Upload
fernandovbraga
View
124
Download
4
Embed Size (px)
Citation preview
FUNDAÇÃO JOÃO PINHEIRO ESCOLA DE GOVERNO PROFESSOR PAULO NEVES DE CARVALHO
Mestrado em Administração Pública – Gestão da Informação
SEGURANÇA DA INFORMAÇÃO:
Estudo sobre as práticas dos usuários do Sistema Integrado de Administração
de Materiais e Serviços do Estado de Minas Gerais
Fernando Vieira Braga
Belo Horizonte 2008
Fernando Vieira Braga
SEGURANÇA DA INFORMAÇÃO:
Estudo sobre as práticas dos usuários do Sistema Integrado de Administração
de Materiais e Serviços do Estado de Minas Gerais
Dissertação apresentada ao Curso de Mestrado em Administração Pública da Escola de Governo Professor Paulo Neves de Carvalho – EG, da Fundação João Pinheiro – FJP, como requisito parcial à obtenção do título de Mestre em Administração Pública.
Área de Concentração: Gestão da Informação
Orientador: Prof. Dr. Ronaldo Ronan Oleto.
Belo Horizonte 2008
B813s
Braga, Fernando Vieira Segurança da Informação: estudo sobre as práticas dos usuários do
Sistema Integrado de Administração de Materiais e Serviços do Estado de
Minas Gerais / Fernando Vieira Braga. - Belo Horizonte, 2008.
145 p. Orientador: Prof. Dr. Ronaldo Ronan Oleto Dissertação (mestrado) – Fundação João Pinheiro. Escola de Governo
Prof. Paulo Neves de Carvalho. Mestrado em Administração Pública. Área: Gestão da Informação.
Bibliografia 1 – Segurança da Informação. 2 – Usuários de sistema de informação
- práticas. 3 - SEPLAG. I – Braga, Fernando Vieira. II – Fundação João Pinheiro.
CDU 681.3
Fernando Vieira Braga
Segurança da Informação: estudo sobre as práticas dos usuários do Sistema
Integrado de Administração de Materiais e Serviços do Estado de Minas Gerais.
Dissertação apresentada ao Curso de Mestrado em Administração Pública, da
Escola de Governo Professor Paulo Neves de Carvalho - EG, da Fundação João
Pinheiro - FJP, como requisito parcial à obtenção do título de Mestre em
Administração Pública.
Belo Horizonte, março de 2008.
Ronaldo Ronan Oleto (Orientador) – EG/FJP
Simone Cristina Dufloth – EG/FJP
Regina Fróes Dolabela – FAMC
À minha companheira, esposa e amiga,
pelo apoio, estímulo e compreensão
durante esta e outras jornadas. Aos meus
filhos, para os quais tentei dar o exemplo.
Aos professores e amigos, por terem me
auxiliado a vencer mais esta jornada.
AGRADECIMENTOS
A todos os que me apoiaram ao longo da realização deste trabalho, expresso
minha gratidão, em especial à Universidade Corporativa da Prodemge, que viabilizou
a minha participação no curso de mestrado, por intermédio do seu programa de
educação continuada.
Ao Professor Dr. Ronaldo Ronan Oleto, pela sua competência, dedicação e
orientação na elaboração desse trabalho.
À Professora Dra. Simone Cristina Dufloth, por sua contribuição objetiva na
montagem do projeto de pesquisa.
À Maria José Pires de Almeida, Coordenadora Geral do Sistema Integrado de
Administração de Materiais e Serviços (SIAD), pelo interesse na pesquisa e por
disponibilizar os recursos necessários para realizá-la.
À Secretaria de Planejamento e Gestão do Estado de Minas Gerais
(SEPLAG), em especial aos servidores Tiago e Karin, e aos servidores que
participaram da pesquisa, pela receptividade, atenção e disponibilidade.
Às colegas da Prodemge Regina, Marilene e Lucia Tobias, pelo apoio nas
minhas dificuldades com as ferramentas de edição.
Aos demais colegas da Prodemge, que me estimularam e contribuíram com
seus conhecimentos para a realização deste trabalho.
Ao Henrique (Lé), pela tradução do resumo desta dissertação.
Ao Professor Afonso Celso pela cuidadosa revisão do texto da dissertação.
Aos professores e alunos do mestrado, pela convivência, pelo aprendizado e
pelos bons momentos vividos, em especial aos meus colegas Branca, Darcilene e
Jose Humberto, pela colaboração e pelas conquistas alcançadas na Prodemge.
Finalmente, à minha mãe, que, mesmo ausente, foi o meu estímulo para ir até
o fim desta jornada.
“Somos o que fazemos repetidamente. A excelência, então,
não é um ato, mas um hábito.” (Aristóteles)
RESUMO
Os projetos de governo eletrônico, suportados pelas tecnologias de informação e comunicação (TICs), ganham cada vez mais visibilidade nas esferas federais, estaduais e municipais. Representam uma oportunidade para transformar as gestões públicas, tornando-as mais eficientes, transparentes e eficazes no relacionamento com o seu público interno e externo. Se, de um lado, o uso das TICs facilita a interação com seus públicos, de outro, esse ambiente virtual traz no seu bojo ameaças, exigindo que as organizações tenham maiores preocupações com a proteção das informações. As políticas de segurança da informação das organizações constituem uma forma de iniciar a implantação dessa proteção, na medida em que procuram estabelecer um código de conduta, ao qual os usuários dos sistemas de informação devem se adequar. Apesar de serem considerados importantes agentes de proteção da informação, os usuários dos sistemas de informação são tratados, nessas políticas, como elementos passivos, não se dando relevâncias de como eles percebem, compreendem e agem em relação às regras estabelecidas. Este trabalho buscou identificar o grau de conformidade das práticas de segurança da informação dos usuários do Sistema Integrado de Administração de Materiais e Serviços do estado (SIAD) com a política de segurança da informação (PSI) da Secretaria de Planejamento e Gestão do Governo do Estado de Minas Gerais (SEPLAG). A pesquisa quantitativa realizada demonstrou que os usuários do SIAD conhecem a Política de Segurança da Informação e praticam a maioria das regras e recomendações dessa política. Apontou, também, que existe uma dissintonia entre a política existente e a percepção das necessidades de proteção da informação da instituição. No final formulam-se recomendações para a organização objeto deste estudo e para as organizações que estão em processo de implantação de políticas de segurança da informação. Palavras-chave: Segurança da informação; Práticas dos usuários dos sistemas de informação; Secretaria de Planejamento e Gestão do Governo do Estado de Minas Gerais (SEPLAG).
ABSTRACT
Electronic government projects, based on Information Technologies (IT), gain more and more visibility in municipal, state and federal areas. It represents the opportunity for public administration transformation, making it more efficient, transparent and effective within their internal and external public. Therefore, if in one hand the IT practice facilitates interactions with their public, in the other hand, that virtual environment brings threats within, demanding concern from the organizations, regarding information protection. Organizations information security policies are one way to start the implementation of that protection, looking for a conduct code, in which information system users must situate themselves. Besides being considered important agents of information safety, information system users are treated, in those policies, as passive actors, not bringing to attention the way they percept, comprehend and proceed regarding established rules. Hence, this effort looked for knowledge considering customary practices of users of the Integrated System of Materials and Services Administration (SIAD) concerning the recommendations established by the Information Security Policy of the Minas Gerais State Government: Planning and Administration Department (SEPLAG). Quantitative data analysis demonstrated that SIAD users know Information Security Policy and practice most of its recommendations and rules. It also disclosed that, based on users opinion, there is an unbalance between the existing policy and the perception of needs of institution information protection. This work is concluded with recommendations for the organization, object of this dissertation, and for the organizations that are in process of Information Security Policies implementation.
Key-words: Information security; Information system users practices; Minas Gerais State Government: Planning and Administration Department (SEPLAG).
LISTA DE FIGURAS
Figura 1 - Os níveis hierárquicos da informação _________________________________________ 32 Figura 2 - Classificação da informação segundo sua finalidade para uma organização __________ 34 Figura 3 - Processo de gerenciamento da informação ____________________________________ 37 Figura 4 - Quatro momentos do ciclo de vida da informação, considerando os aspectos de segurança da informação ____________________________________________________________________ 42 Figura 5 - Relacionamento processos, tecnologias e pessoas ______________________________ 44 Figura 6 - Obstáculo para a implementação da segurança _________________________________ 45 Figura 7 - Tarefas do processo de gerenciamento de informações __________________________ 46 Figura 8 - Modelo de representação do fluxo da informação nas organizações _________________ 47 Figura 9 - Modelo PDCA aplicado aos processos do ISMS (Sistema de Gestão de Segurança da Informação) _____________________________________________________________________ 58 Figura 10 - Modelo de processos de tecnologia da informação _____________________________ 61 Figura 11 - Esquema dos requisitos da Política de Segurança da Informação __________________ 71 Figura 12 - Quadrantes da segurança da Informação _____________________________________ 73 Figura 13 - Questão 1 - Tenho conhecimento sobre a política de segurança da informação da SEPLAG ________________________________________________________________________ 83 Figura 14 - Questão 3 - A SEPLAG tem uma boa política de segurança da informação no sentido de minimizar as ameaças aos sistemas de informação ______________________________________ 84 Figura 15 - Questão 2 - Participei do treinamento de apresentação da política de segurança da informação da SEPLAG ____________________________________________________________ 84 Figura 16 - Questão 5 - A segurança da informação é um modismo que logo será esquecido. _____ 85 Figura 17 - Questão 8 - No ambiente organizacional da SEPLAG a informação deve circular livremente, sem controles. __________________________________________________________ 86 Figura 18 - Questão 4 - O controle da segurança da informação da SEPLAG é muito rígido e dificulta o trabalho dos usuários dos sistemas de informação _____________________________________ 86 Figura 19 - Questão 6 - A realidade do dia-a-dia da SEPLAG é diferente do que diz a política de segurança _______________________________________________________________________ 87 Figura 20 - Questão 7 - A SEPLAG oferece os instrumentos (meios) para a prática da política de segurança da informação. __________________________________________________________ 89 Figura 21 – Média das notas dos usuários para a norma utilização de estação de trabalho _______ 90 Figura 22 - Questão 7/Quadro 2 - Realizo cópia de segurança (backup) dos dados da SEPLAG que se encontram na minha estação de trabalho. ___________________________________________ 91 Figura 23 - Média das notas dos usuários para a norma utilização da internet _________________ 92 Figura 24 - Média das notas dos usuários para a norma utilização de senhas __________________ 93 Figura 25 - Médias apuradas das questões pesquisadas com os usuários do SIAD _____________ 94
LISTA DE TABELAS
Tabela 1 - A realidade do dia-a-dia é diferente da PSI versus A qualidade da PSI da SEPLAG .....89
LISTA DE SIGLAS
ABNT (Associação Brasileira de Normas Técnicas) é o órgão responsável pela
normalização técnica no Brasil, fornecendo a base necessária ao desenvolvimento
tecnológico brasileiro. Trata-se de uma entidade privada e sem fins lucrativos
fundada em 1940.
ANATEL (Agência Nacional de Telecomunicações) é uma autarquia brasileira,
administrativamente independente, financeiramente autônoma, não subordinada
hierarquicamente a nenhum órgão de governo brasileiro com o objetivo de
implementar a política nacional de telecomunicações..
BS 7799: norma britânica de segurança da informação constituída de duas partes,
sendo a primeira publicada em 1995, também referenciada como BSI (1995), e a
segunda, em 1998. A primeira parte deu origem à norma ISO/IEC 17799:2000.
CCITT (International Telephone and Telegraph Consultative Committee):
organização internacional que define padrões e recomendações para o setor de
telefonia. Atualmente é conhecida por ITU – International Telecommunication Union.
CCSC (Commercial Computer Security Centre): centro de segurança de computação
comercial criado pelo Departamento de Indústria e Comércio do Reino Unido (UK
Department of Trade and Industry – DTI), em 1987, que, dentre as suas atribuições,
tinha a tarefa de produzir um código com as melhores práticas de segurança em
tecnologia da informação com a finalidade de auxiliar usuários na implantação de
sistemas de segurança em seus ACC. Desse esforço, realizado conjuntamente com
o Centro de Computação Nacional (National Computing Centre – NCC), resultou um
“Código de práticas para usuários” (Users Code of Practice), que foi publicado em
1989.
COBIT (Control Objectives for Information and Related Technology) modelo de
administração de TI proposto pelo IT Governance Institute. Tem como objetivo
fornecer boas práticas para a gestão de processo de tecnologia da informação
eliminando divergências entre riscos de negócios, questões técnicas, controles e
medidas de desempenho.
CPD (Centro de Processamento de Dados): local onde estão localizados os
equipamentos de maior porte que são responsáveis pelo processamento
centralizado.
DTI (UK Department of Trade and Industry): Departamento de Comércio e Indústria
do Reino Unido.
IEC (International Electrotechnical Commission): organização que, conjuntamente
com a ISO, desenvolve, sugere e define padrões para protocolos de rede.
ISMS (Information Security Management System): é o resultado de uma ação de
gerenciamento explícito, expresso como uma coleção de políticas, princípios,
objetivos, medidas, processos, formas, modelos, lista de verificações (checklist), etc,
que juntos definem como os riscos de segurança de um ACC podem ser reduzidos.
ISO (International Organization for Standardization): organização internacional que
desenvolve, sugere e define padrões.
ITSEC (The European Information Technology Security Evaluation Criteria): padrão
de segurança da informação desenvolvido em conjunto pelos países França,
Inglaterra, Alemanha e Holanda.
NCC (National Computing Centre): ver CCSC (Commercial Computer Security
Centre).
OSI (Open Systems Interconnection): é um modelo de referência de sete camadas
para redes, desenvolvido pela International Standards Organization (ISO). O modelo
de referência OSI é um método formal para descrever os conjuntos de interconexão
de hardware e software de rede usada para oferecer serviços de rede.
RFC (Request For Comments): documentos utilizados para comunicar idéias para
desenvolvimento pela comunidade da Internet e que podem se tornar padrões.
TIC (Tecnologia da Informação e Comunicação): conjunto de tecnologias utilizadas
para desenvolver o processo de geração, processamento, disseminação e
documentação das informações.
SUMÁRIO
1 INTRODUÇÃO .................................................................................................... 13
1.1 Tema ....................................................................................................................................... 16
1.2 Delimitação do tema ............................................................................................................. 17
1.3 Justificativa ........................................................................................................................... 19
1.4 Problematização ................................................................................................................... 22
1.5 Hipótese ................................................................................................................................. 25
1.6 Objetivos ................................................................................................................................ 27 1.6.1 Objetivo geral ................................................................................................................... 27 1.6.2 Objetivos específicos ....................................................................................................... 28
2 REVISÃO DA LITERATURA .............................................................................. 30
2.1 Conceito de informação ....................................................................................................... 30
2.2 Gestão da informação .......................................................................................................... 33 2.2.1 O valor da informação ..................................................................................................... 34 2.2.2 Gerindo a informação ...................................................................................................... 36
2.3 Gestão da segurança da informação .................................................................................. 38 2.3.1 Proteção da informação .................................................................................................. 38 2.3.2 Classificação da informação ............................................................................................ 40 2.3.3 Ciclo de vida da informação ............................................................................................ 42 2.3.4 Gerindo a segurança da informação ............................................................................... 43
2.4 Conexão da gestão da informação com a segurança da informação ............................. 46
2.5 Normas e metodologias de gestão de tecnologia da informação e de segurança da informação ........................................................................................................................................ 50 2.5.1 As normas ISO/IEC de segurança da informação .......................................................... 50 2.5.2 O modelo Control Objectives for Information and Related Technology (COBIT)............ 60 2.5.3 Outras normas ................................................................................................................. 62
2.6 Visão do governo em segurança da informação – legislação ......................................... 63
2.7 Conceitos utilizados pelas normas de segurança da informação .................................. 65
2.8 Política de segurança da informação ................................................................................. 68
2.9 A percepção da segurança da informação ........................................................................ 72
3 METODOLOGIA DE TRABALHO ...................................................................... 76
3.1 Classificação da pesquisa ................................................................................................... 76
3.2 Universo e amostra ............................................................................................................... 77
3.3 Coleta de dados .................................................................................................................... 78 3.3.1 Procedimento técnico ...................................................................................................... 79 3.3.2 Formulário da pesquisa ................................................................................................... 79 3.3.3 Realização do pré-teste ................................................................................................... 80
3.4 Apuração dos dados ............................................................................................................ 80
4 APRESENTAÇÃO E ANÁLISE DOS DADOS .................................................... 83
5 CONCLUSÕES E RECOMENDAÇÕES ............................................................. 96
6 REFERENCIAS BIBLIOGRÁFICAS ................................................................... 99
7 APÊNDICES ..................................................................................................... 107
8 ANEXOS ........................................................................................................... 126
13
1 INTRODUÇÃO
Vive-se hoje na Era da Informação. Castells (1999) denomina-a “Sociedade
Informacional”, referindo-se à Sociedade da Informação, e “Sociedade em Rede”, em
razão das transformações que desencadeia em um mundo globalizado na sua
economia, política e, mesmo cultura, na qual a revolução das tecnologias de
informação e comunicação assume papel fundamental, principalmente após o
advento da internet. Tarapanoff (2004) destaca que nessa sociedade da informação
o acesso às tecnologias, à rede, à informação, ao conhecimento e ao aprendizado
ao longo da vida é que determina quem é rico, quem é pobre e, conseqüentemente,
quem tem poder.
A infra-estrutura tecnológica desenvolvida na chamada “Sociedade da
Informação” ensejou uma verdadeira revolução na forma de relacionar-se na
sociedade, seja para fazer negócios, para comunicar, para divertir ou para prestar
serviços. Tudo isso é feito na teia mundial (world wide web - www)1, constituindo-se
em um salto tecnológico que organiza o teor dos sítios por informação, facilitando
imensamente as pesquisas e o trabalho colaborativo.
Os governos e as instituições públicas, a partir da adoção dos recursos da
Tecnologia da Informação e Comunicação (TIC) e da internet, estão passando por
grandes transformações. O setor público é um dos principais agentes da economia
da informação, ao utilizar seu imenso poder de compra para adquirir bens e serviços
com maior eficiência, mediante a aplicação de compras eletrônicas, e é cada vez
mais cobrado pela sociedade a disponibilizar serviços pela internet, para o seu
público, seja o interno ou o externo. As instituições públicas precisam redefinir seus
processos de trabalho, capacitar seus funcionários e adequar seus custos para
poder inserir-se nessa nova era digital de relacionamento com a sociedade.
Se, de um lado, existe cada vez mais tecnologia, novos processos de trabalho
e maior disponibilização de serviços e informações pela internet, de outro, existem
maiores riscos. Esse cenário revela ameaças à vida em rede. As organizações
passaram a preocupar-se com questões que afetam a produtividade e, até mesmo, a
1 A World Wide Web, que significa "rede de alcance mundial", em inglês também conhecida como Web e WWW, é um sistema de documentos em hipermídia interligados que é executado na Internet.
14
sobrevivência delas nesse mundo competitivo e globalizado, movido pela
informação.
Segundo Moresi (2000), o relevante papel que a informação passou a ter na
sociedade e na economia globalizada coloca-a como um recurso chave de
competitividade, um diferencial de mercado e de lucratividade das organizações. É
nesse contexto que a informação ganha relevância nas organizações. Precisa,
então, ser tratada como recurso estratégico que é. Deve ser gerenciada e protegida
em todas as fases do seu ciclo de vida.
No contexto da gestão da informação, Tarapanoff (2004) sustenta que a
informação deve ser gerenciada com foco em todos os tipos de informação de valor,
de origem tanto interna quanto externa à organização. McGee e Prusak, (1994)
destacam que a informação, apesar de ser um ativo que precisa ser administrado
como os demais ativos da organização, representa uma classe particular, pois é
reutilizável, não se deteriora e nem se deprecia, sendo que seu valor é determinado
pelo usuário.
Wilson, citado por Tarapanoff (2004), associa a gestão da informação com o
valor, a qualidade, a posse, o uso e a segurança da informação no contexto do
desempenho organizacional. Dessa forma, a segurança da informação passou a ser
um assunto cada vez mais estratégico para as organizações, principalmente aquelas
do setor público, que, além de terem que proteger as informações de seu negócio,
são responsáveis pela custódia das informações dos cidadãos.
Uma das principais seções do livro de regras da Associação Brasileira de
Normas Técnicas (2005) é a que faz referência à criação de uma política de
segurança da informação para a organização. Preocupada com as questões
relacionadas à proteção das informações, a Secretaria de Planejamento e Gestão do
Estado de Minas Gerais (SEPLAG) elaborou a sua política de segurança da
informação (SEPLAG, 2006a) e fez uma ampla campanha de divulgação entre seus
funcionários.
O conhecimento da política de segurança da informação e dos requisitos de
segurança necessários para minimizar os impactos causados pelas vulnerabilidades
dos ativos de uma organização é fundamental para os usuários de sistemas de
informação. Conhecer a política de segurança da informação é necessário, porém
não é suficiente; é preciso transformar suas regras em práticas no dia-a-dia. Práticas
consideradas nesse estudo como rotinas e hábitos dos usuários de sistemas de
15
informação em relação à segurança da informação. Segundo Marciano e Marques
(2006), o atendimento às regras é uma prática social, o comportamento das pessoas
na convivência em grupo é que cria e mantém essas regras, tratando de descartar
aquelas que não são interessantes. Dessa forma, para uma organização é
importante conhecer se as pessoas praticam as regras estabelecidas pela PSI
identificar possíveis distorções, atualizar suas políticas e reforçar os treinamentos e
as campanhas de conscientização dos usuários para a importância da segurança da
informação.
Esse estudo pretendeu verificar se os usuários do Sistema Integrado de
Administração de Materiais e Serviços do Estado (SIAD), no âmbito da Secretaria de
Planejamento e Gestão (SEPLAG), praticam as regras estabelecidas pelas normas
da política de segurança da informação da organização (SEPLAG, 2006a).
Esta dissertação está organizada em cinco capítulos, incluindo esta
introdução em que se contempla a apresentação do tema, sua delimitação,
problematização, hipótese e objetivos.
No capítulo 2, faz-se uma revisão da literatura, abordando a gestão da
informação e a gestão da segurança da informação; traça-se uma conexão entre
essas disciplinas com apoio em autores contemporâneos como Beal (2004) e Moresi
(2000); focalizam-se as normas e metodologias que orientam o processo de
elaboração de políticas de segurança da informação, em especial a ABNT (2005), a
norma ISO/IEC2 17799, conhecida como um conjunto de recomendações das
melhores práticas para a gestão da segurança da informação, com destaque para o
processo de elaboração de políticas de segurança da informação nas organizações,
salientando a necessidade de essas políticas serem orientadas para as pessoas,
que, no caso deste estudo, são os usuários do Sistema Integrado de Administração
de Materiais e Serviços (SIAD).
No capítulo 3, ressalta-se a metodologia adotada na pesquisa, com ênfase no
principal instrumento de coleta de dados utilizado, que foi o questionário aplicado
aos usuários do sistema de informação SIAD.
No capítulo 4, apresentam-se os resultados da análise dos dados.
2 A ISO é uma organização internacional formada por um conselho e comitês com membros oriundos de vários países. Seu objetivo é criar normas e padrões universalmente aceitos sobre a realização de atividades comerciais, industriais, científicas e tecnológicas. A IEC é uma organização voltada ao aprimoramento da indústria da informação.
16
No capítulo 5, fazem-se as conclusões, em que se confirma a hipótese
levantada de que os usuários do SIAD praticam as regras e recomendações de
segurança da informação propostas pela política de segurança da informação da
SEPLAG, e formulam-se recomendações para a organização objeto do estudo e
para outras organizações que estejam em fase de elaboração de sua política de
segurança da informação.
1.1 Tema
A segurança da informação tem despontado como matéria de grande
relevância no contexto organizacional. A elaboração de projetos que visam à
implantação da Gestão da Segurança da Informação é tema que deve merecer
atenção não só das organizações privadas, como também das instituições públicas,
na busca de proteção das informações de seu negócio ou das informações dos
cidadãos, que estão sob sua custódia, conforme o caso.
A SEPLAG desenvolveu recentemente o “Plano Corporativo de Segurança da
Informação” (SEPLAG, 2006a)3, com o objetivo de implementar um processo de
gestão para minimizar os riscos de perda de informações, de fraudes e de invasões
de ambientes computacionais, além de outras ameaças existentes no contexto
organizacional no que se refere às informações. Ao desenvolver esse plano, a
SEPLAG demonstrou conscientização sobre a importância da proteção da
informação, esse ativo fundamental para as organizações. No processo de
desenvolvimento desse plano, utilizou-se como referência a ABNT (2005), a norma
ISO/IEC 17799, que trata das melhores práticas sobre gestão da segurança da
informação.
Os usuários dos sistemas de informação são importantes atores no processo
de gestão da informação, pois é por intermédio deles que os sistemas são
alimentados e as informações são processadas e distribuídas, para serem utilizadas
nos processos de tomadas de decisão ou nos processos operacionais.
3 O plano corporativo de segurança da informação da SEPLAG foi realizado em conjunto com outras organizações públicas, a saber: Secretaria de Estado da Fazenda e Companhia de Tecnologia da Informação do Estado de Minas Gerais. Posteriormente, em 2006, a Secretaria de Estado da Saúde também realizou seu projeto.
17
Nesse contexto, o reconhecimento da importância da informação e da
necessidade de sua proteção pelos usuários dos sistemas de informação das
organizações passa a ser um diferencial positivo na gestão da informação. As
políticas de segurança da informação das organizações são direcionadas às
pessoas, porém são raras as avaliações sobre como essas pessoas recebem essas
informações. É necessário que esses usuários pratiquem as recomendações
contidas nessas políticas. A ação depende de diversos fatores, dentre os quais se
destacam a percepção de sua importância e a aceitação das regras estabelecidas.
O tema desta pesquisa consiste no estudo das práticas de segurança da
informação que os usuários do Sistema Integrado de Administração de Materiais e
Serviços do Estado (SIAD) têm em relação às regras e às recomendações
explicitadas nas normas da política de segurança da informação da SEPLAG
(SEPLAG, 2006a).
1.2 Delimitação do tema
Dentre os diversos sistemas de informação do estado, destacam os sistemas
corporativos, que podem ser definidos como “um conjunto de processos de
informação compartilhados por todos os órgãos da Administração Pública Estadual”
(SEPLAG, 2003b, p. 21). A SEPLAG é responsável pela gestão dos seguintes
sistemas corporativos: SIPRO – Sistema Integrado de Protocolo, SISAP - Sistema
de Administração de Pessoal, SIGPLAN – Sistema de Informações Gerenciais e
Planejamento e SIAD – Sistema Integrado de Administração de Materiais e Serviços.
O SIAD, objeto deste estudo, foi criado pelo Decreto n. 42.873 (MINAS GERAIS,
2002), com a finalidade de controlar o ciclo dos materiais e serviços, desde a
requisição até a distribuição dos materiais de consumo, a baixa dos bens
permanentes do patrimônio e a realização dos serviços. Além desses sistemas sob a
gestão da SEPLAG, o SIAFI – Sistema Integrado de Administração Financeira sob a
gestão da Secretaria de Estado de Fazenda é também um sistema corporativo do
estado.
Em 2003, pelo decreto n. 43.699 (MINAS GERAIS, 2003a), a utilização do
SIAD passou a ser obrigatória para todos os órgãos e entidades da administração
18
pública direta e indireta do Poder Executivo estadual para a aquisição e contratação
de bens e serviços. Toda a informação processada pelo SIAD está sob a
responsabilidade da Coordenação Geral do SIAD, que deve garantir a proteção das
informações contra ameaças de sua integridade, confidencialidade e disponibilidade.
Preocupada com as questões de segurança da informação, a Coordenação
do SIAD contratou uma consultoria externa para identificar possíveis falhas nos
sistemas de informação. Essa auditoria atuou em todos os processos de compras do
Estado de Minas Gerais, englobando os ambientes administrativos, operacionais e
tecnológicos, inclusive todos os módulos do SIAD, nos ambientes computacionais do
SIAD, nos inter–relacionamentos do processo de compras com outros processos de
outros sistemas e no conjunto dos usuários dos sistemas de informação, parceiros e
fornecedores do estado.
A pesquisa foi aplicada junto aos funcionários da SEPLAG, caracterizados
neste estudo como usuários do Sistema Integrado de Administração de Materiais e
Serviços do Estado.
De acordo com a SEPLAG (2006a), usuário é definido como:
... todo aquele que exerça, ainda que transitoriamente e sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função pública em Órgão ou Entidade da Administração Pública Direta e Indireta do Estado de Minas Gerais. (SEPLAG, 2006a, p. 1).
Neste estudo, adotar-se-á a definição de Marciano (2006) sobre usuário dos
sistemas de informação: “o usuário de um sistema de informação é o indivíduo
diante do qual se concretiza o fenômeno do conhecimento provido por aquele
sistema” (MARCIANO, 2006, p. 41). Ocorre, segundo o autor, um processo de
interação, em que o usuário influencia o sistema ao mesmo tempo em que é
influenciado por ele.
O estudo pretendeu verificar se as práticas de segurança da informação dos
usuários do Sistema Integrado de Administração de Materiais e Serviços do Estado,
estão em conformidade com as regras e recomendações estabelecidas nas normas
da política de segurança da informação da entidade, publicadas no sítio
www.egov.mg.gov.br4 as quais, apesar de ter abrangência somente sobre os
4 Esse sítio foi criado pela SEPLAG como “O portal da gestão eletrônica em Minas” dentro do contexto da Governança Eletrônica.
19
funcionários da SEPLAG, constituem referência para outros órgãos da
administração pública estadual de Minas Gerais elaborarem suas políticas de
segurança da informação. Essas regras foram produzidas seguindo as diretrizes da
ABNT (2005), reconhecidamente, uma referência para as melhores práticas na
gestão da segurança da informação. Contudo, a preocupação deste estudo refere-se
à participação do usuário dos sistemas de informação na adoção das regras
relacionadas nessas normas.
1.3 Justificativa
Muitas organizações dão grande ênfase ao aspecto tecnológico de proteção
da informação, traduzida na implantação de mecanismos baseados em hardware e
software sofisticados. Apesar de ser justificada essa preocupação, não se deve
esquecer os aspectos relacionados às pessoas, à cultura organizacional, ao
gerenciamento, melhoria dos processos, ao ambiente físico e ao gerenciamento
patrimonial, fundamentais para prover a segurança da informação. Neste estudo, ao
abordar as práticas das pessoas em relação à política de segurança da informação,
abre-se uma perspectiva diferente para tratar este assunto.
As pessoas são objeto de preocupação da maioria das organizações. A 10ª
Pesquisa Nacional de Segurança da Informação, publicada pela Modulo Security
Solutions5 (2007), com uma amostra de aproximadamente 600 questionários
aplicados em profissionais de tecnologia da informação e segurança da informação
de grandes organizações públicas e privadas do Brasil, indicou que a maioria dos
problemas de segurança da informação nas organizações é causada por
funcionários (24%) e hackers6 (20%), portanto pessoas, externas ou internas às
organizações. Nesse estudo, foi destacado que as organizações do governo são as
que menos quantificam as perdas causadas por problemas de segurança: 56% não
sabem quantificar o prejuízo causado por ataques e invasões, talvez porque essa
não seja uma habilidade típica dos gestores públicos. Como as organizações
públicas foram avaliadas em um contexto global de organizações brasileiras, esse
5 Modulo Security Solution é uma empresa brasileira especializada em tecnologia para gestão de riscos, fundada em 1985. 6 Na língua comum, o termo hacker designa programadores maliciosos e ciberpiratas que agem com o intuito de violar, ilegal ou imoralmente, sistemas cibernéticos.
20
estudo deveria dedicar um “olhar” mais objetivo em relação à avaliação do prejuízo
causado à imagem da instituição ou, mesmo, aos usuários de seus serviços, os
cidadãos. Esse estudo também apontou que nas organizações públicas, a principal
motivação para adequações à segurança da informação é a força da legislação.
Esses dados dão uma dimensão maior à questão da segurança da
informação no âmbito governamental em um momento em que os projetos de
governo eletrônico representam uma oportunidade para transformar as gestões
públicas, tornando-as mais eficientes, transparentes e eficazes. Esse ambiente
virtual, sustentado pelas tecnologias de informação e comunicação (TICs), deve ser
capaz de garantir que a informação do relacionamento do governo com a sociedade
seja confiável.
Nesse contexto de relacionamento virtual do governo com a sociedade,
incluindo aí seus próprios funcionários, diante da necessidade de prestar serviços
confiáveis, entendidos aqui como serviços seguros no que se refere aos atributos da
informação, as pessoas são elementos fundamentais. É por meio dos processos
organizacionais adaptados a essa nova realidade e através dos funcionários
públicos que esses serviços são prestados. Nessa interação com os sistemas de
informação, o usuário não é um indivíduo isolado; ele está em um contexto
organizacional em que influencia e é influenciado por esse contexto.
Este estudo pretende contribuir para que as organizações públicas
mantenham o foco nas pessoas no momento em que estiverem implantando as suas
políticas de segurança da informação, de forma a possibilitar a priorização de seus
esforços e de seus orçamentos durante a implementação dos controles adequados,
para proteger as informações.
Do ponto de vista teórico, segundo Marchiori (2002), a literatura existente,
relaciona a gestão da informação com a Administração de Empresas, a Ciência da
Informação e a Ciência da Computação. Em relação à Administração de Empresas,
a gestão da informação é vista com o objetivo de incrementar a competitividade
empresarial e os processos de modernização organizacional, com foco na utilização
de sistemas de informação alinhados com os objetivos organizacionais. Sob o
enfoque da tecnologia, a gestão da informação está mais relacionada ao campo de
conhecimento da Ciência da Computação, com a utilização de hardware, software e
de redes de telecomunicações adequadas aos diferentes sistemas de informação. A
Ciência da Informação, por ser multidisciplinar, ocupa-se da teoria e da prática na
21
gestão da informação, o que envolve todo o ciclo da informação nas organizações,
com a criação, identificação, coleta, validação, representação, recuperação e uso da
informação, tendo como referência a existência de um produtor e de um consumidor
da informação que busca um sentido e uma finalidade para a informação. Em todos
esses contextos, a segurança da informação apresenta-se como elemento
fundamental para garantir alguns dos atributos básicos da informação: sua
integridade, sua disponibilidade e sua confidencialidade (ABNT, 2001). Dessa forma,
a contribuição deste estudo na área acadêmica traduz-se na disponibilização de
novos conhecimentos, no que se refere às práticas em segurança da informação das
pessoas, representadas aqui como os usuários dos sistemas de informação,
preenchendo uma lacuna devido a pouca literatura disponível e ao reduzido número
de trabalhos publicados nesta área no Brasil.
A participação das pessoas é considerada um elemento básico, para o qual a
maioria das políticas de segurança da informação está direcionada. Porém as
pessoas são tratadas como receptores passivos de um processo de comunicação,
esquecendo-se de que elas interagem umas com as outras num contexto social,
contribuindo, ou não, para o sucesso das ações de segurança da informação.
A escolha dos usuários do Sistema Integrado de Administração de Materiais e
Serviços como objeto deste estudo deve-se ao fato de esse sistema ser considerado
sensível sob o ponto de vista de proteção da informação, na medida em que um dos
objetivos desse sistema é garantir que os processos de aquisições e contratações
do estado ocorram de forma transparente e permitam a igualdade dos participantes.
Outro aspecto que classifica esse sistema como sensível é o econômico, pois
envolve os processos relacionados aos pagamentos dos fornecedores de materiais e
serviços.
Finalmente, não poderia deixar de citar que o autor atua como profissional de
tecnologia da informação e que, trabalhando com projetos de segurança da
informação, percebe o quanto é difícil implementar controles de segurança da
informação. As pessoas partem do princípio de que o controle representa uma
restrição, e como tal é rejeitada inicialmente pela cultura brasileira. A realização
deste propiciou um grande crescimento pessoal e profissional ao autor,
considerando que houve uma fusão dos conhecimentos técnicos com a prática da
pesquisa e as teorias existentes.
22
1.4 Problematização
No ciclo de gerenciamento da informação apresentado por Davenport (1998),
a obtenção, o tratamento, a distribuição e o uso da informação são processos
fundamentais. Em todos os processos do gerenciamento da informação, os atributos
básicos da segurança da informação – confidencialidade, integridade e
disponibilidade, citados na ABNT (2001) – aparecem como requisitos.
A segurança da informação, segundo Marciano e Marques (2006), deve
atender aos requisitos voltados à garantia de sua origem, ao seu uso e
disseminação (trânsito) e à certificação de todas as etapas do seu ciclo de vida.
Pretende-se com isso permitir o seu acesso somente aos usuários autorizados,
garantir que ela é genuína e que não foi adulterada.
Beal (2005) relacionou os processos do ciclo da gestão da informação aos
atributos básicos da segurança da informação. Segundo a autora, no processo de
obtenção da informação uma preocupação típica é em relação à integridade –
garantir que a informação é genuína, não foi adulterada e provém de fonte confiável.
No processo de tratamento da informação, além das preocupações com a
integridade, principalmente se estiverem envolvidas técnicas de condensação e de
adaptação da informação, deve-se atentar para a preservação da confidencialidade,
uma vez que a existência de diversas cópias da informação aumenta a preocupação
com o controle de acesso aos usuários devidamente autorizados. Na distribuição da
informação, devem-se tratar separadamente os requisitos da comunicação para
públicos internos e externos, preservando os requisitos de integridade e
confidencialidade, quando se aplicar, e o de disponibilidade. No uso da informação,
os requisitos de integridade e disponibilidade recebem atenção especial, pois uma
informação indisponível ou deturpada pode prejudicar os processos de tomadas de
decisão ou os operacionais. No uso da informação, a preocupação com a
confidencialidade é também destacada, ao garantir que o acesso e o uso de dados e
informações somente serão permitidos às pessoas autorizadas.
No contexto do governo do estado de Minas Gerais, a primeira pesquisa
relacionada com segurança da informação foi feita por Lara (2004), realizada nas
secretarias de Estado. O autor constatou um quadro preocupante no que se refere à
23
segurança da informação: o ambiente pesquisado é complexo, caracterizado por um
grande contingente de funcionários e uma variedade de computadores, sendo que
as ações voltadas para a implementação de projetos de segurança da informação,
apesar do reconhecimento de sua necessidade pelos gestores, são pouco efetivas.
Alguns dados extraídos da pesquisa confirmam essa afirmação:
• Todos os entrevistados relataram que tiveram problemas com segurança
da informação recentemente (na época da pesquisa).
• Um terço das secretarias afirmou ter experimentado descontinuidade em
seus serviços, sendo que os principais responsáveis pelos incidentes de
segurança foram os próprios funcionários.
• Mais de 60% das secretarias não possuíam um Plano de Contingência
para funcionar em caso de desastres.
• O principal obstáculo para a implementação da segurança da informação
na instituição era a falta de recursos orçamentários.
• Somente 13% das secretarias possuíam uma Política de Segurança da
Informação formalizada e atualizada, sendo que 87% delas, além disso,
não realizaram treinamentos para seus funcionários sobre segurança da
informação.
A pesquisa referenciada foi realizada com 15 secretarias, uma boa amostra
considerando que no âmbito geral das instituições públicas (secretarias, fundações,
órgãos autônomos e autarquias) existe um total de 63 órgãos públicos7. Apesar de
ter sido realizada há quatro anos, o quadro atual não é muito diferente.
A SEPLAG conseguiu priorizar seus recursos orçamentários para a realização
de um plano corporativo de segurança da informação (SEPLAG, 2006a), com o
objetivo de capacitar seus técnicos e o de desenvolver mecanismos de proteção dos
principais ativos de informação do Estado, contemplando a elaboração de:
• Plano Diretor de Segurança da Informação;
• Análise de Risco;
• Política de Segurança da Informação; e
• Plano de Continuidade de Negócios,
7 Informação obtida por meio de pesquisa no site Portal Minas disponível em www.mg.gov.br. Acesso em 15/01/07
24
A SEPLAG iniciou seu projeto com a elaboração da Política de Segurança da
Informação (SEPLAG, 2006a), materializada em diretrizes, normas e procedimentos,
cujo objetivo é minimizar os riscos aos quais os sistemas de informação,
principalmente os computadorizados, estão expostos, como fraudes, roubos de
informação, tentativas de invasão e outras atividades hostis.
Segundo Marciano e Marques (2006), a norma criada pela ABNT (2005) é
utilizada como referência, sendo considerada como a mais adequada para a
elaboração das políticas de segurança da informação. Essas regras são definidas de
forma empírica, com ênfase nos aspectos técnicos, muitas vezes, deslocados dos
contextos humano, social e profissional da instituição.
A grande dificuldade para a implementação de normas e procedimentos de
qualquer natureza está na implementação dos controles que darão sustentação às
regras e na forma de conscientizar as pessoas envolvidas da necessidade de
adotarem e praticarem o que é recomendado.
Ao destacar os usuários dos sistemas de informação como pessoas que
interagem com os sistemas e como importantes atores nas organizações, Fontes
(2006) ressalta que a conscientização dos usuários vai além do simples
conhecimento; é preciso internalizar os conceitos de proteção da informação,
traduzidos em uma ação natural diante dos regulamentos. Quando conhece os
motivos da segurança da informação, o usuário segue os procedimentos e as ações
para efetivar essa proteção. Marinho (2001) cita que “quando as pessoas
compreendem e incorporam procedimentos de segurança ao seu dia-a-dia, significa
que elas aprenderam”. Na crença desses dois autores, no que se refere ao usuário,
é necessário “conhecer os motivos” e “compreender e incorporar” os procedimentos
de segurança da informação.
Considerando a importância da informação no contexto organizacional, a
necessidade de proteção dessa informação e o papel desempenhado pelas
pessoas, neste estudo focado nos usuários de sistemas de informação, na
compreensão dos conceitos de segurança da informação e na prática dos
mecanismos de proteção da informação, pergunta-se:
Os usuários dos sistemas de informação da SEPLAG praticam as regras
e recomendações estabelecidas pelas normas da política de segurança da
informação da instituição?
25
Um dos principais aspectos da segurança da informação, citado por Nery
(2002), é a avaliação de como ela é percebida pelas pessoas nas organizações. O
autor divide a avaliação em duas dimensões: a) como a segurança é vista pela
comunidade usuária (executivos, usuários finais, clientes e outros), que, na verdade,
representa o grau de segurança percebida, independentemente da segurança
existente, pois o ambiente é avaliado pela sensação de segurança transmitida ao
usuário; e b) como a segurança é medida, de forma técnica, pelos profissionais
especialistas no assunto, que podem avaliar o nível real de segurança em um
ambiente aferindo o quanto a segurança está adequada.
É importante destacar que este estudo não buscou estabelecer diferenças
entre a segurança da informação percebida pelos usuários e a segurança real
implementada, visto que esse tipo de avaliação está mais afeito a estudos de análise
de risco. Procurou-se somente verificar se a segurança da informação é praticada
pelas pessoas, representadas aqui pelos usuários do Sistema Integrado de
Administração de Materiais e Serviços do Estado (SIAD).
1.5 Hipótese
Apesar de estarem à frente das demais organizações públicas do estado, por
terem desenvolvido projetos de segurança da informação, a SEPLAG, a Secretaria
de Estado de Fazenda - SEF e a Secretaria de Estado de Saúde - SES, mais a
Prodemge encontram-se apenas em processo de implantação de seus projetos.
Mesmo diante da capilaridade da organização pesquisada, a SEPLAG, a pesquisa
terá foco nos usuários do SIAD lotados na capital, distribuídos nos dois prédios
ocupados pelo órgão (Rua Thomaz Gonzaga, 686 e Rua Bernardo Guimarães,
2731).
Dessa forma, considera-se a seguinte hipótese para a pesquisa:
Hipótese: Os usuários do Sistema Integrado de Administração de
Materiais e Serviços do estado, lotados na SEPLAG, praticam a maioria das
regras e recomendações estabelecidas pelas normas da política de segurança
da informação.
26
A afirmativa baseia-se no atual momento vivido pela SEPLAG no processo de
divulgação de sua política de segurança da informação. Por meio de palestras
utilizando recursos lúdicos e distribuição de brindes, como camisetas e porta crachá,
os técnicos responsáveis pela segurança da informação da instituição procuram
disseminar os conceitos e divulgar as regras sobre proteção da informação. No
aspecto físico, os funcionários podem perceber um maior rigor com a implantação do
sistema de controle de acesso na portaria central, com catracas e identificação de
todas as pessoas que circulam pelo local. Cartazes estão posicionados no prédio
lembrando as regras básicas de segurança da informação e a exigência do uso do
crachá de identificação está disseminada dentro da organização.
Os funcionários, ao perceberem esses aspectos visuais, podem associar
esses mecanismos à necessidade de proteção da informação. O que não se pode
afirmar é como são compreendidos esses controles pelos funcionários: podem ser
vistos como restrições e excessos, adotando uma atitude de resistência, ou podem
ser vistos como necessários à proteção do ambiente, passando a adotar uma atitude
colaborativa.
É importante destacar que as recomendações estabelecidas pela política de
segurança da informação da SEPLAG estão em conformidade com os padrões
estabelecidos pelas melhores práticas de segurança da informação preconizadas
pela ABNT (2005).
Buscou-se confirmar a hipótese enunciada utilizando-se dos métodos
propostos por esta pesquisa e descritos no capítulo 3, mediante a avaliação das
práticas de segurança da informação dos usuários da SEPLAG e do Sistema
Integrado de Administração de Materiais e Serviços do estado.
27
1.6 Objetivos
1.6.1 Objetivo geral
No contexto organizacional, a importância da informação é amplamente
abordada nas áreas de conhecimento da Administração e da Ciência da Informação.
A proteção da informação e, conseqüentemente, a preservação dos atributos
básicos da segurança da informação são muitas vezes, tratadas no âmbito da área
de conhecimento da Ciência da Computação, com ênfase nos aspectos
tecnológicos. Porém, a segurança da informação tem de ser implementada no seu
contexto global.
De acordo com Sêmola (2003), é fundamental entender que os mecanismos
de proteção da informação devem considerar os aspectos físicos, humanos e
tecnológicos. Marciano e Marques (2006) destacam que a visão canhestra de
considerar somente os aspectos tecnológicos na proteção da informação pode levar
a um ciclo vicioso: “a aplicação da tecnologia aumenta o volume de ameaças –
introduzem-se mais vulnerabilidades – as quais se procura combater com maior
aporte tecnológico” (MARCIANO; MARQUES, 2006, p. 93). Dessa forma, é
fundamental dar maior ênfase aos aspectos humanos da segurança da informação,
considerando a segurança da informação como um fenômeno social que envolve as
pessoas no seu relacionamento com os sistemas de informação, entendendo os
direitos, as restrições e as responsabilidades inerentes a esse relacionamento.
As informações devem atender aos requisitos dos atributos fundamentais da
segurança da informação, que, de acordo com a ABNT (2001), são:
• Confidencialidade – garantia de que a informação é acessada somente
pelas pessoas autorizadas, visando à limitação de seu acesso e uso
apenas às pessoas para quem elas são destinadas;
• Integridade – garantia de que a informação foi mantida na mesma
condição em que foi gerada, visando protegê-la de alterações indevidas,
intencionais ou acidentais; e
28
• Disponibilidade – garantia de que a informação está disponível para
acesso das pessoas autorizadas, no momento em que os mesmos delas
necessitem.
Esses requisitos são expressos nas organizações por meio das políticas de
segurança da informação, materializadas por meio de diretrizes, normas e
procedimentos que visam implementar os controles para prover a proteção da
informação. Essas regras precisam ser divulgadas, utilizando-se os recursos da
comunicação, compreendidas e praticadas pelas pessoas da organização. Dessa
forma, o comprometimento das pessoas, representadas nesse estudo como os
usuários dos sistemas de informação, será fundamental para o sucesso da proteção
da informação da instituição.
Segundo Marconi e Lakatos (1983), toda pesquisa deve ter um objetivo
determinado para saber o que se vai procurar e o que se pretende alcançar. O
objetivo torna explícito o problema, aumentando os conhecimentos sobre
determinado assunto.
Neste cenário, o objetivo geral desta pesquisa é: verificar se as práticas de
segurança da informação dos usuários do Sistema Integrado de Administração
de Materiais e Serviços, no âmbito dos funcionários da SEPLAG, estão em
conformidade com a Política de Segurança da Informação da instituição.
1.6.2 Objetivos específicos
Marconi e Lakatos (1983), ensinam que os objetivos específicos têm uma
função intermediária e instrumental, permitindo tanto atingir o objetivo geral quanto
aplicá-lo em situações particulares.
Nesse sentido, foram delineados alguns objetivos específicos, necessários a
esta pesquisa, divididos para o estudo do problema contido no objetivo geral. Dessa
forma, pretende-se alcançar os seguintes objetivos específicos:
• Obter informações sobre a opinião que os usuários do Sistema
Integrado de Administração de Materiais e Serviços (SIAD) têm da
política de segurança da informação (PSI) da SEPLAG;
29
• Investigar o nível de conhecimento que os usuários do SIAD têm da
PSI;
• Identificar as práticas de segurança da informação dos usuários do
SIAD; e
• Identificar o grau de conformidade das práticas de segurança da
informação dos usuários do SIAD com as regras e recomendações
contidas na política de segurança da informação da instituição.
Ao investigar o nível de conhecimento e a opinião que os usuários do sistema
integrado de administração de materiais e serviços têm da política de segurança da
informação da SEPLAG, buscou-se obter informações que permitissem explicar as
práticas do usuário em relação às regras e recomendações de segurança da
informação. Muitas vezes é a falta de conhecimento que limita a adoção de práticas
esperadas pelos gestores da política de segurança da informação.
É mediante a verificação das práticas desses usuários em relação às regras e
recomendações contidas nas normas da política que se pode verificar a efetividade
de uma política de segurança da informação. As regras só têm utilidade quando são
compreendidas e praticadas pelas pessoas. Caso contrário, serão somente palavras
guardadas nos diversos meios disponíveis, que, cada vez mais eletrônicos, são
como um sítio que ninguém visita, um texto que ninguém lê, um objeto que ninguém
utiliza.
30
2 REVISÃO DA LITERATURA
A revisão teórica foi estruturada a partir dos elementos fundamentais para a
pesquisa, considerando a importância da informação no contexto organizacional e a
necessidade de gerenciar e proteger esse recurso tão importante para as
organizações. Fez-se uma conexão da gestão da informação com a segurança da
informação, com o objetivo de traçar um paralelo da importância deste tema no
contexto do gerenciamento da informação. Apresentaram-se as normas de proteção
da informação e as metodologias de governança de tecnologia de informação (TI).
Das normas apresentadas, deu-se destaque à elaboração das políticas de
segurança da informação e ao papel fundamental que as pessoas exercem nesse
contexto, objeto de estudo dessa pesquisa.
2.1 Conceito de informação
O termo informação tem sido definido de várias formas, geralmente
contextualizadas. É adotado nos diversos campos do conhecimento, sendo
associado com vocábulos correlatos, tais como dado, fato e conhecimento. Segundo
Ferreira (1999), o dicionário Aurélio, informação é o conjunto de dados acerca de
alguém ou de algo. Pode-se dizer que a informação é a interpretação desses dados.
De nada vale um conjunto de dados sem que se faça a interpretação deles para se
extrair um conhecimento útil.
McGee e Prusak (1994) definem informação como sendo dados coletados,
organizados e orientados, aos quais são atribuídos significados e contexto. Para
Davenport e Prusak (1998), informação é uma mensagem, diferentemente do dado,
tem significado e está organizada para alguma finalidade. Dados tornam-se
informação quando o seu criador lhes acrescenta significado ou agrega valor de
alguma maneira. Para o autor, a informação é expressa geralmente na forma de um
documento ou uma comunicação audível ou visível e tem por objetivo mudar o modo
como o destinatário vê algo e exercer algum impacto em seu julgamento e
comportamento. O autor explica que o significado original da palavra informar é “dar
31
forma a”, sendo que a informação visa a modelar a pessoa que a recebe no sentido
de fazer alguma diferença em sua perspectiva.
Para Choo (2003), a informação passa a ter utilidade quando o usuário
infunde-lhe significado, sendo que a mesma informação objetiva pode receber
diferentes significados subjetivos de diferentes indivíduos. De acordo com Davenport
(1998), é o uso da informação, e não sua simples existência, que permite a tomada
de decisões melhores sobre produtos e processos, o aprendizado com os clientes e
o monitoramento dos resultados dos nossos atos.
McGee e Prusak (1994) destacam que a informação é capaz de criar valor
significativo para as organizações, possibilitando a geração de novos produtos e
serviços e aperfeiçoando a qualidade do processo decisório em toda a organização.
Segundo esses autores, é preciso aperfeiçoar tanto a capacidade das pessoas para
fazer uso da informação quanto a capacidade da organização de fazer melhor uso
de indivíduos capazes de lidar com a informação.
É nesse contexto que a informação ganha relevância nas organizações e
precisa ser tratada como qualquer outro recurso estratégico. Deve ser gerenciada e
protegida em todas as suas fases do seu ciclo de vida nas organizações.
Segundo Moresi (2000), o relevante papel que a informação passou a ter na
sociedade e na economia globalizada coloca-a como o recurso chave de
competitividade, de diferencial de mercado e de lucratividade das organizações.
Além de constituir-se no recurso cuja gestão e aproveitamento estão diretamente
relacionados com o sucesso desejado pela organização, a informação é utilizada
também como fator estruturante e um instrumento de gestão.
Beal (2004) conceitua dado, informação e conhecimento por meio da
representação de “níveis hierárquicos” da informação. Em um primeiro nível,
aparecem os dados como sendo registros ou fatos em sua forma primária, em
“estado bruto”. No próximo nível, está a informação, que se trata de dados
organizados ou combinados de forma significativa, dotados de relevância e
propósito. No nível superior, está o conhecimento, que tem como origem a
informação, agregada a outros elementos, como: reflexão, síntese e contexto.
Para Moresi (2000), existem quatro classes diferentes de informação,
considerados como níveis hierárquicos da informação no processo decisório de uma
organização: a) dado – compreende a classe mais baixa de informação. Representa
fatos, textos, gráficos, imagens estáticas, sons, segmentos de vídeo, etc. b)
32
informação – é o produto da transformação dos dados que será exibido de forma
inteligível para as pessoas que irão utilizá-las. O processo de transformação envolve
procedimentos de formatação, tradução, fusão, impressão e outros. C)
conhecimento – pode ser definido como informações que foram analisadas e
avaliadas sobre a sua confiabilidade e relevância. É obtido pela interpretação e
integração de vários dados e informações. Não é estático, modificando-se de acordo
com a interação com o ambiente; e d) inteligência – é a transformação do
conhecimento por meio de síntese, realizada pela ação humana, com base na
habilidade, experiência e intuição.
A figura 1 sintetiza as considerações de Moresi (2000).
Figura 1 - Os níveis hierárquicos da informação
Fonte: Moresi (2000, p. 18)
Segundo Davenport e Prusak (1998), conhecimento não é dado nem
informação, embora esteja relacionado com ambos, e o sucesso ou o fracasso de
uma organização depende de saber distingui-lo e usá-lo de acordo com as
necessidades. Os autores definem conhecimento como uma mistura fluida de
experiências, valores, informação contextual e “insight” experimentado, capazes de
serem avaliados e incorporados, mediante novas experiências e informações.
33
Destacam que nas organizações o conhecimento existe em documentos, rotinas,
processos, práticas e normas organizacionais.
Nonaka e Takeuchi (1997) consideram a informação e o conhecimento
conceitos distintos. Para os autores, o conhecimento diz respeito a crença e valores,
e está relacionado a ação. O conhecimento e a informação são específicos ao
contexto e dizem respeito ao significado.
Davenport e Prusak (1998) explicam que o conhecimento desenvolve-se ao
longo dos anos por meio da experiência. Os autores definem experiência como
sendo aquilo que absorvemos ao longo da nossa vida, aquilo que fizemos e aquilo
que aconteceu conosco no passado. O conhecimento nascido da experiência pode
reconhecer padrões não familiares e relacionar aquilo que está acontecendo agora
com aquilo que já aconteceu. A experiência transforma as idéias sobre o que deve
acontecer em conhecimento daquilo que realmente acontece. Afirmam que o
conhecimento está próximo da ação e deve ser avaliado pelas decisões ou ações às
quais leva. Um bom conhecimento pode ser utilizado para tomar decisões acertadas
com relação a estratégia, concorrentes, clientes ou serviço.
A partir dessas definições, pode-se constatar que a inteligência é a síntese,
feita pelo homem, do conhecimento e que este deriva da informação, da mesma
forma que esta deriva dos dados. Essas definições são fundamentais para destacar
a importância da gestão da informação no ambiente organizacional.
2.2 Gestão da informação
As organizações atuais estão inseridas em um ambiente altamente
competitivo e sofrem influências advindas da globalização, das transformações
tecnológicas e dos processos de trabalho interno. No atual contexto econômico e
organizacional, já é do consenso geral que as informações compõem um dos
maiores e mais valiosos ativos que uma organização pode possuir. Gerir esse
recurso passa a ser essencial para responder de forma eficiente a essas mudanças,
buscando agilidade nas tomadas de decisão e vantagem competitiva que possa
sustentar a organização no mercado. A identificação do fluxo das informações na
organização é essencial para especificação dos processos e o seu gerenciamento.
34
2.2.1 O valor da informação
Vive-se hoje em uma sociedade que se baseia em informações e que exibe
uma crescente propensão para coletá-las e armazená-las. Seu uso efetivo permite
que uma organização aumente a eficiência de suas operações.
Considerado um assunto bastante polêmico, o valor da informação para as
organizações é de difícil mensuração. Existe o reconhecimento universal da
importância da informação, o que tem levado algumas organizações a
empreenderem excessos na busca e manutenção de informações. Segundo Moresi
(2000), os esforços de uma organização devem ser concentrados na busca e na
manutenção das informações críticas, mínimas e potenciais, respectivamente. Dessa
forma, a classificação das informações, de acordo com sua finalidade, é fator
fundamental para adequar os esforços e evitar desperdícios de recursos na busca e
na manutenção de informações sem interesse para a organização. A figura 2
sistematiza a classificação da informação segundo a sua finalidade.
Figura 2 - Classificação da informação segundo sua finalidade para uma organização Fonte: Moresi (2000, p. 15) adaptada de Amaral, 1994
Partindo do princípio de que a informação possui valor, é preciso definir os
parâmetros capazes de quantificá-los, o que não é uma tarefa simples. Uma das
maneiras, citada por Moresi (2000), é fazê-la por meio de juízo de valor, o que,
35
apesar de ser indefinido, considera que o valor varia de acordo com o tempo e a
perspectiva, podendo até assumir valor negativo quando acontece a sobrecarga de
informações, fato que dificulta o processo de uso da informação. Cronin, citado por
Moresi (2000), classifica o valor da informação nos seguintes tipos:
• valor de uso – baseia-se na utilização final que se fará com a
informação;
• valor de troca – é aquele que o usuário está preparado para pagar e
variará de acordo com as leis de oferta e demanda, podendo também
ser denominado de “valor de mercado”;
• valor de propriedade – reflete o custo substitutivo de um bem; e
• valor de restrição – surge no caso de informação secreta ou de
interesse comercial, quando o uso fica restrito apenas a algumas
pessoas.
Por ser um bem intangível, o seu valor está associado a um contexto. Moresi
(2000) aborda dois domínios aos quais a informação deve pertencer:
• atender às necessidades de uma pessoa ou de um grupo,
satisfazendo, na disponibilização das informações, os requisitos de: ser
enviada à pessoa ou grupo certo, na hora e local exato e na forma
correta; e
• atender às necessidades de tomada de decisão em uma organização.
Apesar de a informação adquirir valor de acordo com o seu papel na tomada
de decisão, o produto informacional como um todo também agrega valor a outras
atividades no processo de geração da informação.
A informação terá valor econômico para a organização se gerar lucro ou
alavancar uma vantagem competitiva. Cronin, citado por Moresi (2000), afirma que a
percepção de valor pode ser influenciada pelos seguintes fatores:
• identificação de custos;
• entendimento da cadeia de uso;
• incerteza associada ao retorno dos investimentos em informação;
• dificuldade de se estabelecerem relações causais entre os insumos de
informação e produtos específicos;
36
• tradição de se tratar a informação como uma despesa geral;
• diferentes expectativas e percepções dos usuários; e
• fracasso em reconhecer o potencial comercial e o significado da
informação.
No domínio da tomada de decisão, é importante destacar que, de modo geral,
poucas decisões são tomadas com informações perfeitas. Ou faltam informações, ou
existe sobrecarga de informações desnecessárias. Concluindo, Moresi (2000) afirma
que: “o valor da informação é uma função do efeito que ela tem sobre o processo
decisório”. Terá valor se resultar numa decisão melhor; caso contrário, não tem valor
para a organização.
2.2.2 Gerindo a informação
Considerando a grande relevância das informações no ambiente
organizacional, torna-se necessário que as empresas criem formas de organizá-las e
propagá-las. Esse processo também prevê funções de filtragem e síntese, o que irá
solucionar um dos principais problemas atuais de seus usuários, resultante da
quantidade de dados, superior à sua capacidade de absorção.
Segundo Choo (2003), a maneira como os indivíduos se comportam em
relação à informação – como eles a adquirem, filtram, analisam e comunicam – é tão
importante para a organização quanto a própria informação. Se a informação é
matéria-prima das decisões, o comportamento em relação à informação abrange as
atividades de criação (e destruição) de valores que atuam sobre a matéria-prima.
Davenport (1998) enfatiza que o ambiente da informação, em sua totalidade, deve
levar em conta os valores e as crenças empresariais sobre a informação (cultura), o
modo como as pessoas realmente usam a informação e o que fazem com ela
(comportamento e processos de trabalho), as armadilhas que podem interferir no
intercâmbio de informações (política) e quais sistemas de informação já estão
instalados apropriadamente.
O gerenciamento da informação, segundo Davenport & Prusak (1998), pode
ser definido como um conjunto estruturado de atividades que inclui o modo como as
37
organizações obtêm, distribuem e usam a informação e o conhecimento. Pode ser
utilizado tanto para distribuir o poder como para centralizá-lo.
O ponto de partida para a área de Gestão da Informação inicia-se com a
demanda de informação. O processo de atendimento a essa demanda envolve o
estudo da informação e suas características, fluxos e necessidades. Diversos
autores (McGEE e PRUSAK, 1994; DAVENPORT, 1998; CHOO, 2003) tratam das
etapas para o gerenciamento da informação, que podem ser sintetizadas como
demonstrado na figura 3 a seguir:
Figura 3 - Processo de gerenciamento da informação Fonte: adaptado de McGEE e PRUSAK, 1994; DAVENPORT, 1998; CHOO, 2003
• Etapa 1 – Determinação da necessidade de informação: envolve
compreender as fontes e os tipos de informações necessárias para um bom
desempenho do negócio, bem como suas características, fluxos e
necessidades.
• Etapa 2 – Obtenção: inclui as atividades relacionadas à coleta dos dados.
• Etapa 3 – Processamento: compreende as atividades de classificação, que
definem o melhor modo de acessar as informações necessárias; de
armazenamento, que selecionam o melhor lugar e os recursos para o
arquivamento das informações obtidas; e de formatação e estruturação das
informações.
• Etapa 4 – Distribuição e apresentação: envolve escolher dentre diferentes
metodologias qual pode ser mais adequada para se apresentar a informação,
38
disponibilizando-a aos usuários por meio de diferentes formas e fontes e
estilos.
• Etapa 5 – Utilização: envolve a incorporação da informação pelas pessoas da
empresa nas fases de elaboração, execução e avaliação da estratégia
empresarial, auxiliando, assim, o processo de gestão estratégica.
De acordo Silveira (2003), a gestão da informação pode ser definida como
sendo a aplicação de princípios administrativos à aquisição, organização, controle,
disseminação e uso da informação para a operacionalização efetiva das
organizações.
Davenport (1998) acrescenta que a ênfase primária não está na geração e na
distribuição de enormes quantidades de informação, mas no uso eficiente da
informação. Para tal, o autor destaca a importância do gerenciamento da
informação, que pode variar de organização para organização, em função de suas
características.
Mesmo considerando que a informação, tal como outros ativos, precisa ser
administrada e protegida, os conceitos relativos ao seu gerenciamento ainda não
estão completamente amadurecidos e devidamente estruturados nas organizações.
2.3 Gestão da segurança da informação
Em todas as etapas do gerenciamento da informação os atributos da
segurança da informação ganham relevância. As informações, para serem obtidas,
processadas, distribuídas e utilizadas, têm de estar disponíveis para as pessoas que
têm o direito de acessá-las, na sua forma íntegra e consistente no seu significado.
2.3.1 Proteção da informação
A ABNT (2005) considera a informação um ativo, e como qualquer outro ativo
importante para os negócios tem um valor para a organização e, conseqüentemente,
39
necessita ser adequadamente protegida. Essa norma destaca que não existem
sistemas de informação 100% seguros e que a segurança que pode ser alcançada
por meios técnicos é limitada e deve ser apoiada por uma gestão e por
procedimentos apropriados.
Dias (2000) afirma que a segurança da informação tem a ver com a proteção
dos sistemas, dos recursos e dos serviços da organização contra desastres, erros e
manipulações não autorizadas, de forma a reduzir a probabilidade de ocorrências de
incidentes de segurança.
Tradicionalmente, a segurança da informação tem consistido em assegurar
atributos como integridade, confiabilidade e disponibilidade, definidos pela ABNT
(2001) como:
• Confidencialidade – tem o objetivo de garantir que apenas pessoas
autorizadas tenham acesso à informação. Esta garantia deve ser obtida em
todos os níveis, desde a geração da informação, passando pelos meios de
transmissão, chegando a seu destino, e sendo devidamente armazenada ou,
se for necessário, destruída sem possibilidade de recuperação. Esse
processo tende a ser mais dispendioso quanto maior for a necessidade de
proteção da informação e, é claro, o valor da informação a ser protegida.
• Integridade – seu objetivo é garantir que a informação não seja alterada, a
não ser por acesso autorizado. Isso significa dizer que uma informação
íntegra não é necessariamente uma informação correta, mas sim que ela não
foi alterada em seu conteúdo. Esse processo equivale à proteção da
informação contra modificações não autorizadas ou acidentais.
• Disponibilidade – consiste em garantir que a informação sempre poderá ser
acessada quando for necessário. Este objetivo é conseguido por meio da
continuidade de serviço dos meios tecnológicos, envolvendo políticas de
backup, redundância e segurança de acesso. De nada adianta ter uma
informação confiável e íntegra se ela não está acessível quando solicitada.
Para proteger a informação, é necessário definir aquela que deve ser
protegida. Para isso, é preciso definir uma política de classificação da informação.
Marciano (2006) destaca que o grau de valor e de relevância atribuído à segurança
da informação deve estar diretamente relacionado com o grau dos mesmos
conceitos aplicados à informação.
40
2.3.2 Classificação da informação
Existem diversas formas de realizar a classificação da informação. Como o
objetivo deste referencial teórico é destacar a necessidade de proteger a informação
como ativo de uma organização, abordar-se-á a classificação sob o ponto de vista
da segurança da informação.
O objetivo da classificação da informação é garantir que os ativos de
informação recebam um nível adequado de proteção, pois a informação possui
vários níveis de sensibilidade e criticidade. A informação deve ser classificada para
indicar a importância, a prioridade e o nível de proteção. Pode ser que informações
mais sensíveis recebam um nível adicional de proteção ou um tratamento especial.
Um sistema de classificação da informação deve ser usado com o intuito de definir
níveis mais adequados de proteção.
Nem toda informação é crucial ou essencial a ponto de merecer cuidados
especiais. Por outro lado, determinada informação pode ser tão vital que o custo de
sua integridade, qualquer que seja, ainda será menor que o custo de não dispor dela
adequadamente. O governo brasileiro, pelo Decreto n. 4553, de 2002 (BRASIL,
2002), definiu que os dados sigilosos serão classificados como ultra-secretos,
secretos, confidenciais e reservados:
• Ultra-secretos – dados ou informações referentes à soberania e à
integridade territorial nacional, a planos e operações militares, às relações
internacionais do País, a projetos de pesquisa e desenvolvimento científico
e tecnológico de interesse da defesa nacional e a programas econômicos
cujo conhecimento não-autorizado possa acarretar dano
excepcionalmente grave à segurança da sociedade e do Estado;
• Secretos – dados ou informações referentes a sistemas, instalações,
programas, projetos, planos ou operações de interesse da defesa
nacional, a assuntos diplomáticos e de inteligência e a planos ou detalhes,
programas ou instalações estratégicos cujo conhecimento não autorizado
possa acarretar dano grave à segurança da sociedade e do Estado.
• Confidenciais – dados ou informações que, no interesse do Poder
Executivo e das partes, devam ser de conhecimento restrito e cuja
41
revelação não autorizada possa frustrar seus objetivos ou acarretar dano à
segurança da sociedade e do Estado.
• Reservados – dados ou informações cuja revelação não autorizada possa
comprometer planos, operações ou objetivos neles previstos ou referidos.
Gil (1994) classifica as informações, segundo seu grau de criticidade e teor,
da seguinte forma:
• Confidenciais – devem ser disseminadas somente para empregados
nomeados;
• Corporativas – devem ser disseminadas somente dentro da empresa;
• Públicas – devem ser disseminadas dentro e fora da empresa.
Abreu (2001) expõe a necessidade de classificar a informação nas
organizações segundo seu nível de prioridade, respeitando a necessidade de cada
organização, assim como a importância da classe de informação para a manutenção
das atividades da empresa:
• Pública – informação que pode vir a público sem maiores conseqüências
danosas ao funcionamento normal da empresa e cuja integridade não é
vital;
• Interna – o acesso a este tipo de informação deve ser evitado, embora as
conseqüências do uso não autorizado não sejam por demais sérias. Sua
integridade é importante, mesmo que não seja vital;
• Confidencial – informação restrita aos limites da empresa, cuja divulgação
ou perda pode levar a desequilíbrio operacional e, eventualmente, a
perdas financeiras ou de confiabilidade perante o cliente externo, além de
permitir vantagem expressiva ao concorrente;
• Secreta – informação crítica para as atividades da empresa, cuja
integridade deve ser preservada a qualquer custo e cujo acesso deve ser
restrito a um número bastante reduzido de pessoas. A manipulação desse
tipo de informação é vital para a companhia.
Entretanto, independentemente da relevância ou tipo da informação, a gestão
dos dados organizacionais é estratégica, pois possibilita o apoio para a tomada de
42
decisões em qualquer âmbito institucional. Algumas informações são centrais para
organização, e a divulgação parcial ou total destas pode alavancar um número de
repercussões cuja complexidade pode ser pouco ou nada administrável pela
organização com conseqüências possivelmente nefastas.
2.3.3 Ciclo de vida da informação
Sob o ponto de vista da proteção da informação, Sêmola (2003) aborda o seu
ciclo de vida, relacionando-a com os momentos que a colocam em risco. Tais
momentos são vivenciados justamente quando os ativos físicos, tecnológicos e
humanos fazem uso da informação, sustentando processos de negócios que, por
sua vez, mantêm a operação da empresa.
O autor sustenta que a informação durante o seu ciclo de vida – ou seja,
desde que é gerada até o seu descarte final – pode passar por quatro fases (Fig.4).
Figura 4 - Quatro momentos do ciclo de vida da informação, considerando os aspectos de segurança da informação Fonte: adaptado de Sêmola (2003, p. 11)
1. Manuseio – refere-se ao momento em que a informação é criada e
manipulada, seja ao se ler um documento, digitar uma mensagem ou habilitar
43
o seu terminal numa determinada rede. Como o próprio nome diz, o contato
físico ou virtual com as informações caracteriza esta fase.
2. Armazenamento – diz respeito ao momento em que a informação é guardada.
Após o manuseio, a informação será armazenada, seja em um banco de
dados ou transcrita para determinado arquivo físico.
3. Transporte – é caracterizado pela forma como a informação é enviada a
terceiros ou conduzida pelo seu detentor. Como exemplo, pode-se citar o uso
do correio eletrônico ou o seu transporte em mídia por intermédio do
mensageiro.
4. Descarte – trata da maneira como a mensagem é descartada, seja ao
depositar a mensagem de papel no lixo ou ao se eliminar um arquivo
eletrônico.
A cada uma das fases acima citadas, tratamento especial deverá ser
dispensado à informação no sentido de garantir os aspectos ligados à sua
segurança.
2.3.4 Gerindo a segurança da informação
De acordo com Sêmola (2003), se gerir a informação nos heterogêneos e
cada vez mais complexos ambientes corporativos já é um grande desafio, então, sob
a ótica da segurança, esse desafio tende a ser muito maior. De fato, é evidente que
quanto mais complexo é o ambiente organizacional, quanto mais recursos
computacionais são disponibilizados aos usuários e quanto mais informações são
produzidas e requeridas por este usuário, mais difícil se torna garantir a
confidencialidade e integridade das informações.
Dispor da informação correta e na hora adequada significa tomar uma decisão
de forma ágil e eficiente. Com a evolução dos dados e sistemas, a informação
ganhou mobilidade, inteligência e real capacidade de gestão. A informação é um
substrato da inteligência competitiva e deve ser administrada em seus particulares,
diferenciada e salvaguardada.
Segundo Martins, Alaíde (2004), a gestão da segurança da informação
considera as dimensões pessoas, tecnologias e processos como sendo os
44
elementos fundamentais para se trabalhar a proteção da informação. Muitas
organizações dão grande ênfase ao aspecto tecnológico, implementando
mecanismos baseados em hardware e software, esquecendo-se de que as pessoas
são consideradas o elo mais fraco na segurança da informação e de que os
processos são fundamentais para que as melhores práticas de segurança da
informação sejam implementadas. Essa gestão da segurança da informação requer
a participação de todos os funcionários da organização.
A figura 5 mostra os elementos básicos de uma verdadeira gestão de
segurança da informação, apresentando os relacionamentos e os níveis de uma
organização.
Figura 5 - Relacionamento processos, tecnologias e pessoas Fonte: Martins, Alaíde [2004, p. 4]
Segundo Martins, Alaíde (2004), a gestão de segurança da informação deve
considerar os três níveis envolvidos em uma organização: a) estratégico, que define
os objetivos e as diretrizes; b) tático, que estabelece as metas e define a forma de
alocação de recursos; e c) operacional, que está envolvido diretamente com as
atividades de proteção da informação. Todos esses elementos devem ser
trabalhados nas dimensões: pessoas, tecnologias e processos para que ocorra uma
segura gestão da informação. O que vem se observando nas organizações, de uma
45
maneira geral, são implementações de processos, ênfase nos aspectos tecnológicos
e uma crescente preocupação com a conscientização das pessoas em relação à
segurança da informação.
Apesar desse aumento de preocupação com a conscientização, de acordo
com a Modulo (2007), em sua 10ª Pesquisa Nacional de Segurança da Informação,
o principal obstáculo para a implementação da segurança continua sendo a falta de
conscientização dos executivos e usuários (55%), fato constatado nas edições
anteriores da pesquisa8.
Figura 6 - Obstáculo para a implementação da segurança Fonte: Modulo (2007,p. 7)
No contexto da gestão da segurança da informação, um dos primeiros passos
dados nas organizações consiste na elaboração de uma política de segurança da
informação. Com isso, entendem os gestores de segurança da informação que estão
definindo o comportamento adequado para as pessoas. O passo seguinte é a
conscientização das pessoas da importância de seguir essas regras.
É importante destacar que as pessoas são diferentes, exercem funções
diferentes nas organizações e percebem a segurança da informação de forma
diferente. O grande desafio de se implementar uma gestão da segurança da
informação continua sendo conseguir o comprometimento das pessoas da
organização.
8 Na 8ª Pesquisa Nacional de Segurança da Informação, de 2002, a falta de conscientização dos usuários e executivos era apontado por 62% das empresas pesquisadas. Em 2003, na 9ª Pesquisa, caiu para 37%.
46
2.4 Conexão da gestão da informação com a segurança da informação
As informações sempre estiveram presentes nos negócios, apoiando as
empresas no seu posicionamento e nas tomadas de decisões. Porém, devido às
várias transformações ocorridas na sociedade moderna, elas assumem uma grande
notoriedade e passam a ser tratadas de forma sistêmica e organizada, buscando
seu melhor aproveitamento. Nesse cenário, surgem as estratégias para a gestão da
informação, a fim de se construir ambientes informacionais que aumentem a
eficiência e a competitividade da empresa.
McGee e Prusak (1994) apresentam um modelo com as tarefas de
gerenciamento de informações (figura 7) e destacam que as diferentes tarefas do
modelo assumem níveis diferentes de importância e valor nas organizações.
Figura 7 - Tarefas do processo de gerenciamento de informações Fonte: McGee e Prusak (1994, p.108)
Beal (2005) apresenta um modelo do fluxo da informação nas organizações
(figura 8), no qual, como no modelo de McGee e Prusak (1994), a atividade de
identificação de necessidades e requisitos de informação age como elemento
acionador do processo. Esse acionamento pode gerar um ciclo contínuo de coleta,
tratamento, distribuição/armazenamento e uso da informação para suprir os
processos de decisão e/ou operacionais das organizações. No modelo, também são
representadas as distribuições da informação para o público interno e a destinada
47
aos públicos externos.
Figura 8 - Modelo de representação do fluxo da informação nas organizações Fonte: Beal (2005, p. 4)
Ao descrever o modelo, Beal (2005) faz um relacionamento da segurança da
informação e seus atributos de confidencialidade, integridade e disponibilidade com
cada etapa do ciclo de vida da informação apresentada no modelo de representação
do fluxo da informação.
A identificação das necessidades e dos requisitos dos grupos e indivíduos
que integram a organização e de seus públicos externos constitui uma etapa
fundamental para o desenvolvimento de serviços e produtos informacionais de forma
a propiciar a melhoria de produtos e processos (usuários internos) ou o
fortalecimento dos vínculos e dos relacionamentos com a organização (usuários
externos).
Definidas as necessidades de informação, a próxima etapa é a de obtenção
das informações para suprir as necessidades. Nesta etapa, são desenvolvidas as
atividades de criação e recepção ou captura de informação proveniente das fontes
externas ou internas, em qualquer mídia ou formato. Em relação à segurança da
informação, uma preocupação típica desta etapa diz respeito à integridade da
informação: é preciso garantir que a informação seja genuína, criada por alguém
autorizado a produzi-la (ou proveniente de uma fonte confiável), livre de adulteração
e apresentada com um nível de precisão compatível com os requisitos levantados na
48
etapa de identificação das necessidades.
Na etapa de tratamento, a informação, normalmente, passa por processos de
organização, formatação, estruturação, classificação, análise, síntese, apresentação
e reprodução, com o propósito de torná-la mais acessível, organizada e fácil de
localizar pelos usuários. Nesta etapa, Beal (2005) destaca também a preocupação
que deve ter com a integridade da informação, principalmente se estiverem
envolvidas técnicas de adequação do estilo e adaptação de linguagem,
contextualização e condensação da informação, entre outras. As questões
relacionadas à preservação da confidencialidade devem ser buscadas quando o
tratamento da informação estiver voltado para a reprodução para posterior
distribuição, uma vez que a existência de diversas cópias de uma mesma
informação amplia os problemas de restrição de acesso aos usuários devidamente
autorizados.
A etapa de distribuição da informação permite levar a informação necessária
a quem precisa dela. A rede de comunicação da organização é o principal canal de
distribuição. Quanto melhor é essa rede, mais eficiente é a distribuição interna da
informação. Sêmola (2003) destaca que compartilhar a informação passou a ser
considerada uma prática moderna de gestão e necessária às empresas que buscam
maior velocidade nas ações. Em vista disso, o bom funcionamento do canal de
distribuição de informações que alimente e integre ambientes e processos traz um
ganho de eficiência e agilidade para qualquer organização. Nesta etapa, os
requisitos de confidencialidade, integridade e disponibilidade devem ser analisados
separadamente para os processos de distribuição interna da informação e dos
voltados para a disseminação para públicos externos.
O uso da informação é considerado por diversos autores (DAVENPORT,
1998; McGEE e PRUSAK, 1994; BEAL, 2005) como a etapa mais importante de
todo o processo de gestão da informação, embora seja freqüentemente ignorado
nos processos de gestão das organizações. É o uso da informação que garante
melhores resultados numa organização, de acordo com suas finalidades básicas:
conhecimento dos ambientes interno e externo da organização e atuação nesses
ambientes. Nesta etapa, os objetivos de integridade e disponibilidade devem
receber atenção especial: uma informação que tem o seu sentido modificado,
inacessível ou indisponível pode prejudicar os processos decisórios e operacionais
da organização. A preocupação com o uso legítimo da informação leva as
49
organizações a considerar fundamental o requisito de confidencialidade, ao
restringir o acesso e o uso de dados e informações às pessoas devidamente
autorizadas.
O armazenamento é necessário para assegurar a conservação dos dados e
informações, permitindo seu uso e reuso na organização. Nesta etapa, os objetivos
de integridade e disponibilidade dos dados e informações armazenados adquirem
maior destaque. Também, os requisitos de confidencialidade são necessários para a
proteção de dados considerados sigilosos para a organização, considerando os
diversos mecanismos de proteção para impedir o acesso físico ou remoto por
pessoas não autorizadas.
No modelo de Beal (2005) apresentado, o descarte é considerado uma
importante etapa do fluxo da informação nas organizações. A autora considera que
excluir dos repositórios de informação corporativos os dados e as informações
inúteis melhora o processo de gestão da informação. O descarte de dados e
informações deve ser realizado considerando os aspectos de confidencialidade e
disponibilidade. No que se refere à confidencialidade, o descarte de documentos e
mídias que contenham dados de caráter sigiloso precisa ser realizado com a
observância de critérios rígidos de destruição segura. No que se refere à
disponibilidade, as preocupações incluem a legalidade da destruição de informações
(temporalidade de documentos) e a necessidade de preservar dados históricos
valiosos para o negócio.
Beal (2005) destaca também a importância da existência de uma política
declarada de informação nas organizações de forma a preservar os princípios éticos
de uso dos dados corporativos. Afirma que é extremamente útil comunicar aos
integrantes da organização as responsabilidades e o comportamento esperado em
relação à informação. Ao formalizar e divulgar suas regras e diretrizes para a
obtenção, o tratamento, a disseminação, o armazenamento, o uso e o descarte da
informação corporativa, a organização permite que seus integrantes e parceiros de
negócio passem a conhecer suas responsabilidades e os limites éticos a serem
seguidos, podendo prevenir os mais variados problemas relacionados à má
distribuição da informação e à manipulação irregular de ativos informacionais
valiosos para a organização.
Ao destacar o relevante papel que a informação passou a ter na sociedade e
50
na economia globalizada, Moresi (2000) coloca a informação como o recurso chave
de competitividade, de diferencial de mercado e de lucratividade das organizações.
Tendo assumido um papel tão valioso e estratégico, a informação conduz à
necessidade de ser gerenciada, protegida e resguardada. Nesse contexto, Dias
(2000) destaca a importância de se proteger esse ativo. Segundo ele, a segurança
da informação é a proteção de informações, sistemas, recursos e serviços contra
desastres, erros e manipulações não autorizadas, de forma a reduzir a probabilidade
de ocorrências de incidentes de segurança.
Dessa forma, entende-se que a segurança da informação dá sustentação
para que os processos de obtenção, processamento, distribuição e utilização da
informação contidos no âmbito da gestão da informação ocorram com a garantia de
que as informações estarão disponíveis para as pessoas que têm o direito de
acessá-las, íntegras e consistentes no seu significado.
2.5 Normas e metodologias de gestão de tecnologia da informação e de
segurança da informação
Segundo Ferreira (1999), norma é aquilo que se estabelece como base ou
medida para a realização de alguma coisa. Quando não há padrões, podem-se ter
diversos problemas, como: baixa qualidade do produto, incompatibilidade com outros
produtos existentes, produtos não confiáveis ou, até mesmo, perigosos, além de não
se poder compará-lo com outros produtos, devido à falta de um referencial comum.
As normas contribuem para fazer com que os processos de produção e fornecimento
de produtos e serviços sejam mais eficientes, seguros e limpos. Ela facilita os
negócios entre organizações, uma vez que estabelece padrões a serem seguidos
por todos, garantindo interoperabilidade entre serviços, processos e produtos.
2.5.1 As normas ISO/IEC de segurança da informação9
Na área de segurança da informação existem vários documentos e normas
que tratam, diretamente ou indiretamente, da segurança da informação. O objetivo 9 Histórico obtido por meio de pesquisa em Módulo (2007), site www.modulo.com.br, acesso em 08/01/07
51
maior é apresentar orientações e sugestões ao gestor quanto à aplicação da boa
prática em segurança da informação. A pesquisa proposta utilizará como referência
a política de segurança da informação da SEPLAG, elaborada seguindo as diretrizes
e recomendações de controle previstas na ABNT (2005), a norma ISO/IEC 17799.
Esses controles visam reduzir ou eliminar vulnerabilidades, inibir a ação de ameaças
e minimizar os impactos causados por incidentes.
A seguir, será feito um relato, seguindo observações de Gonçalves (2003), de
como surgiram as normas de segurança da informação e o que elas representam na
gestão dos sistemas de segurança da informação das organizações.
Segundo o autor, as normas de segurança da informação tiveram seu
nascedouro no campo da Ciência da Computação. Em 1967, preocupados com a
segurança em sistemas computacionais, editou-se nos Estados Unidos, o intitulado
"Security Control for Computer System: Report of Defense Science Boad Task Force
on computer Security", que representou o início do processo oficial de criação de um
conjunto de regras para segurança de computadores.
Em 1977, o Departamento de Defesa dos Estados Unidos formulou um plano
sistemático para tratar do problema clássico de segurança, o qual daria origem ao
"DoD Computer Security Initiative", que, por sua vez, desenvolveria um "centro" para
avaliar o quão seguro eram as soluções disponibilizadas. A construção do "Centro"
gerou a necessidade da criação de um conjunto de regras a serem utilizadas no
processo de avaliação. Este conjunto de regras, que ficaria conhecido informalmente
como "The Orange Book", devido à cor da capa deste manual de segurança,
representou o marco "zero", do qual nasceram vários padrões de segurança, cada
qual com a sua filosofia e métodos proprietários, contudo visando uma padronização
mundial.
A origem da norma ISO/IEC 17799:2005, a ABNT (2005) e da ISO/IEC
27001:2005, a ABNT (2006) dá-se no final da década de 1980. Em 1987, no Reino
Unido, o Department of Trade Centre (DTI) criou o Comercial Computer Security
Centre (CCSC), com o objetivo de auxiliar as companhias britânicas que
comercializavam produtos para segurança de tecnologia da informação, por meio da
criação de critérios para avaliação da segurança. Outro objetivo do CCSC era criar
código de segurança para os usuários das informações. Com base neste segundo
objetivo, em 1989, publicou-se a primeira versão do código de segurança,
denominado PD0003 - Código para Gerenciamento da Segurança da Informação.
52
Em 1995, esse código foi revisado e publicado como uma norma britânica, a
BS7799:1995 (Brithish Standart 7799). Em 1996, essa norma foi proposta ao
International Standartization Organization (ISO) para homologação, tendo sido
rejeitada. Uma segunda parte desse documento foi criada posteriormente e
publicada em novembro de 1997 para consulta pública e avaliação.
Em 1998, esse documento foi publicado como BS7799-2:1998. Nesse ano, a
lei britânica, denominada Ato de Proteção de Dados, recomendou a aplicação da
norma na Inglaterra, o que viria a ser efetivado em março de 2000.
Em maio de 2000 o Brithish Standards Institute (BSI) homologou a primeira
parte da BS7799. Em outubro do mesmo ano, na reunião do comitê da ISO, em
Tóquio, a norma foi votada e aprovada pela maioria dos representantes e
homologada, em dezembro do mesmo ano, como ISO/IEC 17799:2000, junção das
duas organizações International Standartization Organization (ISO) e International
Engineering Consortium (IEC).
O objetivo dessas normas é fornecer recomendações para a gestão da
segurança da informação para uso por aqueles que são responsáveis pela
introdução, implantação ou manutenção da segurança da informação em suas
organizações. Também se destina a prover uma base comum para o
desenvolvimento de normas de segurança organizacional e das práticas efetivas da
gestão da segurança da informação, bem como a confiança nos relacionamentos
entre as organizações.
Esta norma chegou em um momento em que as organizações de todo o
mundo, sensibilizadas pela importância de proteger a informação corporativa,
passaram a investir muito mais em segurança da informação. No Brasil, em
dezembro de 2000, a Associação Brasileira de Normas Técnicas (ABNT) também
resolveu acatar a norma ISO como padrão brasileiro, sendo publicada, em 2001,
como: NBR 17799 – Código de Prática para a Gestão da Segurança da Informação.
No segundo semestre de 2005, foi lançada a nova versão da norma: a norma ABNT
(2005), ISO / IEC 17799:2005, que cancela e substitui a edição anterior.
A segunda parte da norma britânica, publicada pelo BSI em 1998 e revisada
em 2002, é um padrão que aponta as especificações necessárias para um Sistema
de Gestão da Segurança da Informação (SGSI) ou, em inglês, Information Security
Management System (ISMS). O SGSI é um sistema de gestão análogo ao sistema
da qualidade, e como tal é passível de certificação. Esta certificação se dá a partir
53
das evidências (documentos e práticas) do conjunto de controles implantados e que
devem ser continuamente executados e devidamente registrados. No Brasil, a ABNT
publicou como ABNT (2006) a Norma Brasileira NBR ISO IEC 27001, no primeiro
trimestre de 2006. Esta norma é aplicável a qualquer organização e define um
modelo de gestão para estabelecer, implementar, operar, monitorar, revisar, manter
e melhorar um Sistema de Gestão de Segurança da Informação.
2.5.1.1 A norma brasileira ISO / IEC 17799:2005
A ABNT (2005), NBR ISO IEC 17799:2005 é um código de práticas de gestão
de segurança da informação. Sua importância pode ser dimensionada pelo número
crescente de pessoas e variedades de ameaças a que a informação é exposta na
rede de computadores. O objetivo explícito desta norma é estabelecer um referencial
para as organizações desenvolverem, implementarem e avaliarem a gestão da
segurança de informação.
Em sua documentação, a ABNT (2005) aborda 11 tópicos principais,
chamados de “seções”, 39 categorias e 133 controles, que são recomendações para
as melhores práticas em segurança da informação:
1. Política de segurança da informação – descreve a importância e relaciona
os principais assuntos que devem ser abordados numa política de segurança.
Visa definir a linha mestra da gestão de risco e segurança da informação,
definindo os padrões a serem seguidos e as ações a serem tomadas.
Descreve os vários processos envolvidos com o trabalho de segurança e a
responsabilidades sobre os mesmos.
2. Organizando a segurança da informação – divide-se nas seguintes
categorias: infra-estrutura de segurança da informação, que visa à criação de
uma estrutura de gerenciamento da segurança da informação; e partes
externas, em que são especificados os controles de acesso de terceiros ao
ambiente.
3. Gestão de ativos –. visa realizar a identificação e associação de um "valor",
ou nível de "importância", a um determinado ativo da organização. É
54
composto dos seguintes macro objetivos: responsabilidade pelos ativos; e
classificação da informação.
4. Segurança em recursos humanos – tem por objetivo prover os recursos
necessários para o gerenciamento dos fatores de segurança que envolvem as
atividades humanas na organização, desde o processo de contratação,
durante o vínculo com a organização, até o encerramento ou mudança de
relação de trabalho com a organização.
5. Segurança física e do ambiente – são definidos os objetivos em relação às
áreas seguras e equipamentos. Em relação ao primeiro objetivo, são definidos
os controles com a finalidade de inibir o acesso não autorizado às áreas onde
se encontram informações vitais para organização. Em relação ao controle de
equipamentos de segurança, o objetivo é prover mecanismos para evitar a
paralisação das atividades da organização ocasionada por danos em seus
equipamentos.
6. Gerenciamento das operações e comunicações – o objetivo é prover os
recursos necessários para facilitar o processo de gerenciamento dos
mecanismos de troca de informações dentro e fora da organização,
envolvendo: procedimentos e responsabilidades operacionais, gerenciamento
de serviços terceirizados, planejamento e aceitação dos sistemas, proteção
contra códigos maliciosos e códigos móveis, cópias de segurança,
gerenciamento da segurança em redes, manuseio de mídias, troca de
informações, serviços de comércio eletrônico e monitoramento;
7. Controle de acessos - trata diversos controles com o objetivo de inibir os
problemas de segurança gerados pelo acesso lógico, não autorizado, de
usuários às informações da organização, envolvendo: requisitos de negócio
para controle de acesso, gerenciamento de acesso do usuário,
responsabilidade dos usuários, controle de acesso à rede, controle de acesso
ao sistema operacional, controle de acesso às aplicações e computação
móvel e trabalho remoto.
8. Aquisição, desenvolvimento e manutenção de sistemas de informação –
o objetivo é fornecer os critérios necessários para o desenvolvimento de
aplicativos mais consistentes com a norma de segurança da organização.
Pode ser subdividido nos seguintes controles: requisitos de segurança de
sistemas de informação, processamento correto nas informações, controles,
55
segurança dos arquivos dos sistemas, segurança em processos de
desenvolvimento e de suporte e gestão de vulnerabilidades técnicas.
9. Gestão de incidentes de segurança da informação – incluída na versão
2005, destacam-se os objetivos de controlar a notificação de fragilidades e
eventos de segurança da informação e acompanhar a gestão de incidentes
de segurança da informação e melhorias.
10. Gestão da continuidade do negócio – o objetivo é criar mecanismos
necessários ao perfeito funcionamento do ambiente, mesmo quando parte
deste apresenta falhas. O plano de contingência deve abranger toda a
organização e levar em conta os riscos pelos quais o ambiente está exposto,
assim como o impacto que uma paralisação pode causar no mesmo.
11. Conformidade – são abordados os aspectos legais relacionados ao uso de
determinados softwares e quando e como devem ser realizadas as revisões
da política de segurança e como deve ocorrer o processo de auditoria. Os
seguintes objetivos são abordados: conformidade com requisitos legais,
conformidade com as normas e políticas de segurança da informação e
conformidade técnica, e considerações quanto à auditoria de sistemas de
informações.
A ABNT (2005), a norma ISO/IEC 17799, foi utilizada como referência para o
desenvolvimento da política de segurança da informação da SEPLAG (SEPLAG,
2006a), com maior ênfase nas práticas dos usuários dos sistemas de informação.
Essa política está publicada no site www.egov.mg.gov.br e pode servir como
referência para que outros órgãos da administração pública utilizem suas diretrizes e
normas, tendo em vista o caráter geral de suas regras. Com essa relevância para a
administração pública, é muito importante verificar como os usuários, principalmente
aqueles diretamente envolvidos com os sistemas de informação corporativos do
estado, praticam as regras estabelecidas nessas normas.
Em suas diretrizes, estabelecidas na Resolução SEPLAG n. 11 (SEPLAG
2006c), destacam-se a ênfase nos mecanismos de proteção da informação para
todas as informações geradas, adquiridas, armazenadas, processadas, transmitidas
e descartadas na instituição e a importância da conformidade desses mecanismos
em relação à legislação vigente e ao Código de Ética do Servidor Público (MINAS
GERAIS, 2004b) e à ABNT (2005). Também se enfatizam: as questões referentes à
56
classificação da informação, estabelecendo a necessidade e a responsabilidade
pela definição dos critérios; o controle de acesso às informações, destacando a
necessidade da adequação do controle em função da classificação da informação e
a importância de controlar e restringir o acesso às informações dos cidadãos que
estejam sob a custódia da SEPLAG, visando garantir o direito à inviolabilidade da
intimidade das pessoas e o sigilo de suas informações; a educação em segurança
da informação, orientando para a necessidade de instrução do usuário para a
correta utilização das informações e dos recursos computacionais disponibilizados
pela SEPLAG; a responsabilidade pela segurança da informação, informando
que o usuário é responsável pela informação que tem acesso e a necessidade de
notificar à área responsável pela segurança da informação as violações às regras ou
falhas de segurança da informação; e as diretrizes que determinam que a instituição
é responsável por manter um plano de continuidade de negócios para reduzir os
impactos causados por uma interrupção de serviços.
O foco dado às normas da SEPLAG (2006a) foi nas práticas dos usuários. As
normas publicadas são referentes à utilização de estações de trabalho, à
utilização da internet e à utilização de senhas. Para compor essas normas, foram
extraídas recomendações de segurança da informação das seções: Gestão de
ativos (responsabilidade pelos ativos), Segurança em recursos humanos (termos de
responsabilidade), Segurança física e do ambiente (segurança de equipamentos),
Gerenciamento das operações e comunicações (backup, manuseio de mídias e
troca de informações), Controle de acessos (controle de acesso ao sistema,
gerenciamento de acesso do usuário e uso de senhas) e Conformidade com
requisitos legais.
Na norma de utilização de estação de trabalho, as recomendações de
segurança da informação destacam a finalidade do equipamento e sua correta
utilização, as responsabilidades dos usuários, a realização de cópias de segurança
de arquivos, a proteção contra acessos indevidos e contra códigos maliciosos, o
controle sobre o compartilhamento de arquivos e o manuseio de mídias particulares.
Na norma utilização da Internet, são estabelecidos o caráter profissional da
utilização do serviço de Internet provido pela SEPLAG e a responsabilidade do
usuário em conduzir adequadamente o uso da Internet, respeitando os aspectos
legais que regem os direitos autorais, licenciamento de software e a privacidade.
Também é destacada a necessidade de proteção da informação sigilosa que trafega
57
pela rede, por meio do uso de senhas nos arquivos e são feitas proibições de
acesso à conteúdos pornográficos ou ilícitos e restrições à utilização de
determinados software de comunicação.
A norma utilização de senhas é praticamente uma transcrição da seção
Controle de acesso, tópico Responsabilidades dos usuários, sub-tópico Uso de
senhas da ABNT (2005). Nesta norma, são feitas as recomendações clássicas para
o correto gerenciamento das senhas de acesso aos ambientes informacionais e as
proibições ao uso indevido dessas senhas.
A ABNT (2005), a norma ISO/IEC 17799 é extensa e mesmo assim não cobre
todos os mecanismos que devem ser implementados para a garantia da segurança
da informação, pois não existe a segurança completa. Alguns controles podem não
se aplicar e outros controles adicionais podem ser necessários em instituições
públicas como a SEPLAG.
2.5.1.2 Norma Brasileira NBR ISO IEC 27001
Esta norma promove a adoção de uma abordagem de processo para
estabelecer e implementar, operar, monitorar, analisar criticamente, manter e
melhorar o Sistema de Gerenciamento da Segurança da Informação (SGSI) de uma
organização. Para esta abordagem, a norma orienta à observação de um conjunto
de ações e tarefas. Estas ações devem ser planejadas visando à eficiência de sua
aplicação.
A abordagem de processo para a gestão da segurança da informação
apresentada nesta norma encoraja que seus usuários enfatizem a importância:
a) do entendimento dos requisitos de segurança da informação de uma
organização e da necessidade de estabelecer uma política e objetivos
para a segurança da informação;
b) da implantação e operação de controles para gerenciar os riscos de
segurança da informação de uma organização no contexto dos riscos
de negócio globais da organização;
c) da monitoração e analise crítica do desempenho e eficácia do SGSI; e
d) da melhoria contínua baseada em medições objetivas.
58
Esta norma é aplicável a qualquer organização, pública ou privada. Define um
modelo de gestão para estabelecer, implementar, operar, monitorar, revisar, manter
e melhorar um Sistema de Gestão de Segurança da Informação. Este modelo de
gestão implementa o ciclo com melhoria contínua conhecido como PDCA (Plan- Do-
Check-Act).
O modelo começa com a execução das atividades da fase Plan, depois segue
para a fase Do, Check e Act, sucessivamente. Ao término da fase Act, o ciclo
recomeça com as atividades da fase Plan. Toda vez que o ciclo se completa, o
sistema é melhorado, e esse processo segue continuamente. As atividades
principais de cada etapa deste ciclo são descritas a seguir e podem ser analisadas
na figura 9.
Figura 9 - Modelo PDCA aplicado aos processos do ISMS (Sistema de Gestão de Segurança da Informação) Fonte: ABNT (2006, p vi)
De acordo com Sêmola (2003), em um relacionamento do modelo acima com as
principais atividades de implantação de um Sistema de Gestão da Segurança da
Informação, pode-se descrever:
Planejar (Plan) – compreende as atividades que objetivam definir arquiteturas,
ações, atividades, alternativas de continuidade e critérios, abrangendo todo o ciclo
de vida da informação: manuseio, armazenamento, transporte e descarte,
59
aplicáveis desde os níveis mais estratégicos aos operacionais, que servirão de
orientador.
• Plano Diretor de Segurança da Informação
• Plano de Continuidade de Negócios
• Política de Segurança da Informação
• Arquitetura Tecnológica de Segurança da Informação
Fazer (Do) – compreende as atividades que aplicam mecanismos de
controle nos ativos físicos, tecnológicos e humanos que possuem
vulnerabil idades, buscando eliminá-las, quando possível e viável, ou administrá-
las, a fim de aumentar o nível de segurança do negócio. É a fase que materializa as
ações tidas como necessárias no diagnóstico e organizadas pelo planejamento.
• Implementação de controles de segurança
• Treinamento e sensibilização em segurança
Analisar (Check) – compreende as atividades que buscam analisar a segurança
por meio do mapeamento e da identificação de particularidades físicas, tecnológicas e
humanas da empresa como um todo ou de perímetros menores, vulnerabilidades,
ameaças, riscos e impactos potenciais que poderão se refletir no negócio.
• Análise de riscos
Agir (Act) – compreende as atividades que visam gerir o nível de segurança
por meio de dispositivos que monitoram índices e indicadores, canalizando novas
percepções de mudança física, tecnológica e humana que provocam oscilação do
grau de risco, a fim de adequar as ações de segurança ao contexto. É a fase que
representa o elo com as demais, formando um ciclo contínuo e dando vida ao
verdadeiro processo de gestão dinâmica.
• Equipe para resposta a incidentes
• Administração e Monitoração de Segurança
60
2.5.2 O modelo Control Objectives for Information and Related Technology
(COBIT)
O modelo COBIT de administração de TI foi desenvolvido pelo ISACF (The
Information System Audit and Control Foundation). Depois, passou a ser mantido
pelo ITGI (IT Governance Institute). A missão maior relacionada ao desenvolvimento
do modelo é pesquisar, desenvolver, publicar e promover um conjunto atualizado de
padrões internacionais e de melhores práticas referentes ao uso corporativo de TIC
para os gerentes e auditores de tecnologia COBIT (2005).
Martins, Alaíde (2004) enfatiza que o foco da metodologia COBIT não é
segurança da informação, e sim o planejamento das tecnologias da informação de
acordo com o objetivo da organização, porém possui alguns controles específicos
para segurança da informação. Dentre estes controles, tem-se a ferramenta modelo
de maturidade (Maturity Models), para a análise de maturidade de processos, que
pode ser utilizada no projeto de segurança da informação. Segundo Gherman
(2005), as atividades de TI são apresentadas pelo COBIT de forma lógica e
estruturada, relacionando riscos de negócios, necessidades de controles e questões
técnicas. O COBIT pode ser usado independentemente da plataforma tecnológica
adotada pela organização.
De acordo com Zorello (2005), o COBIT é orientado ao negócio. Fornece
informações detalhadas para gerenciar processos baseados em objetivos de
negócios. O COBIT é projetado para auxiliar três audiências distintas:
a) gerentes que necessitam avaliar o risco e controlar os investimentos de TI
em uma organização;
b) usuários que precisam ter garantias de que os serviços de TI que
dependem os seus produtos e serviços para os clientes internos e
externos estão sendo bem gerenciados;
c) auditores que podem se apoiar nas recomendações do COBIT para avaliar
o nível da gestão de TI e aconselhar o controle interno da organização.
O COBIT é estruturado com três modelos:
a) Modelo de Processos de TI (framework)
b) Modelo para Governança de TI
61
c) Modelo de Maturidade de TI
A utilização conjunta desses modelos, paralelamente à metodologia
incorporada no COBIT, permite a uma instituição exercer uma efetiva governança de
TI. Segundo o COBIT (2005), a governança de TI é definida como uma estrutura de
relacionamentos e processos para dirigir e controlar a empresa para atingir suas
metas, agregando valor enquanto considera riscos contra investimentos de TI e seus
processos. Os objetivos de controle de TI são definidos como parâmetros de um
resultado desejado a ser alcançado pela implementação de procedimentos de
controle em uma atividade de TI em particular. O controle é definido como políticas,
procedimentos, práticas e estruturas organizacionais, para garantir que os objetivos
do negócio serão atingidos e que eventos não desejáveis serão prevenidos ou
detectados e corrigidos.
O modelo de processo de TI é constituído de quatro processos básicos de
administração: planejamento e organização; aquisição e implementação; entrega e
suporte; e controle. A entrada deste ciclo é a informação sobre os objetivos e
estratégias do negócio e os recursos necessários para a realização destas
atividades, conforme mostra a figura 10:
Figura 10 - Modelo de processos de tecnologia da informação Fonte: COBIT (2005)
O Modelo de governança é constituído por componentes associados, que tornam
a TI um habilitador do negócio. Os componentes deste modelo são:
62
• Fatores críticos de sucesso (CSFs – Critical Success Factors) – o que há
de mais importante a ser feito para permitir que uma tarefa ou processo
sejam concluídos.
• Indicadores de meta (KGIs – Key Goal Indicators) – são os parâmetros
utilizados para reconhecer se o processo alcançou as metas definidas
(associadas aos objetivos).
• Indicadores de desempenho (KPIs – Key Performance Indicators) –
definem quão bem é o desempenho do processo em direção ao que foi
definido como objetivo.
Já o Modelo de maturidade, de acordo com Gherman (2005), consiste em
critérios de avaliação da maturidade dos processos que viabilizam a decisão de
investimento nos processos considerados mais importantes para a TI no âmbito da
instituição. Com este método é possível também a realização de benchmarking da
evolução de TI em relação a outras organizações do mesmo segmento ou de vários
segmentos. Este método segue o modelo SW-CMM (Capability Maturity Model for
Software), modelo de maturidade para o desenvolvimento de software, proposto pelo
Software Engineering Institute (SEI).
2.5.3 Outras normas
Como citado no histórico da origem das normas ISO/IEC, existem outros
padrões que auxiliam a elaboração das políticas de segurança da informação.
Marciano (2006) destaca o ITSEC, o Common Criteria e o SANS Institute.
O ITSEC – Information Technology for Security Evaluation Criteria foi um dos
primeiros padrões propostos para interoperabilidade de sistemas computacionais
com requisitos de segurança, utilizando criptografia de chaves simétricas.
O projeto Common Criteria (2007) – CC, padronizado com o código ISO/IEC
15408, tem por objetivo servir como referência para a avaliação de segurança de
produtos e sistemas de tecnologia da informação. O foco desse padrão está nos
desenvolvedores, avaliadores e usuários de sistemas e produtos de TI que requerem
segurança.
63
O SANS Institute é uma organização voltada para treinamentos em segurança
da informação. Seus guias para a elaboração de políticas de segurança da
informação são utilizados como roteiro pelas organizações.
2.6 Visão do governo em segurança da informação – legislação
O assunto “Segurança da informação” tornou-se prioridade em várias
organizações, dentre as quais se encontram órgãos públicos federais, estaduais e
municipais. Iniciativas no âmbito federal e do governo do Estado de Minas Gerais
serão destacadas neste estudo.
Marciano e Marques (2006, p. 96) chamam a atenção para a Constituição
brasileira, que estabelece:
A administração pública direta e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios obedecerá aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência [...] (BRASIL, 2007, art. 37)
Os autores destacam que esses princípios são normalmente aplicados nas
atividades de administração, como a gestão de pessoal, de aquisições e de
finanças. Porém devem ser aplicados também na segurança da informação, tendo
em vista que, cada vez mais, essas gestões estão apoiadas por sistemas de
informações e que esses sistemas devem atender ao especificado na Carta Magna:
garantia de aderência aos princípios legais, de ampla utilização, atendendo aos
preceitos morais e éticos, e garantia do acesso amplo às informações do cidadão,
estabelecidos no artigo 5º.
No âmbito federal, o Novo Código Civil estendeu a responsabilidade de
prejuízo patrimonial do negócio aos administradores, que hoje podem ser
responsabilizados financeiramente por prejuízos decorrentes de problemas como
vazamento de informações, indisponibilidade de sistemas e fraudes. Isso muda a
relação de responsabilidade dos gestores públicos com a sociedade e destaca a
importância da gestão e proteção da informação. A Lei n. 9.983/2000 (BRASIL,
2000a) altera o Código Penal e qualifica os crimes eletrônicos contra a
64
Administração Pública e a Medida Provisória n. 2200 (em caráter definitivo)
(BRASIL, 2001c) e estabelece as condições para o reconhecimento da assinatura
digital em documentos oficiais. Apesar de aguardar legislação complementar, esta
Medida Provisória permite que documentos eletrônicos tenham validade jurídica.
Reconhecendo a importância de proteger o conhecimento científico e
tecnológico do País, foi criado pela Agência Brasileira de Inteligência (ABIN) o
Programa Nacional de Proteção do Conhecimento (PNPC). Além disso, podem-se
citar as seguintes iniciativas:
a) Decreto 3294/1999 – institui o Programa Sociedade da Informação
(BRASIL,1999);
b) Decreto 3505/2000 – institui a Política de Segurança e cria o Comitê
Gestor de Segurança da Informação (BRASIL, 2000a);
c) Decreto 3587/2000 – estabelece normas para a Infra-Estrutura de Chaves
Públicas do Poder Executivo Federal - ICP-Gov, e dá outras providências
(BRASIL, 2000b);
d) Decreto 3872/2000 – dispõe sobre o Comitê Gestor da Infra-Estrutura de
Chaves Públicas Brasileira - CG ICP-Brasil, sua Secretaria Executiva, sua
Comissão Técnica Executiva, e dá outras providências (BRASIL, 2001a);
e) Decreto 3996/2001 – dispõe sobre a prestação de serviços de certificação
digital no âmbito da Administração Pública Federal (BRASIL, 2001b);
f) Medida Provisória nº 2.200 - institui a Infra-Estrutura de Chaves Públicas
Brasileira (ICP-Brasil), transforma o Instituto Nacional de Tecnologia da
Informação em autarquia, e dá outras providências (BRASIL, 2001c);
g) Decreto 4553/2002 – dispõe sobre a salvaguarda de dados, informações,
documentos e materiais sigilosos de interesse da segurança da sociedade
e do Estado, no âmbito da Administração Pública Federal (BRASIL, 2002);
Em Minas Gerais, o governo segue o modelo federal. Preocupado com as
questões éticas e morais de conduta do servidor público, editou o Código de
Conduta Ética do Servidor Público e da Alta Administração Estadual (MINAS
GERAIS, 2004b), que, entre outras disposições trata do sigilo da informação. Foram
editados também os Decretos n. 43.888, que dispõe sobre a utilização de
certificação digital no âmbito da Administração Pública Estadual (MINAS GERAIS,
2004c) e o Decreto n. 43.666, que institui a Política de Governança Eletrônica e cria
65
o Comitê Executivo de Governança Eletrônica no âmbito da Administração Pública
Estadual (MINAS GERAIS, 2003). Algumas das resoluções desse Comitê, no que se
refere a padronizações e segurança da informação, são:
• Resolução SEPLAG n. 71 – dispõe sobre padronização e utilização dos
Serviços de Correio Eletrônico Oficial dos Órgãos e Entidades do Poder
Executivo da Administração Pública Estadual Direta, Autárquica e
Fundacional (SEPLAG, 2003a);
• Resolução SEPLAG n. 78 – criação do Grupo de Trabalho de Segurança
da Informação no âmbito do Comitê Executivo de Governança Eletrônica
(SEPLAG, 2004).
Esse grupo de trabalho contou com a participação de representantes das
principais Secretarias de Estado, da Auditoria Geral e da Advocacia Geral. A
Prodemge ficou responsável por elaborar um plano de ação para projetos de
segurança da informação no âmbito da Administração Pública Estadual. A partir
deste plano de ação, foram iniciados os projetos de segurança da informação na
Secretaria de Estado do Planejamento e Gestão, na Secretaria de Estado da
Fazenda e na Prodemge, com a contratação de uma empresa de consultoria
especializada em segurança da informação. Desses projetos resultaram, na
SEPLAG, as Resoluções:
• Resolução SEPLAG n. 002 – institui o Comitê Multidisciplinar de
Segurança da Informação da Secretaria de Estado de Planejamento e
Gestão (CMSI), e dá outras providências (SEPLAG, 2006b);
• Resolução SEPLAG n. 011 – institui a Política de Segurança da
Informação no âmbito da Secretaria de Estado de Planejamento e Gestão
do Estado de Minas Gerais (SEPLAG, 2006c).
2.7 Conceitos utilizados pelas normas de segurança da informação
É consenso das normas da área que os objetivos gerais da segurança da
informação visam preservar a confiabilidade, integridade e disponibilidade da
informação. Esse é um conceito da antiga ISO/IEC 17799:2000, ABNT (2001).
66
• Confidencialidade: garantia de que o acesso à informação seja obtido
somente por pessoas autorizadas;
• Integridade: salvaguarda da exatidão e completeza da informação e dos
métodos de processamento;
• Disponibilidade: garantia de que os usuários autorizados obtenham acesso
à informação e aos ativos correspondentes sempre que necessário.
Sêmola (2003) acrescenta a esses atributos básicos de segurança da
informação os conceitos de:
• Autenticidade: garantia de que uma informação, produto ou documento é
do autor a quem se atribui;
• Legalidade: garantia de que ações sejam realizadas em conformidade com
os preceitos legais vigentes e que seus produtos tenham validade jurídica.
A ABNT (2005), a norma NBR ISO/IEC 17799:2005 amplia o conceito acima,
enfatizando mais os resultados da implantação de um ambiente de segurança da
informação, quando define que
segurança da informação é a proteção da informação de vários tipos de
ameaças para garantir a continuidade do negócio, minimizar o risco do
negócio, maximizar o retorno sobre os investimentos e as oportunidades de
negócio. (ABNT, 2005, p. ix).
Toda e qualquer informação que seja um elemento essencial para os
negócios de uma organização deve ser preservada pelo período necessário, de
acordo com sua importância. A informação é um bem como qualquer outro, e por
isso deve ser tratada como um “ativo”.
Outros conceitos fundamentais no âmbito da segurança da informação:
• Ameaça (threat): causa potencial de um incidente indesejado que, caso se
concretize, pode resultar em dano.
• Aplicação: o mesmo que aplicativo ou sistema.
• Ataque (Attack): ato ou tentativa de ludibriar os controles de segurança de
um sistema. Um ataque pode ser ativo, tendo por resultado a alteração de
dados; ou passivo, tendo por resultado a liberação de dados.
67
• Ativo (asset): qualquer coisa que tenha valor para um indivíduo ou uma
organização: hardware de computadores, equipamentos de rede,
edificações, software, habilidade de produzir um produto ou fornecer um
serviço, pessoas, imagem da organização, etc.
• Ativo de informação: todo elemento que compõe os processos que
manipulam e processam a informação, a contar da própria informação, o
meio em que ela é armazenada, os equipamentos em que ela é
manuseada, transportada e descartada.
• Auditoria: revisão e exame de registros e das atividades do sistema, para
confirmar sua consistência e veracidade.
• Conformidade: qualidade do que é conforme ao estabelecido por
diretrizes, normas e regras ou pela legislação vigente;
• Controle de acesso: conjunto completo de procedimentos executados por
hardware, software ou administradores para monitorar o acesso, identificar
usuários solicitando acesso, registrar tentativas de acesso e conceder ou
impedir acesso com base em regras préestabelecidas.
• Criptografia: processo de alterar as informações de arquivos ou
programas, por meio de códigos, chaves específicas, tabela de conversão
ou algoritmo.
• Custo: neste trabalho representa a estimativa de valor de gasto para a
implementação do controle, considerando os recursos humanos, de
material e financeiros.
• Firewall: sistema composto de software e hardware que protege a fronteira
entre duas redes.
• Fraude: qualquer exploração de sistema de informações tentando enganar
uma organização ou pessoas, para tomar ou fazer mau uso dos seus
recursos.
• Incidente de segurança (security incident): qualquer evento em curso ou
ocorrido que contrarie a política de segurança, comprometa a operação do
negócio ou cause dano aos ativos da organização.
• Impacto: neste trabalho está diretamente relacionado com a mudança
positiva na organização. Tem o sentido de vantagens e benefícios para a
68
organização na implementação de um controle de segurança da
informação.
• Proteção: qualquer medida projetada para defender informações de
ataque.
• Risco (risk): combinação de probabilidade da concretização de uma
ameaça e suas conseqüências do impacto causado por este evento.
• Usuário (na área pública): todos aqueles que exerçam, ainda que
transitoriamente e sem remuneração, por eleição, nomeação, designação,
contratação ou qualquer outra forma de investidura ou vínculo, mandato,
cargo, emprego ou função pública em órgão ou entidade da Administração
Pública Estadual direta e indireta.
• Vulnerabilidade (vulnerability): fragilidade ou limitação de um ativo que
pode ser explorada por uma ou mais ameaças.
2.8 Política de segurança da informação
Um processo de planejamento de gestão e monitoramento de segurança da
informação pode variar muito em uma organização. Devido aos diferentes estilos,
tamanho e estrutura das organizações, o processo deve se adequar ao ambiente em
que será usado. Na SEPLAG, deu-se ênfase aos aspectos relacionados às práticas
dos usuários dos recursos informacionais da instituição.
Segundo Ramos et al. (2006), uma Política de Segurança da Informação
(PSI) de uma organização é um conjunto de documentos que descreve quais são os
objetivos que todas as atividades ligadas à segurança da informação devem atingir.
Resume os princípios de segurança da informação da organização alinhados com o
objetivo de negócios e devem estar presentes no dia-a-dia de suas atividades.
Segundo os autores as políticas são importantes, porque é por meio delas
que a estratégia de segurança da informação é montada e passada para todas as
áreas da organização e demonstram também o comprometimento da alta Direção da
organização com a segurança. O desenvolvimento de políticas é fundamental em um
plano de segurança da informação, pois serve como orientação e dá sustentação
69
legal para as ações do plano. Este fator é importante, pois a inexistência de políticas
de segurança da informação pode ser considerada negligência administrativa, caso
a organização seja acionada juridicamente por problemas de segurança da
informação que tenham causado danos a terceiros.
Escrever uma política de segurança da informação envolve comprometimento
de diversas áreas de interesse e deve ser adotada por todos na organização, desde
a Direção até cada um dos funcionários, clientes e fornecedores com acesso ao
sistema de informação ou que possam de alguma forma comprometer o ativo de
informação que está sendo protegido.
Segundo a norma ABNT (2005), uma política de segurança da informação
visa: “Prover uma orientação e apoio da direção para a segurança da informação de
acordo com os requisitos do negócio e com as leis e regulamentações relevantes.”
(ABNT, 2005, p. 8). Ou seja, ela propõe uma política que sistematize um processo a
fim de minimizar as preocupações da direção com a segurança de seus ativos.
Segundo Martins, José (2003), o maior desafio não é elaborar uma política de
segurança da informação, mas sim garantir que, uma vez elaborada, essa política
seja seguida pelos funcionários e que seja atualizada periodicamente para se
adaptar às mudanças no ambiente em que as organizações atuam.
Beal (2005) destaca que uma política de segurança da informação só terá
significado prático para uma organização se for divulgada de forma adequada em
todos os níveis hierárquicos. Uma vez que todos os envolvidos tenham tomado
conhecimento das diretrizes e normas da PSI, deixa de ser admissível a alegação de
desconhecimento das regras existentes como justificativa para sua violação.
Marciano (2006) aponta para a necessidade de a política de segurança da
informação considerar como centro de abordagem o usuário dos ambientes
informacionais, pois o que se observa nas políticas das organizações é a
predominância dos aspectos tecnológicos. Algumas citam a importância da
observação do usuário, mas poucas tratam com profundidade a sua
problematização, com a abordagem de modelos que tratem das interações entre os
usuários e seu relacionamento com os sistemas. Nesse ponto, o autor destaca que,
como a segurança da informação é um conceito eminentemente social, pois envolve
pessoas e suas interações com outras pessoas e sistemas de informação, não se
conhecem soluções meramente tecnológicas para os problemas sociais.
70
Para a elaboração de uma política de segurança da informação, Ramos et al.
(2006) e Martins, José (2003) destacam diversos itens importantes que devem ser
considerados e que serão apresentados a seguir:
• Identificar os objetivos estratégicos de segurança da informação – esses
objetivos devem estar alinhados com os negócios da organização. O
alinhamento estratégico contribui para que a segurança seja
implementada de forma eficaz, consumindo recursos que sejam
canalizados diretamente para resultados tangíveis esperados pela alta
direção;
• Identificar pontos prioritários de atenção de acordo com sua importância e
relevância – esses pontos prioritários também são afetados pela ausência
de controles e identificação de vulnerabilidades. Uma forma de identificar
essas informações é por meio da análise de risco dos ativos de
informação. A análise de risco é, muitas vezes, difícil de ser realizada, por
isso é uma boa estratégia diminuir o escopo, focando ambientes menores
e de maior importância para a organização;
• Relacionar os ativos de informação mais relevantes para serem protegidos
e identificar do quê e de quem proteger esses ativos – podem ser
identificados riscos de ordem natural, como enchentes, ou, mesmo, de
disponibilidade do ativo. Uma grande tendência hoje é a proteção dos
ativos contra fraudes e espionagem profissional;
• Definir os principais pontos a serem contemplados na política de
segurança da informação – a visão de proteção das informações não deve
se limitar aos ativos de tecnologia da informação. A internet promoveu
mudanças socioeconômicas consideráveis no ambiente, o que tem levado
as organizações a se preocuparem com as fraudes e com a proteção do
conhecimento organizacional;
• Definir claramente as responsabilidades das pessoas envolvidas –
algumas pessoas da organização possuem responsabilidades legais que
independem do desenvolvimento das políticas. Os administradores
públicos se enquadram nesta categoria, por isso devem-se ressaltar nas
políticas essas responsabilidades legais, destacando a necessidade de
proteção de dados sigilosos. Outras atribuições não são explicitadas na
71
lei, e nesse caso a política de segurança da informação tem um papel
fundamental ao definir e explicar para os diversos envolvidos quais são
suas responsabilidades.
No processo de elaboração da política de segurança da informação, devem-
se considerar diversos aspectos, como os de Ramos et al. (2006) e Martins, José
(2003), destacados a seguir:
• Identificar os requisitos de segurança da informação – basicamente,
existem três fontes principais de requisitos de segurança da informação
(figura 11):
a) obtida por meio da análise/avaliação de riscos para a
organização;
b) obtida a partir da legislação vigente a que a organização, seus
parceiros comerciais e provedores de serviço devem atender;
c) obtida a partir dos princípios, objetivos e requisitos do negócio.
Figura 11 - Esquema dos requisitos da Política de Segurança da Informação Fonte: Ramos (2006, p.95)
• Análise do ambiente de segurança – é o levantamento periódico dos riscos
de segurança da informação, identificando as ameaças e vulnerabilidades.
72
• Seleção de controles – com os riscos identificados e com as medidas de
tratamento desses riscos já providenciadas, é necessário implementar
controles que assegurarão a redução dos riscos em níveis aceitáveis.
Os autores destacam também a necessidade da preocupação com a
qualidade da equipe de profissionais que estará envolvida com o desenvolvimento
dos documentos, o que será essencial para o sucesso da implementação da política.
As organizações mudam, e junto com essas mudanças os requisitos do
negócio podem alterar. As políticas devem acompanhar essas mudanças sendo
atualizadas periodicamente. Portanto, não devem ser vistas como um conjunto
estático de documentos. Martins, José (2003) destaca que o processo de
manutenção das políticas deve considerar normas de aceite da política por parte dos
usuários, testes da política, por meio da verificação da conformidade das práticas de
segurança da informação recomendadas, e revisão das normas e procedimentos em
função das mudanças no ambiente da organização. Segundo Beal (2005), a garantia
de conformidade com a PSI depende de uma avaliação periódica do comportamento
dos envolvidos na implementação dos controles, de modo que eventuais desvios
possam ser identificados e corrigidos (etapas “check” e “act” do PDCA da gestão da
segurança da informação).
Um ponto importante destacado por Ramos et al. (2006) e Martins, José
(2003) diz respeito à participação, palavra chave para obter a colaboração das
pessoas com as medidas adotadas. Medidas de segurança, em geral, são restritivas
e normalmente não são entendidas pelas pessoas como importantes para a
proteção da informação e da organização, principalmente porque, quando
implantadas, retiram as pessoas de sua zona de conforto, pois modificam as rotinas
e hábitos adquiridos.
2.9 A percepção da segurança da informação
Um dos importantes aspectos da análise da segurança da informação é a
avaliação de como ela é percebida pelas pessoas nas organizações. Existe um
distanciamento entre as expectativas que norteiam as políticas de segurança da
73
informação e a real preparação dos usuários sobre o comportamento voltado à
segurança. Muitas vezes, as práticas usuais são contrárias às regras estabelecidas
pelas normas das políticas de segurança da informação. Um exemplo típico refere-
se à recomendação para a troca periódica das senhas de acesso aos sistemas de
informações. É comum, caso o sistema não exija, o usuário permanecer com a
mesma senha durante todo o período de relacionamento com o sistema, podendo
durar anos e, muitas vezes, até décadas. Outra prática comum entre os usuários é a
não realização periódica de cópias de segurança (backup) dos dados institucionais
de posse do usuário, apesar de essa recomendação estar explicitada na maioria das
políticas de segurança da informação.
Nery (2002) analisa a questão da percepção da segurança da informação
dividindo-a em duas dimensões: a avaliação de como a segurança é percebida pelos
usuários; e a segurança realmente existente, medida de forma técnica pelos
profissionais especialistas no assunto que podem avaliar o nível real de segurança
em um ambiente. Para o autor, uma das maiores dificuldades da segurança
corporativa está exatamente em alinhar estas duas visões, que nem sempre são
compatíveis. Cruzando estas duas visões, o autor define os seguintes quatro
cenários possíveis:
Figura 12 - Quadrantes da segurança da Informação Fonte: Nery (2002, p.1)
74
A seguir, uma breve descrição dos quadrantes:
• Zona da falsa sensação de segurança – neste quadrante, enquanto os
usuários consideram a segurança atual suficiente, os técnicos de
avaliação das vulnerabilidades detectam um alto grau de vulnerabilidade.
Muitas vezes, fraudes acontecem no ambiente e passam despercebidas
pelos usuários;
• Zona do desconhecimento – esta zona pode ser verificada em algumas
organizações que, mesmo possuindo sistemas sofisticados de segurança,
possuem um quadro de usuários que se sente inseguro;
• Zona do desconforto – é quando se tem a percepção mais clara da
realidade e as informações sobre vulnerabilidades são compartilhadas
entre os usuários e a equipe técnica;
• Situação desejada – o último quadrante é exatamente onde as empresas
desejam estar. Os usuários estão conscientes da segurança, sentem-se
seguros e a área técnica implementou os recursos de segurança.
Nesse artigo o autor finaliza propondo ações para chegar ao quadrante de
“situação desejada”, situação quando se inicia a gestão da segurança, definida como
a manutenção da situação desejada e promoção de melhorias nos processos, no
uso das tecnologias e no relacionamento das pessoas, integrando a participação dos
diversos profissionais da organização: usuários, executivos e técnicos de tecnologia
da informação.
A abordagem descrita em que se observam as diferenciações entre a
segurança “percebida” e a segurança “real”, é muito utilizada como instrumento para
aferir o risco na organização e estabelecer planos de ações para atingir a “situação
desejada”.
O aspecto da percepção dos usuários em relação à segurança da informação
deve ser estudado no campo da psicologia comportamental. Nesse contexto, a
percepção pode ser definida como: “o processo pelo qual os indivíduos organizam e
interpretam suas impressões sensoriais, com a finalidade de prover sentido ao
ambiente que os rodeia” (MARCIANO, 2006, p. 181).
Marciano (2006) destaca que diversos fatores influenciam a percepção e, às
vezes, distorcem-na. Esses fatores podem estar no observador, no objeto alvo da
percepção ou no contexto ou situação em que a percepção ocorre. O observador, ao
75
mirar um alvo e interpretar o que está observando, pode ser influenciado por
necessidades insatisfeitas, interesses e experiências passadas, podendo anular e
distorcer a percepção, fazendo com que se veja aquilo que se espera ver. O objeto
ou alvo que se está observando pode ser percebido dependendo de estarem
dispostos próximos ou separados, em destaque aos olhos do observador ou
relacionados com o contexto em que é apresentado. O contexto (ou situação) no
qual se percebe o objeto influencia consideravelmente a percepção, uma vez que os
elementos que fazem parte do ambiente caracterizam o fenômeno que é percebido.
Ainda de acordo com o autor, o passo seguinte à percepção é a tomada de decisão
por parte das pessoas.
No que se refere à segurança da informação, antes de se gastar com políticas
de segurança da informação, deve-se avaliar se os usuários estariam propensos a
seguir as regras estabelecidas nessas políticas. O autor coloca algumas indagações:
• Até que ponto as pessoas estão dispostas a trocar a comodidade com a
qual estão acostumadas a utilizar os sistemas de informação pelo
desconforto de utilizar procedimentos de segurança?
• Qual é o grau de aceitação em trocar o comportamento corriqueiro por
obediência às regras estabelecidas nas políticas de segurança da
informação?
• A mera alegação do aumento de segurança é suficiente para obter a
aceitação dos usuários?
• Qual é o nível exigido de comprometimento da organização em relação às
políticas de segurança da informação?
Essas indagações podem ser objetos de pesquisas específicas nas
organizações e demonstram o quanto o fator humano, envolvendo os aspectos
psicológicos da percepção e os aspectos éticos, deve ser considerado na
elaboração de políticas de segurança da informação.
No presente estudo, o que se pretendeu verificar foi o nível de conformidade
das práticas dos usuários na situação por eles vivenciada com a Política de
Segurança da Informação da instituição pesquisada.
76
3 METODOLOGIA DE TRABALHO
Segundo Marconi e Lakatos (1983), a metodologia da pesquisa em uma
atividade de planejamento representa o conjunto detalhado e seqüencial de métodos
e técnicas científicas a serem executados ao longo da pesquisa, de tal modo que se
consiga atingir os objetivos inicialmente propostos e, ao mesmo tempo, atender aos
critérios de menor custo, maior rapidez, maior eficácia e mais confiabilidade de
informação.
3.1 Classificação da pesquisa
Com apoio em Diehl e Tatim (2004), será utilizado nesta pesquisa, conforme
as bases lógicas de investigação, o método de abordagem hipotético-dedutivo.
Segundo a abordagem do problema, será uma pesquisa quantitativa, pois as
opiniões e informações foram traduzidas em números, os quais foram classificados
para posterior análise por meio de recursos e de técnicas estatísticas. Esta pesquisa
é um estudo de natureza exploratória e descritiva. É exploratória, pois se
fundamenta na idéia principal: aumentar a base de conhecimento sobre o objeto
proposto e, além disso, possibilitar o aprofundamento de trabalhos posteriores. Gil
(1999) confirma tal pensamento quando assegura que pesquisas exploratórias têm
“como principal finalidade desenvolver, estabelecer e modificar conceitos e idéias,
tendo em vista a formulação de problemas mais precisos ou hipóteses pesquisáveis
para estudos posteriores” (GIL, 1999, p. 43). Segundo o objetivo geral, será uma
pesquisa descritiva, porque, segundo Gil (1999), visa descrever características de
uma determinada população ou fenômeno, podendo ser incluídas nesta as
pesquisas com o objetivo de levantar opiniões, práticas, atitudes e crenças de uma
população. No caso desta pesquisa, visa analisar as práticas dos usuários em
relação às regras estabelecidas pela política de segurança da informação da
SEPLAG. Segundo o seu propósito, será uma pesquisa diagnóstico, caracterizada
no ambiente organizacional da SEPLAG.
77
De acordo com Lakatos (1981), citado por Lakatos e Marconi (1991), em um
estudo confrontando as regras estabelecidas pelas normas da política de segurança
de informação da SEPLAG e as práticas dos usuários em relação às regras, o
método de procedimento pode ser caracterizado como tipológico, pois se tratou da
comparação de um tipo ideal para compreensão do caso analisado.
3.2 Universo e amostra
O universo da pesquisa considerado contemplou os usuários cadastrados do
Sistema Integrado de Administração de Materiais e Serviços (SIAD) lotados na
SEPLAG. De acordo com a relação de usuários fornecida pelo administrador de
acesso ao sistema, totalizavam 476 pessoas. Dessa relação foram retirados os
usuários que deixaram de acessar o sistema mas permaneciam no cadastro de
usuários e aqueles do interior, em função da dificuldade de acesso a eles. Dessa
forma, a população (universo) considerada para cálculo da amostra foi de 307
usuários do SIAD lotados na SEPLAG, na capital, de diversos tipos, desde os que
têm autorização para atualizar o sistema até os que somente consultam e utilizam a
informação processada para realização de suas atividades.
De acordo com Gil (2002), “quando uma amostra é rigorosamente
selecionada, os resultados obtidos no levantamento tendem a aproximar-se bastante
dos que seriam obtidos caso fosse possível pesquisar todos os elementos do
universo” (GIL, 2002, p. 121).
A amostra foi extraída dessa população utilizando-se das técnicas de
definição do tamanho da amostra por extrato da população. Dessa forma, foi
calculada por meio da técnica da amostragem aleatória simples, conhecida também
por “amostragem casual”, ou “randômica”, ou “acidental”. Esta técnica consiste,
basicamente, em identificar cada elemento da população com um único número e
selecionar alguns desses elementos de maneira casual.
O tamanho da amostra foi calculado pela fórmula de Stevenson (1981), que
considera o grau de confiança desejado, a quantidade de dispersão entre os valores
individuais da população e certa quantidade específica de erro tolerável.
78
A fórmula utilizada para o cálculo do tamanho da amostra no caso de
populações finitas foi:
n = z2 (x / n) [ 1 – (x / n) ] (N)
(N – 1) e2 + z2 (x / n) [1 – (x /n)]
Em que:
n = tamanho da amostra a ser calculada;
x = número de itens na amostra;
z = variável reduzida normal que define o nível de confiança na amostragem,
para um nível de confiança de 95% o valor tabelado é = 1,96;
x/n = proporção amostral – o intervalo de confiança para uma proporção é
máximo quando x/n = 0,50;
N = tamanho da população que será igual a 307; e
e = erro de amostragem que será arbitrado em 10%.
Dessa forma:
n = 1,962 (0,50) [ 1 – 0,50 ] (307)
(307 – 1) 0,102 + 1,962 (0,50) [1 – 0,50]
n = 294,8428
4,02
n = 73,3439
Portanto a amostra constituída foi de 74 pessoas.
3.3 Coleta de dados
De acordo com Marconi e Lakatos (1983), é preciso traçar um modelo
conceitual e operativo da pesquisa para analisar os fatos do ponto de vista empírico.
79
3.3.1 Procedimento técnico
De acordo com Diehl e Tatim (2004) foram utilizados nesta pesquisa, segundo
o procedimento técnico, os seguintes instrumentos de pesquisa:
• Pesquisa bibliográfica – buscaram-se novos conhecimentos no que se
refere à gestão da segurança da informação, pesquisas correlatas e
políticas de segurança da informação que davam ênfase nas pessoas;
• Pesquisa documental – na legislação existente sobre a adequação das
instituições públicas às questões de segurança da informação e às
atualizações de normas internacionais e regulamentos sobre
segurança da informação;
• Pesquisa de levantamento – foi realizado um levantamento com os
usuários do Sistema de Integrado de Administração de Materiais e
Serviços lotados na SEPLAG, por meio de questionário de pesquisa,
divididos em dois quadros (APÊNDICE A, p. 98). Estes questionários
foram entregues, em mão, aos usuários do sistema SIAD encarregados
de preenchê-los e devolvê-los ao autor desta pesquisa para tabulação.
É importante destacar que o levantamento, ao ser dirigido aos funcionários da
SEPLAG usuários do SIAD, reflete somente as práticas desses em relação às regras
de segurança da informação estabelecidas pela política de segurança da informação
da SEPLAG, não podendo ser estendido para toda a organização.
3.3.2 Formulário da pesquisa
O formulário de pesquisa utilizado foi o questionário (APÊNDICE A, p. 98),
que, de acordo Lakatos e Marconi (1991), tem as seguintes vantagens:
• menores gastos com pessoal, pois não exige o treinamento de
pesquisadores;
• anonimato das respostas;
80
• obtém respostas mais rápidas e mais precisas; e
• há mais uniformidade na avaliação, em virtude da natureza impessoal
do instrumento.
O questionário abrangeu dois quadros, os quais procuraram atingir os
objetivos da pesquisa. Ao verificar as práticas adotadas pelos usuários do SIAD
quanto aos itens extraídos das regras e recomendações estabelecidas pelas normas
da política de segurança da informação da SEPLAG, o quadro 2 do questionário de
pesquisa (APÊNDICE A, p. 100) por objetivos identificar as práticas de segurança da
informação dos usuários do SIAD e avaliar a efetividade da política de segurança da
informação da SEPLAG. As justificativas apresentadas pelos usuários, depois de
compiladas, serviram para explicar o porquê das práticas de segurança da
informação identificadas.
3.3.3 Realização do pré-teste
A realização de um pré-teste é fundamental para se saber como o
instrumento de coleta de dados se comporta em uma situação real. Um pré-teste
deve ser capaz de “evidenciar possíveis falhas na redação do questionário, tais
como: complexidade das questões, imprecisão da redação, desnecessidade das
questões, constrangimentos ao informante, exaustão, etc.“ (GIL, 1999, p. 137).
Dessa forma, aplicou-se o pré-teste em 10 usuários do sistema, para verificar
a adequabilidade e o grau de entendimento dos usuários do sistema integrado de
administração de materiais e serviços da SEPLAG em relação ao questionário de
pesquisa. Nenhuma observação foi apresentada por esses usuários que foram
considerados como parte da amostra selecionada para analise.
3.4 Apuração dos dados
Os dados do quadro 1 do questionário da pesquisa (APÊNDICE A, p. 99)
foram apurados por meio do cálculo percentual de cada item da coluna do quadro,
81
variando de “Discorda totalmente” (DT) a “Concorda totalmente” (CT), para cada
uma das oito questões levantadas. Dessa forma, verificou-se a opinião do usuário do
SIAD em relação à política de segurança da informação da SEPLAG.
Os dados do quadro 2 do questionário de pesquisa (APÊNDICE A, p. 100)
foram tabulados considerando o percentual de distribuição de cada questão
levantada de acordo com as práticas adotadas pelo usuário do SIAD para cada uma
das situações apresentadas.
Foi apurada também a média de notas para cada questão avaliada. A
convenção adotada para apuração da pontuação foi a seguinte:
a) Para as questões 2.1, 2.2, 2.3, 2.7, 2.9, 2.11, 2.12, 2.15 e 2.20, a
nota foi: nota 1 (Nunca), nota 2 (Raramente), nota 3 (Às vezes),
nota 4 (Freqüentemente), nota 5 (Sempre).
b) Para as questões 2.4, 2.5, 2.6, 2.8, 2.10, 2.13, 2.14, 2.16, 2.17, 2.18
e 2.19, a nota foi: nota 5 (Nunca), nota 4 (Raramente), nota 3 (Às
vezes), nota 2 (Freqüentemente), nota 1 (Sempre), visto que as
mesmas foram colocadas no formulário de pesquisa em sentido
oposto ao recomendado pela política de segurança da informação
da SEPLAG.
Ao final, foi apurada a média geral (MGij), por meio da média das notas
atribuídas para toda a amostra em todas as questões e o índice geral (IPij). Esse
índice, numa escala de 0 a 1, representa o grau de conformidade dos usuários do
SIAD da SEPLAG às regras estabelecidas pela política de segurança da informação.
MGij =ji
N ij
×
∑
Em que: MGij = Média geral dos usuários SIAD; N = nota obtida (variando de 1 a 5); i = número de questões levantadas = 20; e j = número de respondentes.
82
IPij =ji
N ij
××
∑5
Em que: IPij = Índice de práticas de segurança da informação em conformidade
com a PSI N = nota obtida (variando de 1 a 5); i = número de questões levantadas = 20; e j = número de respondentes. As informações abertas foram compiladas e serviram para ajudar no
entendimento das práticas que os usuários do Sistema Integrado de Administração
de Materiais e Serviços da SEPLAG têm em relação à segurança da informação.
O índice de retorno dos questionários distribuídos foi praticamente de 100%.
Da amostra calculada de 74 usuários a serem pesquisados, foram distribuídos 76
questionários, e o retorno foi de 74 questionários. Esse alto índice de retorno pode
ser explicado pelo empenho do pesquisador, que entregou em mão a cada um dos
usuários do SIAD, explicando o foco acadêmico da pesquisa, o anonimato dos
usuários, a importância do preenchimento dos campos do questionário e da
justificativa, o prazo curto para a realização da pesquisa e a indicação de como
proceder para o envio do questionário preenchido. Além disso, contribuiu para esse
índice o fato de a pesquisa se restringir aos usuários do SIAD lotados na SEPLAG,
na capital, nos prédios I (Rua Thomaz Gonzaga) e II (Rua Bernardo Guimarães).
83
4 APRESENTAÇÃO E ANÁLISE DOS DADOS
De acordo com Gil (1999), a análise tem por objetivo organizar e sumarizar os
dados, de forma a possibilitar o fornecimento de respostas ao problema proposto
para investigação.
Ao analisar o quadro I do questionário de pesquisa (APÊNDICE A, p. 99), que
foi montado com o objetivo de obter a opinião dos usuários do SIAD sobre a Política
de Segurança de Informação da SEPLAG (PSI), considerando os dados apurados e
apresentados nas figuras 13, 14 e 15, demonstra-se que os gestores de segurança
da informação realizaram um bom trabalho em relação à PSI. Existe um bom índice
de conhecimento da PSI: “Concordam totalmente”, 48,6% e “Concordam
parcialmente”, 43,2%. Consideram essa política boa: “Concordam totalmente”,
35,1% e “Concordam parcialmente”, 43,2%. O treinamento, pelo menos para os
usuários pesquisados (prédios I e II da SEPLAG, na capital), foi abrangente:
“Concordam totalmente”, 56,8% e “Concordam parcialmente”, 18,9%.
Figura 13 - Questão 1 - Tenho conhecimento sobre a política de segurança da informação da SEPLAG
84
Figura 14 - Questão 3 - A SEPLAG tem uma boa política de segurança da informação no sentido de minimizar as ameaças aos sistemas de informação
Figura 15 - Questão 2 - Participei do treinamento de apresentação da política de segurança da informação da SEPLAG
Esses dados apresentados nas figuras 14 e 15 confirmam que a SEPLAG
atende ao recomendado pela ABNT (2005), a norma ISO/IEC 17799, de que a
política de segurança da informação deve ser comunicada para os usuários de forma
que seja relevante, acessível e compreensível para o leitor. Beal (2005) lembra que
uma política de segurança da informação só terá significado prático para uma
organização se for divulgada de forma adequada em todos os níveis hierárquicos (os
usuários pesquisados atuam nos diversos níveis da SEPLAG). Segundo a autora,
uma vez que todos os envolvidos tenham tomado conhecimento das diretrizes e
85
normas da PSI, deixa de ser admissível a alegação de desconhecimento das regras
existentes como justificativa para sua violação. Na questão aberta destinada às
manifestações livres sobre a PSI, alguns usuários destacaram a necessidade de
maior constância e destaque nos eventos de divulgação da PSI ao afirmarem:
“Acho que deveria haver mais reuniões da PSI, pois o povo esquece muito rápido as coisas. É muito importante a Política de Segurança da Informação” e “Embora a segurança da informação seja necessária e serve de proteção a todos, muitos não se dão conta disso e, com certeza, logo será esquecida” (APÊNDICE B, p. 102).
Essa preocupação é citada por diversos autores (FONTES, 2006; RAMOS et
al, 2006; BEAL, 2005; SÊMOLA, 2003) ao darem ênfase nas campanhas de
divulgação e conscientização, que devem ser periódicas nas organizações, sendo
que Sêmola (2003) sugere até a criação de um evento anual na organização, como
a “Semana da segurança da informação”.
Os usuários do SIAD consideram importante a segurança da informação. Não
a vêem como um modismo (figura 16). Entendem que a informação não deve
circular livremente na organização (figura 17). Ao se defrontarem com as afirmativas,
na primeira, “Discordaram totalmente”, 59,5% e “Discordam parcialmente”, 18,9% de
que a segurança da informação seria um modismo e que logo seria esquecida; e na
segunda, “Discordaram totalmente”, 44,6% e “Discordam parcialmente”, 16,2% de
que no ambiente organizacional da SEPLAG a informação deveria circular
livremente sem controles.
Figura 16 - Questão 5 - A segurança da informação é um modismo que logo será esquecido.
86
Figura 17 - Questão 8 - No ambiente organizacional da SEPLAG a informação deve circular livremente, sem controles.
Esses dados confirmam o processo de conscientização da maioria dos
usuários do SIAD em relação à importância da segurança da informação na
organização. Os diversos autores pesquisados (SÊMOLA, 2003; BEAL, 2005;
FONTES, 2006) destacam a importância de o usuário estar consciente e de
internalizar o conceito de proteção da informação.
A figura 18 apresenta o resultado da questão levantada sobre a rigidez dos
controles da política de segurança da informação. Houve uma distribuição
polarizando entre os que discordam da afirmativa, 37,9% e os que concordam,
48,6%.
Figura 18 - Questão 4 - O controle da segurança da informação da SEPLAG é muito rígido e dificulta o trabalho dos usuários dos sistemas de informação
87
Na questão aberta, pôde-se observar essa polarização nas manifestações de
alguns usuários transcritas a seguir:
“Na SEPLAG não há controle, há vigilância. Controle diz respeito a gestão, responsabilidade. Controle diz respeito a falta de competência para gerenciar”; “O controle em todos os equipamentos é uma meta muito difícil de ser alcançada”; “O controle feito pela SEPLAG não consegue ser 100% efetivo. Imagino que seja por falta de uma tecnologia mais avançada dos equipamentos utilizados” (APÊNDICE B, p. 102).
Os percentuais apresentados na figura 19 chamam a atenção para a
inadequação da PSI à realidade do dia-a-dia da SEPLAG. Os gestores de segurança
da informação da organização devem preocupar-se em buscar elementos que
permitam o alinhamento da PSI com a realidade dos trabalhos dos usuários dos
sistemas de informação. Os usuários do SIAD destacam essa dissintonia quando
37,8% “Concordam totalmente” e o mesmo percentual “Concorda parcialmente” com
a afirmativa que a realidade do dia-a-dia da SEPLAG é diferente do que diz a PSI.
Figura 19 - Questão 6 - A realidade do dia-a-dia da SEPLAG é diferente do que diz a política de segurança Com relação ao demonstrado na figura 19, é importante confrontar com a
opinião dos usuários em relação à qualidade da PSI. Na figura 14, o percentual de
usuários que consideram a PSI da SEPLAG boa é de 78,3% e o percentual de
usuários que consideram a PSI diferente da realidade do dia-a-dia é de 75,6%. Ao
fazer o cruzamento dessas duas questões (tabela 1, abaixo), verifica-se que, de
88
acordo com a zona sombreada, 66,2% dos usuários que acham a PSI boa acham
que ela é diferente da realidade do dia-a-dia da SEPLAG.
Tabela 1 Cruzamento das questões: A realidade do dia-a-dia é diferente da PSI versus
A qualidade da PSI da SEPLAG
A realidade do dia-a-dia é diferente da PSI
A PSI da SEPLAG é boa Total
Concordo totalmente
Concordo parcialmente Indiferente
Discorda parcialmente
Discorda totalmente
Concordo totalmente 27,0% 8,1% 2,7% 37,8% Concordo parcialmente
8,1% 23,0% 2,7% 4,1% 37,8%
Indiferente 6,8% 8,1% 14,9% Discorda parcialmente
4,1% 4,1%
Discorda totalmente 1,4% 1,4% 2,7% 5,4% Total 35,1% 43,2% 10,8% 8,1% 2,7% 100,0%
Essa análise pode indicar que, apesar de a abordagem sobre o assunto
tratado nas normas da PSI serem adequadas, apresentam-se incompletas em
relação à amplitude dos assuntos abordados. No espaço aberto aos usuários no
questionário, podem-se colher as seguintes manifestações:
“Considero que a PSI da SEPLAG ainda é incipiente, mas trata-se de uma iniciativa louvável e que vem sendo aperfeiçoada”; “Não acredito que a SEPLAG atualiza os antivírus freqüentemente e também não obriga as pessoas a mudarem de senhas freqüentemente”; e “A SEPLAG oferece os instrumentos para a prática da PSI, porém a realidade do dia-a-dia é diferente. Existe certa resistência por parte do funcionário e também um costume Ex. existe Office boy operando o sistema” (APÊNDICE B, p. 102).
Um ponto observado que consta nas diretrizes (SEPLAG, 2006a), mas não
consta nas normas da PSI é em relação à classificação da informação. Sêmola
(2003) destaca que a norma de classificação da informação é fator crítico de
sucesso, pois descreve os critérios necessários, sinalizando a importância e o valor
das informações, premissa fundamental para a elaboração de todas as demais
normas. Conhecendo o que é necessário ser protegido, fica mais claro para o
usuário como se comportar diante de situações que possam ameaçar o ativo
informacional da organização.
Ao serem questionados se a SEPLAG oferece os instrumentos (meios) para a
prática da política de segurança da informação, os usuários se posicionaram com
89
tendências a concordarem com o fornecimento desses meios, 52,7% para a prática
da PSI. A figura 20 apresenta esses dados.
Figura 20 - Questão 7 - A SEPLAG oferece os instrumentos (meios) para a prática da política de segurança da informação.
No espaço dedicado a comentários adicionais, alguns usuários destacaram a
importância da PSI como uma iniciativa louvável da SEPLAG, porém consideraram a
PSI incipiente, sendo necessário aprimorá-la, principalmente para refletir a realidade
do dia-a-dia da organização. Outro ponto destacado foi a necessidade de divulgação
constante para que a PSI não seja esquecida e de uma maior conscientização dos
usuários, principalmente sobre o uso adequado de senhas.
O quadro 2 do questionário de pesquisa (APÊNDICE A, p.100) foi montado
com questões extraídas das regras estabelecidas pelas três normas de usuário
publicadas da política de segurança da informação com o objetivo de mapear as
práticas de segurança da informação adotadas pelos usuários do SIAD:
• Norma de utilização da estação de trabalho: questões de 1 até 810
• Norma de utilização da internet: questões de 10 a 14
• Norma de utilização de senhas: questões de 15 a 19
A figura 21 apresenta a média da pontuação apurada das questões
relacionadas com a norma de utilização da estação de trabalho. A média geral das 10 A questão 4 foi elaborada a partir da composição da regra da norma utilização da internet (fazer download) e da regra da norma utilização da estação de trabalho (instalação de software). A questão 9 foi extraída da Resolução 011, que instituiu a PSI e estabeleceu as diretrizes (ANEXO B, p. 124).
90
questões relacionadas com essa norma foi de 3,89. O índice de conformidade das
práticas dos usuários do SIAD com essa norma da PSI equivale a 0,778. Esse
índice mostra uma tendência positiva de conformidade das práticas dos usuários
com a PSI, embora não possa se enquadrar como excelente (índice acima de 0,90).
Figura 21 – Média das notas dos usuários para a norma utilização de estação de trabalho
A questão referente ao backup de dados sigilosos da SEPLAG apresentou a
menor pontuação: 2,24. Como pode ser observado na figura 22, a maioria dos
usuários respondeu que “Nunca” realizam backup, 33,8 % ou “Raramente”, 31,1%.
91
Figura 22 - Questão 7/Quadro 2 - Realizo cópia de segurança (backup) dos dados da SEPLAG que se encontram na minha estação de trabalho.
Fontes (2006) lembra que a informação tem uma forte característica: se for
destruída e não existir uma cópia, nunca mais será recuperada. Essa característica
ressalta a importância da realização periódica das cópias de segurança dos dados
das estações de trabalho, servidores e demais equipamentos da organização.
As cópias de segurança (backup) dos servidores e equipamentos de grande
porte das organizações são normalmente realizadas pelos técnicos da área
responsável pelo ambiente de tecnologia. Nas estações de trabalho, a cópia de
segurança exige que o usuário tome uma ação. Fontes (2006) recomenda que as
cópias sejam feitas nos discos de rede localizados no servidor ou em um disquete ou
CD. O autor destaca que antes de realizar a cópia é necessário avaliar a informação
em relação à sua criticidade e somente fazer a cópia das informações necessárias.
A figura 23 mostra a média da pontuação apurada das questões relacionadas
com a norma de utilização da internet. A média geral das questões relacionadas com
essa norma foi de 3,98. O índice de conformidade das práticas dos usuários do SIAD
com essa norma da PSI, de 0,796, não pode ser considerado excelente (índice
acima de 0,90), mas apenas bom.
Na figura 23, a questão referente à transferência de arquivos sigilosos da
SEPLAG com o uso de senha teve uma pontuação abaixo da média (2,82). Essa foi
mal formulada ou mal compreendida pelos pesquisados. A intenção da pergunta
“Quando transfiro arquivos com dados sigilosos da SEPLAG pela internet, utilizo
senhas?” era identificar se é prática entre os usuários do SIAD utilizar senhas na
92
transferência de arquivos sigilosos da SEPLAG. Muitos responderam que nunca
realizam essa tarefa (transferência de arquivos com dados sigilosos), marcando a
opção “Nunca” do questionário de pesquisa (APÊNDICE A, p. 101), informando que
essa atividade é restrita às chefias. Dessa forma, a apuração da média da
pontuação foi afetada por esse comportamento. No computo do índice geral, essa
questão (12) do questionário de pesquisa (APÊNDICE A, p. 101) foi expurgada,
juntamente com as questões 4, 13 e 14 (práticas impedidas de forma automática
pelos administradores de TI da SEPLAG).
Figura 23 - Média das notas dos usuários para a norma utilização da internet
A figura 24 apresenta a média da pontuação das questões relacionadas com
a norma de utilização de senhas. Apesar de diversos comentários feitos apontarem o
hábito de emprestar a senha de acesso para o colega, seja em ocasiões de férias,
ausência ou por outro motivo, a média dessa questão foi alta: 4,11. Essa prática foi
relatada por diversos usuários pesquisados no questionário e em viva voz para o
pesquisador. Alguns exemplos:
“Para grupo muitíssimo restrito. Apenas pessoas de inteira confiança”; “Somente para pessoa de confiança onde compartilho os mesmos tipos de serviço”; “Pessoas de confiança”; “Ao meu estagiário”; “Mas minhas chefas fazem isso. Para mim...”; “Infelizmente vejo muita gente que sabe a senha dos outros”; “Apenas para pessoal da minha coordenação”; e “Somente a pessoas indicadas para substituição (férias)” (APÊNDICE B, p.112).
93
Apesar desses relatos, o índice de conformidade das práticas dos usuários do
SIAD com essa norma da PSI, de 0,822, foi o maior de todos obtidos para as demais
normas e pode ser considerado bom.
Figura 24 - Média das notas dos usuários para a norma utilização de senhas
O espaço deixado para justificativa da resposta foi muito importante para o
usuário se manifestar e principalmente para identificar alguns procedimentos que
foram automatizados pelos gestores de segurança da informação da SEPLAG com
vistas a evitar comportamentos contrários às recomendações da norma de usuário
da PSI. Dessa forma, verificou-se que para a maioria dos usuários os seguintes itens
são bloqueados:
• Instalação de softwares baixados da Internet na estação de trabalho
(questão 4);
• Utilização de software de comunicação instantânea ICQ, Messenger,
etc. (questão 12)
• Utilização de salas de bate papo (chats) através da estação de trabalho
(questão 13).
Também foi possível identificar que poucas pessoas transferem arquivos com
dados sigilosos da SEPLAG pela internet (questão 14). Essa questão foi mal
compreendida pelos usuários pesquisados.
94
Considerando essas colocações, o cálculo do índice de práticas de segurança
da informação em conformidade com a PSI foi realizado conforme o definido no item
3.4 - Apuração dos Dados do capítulo 3 – Metodologia, expurgando as médias
apuradas nas questões 4, 12, 13 e 14, para evitar uma contaminação do índice.
A figura 25 mostra as questões do quadro 2 do questionário de pesquisa
(APÊNDICE A, p. 100) com suas médias apuradas de acordo com a metodologia da
pesquisa (com as questões expurgadas). Observa-se que, em geral, as médias
apuradas se encontram acima de 3,00 (média da pontuação, máxima igual a 5 e
mínima igual a 1), caracterizando que para as situações apresentadas os usuários
do SIAD praticam as regras estabelecidas pela política de segurança da informação.
Figura 25 - Médias apuradas das questões pesquisadas com os usuários do SIAD
Como se pode observar, a média geral das práticas dos usuários do SIAD
está em conformidade com a PSI, já expurgadas as questões 4, 12, 13 e 14 é de
3,89. Isso representa um índice geral de 0,778, o que demonstra uma tendência
positiva de adoção das práticas de segurança da informação, embora não se
enquadre no nível de excelente (acima de 0,90).
A questão que apresentou a maior média, 4,85, relaciona-se com o hábito das
pessoas de desligarem os equipamentos ao final do expediente. Foi seguida de
95
situações representando outras práticas que demonstram o compromisso dos
usuários com o ambiente organizacional: utilização de jogos na estação de trabalho,
4,53; respeito aos direitos autorais e outros quando utilizando a internet, 4,50; e
acesso à rede corporativa utilizando senha de terceiros, 4,48.
A menor média foi encontrada na questão que apresenta a situação de
execução de backup dos dados sigilosos da SEPLAG que se encontram na estação
de trabalho: 2,24.
Na figura 25, também apresentaram médias baixas as questões referentes à
utilização da internet da SEPLAG para assuntos particulares, 3,12, e o
compartilhamento de pastas sem o uso de senhas, 3,23. As informações
apresentadas nas justificativas das respostas pelos usuários destacam que a
utilização da internet para assuntos particulares é prática comum na SEPLAG,
principalmente nos intervalos de lanche e almoço. Algumas justificativas, dentre
várias apresentadas pelos pesquisados, extraídas do questionário de pesquisa:
“Consulto trabalhos e e-mails da faculdade”; “A realidade da organização demonstra que isso é prática constante. Sempre que o funcionário possui tempo ocioso”; “Leio jornais, acesso e-mail particular, faço compras. No entanto não é nada que prejudique minhas metas de trabalho”; “Necessidade de ficar bem informado sobre tudo”; “No meu horário de almoço”; “Consulto sites de acordo com a minha necessidade de informação”; “Consultas em banco”; e ”Para pagamento de contas, uso de e-mail pessoal, etc.” (APÊNDICE B, p. 106).
Esse comportamento pode ser considerado comum nas organizações. De
acordo com Fontes (2006), no caso do banco eletrônico, a utilização da internet
pode ser muito mais produtiva e segura do que o deslocamento físico a uma agência
da instituição financeira.
O compartilhamento de pastas sem o uso de senhas é também prática
comum entre os usuários. Inclusive, é recomendada pelas chefias para o bom
andamento do trabalho das áreas, que desconhecem a vulnerabilidade dessa
prática. Algumas justificativas citadas pelos usuários:
“Os computadores do setor são compartilhados com a equipe”; “Nessa diretoria existem pastas específicas que são compartilhadas”; “Compartilho com minha chefa”; e “Algumas pastas são compartilhadas sem senha devido ao grande número de usuários que as acessam” (APÊNDICE B, p. 111).
96
5 CONCLUSÕES E RECOMENDAÇÕES
De acordo com Lakatos e Marconi (1991), a conclusão deve evidenciar as
conquistas que o estudo alcançou; indicar as limitações do estudo e as
reconsiderações; apontar a relação entre os fatos verificados e a teoria; e
representar uma súmula, em que os argumentos, fatos, hipóteses, teorias se unem e
se completam.
Este trabalho teve por objetivo verificar se os usuários do Sistema Integrado
de Administração de Materiais e Serviços, no âmbito dos funcionários da SEPLAG,
praticam as regras estabelecidas pelas normas da política de segurança da
informação .
Para alcançar esse objetivo, buscou-se conhecer as práticas dos usuários
mediante a tabulação dos dados de um questionário com questões extraídas das
regras de três normas de usuários publicadas da política de segurança da
informação da SEPLAG (utilização da estação de trabalho, da internet e de senhas).
Buscou-se também conhecer a opinião dos usuários em relação à política de
segurança da informação, ao princípio da livre circulação da informação e à restrição
pelos procedimentos de segurança da informação.
Ao se pautar nas regras estabelecidas pela PSI, essa abordagem trouxe no
seu bojo uma limitação da pesquisa; ou seja, deu grande ênfase às práticas
relacionadas à tecnologia da informação, deixando de abordar a segurança da
informação no seu contexto cotidiano, como documentos deixados sobre as mesas,
conversas sobre assuntos sigilosos em locais públicos, informações pessoais
passadas por telefone ou, mesmo, o e-mail, uma ferramenta tecnológica muito
utilizada nos dias de hoje.
Os resultados obtidos por intermédio da pesquisa indicam que os usuários
compreendem a importância da proteção da informação por meio de uma política de
segurança da informação, conhecem a política e a consideram de boa qualidade,
porém acham que a realidade do dia-a-dia é diferente do que trata a política,
indicando uma possível incompletude na abrangência dos assuntos relacionados à
proteção da informação. Essa incompletude pode ser percebida na revisão da
literatura, quando os autores pesquisados apresentam as preocupações que as
organizações devem ter com os aspectos não tecnológicos da segurança da
97
informação. Aspectos voltados para o contexto humano, social e profissional das
instituições. Mesmo nos aspectos tecnológicos, falta à PSI da SEPLAG uma
abordagem para o tratamento a ser dado aos e-mails da instituição. Essa importante
ferramenta de comunicação é também a porta de entrada das maiores
vulnerabilidades dos sistemas e pessoas de uma organização. Deveria existir uma
norma específica sobre a utilização do e-mail institucional e pessoal.
A hipótese levantada de que os usuários do SIAD lotados na SEPLAG
praticam a maioria das regras e recomendações estabelecidas pelas normas da
política de segurança da informação foi confirmada pela apuração da média geral,
que, mesmo após os expurgos realizados, foi de 3,89 (figura 25), acima da média da
pontuação (média igual a 3,0), representando um índice de práticas de segurança da
informação em conformidade com a PSI de 0,778, que pode ser considerado um
bom indicador.
Os objetivos estabelecidos pela pesquisa foram atingidos, pois para o
universo pesquisado – usuários do SIAD – foi possível verificar as suas práticas em
relação à segurança da informação, delineadas por meio da política de segurança
da informação da SEPLAG (objetivo geral); obter a opinião deles em relação à PSI;
investigar o seu nível de conhecimento em relação à PSI; identificar as práticas de
segurança da informação; e identificar o grau de conformidade de suas práticas com
a as regras e recomendações contidas na PSI (objetivos específicos).
As recomendações desse estudo são dirigidas aos gestores de segurança da
informação da SEPLAG, que podem melhorar o conteúdo da PSI ao investigarem,
por meio de outros instrumentos (grupo focal, ou entrevistas), porque a maioria dos
usuários, mesmo achando a PSI de boa qualidade, apontou para o problema da
dissintonia da política em relação à realidade do dia-a-dia de trabalho. É importante
também atentar para alguns comentários feitos sobre o uso de senhas
“emprestadas” e as sugestões para divulgarem mais a PSI com eventos periódicos
para que ela não seja esquecida. No processo de revisão e atualização da PSI, seria
importante acrescentar orientações de segurança da informação fora do âmbito
tecnológico, destacando a importância dos aspectos sociais do usuário dos sistemas
de informação. A pessoa humana é um fator crítico para o sucesso do processo de
proteção da informação. A tecnologia existente possibilita a organização ter uma boa
proteção da informação, mas, quem vai garantir que ela tira proveito dessa
tecnologia e implementa de forma efetiva os controles adequados é o usuário.
98
Para futuros trabalhos, recomenda-se que esta pesquisa seja continuada,
com o objetivo de estudar as práticas de usuários de outros sistemas corporativos da
SEPLAG como o Sistema de Administração de Pessoal do Estado (SISAP) e
Sistema Integrado de Protocolo (SIPRO) e aprofundada, com o objetivo de estudar
as normas das políticas de segurança da informação, que tratem efetivamente do
comportamento cotidiano do usuário dos sistemas de informação. Para as
organizações que estão criando e implantando suas políticas de segurança da
informação, seria interessante aplicar esse tipo de pesquisa, por meio de
questionários com questões extraídas das PSI em momentos prévio e posterior à
adoção de tais políticas.
Finalmente, espera-se que este trabalho contribua para as organizações
públicas elaborarem suas políticas de segurança da informação com foco nas
pessoas que são usuárias de tecnologia, ou não, abordando a segurança da
informação conforme conceitos sociais de interações entre indivíduos.
99
6 REFERENCIAS BIBLIOGRÁFICAS
ABNT (Associação Brasileira de Normas Técnicas). NBR ISO 9000 – sistemas de gestão da qualidade – fundamentos e vocabulário. Rio de Janeiro, 2000a.
ABNT (Associação Brasileira de Normas Técnicas). NBR ISO 9000 – sistemas de gestão da qualidade – requisitos. Rio de Janeiro, 2000b.
ABNT (Associação Brasileira de Normas Técnicas). Sistemas de gestão da qualidade – requisitos: NBR ISO 9001. Rio de Janeiro, 2000c.
ABNT (Associação Brasileira de Normas Técnicas). NBR ISO/IEC 17799 – Tecnologia da Informação – Código de prática para a gestão da segurança da informação. Rio de Janeiro, 2001.
ABNT (Associação Brasileira de Normas Técnicas). NBR ISO/IEC 17799:2005 – Tecnologia da Informação – Código de prática para a gestão da segurança da informação. Rio de Janeiro, 2005.
ABNT (Associação Brasileira de Normas Técnicas). NBR ISO/IEC 27001:2005 – Tecnologia da Informação – Técnicas de segurança – Sistemas de gestão de segurança da informação - Requisitos. Rio de Janeiro, 2006.
ABREU, Dimitri. Melhores Práticas para Classificar as Informações. Módulo e-Security Magazine. São Paulo, ago. 2001.
ACKOFF, Russel L. Planejamento de Pesquisa Social. São Paulo: Herder, 1967.
AGOSTINHO, Denilson Aparecido. Leis de Segurança da Informação Universidade Federal de Santa Catarina. 2004. Disponível em: http://www.buscalegis.ufsc.br/arquivos/1-3.pdf. Acesso em: 24 jan. 2007.
ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurança no Desenvolvimento de Software – Como desenvolver sistemas seguros e avaliar a segurança de aplicações desenvolvidas com base na ISO 15.408. Rio de Janeiro: Editora Campus, 2002.
ASCIUTTI, César Augusto. Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública–USP. 2006. Disponível em: http://www.security.usp.br/artigos/2-ESECOM_USP-09-11-2006-Artigo-By-Asciutti-Cesar-A-V1-04.pdf . Acesso em: 19 jan. 2007.
BEAL, Adriana. Gestão Estratégica da Informação: como transformar a informação e a tecnologia da informação em fatores de crescimento e de alto desempenho nas organizações. São Paulo: Atlas, 2004.
BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2005.
BEUREN, Ilse Maria e MARTINS, Luciano Waltrick. Sistema de Informações executivas: suas características e reflexões sobre sua aplicação no processo de gestão. Revista Contabilidade & Finanças. FIPECAFI- FEA- USP, São Paulo, FIPECAFI, v.15,n.26, p.6-24 , mar/ago 2001.
BRASIL. Congresso Nacional. Lei nº 7.232, de 29 de outubro de 1984. Dispõe sobre a Política Nacional de Informática, e dá outras providências. Disponível em www.presidencia.gov.br/ccivil . Acesso em 10 jan. 2007.
100
BRASIL. Presidência da República. Lei nº 9.507, de 12 de novembro de 1997 Regula o direito de acesso a informações e disciplina o rito processual do habeas data. Disponível em www.presidencia.gov.br/ccivil. Acesso em 10 jan. 2007.
BRASIL. Presidência da República. Decreto nº 3.294, de 15 de dezembro de 1999 Institui o Programa Sociedade da Informação e dá outras providências. Disponível em www.presidencia.gov.br/ccivil. Acesso em 10 jan. 2007.
BRASIL. Presidência da República. Lei nº 9.983, de 14 de julho de 2000. Altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 – Código Penal e dá outras providências. Disponível em www.presidencia.gov.br/ccivil. Acesso em 10 jan. 2007.
BRASIL. Presidência da República. Decreto nº 3.505, de 13 de junho de 2000. Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Disponível em www.presidencia.gov.br/ccivil. Acesso em 10 jan. 2007.
BRASIL. Presidência da República. Decreto nº 3.872, de 18 de julho de 2001. Dispõe sobre o Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileira - CG ICP-Brasil, sua Secretaria-Executiva, sua Comissão Técnica Executiva e dá outras providências. Disponível em www.presidencia.gov.br/ccivil. Acesso em 10 jan. 2007.
BRASIL. Presidência da República. Decreto nº 3.996, de 31 de outubro de 2001 Dispõe sobre a prestação de serviços de certificação digital no âmbito da Administração Pública Federal. Disponível em www.presidencia.gov.br/ccivil. Acesso em 10 jan. 2007.
BRASIL. Presidência da República. Medida Provisória n. 2.200-2, de 24 de agosto de 2001. Institui a Infra-estrutura de Chaves Públicas Brasileira - ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informação em autarquia, e dá outras providências. Disponível em www.presidencia.gov.br/ccivil. Acesso em 10 jan. 2007.
BRASIL. Presidência da República. Decreto nº 4.553, de 27 de dezembro de 2002. Dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências. Disponível em www.presidencia.gov.br/ccivil. Acesso em 10 jan. 2007.
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil. Brasília, 2007. Disponível em: http://www.planalto.gov.br/ccivil_03/Constituicao . Acesso em: 10 ago. 2007.
BRASILIANO, Antônio Celso Ribeiro. Manual de análise de riscos para a segurança empresarial. São Paulo: Sicurezza, 2003.
CAMPOS, Vicente Falconi. Gerenciamento pelas Diretrizes. Belo Horizonte: Fundação Christiano Ottoni, 1996.
CAMPOS, Vicente Falconi. Gerenciamento da rotina do trabalho do dia-a-dia. Belo Horizonte: Editora de Desenvolvimento Gerencial, 1994.
CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em Informática e de Informações. São Paulo: Editora SENAC, 1999.
CARVALHO, Rosângela C.; A aplicação de um modelo de gestão da segurança da informação e a sua influência na percepção de competitividade no setor de telecomunicações e informática. 2003. 210f. Dissertação (Mestrado) –
101
Universidade Federal Fluminense. Disponível em: http://www.latec.uff.br/cursos/strictosensu/sistemasDeGestao/rosangelacaubit.pdf. Acesso em: 14 abr. 2007.
CASTELLS, Manoel. Sociedade em rede: a era da informação: economia, sociedade e cultura. 7. ed. São Paulo: Paz e Terra, 1999. p. 1-263.
CERVO, Amado L. e BERVIAN, Pedro A. Metodologia científica, 5 ed. São Paulo: Pearson Prentice Hall, 2006.
CHEROBINO, Vinícius. Cabo de Guerra: segurança da informação de um lado. do outro produtividade. Quem ganha essa batalha?. Security Review. . 24-28, mai/jun 2006. Disponível em: http://www.modulo.com.br/pdf/cabo-de-guerra-security-review-mai-jun-2006.pdf .Acesso em: 18 ago. 2007.
CHOO, Chun Wei. A organização do conhecimento: como as organizações usam a informação para criar significado, construir conhecimento e tomar decisões. Tradução de Eliana Rocha.São Paulo: Ed. Senac, 2003.
COBIT 4.0 Control Objectives Management Guidelines Maturity Models. IT Governance Institute, 2005. Disponível em www.itgovernance.org. Acesso em 15 mai. 2007.
CONSELHO NACIONAL DE ARQUIVOS – CONARQ. Modelo de requisitos para sistemas informatizados de gestão arquivística de documentos. Brasília, 2006.
DAVENPORT, Thomas H; PRUSAK, Laurence. Conhecimento empresarial. Rio de Janeiro: Campus, 1998.
DAVENPORT, Thomas H. Ecologia da Informação: por que só a tecnologia não basta para o sucesso na era da informação. São Paulo, Campus, 1998.
DAVENPORT, Thomas H. Reengenharia de processos. Rio de Janeiro: Campus, 1994.
DIAS, Claudia. Segurança e Auditoria da Tecnologia da Informação. Rio de Janeiro: Axcel Books, 2000
DIEHL, Astor António e TATIM, Denise Carvalho. Pesquisa em Ciências Sociais Aplicadas - métodos e técnicas. São Paulo: Prentice Hall, 2004.
EHRESMAN, Terry. Small business sucess trough TQM: pratical methods to improve tour organization’s performance. Milwaukee: ASQC Quality Press, 1995.
FARIAS JR., Ariosto. "De Roupa Nova". Security Review: Conteúdo Editorial, Setembro/Outubro 2005, ano I, número 4, p. 45-47;
FERREIRA, A.B.H. O dicionário da língua portuguesa. 2.ed. Rio de Janeiro, Nova Fronteira, 1999
FONTES, Edison. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006
FRANÇA, Júnia Lessa. Manual para normalização de publicações técnico-científicas. 4 ed. Belo Horizonte: UFMG, 1998.
FRANCO, Rochester Gabriel Pitone. Metodologia para implementação da gestão por processos em empresas do setor metal-mecânico. 2005. 185f. Dissertação (mestrado). Universidade Federal de Santa Catarina, Programa de Pós-Graduação
102
em Engenharia de Produção. Disponível em: http://teses.eps.ufsc.br/defesa/pdf/11212.pdf . Acesso em: 04 dez. 2006.
GONÇALVES, Luís Rodrigo de Oliveira. Pequeno histórico sobre o surgimento das Normas de Segurança, 2003. Módulo Security Magazine. Disponível em: http://www.modulo.com.br . Acessado em: 30 mar. 2007.
GONÇALVES, José Ernesto Lima. As empresas são grandes coleções de processos. Revista de Administração de Empresas, São Paulo, v. 40, n. 1, p. 6- 19, jan./mar. 2000a.
GONÇALVES, José Ernesto Lima. Processo, que processo? Revista de Administração de Empresas, São Paulo, v. 40, n. 4, p. 8-19, out./dez. 2000b.
GIL. Antônio de Loureiro. Segurança em informática, São Paulo, Atlas, 1994.
GIL, Antônio Carlos. Métodos e Técnicas de Pesquisa Social. São Paulo: Atlas, 1999.
GIL, Antônio Carlos. Como elaborar projetos de pesquisa. São Paulo: Atlas, 2002.
GHERMAN, Marcelo. Controles Internos - Buscando a solução adequada - Parte IV. Modulo Risk Manager, 2005. Disponível em: http://www.checkuptool.com.br/artigo_08.htm. Acesso em: 25 mai. 2007.
LARA, Rodrigo Diniz. Análise da segurança da informação das Secretarias do Estado de Minas Gerais. 2004. 110f. Monografia (conclusão de curso) – Fundação João Pinheiro, Escola de Governo, Belo Horizonte.
LAKATOS, Eva M., Metodologia do trabalho científico, São Paulo, Atlas, 1983.
LAKATOS, Eva Maria e MARCONI, Marina de Andrade. Fundamentos da metodologia científica. São Paulo: Atlas, 1991.
LASALA, Kenneth P. Human Performance Reliability: A Historical Perspective. IEEE Transactions on Reliability, vol 47, 1998.
LAUREANO, Marcos Aurélio Pchek. Gestão da Segurança da Informação, 2005. Disponível em: http://www.mlaureano.org/ensino/gestao-da-seguranca. Acesso em: 30 mar.2007.
MARCHIORI, Zeni Patricia. A ciência e a gestão da informação: compatibilidades no espaço profissional. Ciência da Informação, Brasília, v. 31, n. 2, p. 72-79, 2002. Disponível em : http://www.ead.fea.usp.br/Cad-pesq/arquivos/v09n1art6.pdf . Acesso em: 15 mai. 2007.
MARCIANO, João L.; Segurança da Informação – uma abordagem social. 2006. 211f. Tese (Doutorado) – Universidade de Brasília. Departamento da Ciência da Informação. Disponível em: http://bdtd.bce.unb.br/tedesimplificado/tde_arquivos/1/TDE-2006-11-29T173637Z-494/Publico/joao_marciano.pdf. Acesso em 18 jul. 2007.
MARCIANO, João L.; MARQUES, Mamede L. O enfoque social da segurança da informação. Ciência da Informação, Brasília, v. 35, n. 3, p. 89-98, set/dez 2006. Disponível em: http://www.ibict.br/cienciadainformacao/viewarticle.php?id=898&layout=abstract. Acesso em 18 jul. 2007.
103
MARCONI, Marina A.; LAKATOS, Eva M. Técnicas de pesquisa. São Paulo: Atlas, 1983.
MARINHO, Zilta. Treinamentos devem preparar gestores em segurança. 2001. Disponível em: www.modulo.com.br. Acesso em 25 mai. 2007.
MARTINS, Alaíde Barbosa. Uma abordagem metodológica baseada em normas e padrões de segurança. Estudo de caso CETREL S/A. 2004. Disponível em www.linorg.cirp.usp.br/SSI/SSI2004/Poster/P03_ssi04.pdf, Acesso em 15 jan. 2007.
MARTINS, José Carlos. Gestão de projetos de segurança da informação. Rio de Janeiro: Editora Brasport, 2003.
MATTAR, Fauze Najib. Pesquisa de Marketing. Ed. Compacta. São Paulo: Ed. Atlas, 1996, cap. 4.
McGEE, James e PRUSAK, Laurence Gerenciamento estratégico da informação: aumente a competitividade e a eficiência de sua empresa utilizando a informação como uma ferramenta estratégica. Tradução de Astrid Beatriz de Figueiredo. Rio de Janeiro, Campus, 1994.
MENEZES, Josué das Chagas. Gestão da segurança da informação: análise em três organizações brasileiras. 2005. 187f. Dissertação (mestrado profissional) – Universidade Federal da Bahia, Escola de Administração. Disponível em: http://www.adm.ufba.br/pub/publicacao/5/MPA/2005/377/Dissertacao_MPA_Josue_das_Chagas_Menezes.pdf . Acesso em: 15 jan. 2007.
MINAS GERAIS. Lei nº. 6003, de 12 de outubro de 1972. Autoriza o Poder Executivo a constituir e organizar sociedade sob o controle acionário do Estado, dispõe sobre o Sistema Estadual de Processamento de Dados. Minas Gerais, Belo Horizonte, 13 out. 1972. p.9 .
MINAS GERAIS. Decreto nº. 42.873, de 9 de setembro de 2002. Institui o Sistema Integrado de Administração de Materiais e Serviços. Disponível em http://www.almg.gov.br/index.asp?grupo=legislacao&diretorio=njmg&arquivo=legislacao_mineira, Acesso em: 17 jan. 2008.
MINAS GERAIS. Decreto nº. 43.666, de 25 de novembro de 2003. Institui a Política de Governança Eletrônica e cria o Comitê Executivo de Governança Eletrônica no âmbito da Administração Pública Estadual. Disponível em http://www.almg.gov.br/index.asp?grupo=legislacao&diretorio=njmg&arquivo=legislacao_mineira, Acesso em: 15 jan. 2007.
MINAS GERAIS. Decreto nº. 43.699, de 15 de dezembro de 2003a. Dispõe sobre a utilização obrigatória do Sistema Integrado de Administração de Materiais e Serviços – SIAD-MG pelos órgãos e entidades da administração pública direta e indireta do poder executivo. Disponível em Institui a Política de Governança Eletrônica e cria o Comitê Executivo de Governança Eletrônica no âmbito da Administração Pública Estadual. Disponível em http://www.almg.gov.br/index.asp?grupo=legislacao&diretorio=njmg&arquivo=legislacao_mineira, Acesso em: 17 jan. 2008.
MINAS GERAIS. Decreto nº. 43.844, de 5 de agosto de 2004a. Altera o Decreto nº 43.244, de 1º de abril de 2003, que regulamenta a Lei Delegada nº 63, de 29 de janeiro de 2003, que dispõe sobre a Secretaria de Estado de Planejamento e Gestão e outras providências. Disponível em:
104
http://www.almg.gov.br/index.asp?grupo=legislacao&diretorio=njmg&arquivo=legislacao_mineira. Acesso em: 24 jul. 2007.
MINAS GERAIS. Decreto nº. 43.885, de 4 de outubro de 2004b. Dispõe sobre o Código de Conduta Ética do Servidor Público e da Alta Administração Estadual. Disponível em http://www.almg.gov.br/index.asp?grupo=legislacao&diretorio=njmg&arquivo=legislacao_mineira, Acesso em: 15 jan. 2007.
MINAS GERAIS. Decreto nº. 43.888, de 5 de outubro de 2004c. Dispõe sobre a utilização de certificação digital no âmbito da Administração Pública Estadual. Disponível em http://www.almg.gov.br/index.asp?grupo=legislacao&diretorio=njmg&arquivo=legislacao_mineira, Acesso em: 15 jan. 2007.
MITNICK, Kevin. A Arte de Enganar. Pearson Education, 2005;
MODULO SECURITY SOLUTION S.A 10ª Pesquisa Nacional de Segurança da Informação. 2007. Disponível em www.modulo.com.br. Acesso em 25 mai. 2007.
MOREIRA, Nilton Stringasci. Segurança Mínima – Uma Visão Corporativa da Segurança de Informações. Rio de Janeiro: Axcel Books do Brasil, 2001.
MORESI, Eduardo Amadeu Dutra. Delineando o valor do sistema de informação de uma organização. Ciência da Informação, Brasília, v.29, nº 1, p. 14-24, jan./abr. 2000. Disponível em: http://www.scielo.br/scielo.php?script=sci_arttext&pid=S0100-19652000000100002&lng=es&nrm=iso. Acesso em 18 jan. 2007.
NERY, Fernando. Segurança percebida versus segurança real no mundo corporativo. 2002. Disponível em: www.modulo.com.br. Acesso em 25 mai. 2007.
NONAKA, Ikujiro e TAKEUCHI, Hirotaka. Criação e conhecimento na empresa: como as empresas japonesas geram a dinâmica da inovação. Rio de janeiro: Campus, 1997.
ORSHESKY, Christine M. Beyond technology – The human factor in business systems. Journal of Business Strategy, vol. 24, n. 4, p. 43-47, 2003.
PIZZOLI, Fábio A.; Sistema de gerenciamento de segurança de informações: processo de auditoria. 2004. 135f. Dissertação (Mestrado) – Universidade Federal do Rio Grande do Sul. Disponível em: http://www.producao.ufrgs.br/dissert_mestrado/fabio_a_pizzoli.pdf. Acesso em: 8 mai. 2007.
PONTIFÍCIA UNIVERSIDADE CATÓLICA DE MINAS GERAIS. Pró-Reitoria de Graduação. Sistema de Bibliotecas. Padrão PUC Minas de normatização: normas da ABNT para a apresentação de trabalhos científicos, teses, dissertações e monografias. Belo Horizonte, 2006. Disponível em: www.pucminas.br/biblioteca, acesso em: 12 dez. 2006.
PRODEMGE. Projeto de Segurança da Informação, de novembro de 2005. Belo Horizonte.
PRODEMGE. Manual de Atribuições das Unidades Administrativas, de maio de 2006. Belo Horizonte.
RAMOS, Anderson et al. Guia oficial para formação de gestores em segurança da informação. Porto Alegre: Zouk, 2006
105
REIS, Margarida Maria de Oliveira e BLATTMAN, Ursula. Gestão de processos em bibliotecas. Revista Digital de Biblioteconomia e Ciência da Informação, Campinas, v.1, n. 2, p. 1-17, jan./jun. 2004.
SÊMOLA, Marcos. Gestão da Segurança da Informação: visão executiva da segurança da informação aplicada ao Security Officer. Rio de Janeiro: Elsevier, 2003.
SEPLAG. Resolução 71/2003, de 27 de novembro de 2003a. Dispõe sobre padronização e utilização dos Serviços de Correio Eletrônico Oficial dos Órgãos e Entidades do Poder Executivo da Administração Pública Estadual Direta, Autárquica e Fundacional. Disponível em: http://www.planejamento.mg.gov.br/governo/resolucoes/resolucoes.asp. Acesso em 19 jul. 2007.
SEPLAG. Análise comparativa sobre os modelos de gestão em tecnologia da informação. Belo Horizonte. SEPLAG, 2003b. Disponível em: http://www.egov.mg.gov.br/files/conteudos/empresas_processamento_dados_relatorio_final.pdf Acesso em 16 ago. 2007.
SEPLAG. Resolução 78/2004, de 8 de outubro de 2004. Cria o Grupo de Trabalho de Segurança da Informação no âmbito Comitê Executivo de Governança Eletrônica. Disponível em: http://www.planejamento.mg.gov.br/governo/resolucoes/resolucoes.asp. Acesso em 19 jul. 2007.
SEPLAG. Segurança da Informação. 2006a. Disponível em: http://www.egov.mg.gov.br/normas.php. Acesso em 19 jul. 2007.
SEPLAG. Resolução 002/2006, de 19 de janeiro de 2006. Institui o Comitê Multidisciplinar de Segurança da Informação da Secretaria de Estado de Planejamento e Gestão - CMSI, e dá outras providências. 2006b. Disponível em: http://www.planejamento.mg.gov.br/governo/resolucoes/resolucoes.asp. Acesso em 19 jul. 2007.
SEPLAG. Resolução 011/2006, de 19 de janeiro de 2006. Institui a Política de Segurança da Informação no âmbito da Secretaria de Estado de Planejamento e Gestão do Estado de Minas Gerais. 2006c. Disponível em: http://www.planejamento.mg.gov.br/governo/resolucoes/resolucoes.asp. Acesso em 19 jul. 2007.
SILVA, Edna Lúcia da e MENEZES, Estera Muszkat. Metodologia da pesquisa e elaboração de dissertação. 3 ed revisada e atualizada. Florianópolis: Laboratório de Ensino à Distância da UFSC, 2001.
SILVA, Jamil, Almeida de; Uma proposta de metodologia para segurança em sistemas de tecnologia da informação. 2001. 109f. Dissertação (Mestrado) – Universidade Federal de Santa Catarina. Disponível em: http://teses.eps.ufsc.br/defesa/pdf/7368.pdf . Acesso em: 18 jan. 2007.
SILVEIRA, Henrique Flávio Rodrigues. Motivações e fatores críticos de sucesso para o planejamento de sistemas interorganizacionais na sociedade da informação. Ciência da Informação, Brasilia, vol.32 nº.2 mai./ago. 2003. Disponível em: http://www.scielo.br/scielo.php. Acesso em 07 jul. 2007.
106
SLAY, Fill. IS security, trust and culture: a theoritical framework for managing IS security em multicultural settings. Campus-Wide Information System, v. 20, n. 3, p. 98-104, 2003. Disponível em: www.emeraldinsight.com/researchregister . Acesso em 05 dez. 2006.
STEVENSON, William J. Estatística aplicada à administração. São Paulo: Harbra,1981.
TARAPANOFF, Kira. Inteligência social e inteligência competitiva. Enc. Bibli: R. Eletr. Bibliotecon. Ci. Inf., Florianópolis, 1 sem. 2004. Disponível em: <http://www.encontros-bibli.ufsc.br/>. Acesso em: 07 jul. 2007.
THOMSON, M. E. & SOLMS, R. von. Information Security awareness: educating your users effectively. Information Management & Computer Security. p. 167-173, 1998.
XEXEO, Geraldo Bonorino. Autenticação de documentos digitais por sistemas criptográficos de chave pública. Modulo E-Security News, Data de publicação indefinida.
ZORELLO, Gilberto. Metodologias COBIT e ITIL e as perspectivas do Modelo de alinhamento estratégico de TI. Anais do XII SIMPEP – Bauru: 2005. Disponível em www.feb.unesp.br/dep/simdep. Acesso em: 25 mai. 2007.
107
7 APÊNDICES
APÊNDICE A – QUESTIONÁRIO DA PESQUISA
Avaliação sobre Segurança da Informação
Caro (a) funcionário (a),
O questionário abaixo tem como objetivo levantar informações a respeito das
práticas de segurança da informação dos usuários de sistemas de informação da
SEPLAG, visando auxiliar uma dissertação de Mestrado em Administração Pública,
concentração em Gestão da Informação da Escola de Governo Professor Paulo
Neves de Carvalho da Fundação João Pinheiro.
Muito obrigado por sua atenção.
Fernando Vieira Braga
Instruções
Essa pesquisa é confidencial, não havendo necessidade de informar o seu
nome.
A pesquisa compreende dois quadros. O primeiro quadro é sobre a opinião
que você tem sobre a política de segurança da informação da SEPLAG. O segundo
quadro sobre as suas práticas no que se refere à segurança da informação.
Em cada quadro está descrito a maneira como ele deverá ser respondido.
Após responder o questionário, colocá-lo no envelope, fechá-lo e enviá-lo
pelo malote para Karin Gracielle Rogério Silva na Coordenação Geral do SIAD.
108
Quadro 1 – Política de Segurança da Informação
Após ler cada frase a seguir, expresse sua opinião marcando com um X (xis)
no quadro correspondente e de acordo com a legenda abaixo:
1 – CONCORDA TOTALMENTE - (CT) 2 – CONCORDA, SÓ EM PARTE - (CP) 3 – É INDIFERENTE (NEM CONCORDA / NEM DISCORDA) – (IND) 4 – DISCORDA PARCIALMENTE - (DP) 5 – DISCORDA TOTALMENTE - (DT)
1. Sua opinião sobre a política de segurança da informação da SEPLAG.
FRASE 1
CT
2
CP
3
IND
4
DP
5
DT 1.1- Tenho conhecimento sobre a política de segurança da informação da SEPLAG
1.2- Participei do treinamento de apresentação da política de segurança da informação da SEPLAG
1.3- A SEPLAG tem uma boa política de segurança da informação no sentido de minimizar as ameaças aos sistemas de informação
1.4- O controle da segurança da informação da SEPLAG é muito rígido e dificulta o trabalho dos usuários dos sistemas de informação
1.5- A segurança da informação é um modismo que logo será esquecido.
1.6- A realidade do dia-a-dia da SEPLAG é diferente do que diz a política de segurança
1.7- A SEPLAG oferece os instrumentos (meios) para a prática da política de segurança da informação.
1.8- No ambiente organizacional da SEPLAG a informação deve circular livremente, sem controles.
Comentários adicionais:
Quadro 2 – Práticas de Segurança da Informação
Após ler cada frase a seguir, assinale com um X (xis) à frente da expressão
que está mais próxima de seu hábito diante de cada uma das situações
apresentadas. Procure explicar justificando sua resposta.
2. Responda às questões assinalando a opção correspondente às práticas adotadas diante de cada uma das situações apresentadas:
109
Situação Sempre Freqüentemente
Às Vezes
Rara-mente
Nunca
2.1 Ao me ausentar do local de trabalho bloqueio a minha estação de trabalho por meio de protetor de tela, ou efetuo logout da rede corporativa.
Justificativa:
2.2 Ao final do expediente desligo a minha estação de trabalho.
Justificativa:
2.3 Utilizo minha estação de trabalho somente para atividades profissionais.
Justificativa:
2.4 Considerando os recursos da rede mundial faço download e instalo software baixados da Internet na minha estação de trabalho.
Justificativa:
2.5 Considerando as peculiares características de trabalho na SEPLAG permito o compartilhamento de diretórios (pastas) sem o uso de senhas.
Justificativa:
2.6 A rotina exigente de prazos no trabalho da SEPLAG permitem o consumo de alimentos sólidos ou líquidos ao trabalhar na minha estação de trabalho.
Justificativa:
2.7 Realizo cópia de segurança (backup) dos dados da SEPLAG que se encontram na minha estação de trabalho.
Justificativa:
2.8 Em horas livres utilizo jogos na minha estação de trabalho para relaxar.
Justificativa:
2.9 Reporto à área de informática os incidentes de segurança da informação que identifico.
Justificativa:
2.10 Considerando que passo o dia no trabalho, utilizo a Internet disponibilizada pela SEPLAG para assuntos particulares.
Justificativa:
Situação Sempre Freqüentemente
Às Vezes
Rara-mente
Nunca
2.11 Ao utilizar a Internet o faço respeitando direitos autorais, regras de licenciamento de software, direitos de propriedade, privacidade e proteção de propriedade intelectual.
110
Justificativa:
2.12 Quando transfiro arquivos com dados sigilosos da SEPLAG, pela Internet, utilizo senhas.
Justificativa:
2.13 Como recurso de comunicação, utilizo software de comunicação instantânea, tais como ICQ, Microsoft Messenger e afins na minha estação de trabalho.
Justificativa:
2.14 Como recurso de comunicação, utilizo salas de bate papo (chats) através de minha estação de trabalho.
Justificativa:
2.15 Ao atualizar as senhas de acesso, utilizo senhas distintas das anteriores.
Justificativa:
2.16 Crio senhas baseadas em nomes, sobrenomes ou iniciais de pessoas conhecidas, datas de eventos pessoais, placas de carro.
Justificativa:
2.17 Considerando minha privacidade registro minhas senhas em papel para facilitar o meu acesso.
Justificativa:
2.18 Considerando o grau de confiança entre nós funcionários da SEPLAG, empresto a senha de acesso ao sistema para uma pessoa poder acessar o sistema no caso de minha ausência.
Justificativa:
2.19 Considerando o grau de confiança entre nós funcionários da SEPLAG, acesso a rede corporativa da SEPLAG com a identificação de outro usuário.
Justificativa:
2.20 Procuro conhecer as normas da SEPLAG a respeito do uso de computadores e sistemas computacionais.
Justificativa:
111
APÊNDICE B – COMENTÁRIOS DOS USUÁRIOS SOBRE AS QUESTÕES DA PESQUISA
Avaliação sobre Segurança da Informação
Quadro 1 – Política de Segurança da Informação
Sua opinião sobre a política de segurança da informação da SEPLAG.
Comentários adicionais:
1 – A SEPLAG oferece os instrumentos para a prática da PSI, porém a realidade
do dia-a-dia é diferente. Existe uma certa resistência por parte do funcionário e
também um costume. Ex. existe Office boy operando o sistema.
2- Alguns sites seguros que precisamos estão bloqueados
3- Há um setor responsável pela PSI. Na intranet são exibidas informações adicionais. O controle em todos os equipamentos é uma meta muito difícil de ser alcançada.
4- Na SEPLAG não há controle, há vigilância. Controle diz respeito a gestão, responsabilidade. Controle diz respeito a falta de competência para gerenciar.
5- O controle feito pela SEPLAG não consegue ser 100% efetivo. Imagino que seja por falta de uma tecnologia mais avançada dos equipamentos utilizados.
6- A definição da segurança da informação não deve ser geral. Mas sendo deve-se permitir brechas (autorizadas), avaliando caso a caso.
7- Considero que a PSI da SEPLAG ainda é incipiente, mas trata-se de uma iniciativa louvável e que vem sendo aperfeiçoada.
8- Não tenho conhecimento específico da PSI da SEPLAG.
9- Embora a segurança da informação seja necessária e serve de proteção a todos, muitos não se dão conta disso e com certeza, logo será esquecida. Devida a urgência, muitas vezes essa é quebrada, sendo necessário passar a senha para que o trabalho continue.
10- Acho que deveria haver mais reuniões da PSI, pois o povo esquece muito rápido as coisas. É muito importante a Política de Segurança da Informação.
11- Quanto ao item 1.3 (A SEPLAG tem uma boa política de segurança da informação no sentido de minimizar as ameaças aos sistemas de informação), não acredito que a SEPLAG atualiza os antivírus freqüentemente e também não obriga as pessoas a mudarem de senhas freqüentemente.
12- Segurança é fundamental. Segurança da informação institucional não diz respeito à liberdade ou privacidade de servidores. Há que mudar a cultura organizacional.
112
Quadro 2 – Práticas de Segurança da Informação
2.1 Ao me ausentar do local de trabalho bloqueio a minha estação de trabalho por meio de protetor de tela, ou efetuo logout da rede corporativa.
Justificativa: 1- Fico constantemente no meu local de trabalho, mas quando me ausento tenho protetor de
tela com bloqueio. 2- Sempre coloco na tela de login do Windows. 3- O sistema já bloqueia a estação depois de um certo tempo, sem precisar de bloquear
manualmente. 4- É automático. 5- Orientação da PSI é para evitar acessos indevidos. 6- Segurança do sistema. 7- A estação é instrumento de trabalho. O que se faz nela deve ser de domínio e
conhecimento de todos. 8- Às vezes quando vou a outra sala não faço o bloqueio da minha estação. 9- Por motivo de segurança. 10- Para evitar uso indevido de um equipamento. 11- É norma de segurança. 12- Para evitar o uso incorreto de minha estação. 13- Sempre que me ausento eu bloqueio a minha estação de trabalho. 14- Bloqueio. 15- As informações que estão na estação são de caráter público. A estação ou melhor a
máquina não é particular. 16- Principalmente para ninguém ver o que estou fazendo em termos pessoais. 17- Por meio da minha senha individual. 18- Através de senhas. 19- Para evitar transtornos. 20- Não quero interferência de outros. 21- Para que outras pessoas não consigam acessar meus dados e arquivos. 22- Quando vou me ausentar por muito tempo sempre bloqueio a estação. 23- Raramente me ausento da área de trabalho. Nas horas que acontece é na hora do almoço
quando fecho todas as minhas pastas. 24- Protetor de tela.
113
2.2 Ao final do expediente desligo a minha estação de trabalho.
Justificativa: 1- Não compartilho a minha estação na rede e não há motivo para a mesma ficar ligada. 2- Segurança do sistema. 3- Economizar energia. 4- Ninguém mais a usa. Saímos todos no mesmo horário. Não é conveniente deixar ligada. 5- Por segurança e para economizar energia. 6- Para conservação do mesmo. 7- Quase sempre, pois não sou o único usuário. 8- Para evitar o uso incorreto de minha estação. 9- Cuidado com o equipamento. 10- A impressora primária está ligada no meu computador, mas faço logoff. 11- Onde trabalho a agenda está ligada em rede e o meu computador deve ficar ligado para as
pessoas visualizarem. Eu só bloqueio. Raramente desligo. 12- Porque é o óbvio. 13- Evitar todo o tipo de problemas inclusive desperdício de energia. 14- É dever do servidor cuidar da sua ferramenta de trabalho.
2.3 Utilizo minha estação de trabalho somente para atividades profissionais.
Justificativa: 1- Muitas pessoas almoçam no local do trabalho e utilizam nesse horário a estação de
trabalho para atividades particulares. 2- Quando estou disponível acesso meus e-mails e faço trabalho da faculdade. 3- É para isso que serve. 4- Ao final do dia checo meu e-mail pessoal e leio notícias. 5- Também leio jornal e acesso e-mail pessoal. 6- Consulto coisas particulares como o site da faculdade e trabalho da escola. 7- Nem há tempo para outras coisas. 8- Às vezes busco algum site de pesquisa. 9- No meu horário de almoço utilizo minha estação de trabalho para olhar meu e-mail
(particular) e sites. 10- Consulto e-mail particular e sites. 11- Uma vez ou outra necessitamos encaminhar e–mail pessoal. É mais barato que o uso do
telefone. 12- Utilizo para fins pessoais também, como ler noticias trocar alguns e-mails. 13- No horário de intervalo utilizo internet particular. 14- Intervalo lanche. 15- Tenho coisas pessoais também. 16- Às vezes redijo alguma coisa do mestrado. 17- É esta a finalidade dela. Só em caso de indisponibilidade do sistema vejo algo particular. 18- Utilizo também para consultas e e-mails pessoais. 19- Em alguns momentos leio e-mails pessoais ou outros sites de notícias. 20- Em horário de almoço utilizo a internet para fins pessoais. 21- Na hora do almoço leio algumas informações em determinados endereços. 22- Utilizo também para movimentações bancárias pessoais e ler e-mails.
114
2.4 Considerando os recursos da rede mundial faço download e instalo softwares baixados da Internet na minha estação de trabalho.
Justificativa: 1- Rede bloqueada. 2- Bloqueado. 3- O sistema é bloqueado. 4- É bloqueado pela SEPLAG. 5- É bloqueado. 6- O sistema tem um bloqueio que evita instalar qualquer programa. Só é permitido com
autorização do administrador. 7- Não é permitido fazer download e instalar software. 8- Os usuários não têm acesso. 9- Este tipo de função só pode ser realizado pelo pessoal da área de informática. 10- Não é permitido. 11- É bloqueado qualquer download. 12- Sistema bloqueia. 13- Além de não ser necessário há a “vigilância”. 14- Instalo somente software de uso necessário (ex. Java). 15- A rede é bloqueada e eu nem sei fazer isso. 16- Porque é bloqueado. 17- O sistema de download é bloqueado. 18- O computador é para executar trabalhos e é preciso ter cuidado com outros softwares. 19- É bloqueado. 20- Existe bloqueio. E até para acertar a hora preciso do administrador da rede. 21- Download são proibidos na SEPLAG, o que é correto. 22- Download são bloqueados na SEPLAG. 23- Referente a serviço. 24- Aqui na SEPLAG bloqueiam esse acesso. 25- Não é de minha propriedade. É ilegal e nem sei fazer isso. 26- Os controles da SEPLAG não permitem o download de vários softwares. Assim baixo
apenas arquivos de e-mail. 27- O download é até liberado, mas a instalação somente pelo administrador. 28- As estações de trabalho são bloqueadas para instalação de software. 29- Na SEPLAG esse tipo de serviço é bloqueado. 30- Bloqueado. 31- A estação é bloqueada. Mesmo se houvesse a possibilidade não instalaria.
115
2.5 Considerando as peculiares características de trabalho na SEPLAG permito o compartilhamento de diretórios (pastas) sem o uso de senhas.
Justificativa: 1- Os computadores do setor são compartilhados com a equipe. 2- Nessa diretoria existem pastas específicas que são compartilhadas. 3- Existem somente duas pastas nessa diretoria que são compartilhadas por todos os
coordenadores e outra pela equipe da diretoria sem o uso de senha. 4- Compartilho com minha chefa. 5- Compartilhamentos sem senhas permitem o acesso a informações restritas e
vulnerabilidades quanto a transmissão de vírus. 6- Necessidade de trabalho. 7- A estação é instrumento de trabalho. O que se faz nela deve ser de domínio e
conhecimento de todos. 8- Existem documentos de constante atualização que devem ser acessados por vários
usuários. 9- Algumas pastas de trabalho são compartilhadas. 10- Há conteúdos de sigilo. 11- Estamos no serviço público. 12- Entre colegas da minha diretoria. 13- Porque não é seguro. 14- Para eventualidades ausência em férias, etc. 15- Os únicos dados que compartilho sem o uso de senhas são ofícios, notas técnicas, etc. por
meio da rede comum: rascunho. 16- Apenas pastas com arquivos que realmente devem ser compartilhados. 17- Algumas pastas são compartilhadas sem senha devido ao grande número de usuários que
as acessam. 18- Qualquer servidor que estiver na rede (DCGDS) consegue abrir nossas pastas.
2.6 As rotinas exigentes de prazos no trabalho da SEPLAG permitem o consumo de alimentos sólidos ou líquidos ao trabalhar na minha estação de trabalho.
Justificativa: 1- Às vezes acontecem pela dificuldade de controle. 2- Há lugares específicos. 3- Quando vou alimentar-me é na hora do almoço. 4- Não é necessário, mas eu deixo minha garrafa de café na estação. 5- A ausência de cantina causa esse tipo de situação. 6- Primeiro porque o espaço é exíguo e pode provocar dano. 7- Porém na prática nunca somos fiscalizados. 8- Isso acontece às vezes, mas não necessariamente devido a exigência de prazos, e sim por
comodismo. Posso lanchar e ler noticias em um site, por exemplo. 9- É expressamente proibido, porém não são todos que respeitam. Já até circulou um memo
sobre isso. 10- Mas muitos consomem (marcou nunca). 11- Com o devido cuidado, forrando a mesa e distante do computador (marcou raramente).
116
2.7 Realizo cópia de segurança (backup) dos dados da SEPLAG que se encontram na minha estação de trabalho.
Justificativa: 1- Problema de rede. 2- Ainda não houve necessidade. 3- Segurança. 4- Para preservar as informações. 5- Trabalho realizado pela diretoria de informática (marcou nunca). 6- O bloqueio também não permite ou não me informaram. 7- De dois em dois meses aproximadamente. 8- Não há necessidade. 9- Só quando necessário. 10- A única forma de backup que faço dos arquivos mais importantes é enviando-os para o
meu e-mail pessoal. 11- Salvo os arquivos mais importantes em outra estação em pastas compartilhadas e na
minha estação. 12- Os trabalhos realizados na área são complexos, perde-los é impensável.
2.8 Em horas livres utilizo jogos na minha estação de trabalho para relaxar.
Justificativa: 1- Muitas pessoas almoçam no local do trabalho e utilizam nesse horário a estação de
trabalho para atividades particulares. 2- Antecipo os trabalhos. 3- Não os tenho e nem gosto. 4- É bloqueado. 5- Prefiro relaxar ouvindo musica ou outra forma extra computador. 6- Tenho aversão a esse tipo de distração. 7- Acho isso imoral. 8- Apenas os recebidos por e-mail e salvo nos meus documentos. 9- Não acho certo. 10- Aproveito para outras atividades (marcou nunca). 11- O uso não é permitido, mas raramente utilizo jogos “inofensivos” à rede. 12- Não há jogos instalados nas máquinas. 13- Não tenho esse costume. 14- Gostaria de relaxar. Mas não posso ou não consigo.
2.9 Reporto à área de informática os incidentes de segurança da informação que identifico.
Justificativa: 1- Reporto à chefia imediata. 2- Ainda não aconteceram. 3- Estou aqui para isso. 4- Nunca presenciei nesse sentido. 5- Na verdade raramente ocorrem incidentes comigo. 6- Se for alguma situação simples que eu possa resolver eu mesmo faço. 7- Nem quando para trocar horário de verão eles vêm me atender. 8- Porque é o correto. 9- Quando necessário. 10- Incidentes que requerem reparos são sempre notificados, já que meu usuário é limitado. 11- Nunca ocorreu. 12- Sempre me preocupei com spam. A Prodemge instalou um programa de quarentena.
117
2.10 Considerando que passo o dia no trabalho, utilizo a Internet disponibilizada pela SEPLAG para assuntos particulares.
Justificativa: 1- Consulto trabalhos e e-mails da faculdade. 2- A realidade da organização demonstra que isso é prática constante. Sempre que o
funcionário possui tempo ocioso. 3- Atrasariam os trabalhos. 4- Falta de paciência. 5- Ao final do dia. 6- Leio jornais, acesso e-mail particular, faço compras. No entanto não é nada que prejudique
minhas metas de trabalho. 7- Necessidade de ficar bem informado sobre tudo. 8- No meu horário de almoço. 9- Consultar sites de acordo com a minha necessidade de informação. 10- Consultas em banco. 11- Passo e-mail pessoal e faço pesquisa sobre algum assunto da minha necessidade é mais
barato do que telefone. 12- Apenas os que têm que ser pela internet em horário comercial. 13- Nos horários de lanche. 14- No horário do intervalo. 15- Em intervalo de lanche. 16- Dentro do que é permitido. 17- Mas muito pouco por dia. 18- Só quando necessário durante aquele período e o sistema em que trabalho apresentou
problema. 19- Para pagamento de contas, uso de e-mail pessoal, etc. 20- Leio sempre meus e-mails e sites de notícias e atualidades. 21- Somente nas horas vagas. 22- Só uso meu e-mail. 23- Apenas quando há uma emergência.
2.11 Ao utilizar a Internet o faço respeitando direitos autorais, regras de licenciamento de software, direitos de propriedade, privacidade e proteção de propriedade intelectual.
Justificativa: 1- O uso da Internet não pode interferir nisso. 2- Não me enquadro nesse item, pois não sou administradora da rede. 3- Mando noticia / reportagem por e-mail para outras pessoas, mas não sei se isso é ilegal. 4- Considero que as restrições da política de segurança da SEPLAG direcionam nesse
sentido. 5- No trabalho sim. Ao acessar de casa nem sempre verifico esses requisitos. 6- É tão simples descobrir autoria na Internet...
118
2.12 Quando transfiro arquivos com dados sigilosos da SEPLAG, pela Internet, utilizo senhas.
Justificativa: 1- Não transfiro arquivos (marcou nunca). 2- Nunca transito arquivos sigilosos (marcou nunca). 3- Nunca realizo essa atividade (marcou nunca). 4- Não transfiro dados sigilosos (marcou nunca). 5- Não faz parte do meu trabalho (marcou nunca). 6- Não trabalho com tal tipo de informação. 7- Nunca ocorreu a necessidade de transferir arquivos sigilosos. 8- Nunca transfiro. 9- Não faz parte da minha rotina de trabalho. 10- Não trabalho com dados sigilosos. 11- Não me ensinaram como fazer isso. 12- Não se aplica. Os usuários do cadastro só inserem ou excluem dados de fornecedores. 13- Nunca fiz, mas se for preciso, utilizarei senha para minha segurança. 14- Normalmente não trabalho com dados sigilosos. 15- Não é necessário. 16- Não realizo esse tipo de operação. 17- Não é necessário. 18- Não faço esse tipo de trabalho (não respondeu). 19- Segurança. 20- Geralmente envio o e-mail apenas para os destinatários interessados. 21- Acredito que os arquivos com os quais trabalho não são sigilosos assim. 22- Possuo certificação digital.
119
2.13 Como recurso de comunicação, utilizo software de comunicação instantânea, tais como ICQ, Microsoft Messenger e afins na minha estação de trabalho.
Justificativa: 1- Rede bloqueada. 2- É bloqueado pela instituição. Só com autorização. 3- São bloqueados. 4- São bloqueados na SEPLAG. 5- São sistemas bloqueados pelo órgão. 6- É bloqueado. 7- Não utilizo. 8- Não tenho necessidade. 9- É travado, uso e-mail. 10- É bloqueado. 11- É bloqueado. 12- Não sei o que é. Utilizo o Outlook. 13- São proibidos deveriam estar abertos aos e-mails institucionais. É mais produtivo e mais
racional. 14- É bloqueado na SEPLAG, o que é correto. 15- Esses programas são bloqueados na SEPLAG. 16- A rede é bloqueada para esses recursos. 17- Não é permitido a SEPLAG bloqueia. 18- Nem em minha casa não gosto. 19- São bloqueados. 20- Não é permitida a utilização de tais programas. 21- As portas utilizadas por esses programas são bloqueadas na SEPLAG. 22- Esse tipo de serviço é bloqueado na SEPLAG. 23- Esse acesso é bloqueado na SEPLAG. 24- Bloqueado. 25- Não é permitido, mesmo se fosse não o faria. 26- Me comunico por e-mail. Utilizo o e-mail como documentação.
120
2.14 Como recurso de comunicação, utilizo salas de bate papo (chats) através de minha estação de trabalho.
Justificativa: 1- Rede bloqueada. 2- Bloqueado. 3- É bloqueado. 4- É Bloqueado. 5- É bloqueado pela instituição. 6- Só com autorização. 7- São bloqueados. 8- São bloqueados na SEPLAG. 9- É bloqueado. 10- Não utilizo. 11- Não gosto. Acho chatíssimo. 12- É travado, uso e-mail. 13- É bloqueado. 14- Bloqueado. 15- Está bloqueado. 16- É bloqueado. 17- São proibidos deveriam estar abertos aos e-mails institucionais. É mais produtivo e mais
racional. 18- É bloqueado na SEPLAG, o que é correto. 19- Esses programas são bloqueados na SEPLAG. 20- É bloqueado. 21- Rede bloqueada. 22- É bloqueado. 23- Nem em minha casa não gosto. 24- São bloqueados. 25- Chats são bloqueados na rede SEPLAG. 26- É bloqueado. 27- Bloqueado. 28- Não é permitido, mesmo se fosse não o faria
2.15 Ao atualizar as senhas de acesso, utilizo senhas distintas das anteriores.
Justificativa: 1- O sistema SIAD sempre pede atualização de senha c/ periodicidade determinada. A nova
senha possui regras rígidas. 2- Principalmente no SIAD que são solicitados senhas diferentes da anterior. 3- Segurança do sistema. 4- Não há necessidade. 5- O sistema só permite usar a mesma senha depois da oitava troca. 6- Por segurança. 7- Para o sistema que administro, sim. 8- Quase nunca atualizo, pois é difícil memorizar tantas senhas. Mas acredito que o SIGPLAN
deveria exigir isso. 9- É bloqueado. 10- O próprio SIAD, sistema que utilizo, estabelece essa exigência. 11- O sistema que utilizo me obriga a mudar a senha a cada três meses sem poder repeti-la. 12- Sempre a mesma senha. 13-
121
2.16 Crio senhas baseadas em nomes, sobrenomes ou iniciais de pessoas conhecidas, datas de eventos pessoais, placas de carro.
Justificativa: 1- O SIAD tem regras próprias para criação de senhas. Utilizo tais regras para as demais
senhas. 2- São senhas mais fáceis de memorização. 3- Uso as primeiras letras de uma frase. 4- Diversifico ao máximo. 5- Criar outras é mais seguro. 6- Escolho aleatoriamente ao significado a mim. 7- Haja imaginação para o período da troca. 8- Facilita a memorização e evita ter que anotá-la. 9- A memorização é mais fácil. 10- Nome de frutas ou bichos. 11- Não respondo sobre lógica de criação de senha.
2.17 Considerando minha privacidade registro minhas senhas em papel para facilitar o meu acesso.
Justificativa: 1- Só no inicio de sua utilização depois eu as memorizo. 2- Memorizo e registro de outra forma. 3- Não tenho boa memória para isso (marcou sempre). 4- Apenas anoto até memorizar, depois elimino. 5- Tenho boa memória. 6- Registro em minha agenda do ao correte discretamente. A agenda fica na gaveta da
estação de trabalho trancada com chave. 7- Registro de modo que ninguém descobre isso até eu gravar a senha. Depois rasgo o papel
e jogo fora. 8- Memorizo todas as minhas senhas. 9- Só para a criação depois não é mais necessário. 10- Quem registra senha desconsidera sua privacidade ou segurança.
2.18 Considerando o grau de confiança entre nós funcionários da SEPLAG, empresto a senha de acesso ao sistema para uma pessoa poder acessar o sistema no caso de minha ausência.
Justificativa: 1. Para grupo muitíssimo restrito. Apenas pessoas de inteira confiança. 2. Somente para pessoa de confiança onde compartilho os mesmos tipos de serviço. 3. Pessoas de confiança. 4. Minha segurança. 5. Não tem sido necessário. 6. Ao meu estagiário. 7. Embora não trabalho com assuntos sigilosos, acho que cada um deve ser responsável pelo
o que faz. 8. Mas minhas chefas fazem isso. Para mim... 9. A secretária da parte da manhã utiliza minha senha devido ao compartilhamento do
Outlook do diretor. 10. Infelizmente vejo muita gente que sabe a senha dos outros. 11. Apenas para pessoal da minha coordenação. 12. SIAD/SISAP/SIPRO setor DCGDS/PV. 13. Somente a pessoas indicadas para substituição (férias). 14. O meu grau de confiança nas pessoas não me permite.
122
2.19 Considerando o grau de confiança entre nós funcionários da SEPLAG, acesso a rede corporativa da SEPLAG com a identificação de outro usuário.
Justificativa: 1- Só se for de minha necessidade. 2- Não tem sido necessário. 3- Quando tenho que pegar algum arquivo. Meu computador não está na rede. 4- Não tenho identificação de outro funcionário e nem pretendo ter. 5- Acesso com a senha da minha chefe quando preciso. 6- Somente quando o colega de trabalho necessita. 7- Trabalho com responsabilidade. Todas as instituições têm normas e regras que devem ser
seguidas. 8- Somente com autorização da mesma. 9- O meu grau de confiança nas pessoas não me permite
2.20 Procuro conhecer as normas da SEPLAG a respeito do uso de computadores e sistemas computacionais.
Justificativa: 1- Fiz isso somente uma vez por simples curiosidade. 2- Necessidade de serviço às vezes me impede. 3- Aqui é meu local de trabalho. 4- Como ser humano que sou e aprendeu respeito por tudo e todos. 5- Sempre procuro respeitar as normas da SEPLAG. 6- Respeito e sou respeitada pelos amigos da área de manutenção e administração de
informática, acredito que seja por respeito às normas.
123
APÊNDICE C – TABULAÇÃO DA PESQUISA UTILIZANDO O SOFTWARE SPSS - RESULTADOS Conhecimento da PSI
Frequency Percent Valid Percent Cumulative Percent
Valid Concordo totalmente
36 48,6 48,6 48,6
Concordo parcialmente
32 43,2 43,2 91,9
Indiferente 2 2,7 2,7 94,6 Discorda parcialmente
4 5,4 5,4 100,0
Total 74 100,0 100,0
Participação de treinamento da PSI
Frequency Percent Valid Percent Cumulative Percent
Valid Concordo totalmente
42 56,8 56,8 56,8
Concordo parcialmente
14 18,9 18,9 75,7
Discorda parcialmente
7 9,5 9,5 85,1
Discorda totalmente
11 14,9 14,9 100,0
Total 74 100,0 100,0
Qualidade da PSI da SEPLAG
Frequency Percent Valid Percent Cumulative Percent
Valid Concordo totalmente
26 35,1 35,1 35,1
Concordo parcialmente
32 43,2 43,2 78,4
Indiferente 8 10,8 10,8 89,2 Discorda parcialmente
6 8,1 8,1 97,3
Discorda totalmente
2 2,7 2,7 100,0
Total 74 100,0 100,0
Rigidez do controle de SI
Frequency Percent Valid Percent Cumulative Percent
Valid Concordo totalmente
4 5,4 5,4 5,4
Concordo parcialmente
32 43,2 43,2 48,6
Indiferente 10 13,5 13,5 62,2 Discorda parcialmente
15 20,3 20,3 82,4
Discorda totalmente
13 17,6 17,6 100,0
Total 74 100,0 100,0
124
A SI é um modismo
Frequency Percent Valid Percent Cumulative Percent
Valid Concordo totalmente
1 1,4 1,4 1,4
Concordo parcialmente
9 12,2 12,2 13,5
Indiferente 6 8,1 8,1 21,6 Discorda parcialmente
14 18,9 18,9 40,5
Discorda totalmente
44 59,5 59,5 100,0
Total 74 100,0 100,0
A SEPLAG oferece os instrumentos para a prática da SI
Frequency Percent Valid Percent Cumulative Percent
Valid Concordo totalmente
9 12,2 12,2 12,2
Concordo parcialmente
30 40,5 40,5 52,7
Indiferente 12 16,2 16,2 68,9 Discorda parcialmente
15 20,3 20,3 89,2
Discorda totalmente
8 10,8 10,8 100,0
Total 74 100,0 100,0
A realidade do dia-a-dia é diferente da PSI
Frequency Percent Valid Percent Cumulative Percent
Valid Concordo totalmente
28 37,8 37,8 37,8
Concordo parcialmente
28 37,8 37,8 75,7
Indiferente 11 14,9 14,9 90,5 Discorda parcialmente
3 4,1 4,1 94,6
Discorda totalmente
4 5,4 5,4 100,0
Total 74 100,0 100,0
A informação deve circular livremnente
Frequency Percent Valid Percent Cumulative Percent
Valid Concordo totalmente
7 9,5 9,5 9,5
Concordo parcialmente
14 18,9 18,9 28,4
Indiferente 8 10,8 10,8 39,2 Discorda parcialmente
12 16,2 16,2 55,4
Discorda totalmente
33 44,6 44,6 100,0
Total 74 100,0 100,0
125
Descriptive Statistics
N Minimum Maximum Mean Std. Deviation Bloqueio da estação 74 1 5 4,00 1,271 Desligamento da estação 74 2 5 4,85 0,566 Utilização da estação para trabalho 74 1 5 4,05 0,774
Download e instalação de software 74 1 5 4,69 0,875
Compartilhamento de pastas sem senha 73 1 5 3,23 1,477
Consumo de alimentos e bebidas na estação de trabalho.
74 1 5 3,51 1,138
Backup dos dados da SEPLAG que se encontram na estação
74 1 5 2,24 1,191
Utilização de jogos na estação de trabalho 74 1 5 4,53 0,798
Reporte dos incidentes de segurança 73 1 5 3,55 1,546
Utilização da Internet da SEPLAG 74 1 5 3,12 1,059
Respeito aos direitos autorais, regras de licenciamento, etc. na Internet
70 1 5 4,50 0,864
Transferência de arquivos sigilosos da SEPLAG com senha
66 1 5 2,82 1,745
Utilização de software de comunicação instantânea 72 1 5 4,64 0,969
Utilização de salas de bate papo (chats) na estação de trabalho
74 1 5 4,81 0,822
Utilização de senhas distintas das anteriores 73 1 5 3,85 1,421
Criação de senhas fracas 73 1 5 3,58 1,301 Registro de senhas em papel 73 1 5 4,44 1,027
Empréstimo de senha de acesso ao sistema 73 1 5 4,22 1,044
Acesso a rede corporativa 73 1 5 4,48 0,899 Busca pelo conhecimento das normas da SEPLAG 74 2 5 4,08 0,976
Média geral sem expurgo 3,96
126
8 ANEXOS
ANEXO A – CRIAÇÃO DO COMITÊ MULTIDISCIPLINAR DE SEGURANÇA DA INFORMAÇÃO
RESOLUÇÃO SEPLAG N° 002, DE 19 DE JANEIRO DE 2006
Institui o Comitê
Multidisciplinar de Segurança da
Informação da Secretaria de Estado
de Planejamento e Gestão - CMSI, e
dá outras providências.
O SECRETÁRIO DE ESTADO DE PLANEJAMENTO E GESTÃO,, no
uso das atribuições conferidas pelo art. 93 da Constituição do Estado de Minas
Gerais, e considerando a necessidade de implementar, no âmbito da Secretaria de
Estado de Planejamento e Gestão – SEPLAG/MG, processo sistemático e
abrangente para a gestão da segurança da informação,
RESOLVE:
CAPÍTULO I DISPOSIÇÕES PRELIMINARES
Art. 1º. Fica instituído o Comitê Multidisciplinar de Segurança da
Informação - CMSI, com a competência de deliberar sobre as diretrizes de
elaboração, implantação, acompanhamento e aperfeiçoamento da gestão da
segurança da informação, no âmbito da SEPLAG/MG.
§ 1º. Para os fins do disposto nesta Resolução a palavra Comitê e a
expressão Comitê Multidisciplinar de Segurança da Informação – CMSI se
equivalem.
127
Art. 2º. Para efeitos desta Resolução, ficam estabelecidos os
seguintes princípios e conceitos:
I - Segurança da Informação: conjunto de medidas que tem como
objetivo o estabelecimento dos controles necessários à proteção das informações
durante sua criação, aquisição, uso, transporte, guarda e descarte, contra
destruição, modificação, comercialização ou divulgação indevidas e acessos não
autorizados, acidentais ou intencionais, garantindo a continuidade dos serviços e a
preservação de seus aspectos básicos, a saber: confidencialidade, integridade,
disponibilidade, autenticidade e legalidade;
II - Confidencialidade: garantia de que a informação é acessível
somente por pessoas autorizadas;
III - Integridade: salvaguarda da exatidão e completude da informação
e dos métodos de processamento;
IIII - Disponibilidade: garantia de que os usuários autorizados
obtenham acesso à informação e aos ativos correspondentes;
IV - Autenticidade: garantia de que uma informação, produto ou
documento é do autor a quem se atribui;
V - Legalidade: garantia de que ações sejam realizadas em
conformidade com os preceitos legais vigentes e que seus produtos tenham validade
jurídica;
VI - Usuário: todos aqueles que exerçam, ainda que transitoriamente e
sem remuneração, por eleição, nomeação, designação, contratação ou qualquer
outra forma de investidura ou vínculo, mandato, cargo, emprego ou função pública
em Órgão ou Entidade da Administração Pública Estadual direta e indireta.
CAPÍTULO II DA ORGANIZAÇÃO DO COMITÊ
Art. 3º. O Comitê, subordinado ao Secretário de Estado de
Planejamento e Gestão, possui natureza permanente, deliberativa, avaliativa e
128
supervisora sobre assuntos relacionados à segurança da informação da
SEPLAG/MG.
Parágrafo Único. Não se incluem nas atribuições do Comitê a
apreciação de atos relacionados às atribuições legais das unidades administrativas
da SEPLAG/MG.
Art. 4º. O Comitê é composto por:
I – Secretário-Adjunto de Estado de Planejamento e Gestão;
II – Subsecretário de Planejamento e Orçamento;
III – Subsecretário de Gestão;
IV – Auditor Setorial;
V – Chefe de Gabinete.
§ 1º. O Comitê será coordenado pelo Secretário-Adjunto de Estado de
Planejamento e Gestão e, no seu impedimento, pelo Subsecretário de Gestão e pelo
Subsecretário de Planejamento e Orçamento, respectivamente.
§ 2º. Todos os membros do Comitê terão direito a voto e, à exceção
do Secretário-Adjunto de Estado de Planejamento e Gestão, deverão indicar dois
representantes suplentes em seus eventuais impedimentos.
§ 3º. Os membros do Comitê não poderão participar de processos
similares do setor privado.
§ 4º. Em nenhuma hipótese, a participação nas deliberações do
Comitê ensejará remuneração de qualquer espécie a qualquer membro, servidor ou
não, sendo considerado serviço público relevante.
CAPÍTULO III
DAS ATRIBUIÇÕES DO COMITÊ
Art. 5º. As atribuições do Comitê pautar-se-ão com vistas à
deliberação em assuntos relacionados ao planejamento, políticas e estratégias
direcionadas à segurança da informação da SEPLAG/MG.
129
Art. 6º. Fica atribuído ao Comitê, em caráter geral, estimular,
acompanhar e implementar, com o apoio das unidades administrativas da
SEPLAG/MG, condutas de segurança da informação.
CAPÍTULO III DO FUNCIONAMENTO DO COMITÊ
Art. 7º. O Comitê reunirá, ordinariamente, na última quinzena de cada
semestre, ou, extraordinariamente, por convocação do Coordenador do Comitê, por
solicitação da maioria de seus membros permanentes ou por convocação do
Secretário de Planejamento e Gestão, para avaliação e análise de assuntos de sua
competência.
Art. 8º. As deliberações nas reuniões do Comitê devem ser tomadas
por maioria simples dos seus membros permanentes e, em seus eventuais
impedimentos, por seus suplentes.
§ 1º. Haverá necessidade de quorum mínimo de metade e mais um
dos membros para votar as deliberações do Comitê.
§ 2º. Na hipótese de empate nas votações do Comitê, o Coordenador
decidirá por meio do voto de qualidade;
§ 3º. Do voto vencido caberá recurso dos membros do Comitê no
prazo de até 3 (três) dias da data da decisão, com efeito suspensivo, para o Comitê;
§ 4º. O Comitê decidirá o recurso no prazo de até 10 dias contados do
seu recebimento.
Art. 9. Nas reuniões do Comitê, os membros poderão estar
acompanhados de consultores devidamente credenciados, os quais não integrarão à
mesa e nem terão direito a voto nas deliberações.
Art. 10. A Superintendência Central de Governança Eletrônica
exercerá as atribuições de Secretaria Executiva e proverá o apoio técnico
administrativo necessário ao funcionamento do Comitê e a implementação de suas
deliberações.
130
CAPÍTULO V DAS DISPOSIÇÕES FINAIS
Art. 11. O Comitê poderá propor ao Secretário de Estado de
Planejamento e Gestão a alteração de sua composição ou de sua extinção por
maioria absoluta de seus membros.
Art. 12. As unidades administrativas da SEPLAG/MG deverão prestar
colaboração ao Comitê, mediante solicitação da Assessoria de Segurança da
Informação.
Art. 13. Compete aos membros do Comitê:
I - zelar pelo sigilo dos assuntos tratados nas reuniões;
II - votar as deliberações com independência;
III - apresentar estudos, projetos e proposições relativas às atribuições
do Comitê;
IV - solicitar diligências e auditorias internas no âmbito de atuação do
Comitê;
V - propor alterações desta Resolução, quando necessário;
VI – propor prioridades em determinados assuntos constantes da pauta
de reunião;
VII – justificar as eventuais ausências ou impedimentos;
VIII – declarar-se impedido ou suspeito;
IX – pedir adiamento da matéria a ser deliberada pelos membros do
Comitê;
X – comunicar à Assessoria de Segurança da Informação, com
antecedência mínima de 24 (vinte e quatro) horas, a sua ausência, para convocação
do respectivo suplente;
Parágrafo único - O disposto neste artigo aplica-se, no que couber, aos
componentes da Assessoria de Segurança da Informação.
Art. 14. Esta Resolução entra em vigor na data de sua publicação.
131
Belo Horizonte, aos 19 de janeiro de 2006,
ANTÔNIO AUGUSTO ANASTASIA
Secretário de Estado de Planejamento e Gestão
132
ANEXO B – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA SEPLAG – DIRETRIZES
RESOLUÇÃO N° 011, DE 20 DE FEVEREIRO DE 2006.
Institui a Política de Segurança da Informação no
âmbito da Secretaria de Estado de Planejamento e
Gestão do Estado de Minas Gerais
O SECRETÁRIO DE ESTADO DE PLANEJAMENTO E GESTÃO, no uso das
atribuições conferidas pelo art. 93 da Constituição do Estado de Minas Gerais, e pelo art. 3 da
Resolução SEPLAG nº 02, de 19 de janeiro de 2006,
RESOLVE
Art.1º Fica instituída a Política de Segurança da Informação da Secretaria de Estado
de Planejamento e Gestão – SEPLAG/MG, constituída por um conjunto de diretrizes e
normas que estabelecem os princípios de proteção, controle e monitoramento das informações
processadas, armazenadas ou custodiadas por suas unidades administrativas.
Art.2º A Política de Segurança da Informação da SEPLAG/MG se aplica a todos
aqueles que exerçam, ainda que transitoriamente e sem remuneração, por eleição, nomeação,
designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo,
emprego ou função pública em alguma unidade administrativa vinculada a sua estrutura
Art.3º Para efeitos desta Resolução, ficam estabelecidos os seguintes princípios e
conceitos:
I- Segurança da Informação: conjunto de medidas que tem como objetivo o
estabelecimento dos controles necessários à proteção das informações durante sua criação,
aquisição, uso, transporte, guarda e descarte, contra destruição, modificação, comercialização
ou divulgação indevidas e acessos não autorizados, acidentais ou intencionais, garantindo a
continuidade dos serviços e a preservação de seus aspectos básicos, a saber:
confidencialidade, integridade, disponibilidade, autenticidade e legalidade;
133
II- Confidencialidade: garantia de que a informação é acessível somente por pessoas
autorizadas;
III- Integridade: salvaguarda da exatidão e completude da informação e dos métodos
de processamento;
IV- Disponibilidade: garantia de que os usuários autorizados obtenham acesso à
informação e aos ativos correspondentes;
V- Autenticidade: garantia de que uma informação, produto ou documento é do autor
a quem se atribui;
VI- Legalidade: garantia de que ações sejam realizadas em conformidade com os
preceitos legais vigentes e que seus produtos tenham validade jurídica;
VII- Usuário: todos aqueles que exerçam, ainda que transitoriamente e sem
remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de
investidura ou vínculo, mandato, cargo, emprego ou função pública em Órgão ou Entidade da
Administração Pública Estadual direta e indireta.
Art.4º A Política de Segurança da Informação da SEPLAG/MG tem como diretrizes:
I- Proteção da Informação
a) As informações geradas, adquiridas, armazenadas, processadas, transmitidas e
descartadas pelas unidades administrativas devem ter mecanismos de proteção adequados, de
forma a proteger sua confidencialidade, integridade, disponibilidade, autenticidade e
legalidade.
b) Os mecanismos de proteção devem estar em conformidade com a legislação
vigente, com o Código de Conduta Ética do Servidor Público e da Alta Administração
Estadual. É recomendável que os mecanismos de proteção tenham como suporte a versão
vigente da norma NBR ISO/IEC 17799 e a série 27000 da ISO.
II- Classificação da Informação
a) As informações devem ser classificadas de forma a serem protegidas
adequadamente. Enquanto não existe uma norma geral para a SEPLAG/MG, cada unidade
administrativa é responsável pela definição dos critérios de classificação no âmbito de sua
competência, de acordo com os termos previstos em Lei.
III- Controle de acesso às informações
a) Toda informação utilizada pelas unidades administrativas deve ter seu acesso
controlado de acordo com a sua classificação.
b) As informações referentes aos cidadãos, que estejam sob a custódia da
SEPLAG/MG, devem ter seus acessos controlados e restringidos, visando garantir, assim, o
134
direito individual e coletivo das pessoas, a inviolabilidade de sua intimidade e o sigilo de suas
informações, nos termos previstos em Lei.
IV- Educação em Segurança da Informação
a) Os usuários devem ser instruídos para a correta utilização das informações e dos
recursos computacionais disponibilizados pela SEPLAG/MG
V- Responsabilidade pela Segurança da Informação
a) O usuário é responsável pela segurança das informações a que tenha acesso.
b) O usuário deve notificar à área responsável pela segurança da informação em
casos de suspeita ou violação das regras ou em caso de falhas de Segurança da Informação.
VI- Gestão de Continuidade do Negócio
a) A SEPLAG/MG é responsável por elaborar e manter um plano de continuidade de
negócios, de acordo com a sua necessidade, de forma a reduzir os impactos decorrentes da
interrupção de serviços causada por desastres ou falhas da segurança.
Art.5º Para os fins desta resolução compete:
I– Ao Comitê Executivo de Governança Eletrônica:
a) Coordenar as ações necessárias para a implantação do Modelo de Gestão de
Segurança da Informação;
b) Avaliar periodicamente a Segurança da Informação, por meio da análise de
indicadores e recomendar ações corretivas e preventivas.
II– Ao Comitê Multidisciplinar de Segurança da Informação
a) Deliberar sobre assuntos relacionados ao planejamento, políticas e estratégias
direcionadas à segurança da informação.
III- À área funcional
a) Identificar necessidades específicas de Segurança da Informação e propor
implementações necessárias;
b) Elaborar documentos necessários à Segurança da Informação;
c) Elaborar e manter indicadores de Segurança da Informação;
d) Elaborar, manter e implementar o Plano de Continuidade dos Negócios;
e) Elaborar programas de treinamento e de conscientização em Segurança da
Informação;
f) Analisar os incidentes de segurança da informação e recomendar correções
necessárias.
IV- Auditoria Setorial
135
a) Verificar o cumprimento da Política de Segurança da Informação da SEPLAG/MG
e recomendar as ações corretivas necessárias.
Art.6º O não cumprimento da Política de Segurança da Informação da SEPLAG/MG
está sujeito às penalidades previstas em Lei.
Art.7º Esta Resolução entra em vigor na data de sua publicação.
Belo Horizonte, aos 20 de fevereiro de 2006,
ANTÔNIO AUGUSTO ANASTASIA
Secretário de Estado de Planejamento e Gestão
136
ANEXO C – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA SEPLAG INSTITUI AS NORMAS DE SEGURANÇA DA INFORMAÇÃO
RESOLUÇÃO SEPLAG Nº. 060, de 26 de setembro de 2006.
Institui as Normas de Segurança da Informação na
Secretaria de Estado de Planejamento e Gestão.
A SECRETÁRIA DE ESTADO DE PLANEJAMENTO E GESTÃO, no uso da
atribuição prevista no inciso I, § 1º, do art. 93, da Constituição do Estado de Minas Gerais,
RESOLVE:
Art. 1º Ficam instituídas as “Normas de Segurança da Informação”, de aplicação no âmbito
da Secretaria de Estado de Planejamento e Gestão – SEPLAG.
Parágrafo único. As Normas de Segurança da Informação para o usuário, são subdivididas
em Norma de Utilização de Estação de Trabalho, Norma de Utilização de Senhas e Norma de Utilização de
Internet.
Art. 2º As Normas estabelecem os regulamentos para utilização de estações de trabalho, de
senhas e de Internet e a sua aplicabilidade aos usuários da SEPLAG.
Art. 3º As Normas estarão disponíveis para consulta e conhecimento no sítio eletrônico
intranet.planejamento.mg.gov.br .
Art. 4º. Compete à Superintendência Central de Governança Eletrônica –
SCGE, por meio da Diretoria Central de Gestão da Informação – DCGI, a atualização das
Normas referidas nesta Resolução, em caso de haver alguma modificação da legislação, dos
critérios e procedimentos.
Art. 5º Esta Resolução entra em vigor na data de sua publicação.
Art. 6º Revogam-se as disposições em contrário.
Belo Horizonte, 26 de setembro de 2006.
RENATA MARIA PAES DE VILHENA
Secretária de Estado de Planejamento e Gestão
137
ANEXO D – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA SEPLAG – NORMA DE
UTILIZAÇÃO DA ESTAÇÃO DE TRABALHO
SECRETARIA DE ESTADO DE PLANEJAMENTO E GESTÃO SUPERINTENDÊNCIA CENTRAL DE GOVERNANÇA ELETRÔNICA DIRETORIA CENTRAL DE GESTÃO DA INFORMAÇÃO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
NORMAS DE USUÁRIOS
UTILIZAÇÃO DE ESTAÇÃO DE TRABALHO
1. FINALIDADE
1.1. Estabelecer os regulamentos para a utilização de estações de trabalho da SEPLAG.
2. APLICABILIDADE
2.1. Todos os usuários da SEPLAG.
3. CONCEITOS
3.1. Antivírus – Programa que permite identificar e eliminar vírus em computadores.
3.2. ASI – Área responsável pela Segurança da Informação na SEPLAG.
3.3. Backup – Cópia de segurança de dados feita para salvaguardar arquivos.
3.4. Estação de trabalho – Todos os computadores, notebooks e PDAs da SEPLAG interligados ou não na rede corporativa.
3.5. Hardware - É todo e qualquer dispositivo que é físico em um computador. Exemplo monitor, gabinete, impressora, mouse, unidade de CD, unidade de DVD, entre outros.
3.6. Incidente de Segurança da Informação – É uma indicação de eventos, indesejados ou inesperados, que podem ameaçar a Segurança da Informação.
3.7. Logout – Processo de saída no sistema.
3.8. Mídias – Meio físico utilizado para armazenar dados, tais como fitas, discos, CDs, entre outros.
3.9. PDA (Personal Digital Assistant ou Assistente Pessoal Digital) – Computador de mão com possibilidade de interconexão com um computador pessoal ou com uma rede para acesso a sistemas.
3.10. Rede Corporativa – São computadores e outros dispositivos interligados que compartilham informações ou recursos da SEPLAG.
3.11. Senha – Validação da identidade do usuário para obtenção de acesso a um sistema de informação ou serviço.
3.12. Sistema Operacional - Programa ou conjunto de programas que responde pelo controle da alocação dos recursos do computador, como memória, tempo de processador, espaço em disco e outros dispositivos.
3.13. Software – Programa de computador.
3.14. Usuário – É todo aquele que exerça, ainda que transitoriamente e sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função pública em Órgão ou Entidade da Administração Pública Direta e Indireta do Estado de Minas Gerais.
138
SECRETARIA DE ESTADO DE PLANEJAMENTO E GESTÃO SUPERINTENDÊNCIA CENTRAL DE GOVERNANÇA ELETRÔNICA DIRETORIA CENTRAL DE GESTÃO DA INFORMAÇÃO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
NORMAS DE USUÁRIOS
UTILIZAÇÃO DE ESTAÇÃO DE TRABALHO
4. REGRAS GERAIS
4.1. As estações de trabalho são disponibilizadas aos usuários como uma ferramenta de apoio às atividades profissionais e seu uso deve ser restrito às atividades relacionadas com os negócios/serviços da SEPLAG.
4.2. A estação de trabalho é disponibilizada após o usuário assinar o Termo de Responsabilidade, anexo a este documento.
4.3. O uso das estações de trabalho é permitido apenas a usuários autorizados.
4.4. Todo usuário deve bloquear, por meio de protetor de tela, sua estação de trabalho ou efetuar logout da rede corporativa antes de se ausentar do seu local de trabalho.
4.5. O usuário deve desligar a sua estação de trabalho no final do expediente.
4.6. Somente softwares autorizados pela Área de Informática devem ser instalados nas estações de trabalho.
4.7. Os dispositivos sem utilização nas estações de trabalho devem ser desabilitados.
4.7.1. Em caso de necessidades específicas, a habilitação pode ser efetuada mediante justificativa do usuário e com autorização da Área de Informática.
4.8. O compartilhamento de diretórios (pastas) somente é permitido com senha de acesso.
4.9. O usuário deve evitar comer, fumar ou beber próximo as estações de trabalho.
4.10. Os acessos às estações de trabalho com privilégios de administrador são restritos à Área de
Informática.
4.10.1. As exceções devem ser solicitadas pela chefia imediata do usuário com justificativa e liberada após avaliação e autorização da Área de Informática.
4.11. O backup e a guarda das informações armazenadas nas estações de trabalho são de responsabilidade do usuário.
4.12. Os serviços de expansão, substituição ou manutenção das estações de trabalho e dos softwares devem ser executados somente pela Área de Informática.
4.13. A utilização de mídias particulares para armazenamento de informações da SEPLAG devem ser monitoradas pela direção.
5. NÃO É PERMITIDO
5.1. Conectar qualquer dispositivo não autorizado pela Área de Informática nas estações de trabalho.
5.2. Conectar qualquer estação de trabalho na rede corporativa da SEPLAG sem autorização da Área de Informática.
5.3. Violar os lacres das estações de trabalho.
5.4. Alterar a configuração de hardware e de software da estação de trabalho sem autorização da Área de informática.
5.5. Deixar os notebooks e PDAs desprotegidos em locais de alto risco de furto e roubo, tais como: locais públicos, eventos, hotéis, carros, entre outros.
139
SECRETARIA DE ESTADO DE PLANEJAMENTO E GESTÃO SUPERINTENDÊNCIA CENTRAL DE GOVERNANÇA ELETRÔNICA DIRETORIA CENTRAL DE GESTÃO DA INFORMAÇÃO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
NORMAS DE USUÁRIOS
UTILIZAÇÃO DE ESTAÇÃO DE TRABALHO
5.6. Utilizar as estações de trabalho da SEPLAG para jogos.
6. RESPONSABILIDADES
6.1. Usuários
6.1.1. Utilizar adequadamente a estação de trabalho.
6.1.2. Realizar backup dos dados armazenados na estação de trabalho.
6.1.3. Reportar incidentes de segurança da informação à ASI.
6.2. Direção
6.2.1. Orientar os usuários sob sua coordenação para o uso adequado da estação de trabalho.
6.2.2. Monitorar as atividades de parceiros e contratados sob sua responsabilidade.
6.2.3. Monitorar a utilização de mídias particulares para armazenamento de informações da SEPLAG.
6.3. Área de Informática
6.3.1. Fornecer e configurar as estações de trabalho para os usuários da SEPLAG.
6.3.2. Manter o antivírus e as correções de segurança do sistema operacional das estações de trabalho atualizados.
6.4. ASI
6.4.1. Analisar os incidentes de segurança da informação e recomendar ações corretivas e preventivas.
6.4.2. Autorizar, quando necessário, o uso de mídias particulares para armazenar dados da SEPLAG.
6.5. Auditoria Setorial
6.5.1. Verificar a conformidade com o estabelecido nesta norma e recomendar as ações necessárias.
7. PENALIDADES
7.1. O não cumprimento desta norma está sujeito às penalidades previstas em Lei.
140
ANEXO E – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA SEPLAG – NORMA DE
UTILIZAÇÃO DA INTERNET
SECRETARIA DE ESTADO DE PLANEJAMENTO E GESTÃO SUPERINTENDÊNCIA CENTRAL DE GOVERNANÇA ELETRÔNICA DIRETORIA CENTRAL DE GESTÃO DA INFORMAÇÃO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
NORMAS DE USUÁRIOS
UTILIZAÇÃO DA INTERNET
1. FINALIDADE
1.1. Estabelecer os regulamentos para o uso da Internet na SEPLAG.
2. APLICABILIDADE
2.1. Todos os usuários da SEPLAG.
3. CONCEITOS
3.1. ASI – Área responsável pela Segurança da Informação na SEPLAG.
3.2. Cavalo de Tróia – Programa de computador com utilidade aparente ou real que contém funções escondidas e adicionais, explorando secretamente as informações armazenadas e provocando perda da segurança.
3.3. Download – É a transferência de um arquivo de outro computador para o seu computador, através da Internet.
3.4. Incidente de Segurança da Informação – É uma indicação de eventos, indesejados ou inesperados, que podem ameaçar a Segurança da Informação.
3.5. Internet – Rede mundial de computadores.
3.6. Rede Corporativa – São computadores e outros dispositivos interligados que compartilham
informações ou recursos da SEPLAG.
3.7. Senha – Validação da identidade do usuário para obtenção de acesso a um sistema de informação ou serviço.
3.8. Software – Programas de computador.
3.9. Spam – Mensagem de correio eletrônico não solicitada, enviada em larga escala para uma lista de emails, fóruns ou grupos de discussão.
3.10. Usuário – É todo aquele que exerça, ainda que transitoriamente e sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função pública em Órgão ou Entidade da Administração Pública Direta e Indireta do Estado de Minas Gerais.
3.11. Vírus – Programa desenvolvido com intenção nociva que, se inserido em um computador, pode causar queda do seu desempenho, destruição de arquivos e disco rígido, ocupar espaço livre de
memória, entre outros danos.
3.12. Worms – Programa ou algoritmo que replica a si próprio através da rede e, normalmente, executa ações maliciosas, tais quais utilizar os recursos computacionais, podendo fazer com que a máquina fique indisponível.
141
SECRETARIA DE ESTADO DE PLANEJAMENTO E GESTÃO SUPERINTENDÊNCIA CENTRAL DE GOVERNANÇA ELETRÔNICA DIRETORIA CENTRAL DE GESTÃO DA INFORMAÇÃO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
NORMAS DE USUÁRIOS
UTILIZAÇÃO DA INTERNET
4. UTILIZAÇÃO
4.1. O serviço de Internet é disponibilizado pela SEPLAG para uso em atividades profissionais.
4.2. A SEPLAG reserva para si o direito de monitorar o uso da Internet disponibilizada.
4.3. O usuário deve conduzir adequadamente o uso da Internet, respeitando direitos autorais, regras de licenciamento de softwares, direitos de propriedade, privacidade e proteção de propriedade intelectual.
4.4. O acesso à Internet, por meio da rede corporativa, deve ser efetuado somente por equipamentos autorizados pela Área de Informática.
4.5. Arquivos contendo dados sigilosos da SEPLAG, quando transferidos pela Internet, devem estar
protegidos com senhas.
4.6. A utilização de softwares de comunicação instantânea, tais como ICQ, Microsoft Messenger e afins, é permitida somente em casos excepcionais, mediante solicitação encaminhada à ASI, informando os motivos e o período necessário.
5. NÃO É PERMITIDO
5.1. Acessar, armazenar, divulgar e repassar qualquer material ligado à pornografia e de conteúdo ilícito, tais como racismo e pedofilia.
5.2. Acessar e propagar qualquer tipo de conteúdo malicioso, como vírus, worms, cavalos de tróia ou programas de controle de outros computadores, bem como spam.
5.3. Utilizar programas ou acessar páginas de bate-papo (chat) de qualquer natureza.
5.4. Utilizar os recursos da SEPLAG para fazer download de software sem autorização da Área de Informática.
6. RESPONSABILIDADES
6.1. Usuários
6.1.1. Utilizar adequadamente a Internet disponibilizada pela SEPLAG.
6.1.2. Reportar incidentes de segurança da informação à ASI.
6.2. Direção
6.2.1. Orientar os usuários sob sua coordenação sobre o uso adequado da Internet.
6.3. Área de Informática
6.3.1. Disponibilizar e administrar os recursos de acesso à Internet da SEPLAG.
6.3.2. Monitorar o uso da Internet.
6.3.3. Informar os acessos indevidos à ASI.
6.4. ASI
6.4.1. Analisar os incidentes de segurança da informação e recomendar ações corretivas e preventivas.
142
SECRETARIA DE ESTADO DE PLANEJAMENTO E GESTÃO SUPERINTENDÊNCIA CENTRAL DE GOVERNANÇA ELETRÔNICA DIRETORIA CENTRAL DE GESTÃO DA INFORMAÇÃO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
NORMAS DE USUÁRIOS
UTILIZAÇÃO DA INTERNET
6.5. Auditoria Setorial
6.5.1. Verificar a conformidade com o estabelecido nesta norma e recomendar as ações necessárias.
7. PENALIDADES
7.1. O não cumprimento desta norma está sujeito às penalidades previstas em Lei.
143
ANEXO F – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA SEPLAG – NORMA DE
UTILIZAÇÃO DE SENHA
SECRETARIA DE ESTADO DE PLANEJAMENTO E GESTÃO SUPERINTENDÊNCIA CENTRAL DE GOVERNANÇA ELETRÔNICA DIRETORIA CENTRAL DE GESTÃO DA INFORMAÇÃO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
NORMAS DE USUÁRIOS
UTILIZAÇÃO DE SENHAS
1. FINALIDADE
1.1. Estabelecer os regulamentos para a utilização de senhas de acessos à rede corporativa da SEPLAG.
2. APLICABILIDADE
2.1. Todos os usuários da SEPLAG.
3. CONCEITOS
3.1. ASI – Área responsável pela Segurança da Informação na SEPLAG.
3.2. Incidente de Segurança da Informação – É uma indicação de eventos, indesejados ou inesperados, que podem ameaçar a Segurança da Informação.
3.3. Logon – Processo de entrada de um usuário no sistema.
3.4. Rede Corporativa – São computadores e outros dispositivos interligados que compartilham informações ou recursos da SEPLAG.
3.5. Senha – Validação da identidade do usuário para obtenção de acesso a um sistema de informação ou serviço.
3.6. Servidor - Computador responsável pelo compartilhamento de recursos com os demais computadores a ele conectados.
3.7. Usuário – É todo aquele que exerça, ainda que transitoriamente e sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função pública em Órgão ou Entidade da Administração Pública Direta e Indireta do Estado de Minas Gerais.
4. GERENCIAMENTO DE SENHAS
4.1. As identificações e as senhas para acesso à rede corporativa são de uso pessoal e intransferível.
4.2. Na liberação da identificação para o usuário é fornecida uma senha temporária, que deve ser alterada no primeiro acesso.
4.3. A senha de acesso do usuário tem, no mínimo, 5 (cinco) e, no máximo, 8 (oito) caracteres.
4.4. É solicitada a troca de senha a cada 4 (quatro) meses.
4.5. O usuário deve trocar sua senha sempre que existir qualquer indicação de possível comprometimento da rede corporativa ou da própria senha.
4.6. Recomenda-se fortemente que o usuário selecione senhas que:
4.6.1. Sejam fáceis de lembrar.
4.6.2. Sejam isentas de caracteres idênticos consecutivos ou de grupos de caracteres somente
numéricos ou alfabéticos.
144
SECRETARIA DE ESTADO DE PLANEJAMENTO E GESTÃO SUPERINTENDÊNCIA CENTRAL DE GOVERNANÇA ELETRÔNICA DIRETORIA CENTRAL DE GESTÃO DA INFORMAÇÃO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
NORMAS DE USUÁRIOS
UTILIZAÇÃO DE SENHAS
4.6.3. Não sejam baseadas em coisas que outras pessoas possam facilmente adivinhar ou obter a partir de informações pessoais, tais como nome, sobrenome, números de documentos, placas de carros, números de telefones, datas importantes, entre outras.
5. NÃO É PERMITIDO
5.1. Registrar senha em papel ou em qualquer outro meio que coloque em risco a descoberta da senha por outro usuário.
5.2. Fornecer a senha de acesso à rede corporativa da SEPLAG para outro usuário.
5.3. Acessar qualquer rede da SEPLAG por meio da identificação de outro usuário.
5.4. Tentar obter acesso não autorizado, tais como tentativa de fraudar autenticação de usuário ou
segurança de qualquer servidor da rede corporativa da SEPLAG.
5.5. Incluir senhas em processos automáticos, como por exemplo, em macros ou teclas de função.
6. RESPONSABILIDADES
6.1. Usuários
6.1.1. Manter o sigilo da senha.
6.1.2. Responder pelo acesso à rede corporativa, por meio de sua identificação.
6.1.3. Reportar incidentes de segurança da informação à ASI.
6.2. Direção
6.2.1. Orientar os usuários sob sua coordenação sobre a utilização de senhas.
6.3. Área de Informática
6.3.1. Padronizar e configurar os critérios das senhas de acesso à rede.
6.4. ASI
6.4.1. Analisar os incidentes de segurança da informação e recomendar ações corretivas e preventivas.
6.5. Auditoria Setorial
6.5.1. Verificar a conformidade com o estabelecido nesta norma e recomendar as ações necessárias.
7. PENALIDADES
7.1. O não cumprimento desta norma está sujeito às penalidades previstas em Lei
145
ANEXO G – SEQÜÊNCIA DE NAVEGAÇÃO NA INTRANET DA SEPLAG PARA ACESSO À
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
146
147