TrabalhoEntregue 430914

Prévia do material em texto

�PAGE �
UNIVERSIDADE ESTÁCIO DE SÁ
FILIPE SÁ DE MELO
BRASÍLIA, DISTRITO FEDERAL
2017
UNIVERSIDADE ESTÁCIO DE SÁ
SEGURANÇA DA INFORMAÇÃO: CONSEQÜÊNCIAS DO ACESSO NÃO AUTORIZADO DA INFORMAÇÃO
Projeto apresentado à Universidade Estácio de Sá como requisito parcial para a obtenção de aprovação na Disciplina de Trabalho de Conclusão de Curso.
Tutor: Prof. : Luciane Dias
BRASÍLIA, DISTRITO FEDERAL, 2017. 
6INTRODUÇÃO	�
71. O problema	�
71.1. Exposição e formulação:	�
71.2. Objetivos	�
71.2.1. Geral	�
71.2.2. Específico	�
81.3. Justificativa	�
81.4. Delimitação e alcance	�
81.4.1. Espacial	�
81.4.2. Temporal	�
82- Marco teórico	�
82.1. Revisão bibliográfica	�
82.1.1. A evolução da segurança da informação	�
92.1.2. Princípios da segurança da informação	�
102.1.3. Política de segurança da informação	�
122.1.4. Por que as políticas de segurança falham?	�
122.1.5. Utilização da senha	�
132.1.6. O que fazer com e o que não fazer com a senha	�
152.2. Pesquisa de campo	�
152.2.1. Perguntas	�
162.2.2 Tratamento de dados	�
172.3. Marco conceitual	�
172.4. Marco operacional	�
182.5. Hipóteses	�
182.5.1. Hipótese de pesquisa	�
183. Metodologia	�
183.1. Descrição do lugar de estudo	�
193.2. Tipo e Método de Estudo	�
193.2.1. Tipo e método:	�
193.3. Fonte de dados:	�
193.4. População e amostra	�
193.5. Técnica de coleta de dados:	�
193.6. Técnica de análise de dados:	�
204. Conclusão	�
21Referências bibliográficas	�
21Anexos	�
�
�
INTRODUÇÃO 
Desde a inserção do computador, na década de 40, como dispositivo auxiliar nas mais variadas atividades, até os dias atuais, temos observado uma evolução nos modelos computacionais e tecnologias usadas para manipular, armazenar e apresentar informações. Temos testemunhado uma migração de grandes centros de processamento de dados para ambientes de computação distribuída.
Serão analisadas as possibilidades e as formas que os usuários que detenham tais informações devem agir a curto, médio e longo prazo. Pretendemos mostrar a importância da segurança da informação, suas opções e riscos com sua divulgação e o quanto o sigilo é primordial para a sobrevivência da empresa. 
	O interesse pelo tema é fruto de nossa experiência profissional, junto a empresas que buscam através da tecnologia da informação, a forma mais segura do manuseio de suas informações; para obter o máximo retorno com o menor risco possível.
A segurança da informação, muitas vezes presumida na responsabilidade da área de TI, torna-se mais complexa à medida que a organização possua fatores de riscos e áreas de vulnerabilidade inerentes em aspectos globais.
Com o crescimento da globalização, o acesso à informação está mais fácil. O reflexo deste novo panorama traduz-se em episódios cada vez mais freqüentes de saques eletrônicos indevidos, clonagens de cartões de crédito, acessam a bases de dados confidenciais, dentre inúmeras outras ameaças.
 A segurança da informação vem sendo tema de grande debate neste novo milênio. As organizações estão buscando soluções práticas e efetivas, que possam trazer otimização de suas atividades, mas ao mesmo tempo segurança em operar seus mecanismos de trabalho. Existem técnicas de como escapar ou evitar os ataques mais comuns à informação, fazendo um paralelo entre os problemas, sintomas, prevenções e soluções.
O presente trabalho chama a atenção do usuário da informação para o manuseio seguro da sua senha de acesso, pois é ele o responsável pela segurança das informações reservadas da empresa, que podem levar ao crescimento ou ao declínio da organização, seja ela de grande, médio ou pequeno porte. 
1. O problema
1.1. Exposição e formulação:
Buscar soluções práticas e efetivas, que possam trazer otimização das atividades, mas ao mesmo tempo segurança em operar os mecanismos de trabalho. Existem técnicas de como escapar ou evitar os ataques mais comuns à informação, fazendo um paralelo entre os problemas, sintomas, prevenções e soluções.
Chamar a atenção do usuário da informação para o manuseio seguro da senha de acesso, definindo as conseqüências do acesso não autorizado da informação.
1.2. Objetivos
1.2.1. Geral 
O objetivo geral consiste em buscar com o fruto da experiência profissional através da tecnologia da informação, a forma mais segura do manuseio de suas informações para obter o máximo retorno com o menor risco possível.
1.2.2. Específico 
Coletar dados para formatação de uma ferramenta confiável para tomada de decisões por parte dos funcionários e das empresas.
	
1.3. Justificativa 
A importância em manter as informações pessoais em sigilo, não permitindo assim que pessoas não autorizadas acessem suas informações pessoais, sejam invadindo seu computador, acessando sua conta bancaria ou até mesmo invadindo seu espaço no ambiente de trabalho.
Assim, este trabalho irá proporcionar uma discussão sobre a necessidade do detentor da informação, seja ela para uso próprio ou para benefício de uma comunidade globalizada, utilizar de forma adequada sua senha de acesso.
1.4. Delimitação e alcance
1.4.1. Espacial
 A pesquisa será realizada na cidade de Macaé com os empregados das empresas contratadas prestadoras de serviço para a Petrobras e empregados da própria estatal. 
1.4.2. Temporal 
A pesquisa será desenvolvida com os funcionários da área administrativa no mês de Novembro de 2017.
2- Marco teórico
2.1. Revisão bibliográfica 
2.1.1. A evolução da segurança da informação
A evolução faz parte da vida do homem e é o maior resultado desta evolução. No meio tecnológico, talvez a maior evolução já ocorrida seja a Internet. Desde o seu advento, incentivou a mudança de paradigmas e possibilitou uma explosão de conectividade e acessibilidade, onde influencia consideravelmente a forma como as empresas gerem seus negócios.
Sêmola (2003, p.3), cita a mudança e o crescimento da tecnologia da informação “os computadores tomam conta dos ambientes de escritório, quebram o paradigma e acesso local à informação, e chegam a qualquer lugar do mundo através dos – cada vez mais portáteis – notebooks e da rede mundial de computadores: a Internet”.
Como na Internet, a segurança da informação também evoluiu. Saiu do nível puramente técnico e restrito à área da TI, onde se preocupava em ter um sistema de antivírus, um firewall bem configurado, para um nível de gestão, que além de pensar em tecnologia, precisa investir e desenvolver também os processos e pessoas.
Gabbay (2003, p.14) na sua tese, expõe claramente a evolução da segurança da informação, dizendo que:
Os aspectos relativos à implantação de uma eficiente Política de Segurança de Informação vêm evoluindo significativamente ao longo dos anos. Os procedimentos de segurança da informação têm se alterado bastante desde seus dias inicias, quando a segurança física, junto comum conjunto de back-up, compunha os controles de segurança de informação, sendo que atualmente a segurança de informação é composta de políticas, padrões, programas de conscientização, estratégias de segurança, etc.
 
2.1.2. Princípios da segurança da informação
A segurança da informação é um conjunto de software, hardware, procedimentos e padrões implementados para proteger as informações das ameaças que possam explorar as vulnerabilidades do ambiente e impactar no seu negócio da organização.
A norma NBR ISO/IEC 17799 (2005, p.ix) define segurança da informação como “é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”.
Os princípios da segurança da informação são:
Confidencialidade: garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso;
Integridade: a informação é alterada somente pelas pessoas autorizadas;
Disponibilidade:garantia de que as pessoas autorizadas obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
Esclarecendo melhor, quando se fala em investir em segurança da informação, é o mesmo que investir para que as informações permaneçam confidenciais, integras e disponíveis para a pessoa certa na hora certa.
2.1.3. Política de segurança da informação
A Política de Segurança da Informação visa a redução dos riscos, dos efeitos ou custos relacionados a um incidente de Segurança da Informação. Estabelece as regras básicas sobre as quais a organização deve operar e proteger seus Sistemas de Informação, as responsabilidades de cada usuário e as penalidades aplicáveis ao seu não cumprimento. O desenvolvimento de uma Política de Segurança da Informação deve ser guiado através de muitos fatores, sendo o mais importante, a Análise de Risco. (THEADIM, 2006)
A política de segurança é a formalização de todos os aspectos considerados relevantes por uma organização para a proteção, controle e monitoramento de seus recursos computacionais e, conseqüentemente, das informações manipuladas. Ela deve contemplar, de forma genérica, todos os aspectos importantes para a proteção lógica e física das informações e dos recursos computacionais.
Gabby (2003, p.41) coloca que:
A política de segurança da empresa deve definir itens como:
responsabilidades do uso dos recursos computacionais;
preparar o Plano de Continuidade de Negócio;
elaborar as normas de uso de e-mail e de uso da Internet;
distinguir entre informação pública e privada;
gerenciar acesso e contas de usuários;
prever o combate a ameaça aos sistemas de informação como fogo, enchente,etc.,
definir a política de privacidade do site da empresa na internet, se houver.
O autor não comentou sobre a importância dos itens acima em relação à realidade das empresas. Cada empresa deve elaborar uma política de segurança baseada na sua realidade, ou seja, na sua cultura e em seus processos de negócio. Um exemplo pode ser a política da Internet, nada de adianta uma política se a empresa não utiliza esse recurso. O autor não comentou sobre a importância e diferença entre o plano de continuidade de negócio-PCN e da política de segurança.
Segundo Sêmola (2003, p.34) a política de segurança da informação deve ser elaborada considerando:
Com extrema particularização e detalhamento as características de cada processo de negócio, perímetro e infra-estrutura, materializando-a através de diretrizes, normas, procedimentos e instruções que irão oficializar o posicionamento da empresa ao redor do tema e, ainda, apontar as melhores práticas para o manuseio, armazenamento, transporte e descarte de informação na faixa de risco apontada como ideal.
O PCN objetiva garantir a continuidade da empresa quando da ocorrência de algum incidente de segurança. Este plano é independente da política de segurança, tendo inclusive uma estrutura de recursos dedicada à gestão do plano, como pessoas e orçamento, quando necessário.
A norma NBR ISO/IEC 17799 (2005, p.104) coloca que:
Convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.
Segundo Gabby (2003, p.42) “as estratégias de segurança de Informações críticas repousam primeiramente na conduta apropriada dos funcionários, e de forma secundária, no uso de soluções tecnológicas”. O autor não abordou o fator “processos” dentro do contexto da segurança. Entende-se que a gestão da segurança da informação é baseada no trinômio – pessoas, processos e tecnologia – onde somados resultam em ações efetivas para a proteção da informação. Ter pessoas conscientizadas e orientadas, processos definidos e testados, tecnologias de proteção.
2.1.4. Por que as políticas de segurança falham?
Nenhum bem material pode ser 100% protegido contra roubo, uso não autorizado, acidentes ou danos. Isso também é verdade para os bens de conhecimento, ou seja, informações. Se um invasor for suficientemente experiente, paciente e determinado, nenhum sistema de proteção, por mais avançado que seja, será impenetrável, pois não há solução que funcione para sempre. Entre o desenvolvimento de uma política de segurança e sua prática, existe um grande caminho: treinamento, conscientização, divulgação, implementação das modificações dos recursos tecnológicos e etc... Esse é um processo demorado, onde os resultados da política geralmente levam algum tempo para serem notados. Nesse intervalo de tempo, a política deve ser testada e melhorada, até que seja alcançado o ponto ideal entre a segurança e o impacto no trabalho e no rendimento das pessoas. Esse balanço é o fator decisivo para o sucesso ou fracasso da política. (idem)
O desenvolvimento da política deve levar em consideração o impacto que esta poderá causar no dia-a-dia dos funcionários. Caso venha a causar uma queda no rendimento, a política deve ser reavaliada e, se for o caso, reescrita. Vale ressaltar que na Política de Segurança o fator humano é o mais importante de todos, pois como mencionado anteriormente, as pessoas representam o elo principal no processo de Segurança das Informações. Se uma política impacta significativamente no trabalho das pessoas, a tendência natural é que seja deixada de lado. Esse é o principal elemento no fracasso de uma Política de Segurança. (ibidem)
2.1.5. Utilização da senha
Todavia não se pode esquecer que todo novo controle de segurança traz consigo novas vulnerabilidades, que neste caso está associada à disponibilidade. Imagine por um instante um executivo em viagem sendo requisitado a acessar e aprovar um documento em caráter emergencial através de um sistema informatizado, mas impossibilitado de se autenticar pessoalmente. Neste caso, sem haver outra pessoa igualmente autorizada, como contingência, o processo estaria parado até que houvesse a autenticação forte do usuário. Este tipo de problema não inviabiliza o método, mas revela a necessidade de se projetar cenários e buscar alternativas para adequá-los ao requerimento do nível de segurança. 
Voltando, portanto a realidade da senha... se é mesmo com ela que ainda teremos que conviver por algum tempo, que ao menos seja forte o bastante para nos fornecer proteção. E apesar de tê-la chamado de velha anteriormente, o usuário precisa mesmo é mantê-la jovem, compatível com o bem protegido e ainda atualizado em relação ao poder da computação. Na prática, com a evolução da microinformática e o aumento exponencial do poder de processamento dos computadores, antiga senha forte de 6 caracteres numéricos, por exemplo, é hoje considerada brincadeira de criança para os mais novos softwares quebradores de senha. 
Baseados neste contexto destacam-se algumas dicas conhecidas do que se deve e não se deve fazer com a senha. (SANTANA, 2006)
2.1.6. O que fazer com e o que não fazer com a senha
Os usuários de Internet e de outros meios eletrônicos devem saber que a alteração periódica de senhas é um requisito de segurança dos tempos modernos. O problema é lembrar todos esses números e letras. Para que essa tarefa não se torne um desafio intransponível, confira as ferramentas que podem ajudá-lo nessa tarefa.
Usar software de gerenciamento de senhas
O software de gerenciamento de senhas oferece uma variedade de funções úteis: automatização de logons para sites da Web, captura de senhas existentes ou geração de senhas fortes aleatórias e armazenamento de senhas com os respectivos nomes de usuário em um arquivo protegido e criptografado.
O KeePass, por exemplo, é um gerenciador de senhas grátis disponível para download. Seu código aberto está disponível para Windows, Linux, OS X e dispositivos móveis. Você pode usá-lo até com um cartão de memória USB. Como ele mantém todas as suas senhas online e offline em um banco de dados protegido, você só precisase lembrar de uma senha principal.
Os recursos de gerenciamento de senhas também estão incorporados em vários pacotes de utilitários e proteção de software, como o Norton Confidential da Symantec, que armazena e criptografa senhas.
Não confie em navegador
A maioria das novas versões dos principais navegadores, como Firefox, Internet Explorer, Safari e Opera, oferece modos de armazenar seu nome de usuário ou senhas para diversos sites. Embora o uso deste recurso possa poupar tempo e energia, esteja ciente das desvantagens: ele não é seguro e também não é particularmente confiável.
Quase todos os navegadores admitiram falhas de segurança que podem deixar suas senhas vulneráveis a ataques de hackers e phishing. Além disso, qualquer outro usuário com acesso a sua máquina terá acesso automático a todas as suas senhas e sites da Web – portanto isso não é uma boa opção para computadores compartilhados.
Não usar a mesma senha para tudo
Adotar um sistema para gerar senhas memorizáveis.
Lembrar senhas fortes pode ser tão simples quanto chegar a um algoritmo padrão para criá-las. Primeiro, crie uma senha base, talvez usando uma combinação das iniciais do nome da mãe e a data em que se formou na faculdade. Em seguida, adicione uma variação do nome do site da Web em que você fará logon. Por exemplo, chegar à senha base "lsf051088", adicionar as primeiras duas e as últimas duas letras do site (faok para Facebook.com), indicam os especialistas da HP.
Misture letras em maiúsculo e minúsculo além de números e caracteres especiais.
Utilize caracteres alfanuméricos com pontuação quando suportado pelo sistema
Utilize mais letras em maiúsculo do que apenas na primeira posição.
Use pelo menos seis caracteres, aumentando preferencialmente para 8.
Não utilize nenhuma variação da senha de seu login de rede.
Não usar o nome, apelido ou suas iniciais como base para criação da senha.
Não utilize nenhuma palavra de dicionário, mesmo que em outra língua, acrônimos e abreviações.
Não utilize nenhuma outra informação sobre você que possa ser facilmente obtida (SÊMOLA, 2006).
2.2. Pesquisa de campo
2.2.1. Perguntas
	UNIVERSIDADE ESTÁCIO DE SÁ
CURSO: SEGURANÇA DA INFORMAÇÃO
PESQUISA PARA TRABALHO DE CONCLUSÃO DE CURSO - TCCI
Titulo: Conseqüência do acesso não autorizado da informação
ALUNO: FILIPE SÁ DE MELO
	QUESTIONÁRIO APLICADO AOS FUNCIONÁRIOS TERCERIZADOS E PRÓPRIOS DA SANEAGO
1-Você revela ou já revelou sua senha do cartão bancário para outra pessoa?
( ) Sim			( )Não
2-Você conhece a forma correta para criar uma senha?
( ) Sim			( )Não
3-Você possui a mesma senha há mais de seis meses?
( ) Sim			( )Não
4-No seu ambiente de trabalho as pessoas têm o hábito de emprestar a sua senha pessoal para outras pessoas?
( ) Sim			( )Não			 ( ) as vezes
5-Cria senha com nomes de familiares ou datas comemorativas?
( ) Sim			( )Não			 ( ) as vezes
6-Quando digita senha em lugares públicos observa quem está ao lado?
( ) Sim			( )Não			 ( ) as vezes
7-Costuma utilizar uma única senha para todos os acessos eletrônicos?
( ) Sim			( )Não
8-No seu setor de trabalho alguém já disponibilizou a senha pessoal para você?
( ) Sim			( )Não
9-Quando utiliza a internet, em casa ou no trabalho, se preocupa em observar o antivírus?
( ) Sim			( )Não			( ) as vezes
10-Você costuma anotar sua senha em algum lugar?
( ) Sim			( )Não			( ) apenas memoriza 
2.2.2 Tratamento de dados
Resultado do questionário aplicado na SANEAGO com funcionários próprios e terceirizado.
Os números descriminados em cada questão representam o total de respostas obtidas em cada questão, com um total de pesquisas respondidas de 50 questionários. 
	Questão
	Sim
	Não
	Às vezes
	1
	38%
	62%
	-
	2
	66%
	34%
	-
	3
	54%
	46%
	-
	4
	4%
	80%
	16%
	5
	50%
	18%
	32%
	6
	54%
	32%
	14%
	7
	42%
	58%
	-
	8
	38%
	62%
	0%
	9
	32%
	44%
	24%
	10
	30%
	30%
	60%
Gráfico dos dados
2.3. Marco conceitual
Existindo a conscientização dos usuários da informação, com o manuseio adequado da senha de acesso aos sistemas, é necessário ter resultados que possibilitem avaliar a segurança e confiabilidade dos funcionários da empresa Manchester para com a prestação de serviços. 
2.4. Marco operacional
Palavras-chave: senha, informação, segurança, resultados. 
2.4.1 Senha: É uma palavra ou uma ação secreta previamente convencionada entre duas partes como forma de reconhecimento. Em sistemas de computação, senhas são amplamente utilizadas para autenticar usuários e permitir-lhes o acesso a informações personalizadas armazenadas no sistema. 
2.4.2 Informação: É o resultado do processamento, manipulação e organização de dados de tal forma que represente uma modificação (quantitativa ou qualitativa) no conhecimento do sistema (pessoa, animal ou máquina) que a recebe. Enquanto conceito carrega uma diversidade de significados, do uso cotidiano ao técnico. Genericamente, o conceito de informação está intimamente ligado às noções de restrição, comunicação, controle, dados, forma, instrução, conhecimento, significado, estimulo, padrão, percepção e representação de conhecimento.
2.4.3. Segurança: É a condição de estar protegido de perigo ou perda. A segurança tem que ser comparada e contrastada com outros conceitos relacionados: Segurança, continuidade, confiabilidade. A diferença chave entre a segurança e a confiabilidade é que a segurança deve fazer exame no cliente das ações dos agentes maliciosos ativos que tentam causar a destruição.A segurança, como bem comum, é divulgada e assegurada através de um conjunto de convenções sociais, denominadas medidas de segurança.
2.4.4. Resultados: Ação ou efeito de resultar. É o que resultou ou resulta de alguma coisa; conseqüência, efeito, produto; fim, termo. Ou seja, ganho e lucro de algo realizado.
2.5. Hipóteses
2.5.1. Hipótese de pesquisa
A segurança da informação conta com uma série de financiamentos, que tem aumentado nos últimos anos de forma considerável, através de cursos, treinamentos, palestras, enquetes e distribuição de panfletos educativos. Mesmo com todo esse investimento observamos um sistema vulnerável a hackers. 
3. Metodologia
3.1. Descrição do lugar de estudo
O estudo do presente trabalho será as Unidades da Petrobras na Imbetiba bairro da cidade de Macaé. Lugar onde a utilização de senhas para o acesso as informações é de responsabilidade dos funcionários e de extrema importância e segurança para a empresa. de Rio das Ostrasdo Rio de JaneiroRio das Ostrasiro.estimentos em Educaçao �����������������������������������������������
3.2. Tipo e Método de Estudo
3.2.1. Tipo e método: 
Na pesquisa será utilizado o Método Funcionalista, onde é mais baseado na interpretação de fatos do que na coleta de dados para investigação. O enfoque funcionalista leva a admitir que toda a atividade humana sociocultural é funcional e indispensável para a existência e permanência da sociedade. O método funcionalista estuda a sociedade tomando como referência a função, como um sistema organizado de atividades.
3.3. Fonte de dados: 
A fonte de dados serão referências bibliográficas sobre o assunto e os funcionários terceirizados e funcionários próprios da SANEAGO, lotados no município de Goiânia, Goiás.
 3.4. População e amostra
A população a ser levada em consideração são os funcionários lotados de Goiânia.
3.5. Técnica de coleta de dados:
Será utilizada como Técnica de coleta de dados, o questionário com questões fechadas. A escolha desta técnica foi devido ao nível de confiabilidade, além de ser simples, já que os entrevistados não disponibilizam de muito tempo livre para participar da pesquisa.
3.6. Técnica de análise de dados: 
Terá como base a pesquisa e no final será realizada a tabulação das respostas dadas ao questionário com resultados quantitativos e comentários de forma científicados dados.
 4. Conclusão
A conscientização das pessoas seja no trabalho ou mesmo em sua vida pessoal fortalece a idéia de focar investimentos em novas tecnologias de proteção, além de serem caras, não trazem o mesmo resultado do que um trabalho direcionado na conscientização e no treinamento constante. As ameaças como vazamento de informações, acessos não autorizados e funcionários insatisfeitos, surgem de dentro da organização. Divulgar e orientar os funcionários sobre as suas responsabilidades e procedimentos em relação à segurança da informação, somados aos processos de controle, podem reduzir os incidentes de segurança e conseqüentemente melhorar o nível da segurança da organização. Já nas medidas de segurança implementadas, back-up e antivírus, demonstra que os fornecedores de soluções de anti-spam, Intrusion Detection System, anti-spyware, etc., têm um mercado para ser explorado.
Percebe-se que os funcionários de TI sabem da importância em ter um processo de concessão e cancelamento de acesso eficiente, de forma que evite que outros funcionários ou terceiros possam utilizar um (username) de funcionário que não está mais na empresa. Entretanto os demais funcionários pesquisados não têm esta mesma visão, no caso das senhas, as médias demonstram que a política de senhas da organização ainda precisa ser revisada e melhorada. Outro ponto muito importante é a revisão dos direitos de acessos. Acredita-se que um processo de revisão periódica dos direitos de acesso é muito importante para reduzir a possibilidade de funcionários, intencionalmente ou não, acessarem sistemas e ou serviços indevidos, ou seja, não relacionados às suas atividades para que foi contratado.
Este projeto possibilitou entender, que independente do tamanho ou segmento da empresa, a informação é um dos ativos mais importantes e conseqüentemente a segurança deste ativo também. As iniciativas em segurança da informação variam de empresa para empresa e de pessoa para pessoa. Os investimentos em segurança dependem em como o gestor da informação protege este bem e como transforma as necessidades de segurança em uma linguagem de negócio. É comum que as empresas tenham em suas infra-estruturas soluções de antivírus e backup, dando a impressão que os principais riscos são vírus e indisponibilidade das informações. Entretanto não é somente isso. Um processo de análise de risco efetivo pode ajudar consideravelmente no conhecimento das vulnerabilidades e ameaças, identificando o nível de risco e com isso, auxiliar em um plano diretor de segurança. Este plano é o principal documento da segurança da informação, aonde mostra como está a segurança da informação na organização. 
Por mais, pensar no trinômio – pessoas, processos e tecnologia – ajuda ao gestor de segurança, a arquitetar um plano de trabalho que possa abranger os três pilares em um equilíbrio razoável. Contudo, defende-se que o direcionamento de atividades no sentido de melhorar a conscientização do funcionário sobre o assunto segurança da informação pode trazer grandes resultados, sem grandes investimentos. Com o passar do tempo as tecnologias mudam, mas o funcionário bem treinado e conscientizado permanece.
 Referências bibliográficas
Santana Alexander, Portugal André. Segurança da Informação.Petrobras. 1. ed. Bacia de Campos, 2002.
GABBAY, M. S. Fatores influenciadores na implementação de ações de gestão de segurança da informação: um estudo com executivos e gerentes de tecnologia da informação em empresas do Rio Grande do Norte. Tese (mestrado) – Universidade Federal do Rio Grande do Norte, 2003.
SÊMOLA, M. 2003: Gestão da Segurança da Informação. 1.Ed. Rio de Janeiro:Campus, 2003.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. NBR ISO/IEC
17799:2005: Tecnologia da informação - código de prática para a gestão da segurança da informação, 2005.
Sêmola, Marcos. Coluna Firewall – IDGNow®. Disponível em: <www.semola.com.br> Acesso em: 07 novembro. 2017.
Universidade Estácio de Sá
Ensino á distancia
Trabalho de Conclusão de Curso
Professora: Luciane Dias
TERMO DE RESPONSABILIDADE – TCC
O Aluno Filipe Sá de Melo do Curso de Pós graduação em Segurança da Informação, matrícula nº 201608069796, assume toda responsabilidade, perante a prática de cópia ou plágio de obras de autores, quaisquer que sejam, tanto em material impresso como digital, nos aspectos educacionais e legais. 
As Normas da ABNT serão o parâmetro para as citações. 
Assim, passa a deter toda e qualquer responsabilidade diante de situações ilícitas editoriais e acadêmicas no que se refere à disciplina TCC. 
Brasília, 02 de Novembro de 2017
Assinatura do aluno: Filipe Sá de Melo