Upload
internet
View
103
Download
0
Embed Size (px)
Citation preview
Ana Rosa Carvalho de Abreu 1
Segurança Física em Organizações Governamentais
Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília
Curso de Especialização em Gestão da Segurança da Informação e Comunicações
30/6/2010
Ana Rosa Carvalho de Abreu 2
- Há milhões e milhões de anos que as flores fabricam espinhos. Há milhões e milhões de anos que os carneiros as comem, apesar de tudo. E não será sério procurar compreender por que perdem tanto tempo fabricando espinhos inúteis? Não terá importância a guerra dos carneiros e das flores?
(Antoine de Saint-Exupery)
30/6/2010
A guerra dos carneiros e das flores
Ana Rosa Carvalho de Abreu 3
Se, apesar de todo um aparato de equipamentos de segurança física, para proteger os seus bens, os bancos continuam sendo alvo de furtos, não seria importante descobrir porque eles continuam a se comportar do mesmo modo? Onde estarão falhando? Quais as relações de causa e efeito entre as variáveis que influenciam a concretização de um evento negativo?
30/6/2010
A guerra dos bancos
Ana Rosa Carvalho de Abreu 4
Verificar a aplicabilidade e a efetividade das normas de segurança da informação da ABNT, no que concerne aos aspectos de segurança física, na
Administração Pública Federal.
30/6/2010
Objetivo do trabalho
Ana Rosa Carvalho de Abreu 5
Análise das normas técnicas: NBR ISO/IEC 27001:2006,NBR ISO/IEC 27002:2005 e NBR ISO/IEC 27005:2008
Análise de variáveis de segurança apontadas nas normas.
Validar a utilização dos requisitos de segurança apontados na NBR ISO/IEC 27001:2006, junto a especialistas em Gestão da Segurança da Informação.
Identificadas inter-relações e relações causais entre as variáveis estudadas.
30/6/2010
Etapas do trabalho
Ana Rosa Carvalho de Abreu 6
Descrição de Situação Problema Revisão da Literatura especializada sobre
o assunto Estudo de normas pertinentes. Coleta de Dados com utilização da Técnica
Delphi com especialistas em Gestão da Segurança da Informação
Entrevista semi-estruturada com Gerente da Área de Segurança do BCB.
30/6/2010
Instrumentos Utilizados
Ana Rosa Carvalho de Abreu 7
A) Uma visão sistêmica, não somente de dentro da organização, mas do macro-sistema que a envolve, torna-se necessária, para se definir a política de segurança de uma instituição;
B) Seguir todos os itens de segurança física, de forma isolada, não garante a segurança física das organizações;
30/6/2010
As hipóteses
Ana Rosa Carvalho de Abreu 8
C) Funcionários treinados em normas de segurança são necessários para diminuir a vulnerabilidade nas organizações governamentais;
D) Um planejamento estratégico, com respaldo da Administração Superior, fundamentado em uma Política de Segurança da Informação elaborada de forma participativa e editada pela autoridade maior da organização forma o pilar central para a segurança física das organizações.
30/6/2010
As hipóteses
Ana Rosa Carvalho de Abreu 930/6/2010
Variáveis e suas inter-relações
Area Segura
Perímetro desegurança
Proteção contra ameaçasexternas e do meio ambiente
Acesso ao público, áreasde entrega e carregamento
+
+
+
+ -
-
Ana Rosa Carvalho de Abreu 1030/6/2010
História das Normas NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2005
Ana Rosa Carvalho de Abreu 1130/6/2010
NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2005
metodologia estruturada, reconhecida
internacionalmente, dedicada à
segurança da informação;
processo definido para avaliar, implementar,
manter e gerenciar a segurança da
informação;
grupo completo de controles contendo
as melhores práticas para segurança da informação.
Ana Rosa Carvalho de Abreu 1230/6/2010
As normas ISO(continuação)
NBR ISO/IEC 27001:2006
apresenta requisitos de sistema
utilizada como padrão para a realização de auditorias de
certificação
NBR ISO/IEC 27002:2005
código de práticas
utilizada para orientação durante o desenvolvimento e implantação do sistema
de gestão de segurança da informação
30/6/2010Ana Rosa Carvalho de Abreu 13
As normas ISO(continuação)
NBR ISO/IEC 27001: 2006
processo sistemático para fortalecimento do
controle interno de segurança da
informação. Cobre todos os tipos de
organizações;
especifica os requisitos para
estabelecer, implementar,
operar, monitorar, analisar
criticamente, manter e melhorar
um SGSI documentado;
especifica requisitos para a
implementação de controles de segurança
personalizados para as
necessidades individuais de
organizações ou suas partes;
orienta como elaborar uma
matriz de riscos e identificar e
implantar controles para minimizar
estes riscos
30/6/2010Ana Rosa Carvalho de Abreu 14
As normas ISO(continuação)
NBR ISO/IEC 27002:2005
estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança
da informação em uma organização;
Os objetivos de controle e os controles têm como finalidade ser implementados para atender aos
requisitos identificados por meio da
análise/avaliação de riscos;
apresenta 11 cláusulas de controle de
segurança de A5 a A15 e 133 controles;
considera segurança física, técnica,
procedimental e em pessoas.
Ana Rosa Carvalho de Abreu 1530/6/2010
Fundamentos da segurança da informação
Confidencialidade• garantir que
apenas as pessoas que devam ter conhecimento a respeito de uma informação possam ter acesso a ela.
Integridade• proteger as
informações contra alterações em seu estado original. Essas alterações podem ser tanto intencionais quanto acidentais.
Disponibilidade• garantir que a
informação possa ser acessada por aqueles que dela necessitarem, no momento em que dela precisarem.
Ana Rosa Carvalho de Abreu 1630/6/2010
Legislação sobre segurança física no Brasil
Artigo 144 da Constituição Federal de 1988
• A segurança pública, dever do Estado, direito e responsabilidade de todos, é exercida para a preservação da ordem pública e da incolumidade das pessoas e do patrimônio.
Lei nº. 7.102, de 20 de junho de 1983
• Dispõe sobre segurança para estabelecimentos financeiros, estabelece normas para constituição e funcionamento das empresas particulares que exploram serviços de vigilância e de transporte de valores
Lei nº. 8.863, de 28 de março de 1994
• Altera o artigo n. 10 de da Lei nº 7.102 e define a categoria do vigilante.
Ana Rosa Carvalho de Abreu 1730/6/2010
Aspectos do Risco
Evento desfavorá
vel
Probabilidade de
ocorrência
Elementos que
definem o risco
Período de tempo
Ana Rosa Carvalho de Abreu 1830/6/2010
Gestão de risco NBR ISO/IEC 27005:2008
Definição do Contexto
• Objetivos, políticas e estratégia
• Processos e estrutura• Requisitos legais e
normativos• Política de segurança e
ativos de informação• Abordagem da Gestão de
risco• Características geográficas• Restrições que afetam a
organização e expectativas das partes interessadas
• Ambiente sociocultural e interfaces (ou seja, a troca de informações com o ambiente).
Análise/Avaliação de Riscos
• Identificação de riscos
• Identificação dos ativos
• Identificação das ameaças
• Identificação dos controles existentes
• Identificação das vulnerabilidades
• Identificação das conseqüências
• Estimativa de riscos• Avaliação de riscos
24/06/2010Ana Rosa Carvalho de Abreu 19
Pesquisa com especialistas - Enunciado
Como as organizações governament
ais entendem a atividade de segurança da informação?
Como a adoção das normas de segurança da informação da ABNT podem
contribuir para o aperfeiçoamento das atividades de segurança física
nessas instituições?
24/06/2010Ana Rosa Carvalho de Abreu 20
Dados sobre a pesquisa - Técnica Delphi de Coleta de Dados
Pessoas selecionadas 21
1ª rodada2ª rodada3ª rodada
19 pessoas15 pessoas13 pessoas
Entidades APF 14
Datas das rodadas 19 a 26 de abril de 201003 a 11 de maio de 2010 12 a 17 de maio de 2010
Ana Rosa Carvalho de Abreu 2130/6/2010
Respostas que confirmam as hipóteses A e B – Visão sistêmica
Questionou-se se o mecanismo de câmeras de segurança poderia ter sido uma vulnerabilidade no caso do furto ocorrido nas dependência do BCB em Fortaleza.
Exemplo de resposta que representa a maioria dos respondentes:“Deve ser avaliado o processo como um todo: análise do ambiente externo, análise do ambiente interno, escolha do equipamento, monitoração, gravação, análise, auditagem. A ineficiência está nas análises compartimentalizadas.
Ana Rosa Carvalho de Abreu 2230/6/2010
Respostas que confirmam as hipóteses – Treinamento e conscientização
Questionou-se se: “uma estrutura de proteção adequada das instalações, impedindo o acesso a pessoas não autorizadas ao recinto, impediria o incidente de segurança física no BCB em Fortaleza. E obteve-se respostas como:
“O que evita incidentes realmente são políticas de segurança bem implantadas, com os respectivos procedimentos formalizados, auditados e atualizados.”“É importante fortalecer, além da estrutura das instalações, os laços de confiança entre as pessoas e a organização. O indivíduo preciso ter ‘noção de pertencimento’ clarificada da sua empresa, como um sistema social que o considera”.
O que confirma as hipóteses A, B e C
Ana Rosa Carvalho de Abreu 2330/6/2010
Confirmação da hipótese C – Treinamento
Questionou-se se “falta de treinamento e conscientização dos funcionários pode ter sido uma das causas do desencadeamento do incidente de segurança”.
Obteve-se as respostas:“Não é possível cobrar ou até mesmo responsabilizar funcionários não treinados, e em um ambiente sem programa de conscientização. O treinamento e a conscientização devem fazer parte de um programa maior de segurança da informação.”“A segurança é formada por várias áreas que têm que ser modeladas e gerenciadas. É a eficácia harmônica das diversas áreas que torna o sistema eficaz. Não adiantaria ter excelência em uma das áreas de segurança e ser negligente com as outras áreas relacionadas."
Ana Rosa Carvalho de Abreu 2430/6/2010
Confirmação das hipóteses
Após a análise dos resultados da pesquisa observou-se a confirmação das hipóteses, ou seja: Há a necessidade de planejamento estratégico, com respaldo na Administração Superior, fundamentada em uma Política de Segurança da Informação, elaborada com a participação de funcionários
treinados e conscientes da sua importância para a segurança da informação da organização.
Ana Rosa Carvalho de Abreu 25
• Criação de uma área estruturada como departamento na sede, com gerências técnicas nas praças onde atua;
• Troca de experiências com organismos de outros países.
Visão Sistêmica
• Definição dos perfis mínimos de competência que devem ser detidos pelos servidores;
• Estabelecimento do plano de desenvolvimento para os servidores;
• Alocação de um quadro de pessoal adequadamente dimensionado.
Funcionários Treinados
• Reformulação dos Planos da área de segurançaPlanejamento Estratégico
30/6/2010
Resposta a um incidente de segurança física no BCB
Ana Rosa Carvalho de Abreu 2630/6/2010
BCB – Diretrizes
As atividades de segurança devem ter caráter permanente;
O enfoque deve ser sistêmico e preventivo,
sem prejuízo de medidas necessárias para a
resposta e controle de incidentes;
As atividades/ações devem ser desenvolvidas
sempre numa perspectiva integrada e
corporativa.
Ana Rosa Carvalho de Abreu 2724/06/2010
Utilização das técnicas de cenários e sistemas dinâmicos para estudar um
melhor aproveitamento, aplicabilidade e efetividade das normas NBR ISO/IEC
27001:2006, NBR ISO/IEC 27002:2005:2005 e NBR ISO/IEC
27005:2008 na Administração Pública Federal Brasileira.
Trabalhos futuros
24/06/2010Ana Rosa Carvalho de Abreu 28
“Uma pessoa inteligente resolve um problema, um sábio o previne.” Albert Einstein
Obrigada!