/PR, 2008, p. 02) Classificação das informações Para que se possa fazer a adequada proteção da DICA, é necessário primeiramente efetuar uma classificação das informações. Existem diversos tipos de classificação de informações, como por exemplo, o tempo de retenção para o descarte de documentos arquivísticos ou a Classificação Decimal Universal (CDU) 3 para as publicações em cada uma das áreas do conhecimento humano; mas em se tratando de Segurança das 3 A Classificação Decimal Universal (CDU) é um esquema internacional de classificação de documentos. Baseia-se no conceito de que todo o conhecimento pode ser dividido em 10 classes principais, e estas podem ser infinitamente divididas numa hierarquia decimal.

32 30 Informações e Comunicações, quando falamos em classificação das informações, queremos dizer que os dados e informações serão classificados sob a ótica da Confidencialidade, mediante seu Grau de Sigilo. O Decreto nº 4.553, de 27 de dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos, traz algumas definições sobre a atividade de classificação de dados e informações, quando a atividade for realizada no âmbito de órgãos e instituições da Administração Pública Federal: [...] II - classificação: atribuição, pela autoridade competente, de grau de sigilo a dado, informação, documento, material, área ou instalação; (DECRETO 4.553, 2002, Art 4º). [...] VII - grau de sigilo: gradação atribuída a dados, informações, área ou instalação considerados sigilosos em decorrência de sua natureza ou conteúdo; (DECRETO 4.553, 2002, Art 4º). [...] XVI - sigilo: segredo; de conhecimento restrito a pessoas credenciadas; proteção contra revelação não autorizada; (DECRETO 4.553, 2002, Art 4º). [...] XIV - ostensivo: sem classificação, cujo acesso pode ser franqueado; (DECRETO 4.553, 2002, Art 4º). Da leitura dos artigos destacados, percebe-se que os dados ou informações que não são ostensivos, ou seja, aqueles dados ou informações considerados sigilosos e cujo acesso deve ser restrito, devem ser classificados em razão do seu teor ou dos seus elementos intrínsecos e de acordo com a competência da autoridade classificadora. A classificação proposta pelo Decreto nº é a seguinte: - Ultrassecretos; - Secretos; - Confidenciais; - Reservados. São considerados sigilosos pelo Decreto nº quaisquer dados ou informações cuja divulgação irrestrita possa acarretar dano ao Estado ou sociedade como um todo.

33 31 Também são considerados sigilosos os documentos necessários para garantir a inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas. Mas não são todos os dados e informações das organizações que são essenciais ou cruciais para que recebam cuidados especiais na sua proteção. A classificação de dados e informações é uma atividade necessária para que a organização possa melhor direcionar seus recursos, priorizando a proteção da confidencialidade das informações mais importantes. A Norma ABNT NBR ISO/IEC 27002:2005 diz que é conveniente que a informação seja classificada para indicar a necessidade, as prioridades e o nível esperado de proteção quando do tratamento da informação. Vidal (2010) defende que a classificação da informação pode ser considerada como o definir da importância de um ativo para a organização e de como esse ativo tem sua importância variando com o tempo. Pelo fato da importância de uma informação variar com o tempo, a sua classificação também deverá ser revista, e atualizada se necessário, periodicamente Gestão da SIC A classificação e a segurança das informações são atividades que devem compor a Gestão de Segurança da Informação e Comunicações de uma organização. A Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008, que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, traz em seu Art. 2º definições para a Segurança da Informação e Comunicações e para a Gestão de SIC: [...] II - Segurança da Informação e Comunicações: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações; (IN 01 GSI/PR, 2008, p. 02). [...]

34 32 VII - Gestão de Segurança da Informação e Comunicações: ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação e comunicações; (IN 01 GSI/PR, 2008, p. 02). Para efeito de melhor estudo e compreensão, Sêmola (2003) divide a Gestão de Segurança da Informação em áreas: Área tecnológica, área física e área humana. Também alerta que as organizações estão constantemente sob ataque nestas três áreas, sendo que os ataques tem como principal objetivo a identificação do ponto mais vulnerável para uma posterior investida contra a segurança das informações. Ao falar sobre os sistemas de segurança, Verde (2002) afirma: A força do sistema de segurança é medida através da aplicação de tensão no seu ponto mais fraco; por exemplo: se tivermos uma corrente com fortes elos interligados e aplicarmos uma força superior a sua resistência, ela se romperá no seu elo mais fraco e exporá o sistema ao risco. (VERDE, 2002, p. 01). É sabido que a maioria das organizações investe mais nas áreas tecnológicas e físicas, relegando os investimentos na área humana a um segundo plano. É perfeitamente viável imaginarmos que um baixo investimento no treinamento, capacitação e conscientização em SIC das pessoas pode levar a área humana a se tornar o aspecto mais vulnerável da segurança das informações dentro de qualquer organização Treinamento e capacitação em SIC Sendo a área humana em geral o elo mais vulnerável na segurança das informações, é imprescindível que as organizações contemplem, dentro da Gestão de SIC, recursos necessários para o fortalecimento do fator humano através de treinamento, capacitação e educação dos seus servidores na proteção do conhecimento.

35 33 A Instrução Normativa GSI/PR nº 1 determina em seu Art. 3º Inciso IV, que sejam elaborados e implementados programas destinados à conscientização e capacitação dos recursos humanos em segurança da informação e comunicações pelo Gabinete de Segurança Institucional da Presidência da República - GSI, por intermédio do Departamento de Segurança da Informação e Comunicações DSIC. O GSI e o DSIC foram criados pelo Decreto nº 5.772, de 08/05/2006. Dentre outras atribuições, o Gabinete de Segurança Institucional da Presidência da República é responsável pela coordenação das atividades de inteligência federal e de segurança da informação, e uma das missões institucionais do Departamento de Segurança da Informação e Comunicações é planejar e coordenar a execução das atividades de segurança cibernética e de segurança da informação e comunicações na administração pública federal. Este presente trabalho é fruto de uma das ações promovidas pelo DSIC, que foi a idealização e realização do CEGSIC , Curso de Especialização em Gestão da Segurança da Informação e Comunicações, em parceria com o Departamento de Ciência da Computação (CIC) do Instituto de Ciências Exatas (IE) da Universidade de Brasília (UnB). Tratando de treinamento e capacitação, Rezende e Abreu (2000) destacam a importância do ser humano nas organizações. Defendem que os gestores dêem maior atenção às pessoas, pois consideram que elas são as engrenagens fundamentais para o funcionamento harmônico e perfeito das organizações. Seguindo a mesma linha de pensamento, Fontes (2006) afirma que muitos elementos estão envolvidos no processo de segurança da informação, mas acredita que o usuário é um elemento fundamental e deve ser tratado com atenção especial. Os órgãos e instituições da Administração Pública Federal estão obrigados a realizar o treinamento e capacitação dos seus servidores por força do Decreto de 27 de dezembro de O Decreto determina no parágrafo único do Art. 3º que: Toda autoridade responsável pelo trato de dados ou informações sigilosos providenciará para que o pessoal sob suas ordens conheça integralmente as medidas de segurança estabelecidas, zelando pelo seu fiel cumprimento. (DECRETO 4.553, 2002, Art 3º).

36 34 O Decreto nº também determina que: Os órgãos e entidades públicos e instituições de caráter público promoverão o Treinamento, a Capacitação, a Reciclagem e o Aperfeiçoamento de Pessoal que desempenhe atividades inerentes à salvaguarda de documentos, materiais, áreas, instalações e sistemas de informação de natureza sigilosa. (DECRETO 4.553, 2002, Art 64). Sendo o Instituto Geral de Controle Financeiro uma autarquia do Governo Federal, automaticamente está sujeito às normas e regulamentos dispostos no Decreto supracitado e, portanto, obrigado a promover o treinamento, reciclagem e capacitação dos seus servidores quanto à segurança das informações e comunicações. Fonseca (2009) defende que as organizações não devem apenas definir e redigir as regras das políticas de segurança, mas também se esforçar ao máximo para orientar a todos para que aprendam e sigam o que foi determinado. A autora alerta que as organizações devem garantir que todos entendam o motivo de cada uma das políticas adotadas para que as pessoas não tentem se desviar da regra por questões de conveniência. Notadamente existe na literatura sobre Proteção do Conhecimento uma clara visão de que a segurança das informações depende da percepção da necessidade desta segurança pelos usuários dos sistemas de informação das organizações, bem como do seu comportamento e atitudes perante situações específicas Percepção da segurança das informações A percepção pode ser entendida como o ato ou o efeito de perceber, de ter consciência de alguma coisa ou pessoa. Percepção também pode ser a faculdade de apreender por meio dos sentidos ou da mente. É a capacidade de compreensão de algo. Schermerhorn, Hunt e Osborn (1999), definem percepção como sendo o processo que as pessoas utilizam para escolher, organizar, interpretar, procurar e reagir às informações advindas do mundo e ambiente nos quais estão inseridas. Kotler (2000) complementa o conceito afirmando que as pessoas utilizam-se da percepção para criar uma imagem significativa do mundo. Notamos que a percepção

37 35 pode ser visualizada como uma espécie de peneira ou filtro, através do qual a informação passa antes de causar efeito sobre uma determinada pessoa em uma determinada situação. As pessoas se utilizam da percepção para definir se são ou não capazes de realizar as suas tarefas diárias e se conseguem proteger as informações por elas manipuladas. Roberts (2001 apud MAIA 2003) trata de como as pessoas percebem a própria competência: A percepção de competência foca o entendimento de um sujeito sobre se ele ou ela são capazes de atingir um objetivo, ou se tem a convicção e a confiança para executar os comportamentos necessários à conquista desse mesmo objetivo. (ROBERTS, 2001, apud MAIA, 2003, p 19). Verifica-se no parágrafo acima que a visão que as pessoas possuem da própria capacidade de realizar uma tarefa pode influenciar o seu comportamento. Para Schermerhorn, Hunt e Osborn (1999), a qualidade ou exatidão das percepções causam um impacto fundamental sobre a imagem que as pessoas criam do mundo e também sobre as reações destas pessoas quando em resposta a uma determinada situação. Defendem que a percepção não é necessariamente igual à realidade, sendo que as percepções de duas pessoas, do mesmo fato ou situação, também não são necessariamente iguais. Os valores das pessoas se desenvolveriam como consequência do aprendizado e da experiência que elas encontram no ambiente cultural em que vivem. O contexto físico, social e organizacional do ambiente seria um dos fatores que teria influência no processo perceptivo das pessoas. Os autores também defendem que a percepção é um fator impactante no comportamento individual e na reação a uma determinada situação, e por sua vez, a percepção é influenciada pelo contexto físico, social e organizacional do ambiente Conscientização As pessoas, quando estão conscientes sobre as vulnerabilidades dos sistemas e ameaças à segurança da informação, quando sabem as suas responsabilidades e obrigações, quando estão capacitados a executar a Política de Segurança da Informação e Comunicações da organização e quando são educadas

38 36 e treinadas na correta utilização dos recursos de processamento da informação, tornam-se colaboradores dos sistemas de segurança da organização. Ao contrário, quando as pessoas que manipulam qualquer tipo de informação, seja ela sensível ou não, estão desprovidas de uma cultura de proteção do conhecimento e também não possuem uma correta percepção das vulnerabilidades e ameaças existentes no seu ambiente, podem se transformar no principal vetor de riscos à segurança das informações da organização. Fonseca (2009) defende que é possível influenciar as pessoas para que elas mudem seu comportamento e suas atitudes e também é possível motivar cada empregado a fazer a sua parte para proteger os ativos de informações da organização. Para a autora esta mudança de atitude é possível através de programas que visem aumentar a conscientização sobre a segurança das informações. A conscientização é, portanto, uma importante ferramenta para a mudança de comportamento das pessoas. Nesta linha, Marciano (2006) defende que os empregados ao adquirirem uma imagem mais positiva da segurança são capazes de realizar atividades relacionadas à implementação de medidas de segurança da informação de modo mais automático e com menor resistência. Um nível adequado de conscientização das pessoas sobre as medidas e procedimentos de segurança assegura que os usuários dos sistemas de informação estejam cientes das ameaças à segurança da informação e reduz os riscos de falha humana. Quando empregados não estão conscientes das medidas corretas e dos procedimentos adequados abrem brechas na segurança das informações. Pesquisa realizada 4 pela empresa de segurança da internet Check Point Software Technologies Ltd. (Nasdaq: CHKP) e a empresa de pesquisas em administração de informações e privacidade, o Ponemon Institute, revelou que 77% das empresas pesquisadas passaram por perdas de dados no ano de Os dados obtidos com a pesquisa revelaram que a principal causa da perda de dados é o roubo ou extravio de equipamentos, seguido dos ataques à rede, dispositivos móveis inseguros, aplicativos para web 2.0 e o compartilhamento de arquivos, além de s acidentalmente enviados ao destinatário errado. 4 Pesquisa Entendendo a Complexidade da segurança nos Ambientes de TI do século XXI, fevereiro de 2011, disponível em:

39 37 No parágrafo anterior, propositalmente, grifamos as causas de eventos que consideramos possuir algum relacionamento com comportamento inseguro de usuários de sistemas. Estes comportamentos inseguros destacados podem estar relacionados com um baixo nível de conscientização sobre segurança da informação. Durante a revisão bibliográfica realizada com o objetivo de buscar conceitos e fundamentos destinados à elaboração deste trabalho não foram localizadas pesquisas que tenham tentado aferir o nível de conscientização ou percepção que as pessoas têm de aspectos da área de segurança da informação Riscos à segurança da Informação (vulnerabilidades x ameaças) A Norma Complementar 04/IN01/DSIC/GSIPR de 14 de agosto de 2009 define Riscos de Segurança da Informação e Comunicações como: Um potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização. (NC 04, 2009, p. 03). A informação corre riscos quando existem vulnerabilidades no seu sistema de proteção, pois estas vulnerabilidades podem ser exploradas por ameaças. As ameaças nem sempre são externas. Paiva (2004) alerta que diversas agressões à segurança como ataques, fraudes, paralisações, sabotagens, danos e riscos operacionais, são em sua grande maioria, oriundas de dentro das próprias organizações. Defende que os agressores internos incluem desde os insatisfeitos e desajustados, até pessoal cooptado ou infiltrado por concorrentes. A Norma Complementar 04/IN01/DSIC/GSIPR também traz as definições de vulnerabilidade e ameaça: Vulnerabilidade: conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou organização, os quais podem ser evitados por uma ação interna de segurança da informação. (NC 04, 2009, p. 03). Ameaça: conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização; (NC 04, 2009, p. 02).

40 38 Sêmola (2003) apresenta uma lista de vulnerabilidades e as classifica em três categorias: Tecnológicas, Físicas e Humanas. Como vulnerabilidades do tipo humana o autor listou os seguintes exemplos: - Falta de treinamento; - Falta de qualificação; - Ausência de políticas de RH; - Ambiente/clima organizacional ruim. É facilmente identificável que a lista proposta não é muito extensa, mas estas quatro vulnerabilidades podem se transformar em catalisadores de dezenas de comportamentos inseguros, comportamentos estes que podem gerar um número muito grande de incidentes de segurança, criando um estado de fragilidade para qualquer organização. Comportamentos inseguros das pessoas muitas vezes provocam o surgimento de vulnerabilidades, mas nem todos os comportamentos inseguros são causados intencionalmente. Para Silva (2010) existem causas diversas para que as pessoas adotem comportamentos inseguros. Muitas vezes os comportamentos inseguros são provocados por fatores externos. Exemplos de comportamentos inseguros que possuem causas variadas são os comportamentos: a) Originados pela dificuldade do funcionário em atingir seus objetivos devido às dificuldades reais de execução do trabalho. b) Originados pela falta de conhecimento, treinamento ou integração dos procedimentos de segurança da informação no cotidiano de trabalho. c) Originados por não seguir o comportamento de segurança devido a inadequação dos equipamentos, prazos exíguos, tarefas mal dimensionadas, falha em outras etapas do processo. d) Originados de forma intencional. Um exemplo real de comportamento inseguro utilizando esta classificação foi um funcionário que devido a problemas de infraestrutura na organização armazenou uma base de dados de um determinado sistema em seu notebook.

41 39 Alguns exemplos de vulnerabilidades do tipo humanas, ou seja, vulnerabilidades decorrentes de um comportamento inadequado ou inseguro podem ser: - Desobediência ou não observância da correta execução de rotinas de segurança, - Compartilhamento de informações confidenciais, - Falta de capacitação específica para a execução das atividades inerentes às funções de cada um, - Compartilhamento de identificadores como nome de usuário ou credencial de acesso, - Falta de consciência de segurança na realização das atividades de rotina, - Erros, omissões, descontentamentos, etc. Mas talvez a maior vulnerabilidade humana seja a falta de conhecimento sobre ataques e o desconhecimento das medidas de segurança adequadas para a proteção do conhecimento, pois esta vulnerabilidade pode desencadear o aparecimento de todas as outras. As medidas de segurança são importantes e tem a função de evitar que as vulnerabilidades sejam exploradas pelas ameaças. Sêmola (2003) defende que as ameaças podem ser classificadas de acordo com a sua natureza em ameaças naturais, ameaças voluntárias e ameaças involuntárias. As ameaças naturais são as decorrentes dos fenômenos da natureza como furacões e terremotos. No Brasil as ameaças naturais que comumente ocorrem em algumas regiões são as inundações. As ameaças voluntárias são propositais, são ameaças que foram planejadas. Exemplo das ameaças voluntárias são as ameaças causadas por hackers, invasões, espiões, disseminadores de vírus de computador, engenheiros sociais, etc. As ameaças involuntárias ocorrem principalmente devido ao desconhecimento das pessoas ou por acidentes. Cada uma das vulnerabilidades existentes na organização pode sofrer ação de uma ou mais ameaças. As vulnerabilidades quando exploradas pelas ameaças podem gerar a ocorrência de Incidentes de Segurança.

42 Incidentes de Segurança A Norma ABNT NBR ISO/IEC 27002:2005 define Incidente de Segurança: Um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. (ABNT NBR ISO/IEC 27002, 2005, p. 02). alerta: Paiva (2002) tratando sobre a ocorrência de incidentes de segurança Riscos e ameaças até então inimagináveis ou restritos, são agora frequentes e comuns. Até bem recentemente, bastava manter um rígido controle de acesso, com um programa básico de segurança interna (tipo não deixe documentos sobre as mesas...) e teríamos grandes chances de evitar dissabores de perdas de informações estratégicas e/ou sensíveis. Presentemente, o conteúdo de um notebook ou palm, perdido, furtado ou até roubado, pode transportar todas as informações para fora da empresa de modo rápido e completo. (PAIVA, 2002, p. 01). A Microsoft TechNet Brasil (2006) elenca três formas como os incidentes de segurança podem ameaçar a segurança das informações. Os incidentes de segurança podem provocar perda de Confidencialidade, Integridade ou Disponibilidade. Perda de Confidencialidade: ocorre quando a informação perde o seu sigilo ou quando uma informação específica é divulgada para pessoas não autorizadas. Com a perda de confidencialidade a informação deixa de ser restrita a um determinado indivíduo ou grupo de pessoas e passa a ser acessível a outros usuários. Perda de Integridade: ocorre quando a informação sofre alterações em sua forma original, ficando corrompida ou falsificada. Ocorre também quando a informação é indevidamente alterada, ou seja, alterada por pessoas não autorizadas. Perda de Disponibilidade: ocorre quando a informação perde a facilidade de recuperação ou acessibilidade. A perda de disponibilidade ocorre quando a informação não está mais ao alcance de seus usuários e destinatários, ou quando não é mais possível acessar a informação no momento em que for necessário utilizá-la.

43 41 Notamos que as ameaças são muitas e que estão sempre presentes, sendo necessário que a organização e seus servidores estejam preparados e atentos a qualquer tipo de incidente de segurança que possa comprometer a segurança das informações. Verde (2002) defende que as empresas lutam por sobreviver e conquistar o mercado, mas não são, necessariamente, as mais forte que sobrevivem. Para o autor só conseguem permanecer em atividade aquelas organizações que conhecem as suas vulnerabilidades e se preparam adequadamente para repelir as ameaças. 2.3 Referenciais Conceituais das Disciplinas do CEGSIC Para melhor compreensão da situação da gestão da segurança das informações praticada no Instituto foi necessário contextualizar o que preconiza a teoria e conceitos abordados anteriormente em face das diretrizes, políticas e práticas adotadas internamente. Esta contextualização foi possível visto que o CEGSIC foi dividido em 18 disciplinas que, ao final, produziram diversos estudos de caso que abrangeram aspectos de todas as 11 Seções de Controles de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002:2005. A Norma ABNT NBR ISO/IEC 27002:2005 é o código de prática para a gestão da segurança da informação adotado no Brasil, sendo um guia de boas práticas reconhecido internacionalmente e é referência no desenvolvimento de procedimentos de segurança da informação visando uma eficiente Gestão da Segurança da Informação. Cada uma das 11 Seções de Controle de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002:2005 possui uma ou mais Categorias Principais de Segurança da Informação. São ao todo 39 Categorias Principais de Segurança da Informação. Cada Categoria Principal de Segurança possui um Objetivo de Controle que define o que deve ser alcançado e um ou mais Controles que são utilizados no atendimento deste Objetivo de Controle.

44 42 A Norma ABNT NBR ISO/IEC 27002:2005 possui 133 controles que podem ser ou não implementados de acordo com as circunstâncias e características dos processos específicos de cada organização. O material didático do CEGSIC e as 11 seções da Norma ABNT NBR ISO/IEC 27002:2005 serviram de orientação na busca de conceitos e definições, e também forneceram diversos referenciais teóricos utilizados neste trabalho. Para uma melhor visualização da abrangência da Norma ABNT NBR ISO/IEC 27002:2005, as 11 Seções de Controle de Segurança da Informação com a respectiva numeração original e o número de Categorias Principais de Segurança e de Controles estão demonstradas na tabela seguinte: Tabela 1 - Seções da ABNT NBR ISO/IEC 27002:2005 com os respectivos números de Categorias e Controles. Nº Seção Categorias Controles 05 Políticas de Segurança Organizando a Segurança da Informação Gestão de ativos Segurança dos Recursos Humanos Segurança Física e do Ambiente Gerenciamento das Operações e Comunicações Controle de Acessos Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação Gestão de Incidentes de Segurança da Informação Gestão da Continuidade do Negócio Conformidade 3 10 Fonte: Elaborada pelo autor baseado na Norma ABNT ISO/IEC 27002:2005.

45 Política de Segurança Seguindo a ordem das seções da Norma ABNT NBR ISO/IEC 27002:2005, que segundo a própria norma não significa o seu grau de importância, notamos que o primeiro controle sugerido é a definição do documento da Política de Segurança da Informação - POSIC (na Seção 05). Para a referida Norma o objetivo da POSIC é prover uma orientação para a segurança da informação de acordo com os requisitos de negócio e as leis pertinentes. Em se tratando de Políticas de Segurança das Informações no âmbito de instituições públicas, a Presidência da República publicou o Decreto n 3.505, de 13 de junho de 2000, que instituiu a Política de Segurança da Informação (POSIC) nos órgãos e entidades da Administração Pública Federal. Dois dos pressupostos básicos da POSIC são a conscientização dos órgãos e das entidades da Administração Pública Federal sobre a importância das informações processadas e sobre o risco da sua vulnerabilidade, e a criação, desenvolvimento e manutenção de uma mentalidade de segurança da informação nas instituições. A criação de uma mentalidade de segurança é fator fundamental para a proteção das informações. Souza Neto (2010) destaca que a proteção exclusivamente por meios técnicos não é suficiente para garantir segurança e precisa ser apoiada por políticas e procedimentos. Defende que a Política de Segurança é o elemento base de toda a segurança da informação de uma organização e que o sucesso na sua implementação, na identificação de riscos e vulnerabilidades e na adoção de controles de segurança adequados depende fundamentalmente da participação efetiva de todos os servidores da organização. Para a participação de todas pessoas, as políticas precisam ser conhecidas. A NC nº 03/IN01/DSIC/GSIPR, destaca a necessidade de divulgação da Política de Segurança e suas atualizações a todos os servidores, usuários, prestadores de serviço, contratados e terceirizados que habitualmente trabalham no órgão ou entidade da Administração Pública Federal, bem como recomenda a promoção da cultura de segurança da informação e comunicações, por meio de atividades de sensibilização, conscientização, capacitação e especialização a todos os envolvidos.

46 Fatores comportamentais e responsabilidades das pessoas Veneziano (2010) defende que os Sistemas de Informações de uma organização podem ser definidos como um conjunto de elementos que possuem relacionamentos e que coletam, manipulam, armazenam e disseminam dados e informações, tanto local como remotamente, além de possuírem um mecanismo de retroalimentação para o processo. Em relação à segurança nestes Sistemas de Informação o autor alerta que: Podem afetar a segurança de uma determinada informação os fatores comportamentais e de uso de quem se utiliza dela, o ambiente ou a infraestrutura que a cerca ou pessoas mal-intencionadas que tenham objetivo de furtar, destruir ou modificar tal informação. (VENEZIANO, 2010, p. 07). Com relação aos fatores comportamentais, a Norma ABNT NBR ISO/IEC 27002:2005, em sua Seção nº 06 Organizando a Segurança da Informação, cujo objetivo é gerenciar a segurança da informação dentro da organização, determina ser conveniente que todas as responsabilidades pela segurança da informação estejam claramente definidas. Responsabilidade pode ser definida como sendo a obrigação de responder pelas ações próprias ou dos outros, ou o caráter ou estado do que é responsável. Outra seção da Norma ABNT NBR ISO/IEC 27002:2005 que também trata de responsabilidades pela segurança da informação é a de nº 08, Segurança em Recursos Humanos. O item determina a definição dos papéis e responsabilidades pela segurança da informação de funcionários, fornecedores e terceiros. O objetivo deste controle é assegurar que todos dentro da organização entendam suas responsabilidades e estejam de acordo com os seus papéis. Fernandes (2010), ao tratar sobre controles de acesso, destaca a Seção nº 11 da Norma ABNT NBR ISO/IEC 27002:2005 que implementa o controle Responsabilidades dos Usuários, cujo objetivo é prevenir o acesso não autorizado aos sistemas de informação. O objetivo é alcançado por meio da obtenção da cooperação dos usuários, da conscientização das responsabilidades de cada um e da implementação da política de Mesa Limpa e Tela Limpa.

47 45 A responsabilidade das pessoas pela segurança da informação é um fator importante no sucesso da Gestão da Segurança das Informações. A responsabilidade de cada pessoa pela segurança da informação deve estar bem definida e clara. Com o objetivo de deixar claro aos usuários as suas responsabilidades, a Norma ABNT NBR ISO/IEC 27002:2005 destaca que a instituição pode se utilizar de diferentes formas de acordos de confidencialidade ou de não divulgação. Um expediente que pode ser usado é a assinatura de um Termo de Sigilo e Responsabilidade. Termo de Responsabilidade é definido pela Norma Complementar nº 07 da Instrução Normativa 01 do GSI/PR, de 6 de maio de 2010, como sendo um termo assinado pelo usuário, no qual ele concorda em contribuir com a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações a que tiver acesso. O usuário também assume as responsabilidades decorrentes dos acessos às informações. Mas não é suficiente apenas determinar as responsabilidades de cada um. Para que as normas e os procedimentos sejam adequadamente seguidos as pessoas devem primeiramente estar cientes da necessidade de proteção e depois devem saber como fazê-lo. Quando existe um nível adequado de conscientização e treinamento nos procedimentos da segurança das informações o risco de erro humano é diminuído. A Norma ABNT NBR ISO/IEC 27002:2005 possui uma seção, a de nº 08, Segurança em Recursos Humanos, que trata da conscientização, educação e treinamento em segurança da informação e que determina o seguinte: Convém que todos os funcionários da organização e, onde pertinente, fornecedores e terceiros recebam treinamento apropriado em conscientização, e atualizações regulares nas políticas e procedimentos organizacionais, relevantes para as suas funções. (ABNT NBR ISO/IEC 27002, 2005, p. 28). Um dos objetivos do treinamento e das atualizações regulares é preparar as pessoas para apoiar a política de segurança da informação durante os seus trabalhos normais e reduzir o risco de erro humano. O treinamento proporciona o aumento da conscientização dos usuários das informações e permite que as pessoas dentro da organização tornem-se capazes de reconhecer os problemas e os incidentes de segurança.

48 Gestão dos Incidentes de Segurança e GCN O Departamento de Segurança da Informação e Comunicações (DSIC) define incidente como: Evento que tenha causado algum dano, colocado em risco algum ativo de informação crítico ou interrompido a execução de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação. (DSIC NC nº 06, 2009, p. 03). Notamos que os incidentes de segurança além de provocar danos também podem interromper momentaneamente atividades importantes das organizações. Para se recuperar das interrupções, Veneziano e Fernandes (2011) defendem que as organizações mantenham um Plano de Gerenciamento de Incidentes (PGI). Segundo os autores um PGI traz detalhes acerca da forma como a organização pode gerenciar um incidente e como ela recuperará ou manterá as suas atividades em um nível predeterminado em caso de uma interrupção. Incidentes é: Conforme definição do DSIC na NC nº 06, o Plano de Gerenciamento de Plano de ação claramente definido e documentado, para ser usado quando ocorrer um incidente que basicamente cubra as principais pessoas, recursos, serviços e outras ações que sejam necessárias para implementar o processo de gerenciamento de incidentes. (DSIC NC nº 06, 2009, p. 03). A identificação de incidentes e eventos que possam causar interrupções de atividades depende fundamentalmente da adoção, por parte das organizações, de uma Gestão de Continuidade de Negócios (GCN). Veneziano e Fernandes (2011) alertam que a Gestão da Continuidade de Negócios, no que concerne ao aspecto informação, necessita considerar os diversos formatos físicos e digitais nos quais a informação é suportada, bem como a manutenção das características de segurança e grau tolerável de defasagem da informação. A Gestão de Continuidade de Negócios (GCN) deve verificar a probabilidade de ocorrência e o impacto dos Incidentes de Segurança para a segurança da informação. É conveniente que a Segurança das Informações e Comunicações seja uma parte integrante dos processos de continuidade de negócios, pois desta forma a

49 47 Gestão da Continuidade do Negócio tem condições de incluir controles que limitem os danos provocados pelos incidentes de segurança. A Norma ABNT NBR ISO/IEC 27002:2005 possui uma seção dedicada à Gestão dos Incidentes de Segurança da Informação. Sua subseção 13.1, Notificação de Fragilidades e Eventos de Segurança da Informação determina: Convém que todos os funcionários, fornecedores e terceiros estejam conscientes sobre os procedimentos para notificação dos diferentes tipos de eventos e fragilidades que possam ter impactos na segurança dos ativos da organização. (ABNT NBR ISO/IEC 27002, 2005, p. 98). Convém que seja requerido que os eventos de segurança da informação e fragilidades sejam notificados, tão logo quanto possível. (ABNT NBR ISO/IEC 27002, 2005, p. 98). As pessoas devem ser treinadas e orientadas para a detecção e rápida comunicação de vulnerabilidades e de qualquer observação ou suspeita de fragilidade detectada dentro da organização. A organização deve prover meios para que a comunicação possa ocorrer de modo eficiente e uma das soluções é a criação de pontos de contato específicos para este fim. Esta ação assegura que eventuais fragilidades e eventos de segurança da informação sejam tempestivamente comunicados, permitindo a tomada de ação corretiva em tempo hábil para evitar a ocorrência de Quebra de Segurança. A NC nº 07 do Departamento de Segurança da Informação e Comunicações, de 6 de maio de 2010, define Quebra de Segurança como o comprometimento da segurança da informação e comunicações. Este comprometimento da segurança da informação pode ser resultante de uma ação ou omissão, sendo que esta ação ou omissão pode ser tanto intencional como acidental. Para combater os Incidentes de Segurança e as Quebras de Segurança, evitar erros, perdas e modificação não autorizada ou mal uso de informações da organização, os sistemas de segurança devem trabalhar adequadamente segundo padrões preestabelecidos. A adequação dos sistemas de segurança aos padrões preestabelecidos pela organização é passível de ser verificada através da realização de auditorias.

50 Auditoria e conformidade A Norma ABNT NBR ISO/IEC 27002:2005 também trata de Auditoria e Conformidade da Segurança. A subseção 15.2, Conformidade com Normas e Políticas de Segurança da Informação e Conformidade Técnica, ressalta que: Convém que a segurança dos sistemas de informação seja analisada criticamente a intervalos regulares. (ABNT NBR ISO/IEC 27002, 2005, p. 112). Convém que tais análises críticas sejam executadas com base nas políticas de segurança da informação apropriadas e que as plataformas técnicas e sistemas de informação sejam auditados em conformidade com as normas de segurança da informação implementadas. (ABNT NBR ISO/IEC 27002, 2005, p. 112). Este levantamento da conformidade da segurança da informação garante a adequação dos sistemas de informação com as políticas e normas organizacionais de segurança da informação. O levantamento deve ser realizado a intervalos regulares para garantir que eventuais mudanças ocorridas nos cenários internos e externos à organização possam ser contempladas nas normas e procedimentos de segurança da informação. Rodrigues e Fernandes (2011) destacam a importância da auditoria de segurança de informação na verificação da situação dos controles que se aplicam à segurança das informações. Os autores alertam que os controles ou a ausência deles podem se constituir em vulnerabilidades exploráveis ou portas de entrada para produzir incidentes de segurança da informação. Além do estabelecimento de controles de auditoria é importante que seja realizado um monitoramento constante das atividades. Gondim (2010), tratando do Gerenciamento das Operações e Comunicações, defende que: Os registros (logs) de auditoria contendo atividades de usuários, exceções e outros eventos de segurança da informação devem ser produzidos e mantidos por um tempo acordado para auxiliar em futuras investigações e monitoramento de controle de acesso. (GONDIM, 2010, p. 16). Ao final desta revisão dos referenciais teóricos e fundamentos é possível perceber que as informações são um elemento fundamental para as organizações e que em qualquer fase da sua vida, desde a sua criação até o seu descarte, estão constantemente ameaçadas.

51 49 As pessoas são um fator muito importante na segurança destas informações e o treinamento, a capacitação e a conscientização de quem tem contato com informações sensíveis da organização devem constar do planejamento estratégico das organizações. Não é possível garantir uma eficiente segurança das informações se quem se utiliza dela não adotar atitudes e procedimentos adequados para a sua proteção. Somente com a criação de políticas e procedimentos claros é possível garantir que as pessoas estejam cientes do valor das informações e da importância de protegê-las, bem como da sua responsabilidade pessoal na segurança destas informações sensíveis da organização. É importante que as organizações fiquem atentas às vulnerabilidades provocadas pelo fator humano, bem como é fundamental que trabalhem para que ameaças não explorem estas vulnerabilidades. As ameaças podem ser repelidas através da adoção de medidas e controles de segurança e de procedimentos adequados que minimizem os riscos existentes. Para garantir a segurança das informações também é importante a criação de auditorias que certifiquem que todos os procedimentos preestabelecidos estão sendo corretamente seguidos e que os sistemas de segurança da informação estão de acordo com as políticas e normas da GSIC adotadas pela organização.

52 50 3 METODOLOGIA 3.1 Estudo de Caso A metodologia escolhida para a realização do presente trabalho foi o Estudo de Caso. O Estudo de Caso caracteriza-se pelo aprofundamento no exame de um ou poucos objetos de maneira a permitir um amplo e detalhado conhecimento. Para Yin (2001, p.19) um Estudo de Caso é a estratégia de pesquisa preferida quando o pesquisador tem pouco controle sobre os acontecimentos e quando o foco se encontra em fenômenos contemporâneos inseridos em algum contexto da vida real. O autor defende que o Estudo de Caso acrescenta duas fontes de evidência às pesquisas tradicionais: a observação direta dos acontecimentos e as entrevistas das pessoas envolvidas nestes acontecimentos. Segundo Marconi e Lakatos (2003) o Estudo de Caso é referente ao levantamento com mais profundidade e sob todos os aspectos de determinado caso específico ou grupo humano. Para Gil (2002), um Estudo de Caso consiste em um estudo profundo e exaustivo de um ou poucos objetos, de modo que este estudo permita um amplo e detalhado conhecimento do objeto em estudo. Bruyne, Herman e Schoutheete (1977, apud PASSONI, RAUP e FEY 2006) defendem que o Estudo de Caso justifica sua importância por reunir informações numerosas e detalhadas visando apreender a totalidade de uma situação. Uma riqueza de informações detalhadas auxiliaria num maior conhecimento e numa possível resolução de problemas relacionados ao assunto estudado. Notamos que o Estudo de Caso tem a característica de ser um estudo concentrado de um único ou poucos casos. Raupp e Beuren (2003) afirmam que o resultado obtido em um Estudo de Caso de determinado objeto não pode ser generalizado a outros objetos ou fenômenos, justamente por estar restrito a um ou poucos objetos.

53 51 O Estudo de Caso se adequou bem ao pretendido do trabalho, pois além de permitir a utilização de diversas fontes de dados, também viabiliza analisar situações dentro do seu ambiente real, ou seja, os estudos de casos realizados permitiram aferir a percepção dos servidores do Instituto Geral de Controle Financeiro sobre proteção do conhecimento tendo como pano de fundo o seu ambiente natural de trabalho, o próprio Instituto. 3.2 Estudos de Caso auxiliares Cada uma das dezoito disciplinas do curso CEGSIC resultou em um Estudo de Caso. Onze estudos tiveram como referencial teórico um ou mais controles implementados em alguma seção da norma ISO/IEC (27002). Estes Estudos de Caso auxiliares buscaram retratar a situação de conformidade da Gestão Segurança da Informação adotada e praticada pelo Instituto em comparação ao preconizado pelos referenciais teóricos pesquisados nas disciplinas e pela Norma ABNT NBR ISO/IEC 27002:2005. Em cada disciplina os estudos de caso foram divididos em 04 etapas de execução: - Delimitação; - Coleta de dados; - Seleção, análise e interpretação dos dados; - Elaboração do relatório de pesquisa. A delimitação da pesquisa, etapa inicial dos estudos de caso, facilita o levantamento e a análise da bibliografia utilizada na revisão conceitual e na resposta à questão de pesquisa. O primeiro passo da delimitação da pesquisa era sempre definir o tema e fazer uma revisão de fundamentos teóricos com citação científica das principais referências normativas ou acadêmicas que serviriam de base para a análise dos dados. Após a revisão dos fundamentos teóricos era determinada a questão de pesquisa que deveria ser respondida no estudo de caso.

54 52 Em geral a questão de pesquisa buscava a verificar a condição de conformidade do Instituto Geral de Controle Financeiro em relação a um ou mais controles de segurança propostos em uma das 11 seções da Norma ABNT NBR ISO/IEC 27002:2005. Com a questão de pesquisa definida eram escolhidos os tópicos teóricos e os objetos reais para que a coleta de dados pudesse trazer informações pertinentes e suficientes para responder a questão de pesquisa formulada. Segundo a metodologia de Estudo de Caso o tópico teórico é um objeto a ser observado e o objeto real se refere a como os tópicos teóricos se manifestam de forma real na organização. Após a definição clara e precisa do objeto, do algo a ser pesquisado, era realizada a coleta de dados, segunda etapa dos estudos de caso. Segundo Yin (2001) as Fontes de Evidências em Estudos de Caso são: - Documentação, - Registros em arquivos, - Entrevistas, - Observação direta, - Observação participante e - Artefatos físicos. De acordo com a natureza dos dados, que variava conforme o objeto de estudo de cada seção da Norma ABNT NBR ISO/IEC 27002:2005, foi utilizado uma ou mais técnicas de coleta. Os instrumentos de coleta de dados utilizados nos estudos de caso auxiliares foram: - Pesquisa documental, - Realização de entrevistas, - Aplicação de questionários, - Observação direta e - Manuseio de artefato físico (própria estação de trabalho). Todos os dados coletados foram armazenados em ambiente virtual próprio e exclusivo para cada Estudo de Caso juntamente com uma descrição dos dados coletados, sem porém julgá-los.

55 53 O Estudo de Caso proporciona foco à pesquisa, o que permitiu que a terceira etapa, seleção, análise e interpretação dos dados, fosse realizada sempre com base nas hipóteses elaboradas e nas proposições teóricas. O pesquisador nem sempre utiliza todos os dados coletados, por isto é necessário selecionar aqueles que possam efetivamente contribuir para elaboração do trabalho. Após o descarte dos dados e informações desnecessários ou sem utilidade para a pesquisa, era realizada a avaliação. Conhecia-se os corretos procedimentos através da revisão dos fundamentos teóricos e conhecia-se também, pelos dados coletados, a realidade do Instituto. Lembrando sempre que, em geral, buscou-se como base de comparação as diretrizes dadas pela Norma ABNT NBR ISO/IEC 27002:2005. A sistematização e análise dos dados foi predominantemente quantitativa. Uma técnica que ajudou bastante a análise foi a classificação (tratamento), organização e tabulação dos dados. Nesta fase, com a análise dos dados concluída, já se obtinha subsídios suficientes para a elaboração do trabalho final, porém, como os estudos de caso realizados não objetivavam apenas servir de base para a composição deste trabalho, mas também eram parte integrante da avaliação realizada durante a fase de estudos do CEGSIC , era realizado um relatório de pesquisa referente ao estudo específico de cada disciplina em questão. Segundo Yin (2001) não há um formato pré-determinado de elaboração do relatório de pesquisa, quarta etapa dos estudos de caso. Defende que o formato do relatório de pesquisa de um Estudo de Caso vai depender da criatividade do autor. O relatório de pesquisa resultante de cada estudo de caso auxiliar era sempre um resumo das atividades realizadas: os objetivos, a hipótese, a metodologia, os resultados e as conclusões da pesquisa. Todos os estudos de caso resultantes foram digitalizados e armazenados em ambiente virtual próprio, sendo que alguns dos estudos de caso foram utilizados para a realização deste trabalho servindo como subsídio e fonte de informações e referenciais teóricos.

56 Objetos de verificação dos Estudos de Caso auxiliares Os estudos de caso realizados durante o CEGSIC possibilitaram obter um retrato do ambiente, das condições de trabalho e da infraestrutura oferecida pela organização aos seus servidores, e após, foi aplicado um questionário que visou aferir a percepção destes servidores quanto a alguns aspectos da proteção do conhecimento. Nos estudos de caso auxiliares primeiro se verificou a existência da Política de Segurança da Informação e outros normativos que regem a segurança da informação no Instituto. Na busca da política e outros normativos utilizou-se a pesquisa documental. A pesquisa documental foi realizada na intranet da organização, ambiente onde estão concentrados e depositados, em formato eletrônico, os manuais que regem todos os procedimentos a serem seguidos (não apenas os referentes à segurança da informação). O ambiente da intranet permite a cópia de todos os normativos disponibilizados. Foram salvos diversos documentos: Política de Segurança, Regulamento do Edifício, Termo de Sigilo e Responsabilidade, Plano Diretor de Tecnologia da Informação (PDTI), Regulamento de Segurança em Tecnologia da Informação, Processo de Desenvolvimento de Software (PDS) e seus complementos, etc. Estas cópias serviram de base para consulta documental também em outros estudos de caso auxiliares, como no caso da verificação de como o Instituto trata a questão da responsabilidade das pessoas pela segurança da informação. Neste estudo de caso específico foi realizada pesquisa documental em quatro normativos: Termo de Sigilo e Responsabilidade, Política de Segurança, Regulamento do Edifício e Regulamento de Segurança em Tecnologia da Informação. Com relação ao treinamento e capacitação das pessoas para a comunicação de incidentes de segurança foi feita uma pesquisa documental nos normativos com o intuito de verificar se as políticas e normas adotadas pela organização contemplam algum tipo de treinamento e orientação de como proceder na comunicação de vulnerabilidades e incidentes. Também foi utilizado um artefato físico (a estação de trabalho) com o objetivo de localizar possíveis pontos de contato

57 55 para a comunicação dos incidentes e fragilidades, conforme determina a Norma ABNT NBR ISO/IEC 27002:2005. Para verificar como o Instituto trata a questão da capacitação das pessoas no tocante à classificação das informações por elas manipuladas, foi realizada uma pesquisa documental na Política de Segurança quanto às normas e procedimentos adotados para a classificação da informação e também a busca de algum documento com histórico de treinamentos já realizados sobre o tema. Quando se buscou a situação da Gestão da Continuidade do Negócio (GCN) no Instituto, duas técnicas de busca de dados foram utilizadas: Para identificar a metodologia definida e os procedimentos de rotina na confecção dos Planos de Continuidade de Negócios (PCN) e mecanismos de Gestão da Continuidade do Negócio foi utilizada a técnica de pesquisa documental através da leitura dos manuais adotados pela organização. Para verificar a situação atual dos Planos de Continuidade de Negócios e Gestão da Continuidade do Negócio a técnica utilizada foi a entrevista. Foi entrevistado um servidor que participa da elaboração dos Planos de Continuidade de Negócios do Instituto. O entrevistado relatou a situação dos testes (de mesa, de repasse e simulação), das atividades de avaliação de riscos e do nível de capacitação dos servidores envolvidos nas atividades de Continuidade do Negócio do Instituto. Com relação à questão de como a segurança da informação está inserida no contexto da aquisição, desenvolvimento e manutenção de Sistemas de Informação (Seção 12 da Norma ABNT NBR ISO/IEC 27002:2005), buscou-se identificar etapas, responsabilidades e procedimentos relativos ao desenvolvimento de sistemas. Para a verificação foram utilizadas as técnicas de pesquisa documental (leitura do PDTI e do PDS) e de entrevista (com um desenvolvedor de sistemas do departamento de informática). Dos documentos obtidos neste Estudo de Caso extraíram-se todos os procedimentos obrigatórios no desenvolvimento de softwares. Da entrevista veio a visão e experiência de quem atua na atividade, principalmente na questão dos testes de vulnerabilidade. Os testes de vulnerabilidade têm como objetivo detectar possíveis falhas de segurança nos sistemas desenvolvidos.

58 56 Na verificação da política adotada no controle de aceso lógico foram utilizadas duas técnicas de coleta de dados: Para identificar as normas de utilização do sistema de armazenamento de dados, os requisitos de negócio para controle de acessos e as responsabilidades dos usuários, a técnica utilizada foi a pesquisa documental (leitura do Regulamento de Segurança em Tecnologia da Informação). Para identificar os procedimentos permitidos de acesso à rede interna do Instituto, a técnica utilizada foi a manipulação de artefato físico para navegação no ambiente virtual. Foi utilizada a própria estação de trabalho do pesquisador, na qual foram realizados alguns testes: acesso a informações, instalação de softwares com status de administrador da máquina, acesso a sítios em geral, utilização de portas USB e utilização de dispositivos removíveis, verificando se a segurança adotada para os usuários no ambiente eletrônico permite alguma ação ou comportamento inseguro ou não recomendado. A observação direta foi a técnica empregada na verificação da segurança física e do ambiente praticada na organização. Tratando da segurança física das organizações Mandarini (2010) defende que nas instituições existem Pontos Críticos, que são áreas, instalações, dependências ou mesmo ambientes que podem sofrer danos e provocar perdas, e que, igualmente existem Pontos de Riscos que podem oferecer danos potenciais se violadas. Estas áreas devem estar sempre protegidas e as medidas de segurança variam de acordo com a sua criticidade. A observação direta foi realizada com a visitação de um ponto crítico, neste caso o Data Center, onde foi possível perceber os controles adotados para o acesso. 3.4 Questionário A amostragem realizada para a aplicação do questionário foi considerada por conveniência se for considerado o fato que o pesquisador selecionou dois departamentos para a análise dentro do universo total disponível dos departamentos do Instituto. O elemento pesquisado foi considerado autosselecionado. Elemento autosselecionando é quando a participação na pesquisa é voluntária.

59 57 Segundo Schiffman e Kanuk (2000, apud OLIVEIRA 2001) a amostragem por conveniência ocorre quando o pesquisador seleciona membros da população que estão mais acessíveis. Para os autores, neste processo amostral os resultados obtidos somente se aplicam a própria amostra analisada, devendo a análise ficar restrita aos indivíduos pesquisados. Na amostragem por conveniência, como o próprio nome já indica, tomamse como amostra, os elementos da população que estão mais disponíveis. A seleção das unidades amostrais fica a critério do pesquisador de acordo com a disponibilidade das mesmas. A amostragem por conveniência produz uma amostra que não foi escolhida aleatoriamente, ou seja, é considerada uma Amostragem Não Probabilística 5. Em uma amostragem não probabilística, como foi o caso da amostragem por conveniência adotada neste trabalho, não se pode extrapolar os resultados obtidos para o universo total da população, ou seja, para todos os indivíduos da organização. Para Churchill (1998, apud OLIVEIRA 2001) o problema de amostras por conveniência é que não há como saber se todas as pessoas (neste caso os dois departamentos) incluídas na amostra são representativas da população. Os questionários foram entregues impressos aos chefes das unidades de cada departamento, sendo dado um prazo de quinze dias para a distribuição e posterior recolhimento dos questionários que porventura fossem respondidos. A participação na pesquisa não foi obrigatória. Dos 292 servidores dos dois departamentos, 160 devolveram o questionário preenchido, atingindo o índice de 54,8% de respondentes. O questionário foi elaborado composto de sete perguntas objetivas com opções de resposta em uma escala de Likert 6 de três níveis e o conjunto de respostas foi posteriormente agrupado conforme o seu tipo (1 - Sim, 2 - Parcialmente e 3 - Não). Com o percentual de tipos de resposta foi possível verificar se em algum aspecto pesquisado existe discrepância em relação aos demais. 5 Amostragem não probabilística é aquela em que a seleção dos elementos da população para compor a amostra depende ao menos em parte do julgamento do pesquisador ou do entrevistador no campo. (Mattar, F. p. 132). <http://www.fecap.br/adm_online/art23/tania2.htm> 6 Escala de Likert mede o nível de concordância ou não concordância à uma dada afirmação.

60 58 Das sete perguntas elaboradas uma delas é uma subpergunta de outra, ou seja, quando havia resposta positiva para determinada questão, uma segunda questão complementar deveria ser respondida, do contrário, com resposta negativa para a primeira, a subpergunta não era respondida. Deste modo alguns questionários tiveram um total de apenas seis questões respondidas. Os entrevistados responderam sobre alguns pontos de observação determinados pelo pesquisador. Os pontos de observação eram constituídos de normas, dados sigilosos, classificação da informação, responsabilidade e capacidade próprias dos entrevistados. A tabela a seguir relaciona os assuntos abordados em cada uma das sete perguntas do questionário. Tabela 2 - Objeto das perguntas do questionário. 1 Se os entrevistados tem conhecimento da existência de normas sobre segurança da informação, 1.1 Se positivo para a primeira pergunta, se já os leram; Se os entrevistados consideram que o Instituto possui dados que devam ser protegidos; Se o entrevistado está capacitado para realizar a classificação da informação segundo o seu grau de sigilo; Se existe por parte do entrevistado interesse quanto a conhecer mais sobre medidas de proteção do conhecimento; Se o entrevistado sente que possui responsabilidade pela proteção do conhecimento sensível; E por fim pediu-se aos entrevistados para avaliar a própria capacidade de 6 proteger dados e informações. Fonte: Elaborado pelo autor. A maior parte das questões, mesmo apresentando opções de respostas objetivas, exige do entrevistado certo grau de subjetividade pois caracterizam a avaliação e percepção pessoal do servidor sobre os aspectos abordados pelo questionário.

61 59 Com o objetivo de quantificar esta percepção subjetiva e qualitativa dos entrevistados, o autor criou alguns mecanismos que foram divididos em quatro etapas. As etapas criadas para a realização deste trabalho estão descritas nos quatro passos abaixo: Passo 01 - Criação de Níveis de Percepção O primeiro passo foi a criação de cinco níveis de percepção, com a seguinte ordem: 1 - baixo, 2 - médio baixo, 3 - médio, 4 - médio alto e 5 alto. Com o objetivo de classificar o conjunto de respostas dos entrevistados de acordo com estes cinco níveis de percepção criados pelo autor, foi elaborada uma correlação entre as porcentagens de cada tipo de respostas ( Sim, Parcialmente e Não ) e os níveis de percepção propostos. Para a correlação entre as porcentagens de respostas e os níveis de percepção foi adotada a seguinte metodologia: Passo 02 Atribuição de pesos Primeiramente atribuiu-se um peso para uma das três opções de resposta oferecida pelo questionário. Para a resposta Sim foi atribuído peso 4; Para a resposta Parcialmente, peso 2 e Para a resposta Não, peso Passo 03 Definição da forma de cálculo (% vs Peso) O valor para o conjunto de respostas de cada questão do questionário é calculado da seguinte forma:

62 60 Multiplica-se o percentual de cada tipo de resposta ( Sim, Parcialmente e Não ) pelo seu peso correspondente (4, 2 e 1) e após a multiplicação é efetuada a soma dos três produtos obtidos conforme a fórmula: Valor = (%sim x 4) + (%parcial x 2) + (%não x 1) Assim foi definida a forma de cálculo para a obtenção de um valor numérico ponderado dos percentuais de respostas obtidos para cada questão do questionário. Após a definição da fórmula de cálculo, temos duas situações hipotéticas específicas: Num extremo, um percentual de Não igual a cem por cento e percentuais de Sim e Parcialmente iguais a zero. Utilizando-se a metodologia de percentual x peso, obtemos: (0%[sim] x 4 = 0) + (0%[parcial] x 2 = 0) + (100%[não] x 1 = 100) = 100. No outro extremo encontramos uma situação inversa: Percentual de Sim igual a cem por cento, percentual de Parcialmente igual a zero e percentual de Não também igual a zero. Efetuando-se os cálculos temos: (100%[sim] x 4 = 400) + (0%[parcial] x 2 = 0) + (0%[não] x 1 = 0) = 400. Com estas duas situações hipotéticas apuram-se os valores limites máximo e mínimo que podem ser obtidos. O valor de 100 para o mínimo e de 400 para o máximo. Qualquer outra combinação de valores entre os percentuais das três opções de respostas se situará dentro desta faixa específica de Instintivamente a tendência é fazer quatrocentos menos cem igual a trezentos, e trezentos dividido por cinco igual a sessenta, e determinar que sessenta seja o valor do intervalo a ser adotado entre os níveis de percepção propostas. Mas os valores limites de cada um dos cinco níveis de percepção não foram calculados desta forma. Adotou-se um critério de privilegiar ao menos um

63 61 mínimo de respostas Sim para cada nível e das respostas restantes metade deve ser Parcialmente. Ao final verificou-se que este critério mostrou-se mais rigoroso por determinar uma amplitude de intervalo maior para o primeiro nível e uma necessidade de maior pontuação do conjunto de respostas para classificação em níveis superiores. O método para a distribuição dos cinco níveis de percepção se deu da seguinte maneira: Para efeito de cálculo, o percentual de Sim foi dividido em uma escala crescente de 20 pontos, de 0 a 100%, (0-20%, 20-40%, 40-60%, 60-80% e %). Após a definição de um valor base para o Sim, o restante do percentual foi dividido igualmente entre o Parcialmente e o Não. Por exemplo: O valor mínimo já calculado como limite mínimo do primeiro nível é 100. Qualquer combinação de percentuais atingirá ao menos esta pontuação. Para que um conjunto de respostas seja classificado um nível acima, no segundo nível de percepção, deverá conseguir no mínimo um valor numérico correspondente à combinação de 20% de Sim, 40% de Parcialmente e 40% de Não. Desta forma, do total de respondentes teríamos 20% de Sim e 100% - 20% = 80%. Dos 80% restantes o Parcialmente deve ter ao menos a metade, ou seja, 40%. A outra metade fica com o Não. Combinação (20/40/40). Para atingir o terceiro nível, o conjunto de respostas deve obter um valor correspondente a 40% de Sim, e do restante (60%), 30% de Parcialmente. Os outros 30% vão para o Não. Combinação (40/30/30). Quarto nível 60% sim, 20% parcialmente e 20% não (60/20/20). Quinto nível 80% sim, 10% parcialmente e 10% não (80/10/10). Vale ressaltar que utilizar uma escala com níveis de Sim não significa que a classificação se dará exclusivamente pelo percentual apurado para a resposta Sim, ou seja, não significa que, por exemplo, com 39% de Sim estará num nível e com 41% estará um nível acima. A escala foi criada para servir de base para uma determinação mais racional dos valores máximos e mínimos de cada nível, ao invés da utilização de

64 62 uma simples conta aritmética de divisão por 5 da diferença entre os valores máximo (400) e mínimo (100) apurados. Com a criação das cinco combinações de percentuais de respostas buscou-se calcular o valor ponderado do binômio Sim e Parcialmente necessário para a classificação em cada um dos níveis de percepção. A utilização de critérios diferentes para determinar a necessidade do número de respostas Sim e Parcialmente em cada nível de percepção permitiu a criação de uma escala não totalmente linear de pontos. Desta forma, um conjunto de respostas com um percentual não tão expressivo de respostas Sim pode ter seu valor um pouco melhorado com uma quantidade alta de Parcialmente. Da mesma forma um percentual razoável de respostas Sim pode ficar comprometido se houver uma quantidade alta de respostas Não Passo 04 Definição dos intervalos dos níveis Após a distribuição dos percentuais em cada combinação procedeu-se ao cálculo dos respectivos valores de cada nível de percepção: Partindo-se do valor limite inferior de 100 (situação extrema de 100% de respostas Não cujo peso é 1) temos o Nível Baixo de Percepção. O valor do limite máximo para classificação dentro deste primeiro nível foi obtido com a seguinte combinação de percentuais: (20%[sim] x 4 = 80) + (40%[parcial] x 2 = 80) + (40%[não] x 1 = 40) = 200 O Nível Baixo de Percepção teria então como valor mínimo 100 e como valor máximo 200. O segundo nível, o Nível Médio Baixo de Percepção, inicia com o valor anteriormente calculado de 200 e se estende até: 250 (40%[sim] x 4 = 160) + (30%[parcial] x 2 = 60) + (30%[não] x 1 = 30) =

65 63 O terceiro nível, o Nível Médio de Percepção inicia com o valor anteriormente calculado de 250 e vai até o valor apurado com a seguinte fórmula: 300 (60%[sim] x 4 = 240) + (20%[parcial] x 2 = 40) + (20%[não] x 1 = 20) = Quarto nível, Nível Médio Alto: de 300 até: (80%[sim] x 4 = 320) + (10%[parcial] x 2 = 20) + (10%[não] x 1 = 10) = 350 Trezentos e cinquenta (350) é o valor mínimo para que um conjunto de respostas seja classificado como Nível Alto de Percepção, o quinto e maior nível de percepção. O valor máximo do quinto nível de percepção e que um conjunto de respostas pode alcançar é quatrocentos (400). Situação extrema de 100% de respostas Sim cujo peso é 4. A próxima tabela apresenta uma compilação dos valores calculados para cada um dos cinco níveis de percepção, as combinações propostas e os respectivos intervalos de pontuação. Tabela 3 - Correlação entre os níveis de percepção e os percentuais de respostas x pesos. Nível de percepção Sim/Parcial/Não Intervalo de pontuação Baixo até (20/40/40) < 200 Médio Baixo > (20/40/40) Médio > (40/30/30) Médio Alto > (60/20/20) Alto > (80/10/10) > 350 Fonte: Elaborado pelo autor.

66 64 Para uma melhor visualização dos cinco Níveis de Percepção, e posteriormente, da classificação obtida pelas questões do questionário segundo estes níveis, foi criado um Painel de Níveis. O Painel de Níveis atua como um pano de fundo referencial para a marcação dos valores obtidos com a aplicação do questionário e possui uma formatação que facilita bastante a visualização dos resultados. A figura a seguir demonstra como ficou a classificação e a distribuição dos níveis no Painel de Níveis: Figura 2 - Painel de Níveis. Fonte: Elaborado pelo autor. Pelo Painel de Níveis é possível perceber que a escala de classificação começa com um valor mínimo de cem pontos, e não de zero como em outras escalas. O Painel de Níveis permite também verificar que para se classificar acima do primeiro nível, o Nível Baixo, é necessário um maior número de pontos, duzentos (200) pontos, o dobro do que é exigido para avançar na classificação nos outros níveis subsequentes, cem (100) pontos para classificar em um nível acima. Para se atingir o primeiro nível com classificação de alto (o Nível Médio Alto) é necessário que o conjunto de resposta obtenha uma pontuação de pelo ao menos dois terços da nota máxima (66,67%).

67 65 Para um conjunto de resposta ser classificado no maior nível (Nível Alto), a exigência é de conseguir mais de quatro quintos (4/5) da pontuação total, ou seja, mais de oitenta e três por cento (83%) dos pontos disponíveis. É possível, dependendo dos resultados obtidos com a análise dos dados, mostrar claramente aos gestores a necessidade ou não de se realizar alguma ação que tenha o objetivo de obter resultados específicos para povoar mais fortemente os níveis mais altos de percepção e consequentemente esvaziar os níveis mais baixos, ou para que um ou outro aspecto da SIC abordado no questionário se localize em algum ponto específico da escala. No capítulo seguinte os resultados e as notas obtidas com a aplicação do questionário são apresentados basicamente sob a forma de porcentagens, utilizando-se tabelas e gráficos.

68 66 4 RESULTADOS Neste capítulo estão expostos os dados coletados com a aplicação do questionário. O questionário foi composto de sete perguntas. Para a apresentação dos dados foi criada uma tabela e um gráfico para cada uma das sete questões do questionário, sendo que nas tabelas estão expostos a quantidade e os percentuais de cada tipo de resposta ( Sim, Parcialmente e Não ), o seu respectivo peso e o valor numérico, bem como a sua classificação em um dos cinco níveis de percepção de acordo com o valor numérico apurado. Os gráficos foram elaborados para melhor visualização dos percentuais obtidos em cada questão do questionário. Ao final, na Consolidação dos Resultados, a classificação dos níveis está assinalada no Painel de Níveis, o que facilita a visualização e a análise dos conjuntos de respostas obtidos.

69 Dados coletados com aplicação do questionário Pergunta 01: Você tem conhecimento da existência de normas ou regulamentos internos que regem a proteção de dados, informações ou conhecimentos em poder da Instituição?. Em resposta a pergunta sobre conhecimento de normativos que regem a segurança da informação, o número de servidores que afirma saber da existência de normativos internos, incluídos os que assinalaram parcialmente, é de 80%. Os que afirmaram desconhecer a existência de tais normativos perfazem 20%. Tabela 4 - Resultados obtidos para a pergunta nº 01 do questionário. Resposta Quant % Peso Valor Nível Sim 63 39, ,500 --/-- Parcial 65 40, ,250 --/-- Não 32 20, ,000 --/-- 258,750 Médio Fonte: Elaborado pelo autor. Figura 3 - Gráfico referente à Tabela 4. Fonte: Elaborado pelo autor.

70 68 Pergunta 01.1: Caso sim: Você já leu algum destes normativos?. Dos 128 respondentes que declararam conhecer algum normativo interno sobre proteção de dados, cinqüenta e um servidores (40%) afirmaram que já leram algum destes normativos, cinqüenta servidores (39%) leram em parte e vinte e sete servidores (21%) não leram nenhum normativo. Somando os que responderam Sim ou Parcialmente, temos um total de 101 servidores que leram algum normativo e 27 que não leram. Os valores em percentual da tabela abaixo se referem aos 160 respondentes do questionário e não somente aos 128 que responderam Sim ou Parcialmente na primeira questão. Tabela 5 - Resultados obtidos para a pergunta nº 01.1 do questionário. Resposta Quant % Peso Valor Nível Sim 51 31, ,500 --/-- Parcial 50 31, ,500 --/-- Não 27 16, ,875 --/-- 206,875 Médio Baixo Fonte: Elaborado pelo autor. Figura 4 - Gráfico referente à Tabela 5. Fonte: Elaborado pelo autor.

71 69 Pergunta 02: Você considera que a instituição possui informações que devam ser protegidas contra vazamento ou divulgação indevida?. Em resposta ao questionamento sobre a existência de conhecimento sensível, a grande maioria dos entrevistados (97%) tem a percepção que a instituição possui dados, informações e conhecimentos que devem ser protegidos. Apenas cinco servidores (3%) consideram que não existe informação sensível na organização. Tabela 6 - Resultados obtidos para a pergunta nº 02 do questionário. Resposta Quant % Peso Valor Nível Sim , ,500 --/-- Parcial -/- 2 --/-- Não 5 3, ,125 --/-- 390,625 Alto Fonte: Elaborado pelo autor. Figura 5 - Gráfico referente à Tabela 6. Fonte: Elaborado pelo autor.

72 70 Pergunta 03: Você está capacitado para realizar a classificação da informação segundo o seu grau de sigilo?. Quando foi questionado aos servidores sobre a sua capacidade de classificar a informação de acordo com o grau de sigilo, somente uma pequena parte, 17%, afirmou saber classificar a informação. A grande maioria, 73%, declarou que não sabe ou que sabe apenas parcialmente classificar a informação. Tabela 7 - Resultados obtidos para a pergunta nº 03 do questionário. Resposta Quant % Peso Valor Nível Sim 28 17, ,000 --/-- Parcial , ,750 --/-- Não 21 13, ,125 --/-- 221,875 Médio Baixo Fonte: Elaborado pelo autor. Figura 6 - Gráfico referente à Tabela 7. Fonte: Elaborado pelo autor.

73 71 Pergunta 04: Existe interesse quanto a conhecer mais sobre medidas de proteção do conhecimento?. Com relação ao interesse de se aprimorar no conhecimento sobre medidas de proteção do conhecimento, pouco mais de 80% dos entrevistados afirmou ter interesse no assunto e em torno de 14% assinalou que parcialmente. Apenas nove servidores (6%) declararam não ter interesse no tema. Tabela 8 - Resultados obtidos para a pergunta nº 04 do questionário. Resposta Quant % Peso Valor Nível Sim , ,500 --/-- Parcial 22 13, ,500 --/-- Não 9 5, ,625 --/-- 355,625 Alto Fonte: Elaborado pelo autor. Figura 7 - Gráfico referente à Tabela 8. Fonte: Elaborado pelo autor.

74 72 Pergunta 05: Você considera que tem responsabilidade pela proteção de dados e informações com os quais você trabalha ou tem conhecimento?. Em resposta à questão que versa sobre a responsabilidade pela proteção do conhecimento, a grande maioria dos respondentes (97%) considera que possui responsabilidade pela proteção de dados e informações, mesmo acreditando que esta responsabilidade seja apenas parcial. Apenas 3% considera que não é responsável pela proteção de dados e informações. Tabela 9 - Resultados obtidos para a pergunta nº 05 do questionário. Resposta Quant % Peso Valor Nível Sim , ,500 --/-- Parcial 25 15, ,250 --/-- Não 4 2, ,500 --/-- 361,250 Alto Fonte: Elaborado pelo autor. Figura 8 - Gráfico referente à Tabela 9. Fonte: Elaborado pelo autor.

75 73 Pergunta 06 - Você se considera capacitado para proteger os dados e informações com os quais você tem contato no seu dia a dia?. Sobre o questionamento da capacidade do entrevistado de proteger o conhecimento, metade dos entrevistados se considera capacitada para proteger os dados e informações com os quais lida diariamente no trabalho. Os que se sentem apenas parcialmente capacitados perfazem 42% e os que não se sentem capacitados atingem 8%. Tabela 10 - Resultados obtidos para a pergunta nº 06 do questionário. Resposta Quant % Peso Valor Nível Sim 81 50, ,500 --/-- Parcial 67 41, ,750 --/-- Não 12 7, ,500 --/-- 293,750 Médio Fonte: Elaborado pelo autor. Figura 9 - Gráfico referente à Tabela 10. Fonte: Elaborado pelo autor.

76 Consolidação dos resultados Abaixo o Painel de Níveis com os resultados segundo a pontuação e classificação das questões. Figura 10 - Classificação das questões conforme a pontuação alcançada. Fonte: Elaborado pelo autor. Vale ressaltar na visualização dos resultados no Painel de Níveis, que o Eixo X não possui seta em sua extremidade. Isto significa que não existe deslocamento da classificação para cima, ao contrário do Eixo Y que é uma escala crescente ( ) na qual estão posicionados os resultados obtidos com o questionário, havendo deslocamento dos valores ao longo da escala proposta pelo autor. O fato do Painel de Níveis ser bidimensional (x, y) ao invés de uma escala unidimensional e única com os resultados assinalados em apenas um dos eixos, no

77 75 caso o Eixo Y que possui um sentido de crescimento dos valores, se deve à facilidade de visualização proporcionada por um campo com altura e comprimento. A pontuação calculada para cada conjunto de respostas, bem como a classificação na escala de percepção atribuída a cada um destes conjuntos, está consolidada abaixo. Pergunta 01 Você tem conhecimento da existência de normas ou regulamentos internos que regem a proteção de dados, informações ou conhecimentos em poder da Instituição?. Pontuação: 258,750 Classificação: Nível Médio Pergunta 01.1 Caso sim: Você já leu algum destes normativos?. Pontuação: 206,875 Classificação: Nível Médio Baixo Pergunta 02 Você considera que a instituição possui informações que devam ser protegidas contra vazamento ou divulgação indevida?. Pontuação: 390,625 Classificação: Nível Alto Pergunta 03 Você está capacitado para realizar a classificação da informação segundo o seu grau de sigilo?. Pontuação: 221,875 Classificação: Nível Médio Baixo Pergunta 04 Existe interesse quanto a conhecer mais sobre medidas de proteção do conhecimento?. Pontuação: 355,625 Classificação: Nível Alto

78 76 Pergunta 05 Você considera que tem responsabilidade pela proteção de dados e informações com os quais você trabalha ou tem conhecimento?. Pontuação: 361,250 Classificação: Nível Alto Pergunta 06 Você se considera capacitado para proteger os dados e informações com os quais você tem contato no seu dia a dia?. Pontuação: 293,750 Classificação: Nível Médio

79 77 5 DISCUSSÃO Foram realizados diversos estudos de caso com o objetivo de verificar se o Instituto Geral de Controle Financeiro está estruturado de acordo com o preconizado na Norma ABNT NBR ISO/IEC 27002:2005 e qual a infraestrutura de segurança oferecida aos seus servidores, e a partir deste contexto, efetuar a aplicação de um questionário visando aferir as percepções destes servidores sobre alguns aspectos da proteção do conhecimento. Parte dos dados coletados veio dos estudos de caso auxiliares que abrangeram cinco áreas: - Áreas e instalações - Controles de segurança física e ambiental e controles de acesso; - Gerência de Riscos e Gerenciamento das Operações e Comunicações; - TI Infraestrutura, Criptografia e Segurança no desenvolvimento de aplicações; - Sistemas de informações; - Pessoas. O foco maior do trabalho foram as pessoas, sendo outra parte dos dados coletados através da aplicação do questionário. 5.1 Sobre o Painel de Níveis A metodologia utilizada fornece uma ampla escala de níveis. No caso do presente trabalho as respostas do questionário aplicado tiveram uma dispersão dos resultados quase uniforme pelos intervalos estipulados para a escala de níveis criada. Na próxima figura está reproduzido o Painel de Níveis com os resultados de cada conjunto de respostas das questões do questionário, segundo a sua pontuação e classificação.

80 78 Figura 11 - Painel de Níveis com os resultados. Fonte: Elaborado pelo autor. O Painel de Níveis é visualmente esclarecedor. Destacamos o fato do não posicionamento de aspectos no Nível Baixo. A ausência de pontuação relacionada a um baixo nível de percepção pode ser um indicativo de que os servidores já possuem, pelo ao menos em um grau mínimo, uma Cultura de Segurança. O agrupamento de alguns conjuntos de respostas de acordo com a sua classificação, tanto com pontuação elevada como com pontuação reduzida, também é um destaque importante e foi considerada quando da análise, discussão e apresentação dos resultados obtidos

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES MINISTÉRIO DA INTEGRAÇÃO NACIONAL POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES PRINCÍPIOS E DIRETRIZES SETEMBRO 2013 Sumário 1. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES DO MINISTÉRIO

Leia mais

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012 AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012 Proposta de Política de Segurança da Informação e Comunicações da Anatel O CONSELHO DIRETOR DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES,

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Uso de Dispositivos Móveis nos Aspectos relativos

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

INSTRUÇÃO NORMATIVA Nº 80, DE 26 DE NOVEMBRO DE 2014.

INSTRUÇÃO NORMATIVA Nº 80, DE 26 DE NOVEMBRO DE 2014. INSTRUÇÃO NORMATIVA Nº 80, DE 26 DE NOVEMBRO DE 2014. Institui a Política de Segurança da Informação e Comunicações - PoSIC no âmbito da Agência Nacional de Aviação Civil - ANAC. A DIRETORIA DA AGÊNCIA

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 10/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Inventário e Mapeamento de Ativos de Informação nos

Leia mais

Informação e Comunicações

Informação e Comunicações ORIGEM Ministério da Integração Nacional Departamento Nacional de Obras Política de Segurança da Contra as Secas DNOCS Informação e Comunicações Departamento Nacional de Obras Contra as Secas REFERÊNCIA

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 13/IN01/DSIC/GSIPR 00 30/JAN/12 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA GESTÃO DE MUDANÇAS NOS ASPECTOS RELATIVOS

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 R E S O L U Ç ÃO:

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 R E S O L U Ç ÃO: SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 Institui a Política de Segurança da Informação e Comunicações da Universidade Federal

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

ORIGEM Departamento de Segurança da Informação e Comunicações

ORIGEM Departamento de Segurança da Informação e Comunicações 07/IN01/DSIC/GSIPR 01 15/JUL/14 1/9 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - PoSIC

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - PoSIC MINISTÉRIO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO GABINETE DO MINISTRO PORTARIA Nº 795, DE 5 DE SETEMBRO DE 2012 O MINISTRO DE ESTADO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO, no uso de suas atribuições

Leia mais

20/IN01/DSIC/GSIPR 00 15/JUL/14 1/12

20/IN01/DSIC/GSIPR 00 15/JUL/14 1/12 20/IN01/DSIC/GSIPR 00 15/JUL/14 1/12 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

PR 29/07/2013. Instrução Normativa Nº 24/2013

PR 29/07/2013. Instrução Normativa Nº 24/2013 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DA PROPRIEDADE INDUSTRIAL PR 29/07/2013 Instrução Normativa Nº 24/2013 Assunto: Institui a Política

Leia mais

MINISTÉRIO DA DEFESA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA O SISTEMA MILITAR DE COMANDO E CONTROLE

MINISTÉRIO DA DEFESA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA O SISTEMA MILITAR DE COMANDO E CONTROLE MINISTÉRIO DA DEFESA MD31-P-03 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA O SISTEMA MILITAR DE COMANDO E CONTROLE 2014 MINISTÉRIO DA DEFESA ESTADO-MAIOR CONJUNTO DAS FORÇAS ARMADAS POLÍTICA DE SEGURANÇA

Leia mais

PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL. A importância da Alta Administração na Segurança da Informação e Comunicações

PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL. A importância da Alta Administração na Segurança da Informação e Comunicações A importância da Alta Administração na Segurança da Informação e Comunicações Agenda O Problema; Legislação; Quem somos; O que fazer. O problema A informação: é crucial para APF é acessada por pessoas

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA UNIVERSIDADE FEDERAL DA GRANDE DOURADOS

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA UNIVERSIDADE FEDERAL DA GRANDE DOURADOS P á g i n a 1 / 13 MINISTÉRIO DA EDUCAÇÃO FUNDAÇÃO UNIVERSIDADE FEDERAL DA GRANDE DOURADOS COORDENADORIA DE DESENVOLVIMENTO DE TECNOLOGIA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES MINISTÉRIO DA INTEGRAÇÃO NACIONAL POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES PRINCÍPIOS E DIRETRIZES JUNHO, 2013. Sumário 1. POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA

Leia mais

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 O CONSELHO UNIVERSITÁRIO da Universidade Federal do Pampa, em sessão de 30/10/2014, no uso das atribuições que lhe são conferidas pelo Artigo 19, Inciso XVII do

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19).

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). PORTARIA Nº 483, DE 20 DE SETEMBRO DE 2001. Aprova as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). O COMANDANTE DO EXÉRCITO, no uso da competência que lhe é conferida

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Ministério da Educação Universidade Tecnológica Federal do Paraná Reitoria. Proposta de Política de Segurança da Informação e Comunicações da UTFPR

Ministério da Educação Universidade Tecnológica Federal do Paraná Reitoria. Proposta de Política de Segurança da Informação e Comunicações da UTFPR Proposta de Política de Segurança da Informação e Comunicações da UTF Trata da gestão da segurança da informação, no âmbito da UTF, considerando o disposto na Norma Complementar nº 03/IN01/DSIC/GSI/, de

Leia mais

Atual gestor de TI do COREN-SP, com atuação em desenvolvimento de sistemas, infraestrutura de TI, suporte técnico e digitalização.

Atual gestor de TI do COREN-SP, com atuação em desenvolvimento de sistemas, infraestrutura de TI, suporte técnico e digitalização. 28/06/2013 André Luís Coutinho Bacharel em Sistemas de Informações pela Faculdade Politécnica de Jundiaí Pós-graduado em Gestão Estratégica da Tecnologia da Informação pelo IBTA MBA em Gestão Executiva

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO ANEXO ÚNICO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO SECRETARIA DE ESTADO DE PLANEJAMENTO E ORÇAMENTO DO DISTRITO FEDERAL (PoSIC/SEPLAN) Sumário OBJETIVO... 2 DO ESCOPO DA POLÍTICA... 2 DOS CONCEITOS

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7

14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação ORIGEM e Comunicações Departamento de Segurança da Informação e

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO AMAPÁ POSIC

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO AMAPÁ POSIC POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO AMAPÁ POSIC Julho/2012 ORIGEM Diretoria de Tecnologia da Informação REFERÊNCIAS ABNT NBR ISO/IEC

Leia mais

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC 1. OBJETIVO Fornecer diretrizes, responsabilidades, competências e apoio da alta

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

ANEXO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DE AUTORIDADE PÚBLICA OLÍMPICA

ANEXO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DE AUTORIDADE PÚBLICA OLÍMPICA ANEXO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DE AUTORIDADE PÚBLICA OLÍMPICA 1. Escopo 1.1 A Política de Segurança da Informação e Comunicações da Autoridade Pública Olímpica (POSIC/APO) é uma

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

RESOLUÇÃO N. 4, DE 22 DE MARÇO DE 2011 DO COMITÊ GESTOR DE TECNOLOGIA DA INFORMAÇÃO E DAS COMUNICAÇÕES CGTIC-MPA

RESOLUÇÃO N. 4, DE 22 DE MARÇO DE 2011 DO COMITÊ GESTOR DE TECNOLOGIA DA INFORMAÇÃO E DAS COMUNICAÇÕES CGTIC-MPA Estabelece a Política de Segurança da Informação e Comunicações POSIC no âmbito do Ministério da Pesca e Aquicultura, e constitui o Comitê de Segurança da Informação e Comunicações. O PRESIDENTE DO COMITÊ

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

EDUCAÇÃO COM QUALIDADE CONTRIBUI PARA UMA SOCIEDADE MELHOR

EDUCAÇÃO COM QUALIDADE CONTRIBUI PARA UMA SOCIEDADE MELHOR MINISTÉRIO DA EDUCAÇÃO SECRETARIA EXECUTIVA Subsecretaria de Assuntos Administrativos M E C EDUCAÇÃO COM QUALIDADE CONTRIBUI PARA UMA SOCIEDADE MELHOR BOLETIM DE SERVIÇO Nº 30/2012 SUPLEMENTO EDITADO,

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 06/IN01/DSIC/GSIPR 01 11/NOV/09 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE CONTINUIDADE DE NEGÓCIOS EM SEGURANÇA DA

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

TRATAMENTO DA INFORMAÇÃO CLASSIFICADA NO GOVERNO FEDERAL. Departamento de Segurança da Informação e Comunicações - DSIC SE/GSI/PR

TRATAMENTO DA INFORMAÇÃO CLASSIFICADA NO GOVERNO FEDERAL. Departamento de Segurança da Informação e Comunicações - DSIC SE/GSI/PR TRATAMENTO DA INFORMAÇÃO CLASSIFICADA NO GOVERNO FEDERAL Departamento de Segurança da Informação e Comunicações - DSIC SE/GSI/PR 2º. Encontro Rede SIC - Serviço de Informação ao Cidadão MPOG 20 de Novembro

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011. Aprova a instituição e o funcionamento da equipe de tratamento e resposta a incidentes em redes computacionais do IPEA.

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO GRANDE DO NORTE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações ORIGEM Departamento de Segurança da Informação e Comunicações Número da Norma Complementar

Leia mais

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 REVISTA TELECOMUNICAÇÕES, VOL. 15, Nº01, JUNHO DE 2013 1 Um Modelo de Sistema de Gestão da Segurança da Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 Valdeci Otacilio dos Santos

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

Instituto Federal de Educação, Ciência e Tecnologia do Rio Grande do Sul - Reitoria. Regimento da

Instituto Federal de Educação, Ciência e Tecnologia do Rio Grande do Sul - Reitoria. Regimento da Regimento da Comissão de Segurança da Informação e Comunicações do IFRS - CSIC/IFRS - Aprovado pela Resolução do Consup nº 114, de 18/12/2012 Reitora Cláudia Schiedeck Soares de Souza Pró-Reitor de Administração

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602.

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602. CONSELHO DE ADMINISTRAÇÃO RESOLUÇÃO N.º 4/2008 O Conselho de Administração, com base no disposto no Art. 17 do Estatuto da CAPEMISA Seguradora de Vida e Previdência, em reunião do dia 19 de fevereiro de

Leia mais

Ministério da Educação Universidade Tecnológica Federal do Paraná Reitoria. Política de Segurança da Informação e Comunicações da UTFPR

Ministério da Educação Universidade Tecnológica Federal do Paraná Reitoria. Política de Segurança da Informação e Comunicações da UTFPR Segurança da Informação da UTF Política de Segurança da Informação e Comunicações da UTF Trata da gestão da segurança da informação, no âmbito da UTF, considerando o disposto no Decreto Nº 3505, de 13

Leia mais

POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS

POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS Fabio Eder Cardoso 1 Paulo Cesar de Oliveira 2 Faculdade de Tecnologia de Ourinhos - FATEC 1. INTRODUÇÃO A informação é o elemento básico para que a evolução

Leia mais

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Dispõe sobre a criação do Plano de Contingência e Política de Segurança da Informação e Comunicações do Instituto Federal Farroupilha

Leia mais

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação SEGURANÇA DA INFORMAÇÃO Política de Segurança da Informação A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos,

Leia mais

TECNOLOGIA DA INFORMAÇÃO

TECNOLOGIA DA INFORMAÇÃO MINISTÉRIO DA DEFESA COMANDO DA AERONÁUTICA TECNOLOGIA DA INFORMAÇÃO ICA 7-19 PRECEITOS DE SEGURANÇA DA INFORMAÇÃO PARA O DEPARTAMENTO DE CONTROLE DO ESPAÇO AÉREO 2012 MINISTÉRIO DA DEFESA COMANDO DA AERONÁUTICA

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 04/IN01/DSIC/GSI/PR 01 15/FEV/13 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

Política da Segurança da Tecnologia da Informação

Política da Segurança da Tecnologia da Informação Política da Segurança da Tecnologia da Informação INTRODUÇÃO A informação é um ativo que possui grande valor para a CREMER S/A, devendo ser adequadamente utilizada e protegida contra ameaças e riscos.

Leia mais

Política de Segurança da Informação e Comunicações - 2015

Política de Segurança da Informação e Comunicações - 2015 - 2015 INMETRO 1/21 1. Apresentação do INMETRO O é uma autarquia do governo federal que atua em várias frentes que envolvem proteção ao cidadão nas relações de consumo, estímulo à competitividade da empresa

Leia mais

SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES RESPONSABILIDADE DE TODOS PRESIDENTE DA REPÚBLICA Dilma Rouseff MINISTRO DE ESTADO DO TRABALHO E EMPREGO Carlos Roberto Lupi SECRETÁRIO EXECUTIVO Paulo Roberto dos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO IBGE POSIC 2016 NISTRATIVOS

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO IBGE POSIC 2016 NISTRATIVOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO IBGE POSIC 2016 NISTRATIVOS Ministério do Planejamento, Orçamento e Gestão Instituto Brasileiro de Geografia e Estatística IBGE Comitê de Segurança

Leia mais

SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES NA ADMINISTRAÇÃO PÚBLICA FEDERAL SOB O CONTEXTO DA NOVA LEGISLAÇÃO DE ACESSO À INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES NA ADMINISTRAÇÃO PÚBLICA FEDERAL SOB O CONTEXTO DA NOVA LEGISLAÇÃO DE ACESSO À INFORMAÇÃO PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES NA ADMINISTRAÇÃO PÚBLICA FEDERAL SOB O CONTEXTO

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

DIRETRIZES PARA O USO SEGURO DAS REDES SOCIAIS NA ADMINISTRAÇÃO PÚBLICA FEDERAL

DIRETRIZES PARA O USO SEGURO DAS REDES SOCIAIS NA ADMINISTRAÇÃO PÚBLICA FEDERAL 15/IN01/DSIC/GSIPR 00 11/JUN/12 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA O USO SEGURO DAS REDES SOCIAIS NA

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL RURAL DE PERNAMBUCO SECRETARIA GERAL DOS CONSELHOS DA ADMINISTRAÇÃO SUPERIOR CONSELHO UNIVERSITÁRIO

MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL RURAL DE PERNAMBUCO SECRETARIA GERAL DOS CONSELHOS DA ADMINISTRAÇÃO SUPERIOR CONSELHO UNIVERSITÁRIO MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL RURAL DE PERNAMBUCO SECRETARIA GERAL DOS CONSELHOS DA ADMINISTRAÇÃO SUPERIOR CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 006/2014 EMENTA: Aprova Normas da Política de

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

Edição Especial Nº 2 - Maio

Edição Especial Nº 2 - Maio Edição Especial Nº 2 - Maio 2012 Presidência da CAPES Portaria Nº 066, de 16 de Maio de 2012 Aprova a Política de Segurança da Informação e Comunicações da Coordenação de Aperfeiçoamento de Pessoal de

Leia mais

VALEC INDICAR NESTE QUADRO EM QUE REVISÃO ESTÁ CADA FOLHA 00 M.BARROS E DIREX APLICAÇÃO

VALEC INDICAR NESTE QUADRO EM QUE REVISÃO ESTÁ CADA FOLHA 00 M.BARROS E DIREX APLICAÇÃO Nº Fls.: 1/12 INDICAR NESTE QUADRO EM QUE REVISÃO ESTÁ CADA FOLHA Rev/ Rev/ Fls. 01 02 03 04 05 06 07 08 09 Fls. 01 02 03 04 05 06 07 08 09 01 16 02 17 03 18 04 19 05 20 06 21 07 22 08 23 09 24 10 25 11

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais,

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais, Dispõe sobre a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 11ª. Região. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DA COMUNICAÇÃO - PO 900-01

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DA COMUNICAÇÃO - PO 900-01 MANUAL DE ASSUNTOS GERAIS COD. 900 ASSUNTO: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DA COMUNICAÇÃO APROVAÇÃO: Deliberação DIREX nº 108, de 14/12/2015 VIGÊNCIA: 14/12/2015 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

Art. 2º Esta Resolução entra em vigor a partir da presente data, revogando-se as disposições em contrário. Registre-se, Publique-se, Cumpra-se.

Art. 2º Esta Resolução entra em vigor a partir da presente data, revogando-se as disposições em contrário. Registre-se, Publique-se, Cumpra-se. Resolução nº 018, de 17 de dezembro de 2015 O Presidente em exercício do Conselho de Administração, no uso de suas atribuições legais que lhe confere o Art. 47 do Regimento Geral da Universidade Federal

Leia mais

Segurança da Informação. Givanaldo Rocha givanaldo.rocha@ifrn.edu.br http://docente.ifrn.edu.br/givanaldorocha

Segurança da Informação. Givanaldo Rocha givanaldo.rocha@ifrn.edu.br http://docente.ifrn.edu.br/givanaldorocha Segurança da Informação Givanaldo Rocha givanaldo.rocha@ifrn.edu.br http://docente.ifrn.edu.br/givanaldorocha Cenário Atual Era da Informação e da Globalização: Avanços da Tecnologia da Informação; Avanços

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro Classificação da informação A classificação contribui para a manutenção da informação! Decreto Federal nº 4.553/2002: São considerados

Leia mais

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ:

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: Dados da Empresa Dados da SYSTEMBRAS SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: 00.000.000/0001-00 Rua Paramoti, 04 Vila Antonieta SP Cep: 03475-030 Contato: (11) 3569-2224 A Empresa A SYSTEMBRAS tem como

Leia mais

Título I Das Disposições Gerais

Título I Das Disposições Gerais PORTARIA Nº 207 DE 23 DE DEZEMBRO DE 2009 Dispõe sobre as Diretrizes Básicas de Segurança da Informação no âmbito da Fundação Cultural Palmares. O PRESIDENTE DA FUNDAÇÃO CULTURAL PALMARES, no uso de suas

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

Aula 05 Política de Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes

Aula 05 Política de Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes Aula 05 Política de Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes Comandar muitos é o mesmo que comandar poucos. Tudo é uma questão de organização. Controlar muitos ou poucos é uma mesma

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais