Estudo de caso sobre gestão da segurança da informação em

uma organização pública

Ywandey S. Gomes
1
Curso Superior de Tecnologia em Redes de Computadores – Universidade da Amazônia
(UNAMA) – Campus de Belém
66065-219 – Belém – PA – Brasil
ywandey@gmail.com

Abstract. This article aims to guide IT managers in the implementation of an

information security policy with the basis of obtaining a corporate strategic
differential, since the concern with the information and with the technological
resources that support them is a factor of business interests in order to avoid
information security incidents.

Resumo. Este artigo tem como objetivo de orientar os gestores de TI na

implementação de uma polı́tica de segurança da informação com a base a ob-
ter um diferencial estratégico corporativo, haja vista que a preocupacão com
as informaçãos e com os recursos tecnológicos que as suportam é um fator de
grande interesse para os negócios afim de se evitar incidentes de seguranação
da informação.

1. Introdução
Com o rápido crescimento e expansão da sociedade em rede, houve uma reviravolta nos
moldes de negócios e nas formas de relações empresariais.Isto porque o desenvolvimento
acelerado dos sistemas de informação aliado a era da informação, trouxe novas demandas,
novos parceiros comerciais, a atração de novos acionistas, forçando uma mudança drástica
no plano estratégico de gestão corportiva.
As empresas dentro da economia globalizada, passaram a depender cada vez mais
dos ativos de informação para para a implementação de suas polı́ticas organizacionais, o
desenvolvimento de produtos, a elaboração de estrátégias de vendas, análise financeira e
a tomada de decisões para garantir sua sobrevivência.
Se por um lado, as tecnologias da Informação e Comunicação ( TICs) possibili-
taram avanço tecnológico para o gerenciamento de serviços e produtos, por outro lado
proporcionou a exposição dos sistemas de infomação a inúmeras ameaças capazes de ex-
plorar as vulnerabilidades de sistemas. Os perigos de ataques e violações de segurança
aos dados da empresa passou a ser um tema de ampla discussão no ambiente virtual de
negócios.
A gestão da segurança da informação faz com que uma empresa pública ou pri-
vada, possa garantir que o funcionamento de seus sistemas fique menos vulnerável contra
invasores que estão em busca de informações essenciais para o negócio da organização
ou querem causar algum dano.
 Foi realizada uma pesquisa de campo, no qual se explorou docucmentos bibli-
ográficos utilizando o método de estudo de caso, para apresentar uma metodolgia de
avaliação, análise e implementação de uma polı́tica de gerencimaneto da segurança da
informação em uma empresa.

1.1. Motivação
O incentivo para o desenvovilmento deste estudo vem da importância que a segurança da
informação exerce para o 20a BPM PA, bem como para todo tipo de empresa que está
ativa no mercado, sujeito aos riscos e ameaças que estão presentes no dia-a-dia de uma
organização. As vulnerabilidades são inerentes a qualquer empresa que utiliza tecnolo-
gia, principalmente quando estas expõem seus sistemas de informação e comunicação ao
estarem conectados a`internet.
É relevante o entendimento sobre o dever que as empresas tem de exercerem
compliance (conformidade legal) com as leis existentes na legislação para identificar a
existência da gestão de risco e como está estabelecida a gestão da segurança da informação
no setor de Tecnologia da Informação da empresa pública estudada.

1.2. Justificativa
Fazer conhecer a existência de ameaças que exploram as vulnerabilidades dos ativos
de informação, para que possa ajudar na elaboração de uma Polı́tica de Segurança da
Informação, subsidiando os fundamentos básicos para a criação de diretrizes no processo
de segurança, para alinhar a gestão da TI aos interesses da organização, e servindo de
escopo para aperfeiçoar a segurança de outras empresas.
Para melhorar assim os pontos negativos da infraestrura de informação e
comunicação da emrpesa, será indicada a série de normas ISO/IEC 27000 reservadas
para tratar de padrões de Segurança da Informação.

1.3. Objetivos
O objetivo principal deste artigo é realizar um estudo de caso sobre gestão da segurança
da informação no setor de TI de uma empresa pública, levando em consideração o que é
proposto nas normas da série NBR ISO 27000. Como objetivos especı́ficos pretendem-
se: identificar os pontos de vulnerabilidade, relacionados às ferramentas computacio-
nais, às pessoas, aos processos e ao ambiente; analisar a segurança da informação em
relação ao ambiente empresarial, orientando e apoiando a alta administração a estabe-
lecer uma Polı́tica transparente de Segurança da Informação para toda a organização.
Com isso, conscientizar todo o nı́vel estratégico da organização a respeito da importância
de se ter uma Polı́tica de Segurança da Informação capaz de garantir a confidenciali-
dade, integridade e disponibilidade necessárias às informações e como último objetivo
especı́fico, elaborar um relatório com as melhores práticas relativas à gestão da segurança
da informação.

1.4. Estrutura do artigo

O artigo está organizado em 5 capı́tulos, sendo o capı́tulo 1 composto pela introdução,
o capı́tulo 2 é composto pelo conceitos básicos que faz uma contextualização geral so-
bre segurança da informação, Polı́tica de Segurança da Informação, ativos da informação,
vulnerabilidades, ameaças, incidente de segurança, probabilidade, impacto e controle e
por último aborda sobre as normas ABNT NBR ISO/IEC 27000. No capı́tulo 3 é apre-
sentada a metodologia de pesquisa que vem mostrar os métodos, técnicas, procedimentos
e a identificação quanto à descrição dos tipos de pesquisas utilizados para análise do pro-
blema. A sı́ntese, os resultados e a discussão do tema proposto encontram-se no capı́tulo
4, e objetivam dar uma melhor visão a todos os nı́veis da organização em relação às vul-
nerabilidades e falhas para que possam ser melhoradas. No cap´ıtulo 5, e´ apresentada
a conclusão sobre o estudo realizado e tudo o que foi observado em relação a TI e a
segurança da informação.

2. Conceitos básicos sobre segurança da Informação

Atualmente o conceito de Segurança da Informação está padronizado pela norma
ISO/IEC17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799. A
série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de Segurança
da Informação, incluindo a complementação ao trabalho original do padrão inglês. A
ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para
fins históricos. A partir de 2013 a norma técnica de segurança da informação em vigor é:
ABNT NBR ISO/IEC 27002:2013.

2.1. Confidencialidade
Propriedade que limita o acesso a informação tão somente às entidades legı́timas, ou seja,
àquelas autorizadas pelo proprietário da informação.

2.2. Integridade
Propriedade que garante que a informação manipulada mantenha todas as caracterı́sticas
originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças
e garantia do seu ciclo de vida (Corrente, intermediária e permanente). O ciclo de vida
da informação órgânica - criada em ambiente organizacional - segue as três fases do ciclo
de vida dos documentos de arquivos; conforme preceitua os canadenses da Universidade
do Quebec (Canadá): Carol Couture e Jean Yves Rousseau, no livro Os Fundamentos da
Disciplina Arquiv´ıstica.

2.3. Disponibidade
Propriedade que garante que a informação esteja sempre disponı́vel para o uso legı́timo,
ou seja, por aqueles usuários autorizados pelo proprietário da informação.

2.4. Autenticidade
Propriedade que garante que a informação é proveniente da fonte anunciada e que não foi
alvo de mutações ao longo de um processo.

2.5. Irretratabilidade ou Não Repúdio

Propriedade que garante a impossibilidade de negar a autoria em relação a uma transação
anteriormente feita.
2.6. Conformidade ou Legalidade
Propriedade que garante que o sistema deve seguir as leis e regulamentos associados a
este tipo de processo.
O ciclo de vida da informação diz respeito a todos os momentos onde a informação
e´exposta a riscos, e agora ja´ podemos dizer, de comprometimento de um ou mais as-
pectos de segurança citados acima. Estes momentos são vivenciados quando os ativos da
empresa sejam eles fı́sicos tecnológicos ou humanos, fazem da informação disponı́vel, ali-
mentando os processos de negócio e fazendo a empresa funcionar. Em uma corporação, a
segurança está ligada a tudo o que manipula direta ou indiretamente a informação (inclui-
se aı́ também a própria informação e os usuários), e que merece proteção.

Figura 1. A trı́ade da segurança da informação

3. Polı́tica de Segurança da Informação

Conforme os autores Silva, Carvalho e Torres (2003), Polı́tica de Segurança da
Informação “... é um conjunto reduzido de regras que definem, em linhas gerais, o que
é considerado pela empresa como aceitável ou inaceitável, contendo ainda referencias às
medidas a impor aos infratores, Esta polı́tica deverá sevir de referência á todas as ou-
tras polı́ticas existentes na empresa que contenham regras de segurança, bem como fazer
alusão às normas de segurança”.
Ter Polı́ticas de Segurança da Informação é fundamental para legalizar as es-
tratégias vinculadas à segurança dos sistemas de uma empresa. Estas normas possibi-
litam, entre outras coisas, fiscalizar acessos não autorizados e incorretos. Recomenda-se
a criação de uma comissão responsável pela Polı́tica de Segurança da Informação, para
divulgação, atualização e distribuição das normas de segurança dentro da empresa. Tal
divulgação e publicação das normas de segurança d informação pode ser através de fo-
lhetos entregues aos funcionários no processo de admissão e/ou educação continuada,
distribuı́dos por emails, através de cartazes, ou até mesmo palestras.

4. Figures and Captions

Figure and table captions should be centered if less than one line (Figure 2), otherwise
justified and indented by 0.8cm on both margins, as shown in Figure 3. The caption font
must be Helvetica, 10 point, boldface, with 6 points of space before and after each caption.

Figura 2. A typical figure

Figura 3. This figure is an example of a figure caption taking more than one line
and justified considering margins mentioned in Section 4.

In tables, try to avoid the use of colored or shaded backgrounds, and avoid thick,
doubled, or unnecessary framing lines. When reporting empirical data, do not use more
decimal digits than warranted by their precision and reproducibility. Table caption must
be placed before the table (see Table 1) and the font used must also be Helvetica, 10 point,
boldface, with 6 points of space before and after each caption.
 Tabela 1. Variables to be considered on the evaluation of interaction techniques
Value 1 Value 2
Case 1 1.0 ± 0.1 1.75×10−5 ± 5×10−7
Case 2 0.003(1) 100.0

5. Images
All images and illustrations should be in black-and-white, or gray tones, excepting for
the papers that will be electronically available (on CD-ROMs, internet, etc.). The image
resolution on paper should be about 600 dpi for black-and-white images, and 150-300 dpi
for grayscale images. Do not include images with excessive resolution, as they may take
hours to print, without any visible difference in the result.

6. References
Bibliographic references must be unambiguous and uniform. We recommend giving the
author names references in brackets, e.g. [Knuth 1984], [Boulic and Renault 1991], and
[Smith and Jones 1999].
The references must be listed using 12 point font size, with 6 points of space
before each reference. The first line of each reference should not be indented, while the
subsequent should be indented by 0.5 cm.

Referências
Boulic, R. and Renault, O. (1991). 3d hierarchies for animation. In Magnenat-Thalmann,
N. and Thalmann, D., editors, New Trends in Animation and Visualization. John Wiley
& Sons ltd.
Knuth, D. E. (1984). The TEX Book. Addison-Wesley, 15th edition.
Smith, A. and Jones, B. (1999). On the complexity of computing. In Smith-Jones, A. B.,
editor, Advances in Computer Science, pages 555–566. Publishing Press.