SEGURANA DA INFORMAO final

Prévia do material em texto

FACULDADE CENECISTA DE SETE LAGOAS
CURSO SISTEMAS DE INFORMAÇÃO
THATIANE THANITA LACERDA PEREIRA
PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CONTROLES DE ACESSO
SETE LAGOAS – MG
DEZEMBRO DE 2011
THATIANE THANITA LACERDA PEREIRA
PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CONTROLE DE ACESSO
Relatório de Estágio Supervisionado apresentado ao Curso de Bacharelado em Sistemas de Informação da Faculdade Cenecista de Sete Lagoas, como requisito parcial para a conclusão da disciplina Estágio Supervisionado e Pesquisa II.
Área de atuação: Segurança da Informação
Orientação: Jorge Barbosa Dantas.
SETE LAGOAS - MG
DEZEMBRO DE 2011
Dedico esse trabalho em memória do meu pai Israel Marcondes de Assis Pereira, que hoje se encontra no Reino de Deus. Saudades Eternas!!!
AGRADECIMENTOS
Enfim a realização... Por vários anos passei por inseguranças, erros, acertos, tristezas e alegrias, mas cheguei ao final com a certeza de um sonho concretizado. É evidente que não caminhei sozinha, são muitos os responsáveis por minha vitória. Agradeço a Deus por se fazer presente em todos os momentos firmes ou incertos da minha vida, pois ao longo dessa jornada de quatro anos pude sentir a Tua mão na minha, transmitindo-me segurança necessária para chegar até aqui.
Agradeço também aos meus pais Marina dos Santos Lacerda e Israel Marcondes de Assis Pereira (em memória) que abriram a porta do meu futuro com o estudo. Trabalharam, sacrificaram seus sonhos em favor dos meus, não foram apenas pais, mas amigos e companheiros, mesmo nas horas mais difíceis. Eles que me deram a vida e me ensinaram a vivê-la com dignidade, iluminando os caminhos obscuros com afeto e dedicação para que os trilhassem sem medo e cheia de esperança. Ao meu irmão Israel Junio Lacerda Pereira, embora, tenha me tirado do sério várias vezes durante toda minha vida, agradeço-lhe de coração pelo companheirismo. 
Aos meus colegas que mesmo que a vida venha nos separar, jamais estaremos longe para sermos esquecidos. No coração de cada um haverá saudade, recordação, companheirismo... Muitas lutas nos esperam! Mas tenhamos sempre em nós essa força que nos trouxe até aqui e que agora nos leva a seguir caminhos diferentes. A saudade de todos e a esperança de um breve reencontro estarão sempre em nossos corações. Cada um levará consigo, a saudade e o carinho de todos aqueles que nesses anos se tornaram mais que simples colegas... Agradeço em especial “minha amiga-mãe” Jaqueline Cardoso Figueiredo que sempre me ajudou e apoiou sem medir esforços quando mais precisei. Com certeza, respeito e as boas lembranças jamais serão esquecidas, amiga.
Ao meu orientador Jorge Dantas e a professora de Metodologia, Kariny Raposo, aqueles que me ensinaram com dedicação e paciência, aqueles que quando tudo estava difícil abriram um sorriso e disseram: calma, você vai conseguir. Obrigada por tudo!
Valeram a pena os dias de cansaço e tédio. Valeram cada momento vivido nessa louca correria em busca de um objetivo em comum. É necessário seguir em frente, buscar nossos objetivos com muita dedicação e esforço para encontrar o novo.
Deixo aqui meu OBRIGADA a todos os amigos e familiares que fizeram parte dessa minha jornada.
RESUMO
Este trabalho teve como objetivo a construção de uma proposta de implantação de uma política de segurança da informação para a empresa Agropéu especialista na fabricação de álcool, localizada na cidade de Pompéu. A metodologia utilizada para o desenvolvimento da proposta foi à pesquisa de abordagem qualitativa, ou seja, uma pesquisa com caráter exploratório, que estimula o entrevistado a responder livremente sobre qualquer tema abordado. Foi utilizada também a pesquisa quantitativa, usada para analisar as opiniões e atitudes dos entrevistados, utilizando instrumentos estruturados. Para tal fim, foi realizado um questionário de vinte perguntas objetivas de múltipla escolha entregue aos funcionários com o objetivo de se avaliar o nível de conhecimento deles sobre o controle de acesso físico, acesso lógico e conceitos básicos sobre o tema “Segurança da Informação”. A análise dos resultados demonstrou que o momento era propício para a definição e implementação de um adequado controle de acesso físico e lógico. Sua abrangência ocorreria em toda a organização, sem qualquer restrição. O objetivo da Política de Segurança da Informação é inserir medidas, procedimentos e regras a serem seguidas pelos usuários, possibilitando um adequado controle de acesso às dependências da empresa bem como aos seus recursos computacionais. Os resultados alcançados apontaram para um adequado controle de acesso físico nas dependências da empresa, como também um adequado controle de acesso lógico às informações contidas nas máquinas.
Palavras-chaves: Política de Segurança da Informação, Acesso Físico, Acesso Lógico.
LISTA DE ILUSTRAÇÕES
18FIGURA 1 - Quatro momentos do ciclo de vida da informação, considerando os conceitos básicos da segurança e os aspectos complementares.	�
21FIGURA 2- Perímetros. O alvo é a informação.	�
25FIGURA 3 - Estruturação de uma PSI	�
30FIGURA 4 - Ferramenta integrada EPO – MCAFEE	�
�
LISTA DE GRÁFICOS
46GRÁFICO 1 - Qual a sua opinião sobre a necessidade de se controlar o acesso de pessoas as dependências da empresa?	�
47GRÁFICO 2 - Se você tem essa “identificação e senha” com que frequência você altera sua senha? Fonte: Dados da Pesquisa, 2011.	�
48GRÁFICO 3 - Qual a sua opinião sobre a necessidade de se controlar acesso aos recursos computacionais da empresa, através de identificação (login) e senha?	�
50GRÁFICO 4 - Você sabe o significado do termo “Engenharia Social”?	�
��
LISTA DE TABELAS
14TABELA 1 - Categorias dos ativos.	�
20TABELA 2 - Identificação das fontes de ameaças.	�
53TABELA 3 - Normas para atender as diretrizes.	�
55TABELA 4 - Configuração Mínima	�
57TABELA 5 - Proteção dos negócios da empresa.	�
�
�
SUMÁRIO
121 INTRODUÇÃO	�
142 PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CONTROLE DE ACESSO	�
162.1 As três colunas da Informação	�
162.1.2 Confidencialidade	�
162.1.3 Integridade	�
172.1.1 Disponibilidade	�
172.2 Ciclos de vida da informação	�
182.3 Autenticidade e Legalidade	�
192.4 Ameaças, Vulnerabilidade e Medidas de Segurança	�
222.5 Controles de Acesso	�
232.6 Políticas de Segurança da Informação	�
252.6.1 Estruturação de uma PSI	�
262.7 Políticas de segurança da informação para controle de acesso	�
262.7.1 Políticas de segurança da informação para controle de acesso lógico	�
282.7.2 Políticas de segurança da informação para controle de acesso físico	�
302.8 Pessoas no processo de controle de acesso	�
312.9 Engenharia Social	�
332.10 Treinamento e conscientização em segurança da informação	�
353 EMPRESA AGROPÉU AGRO - INDUSTRIAL DE POMPÉU S/A	�
353.1 Dados Gerais	�
353.2 Histórico	�
363.2.1 Organograma (Anexo II)	�
363.3 Análise	�
363.3.1 Da Área	�
363.4 Problema detectado	�
384 PROPOSTA DO ESTAGIÁRIO	�
384.1 Objetivo Geral	�
384.2 Objetivos Específicos	�
395 METODOLOGIA	�
395.1 Conceito de Metodologia e Pesquisa	�
395.1 Caracterização da pesquisa	�
405.2 Instrumentos utilizados	�
41CRONOGRAMA	�
426 DESENVOLVIMENTO DAS ATIVIDADES	�
426.1 Levantamento da situação atual	�
446.2 Análise do nível de conhecimento dos funcionários	�
516.3 Proposta de uma Política de Segurança para acesso físico e lógico	�
516.3.1 Discussão das Diretrizes	�
526.3.2 Definição das Normas	�
576.3.3 Definição dos Procedimentos	�
576.3.3.1 Acesso Físico	�
586.3.3.2 Acesso Lógico	�
596.4 Aprovaçãoe divulgação da PSI	�
60CONSIDERAÇÕES FINAIS	�
62REFERÊNCIAS	�
63APÊNDICES	�
77ANEXOS	�
�
�
1 INTRODUÇÃO
Dias (2000) diz que na época passada quando as informações eram armazenadas em papéis, a segurança era mais simples. Era preciso simplesmente guardar a informação em um lugar bastante seguro e impedir o acesso de pessoas ao local. Mas com a chegada dos computadores pessoais e das redes que interligam o mundo todo, a segurança da informação atingiu uma complexidade enorme sendo de tamanha importância para as empresas. 
Tomando essas considerações como ponto de partida, este trabalho tem como objetivo à implantação de uma política de segurança da informação para extinguir o controle inadequado do acesso físico e lógico na empresa Agropéu. Essa PSI (Política de Segurança da Informação) implantará medidas, procedimentos e regras a serem seguidas pelos usuários possibilitando um adequado controle de acesso às dependências da empresa, bem como os acessos aos seus recursos computacionais.
 Assim, a importância deste trabalho se dá na medida em que se observou na empresa a ineficiência para assegurar a integridade, a confiabilidade e a disponibilidade das informações. Segundo Sêmola (2003), a informação é o sangue da organização, pois, representa a diferença competitiva dos negócios, sendo um ativo fundamental na empresa.
Nesse contexto em que a segurança da informação se faz cada vez mais necessária, tornou-se pertinente consultar autores como Sêmola (2003), Dias (2000) e Ramos (2003) que tratam com relevância dessa temática.
Para a coleta de dados utilizou-se a pesquisa do tipo quantitativa e qualitativa tendo como primeiro passo a observação atenta para posterior levantamento da situação atual da empresa. Em seguida, foi feito um questionário contendo vinte perguntas objetivas de múltipla escolha que foi entregue aos funcionários com o objetivo de se avaliar o nível de conhecimento deles sobre o controle de acesso físico, acesso lógico e conceitos básicos sobre o tema “Segurança da Informação”. A análise dos resultados demonstrou que o momento é facilitador para a definição e implementação de um adequado controle de acesso físico e lógico que abrangerá toda a empresa, sem qualquer restrição.
A partir do segundo capítulo é apresentado o levantamento teórico feito com o intuito de esclarecer alguns conceitos de suma importância para o desenvolvimento do trabalho, por exemplo, as três colunas da informação. São conceituadas também as possíveis ameaças e vulnerabilidades à informação a fim de quebrar essas três colunas e posteriormente as possíveis medidas de segurança para evitá-las. Foram esclarecidos em seguida os tipos de controle de acesso juntamente com as possíveis políticas de segurança para cada um. Por último, a contextualização do elo mais fraco nas empresas, as pessoas, no processo de controle de acesso.
No terceiro capítulo são apresentadas as características e informações da empresa, para a qual foi feita a proposta de uma política de segurança da informação. A empresa é a Agropéu, hoje situada na cidade de Pompéu, exercendo como atividade principal a produção de álcool. Nesse capítulo também está contido o histórico, organograma da empresa, incluindo a análise da área onde será aplicada a PSI, juntamente com a descrição do problema detectado.
O quarto capítulo define a proposta da estagiária como solução para o problema encontrado. Em seguida, é descrito o objetivo geral, junto aos objetivos específicos, os quais serão cumpridos no decorrer do desenvolvimento da proposta.
No quinto capítulo é apresentado o conceito básico de metodologia e pesquisa. Além disso, foi descrito a caracterização dos tipos de pesquisas e qual delas foi utilizada para a realização do trabalho. E por último, qual instrumento de pesquisa e coleta foi utilizado.
O sexto capítulo apresenta o desenvolvimento das atividades para a criação da política de segurança da informação, por meio do levantamento atual da empresa, da análise do nível de conhecimento dos funcionários para a construção da proposta e sua aprovação.
No sétimo capítulo são feitas as considerações finais do trabalho, englobando suas dificuldades e experiências adquiridas, e, por fim as referências bibliográficas para construção do mesmo. 
�
2 PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CONTROLE DE ACESSO
Segundo Sêmola (2003, p. 43), pode-se definir “segurança da informação como a área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade”.
Ativo da informação é “todo elemento que compõe os processos que manipulam e processam a informação, a contar a própria informação, o meio em que ela é armazenada, os equipamentos em que ela é manuseada, transportada e descartada”. (SÊMOLA, 2003, p.45). Em síntese, ativo da informação é tudo aquilo que represente um grande valor para um indivíduo ou para empresa, por isso, deve ser protegido.
Segundo Ramos 2006, p.17, os ativos podem ser classificados da seguinte maneira:
	Categorias de Ativos
	Exemplos
	Tangíveis
	Informações impressas ou digitais, impressoras, móveis de escritório.
	Intangíveis
	Imagem de uma empresa, confiabilidade de um órgão federal, marca de um produto.
	Lógicos
	Dados armazenados em um servidor, sistema ERP, rede de VOIP.
	Físicos
	Estação de trabalho, sistema de ar-condicionado, fábrica.
	Humanos
	Empregador, prestadores de serviços.
TABELA 1 - Categorias dos ativos. 
Fonte: RAMOS 2006, p.17.
O importante para a organização é que a informação esteja na hora e no lugar exato quando precisar, que ela seja confiável, precisa e extremamente correta para suas tomadas de decisões de negócios. Por isso, Dias (2000, p. 41), afirma que “segurança é, portanto, a proteção de informações, sistemas, recursos e serviços contra desastres, erros e manipulação não autorizada, de forma a reduzir a probabilidade e o impacto de incidentes de segurança”.
Ferreira (2003, p. 2), “atualmente, as informações contidas em sistemas informatizados são considerados recursos críticos para a concretização de negócios e tomada de decisões”. Em razão disso, Sêmola (2003, p. 41), afirma que “toda a iniciativa de segurança da informação deve ter como alvo principal o negócio, e, consequentemente, suas ações devem estar totalmente convergentes, alinhadas e focadas nos desafios do negócio”.
O que se nota é que nunca foi tão fácil atacar os sistemas informatizados, já que os sistemas de informações estão todos conectados em redes externas, o que aumentam consideravelmente os riscos na segurança. (DIAS, 2000). O que era utilizado antigamente apenas por agências de inteligência, hoje está disponível a qualquer pessoa, no que se refere a ataques a informações de empresas.
Tratando-se de conexões externas, atualmente é difícil não acharmos uma empresa com conexão a Internet. Com isso, ameaças, ataques e intrusos aumentaram significamente.
 Fontes (2006, p. 75) afirma que:
 
As empresas disponibilizam o acesso à Internet como fonte de informação para que os colaboradores (funcionários e prestadores de serviço) atualizem e enriqueçam seu conhecimento. O uso para assuntos pessoais normalmente é permitido, considerando-se algumas regras. 
Dois aspectos são importantes para o controle desses acessos como: identificação e autenticação. A empresa precisa saber quem está utilizando seus recursos e quais recursos estão sendo utilizados. Portanto, assim evitando usuários não autorizados e vazamento das informações. (FONTES, 2006).
Para que haja segurança da informação nas organizações, é preciso que sejam adotadas políticas, métodos e procedimentos que gerenciem os riscos, ataques ou ameaças que as prejudiquem. Com isso, Sêmola (2003, p. 44), afirma que “a segurança da informação é alcançada por meio de práticas e políticas voltadas a uma adequada padronização operacional e gerencial ativos, e processos que manipulam e executem a informação”.2.1 As três colunas da Informação
Assegurar a segurança da informação é dar credibilidade principalmente às três principais colunas que sustentam a informação: confidencialidade, integridade e disponibilidade. (DIAS, 2000).
2.1.2 Confidencialidade
A confidencialidade ocorre quando a informação é acessada apenas por usuários autorizados. Confidencialidade é quando “toda informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, visando à limitação de seu acesso e uso apenas às pessoas para quem elas são destinadas”. (SÊMOLA 2003, p.45).
Campos (2007, p.18), afirma que: 
Casos típicos de quebra de confidencialidade ocorrem quando a pessoas intencionalmente invadem sistemas de computadores das empresas e até de pessoas físicas e obtêm seus dados.
Várias empresas hoje, ainda sofrem por falta de confidencialidade nas informações, tanto através dos sistemas ligados à rede como também do acesso físico.
2.1.3 Integridade
A integridade ocorre quando a informação disponibilizada aos usuários esteja inalterada e que seja totalmente confiável. Sêmola (2003) pontua que a informação deve ser mantida em segurança, contra alterações intencionais e acidentais.
Já Campos (2006, p.18), ratifica dizendo que a quebra de integridade é:
Quando uma informação é indevidamente alterada, intencionalmente ou não, tal como pela falsificação de um documento, da alteração de registro em um banco de dados, ou qualquer coisa que altere a informação original de maneira indevida.
2.1.1 Disponibilidade
A disponibilidade ocorre quando a informação está disponível às pessoas sempre que solicitadas. Consoante Sêmola (2003, p.45) disponibilidade é quando “toda informação gerada ou adquirida por um indivíduo ou instituição deve estar disponível aos usuários no momento em que os mesmos delas necessitarem para qualquer finalidade”.
Quando a informação não é acessível nem mesmo por quem é de direito, como no caso da perda de documentos, quando há sistemas de computador “fora do ar” ou, ainda, em função de ataques de negação de serviços a servidores de rede ou servidores Web, ou seja, quando esses servidores estão inoperantes em resultados de ataques e invasões, então isso é incidente de segurança da informação por quebra de disponibilidade (CAMPOS, 2007, p.19).
Por isso para as empresas, quando há essa quebra na disponibilidade, elas perdem grandes oportunidades de sucesso no mercado, mostrando-se incompetentes diante de seus clientes.
2.2 Ciclos de vida da informação
A informação da organização está distribuída dentro de todos os seus domínios, sendo criada, manipulada, por todos, dentro da organização. Com isso, afirma-se que existe o que se denomina ciclo da informação. Para Sêmola (2003, p. 9):
Ciclo de vida, por sua vez, é composto e identificado pelos momentos vividos pela informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que, por sua vez, mantêm a operação da empresa. (FIG. 1).
Segundo Sêmola (2003), esse ciclo é composto por:
Manuseio: momento em que a informação é criada seja ela até mesmo recém digitadas;
Armazenamento: momento em que a informação é armazenada seja ela em um banco de dados ou até mesmo em uma gaveta;
Transporte: momento em que a informação é transportada seja ela via e-mail ou até mesmo via telefone;
Descarte: momento em que a informação é descartada seja ela jogada na lixeira ou até mesmo apagada do computador.
FIGURA 1 - Quatro momentos do ciclo de vida da informação, considerando os conceitos básicos da segurança e os aspectos complementares. 
Fonte: SÊMOLA 2003, p.11.
Como se pode perceber, a informação passa por vários momentos em seu ciclo, sendo exposta a várias ameaças, ataques etc. Para que a informação seja protegida durante todo esse ciclo, Sêmola (2003) afirma que a informação deve seguir as três propriedades (Confidencialidade, Integridade e Disponibilidade), bem como os aspectos de Autenticidade e Legalidade.
	
2.3 Autenticidade e Legalidade
De acordo com Sêmola (2003, p. 46), autenticidade é:
A garantia de que as entidades (informação, máquinas, usuários) identificadas em um processo de comunicação como remetentes ou autores sejam exatamente o que dizem ser e que a mensagem ou informação não foi alterada após o seu envio ou validação. 
Já a legalidade é a “característica das informações que possuem valor legal dentro de um processo de comunicação, em que todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes”.
 
2.4 Ameaças, Vulnerabilidade e Medidas de Segurança
Para Campos (2007, p. 25) “a ameaça é um agente externo ao ativo de informação que, se aproveitando de suas vulnerabilidades poderá quebrar a confidencialidade, integridade ou disponibilidade da informação suportada ou utilizada por esse ativo”. Portanto, ameaça é qualquer elemento externo que prejudique os ativos da informação, causando impactos negativos aos negócios e as tomadas de decisões da organização.
Ferreira (2003), p.93, mostra na tabela 2 as possíveis fontes de ameaça, a motivação e as ações utilizadas:
	Fontes de Ameaça
	Motivações
	Ações Utilizadas
	Hackers, cracker
	Desafio
Ego
Rebeldia
	Hacking
Engenharia social
Invasão de sistema
Acesso não autorizado aos sistemas
	Criminoso de computador
	Destruição da informação
Divulgação e alteração não autorizada das informações
Retorno financeiro
	Crime por computador (espionagem)
Atos fraudulentos (intercepção de informações)
Suborno
Invasão de sistemas
	Terrorista
	Chantagem
Destruição
Vingança
Exploração
	Bombas / terrorismo
Guerra de informação
Ataque aos sistemas (ex.: ataques DOS)
	Espionagem industrial (companhias, países, etc.)
	Vantagem competitiva
Espionagem
	Exploração econômica
Roubo de informações
Engenharia social
Invasão de sistemas
Acesso às informações classificadas
	Funcionário da própria organização (aqueles que não recebem treinamento adequado, negligentes, desonestos e demitidos)
	Curiosidade
Ego
Inteligência
Retorno financeiro
Vingança
Erros não intencionais
	Abuso dos recursos de TI
Roubo e fraude
Inclusão de dados falsos
Interceptação
Inclusão de códigos maliciosos (ex.: vírus, cavalos de tróia)
Venda de informações
Falha nos sistemas
Acesso não autorizado aos sistemas
TABELA 2 - Identificação das fontes de ameaças.
Fonte: FERREIRA 2003, p.93
Sêmola (2003, p.47), classifica as ameaças da seguinte maneira, levando em consideração sua intencionalidade:
Naturais: ameaças decorrentes de fenômenos da natureza, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc;
Involuntárias: ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causadas por acidentes, erros, falta de energia etc;
Voluntárias: ameaças propositais causada por agentes humanos como hackers, invasores, espiões, ladrões, criados e disseminadores de vírus de computador, incendiários.
Levando já em consideração as vulnerabilidades da informação, Campos (2007, p. 23) diz que “são fraquezas presentes nos ativos de informação que poderiam ser exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança de informação”. 
Para Sêmola (2003), as vulnerabilidades não provocam incidentes sozinhas, pois são agentes passivos. Elas necessitam de um agente causador, que são as ameaças. Ainda Sêmola (2003), exemplifica os tipos de vulnerabilidade:
Física: causadas por instalação fora do padrão, falta de recursos para detecção de incêndios, explosões, falta de extintores, etc;
Naturais: causadas por enchente, terremotos, falta de energia, poeira, etc;
Hardware: causada por falta de recursos tecnológicos ou erros na instalação;
Software: causadapor erros na instalação ou configuração dos mesmos;
Mídias: causada por danificações ou até mesmo radiações eletromagnéticas;
Comunicação: causada por perda de comunicação;
Humanas: causada por roubos, sabotagens, invasões, etc.
FIGURA 2- Perímetros. O alvo é a informação.
Fonte: SÊMOLA 2003, p.14
Com tantas ameaças manipulando e explorando as vulnerabilidades da informação e prejudicando seus ativos, tornam-se necessário as medidas de segurança. Conforme Sêmola (2003, p. 49), “são as práticas, os procedimentos e os mecanismos usados para a proteção da informação e seus ativos, que podem impedir que as ameaças explorem essas vulnerabilidades”.
Ainda para Sêmola (2003, p. 49), as medidas de segurança são usadas para o controle e podem ser classificadas da seguinte maneira:
Preventivas: medidas de segurança que tem como objetivo evitar que incidentes venham a ocorrer. Visam manter a segurança já implementada por meio de mecanismos que estabeleçam a conduta e a ética da segurança na instituição;
Detectáveis: medidas de segurança que visam identificar condições ou indivíduos causadores de ameaças, a fim de evitar que as mesmas explorem vulnerabilidades;
Corretivas: ações voltadas à correção de uma estrutura tecnológica e humana para que as mesmas se adaptem às condições de segurança estabelecidas pela instituição, ou voltadas à redução dos impactos: equipamentos para emergências, restauração de backup, plano de continuidade, plano de recuperação de desastres.
2.5 Controles de Acesso
Em uma organização, para que se consiga prover segurança da informação de forma adequada deve-se implantar o que se denomina de controle de acesso aos ativos da informação. (DIAS, 2000).
Controle de acesso é uma medida de segurança usada para identificar usuários e qualquer tipo de agente que tenha acesso a alguma informação da organização. Segundo Sêmola (2003, p.118), “sem identificar a origem de um acesso e seu agente, torna-se praticamente inviável realizar autorizações condizentes com os direitos de acesso, podendo levar a empresa a compartilhar informações valiosas sem controle”.
Sendo assim, para evitar controles inadequados de acesso e compartilhamento com usuários não autorizados foram criados os controles de acesso lógico e acesso físico. Dias (2000, p.84), comenta que:
Os controles de acesso, físico ou lógico, têm como objetivo proteger os recursos computacionais (equipamentos, software, aplicativos e arquivos de dados) contra perda, danos, modificação ou divulgação não autorizada.
O acesso lógico é a restrição dos usuários não autorizados de compartilhar, alterar, apagar informações através dos sistemas existentes na organização. Segundo Dias (2000, p.84), “o acesso lógico nada mais é do que um processo e que um sujeito ativo deseja acessar um objeto passivo. O sujeito normalmente é um usuário ou um processo, e o objeto pode ser um arquivo ou outro recurso como memória ou impressora”. Portanto os controles de acesso lógicos são medidas e regras utilizadas para impedir o acesso a usuários não autorizados aos recursos computacionais da empresa.
Os principais impactos causados por controle de acesso lógico inadequados são divulgação não autorizada de informações, alteração não autorizada de dados e aplicativos, e comprometimento de integridade do sistema. Os impactos podem ser ainda maiores em aplicativos que manipulam dados confidencias ou registros financeiros da organização, ou se os sistemas estiverem conectados ao mundo externo, por exemplo, à Internet (DIAS 2000 p.97).
Em razão disso, Dias (2000) diz que a falta de controle de acesso lógico adequados, pode trazer grandes perdas financeiras à empresa. Podendo resultar na perda de informações valiosas para seus concorrentes, ocasionando pontos negativos no mercado competitivo. 
O acesso físico já trata da restrição física de usuários não autorizados. Dias (2000, p.100) afirma que “a segurança física pode ser abordada de duas formas: a segurança de acesso, que trata das medidas de proteção contra acesso físico não autorizado, e segurança ambiental, que trata da prevenção de danos por causas naturais”. Portanto os controles de acesso físicos são medidas para bloquear o acesso de pessoas não autorizadas e impedir danos à parte de infraestrutura da empresa.
 É importante ressaltar que os controles físicos inadequados podem trazer várias perdas para a empresa. Segundo Dias (2000, p. 102): 
Os danos intencionais ou acidentais provocados por funcionários, prestadores de serviço, equipe de limpeza e de vigilância podem variar desde o roubo de equipamentos e componentes internos (placas de memórias, chips, mouses, discos rígidos) até alterações, cópia ou divulgação de informações confidenciais e atos de vandalismo (destruição de equipamentos, corte de cabos elétricos e linhas telefônicas).
2.6 Políticas de Segurança da Informação
Segundo Sêmola (2003, p.105), política de segurança “estabelece padrões, responsabilidades e critérios para o manuseio, transporte e descarte das informações dentro do nível de segurança estabelecido sob medida pela e para empresa; portanto, a política deve ser personalizada”. Então, políticas de segurança da informação (PSI), têm por objetivo seguir regras e padrões de políticas adotadas pela organização, descrevendo a maneira de preservar, proteger, controlar as informações de ameaças, ataques, usuários não autorizadas e diminuir as ameaças que explorem as vulnerabilidades aos ativos da mesma.
Para Ramos (2006, p. 87):
As políticas servem como linhas-mestras para todas as atividades de SI desempenhadas em uma organização. São de extrema importância, pois é por meio delas que a estratégia de SI é montada e passada para todas as áreas envolvidas nas mais esferas. As políticas também demonstram o comprometimento da alta direção da organização com a segurança, ponto fundamental para que ela possa ser gerida de forma eficaz, contando com o apoio da maior quantidade possível de colaboradores.
Já Campos (2007, p.129) afirma que “a política é um conjunto de regras, normas e procedimentos que determina qual deve ser o comportamento das pessoas que se relacionam com a organização no que se refere ao tratamento da informação”.
Em razão disso, ainda Campos (2007, p. 131), complementa que:
As pessoas sabem como se comporta em diversos temas diferentes dentro da organização. Sabem o que podem e o que não podem fazer. Isto contribui não só para a diminuição de incidentes de segurança da informação, mas também para o aumento da produtividade, já que a busca por orientações sobre o comportamento será menor e cada um poderá concentra-se mais em suas atividades ao invés de especular sobre possibilidades de uso ou acesso às informações. As pessoas também se sentem mais confortáveis conhecendo os limites.
Dias (2000), afirma que há várias formas de estabelecer as políticas de seguranças, mas, depende do tipo de sistema que está sendo tratado e em qual ambiente esta sendo implementada.
Segundo Campos (2007, p.131) “atualmente, a PSI é adotada em grande parte das organizações em todo o mundo, inclusive no Brasil. Mesmo aquelas empresas que ainda não têm uma política efetiva, reconhecem a necessidade de elaborar e implementar uma”. Portanto, hoje é crucial se ter uma política de segurança bem definida dentro da empresa, assim evitando preocupações com situações desnecessárias.
Ramos (2006), afirma que o momento ideal para se implementar uma política de informação, é implementá-la antes que aconteça um grande problema na segurança. Para ser desenvolvida, é preciso saber exatamente os objetivos e fazer uma documentação que atinja a todos esses objetivos de maneira eficaz.
2.6.1 Estruturação de uma PSI
“O primeiro passo para montar uma política de sucesso é, uma vez identificados os seus objetivos, proceder também com identificação dos ativos mais relevantes ao alcance desses objetivos”. (RAMOS, 2006, p. 90)
Para um desenvolvimento adequado de uma política desegurança da informação, Ramos (2006, p. 97), divide sua documentação em três categorias:
Diretrizes – são as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção. Servem como base para as normas e os procedimentos sejam criados e detalhados da maneira como as áreas responsáveis (Segurança e Tecnologia) acharem mais adequada e eficaz;
Normas – Especificam no plano tático, por assim dizer, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes;
Instruções e Procedimentos – as instruções detalham. No plano operacional, as configurações de um determinado produto ou funcionalidade que devem ser feitas para implementar os controles e tecnologias estabelecidas nas normas. Já os procedimentos detalham atividades passo a passo, que normalmente envolvem a interação entre área e/ou pessoas.
FIGURA 3 - Estruturação de uma PSI
Fonte: RAMOS 2006, p.97
Ainda Ramos (2006), afirma sobre os cuidados que se deve tomar no desenvolvimento de uma política de segurança da informação como:
Estilo: escolher um estilo único e mantê-lo do inicio até o fim da documentação, dando assim firmeza ao assunto;
Formal x Informal: o documento deve conter um balanço das duas formas, pois, excesso de formalidade ou de informalidade pode trazer um mundo diferente para a organização e perda de credibilidade respectivamente;
Clareza e simplicidade: busque usar uma linguagem simples e clara que seja entendida por todos e que facilite a leitura;
Sentenças negativas: evite usar palavras negativas fortes, pois, assim a política parecerá um mandato de ordens a serem cumpridas;
Inserir apenas o necessário: evite colocar opiniões ou coisa do tipo, uma vez que a documentação já possui um vasto conteúdo.
Consoante Ramos (2006), além de definir os objetivos, estabelecer as diretrizes, normas e procedimentos, um fator importante em uma política de segurança é a atribuição de responsabilidade que cada colaborador deve assumir.
Outro fator importante citado por Ramos (2006) é a manutenção da PSI, ela deve ser constantemente atualizada com as mudanças da organização, como também a existência de novos problemas na segurança. “Por isso, as políticas não devem ser vistas como um conjunto estático de documentos, pois estariam invariavelmente fadadas ao esquecimento e abandono”. (RAMOS, 2006, p.102).
2.7 Políticas de segurança da informação para controle de acesso
2.7.1 Políticas de segurança da informação para controle de acesso lógico
Para Dias (2000, p.55), “antes de decidir como proteger um sistema, é necessário saber contra que ele será protegido. A segurança pode, então, ser definida em termos de combate às ameaças identificadas”. Segundo Ferreira (2003), os especialistas em segurança eram focados somente nas ameaças vindas de fora, e não deram muita atenção ao pessoal interno da organização. Sendo assim, existem dois tipos de ameaças, externas (hackers, invasores, espiões, ladrões) e internas (qualquer pessoa da organização ligada a algum tipo de informação). Sêmola (2003, p.48-49), aponta que as vulnerabilidades podem ser “físicas, naturais, hardware, software, mídias, comunicação e humanas”.
As medidas existentes para o acesso lógico a fim de evitar essas ameaças e vulnerabilidades, segundo Ferreira (2003) são:
Processo de logon: usado para ter acesso às informações da organização. Geralmente, o processo envolve o nome do usuário e a senha. Uma técnica usada é o bloqueio do logon após várias tentativas incorretas e também guardar a data e o horário do último acesso;
Identificação e autenticação do usuário: a identificação do usuário deve ser única, pois, dessa maneira controla as ações praticadas pelo mesmo. A autenticação é feita pra saber se o usuário é ele mesmo, através de algo que o usuário possui, por exemplo, formato da mão, reconhecimento de voz;
Senhas de acesso: as senhas de acesso devem possuir um padrão para serem geradas, seguindo a política da organização. Elas não devem ser muito curtas, mas fáceis de lembrar para que o usuário não tenha que escrevê-la em um pedaço de papel;
Sistemas biométricos: é uma evolução para a identificação dos usuários, vieram para evitar fraudes e roubos de senhas. Eles usam impressões digitais, reconhecimento de voz, geometria de mão e análise de íris e da retina.
Outro ponto a ser ressaltado é o uso e gerenciamento de senhas. Segundo Campos (2007, p.186) as senhas devem ser criadas com qualidade, fazendo com que sua quebra seja uma tarefa difícil. Ao criar senhas devem seguir os seguintes pontos:
Senhas devem ser fáceis de lembrar.
Não devem ser baseadas em informações pessoais, tais como datas de nascimento, nomes de pessoas da família ou ídolos (do esporte, da música, etc.), números de telefones, placas de carro, entre outros. Estas são as primeiras tentativas dos invasores.
Não devem ser compostas de caracteres idênticos e consecutivos ou apenas de caracteres numéricos ou alfanuméricos, ou seja, devem ser misturados caracteres numéricos e alfanuméricos.
Ainda Campos (2007), afirma que de nada adianta fazer uma senha bem segura, se o usuário após fazer o logon, sair e deixar o computador em aberto, deixando suas informações sem proteção a qualquer pessoa. O usuário deve ter o compromisso do uso correto de sua senha. Uma solução para tal fim é o bloqueio automático do sistema após um período de tempo sem uso.
Em razão disso, Campos (2007, p.130) afirma que “os controles de segurança da informação não podem se tornar barreiras burocráticas que emperrem o negócio da organização, que tirem e reduzam suas características, os elementos que lhe conferem sua posição no mercado”.
2.7.2 Políticas de segurança da informação para controle de acesso físico
Segundo Dias (2000, p.100): 
Os recursos a serem protegidos diretamente pelos controles de acesso físico são os equipamentos (servidores, estações de trabalho, CPUs, placas, vídeos, mouses, teclados, unidade de discos, impressoras, scanners, modems, linhas de comunicação, roteadores, cabeamento elétrico, etc.), a documentação (sobre hardware e software, aplicativos, políticas e procedimentos de segurança), os suprimentos (disquetes, fitas, formulários papel) e as próprias pessoas.
Para Campos (2007, p.127) “esse tipo de controle envolve o uso de chaves, trancas, guardas, crachás, cercas, alarmes, vídeo, smart cards, biometria e etc., além da aplicação de normas e procedimentos utilizados pela organização para esse fim”. Campos (2007) ainda destaca algumas medidas:
Grades, muros e portas: fazem um limite impedindo a presença de curiosos, onde essas grades ou muros devem possuir alarmes ou vigilância de guardas ou monitores de TV;
Guardas: estão sempre na entrada das organizações e em pontos 
considerados estratégicos controlando o acesso de entrada somente de pessoal autorizado. Seu trabalho é melhorado com a aplicação de tecnologias, como as câmeras e outros dispositivos;
Crachás: tanto funcionários como visitantes devem usá-los, porque assim poderão possuir acesso. Esse procedimento não envolve tecnologia, mas sim o cumprimento das políticas internas. Os crachás devem possuir poucas informações, evitando assinaturas e nível de acesso na organização. Os crachás devem possuir uma série única;
Sistemas com portas duplas: forçam as pessoas que entrarem na organização se identifiquem junto a um guarda, que fica na segunda porta. Esse procedimento é usado para prevenir a entrada de intrusos;
Controle de acesso biométricos: método de identificação mais evoluído atualmente. Possui identificação através de impressão digital, leitura da palma da mão, padrões de voz, etc., sendo o mais eficaz.
Há também outra importante medida a ser tomada envolvendo o controle do uso dos dispositivos móveis dentro das empresas, como por exemplo, pendrives, celulares, câmeras e notebooks.
Ferreira (2003, p.71)“um funcionário descontente pode realizar cópias das informações confidenciais em disquetes ou CD’s e os vender à concorrência”.
Ainda Ferreira (2003, p.129) afirma que “uma política formal deve ser adotada, levando-se em conta os riscos de trabalhar com tais recursos móveis, particularmente em ambientes desprotegidos”.
Hoje existem várias ferramentas usadas para esse tipo de controle nas empresas. Uma que vem ganhando o mercado é a ferramenta integrada EPO – MCAFEE (FIG 4). “A Plataforma McAfee ePolicy Orchestrator (ePO) é amplamente conhecida como o software de gerenciamento de Segurança mais avançado e flexível do mercado” (2003 - 2011 MCAFEE, Inc). Essa ferramenta oferece aos seus clientes Soluções de Segurança Líderes, dando a eles eficiência e reforço na proteção de seus recursos computacionais.
FIGURA 4 - Ferramenta integrada EPO – MCAFEE
Fonte: 2003 - 2011 MCAFEE, Inc.
2.8 Pessoas no processo de controle de acesso
Consoante Campos (2007, p.161):
As pessoas são o elemento central de um sistema de segurança da informação. Os incidentes de segurança da informação sempre envolvem pessoas, quer no lado das vulnerabilidades exploradas, quer no lado das ameaças que explorem essas vulnerabilidades.
Em razão disso, ainda Campos (2007), afirma que as pessoas executam os processos, por isso, geram e consomem as informações nesses processos. São elas que utilizam as tecnologias e os ambientes na organização.
Conforme Dias (2000), os incidentes mais frequentes de acesso não autorizado, perda de dados, invasões são provocados por pessoas contratadas pela própria organização.
Dias (2000, p.141) ainda afirma que “as políticas de seleção de pessoal devem ser definidas de tal maneira que a equipe seja composta de pessoas confiáveis, com nível técnico compatível com suas atividades e, de preferência, satisfeitas profissionalmente”. 
Na contratação de novos funcionários, normalmente são analisadas suas referências, incluindo empregos anteriores, formação profissional, experiência e ficha criminal. É recomendável instituir um acordo de confidencialidade (o funcionário não poderá revelar dados confidenciais da organização) e códigos de conduta (conflitos de interesse, contratação de parentes, recebimento de presentes, etc.). Os novos contratados devem ter conhecimento se suas responsabilidades e de seu papel na organização (DIAS 2000, p.142).
Dias (2000), ainda afirma que assim como existem políticas para contratação é importante também a existência de uma política para o desligamento ou afastamento dos funcionários, sendo o objetivo dessa política a proteção dos recursos computacionais e das informações contra funcionários insatisfeitos. 
Campos (2007, p.164) afirma que:
Todos precisam conhecer a política de segurança da informação, suas diretrizes, normas e entender os conceitos básicos de segurança, tais como o que são ativos da informação, vulnerabilidades, ameaças, controles e os elementos básicos de segurança a serem preservados: confidencialidade, integridade e disponibilidade. Dependendo das operações da organização, prestadores de serviço e até fornecedores poderão precisar de treinamento específico. 
Ramos (2006), completa afirmando que é importante ressaltar a responsabilidade de cada um quanto ao uso das informações na organização, uma vez que, alguns tenham contato com informações sigilosas e financeiras. Essas responsabilidades são trabalhadas dentro da organização com o objetivo de treiná-los, trazendo um padrão de segurança garantindo um bom trabalho para as pessoas, as quais são consideradas o elo mais fraco da organização.
2.9 Engenharia Social
Segundo Fontes (2006, p. 120), “chamamos de engenharia social o conjunto de procedimentos e ações que são utilizados para adquirir informações de uma organização ou de uma pessoa por meio de contatos falsos sem uso da força, do arrombamento físico ou de qualquer brutalidade”.
De acordo com Mitnick (2003, p.4):
À medida que os especialistas contribuem para o desenvolvimento contínuo de melhores tecnologias de segurança, tornando ainda mais difícil a exploração de vulnerabilidades técnicas, os ataques se voltarão cada vez mais para a exploração de elemento humano. Quebra a “firewall humana” quase sempre é fácil, não exige nenhum investimento além do custo de uma ligação telefônica e envolve um risco mínimo. 
“Os tecnologistas experientes têm desenvolvido soluções de segurança da informação para minimizar os riscos ligados ao uso dos computadores, mas mesmo assim deixaram de fora a vulnerabilidade mais significativa: o fator humano”. (MITNICK 2003, p.7).
Para Mitnick (2003, p.22), “grande parte das informações aparentemente inócuas de posse de uma empresa é cobiçada por atacante da engenharia social porque ela pode ter um papel vital em seu esforço de se revestir de credibilidade”.
De acordo com Mitnick (2003), os engenheiros sociais possuem uma ótima habilidade em lidar com as pessoas. Na maioria das vezes, eles são educados, compreensivos, mostram interesse sobre os assuntos e transmitem confiança e afinidade.
Ainda para Mitnick (2003), existem seis tendências usadas pelos engenheiros sociais para a manipulação das pessoas:
Autoridade: as pessoas têm a tendência de serem manipuladas a atender questões que são feitas por uma pessoa com autoridade;
Afabilidade: as pessoas têm a tendência de serem manipuladas a atender indivíduos que se faz interessadas nas suas crenças, hobby semelhantes aos da vítima;
Reciprocidade: as pessoas têm a tendência de atender a uma necessidade de alguns indivíduos quando algo lhe é oferecido em troca, como algo de valor ou até mesmo um conselho;
Consistência: as pessoas têm a tendência de fazer algum tipo de promessa as solicitações de alguém e buscar atendê-las com comprometimento;
Validação social: as pessoas têm a tendência de cooperar com outros indivíduos quando o assunto parece ser de confiança, passando informações confidenciais;
Escassez: as pessoas têm a tendência de acreditar na escassez de algum objeto e cooperam fornecendo informações confidenciais para consegui-lo.
Em razão disso Fontes (2006), afirma que todas as pessoas que desejam acessar determinadas informações da organização já têm seu acesso autorizado. Por isso, passar informações para alguém que diz ter esquecido a senha ou qualquer outra desculpa sem se identificar pode ser um erro fatal para a organização.
“Entretanto, o único meio verdadeiro efetivo de amenizar a ameaça da engenharia social é usar a conscientização para a segurança, combinada à política de segurança que definem as principais regras para o comportamento do empregado, junto com sua educação e treinamento” (MITNICK 2003, p.195).
2.10 Treinamento e conscientização em segurança da informação
A NBR ISO/IEC 17799� (2001, p.11) afirma que treinamento é “assegurar que os usuários estão cientes das ameaças e das preocupações de segurança da informação e estão equipados para apoiar a política de segurança da organização durante a execução normal do seu trabalho”.
Segundo Mitnick (2003, p.196): 
A consciência da segurança também significa educar todos sobre as políticas e os procedimentos de segurança da empresa. As políticas são regras necessárias para orientar o comportamento do empregado para que ele proteja os sistemas corporativos de informações e as informações confidenciais.
Campos (2007), afirma que todo funcionário da organização ou prestadores de serviços devem receber treinamento adequado sobre as normas e políticas de seguranças da mesma. 
O objetivo central de um programa de conscientização sobre a segurança é influenciar as pessoas para que elas mudem seu comportamento e suas atitudes motivando cada empregado a querer entrar no programa e fazer sua parte para proteger os ativos de informação da organização (MITNICK 2003, p.199). 
Portanto, esse programa de conscientização da segurança deve ser uma experiência interessante e interativa para todos os envolvidos.
Com tantastecnologias envolvidas, os funcionários da empresa acham que pelo fato de se ter um firewall e outras tecnologias de segurança, estão totalmente protegidos, mas na verdade eles são a principal ferramenta para que se tenha proteção total das informações da organização (MITNICK 2003).
Campos (2007, p.30), afirma que “para um programa de conscientização de segurança ser eficaz é necessário realizar seu planejamento, implementação, manutenção e avaliação periódica”. Ainda Campos (2007), pontua que esse programa possui as seguintes fases:
Identificação de escopo, metas e objetivos: tem por objetivo o treinamento de todos os funcionários da organização que usam os sistemas e informações valiosas. Devem-se estabelecer metas, para avaliar se o resultado foi alcançado;
Identificação dos instrutores: os profissionais do treinamento devem dominar o assunto, com técnicas eficazes de segurança, sabendo exemplificar as políticas;
Identificação do público-alvo: nem todos os funcionários da organização precisam do mesmo nível de treinamento, pois, cada um exerce uma atividade diferente;
Motivação dos funcionários e da Alta Administração: para o treinamento acontecer, é preciso que todos os funcionários estejam participando, inclusive o da alta administração, pois, tem voz ativa na organização;
Administração do programa: utilização de várias formas para a aplicação do treinamento, como por exemplo, didática;
Continuidade do programa: o programa de treinamento deve ser adequado a mudanças futuras na organização;
Avaliação do programa: avaliar os funcionários da organização após o treinamento, para observar se tudo ficou bem compreendido.
Para Mitnick (2003, p.199), “a empresa pode considerar que o programa está atingindo o seu objetivo final se todos que realizarem o treinamento estiverem convencidos e motivados por uma noção básica: a noção de que a segurança das informações faz parte do seu trabalho”.
�
3 EMPRESA AGROPÉU AGRO - INDUSTRIAL DE POMPÉU S/A
3.1 Dados Gerais
Razão social: Agropéu Agro - Industrial S/A	
Nome fantasia: Agropéu
Endereço: Rodovia MG 60 km 82
CNPJ: 16.617.789/0001-64
Forma jurídica: Sociedade Anônima Fechada	
Inscrição estadual: 52.031.692.800-26
Inscrição municipal: 003185
Número de empregados: 850
Segmento social: Destilaria de Álcool
Principais produtos/serviços: Álcool Anidro e Álcool Hidratado
Principais clientes: Petrobrás, Shell, Esso, Texaco, Ipiranga, Rede Ale, Rede Zema de Combustíveis.
3.2 Histórico
Agropéu Agro-Industrial de Pompéu S/A é uma empresa constituída por sociedade anônima de capital fechado, fundada em 11 de janeiro de 1981, por um grupo de empresários pompeanos, sendo pioneira no Brasil em produção de cana-de-açúcar no cerrado, exercendo como atividade principal a produção de álcool para fins carburante.
Foi criada para atingir os fundamentos do Pro álcool que, a partir do segundo choque econômico provocado pela crise do petróleo, ao apostar no álcool combustível como alternativa para diminuir a vulnerabilidade energética do país, almejava a substituição dos derivados de petróleo para amenizar a dependência econômica externa desse produto que, naquele momento, era o principal item da balança comercial brasileira. A partir de 1980, o apelo do álcool como combustível se deu por meio da geração de empregos, tornando-se em 1990 um produto estratégico, principalmente a partir a assinatura do protocolo de kioto.
Com a expansão e competitividade de seus funcionários, a empresa pretende a partir do final desse ano, começar a produção de açúcar. Essa produção é destinada para exportação, sendo apenas produzido o açúcar VHP�, mas com a intenção em um futuro próximo a produção de açúcar refinado/cristal.
3.2.1 Organograma (Anexo II)
3.3 Análise
3.3.1 Da Área
Este trabalho abrangerá toda empresa, no que se refere ao controle de acessos. Atualmente, o acesso físico às dependências da empresa é feito através de uma portaria comum onde se tem acesso livre. Para esse tipo de controle existem somente as câmeras próximas de onde os funcionários batem ponto. Com relação aos visitantes somente existe a preocupação com a segurança deles, através de uso de equipamentos, como capacete, abafadores de ouvidos, etc. A segurança noturna da empresa é feita através de ronda de um guarda noturno. Já o acesso lógico acontece através de um gerenciamento de senhas a partir da sua criação. Existe também um firewall e antivírus instalados em todas as máquinas da empresa.
3.4 Problema detectado
Observou-se, primeiramente, um acesso físico inadequado na empresa onde a portaria de entrada nem sempre tem a presença de porteiros e quando isso acontece, qualquer um entra sem dificuldades.
Citando como exemplo, é de costume, às vezes, escolas levarem seus alunos para visita à empresa. Não existe a preocupação de se colocar crachá de identificação nesses visitantes, somente os equipamentos tais como capacete, óculos, abafador de ruídos e sapatos baixos. 
Também foi observado que nem todos os funcionários da empresa usam uniformes e crachá de identificação.
A empresa já foi várias vezes alvo de furtos noturnos, pois, no pátio há vários equipamentos como, pneus, ferramentas, além de carretas, entre outros. A empresa possui aproximadamente 187.582 m², o que facilita a entradas dos ladrões, colocando em risco a própria vida do guarda noturno.
Já o controle de acesso lógico, os usuários não têm cuidado com o seu login e senha, saindo para outros fins deixando o computador ativo sem fazer o logoff. Já o compartilhamento de usuários e senhas entre os funcionários é pouco observado.
�
4 PROPOSTA DO ESTAGIÁRIO
 
Desenvolver e implantar uma Política de Segurança da Informação, bem como um controle de acesso físico e lógico na empresa, com medidas, procedimentos e regras a serem seguidas pelos usuários.
4.1 Objetivo Geral
Possibilitar um adequado controle de acesso às dependências da empresa bem como aos seus recursos computacionais.
4.2 Objetivos Específicos
Levantar situação atual;
Analisar conhecimento dos funcionários sobre Segurança da Informação;
Propor uma política de Segurança da Informação;
Aprovação e Divulgação.
�
5 METODOLOGIA
5.1 Conceito de Metodologia e Pesquisa
Para Fachin (2001, p.123):
Pesquisa é um procedimento intelectual para adquirir conhecimentos pela investigação de uma realidade e busca novas verdades sobre um fato (objeto, problema). Com base em métodos adequados e técnicas apropriadas, o pesquisador busca conhecimentos específicos, respostas ou soluções ao problema estudado.
A pesquisa surge então quando temos um problema e buscamos uma determinada solução para este, composto de análise e investigação de várias fontes de informação como o objetivo de adquirir conhecimento a partir de várias opiniões diferentes.
De acordo com Lakatos (2001) a pesquisa se divide em documental e bibliográfica. Sendo caracterizada como fonte primária, vinda dos próprios órgãos que fazem as observações e fonte secundária, documentos já publicados como livros e revista, respectivamente.
A pesquisa é um procedimento reflexivo, sistemático, controlado e crítico que permite descobrir novos fatos ou dados, soluções ou leis, em qualquer área do conhecimento. Dessa forma, a pesquisa é uma atividade voltada para a solução de problemas por meio dos processos do método cientifico (SANTOS, 1992, p. 49).
5.1 Caracterização da pesquisa
Para a realização de uma pesquisa, existem duas importantes abordagens. Aquela denominada de Quantitativa e a outra denominada de Qualitativa.
Uma pesquisa qualitativa tem:
Caráter exploratório, isto é, estimula os entrevistados a pensarem livremente sobre algum tema, objeto ou conceito. Mostra aspectos subjetivos e atingem motivações não explícitas, ou mesmo conscientes, de maneira espontânea. É utilizada quando se busca percepções e entendimento sobre a natureza geral de uma questão, abrindo espaçopara a interpretação. É uma pesquisa indutiva, isto é, o pesquisador desenvolve conceitos, idéias e entendimentos a partir de padrões encontrados nos dados, ao invés de coletar dados para comprovar teorias, hipóteses e modelos pré-concebidos. (DANTAS, CAVALCANTE, 2006, p. 2).
Já a pesquisa quantitativa “é mais adequada para apurar opiniões e atitudes explícitas e conscientes dos entrevistados, pois utiliza instrumentos estruturados (questionários)”. (DANTAS, CAVALCANTE, 2006, p. 2). Por isso, seus resultados são mais concretos e com menos possibilidades de erros. 
Em razão disso, este trabalho se define como uma pesquisa de natureza quantitativa e qualitativa, por permitir a coleta dos dados através de questionário, colhendo informações precisas e concretas, permitido a percepção e o entendimento do problema de forma objetiva.
5.2 Instrumentos utilizados
Como instrumento de pesquisa e coleta de dados foi utilizado um questionário (APÊNDICE B) em que foi possível medir o conhecimento e o nível de conhecimento dos funcionários da empresa Agropéu Agro – Industrial de Pompéu S/A sobre Segurança da Informação.
�
CRONOGRAMA
	
	 
 CRONOGRAMA DE DESENVOLVIMENTO
	
	Itens
	Atividades
	Meses
	
	
	Ago.
	Set.
	Out.
	Nov.
	Dez..
	
1
	Levantamento situação atual
	
	
	
	
	
	
	
	
	
	
	
	
	
2
	
Análise
	
	
	
	
	
	
	
	
	
	
	
	
	
3
	Proposta da PSI
	
	
	
	
	
	
	
	
	
	
	
	
	4
	Aprovação e Divulgação da PSI
	
	
	
	
	
	
	
	
	
	
	
	
Legenda
	Previsto
	
	Realizado
	
�
6 DESENVOLVIMENTO DAS ATIVIDADES
6.1 Levantamento da situação atual
Em reunião feita dia 19 de Agosto de 2011 (APÊNDICE A), juntamente com o setor de RH (Recursos Humanos) e T.I (Tecnologia da Informação), foram colhidas as seguintes informações: 850 funcionários trabalham hoje na Agropéu, mas apenas 80 funcionários fazem uso de informações presentes nas máquinas da empresa. Foram discutidos também os problemas envolvendo os controles de acessos físicos e lógicos.
Conforme estabelecido na reunião, em um momento posterior, buscou-se utilizar do instrumento de observação e obteve-se com indicadores de diagnóstico que, com relação ao acesso físico às dependências da empresas, que os funcionários possuem crachá, porém seu uso se dá somente para o controle da entrada e saída da empresa. Além disso, constatou-se que o fato de o porteiro conhecer o funcionário é requisito suficiente para que o colaborador tenha sua entrada liberada. No entanto, durante a ausência do porteiro do seu posto de trabalho não há, na maioria das vezes, um substituto. 
Observou-se também que o acesso físico de outras pessoas como clientes, fornecedores ou outra pessoa qualquer que queira entrar na organização é muito fácil. Basta simplesmente dizer com qual funcionário deseja falar e sua entrada é permitida sem qualquer bloqueio. Esses visitantes adentram para a empresa sem nenhum acompanhamento até a sala do funcionário, podendo se desviar para outros lugares, uma vez que, não possuem qualquer identificação. E desta forma, podem ter acesso a toda empresa.
A empresa possui uma extensão de 187.582 m², e observou-se a existência de câmeras apenas na entrada, onde os funcionários registram o ponto de entrada e saída.
Com relação ao Centro de Processamento de Dados (CPD), observou-se que estrategicamente fica localizado em uma área da empresa não muito restrita. O acesso a esse importante local da empresa se dá de maneira inadequada. Os responsáveis pela T.I possuem uma chave para destrancar uma porta onde ficam localizados os servidores da empresa, local de trabalho dos mesmos, ou seja, o CPD. Essa porta é aberta pela manhã e permanece até o término do expediente. Os funcionários para terem acesso ao CPD é preciso simplesmente bater na porta e empurrar. Mas, é obrigatório que sempre um dos dois responsáveis pela T.I esteja no CPD, para a entrada dos outros funcionários, se não pelo contrário, devem trancar a porta antes de ambos se ausentarem, o que às vezes não acontece.
Com relação aos recursos computacionais, observou-se que a empresa possui três servidores localizados na sala de T.I. Um desses servidores é da marca IBM (International Business Machines) e possui o sistema operacional Windows Server 2003. Nele está contido o antivírus da rede, os programas de instalação em geral da empresa, como por exemplo, Office (Word, Excel), etc. Nesse servidor também é usado a ferramenta administrativa Active Directory User and Computers, na qual há toda a estrutura organizacional da empresa. Sua utilização é para adicionar e gerenciar todos os usuários, dando a cada um o acesso às informações de sua necessidade. Quando o usuário é adicionado à rede, seu usuário é seu primeiro nome e sua senha é colocada pelo responsável da área de T.I. Essa senha é padrão para todos os usuários inseridos, sendo que, quando o usuário fazer o seu primeiro login, sua senha deve ser mudada imediatamente. Essa não deve ser de fácil dedução, ou seja, não pode ser colocada parte de seu nome, data de aniversário, por exemplo, e deve ser constituída por letras minúsculas e maiúsculas e com números de tamanho superior a cinco caracteres no máximo oito. Caso exista pessoa com o mesmo nome, é colocado o primeiro nome e o sobrenome.
O outro servidor é um Dell e nele possui também instalado o sistema operacional Windows Server 2003. Nesse servidor está instalado o banco de dados, SQL Server 2005 e, um ERP administrativo e agrícola integrados, da Sênior Sistema, onde se encontram todas as informações da empresa. 
O terceiro servidor também é um Dell, mas este possui o sistema operacional Linux. Esse servidor é usado apenas como servidor de internet. Ele possui o programa Titan Firewall� para gerenciamento dos usuários quanto ao acesso da internet na empresa.
É disponibilizado a todos os funcionários da empresa, sem qualquer restrição, uma pasta de fotos e uma de música. A pasta de fotos possui imagens da empresa e a de músicas possui mídias para evitar que os funcionários levarem algum tipo de aparelho de reprodução de mídias.
Como foi dito anteriormente, todo funcionário da empresa possui um login e senha. Essa senha deve ser trocada, pelo menos, uma vez a cada trinta dias não podendo ser de fácil dedução. No entanto observou-se que, muitos funcionários além de criarem senhas fáceis, anotam-nas ao lado da máquina.
O compartilhamento de login e senha entre os funcionários não foi muito observado. Mas o esquecimento dos computadores em aberto notou-se ser bastante comum, principalmente quando saem para fazer um pequeno lanche.
A fim de agregar um valor a observação feita, a próxima tarefa executada pela estagiária foi à aplicação de um questionário (APÊNDICE B), contendo 20 questões de múltipla escolha com o objetivo de se avaliar o nível de conhecimento dos funcionários sobre o tema Segurança da Informação. Os funcionários tiveram a liberdade de responder as questões conforme o seu entendimento sobre o assunto, sem qualquer influência e não precisariam se identificar, ficando assim mais à vontade. O questionário foi entregue aproximadamente a 80 funcionários da empresa no dia 22 de Agosto de 2011 e recolhido nos dias 25 e 26 de Agosto de 2011. 
6.2 Análise do nível de conhecimento dos funcionários
Após o recolhimento do questionário, dos 80 funcionários que participaram, mais da metade deles (78%) colaboraram entregando-o devidamente respondido na data prevista. Abaixo segue o resultado dos dados colhidos.
A primeira pergunta feita aos funcionários visou levantar a existência de controle de acesso físico às dependências da empresa (catraca ou até mesmo uma pessoa vigilante, por exemplo). Todos (100%) responderam afirmando que há controle de acesso à empresa. Cabe lembrar, no entanto, conforme relatado no item anterior, que o vigilante se ausenta muitas vezes ao dia.
Ainda visando o controle de acesso físico na organização, atravésda segunda pergunta, foi questionado ao funcionário se ele utiliza alguma identificação para entrar na empresa (crachá por exemplo); pouco mais da metade (55%) respondeu negativamente. Um número bastante significativo para uma empresa do porte da Agropéu. Em observação note-se que a falta de utilização de identificação específica para os funcionários da empresa, gera entrada de pessoas não autorizadas, uma vez que, como já citado anteriormente, o vigilante da empresa se ausenta do seu posto muitas vezes ao dia. 
Levando em consideração a visita de pessoas externas (visitantes, fornecedores ou clientes), foi perguntado aos funcionários, através da pergunta de número três, se eles sabiam de algum controle de identificação para essas pessoas entrarem na empresa (crachá, por exemplo); 
A grande maioria deles (81%) respondeu que não são utilizadas quaisquer identificações para terceiros. O resultado corrobora com a observação feita anteriormente, ou seja, de que as pessoas que entram na empresa poderão ter livre acesso as suas dependências.
Dias (2000) revela que é necessário um adequado controle de acesso físico para bloquear o acesso de pessoas não autorizadas e impedir danos à parte de infraestrutura da empresa. Mesmo funcionários precisam ser adequadamente identificados na portaria da empresa. Até o presente instante o resultado e a observação obtidos demonstraram exatamente o contrário, ressaltando o risco que a empresa corre em não dar atenção devida a esse tipo de controle.
A pergunta número quatro questionou se os funcionários da empresa recebem orientação quanto à questão de identificação (crachá por exemplo). Todos (100%) responderam afirmativamente. Essa resposta contradiz a observação feita pela estagiária, no comportamento dos funcionários, bem como nas respostas anteriormente dadas por eles ao questionário. O que se pode deduzir é que, provavelmente esta possível orientação feita tornou-se ineficiente. Se são orientados, parece não serem cobrados, fiscalizados.
A pergunta de número cinco estabeleceu, a partir da opinião dos funcionários, a importância da utilização de identificação para acesso físico às dependências da empresa. Ficou claro, como pode ser visto no Gráfico 1 que, a maior parte dos colaboradores (94%) manifesta favoravelmente à necessidade dessa política de controle de acesso físico.
GRÁFICO 1 - Qual a sua opinião sobre a necessidade de se controlar o acesso de pessoas as dependências da empresa?
Fonte: Dados da Pesquisa, 2011
Esse resultado aponta uma questão facilitadora para o momento da definição e implantação de um adequado controle de acesso físico na empresa. 
As quatro perguntas seguintes buscaram saber sobre a utilização de recursos computacionais da empresa e como o acesso aos mesmos é tratado.
 Todos os funcionários da empresa (100%) responderam, na questão seis, que fazem uso de algum tipo de recurso nos computadores. 
Na questão sete, todos (100%) responderam que possuem identificação através de login e senha.
Na questão oito, colheu-se como resposta que 90% dos entrevistados alteram suas senhas pelo menos uma vez por mês, e os outros 10% pelo menos uma vez a cada dois meses. (GRÁFICO 2).
A questão nove observou-se que todos (100%) responderam que sua senha é formada por letras e números com tamanho superior a cinco caracteres.
GRÁFICO 2 - Se você tem essa “identificação e senha” com que frequência você altera sua senha? Fonte: Dados da Pesquisa, 2011.
 
A pergunta de número dez questionou se os funcionários da empresa se ausentavam de seus postos de trabalho, deixando o computador ativo e desbloqueado, tendo em vista que os computadores não possuem bloqueio automático após algum tempo ocioso. Mais da metade dos funcionários (68%) responderam que sim.
As duas próximas perguntas foram elaboradas para verificar o compartilhamento de login e senha pelos funcionários. Ficou claro que isso não é uma prática muito comum entre os respondentes. Na questão onze, 20% responderam que fazem compartilhamento, que empresta seu login e senha para terceiros.
Na questão doze, apenas 15% responderam que praticam o compartilhamento, ou seja, que utiliza login e senha de terceiros. Embora seja um percentual baixo, o ideal, para evitar perda de segurança das informações contidas nos computadores – seria que esta prática fosse abolida.
Na décima terceira pergunta, questionou-se sobre recomendações e penalidades pelo mau uso dos recursos computacionais. Os respondentes, em sua totalidade (100%), relataram a existência dessas orientações. Entretanto, em anotações dos próprios funcionários, foi constatado que estas práticas são ineficientes, levando os funcionários a utilizar tais recursos para fins pessoais ou não aceitos dentro da empresa, na certeza de que não haverá nenhum tipo de punição quando do ocorrido.
A pergunta quatorze buscou saber a opinião deles sobre a necessidade da utilização de login e senhas nos computadores da empresa para acesso a seus recursos. Todos os funcionários (100%) afirmaram que existe sim a necessidade de controlar o acesso dos recurso computacionais através de login e senha, o que vem ao encontro do que vem sendo praticado dentro da organização.
GRÁFICO 3 - Qual a sua opinião sobre a necessidade de se controlar acesso aos recursos computacionais da empresa, através de identificação (login) e senha? 
Fonte: Dados da Pesquisa, 2011.
Dias (2000), relata que os controles de acessos lógicos são medidas e regras utilizadas para impedir o acesso a usuários não autorizados aos recursos computacionais da empresa. Levando em consideração o resultado e a observação feita até o presente momento, todos acham necessário esse controle, mas, isso não é feito pelos próprios funcionários da empresa, podendo está prática levar a organização perder informações valiosas para o mercado.
O último grupo de questões, constituído de seis perguntas que busca determinar o conhecimento dos funcionários sobre conceitos que envolvem segurança da informação. 
A primeira foi a pergunta quinze que inquiriu os respondentes sobre o significado do termo segurança da informação, onde foi percebido que a maior parte (85%) dos funcionários da organização não tem conhecimento sobre o assunto.
A pergunta de número dezesseis questionou se o respondente era sabedor se a empresa possuía uma política de segurança da informação. Foi respondido pela maior parte deles (81%) não terem conhecimento deste fato.
A informação, é o elemento mais valioso que uma empresa possui, por isso, deve ser preotegida de qualquer ameça. Em síntese, a informação é o sangue da organização, pois, representa a diferença competitiva dos negócios, sendo um ativo fundamental na empresa. Nos dias atuais toda e qualquer organização depende fortemente de informações confiáveis para sua tomadas de decisão (SÊMOLA, 2003).
Ainda Sêmola (2003), relata que para essa proteção existem as políticas de segurança da informação (PSI), que têm por objetivo seguir regras e padrões de políticas adotadas pela organização, descrevendo a maneira de preservar, proteger, controlar as informações de ameaças, ataques, usuários não autorizadas e diminuir as ameaças que explorem as vulnerabilidades aos ativos da mesma. 
O resultado mostra que, muito mais da metade dos funcionários não fazem uso de nenhuma política de segurança da informação, colocando em risco as informações da empresa. Além disso, desconhecem conceitos básicos para que possam de alguma forma, estarem colaborando de forma eficaz no controle do acesso a informação da empresa.
A pergunta seguinte, a de número dezesete, buscou saber se os funcionários assinaram algum termo de resposabilidade ou confidencialidade sobre as informações existentes na empresa. Praticamente todos, (98%) dos respondentes respondeu que não houve este tipo preocupação, o que leva à conclusão de que apesar dos funcionários usufruirem das informações da empresa, não possuem um documento formal que prove isso ou que assegure à empresa que estas informaçõeslhe pertencem. 
Para Dias (2000), é indispensável possuir um acordo de confidencialidade entre o funcionário e empresa, impedindo-o de revelar informações confidenciais para terceiros.
Foi questionada na pergunta seguinte se os funcionários tinham algum conhecimento sobre o termo engenharia social, onde o resultado apresentou que, 84% dos entrevistados não possuem esse conhecimento e 16% afirmaram que se instruíram sobre o assunto fora das dependências da empresa. E como podemos notar no Gráfico 3, não foi relatado por nenhum entrevistado que a empresa tenha instruído seus funcionários sobre o assunto.
As pessoas são o elemento central de um controle de segurança da informação. Mas com tantas tecnologias envolvidas, os funcionários acham que estão totalmente protegidos de qualquer ameaça. Sendo que a maioria dos incidentes ocorridos na segurança da informação, as pessoas estão envolvidas. Os funcionários devem perceber que eles são as ferramentas principais para essa proteção e fazer isso parte do seu trabalho. (MITNICK 2003).
GRÁFICO 4 - Você sabe o significado do termo “Engenharia Social”? 
Fonte: Dados da Pesquisa, 2011.
Na pergunta número dezenove questionou se os funcionários se achavam responsáveis por algum tipo de informação da empresa, onde obteve-se resposta afirmativa para a totalidade dos respondentes (100%).
Na pergunta de número vinte, os funcionários responderam se lidavam com algum sistema de gerenciamento de informações empresariais (folha de pagamento, controle financeiro, informações sobre fornecedores, informações sobre clientes, etc), o que também teve totalidade (100%) de respostas positivas.
Hoje a maior parte dos funcionários que lidam com algum tipo de informação na empresa, pode-se considerar totalmente resposável por esta. Ela pode ser insignficante para você, mas nas mãos de outra pessoa pode tornar uma informação valiosa. Por isso, Dias (2000), afirma que na contratação de funcionários deve existir uma política de seleção, para que a equipe seja composta por pessoas confiávies, analisando suas referências profissionais, formação e até mesmo ficha criminal.
Apesar de durante a observação feita, de que o controle de acesso lógico é relativamente adequado em seu controle, e, através das respostas dos questionários devolvidos, obter-se como resultado um comportamento também relativamente desejável, somos levados a inferir, mais uma vez diante das observações e do resultado das respostas, que falta na empresa um eficiente programa de comunicação aos funcionários quanto ao adequado procedimento destes com relação, tanto com relação a acesso físico quanto a acesso lógico. Mesmo assim, para que alcance a eficiência desejada em um programa desse tipo, é necessário que, primeiramente, regras estejam claramente definidas, estabelecidas, implantadas.
6.3 Proposta de uma Política de Segurança para acesso físico e lógico
Em razão disso, diante das possíveis vulnerabilidades encontradas, tanto na observação quanto na análise do resultado da pesquisa, bem como tomando por referência Dias (2000), Sêmola (2003) e Ramos (2006), torna-se necessário a definição e aplicação de regras rígidas e claras quanto ao adequado procedimento no acesso e uso da informação da empresa. Para isso, é fator primordial que seja definida uma Política de Segurança da Informação (PSI) que contemple aspectos relacionados aos controles de acesso físico e lógico.
O objetivo desta política é orientar todos os funcionários da empresa Agropéu, através das diretrizes estabelecidas, os procedimentos de continuidade do negócio da empresa e ações que garantam a integridade, confidencialidade e disponibilidade das informações e a proteção dos recursos computacionais da empresa.
6.3.1 Discussão das Diretrizes
Neste momento do trabalho, a fim de se estabelecer um caminho para a definição da PSI a ser adotada pela empresa, primeiramente foi traçado um norteamento quanto ao processo de controle de acessos físico e lógico na empresa, que em linhas gerais assim se estabeleceu:
Para o controle do acesso físico definiu-se que ‘todo e qualquer indivíduo (funcionário, visitante, fornecedor, cliente) deve ser devidamente identificado para entrar nas dependências da empresa, permanecendo com a identificação em qualquer um dos seus pontos físicos. O acesso físico deve ser controlado e orientado, de maneira a disciplinar a movimentação e circulação de pessoas, materiais, equipamentos e veículos’.
Para o controle do acesso lógico definiu-se que ‘todo e qualquer acesso aos recursos computacionais deve ser feito através de procedimento de identificação e autenticação (login e senha) individualizado. As informações que trafegam no ambiente de rede devem ter garantidas a confidencialidade, a integridade e a disponibilidade’.
Para tanto, no dia 13 de Outubro de 2011, realizou-se nova reunião (APÊNDICE C) com a direção da empresa com o objetivo de apresentar, portanto, a proposta da Política de Segurança da Informação para a empresa (APÊNDICE D).
A proposta então foi aceita pela direção da empresa.
6.3.2 Definição das Normas
De acordo com Ramos (2006) normas são as escolhas tecnológicas para alcançar as diretrizes definidas. 
Portanto, neste trabalho, para norma que atendesse a diretriz estabelecida para o processo de controle de acesso físico, apontou-se as seguintes possibilidades:
Instalação de catraca com leitura de cartão;
Uso somente do crachá com vigilante na portaria;
Instalação de Controle biométrico;
	Opções/Normas
	Custo
	Vantagens
	Limitações
	1. Catraca com leitura de cartão
	Entre 4.100,00 a 4.800,00
	- bom desempenho;
- software para gerenciamento;
	- funcionário esquecer cartão;
- alto custo;
- cabeamentos;
	2. Somente crachá com vigilante
	Não fornecido
	- baixo custo;
	- funcionário esquecer o crachá;
- ausência do vigilante no posto de trabalho;
	3. Controle biométrico
	Entre 4.100,00 a 6.200,00
	- melhor desempenho;
- relatórios detalhados;
- software para gerenciamento;
	- alto custo;
- treinamento;
- cabeamentos;
TABELA 3 - Normas para atender as diretrizes.
Fonte: Dados da Pesquisa, 2011.
Para adquirir as informações de custo e características das opções acima, entrou-se em contato com dois fornecedores diferentes no mercado. Para atender a opção um e três, o fornecedor TopData, localizado na cidade de Sete Lagoas, ofereceu na proposta comercial dois modelos diferentes: a catraca Top Net Barras, incluso instalação e programação, com o valor de 4.100,00 (unidade); e a catraca Revolution Blak Net Barras incluso instalação e programação, com valor de 4.800,00 (unidade). 
Os dois produtos possuem o Software de configuração Gerenciador de Inners�, e possuem os possíveis tipos de leitores (depende da necessidade):
Leitor para cartões com código de barras;
Leitor para cartões magnéticos;
Leitor para cartões de proximidade;
Biometria + leitor (qualquer opção acima).
O tipo de comunicação para os produtos oferecidos são Ethernet 10/100 Mbps (TCP/IP) e os braços dos mesmos podem ser fixo (modelo padrão) ou articulado.
Esses produtos também possuem leds de sinalização nas cores verde e vermelho para indicação de catraca liberada ou bloqueada; lista para controle de acesso dos usuários de acordo com os horários configurados - até 15.000 usuários; capacidade de armazenamento de até 16.000 registros; permite o cadastro de duas impressões digitais por usuário (para biometria); permite que os arquivos das impressões digitais sejam armazenados em uma base de dados e enviados para outros equipamentos (para biometria), etc.
Mas para o uso desses equipamentos, tanto para a catraca Top Net Barras, como para a catraca Revolution Blak Net Barras, é preciso a licença Software TopAcesso (licença para até 04 equipamentos), sendo seu custo de 1.700,00. Esse software é um sistema de controle de acesso a ambientes dentro de estabelecimentos corporativos, industrias, instituições financeiras,