Gestão de Segurança da Informação

Prévia do material em texto

- -1
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
UNIDADE 2 – POLÍTICAS DE SEGURANÇA DA 
INFORMAÇÃO
Halley Wesley Alexandre Silva Gondim
- -2
Introdução
Em um ambiente organizacional, é preciso traçar ações estratégicas para definir o futuro da empresa frente ao
mercado. A partir dos objetivos almejados, deve-se definir um planejamento eficiente a fim de atingi-los.
Entretanto, toda a organização deve trabalhar como se fosse um único organismo em plena sinergia, dos níveis
mais altos (alta gestão) até o mais baixo, o nível operacional (execução). Em meio a esse trabalho, torna-se
importante definir um processo de negócio para identificar gargalos e atividades desnecessárias em todos os
serviços da organização.
Da mesma forma, a Segurança da Informação deve seguir as ações estratégicas definidas na alta gestão, criando
um planejamento para dar suporte a tais objetivos (Planejamento estratégico de TI – PETI). Ao longo do
processo, existe a definição de políticas de segurança de modo a garantir a proteção dos ativos, como as
informações.
Ao longo desta unidade, vamos explorar políticas tanto lógicas (autenticação com senha) quanto físicas
(organização cercada com muros e seguranças) e, por fim, ambientais (eventos da natureza, inundações, fogo
etc). Caso queira mais informações sobre o alinhamento da TI com a instituição, uma boa fonte de pesquisa é a
ITIL ( – Biblioteca de Infraestrutura de Tecnologia daInformation Technology Infrastructure Library
Informação). Dentre as suas melhores práticas, podemos citar a (gerenciamento deSecurity Management
segurança).
Da mesma forma que as empresas projetam como querem estar no futuro, você planeja a sua vida? Aonde você
quer chegar? Quais planos você tem para médio e longo prazo? Que tipo de ações toma diariamente para que
esses planos, mesmo que longínquos, possam se realizar? À medida que o tempo passa, você consegue replanejar
seu futuro?
Questões como essas são bastante difíceis de se responder. Elas também o são para uma organização, que possui
concorrentes e diversos trabalhadores. Vamos conhecer subsídios para respondê-las ao longo da unidade. Bons
estudos!
2.1 Políticas de Segurança Lógica
Independentemente de estarmos à frente de uma organização ou de nosso próprio cotidiano, sempre nos
deparamos com alguma barreira lógica para termos acesso ao serviço desejado. Por exemplo, digitar senhas em
caixa eletrônico, acessar e-mails, realizar compras on-line etc. A Segurança da Informação (SI), além de criar
barreiras físicas, também desenvolve maneiras de barrar logicamente pessoas e sistemas não autorizados
(HINTZBERGEN et al, 2018).
O controle de acesso é basicamente dividido em quatro partes. Cada uma ficará responsável por uma etapa do
processo de acesso. São elas:
Autorização Quem pode acessar os serviços.
Identificação Forma de distinguir um usuário dentre os demais.
Autenticação Por meio da identificação, verifica-se se o usuário tem acesso ao sistema.
Responsabilização Mudanças realizadas por usuários são registradas.
Basicamente, o processo é dividido em duas fases. A primeira é a : estabelece quaisdefinição de política
usuários podem ter acesso e quais sistemas e recursos podem utilizar. A autorização é definida nesta parte. Já a
segunda fase, , concede ou rejeita solicitações de acesso com base na fase anterior. Aimposição de política
- -3
usuários podem ter acesso e quais sistemas e recursos podem utilizar. A autorização é definida nesta parte. Já a
segunda fase, , concede ou rejeita solicitações de acesso com base na fase anterior. Aimposição de política
identificação, a autenticação e a responsabilização são etapas dessa fase. (HINTZBERGEN et al, 2018)
Uma deve girar em torno de quatro elementos: usuários (pessoas que utilizam opolítica de acesso lógico
sistema), recursos (objetos que possuem proteção no sistema e que somente pessoas autorizadas podem
acessar), ações (que tipo de atividades os usuários fazem com os recursos) e relacionamentos (condições
opcionais entre usuário e o recurso: leitura, escrita, execução, entre outros).
A definição de uma política de autorização gira em torno de decidir quem tem acesso aos recursos e à rede. A fim
de facilitar a definição de acesso, pode-se agrupar os usuários e configurá-los de acordo com suas características
ou autoridades. Podemos, assim, definir tais regras com a mesma função ou em casos mais específicos, como
nível de autoridade da organização. Como exemplo, todos os analistas de sistemas poderão ter acesso aos
servidores e ao banco de desenvolvimento. (HINTZBERGEN et al, 2018)
Com base nessa política, o próximo passo é identificar o usuário em si. Para isso, é possível utilizar biometria,
cartões, chips, DNA, caligrafia, odor, sensores, senhas. A preocupação dessa etapa é conseguir distinguir um
usuário do outro de forma rápida e precisa. Uma vez identificado, pode-se monitorar e rastrear todas as suas
ações nos sistemas de uma organização (GOODRICH; TAMASSIA, 2013).
Definidas as políticas de autorização e as formas de identificação, o próximo passo é a definição da autenticação.
Nesse momento, o usuário terá que validar ou provar a sua identidade fornecida anteriormente. Basicamente, há
três tipos de autenticação (HINTZBERGEN et al, 2018):
• Baseada em conhecimento
Demanda a memorização, como de uma senha. Das três formas de se autenticar, essa é a mais antiga e a
mais utilizada. Sua desvantagem é que há a necessidade de se decorar alguma coisa. Além disso, a
definição equivocada da senha pode gerar uma brecha para que agentes ameaçadores se passem pela
VOCÊ QUER LER?
Além da ITIL, existe uma cultura que vem ganhando bastante espaço ultimamente. É o DevOps
(Junção de desenvolvimento com operação/infraestrutura) – em especial, o SecDevOps, que
visa garantir a segurança do ambiente de negócio de forma mais ágil e menos burocrática.
(KIM, 2018; RED HAT, 2018). Acesse o link que você vai curtir <https://www.redhat.com/pt-br
>./topics/devops/what-is-devsecops/
VOCÊ QUER VER?
Apesar de ser uma série um pouco antiga, mostra a realidade de umThe IT Crowd
departamento de TI com sérios problemas estruturais e de relacionamentos. Ao longo da 
 (comédia de situação), é possível observar a grande dificuldade que é manter umsitcom
departamento à beira do caos. A série britânicateve início em 2006 e conta, no elenco, com
Richard Ayoade e Chris O’Dowd.
•
- -4
definição equivocada da senha pode gerar uma brecha para que agentes ameaçadores se passem pela
pessoa em questão. Por exemplo, a senha é antiga, muito curta ou bastante óbvia, como a data de
aniversário. Ataques de força bruta podem facilmente quebrar a senha de um usuário. Para isso, outras
estratégias são anexadas, como definição de limite máximo de erros (como três), a utilização de
temporizadores no caso de vários erros seguidos (aguardar por uma hora) ou de outras tecnologias
como o (gera números por meio de imagens para barrar códigos automáticos) (KIM;recaptcha
SOLOMON, 2014). Uma boa dica para a definição de senhas seguras é se valer de palavras desconhecidas,
letras maiúsculas e minúsculas, números, caracteres especiais, em uma sequência de no mínimo 8
caracteres (SCHETINA; GREEN; CARLSON, 2002; HINTZBERGEN et al, 2018). Caso não lembre da senha,
deve-se permitir ao usuário que solicite uma senha provisória, para que posteriormente a altere no
prazo máximo de 48 horas.
• Baseada em propriedade
Algo que o usuário tenha posse, como um crachá. Nessa estratégia, a pessoa sempre terá que carregar
consigo o elemento que a identifique. Caso o perca ou o esqueça, terá que pedir autorização para entrar
na organização (SÊMOLA, 2014). A falha na autenticação baseada em propriedade é que se pode clonar
algum documento e passar-se por outra pessoa (BEAL, 2008). Um exemplo de dispositivo é o token, que
pode ser um aparelho (semelhante a um com visor) ou emulado em algum aplicativo (celular).pen-drive
Atualmente, é muito comum a autenticação em duas etapas, na qual o usuário entra em um site com seu
usuário e senha eposteriormente fornece o número gerado pelo .token
• Baseado em características
Algo que seja unicamente do usuário, como uma digital. Para se autenticar, ele terá que fornecer alguma
característica física ou lógica. Basicamente, esta autenticação se divide em duas categorias:
• Estática: quando não existe a necessidade de se executar uma ação. Usa-se simplesmente algum sensor
para realizar a leitura física, como impressão digital, leitura de retina e íris, geometria da palma da mão
etc. A sua vantagem é que o usuário não necessita decorar uma senha, nem levar consigo nenhum tipo de
dispositivo.
• Dinâmico: exige a ação do usuário para colher alguma característica. Por exemplo, o padrão de desenho
para desbloqueio do celular, assinatura, leitura de movimento corporal etc.
Para se usar qualquer autenticação por características, deve-se levar em consideração três itens. O primeiro
deles é a precisão. É preciso utilizar equipamentos que não causem distorções na leitura. Caso isso ocorra, pode-
se ter falsa rejeição e falsa aceitação. O segundo item é a aceitação. Nem todos os usuários estão dispostos a
passar pela autenticação. Por exemplo, a leitura de retina pode não ser bem vista por parte das pessoas, pois
imaginam que o equipamento de leitura possa danificar a visão. Por último, há o tempo de reação. O
•
•
VOCÊ SABIA?
As maiores empresas de antivírus do mundo lançam, anualmente, informações sobre as
possíveis tendências de ataque, bem como as estatísticas dos principais tipos ocorridos no ano
em questão. Com isso, é possível ter uma ideia de como é a dinâmica do problema na
Segurança da Informação, uma vez que a cada ano novos tipos de ataques surgem e outros
deixam de existir (AVAST, 2019; MCAFFE, 2018; SYMANTEC, 2018).
- -5
imaginam que o equipamento de leitura possa danificar a visão. Por último, há o tempo de reação. O
processamento da autenticação deve rápido, pois, caso demore, poderá se tornar inviável. Pense no sistema
biométrico de um aeroporto, por onde passam milhares de pessoas diariamente, com o tempo de resposta médio
de 5min.
Existem diferentes tipos de biometria. Dentre os mais conhecidos, podemos destacar: impressão digital,
impressão da palma da mão, geometria da mão (pouco precisa), varredura de retina (imprecisão em casos de 
diabetes, grávidas ou problemas cardíacos), varredura da íris (observam padrões e imperfeições, como estrias e 
deformidades), reconhecimento do rosto (apesar de bem aceito, é possível burlar alguns sistemas por meio de
fotos ou características parecidas. Pode-se obter 80 tipos diferentes de características para esse tipo de
autenticação. Deve-se lembrar que o reconhecimento deve ser feito do mesmo ângulo que foi inserido no
sistema).
Outro exemplo é reconhecimento por padrão de voz, observando tons e vibrações. Com esse tipo de
reconhecimento, é possível medir 7 parâmetros diferentes. Mais um tipo é o reconhecimento por padrões. Tem
biometria dinâmica e visa realizar uma série de medidas sobre direção de desenho, pressão, tipo de traçado na
tela, entre outros. Um exemplo são as assinaturas digitais, com tablets ou canetas digitais. A vantagem da sua
biometria é que se exige a presença do usuário para a autenticação, dificultando a falsificação. Esse tipo de
recurso pode ter limitações, em comparação a pessoas com deficiências físicas/motoras. Alguns equipamentos
de leitura biométrica possuem preços acessíveis. (HINTZBERGEN et al, 2018)
Atualmente, inúmeros serviços podem ser encontrados na internet: sites de compras, cursos, jornais, revistas,
bibliotecas etc. Para cada um desses serviços, são exigidas senhas diferentes. Há o risco de se criar uma única
senha, algo totalmente desaconselhável. Todavia, existe um recurso chamado no qual o usuárioSingle Sing-On
pode se autenticar em um local e ter acesso a todos os serviços/sistemas que possui permissão. Um bom
exemplo disso é o Google: ao se autenticar, por exemplo, no e-mail, você terá acesso a todos os outros recursos,
como drive, fotos etc.
Depois das três primeiras etapas de controle de acesso – autorização, identificação e autenticação – vem a
responsabilização. Esse tipo de recurso permite que se investigue/audite os usuários responsáveis por
alterações no sistema e nos dados. Geralmente, pode-se imprimir essas informações em arquivos de ou atélog
em banco de dados, registrando cada ação (HINTZBERGEN et al, 2018). Por exemplo, na linguagem Java, pode-se
utilizar interceptadores para observar cada tipo de requisição.
Há amplo controle sobre o usuário no acesso às informações de uma organização. Entretanto, muitas empresas
acabam não se preocupando com o descarte das informações. Uma ação bem comum é jogar fora relatórios e
documentos oficiais diretamente na lixeira. Em se tratando de espionagem industrial, é uma ótima fonte de
recursos, bem como o descarte de HDs, fitas ou qualquer outro meio magnético. Deve-se definir, como parte da
SI, políticas de picotagem de papel e desmagnetização de aparelhos magnéticos.
Infelizmente, aplicar todos esses conceitos e definir uma política adequada para a organização não é garantia de
segurança total – mas são formas de amenizar ataques de agentes ameaçadores. Entretanto, para se ter ideia de
como o universo de ataques é milionário, existe um termo chamado de (caçadores de erros e falhas)bughunters
VAMOS PRATICAR?
O que acha de listar os diferentes tipos de biometria a que você já teve acesso? Quais você se
sente mais à vontade e quais você se sente mais desconfortável? Por fim, liste a quantidade de
serviços que você possui com suporte à entrada de senhas. Você possui uma senha única? Que
tal dar mais segurança criando diferentes senhas com combinações de números, letras e
caracteres especiais?
- -6
como o universo de ataques é milionário, existe um termo chamado de (caçadores de erros e falhas)bughunters
em softwares e aplicativos. Uma vez encontrada a falha em algum sistema, essa é oferecida a empresas que
trabalham com espionagem ou outras finalidades. Quanto mais conhecido é o software/aplicativo, mais caro é a
falha. Um exemplo desse tipo de ferramenta é o software Pegasus. Seu objetivo é espionar qualquer pessoa por
meio do aparelho celular. A sua infecção se dá sem a interação do proprietário: se você receber uma mensagem
de texto, ou alguma foto, áudio de aplicativos de rede social, mesmo que não efetuando o download, você já está
infectado. Uma vez infectado, pode-se ter acesso a todo o aparelho, como arquivos, microfone e câmeras. (SNOW,
2017)
Outros exemplos de ameaça podem ser (clique para ler):
Acesso físico
Mesmo com o controle lógico muito forte, caso um agente ameaçador entre fisicamente na
sala de servidor, por exemplo, de nada adiantará, pois ele poderá inserir um vírus/espião
diretamente por uma entrada.
Interceptação
p o r
observação
Muitas pessoas não imaginam o quão crítico é passar informações importantes sem
perceber, como ao escrever alguma senha ou configuração de estratégia em um quadro
que esteja disponível e visível a qualquer pessoa que adentrar na organização.
Contornando
a segurança
Espera-se sempre um ataque via internet. Entretanto, pode-se conseguir o acesso às
informações de diversas outras formas.
Acesso de
redes
Em sua grande maioria, as organizações habilitam conectores de rede em vários locais. Em
se tratando de um agente ameaçador, ele poderá se conectar à rede e acessar/roubar
/danificar as informações de uma organização.
Assim, frente às variadas ameaças, a combinação dos tipos de autenticação é uma boa opção para melhorar a
segurança, como a autenticação de fator duplo.
2.2 Políticas de Segurança Física
O nível de segurança física irá variar de acordo com o tipo de organização. Podemos ter organizações tidas como
públicas, nas quais o acesso de pessoas pode ser irrestrito, como bibliotecas e museus. Por outro lado, temos as
que necessitam de um nível de restrição bastante elevado devido a sua natureza, como as que manipulam
remédios, agentes químicos, indústrias de tecnologia etc.A restrição física garante não só a proteção de que somente pessoas autorizadas tenham acesso, como também
evita um dos problemas mais temíveis: a espionagem industrial. Outros fatores podem afetar o nível de acesso a
áreas físicas, como questões que envolvem higiene. A política de segurança física, assim, não é criada
VAMOS PRATICAR?
Procure em sites confiáveis (jornais e revistas com domínio na área) informações sobre
espionagem de dados. Existem uma série de casos. E busque descobrir, especialmente, as
ferramentas utilizadas por governantes.
- -7
áreas físicas, como questões que envolvem higiene. A política de segurança física, assim, não é criada
aleatoriamente: ela partiu do estudo sobre os ativos das organizações, em especial seus riscos. Para cada um se
deve tomar contramedida, a fim de amenizar os danos causados. É a partir dessa definição que tal política é
executada (HINTZBERGEN et al, 2018).
Podem-se garantir, como vimos, políticas de controle lógico às informações. Mas não adianta inserir, por
exemplo, inteligência artificial para detectar ataques em tempo real, se o servidor ou banco de dados se encontra
em um local sem nenhum tipo de segurança física, onde qualquer pessoa poderia entrar sem ser incomodado e
inserir algum vírus (em nosso contexto, uma contra inteligência artificial) ou simplesmente roubar a informação.
Portanto, é necessário garantir que a informação seja protegida tanto lógica quanto fisicamente.
Nesse contexto, a segurança física deve combinar medidas organizacionais, estruturais e eletrônicas. Todo esse
aparato precisa ser prontamente planejado. Não adiantaria incluir diversas câmeras se elas não possuírem uma
boa qualidade, as imagens não sejam gravadas 24 horas e não estejam posicionadas em lugares estratégicos.
Feito isso, a organização deve direcionar pessoas responsáveis por monitorar o que é capturado, caso contrário
não há a necessidade de se instalar câmeras. (HINTZBERGEN et al, 2018)
A segurança física pode se utilizar de diversos tipos de sensores a fim de detectar algum intruso ou invasão
(GALVÃO, 2015). Dentre essa tecnologia, podemos destacar:
Infravermelho De uso interno, sua detecção está relacionada a mudanças de temperatura.
Câmeras
Além da gravação passiva, pode se tornar uma tecnologia ativa, ao se delimitar áreas nas
quais, se houver movimentação, o equipamento notifica os agentes de segurança com
alertas sonoros.
Vibração
Monitora qualquer tipo de vibração no ambiente. É bastante útil caso ocorra alguma
perfuração. Pode ser instalada em janelas, pois, se houver alguma quebra, o sensor
captará a vibração/impacto.
Magnetismo
Esse tipo de sensor é bastante útil em portas e janelas. Se alguém tentar abrir uma delas, o
alarme será acionado.
Para uma boa política de segurança física, é essencial sempre ter uma boa manutenção, bem como a capacidade
de, a cada alarme acionado, realizar alguma verificação. Deve-se também realizar o registro de casa incidente.
Cada ativo terá a sua importância para a organização. Logo, cada um deverá possuir um certo grau de prioridade.
É recomendado que a segurança física proteja o ativo de incêndios, furtos, vândalos, sabotagem, espionagem,
acidentes. Com base nisso, a segurança física deve começar não apenas no ambiente em que o ativo se encontra,
mas já a partir dos seus arredores, em diferentes níveis. (HINTZBERGEN et al, 2018)
- -8
Figura 1 - Um anel de acesso na política física de segurança comporta diversos níveis de proteção.
Fonte: HINTZBERGEN et al, 2018, p. 94.
Vejamos, agora, o chamado anel de segurança. Primeiramente, os localizados na parte superior do círculo (a
partir da linha horizontal central), conforme a figura:
Anel externo
Essa primeira barreira circula as instalações da organização. Basicamente, podem ser barreiras naturais ou
arquitetônicas. As naturais envolvem objetos da natureza, como vegetações densas, rios e montanhas. Já a
arquitetônica é tudo aquilo que pode ser produzido pelo homem, como cercas e muros. Tais barreiras devem
permitir que pessoas autorizadas tenham acesso de forma fácil. Logo, é necessário que algum tipo de verificação
seja efetuado.
Prédio
Caso um anel externo não seja disponível, é necessário que o próprio local se adeque para barrar fisicamente
uma ameaça, instalando-se, por exemplo, janelas com vidros resistentes e portas antiarrombamento. Tais
medidas são úteis até que um anel externo seja criado.
Local de trabalho e objeto
É a área em que as pessoas autorizadas trabalham e os ativos mais importantes estão localizados.
Já na segunda metade do anel, temos um grau de restrições à medida que se adentra na organização. Quanto
mais sensível for o grau, mais cuidados devem ser alocados. (HINTZBERGEN et al, 2018)
De acordo com esse contexto, pode-se introduzir uma guarda armada (ou não) entre o anel externo e os ativos.
Por exemplo, se na área externa existe uma cerca e até a entrada prédio há um estacionamento, ele seria um bom
local para instalar câmera e guardas de segurança. É aconselhável que procedimentos pré-definidos sejam
- -9
local para instalar câmera e guardas de segurança. É aconselhável que procedimentos pré-definidos sejam
executados sempre que ocorrer algum incidente.
Internamente, também, são necessárias medidas extras, como, por exemplo, deixar o local em que se encontram
os principais ativo em difícil acesso. Quanto menor a informação do que se acontece nesse local, melhor será.
Caso a empresa possuía altos graus de segurança, deve-se preocupar até com a sala de reunião, pois se pode
tentar ouvir as informações de outra sala ou até mesmo ter contato visual de dados/informações que estejam
sendo apresentadas. (HINTZBERGEN et al, 2018)
Outro ponto importante é determinar áreas de carga e descarga apropriados, de modo que terceiros não tenham
acesso a nenhum ativo precioso da organização.
2.3 Políticas de Segurança Ambiental
Assim como existe proteção física contra invasões, é importante que se tenha uma política que proteja a
organização de qualquer ameaça da natureza, como incêndios, inundações e explosões. Um exemplo bem
simples de acessório contra incêndios são os armários. Eles podem variar de resistência a fogo e impacto
(arrombamento). Dentro deles, podem ser armazenados ativos como , documentos e dinheiro. Valebackups
lembrar que a chave deve ser mantida sob proteção, e não devem ficar no mesmo prédio que osbackups
servidores. (HINTZBERGEN et al, 2018)
As salas de servidores são uma unidade física que demanda muitos cuidados, tanto contra desastre naturais
citados anteriormente como também com relação à umidade e ao calor produzido. Falhas de energia podem
acarretar uma série de problemas. Muitas vezes, essas salas são chamadas de sala-cofre, devido à grande
restrição física de acesso.
O incêndio, sem dúvida, é um dos problemas mais comuns dentro de uma organização, pois ele pode ser
originalizado a partir de curto-circuito, má refrigeramento, ação humana, defeito em equipamentos, entre outros.
Basicamente, para que ocorra um incêndio, os seguintes componentes devem ser satisfeitos: material inflamável,
oxigênio e temperatura para a ignição. Em consequência, são necessárias contramedidas que visem atacar ao
menos um deles.
Entre as possíveis soluções, está a de manter salas com baixos níveis de oxigênio e sensores que podem ser
acionados a partir de uma mudança brusca de temperatura ou detecção de fumaça. Outra ação simples é reduzir
a quantidade de materiais inflamáveis, como papeis. Mesmo assim, caso ocorra um incêndio, deve-se sempre ter
extintores de incêndios apropriados e de diferentes tipos: gases (suprime o oxigênio), espuma (não usado para
eletricidade), pó (usado para eletricidade) e água, entre outros.
VAMOS PRATICAR?
Da próxima vez que você frequentar algum tipo organização que possua informações
importantes e privilegiadas, tente perceber como a política de segurança funciona. Veja os
diferentes níveis de segurança sendo empregados. Entretanto, mantenha a discrição para não
chamar atenção – caso contrário,poderão ter uma interpretação errada do seu
comportamento.
- -10
Figura 2 - Equipamentos de extinção de incêndio são essenciais na sala de servidores e em outros espaços da 
organização.
Fonte: Pavel L Photo and Video, Shutterstock, 2019.
Vale sempre ressaltar que a manutenção de todos os equipamentos garante o seu bom funcionamento e evita a
ocorrência de incidentes.
2.4 Políticas de Segurança de Informação e o Processo 
Organizacional
A gestão da informação é “o meio pelo qual uma organização planeja, coleta, organiza, utiliza, controla, dissemina
e descarta suas informações de forma eficiente, e através da qual garante que o valor dessa informação seja
identificado e explorado em toda a sua extensão”. (HINTZBERGEN et al, 2018, p. 57)
Não é de se estranhar, assim, que ela envolva diversas outras áreas, como tecnologia da informação, ciências da
computação, arquivamento, biblioteconomia, recuperação da informação etc. A partir de tais áreas, pode-se
pensar em realizar as seguintes ações sobre as informações: classificar, indexar (ou facilitar a busca), catalogar,
projetar banco de dados, armazenar fisicamente, dentre outros.
O gerenciamento de uma organização visa estabelecer a eficácia e a eficiência de todo um conjunto de atividades.
Para isso, os gestores devem pensar na organização como um organismo único trabalhando em sinergia. E em
cada atividade, por menor que seja, deve-se focar sempre no objetivo de futuro.
- -11
Figura 3 - Entender os níveis organizacionais é essencial para pensar nas políticas de segurança dos ativos
Fonte: HINTZBERGEN et al, 2018, p. 60.
Uma organização é dividida em níveis, de forma semelhante a pirâmides, onde, em uma extremidade, tem-se a
gestão estratégica, seguida da gestão tática e por fim, na sua base, a gestão operacional. Todos os objetivos de
uma organização vêm da gestão estratégica, ou seja, da alta administração: proprietário, presidente, diretoria.
Esta repassa aos demais níveis a sua parcela no objetivo, visando garantir, a nível estratégico, as escolhas
adequadas para a empresa, ponderando forças e fraquezas, oportunidades e ameaças externas (de concorrência,
cultura, política). É aqui que se determina os valores, a visão e a missão da organização. Geralmente, são
consideradas ações de médio e longo prazo, em torno de 5 a 10 anos. Por esse motivo, é importante revisar
constantemente o planejamento, a fim de atualizá-lo de forma contínua.
Em um nível situado abaixo, tem-se a gestão tática. Ela se preocupa com o controle e o planejamento das funções
individuais, como recursos humanos, marketing e produção. Ou seja, enquanto o nível estratégico se preocupa
com toda a organização, o tático se dedica a um escopo mais limitado, a nível de departamento. As decisões
podem ser tomadas por hierarquias menores, como os gerentes. Outro diferencial é que todo o planejamento
tático possui um tempo menor, podendo girar de 1 a 3 anos. Em resumo, o planejamento tático é um
desmembramento do plano geral (estratégico).
Por fim, na base da pirâmide fica a gestão operacional. Neste nível, são colocadas em prática as ações que foram
definidas no nível anterior (tático). Seguindo a mesma lógica, possui um tempo menor de planejamento, de 3 a 6
meses. Todas as ações são monitoradas pelos outros níveis a fim de garantir que o que foi proposto está em
pleno funcionamento. Caso não ocorra conforme o planejado, deve-se mudar a estratégia do negócio.
(HINTZBERGEN et al, 2018)
Ao longo do tempo, foram introduzidos novos processos que facilita e otimizam a execução das ações. Como
exemplo, podemos destacar um processo de negócio, que visa conhecer uma atividade de ponta-a-ponta. Ele tem
início nas necessidades do cliente, atravessa toda a organização (departamentos) e termina com a satisfação do
cliente. Podemos citar, a título de ilustração, a matrícula do aluno em uma instituição de ensino. Primeiramente,
deve-se contratar professores para montar as questões de acordo com cada área, preparar os locais, definir datas
e pessoas para coordenarem a realização da prova, em seguida disponibilizar ao aluno um site para realizar a
- -12
e pessoas para coordenarem a realização da prova, em seguida disponibilizar ao aluno um site para realizar a
matrícula, aplicar as provas, corrigi-las, notificar alunos aprovados etc.
Perceba que, no exemplo, existe uma série de atividades que cruzam vários departamentos de uma organização.
A partir dessa visão, os processos de negócio visam trazer mais lucro, eliminando gargalos e atividades
desnecessárias. Uma modelagem que é amplamente utilizada, neste sentido, é a BPMN – Business Process
. Por meio dela, são criados diagramas para mapear toda a organização e os processos como são ( )Notation “as is”
e como serão ( ) (HINTZBERGEN et al, 2018)“to be”
Figura 4 - Os elementos básicos da notação BPMN permitem modelar os processos da organização.
Fonte: AMARILLA; NETO, 2018, p. 275.
Vamos verificar e entender, agora, as notações da Figura 4 de acordo com o exemplo da Figura 5, que ilustra um
processo de pedido de compras.
CASO
Como falamos sobre a notação BPMN, que tal conhecermos um pouco mais sobre ela? Trata-se
de uma notação que possui inúmeros processos alinhados à visão estratégica da organização. A
título de ilustração, vamos explorar uma pequena fatia desse modelo: os diagramas BPD (
). Um software gratuito e bastante utilizado, para isso, é o Bizagi,Business Process Diagram
especialmente a versão r, disponível para download. Para modelar um processoBizagi Modele
(as atividades que ocorrem em uma organização), pode-se realizar observação direta (entrar
na organização e ver o funcionamento) e entrevistas (conhecer pessoas chaves dentro de cada
departamento). Basicamente, as notações mais utilizadas estão ilustradas na figura a seguir.
- -13
Figura 5 - O processo de pedido de compras segue as notações da BPMN.
Fonte: DTI/UFMG, 2019, p. 20.
• Objetos de fluxo
Os círculos demonstram início, meio ou fim de uma tarefa (retângulo simples). Veja que, no exemplo do
processo de pedido de compras, temos o círculo verde demonstrando onde deveremos começar a leitura.
Em seguida, teremos que fazer a tarefa “Receber Pedido”. Nela, podemos pedir uma série de documentos.
Por exemplo, qual departamento solicitou a compra, que tipo de material é, qual a quantidade, para que
uso se destina. Na sua sequência, tem-se uma caixa de tarefa com uma cruz na parte inferior. Ela
representa um subprocesso. Dentro dele podemos ter várias outras atividades, o que é bastante útil para
organização do diagrama. O losango amarelo representa uma decisão no fluxo – no exemplo, recusar ou
aprovar o pedido. Quando há um losango com uma cruz, significa que podemos fazer as próximas tarefas
de forma simultânea.
• Objetos de conexão
Visam representar o fluxo do processo e servem para ligar objetos de fluxo. Com eles, é possível
acompanhar o andamento.
• Swimlanes
Eu objetivo é organizar o processo de ponta-a-ponta. Veja que temos uma piscina chamada “Processo”
com duas raias (participante 1 e participante 2), o que facilita visualizar quais atividades são realizadas
ao mesmo tempo pelos dois empregados.
• Artefatos
Podem demonstrar a saída de um documento a partir de uma tarefa. Por exemplo, após a tarefa “Fazer
Orçamento”, poderíamos ter emitido um documento chamado relatórios de preços.
De construção bastante didática e intuitiva, os diagramas BPD podem ajudar no aprimoramento dos processos
da organização.
•
•
•
•
- -14
Síntese
Nesta unidade, conhecemos um pouco mais sobre as políticas de segurança física e ambiental que devem ser
criadas e mantidas em uma organização. Além de complementar a segurança lógica, elas fornecem uma camada
extra de segurança, limitando fisicamente os agentes externos. Ao final, também vimos como uma instituição é
dividida em níveis organizacionais, em que há, em cada nível, uma colaboração mútua a fim de se chegar ao
mesmo objetivo.
Nesta unidade, você teve a oportunidade de:
• conhecer os diferentes níveis organizacionais:estratégico, tático e operacional;
• ver os diferentes tipos de autorização;
• conhecer o funcionamento de políticas de segurança física em uma organização;
• compreender como são estabelecidos os anéis de segurança;
• considerar a importância de se preparar para eventos da natureza com políticas de segurança ambiental;
• entender o funcionamento de uma organização a partir da Segurança da Informação.
Bibliografia
AMARILLA, R. S. D; NETO, A. I. Análise comparativa dos principais processos de negócio de empresas do subsetor
de edificações da construção civil. , São Carlos, SP, v. 25, n. 2, abr./jun. 2018, p. 269-283.Gestão & Produção
Disponível em: <http://www.scielo.br/pdf/gp/v25n2/0104-530X-gp-0104-530X2406-16.pdf>. Acesso em: 16
/09/2019.
AVAST. Avast destaca cenário de ameaças para 2019. , 3 jan. 2019. Disponível em: <Portal Avast https://press.
avast.com/pt-pt/avast-destaca-cenario-de-amea%C3%A7as-para-2019>. Acesso em: 16/09/2019.
BEAL, A. : princípios e melhores práticas para a proteção dos ativos de informaçãoSegurança da Informação
nas organizações. São Paulo: Atlas, 2008.
DTI/UFMG. . 2019. DisponívelGuia simplificado de boas práticas em modelagem de processos com BPMN
em: <https://www.ufmg.br/dti/wp-content/uploads/2019/01/POP-0001-ANEXO-A-Guia-simplificado-de-boas-
praticas-em-modelagem.pdf>. Acesso em: 16/09/2019.
GALVÃO, M. C. . São Paulo, Pearson, 2015.Fundamentos de Segurança da Informação
GOODRICH, M. T.; TAMASSIA, R. . Porto Alegre: Bookman, 2013.Introdução à segurança de computadores
HINTZBERGEN J. et al. : com base na ISO 27001 e na ISO 27002.Fundamentos de Segurança da Informação
Rio de Janeiro: Brasport, 2018.
KIM, D.; SOLOMON, M. G. . São Paulo: LTC, 2014.Fundamentos de segurança de sistemas de informação
KIM, G. et at. : como obter agilidade, confiabilidade e segurança em organizações. Rio deManual de DevOps
Janeiro: Alta Books, 2018.
MCAFEE. . 2018. Disponível em: <Relatório do McAfee Labs sobre ameaças https://www.mcafee.com
/enterprise/pt-br/assets/reports/rp-quarterly-threats-dec-2018.pdf>. Acesso em: 16/09/2019.
RED HAT. O que é DevSecOps? , 2018. Disponível em: <Red Hat https://www.redhat.com/pt-br/topics/devops
/what-is-devsecops/>. Acesso em: 16/09/2019.
SÊMOLA, M. . Rio de Janeiro, Elsevier, 2014.Gestão da Segurança da Informação
SCHETINA, E.; GREEN, K.; CARLSON, J. . São Paulo: Campus,Aprenda a desenvolver e construir sites seguros
2002.
SNOW, J. Pegasus: o spyware perfeito para iOS e Android. , 18 abr. 2017. Disponível em: <Kaspersky Daily
•
•
•
•
•
•
- -15
SNOW, J. Pegasus: o spyware perfeito para iOS e Android. , 18 abr. 2017. Disponível em: <Kaspersky Daily
https://www.kaspersky.com.br/blog/pegasus-spyware/7237/>. Acesso em: 16/09/2019.
SYMANTEC. . 2018. Disponível em: <Cyber Safety Insights Report Global Results https://www.symantec.com
/content/dam/symantec/docs/about/2018-norton-lifelock-cyber-safety-insights-report-global-results-en.pdf>.
Acesso em: 16/09/2019.
THE IT CROWD. Roteiro e direção de Graham Linehan. Produção de Ash Atalla para o Channel 4 e IFC. Série.
Inglaterra. 2006-2013.