Segurança Física em Organizações Governamentais

1. Segurança Física em Organizações Governamentais Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações Ana Rosa Carvalho de Abreu

2. A guerra dos carneiros e das flores • - Há milhões e milhões de anos que as flores fabricam espinhos. Há milhões e milhões de anos que os carneiros as comem, apesar de tudo. E não será sério procurar compreender por que perdem tanto tempo fabricando espinhos inúteis? Não terá importância a guerra dos carneiros e das flores? (Antoine de Saint-Exupery) Ana Rosa Carvalho de Abreu

3. A guerra dos bancos • Se, apesar de todo um aparato de equipamentos de segurança física, para proteger os seus bens, os bancos continuam sendo alvo de furtos, não seria importante descobrir porque eles continuam a se comportar do mesmo modo? Onde estarão falhando? Quais as relações de causa e efeito entre as variáveis que influenciam a concretização de um evento negativo? Ana Rosa Carvalho de Abreu

4. Objetivo do trabalho Verificar a aplicabilidade e a efetividade das normas de segurança da informação da ABNT, no que concerne aos aspectos de segurança física, na Administração Pública Federal. Ana Rosa Carvalho de Abreu

5. Etapas do trabalho • Análise das normas técnicas: NBR ISO/IEC 27001:2006,NBR ISO/IEC 27002:2005 e NBR ISO/IEC 27005:2008 • Análise de variáveis de segurança apontadas nas normas. • Validar a utilização dos requisitos de segurança apontados na NBR ISO/IEC 27001:2006, junto a especialistas em Gestão da Segurança da Informação. • Identificadas inter-relações e relações causais entre as variáveis estudadas. Ana Rosa Carvalho de Abreu

6. Instrumentos Utilizados • Descrição de Situação Problema • Revisão da Literatura especializada sobre o assunto • Estudo de normas pertinentes. • Coleta de Dados com utilização da Técnica Delphi com especialistas em Gestão da Segurança da Informação • Entrevista semi-estruturada com Gerente da Área de Segurança do BCB. Ana Rosa Carvalho de Abreu

7. As hipóteses • A) Uma visão sistêmica, não somente de dentro da organização, mas do macro-sistema que a envolve, torna-se necessária, para se definir a política de segurança de uma instituição; • B) Seguir todos os itens de segurança física, de forma isolada, não garante a segurança física das organizações; Ana Rosa Carvalho de Abreu

8. As hipóteses C) Funcionários treinados em normas de segurança são necessários para diminuir a vulnerabilidade nas organizações governamentais; D) Um planejamento estratégico, com respaldo da Administração Superior, fundamentado em uma Política de Segurança da Informação elaborada de forma participativa e editada pela autoridade maior da organização forma o pilar central para a segurança física das organizações. Ana Rosa Carvalho de Abreu

9. Variáveis e suas inter-relações Ana Rosa Carvalho de Abreu

10. História das Normas NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2005 Ana Rosa Carvalho de Abreu

11. Ana Rosa Carvalho de Abreu

12. As normas ISO(continuação) Ana Rosa Carvalho de Abreu

13. As normas ISO(continuação) Ana Rosa Carvalho de Abreu

14. As normas ISO(continuação) Ana Rosa Carvalho de Abreu

15. Fundamentos da segurança da informação Ana Rosa Carvalho de Abreu

16. Legislação sobre segurança física no Brasil Ana Rosa Carvalho de Abreu

17. Aspectos do Risco Ana Rosa Carvalho de Abreu

18. Gestão de risco NBR ISO/IEC 27005:2008 Ana Rosa Carvalho de Abreu

19. Pesquisa com especialistas - Enunciado Ana Rosa Carvalho de Abreu

20. Dados sobre a pesquisa - Técnica Delphi de Coleta de Dados Ana Rosa Carvalho de Abreu

21. Respostas que confirmam as hipóteses A e B – Visão sistêmica Ana Rosa Carvalho de Abreu

22. Questionou-se se: “uma estrutura de proteção adequada das instalações, impedindo o acesso a pessoas não autorizadas ao recinto, impediria o incidente de segurança física no BCB em Fortaleza. E obteve-se respostas como: “O que evita incidentes realmente são políticas de segurança bem implantadas, com os respectivos procedimentos formalizados, auditados e atualizados.” “É importante fortalecer, além da estrutura das instalações, os laços de confiança entre as pessoas e a organização. O indivíduo preciso ter ‘noção de pertencimento’ clarificada da sua empresa, como um sistema social que o considera”. Respostas que confirmam as hipóteses – Treinamento e conscientização O que confirma as hipóteses A, B e C Ana Rosa Carvalho de Abreu

23. Confirmação da hipótese C – Treinamento Ana Rosa Carvalho de Abreu

24. Confirmação das hipóteses Após a análise dos resultados da pesquisa observou-se a confirmação das hipóteses, ou seja: Há a necessidade de planejamento estratégico, com respaldo na Administração Superior, fundamentada em uma Política de Segurança da Informação, elaborada com a participação de funcionários treinados e conscientes da sua importância para a segurança da informação da organização. Ana Rosa Carvalho de Abreu

25. Resposta a um incidente de segurança física no BCB Ana Rosa Carvalho de Abreu

26. BCB – Diretrizes Ana Rosa Carvalho de Abreu

27. Trabalhos futuros • Utilização das técnicas de cenários e sistemas dinâmicos para estudar um melhor aproveitamento, aplicabilidade e efetividade das normas NBR ISO/IEC 27001:2006, NBR ISO/IEC 27002:2005:2005 e NBR ISO/IEC 27005:2008 na Administração Pública Federal Brasileira. Ana Rosa Carvalho de Abreu

28. “Uma pessoa inteligente resolve um problema, um sábio o previne.” Albert Einstein Obrigada! Ana Rosa Carvalho de Abreu