TRABALHO DE SISTEMA DE

INFORMAES GERENCIAIS
(SIG)
Anlise detalhada do capitulo 12
(Questes ticas e sociais em
sistemas de informao)

Trabalho feito por:

Thiago Andrade
Hugo Bustamante
Deuler Neto
Joao Luiz Mendes

A civilizao humana sempre buscou a proteo das informaes dos

Conhecimentos adquiridos. Na antiga civilizao egpcia, somente as castas.
Superiores da sociedade tinham acesso aos manuscritos da poca, principalmente.
Ao que eles escreviam. A escrita por meio de hierglifos do Egito antigo representa
Uma das vrias formas utilizadas pelos antigos para protegerem a informao e
Perpetuarem o seu conhecimento. (GONALVES, 2003).
Uma maior ateno para isso passou a existir na sociedade moderna com
Os primeiros computadores, que despertaram o interesse por uma maior segurana.
Das informaes. Essa preocupao era ainda muito rudimentar, porm com o.
Passar do tempo esse processo sofreu muitas mudanas.
Os interesses voltados para a segurana no mbito dos computadores
Foram crescendo com o surgimento dos computadores time-sharing, que permitiam.
Que mais de uma pessoa ou usurio fizesse uso do computador ao mesmo tempo,
Acessando as mesmas informaes. Esse acesso no era gerenciado, logo causaria.
Efeito indesejvel como de fato acontece nos dias de hoje. A necessidade da
Implementao de ferramentas que gerenciassem os mecanismos para minimizar o
problema dos incidentes com as informaes era iminente.
Em outubro de 1967 nos Estados Unidos foi criado uma fora tarefa, que
resultou em um documento, o Security Control for Computer System: Report of
Defense Science Boad Task Force on computer Security, editado por W. H. Ware,
que representou o incio do processo oficial de criao de um conjunto de regras
para segurana de computadores reconhecido mundialmente, que a Norma
Internacional de Segurana da Informao ISO/IEC-17799:2000, que j possui uma
verso aplicada aos pases de lngua portuguesa, denominada NBR ISO/IEC-17799.
(GONALVES, 2003).

A segurana uma das principais reas nas organizaes que esto

voltadas para a proteo de seus ativos - tais como a informao - contra acessos,
alteraes, publicaes indevidas e no autorizadas, que tm se tornado mais
presente e representativos nos SI.
Para Freire (2003, p. 1) a segurana da informao protege este, que
um ativo importante e de alto valor para a organizao, e que, portanto, necessita
ser adequadamente protegido de diversos tipos de ameaas, garantindo assim, a
continuidade dos negcios.
Podemos definir Segurana da Informao como uma rea do
conhecimento dedicada proteo de ativos da informao contra acessos
no autorizados, alteraes indevidas ou sua indisponibilidade. (SMOLA,
2003, p. 45).
Segurana a definio de um conjunto de diretrizes, normas e
procedimentos que so aplicados em todos os momentos do ciclo de vida, conforme
os aspectos complementares da informao, como mostra a Figura 5, viabilizando a
identificao e o controle de ameaas e vulnerabilidades da informao no ambiente
organizacional.
Ferramenta que no segue padres, mas metodologias implementadas
pelas organizaes, baseadas em normas como a NBR ISO/IEC-17799, conforme
estrutura organizacional e perfil no mercado, a segurana essencial. Porm, nem
sempre implementada nas empresas, por razes culturais e/ou polticas, como
apoio da direo, foco nas finanas, nos produtos e tantos outros fatores que
influenciam esse processo. Esse contexto j apresenta resultados positivos rumo a
mudanas, influenciado por novidades que surgem no mercado e provocam
alteraes nas organizaes.
A informao, produto do processamento de um conjunto de dados,
esteve sempre presente em todas as etapas das atividades desenvolvidas nas
3

organizaes, cumprindo importante papel na gesto dos negcios e nas tomadas

de decises. Todas as organizaes, por menor que sejam, independente do seu
segmento no mercado, core-business e porte, sempre usufruram da informao
com objetivos de melhorar a produtividade, reduzir de custos, aumentar a agilidade,
e a competitividade, dando apoio tomada de deciso e principalmente
proporcionando ganho de market share.
As informaes que h dcadas eram centralizadas e pouco
automatizadas foram tratadas nas fases da evoluo corporativa e da TI, ferramenta
propulsora para a valorizao da informao no ambiente organizacional, conforme
OBrien (2004, p. 3).
O aumento dos investimentos em TI trouxe alta funcionalidade s
informaes, tornando-as mais acessveis, diferente de quando eram documentos
manuais, manuscritos em arquivos com baixa funcionalidade. Os mainframes
herdaram a funo central do processamento e armazenamento dos dados que
eram consultados em operaes via acesso remoto. Uma importante mudana
nesse processo foi o compartilhamento da informao que passou a ser uma prtica
moderna na gesto da informao, necessria para dar maior rapidez s aes e
tomadas de decises.
A grande quantidade de informao e a necessidade de gesto da dela
tm provocado vrios incidentes graves no ambiente empresarial, que apresenta
iminente obrigao de definir estratgias de segurana no ambiente organizacional.
Essa estratgia deve ser implementada de forma abrangente, devendo ser atribuda
grande acuidade aos mecanismos de segurana, inclusive aos administrativos.
fundamental buscar a valorizao dos processos e do conhecimento em toda
estrutura organizacional, visando obter solues com a implementao de recursos
de segurana.
Por dcadas desenvolveram-se ferramentas de TI que integraram o nosso
4

mundo pessoal, profissional, estilos de vida e o ambiente organizacional de uma

forma natural e parcialmente equilibrada. Smola (2004, p. 16) compara a ausncia
desses mecanismos ou sua presena estando completamente alterados, com ter
uma casa sem portas ou com portas, mas sem as devidas fechaduras e sem polcia.
A segurana nos SI sofre particularmente com os problemas no
identificados, pois seu crescimento desorganizado e exagerado impossibilitou que
fosse tratada de uma forma lgica e seqencial. Com o atual estado da segurana
fcil identificar a sua falta de objetivos concretos, o que impossibilita a captura de
uma viso global do problema, levando muitas organizaes a ignorarem os
benefcios da TI e conseqentemente da segurana que se faz necessria. Esses
elementos, atualmente, so desconhecidos para 68% das organizaes no mundo,
segundo Consultoria Booz Allen Hamilton (2005).
Hoje em dia a segurana no mundo empresarial no vista ainda como
um benefcio por este campo tem a sua referncia nos produtos. O ambiente
empresarial e os negcios esto focados apenas nos produtos, interessados apenas
em movimentar largas somas monetrias, e isso no ajuda a evoluir da forma como
problema est sendo vivenciado, dificultando a concretizao da prpria adoo das
melhores prticas.
No entanto, identifica-se que as grandes ocorrncias relacionadas fuga e
perdas de servio e informaes, principalmente no interior das organizaes,
continuam a ser um dos principais causadores de perdas financeiras. Desse modo,
quando aplicada aos SI, a segurana deve ser aceita como um fator importante,
inevitvel e incontornvel para o ambiente empresarial.
Essa perspectiva deve ser entendida, interiorizada e totalmente apoiada
principalmente pelos diretores das organizaes. Devem ser definidos objetivos
claros de segurana e sua implementao dever ser fortemente adotada em todo
ambiente organizacional. Neste processo, existe ainda o papel dos especialistas em
5

segurana, que ajudam na anlise do risco, nas decises ponderadas e na

otimizao dos investimentos para que a segurana seja uma prtica implementada
com objetivos de tornar o ambiente seguro e alcanar resultados por meio da prtica
e polticas adotadas.
Para Smola (2003, p. 44) segurana da informao um termo ambguo,
podendo assumir dupla interpretao. Primeiro, porque uma prtica adotada para
tornar seguro e manter a segurana no ambiente com metodologias e aplicaes
que visam estabelecer: controles, autenticao, autorizao e auditorias, como meio
que visa garantir a confidencialidade, integridade e disponibilidade da informao. E
segundo, porque tambm resultado da prtica adotada para alcanar o objetivo,
caracterstica que adquire a informao ao ser alvo de uma prtica da segurana
com objetivos, porque alcanada por meio de prticas e polticas padronizadas.
A segurana da informao tem como objetivo a preservao de trs
princpios bsicos e atravs deles pode-se ter uma real viso da amplitude do
desafio corporativo para sua implementao e manuteno, conforme Figura 6.

Os trs princpios bsicos da segurana da informao.

Para Ferreira (2003, p. 2) muito fcil atacar sistemas informatizados,
visto que os SI esto conectados atravs das redes. Portanto, pode acontecer a
perda de confidencialidade, quando informaes carem nas mos da concorrncia,
perda de integridade, quando as informaes forem corrompidas ou apagadas, e
perda de disponibilidade quando no puderem ser acessadas para o fechamento de
um grande negcio. Isso caracteriza a segurana da informao pela preservao
de:
_ Confidencialidade garantia de que toda informao deve ser
protegida, com certo grau de sigilo, acessvel somente a pessoas
autorizadas.
6

_ Integridade visa proteger toda informao contra alteraes

indevidas, intencionais ou acidentais.
_ Disponibilidade garantia de que toda informao e ativos estaro
disponveis e somente sero acessados por usurios autorizados no
momento em que delas necessitem para qualquer finalidade.
Dentre os aspectos de segurana da informao, dois elementos so
considerados essenciais na execuo da metodologia em complemento aos trs
princpios bsicos da segurana, considerando os objetivos organizacionais, Figura
_ Autenticidade identificao e reconhecimento formal da origem dos
elementos em uma transao, por meio de controles de identificao.
_ Legalidade valor legal de acordo com clusulas contratuais
pactuadas, legislao poltica institucional vigente, seja nacional ou
internacional.
O PDS o planejamento e a elaborao de diretrizes, normas e
procedimentos para controlar acessos aos dados e informaes no ambiente
organizacional.
O planejamento para implementar e manter a segurana nos SI deve ser
enfatizado com importncia e esforo para o seu desenvolvimento, algo que parece
ser uma tarefa fcil ou desnecessria, para muitas organizaes. No entanto, esse
processo depende de toda organizao da diretoria aos usurios finais, com os
mesmos objetivos focados na melhoria constante dos SI.
[...] foroso reconhecer que grande parte das empresas no Brasil iniciou
(e, por vezes, prosseguiu) seus esforos de melhoria dos sistemas de
informao com um nvel de planejamento bastante precrio. (BIO, 1996, p.
Para Beal (2005, p. 37) a efetiva gesto de segurana precisa ser
permanente, cclica, interativa e baseada em processo tcnicos e organizacionais
consistentes. Portanto, adotar um modelo corporativo de gesto permite
7

organizao equacionar os desafios de proteo, levando em conta todos os

aspectos essenciais para a segurana: componentes dos ambientes fsico e lgico,
pessoas e processos. Na adoo do modelo de gesto, um mtodo conhecido como
PDCA (de plan, do, check, act) utilizado em processo de gesto da qualidade e
outros nveis de gesto, til para fornecer uma visualizao global das etapas que
devem compor a gesto da segurana da informao.
A elaborao de um modelo de gesto de segurana deve levar em
considerao, em primeiro plano, os desafios do negcio como um todo,
abrangendo todos os conceitos de segurana: confidencialidade, integridade,
disponibilidade e os aspectos de autenticidade e legalidade.
detectados desvios ou falhas a serem
corrigidos).
Planejamento o fator crtico de sucesso para a iniciativa de gerir a
segurana da informao e o Plano Diretor de Segurana justamente o
elemento especfico. Mais do que uma rubrica oramentria destinada a
investimentos tecnolgicos, como sugere o j tradicional Plano Diretor de
Informtica, o PDS tem de ser dinmico e flexvel para suportar as novas
necessidades de segurana que surgem em virtude da velocidade como o
contexto corporativo muda. (SMOLA, 2003, p. 86).
Na elaborao e implementao do PDS, algumas mudanas, que sero
constantes conforme as prioridades, devero ser aplicadas para conter e prevenir as
vulnerabilidades e os riscos nos sistemas. Desse modo, uma abordagem deve ser
feita em toda estrutura organizacional, analisando os recursos utilizados pelo
sistema, os processos e os componentes, atravs de informaes coletadas no
ambiente organizacional.
Metodologia de qualquer tipo no deve ser implementada na estrutura
organizacional, mesmo que tenha atendido as necessidades de outras
8

organizaes, essa restrio deve-se ao fato que o desenvolvimento do PDS exige

atendimento, conforme a estrutura organizacional, as caractersticas da organizao,
os seus valores ticos, a sua cultura, o tipo do negcio no mercado, recursos de
processamento de dados, custos e benefcios, recursos humanos e os seus
aspectos polticos.
Para Smola (2003, p. 87) definir um PDS em um ambiente organizacional
deve ser entendido como um fato necessrio e importante, mesmo que nem todos
os problemas sejam resolvidos, exclusivamente, por meio dos recursos de
tecnologias no processamento dos dados. A metodologia deve estar voltada para a
anlise de alternativas de hardware, software, recursos humanos e custos.
Para planejar e implementar uma metodologia, embora exista uma
caracterstica universal, preciso considerar que as organizaes so diferentes e
que seus estgios de evoluo em sistemas so dinmicos, sendo assim, apenas as
etapas ordenadas abaixo devem ser seguidas para no perder o foco e chegar ao
fracasso.

_ Identificao dos processos de negcio: entrevistas e brainstorm;

_ Mapeamento da relevncia;
_ Estudo de impactos dos conceitos: confidencialidade, integridade,
disponibilidade, e dos aspectos de autenticidade e legalidade;
_ Estudo de prioridades: gravidade, urgncia e tendncia;
_ Estudo de permetros;
_ Estudo de atividades desenvolvidas no ambiente organizacional.
Associar as aes de levantamento de informaes do negcio, entender
os desafios, conhecer os planos de curto, mdio e longos prazos e as demandas
essencial para diagnosticar os sintomas, as anormalidades e os riscos potenciais,
identificando ameaas, vulnerabilidades e impactos inerentes ao negcio. Essas
9

aes devem ser realizadas mesmo que no incidam diretamente nos processos do
negcio da organizao.
O mapa de relacionamento na fase preliminar do levantamento contribui
para um melhor desenvolvimento da anlise entre os processos do negcio e as
aplicaes de infra-estrutura fsica, tecnolgica e humana, conforme Figura 8, pois
se trata de uma tarefa complexa em funo de fatores dificultadores como: viso
corporativa, complexidade dos ambientes organizacionais e a acessibilidade e
flexibilidade no uso de tecnologias.
Ameaas e vulnerabilidades so elementos do grupo denominado risco,
que so visualizados com a possibilidade de explorao nos SI, a partir da sua
complexidade e dinmica, que exigem das organizaes, atravs da gesto de
segurana da informao, a identificao, atravs de mtodos detectivos, de outros
elementos do grupo de risco que so o ataque, o incidente e o impacto e, prevenir
para alcanar os objetivos de segurana, especficos para o negcio, Figura 9.
Esse processo precisa ser desenvolvido de forma permanente e interativa.
mudana organizacional, ou tecnolgicas com implicaes nos critrios de
segurana que podem criar novas ameaas e aumentar significativamente a
possibilidade de um incidente causando impactos no negcio. importante perceber
que, mesmo aplicando todas as medidas de segurana, sempre haver
possibilidade de um incidente ocorrer.
O risco a probabilidade de que agentes, que so as ameaas, explorem
vulnerabilidades, expondo os ativos a perdas de confidencialidade e
disponibilidade, e causando impactos nos negcios. Estes impactos so
limitados por medidas de segurana que protegem os ativos, impedindo
que as ameaas explorem as vulnerabilidades, diminuindo, assim, o risco.
(SMOLA, 2003, p. 55).
Figura 9 Elementos que geram risco nos SI.
10

Para Beal (2004, p. 14) ameaas so expectativas de acontecimento

acidental ou proposital, provocadas por agentes ou condies, a alvos de ataque
que causam incidentes s informaes, atravs da explorao de vulnerabilidades,
provocando perdas, prejuzos de confidencialidade, integridade e disponibilidade ao
negcio da organizao.
Agente Impacto
Smola (2003, p. 47) classifica as ameaas nos seguintes grupos:
_ Naturais que so causadas por fenmenos da natureza como:
maremotos, poluio, enchentes, terremotos, tempestades
eletromagnticas, poluio, etc.
_ Involuntrias causadas, na maioria das vezes, pelo
desconhecimento, mas tambm causadas por falhas humanas e outros
fatores como erros e falta de energia.
_ Voluntrias causadas por agentes humanos, que atuam e planejam
ataques propositais, esses agentes so qualificados como hackers,
invasores, espies, ladres, criadores e disseminadores de vrus de
computador.
As vulnerabilidades so falhas nos SI de uma organizao, que durante a
manipulao ou processamento dos dados, permitem a explorao provocando
incidentes com informaes, afetando diretamente os princpios da segurana da
informao.
As vulnerabilidades so elementos apticos que s provocam incidentes
se exploradas atravs de uma ameaa. Elas tambm podem ser provocadas por
fatores no planejados na elaborao do PDS, esse processo deve levar em
considerao todos os fatores ligados diretamente ou indiretamente estrutura
organizacional.
O risco decorre da existncia de ameaas nos SI com a possibilidade de
11

explorao das vulnerabilidades, causando perdas na integridade, confidencialidade

e disponibilidade, gerando impactos nos negcios. A percepo da necessidade de
diagnosticar e realizar anlises j prioridade em algumas organizaes, mas ainda
insignificante quanto ao entendimento do que anlise de segurana.
A anlise de segurana, consciente do risco, no deve estar voltada,
somente para os recursos tecnolgicos, ou seja, hardware, software, redes e
sistemas, mas compreender todas as variveis e recursos que superam os aspectos
tecnolgicos do ambiente interno e externo. Deve ser considerada com um
instrumento fundamental para diagnosticar as mudanas na situao real de
segurana do SI da organizao.
um conjunto de diretrizes, normas, procedimentos e instrues que
formam a poltica de segurana de um SI no ambiente organizacional.
Para Ferreira (2003, p. 17) a poltica, padres e procedimentos so a
expresso e o anseio dos acionistas nas tomadas de decises em relao ao uso da
informao por aqueles que a ela tm acesso. A poltica, normas e procedimentos
fornecem melhor direcionamento para as implementaes tcnicas e formam um
conjunto de aes que compem a gesto de segurana da organizao.
Para Smola (2003, p. 108) a elaborao e implementao da poltica de
segurana so importantes e necessrias. Todos os nveis da estrutura
organizacional devem participar desse processo permanente. Para essa elaborao
a organizao necessita formar um grupo ou comit, mas, necessariamente, no
precisa criar um departamento, isso depende da estrutura da organizao e do
negcio.
O importante formar um grupo capacitado com representantes das reas
e departamentos da organizao, com o objetivo de integrar vises, percepes e
necessidades caracterizadas que devero gerar critrios da poltica de segurana.
Esse propsito fundamental para a nitidez dos problemas, desafios e impactos,
12

pois agregar valor ao processo de gesto, evitando conflitos e redundncias no

estabelecimento das polticas de segurana.
A poltica de segurana tem como objetivo e propsito orientar e apoiar as
aes da gesto de segurana em toda organizao, por isso abrange toda a sua
estrutura, conforme ilustra Figura 10.
O comprometimento da alta direo fundamental e extremamente
necessrio para que o envolvimento dos funcionrios ou usurios finais seja
atingido. Ressalta-se que esse envolvimento depende diretamente da forma como a
poltica comunicada e compartilhada no ambiente organizacional. Convm que a
direo estabelea uma poltica clara e demonstre apoio e comprometimento com a
segurana da informao atravs da emisso e manuteno de uma poltica de
segurana da informao para toda a organizao.
Por meio das diretrizes definidas no documento que estabelece a PSI, a
organizao precisa expressar a importncia da informao, conscientizando os
recursos humanos do valor do seu comprometimento na implementao, seguindo
as normas que so estabelecidas na poltica de segurana. Isso feito com o
objetivo de orientar para uso adequado das informaes no ambiente
organizacional, assim como os procedimentos e as instrues, que tem carter
operacional quando aplicados, em maior quantidade, descrevendo detalhadamente
cada ao e atividade.
Perceber essa complexidade e estabelecer padres, responsabilidades e
critrios no ciclo da informao dentro do nvel de segurana, d a ela o seu
verdadeiro valor na gesto de segurana nos nveis estratgico, ttico e operacional.
Esse contexto requer dinamismo e mudanas previsveis e imprevisveis na estrutura
organizacional para manter atualizada em todos os aspectos a PSI e seus
componentes. A classificao da informao, critrios normatizados para admisso
e demisso de funcionrios ou usurios finais, criao e manuteno de senhas,
13

descarte de informao em mdias magnticas e manuteno de sistemas, tambm

contribui para manuteno da PSI.
A gesto de segurana da informao na sua aplicabilidade responsvel
pelo controle quantitativo, qualitativo e de desempenho dos SI nas organizaes.
Esses controles so fundamentais na gesto quando so eficazes e proporcionam
segurana, portanto, devem ser implementados em todos os recursos e elementos
do SI, seguindo a PSI da organizao, bem como as melhores prticas globais em
segurana da informao.
A segurana lgica e fsica utiliza os controles com o objetivo de minimizar
erros, fraudes, destruio nos SI, garantir a qualidade, reduzir o impacto, prevenir
contra ameaas e controlar as vulnerabilidades, monitorando o ciclo da informao e
o acesso s instalaes de hardwares.
OBrien (2004, p. 401) classifica os trs principais tipos de controles que
devem ser desenvolvidos e implementados na cultura de segurana de uma
organizao para garantir a qualidade da segurana da informao dos SI, so eles:
_ Controles dos sistemas administram o desempenho e a segurana
do SI, formados por dispositivos e mtodos criados com o objetivo de
garantir, restringir e validar com preciso as atividades de entrada,
processamento, armazenamento e sada, atravs de senhas,
comparao de registros e outros cdigos de segurana desenvolvidos
para identificar o correto processamento e armazenamento dos dados,
para que, os produtos da informao estejam completos e disponveis
aos usurios autorizados;
_ Controles de procedimentos - procedimentos-padro, documentao,
requisitos de autorizao e auditoria, elaborados com o objetivo de
orientar como os recursos dos SI, correio eletrnico e redes da
organizao devem ser operados com segurana no desenvolvimento
14

das atividades;
_ Controles de instalao proteo fsica, controles de falhas,
telecomunicaes e seguros, executados atravs da segurana de
redes com softwares de monitoramento, criptografia, firewalls e
antivrus, constitudos de mtodos criados para proteo de
instalaes de hardwares e redes, contra perdas ou destruio,
provocadas por ameaas naturais, involuntrias ou voluntrias.
Para Ferreira (2003, p. 97) os controles so classificados em duas
categorias, sejam de mtodos ou no, a saber:
_ Controles preventivos previnem tentativas de violao a PSI,
implementado mecanismos de controle de acesso como criptografia e
autenticao;_ Controles detectivos visualizam e informam sobre tentativas de
violao a PSI, incluindo procedimentos de auditoria, firewalls e
antivrus para detectar intrusos.
Os recursos humanos, por serem considerados o elo mais frgil do SI,
precisam ser treinados, conscientizados e sensibilizados para a necessidade e a
responsabilidade de criar e manter a segurana da informao no ambiente
organizacional no desenvolvimento das atividades. Esse processo pode parecer, ou
ser difcil de ser executado, pelo fato do ser humano ser complexo, dotado de
iniciativas, criatividade e sofrer influncias de fatores externos, mas o nvel de
conhecimento e o perfil dos funcionrios tm grande valor nesse contexto.
A especificao e criao de normas, procedimentos e diretrizes para
criao, manuseio, armazenamento, transporte, descarte de recursos de auditorias e
autenticao no garantem uma segurana eficiente para o ambiente e os SI, se a
cpula da organizao no estiver comprometida e os usurios envolvidos, para
implementao da PSI.
Segundo Smola, (2003, p. 130) essa fragilidade precisa ser tratada de
15

forma gradativa, com intuito de criar uma cultura de segurana, integrando as

atividades dos usurios e comprovando que essa ao um instrumento de
autoproteo que deve ser compartilhada por todos e entendida como
responsabilidade de cada indivduo. Somente dessa forma as organizaes tero
verdadeiros aliados na batalha de reduo dos riscos e na gesto de segurana da
informao.
Existem inmeras formas para as organizaes construrem a cultura de
segurana no seu ambiente interno com propagao para o externo. Isso pode ser
feito atravs de seminrios abertos voltados para o compartilhamento e percepo
dos riscos que podem causar impactos potenciais no negcio; campanhas de
divulgao, atravs de correio eletrnico, proteo de telas, informativos,
comunicados internos e outros que apresentem os padres, critrios e instrues
alinhados s necessidades do negcio; cursos de capacitao de acordo com o
perfil de cada profissional, pois alguns necessitam do conhecimento de conceitos,
mtodos e tcnicas bsicas, mdias ou avanadas, dependendo tambm da rea. O
termo de responsabilidade um instrumento fundamental para a formao da
cultura, pois alm de formalizar o compromisso e o entendimento, divulga as
punies cabveis pelo desvio de conduta.
A organizao precisa dispor de um processo disciplinar aplicvel a
pessoas que tenham violado polticas ou procedimentos de segurana. A
expectativa de punio essencial para ajudar a inibir comportamentos
que podem acarretar desrespeito s normas de segurana
Esse processo para ser eficaz requer planejamento, implementao,
manuteno e anlise contnuos, sensibilizando e capacitando, do contrrio tudo
ser invivel na formao e desenvolvimento da maturidade da cultura de
segurana, tornando-o mais vulnervel a novas situaes de riscos, devido
velocidade com que surgem as falhas de segurana.
16

Ferreira (2003, p. 30) afirma que, de acordo com a norma tcnica NBR
ISO/IEC 17799 Cdigo de Prtica para Gesto de Segurana da Informao,
seo 6.2, o treinamento deve garantir que os usurios estejam cientes das
ameaas e da preocupao de segurana da informao e equipados para apoiar a
PSI da organizao durante a execuo normal do seu trabalho. Prestadores de
servios e fornecedores tambm devem receber treinamentos e atualizaes
regulares sobre a PSI.

Constantes mudanas tm ocorrido nos SI em decorrncia da revoluo

da TI que ampliou a capacidade para adquirir, manipular, armazenar e transmitir
informaes. Essas mudanas radicais tm causado grandes impactos nas
organizaes, devido a conceitos, princpios, planos, polticas e controles de
segurana adotados e implementados nos SI utilizando recursos da TI. Muitas
vezes, sem informar, treinar e sensibilizar os usurios responsveis no
desenvolvimento das atividades do ciclo da informao do negcio.
Esse processo falho decorre da falta de planejamento e, portanto, tem
provocando questes ticas que esto envolvidas nas tomadas de decises
estratgicas no investimento em recursos de TI que podem afetar o desempenho do
negcio da organizao.
Para OBrien (2004, p. 413) importante que a gesto de segurana
compreenda as dimenses ticas do trabalho em organizaes e da utilizao da
tecnologia, porque nas tomadas de decises quanto ao uso da TI, pode haver uma
dimenso tica que precisa ser considerada, pois as pessoas utilizam filosofias
ticas bsicas como: egosmo, lei natural, utilitarismo e o respeito pelas pessoas ou
defendem valores ticos nas decises.
O desenvolvimento da TI e a aplicao dos seus recursos disponveis nas
organizaes tm gerado muitas situaes de carter tico no ambiente
17

organizacional, que vem tornando-se a cada dia mais complexo, com definies de
certo ou errado nem sempre claras no PDS elaborado com as polticas de
segurana e os tipos de controles adotados para implementao pela gesto de
segurana da informao.
Definir o cdigo tica, que um conjunto de princpios da organizao,
fundamental para servir de guia nas tomadas de decises na gesto de segurana,
considerando os princpios e as questes ticas. Segundo Turban (2003, p. 503) a
diversidade de aplicaes de TI e o crescente desenvolvimento criaram diversas
questes ticas que foram estruturadas por R. O . Manson e outros em quatro
categorias, que so:
_ Privacidade coleta, armazenagem e disseminao de informaes
sobre os indivduos;
_ Preciso autenticidade, fidelidade, preciso das informaes
coletadas e processadas;
_ Propriedade valor intelectual da informao;
_ Acessibilidade direito de acesso informao ou pagamento pelo
acesso.
As organizaes e, conseqentemente, a gesto de segurana devem
estar preparadas para elaborar e implementar regras e para monitorar e controlar o
ciclo da informao no SI da organizao, considerando os princpios e filosofias
ticos da instituio. Isso deve ser compartilhando com cada ser humano
comprometido ou envolvido nos processos do negcio da organizao, visto que so
diversos os modelos ticos utilizados pelos seres humanos na aplicao das suas
filosofias ticas nas escolhas feitas diariamente, seja na vida pessoal ou no trabalho.
O ser humano, no seu desenvolvimento, passa por diversos estgios da
revoluo moral que est dividida em vrios ambientes, conforme Figura 11, at
absorver em um nvel de raciocino tico capaz de perceber que necessariamente o
18

que no tico, ilegal.

Os desafios ticos da TI nas organizaes podem ser minimizados
quando o treinamento, a conscientizao, a sensibilizao e a publicao do PDS
so realizados e aplicados desde a seleo e admisso dos profissionais da
organizao, at o relacionamento com fornecedores e a formao de parcerias.
O cdigo de prtica NBR ISO/IEC 17799 define que a gesto da segurana
envolvendo pessoas tem como objetivo reduzir os riscos de erro humano,
roubo, fraude ou uso indevido das instalaes da corporao. Assim, a
norma recomenda que estas medidas sejam tomadas na fase de
recrutamento, includas em contrato e monitoradas durante a vigncia de
cada contrato de trabalho. (Mdulo Security Magazin, 2005)
Situaes controversas, como monitorao de correio eletrnico ou uso
de cmeras e gravao de conversas telefnicas, tm gerado processos trabalhistas
e judiciais em todo no Brasil, influenciados na maioria dos casos, pela falta de
definies ticas das organizaes e dos profissionais.
A monitorao por computador tem sido criticada como uma invaso de
privacidade dos funcionrios porque em muitos casos, eles no sabem que
esto sendo monitorados ou no sabem como a informao est sendo
utilizada. Segundo Gilberto Martins de Almeida, advogado e professor de Direito da
Informtica da PUC-Rio, esse cenrio precisa ser analisado levando-se em conta a
privacidade das organizaes, os seus segredos comerciais e industriais. "Por isso,
ela tem a legtima expectativa e direito de fiscalizar o cumprimento de regras de
sigilo, monitorando o uso de sua rede e dos recursos que disponibiliza aos
profissionais. As leis que garantem a privacidade e a lei que reprime a concorrncia
desleal, Lei 9.279, em seu artigo 195, autorizam o monitoramento, atendendo o
requisito previsto na Lei 9.296".
Cabe s organizaes protegerem seu ambiente, seu patrimnio e seus
19

ativos, utilizando os recursos legais de TI na gesto de segurana, conforme as

normas nacionais e internacionais para atingir os objetivos, gerando impactos
positivos e visveis para o desempenho das organizaes e reduzindo os nveis de
incerteza para tomada de deciso. Os usurios ou profissionais, tambm devem ter
a responsabilidade de implementar princpios e filosofias ticas da TI, e de
assumirem, seja na vida pessoal ou profissional, em qualquer ambiente, esse
procedimento que vital para as organizaes, usurios e profissionais na utilizao
dos SI.
A evoluo da informao, o desenvolvimento e a implementao de SI e
dos recursos da TI proporcionam s organizaes, profissionais, usurios e a
sociedade maior capacidade para ampliar, adquirir, manipular e comunicar
informaes referentes aos negcios, vida profissional e pessoal de todos.
Toda essa evoluo progride com velocidade tornando-se de grande
importncia, principalmente nas estruturas e nos ambientes organizacionais, que
sofreram vrias mudanas com o objetivo de gerenciar de modo eficiente suas
informaes. Logo, o gerenciamento das informaes, atravs dos SI utilizando os
recursos da TI, foi necessrio para garantir rapidez nos processos realizados pelos
componentes e recursos de um SI, que se desenvolveram em razo da evoluo do
conhecimento humano.
Os SI tornaram-se importantes nas estruturas organizacionais,
contribuindo com o gerenciamento e a classificao das informaes teis nas
tomadas de decises estratgicas, tticas e operacionais no desenvolvimento dos
negcios. Esse contexto motivou as organizaes a divulgarem e compartilharem
informaes e resultados do processamento dos dados coletados importantes ao
segmento do negcio.
A globalizao trouxe a Era da Informao que agregou valor s
informaes das organizaes, criando diversos desafios para estas e seus
20

profissionais que realizam operaes atravs dos recursos de software, hardware,

redes e dados dos SI, provocando a concorrncia dos interesses legais e ilegais nos
ambientes internos e externos das instituies.
Um dos desafios das organizaes foi adotar e implementar mtodos para
garantir a segurana da informao que um conjunto de diretrizes, normas e
procedimentos aplicados em todos os movimentos do ciclo de vida da informao de
acordo com o negcio desenvolvido. Esse desafio exigiu melhor planejamento dos
gestores de toda estrutura organizacional e a elaborao do PDS, que estabelece os
tipos de controles a serem implementados no SI e as PSI a serem seguidas no
processamento dos dados e gerenciamento da informao.
No entanto a simples criao de normas ou implantao de ferramentas
de segurana no suficiente para minimizar os riscos de incidentes de segurana
(ataques, vazamento de informao, infestao por vrus, etc), e sim a adoo de
um completo processo de gesto da segurana, dinmico e participativo que inclui a
definio de responsabilidades de todos os elementos envolvidos no processo da
informao com base na poltica de segurana.
As metodologias de segurana da informao devem ser adotadas
considerando as normas, processos e caractersticas tcnicas e no tcnicas da
segurana dos sistemas para seu manuseio e proteo. Porm, muitas
organizaes tm ignorado o valor de suas informaes, a necessidade de manter a
metodologia de segurana e at mesmo de investimento, por considerarem estas
despesas que no traro retorno sobre investimento, viso que no contribui com
eficcia para a gesto da informao, maior ativo das organizaes.
A falta de critrios, planejamento e investimentos nos recursos dos SI, na
admisso, treinamentos e sensibilizao dos profissionais e usurios finais, tm
causado grandes prejuzos s organizaes de diferentes segmentos no mercado.
Essa necessidade tambm tem criado desafios ticos para as organizaes que
21

adotam metodologias de segurana e recursos da TI com objetivos de garantir a

segurana das informaes. As dimenses ticas devem ser consideradas pelas
organizaes na elaborao e implementao da metodologia de segurana,
atenuando os efeitos nocivos da TI, analisando os aspectos da segurana e as
vulnerabilidades existentes na estrutura tecnolgica dos sistemas de informao.
Os recursos humanos, que compreendem todos os profissionais e
usurios finais dos SI, considerados o mais frgil elo da segurana da informao,
precisam cumprir as diretrizes, as normas e procedimentos estabelecidos no
ambiente organizacional, atravs da metodologia adotada e contribuir para o
desenvolvimento da cultura de segurana da informao, considerando as
dimenses e filosofias ticas pessoais e organizacionais.
O sucesso na implementao e manuteno da segurana da informao,
essencialmente, no carece da formao de um departamento de comit de
segurana na estrutura organizacional, da aquisio de sistemas ou recursos de TI
com configuraes avanadas, mas do comprometimento do nvel estratgico da
organizao, do envolvimento dos profissionais e usurios finais treinados e
capacitados, de SI estruturado, dos recursos de TI adotados e implementados
conforme a necessidade do negcio desenvolvido pela organizao.

22

23