Download pptx - Segurança Física em Organizações Governamentais

Ana Rosa Carvalho de Abreu 1

Segurança Física em Organizações Governamentais

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília

Curso de Especialização em Gestão da Segurança da Informação e Comunicações

30/6/2010


- Há milhões e milhões de anos que as flores fabricam espinhos. Há milhões e milhões de anos que os carneiros as comem, apesar de tudo. E não será sério procurar compreender por que perdem tanto tempo fabricando espinhos inúteis? Não terá importância a guerra dos carneiros e das flores?

(Antoine de Saint-Exupery)

30/6/2010

A guerra dos carneiros e das flores


Se, apesar de todo um aparato de equipamentos de segurança física, para proteger os seus bens, os bancos continuam sendo alvo de furtos, não seria importante descobrir porque eles continuam a se comportar do mesmo modo? Onde estarão falhando? Quais as relações de causa e efeito entre as variáveis que influenciam a concretização de um evento negativo?

30/6/2010

A guerra dos bancos


Verificar a aplicabilidade e a efetividade das normas de segurança da informação da ABNT, no que concerne aos aspectos de segurança física, na

Administração Pública Federal.

30/6/2010

Objetivo do trabalho


Análise das normas técnicas: NBR ISO/IEC 27001:2006,NBR ISO/IEC 27002:2005 e NBR ISO/IEC 27005:2008

Análise de variáveis de segurança apontadas nas normas.

Validar a utilização dos requisitos de segurança apontados na NBR ISO/IEC 27001:2006, junto a especialistas em Gestão da Segurança da Informação.

Identificadas inter-relações e relações causais entre as variáveis estudadas.

30/6/2010

Etapas do trabalho


Descrição de Situação Problema Revisão da Literatura especializada sobre

o assunto Estudo de normas pertinentes. Coleta de Dados com utilização da Técnica

Delphi com especialistas em Gestão da Segurança da Informação

Entrevista semi-estruturada com Gerente da Área de Segurança do BCB.

30/6/2010

Instrumentos Utilizados


A) Uma visão sistêmica, não somente de dentro da organização, mas do macro-sistema que a envolve, torna-se necessária, para se definir a política de segurança de uma instituição;

B) Seguir todos os itens de segurança física, de forma isolada, não garante a segurança física das organizações;

30/6/2010

As hipóteses


C) Funcionários treinados em normas de segurança são necessários para diminuir a vulnerabilidade nas organizações governamentais;

D) Um planejamento estratégico, com respaldo da Administração Superior, fundamentado em uma Política de Segurança da Informação elaborada de forma participativa e editada pela autoridade maior da organização forma o pilar central para a segurança física das organizações.

30/6/2010

As hipóteses

Ana Rosa Carvalho de Abreu 930/6/2010

Variáveis e suas inter-relações

Area Segura

Perímetro desegurança

Proteção contra ameaçasexternas e do meio ambiente

Acesso ao público, áreasde entrega e carregamento

+

+

+

+ -

-


História das Normas NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2005


NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2005

metodologia estruturada, reconhecida

internacionalmente, dedicada à

segurança da informação;

processo definido para avaliar, implementar,

manter e gerenciar a segurança da

informação;

grupo completo de controles contendo

as melhores práticas para segurança da informação.


As normas ISO(continuação)

NBR ISO/IEC

27001:2006

apresenta requisitos de sistema

utilizada como padrão para a realização de auditorias

de certificação

NBR ISO/IEC

27002:2005

código de práticas

utilizada para orientação durante o desenvolvimento e implantação do sistema

de gestão de segurança da informação

30/6/2010Ana Rosa Carvalho de Abreu 13


NBR ISO/IEC 27001: 2006

processo sistemático para fortalecimento do

controle interno de segurança da

informação. Cobre todos os tipos de

organizações;

especifica os requisitos para

estabelecer, implementar,

operar, monitorar, analisar

criticamente, manter e melhorar

um SGSI documentado;

especifica requisitos para a

implementação de controles de segurança

personalizados para as

necessidades individuais de

organizações ou suas partes;

orienta como elaborar uma

matriz de riscos e identificar e

implantar controles para minimizar

estes riscos



NBR ISO/IEC 27002:2005

estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança

da informação em uma organização;

Os objetivos de controle e os controles têm como finalidade ser implementados para atender aos

requisitos identificados por meio da

análise/avaliação de riscos;

apresenta 11 cláusulas de controle de

segurança de A5 a A15 e 133 controles;

considera segurança física, técnica,

procedimental e em pessoas.


Fundamentos da segurança da informação

Confidencialidade• garantir que

apenas as pessoas que devam ter conhecimento a respeito de uma informação possam ter acesso a ela.

Integridade• proteger as

informações contra alterações em seu estado original. Essas alterações podem ser tanto intencionais quanto acidentais.

Disponibilidade• garantir que a

informação possa ser acessada por aqueles que dela necessitarem, no momento em que dela precisarem.


Legislação sobre segurança física no Brasil

Artigo 144 da Constituição Federal de 1988• A segurança pública, dever do Estado, direito e responsabilidade de todos,

é exercida para a preservação da ordem pública e da incolumidade das pessoas e do patrimônio.

Lei nº. 7.102, de 20 de junho de 1983• Dispõe sobre segurança para estabelecimentos financeiros, estabelece

normas para constituição e funcionamento das empresas particulares que exploram serviços de vigilância e de transporte de valores

Lei nº. 8.863, de 28 de março de 1994

• Altera o artigo n. 10 de da Lei nº 7.102 e define a categoria do vigilante.


Aspectos do Risco

Evento desfavorá

vel

Probabilidade de

ocorrência

Elementos que

definem o risco

Período de tempo


Gestão de risco NBR ISO/IEC 27005:2008

Definição do Contexto

• Objetivos, políticas e estratégia

• Processos e estrutura• Requisitos legais e

normativos• Política de segurança e

ativos de informação• Abordagem da Gestão de

risco• Características geográficas• Restrições que afetam a

organização e expectativas das partes interessadas

• Ambiente sociocultural e interfaces (ou seja, a troca de informações com o ambiente).

Análise/Avaliação de Riscos

• Identificação de riscos

• Identificação dos ativos

• Identificação das ameaças

• Identificação dos controles existentes

• Identificação das vulnerabilidades

• Identificação das conseqüências

• Estimativa de riscos• Avaliação de riscos


Pesquisa com especialistas - Enunciado

Como as organizações governament

ais entendem a atividade de segurança da informação?

Como a adoção das normas de segurança da informação da ABNT podem

contribuir para o aperfeiçoamento das atividades de segurança física

nessas instituições?


Dados sobre a pesquisa - Técnica Delphi de Coleta de Dados

Pessoas selecionadas 21

1ª rodada2ª rodada3ª rodada

19 pessoas15 pessoas13 pessoas

Entidades APF 14

Datas das rodadas 19 a 26 de abril de 201003 a 11 de maio de 2010 12 a 17 de maio de 2010


Respostas que confirmam as hipóteses A e B – Visão sistêmica

Questionou-se se o mecanismo de câmeras de segurança poderia ter sido uma vulnerabilidade no caso do furto ocorrido nas dependência do BCB em Fortaleza.

Exemplo de resposta que representa a maioria dos respondentes:“Deve ser avaliado o processo como um todo: análise do ambiente externo, análise do ambiente interno, escolha do equipamento, monitoração, gravação, análise, auditagem. A ineficiência está nas análises compartimentalizadas.


Respostas que confirmam as hipóteses – Treinamento e conscientização

Questionou-se se: “uma estrutura de proteção adequada das instalações, impedindo o acesso a pessoas não autorizadas ao recinto, impediria o incidente de segurança física no BCB em Fortaleza. E obteve-se respostas como:

“O que evita incidentes realmente são políticas de segurança bem implantadas, com os respectivos procedimentos formalizados, auditados e atualizados.”“É importante fortalecer, além da estrutura das instalações, os laços de confiança entre as pessoas e a organização. O indivíduo preciso ter ‘noção de pertencimento’ clarificada da sua empresa, como um sistema social que o considera”.

O que confirma as hipóteses A, B e C


Confirmação da hipótese C – Treinamento

Questionou-se se “falta de treinamento e conscientização dos funcionários pode ter sido uma das causas do desencadeamento do incidente de segurança”.

Obteve-se as respostas:“Não é possível cobrar ou até mesmo responsabilizar funcionários não treinados, e em um ambiente sem programa de conscientização. O treinamento e a conscientização devem fazer parte de um programa maior de segurança da informação.”“A segurança é formada por várias áreas que têm que ser modeladas e gerenciadas. É a eficácia harmônica das diversas áreas que torna o sistema eficaz. Não adiantaria ter excelência em uma das áreas de segurança e ser negligente com as outras áreas relacionadas."


Confirmação das hipóteses

Após a análise dos resultados da pesquisa observou-se a confirmação das hipóteses, ou seja: Há a necessidade de planejamento estratégico, com respaldo na Administração Superior, fundamentada em uma Política de Segurança da Informação, elaborada com a participação de funcionários

treinados e conscientes da sua importância para a segurança da informação da organização.


• Criação de uma área estruturada como departamento na sede, com gerências técnicas nas praças onde atua;

• Troca de experiências com organismos de outros países.

Visão Sistêmica

• Definição dos perfis mínimos de competência que devem ser detidos pelos servidores;

• Estabelecimento do plano de desenvolvimento para os servidores;

• Alocação de um quadro de pessoal adequadamente dimensionado.

Funcionários Treinados

• Reformulação dos Planos da área de segurançaPlanejamento Estratégico

30/6/2010

Resposta a um incidente de segurança física no BCB


BCB – Diretrizes

As atividades de segurança devem ter caráter permanente;O enfoque deve ser

sistêmico e preventivo, sem prejuízo de medidas

necessárias para a resposta e controle de

incidentes;As atividades/ações devem ser desenvolvidas

sempre numa perspectiva integrada e

corporativa.


Utilização das técnicas de cenários e sistemas dinâmicos para estudar um

melhor aproveitamento, aplicabilidade e efetividade das normas NBR ISO/IEC

27001:2006, NBR ISO/IEC 27002:2005:2005 e NBR ISO/IEC

27005:2008 na Administração Pública Federal Brasileira.

Trabalhos futuros


“Uma pessoa inteligente resolve um problema, um sábio o previne.” Albert Einstein

Obrigada!

http://www.google.com.br/imgres?imgurl=http://www.aceav.pt/blogs/fpereira/Lists/Fotografias/einstein7st%5B1%5D.jpg&imgrefurl=http://www.aceav.pt/blogs/fpereira/Lists/Categorias/Category.aspx?Name=Frases%20c%C3%A9lebres&usg=__6046tS42ySD9dVJ3I7SL1c46V18=&h=1121&w=800&sz=160&hl=pt-BR&start=20&sig2=9P_vs0C6j20alvmtZMaonQ&um=1&itbs=1&tbnid=BuACjf-MZnqcmM:&tbnh=150&tbnw=107&prev=/images?q=einstein&um=1&hl=pt-BR&sa=X&rls=com.microsoft:pt-br:IE-SearchBox&rlz=1I7ADFA_pt-BR&tbs=isch:1&ei=lNsnTK3LGYGdlgf-q_zCAg