Beruflich Dokumente
Kultur Dokumente
Braslia
2011
Braslia
2011
Cincia
da
Computao
da
Braslia
Setembro de 2011
Errata
Dedicatria
Agradecimentos
Lista de Tabelas
Lista de Abreviaturas
ABNT
CEGSIC
CM
Colgio Militar
CMA
CMM
DEPA
EaD
Ensino Distncia
EF
Ensino Fundamental
EM
Ensino Mdio
ENEM
IRCAM/CM
Instrues Reguladoras do
Concurso de
Admisso
POP
POSIC
PSI
PSO
SCMB
SIOp
STE
10
Sumrio
Errata .......................................................................................................................... 3
Ata de Defesa de Monografia ...................................................................................... 4
Dedicatria .................................................................................................................. 5
Agradecimentos .......................................................................................................... 6
Lista de Tabelas .......................................................................................................... 8
Lista de Abreviaturas.................................................................................................... 9
Sumrio ..................................................................................................................... 10
Resumo ..................................................................................................................... 12
Abstract ..................................................................................................................... 13
1 Delimitao do Problema ....................................................................................... 14
1.1 Introduo ........................................................................................................ 14
1.2 Formulao da situao problema (Questes de pesquisa) ............................ 16
1.3 Objetivos e escopo .......................................................................................... 16
1.3.1 Objetivo Geral ........................................................................................... 16
1.3.2 Objetivos Especficos ................................................................................ 17
1.3.3 Escopo ...................................................................................................... 17
1.4 Justificativa ...................................................................................................... 17
1.5 Hipteses ......................................................................................................... 18
1.5.1 Hipteses relacionadas com a segurana das instalaoes e materiais..... 18
11
12
Resumo
13
Abstract
14
1 Delimitao do Problema
1.1 Introduo
O descuido com a segurana da informao uma constante que atinge a
toda a sociedade e nossas instituies. Em se tratando de Organizaes Militares
(OM), que vivem cercadas por seus regulamentos, normas e instrues reguladoras,
esse descuido toma dimenses preocupantes. Como a OM composta por seres
humanos e estes, algumas vezes descomprometidos com a Instituio, acabam se
tornando os principais causadores dos vazamentos de informaes no ambiente de
trabalho.
Segundo Lopes e Filho (2008):
O risco est presente em todos os ramos da atividade humana. As
organizaes, inseridas nos mais variados campos de atividade, preparamse para enfrentar os riscos de diversas formas. Assim, os setores
15
Sociolgico:
relao
de
autoridade
de
subordinao.
16
17
1.4 Justificativa
A pesquisa se justifica no momento em que sempre se busca alcanar o
mximo da qualidade e confiabilidade no processo de admisso no CMM e demais
Colgios Militares, haja vista o alto nvel de qualidade do ensino ministrado nesses
colgios, o alto grau de credibilidade depositado pela sociedade no processo de
admisso bem como no respeito e admirao desta pelo cidado que se forma
nesses estabelecimentos de ensino.
No que exista desconfiana no trabalho prestado pelos profissionais que
confeccionam as provas para os concursos, mas existe uma necessidade de se
estudar todo o processo, principalmente, quando se toma conhecimento nos fatos
ocorridos recentemente de vazamento de provas do Exame Nacional do Ensino
Mdio (ENEM) veiculados pela mdia; quando todos confiavam no processo.
Por fim, sabe-se que existe uma parcela da populao que se corrompe
pensando em seus prprios objetivos e esquecendo a instituio, logo, nada mais
justo do que manter a rotina de melhoria contnua nos processos que necessitam
cada vez mais de ateno e coordenao para se justificar a confiana depositada
pela sociedade nessas instituies.
18
1.5 Hipteses
As hipteses levantadas neste trabalho so voltadas para a existncia de
problemas quanto segurana fsica e problemas quanto segurana das
informaes voltadas ao pessoal.
1.5.1 Hipteses relacionadas com a segurana das instalaes e de materiais
As hipteses aqui relacionadas se envolvem com os problemas de segurana
fsica, em particular os locais onde a confeco e armazenagem das provas so
efetuadas, bem como os materiais usados no processo. As possveis falhas que
podero aparecer so falhas no controle de acesso e na segurana local,
fragilidades dos meios de informtica e falta de controle do uso dos equipamentos.
1.5.2 Hipteses relacionadas com a segurana das informaes tratadas pelas
equipes envolvidas
As hipteses aqui relacionadas envolvem o sigilo do trabalho da equipe
responsvel pelo processo em si e ainda o pessoal selecionado para elaborar as
questes usadas no concurso. Podemos citar como falhas nessas hipteses a falta
de controle do sigilo das informaes tratadas, a falta de comprometimento da
equipe de elaborao da prova e o desvio de conduta de alguns envolvidos no
processo como um todo.
19
realizando
deteco
neutralizao
contra
ataques
20
quando fala-se de sistemas e traz 2 conceitos bastante vlidos para apesquisa que
so a confiabilidade e a segurana tcnica. Estes conceitos ajudaram na busca da
trajetria a seguir durante o planejamento da pesquisa.
Pode-se citar tambm a Norma Complementar 03/IN01/DSIC/GSIPR, de 30
de junho de 2009 do Departamento de Segurana da Informao e Comunicaes
do GSIPR que trata do estabelecimento de diretrizes, critrios e procedimentos para
a elaborao, institucionalizao, divulgao e atualizao da Poltica de Segurana
da Informao e Comunicaes (POSIC). Encontra-se nesta norma as primeiras
diretrizes a se verificar para a realizao de um estudo de caso envolvendo
segurana das informaes, ordenando o processo dentro de uma poltica de
segurana da instituio.
No meio militar, temos as Instrues Gerais para a Salvaguarda de Assuntos
Sigilosos no Exrcito Brasileiro (IG 10-51) que tm por finalidade regular e
padronizar os procedimentos necessrios salvaguarda de assuntos sigilosos, no
mbito do Exrcito Brasileiro. Tal norma baliza todas as outras voltadas para o
controle e manuseio de documentaes de assuntos sigilosos. Esta fora a norma
bsica do incio do estudo em questo.
Como o Colgio Militar uma Organizao Militar gerenciada pelo Exrcito
Brasileiro, ele est sujeito a trabalhar sob estas Instrues Gerais. Isto serve
tambm para as outras duas normas abaixo:
As Instrues Gerais de Segurana da Informao para o Exrcito Brasileiro
(IG 20-19) tm por finalidade orientar o planejamento e a execuo das aes
relacionadas Segurana da Informao no mbito do Exrcito Brasileiro, e que
auxiliou o incio do estudo desta pesquisa, e;
A Instruo Provisria IP 30-1, que versa sobre a atividade de Inteligncia
Militar, discrimina o uso da inteligncia na Defesa Interna, seus conceitos bsicos,
alm de apresentar formas de atividades de segurana ativa, passiva e orgnica.
Essa instruo foi valiosa na determinao do que buscar durante a pesquisa.
Os referenciais tericos acima citados foram utilizado durante todo o projeto
de monografia e serviu como sntese basilar para que o estudo iniciasse de forma
slida e objetiva. Os autores, bem como os documentos militares tratam os assuntos
de forma clara e concisa, facilitando o trabalho deste pesquisador.
21
(2010)
aborda
vrios
conceitos
algumas
tecnologias
22
autores
acima
foram
fundamentais
para
consolidao
dos
entendimentos das disciplinas ministradas no curso e com isso foi possvel efetuar
com maior traquilidade e conscincia as tarefas de pesquisa e estudo do objeto foco
deste trabalho que a segurana informacional do processo de concurso de
admsso do CMM.
23
24
3 Metodologia
(quatro)
meses
foram
aplicados
questionrios,
realizado
25
- 03 (trs) sargentos;
- 03 (trs) servidores civis concursados e com nvel superior.
O nmero total de entrevistados 9. No existem outros servidores
trabalhando na Seo, tendo em vista a necessidade de controle e o trabalho
realizado por pessoas qualificadas para as funes.
No que tange anlise documental, foram verificados os Procedimentos
Operacionais Padro (POP), PSO, PSI do CMM, as Instrues Reguladoras do
Concurso de Admisso (IRCAM) da DEPA e as .
Alm disso, foram ainda analisadas, diversas normas, instrues normativas,
instrues provisrias e outros tipos de documentao das Instituies Militares de
nvel hierrquico superior que tivesse ligao com o assunto tratado. Estes
documentos esto referenciados nas referncias bibliogrficas.
As pesquisas foram baseadas em perguntas simples, buscando colher a
opinio do pblico-alvo em questes especficas. Estas respostas serviram para
traar um escopo das principais necessidades e bices existentes no processo de
elaborao de provas de concursos no CMM.
Durante o perodo, foram questionadas as seguintes idias: segurana fsica
da rea usada na confeco das questes e dos locais de impresso e
armazenamento das provas, especificamente a STE; controle na circulao dos
dados sensveis e controle da circulao de pessoal.
Como o CMM uma OM e, portanto, possuindo um foco grande de
preocupao com a segurana, ficaria difcil e complicado realizar um estudo
envolvendo diversos setores. A fim de poder concentrar os esforos naquilo que a
pesquisa se faz necessria, o ambiente estudado abrangeu as instalaes da STE,
localizado no interior do CMM.
A deciso de se focar as pesquisas neste pblico tornou-se importante pois
nessa seo que esto centralizadas todas as aes necessrias ao processo bem
como o pessoal diretamente envolvido na escolha das questes, impresso e
armazenamento das provas.
A STE estruturada da seguinte forma: Chefia, Subseo de Pesquisa e
Estatstica e Subseo de Medidas de Avaliao. Obviamente que, em cada parte
da Seo, ocorre a circulao de documentos e de pessoal. Entretanto, para fins de
estudo e, principalmente, pela dimenso de seu risco, o estudo se calcou,
principalmente, no processo de confeco das provas de concurso de admisso.
26
ao
pblico-alvo
sem
problemas
maiores
sem
dvidas
que
27
28
4 Resultados
Amostras
Hipteses relacionadas
Horas de
a segurana das
Entrevista
instalaes e de
materiais.
equipes envolvidas.
Amostra 1
Amostra 2
Amostra 3
Amostra 4
Amostra 5
Amostra 6
Amostra 7
Amostra 8
Amostra 9
29
Concordam com as 2
hipteses
33%
56%
11%
30
Controle de
Controle
Processos
Entrevistado
Acessos
do sigilo
Crticos
Segurana
Orgnica e
das
Informaes
Controle
de
Segurana
Fsica
Amostra 1
Amostra 2
Amostra 3
Amostra 4
Amostra 5
Amostra 6
Amostra 7
Amostra 8
Amostra 9
31
Controle de acessos
33%
11%
11%
11%
Controle de sigilo
34%
Processos crticos
Poltica de Segurana
Orgnica e das Informaes
Controle de Segurana Fsica
32
5 Discusso
33
No acesso seo:
- Autorizao de acesso somente ao pessoal credenciado. Esses
obteriam esta autorizao atravs da publicao de seus nomes e funes
em Boletim Interno da Organizao.
- O controle visual deve ser melhorado para que os prprios integrantes
possam questionar a presena de pessoal no autorizado no local.
- A entrada dever ser melhor controlada para que se possa assegurar
o seu fechamento quando da sada, mesmo que temporria de todos da
seo e principalmente, na produo do concurso.
- No podero ser empregados soldado ou pessoal civil de contrato
temporrio nas atividades da seo.
34
35
36
6.1 Concluses
Ao trmino deste trabalho de pesquisa, importante ressaltar que o estudo
realizado buscou apresentar informaes e propostas concretas, factveis e
pontuais. No se deseja, com isso, dar o assunto por encerrado. Muito pelo
contrrio, a proposta que este trabalho sirva como alerta e ponto de partida para a
realizao de novas pesquisas buscando a melhoria contnua. O mesmo funciona
como um processo e no como um projeto.
Verifica-se no decorrer de todo o trabalho que existem algumas aes a
serem executadas, que dependem, exclusivamente, da ao de comando da chefia
da Organizao e do responsvel pelo processo. So aes que no demandam
custos financeiros, apenas planejamento, organizao, estruturao, implementao
, verificao e controle. Podem ser citadas algumas aes como reunies com os
envolvidos, tratamento de quebras de paradigmas, execuo de programas de
conscientizao, busca do comprometimento, normatizao de procedimentos,
implementao de polticas de segurana e controle, levantamento de indicadores
para a medio e verificao, dentre outros, que podero ser realizadas.
Podemos buscar informaes tambm em outras instituies de ensino que
possuem sistema de concurso para admisso ao quadro discente para a realizao
de contatos e busca de processos de sucesso nessas organizaes no sentido de
melhorar as prticas j aplicadas no CMM ou mesmo implantar novas sistemticas,
visando sempre evitar possveis delitos e fraudes aos quais estariam sujeitos o
processo.
No que tange solicitao de recursos, sugere-se Chefia da STE que
elabore um projeto de melhoria da segurana a fim de dirimir os bices encontrados
37
e fornea ao Diretor de Ensino subsdios para alocar recursos que apresentem uma
maior qualidade em relao segurana.
Como ocorrem processos similares nos demais CM, a DEPA poderia realizar
um estudo a fim de se padronizar procedimentos e utilizar meios diferentes de
proteo do processo em todos os colgios. O importante no se perder o foco da
segurana; a motivao profissional para se ter os integrantes do sistema atentos s
possveis falhas e manter a credibilidade e a seriedade do processo sempre acima
de qualquer questo.
Pode-se concluir ento que aps as anlises feitas por este pesquisador,
usando a metodologia acima referenciada em tpico especfico, que no existem
lacunas no processo de provas do CMM chegando ao Objetivo Geral proposto neste
trabalho. Existem pontos que necessitam de manuteno de procedimentos com
algumas melhorias, indicadas no tpico referente discusso.
As hipteses constantes do item 1.5, aps anlise dos dados e estudo
apresentado foram refutadas. Mesmo assim, no se pode ter a segurana
descuidada e as aes sugeridas devero fazer parte de objeto de estudo por parte
do CMM a fim de que se aumente a confiabilidade da segurana do processo.
Reunindo os aspectos levantados no estudo e na discusso, temos todo um
arcabouo de parmetros e plenas condies de elaborar um modelo de checagem
apontado no Objetivo Especfico.
38
39
40
Disponvel
em
<http://www.abin.gov.br/modules/mastop_publish/?tac=Programa> . Acesso em
03 Mar 08
BRASIL. Decreto No. 3.505, de 13 de junho de 2000 : Institui a poltica de segurana
da informao nos rgos e entidades da administrao pblica federal.
Braslia,
2000.
Disponvel
em:
<http:www:planalto:gov:br/ccivil
Competitiva
Segurana
Empresarial.
Disponvel
em:
41
2009.
Disponvel
em:
<http://dsic.planalto.gov.br>.
Acesso
em:
Novembro de 2010.
DEPARTAMENTO DE SEGURANA DA INFORMAO E COMUNICAES DO
GSIPR. Norma Complementar 05/IN01/DSIC/GSIPR, de 14 de agosto de 2009 :
Criao de equipes de tratamento e resposta a incidentes em redes
computacionais
etir.
Braslia,
agosto
2009.
Disponvel
em:
Braslia,
novembro
2009.
Disponvel
em:
42
informao
comunicaes.
Braslia,
maio
2010.
Disponvel
em:
DE
ENSINO
PREPARATRIO
ASSISTENCIAL.
Instrues
2003.
Disponvel
em:
<
http://portalamazonia.globo.com/plantaopsicologico/textoencontrodeetica.pdf>.
Acesso em: Outubro de 2010.
FERNANDES, Jorge Henrique Cabral. Controle de Acessos: GSIC211 (Notas de
Aula). Curso de Especializao em Gesto da Segurana da Informao e
Comunicaes: 2009/2011. Departamento de Cincias da Computao da
Universidade de Braslia. 2010. 32 p.
FERNANDES, Jorge Henrique Cabral. Introduo Gesto de Riscos de Segurana
da Informao: GSIC302 (Notas de Aula). V.1.2. Curso de Especializao em
Gesto
da
Segurana
da
Informao
Comunicaes:
2009/2011.
43
DE
SEGURANA
INSTITUCIONAL
DA
PRESIDNCIA
DA
da
Segurana
da
Informao
Comunicaes:
2009/2011.
44
45
ao
site
http://www.forumdaseguranca.com/forum/viewtopic.php?p=1383&sid=203889a9
872b2a892fd6ba4324cad52b em 26/08/2010.
46
Caso positivo, peo que marque abaixo os tipos de falhas que o sr(a) acredita ser
possvel existir relacionadas com os seguintes tipos de segurana (pode-se marcar
mais de um item)
das instalaes e de materiais
No campo abaixo solicitamos que sejam postas em prioridade as situaes que para
o(a) sr(a) sejam mais ou menos necessrias de ateno, utilizando o 1 para o de
maior vulnerabilidade/maior ateno e o 5 para o de menor ateno:
Controle de
Controle
Processos
Acessos
do sigilo
Crticos
Poltica de Segurana
Orgnica e das
Informaes
Controle de
Segurana Fsica
47
Descrio
Uso de lacres na porta de entrada da seo com
conferncia diria pelo chefe da STE
Uso de lacres na porta do local de armazenagem com
conferncia diria
Condies de segurana fsica do local de confeco das
questes
Condies de segurana fsica do local de guarda (cofre)
Controle e gerenciamento do sistema de cmeras do local
de guarda
Controle do sistema de alarme do local de guarda
Publicao em boletim interno (rgo oficial) dos
integrantes das comisses
Assinatura dos termos de sigilo
Definio do local de trabalho da comisso organizadora da
prova
Confeco de questes em nmero trs vezes superior ao
da prova
Teste de todas as questes por integrantes das comisses
autorizadas (com termo de sigilo)
Salvamento das questes em mdia criptografada
Escolha das questes pelo diretor do concurso
Salvamento das questes escolhidas em mdia
criptografada
Formatao, impresso e envelopamento por integrantes
da comisso autorizada (com termo de sigilo)
Arquivamento em cofre
Entrega dos envelopes comisso aplicadora mediante
recibo
Devoluo dos cartes respostas, mediante recibo,
comisso encarregada da correo/apurao
Auditoria dos resultados por comisso especifica autorizada
(com termo de sigilo)
Sim
Em parte No