RESENHA CRTICA A IMPORTNCIA DA GESTO DA SEGURANA DA INFORMAO

DOUGLAS GRACIANO BARTH

1.

INTRODUO Esta resenha tem por objetivo apresentar as idias desenvolvidas na tese Fatores

influenciadores da implementao de aes de gesto da segurana da informao , como parte dos requisitos necessrios para a obteno do grau de mestre em cincias em engenharia de produo, realizada em Natal, em junho 2003, por Max Simon Gabbay, alm de comentar estas idias, refletindo sobre a validade das mesmas no contexto de segurana da informao atual. A tese foi estruturada em tpicos que possibilitam abordar os conceitos e definio sobre o tema de segurana da informao, bem como uma amostra da percepo dos executivos de Tecnologia da Informao - TI das 50 maiores empresas contribuintes de ICMS em 2000 do estado do Rio Grande do Norte. Esta resenha abordar na reviso bibliogrfica, captulo dois, os principais tpicos da tese, pois se entende ter uma maior contribuio para os gestores de segurana da informao, na seguinte ordem: Referencial terico: neste tpico encontram-se as definies e discusses sobre os princpios de segurana da informao, ameaas e mecanismos de proteo informao. Nesta parte o autor aborda a importncia da segurana da informao nas empresas e da capacitao dos gestores em conduzir a rea de segurana, considerando a evoluo da tecnologia da informao e o aumento das ameaas. Estas ameaas quando exploram as vulnerabilidades, resultam em riscos e, dependendo dos ativos, o nvel do risco pode ser muito alto. Da mesma forma, o autor aborda mecanismos de proteo como a implementao 1

de uma poltica de segurana da informao, conscientizao dos funcionrios e anlise de risco. Resultados da pesquisa: neste tpico encontram-se os resultados da pesquisa de campo, atravs de um questionrio abordando os dados da empresa e do profissional respondente, alm dos tpicos que identificam a percepo dos executivos e gerentes de TI em relao segurana da informao. O universo da pesquisa foi considerado como sendo todas as empresas que contriburam ICMS no estado do Rio Grande do Norte no ano de 2000. Os objetivos especficos do autor foram levantar o perfil das empresas do Rio Grande do Norte e de seus Executivos e Gerentes de TI, em relao s Normas de Segurana da Informao em termos de origem do capital da empresa, tamanho do parque, idade e conhecimento geral de informtica, bem como aferir o nvel de concordncia dos Executivos e Gerentes de TI em relao s diretrizes da Norma NBR ISO/IEC 17799 dimenso Controle de Acesso. No captulo trs, foi desenvolvida a concluso desta resenha, com as contribuies para melhorar a gesto da segurana da informao. 2. REVISO BIBLIOGRFICA

2.1.

Referencial terico

2.1.1. A evoluo da segurana da informao A evoluo faz parte das nossas vidas e o homem o maior resultado desta evoluo. No meio tecnolgico, talvez a maior evoluo j ocorrida seja a Internet. Desde o seu advento, incentivou a mudana de paradigmas e possibilitou uma exploso de conectividade e acessibilidade, onde influenciam consideravelmente a forma como as empresas gerem seus negcios. Smola (2003, p.3), sita a mudana e o crescimento da tecnologia da informao os computadores tomam conta dos ambientes de escritrio, quebram o paradigma e acesso local

 informao, e chegam a qualquer lugar do mundo atravs dos cada vez mais portteis notebooks e da rede mundial de computadores: a Internet. Como na Internet, a segurana da informao tambm evoluiu. Saiu do nvel puramente tcnico e restrito rea da TI, onde se preocupava em ter um sistema de antivrus, um firewall bem configurado, para um nvel de gesto, que alm de pensar em tecnologia, precisa investir e desenvolver tambm os processos e pessoas. Gabbay (2003, p.14) na sua tese, expe claramente a evoluo da segurana da informao, dizendo que:
Os aspectos relativos implantao de uma eficiente Poltica de Segurana de Informao vm evoluindo significativamente ao longo dos anos. Os procedimentos de segurana da informao tm se alterado bastante desde seus dias inicias, quando a segurana fsica, junto comum conjunto de back-up, compunha os controles de segurana de informao, sendo que atualmente a segurana de informao composta de polticas, padres, programas de conscientizao, estratgias de segurana, etc.

2.1.2. Princpios da segurana da informao A segurana da informao um conjunto de software, hardware, procedimentos e padres implementados para proteger as informaes das ameaas que possam explorar as vulnerabilidades do ambiente e impactar no seu negcio da organizao. A norma NBR ISO/IEC 17799 (2005, p.ix) define segurana da informao como a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio. Os princpios da segurana da informao so: confidencialidade: garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso; integridade: a informao alterada somente pelas pessoas autorizadas; disponibilidade: garantia de que as pessoas autorizadas obtenham acesso informao e aos ativos correspondentes sempre que necessrio.

Esclarecendo melhor, quando se fala em investir em segurana da informao, o mesmo que investir para que as informaes permaneam confidenciais, integras e disponveis para a pessoa certa na hora certa. 2.1.3. Ameaas segurana da informao As ameaas segurana da informao sempre vo existir, porm as vulnerabilidades podem ser tratadas. Um fator preocupante em relao s ameaas est na falta de conscincia dos executivos de TI. Desde um faxineiro mal intencionado com acesso a sala do gerente depois do expediente at um aplicativo adquirido, o qual no foi devidamente testado, so ameaas que as organizaes se deparam no cotidiano. Smola (2003, p.47) conceitua ameaa como sendo:
Agentes ou condies que causam incidentes que comprometem as informaes e seus ativos por meio de explorao de vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, conseqentemente, causando impactos aos negcios de uma organizao.

As ameaas de segurana podem ser divididas em ameaas humanas e ameaas naturais causadas por desastres da natureza conforme ilustrado na figura 3.1.

Ameaas de segurana Humanas Naturais

Intencional Crackers Vndalos Criminosos

No Intencional Funcionrios mal treinados

Enchente Incndio Terremoto Vendaval

Figura 3.1 Quadro de ameaas

Gabby (2003, p.23) cita as ameaas existem tanto no ambiente externo quanto no ambiente interno, sendo fundamental entend-las para que seja possvel propor medidas de segurana voltadas a eliminar a causa do problema. Entretanto o autor gera uma confuso quando cita no mesmo pargrafo alguns exemplos de ameaas internas so a contaminao por vrus de computador, funcionrios mal treinados para a utilizao de sistemas crticos, pirataria de software, fraude cometida por funcionrios roubo de informao e erros humanos. As ameaas exploram as vulnerabilidades resultando no risco, logo o vrus de computador uma ameaa externa, pois no se consegue control-lo, sempre vai existir, enquanto a ameaa interna, funcionrio mal treinado, por exemplo, pode-se trein-lo. No entanto no se elimina a ameaa do funcionrio, por acidente, efetuar algum dano. O que se pode fazer reduzir as vulnerabilidades, ou seja, as fraquezas. Por exemplo, no caso de um ambiente restrito, como um Data Center, pode-se implementar mecanismos de segurana como controle de acesso biomtrico, dessa forma est reduzindo a vulnerabilidade de acesso indevido, porm a ameaa de algum mal intencionado tentar entrar no ambiente, continuar existindo. 2.1.4. Mecanismos de proteo Poltica de segurana da informao A poltica de segurana a formalizao de todos os aspectos considerados relevantes por uma organizao para a proteo, controle e monitoramento de seus recursos computacionais e, conseqentemente, das informaes manipuladas. Ela deve contemplar, de forma genrica, todos os aspectos importantes para a proteo lgica e fsica das informaes e dos recursos computacionais. Gabby (2003, p.41) coloca que:
A poltica de segurana da empresa deve definir itens como: responsabilidades do uso dos recursos computacionais; preparar o Plano de Continuidade de Negcio; elaborar as normas de uso de e-mail e de uso da Internet; distinguir entre informao pblica e privada; gerenciar acesso e contas de usurios; prever o combate a ameaa aos sistemas de informao como fogo, enchente, etc.,

 definir a poltica de privacidade do site da empresa na internet, se houver.

O autor no comentou sobre a importncia dos itens acima em relao realidade das empresas. Cada empresa deve elaborar uma poltica de segurana baseada na sua realidade, ou seja, na sua cultura e em seus processos de negcio. Um exemplo pode ser a poltica da Internet, nada de adianta uma poltica se a empresa no utiliza esse recurso. O autor no comentou sobre a importncia e diferena entre o plano de continuidade de negcio-PCN e da poltica de segurana. Segundo Smola (2003, p.34) a poltica de segurana da informao deve ser elaborada considerando:
Com extrema particularizao e detalhamento as caractersticas de cada processo de negcio, permetro e infra-estrutura, materializando-a atravs de diretrizes, normas, procedimentos e instrues que iro oficializar o posicionamento da empresa ao redor do tema e, ainda, apontar as melhores prticas para o manuseio, armazenamento, transporte e descarte de informao na faixa de risco apontada como ideal.

O PCN objetiva garantir a continuidade da empresa quando da ocorrncia de algum incidente de segurana. Este plano independente da poltica de segurana, tendo inclusive uma estrutura de recursos dedicada gesto do plano, como pessoas e oramento, quando necessrio. A norma NBR ISO/IEC 17799 (2005, p.104) coloca que:
Convm que os planos sejam desenvolvidos e implementados para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.

Segundo Gabby (2003, p.42) as estratgias de segurana de informaes crticas repousam primeiramente na conduta apropriada dos funcionrios, e de forma secundria, no uso de solues tecnolgicas. O autor no abordou o fator processos dentro do contexto da segurana. Entende-se que a gesto da segurana da informao baseada no trinmio pessoas, processos e tecnologia onde somados resultam em aes efetivas para a proteo da informao. Ter pessoas conscientizadas e orientadas, processos definidos e testados, tecnologias de proteo 6

como sistemas de deteco de intrusos, firewall, etc., o cenrio pretendido por qualquer gestor de segurana. O autor no comentou a importncia de um comit de segurana que pode apoiar o gestor de segurana. Conforme Smola (2003, p.97) fator crtico de sucesso iniciar a organizao de um grupo, convencionalmente chamado de comit corporativo de segurana. O comit de segurana heterogneo, composto por gestores das diversas reas como jurdico, recursos humanos, auditoria interna, por exemplo, pode agregar valor considervel s aes do gestor de segurana. Desde a criao de polticas e diretrizes at a aprovao e orientao sobre os investimentos na mitigao dos riscos de TI. Avaliao de riscos Conhecer os riscos de TI o ponto de partida para entender as ameaas e fraquezas que a empresa est exposta, alm de tambm possibilitar desenhar uma poltica de segurana adequada organizao, ou seja, que contemple os riscos. Conforme Gabby (2003, p.45) um risco existe quando uma ameaa, com potencial para causar algum dano, possui uma vulnerabilidade correspondente com alto nvel de probabilidade de ocorrncia no ambiente computacional e um baixo nvel de proteo. Porm discorda-se da citao acima feita pelo autor, pois uma vulnerabilidade faz parte de um ativo, mas no do risco ou da ameaa. Por exemplo, em uma sala destrancada, so guardados os notebooks. Neste caso uma das vulnerabilidades a porta no estar devidamente trancada e a ameaa o ladro, logo o risco a probabilidade do ladro entrar na sala e sair com o notebook. Considerando que o notebook possui informao confidencial e que o disco rgido no esteja criptografado, os trs princpios da segurana: confidencialidade, integridade e disponibilidade foram afetados. Segundo Smola (2003, p.50) riscos probabilidade de ameaas explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negcios. Um entendimento melhor sobre a composio do risco pode ser visto na figura 3.2:

Negcio

baseado

Informao

sujeita

contm protegem contm

Medidas de segurana

Vulnerabilidades diminuem aumentam

reduzem

Riscos
exploram

Impacto no Negcio

aumentam aumentam

Ameaas

causam

Confidencialidade Integridade Disponibilidade

comprometem

Figura 3.2 composio do risco O autor poderia considerar a construo de uma sistemtica de anlise de risco, definindo os nveis de risco que a empresa ou o gestor de TI pode aceitar, controlar ou transferir, como um seguro, por exemplo. Alm de uma periodicidade definida, a composio de um comit de riscos pode ajudar no direcionamento dos investimentos dos controles. A segurana fsica e o controle de acesso A segurana fsica to importante quanto a segurana lgica. Pessoas mal intencionadas com acesso s reas crticas como um Data Center, podem causar grandes danos informao e conseqentemente continuidade do negcio da organizao.

De acordo com a NBR ISO/IEC 17799 (2005, p.32) o objetivo da segurana fsica prevenir o acesso no autorizado, danos e interferncias com as instalaes e informaes da organizao. Talvez por se tratar de um produto tangvel, a segurana fsica mais bem entendida pelo alto escalo. mais fcil para o gestor de segurana justificar um investimento como, por exemplo, a compra de portas corta-fogo, de um sistema de deteco e extino de incndio do que propor a aquisio de um sistema de deteco de intrusos, no qual um equipamento com software. No entanto vale ressaltar, que uma anlise de risco auxilia na identificao de vulnerabilidades do ambiente e conseqentemente na priorizao dos investimentos. Referente ao controle de acesso, a norma NBR ISO/IEC 17799 (2005, p.65) coloca que o objetivo controlar acesso informao e convm que o acesso informao, recursos de processamento das informaes e processos de negcio sejam controlados com base nos requisitos de negcio e segurana da informao. No importa o tipo de sistema utilizado, as fases antes de entrar no sistema a identificao e autenticao. A tcnica tradicional de autenticao uma senha, ou seja, informado um nome do usurio (username) que chamada identificao e na segunda fase provado ao sistema que o usurio realmente quem diz ser. Porm esse processo de usurio e senha em alguns casos no funciona muito bem, justamente pelo fato das pessoas utilizarem senhas fracas. So consideradas senhas fracas, aquelas que possam ser descobertas atravs de tentativas. Alguns exemplos de senhas fracas so as que possuem at 5 caracteres, com letras repetidas, ou palavras de dicionrio de qualquer idioma. O que os especialistas recomendam em relao a senha forte que possua no mnimo 6 caracteres, alguns recomendam 8, composta por letras, nmeros e caracteres especiais (*#%), letras maisculas e minsculas e que seja trocada periodicamente, por exemplo trimestralmente. Tradicionalmente, existem trs princpios ligados identificao e autenticao: algo que voc sabe (senha), algo que voc (biometria) e algo que voc tem (tokens). O uso de dois desses princpios, por exemplo, a senha e token, fortalecem a autenticao, reduzindo drasticamente a probabilidade da senha ser descoberta. 9

Por mais, a concesso dos direitos de acesso, apesar de no ser abordada pelo autor, de extrema importncia. Um processo de concesso dos direitos de acesso com regras estabelecidas e claras evitam que sejam liberados acessos indevidos aos funcionrios. Manter os registros das autorizaes de acesso para possibilitar a rastreabilidade das concesses, tambm parte importante do processo. 2.2. Resultados da pesquisa Em relao ao perfil das empresas Origem do capital: as maiorias das empresas respondentes so de origem local (36%) ou transnacional (36%), seguido das de origem nacional (15%). As empresas regionais correspondem a apenas 12% das empresas respondentes. Setor de produo: 67% das empresas respondentes atuam na rea de comrcio, seguido das empresas que atuam na rea da indstria (15%) e servios (15%). Tamanho do parque de informtica: uma grande concentrao de empresas (59%) apresentou um parque de informtica com menos de 170 micros. Freqncia dos ataques sofridos: 45% dos respondentes acreditam que suas empresas j sofreram ataques, contra 33% que acreditam nunca terem sofrido ataques. Atentar que 21% dos respondentes no souberam responder se j sofreram algum tipo de ataque.

Dados relativos ao perfil dos respondentes (Executivos e Gerentes de TI) Idade: o maior percentual dos respondentes (62%) possui menos de 35 anos. Nvel de escolaridade: 58% dos respondentes possuem Nvel Superior. 30% dos Executivos possuem MBA/Especializao, contra 15% dos Gerentes de TI. Apenas 3% dos respondentes possui Mestrado. Nenhum dos respondentes possui Doutorado. Conhecimento geral de informtica: 35% dos respondentes possuem Conhecimento intermedirio de informtica, seguido de 29% com apenas Noes bsicas.

10

Treinamento em rede e /ou segurana de informao: 27% dos Executivos jamais tiveram algum treinamento, e 39% participaram apenas de Cursos bsicos. Por outro lado, 60% dos Gerentes de TI j participaram de cursos intermedirios/avanados.

Em relao ao perfil da gesto da informao Problemas de segurana em 2003: 53% dos respondentes acreditam que os problemas de segurana de informao em 2003 iro diminuir. Importncia da segurana de informao para os negcios da empresa: 79% do total dos respondentes afirmaram que a Segurana da informao muito importante. Existncia de uma poltica de segurana implementada: 82% dos respondentes afirmaram que em suas empresas existe uma Poltica de Segurana implementada. Obstculos para implementao de poltica de segurana: o maior obstculo identificado foi a falta de conscientizao dos funcionrios (56%), seguido da falta de ferramentas adequadas (41%), escassez de recursos humanos especializados (39%) e restries oramentrias (39%). Ameaas s informaes da empresa: a maior ameaa s informaes, na viso dos respondentes, o vrus (70%), seguida de hackers (42%), vazamento de informaes (41%), acessos no autorizados (38%) e funcionrio insatisfeito (36%). Medidas de segurana implementadas: as principais medidas de segurana implementadas so o sistema de back-up (89%) e o antivrus (88%). Nvel de investimento (R$) em segurana da informao para 2003: 55% dos respondentes acreditam que o nvel de investimento (R$) em 2003 ir aumentar.

Concordncia em relao s diretrizes da norma NBR ISO/IEC 17799 A mdia de concordncia das questes variou desde 4,69 at 2,17. Baixo nvel global de concordncia (65% apresentaram mdia abaixo de 4,0). 11

Em 61% das questes, os Gerentes de TI apresentaram mdia de concordncia maior do que os Executivos. As questes que apresentaram maior nvel de concordncia foram: - identificao nica para cada empregado (Q1, mdia = 4,69); - ocultao de senha na tela (Q25, mdia = 4,69); - remoo imediata dos acessos de empregados no ativos (Q3, mdia = 4,62); - cuidados especiais de segurana com os notebooks (Q27, mdia = 4,38).

As questes que apresentaram menor nvel de concordncia foram: - entrada de senhas obrigatoriamente atravs de mouse (Q17, mdia = 2,17); - alterao de senhas baseado no nmero de acessos (Q18, mdia = 2,59); - prazo para reviso de direitos de acessos privilegiados (Q12, mdia = 3,26); - rejeio de Senhas reutilizadas (Q24, mdia = 3,26). 3. CONCLUSO Em relao ao perfil das empresas: observa-se na pesquisa realizada, que o perfil da empresa respondente de origem local ou transnacional, com atuao principalmente na rea de comrcio e com parque de informtica pequeno, ou seja, com menos de 170 micros. Dados relativos ao perfil dos respondentes (Executivos e Gerentes de TI): os dados mostram que o perfil composto por executivos jovens, porm poucos executivos 30% e gerentes de TI 15%, possuem especializao, mostrando que a experincia conta muito quando da conduo da rea de TI nestas organizaes. Em relao ao treinamento se percebe que os executivos, como esto conduzindo reas de negcio, no tiveram treinamento sobre informtica 27%, ao contrrio dos gerentes de TI 60%, os quais necessitam do conhecimento mais detalhado para a tomada de decises. O fator conhecimento geral de informtica, mostra que o gerente de TI no pode se limitar a conhecer apenas questes tcnicas, mas tambm o 12

core business da empresa, somado as caractersticas de lder, gestor de pessoas e principalmente fazer-se entender pela alta administrao. Em relao ao perfil da gesto da informao: pode-se interpretar que a opinio dos respondentes 53% em que os problemas de segurana em 2003 iro diminuir, em funo das novas ferramentas de proteo que so disponibilizadas pelo mercado, ou seja, um conjunto de softwares e hardware, somados a consultoria que podem apoiar o gerente de TI em uma arquitetura de TI mais segura. Verifica-se que grande parte dos gerentes de TI 79%, afirmam que a segurana da informao muito importante e conseqentemente 82% dos respondentes afirmam que suas empresas possuem uma poltica de segurana. Isso mostra que essas empresas pensam em segurana como um processo estruturado. Entende-se que uma poltica estabelecida uma evidncia de que a empresa discutiu, inclusive entre a alta direo, os aspectos das ameaas e vulnerabilidades de seus ativos, e repensou em como deve ser uma conduta apropriada de seus funcionrios para a proteo da informao. J os obstculos, pode-se verificar que o principal a conscientizao do funcionrio. Isso fortalece a idia que focar investimentos em novas tecnologias de proteo, alm de serem caras, no trazem o mesmo resultado do que um trabalho direcionado na conscientizao e treinamento dos funcionrios. As ameaas como vazamento de informaes, acessos no autorizados e funcionrios insatisfeitos, surgem de dentro da organizao. Divulgar e orientar os funcionrios sobre as suas responsabilidades e procedimentos em relao segurana da informao, somados aos processos de controle, podem reduzir os incidentes de segurana e conseqentemente melhorar o nvel da segurana da organizao. J nas medidas de segurana implementadas, back-up 89% e antivrus 88%, demonstra que os fornecedores de solues de anti-spam, Intrusion Detection System, anti-spyware, etc., tm um mercado para ser explorado. Concordncia em relao s diretrizes da norma NBR ISO/IEC 17799: a conveno adotada para esta pesquisa, foi a seguinte: nota 1 (discordo totalmente), nota 2 (discordo), nota 3 (indeciso), nota 4 (concordo) e nota 5 (concordo plenamente). Curiosamente pode-se ver que o assunto controle de acesso obteve mdia alta em alguns itens e baixa em outros. Percebe-se que os gerentes de TI sabem da importncia em ter um processo de concesso e cancelamento de acesso eficiente, de forma que evite que outros funcionrios ou terceiros possam utilizar um (username) de funcionrio que no est mais na empresa. 13

Entretanto no caso das senhas, as mdias demonstram que a poltica de senhas nessas organizaes ainda precisa ser revisada e melhorada. Outro ponto muito importante a reviso dos direitos de acessos. Acredita-se que um processo de reviso peridica dos direitos de acesso muito importante para reduzir a possibilidade de funcionrios, intencionalmente ou no, acessarem sistemas e ou servios indevidos, ou seja, no relacionados as suas atividades para que foi contratado. Esta tese possibilitou entender, que independente do tamanho ou segmento da empresa, a informao um dos ativos mais importantes e conseqentemente a segurana deste ativo tambm. As iniciativas em segurana da informao variam de empresa para empresa. Os investimentos em segurana dependem em como o gestor de TI faz chegar o assunto alta administrao e como transforma as necessidades de segurana em uma linguagem de negcio. Conhecer o ambiente de tecnologia imprescindvel, mas tambm, o ambiente de negcio composto pelos seus processos e o nvel de entendimento dos funcionrios a respeito da importncia da informao necessria. comum que as empresas tenham em suas infraestruturas solues de antivrus e backup, dando a impresso que os principais riscos so vrus e indisponibilidade das informaes. Um processo de anlise de risco efetivo pode ajudar consideravelmente no conhecimento das vulnerabilidades e ameaas, identificando o nvel de risco e com isso, auxiliar em um plano diretor de segurana. Este plano o principal documento da segurana da informao, aonde mostra como est a segurana da informao na organizao. Alm de priorizar os investimentos, o plano pode conter as diretrizes da segurana, a sua arquitetura e os processos de controle. A elaborao do plano com a viso da alta direo, ajuda a fortalecer a sua necessidade e conseqentemente sua importncia. Por mais, pensar no trinmio pessoas, processos e tecnologia ajuda ao gestor de segurana, a arquitetar um plano de trabalho que possa abranger os trs pilares em um equilbrio razovel. Contudo, defende-se que o direcionamento de atividades no sentido de melhorar a conscientizao do funcionrio sobre o assunto segurana da informao pode trazer grandes resultados, sem grandes investimentos. Com o passar do tempo as tecnologias mudam, mas o funcionrio bem treinado e conscientizado permanece.Vale ressaltar, que a norma NBR ISO/ IEC 17799 a principal padro relacionado gesto de segurana da informao e como tal, merece ser consultada e entendida pelos gestores de TI e segurana da 14

informao. Por se tratar de uma norma ISO, as prticas nela contidas, auxiliam enormemente organizao no desenvolvimento de uma poltica de segurana forte. Contudo, apesar de ser um padro mundial, cabe a cada organizao adequar as recomendaes da norma sua realidade, desenhando o um sistema de gesto de segurana da informao que considere alm dos riscos a cultura organizacional. 4. REFERNCIA BIBLIOGRFICA GABBAY, M. S. Fatores influenciadores na implementao de aes de gesto de segurana da informao: um estudo com executivos e gerentes de tecnologia da informao em empresas do Rio Grande do Norte. Tese (mestrado) Universidade Federal do Rio Grande do Norte, 2003. SMOLA, M. 2003: Gesto da Segurana da Informao. 1.Ed. Rio de Janeiro:Campus, 2003. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS ABNT. NBR ISO/IEC 17799:2005: Tecnologia da informao - cdigo de prtica para a gesto da segurana da informao, 2005.

15