280 likes | 391 Views
Segurança Física em Organizações Governamentais. Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações. A guerra dos carneiros e das flores.
E N D
Segurança Física em Organizações Governamentais Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações Ana Rosa Carvalho de Abreu
A guerra dos carneiros e das flores • - Há milhões e milhões de anos que as flores fabricam espinhos. Há milhões e milhões de anos que os carneiros as comem, apesar de tudo. E não será sério procurar compreender por que perdem tanto tempo fabricando espinhos inúteis? Não terá importância a guerra dos carneiros e das flores? (Antoine de Saint-Exupery) Ana Rosa Carvalho de Abreu
A guerra dos bancos • Se, apesar de todo um aparato de equipamentos de segurança física, para proteger os seus bens, os bancos continuam sendo alvo de furtos, não seria importante descobrir porque eles continuam a se comportar do mesmo modo? Onde estarão falhando? Quais as relações de causa e efeito entre as variáveis que influenciam a concretização de um evento negativo? Ana Rosa Carvalho de Abreu
Objetivo do trabalho Verificar a aplicabilidade e a efetividade das normas de segurança da informação da ABNT, no que concerne aos aspectos de segurança física, na Administração Pública Federal. Ana Rosa Carvalho de Abreu
Etapas do trabalho • Análise das normas técnicas: NBR ISO/IEC 27001:2006,NBR ISO/IEC 27002:2005 e NBR ISO/IEC 27005:2008 • Análise de variáveis de segurança apontadas nas normas. • Validar a utilização dos requisitos de segurança apontados na NBR ISO/IEC 27001:2006, junto a especialistas em Gestão da Segurança da Informação. • Identificadas inter-relações e relações causais entre as variáveis estudadas. Ana Rosa Carvalho de Abreu
Instrumentos Utilizados • Descrição de Situação Problema • Revisão da Literatura especializada sobre o assunto • Estudo de normas pertinentes. • Coleta de Dados com utilização da Técnica Delphi com especialistas em Gestão da Segurança da Informação • Entrevista semi-estruturada com Gerente da Área de Segurança do BCB. Ana Rosa Carvalho de Abreu
As hipóteses • A) Uma visão sistêmica, não somente de dentro da organização, mas do macro-sistema que a envolve, torna-se necessária, para se definir a política de segurança de uma instituição; • B) Seguir todos os itens de segurança física, de forma isolada, não garante a segurança física das organizações; Ana Rosa Carvalho de Abreu
As hipóteses C) Funcionários treinados em normas de segurança são necessários para diminuir a vulnerabilidade nas organizações governamentais; D) Um planejamento estratégico, com respaldo da Administração Superior, fundamentado em uma Política de Segurança da Informação elaborada de forma participativa e editada pela autoridade maior da organização forma o pilar central para a segurança física das organizações. Ana Rosa Carvalho de Abreu
Variáveis e suas inter-relações Ana Rosa Carvalho de Abreu
História das Normas NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2005 Ana Rosa Carvalho de Abreu
As normas ISO(continuação) Ana Rosa Carvalho de Abreu
As normas ISO(continuação) Ana Rosa Carvalho de Abreu
As normas ISO(continuação) Ana Rosa Carvalho de Abreu
Fundamentos da segurança da informação Ana Rosa Carvalho de Abreu
Legislação sobre segurança física no Brasil Ana Rosa Carvalho de Abreu
Aspectos do Risco Ana Rosa Carvalho de Abreu
Gestão de risco NBR ISO/IEC 27005:2008 Ana Rosa Carvalho de Abreu
Pesquisa com especialistas - Enunciado Ana Rosa Carvalho de Abreu
Dados sobre a pesquisa - Técnica Delphi de Coleta de Dados Ana Rosa Carvalho de Abreu
Respostas que confirmam as hipóteses A e B – Visão sistêmica Ana Rosa Carvalho de Abreu
Questionou-se se: “uma estrutura de proteção adequada das instalações, impedindo o acesso a pessoas não autorizadas ao recinto, impediria o incidente de segurança física no BCB em Fortaleza. E obteve-se respostas como: “O que evita incidentes realmente são políticas de segurança bem implantadas, com os respectivos procedimentos formalizados, auditados e atualizados.” “É importante fortalecer, além da estrutura das instalações, os laços de confiança entre as pessoas e a organização. O indivíduo preciso ter ‘noção de pertencimento’ clarificada da sua empresa, como um sistema social que o considera”. Respostas que confirmam as hipóteses – Treinamento e conscientização O que confirma as hipóteses A, B e C Ana Rosa Carvalho de Abreu
Confirmação da hipótese C – Treinamento Ana Rosa Carvalho de Abreu
Confirmação das hipóteses Após a análise dos resultados da pesquisa observou-se a confirmação das hipóteses, ou seja: Há a necessidade de planejamento estratégico, com respaldo na Administração Superior, fundamentada em uma Política de Segurança da Informação, elaborada com a participação de funcionários treinados e conscientes da sua importância para a segurança da informação da organização. Ana Rosa Carvalho de Abreu
Resposta a um incidente de segurança física no BCB Ana Rosa Carvalho de Abreu
BCB – Diretrizes Ana Rosa Carvalho de Abreu
Trabalhos futuros • Utilização das técnicas de cenários e sistemas dinâmicos para estudar um melhor aproveitamento, aplicabilidade e efetividade das normas NBR ISO/IEC 27001:2006, NBR ISO/IEC 27002:2005:2005 e NBR ISO/IEC 27005:2008 na Administração Pública Federal Brasileira. Ana Rosa Carvalho de Abreu
“Uma pessoa inteligente resolve um problema, um sábio o previne.” Albert Einstein Obrigada! Ana Rosa Carvalho de Abreu