Administracao de Sistemas de Informacao Seguranca e Os Desafios Eticos Da Tecnologia Da Informacao

7/25/2019 Administracao de Sistemas de Informacao Seguranca e Os Desafios Eticos Da Tecnologia Da Informacao

1/64

CENTRO DE ENSINO ATENAS MARANHENSE - CEAMA

FACULDADE ATENAS MARANHENSE - FAMA

CURSO DE ADMINISTRAO COM HABILITAO EM ANLISE DE SISTEMAS

RAIMUNDO DO NASCIMENTO VIANA

ADMINISTRAO DE SISTEMAS DE INFORMAO:

segurana e os desafios ticos da tecnologia da informao

So Lus2005


2/64




Monografia apresentada ao Curso de Administrao comHabilitao em Anlise de Sistemas da FaculdadeAtenas Maranhense, para obteno do grau de Bacharelem Administrao.

Orientador: Prof. Orlando Donato Rocha Filho

So Lus2005


3/64

Viana, Raimundo do Nascimento

Administrao de sistemas de informao: segurana e os desafios

ticos da tecnologia da informao/Raimundo do Nascimento Viana. So

Lus, 2005.

63 f.

Monografia (Graduao em Administrao com Habilitao em Anlise

de Sistemas) - Faculdade Atenas Maranhense, 2005.

1. Sistemas-Informao. 2. Tecnologia de informao. 3. tica.I.Ttulo.

CDU 658:004.056


4/64




Monografia apresentada ao Curso de Administrao com

Habilitao em Anlise de Sistemas da FaculdadeAtenas Maranhense, para obteno do grau de Bacharelem Administrao.

Aprovada em: 23/11/2005

BANCA EXAMINADORA

________________________________________________

Prof. Orlando Donato Rocha Filho

Orientador

________________________________________________

Prof. Carlos Roberto Baluz Almeida

Examinador

________________________________________________Prof. Cludio Leo Torres

Examinador


5/64

A Deus, meu Senhor e pastor.

Aos meus pais, pelo incentivo e apoio constantes.

A minha esposa, Maria de Jesus, pelo apoio, carinho e

companheirismo.


6/64

AGRADECIMENTOS

Agradeo a todos aqueles, que direta ou indiretamente, contriburam para a elaborao

desta monografia e, de modo especial, ao professor Orlando Donato Rocha Filho, pelo apoio e pela

segura orientao.


7/64

No h progresso sem mudana. E quem no consegue

mudar a si mesmo, acaba no mudando coisa alguma.

George Bernard Shaw


8/64

RESUMO

Sistemas de informao, segurana e os desafios ticos da TI. Desenvolveram-se

em razo da evoluo do conhecimento humano, e tornaram-se temas muito

discutidos por executivos e organizaes de rgos pblicos ou privados, a

preocupao com eles existe desde o sculo passado. Questionamentos so feitos

quanto aos aspectos, necessidades, mtodos, normas, polticas, controles e tica, o

que motiva os gestores de segurana da informao buscarem conhecimento

tcnico e a aplicar mecanismos de gesto cada vez mais complexos e flexveis,

frente aos cenrios dinmicos e heterogneos de todos os dias, com o nico objetivo

de proteger o bem maior, o ativo mais valoroso do sculo XXI, que a informao.

Os mecanismos, recursos ou ferramentas da TI, implementados atravs do PDS,

trouxeram para o ambiente organizacional os desafios ticos da TI, afetando as

tomadas de decises, os negcios e os recursos humanos. O compartilhamento

desse processo feito atravs de treinamentos, divulgao e conscientizao,

iminente, a fim de flexibilizar a implementao da segurana da informao com os

recursos da TI, cujo objetivo contribuir para o melhor desempenho das

organizaes e dos profissionais. Desta forma, este trabalho apresenta em seuconjunto um estudo sobre segurana da informao e os desafios ticos da TI

implementados nos SI de uma organizao.

Palavras-chave: mtodos, normas, polticas, controles, tica, treinamentos,

divulgao, conscientizao.


9/64

ABSTRACT

Information systems, security and ethical challenges of the TI. They had been

developed because of the human knowledge evolution, and they had become

subjects wide discussed by executives and organizations from public or private

agencies, the concern with them exists since the last century. Questionings are

made about aspects, necessities, methods, norms, politics, controls and ethics, what

motivates the information security managers to search technical knowledge and to

apply management mechanisms at each time more complex and flexible, front to the

dynamic and heterogeneous scenes of every day, with the only objective to protect

the biggest property, the most expensive asset of the XXI century, that it is the

information. The mechanisms, resources or tools the TI, implemented through the

PDS, had brought for the organizational environment the ethical challenges of the TI,

affecting the decisions making, the businesses and the human resources. The

sharing of this process is made through training, making it public and aware is

imminent, in order to make the information security implementation with the

resources of TI more flexible, the objective is to contribute for the best performance

of organizations and professionals. This way, his work presents in its set a study onsecurity of the information and the ethical challenges of the implemented TI in the SI

of an organization.

Keywords: methods, norms, politics, controls, ethics, training, spreading, awareness.


10/64

LISTA DE FIGURAS

Figura 1 - Recursos bsicos dos SI........................................................................ 15

Figura 2 - Modelo de um de SI utilizando seus recursos e componentes .............. 17

Figura 3 - Os trs principais papis dos SI............................................................. 22

Figura 4 - Classificao conceitual dos SI.............................................................. 26

Figura 5 - Ciclo de vida da informao e os aspectos............................................ 32

Figura 6 - Os trs princpios bsicos da segurana da informao........................ 36

Figura 7 - Ciclo do PDCA....................................................................................... 38

Figura 8 - Mapa de relacionamento entre processos de negcio e infra-estrutura. 41

Figura 9 - Elementos que geram o risco nos SI ..................................................... 42

Figura 10 - Subdiviso da gesto de segurana nos SI ......................................... 45

Figura 11 - Fatores que podem afetar o processo de tomada de deciso ............. 54


11/64

LISTA DE SIGLAS

ABNT - Associao Brasileira de Normas Tcnicas

IEC - International Electrotechnical Commission

ISO - International Organization for Standardization

MISs - Management Information Systems

NBR - Norma Brasileira de Redao

PDCA - Plan, Do, Check e Act

PDS - Plano Diretor de Segurana

PSI - Polticas de Segurana da Informao

PUC-Rio - Pontifcia Universidade Catlica do Rio de Janeiro

SI - Sistema de Informao

TI - Tecnologia da Informao


12/64

SUMRIO

LISTA DE FIGURAS......................................................................................... 09

LISTA DE SIGLAS ............................................................................................ 10

1 INTRODUO .................................................................................................. 12

2 SISTEMAS DE INFORMAO ........................................................................ 15

2.1 Conceitos......................................................................................................... 15

2.2 Estrutura .......................................................................................................... 17

2.2.1 Recursos ..................................................................................................... 18

2.2.2 Componentes .............................................................................................. 202.3 A importncia dos sistemas de informao na estrutura organizacional . 22

2.4 Tipos de sistemas de informao ................................................................. 25

3 SEGURANA DA INFORMAO ................................................................... 30

3.1 Histrico .......................................................................................................... 30

3.2 Conceitos e princpios bsicos ..................................................................... 31

3.3 Plano diretor de segurana............................................................................ 37

3.4 O risco na segurana da informao ............................................................ 413.5 Polticas de segurana da informao.......................................................... 44

3.6 Tipos de controles implementados em segurana da informao ............ 47

3.7 Treinamento e sensibilizao em segurana da informao...................... 49

4 DESAFIOS TICOS DA TI IMPLEMENTADA NOS SI DE INFORMAO..... 52

4.1 TI e os desafios ticos no ambiente organizacional.................................... 52

5 CONCLUSO ................................................................................................... 57

REFERNCIAS ................................................................................................ 60GLOSSRIO..................................................................................................... 62


13/64

12

1 INTRODUO

A revoluo da informao e o crescente uso da TI nas organizaes

ampliaram a capacidade para adquirir, manipular e comunicar informaes, atravs

dos SI que se tornaram extremamente importantes na estrutura organizacional, do

nvel estratgico ao operacional.

Para Smola (2003, p. 1) desde as Revolues Eltrica e Industrial, a

abertura do mercado e o aumento da competitividade, a informao sempre esteve

presente, influenciando as organizaes na gesto do negcio em diferentes

segmentos, aumentando a agilidade, reduzindo os custos, melhorando a

produtividade e apoiando as tomadas de decises dos gestores.

Na atual realidade, que dependente da informao, ativo de maior valor

para as organizaes, independente do segmento do negcio (seja comrcio,

indstria ou financeira), a informao abre novos horizontes e mercados para a

expanso em busca de maiores lucros e perspectivas.

Esse impacto significativo desenvolveu progressivamente situaes cada

vez mais difceis e complexas, no desenvolvimento, na segurana e nas dimenses

ticas dos SI, interconectados entre si e com os usurios finais das organizaes.Diversos motivos para uma organizao proteger suas informaes foram

visualizados, tornando-os importantes para o crescimento do negcio, assim como

para os concorrentes, sabotadores, invasores, espies, vrios tipos de golpistas e/ou

crackers.


14/64

13

A segurana da informao tornou-se uma ferramenta necessria nos

ambientes organizacionais para controlar todo o ciclo da informao. A elaborao

do PDS (que o resultado do planejamento, de diretrizes, normas e procedimentos,

estabelecendo as PSI e os tipos de controles a serem implementados) com o

objetivo de atenuar os efeitos nocivos para garantir a segurana nos SI tornou-se

algo de grande importncia.

As organizaes passaram a controlar suas informaes implementando

os recursos da TI para garantir a segurana dos SI. Esse procedimento aumentou os

benefcios, considerando que os controles so to necessrios como quaisquer

outros recursos vitais para a garantia da segurana nos SI. Entretanto, as

dimenses ticas geraram desafios para as organizaes e para os profissionais na

implementao e aplicao dos recursos tecnolgicos. Esse aspecto exige das

organizaes, dos gestores e dos profissionais, planejamento, eficincia e tica,

principalmente na atual realidade em que a globalizao transforma a informao

recente em ultrapassada.

A relao entre a TI e a dimenso tica um desafio para as

organizaes que promovem a participao e treinamento dos profissionais,

usurios finais e gerencias desde a elaborao do PDS, das PSI, at a

implementao dos controles, a seleo e o recrutamento de capital humano e arealizao de auditorias internas ou externas. Pois, estas medidas so

extremamente importantes para a organizao criar e manter sua cultura de

segurana da informao.

Desta forma, apresenta-se este estudo sobre segurana e os desafios

ticos da TI que tem como objetivo mostrar quais os tipos de ferramentas e controles


15/64

14

que so implementados atualmente pelas organizaes para garantir a segurana,

como implement-los, atenuando os efeitos nocivos com tica e analisar os

aspectos da segurana e as vulnerabilidades existentes na estrutura dos SI.

Esta monografia est dividida em cinco sees. Abordamos na segunda

seo os conceitos, a estrutura, os recursos, os componentes, a importncia e os

tipos de SI. Na terceira, o histrico, os conceitos e princpios bsicos, o PDS, o risco,

as PSI, os tipos de controles da segurana da informao e o treinamento e

sensibilizao em segurana da informao. Na quarta, os desafios ticos com a

implementao dos recursos da TI no ambiente organizacional. E na quinta, a

concluso do trabalho.


16/64

15

2 SISTEMAS DE INFORMAO

2.1 Conceitos

Sistemas de Informao um conjunto de recursos, que coleta, processa,

armazena, analisa e dissemina as informaes produzidas pelos departamentos da

estrutura organizacional no apoio s decises gerenciais e operacionais.

Para OBrien (2004, p. 6) SI um conjunto organizado de pessoas,

hardware, software, procedimentos, redes de comunicaes e dados, que coleta

transforma e dissemina informaes em uma organizao. A Figura 1 mostra a inter-

relao dos recursos bsicos nos SI.

Figura 1 - Recursos bsicos dos sistemas de informao.

Hardware

Software

Sistemas de informao

Redes

Dados

Pessoas


17/64

16

Os SI desenvolveram-se rapidamente em razo da evoluo do

conhecimento humano, crescimento das organizaes e a quantidade de dados no

ambiente organizacional. Segundo Bio (1996, p. 68) o crescimento das organizaes

deve ser analisado, no apenas pelo aumento da produo, mercado e atividades,

mas tambm pela diversificao e utilizao de recursos tecnolgicos mais

complexos, alterando a execuo dos processos, conforme o nvel de complexidade

e o grau de formalizao das estruturas, que esto ligadas diretamente s

caractersticas e ao estgio de desenvolvimento da organizao.

A organizao precisou organizar e estruturar seus dados, que so fatos

ou descries de eventos, atividades e transaes capturadas, registradas,

armazenadas e classificadas, que se desorganizadas perdem seu significado.

SI no deve ser entendido como sinnimo de TI, que o conjunto de

recursos tecnolgicos facilitadores das atividades e processos organizacionais

necessrios para o tratamento das informaes.

Os SI, na sua execuo, trabalham com trs elementos de grande valor

que devem ser diferenciados para melhor atenderem as necessidades dos

componentes de entrada, processamento e sada. Para Turban, Rainer e Potter

(2003, p. 17) ao estudar um SI, essencial saber a diferena entre os trs

elementos utilizados pelos SI, que so: Dados so fatos, ou descries bsicas de eventos, atividades e

transaes que so capturados, registrados, armazenados e

classificados, porm, no so organizados.

Informao conjunto de fatos, ou seja, dados organizados com

significado para o usurio final.


18/64

17

Conhecimento conjunto de informaes organizadas e processadas

prontas para transmitir discernimento, experincias e habilidades que

podem ser aplicadas a um problema ou deciso gerencial.

2.2 Estrutura

A estrutura dos SI fundamental, por ser essencial no ambiente

organizacional para formar um conjunto dinmico inter-relacionado utilizando os

recursos e componentes para processar dados em informaes, que podem ser

transmitidas como conhecimento para o nvel estratgico e os usurios finais, ver

Figura 2.

Figura 2 - Modelo de um de SI utilizando seus recursos e componentes.

Pessoas

Hardware Software

Redes

Dados

Recursos dedados

Controledesempenho

Processo dosdados e

informaes

Entrada Sada

Armazenamento

Recursos

Componentes

Feedback Feedback

Produtos deinforma o


19/64

18

2.2.1 Recursos

Os recursos humanos compreendem todos os usurios finais do sistema e

os analistas em sistemas de informao. Esses recursos apresentam os maiores

riscos no ambiente organizacional, mesmo porque, o ser humano nasce com aquele

impulso natural de explorar tudo aquilo que o cerca.

Beal (2005, p. 71) considera que os recursos humanos so acertadamente

considerados o elo frgil da segurana da informao. A qualificao e o preparo

desse recurso agrega valores metodologia implementada, principalmente quando

o treinamento abrange o domnio de conceitos que geram questionamentos, como

know-how e know-why, que so gerados, basicamente, quando o profissional

estabelece seu prprio mtodo de trabalho, que pode ser especfico para

determinado processo.

fundamental perceber que, para um sistema realizar operaes no

desenvolvimento dos processos na organizao, necessrio ter pessoas, que no

so apenas os usurios finais, mas tambm os clientes, os fornecedores e todos que

utilizam as informaes que o sistema produz. Essas pessoas podem ser os

especialistas, os programadores, os operadores de computadores, gerentes,tcnicos e agentes administrativos, com capacidades para o desenvolvimento e

operao atravs de projetos, baseados nas exigncias de informao e dos

usurios.

O planejamento educacional tambm fundamental na implantao de

metodologias e deve ser executado em todos os nveis da estrutura organizacional,


20/64

19

pois a compreenso e o aprendizado contribuiro para a gesto da informao,

integrando a viso tcnica com a viso do negcio.

necessrio investir na conscientizao dos recursos humanos da

organizao sobre este tema. Para valer esse investimento, destaca-se a

necessidade do importante documento denominado PSI. Todo recurso humano,

inclusive os executivos e diretores devem estar conscientes de que as informaes

por eles manuseadas tm valor, mas que se no estiverem protegidas e seguras

podem causar grandes prejuzos para a organizao em que trabalham, provocando

demisses, questes judiciais e impossibilitando a organizao de realizar seus

negcios e de se perpetuar no tempo.

Os recursos de softwareso todos os conjuntos de scriptse instrues em

diferentes linguagens que interpretam para a linguagem dos computadores os

processamentos dos dados. Nesse recurso, segundo OBrien (2004, p. 22) so

utilizadas no somente instrues operacionais como os programas, que dirigem e

controlam o hardware, mas tambm, os conjuntos de instrues que so

requisitadas pelos recursos humanos, como os procedimentos para chegar

informao.

Os recursos de hardwareso compostos de todos os dispositivos fsicos e

equipamentos utilizados nos processamentos dos dados no ambienteorganizacional. Estes so as mdias de dados, os discos magnticos, papis e

objetos tangveis que so fundamentais na produo e no gerenciamento da

informao.

Os recursos de dados assumem diversas formas, tais como, dados

alfanumricos, caracteres alfabticos e tantos outros que descrevem transaes de


21/64

20

negcio ou eventos e entidades. Para OBrien (2004, p. 22) os recursos de dados

so mais do que matrias-primas. Quando seguem a metodologia especfica e

implementada na organizao, os registros so armazenados em banco de dados

com segurana e, constituem um valioso recurso para a organizao, pois, se

administrados efetivamente, geram benefcios em todo ambiente organizacional,

atendendo s necessidades dos usurios finais na criao de relatrios.

Os recursos de redes, segundo Turban, Rainer e Potter (2003, p. 184),

so formados por meios de comunicao, dispositivos e softwaresnecessrios para

conectar sistemas de computadores, como as intranets, extranetse a internet, que

atravs de protocolos de comunicao estabelecem o compartilhamento e a

disponibilidade de acesso, que so indispensveis nas operaes realizadas no

desenvolvimento das atividades no ambiente organizacional. Esses recursos

dependem diretamente dos recursos de hardware, software, humano e dos

dispositivos que so interconectados e controlados pelos sistemas e, so

fundamentais para as organizaes modernas, por diversos motivos, como

flexibilidade, adaptao, compartilhamento de hardware, aplicaes, bancos de

dados, documentos, idias, criatividade e interaes mais eficientes.

2.2.2 Componentes

A entrada de recursos de dados o componente do SI responsvel pela

captura dos registros e edio dos dados que so gravados atravs de recursos de


22/64

21

hardwaree softwareem recursos de dados. ele que assegura que os dados foram

corretamente capturados e que podem ser transferidos ou requisitados para o

processamento.

O processamento de dados em informaes realiza uma anlise geral dos

dados. Esta anlise, necessariamente, deve obedecer a um padro de qualidade

desde a captura realizada pelo componente de entrada. As atividades desse

componente so: organizar, analisar, comparar, classificar, mesclar, manipular e

converter.Esses processos proporcionam aos usurios finais a informao precisa e

eficiente.

A sada de produtos da informao realiza a transmisso da informao

de vrias formas para os usurios finais. Esse componente a meta, o desafio de

qualquer organizao a ser alcanado por meio dos SI, visto que, atravs desse

componente so visualizados produtos como os relatrios, as mensagens, as

imagens, o udio e multimdias. Para alcanar esses resultados, esse componente

necessita de qualidade dos dados, que so extremamente decisivos e valiosos para

que a informao alcance suas dimenses de tempo, contedo e forma na

organizao.

O armazenamento de recursos de dados assume atividades bsicas, mas

fundamentais nos SI, na execuo de mtodos para organizao dos dados, queso armazenados nos bancos de dados, facilitando o processamento ou a

recuperao destes dados na sada, atendendo as requisies dos usurios finais.

O controle de desempenho do sistema um dos componentes mais

importantes na atividade dos SI, pois dele produzido o feedback de todas as

atividades dos elementos de entrada, processamento, sada e armazenamento. O


23/64


24/64

23

Para OBrien (2004, p. 9) os papis vitais dos SI na estrutura

organizacional proporcionam a essncia do planejamento, a vantagem competitiva e

o controle na tomada de decises, nos nveis estratgico, ttico e operacional, se o

contedo for adequado e confivel. Portanto, quando os SI desenvolvem os

principais papis realizam conquistas de vantagens estratgicas, gerenciais e

operacionais, mas isso requer inovao, dinamismo e investimentos, para conquistar

vantagem competitiva no mercado e principalmente apoio do ambiente empresarial.

Investimentos e inovao nos SI com recursos de TI requerem mais

empenho dos recursos utilizados nos SI. Sistemas mal administrados e mal

aplicados tm mais chances de seguir para o fracasso do que para o sucesso

tecnolgico e comercial do prprio negcio. Identificar os objetivos e as razes seja

de sucesso ou de fracasso fundamental para o desenvolvimento dos SI que

representam uma rea funcional importante para o sucesso, assim como o

marketing, a produo, as vendas e os recursos humanos.

As organizaes devem conhecer, atravs do PDS, suas necessidades de

informaes em todos os nveis. Por essa razo as informaes devem conter

caractersticas de quantidade, qualidade e oportunidade, adquiridas somente pelos

SI, que tero maior confiabilidade e valor, dependendo de sua qualidade de

integrao, para que atenda as necessidades, conforme os requisitos do ambienteorganizacional.

A intensa transformao nos processos administrativos, com a utilizao

da TI, fez surgir, de imediato, questes quanto ao desenvolvimento da estrutura

organizacional de uma empresa, considerando sua complexidade, o grau de

formalizao e os dados gerados na execuo das funes administrativas.


25/64

24

Essa transformao, que deve ser levada em considerao por ser um

elemento fundamental para o desenvolvimento, no tem despertado interesse das

organizaes em implementar ou adaptarem-se em funo de polticas, cultura e

implicaes da implementao dos SI. Esse contexto no diferente de outros

recursos implementados e adaptados nas estruturas organizacionais, porque geram

impactos e grandes mudanas.

A organizao, com viso de desenvolvimento no ambiente organizacional

a mdio ou longo prazo, mas sem planejamento da estrutura que evolui

naturalmente, ser incapaz de continuar atingindo certo nvel de eficincia no

gerenciamento dos dados e conseqentemente das informaes.

O estgio embrionrio de desenvolvimento da estrutura de uma

organizao, independente da sua complexidade, de suas caractersticas ou grau de

formalizao, apresenta aspectos positivos para dimensionar, atravs de idias,

planejamentos e projetos. Este procedimento deve identificar qualquer tipo de

implicao existente nos departamentos ou na execuo das funes da

organizao para implantar os SI, que deve ser adaptado conforme o tipo de

estrutura organizacional em funo da natureza do negcio e das caractersticas

peculiares de cada organizao.


26/64

25

2.4 Tipos de sistemas de informao

Aps a Segunda Guerra Mundial, ouve-se falar em diversos tipos de

sistemas, tais como: hidrulicos, econmicos, de defesa e tantos outros que

proporcionam, atravs do planejamento estruturado um SI. Isso ocorre por meio de

idias e projetos que geram impactos em todos os campos do conhecimento,

iniciados pela anlise de toda estrutura organizacional, sintetizando as

complexidades e combinando resultados, atravs de conjuntos de elementos

interdependentes, ou partes que interagem formando um todo organizado com

diretrizes, normas e procedimentos para formarem os SI, conforme anlise de Bio

(1996, p. 17).

Os sistemas se formam no ambiente organizacional naturalmente com o

processamento de registros e dados, assim que a organizao comea a tomar

decises no planejamento, no controle, na gerncia e nas operaes. Com a

evoluo dos sistemas naturais as necessidades gerenciais comeam a ser, real.

Originados principalmente do mercado, nas tomadas de decises, e, para suprir

essas necessidades, os dados precisam ser classificados, ordenados e processados

conforme a estrutura organizacional e o negcio.A classificao dos SI essencial para o gerenciamento das informaes.

Essa classificao segue a estrutura organizacional e o segmento do negcio no

mercado. No existe uma classificao padro, definida, isto porque, as informaes

sem muita relevncia nas decises gerenciais podem burocratizar e at mesmo

gerar inconsistncias em todo o processo. Mas realizar a classificao dos sistemas,


27/64

26

conforme as necessidades do negcio importante porque representa a evoluo

do planejamento dos SI na organizao.

OBrien (2004, p. 28) classifica os SI em dois grupos principais, segundo

termos conceituais, que so os sistemas de apoio gerencial e apoio s operaes.

No mundo real, esses grupos incorporam vrios subsistemas, que podem ser

criados para apoiar a gesto e as operaes, sejam eles temporrios ou

permanentes. A Figura 4 ilustra a classificao conceitual dos SI.

Figura 4 -Classificao conceitual dos SI, adaptado de OBrien (2004, p. 28).

Os sistemas de apoio gerencial constituem-se de um conjunto de

habilidades considerado fundamental no alcance das metas das organizaes nos

negcios, utilizando os recursos e os componentes dos SI nas tomadas de decises

sobre planejamento, organizao, motivao, produo e controle. Segundo Turban,

Rainer e Potter (2003, p. 36) esses sistemas, os MISs (Management Information

Sistemas deinformao

Sistemas deapoio

s o era es

Sistemas deapoio

Gerencial

Sistemas de

Processamento

Sistemas de

InformaoGerencial

Sistemas de

Controles

Sistemas de

apoios decises

Ambienteorganizacional


28/64

27

Systems) comearam a ser desenvolvido nos anos 60, atravs de uma nova safra

de SI para dar suporte tomada de decises.

Como a principal funo do gerente tomar decises, os dados, as

informaes e o conhecimento so necessrios para apoiar, respaldar e valorizar as

decises, que necessariamente precisam ser fundamentadas. Nesse contexto,

somente os SI gerenciais podem fornecer informaes adequadas, pois so voltados

para o apoio s tomadas de decises realizadas pelos gerentes. A partir dos

relatrios ou vdeos disponveis nos terminais, os gerentes, tambm podem formar

estratgias de sobrevivncia de projetos, negcios, estratgias mercadolgicas,

financeiras e de investimentos. Tomar boas decises sem processar dados ou ter

informaes suficientes e eficientes muito difcil, porm, muito fcil que isso afete

diretamente a organizao e o desempenho do negcio.

Muitas organizaes enfrentam problemas nos dias atuais, porque grande

parte, se no todos os seus dados e informaes comparativas, s existem em

papel, sem a possibilidade de processamento imediato utilizando os recursos

disponveis da TI no mercado. Experincias negativas e as necessidades da

eficincia na manipulao dos documentos para a obteno de uma vantagem

competitiva tm alimentado a crescente disponibilidade de sistemas de

gerenciamento de documentos dentro das organizaes, permitindo maior controlesobre a criao, armazenamento e distribuio destes, resultando em mais eficincia

no acesso, utilizao e controle das informaes, afirma Turban, Rainer e Potter

(2003, p. 367).

Os SI no apoio gerencial e nas responsabilidades administrativas so

necessrios, mas a implementao deve seguir a metodologia e a estrutura


29/64

28

organizacional para no gerar volumes de informaes extensos que dificultem as

decises gerenciais.

Conforme, a necessidade as informaes devem ser canalizadas para

anlises quantitativas e qualitativas, respaldando as funes dos gerentes e dos

sistemas atravs dos seus recursos, de modo que elas se tornem um componente

integrante dos processos, produtos e servios que ajudam as organizaes a

conquistarem vantagens competitivas no mercado globalizado.

Sistemas de apoio s operaes sempre foram necessrios para o

processamento de dados que so utilizados nas operaes das organizaes. Eles

so formados por uma diversidade de dados que produzem produtos de informao

para uso interno e externo.

Os sistemas de apoio s operaes caracterizam-se por processar, de

modo eficiente, transaes e controles dos processos industriais, da produo e das

vendas na execuo de projetos, no apoio s comunicaes e colaborao,

atualizando o banco de dados para produzir a informao especificamente gerencial.

Outras categorias de sistemas podem ser inseridas nos SI operacionais, esse

processo depende das formas de processamento que a organizao utiliza na sua

metodologia implementada.

Para OBrien (2004, p. 29) definir uma forma de processamento quesatisfaa as necessidades da organizao em todos os nveis da estrutura

organizacional importante. Nas transaes o processamento pode ser em lotes ou

em tempo real, on-line, em que os dados so processados imediatamente depois da

ocorrncia da transao. No controle de processos das atividades o processamento

monitorado continuamente e so aplicados reajustes imediatos, ou seja, em tempo


30/64

29

real. No apoio a comunicao os sistemas de apoio operacional tambm so

fundamentais, pois aumentam as comunicaes e a produtividade das equipes de

trabalho, via correio eletrnico e videoconferncias. Esses recursos ajudam de modo

eficiente na gesto das atividades organizacionais, reduzindo custos e facilitando a

realizao das metas.

Nas organizaes os sistemas de apoio s operaes so responsveis

pelos processos que transformam entradas em sadas eficientes. uma rea muito

diversificada, assim como outros SI, portanto diverge de uma organizao para

outra, mesmo que atuem no mesmo segmento de mercado.


31/64

30

3 SEGURANA DA INFORMAO

3.1 Histrico

A civilizao humana sempre buscou a proteo das informaes dos

conhecimentos adquiridos. Na antiga civilizao egpcia, somente as castas

superiores da sociedade tinham acesso aos manuscritos da poca, principalmente

ao que eles escreviam. A escrita por meio de hierglifos do Egito antigo representa

uma das vrias formas utilizadas pelos antigos para protegerem a informao e

perpetuarem o seu conhecimento. (GONALVES, 2003).

Uma maior ateno para isso passou a existir na sociedade moderna com

os primeiros computadores, que despertaram o interesse por uma maior segurana

das informaes. Essa preocupao era ainda muito rudimentar, porm com o

passar do tempo esse processo sofreu muitas mudanas.

Os interesses voltados para a segurana no mbito dos computadores

foram crescendo com o surgimento dos computadores time-sharing, que permitiam

que mais de uma pessoa ou usurio fizesse uso do computador ao mesmo tempo,acessando as mesmas informaes. Esse acesso no era gerenciado, logo causaria

efeitos indesejveis, como de fato acontece nos dias de hoje. A necessidade da

implementao de ferramentas que gerenciassem os mecanismos para minimizar o

problema dos incidentes com as informaes era iminente.


32/64

31

Em outubro de 1967 nos Estados Unidos foi criado uma fora tarefa, que

resultou em um documento, o Security Control for Computer System: Report of

Defense Science Boad Task Force on computer Security, editado por W. H. Ware,

que representou o incio do processo oficial de criao de um conjunto de regras

para segurana de computadores reconhecido mundialmente, que a Norma

Internacional de Segurana da Informao ISO/IEC-17799:2000, que j possui uma

verso aplicada aos pases de lngua portuguesa, denominada NBR ISO/IEC-

17799:2001. (GONALVES, 2003).

3.2 Conceitos e princpios bsicos

A segurana uma das principais reas nas organizaes que esto

voltadas para a proteo de seus ativos - tais como a informao - contra acessos,

alteraes, publicaes indevidas e no autorizadas, que tm se tornado mais

presente e representativos nos SI.

Para Freire (2003, p. 1) a segurana da informao visa proteger esse,

ativo importante e de alto valor para a organizao, e que, portanto, necessita seradequadamente protegido de diversos tipos de ameaas, garantindo assim, a

continuidade dos negcios.

Podemos definir Segurana da Informao como uma rea doconhecimento dedicada proteo de ativos da informao contra acessosno autorizados, alteraes indevidas ou sua indisponibilidade. (SMOLA,2003, p. 45).


33/64

32

Segurana a definio de um conjunto de diretrizes, normas e

procedimentos que so aplicados em todos os momentos do ciclo de vida, conforme

os aspectos complementares da informao, como mostra a Figura 5, viabilizando a

identificao e o controle de ameaas e vulnerabilidades da informao no ambiente

organizacional.

Figura 5 Ciclo de vida da informao e os aspectos, adaptado de Smola (2003, p. 11).

Ferramenta que no segue padres, mas metodologias implementadas

pelas organizaes, baseadas em normas como a NBR ISO/IEC-17799:2001,

conforme estrutura organizacional e perfil no mercado, a segurana essencial.

Porm, nem sempre implementada nas empresas, por razes culturais e/ou

polticas, como apoio da direo, foco nas finanas, nos produtos e tantos outros

fatores que influenciam esse processo. Esse contexto j apresenta resultados

positivos rumo a mudanas, influenciado por novidades que surgem no mercado e

provocam alteraes nas organizaes.

Transporte

ConfidencialidadeIntegridade

DisponibilidadeArmazenamentoDescarte

Manuseio

Autenticidade e Legalidade


34/64

33

A informao, produto do processamento de um conjunto de dados,

esteve sempre presente em todas as etapas das atividades desenvolvidas nas

organizaes, cumprindo importante papel na gesto dos negcios e nas tomadas

de decises. Todas as organizaes, por menor que sejam, independente do seu

segmento no mercado, core-business e porte, sempre usufruram da informao

com objetivos de melhorar a produtividade, reduzir custos, aumentar a agilidade, e a

competitividade, dando apoio tomada de deciso e principalmente proporcionando

ganho de market share.

As informaes que h dcadas eram centralizadas e pouco

automatizadas foram tratadas nas fases da evoluo corporativa e da TI, ferramenta

propulsora para a valorizao da informao no ambiente organizacional, conforme

OBrien (2004, p. 3).

O aumento dos investimentos em TI trouxe alta funcionalidade s

informaes, tornando-as mais acessveis, diferente de quando eram documentos

manuais, manuscritos em arquivos com baixa funcionalidade. Os mainframes

herdaram a funo central do processamento e armazenamento dos dados que

eram consultados em operaes via acesso remoto. Uma importante mudana

nesse processo foi o compartilhamento da informao que passou a ser uma prtica

moderna na gesto da informao, necessria para dar maior rapidez s aes etomadas de decises.

A grande quantidade de informao e a necessidade de gesto dela tm

provocado vrios incidentes, graves, no ambiente empresarial, que apresenta

iminente obrigao de definir estratgias de segurana no ambiente organizacional.

Essa estratgia deve ser implementada de forma abrangente, devendo ser atribuda


35/64

34

grande acuidade aos mecanismos de segurana, inclusive aos administrativos.

fundamental buscar a valorizao dos processos e do conhecimento em toda

estrutura organizacional, visando obter solues com a implementao de recursos

de segurana.

Por dcadas desenvolveram-se ferramentas de TI que integraram o nosso

mundo pessoal, profissional, estilos de vida e o ambiente organizacional de uma

forma natural e parcialmente equilibrada. Smola (2004, p. 16) compara a ausncia

desses mecanismos ou sua presena estando completamente alterados, com ter

uma casa sem portas ou com portas, mas sem as devidas fechaduras e sem polcia.

A segurana nos SI sofre particularmente com os problemas no

identificados, pois seu crescimento desorganizado e exagerado impossibilitou que

fosse tratada de uma forma lgica e seqencial. Com o atual estado da segurana

fcil identificar a sua falta de objetivos concretos, o que impossibilita a captura de

uma viso global do problema, levando muitas organizaes a ignorarem os

benefcios da TI e conseqentemente da segurana que se faz necessria.

Os benefcios que as TI trazem para os negcios so desconhecidos para

68% das organizaes, segundo pesquisa da Consultoria Booz Allen Hamilton.

(BORGES, 2005).

Hoje em dia a segurana no mundo empresarial no vista ainda comoum benefcio por este campo tem a sua referncia nos produtos. O ambiente

empresarial e os negcios esto focados apenas nos produtos, interessados apenas

em movimentar largas somas monetrias, e isso no ajuda a evoluir da forma como

problema est sendo vivenciado, dificultando a concretizao da prpria adoo das

melhores prticas.


36/64

35

No entanto, identifica-se que as grandes ocorrncias relacionadas fuga e

perdas de servio e informaes, principalmente no interior das organizaes,

continuam a ser um dos principais causadores de perdas financeiras. Desse modo,

quando aplicada aos SI, a segurana deve ser aceita como um fator importante,

inevitvel e incontornvel para o ambiente empresarial.

Essa perspectiva deve ser entendida, interiorizada e totalmente apoiada

principalmente pelos diretores das organizaes. Devem ser definidos objetivos

claros de segurana e sua implementao dever ser fortemente adotada em todo

ambiente organizacional. Neste processo, existe ainda o papel dos especialistas em

segurana, que ajudam na anlise do risco, nas decises ponderadas e na

otimizao dos investimentos para que a segurana seja uma prtica implementada

com objetivos de tornar o ambiente seguro e alcanar resultados por meio da prtica

e polticas adotadas.

Para Smola (2003, p. 44) segurana da informao um termo ambguo,

podendo assumir dupla interpretao. Primeiro, porque uma prtica adotada para

tornar seguro e manter a segurana no ambiente com metodologias e aplicaes

que visam estabelecer: controles, autenticao, autorizao e auditorias, como meio

que visa garantir a confidencialidade, integridade e disponibilidade da informao. E

segundo, porque tambm resultado da prtica adotada para alcanar o objetivo,caracterstica que adquire a informao ao ser alvo de uma prtica da segurana

com objetivos, porque alcanada por meio de prticas e polticas padronizadas.

A segurana da informao tem como objetivo a preservao de trs

princpios bsicos e atravs deles pode-se ter uma real viso da amplitude do

desafio corporativo para sua implementao e manuteno, conforme Figura 6.


37/64

36

Figura 6 Os trs princpios bsicos da segurana da informao.

Para Ferreira (2003, p. 2) muito fcil atacar sistemas informatizados,

visto que os SI esto conectados atravs das redes. Portanto, pode acontecer a

perda de confidencialidade, quando informaes carem nas mos da concorrncia,

perda de integridade, quando as informaes forem corrompidas ou apagadas, e

perda de disponibilidade quando no puderem ser acessadas para o fechamento de

um grande negcio. Isso caracteriza a segurana da informao pela preservao

de:

Confidencialidade garantia de que toda informao deve ser

protegida, com certo grau de sigilo, acessvel somente a pessoas

autorizadas.

Integridade visa proteger toda informao contra alteraes

indevidas, intencionais ou acidentais.

Disponibilidade garantia de que toda informao e ativos estaro

disponveis e somente sero acessados por usurios autorizados no

momento em que delas necessitem para qualquer finalidade.


38/64

37

Dentre os aspectos de segurana da informao, dois elementos so

considerados essenciais na execuo da metodologia em complemento aos trs

princpios bsicos da segurana, considerando os objetivos organizacionais, Figura

6.

Autenticidade identificao e reconhecimento formal da origem dos

elementos em uma transao, por meio de controles de identificao.

Legalidade valor legal de acordo com clusulas contratuais

pactuadas, legislao poltica institucional vigente, seja nacional ou

internacional.

3.3 Plano diretor de segurana

O PDS o planejamento e a elaborao de diretrizes, normas e

procedimentos para controlar acessos aos dados e informaes no ambiente

organizacional.

O planejamento para implementar e manter a segurana nos SI deve ser

enfatizado com importncia e esforo para o seu desenvolvimento, algo que pareceser uma tarefa fcil ou desnecessria, para muitas organizaes. No entanto, esse

processo depende de toda organizao da diretoria aos usurios finais, com os

mesmos objetivos focados na melhoria constante dos SI.

[...] foroso reconhecer que grande parte das empresas no Brasil iniciou(e, por vezes, prosseguiu) seus esforos de melhoria dos sistemas deinformao com um nvel de planejamento bastante precrio. (BIO, 1996, p.137).


39/64

38

Para Beal (2005, p. 37) a efetiva gesto de segurana precisa ser

permanente, cclica, interativa e baseada em processo tcnicos e organizacionais

consistentes. Portanto, adotar um modelo corporativo de gesto permite

organizao equacionar os desafios de proteo, levando em conta todos os

aspectos essenciais para a segurana: componentes dos ambientes fsico e lgico,

pessoas e processos. Na adoo do modelo de gesto, um mtodo conhecido como

PDCA (de plan, do, check, act) utilizado em processo de gesto da qualidade e

outros nveis de gesto, til para fornecer uma visualizao global das etapas que

devem compor a gesto da segurana da informao.

Figura 7 Ciclo do PDCA.

A elaborao de um modelo de gesto de segurana deve levar em

considerao, em primeiro plano, os desafios do negcio como um todo,

abrangendo todos os conceitos de segurana: confidencialidade, integridade,

disponibilidade e os aspectos de autenticidade e legalidade.

PPlan

AAct

DDo

CCheck

P = Plan, de planejar: estabelecer objetivos,

metas e meios de alcan-los.

D = Do, de executar.

C = Check, de verificar, avaliar (comparao

do executado com o planejado). A = Act, de agir corretivamente (caso sejam

detectados desvios ou falhas a serem

corrigidos).


40/64

39

Planejamento o fator crtico de sucesso para a iniciativa de gerir asegurana da informao e o Plano Diretor de Segurana justamente oelemento especfico. Mais do que uma rubrica oramentria destinada ainvestimentos tecnolgicos, como sugere o j tradicional Plano Diretor deInformtica, o PDS tem de ser dinmico e flexvel para suportar as novas

necessidades de segurana que surgem em virtude da velocidade como ocontexto corporativo muda. (SMOLA, 2003, p. 86).

Na elaborao e implementao do PDS, algumas mudanas, que sero

constantes conforme as prioridades, devero ser aplicadas para conter e prevenir as

vulnerabilidades e os riscos nos sistemas. Desse modo, uma abordagem deve ser

feita em toda estrutura organizacional, analisando os recursos utilizados pelo

sistema, os processos e os componentes, atravs de informaes coletadas no

ambiente organizacional.

Metodologia de qualquer tipo no deve ser implementada na estrutura

organizacional, mesmo que tenha atendido as necessidades de outras

organizaes, essa restrio deve-se ao fato que o desenvolvimento do PDS exige

atendimento, conforme a estrutura organizacional, as caractersticas da organizao,

os seus valores ticos, a sua cultura, o tipo do negcio no mercado, recursos de

processamento de dados, custos e benefcios, recursos humanos e os seus

aspectos polticos.

Para Smola (2003, p. 87) definir um PDS em um ambiente organizacional

deve ser entendido como um fato necessrio e importante, mesmo que nem todos

os problemas sejam resolvidos, exclusivamente, por meio dos recursos de

tecnologias no processamento dos dados. A metodologia deve estar voltada para a

anlise de alternativas de hardware, software, recursos humanos e custos.


41/64

40

Para planejar e implementar uma metodologia, embora exista uma

caracterstica universal, preciso considerar que as organizaes so diferentes e

que seus estgios de evoluo em sistemas so dinmicos, sendo assim, apenas as

etapas ordenadas abaixo devem ser seguidas para no perder o foco e chegar ao

fracasso.

Identificao dos processos de negcio: entrevistas e brainstorm;

Mapeamento da relevncia;

Estudo de impactos dos conceitos: confidencialidade, integridade,

disponibilidade, e dos aspectos de autenticidade e legalidade;

Estudo de prioridades: gravidade, urgncia e tendncia;

Estudo de permetros;

Estudo de atividades desenvolvidas no ambiente organizacional.

Associar as aes de levantamento de informaes do negcio, entender

os desafios, conhecer os planos de curto, mdio e longos prazos e as demandas

essencial para diagnosticar os sintomas, as anormalidades e os riscos potenciais,

identificando ameaas, vulnerabilidades e impactos inerentes ao negcio. Essas

aes devem ser realizadas mesmo que no incidam diretamente nos processos do

negcio da organizao.O mapa de relacionamento na fase preliminar do levantamento contribui

para um melhor desenvolvimento da anlise entre os processos do negcio e as

aplicaes de infra-estrutura fsica, tecnolgica e humana, conforme Figura 8, pois

se trata de uma tarefa complexa em funo de fatores dificultadores como: viso


42/64

41

corporativa, complexidade dos ambientes organizacionais e a acessibilidade e

flexibilidade no uso de tecnologias.

Figura 8 Mapa de relacionamento entre processos de negcio e a infra-estrutura.

3.4 O risco na segurana da informao

Ameaas e vulnerabilidades so elementos do grupo denominado risco,

que so visualizados com a possibilidade de explorao nos SI, a partir da sua

complexidade e dinmica, que exigem das organizaes, atravs da gesto de

segurana da informao, a identificao, atravs de mtodos detectivos, de outros

elementos do grupo de risco que so o ataque, o incidente e o impacto e, prevenir

para alcanar os objetivos de segurana, especficos para o negcio, Figura 9.

Esse processo precisa ser desenvolvido de forma permanente e interativa.

A organizao deve programar revises peridicas, sempre que seja constatada

Processos de negcio

Aplicaes

Infra-estruturafinanceiratecnolgica ehumana

Ativo1

Ativo2

Ativo3

Ativon

PN1

PN2

PN3

PNn


43/64

42

mudana organizacional, ou tecnolgicas com implicaes nos critrios de

segurana que podem criar novas ameaas e aumentar significativamente a

possibilidade de um incidente causando impactos no negcio. importante perceber

que, mesmo aplicando todas as medidas de segurana, sempre haver

possibilidade de um incidente ocorrer.

O risco a probabilidade de que agentes, que so as ameaas, exploremvulnerabilidades, expondo os ativos a perdas de confidencialidade edisponibilidade, e causando impactos nos negcios. Estes impactos solimitados por medidas de segurana que protegem os ativos, impedindoque as ameaas explorem as vulnerabilidades, diminuindo, assim, o risco.(SMOLA, 2003, p. 55).

Figura 9 Elementos que geram risco nos SI.

Para Beal (2004, p. 14) ameaas so expectativas de acontecimento

acidental ou proposital, provocadas por agentes ou condies, a alvos de ataque

que causam incidentes s informaes, atravs da explorao de vulnerabilidades,

provocando perdas, prejuzos de confidencialidade, integridade e disponibilidade ao

negcio da organizao.

Agente Impacto


44/64

43

Smola (2003, p. 47) classifica as ameaas nos seguintes grupos:

Naturais que so causadas por fenmenos da natureza como:

maremotos, poluio, enchentes, terremotos, tempestades

eletromagnticas, poluio, etc.

Involuntrias causadas, na maioria das vezes, pelo

desconhecimento, mas tambm causadas por falhas humanas e outros

fatores como erros e falta de energia.

Voluntrias causadas por agentes humanos, que atuam e planejam

ataques propositais, esses agentes so qualificados como hackers,

invasores, espies, ladres, criadores e disseminadores de vrus de

computador.

As vulnerabilidades so falhas nos SI de uma organizao, que durante a

manipulao ou processamento dos dados, permitem a explorao provocando

incidentes com informaes, afetando diretamente os princpios da segurana da

informao.

As vulnerabilidades so elementos apticos que s provocam incidentes

se exploradas atravs de uma ameaa. Elas tambm podem ser provocadas por

fatores no planejados na elaborao do PDS, esse processo deve levar emconsiderao todos os fatores ligados diretamente ou indiretamente estrutura

organizacional. Smola (2003, p. 48) exemplifica as vulnerabilidades em: fsicas,

naturais, hardware, software, mdias, comunicao e humanas. Estes elementos so

passivos, por si s no provocam incidentes, necessitam, portanto de um agente

causador ou condio favorvel.


45/64

44

O risco decorre da existncia de ameaas nos SI com a possibilidade de

explorao das vulnerabilidades, causando perdas na confidencialidade, integridade,

e disponibilidade, gerando impactos nos negcios. A percepo da necessidade de

diagnosticar e realizar anlises j prioridade em algumas organizaes, mas ainda

insignificante quanto ao entendimento do que anlise de segurana.

A anlise de segurana, consciente do risco, no deve estar voltada,

somente para os recursos tecnolgicos, ou seja, hardware, software, redes e

sistemas, mas compreender todas as variveis e recursos que superam os aspectos

tecnolgicos do ambiente interno e externo. Deve ser considerada com um

instrumento fundamental para diagnosticar as mudanas na situao real de

segurana do SI da organizao.

3.5 Poltica de segurana da informao (PSI)

um conjunto de diretrizes, normas, procedimentos e instrues que

formam a poltica de segurana de um SI no ambiente organizacional.

Para Ferreira (2003, p. 17) a poltica, padres e procedimentos so aexpresso e o anseio dos acionistas nas tomadas de decises em relao ao uso da

informao por aqueles que a ela tm acesso. A poltica, normas e procedimentos

fornecem melhor direcionamento para as implementaes tcnicas e formam um

conjunto de aes que compem a gesto de segurana da organizao.


46/64

45

Para Smola (2003, p. 108) a elaborao e implementao da poltica de

segurana so importantes e necessrias. Todos os nveis da estrutura

organizacional devem participar desse processo permanente. Para essa elaborao

a organizao necessita formar um grupo ou comit, mas, necessariamente, no

precisa criar um departamento, isso depende da estrutura da organizao e do

negcio.

O importante formar um grupo capacitado com representantes das reas

e departamentos da organizao, com o objetivo de integrar vises, percepes e

necessidades caracterizadas que devero gerar critrios da poltica de segurana.

Esse propsito fundamental para a nitidez dos problemas, dos desafios e dos

impactos, pois agregar valor ao processo de gesto, evitando conflitos e

redundncias no estabelecimento das polticas de segurana.

A poltica de segurana tem como objetivo e propsito orientar e apoiar as

aes da gesto de segurana em toda organizao, por isso abrange toda a sua

estrutura, conforme ilustra Figura 10.

Figura 10 Subdiviso da gesto de segurana nos SI.

Diretrizes

Estratgico

Ttico,Gerencial

Operacional

Normas

ProcedimentosInstrues


47/64

46

O comprometimento da alta direo fundamental e extremamente

necessrio para que o envolvimento dos funcionrios ou usurios finais seja

atingido. Ressalta-se que esse envolvimento depende diretamente da forma como a

poltica comunicada e compartilhada no ambiente organizacional. Convm que a

direo estabelea uma poltica clara e demonstre apoio e comprometimento com a

segurana da informao atravs da emisso e manuteno de uma poltica de

segurana da informao para toda a organizao. (ASSOCIAO BRASILEIRA

DE NORMAS TCNICAS: NBR ISO/IEC 17799:2001, seo 3.1).

Por meio das diretrizes definidas no documento que estabelece a PSI, a

organizao precisa expressar a importncia da informao, conscientizando os

recursos humanos do valor do seu comprometimento na implementao, seguindo

as normas que so estabelecidas na poltica de segurana. Isso feito com o

objetivo de orientar para uso adequado das informaes no ambiente

organizacional, assim como os procedimentos e as instrues, que tem carter

operacional quando aplicados, em maior quantidade, descrevendo detalhadamente

cada ao e atividade.

Perceber essa complexidade e estabelecer padres, responsabilidades e

critrios no ciclo da informao dentro do nvel de segurana, d a ela o seu

verdadeiro valor na gesto de segurana nos nveis estratgico, ttico e operacional.Esse contexto requer dinamismo e mudanas previsveis e imprevisveis na estrutura

organizacional para manter atualizada em todos os aspectos a PSI e seus

componentes. A classificao da informao, critrios normatizados para admisso

e demisso de funcionrios ou usurios finais, criao e manuteno de senhas,


48/64

47

descarte de informao em mdias magnticas e manuteno de sistemas, tambm

contribui para manuteno da PSI.

3.6 Tipos de controles implementados em segurana da informao

A gesto de segurana da informao na sua aplicabilidade responsvel

pelo controle quantitativo, qualitativo e de desempenho dos SI nas organizaes.

Esses controles so fundamentais na gesto quando so eficazes e proporcionam

segurana, portanto, devem ser implementados em todos os recursos e elementos

do SI, seguindo a PSI da organizao, bem como as melhores prticas globais em


A segurana lgica e fsica utiliza os controles com o objetivo de minimizar

erros, fraudes, destruio nos SI, garantir a qualidade, reduzir o impacto, prevenir

contra ameaas e controlar as vulnerabilidades, monitorando o ciclo da informao e

o acesso s instalaes de hardwares.

OBrien (2004, p. 401) classifica os trs principais tipos de controles que

devem ser desenvolvidos e implementados na cultura de segurana de umaorganizao para garantir a qualidade da segurana da informao dos SI, so eles:

Controles dos sistemas administram o desempenho e a segurana

do SI, formados por dispositivos e mtodos criados com o objetivo de

garantir, restringir e validar com preciso as atividades de entrada,

processamento, armazenamento e sada, atravs de senhas,


49/64

48

comparao de registros e outros cdigos de segurana desenvolvidos

para identificar o correto processamento e armazenamento dos dados,

para que, os produtos da informao estejam completos e disponveis

aos usurios autorizados;

Controles de procedimentos - procedimentos-padro, documentao,

requisitos de autorizao e auditoria, elaborados com o objetivo de

orientar como os recursos dos SI, correio eletrnico e redes da

organizao devem ser operados com segurana no desenvolvimento

das atividades;

Controles de instalao proteo fsica, controles de falhas,

telecomunicaes e seguros, executados atravs da segurana de

redes com softwares de monitoramento, criptografia, firewalls e

antivrus, constitudos de mtodos criados para proteo de

instalaes de hardwares e redes, contra perdas ou destruio,

provocadas por ameaas naturais, involuntrias ou voluntrias.

Para Ferreira (2003, p. 97) os controles so classificados em duas

categorias, sejam de mtodos ou no, a saber:

Controles preventivos previnem tentativas de violao a PSI,implementado mecanismos de controle de acesso como criptografia e

autenticao;

Controles detectivos visualizam e informam sobre tentativas de

violao a PSI, incluindo procedimentos de auditoria, firewalls e

antivrus para detectar intrusos.


50/64

49

3.7 Treinamento e sensibilizao em segurana da informao

Os recursos humanos, por serem considerados o elo mais frgil do SI,

precisam ser treinados, conscientizados e sensibilizados para a necessidade e a

responsabilidade de criar e manter a segurana da informao no ambiente

organizacional no desenvolvimento das atividades. Esse processo pode parecer, ou

ser difcil de ser executado, pelo fato do ser humano ser complexo, dotado de

iniciativas, criatividade e sofrer influncias de fatores externos, mas o nvel de

conhecimento e o perfil dos funcionrios tm grande valor nesse contexto.

A especificao e criao de diretrizes, normas e procedimentos para

criao, manuseio, armazenamento, transporte e descarte, recursos de auditorias e

autenticao no garantem uma segurana eficiente para o ambiente e os SI, se a

cpula da organizao no estiver comprometida e os usurios envolvidos, para

implementao da PSI.

Segundo Smola, (2003, p. 130) essa fragilidade precisa ser tratada de

forma gradativa, com intuito de criar uma cultura de segurana, integrando as

atividades dos usurios e comprovando que essa ao um instrumento de

autoproteo que deve ser compartilhada por todos e entendida comoresponsabilidade de cada indivduo. Somente dessa forma as organizaes tero

verdadeiros aliados na batalha de reduo dos riscos e na gesto de segurana da

informao.


51/64

50

Existem inmeras formas para as organizaes construrem a cultura de

segurana no seu ambiente interno com propagao para o externo. Isso pode ser

feito atravs de seminrios abertos voltados para o compartilhamento e percepo

dos riscos que podem causar impactos potenciais no negcio; campanhas de

divulgao, atravs de correio eletrnico, proteo de telas, informativos,

comunicados internos e outros que apresentem os padres, critrios e instrues

alinhados s necessidades do negcio; cursos de capacitao de acordo com o

perfil de cada profissional, pois alguns necessitam do conhecimento de conceitos,

mtodos e tcnicas bsicas, mdias ou avanadas, dependendo tambm da rea. O

termo de responsabilidade um instrumento fundamental para a formao da

cultura, pois alm de formalizar o compromisso e o entendimento, divulga as

punies cabveis pelo desvio de conduta.

A organizao precisa dispor de um processo disciplinar aplicvel apessoas que tenham violado polticas ou procedimentos de segurana. A

expectativa de punio essencial para ajudar a inibir comportamentosque podem acarretar desrespeito s normas de segurana. (BEAL, 2005, p.79).

Esse processo para ser eficaz requer planejamento, implementao,

manuteno e anlise, contnuos, sensibilizando e capacitando, do contrrio tudo

ser invivel na formao e desenvolvimento da maturidade da cultura de

segurana, tornando-o mais vulnervel a novas situaes de riscos, devido velocidade com que surgem as falhas de segurana.

Ferreira (2003, p. 30) afirma que, de acordo com a norma tcnica NBR

ISO/IEC 17799:2001 Cdigo de Prtica para Gesto de Segurana da Informao,

seo 6.2, o treinamento deve garantir que os usurios estejam cientes das

ameaas e da preocupao de segurana da informao e equipados para apoiar a


52/64

51

PSI da organizao durante a execuo normal do seu trabalho. Prestadores de

servios e fornecedores tambm devem receber treinamentos e atualizaes

regulares sobre a PSI.


53/64

52

4 DESAFIOS TICOS DAS TECNOLOGIAS DA INFORMAO

IMPLEMENTADAS NOS SI

Constantes mudanas tm ocorrido nos SI em decorrncia da revoluo

da TI que ampliou a capacidade para adquirir, manipular, armazenar e transmitir

informaes. Essas mudanas radicais tm causado grandes impactos nas

organizaes, devido a conceitos, princpios, planos, polticas e controles de

segurana adotados e implementados nos SI utilizando recursos da TI. Muitas

vezes, sem informar, treinar e sensibilizar os usurios responsveis no

desenvolvimento das atividades do ciclo da informao do negcio.

Esse processo falho decorre da falta de planejamento e, portanto, tem

provocando questes ticas que esto envolvidas nas tomadas de decises

estratgicas no investimento em recursos de TI que podem afetar o desempenho do

negcio da organizao.

4.1 TI e os desafios ticos no ambiente organizacional

Para OBrien (2004, p. 413) importante que a gesto de segurana

compreenda as dimenses ticas do trabalho em organizaes e da utilizao da

tecnologia, porque nas tomadas de decises quanto ao uso da TI, pode haver uma

dimenso tica que precisa ser considerada, pois as pessoas utilizam filosofias


54/64

53

ticas bsicas como: egosmo, lei natural, utilitarismo e o respeito pelas pessoas ou

defendem valores ticos nas decises.

O desenvolvimento da TI e a aplicao dos seus recursos disponveis nas

organizaes tm gerado muitas situaes de carter tico no ambiente

organizacional, que vem tornando-se a cada dia mais complexo, com definies de

certo ou errado nem sempre claras no PDS elaborado com as polticas de

segurana e os tipos de controles adotados para implementao pela gesto de


Definir o cdigo tica, que um conjunto de princpios da organizao,

fundamental para servir de guia nas tomadas de decises na gesto de segurana,

considerando os princpios e as questes ticas. Segundo Turban, Rainer e Potter

(2003, p. 503) a diversidade de aplicaes de TI e o crescente desenvolvimento

criaram diversas questes ticas que foram estruturadas por R. O . Manson e outros

em quatro categorias, que so:

Privacidade coleta, armazenagem e disseminao de informaes

sobre os indivduos;

Preciso autenticidade, fidelidade, preciso das informaes

coletadas e processadas;

Propriedade valor intelectual da informao; Acessibilidade direito de acesso informao ou pagamento pelo

acesso.

As organizaes e, conseqentemente, a gesto de segurana devem

estar preparadas para elaborar e implementar regras e para monitorar e controlar o


55/64

54

ciclo da informao no SI da organizao, considerando os princpios e filosofias

ticos da instituio. Isso deve ser compartilhando com cada ser humano

comprometido ou envolvido nos processos do negcio da organizao, visto que so

diversos os modelos ticos utilizados pelos seres humanos na aplicao das suas

filosofias ticas nas escolhas feitas diariamente, seja na vida pessoal ou no trabalho.

O ser humano, no seu desenvolvimento, passa por diversos estgios da

revoluo moral que est dividida em vrios ambientes, conforme Figura 11, at

absorver um nvel de raciocnio tico capaz de perceber que necessariamente o que

no tico, ilegal.

Figura 11 Fatores que podem afetar nosso processo de tomada de deciso, adaptado de OBrien

(2004, p. 414) .

Aquisio eprocessamento deinformaesProcesso cognitivoPrmios percebidosPerdas percebidas

Processo de deciso

Metas empresariaisPoltica declaradaCultura empresarialAmbiente social

Cdigos de condutaRequisitos decredenciamentoEncontrosprofissionais

Ambiente profissional

Ambiente de trabalho

LegislaoAgnciasadministrativasSistema judicial

Ambiente governamental

Valores religiososValores humanistasValores culturaisValores sociais

Ambiente social

Grupos de colegasFamlia

Ambiente pessoal

Nvel moral

Metas pessoaisAuto-imagemExperincia de vidaPersonalidade

Atributos individuais

Comportamento tico

Comportamento antitico

Deciso


56/64

55

Os desafios ticos da TI nas organizaes podem ser minimizados

quando o treinamento, a conscientizao, a sensibilizao e a publicao do PDS

so realizados e aplicados desde a seleo e admisso dos profissionais da

organizao, at o relacionamento com fornecedores e a formao de parcerias.

O cdigo de prtica NBR ISO/IEC 17799 define que a gesto da seguranaenvolvendo pessoas tem como objetivo reduzir os riscos de erro humano,roubo, fraude ou uso indevido das instalaes da corporao. Assim, anorma recomenda que estas medidas sejam tomadas na fase derecrutamento, includas em contrato e monitoradas durante a vigncia decada contrato de trabalho. (Mdulo Security Magazin, 2005).

Situaes controversas, como monitorao de correio eletrnico ou uso

de cmeras e gravao de conversas telefnicas, tm gerado processos trabalhistas

e judiciais em todo no Brasil, influenciados na maioria dos casos, pela falta de

definies ticas das organizaes e dos profissionais.

A monitorao por computador tem sido criticada como uma invaso deprivacidade dos funcionrios porque em muitos casos, eles no sabem queesto sendo monitorados ou no sabem como a informao est sendo

utilizada. (OBRIEN, 2004, p. 418).

Segundo Rocha (2005), esse cenrio precisa ser analisado levando-se em

conta a privacidade das organizaes, os seus segredos comerciais e industriais.

"Por isso, ela tem a legtima expectativa e direito de fiscalizar o cumprimento de

regras de sigilo, monitorando o uso de sua rede e dos recursos que disponibiliza aos

profissionais. As leis que garantem a privacidade e a lei que reprime a concorrncia

desleal, Lei 9.279, em seu artigo 195, autorizam o monitoramento, atendendo o

requisito previsto na Lei 9.296", aponta Gilberto Martins de Almeida, advogado e

professor de Direito da Informtica da PUC-Rio.

Cabe s organizaes protegerem seu ambiente, seu patrimnio e seus

ativos, utilizando os recursos legais de TI na gesto de segurana, conforme as


57/64

56

normas nacionais e internacionais para atingir os objetivos, gerando impactos

positivos e visveis para o desempenho das organizaes e reduzindo os nveis de

incerteza para tomada de deciso. Os usurios ou profissionais, tambm devem ter

a responsabilidade de implementar princpios e filosofias ticas da TI, e de

assumirem, seja na vida pessoal ou profissional, em qualquer ambiente, esse

procedimento que vital para as organizaes, usurios e profissionais na utilizao

dos SI.


58/64

57

5 CONCLUSO

A evoluo da informao, o desenvolvimento e a implementao de SI e

dos recursos da TI proporcionam s organizaes, profissionais, usurios e a

sociedade maior capacidade para ampliar, adquirir, manipular e comunicar

informaes referentes aos negcios, vida profissional e pessoal de todos.

Toda essa evoluo progride com velocidade tornando-se de grande

importncia, principalmente nas estruturas e nos ambientes organizacionais, que

sofreram vrias mudanas com o objetivo de gerenciar de modo eficiente suas

informaes. Logo, o gerenciamento das informaes, atravs dos SI utilizando os

recursos da TI, foi necessrio para garantir rapidez nos processos realizados pelos

componentes e recursos de um SI, que se desenvolveram em razo da evoluo do

conhecimento humano.

Os SI tornaram-se importantes nas estruturas organizacionais,

contribuindo com o gerenciamento e a classificao das informaes teis nas

tomadas de decises estratgicas, tticas e operacionais no desenvolvimento dos

negcios. Esse contexto motivou as organizaes a divulgarem e compartilharem

informaes e resultados do processamento dos dados coletados importantes ao

segmento do negcio.A globalizao trouxe a Era da Informao que agregou valor s

informaes das organizaes, criando diversos desafios para estas e seus

profissionais que realizam operaes atravs dos recursos de software, hardware,

redes e dados dos SI, provocando a concorrncia dos interesses legais e ilegais nos

ambientes internos e externos das instituies.


59/64

58

Um dos desafios das organizaes foi adotar e implementar mtodos para

garantir a segurana da informao que um conjunto de diretrizes, normas e

procedimentos aplicados em todos os movimentos do ciclo de vida da informao de

acordo com o negcio desenvolvido. Esse desafio exigiu melhor planejamento dos

gestores de toda estrutura organizacional e a elaborao do PDS, que estabelece os

tipos de controles a serem implementados no SI e as PSI a serem seguidas no

processamento dos dados e gerenciamento da informao.

No entanto a simples criao de normas ou implantao de ferramentas

de segurana no suficiente para minimizar os riscos de incidentes de segurana

(ataques, vazamento de informao, infestao por vrus, etc), e sim a adoo de

um completo processo de gesto da segurana, dinmico e participativo que inclui a

definio de responsabilidades de todos os elementos envolvidos no processo da

informao com base na poltica de segurana.

As metodologias de segurana da informao devem ser adotadas

considerando as normas, processos e caractersticas tcnicas e no tcnicas da

segurana dos sistemas para seu manuseio e proteo. Porm, muitas

organizaes tm ignorado o valor de suas informaes, a necessidade de manter a

metodologia de segurana e at mesmo de investimento, por considerarem estas

despesas que no traro retorno sobre investimento, viso que no contribui comeficcia para a gesto da informao, maior ativo das organizaes.

A falta de critrios, planejamento e investimentos nos recursos dos SI, na

admisso, treinamentos e sensibilizao dos profissionais e usurios finais, tm

causado grandes prejuzos s organizaes de diferentes segmentos no mercado.

Essa necessidade tambm tem criado desafios ticos para as organizaes que


60/64

59

adotam metodologias de segurana e recursos da TI com objetivos de garantir a

segurana das informaes. As dimenses ticas devem ser consideradas pelas

organizaes na elaborao e implementao da metodologia de segurana,

atenuando os efeitos nocivos da TI, analisando os aspectos da segurana e as

vulnerabilidades existentes na estrutura tecnolgica dos sistemas de informao.

Os recursos humanos, que compreendem todos os profissionais e

usurios finais dos SI, considerados o mais frgil elo da segurana da informao,

precisam cumprir as diretrizes, as normas e procedimentos estabelecidos no

ambiente organizacional, atravs da metodologia adotada e contribuir para o

desenvolvimento da cultura de segurana da informao, considerando as

dimenses e filosofias ticas pessoais e organizacionais.

O sucesso na implementao e manuteno da segurana da informao,

essencialmente, no carece da formao de um departamento de comit de

segurana na estrutura organizacional, da aquisio de sistemas ou recursos de TI

com configuraes avanadas, mas do comprometimento do nvel estratgico da

organizao, do envolvimento dos profissionais e usurios finais treinados e

capacitados, de SI estruturado, dos recursos de TI adotados e implementados

conforme a necessidade do negcio desenvolvido pela organizao.


61/64

60

REFERNCIAS

ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 17799:

tecnologia da informao - cdigo de prtica para a gesto da segurana da

informao. Rio de Janeiro, 2001.

BEAL, Adriana. Gesto estratgica da informao: como transformar a informao

e a tecnologia da informao em fatores de crescimento e de alto desempenho nas

organizaes. So Paulo: Atlas, 2004.

____________. Segurana da informao:princpios e melhores prticas para a

proteo dos ativos de informao nas organizaes. So Paulo: Atlas, 2005.

BIO, Srgio Rodrigues. Sistemas de informao: um enfoque gerencial. So Paulo:

Atlas, 1996.

BORGES, Andr. Benefcio de TI desconhecido por 68% dos CEOs.Disponvel

em: . Acesso em: 4 set. 2005.

FERREIRA, Fernando Nicolau Freitas. Segurana da informao.Rio de Janeiro:

Cincia Moderna, 2003.

GIL, Antnio de Loureiro. Segurana em informtica. 2. ed. So Paulo: Atlas, 1998.

GONALVES, Lus Rodrigues de Oliveira. Pequeno histrico sobre o surgimento

das normas de segurana. Disponvel em: .

Acesso em: 5 set. 2005.


62/64

61

MANS, Antnio Vico. Administrao de sistemas de informao. So Paulo:

rica, 1999.

NAHUZ, Ceclia dos Santos. Manual para normalizao de monografias. 3. ed.

ver. atual. e ampl. So Lus, 2002.

OBRIEN, J. A. Sistemas de informao e as decises gerenciais na era da

internet. Traduo de Cid Knipel Moreira. So Paulo: Saraiva, 2004.

ROCHA, Luis Fernando. Monitoramento do e-mail corporativo: justificativaslegais para o monitoramento. Disponvel em:

. Acesso em: 6 set. 2005.

SMOLA, Marcos. Gesto da segurana da informao: viso executiva da

segurana da informao: aplicada ao Security Officer/Marcos Smola e Mdulo

Security Solutions S.A. Rio de Janeiro: Campus, 2003.

STAIR, R. M.; REYNOLDS, G. W. Princpios de sistemas de informao.

Traduo de Alexandre M. de Oliveira. 4. ed. Rio de Janeiro: LTC, 2002.

TURBAN, Efrain; RAINER, K. R.; POTTER, Jr., R. E. Administrao de tecnologia

da informao.Traduo de Tereza Cristina Felix de Souza. Rio de Janeiro:

Elsevier, 2003.


63/64

62

GLOSSRIO

BRAINSTORMING - forma coletiva de gerao de novas idias atravs da

contribuio e participao de um grupo.

CORE-BUSINESS- expresso que define o negcio central de uma dada empresa.

EXTRANETS - redes seguras que vinculam parceiros de negcios e intranets

atravs da internet.

FEEDBACK - uma mudana de estado de um componente de um sistema que

produz uma interao, reduzindo ou aumentando a resposta do sistema no qual

ele est incorporado.

FIREWALLS- dispositivo de segurana que controla o acesso aos sistemas internos

e externos, atravs de regras definidas.

CRACKERS - pessoas no autorizadas que acessam, invadem os sistemas de

computadores.

HARDWARE - equipamento fsico, usado nos sistemas de computadores.

INTERNET - uma grande rede eletrnica de telecomunicaes que conecta

computadores.

INTRANETS uma rede privada que utiliza o softwaree os protocolos da internet,

ou seja, uma internetprivada.


64/64

63

KNOW-HOW e KNOW-WHY - tcnicas, conhecimentos ou capacidades

desenvolvidos por usurios finais, profissionais ou empresas que geram

questionamentos, na existncia de novos conceitos.

MAINFRAMES computador relativamente grande, usado por corporaes para o

processamento de dados centralizados e manuteno de grandes bancos de

dados.

MARKET SHARE- expresso que significa participao no mercado.

SOFTWARE um conjunto de instrues do computador, que orienta um sistema de

computadores a executar atividades de processamento de informaes.

TIME-SHARING - computadores de tempo compartilhado, ou seja, que permitem

mais de uma pessoa, ou usurio, usar seus recursos ao mesmo tempo.

Documents

Administracao de Sistemas de Informacao Seguranca e Os Desafios Eticos Da Tecnologia Da Informacao