Sie sind auf Seite 1von 11

A Constante Evoluo Da Segurana Da Informao

Vanderson C. Siewert Departamento de ps-graduao Faculdade de Tecnologia do SENAI de Florianpolis (CTAI Florianpolis) Curso de especializao em gesto da segurana da informao em redes de computadores - Ps-graduao Lato Sensu
vandersoncs@gmail.com

Resumo: Este artigo trata de fundamentos de segurana da informao, da evoluo, da preocupao com as informaes das corporaes e instituies e da sua segurana. 1. Introduo Com o grande crescimento da rede mundial de computadores, a Internet, houve tambm um crescimento contnuo de transaes eletrnicas, configurando uma espcie de um novo mundo, o mundo digital. Correspondncias eletrnicas particulares, transaes comerciais, bancrias, entre outras, passaram a ser freqentes no mundo atual, principalmente devido globalizao do mercado. Este rpido crescimento trouxe tona um problema, a gesto da informao, que se preocupa em administrar as informaes que navegam nas redes de computadores, e tambm a segurana das informaes que so trocadas entre usurios e aplicaes. Com o tempo os as informaes ficaram cada vez mais vulnerveis. Visando resolver estes problemas, a partir da dcada de 1940, surgiram algumas normas tcnicas que tratam de boas prticas e controles internos de Tecnologia da Informao (TI). As normas mais conhecidas e implementadas so: ITIL, Cobit, BS15000 e ISO 20000. As normas especficas de segurana da informao so: BS7799, ISO/IEC FDIS 17799:2005(E) e ABNT NBR ISO/IEC 17799:2005. No decorrer do artigo, ser abordado o que cada norma trata e quais os rgos responsveis por elas. Tambm ser discutido qual norma que melhor se enquadra, conforme o objetivo a ser atingido e o seu impacto nas organizaes. O artigo ser apresentado em forma de sees sendo dividido em 7 tpicos: 1. Introduo; 2. A informao e a segurana da informao; 3. Gesto da segurana da informao; 4. Normas; 5. Evoluo e normas da segurana da informao; 6. Comparao entre normas e 7. Concluso. 2. A informao e segurana da informao Desde os primrdios o ser humano tem a necessidade de informao, seja ela visual, escrita, falada ou at mesmo no pensamento, para poderem se comunicar e evoluir. A questo da segurana da informao algo um pouco mais recente, que foi utilizado com muita evidncia, principalmente em tempos de guerra, como foi o caso da segunda guerra mundial, onde os inimigos utilizavam tcnicas de criptografia, para escreverem mensagens para os outros postos de guerra.

Conforme Campos (2006), na dcada de 1940 j havia a preocupao de responder a pergunta: o que informao? Para esse mesmo autor, o principal marco da preocupao com a pergunta foi a publicao do artigo The mathematic Theory of communication urban, escrito por Shannon e Weaver, que deu origem a uma nova cincia, a cincia da informao. Mas somente a partir de 1960, este termo foi largamente utilizado. Segundo o dicionrio Aurlio, informao o conjunto de dados acerca de algum ou de algo. Sendo assim pode-se dizer que a informao a interpretao destes dados, pois de nada vale um conjunto de dados sem fazer a interpretao para se extrair o conhecimento. Estas informaes podem estar armazenadas em forma impressa, em mdias (CD-ROM, discos rgidos, pen-drivers, etc), na mente das pessoas, entre outras. Segundo Dias (2000), segurana proteger as informaes, sistemas, recursos e servios contra erros, manipulao no autorizada e desastres para garantir a reduo do impacto e diminuir a probabilidade de incidentes de segurana. Portanto, foi necessrio gesto da segurana da informao para resolver os problemas encontrados, com o menor impacto possvel nas aes necessrias s informaes. Mas a segurana dever ser proporcional ao valor da informao que se quer proteger, ou seja, o custo da implantao da segurana tem que ser inversamente proporcional ao valor da informao. A definio de informao de forma geral igual para todas as reas, pois informao so dados referenciais, ou seja, com informaes pertinentes a algum ou algo, isto quer dizer que qualquer formulrio com os dados de um paciente, por exemplo so um conjunto de informaes, porm se este formulrio estiver nas mos de uma criana, que no compreende o contedo dos dados, ela no ter informao alguma do paciente. A segurana algo mais especfico de cada rea, por exemplo, um policial rodovirio tem em sua mente que segurana dirigir durante o dia sem ingesto de bebida alcolica, j para um pai de famlia segurana sinnimo de muro alto em volta de casa, entre outros. Mas na rea de tecnologia da informao, que dividida em macro reas como, por exemplo, a segurana da informao, garantir a integridade, disponibilidade e confidencialidade dos ativos e das informaes que so os princpios bsicos da segurana da informao. Sendo estes respeitados e mantidos sobre controle, a segurana da informao est garantida e com respostas aos incidentes de segurana que possam acontecer. Com estas definies pode-se dizer que muito difcil manter e gerenciar a segurana da informao, para resolver este problema foi necessria a criao de outra rea dentro da segurana da informao, a gesto da segurana da informao. 3. Gesto da segurana da informao Com o alto fluxo de informaes sendo distribudas a todo momento nas empresas principalmente em meios eletrnicos (e-mail, sites, programas peer-to-peer, ftp, etc), houve a necessidade de gerenciar como e de que forma estas informaes so tratadas e distribudas. Para este fim surgiu um novo conceito, que chamamos de gesto da segurana da informao. A gesto da segurana da informao no trata somente os meios eletrnicos de disseminao da informao, mas tambm trata as formas de como criar a cultura de segurana da informao nos usurios de tecnologia das empresas, para fazer isto da forma mais abrangente possvel utilizada uma ferramenta chamada sistema de segurana da informao (SGSI), que trata todos os procedimentos de como est sendo

garantida a segurana e quais so os planos caso uma quebra de segurana seja encontrada. Conforme Campos (2006), o sistema de gesto da segurana da informao se baseia em trs princpios bsicos. Se um destes princpios for desrespeitado em qualquer momento, caracteriza a quebra da segurana da informao, o que tambm conhecido como incidente de segurana. Os princpios bsicos so descritos a seguir: Confidencialidade: garantir o segredo das informaes, liberando acesso somente s pessoas autorizadas; Integridade: garantir que a informao no foi alterada indevidamente, ou seja, confivel; Disponibilidade: garantir a disponibilidade da informao, sempre que necessrio s pessoas autorizadas;

Garantir os princpios bsicos mesmo com a gesto da segurana da informao, no tarefa fcil, considerando que a tecnologia uma ferramenta para auxiliar na gesto da segurana e no a soluo para os problemas. Esses princpios so de vital importncia para a segurana da informao, se eles forem preservados, a segurana da informao ser garantida e no haver nenhum registro de incidentes de segurana. o que coloca Serafim (2002), os incidentes de segurana que podem quebrar os princpios bsicos so: Quebra da confidencialidade: pode ser causado por uma tcnica conhecida como engenharia social, onde um sujeito utiliza mtodos de convencimento e sugesto para induzir uma pessoa, que conforme Varela (2006), o elo mais fraco da segurana da informao, a quebrar um protocolo ou procedimento de segurana; Quebra de integridade: pode ser causado por uma alterao da informao, intencional ou no, em registros de banco de dados, principalmente em migraes, na falsificao de um documento, deixar cair lquidos em cima de documentos ou qualquer mdia eletrnica, entre outros; Quebra de disponibilidade: pode ser causado por roubo de um recurso ou documento, sistemas de computador indisponveis, servidores inoperantes, entre outros;

As empresas esto sujeitas a quebra dos princpios bsicos de segurana a todo momento, acima foram mencionadas somente alguns casos de incidentes de segurana. Os pontos principais a serem abordados so a cultura da segurana e o foco no negcio das empresas, onde devem ser feitos trabalhos de conscientizao e treinamento entre os usurios e profissionais de segurana. o que coloca Albuquerque (2006), a tecnologia disponvel para garantir a segurana da informao no eficaz se o foco for somente a tecnologia e no o objetivo de negcio das corporaes. A equipe responsvel dever ter o foco em processos do negcio para no se tornar uma refm da tecnologia, e quem faz a administrao da mesma a equipe de infra-estrutura e de TI. O profissional de segurana dever ser um especialista-generalista. Segundo o Instituto OnLine (2006), com estas novidades em segurana da informao surge o dilema: Como permitir acesso informaes aos usurios autorizados e ao mesmo tempo como negar o acesso aos no autorizados? Este questionamento nos leva a outro: O que devemos proteger, de quem e como?

Para isto surgiram as normas que ajudam a formular, por exemplo, uma poltica de segurana da informao, uma poltica de utilizao de ativos, padronizao de procedimentos, aplicao de mecanismos de segurana, entre outros. 4. Norma Mas o que uma norma? Conforme Regazzi Filho (2000), uma norma tem o objetivo de definir regras, padres e instrumentos de controles para dar uniformidade a um processo, produto ou servio. No deve determinar somente as bases para o presente, mas tambm para o futuro, portanto dever acompanhar o progresso. As normas so procedimentos, regras, enfim ferramentas para garantir que um processo seja feito sempre igual e da maneira mais certa possvel. Os objetivos das normas so discutidos abaixo: Comunicao: proporcionar a maneira adequada para troca de informaes entre clientes e fornecedores, garantindo a confiabilidade; Simplificao: reduo da variedade de procedimentos e tipos de produtos; Proteo ao consumidor: possibilidade de aferir a qualidade de produtos e servios; Segurana: conformidade de produtos e servios, conforme os requisitos da norma; Economia: a sistematizao e ordenao das atividades produtivas ou de servios refletem na reduo de custos; Eliminao de barreiras comerciais: evita a diversidade de regulamentos, muitas vezes conflitantes, para produtos e servios em diferentes pases;

5. Evoluo e normas da segurana da informao A evoluo da segurana da informao constante, sendo assim, as normas, leis e regulamentaes ligadas a esta rea sempre estar em desenvolvimento, pois todos os dias novas brechas de segurana so encontradas e h a necessidade de novos procedimentos e mecanismos para fech-las. Segundo o Instituto OnLine (2006), a linha de evoluo da segurana da informao aconteceu conforme a figura 1.

Figura 1 Evoluo da segurana da informao O princpio da segurana da informao no ser tratado aqui, pois foram em sua grande maioria, publicaes de artigos e relatrios fortemente incentivados pelo governo dos Estados Unidos da Amrica (EUA). Este incentivo foi de vital importncia para a segurana da informao no mundo, pois o governo norte-americano, atualmente e no passado, o principal incentivador das questes de segurana em geral, principalmente por ser o pas mais rico do planeta e ser muito visado para ataques. Os EUA so doentes por segurana, j tem elaborados, implementados e com treinamentos para a populao, planos de contingncia, de continuidade de negcios, evacuao, entre outros. Sendo especialista no assunto, o apoio dado a pesquisadores foi primordial, tanto para as necessidades do pas como do mundo. Estes documentos tiveram fortes influncias principalmente com o surgimento de computadores, que antes no existiam. Como antes as informaes estavam em documentos impressos e em sua grande maioria armazenados em arquivos de metal, a segurana era implementada simplesmente por trancar o arquivo. A evoluo destas publicaes foram o surgimento de normas regulamentadas por rgos de diversos pases, que sero abordadas na seqncia. As principais normas de controle e segurana da informao so: Infomation Technology Infraestruture Library (ITIL); Control Objectives for Information and Related Technology (COBIT); British Standard (BS) 15000 / International Organization for Standartization (ISO) 20000; BS 7799 / ISO 17799; ABNT NBR ISO/IEC 17799:2005 (norma brasileira baseada na ISO 17799).

As normas descritas acima sero tratadas de forma macro, dando nfase principal para as normas BS 7799 e ABNT NBR ISO/IEC 17799:2005, que so as normas mais utilizadas da atualidade no Brasil. 5.1. ITIL Segundo o Instituto OnLine (2006), o ITIL foi desenvolvido pelo governo britnico em 1989, sendo um conjunto de melhores prticas para o gerenciamento de servios em TI (organizaes em processos, infra-estrutura de TI: hardware, software, rede e aplicaes). Os objetivos do ITIL so: Fornecer um guia para a gesto estratgica, ttica e operacional para a infraestrutura de TI; Reduzir riscos; Melhorar a eficincia; Prover compatibilidade com a ISO 9001. As melhores prticas que cobre os processos de suporte de servios so: gesto de incidentes, de problemas, de mudanas, de configuraes e de fornecimento. Os processos de fornecimento de servios avaliados por esta norma so: gesto de capacidade, financeira, de disponibilidade, de nvel de servio, e de continuidade de servios de TI. Esta norma no indicada para ser utilizada de forma impar, para a prover os controles voltados para segurana da informao, visto que o foco desta norma o gerenciamento de servios em TI. 5.2. COBIT Conforme o Instituto OnLine (2006), o COBIT fornece um conjunto de prticas que auxiliam a gesto e controles em TI nas empresas, com o intuito de reduzir os riscos correspondentes. Tem como tema principal a orientao aos negcios. Fornece ferramentas para facilitar a distribuio de responsabilidades, possui 34 objetivos de controle, um para cada processo de TI, esto agrupados em 4 grandes domnios: Planejamento e organizao; Aquisio e implementao; Entrega e suporte; Monitoramento e avaliao. Estes domnios cobrem a implantao de processos que levaro aos corretos investimentos em TI, ou seja, atravs do levantamento detalhado dos processos possvel determinar onde se quer e onde necessrio investir, para atingir esse objetivo. Os controles oferecidos por esta norma devem ser aplicados em conjunto com outra norma que trate especificamente de segurana da informao como, por exemplo, a norma ISO/IEC 17799:2005. 5.3. BS15000 / ISO 20000 Segundo o Instituto OnLine (2006), a BS 15000 foi a primeira norma formal para gesto de servios de TI, foi desenvolvida pelo British Standards Institution (BSI)

em novembro de 2000, baseada no modelo de processos do ITIL e fornece especificaes claras para implementao de processos de gesto de TI. A norma abrange um sistema de gesto de servios de TI e forma a base para avaliao dessa gesto. O escopo da norma cobre os seguintes itens: Escopo dos servios de sistema de gesto; Termos e definies; Planejamento e implementao de processo de gesto de servios; Planejamento e implementao de gesto de novos servios ou modificaes destes. destinada a provedores de servios de TI, mas no entanto pode ser aplicada a qualquer tipo de empresa, seja ela grande ou pequena. A norma ISO 20000 a predecessora do BS 15000, as alteraes em relao ao BS 15000 so mnimas, mas passa a ter um formato internacional mais adequado para aplicao em diversos pases. Esta norma prov modelos de processos baseados no ITIL, sendo assim trata objetivamente da gesto de servios, devendo ser utilizada em conjunto quando o objetivo a segurana da informao, sendo que a gesto de servios no cobre todos os controles necessrios para a segurana da informao. 5.4. BS 7799 Segundo o Instituto OnLine (2006), um cdigo de prticas para ser utilizado como referncia para a criao de uma poltica de segurana. composta de duas partes: Parte 1: BS 7799-1:1999 Agrupa objetivos de controle que devem se aplicados para encontrar o nvel adequado de segurana. Os objetivos de controle explicam com mais ou menos detalhes os pontos que mais devemos trabalhar para implementar essas medidas. O foco aqui a gesto de riscos, que tem o objetivo de auxiliar o planejamento da poltica de segurana da empresa, identificando os controles relevantes para seus negcios. Parte 2: BS 7799-2:1999 Conforme Campos (2006), apresenta um Sistema de Gesto da Segurana da Informao (SGSI) em seis etapas. usada para avaliar a eficincia do SGSI para qualquer aplicao, departamento ou organizao como um todo. Esta avaliao constituda de quatro fases: o Avaliao de riscos: verifica as ameaas que podem surgir e suas vulnerabilidades, o impacto que podem ter e uma avaliao de risco em cada caso; o Gesto de riscos: avaliados os riscos, a tarefa reduzi-los a um nvel aceitvel, pode ser alcanado aplicando as medidas mencionadas na BS 7799 para prevenir os riscos em conjunto, reduzir ameaas, vulnerabilidades e impactos para poder tomar medidas, detectar riscos, reagir e recuperar-se deles; o Implementao de meios de segurana: determinar quais riscos devem ser tratados e determinar quais so aplicveis; o Declarao de aplicabilidade: estabelece quais controles devem ser implementados, estes controles devem ser registrados e documentados. O registro deve mostrar onde cada ao foi executada e estes documentos e

registros devem ser revisados periodicamente, para assegurar a efetividade das aes. Conforme Campos (2006), a parte 2 utilizada como documento de referncia para obter o certificado de gerenciamento de segurana da informao de um rgo autorizado. Com a migrao da parte 1 desta norma para a ISO/IEC 17799 e a migrao da parte 2 para a ISO 27001, no Brasil elas ficaram desatualizadas, embora a parte 2 ainda utilizada para fazer a certificao dos controles estipulados pela parte 1, mas isto est sendo abolido visto que a ISO 27001 far a certificao. 5.5. ISO/IEC 17799:2005(E) e ABNT NBR ISO/IEC 17799:2005 Conforme Parra (2002), esta norma um cdigo de prticas com orientaes para gesto de segurana da informao. Apresenta descrio geral das reas consideradas importantes de implantao ou gesto de segurana da informao na organizao. Em 2000 a ISO publicou a BS 7799 com o nome de ISO/IEC 17799:2000, onde no inclua a segunda parte da BS 7799. Era um conjunto de orientaes com as melhores prticas de segurana aplicveis em organizaes de qualquer porte (CAMPOS, 2006). Conforme Campos (2006), em 2005 a ISO publicou a segunda edio da norma, sob o ttulo de ISO/IEC 17799:2005, que cancela e substitui a ISO/IEC 17799:2000. Nesta nova verso os controles so mais distintos, separando a forma de implementao, os requisitos e as informaes adicionais. Segundo Parra (2002), a norma ISO 17799 est dividida em 12 tpicos, como seguem: 1. Objetivo; 2. Termos e definies; 3. Poltica de segurana; 4. Segurana organizacional; 5. Classificao e controle dos ativos de informao; 6. Segurana de recursos humanos; 7. Segurana fsica e do ambiente; 8. Gerenciamento das operaes e comunicaes; 9. Controle de acessos; 10. Desenvolvimento e manuteno de sistemas de informao; 11. Gesto de continuidade de negcios; 12. Conformidade. A norma est divida em 12 tpicos que so macro reas de gesto da segurana da informao, ou seja, est dividida assim para que a gesto seja feita da forma mais eficaz possvel. Se a segurana for tratada como um todo, ou seja, sem a diviso em reas menores, os controles no seriam to efetivos o que certamente refletiria em uma m gesto da segurana da informao. Sendo assim as vulnerabilidades no podem ser totalmente alcanadas e a equipe responsvel ficaria perdida nos processos de gesto. Como a norma um guia de boas prticas de padres de segurana e est dividida em 12 tpicos, a implantao pode ser feita em estgios que podem ser feitos por tpicos, ou seja, pode ser implantada a poltica de segurana e depois a segurana organizacional, ou vice-versa, para depois implementar as demais orientaes da norma.

Dependendo do tamanho da empresa, tambm pode ser implementado somente um ou dois tpicos da norma, conforme a necessidade de negcio da empresa. Conforme Parra (2002), esta norma serve como um guia prtico para o desenvolvimento de padres de segurana organizacional e auxilia na criao de procedimentos, controles e atividades confidenciais. Como a ISO um rgo internacional, houve a necessidade de criar uma norma alinhada com a realidade brasileira, que conforme o Instituto OnLine (2006), a norma ABNT NBR ISO/IEC 17799:2005 a norma brasileira e totalmente equivalente ISO/IEC 17799:2005. Sendo assim a norma reconhecida internacionalmente pode ser implantada em qualquer empresa do Brasil, baseada nos moldes da ABNT NBR ISO/IEC 17733:2005. Segundo Campos (2006), a ISO no ir publicar as normas de segurana da informao com uma nova numerao a famlia 27000, onde j previsto o lanamento da ISO/IEC 27002 em 2007, que substituir a atual ISO/IEC 17799. O rgo tambm tem o objetivo de harmonizar as normas de segurana da informao com os padres da famlia 9000. Como o objetivo da ISO criar padres, a norma de segurana da informao, estava um pouco bagunada com relao a nomenclaturas. Sendo assim, a ISO decidiu publicar uma nova famlia que tratar somente de questes relacionadas segurana da informao, a famlia 27000 e estar alinhada a famlia ISO 9000, que trata exclusivamente de qualidade e tambm a mais conhecida entre as normas j publicadas da ISO. A norma ISO 17799:2005 cobre os mais diversos assuntos da rea de segurana da informao com muitos controles a serem atendidos para garantir a segurana das informaes de uma empresa, visando a certificao, que pode ser um processo moroso, refletindo um desafio empresa. Porm, a certificao uma forma de demonstrar a sociedade (fornecedores, consumidores, pblico em geral), da preocupao que a empresa tem com a segurana das informaes de seus clientes, fornecedores e at dela mesmo. Esta uma tendncia para as empresas nos prximos anos, pois alm dos pontos relacionados anteriormente, tambm poder ser utilizado como marketing e tambm poder ser um diferencial para a competitividade no mercado atual. 6. Comparao entre as normas de segurana Norma ISO/IEC 17799 COBIT Ponto Fraco Ponto Forte Guia genrico sem um Tem o controle de material especfico. segurana. Trata tudo de forma Possui mtricas, controles e generalista, no indicando processos. como fazer. A segurana e o desenvolvimento de Processos de operao. sistemas. Tabela 1 Comparao entre normas

ITIL

O COBIT um framework de controle que visa garantir o alinhamento com os negcios da empresa. Ele proporciona o aumento de qualidade de servios e informaes, mas no mostra como fazer, dever ser utilizado em conjunto com o ITIL, por exemplo. Pois sozinho no fornece nenhum controle, mtrica ou processo. Tem como objetivo tambm a gesto de TI.

O ITIL prov sugestes das melhores prticas utilizadas para a gesto de TI, que visa o foco no negcio da empresa, para garantir a qualidade e entrega dos servios juntamente com um custo justificvel. Trata os processos de operao, ou seja, o que deve ser feito, porm deve utilizar algum framework, como por exemplo o COBIT, para fazer o gerenciamento da melhor maneira possvel. A ISO/IEC 17799, prev as melhores prticas para garantir a segurana da informao dizendo o que deve ser feito, no se preocupando com tecnologias ou procedimentos adotados para atingir o objetivo. Para garantir o foco e alinhamento com os negcios da empresa, deve ser utilizada em conjunto com outras normas, por exemplo, o ITIL. Levando em considerao as comparaes da tabela 1, pode-se dizer que dependendo o nvel de controle que a organizao deseja, deve-se aplicar a norma que melhor atende estes objetivos. Somente uma norma no cobre todo o assunto e no atende todos os aspectos para alcanar um ambiente seguro, sendo assim podemos aplicar as normas em conjunto, para ter um melhor resultado no controle da segurana da informao, considerando ainda que as normas se complementem. De forma sucinta podemos dizer que as normas podem ser aplicadas em conjunto para buscar a maior eficcia dos servios de TI e da segurana da informao. 7. Concluso De forma geral, as organizaes dedicam grande parte da ateno para seus ativos fsicos, que podem ser medidos e financeiros, que podem ser calculados rapidamente caso seja constatado algum roubo ou fraude, mas esquecem dos ativos de informaes. Sendo a informao cada vez mais valorizada pelas instituies e organizaes, a evoluo da segurana da informao evidente, pode-se afirmar que a preocupao com as normas de segurana a principal evidncia. Com isto cada vez mais as normas estaro se atualizando conforme a necessidade, pois a informao ser um ativo cada vez mais considerado e ter um maior grau de importncia. O mercado tambm est exigindo que as empresas sejam certificadas por rgos de normalizao para que todas as transaes entre elas sejam padronizadas, tanto para a troca de informaes, como para a discusso entre fornecedores, consumidores e clientes. Com a certificao em uma norma de qualidade a empresa garante perante a sociedade, seus fornecedores e clientes a sua preocupao em fornecer produtos, ou servios com um padro de qualidade conhecido internacionalmente, isto no caso da ISO. Agora com a certificao em uma norma de segurana a empresa mostra para a sociedade, fornecedores e clientes que se preocupa com as informaes trocadas entre eles e principalmente com a sua informao e conhecimento, que hoje o seu bem mais valioso. O fator que garante a evoluo da segurana da informao de forma geral o valor dado pela informao, tanto das empresas como pessoais. Ento para que as informaes sejam preservadas e distribudas da melhor forma possvel, necessrio gesto da segurana da informao, que tem como base a integridade, confidencialidade e disponibilidade. Pode-se dizer que a segurana da informao e das normas de segurana sempre estar em constante modificao e atualizao, pois a todo momento novos incidentes so registrados e tambm h o surgimento de novas tecnologias. Sendo assim, o futuro da segurana da informao so melhorias, nas tecnologias, nos procedimentos, nas normas e principalmente o ser humano, que considerado a parte mais frgil de um projeto de segurana, porque pode ser

corrompido. Para garantir que o ser humano no seja o ponto fraco, fundamental a criao da cultura de segurana e conscientizao, que deve ser constante. Referncias Novo Dicionrio Aurlio O Dicionrio da Lngua Portuguesa edio de 1999. ALBUQUERQUE, Fbio S. de. A nova viso da rea de segurana da informao. Modulo Security Magazine. [S.l.], 31 ago. 2006. Disponvel em: <http://www.modulo.com.br>. Acesso em: 11 out. 2006. CAMPOS, Andr L. N. Sistema de segurana da informao: controlando os riscos. Florianpolis: Visual Books, 2006. DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Axcel Books, 2000. GONALVES, Alex D. et al. O impacto da implementao da norma NBR ISO/IEC 17799. Modulo Security Magazine. [S.l.], 11 maio 2006. Disponvel em: <http://www.modulo.com.br/comum/docs_iii_pv.jsp?catid=2&objid=475&idiom=0&pa genumber=0>. Acesso em: 11out.2006. INSTITUTO ONLINE. Entendendo e implementando a norma ABNT NBR ISO/IEC 17799:2005: aspectos tericos e prticos para a implantao da norma ABNT ISO/IEC 17799:2005. Reviso 1.0. p. 1-84. []. Instituto OnLine, 2006. PARRA, Gislaine. Metodologia para anlise de segurana aplicada em uma infraestrutura de chave pblica. 2002. 99f. Dissertao (Mestrado em Cincia da Computao) Programa de Ps-Graduao em Cincia da Computao da Universidade Federal de Santa Catarina, Florianpolis. REGAZZI FILHO, Carlos L. Normas tcnicas: conhecendo e aplicando na sua empresa. Braslia: CNI, 2000. SERAFIM, Vincius da S. et al. Tcnicas de segurana: da teoria a prtica. Possos de Caldas, MG, 2002?. Disponvel em: <http://ftp.inf.pucpcaldas.br/CDs/SBC2002/pdf/arq0060.pdf>. Acesso em: 11out. 2006. VARELA, Joo P. et al. A questo humana na segurana da informao. [S.l.], 2006?. Disponvel em: <http://wiki.di.uminho.pt/wiki/pub/Education/InformaticaJuridicaT1C/VitorNovoManu elAlmeidaJoaoVarela3.doc>. Acesso em: 11 out. 2006.

Das könnte Ihnen auch gefallen