Gestão da segurança da informação e comunicações

Gestão da segurança da informação e comunicações

(Parte 1 de 4)

Editora da Faculdade de Ciência da Informação

Universidade de Brasília Série Segurança da Informação

A Série Segurança da Informação visa à publicação de produção bibliográfica desenvolvida junto à Universidade de Brasília e relacionada à pesquisa, ao ensino e à extensão na área da segurança da informação. É editada por Jorge Henrique Cabral Fernandes, professor do Departamento de Ciência da Computação do Instituto de Ciências Exatas e da Pós- Graduação em Ciência da Informação da Faculdade de Ciência da Informação, ambas da Universidade de Brasília. Jorge Fernandes foi coordenador do Curso de Especialização em Gestão da Segurança da Informação e Comunicações – CEGSIC 2007-2008. Possui títulos de Doutor (2000) e Mestre (1992) em Informática pelo Centro de Informática da Universidade Federal de Pernambuco. É Especialista em Engenharia de Sistemas pelo Departamento de Informática e Matemática Aplicada da Universidade Federal do Rio Grande do Norte (1988) e Bacharel em Ciências Biológicas pelo Centro de Biociências da Universidade Federal do Rio Grande do Norte (1987). Servidor público de universidades federais desde 1984, atualmente se dedica à pesquisa, ensino e extensão nas áreas de informação e computação, com ênfase em fundamentos, gestão e governança da segurança.

O logotipo Gestão da Segurança da Informação e Comunicações é uma marca registrada da Universidade de Brasília. Outros produtos e nomes de companhias mencionadas aqui podem ser marcas comerciais de seus respectivos proprietários.

O conteúdo deste livro é distribuído no melhor esforço para o provimento de informação precisa, mas é fornecido sem garantias implícitas ou explícitas. Embora todas as precauções tenham sido tomadas na preparação deste trabalho, nem o editor, nem o organizador, nem os autores, nem a casa publicadora devem estar sujeitas a quaisquer responsabilidades referentes a qualquer pessoa ou entidade, com respeito a qualquer perda ou dano causado ou alegadamente causado, de forma direta ou indireta, pela informação aqui contida.

As opiniões aqui formuladas refletem as posições de seus autores e não podem ser atribuídas a qualquer organização pública ou privada a que os autores estão ou estiveram vinculados.

Jorge Henrique Cabral Fernandes (Organizador)

Série Segurança da Informação 2010

Volume I

Editado pela Faculdade de Ciência da Informação

Universidade de Brasília Brasília - Brasil

Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Doutrina Nacional de Gestão da Segurança da Informação e Comunicações - CEGSIC 2007-2008.

Este material é distribuído sob a licença creative commons http://creativecommons.org/licenses/by-ncnd/3.0/br/

Disponível também em formato e-book: <http://cegsic.unb.br>

Ficha Catalográfica Dados Internacionais de Catalogação na Publicação (CIP)

G393 Gestão da segurança da informação e comunicações : volume 1

/ Jorge Henrique Cabral Fernandes, organizador.- Brasília : Faculdade de Ciência da Informação, c2010. 125 p. ; 23 cm.

Inclui bibliografia.

1. Gestão da informação. 2. Segurança da informação e comunicações. I. Fernandes, Jorge Henrique Cabral (org.).

Arte gráfica e impressão: Gráfica da ABIN

Luiz Inácio Lula da Silva Presidente da República

Fernando Haddad Ministro da Educação

José Geraldo de Sousa Junior Reitor

João Batista de Sousa Vice-Reitor

Pedro Murrieta Santos Neto Decano de Administração

Rachel Nunes da Cunha Decana de Assuntos Comunitários

Márcia Abrahão Moura Decana de Ensino de Graduação

Ouviromar Flores Decano de Extensão

Denise Bomtempo Decana de Pesquisa e Pós-graduação

Noraí Romeu Rocco Diretor do Instituto de Ciências Exatas

Priscila Barreto

Chefe do Departamento de Ciência da Computação

Jorge Henrique Cabral Fernandes Coordenador do CEGSIC 2007-2008

Alex Harlen Revisor de Língua Portuguesa

Mônica Regina Peres Revisora Normativa

Jorge Armando Félix Ministro-Chefe do Gabinete de Segurança Institucional

Antonio Sergio Geromel Secretário Executivo

Raphael Mandarino Junior Diretor do Departamento de Segurança da Informação e Comunicações

Reinaldo Silva Simião Coordenador Geral de Gestão da Segurança da Informação e Comunicações

O resultado apresentado neste livro não poderia ter sido produzido sem a valiosa contribuição e suporte de muitos colegas, a maioria de servidores públicos que atuam dentro e fora da Universidade de Brasília. Estendo meus agradecimentos aos técnicos e alunos do Departamento de Ciência da Computação da UnB, que forneceram o apoio logístico à realização do curso. Aos professores colegas do Instituto de Ciências Exatas, do Departamento de Ciência da Computação e da Universidade de Brasília, tanto pelo envolvimento de alguns na realização do curso, quanto pelos valiosos comentários e críticas construtivas na condução e ajustes do CEGSIC 2007-2008. Embora sujeito a inevitáveis omissões, expresso meus agradecimentos pessoais a Alan Correa, André Ancona Lopez, Arthur Nóbrega, Célia Ghedini Ralha, Cesar Fonseca, Cláudia Canongia, Fabrício Braz, Fernanda Fernandes, Fernando Schelb, Georgina Mandarino, Gilberto de Oliveira Netto, Guilherme Marques, Honório Crispim, Humberto Abdalla, Indiana Kosloski de Medeiros, Isabella Tavares, João José Costa Gondim, Kenia Alvarenga, Leidiane Cardoso, Leonardo Lazarte, Maísa Pieroni, Magda Fernandes, Marco Carvalho, Marcos Allemand, Maria Nilza Mendonça, Maria do Carmo Mendonça, Maria Helena do Carmo, Nathalia Alvarenga, Norai Romeu Rocco, Odacyr Luiz Timm Júnior, Paula Fernandes, Paulo Gondim, Paulo Hidaka, Pedro Freire, Polyana Souza, Raphael Mezzomo, Ricardo Sampaio, Tarcísio Freire Junior, Ulysses Machado e Vitor Fujimoto.

Agradeço também ao apoio da Editora da Faculdade de Ciência da Informação (FCI) da UnB, na pessoa da Professora Elmira Simeão, pela oportunidade de publicar, pela editora citada, esta obra e pela oferta de serviços profissionais que melhoraram a qualidade dos resultados, atestando a importância do profissional de informação na disseminação do conhecimento.

Agradeço a confiança no Departamento de Ciência da Computação da UnB, depositada pelo General Jorge Armando Félix, Ministro-Chefe do Gabinete de Segurança Institucional; pelo Sr. Raphael Mandarino Júnior, Diretor do Departamento de Segurança da Informação e Comunicações, que construiu uma visão de que seria possível a realização do CEGSIC; pelos Coronéis Reinaldo Silva Simião e Macarino Freitas, responsáveis pela co-gestão e ajustes no curso, sempre na forma de um proveitoso diálogo. Também agradeço à Doutora Claudia Canongia, pesquisadora do INMETRO cedida ao DSIC/GSIPR, pelo estímulo e orientações essenciais para a publicação deste livro.

Agradeço também a gentil colaboração das organizações públicas a seguir citadas, que nos receberam durante os seminários de gestão da segurança, pois do contato com seus representantes pudemos ter a oportunidade de discutir situações práticas vivenciadas por cada órgão público no trato de suas informações e comunicações: Banco do Brasil (B), Caixa Econômica Federal (CEF), Departamento de Polícia Federal (DPF), Exército Brasileiro (EB), Ministério da Defesa (MD), Ministério da Agricultura, Pecuária e Abastecimento (MAPA), Departamento de Segurança de Informações e Comunicações (DSIC), Superior Tribunal Eleitoral (TSE), SERPRO e Estação de Rádio da Marinha do Brasil (ERMB).

Por fim, não poderia deixar de agradecer e homenagear alunos e alunas que participaram do CEGSIC 2007-2008, que são autores deste trabalho, pelo empenho e entusiasmo demonstrados durante os quase dois anos de intensas atividades do curso. Sem o espírito valoroso de vocês, mesmo nos momentos de grande cansaço devido à dupla carga de trabalho quando da realização do curso, não teríamos avançado tanto nesses últimos 4 anos, na discussão desse precioso assunto que é a segurança da informação e comunicações no serviço público. Espero que o trabalho aqui registrado sirva para valorizar a atuação de vocês, por vossas organizações, pelo serviço público e pela sociedade brasileira.

Jorge Fernandes

Brasília, Distrito Federal Novembro de 2010

Quando conheces a ti mesmo e aos outros, a vitória não está ameaçada.

quando conheces o céu e a terra, a vitória é inesgotável.

Sun Tzu, em A Arte da Guerra

participaram de disciplinas do CEGSIC 2007-200842

TABELA 5.1: Docentes, pesquisadores e (ou) consultores que

Temática47

TABELA 6.1: Enquadramento das Pesquisas conforme Área TABELA 6.2: Orientadores de Monografias do CEGSIC 2007-2008. ......... 53

AGRADECIMENTOS7
LISTA DE TABELAS13
APRESENTAÇÃO19
CAPÍTULO 1 | PRÓLOGO21
PARTE I | MOTIVAÇÕES, PLANEJAMENTOS E AÇÕES25
PÚBLICA27

CAPÍTULO 2 | A SEGURANÇA DOS SISTEMAS NA ADMINISTRAÇÃO

INFORMAÇÃO3
CAPÍTULO 4 | EM BUSCA DE UMA DOUTRINA37
CAPÍTULO 5 | CEGSIC: Pesquisa e Ensino em Gestão da Segurança40
PARTE I | MONOGRAFIAS E ÁREAS TEMÁTICAS4

CAPÍTULO 3 | PANORAMA INTERNACIONAL DA SEGURANÇA DA

TEMÁTICAS46
PARTE I | RESUMOS DAS MONOGRAFIAS DO CEGSIC 2007-200850
CAPÍTULO 7 | FUNDAMENTOS DA SEGURANÇA DA INFORMAÇÃO54

CAPÍTULO 6 | MONOGRAFIAS DO CEGSIC 2007-2008 E SUAS ÁREAS

Suzete Lopes de Queiroz Campos5

7.1 UMA PROPOSTA DE CONCEITO PARA "COMUNICAÇÕES" NO TERMO SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES, por Liliana

Simião5
CAPÍTULO 8 | PESSOAS E SEGURANÇA DA INFORMAÇÃO58

7.2 SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES: CONCEITO APLICÁVEL EM ORGANIZAÇÕES GOVERNAMENTAIS, por Reinaldo Silva

TECNOLÓGICA, por Paulo César Cardoso Rocha59

8.1 SEGURANÇA DA INFORMAÇÃO: UMA QUESTÃO NÃO APENAS

por Renato do Carmo das Neves Alves59

8.2 UM MODELO DE ANÁLISE DO COMPORTAMENTO DE SEGURANÇA DE SERVIDORES DA ADMINISTRAÇÃO PÚBLICA FEDERAL BRASILEIRA,

Roberto Ribeiro Bastos60

8.3 ANÁLISE DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA MARINHA QUANTO AOS CONTROLES VOLTADOS PARA O RISCO DO COMPONENTE HUMANO EM AMBIENTES E SISTEMAS CRÍTICOS, por CAPÍTULO 9 | POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO ......................... 61

POLÍTICAS DE SEGURANÇA NA APF, por Danielle Rocha da Costa62

9.1 FATORES CRÍTICOS DE SUCESSO PARA ELABORAÇÃO DE

Oliveira Monteiro62
CAPÍTULO 10 | GESTÃO DO RISCO DE SEGURANÇA DA INFORMAÇÃO64

9.2 PROPOSTA DE UM GUIA PARA ELABORAÇÃO DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES EM ÓRGÃOS DA ADMINISTRAÇÃO PÚBLICA FEDERAL (APF), por Iná Lúcia Cipriano de

27005, por Paulo Hideo Ohtoshi65

10.1 ANÁLISE COMPARATIVA DE METODOLOGIAS DE GESTÃO E DE ANÁLISE DE RISCOS SOB A ÓTICA DA NORMA ABNT NBR ISO/IEC

Pedro Jorge Sucena Silva65
CAPÍTULO 1 | INCIDENTES DE SEGURANÇA DA INFORMAÇÃO68

10.2 ANÁLISE/AVALIAÇÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO PARA A ADMINISTRAÇÃO PÚBLICA FEDERAL: UM ENFOQUE DE ALTO NÍVEL BASEADO NA ABNT NBR ISO/IEC 27005, por

COMPUTACIONAIS NA APF, por Roberto Moutella Pimenta69
CAPÍTULO 12 | GESTÃO DE CRISES ORGANIZACIONAIS70

1.1 PROPOSTA DE MODELO DE MELHORIA DE QUALIDADE BASEADO EM PROCESSOS PARA TRATAMENTO DE INCIDENTES

Charbel Costa71

12.1 GESTÃO DE CRISES NO ÂMBITO DA ADMINISTRAÇÃO PÚBLICA FEDERAL E SUA RELAÇÃO COM A RESPONSABILIDADE CIVIL OBJETIVA EM DEMANDAS JUDICIAIS DECORRENTES, por Gerson

Júnior71

12.2 GESTÃO DE CRISES NA ADMINISTRAÇÃO PÚBLICA FEDERAL: UM ESTUDO SOBRE A TIPOLOGIA DE MITROFF, por Gilberto Dias Palmeira

PÚBLICAS74

CAPÍTULO 13 | CRIPTOGRAFIA E INFRAESTRUTURA DE CHAVES

O EXÉRCITO BRASILEIRO, por Jorge Euler Vieira74

13.1 PROPOSTA DE UMA SOLUÇÃO DE CERTIFICAÇÃO DIGITAL PARA

PERSPECTIVA, por Edilson Fernandes da Cruz75
CAPÍTULO 14 | CONTROLE DE ACESSOS LÓGICO76

13.2 A CRIPTOGRAFIA E SEU PAPEL NA SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES (SIC): RETROSPECTIVA, ATUALIDADE E

ADMINISTRAÇÃO PÚBLICA, por Sergio Roberto Fuchs da Silva80

14.1 PROPOSTA DE MODELO DE CONTROLE DE ACESSO LÓGICO POR SERVIDORES PÚBLICOS AOS RECURSOS COMPUTACIONAIS DA

CAPÍTULO 15 | SEGURANÇA EM TELECOMUNICAÇÕES E REDES DE COMPUTADORES .................................................................................................. 78

Tavares79

15.1 SISTEMA DE COMUNICAÇÕES OPERACIONAIS MULTIMÍDIA, COMUNICAÇÕES MÓVEIS (REDE MESH) 802.11S, por Everardo de Lucena

Ambrogi Leite79

15.2 BOAS PRÁTICAS E SUA APLICAÇÃO NOS SERVIÇOS DE TELEFONIA DA ADMINISTRAÇÃO PÚBLICA FEDERAL, por Marcos

PÚBLICA FEDERAL, por Lindeberg Pessoa Leite80

15.3 UM ESTUDO DE IMPLANTAÇÃO DE IPV6 NA ADMINISTRAÇÃO

COMUNICAÇÕES82

CAPÍTULO 16 | GESTÃO DA SEGURANÇA DA INFORMAÇÃO E

Silvana Crispim Loureiro83

16.1 SEGURANÇA DA INFORMAÇÃO: PRESERVAÇÃO DAS INFORMAÇÕES ESTRATÉGICAS COM FOCO EM SUA SEGURANÇA, por

COMUNICAÇÃO, por Antônio Carlos Pereira de Britto84

16.2 PMBOK E GESTÃO DA SEGURANÇA DA INFORMAÇÃO E

Mônica Costa Tkaczyk Martins84

16.3 ANÁLISE E SOLUÇÃO PRELIMINAR PARA PROBLEMAS DE SEGURANÇA DA INFORMAÇÃO NA ADVOCACIA-GERAL DA UNIÃO, por

FEDERAL, por Juscelino Kilian85
CAPÍTULO 17 | SEGURANÇA EM COMPRAS E CONTRATOS DE TI87

16.4 PRÊMIO DE QUALIDADE EM GESTÃO DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES NA ADMINISTRAÇÃO PÚBLICA

NO EXÉRCITO BRASILEIRO, por Gerson Ben-Hur Mayer8

17.1 PROCEDIMENTOS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES EM CONTRATOS DE TECNOLOGIA DA INFORMAÇÃO

CONFORMIDADE E CERTIFICAÇÃO89

CAPÍTULO 18 | GOVERNANÇA, CONTROLE, AUDITORIA,

DE DEFESA, por Kleber Ferreira Rangel90

18.1 LEVANTAMENTO DE REQUISITOS E CONTROLES DE SEGURANÇA PARA O PORTAL DE INTELIGÊNCIA OPERACIONAL DO ESTADO MAIOR

CONTROLE INTERNO, por Henrique Aparecido da Rocha91

18.2 PROPOSTA DE CENÁRIO PARA APLICAÇÃO DA NORMA NBR ISO/IEC 27002 EM AUDITORIAS GOVERNAMENTAIS DO SISTEMA DE

FEDERAL, por Newton Daltro Santos91

18.3 AUDITORIA BASEADA EM CENÁRIOS DE RISCO: UM PARADIGMA MODERNO INTEGRADO À GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES NO ÂMBITO DA ADMINISTRAÇÃO PÚBLICA

18.4 AVALIAÇÃO DE CONFORMIDADE A MODELOS DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO NA MARINHA DO BRASIL (MB), por Rubem Ribeiro Veloso ............................................................................................ 92

EXECUTIVO FEDERAL, por Rogério Xavier Rocha93

18.5 PROPOSTA DE PROCEDIMENTO SIMPLIFICADO DE AUDITORIA DE GESTÃO EM SEGURANÇA DA INFORMAÇÃO EM ÓRGÃOS DO PODER

USADOS NO EXÉRCITO BRASILEIRO, por Alessandro Sá Barbosa93
CAPÍTULO 19 | GESTÃO DA CONTINUIDADE95

18.6 AVALIAÇÃO PRELIMINAR DOS CONTROLES DE SEGURANÇA

ABNT NBR ISO/IEC 17799:2005, por Idilson Alexandre Palhares Cassilhas96

19.1 UMA ANÁLISE DA ATIVIDADE DE TESTES DO PLANO DE CONTINUIDADE DE NEGÓCIO E SUA CONFORMIDADE COM A NORMA

BRASILEIRA, por Vitor Friedenhain96

19.2 UM ESTUDO SOBRE MÉTODOS E PROCESSOS PARA A IMPLANTAÇÃO DA GESTÃO DE CONTINUIDADE DE NEGÓCIOS APLICÁVEIS A ÓRGÃOS DA ADMINISTRAÇÃO PÚBLICA FEDERAL

NEGÓCIOS, por Antônio Magno Figueiredo de Oliveira97
CAPÍTULO 20 | SEGURANÇA E DEFESA CIBERNÉTICAS9

19.3 NÍVEL DE COMPREENSÃO DA GESTÃO DE CONTINUIDADE DOS

FEDERAL, por Marcelo Paiva Fontenele100

20.1 ANÁLISE E PROPOSTA DE ARTICULAÇÃO DE ESFORÇOS NO CONTEXTO DA DEFESA CIBERNÉTICA DA ADMINISTRAÇÃO PÚBLICA

CIBERNÉTICO BRASILEIRO, por Raphael Mandarino Junior100
CAPÍTULO 21 | EPÍLOGO102
REFERÊNCIAS BIBLIOGRÁFICAS109

20.2 UM ESTUDO SOBRE A SEGURANÇA E A DEFESA DO ESPAÇO NOTAS SOBRE ESTA EDIÇÃO .............................................................................. 125

É com satisfação que apresento este Livro, o qual reúne produções intelectuais, de alto nível, nos mais variados assuntos acerca de Gestão de Segurança da Informação e Comunicações (GSIC), tema consideravelmente importante ao Estado brasileiro, em face de sua complexidade nos panoramas nacional e internacional.

Investir em capacitação sempre foi prioridade do Gabinete de Segurança Institucional da Presidência da República. Este Livro concretiza tal ação, pois o resultado aqui apresentado vem ao encontro dos níveis insatisfatórios de investimento e conhecimento, sobre Segurança da Informação e Comunicações, apresentados, em 2003, pelos órgãos da Administração Pública Federal, direta e indireta.

Uma Doutrina Nacional de Gestão da Segurança da Informação e Comunicações, no âmbito dos órgãos e entidades da APF compreende: conceitos, princípios, diretrizes, métodos, técnicas, habilidades e competências no plano gerencial. Tal cultura deve ser disseminada junto aos servidores públicos, bem como junto às organizações nas quais atuam.

Não tenho dúvidas que este Livro é fundamento essencial para a concepção de metodologia de Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, e para a elaboração de normas e padrões mínimos necessários para assegurá-la.

Recomendo, portanto, a leitura deste Livro, cuja publicação considero significativa contribuição técnica às entidades, públicas e privadas, para o estabelecimento da cultura interna de GSIC, para a devida compreensão dos incidentes de segurança da informação e comunicações e para a implantação de processos concisos, que garantam a continuidade do negócio nos momentos de crise.

Boa leitura!

Jorge Armando Felix

Ministro Chefe do Gabinete de Segurança Institucional da Presidência da República

CAPÍTULO 1 PRÓLOGO

Este livro é um registro parcial da produção intelectual desenvolvida pela primeira turma do Curso de Especialização em Gestão da Segurança da Informação e Comunicações, realizado pelo Departamento de Ciência da Computação da Universidade de Brasília, CEGSIC 2007-2008.

O curso foi realizado em resposta ao convite, seguido de colaboração, apoio e aporte de recursos organizacionais e financeiros pelo Gabinete de Segurança Institucional da Presidência da República Federativa do Brasil, mais especificamente pelo Departamento de Segurança da Informação e Comunicações (DSIC/GSIPR). Foi produzido para atendimento à Portaria 17/2007 GSIPR.

(Parte 1 de 4)

Comentários