A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança Física em Organizações Governamentais

PublicouCaio Jesus Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Segurança Física em Organizações Governamentais"— Transcrição da apresentação:

1 Segurança Física em Organizações Governamentais
Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações Ana Rosa Carvalho de Abreu 30/6/2010

2 A guerra dos carneiros e das flores
- Há milhões e milhões de anos que as flores fabricam espinhos. Há milhões e milhões de anos que os carneiros as comem, apesar de tudo. E não será sério procurar compreender por que perdem tanto tempo fabricando espinhos inúteis? Não terá importância a guerra dos carneiros e das flores? (Antoine de Saint-Exupery) Ana Rosa Carvalho de Abreu 30/6/2010

3 A guerra dos bancos Se, apesar de todo um aparato de equipamentos de segurança física, para proteger os seus bens, os bancos continuam sendo alvo de furtos, não seria importante descobrir porque eles continuam a se comportar do mesmo modo? Onde estarão falhando? Quais as relações de causa e efeito entre as variáveis que influenciam a concretização de um evento negativo? Ana Rosa Carvalho de Abreu 30/6/2010

4 Objetivo do trabalho Verificar a aplicabilidade e a efetividade das normas de segurança da informação da ABNT, no que concerne aos aspectos de segurança física, na Administração Pública Federal. Ana Rosa Carvalho de Abreu 30/6/2010

5 Etapas do trabalho Análise das normas técnicas: NBR ISO/IEC :2006,NBR ISO/IEC 27002:2005 e NBR ISO/IEC 27005:2008 Análise de variáveis de segurança apontadas nas normas. Validar a utilização dos requisitos de segurança apontados na NBR ISO/IEC :2006, junto a especialistas em Gestão da Segurança da Informação. Identificadas inter-relações e relações causais entre as variáveis estudadas. Ana Rosa Carvalho de Abreu 30/6/2010

6 Instrumentos Utilizados
Descrição de Situação Problema Revisão da Literatura especializada sobre o assunto Estudo de normas pertinentes. Coleta de Dados com utilização da Técnica Delphi com especialistas em Gestão da Segurança da Informação Entrevista semi-estruturada com Gerente da Área de Segurança do BCB. Ana Rosa Carvalho de Abreu 30/6/2010

7 As hipóteses A) Uma visão sistêmica, não somente de dentro da organização, mas do macro-sistema que a envolve, torna- se necessária, para se definir a política de segurança de uma instituição; B) Seguir todos os itens de segurança física, de forma isolada, não garante a segurança física das organizações; Ana Rosa Carvalho de Abreu 30/6/2010

8 As hipóteses C) Funcionários treinados em normas de segurança são necessários para diminuir a vulnerabilidade nas organizações governamentais; D) Um planejamento estratégico, com respaldo da Administração Superior, fundamentado em uma Política de Segurança da Informação elaborada de forma participativa e editada pela autoridade maior da organização forma o pilar central para a segurança física das organizações. Ana Rosa Carvalho de Abreu 30/6/2010

9 Variáveis e suas inter-relações
Ana Rosa Carvalho de Abreu 30/6/2010

10 História das Normas NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2005
Ana Rosa Carvalho de Abreu 30/6/2010

11 NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2005
metodologia estruturada, reconhecida internacionalmente, dedicada à segurança da informação; processo definido para avaliar, implementar, manter e gerenciar a segurança da informação; grupo completo de controles contendo as melhores práticas para segurança da informação. Ana Rosa Carvalho de Abreu 30/6/2010

12 As normas ISO (continuação)
NBR ISO/IEC 27001:2006 apresenta requisitos de sistema utilizada como padrão para a realização de auditorias de certificação NBR ISO/IEC 27002:2005 código de práticas utilizada para orientação durante o desenvolvimento e implantação do sistema de gestão de segurança da informação Ana Rosa Carvalho de Abreu 30/6/2010

13 As normas ISO (continuação)
NBR ISO/IEC 27001: 2006 processo sistemático para fortalecimento do controle interno de segurança da informação. Cobre todos os tipos de organizações; especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado; especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes; orienta como elaborar uma matriz de riscos e identificar e implantar controles para minimizar estes riscos Ana Rosa Carvalho de Abreu 30/6/2010

14 As normas ISO (continuação)
NBR ISO/IEC :2005 estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização; Os objetivos de controle e os controles têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos; apresenta 11 cláusulas de controle de segurança de A5 a A15 e 133 controles; considera segurança física, técnica, procedimental e em pessoas. Ana Rosa Carvalho de Abreu 30/6/2010

15 Fundamentos da segurança da informação
Confidencialidade garantir que apenas as pessoas que devam ter conhecimento a respeito de uma informação possam ter acesso a ela. Integridade proteger as informações contra alterações em seu estado original. Essas alterações podem ser tanto intencionais quanto acidentais. Disponibilidade garantir que a informação possa ser acessada por aqueles que dela necessitarem, no momento em que dela precisarem. Ana Rosa Carvalho de Abreu 30/6/2010

16 Legislação sobre segurança física no Brasil
Artigo 144 da Constituição Federal de 1988 A segurança pública, dever do Estado, direito e responsabilidade de todos, é exercida para a preservação da ordem pública e da incolumidade das pessoas e do patrimônio. Lei nº , de 20 de junho de 1983 Dispõe sobre segurança para estabelecimentos financeiros, estabelece normas para constituição e funcionamento das empresas particulares que exploram serviços de vigilância e de transporte de valores Lei nº , de 28 de março de 1994 Altera o artigo n. 10 de da Lei nº e define a categoria do vigilante. Ana Rosa Carvalho de Abreu 30/6/2010

17 Elementos que definem o risco
Aspectos do Risco Evento desfavorável Probabilidade de ocorrência Elementos que definem o risco Período de tempo Ana Rosa Carvalho de Abreu 30/6/2010

18 Gestão de risco NBR ISO/IEC 27005:2008
Definição do Contexto Objetivos, políticas e estratégia Processos e estrutura Requisitos legais e normativos Política de segurança e ativos de informação Abordagem da Gestão de risco Características geográficas Restrições que afetam a organização e expectativas das partes interessadas Ambiente sociocultural e interfaces (ou seja, a troca de informações com o ambiente). Análise/Avaliação de Riscos Identificação de riscos Identificação dos ativos Identificação das ameaças Identificação dos controles existentes Identificação das vulnerabilidades Identificação das conseqüências Estimativa de riscos Avaliação de riscos Ana Rosa Carvalho de Abreu 30/6/2010

19 Pesquisa com especialistas - Enunciado
Como as organizações governamentais entendem a atividade de segurança da informação? Como a adoção das normas de segurança da informação da ABNT podem contribuir para o aperfeiçoamento das atividades de segurança física nessas instituições? Ana Rosa Carvalho de Abreu 24/06/2010

20 Dados sobre a pesquisa - Técnica Delphi de Coleta de Dados
Pessoas selecionadas 21 1ª rodada 2ª rodada 3ª rodada 19 pessoas 15 pessoas 13 pessoas Entidades APF 14 Datas das rodadas 19 a 26 de abril de 2010 03 a 11 de maio de 2010 12 a 17 de maio de 2010 Ana Rosa Carvalho de Abreu 24/06/2010

21 Respostas que confirmam as hipóteses A e B – Visão sistêmica
Questionou-se se o mecanismo de câmeras de segurança poderia ter sido uma vulnerabilidade no caso do furto ocorrido nas dependência do BCB em Fortaleza. “Deve ser avaliado o processo como um todo: análise do ambiente externo, análise do ambiente interno, escolha do equipamento, monitoração, gravação, análise, auditagem. A ineficiência está nas análises compartimentalizadas. Exemplo de resposta que representa a maioria dos respondentes: Ana Rosa Carvalho de Abreu 30/6/2010

22 Respostas que confirmam as hipóteses – Treinamento e conscientização
Questionou-se se: “uma estrutura de proteção adequada das instalações, impedindo o acesso a pessoas não autorizadas ao recinto, impediria o incidente de segurança física no BCB em Fortaleza. E obteve-se respostas como: “O que evita incidentes realmente são políticas de segurança bem implantadas, com os respectivos procedimentos formalizados, auditados e atualizados.” “É importante fortalecer, além da estrutura das instalações, os laços de confiança entre as pessoas e a organização. O indivíduo preciso ter ‘noção de pertencimento’ clarificada da sua empresa, como um sistema social que o considera”. O que confirma as hipóteses A, B e C Ana Rosa Carvalho de Abreu 30/6/2010

23 Confirmação da hipótese C – Treinamento
Questionou-se se “falta de treinamento e conscientização dos funcionários pode ter sido uma das causas do desencadeamento do incidente de segurança”. Obteve-se as respostas: “Não é possível cobrar ou até mesmo responsabilizar funcionários não treinados, e em um ambiente sem programa de conscientização. O treinamento e a conscientização devem fazer parte de um programa maior de segurança da informação.” “A segurança é formada por várias áreas que têm que ser modeladas e gerenciadas. É a eficácia harmônica das diversas áreas que torna o sistema eficaz. Não adiantaria ter excelência em uma das áreas de segurança e ser negligente com as outras áreas relacionadas." Ana Rosa Carvalho de Abreu 30/6/2010

24 Confirmação das hipóteses
Após a análise dos resultados da pesquisa observou-se a confirmação das hipóteses, ou seja: Há a necessidade de planejamento estratégico, com respaldo na Administração Superior, fundamentada em uma Política de Segurança da Informação, elaborada com a participação de funcionários treinados e conscientes da sua importância para a segurança da informação da organização. Ana Rosa Carvalho de Abreu 30/6/2010

25 Resposta a um incidente de segurança física no BCB
Visão Sistêmica Criação de uma área estruturada como departamento na sede, com gerências técnicas nas praças onde atua; Troca de experiências com organismos de outros países. Funcionários Treinados Definição dos perfis mínimos de competência que devem ser detidos pelos servidores; Estabelecimento do plano de desenvolvimento para os servidores; Alocação de um quadro de pessoal adequadamente dimensionado. Planejamento Estratégico Reformulação dos Planos da área de segurança Ana Rosa Carvalho de Abreu 30/6/2010

26 As atividades de segurança devem ter caráter permanente;
BCB – Diretrizes As atividades de segurança devem ter caráter permanente; O enfoque deve ser sistêmico e preventivo, sem prejuízo de medidas necessárias para a resposta e controle de incidentes; As atividades/ações devem ser desenvolvidas sempre numa perspectiva integrada e corporativa. Ana Rosa Carvalho de Abreu 30/6/2010

27 Trabalhos futuros Utilização das técnicas de cenários e sistemas dinâmicos para estudar um melhor aproveitamento, aplicabilidade e efetividade das normas NBR ISO/IEC :2006, NBR ISO/IEC :2005:2005 e NBR ISO/IEC :2008 na Administração Pública Federal Brasileira. Ana Rosa Carvalho de Abreu 24/06/2010

28 Obrigada! “Uma pessoa inteligente resolve um problema,
um sábio o previne.” Albert Einstein Obrigada! Ana Rosa Carvalho de Abreu 24/06/2010

Carregar ppt "Segurança Física em Organizações Governamentais"

Apresentações semelhantes

O contexto da América do Sul

O contexto da América do Sul
Agência Nacional de Vigilância Sanitária www.anvisa.gov.br 1 NBR ISO/IEC 17025 NBR ISO/IEC 17025 NBR ISO/IEC 17025 NBR ISO/IEC 17025 NBR ISO/IEC 17025.

Agência Nacional de Vigilância Sanitária 1 NBR ISO/IEC NBR ISO/IEC NBR ISO/IEC NBR ISO/IEC NBR ISO/IEC
Agência Nacional de Vigilância Sanitária www.anvisa.gov.br Organização NBR ISO/IEC 17025: 2001 - 4.1 INMETRO NIT DICLA 083:00 - 6.1.

Agência Nacional de Vigilância Sanitária Organização NBR ISO/IEC 17025: INMETRO NIT DICLA 083:
S. A S. A Indústria e Comércio Ltda. Indústria Metalúrgica

S. A S. A Indústria e Comércio Ltda. Indústria Metalúrgica
Administração e segurança de redes

Administração e segurança de redes
NORMA NBR ISO 10002 OBJETIVO Esta norma - NBR 10002 - fornece princípios e orientações para a empresa implementar um processo eficaz e eficiente de tratamento.

NORMA NBR ISO OBJETIVO Esta norma - NBR fornece princípios e orientações para a empresa implementar um processo eficaz e eficiente de tratamento.
1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.

1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.
Sistemas de Gestão Integrada

Sistemas de Gestão Integrada
ABGP – IPMA Certificação Nível D Grupo de Estudos Área V do RBC Elementos 29, 35 e 37 Normando Nereu de Souza Coelho APRESENTAÇÃO PROJEXPERT – FOLDER.

ABGP – IPMA Certificação Nível D Grupo de Estudos Área V do RBC Elementos 29, 35 e 37 Normando Nereu de Souza Coelho APRESENTAÇÃO PROJEXPERT – FOLDER.
PLANEJAMENTO ESTRATÉGICO

PLANEJAMENTO ESTRATÉGICO
EXPERIÊNCIA DE AVALIAÇÃO INSTITUCIONAL NA UFRN

EXPERIÊNCIA DE AVALIAÇÃO INSTITUCIONAL NA UFRN
Planejamento do gerenciamento de riscos

Planejamento do gerenciamento de riscos
Visão Geral das Normas ISO

Visão Geral das Normas ISO
Visão Geral do Desenvolvimento de Sistemas e Papéis no Desenvolvimento de Software Marcely Dias marcely.dias@unibratec.edu.br.

Visão Geral do Desenvolvimento de Sistemas e Papéis no Desenvolvimento de Software Marcely Dias
Elementos de um Programa Eficaz em Segurança e Saúde no Trabalho

Elementos de um Programa Eficaz em Segurança e Saúde no Trabalho
Planejamento Administrativo Petrópolis, março 2008.

Planejamento Administrativo Petrópolis, março 2008.
FORMAÇÃO DE AUDITORES INTERNOS RONALDO COSTA RODRIGUES

FORMAÇÃO DE AUDITORES INTERNOS RONALDO COSTA RODRIGUES
EXEMPLO DE FLUXO PARA O DESENVOLVIMENTO DE ANÁLISE CRÍTICA DO SGQ

EXEMPLO DE FLUXO PARA O DESENVOLVIMENTO DE ANÁLISE CRÍTICA DO SGQ
Intrudução Normas Mardoqueu de Lima n°05 3H15 Seções de controle.

Intrudução Normas Mardoqueu de Lima n°05 3H15 Seções de controle.
UNIVERSIDADE FEDERAL DOS VALES DO JEQUITINHONHA E MUCURI BACHARELADO EM HUMANIDADES AVALIAÇÃO DE IMPACTO AMBIENTAL ISO 14001 Alcione Rodrigues Milagres.

UNIVERSIDADE FEDERAL DOS VALES DO JEQUITINHONHA E MUCURI BACHARELADO EM HUMANIDADES AVALIAÇÃO DE IMPACTO AMBIENTAL ISO Alcione Rodrigues Milagres.

Apresentações semelhantes

Anúncios Google