Euclides Rocha - Biblioteca digital da UniPiaget
Contents
1. etc Para evitar ou minimizar estes problemas todos os utilizadores do sistema de informa o devem ter conhecimento sobre o objectivo da seguran a de informa o de qualquer organiza o Deste modo afirmar Clesio 2008 que a Seguran a de Informa o a protec o das informa es de uma empresa ou pessoa isto aplica se tanto as informa es corporativas quanto as pessoais podendo este ser afectada por factores comportamentais e de uso de quem se utiliza dela pelo ambiente ou infra estrutura que a cerca ou por pessoas mal intencionadas que t m o objectivo de furtar destruir ou modificar tal informa o Nesta linha de pensamento leva se dizer que um dos objectivos da seguran a de informa o a protec o das informa es e activos de uma organiza o ou empresa contra os furtos ou ataques proporcionados com ou sem inten o de prejudicar a organiza o Portanto da responsabilidade de qualquer organiza o proteger os seus activos contra qualquer males que possam surgir Contudo a solu o adequada da seguran a de informa o passa pela satisfa o das v rias caracter sticas que segundo Monteiro et al 2000 alguns dos mais reconhecidos s o as seguintes A Autentica o Confidencialidade Integridade Controlo de Acesso N o repudia o e Disponibilidade A figura abaixo ilustra de forma clara a rela o existente entre algumas delas 41 106 Seguran a em sistemas2. es n o estruturadas cuja utiliza o poder ser importante ou vantajoso numa determinada posi o Enquanto informa o o resultado da interpreta o dos dados O autor vai mais al m afirmando que segundo Varaj o 1998 a informa o um grupo de dados que quando colocados num contexto til e importante uma mais valia para tomada de decis o da pessoa ou organiza o que a det m Na mesma perspectiva defende Varaj o 1998 que apesar destes dois conceitos s o em termos de significados diferentes eles est o directamente relacionados A sua liga o similar rela o entre mat ria prima e o produto final obtido a partir da mesma ou seja os dados n o s o informa o at que sejam processados e organizados de modo a possibilitar a sua compreens o e utiliza o Partindo da ideia do autor acima referido isto quer dizer que os dados e a informa o s o dois conceitos que derivam entre si isto n o existe informa o sem antes existirem os dados e os dados existem por si s independentemente de existirem informa o Dados para serem informa o tem que passar por um processo de transforma o Para melhor compreender a diferen a entre dados e informa o analisa se a figura abaixo Figura 1 Actividades dos sistemas de informa o 25 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Na figura acima apresentado v se que o sistema de inf
3. o e suas caracter sticas na perspectiva de v rios autores de seguida faz se uma breve abordagem sobre os tipos da seguran a de informa o onde debru a se sobre a seguran a l gica e f sica sendo este ltimo com maior destaque Dentro da seguran a f sica foram abordados os seguintes pontos Seguran a dos recursos humanos ou pessoas onde ainda dentro deste assunto trata se da quest o de forma o e sensibiliza o dos utilizadores e o processo de recrutamento do pessoal como elemento importante da seguran a de organiza o Aborda se ainda assunto como seguran a dos centros de processamentos de dados e ou instala o e por ltimo seguran a dos equipamentos De seguida apresenta se a an lise de risco em seguran a de informa o onde dentro deste assunto destaca se alguns conceitos considerado importante para a compreens o do mesmo fala se dos diferentes tipos de riscos as principais etapas de an lises de riscos e por ltimo o sistema de gest o da seguran a de informa o Tamb m apresenta se as pol ticas da seguran a de informa o onde debru a se sobre conceitos e algumas perspectivas de pol ticas da seguran a de informa o fala se da pol tica de seguran a de Password de Email de acesso a internet e de uso de esta o de trabalho Trata se ainda do planeamento da seguran a de informa o destacando se os tipos de planos da seguran a de informa o onde dentro deste assunto aborda se especif
4. execu o e avalia o da pol tica energ tica e de dessaliniza o bem como pela apresenta o de propostas visando o crescimento a melhoria e o aumento da produtividade e competitividade do sector Integra os seguintes servi os gt Servi o das energias convencionais e dessaliniza o respons vel pelo funcionamento do sistema de energia e dessaliniza o da seguran a do abastecimento em condi es de igualdade de tratamento qualidade competitividade e desenvolvimento dur vel amigo do ambiente gt Servi o das energias renov veis e efici ncia energ tica o servi o respons vel pela promo o e colabora o de normas regulamentos e especifica es t cnicas relativos a instala es de convers o de energias renov veis e de incremento da efici ncia no uso da energia 81 106 Seguran a em sistemas de informa o governamentais o caso do MTIE gt Unidade de gest o de projectos especiais assegura a gest o e execu o de todas as actividades necess rias concretiza o dos projectos sob sua responsabilidade colaborando na execu o de outras actividades inerentes ao seu mbito de actua o Direc o geral da ind stria e com rcio DGIC o servi o respons vel pela apresenta o de propostas relativas concep o execu o e avalia o das pol ticas sectoriais para a ind stria e para o com rcio bem como pela coordena o em mat rias relacionadas com a i
5. o de um plano de substitui o de aus ncia com a identifica o clara da posi o chave na organiza o Mamede 2006 Para Grilo amp Magalh es 2006 o objectivo da seguran a do pessoal a minimiza o de risco de falhas humana roubo fraude ou mau uso dos recursos da organiza o Para isso todos os funcion rios devem estar sensibilizados com a pol tica da seguran a da empresa Ela deve englobar os seguintes t picos gt A forma o dos funcion rios sobre as amea as e outros aspectos da seguran a de informa o gt O recrutamento e ou promo o de empregados id neos para o cargo relacionado com acesso a informa o considerados sens veis 46 106 Seguran a em sistemas de informa o governamentais o caso do MTIE gt A respostas a incidentes de forma a diminuir os preju zos causados por falhas da seguran a accionando a aceita o de medidas de correc o adequadas gt Medidas disciplinares para funcion rios que transgrediram os procedimentos e as pol ticas da seguran a 2 1 2 1 1 A forma o e sensibiliza o dos utilizadores De acordo com Torres et al 2003 uma das formas de ajudar os utilizadores a adoptar a seguran a a sensibiliza o que pode ser feita tanto por campanhas de divulga o como atrav s de sess es de esclarecimentos e forma o mostrando lhes as raz es do que lhes solicitado e a forma segura de realizar as suas actividades
6. o deste trabalho foram definidos os seguintes objectivos 1 1 Objectivo Geral gt Avaliar a situa o actual dos Sistemas de informa o governamental mais precisamente no Minist rio do Turismo Ind stria e Energia do Governo de Cabo Verde no que tange an lise e gest o de risco em seguran a de informa o 1 2 Objectivos Espec ficos gt Compreender o conceito dos Sistemas de informa o e a sua import ncia para a organiza o institui o gt Descrever a evolu o hist rica dos Sistemas de informa o e os principais tipos de sistemas de informa o 20 106 Seguran a em sistemas de informa o governamentais o caso do MTIE gt Explicar os principais aspectos da seguran a em Sistemas de informa o bem como as suas pol ticas e planos de seguran a gt Explicar as etapas de an lises de risco e sistemas de gest o da seguran a de informa o bem como os tipos de risco existentes gt Conhecer a situa o da seguran a de informa o no Minist rio do Turismo Ind stria e Energia MTIE gt Propor melhorias da seguran a em Sistemas de informa o no MTIE caso necess rio 2 Metodologia Para a realiza o deste trabalho optou se pela abordagem qualitativa atrav s de consultas bibliogr ficas como livros artigos e sites da internet visto que para a elabora o de qualquer trabalho cient fico primeiramente tem que ter suporte te rico que serve de alicerce a pa
7. o governamental em Cabo Verde Segundo o N cleo Operacional para Sociedade de Informa o NOSI o sistema de informa o governamental foi criado juntamente com a Comiss o Interministerial para a Inova o e Sociedade de Informa o CIISI atrav s da Resolu o n 15 2003 do Conselho de Ministros O NOSI pertence ao Estado e o principal fornecedor de servi os do sistema de informa o para o governo de Cabo Verde e t m por miss o propor e executar as medidas e pol tica nas reas da inova o da sociedade de informa o e da governa o electr nica em Cabo Verde 3 3 1 Sistemas de informa o no Governo de Cabo Verde As informa es relativas aos Sistemas de Informa o em Cabo Verde foram fornecidas por um respons vel da NOSI no papel de Director geral da Tecnologia de Informa o Eng Senhor Lumumba 74 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Existem v rios sistemas de informa o desenvolvidos pelo NOSI no Governo de Cabo Verde de entre elas destacam os seguintes gt Sistema Integrado de Gest o Or amental e Financeira SIGOF sistema desenvolvido pelo NOSI para gest o financeira do Estado de Cabo Verde cujo objectivo fazer o controlo or amental a gest o das despesas das receitas e das contas p blicas Hoje este sistema permite a prepara o a execu o e controlo dos or amentos geral do Estado possui um sistema nico de cobran a
8. 2010 Nessa tabela os dados s o lan ados por colaboradores da C mara do Com rcio de Sotavento no site porton di n s ilhas Os colaboradores do MTIE utilizam este sistema para visualizar os dados lan ados e avaliar a situa o de todos os operadores licenciados Este sistema permite saber o nome da empresa em que ilha e concelho ficam a empresa que tipo de empresa est cadastrado que actividade executa o seu estado de Alvar o seu capital social licen a contacto n mero de identifica o n meros dos seus trabalhadores quantidade ou volume de neg cios e entre outras informa es considerados pertinentes para o seu funcionamento 86 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Da an lise aos dados da empresa no caso de anomalias a empresa ser contactada pela direc o geral de ind stria e com rcio DGIC para a regula o do mesmo caso contr rio deixar o de fazer parte dos operadores licenciado na C mara de Comercio de Sotavento 2 3 2 T tulo de Com rcio Externo TCE on line um aplicativo inform tico desenvolvido e utilizado pelo MTIE para satisfazer os pedidos de t tulo de com rcio externo em linha TCE on line Este pedido pode ser feito por nome de requerente NIF ou ainda pelo n mero do TCE on line como se pode ver na figura abaixo TITULO DE COMERCIO EXTERNO TCE LISTA DE PEDIDOS TCE NIF TCE n E Estado Estado w Despachante Despachante
9. Bookman 3 Edi o ILTEC 1993 Dicion rios de termos inform ticos Lisboa Edi o Cosmos ISA AS Pedro 2001 An lise de Sistemas de Informa o Lisboa Pal cio Ceia Rua da Escola Polit cnica LAMAS Estela P R et al 2001 Contributos para uma metodologia Cient fica mais Cuidada Lisboa Editora Instituto Piaget LOPES C Filomeno et al 2005 Desenvolvimento de sistema de Informa o Lisboa Editora de Inform tica MAGALH ES Hugo amp GRILO Alberto 2006 A seguran a inform tica e o neg cio electr nico Porto Editora SPI Sociedade Portuguesa de Inova o S A 100 106 Seguran a em sistemas de informa o governamentais o caso do MTIE MAMEDE S Henrique 2006 Seguran a inform tica nas organiza es Lisboa Avenida Praia da Vitoria Porto Rua Dami o de G is Coimbra Avenida Em dio Navarro Editora de inform tica Lda MONTEIRO Edmundo et al 2000 Engenheira de Redes Inform tica Lisboa Editora Inform tica Lda MORAES F Alexandre amp CIRONE C Ant nio 2003 Redes de computadores da Ethernet Internet S o Paulo Editora rica RASC O Jos 2001 Sistemas de Informa o para Organiza es a informa o chave para tomada de decis o Lisboa Edi es S labo Lda RODRIGUES Lu s Silva 2002 Arquitectura dos Sistemas de Informa o Lisboa Editora de Inform tica SAWAYA R M rcia 1999 Dicion rio
10. Existia a figura do arquivador que era o principal organizador dos dados quando necess rio faz lo 29 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Ainda defende esses mesmos autores que esse m todo apesar de simples exigia um grande esfor o para manter os dados actualizados bem como para recuper los As informa es em pap is tamb m n o possibilitavam a facilidade de cruzamento e an lise dos dados Por exemplo o invent rio de stock de uma empresa n o era uma tarefa trivial nessa poca pois a actualiza o dos dados n o era uma tarefa pr tica e quase sempre envolvia muitas pessoas aumentando a probabilidade de ocorrerem erros Idem 2008 No entender de Isa as 2001 at d cada de 80 o poder de computa o nas organiza es encontrava se concentrado e a informa o separada e espalhada Na pr tica os mainframes eram o principal respons vel pelo processamento de toda a informa o e existiam terminais que n o possu am capacidade de processamento nos quais os utilizadores faziam os seus trabalhos Afirma ainda o autor que actualmente a tend ncia que o poder de computa o nas organiza es se encontre descentralizado e a informa o seja partilhada pelos diversos utilizadores nas organiza es No ponto de vista de Varaj o 1998 os sistemas de informa o consistiam apenas no processamento manual de dados para apoio do pro
11. Tal como outras organiza es o governo tamb m pode ser estruturada em tr s n veis ao n vel estrat gico ao n vel administrativo ou de gest o t ctico e ao n vel operacional onde cada um destes n veis representa um n vel diferente de controlo Idem 1995 Para as Na es Unidas 1995 atendendo aos tr s n veis das organiza es acima mencionados os sistemas de informa o governamental podem ser divididos em tr s tipos de sistemas fazendo parte destes os operacionais de informa o de gest o e os de apoio a tomada de decis o Ver cap tulo 1 que explica de forma clara os diferentes tipos de sistemas de informa o Tamb m refere ainda o autor que existe mais dois tipos de sistemas de informa o que tamb m s o de grande import ncia para a administra o p blica gt O sistema de gest o e recupera o de documentos DMRS Sistemas com o objectivo de manipular dados entre o governo apoiar texto forma de imagem dados de udio e v deo em tempo real Tamb m este sistema fornece os utilizadores muito mais flexibilidade do que a base de dados para organizar e visualizar os dados cr ticos O que diferencia DMRS Sistemas de gest o e recupera o de documentos do SGBD Sistemas de gest o de bases de dados a sua capacidade de gerir informa o semi estruturados ou n o como por exemplo o texto em execu o em um arquivo de texto ou os padr es de bit mapped em um fax ou desenho digitalizado
12. a de informa o onde dentro deste assunto destaca se alguns conceitos considerado importante para a compreens o do mesmo fala se dos diferentes tipos de riscos as principais etapas de an lises de riscos e sistema de gest o de seguran a de informa o 39 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Tamb m apresenta se as pol ticas de seguran a de informa o onde aborda se sobre conceitos e algumas perspectivas de pol ticas de seguran a de informa o fala se da pol tica de seguran a de Password de Email de acesso a internet e de uso de esta o de trabalho Trata se ainda do planeamento de seguran a de informa o destacando se os tipos de planos de seguran a de informa o onde dentro deste assunto aborda se especificamente os planos de conting ncias sendo este constitu do por mais tr s tipos de planos de seguran a o plano de administra o de crise o plano de continuidade operacional e o plano de recupera o de desastre 2 Seguran a de informa o e suas caracter sticas Partindo do pressuposto que a organiza o de hoje est confrontada com problema da seguran a em toda rea do neg cio devido a r pida transforma o tecnol gica foi apresentado aqui as propriedades consideradas importantes para a seguran a de qualquer organiza o Na ptica de Torres et al 2003 a seguran a dever ser pensada em moldes conc ntricos e de profundidade com
13. a dos sistemas de informa o governamental de uma forma geral e por ltimo particularizando o realidade Cabo verdiana 2 Conceito do governo Segundo a Constitui o da Rep blica de Cabo Verde art 185 governos s o rg os superiores administrativos p blicos cuja fun o definir dirigir e executar a pol tica geral interna e externa do pa s Normalmente um governo encontra se estruturado por rg os representativos do povo formado por um Primeiro ministro Ministros e Secret rio de Estado CRCV art 186 De acordo com Varican 1999 governos s o grupos de organiza o institui o e lideran a respons veis pela administra o p blica e pela direc o dos Estados Ele pode ser classificado 68 106 Seguran a em sistemas de informa o governamentais o caso do MTIE quanto ao regime de governo podendo ser governo de Rep blica e Monarquia quanto forma de governo podendo ser Parlamentarismo Presidencialismo e Formas mista de governo e tamb m quanto aos regimes pol ticos como governo Democr tico e Ditatoriais O papel do governo prestar servi os aos cidad os O processo de administra o p blica consiste no processamento de dados informa o A fun o do governo colectar e processar dados e informa es sobre os indiv duos fam lias organiza es e empresa que de seguida apoiados nos dados e informa o recolhida produzem novas informa es para o p blico tais como pol
14. o Vicente e representa o MTIE nas Ilhas de S o Vicente S o Nicolau e Santo Ant o Ela alberga as antenas do Cabo Verde Investimentos da Agencia para o Desenvolvimento Empresarial e Inova o e os servi os da Inspec o geral das Actividades Econ micas gt Direc o regional centro DREC tem sede na ilha do Sal e representa o MTIE nas Ilhas de Sal e da Boa Vista Ela engloba as antenas do Cabo Verde Investimentos da Ag ncia para o Desenvolvimentos Empresarial e Inova o e os servi os da Inspec o geral das Actividades Econ micas 83 106 Seguran a em sistemas de informa o governamentais o caso do MTIE 2 2 A infra estrutura tecnol gica do MTIE Infra estrutura tecnol gica Quantidade Servidor Impressoras M quinas fotocopiadoras Videoprojectores Retroprojectores Quadro 1 Infra estrutura tecnol gica do MTIE O quadro acima representa a infra estrutura tecnol gica do MTIE De acordo com os dados analisados o MTIE encontra se bem apetrechado a todos os n veis principalmente no que tange aos computadores A liga o em rede permite a interliga o entre os diferentes departamentos de modo a garantir o acesso r pido as informa es fazendo com que o funcionamento da institui o seja o adequado Em rela o Internet o MTIE possui uma largura de banda de cerca de 2MB s garantindo a todos os colaboradores o acesso a aldeia global Servi os Wireless n o est o dispon ve
15. rio E uma t cnica baseado em senhas que consiste na cifragem das palavras de um dicion rio e posterior compara o com os arquivos de senhas do utilizador Ataque DoS Do ingl s Denial of Service que significa nega o de servi o Actividade maliciosa utilizado por atacante atrav s de um computador para tirar de opera o um servi o ou computador conectado Internet Background Baixa prioridade cor de fundo fundo segundo plano Processo ou tarefa que tem um n vel de prioridade inferior dentro da aloca o de tempo do processador com rela o tarefa executada em primeiro tempo Backup C pia de seguran a Um arquivo auxiliar imagem do arquivo fonte utilizado como base de recupera o de dados quando da ocorr ncia de um defeito ou perda de dados Bancos de dados Conjuntos formados por v rias bases de dados Base de dados Conjuntos de dados habitualmente muito extensos com uma determinada estrutura 14 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Bits Binary digit ou d gito bin rio Uma unidade de informa o de um equipamento de armazenamento A capacidade em bits um logaritmo de base dois do n mero de poss veis estados do equipamento Com rcio electr nico ou e commerce s o transac es comercial onde as partes interagem electronicamente ou seja s o t cnicas e tecnologias computacionais utilizadas para facilitar
16. ticas estrat gias planos regulamentos e diversos servi os ao p blico As tecnologias de informa es s o utilizadas para suportar o processamento de informa es dos governos incluindo a recolha de dados armazenamento processamento dissemina o e utiliza o Na es Unidas 1995 3 Sistemas de informa o governamental Segundo Favero et al 2006 devido ao melhoramento de comunica o acompanhado da din mica das ferramentas tecnol gicas pode se entender que os sistemas de informa o s o importantes para organiza es p blicas porque possuem elementos que facilitam o controlo e a presta o de contas dos resultados do mesmo com a sociedade Para os mesmos autores o motivo da utiliza o dos sistemas de informa o na administra o p blica como forma de viabilizar o controlo e garantir mais seguran a e transpar ncia justificado pela moderniza o pela melhoria na gest o administrativa financeira tribut ria e patrimonial De acordo com as Na es Unidas 1995 os governos s o os maiores utilizadores de TI E normalmente as TI s o utilizadas nas reas de tributa es gest o financeira estat stica seguran a social ordenamento do territ rio agricultura e outras reas como a de pol cia defesa e seguran a nacional e investiga o etc 69 106 Seguran a em sistemas de informa o governamentais o caso do MTIE 3 1 Tipos dos sistemas de informa o governamental
17. B5es pdf gt Consultado em 27 04 2010 BEUREN Maria Ilse amp MARTINS Waltrick Luciano 2001 Sistema de Informa es Executivas Suas Caracter sticas e Reflex es sobre sua Aplica o no Processo de Gest o Dispon vel lt http www eac fea usp br cadernos completos cad26 Revista 26 part I pdf gt Consultado em13 04 2010 CHAVES C O Eduardo amp FALSARELLA Mina Orandi 2008 Sistemas de Informa o e Sistemas de Apoio Decis o Dispon vel lt http www chaves com br TEXTSELF COMPUT sad htm gt Consultado em13 04 2010 CIMA Fernando s d Seguran a na Microsoft Coment rios e an lises sobre a seguran a da informa o Dispon vel lt http blogs technet com fcima archive 2006 10 05 Como Definir sua Pol 2600 iacute 3B00 tica de Senhas aspx gt Consultado em 18 05 2010 CLESIO Flavio 2008 Seguran a de informa o B sico Dispon vel lt http info abril com br forum viewtopic php f 122 amp t 371 gt Consultado em 03 05 2010 COSTA E Carlos 2007 Sistema de informa o sistemas de gest o empresarial Dispon vel lt http www administradores com br informe se producao academica sistemas de informacao sistemas de gestao empresarial 358 gt Consultado em 08 04 2010 102 106 Seguran a em sistemas de informa o governamentais o caso do MTIE FAURI T Roberto 2009 Adote uma politica de seguran a em seu computador part
18. apud Bazzotti amp Garcia s d que um TPS um sistema computadorizado que est ligado a execu o das transac es repetitivas e rotineiras da empresa de modo a agilizar e facilitar a resolu o dos trabalhos Este tipos de sistema disponibiliza informa o do tipo rotineiro como o caso de folha de pagamentos notas fiscais e relat rios exigidos pela empresa De acordo com Luz 2009 os objectivos principais do TPS s o gt Processar dados gerados por e sobre transac es ou seja capturar processar armazenar transac es e produzir v rios documentos relacionados s actividades comercias gt Manter um alto grau de precis o ou seja processamentos de dados sem erros e ainda produzir relat rios e documentos em tempo real aumentando a efici ncia do trabalho gt Assegurar a integridade dos dados e da informa o ou seja assegurar que todos os dados e informa es armazenados nas bases de dados estejam exactos actuais e apropriados Na mesma perspectiva defende Boghi amp Shitsuka 2002 que o objectivo principal do TPS apoiar opera o e processar os dados de transac es dos neg cios das organiza es Neste tipo de sistemas os dados transaccionados s o normalmente simples como o caso de telas de colectas de dados relat rios simples os quais n o envolvem muita complexidade Os bancos de dados s o abastecidos com os dados transaccionais e geram se relat rios simples para o pes
19. de Recrutamento do pessoal No que tange ao processo de recrutamento o autor Torres et al 2003 diz que uma fase muito cr tica Para os autores no caso de um cargo a ser ocupado por um novo pessoal cr tico em rela o a seguran a de informa o a pessoa seleccionada para ocupar este cargo dever ser informada de todas as regras e princ pios da seguran a de informa o a respeitar na organiza o Refor a o autor Mamede 2006 que preciso disponibilizar informa o ao novo funcion rio de modo a lhe permitir a familiariza o com as normas e procedimentos estabelecidos pela organiza o Segundo Mamede 2006 o processo de recrutamento do funcion rio para uma organiza o exige um background para que a organiza o n o correr o risco de contratar pessoal com registo criminal inform tica ou atitudes anormal com a tica inform tica em outras organiza es O autor defende ainda que quando recrutado um novo funcion rio para a organiza o deve estar definido o que tem de ser criado a n vel de sistema para que este possa ter acesso aos equipamentos inform ticos 2 1 2 2 Seguran a dos centros de processamentos de dados e ou instala o As instala es constituem o primeiro per metro f sico para a organiza o bem como o foco prim rio da seguran a A infra estrutura computacional que inclui os computadores pessoais servidores equipamento de rede e demais recursos computacionais utilizados na organi
20. de pol ticas p blicas com impacto directo na competitividade da economia do nosso pa s sobretudo no investimento p blico na produtividade e melhoria do ambiente do neg cio 3 WWW mece SOV CV 79 106 Servi o de Estudos f Plancamento c Coopera o N Servi o de Gest o dos Recursos Humanos Financeiros c Patrimoniais Acompanhamento Seguran a em sistemas de informa o governamentais o caso do MTIE Servi o de Pol ticas Estudos c Mercados Servi o de de Actividades Tur sticas J Servi o do Com rcio J Servi o da Ind stria j f Servi ode 1 Actividades Econ micas c Vistoras Servi o de Energias Renov veis c Efici ncia Encrg tic Servi o de Encrgias Convencionais c Dessaliniza o Unidade de Gest o de Projectos Especiais Figura 13 Organigrama do MTIE FONTE Dispon vel em www mecc gov cv 2 1 Estrutura organizativa os rg os da administra o e gest o O MTIE constitu do pelos respectivos rg os O Conselho Nacional do Turismo o rg o consultivo para as grandes op es da pol tica do turismo e sua rela o com a pol tica de desenvolvimento do pa s O Conselho do Minist rio o rg o consultivo integrado pelo Ministros pelos dirigentes dos servi os centrais do MTIE pelos assessores do Ministro e pelos dirigentes dos servi os aut nomos e dos organismos da administra o indirecta
21. e T A A T As 1 1 Contributo dos sistemas de informa o na organiza o asssassseaanneaneeenesnaansnnnnnsennsnressnasnsennne 2 EVOLU O DOS SISTEMAS DE INFORMA O ssssssssnesssssssrresrsssssrseerrerssesteresssesesrrerrsssssrrerisesereerrerrsseseererrsseseeree 3 TIPOLOGIAS DOS SISTEMAS DE INFORMA O rran sea aaan aaa a a T a aa AA aa EETA 3 1 Sistemas de informa o transaccional TPS ou SIT rrrierereeeearreeeee na raeaaaeeraanrreeeaaas 3 2 Sistemas de informa o para gest o SIG ou MIS 3 3 Sistemas de automa o de escrit rio e sistema de conhecimentos do trabalho 3 4 Sistemas de apoio decis o SAD ou DSS rir trreeeearara aa aeee aa aeee nar iaaenaarenaanareeanata 3 5 Sistemas de suporte ao executivo ESS ou SIE iitrreeeee errar eaaereeenreeeenar aaa na aeenanaaaeenata CAP TULO 2 A SEGURAN A EM SISTEMA DE INFORMA O c rr rereerereeeereerereesereeraransa 39 1 ENQUADRAMENTO s12 220244 Seres ans ai Noah Ea dana SA dad an Gana a a ENE CR CR ASA Ea E E EE ad ACE e Senen E Eni ass Saa na iaa ideada iane na 2 SEGURAN A DE INFORMA O E SUAS CARACTER STICAS ceti sis c ce reerereaeacaeearenannaaeaaarareneaaacaaranna 2 1 Tipos de seguran a de informa o iiieertrrereaaeeraa ta aeeeaa aeee nano rea aa aeee nar aee naaeeaaanaare ana 2 1 1 Segurarica L BICA PEE E A ERA A E eo SEO E AD soa dad a SP ER iii SN 2 1 2 Seguran a Fisica sc nem is adote Soo as deus
22. e executar transac es comerciais de bens e servi os atrav s da Internet Data Mining ou Minera o de dados o processo de an lise de dados a partir de perspectivas diferentes e resumi lo em informa o til Data Warehouse um reposit rio grande de dados armazenados electronicamente de uma organiza o desenhado para facilitar a comunica o e an lise Drill down navegar dos dados sumarizados aos dados detalhados E business uma aplica o de tecnologias de informa o e comunica o no apoio de todas as actividades de neg cio E mail Ou correio electr nico sistema de computa o que permite a troca de mensagens mediante o uso de modem ou comunica o de algum tipo de escrita com envio e recep o usando computador Engenheira social M todo de ataque onde uma pessoa faz uso da persuas o muitas vezes abusando da ingenuidade ou confian a do utilizador para obter informa es que podem ser utilizadas para ter acesso n o autorizado a computadores ou informa es Feed back Processo de entrada e sa da de dados informa o de um sistema Gateway Computador ou material dedicado que serve para interligar duas ou mais redes que usem protocolos de comunica o internos diferentes ou computador que interliga uma rede local Internet portanto o n de sa da para a Internet 15 106 Seguran a em sistemas de informa o governamentais o ca
23. f sicos s 45 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Z instala es e s condi es sob as quais dado esse acesso E preciso identificar os m todos de acesso f sico os procedimentos de permiss o ou nega o de acesso as restri es as horas de opera o os pontos de contacto para acesso e os procedimentos para a resposta a incidentes Portanto um documento da seguran a f sica bem desenvolvida deve abranger os princ pios de controlo de acesso servi os de propaga o de inc ndios o abastecimento de energia o sistema de ar condicionados e a seguran a dos recursos humanos etc Carneiro 2002 2 1 2 1 Seguran a dos recursos humanos ou pessoas No que diz respeitos seguran a dos recursos humanos ou de pessoas que no dizer de Promon Business amp Technology Review 2005 os recursos humanos ou pessoas s o um dos componentes mais importante da seguran a de sistemas de informa o isto porque elas s o respons veis por todas as tarefas realizadas na organiza o come ando desde a forma o dos profissionais encarregados da seguran a at a sensibiliza o da organiza o como um todo Sendo assim a pol tica de recursos humanos devem conter um conjunto de aspectos n o t cnicos relacionados com a admiss o e sa da do pessoal do quadro dos recursos humanos da organiza o a atribui o de n veis de autoriza o de funcion rios e a contempla
24. identificar o motivo relacionado com as vulnerabilidades do tratamento da informa o da compreens o dos diversos ambientes do contexto governamental e da aceita o de um modelo da seguran a que minimiza os v rios efeitos das vulnerabilidades A modelagem da seguran a nas suas diversas formas um dos componentes que influi na credibilidade de um sistema de computadores conectado ou n o em rede Esta sob um contexto mais amplo prop e um maior controlo sobre os activos de informa o assim como sobre os servi os disponibilizados pelas diversas reas do Governo Torna mais tang vel a avalia o da qualidade dos servi os e a responsabiliza o sobre o uso indevido ou a m administra o de tais recursos Lima et al 2000 O modelo de seguran a de informa o MSI nas institui es p blicas deve guiar para os seguintes detalhes conforme ilustra a figura abaixo idem 2000 71 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Estrat gias Operacionais Estrat gia de Seguran a da Informa o SISP Avalia o e Conformidade de Produtos de Seguran a Modelagem dos processos de seguran a Modelo de seguran a e seu objetivo Modelagem da seguran a f sica Modelagem da seguran a l gica Modelagem da seguran a humana Modelagem do fluxo de informa o Pol ticas de dassifica o da informa o Defini o de n veis de seguran a Identifica o do conte do do
25. implementar operar e monitorar de forma proactiva a seguran a de informa o De acordo com Promon Business amp Technology Review 2005 este sistema n o resolve na totalidade os problemas da seguran a mas trata de sistematizar a gest o de risco e descrever as melhores pr ticas para trat los Um documento de SGSI deve abarcar tr s elementos da seguran a de informa o as pol ticas os processos e os procedimentos da seguran a de informa o Por m ainda de acordo com ISSO IEC 17799 s d apud Promon Business amp Technology Review 2005 a implanta o do sistema de gest o da seguran a de informa o deve ser semelhante a dos sistemas de gest o da qualidade e meio ambiente abarcando o ciclo de PDCA Plan Do Check Act que significa em portugu s planear executar verificar e agir Baseado nos autores Grilo Alberto amp Magalh es Hugo 2006 A seguran a inform tica e o neg cio electr nico em linha dispon vel em lt http www spi pt negocio electronico documentos manuais PDF Manual VII pdf gt consultado em 12 05 2010 55 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Figura 9 Ciclos do sistema de gest o de seguran a de informa o FONTE PROMON Business amp TECHNOLOGY Review 2005 gt Plan Ciclo que permite delinear um conjunto de orienta es para estabelecer a seguran a de informa o de acordo com os objectivos do ne
26. institui o ou da pr pria pessoa e que ponham em risco a seguran a deste N o permitido fazer a transfer ncia da informa o dos clientes para terceiros sem a autoriza o pr via do MTIE ou seja isso s se faz caso o MTIE entender que ben fico tanto para o cliente como para o servi o da institui o 92 106 Seguran a em sistemas de informa o governamentais o caso do MTIE 5 4 Promo o e mudan a de fun o Na presen a de promo o de um colaborador para outras fun es o departamento de recursos humanos devem informar com anteced ncia o servi o de NOSI no sentido de mudan a de acessos aos servi os para qual foi promovido Tamb m todas as informa es existentes no anterior posto de trabalho do colaborador promovido devem ser eliminados no intuito de garantir a seguran a das suas informa es 93 106 Seguran a em sistemas de informa o governamentais o caso do MTIE 6 Proposta de melhoria O MTIE depara se com alguma car ncia dos sistemas de informa o na rea do turismo e energia Por isso deve apostar na introdu o de um sistema de informa o integrada que permite melhorar a comunica o e relacionamento com as empresas do turismo e energia tanto privada como p blica Uma op o vi vel seria a implementa o de uma interface interactivo que permite a institui o obter informa o conhecer e comunicar com todas as empresas do turismo e energia existente no pa s Est
27. modelo de seguran a Apresenta o do modelo para avalia o e implanta o Modelagem da integra o Pol ticas e objetivos Modelo de Plano de Conting ncia Modelo de Auditoria Dimensionamento Organizacional Ainda em discuss o An lise Or ament ria na C mara T cnica e Anfiiso de Risco o MSI deve orientar se An lise de Vulnerabilid ade Pol ticas de Utiliza o por este detalhamento do Ambiente Estrat gia de Autentica o Estrat gia de Servi os Comfi veis Credita o Estrat gia de Confidend alidade Privacidade Estrat gia de Seguran a nas Transa es de Neg cios e business Requisitos de Seguran a na Rede de Defesa Detalh amentos pars Implementa o Procedimentos de Auditoria Figura 11 Modelo da seguran a de informa o para administra o p blica FONTE LIMA et al 2000 72 106 Seguran a em sistemas de informa o governamentais o caso do MTIE 3 2 1 Fases do modelo da seguran a de informa o Segundo Miranda et al 2003 o modelo da seguran a de informa o MSI deve incluir as seguintes etapas de avalia o projecto implementa o gest o suporte forma o e conscientiza o em seguran a da informa o nos seus processos e produtos Conforme ilustra a figura abaixo Figura 12 Fases do MSI para administra o p blica FONTE LIMA et al 2000 gt Avalia o a fase de an lise das necessidades
28. o 4 Pol ticas da seguran a de informa o Partindo da perspectiva que a informa o e sistema de informa o s o componentes indissoci veis para qualquer organiza o ent o alguma pol tica da seguran a deve ser implantada de forma a assegurar o funcionamento do mesmo De acordo com Ed Titel 2003 n o existem uma nica pol tica da seguran a para todos os sistemas de informa es mas existem alguns pontos em comum que devem ser importante para qualquer organiza o Diz Freitas amp Lauro s d que numa pol tica de seguran a de informa o os pontos em comum que podem ser utilizados em qualquer organiza o abarcam os seguintes t picos gt Declara o do comprometimento da alta administra o com a PSI apoiando suas metas e princ pios gt Objectivos da seguran a da organiza o gt Defini o de responsabilidades gerais na gest o da seguran a de informa es gt Orienta es sobre an lise e gest o de riscos gt Princ pios de conformidade dos sistemas computacionais com a PSI gt Padr es de controlo de acesso a recurso e sistemas computacionais 57 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Classifica o de informa es de uso irrestrito interno confidenciais e secretas Procedimentos de preven o e detec o de v rus Princ pios legais que devem ser observados quanto tecnologia da informa o direitos de prop
29. planeamento operacional t ctico e estrat gico da organiza o gt Suprir gerentes com informa es para que estes possam comparar o desempenho actual da organiza o com o que foi planeado gt Produzir relat rios que auxiliem os gerentes na tomada de decis es 34 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Tamb m defende Boghi amp Shitsuka 2002 que o SIG incluem o planeamento a coordena o e o controlo isto fornecem informa es gerais dos sistemas orientados para opera o Os relat rios telas ou transac es s o relativamente simples e em formatos preestabelecidos Ao fazer uma an lise comparativa entre TPS e SIG pode se concluir que a principal diferen a existente que o TPS tem a vis o da organiza o a partir de cada opera o com cada cliente quer interno ou externo a organiza o enquanto o SIG busca agregar os dados de determinada opera o fornecendo informa es consolidadas sobre aquela opera o num determinado per odo de tempo para que o gerente tenha uma ideia clara e geral daquele tipo de opera o Freitas et al 2001 3 3 Sistemas de automa o de escrit rio e sistema de conhecimentos do trabalho Segundo Freitas et al 2001 com o advir da era tecnol gicos e de informa o sentiu se necessidade de automatizar os servi os realizadas nos escrit rios surgindo assim os sistemas de automa o que ajudariam tanto os executivos da orga
30. que engloba sistemas de informa o departamental sistemas de informa o inter empresas sistemas de informa o empresarial Classifica o do SI de acordo com a rea funcional sistemas de informa o que actua a n vel departamental que suporta as reas tradicional da organiza o Classifica o do SI de acordo com a arquitectura dos sistemas sistemas baseados num computador central sistemas baseados em computador pessoal sistemas baseados em sistemas distribu dos ou em redes Classifica o do SI de acordo com os processos de neg cio client relationship management CRM supply chain management SCM enterprise resource planning ERP Defende ainda Luz 2009 que os SI podem ainda ser classificado de acordo com o tipo de apoio fazendo parte destes sistemas 3 1 Sistemas de informa o transaccional TPS ou SIT E o primeiro sistema desenvolvido e utilizados actualmente pela maioria das organiza es pois tem grande import ncia para a organiza o isto porque suporta as actividades tais como 32 106 Seguran a em sistemas de informa o governamentais o caso do MTIE monitorar colectar armazenar processar e distribuir os dados da empresa e as transac es centrais como compra de material controlo de stock e outras opera es realizados dentro da organiza o servindo como base para outros sistemas existindo dentro do mesmo Freitas et al 2001 Diz Laudon amp Laudon 2001
31. textos si texto pdf gt Consultado em 08 04 2010 LAUREANO P A Marcos 2005 Gest o de seguran a da informa o Dispon vel lt http www mlaureano org aulas material gst apostila versao 20 pdf gt consultado em 03 05 2010 LAURO Jos amp FREITAS M V Marcus s d Politicas de seguran a da informa o Dispon vel lt http www viniciusmaia com br wp content uploads 2009 07 Artigo PoliticaSeguranca pdf gt Consultados em 14 05 2010 103 106 Seguran a em sistemas de informa o governamentais o caso do MTIE LIMA Oliveira de N Jos et al 2000 Fundamentos do Modelo de Seguran a da Informa o Dispon vel lt http www redegoverno gov br eventos arquivos Mod Seg Inf pdf gt Consultado em 16 06 2010 LUZ C J Carlos 2009 Sistema de informa o Dispon vel lt http moodle cv unipiaget org course view php id 44 gt Consultado em 22 04 2010 MAC DO C Rodrigo amp TRINTA M A Fernando 1998 Um estudo sobre Criptografia e Assinatura Digital Dispon vel lt http www diufpe br flash ais98 cripto criptografia htm gt Consultado em 31 05 2010 MEDEIROS R D Carlos 2001 Implanta o de medidas e ferramentas de seguran a da informa o Dispon vel lt http www linuxsecurity com br info general TCE Seguranca da Informacao pdf gt Consultado em 05 04 2010 MIRANDA Amaral Rafael et al 2003 Seguran a da Informa o no Gove
32. v Confirmar TCE N Nome Requerente Dt Pedido D Opera o 514 Q AC TRINDADE SERVI OS DE EXPLORA O E PRODU O AGRICOLA LDA 12 01 2010 Importa o O INFOTEL LDA 14 01 2010 Importa o O CAL EANGELA LDA 15 01 2010 Importa o O EMPROFAC SARL EMPRESA NACIONAL DE PRODUTOS FARMAC UTICOS 27 01 2010 Importa o Figura 15 TCE on line FONTE MTIE 2010 Este sistema permite localizar um pedido TCE de forma mais r pida sem percorrer a lista de pedidos disponibilizados manualmente Para se ter acesso ao servi o de TCE o utente deve estar cadastrado no portal Para tal deve entrar no site porton di nos ilha atrav s do endere o www portondinosilha cv e de seguida fazer a sua autentica o no portal introduzindo o username e password Depois de se autenticar no sistema username e password o utilizador 87 106 Seguran a em sistemas de informa o governamentais o caso do MTIE deve fazer um cl que sobre o separador D G COMERCIO e de seguida escolhe a opera o desejada de acordo com os m dulos apresentados O TCE on line permite realizar um conjunto das actividades tais como pedidos de TCE pesquisa de um pedido TCE ver informa o do ciclo de vida do TCE lista de artigos pautais ver anexos TCE bem como imprimir os TCE Em rela o aos servi os do turismo e energia constata se que a institui o trabalha a base do plano estrat gico de desenvolvimento do turismo para o
33. vista a incrementar os n veis de protec o contra acessos n o autorizados Segundo esta l gica os bens mais preciosos dever o encontrar se mais perto do centro das instala es obrigando passagem por diversos n veis de valida o Pelo contr rio os componentes menos valiosos ou mais facilmente substitu veis poder o ficar em zonas perif ricas menos protegidas mas nunca dispensando por completo um qualquer tipo de salvaguarda Segundo Mamede 2006 a seguran a n o um processo est tico mas sim um processo que est em constantes muta es e de dif cil gerir e controlar Ela est associado a risco e preven o do mesmo ou seja a seguran a a capacidade que temos para prevenir que as ocorr ncias indesejadas se concretiza ou pelo menos tentar minimizar que ac o mal intencionada ou indesejado se causarem estrago maior aos nossos sistemas 40 106 Seguran a em sistemas de informa o governamentais o caso do MTIE No entender do Boghi amp Shitsuka 2002 n o pode se falar da seguran a de informa o sem antes levar em conta as quest es tais como a seguran a contra v rus de computadores a seguran a contra furtos de informa o equipamentos software a seguran a contra fraudes informatizadas o trabalho de auditorias de computador a seguran a contra pirataria os aspectos da inform tica associada a disputas jur dicas e outros aspectos de seguran a contra infort nios em inform tica
34. A O GOVERNAMENTAL ccscmses 68 1 ENQUADRAMENTO EEE E pasa nana or aan ana an Sa aaa asa E E RP ana tava nRE Acer dcdr once ETE 2 CONCEITO DO GOVERNO co ses ceze paso sporacime di pudins des add a e SO Tao Ga aU Dea Eh aa G ni ca es aaa A Ea Gap ana aae SRD 3 SISTEMAS DE INFORMA O GOVERNAMENTAL ecciii ss si ci irirr ec ecererereneraaacaacearananaaaaa arara aa nana na arara ana aeaaaranana 3 1 Tipos dos sistemas de informa o governamental 3 2 Seguran a em sistemas de informa o governamental 3 2 1 Fases do modelo da seguran a de informa o 3 3 Seguran a em sistema de informa o governamental em Cabo Verde 8 106 Seguran a em sistemas de informa o governamentais o caso do MTIE 3 3 1 Sistemas de informa o no Governo de Cabo Verde e reeererereereerereeerenereneranneseaneranos 74 CAP TULO 4 O CASO DO MTIE 2sas a ando era saetasos Gerar seta S NNO Sesi Ponce esa ousada receaa 78 1 ENQUADRAMENTO ssy 5s 45 sand sea roms aan aeaaea Sha aan a ra Gas DA AD aeea p eE e aaa EE nas a SEA Ee eaan san 78 2 O MINIST RIO DO TURISMO IND STRIA E ENERGIA DE CABO VERDE cccceererereeneeeererereeaeeeaerereereaaneaansserereeaa 79 2 1 Estrutura organizativa os rg os da administra o e gest o saaeeaneensanesaonnennsnrennsnesnsnnsennna 80 2 2 A infra estrutura tecnol gica do MTE rir ertreeeearaeeea at aeee aerea na
35. A seguran a em sistema de informa o hoje considerada um importante instrumento para a melhoria da competitividade e de desenvolvimento de qualquer organiza o Actualmente 19 106 Seguran a em sistemas de informa o governamentais o caso do MTIE esta modalidade ganhou novas perspectivas no campo das organiza es e passou se a destacar como um excelente instrumento para a dinamiza o e o desenvolvimento dos servi os administrativos do governo Aparece como uma solu o ao combate aos ataques dos piratas inform ticos s invas es dos v rus inform ticos os roubos da informa o os acessos n o autorizados isto um verdadeiro mecanismo de suporte s actividades das organiza es Cabo verde como um pa s de desenvolvimento m dio a quest o da seguran a em sistemas de informa o no governo tem sido muito importante para o desenvolvimento das actividades econ micas bem como para melhorar a seguran a a n vel interno e externo das organiza es Por conseguinte essa seguran a uma das apostas firmes do governo fazendo parte do plano estrat gico de desenvolvimento Neste contexto enquadra se este trabalho com o intuito de aperceber a situa o actual dos Sistemas de Informa o Governamental em geral mais precisamente no Minist rio do Turismo Ind stria e Energia do Governo de Cabo Verde no que tange an lise e gest o de risco em seguran a de informa o 1 Objectivos Para a elabora
36. Euclides V Rocha SEGURAN A EM SISTEMAS DE INFORMA O GOVERNAMENTAIS O Caso do MTIE Minist rio do Turismo Ind stria e Energia Universidade J ean Piaget de Cabo Verde Campus Universit rio da Cidade da Praia Caixa Postal 775 Palmarejo Grande Cidade da Praia Santiago Cabo Verde 28 11 10 Euclides V Rocha SEGURAN A EM SISTEMAS DE INFORMA O GOVERNAMENTAIS O Caso do MTIE Minist rio do Turismo Ind stria e Energia Universidade J ean Piaget de Cabo Verde Campus Universit rio da Cidade da Praia Caixa Postal 775 Palmarejo Grande Cidade da Praia Santiago Cabo Verde 28 11 10 Euclides V Rocha autor da monografia intitulada Seguran a em Sistemas de Informa o Governamentais declaro que salvo fontes devidamente citadas e referidas o presente documento fruto do meu trabalho pessoal individual e original Cidade da Praia aos 30 de Setembro de 2010 Euclides V Rocha Mem ria Monogr fica apresentada Universidade Jean Piaget de Cabo Verde como parte dos requisitos para a obten o do grau de Licenciatura em Inform tica de Gest o Sum rio Este trabalho monogr fico cujo tema Seguran a em Sistemas de Informa o Governamentais tem como objectivo avaliar a situa o actual dos Sistemas de informa o governamental em geral mais precisamente no Minist rio do Turismo Ind stria e Energia do Governo de Cabo Verde no que tange an lise e gest o de risco em seguran a de inf
37. SUC e uma interface que permite fazer o acompanhamento ao cidad o Este sistema uma ferramenta Web Oriented que possibilita a participa o de forma descentralizada de todas as institui es p blicas do Estado nas diferentes fases de gest o or amental e financeira gt Sistema Nacional de Identifica o e Autentica o Civil SNIAC sistema que permite modernizar todos os sistemas de registos civis e centrais do pa s Incorpora interface e bases de dados para disponibilizar e gerir cart o nacional de identifica o Este sistema permite os hospitais fazer pedidos de registos de nascimento on line permite as C maras Municipais intervir na requisi o de registos prediais permite tamb m as embaixadas e servi os diplom ticas fazer emiss o de certid es on line e muitos outros servi os gt Sistema de Informa o Municipal SIM tamb m desenvolvido e implementado pelo NOSI o sistema que engloba a instala o de infra estruturas inform ticas de centros de dados redes locais e sistemas de informa o de todas reas de gest o municipal tais como taxas de impostos licenciamentos gest o de terrenos gest o financeira gest o de recursos humanos etc Permite a integra o de munic pios na rede do Estado mantendo os ligados a Internet gt Sistema Eleitoral o sistema que permite todos os cidad os nacionais residentes no pa s a recensear se Possui interface de recolhas de assinaturas digi
38. a O sistema permite fazer registos das entradas e sa das atrav s de impress o digital ou atrav s de c digo de acesso O registo de entrada e sa da atrav s de impress o digital processa da seguinte forma o funcion rio ap s ser registado no sistema coloca o dedo no aparelho de registo localizado na porta pressionando o at ouvir o sistema dizer acesso permitido ou n o Em rela o ao c digo de acesso o funcion rio digite o seu c digo de identifica o e a sua password esperando pelo acesso permitido por sistema O sistema ainda d a possibilidade de fazer registo para um conjunto de op es como op o 1 Almo o op o 2 Reuni o op o 3 Consulta M dica op o 4 Assunto pessoal e op o 5 Desloca o em miss o de servi os No final de cada m s o sistema permite gerar relat rios de faltas tanto a n vel individual como em grupo de todos os colaboradores do MTIE 5 2 Processo de recrutamento Ainda em rela o a seguran a do pessoal sabe se que todo o processo de recrutamento realizado de acordo com a lei vigente e mediante o an ncio do concurso p blico e realizado pelo departamento de recursos humanos 5 3 Protec o da informa o dos colaboradores O MTIE o principal respons vel pela protec o das informa es dos seus colaboradores Ele pro be e sanciona qualquer colaborador da institui o que utilize as informa es de terceiro Cliente para fins diferentes do interesse da
39. a o e sistemas de informa o na organiza o 26 106 Seguran a em sistemas de informa o governamentais o caso do MTIE identificando alguns dos seus aspectos principais atrav s de defini es simultaneamente rigorosas e pr ximas do que comummente aceite Tecnologias de informa o TT s o conjuntos de hardware e software interligadas entre si de forma a recolher processar armazenar procurar e disponibilizar informa o Isa as 2001 Sistemas de informa o SI um sistema que recolhe processa armazena e distribui informa o relevante para a organiza o de modo que a informa o seja acess vel e til para aqueles que dela necessitam incluindo gestores funcion rios clientes Um sistema de informa o ainda um sistema de actividade humana social que pode ou n o envolver a utiliza o de computadores Buckingam 1987 apud Lopes et al 2005 O avan o na sociedade de hoje exige uma nova forma de estruturar a organiza o e uma das formas de acompanhar essas mudan as passa pela introdu o dos sistemas de informa o na organiza o como forma de agilizar e dar resposta eficientes eficazes a sociedade Dai que considera se importante destacar o contributo dos sistemas de informa o na organiza o 1 1 Contributo dos sistemas de informa o na organiza o Do ponto de vista do autor Rasc o 2001 a rela o entre o neg cio e o SI est a aumentar cada v
40. a o governamentais o caso do MTIE Figuras FIGURA 1 ACTIVIDADES DOS SISTEMAS DE INFORMA O cccccereeeeererererenene ne rereeeraaaaanererreereaeaa ana ereeneaaaa aa ecerereranaaaasso 25 FIGURA 2 COMPONENTES DOS SISTEMAS DE INFORMA O ccceeerererereeaeeanererereranaaanerereeeeaaanaaaasereeneaaaa aa rererereaananasso 26 FIGURA 3 EVOLU O DOS SISTEMAS DE INFORMA O ccccerreereeneerrerererenenaanrereraeaaaa an eecereereaaaa aaa ereereaaneaanacerereeaananaaso 31 FIGURA 4 CLASSIFICA O DOS SISTEMAS DE INFORMA O SEGUNDO A ACTIVIDADES QUE APOIAM 38 FIGURA 5 CARACTER STICAS DA SEGURAN A DE INFORMA O ccceeeererereeaeeeneserereeeeaenesso 42 FIGURA 6 TIPOS DA SEGURAN A DE INFORMA O cccceeeeereeeeaeeeenerereereaeaa ane rereeaeaaeaa aaa ererreaaaa ana erreneeaeaa ana ereerraanaaaaso 44 FIGURA 7 COMPONENTES DE AN LISES DE RISCOS cccececeereeeeerererenaeaeareeaeerarar area arara rare re rare rare ne rece ne ne nararerererererererererero 51 FIGURA S ETAPAS DE AN LISE DE R C Oa 550 ensine otras cos a a a a a a a Arade SALSA ST dada dada Saias doce aAa aa aAa dedo dida Dede Eaa 53 FIGURA 9 CICLOS DO SISTEMA DE GEST O DE SEGURAN A DE INFORMA O nssssssesssesssererresssrrresrerrsssssrrerreseserrerressseseereereses 56 FIGURA 10 ASPECTO DA PSI DE UMA ORGANIZA O cccccererereeeeeerererereaena ane rereeeraaaa ane rerrerreaaaa aaa c err
41. a nar E A ars rig da Gio tania 2 1 2 1 Seguran a dos recursos humanos ou pessoas 2 1 2 2 Seguran a dos centros de processamentos de dados e ou instala o isemeeemees 48 2 1 2 3 Seguran a dos equipamentos crer cera neaenanaarena ceara anarenanaaeananarenanaaarannaa 3 AN LISE DE RISCOS EM SISTEMA DE INFORMA O ici ice ce rerrerereacaacrareneneaaaa arara nene aa arara na acaaaranana 3 1 CTIPOS DeTISCOS sia arresan dat EEE TA A GU TEA E aba Do dA AT EE E RE va FDS 3 2 Etapas de an lise de MISCO Tarhonen ne de Doado dada Se da CAN Da AAA dad di dente ed a ado 3 3 Sistema de gest o da seguran a de informa o 4 POL TICAS DA SEGURAN A DE INFORMA O 4 1 Pol tica de Password 4 2 Pol tica de E mail 4 3 Pol tica de acesso a lhterneL au eansinisaseirmus am iaaa a dei raia dengue dada aaa dd dede a dra dido Dean sea 4 4 Pol tica de uso de Esta o de trabalho ice eraeeeea aa aeee aerea aa reee aaa aaa na aeee naaeeeanata 5 PLANEAMENTO DA SEGURAN A DE INFORMA O ccis iii iris r cer erererenaeneaeca aeee aa naaaararen eae nc ae arara na aaanana 51 Tiposde planis ssiass nseiere varias i e Lona aiii aa a e aa ae a dani A DAE dA SOAM R CAS nad da 5 1 1 Plano de conting ncia si 5 1 1 1 Plano da Administra o de Crise 5 1 1 2 Plano de Continuidade Operacional 5 1 1 3 Plano de Recupera o de Desastres CAP TULO 3 A SEGURAN A EM SISTEMA DE INFORM
42. a pr pria senha Tamb m importante compreender contra o qu estamos nos protegendo ao aplicar uma pol tica de senhas De acordo com Fauri 2009 a mudan a peri dica de senhas uma pr tica que deveria ser considerada uma rotina por todos os utilizadores em especial pelos internautas Em tempos onde o roubo de informa es o principal objetivo de amea as digitais a ado o de alguns conceitos relacionados seguran a de dados crucial Infelizmente as pessoas geralmente esperam o pior acontecer para ent o tomar medidas que deveriam ser consideradas corriqueiras a ado o de simples normas em seu dia a dia far com que tenha menos problemas relacionados ao roubo de senhas Sendo assim importante considerar aqui um conjuntos de normas e regras que devem ser definida e respeitada universalmente por toda organiza o no uso da pol tica de senha De 60 106 Seguran a em sistemas de informa o governamentais o caso do MTIE acordo com os autores Cima F s d amp Fauri 2009 uma pol tica de senha segura deve respeitar os seguintes regras Exigir tamanho m nimo e complexidade do password com a mistura de letras n meros simbolos mai sculas e min sculas de forma a evitar ataques de for a bruta ou dicion rios Fazer a troca peri dicamente da pol tica de senha pelomenos num prazo de tr s a quatro meses Bloquer a conta do utilizador ap s v rios tentativas de autentica o re
43. a proposta pode n o ser bem sucedido sabendo que a introdu o do sistema de informa o numa organiza o implicar aumento elevado do custo para a institui o mas tamb m a introdu o de um interface pode melhorar a qualidade e o relacionamento na presta o de servi os da institui o Em rela o aos servi os do com rcio e ind stria elas est o bem sistematizados pelo que n o necess rio o aumento ou a melhoria do mesmo mas denota se algumas dificuldades por parte dos colaboradores em utilizar esse sistema por isso prop e que todos os utilizadores desses sistemas passassem por um processo de forma o espec fica de modo a saber utilizar o sistema O MTIE mesmo tendo o NOSI como respons vel pela presta o de servi os de infra estrutura tecnol gico e sistema de informa o deve recorrer a uma outra op o isto por causa da morosidade do NOSI na presta o do servi o Esta op o deve passar pela aposta no recrutamento ou na forma o de um t cnico na rea de inform tica ao qual permite resolver problemas pontuais que surgem durante os servi os Constata se atrav s da recolha e an lise de dados que ao n vel da seguran a de informa o no MTIE os colaboradores est o bem sensibilizados mas conclui se que n o existe directrizes claras que penaliza os colaboradores a n o cumprimento das pol ticas de seguran a da informa o definida pelo MTIE Por isso a partir deste facto prop e s
44. a responsabilidade do NOSI gt Todos os colaboradores t m direito a protec o das suas informa es dentro da institui o Em t tulo de conclus o queria deixar uma mensagem de motiva o s autoridades pol ticas que sustentam o nosso governo no sentido de continuarem a apostar firmemente no processo da introdu o do sistema de informa o no governo que possam torn la mais seguro e mais competitivo com sistemas mais actualizados e que estendem na a toda franja do governo Aos profissionais desta rea uma palavra de encorajamento no sentido de abra arem com todo o amor a rea da seguran a inform tica e que fa am um bom uso do conhecimento para o bem do pa s 99 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Bibliografia BOGHI Cl udia amp SHITSUKA Ricardo 2002 Sistemas de Informa o Um enfoque din mico S o Paulo Editora rica CARNEIRO Alberto 2002 Introdu o Seguran a dos Sistemas de Informa o Lisboa Editora da inform tica Constitui o da Rep blica de Cabo Verde 2007 Praia Editora Assembleia Nacional ED Titel 2003 Teoria e problemas de rede de computadores Porto Alegre Editora artmed S A FERREIRA Jorge 1995 Manual t cnico de seguran a dos sistemas e tecnologias de informa o Editora Instituto de inform tica FOROUZAN Behrouz A 2006 Comunica o de dados e redes de computadores Porto Alegre
45. a tem tica seguran a de informa o 2 1 Tipos de seguran a de informa o Na abordagem seguran a de informa o pode se encontrar dois tipos a seguran a l gica e a seguran a f sica que em princ pio embora sejam diferentes complementam se entre si Nesta sess o faz se uma an lise profunda da seguran a l gica e f sica sendo este ltimo com maior destaque Ver a figura abaixo Seguran a em sistema q de informa o 2 Forma o de Auditores gica cocos V rus de Computador Portas Corta Fogo DD PP Figura 6 Tipos da seguran a de informa o FONTE Adaptado de BOGHI amp SHITSUKA 2002 44 106 Seguran a em sistemas de informa o governamentais o caso do MTIE 2 1 1 Seguran a L gica Segundo Clesio 2008 a Seguran a L gica S o fronteiras ou barreiras que impedem ou delimitam o acesso a informa o que encontra em espa o controlado geralmente electr nico e que de outro modo ficaria exposta a modifica o n o autorizada por elemento mal intencionado Este mecanismo envolve investimento em softwares de seguran a ou elabora o dos mesmos Esta defini o faz um resumo bastante claro daquilo que autor Carneiro 2002 cita na sua abordagem a seguran a l gica onde diz que este inclui basicamente tr s componentes a seguran a de software o controlo de acesso autorizados dos utilizadores e a seguran a ou protec o dos dados dos processos e d
46. acionais e anal ticas que expressam matematicamente rela es entre vari veis Os pacotes de software de sistemas de apoio decis o podem combinar componentes de modelos para criar modelos integrados de apoio a tipos espec ficos de decis es Silva 20005 36 106 Seguran a em sistemas de informa o governamentais o caso do MTIE de formas gr ficas de apresenta o de resultados s o pouco ou mesmo n o estruturados e caracteristicamente s o utilizados pela alta administra o de uma empresa Os dados para utiliza o nesses sistemas s o seleccionados a partir de drill down de bancos de dados de outros sistemas j mencionados acima Segundo Furlan Ivo amp Amaral 1994 apud Beuren amp Martins 2001 os SIE possuem as seguintes caracter sticas gt Possuem apresenta o de dados atrav s de recursos gr ficos de alta qualidade recuperam informa es de forma r pida para a tomada de decis o e ainda destinam se a atender s necessidades de informa o dos executivos gt Oferecem facilidade de uso intuitivo n o necessita de treino espec fico em inform tica e s o desenvolvidos de forma a adaptar se na cultura da empresa e no estilo de tomada de decis o de cada executivo gt Filtram resumem acompanham e controlam dados ligados aos indicadores de desempenho dos factores cr ticos de sucesso e proporcionam acesso a informa es detalhadas subjacentes s telas de sumariza o organ
47. aere aaa rena na arena naareeanata 84 2 3 Sistema de informa o do MTIE ii iirreeeertrieee nano eeaa aa aeea aa aaae nano rea na aeee ana rane nano eae naaeee ana 85 2 3 1 Tabelaidin mica sus AA EEEE PE a Ie as IRES SAIR UT TES RAE EE TO E ana 86 2 3 2 T tulo de Com rcio Externo TCE on line ceerecereacererereneeranereneeneneranersanereneesano 87 3 POL TICAS DA SEGURAN A DE INFORMA O NO MITIE cceii seis eeererrrererene e rrerreaeaa ana eererereranan ac erereranananaanaso 88 3 1 Utilizadores permiss es e password iieiteeentrereeaaeantanaaearerae arena aeaaea nana nana ao aeee ae nnaaaaeaseanenanea 88 3 2 Utiliza o de e mail correio electr nico iiirrereeetrieaeeaaeeaa na reeeeaaa aeee naaeeranaareeanaa 89 3 3 Utiliza o de antiv rus novos sistemas softwares e outros equipamentos inform ticos 89 3 4 Utiliza o da linha telef nica iiieertrtieeeaareaee na aeeea na rare nana rena nero rea aaa ana na aeee nano een naaraeana 89 355 Acess DO Pr dIO neinir a aA o Desa nl Ananda SUR IAN aaa AE E e 89 3 6 Acesso dO Servidor aaa iai aea ad nai aa iei ASS Na UT RD DA dead ei ab ad danado 90 4 PLANOSDESEGURAN A EA E AAEE Iuasgima cennbno lago ade ca DLEDO gatas E EEA 90 4 1 C pia de seguran a dos dados Backups 90 4 2 Servi os de Seguros iiiiemrttareeasereanrarirenes DO 4 3 Sistema de Preven o de acidente 90 5 SEGURAN ADOS RECURSOS HUMANOS e terzsm
48. alizado de forma incorrectas de modo a proteger contra ataques de for a bruta e dicion rio Memorizar a sua senha em vez de o guardar em qualquer lugar e evitar memorizar senhas oforecidas por v rios sites e softwares ou ent o fazer o uso desse recurso somente em seu pr prio computador Evitar o uso da mesma senha para todos os registos realizado na internet Em nota de resumo afirma Mamede 2006 que o password como um elemento importante de identifica o de utilizadores deve ser criado gerido e definida de forma clara especificando as etapas a seguir e as autoriza es necess rias para a cria o do perfil de utilizador com a respectiva senha Ainda deve estar indicado um conjunto de recumenda es aos utilizadores tais como quais os mecanismos de auditoria a implementar como escolher uma senha e prazos de validade do mesmo 4 2 Pol tica de E mail De acordo com Bastos 2005 pode se dizer que hoje em dia grande parte da comunica o feita atrav s de e mail mas tamb m grande parte dos v rus electr nicas actuais s o enviadas e por esse meio por isso importante conhecer algumas regras e normas que devem ser assimilada por toda a organiza o na utiliza o desse importante meio de comunica o 61 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Diz ainda Bastos 2005 amp Mamede 2006 que existem um conjunto de regras e procedimentos que devem ser s
49. ano 2010 2013 Portanto todos os projectos j se encontram criados no concelho de Ministros e o MTIE apenas executa os projectos de acordo com as suas prioridades Nestas reas a institui o apresenta um grande d fice em termos de utiliza o de algum sistema de informa o para o apoio a realiza o dos Servi os 3 Pol ticas da seguran a de informa o no MTIE 3 1 Utilizadores permiss es e password Todos os utilizadores do sistema para ter acesso as informa es no MTIE deve possuir um login e uma password criados pelo pessoal do sistemas de informa o do NOSI Quem deve fornecer os dados referentes aos direitos do utilizador o respons vel directo pela chefia que deve preencher uma ficha e entreg la ao departamento de recursos humanos e este entregar aos servi os central de NOSI que por sua vez faz o registo do utilizador Se houver a necessidade de cria o de um novo utilizador do sistema da institui o o respons vel pelo novo utilizador dever comunicar a sua necessidade ao NOSI por meio de email memorando ou telefone informando sobre as fun es e necessidades em termos de software do novo funcion rio O NOSI ao fazer o registo do novo funcion rio lhe informar sobre a sua nova password e que este deve ser obrigatoriamente alterado ap s realizar a primeira entrado no sistema e ainda ap s isso a cada final do m s recomenda se a mudan a de password por quest es de seguran a 88 106 Segura
50. cas e servi os em execu o abarcando o pessoal e outros recursos n o computacionais e dever incluir as seguintes aspectos gt Identifica o e prioriza o das actividades cr ticas gt Avalia o do impacto potencial dos v rios tipos de acidentes desastres nas actividades da organiza o gt Identifica o e aprova o de todas as responsabilidades e medidas de emerg ncia gt Documenta o dos m todos e processos aprovados gt Forma o do pessoal 64 106 Seguran a em sistemas de informa o governamentais o caso do MTIE gt Teste dos planos gt Actualiza o dos planos 5 1 Tipos de planos No ponto de vista do mesmo autor existem tr s tipos de plano da seguran a de informa o Conting ncia Reposi o e Recupera o e cada plano da seguran a dever ter diferentes n veis isto porque cada n vel ter incid ncias diferentes e poder envolver diferentes equipas de recupera o 5 1 1 Plano de conting ncia Freitas amp Lauro s d diz que Actualmente inquestion vel a depend ncia das organiza es aos computadores sejam eles de pequeno m dio ou grande porte Essa caracter stica quase generalizada por si s j capaz de explicar a import ncia do Plano de Conting ncias pois se para fins de manuten o de seus servi os as organiza es dependem de computadores e de informa es armazenadas em meio electr nico o que fazer na ocorr ncia d
51. cesso de decis o o papel relat rios dactilografados ou manuscritos era o principal suporte da informa o No entanto ap s o desenvolvimento do primeiro computador comercial na d cada de cinquenta 1951 o computador passou a assumir o processamento de dados fazendo o uso das grandes capacidades de c lculos e armazenamento que foram sendo desenvolvidas As ideias dos autores acima referidos s o convergentes e permitem formular o seguinte resumo antes de existirem os computadores j existiam SI mas s que traziam junto muitas dificuldades Contudo com o advir dos computadores tudo ficou mais f cil de analisar processar recuperar e disponibilizar informa o por parte das pessoas e organiza es Para melhor compreender a evolu o do sistema de informa o o autor Varaj o 1998 no seu livro planeamento de sistema de informa o e o autor Freitas et al 2001 prop e nos uma 30 106 Seguran a em sistemas de informa o governamentais o caso do MTIE figura que apresenta a evolu o dos diferentes tipos de sistemas de informa o sobre tipos do sistemas de informa o iremos aprofundar mas adiante neste cap tulo bem como a poca dominante de cada um A N vel T tico MIS SIG A N vel Operacional A Nivel Operacional T ctico Estrat gico ES SEZ IS SIE Figura 3 Evolu o dos sistemas de informa o FONTE FREITAS et al 2001 amp VARAJ O 2002 Importa se relembrar que a
52. cias download Seguranca 4Web pdf gt consultado em 03 05 2010 SILVA F Jos s d Sistema de Informa es Ger ncias e a Contabilidade de Custos Dispon vel lt http www sappiens com pdf comunidades contabilidad SIG CONT sappiens pdf gt Consultado em 19 04 2010 SILVA F Candido s d Seguran a em sistemas de informa o Dispon vel lt http ensino univates br chaet Materiais apres candido completa pdf gt Consultado em 29 04 2010 SILVA L I Luiz et al 2005 Guia Livre Refer ncia de Migra o para Software Livre do Governo Federal Organizado por Grupo de Trabalho Migra o para Software Livre Bras lia Dispon vel lt http www softwarelivre gov br documentos oficiais gt Consultado em 29 09 2010 SILVA V Cristiano 2005 Proposta de um sistema de apoia decis o para supermercado Dispon vel lt http www mba unifei edu br tccs TCCMB AO4Cristiano pdf gt Consultado em 27 04 2010 SOUZA J Rubens 2001 Implementa o de servidor web seguro com windows server 2003 para a empresa caixa econ mica federal Dispon vel lt http www rjs eti br arg TCC RubensSouza pdf gt Consultado em 25 05 2010 SPANCESKI R Francini 2004 Pol tica de seguran a da informa o Desenvolvimento de um modelo voltado para institui es de ensino Dispon vel lt http www mlaureano org aulas material orientacoes2 ist 2004 francini politicas pdf gt Consultad
53. continuidade de servi os Planejamento de capacidade Outros projetos Figura 10 Aspecto da PSI de uma organiza o FONTE LAUREANO P A Marcos 2005 59 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Pode se dizer ent o que uma PSI um documento formal escrita e divulgada por uma organiza o com objectivo de regulamentar o funcionamento do mesmo Por m ela deve ser um documento simples e objectivas que abrange todos os activos da organiza o possibilitando uma compreens o r pida por parte dos colaboradores de sistema de informa o da organiza o De acordo com Freitas amp Lauro s d aconselh vel que numa organiza o existe um departamento encarregado pela seguran a de informa es que inicia o processo de cria o de pol tica da seguran a de informa o bem como coordenar sua implanta o aprov la e revis la al m de designar fun es da seguran a Tamb m importante que as pessoas da rea cr tica da organiza o sejam elementos participativos do processo de elabora o da PSI 4 1 Pol tica de Password Segundo Cima F s d importante ter em mente que uma pol tica de senhas um controlo da seguran a e antes de definir uma pol tica de senha devemos compreender os riscos que queremos evitar que dependem inclusivamente do valor do que est sendo protegido com a senha e dos outros controlos de acesso que existem adicionalmente al m d
54. cretiza o deste maravilhoso sonho Um grande agradecimento ao Euclides Horta Rocha que sem o seu apoio n o seria poss vel a concretiza o desta longa caminhada Obrigado tio Agrade o a toda popula o de Rinc o e a todos colegas da Universidade Jean Piaget de Cabo Verde e em especial aos meus maravilhosos companheiros do curso pela for a e coragem que me deram Aos amigos Janilo V Branca V Batata Da Costa pelos vossos excelentes contributos Obrigado Maltas A todos os colaboradores do NOSI e MTIE pela aten o e apoio incondicional que me prestaram durante a realiza o do trabalho A minha fam lia obrigado pelo vosso carinho Seguran a em sistemas de informa o governamentais o caso do MTIE Conte do ABREVIATURAS s2222 essas E ant cond ga doa SE Ta ET Guto EAE SN aa E SON CUT CS RU O EE 12 GLOSS RIO ss cars qures eis Css nes dei eae Dir ai an CD EE TE CR a UNS AD A CEC e 14 1 OBJECTIVOS EE A E aaa ico o Sia ENA SRA CEO A PIA A EN DUO QRO CC E RENA Duo REAGE ANNA Que Dor et na EE 20 1 1 Objectivo Geral 1 2 Objectivos Espec ficos 2 METODOLOGIA raana a nae aaia a iaa anaa Aaaa a i aa aAA ea a aaa a daaa LCA DESA Te uni tea Lite daaa uia Nida OaE PEE hd 3 ESTRUTURA E E TAA O A eds angra inseri casadas CAP TULO 1 INTRODU O AOS SISTEMAS DE INFORMA O ccceeeeemeeeeserereseeeaseserenerenesaesseesarenesaa 24 1 CONTEXTUALIZA O aa T a a e e Aa ET
55. dades e as diferentes solu es para a organiza o Carneiro 2002 Ap s conhecer os poss veis riscos que possam afectar o sistema de informa o de uma organiza o importa agora conhecer quais s o as etapas de an lise do mesmo A sess o que se avizinha aborda de forma profunda os principais etapas de an lise de risco 52 106 Seguran a em sistemas de informa o governamentais o caso do MTIE 3 2 Etapas de an lise de risco Segundo Monteiro 2009 o processo de an lise de risco s o utilizados pela organiza o para identificar o n vel de risco e amea as que envolvem os sistemas de informa o Neste contexto ap s identifica o dos riscos que envolvem os sistemas de informa o cabe a organiza o decidir o que fazer em detrimentos dos riscos identificados da responsabilidade da organiza o elimin los minimiz los compartilh los ou assumi los Na perspectiva de Monteiro et al 2000 o principal objectivo da an lise de risco a identifica o dos activos a proteger a identifica o dos amea as e a determina o dos custos de protec o e da recupera o de um ataque Refor a ainda o autor que ela dever tentar quantificar a probabilidade de sucesso de uma tentativa de ataque avaliando os acessos ao exterior existente o mecanismo de autentica o em utiliza o os mecanismos sistemas de firewall existentes e ainda os potenciais ganhos de um atacante Idem 2000 Deste
56. de inform tica amp Internet S o Paulo Editora Nobel SILVA R Elcelina 2005 Perfil de Utilizador em Redes Locais Praia SILVA R Elcelina 2006 Redes Universit rios Seguran a e Auditoria Praia TORRES B Catarina et al 2003 Seguran a dos sistemas de informa o Gest o estrat gica da seguran a empresarial Lisboa Portugal VARAJ O Q E Jo o 2000 Planeamento de Sistema de Informa o Lisboa Editora de inform tica Z QUETE Andr 2006 Seguran a em redes inform ticas Lisboa Avenida Praia da Vitoria Porto Rua Dami o de G is Coimbra Avenida Em dio Navarro Editora de inform tica Lda 101 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Paginas Web AURELIO Marco 2005 A continuidade de neg cio e o plano de recupera o Dispon vel lt http www malima com br article read asp id 170 gt Consultado em 18 05 2010 BASTOS R Eri 2005 Politica de seguran a Dispon vel lt http www linuxman pro br node 7 gt Consultado em 20 05 2010 BAZZOTTI Cristiane amp GARCIA Elias s d A import ncia do sistema de informa o ger ncial para tomada de decis es Dispon vel lt http www unioeste br campi cascavel ccsa VISeminario Artigos 20apresentados 20em 20Comunica C3 G ATKCI3 hBSes ART 203 20 20A 20import C3 AZncia 20do 20sistema 20de 20informa C3 A 7 C3 A30 20gerencial 20para 20tomada 20de 20decis C3
57. de informa o emerge a seguinte quest o Quais as actividades que fazem parte de um sistema de informa o No entanto para melhor compreender o conceito dos sistemas de informa o e sua import ncia definiu se alguns conceitos que est o inteiramente relacionados com ela e que sem o qual este n o funciona Sistema um conjunto de elementos interligado entre si funcionando como um todo de forma a atingir um objectivo em comum caracterizados por uma entrada inputs produzindo resultados outputs organizados numa determinada organiza o Rasc o 2001 Dados s o factos ou eventos imagens ou sons identificado no seu estado bruto que pode ser importante para a realiza o de uma actividade mas que por si s n o produzem informa o ou seja n o conduz a compreens o do mundo que nos rodeias Idem 2001 Informa o dados organizados e dotados de uma certa import ncia e objectivos para a pessoa ou organiza o que a det m Drucker 1988 apud Lopes et al 2005 Ou ainda podem 24 106 Seguran a em sistemas de informa o governamentais o caso do MTIE ser dados organizados com determinadas regras ou padr es e com significados para a pessoa ou organiza o que a det m Davis amp Botkin 1994 apud Lopes et al 2005 Segundo Rodrigues 2002 dado e informa o s o dois conceitos que relacionam entre si mas s o diferentes isto porque os dados s o eventos separados representa
58. de informa o governamentais o caso do MTIE Confidencialidade Integridade Integridade Confidencialidade Disponibilidade Auditoria ae E 2 Es Confidencialidade Integridade Confidencialidade Integridade Figura 5 Caracter sticas da seguran a de informa o FONTE LAUREANO P A Marcos 2005 E evidente que todas essas caracter sticas s o interdependentes entre si devendo a sua conjuga o ser feita passo a passo de acordo com as necessidades da seguran a espec ficas da rede que por sua vez s o condicionadas pelos objectivos e natureza da organiza o que a det m Monteiro et al 2000 Segundo Laureano 2005 a confidencialidade depende da integridade ou seja se perdemos a integridade de um sistema automaticamente o mecanismo que confere a confidencialidade deixa de ser confi veis Assim tamb m o com a integridade e confidencialidade se perdemos a informa o considerada confidencial como por exemplo a senha do administrador de sistema o mecanismo de integridade podem ser desactivados Tamb m existe uma rela o de depend ncias de auditoria e disponibilidade com a integridade e confidencialidade isto estes mecanismos garantem a auditoria e a disponibilidade do sistema Defende ainda o autor que a combina o correcta das caracter sticas confidencialidade disponibilidade e integridade
59. e tamb m aumenta a probabilidade de ocorr ncia dos riscos e das amea as aos sistemas de informa o Neste contexto todas as organiza es querem estar protegidos das amea as e riscos que possam causar problemas aos seus sistemas de informa o Para Carneiro 2002 a principal causa da inseguran a de um sistema deve se por tr s motivos gt Desconhecimentos t cnicos dos procedimentos fundamentais que garante a seguran a de sistema por partes das pessoas gt A neglig ncia dos utilizadores gt A n o formula o e nem adapta o de uma pol tica de seguran a para a organiza o por partes das decisores das v rios reas estrat gicos da organiza o Para melhor compreender a tem tica an lise de risco definiu se algum conceito considerado importante para a compreens o do mesmo Segundo Z quete 2006 uma vulnerabilidade uma falha no sistema que d o atacante a possibilidade de fazer ataque ao sistema um ataque um conjunto de procedimentos executados por um atacante no mbito de explorar a vulnerabilidade de sistema enquanto 50 106 Seguran a em sistemas de informa o governamentais o caso do MTIE riscos s o danos provocados por realiza o de ataques ao sistema A figura abaixo faz um resume bastante clara da rela o existente entre os principais conceitos Cria oportunidade Vulnerabilidade Reduz Probabilidade Figura 7 Componentes de an lise
60. e 1 Dispon vel lt http www dinx com br 2009 10 adote uma politica de seguranca em seu computador parte 1 gt Consultado em 18 05 2010 FAVERO Luz Hamilton et al 2006 Sistema de informa o cont bil e a sua import ncia para o controle dos bens permanentes do sector p blico Dispon vel lt http www dcc uem br enfoque new enfoque data 1 180136954 pdf gt Consultado em 16 06 2010 FILHO S M Ant nio 2004 Seguran a da Informa o Sobre a Necessidade de Protec o de Sistemas de Informa es Dispon vel lt http Avww espacoacademico com br 042 42amsf htm gt Consultado em 03 05 2010 FREITAS H et al 2001 Sistemas de informa es Um estudo comparativo das caracter sticas tradicionais s actuais Dispon vel lt http www gestaosocial org br conteudo quemsomos ensino area restrita turma 3 se 3 estrategias e instrumentos de desenvolvimento e requalificacao territorial avaliacao e sistemas de suporte a decisao textos prof jair sampaio soares jr textos para leitura Sistemas 20de 20informacoes 20 20um 20estudo 20comparativo 20das 20caracteristicas 20tradicionais 20as 20atuais pdf gt Consultado em 13 04 2010 Gloss rio de Seguran a da Informa o e Internet Dispon vel lt http www smartsec com br glossario seguranca html gt Consultado em 31 05 2010 GOUVEIA B M Lu s s d Sistema de Informa o Dispon vel lt http www2 ufp pt Imbg
61. e ao MTIE a defini o de um documento formal que descreve as san es levadas a cabo pelo n o cumprimento das pol ticas da seguran a de 94 106 Seguran a em sistemas de informa o governamentais o caso do MTIE informa o definida pela institui o nomeadamente suspens o e ou rescis o do contrato de trabalho por parte dos colaboradores 7 Recomenda es Com base nos dados recolhido e analisado conclui se que o NOSI tem optado por uma pol tica de utiliza o do software propriet rio como estrat gia da seguran a de informa o cujo investimento requer custo elevado para a obten o de licen a da sua utiliza o Neste contexto recomenda se ao NOSI a optar por uma pol tica de utiliza o do software livre em detrimento do software propriet rio por seguintes raz es Segundo Silva et al 2005 os softwares livres s o gt Disponibilizados gratuitamente ou comercializado com as premissas de liberdades e instala es plena utiliza o acesso ao fonte possibilidade de modifica o aperfei oamento para necessidades espec ficas e a distribui o de forma original ou modificada com ou sem custo por isso o governo ao utilizar esse tipo de software est a contribuir para a redu o do custo do investimento em rela o a utiliza o do software propriet rio gt Os softwares livres possibilitam a adop o de padr es abertos para o governo electr nico e Gov gt A utiliza o de so
62. e neaana canas erereeaananasso 59 FIGURA 11 MODELO DA SEGURAN A DE INFORMA O PARA ADMINISTRA O P BLICA cccereeeeeeesereeeeereeeeeeserereeaeaaaeseres 72 FIGURA 12 FASES DO MSI PARA ADMINISTRA O P BLICA ccceeeeererereeaee ae ererereranaaaaerereeaneaena aaa ereeneaana aa rererereaenanaaso 73 FIGURA 13 ORGANIGRAMA DO MITIE a FIGURA 14 TABELA DIN MICA irises isini concnigea iia nner na anaia aaia aanak a da dh Lda Eoaea saai i iadaaa a aiaiai FIGURA 15 TCE ON LINE seori annaa a a serasa a A Eae Tas E a AE a A aie FIGURA TG RELOGIO DEPONTO Co aatar a a aae a a E eaaa a aaae a Aaa CTA RT india co cr aaa aaa cado l Sua as Strada aa 11 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Abreviatura ANSI American National Standard Institute CIISI Comiss o Interministerial de Inova o para Sociedade de Informa o CPD Centro de Processamento de Dados CRCV Constitui o da Rep blica de Cabo Verde CRM Client Relationship Management DMRS Sistema de Gest o e Recupera o de Documentos Dos Denial Of Service ERP Enterprise Resource Planning E Gov Governo Electr nico IBM International Business Machines Corporation KWS Sistema de Conhecimento de Trabalho LAN Local Adress Network MSI Modelo da Seguran a de Informa o MTIE Minist rios do Turismo Ind stria e Energia NOSI N cleo Ope
63. e situa es inesperadas que comprometam o processamento ou disponibilidade desses computadores ou informa es Ao contr rio do que ocorria antigamente os funcion rios n o mais det m o conhecimento integral assim como a habilidade para consecu o dos processos organizacionais pois eles s o muitas vezes executados de forma transparente Al m disso as informa es n o mais se restringem ao papel ao contr rio elas est o estrategicamente organizadas em arquivos magn ticos Neste mbito defende Pinheiro 2007 que o objectivo principal de um plano de conting ncia tomar medidas imediata recorrendo aos procedimentos de recupera o dos sistemas corporativos levando em conta o tempo de espera previsto para o restabelecimento da actividade definido pelos gestores do sistema 65 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Segundo Torres et al 2003 o plano de conting ncia s o constitu dos por planos que encontram delineado as respostas iniciais a um incidente por parte de todas reas que comp em uma organiza o quer este ocorra com ou sem aviso pr vio ela abrange todas os procedimentos de emerg ncia descri o das equipas que executam informa o facilitadora da execu o e indica o dos eventos que despoletam os procedimentos Segundo Laureano 2005 amp pinheiro 2007 o plano de conting ncia encontra se subdividido em tr s planos planos de adminis
64. ega de aplicar as restri es caso entender que o uso do mesmo coloca em risco a gest o ou a administra o da institui o Todo o final do m s produzido o relat rio de gasto da linha telef nica ao MTIE com intuito de avaliar o valor gasto pela institui o 3 5 Acesso ao pr dio A seguran a do acesso ao pr dio garantido atrav s de um sistema de vigil ncia e seguran a na porta central do Minist rio que permite controlar a entrada e sa da das pessoas no estabelecimento de servi o O servi o refor ado ainda com uma guarda respons vel pela orienta o e encaminhamento do pessoal ao servi o do MTIE Tamb m a seguran a do pr dio durante dia e noite garantida por uma empresa de vigil ncia e seguran a 89 106 Seguran a em sistemas de informa o governamentais o caso do MTIE 3 6 Acesso ao servidor A sala do servidor fica situada no ltimo piso e com uma nica porta de acesso e encontra se climatizado com uma temperatura de ar condicionado de acordo com as normas O acesso a sala de servidor autorizado apenas ao respons vel dos servi os tecnol gicos do MTIE e do NOSI Uma vez dentro da sala o acesso ao servidor s permitido mediante autentica o username e password expressamente proibido o acesso a sala de servidor por pessoas estranhas 4 Planos de seguran a 4 1 C pia de seguran a dos dados Backups Todos os servi os de backup garantida pelo NOSI e s o feitas sema
65. eguida numa organiza o na pol tica de uso de e mail De entre elas destacam se os seguintes gt N o abrir anexos com extens es Bat Exe Src Link e Com se n o tiver certeza absoluta de quem solicitou esse e mail gt Desconfiar de todos os e mails com assuntos estranhos e ou em ingl s Alguns dos v rus mais terr veis dos ltimos anos tinham assuntos como ILOVEYOU BRANCA DE NEVES etc gt N o reenviar e mails do tipo corrente como por exemplo aviso de v rus avisos de Microsoft AOL Symantec crian a desaparecida crian a doente pague menos em alguma coisa n o pague alguma coisa etc gt N o utilizar o e mail da empresa para assuntos pessoais e nem mande e mails para mais de dez pessoas de uma nica vez to cc bce gt Utilizar sempre sua assinatura criptogr fica para a troca interna de e mails e quando necess rio para os e mails externo gt Devem se alertar os utilizadores para o risco de enviar informa o confidencial do neg cio em mensagens de correio electr nico e mail que podem constituir um perigo para a comunica o gt A dimens o dos anexos das mensagens a enviar deve ter um tamanho m ximo definido de modo a n o haver problemas de nega o de servi o de forma inadvertida ia gt Devem ser declarada que o e mail n o pode ser utilizado para fins ilegais ou incorrectos que transgride os direitos de qualquer tipo de propriedade 62 106 Segu
66. ejam modificar algumas das probabilidades estimadas com base nas fornecidas pelos colegas Ap s um conjunto de revis es todas as estimativas s o novamente reunidas Se os valores forem razoavelmente consistentes a estimativa final inferida Se forem inconsistentes os analistas re nem se novamente para discutir a raz o da incoer ncia e seleccionarem uma estimativa final Grilo amp Magalh es 2006 54 106 Seguran a em sistemas de informa o governamentais o caso do MTIE gt Investiga o de novas solu es tecnol gicas e seus custos E a ltima etapa que consiste na instala o de novas solu es tecnol gicas a n vel de seguran a oferecido e a n vel de custo de aquisi o e instala es dos equipamentos 4 De modo geral afirma Mamede 2006 que a an lise de risco permite fazer uma aproxima o consistente e objectiva s quest es da seguran a de forma horizontal a toda organiza o e sistema abrangendo os sistemas inform tica e todos aqueles que n o est o sob controlo do departamento tecnol gica 3 3 Sistema de gest o da seguran a de informa o Segundo ISO IEC 17799 s d apud Promon Business amp Technology Review 2005 o sistema de gest o da seguran a de informa o SGSP um instrumento de gest o que incorpora a defini o de estrutura da organiza o defini o de pap is pol tica da seguran a da organiza o e a gest o baseada na gest o de risco para
67. eso ce cnrgae aa vans sb cade CER cd rata NeaEeNh Ca TENS ApERh E CRE Cro e aae anca Dina REE paca 91 5 1 Controlo de presen a e seguran a do pessoal ii iiierrtrereeeaeereanaararereea nana arreeaaeaananaarareneanana 91 5 2 Processo de recrutamento etea idas DESDE da da TRI NA Nas aa a ae dO RaV ECA OCA EEN ADI Sa A Cd aiaa 92 5 3 Protec o da informa o dos colaboradores ii iertereeearaeaaaae eee nreeeaaa aeee naaeeraanareenata 92 5 4 Promo o e mudan a de fun o iitrteeeentriieeeaararaa narra ea aa aaae nana rea a aa rere aerea nano eae naaree nana 93 6 PROPOSTA DE MELHORIA js Gs sea saih emo e tes Sedes aa Ea EEE amora a aaa Da pan Saa AA EAEE aa aa E a Rana SAD 94 7 RECOMENDA ES aiaa menta natae odota kana So Cosa RES anDa duo Ten T o Tan Aa Cego Rss aaaea aaaea Saca aM Densa ne Rin Se paso Coca tese data 95 CONCLUS O sata oiee E NOS Rana Dana E E 2 da dad 97 BIBLIOGRAFIA ss cassia sesisicocetgessisadiasecoososansndeos cocos isa Latas cas taei oas sosse esan sdcesiccoca sina casas tcc coa CadsaTaiNiS oS 100 9 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Quadros QUADRO 1 INFRA ESTRUTURA TECNOL GICA DO MTIE eesse crer rrreeeeeerererreae raca ereereeae aa na aarrerreaneaaa aa rererereranaaaaaso 84 QUADRO 2 SISTEMA DE INFORMA O DO MTI Erria are p ec ereerenaneaan p rereaaaaan E aa an cc cer rena se 85 10 106 Seguran a em sistemas de inform
68. ez mais pois estes podem gerar oportunidades de neg cio e criar vantagens competitivas visto que cada dia que passa existe uma maior penetra o das tecnologias da informa o e da comunica o nas organiza es Defende Lopes et al 2005 que ao falarmos dos sistemas de informa o pensamos a priori em organiza o e informa o isto porque existem uma rela o de depend ncia entre elas ou seja n o existe organiza o sem informa o e nem sistema de informa o sem informa o Para Freitas et al 2001 amp Lopes et al 2005 os SI permitem a organiza o 27 106 Seguran a em sistemas de informa o governamentais o caso do MTIE gt Atingir os seus objectivos atrav s da recolha armazenamento processamento e distribui o da informa o gt Lidar com representa es simb licas da organiza o ou seja com a informa o incluindo o trabalho da organiza o do tipo funcional gt Melhorar a tomada de decis o da organiza o transformando a informa o num elemento crucial para a sobreviv ncia da organiza o gt Auxiliam as organiza es a suprirem as necessidades de informa o interna e externa em curto espa o de tempo devido a r pida transforma o do mercado Na mesma perspectiva refor a o autor Luz 2009 que o SI ajuda gt As organiza es ou indiv duos a melhorar os produtos ou os processos da organiza o gt Permitem que uma organiza o
69. facilitam o suporte a organiza o de forma a atingir os objectivos tra ados dando maior confian a aos seus sistemas de informa o Idem 2005 A autenticidade uma outra caracter stica muito importante da seguran a de informa o que de acordo com Monteiro et al 2000 o processo atrav s do qual registado a identidade de um utilizador dispositivos ou processo muito importante para a garantia da seguran a 42 106 Seguran a em sistemas de informa o governamentais o caso do MTIE isto porque para garantir a seguran a de qualquer outra propriedade primeiramente tem que garantir registo ou seja garantir que a pessoa interveniente quem afirma que o N o Repudia o outra propriedade de seguran a de informa o que pro be que certo indiv duo rejeita a realiza o de uma ac o Hoje em dia uma propriedade muito utilizada em aplica es de com rcio electr nico e banc rias idem 2000 Diz Silva 2004 que a n o repudia o e autenticidade s o dois caracter sticas respons veis pela verifica o da identidade e a autenticidade de uma pessoa externo ao sistema de modo que possam assegurar a integridade de origem Por ltimo o Controlo de Acesso que o processo que limitam ou impedem o acesso n o autorizado a certo recurso da organiza o encontra se inclu da nesta propriedade fun es que limitam a quantidade de recursos a utilizar o que de uma forma cor
70. figura aqui analisada foi uma compila o feita de duas figuras proposto por Varaj o e Freitas acima referidos Em suma conclu se que os sistemas de informa o tiveram uma evolu o muito r pida entre 1950 a 1990 Da observa o feita a figura pode se ver que entre o ano 1950 e 1960 surgiu o sistema de processamento transaccional focalizada ao n vel operacional entre o ano 1960 a 1970 surgiu o sistema de informa o para gest o focalizada ao n vel t ctico Nos meados de anos 1970 e 1980 surgiram os sistemas de automa o de escrit rios o sistema de apoio a decis o e os data warehouse data mining focalizada ao n vel operacional t ctico e estrat gico 31 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Entre os meados de anos 1980 e 1990 surgiram os sistemas de informa o para executivos o sistema de informa o para especialista focalizado ao n vel estrat gico A partir do ano 1990 surgiram o sistema de gest o empresarial e o client relationship management CRM focalizado ao n vel operacional t ctico e estrat gico Apoiado na ideia Freitas et al 2001 3 Tipologias dos sistemas de informa o De acordo com Chaves amp Falsarella s d existem v rias formas de classificar os sistemas de informa o No entanto dessas formas o autor Luz 2009 destacou algumas delas como por exemplo Classifica o do SI de acordo com a estrutura organizacional
71. ftware livre faz com que o governo n o depende de um nico fornecedor gt Os softwares livres permitem a elimina o de mudan as compuls rias que os modelos propriet rios imp em periodicamente a seus utilizadores em face da descontinuidade de suporte a vers es ou solu es 95 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Segundo Os rio et al 2005 a exist ncia do software livre de qualidade e dispon vel no mercado ser uma boa solu o para qualquer organiza o sobretudo para as institui es p blicas onde os recursos financeiros disponibilizados s o sempre escassos A utiliza o desse software permitir economizar recursos financeiros gastos para a obten o e licenciamento de software propriet rio e os recursos economizados poder ser utilizados para outros fins dentro da institui o 96 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Conclus o Ao longo deste trabalho fica claro que o sucesso de uma organiza o depende dos sistemas de informa o e da sua seguran a A introdu o do sistemas de informa o nas organiza es mudaram a forma de recolher processar e transmitir a informa o e estas por conseguinte trouxeram grande evolu o no campo da seguran a de informa o No que refere a seguran a em sistema de informa o constata se que os elementos da seguran a de informa o como disponibilidade confidencia
72. funcione como uma unidade onde v rios sistemas s o coordenados e os mesmos dados est o representados da mesma forma em sistemas diferentes Existe uma integra o entre os sistemas quando necess ria gt Focalizam o processamento de dados centrado nos objectivos dos neg cios e oferecem a possibilidade de modificar procedimentos computadorizados rapidamente gt Controlam as informa es de tal forma que os principais respons veis pela tomada de decis o possam ter as informa es dispon veis na sua melhor forma De acordo com Lopes et al 2005 os SI assumem nos dias de hoje um papel preponderante para mudan a organizacional Elas acrescentam valor mudan a oferecendo v rias possibilidades para organizar e reorganizar o trabalho na organiza o 28 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Um sistema de informa o deve suportar as necessidades de informa o de todos os n veis de decis o da organiza o sendo consequentemente necess ria ter em considera o a exist ncia de v rios tipos e necessidades espec ficas de informa o cujas contribui es em termos de valor para o neg cio s o bastantes diferentes Varaj o 1998 A ideia do autor acima referenciado leva se dizer que os sistemas de informa o constituem o elemento de extrema import ncia para o desenvolvimento de qualquer organiza o isto porque o sucesso ou insucesso de uma organ
73. g cio de uma organiza o Permite ainda fazer descri o geral dos activos de informa o da organiza o e a atribui o de valores para cada activo conhecer suas vulnerabilidades amea as e o impacto agregados a cada amea a gt Do Este ciclo permite definir planos para o tratamentos de quest es de riscos tais como risco que afecta a instala o de ferramentas os processos de forma o a sensibiliza o a cria o de regras de trabalhos e ou transferir o risco ao terceiro gt Check Esta fase respons vel pelos servi os de monitoriza o e verifica o do SGSI ou seja averigua se em rela o aos riscos identificados os planos tra ados foram apropriados e se o sistema atingiram os objectivos tra ados gt Act E a fase respons vel pela perman ncia do sistema de gest o da seguran a de informa o de acordo com os objectivos da organiza o Permite verificar se a adequa o do SGSI est de acordo com os objectivos iniciais e novas da seguran a da organiza o e apontar solu es de melhorias do sistema 56 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Em geral afirma Promon Business amp Technology Review 2005 que estas normas devem ser aplicadas em qualquer processo ou sector de uma organiza o e que a melhor seria aplicada num mbito mais restrito da organiza o e com o passar de tempo ampliar este processo por toda outras reas da organiza
74. gico como f sico tendo em conta que os servidores se encontram nas Instala es da institui o Em rela o ao sistema de gest o de risco o NOSI utiliza a tecnologia ASA para gerir os riscos e amea as que afectam os sistemas de informa o governamental em Cabo Verde Segundo um respons vel do NOSI a S rie Cisco ASA uma plataforma de seguran a mais moderna e eficiente para as redes organizacionais que oferece os servi os de seguran a de pequenas m dias e grandes empresas Esta tecnologia possibilita a padroniza o em uma nica plataforma permitindo a redu o e gest o do custo operacional da seguran a a redu o do custo com a forma o do pessoal do quadro da institui o e tamb m a redu o do custo com os equipamentos de reposi o Ainda a tecnologia ASA oferece servi os para a gest o e monitoriza o de dispositivos nico tamb m oferece servi os de preven o contra os intrusos nas redes do governo 76 106 Seguran a em sistemas de informa o governamentais o caso do MTIE protegendo assim das amea as como worms v rus ataques s aplica es e sistemas operacionais da administra o p blica Tamb m utilizam a tecnologia BLUE COAT que segundo o mesmo respons vel o maior provedor de aplicativos WAN e oferece uma arquitectura de proxy que torna o processo das institui es muito mais r pidos reduzindo os riscos de seguran a Esta tecnologia traz grande vantagens pa
75. ias de seguran a backup de toda a informa o considerada importante do sistema Ela deve abranger a periodicidade das c pias da seguran a n meros de exemplares das c pias da seguran a localiza o do arquivo de suportes magn ticos e procedimentos de reposi o Defende Torres et al 2003 que o plano de recupera o a semelhan a do plano de conting ncia para al m de incluir procedimentos para cada processo e actividade cr ticos ela dever incluir a estrutura e constitui o das equipas que executam plano de ac o e todas as informa o disponibilizada que tornar mais f cil implementar os procedimentos de sistemas dados comunica o de dados voz posto de trabalho e processos tecnol gico e n o tecnol gico Desta forma pode se dizer que os respectivos planos da seguran a supra citado tem como objectivos minimizar e garantir o normal funcionamento da organiza o faces aos desastres ocorridos antes e depois de acontecimento numa organiza o 67 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Cap tulo 3 A Seguran a em sistema de informa o governamental 1 Enquadramento Neste cap tulo apresenta se a seguran a em sistema de informa o governamental onde debru a se sobre conceito de governo sistemas de informa o governamental neste ltimo destacando os diferentes tipos dos sistemas de informa o governamental existentes De seguida fala se da seguran
76. icamente os planos de conting ncias sendo este constitu do por mais tr s tipos de planos de seguran a o plano da administra o de crise o plano de continuidade operacional e o plano de recupera o de desastre No Terceiro Cap tulo dedica se especificamente ao t tulo do trabalho Seguran a em sistema de informa o governamental onde debru a se sobre conceito do governo sistema de informa o governamental Dentro deste ltimo destaca se os diferentes tipos de sistemas de informa o governamental 22 106 Seguran a em sistemas de informa o governamentais o caso do MTIE De seguida fala se da seguran a em sistema de informa o governamental de uma forma em geral e por ltimo a seguran a do sistema de informa o governamental em Cabo Verde No Quarto Cap tulo descreve se uma situa o Case study onde foram caracterizados o local em estudo Na caracteriza o do local em estudo foram caracterizados a Institui o em si as infra estruturas tecnol gicas os sistemas de informa o e por ltimo a pol tica de seguran a da Institui o Faz se uma an lise profunda dos dados recolhidos e para terminar faz se a proposta de melhoria a recomenda o a conclus o e as refer ncias bibliogr ficas 23 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Cap tulo 1 Introdu o aos sistemas de Informa o 1 Contextualiza o Ao falar se dos sistemas
77. is o caso do MTIE 2 O Minist rio do Turismo Ind stria e Energia de Cabo Verde O Minist rio do Turismo Ind stria e Energia MTIE um rg o governamental cujo objectivo executar e avaliar as pol ticas p blicas para as actividades econ micas de produ o de bens e servi os no que diz respeitos s actividades industriais energia ao al gd 5 com rcio ao turismo e s actividades de Servi os as empresas O MTIE foi criado recentemente pelo Governo de Cabo Verde ap s a ltima remodela o do Governo efectuado no ano 2010 Localiza se ao Sul da ilha de Santiago mais concretamente na cidade da Praia conhecido como cidade pol tico administrativa do pa s zona de Achada Santo Ant nio Rua Cidade do Funchal n 2 Encontra se a funcionar num pr dio de quatros 4 andares em regime de arrendamento sendo no quarto piso funcionam os servi os do gabinete da Ministra assessor da Ministra e os dirigentes dos servi os aut nomos e dos organismos da administra o No terceiro piso funcionam os servi os da direc o geral de planeamento or amento e gest o DGPOG No segundo piso funcionam os servi os da direc o geral de energia DGE no primeiro piso funcionam os servi os da regula o de actividades econ micas e no r s do ch o funcionam os servi os da direc o geral de ind stria e com rcio DGIC O Minist rio vem prestando servi os na elabora o coordena o e na execu o
78. is neste Minist rio 84 106 Seguran a em sistemas de informa o governamentais o caso do MTIE 2 3 Sistema de informa o do MTIE De acordo com os dados recolhidos o MTIE possui actualmente os seguintes sistemas de informa o Tabela din mica T tulo de com rcio externo em linha TC on line Telefonia IP Correio electr nico Sistema de informa o do MTIE Rel gio de ponto Quadro 2 Sistema de informa o do MTIE De acordo com os dados analisados no quadro acima pode se ver que o MTIE disp e de poucos sistemas de informa o Os sistemas de informa o como tabela din mica e t tulo de com rcio externo em linha TC on line s o fundamentais para a realiza o do trabalho na rea do com rcio e ind stria O rel gio de ponto tamb m um sistema muito importante para o controlo de presen a e seguran a dos colaboradores do MTIE Em rela o a Telefonia IP e correio electr nico s o sistema utilizados para a comunica o tanto interno como externo a institui o 85 106 Seguran a em sistemas de informa o governamentais o caso do MTIE 2 3 1 Tabela din mica A tabela din mica um aplicativo inform tico utilizado pelo MTIE para analisar a situa o de todas as empresas do com rcio e ind stria licenciado na C mara de Com rcio de Sotavento em Cabo Verde jure ERa ace se ra Deda a ECOS EEE IE Estrua 2x gt A Cora Ju ma E 2 ps a do XX E Esomat
79. iza o depende do seu sistema de informa o Em nota de resumo constata se que hoje em dia os sistemas de informa o fazem parte das organiza es transformando se num instrumento vital desta ent o cabe a cada organiza o decidir a composi o dos sistemas de informa o e a mobilizar lhes de forma a atingir os seus objectivos 2 Evolu o dos sistemas de informa o O estudo da evolu o dos sistemas de informa o de grande interesse sobretudo para a organiza o O SI um tema bastante complexo e ao mesmo tempo um dos mais importantes para os gestores e decisores Tendo em conta a import ncia do sistema de informa o na organiza o faz se uma breve an lise sobre a sua evolu o hist rica bem como os diferentes tipos de sistemas de informa o Segundo Falsarella amp Chaves 2008 o S culo XX marcado pelo advento da Era da Informa o onde a informa o expandiu de forma muito r pida Desde a inven o do tel grafo el ctrico em 1837 passando pelos meios de comunica o de massa e at mais recentemente o surgimento da Internet o ser humano tem de lidar e conviver com um crescimento acelerado de grande quantidade de dados dispon veis De acordo com o ponto de vista dos mesmos autores antes da vulgariza o dos computadores os sistemas de informa o nas organiza es se baseavam basicamente em pr ticas de arquivamento e recupera o de informa es de grandes reposit rios
80. izadas numa estrutura top down gt Utilizam informa es do ambiente externo concorrentes clientes fornecedores ind strias governo tend ncias de mercado Tamb m numa abordagem comparativa entre SAD e SIE anota se alguma diferen a que de acordo com Henry C Lucas Jr LUCA90 apud Chaves amp Falsarella 2008 o que diferencia em geral um SIE em rela o a SAD a sua interface com o usu rio que deve permitir que um executivo utilize esse sistema com facilidade A figura abaixo evid ncia de forma clara e sintetizadas os diferentes tipos de sistemas de informa o classificado segundo o tipo de actividade que apoia 37 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Sistemas de forma o Sistema de Apoio aOjera es Semad Ap Apoio tomada de Gerrei decis o gerencial Apoo s Opera es sistema de Processamento Sistema de Conto sistemas Sistema de orma o Sistemas de Apolo Stenas de forma o Trrga es e Procesin Colaborativos Gerencia aDeci o Escuta Pocessarmentode Conole Processos Colhorgmenho Peletiros Apoiolerabuoa ra o elaborada Transa es maio equpeseguposde padonizadospaaos Dec ies especificamente para tabalo gerentes aeivis Figura 4 Classifica o dos sistemas de informa o segundo a actividades que apoiam FONTE O brien 2002 apud SILVA Cristiano 2005 Da an lise a figu
81. lidade integridade n o repudia o autenticidade e controlo de acesso s o caracter sticas indispens veis para o aumento da seguran a de qualquer organiza o Concluiu se que o processo de an lise de risco muito importante para a quest o da seguran a de informa o em qualquer organiza o isto porque atrav s deste processo a organiza o consegue verificar e analisar o n vel de risco que a organiza o est a enfrentar e atrav s deste fazer uma ponte entre o que se quer proteger e o que se tem para proteger tamb m este processo ajuda a organiza o a estabelecer um or amento adequado para a quest o da seguran a de informa o na organiza o Tamb m conclui se que fundamental o papel da pol tica de seguran a numa institui o uma vez que estes permitem todos os colaboradores conhecer quais as normas e regras a respeitar dentro da institui o 97 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Em rela o a seguran a em sistema de informa o no governo conclui se que importante adoptar um modelo de seguran a que consegue dar resposta eficaz e eficiente na pol tica do governo De acordo com os dados recolhido e analisado chega se a conclus o que no que concerne ao sistema de informa o no MTIE existem algumas necessidade da melhoria mencionadas nas propostas de melhorias como caso das reas de Turismo e Energia No entanto existem alguns aspec
82. modo reconhecendo a import ncia da an lise de risco para qualquer organiza o ent o pode se dizer que as etapas de an lises de riscos permitem eliminar ou minimizar os pontos de ataques e as vulnerabilidades explorados por atacantes numa organiza o Segundo Grilo amp Magalh es 2006 as etapas fundamentais de an lise de risco s o i Estima o da Investiga o de pad l Determina o de probabilidade de ps novas solu es Rar vulnerabilidades explora o das ar tecnologicas vulnerabilidades i seus custos recursos Figura 8 Etapas de an lise de risco gt Levantamento e classifica o de recursos a primeira etapa de an lise de risco que consiste em fazer a recolha e classifica o dos recursos humanos e materiais da 53 106 Seguran a em sistemas de informa o governamentais o caso do MTIE organiza o ou seja consiste em proceder um invent rio correcto dos recursos necess rios para organiza o Determina o da vulnerabilidades Este constitui a segunda etapa e bem mais dif cil que a primeira isto porque consistem em determinar as vulnerabilidades dos recursos existentes Para a determina o da vulnerabilidade o autor considera que importante levar em conta algumas quest es e cen rios que possam surgir tais como Quais s o os efeitos provocados por erros n o intencional Quais s o efeitos provocados por actos interno e
83. n a em sistemas de informa o governamentais o caso do MTIE 3 2 Utiliza o de e mail correio electr nico Todos os funcion rios devem utilizar as contas de correio electr nico institucional para comunica o tanto interno como externo mas as mensagens escritas devem ter uma linguagem profissional de forma a n o comprometer a imagem da institui o O utilizador de sistema o principal respons vel por tudo o que enviado pelo seu endere o por isso expressamente proibido enviar e abrir mensagens que prejudicam a imagem da institui o mensagens com conte do perniciosos difamat rias e que possam p r em risco a integridade moral de qualquer parte envolvente na institui o 3 3 Utiliza o de antiv rus novos sistemas softwares e outros equipamentos inform ticos O NOSI o nico respons vel pelo servi o de actualiza o manuten o e instala o de qualquer software no MTIE n o permitido que os colaboradores fa am actualiza o ou instala es de software antiv rus ou outros nos seus computadores Todos estes servi os s o da responsabilidade do NOSI Se houver a necessidade de instala o de qualquer hardware ou software o MTIE tem a obrigatoriedade de comunicar a NOSI 3 4 Utiliza o da linha telef nica Todos os colaboradores t m permiss o de utilizar a linha telef nica dispon vel nos servi os do MTIE O respons vel pelo controlo e permiss es o pr prio MTIE que se encarr
84. nalmente Ap s a realiza o do backup de informa o o NOSI enviar c pias do mesmo para a administra o do MTIE e estes v o sendo armazenadas em local seguro longe do centro do processamento de dados de modo a evitar uma eventual perda de informa o no caso de ocorrer um desastre Todos os backup realizados por servi o de NOSI protegido com password de modo a evitar que os colaboradores tenham acesso n o autorizado Tamb m todos os backups guardados fora da institui o devem ser mensalmente testado pelo pessoal do NOSI acompanhada do respons vel de Tecnologias de informa o do MTIE no sentido de verificar se todas as informa o guardadas est o operacionais 4 2 Servi os de Seguros No MTIE existe uma pol tica de seguro em que todos os equipamentos inform ticos encontram se segurados contra as perdas e danos mat rias Num eventual dano dos recursos inform ticos a empresa seguradora tem por obriga o cobrir todos os preju zos causados 4 3 Sistema de Preven o de acidente O sistema de preven o de acidente assegurado por uma empresa exterior contratado pelo MTIE Em todas as salas do MTIE encontra se equipadas com equipamentos de combate inc ndio O servi o de manuten o encarregado ao pessoal da empresa contratada que no 90 106 Seguran a em sistemas de informa o governamentais o caso do MTIE final de cada m s fazem a manuten o e vistoria dos equipamentos no sentido de atesta
85. niza o como todas as pessoas envolvidas em tais actividades Ainda os autores afirmaram que a automa o das tarefas dos escrit rios trouxeram consigo rapidez de resposta para a organiza o focalizando assim a busca e compara o de diversos alternativos para o mesmo problema surgindo assim o sistema de apoio a decis o que falaremos mais adiante Laudon amp Laudon 2001 apud Bazzotti amp Garcia s d definem sistemas de automa o de escrit rio SAE como sendo conjunto de aplica o inform tica desenvolvido para aumentar o rendimento dos trabalhadores de dados de modo a suportar coordena o e a comunica o de um escrit rio t pico De acordo com Boghi amp Shitsuka 2002 o SAE tem como objectivo a automa o das tarefas administrativas melhorando a comunica o e a produtividade no escrit rio Esses sistemas incluem as redes de computadores locais os sistemas administrativos e o uso de aplicativos de automa o 35 106 Seguran a em sistemas de informa o governamentais o caso do MTIE A semelhan as dos sistemas de automa o de escrit rio o sistemas de conhecimento do trabalho KWS segundo Luz 2009 sistemas cuja fun o principal a integra o de novos conhecimentos nos neg cios e ajudar a organiza o a controlar o fluxo de papel 3 4 Sistemas de apoio decis o SAD ou DSS Segundo Batista 2004 apud Bazzotti amp Garcia s d SAD s o conjuntos de sistemas q
86. ntegra o econ mica regional e coopera o internacional de ndole bilateral ou multilateral Ela integra os seguintes servi os gt Servi o da Ind stria compete lhe propor os planos e programas do sector da ind stria e contribuir para a promo o da moderniza o e do desenvolvimento sustentado da competitividade das actividades industriais numa perspectiva de incremento do valor acrescentado gt Servi o do com rcio compete lhe organizar em colabora o com outros servi os e organismos competentes estat sticas referentes ao sector comercial e divulgar informa es de interesse para o desenvolvimento do mesmo Na vertente externa assegura em colabora o com outros organismos do Estado a execu o dos acordos estabelecidos e ratificados por Cabo Verde no mbito do com rcio gt Servi o de actividades econ micas e vistorias garante o atendimento ao p blico em todas as reas de compet ncia do MTIE funcionando num modelo de Front Office Direc o geral do turismo DGT o servi o respons vel pela concep o avalia o e execu o da pol tica do turismo em estreita articula o com os servi os e organismos do sector Ela integra os servi os de gt Servi os de politicas estudos e mercados servi os que apoia o Governo na concep o e defini o do modelo de politica para o sector do turismo 82 106 Seguran a em sistemas de informa o governamentais o ca
87. o em 14 05 2010 OS RIO G L Tito et al 2005 Utiliza o de Software Livre em rg os P blicos Dispon vel http Ayww aedb br seget artigos05 360 Artigo SL Completo pdf Consultado em 30 09 2010 105 106 Seguran a em sistemas de informa o governamentais o caso do MTIE VARICAN 1999 Governos Dispon vel lt http www varican xpg com br varican Bpolitico governo htm gt Consulta 03 06 2010 106 106
88. onia D rt Cala u NR Teg Fteto cem E x s de gt 1 E cj T A alar x a mer b e pes de rormata o NI jo E E H ee cerar Bm ma romu Preen poe luto fios Fonal 1 ga Ciel re Ares de Itanster noa 5 Tipo se Letra o Aanhamento o mineo a tesa Cias La o Avis de Seguan a ds liga es de dadas foram dlesactmados Op es ASSE A fa VI XVI XVI XX 997 DANITECNICA SOCIEDADE UNIPESSOAL DA 398 AVO 393 46 PR 08 FACTIVA 1900 19 08 2010 ANO CADASTRO 1001 VI VIM XVI ANO MISS O ALYARA 1002 DASA DROGARIA ASA LDA VE VIDAS aena woa amvo Unhe DANITECNICA SOCIEDADE UNIPESSOAL DA ACTIVO 45 PR O8 19 08 2010 VE VIL XVI 101 18 PR 02 e 100 05 04 2009 curral soc 1006 A 1 AM IV VI 1X XIN XV XX Tuasses 1097 DECORM VEL SOCIEDADE UNIPESSOAL LDA CLASSICO 1005 sacmnvo coomo 1008 32 PR 06 FDATA CADASTRO 1010 10 10 am0 DATA JNTROOUCAO DS MORADA 1011 IM VI VIL X X XVI XX vw DT EXPIRA O 1012 DELCAR RENT A CAR SOCIEDADE UNIPESSOAL LO ln sacmvo 1014 a8 PR 07 1015 375 102009 1016 xvii 1017 DESCO ANGOLA LDA 1015 ACTIVO 1019 62 PR 08 1020 517 12 20 1021 W VI VIL 1x XI XII XV XX Araslar campos entre as ireas abaixar Y FirodoRest T Rinks deo 1022 DEZILHAS PRODUTOS ALIMENTARES E COM RCIO GERAL LDA ESTADO AU Y 102 samo MAIRA T 10M 32 PR 04 03 08 2007 Figura 14 Tabela Din mica FONTE MTIE
89. orma o Para materializar se esse estudo utilizou se como metodologia consultas Bibliogr ficas Entrevistas informal Conversa aberta Recolha e Analise de dados Pretende se analisar a situa o dos sistemas de informa o governamental no que concerne a an lise e gest o de risco em seguran a de informa o bem como fazer algumas propostas de melhoria dos sistemas e seguran a de informa o no MTIE e ainda fazer uma recomenda o em rela o a pol tica da seguran a de informa o no NOSI Dedicat ria Dedico este trabalho monogr fico minha M e meu Pai Irm o Irm pelo incentivo confian a e for a nos momentos de dificuldades para que eu alcan asse mais esta vit ria Nenhum pai pode dar melhor presente aos seus filhos do que proporcionar lhes uma boa educa o Maom s d apud Varaj o 1998 Agradecimentos N o ser poss vel a elabora o de uma obra sem a contribui o de outrem Por isso quero expressar a minha profunda gratid o a todos quantos de uma forma ou de outra que contribu ram para o xito deste trabalho pois sem as suas contribui es n o seria poss vel o t rmino do mesmo especialmente o meu orientador Jairson Monteiro Santos Mendes Um especial agradecimento a Deus pela vida e sa de que me emprestou aos meus pais Severino Rocha e Maria L Pereira Vieira meus irm os e irm s tios e tias pelos carinhos e ajudas que me proporcionaram na con
90. orma o composto por uma entrada de dados ou input no seu estado bruto onde estes s o processados ou transformados atrav s de um conjunto de tecnologias de informa o e que depois apresentado para o exterior em forma de output ou informa o Este processo de entrada e sa da de dados informa o se d atrav s do mecanismo de feed back Paralelamente a este assunto pode se ainda dizer que para al m dos sistemas de informa o serem constitu dos pelo conjunto de actividades acima mencionados tamb m s o constitu dos por um conjunto de componentes que segundo Gouveia s d s o Informa o Recursos humanos ou Pessoas hardware e software ou Tecnologias de Informa o Armazenamento de Dados Dados e Comunica o A figura que se segue indica de forma clara e resumidas os principais componentes de um sistema de informa o Pessoas Tecnologia Informa es de ae Informa o a o Figura 2 Componentes dos sistemas de informa o FONTE LUZ Carlos 2009 Dispon vel lt http moodle cv unipiaget org course view php id 44 gt Consultado em 22 04 2010 Segundo Varaj o 1998 Sistema de Informa o Tecnologia de Informa o e Informa o s o express es que est o na ribalta mas contudo apesar de serem termos muito banais carecem de entendimento universal por isso importante apresentar um conjunto de conceitos e reflex o sobre a import ncia de inform
91. os programas 2 1 2 Seguran a F sica Ao contr rio da seguran a l gica a seguran a f sica a protec o dos componentes f sicos de uma organiza o Esta defini o muito restrito em geral a seguran a f sica permite fazer muito mais do que isso por exemplo o autor Carneiro 2002 j tem uma defini o muito mais ampla que diz que a seguran a f sica n o consiste apena na utiliza o de defesa f sica e ac o de controlo mas tamb m na utiliza o de medida de preven o contra amea as aos activos confidencial Este tipo de seguran a diz respeito ao ac o de verifica o e aos mecanismos de seguran a dentro e a volta do centro de processamento de dados CPD assim como os meios de acesso remoto implementados para assegurar o hardware e os meios de armazenamentos de dados Para Grilo amp Magalh es 2006 o objectivo fundamental da seguran a f sica consiste na defesa de pessoas bens e instala es das organiza es atrav s de implementa o de medidas preventivas e ou reactivas de forma a garantir a continuidade do servi o da organiza o Segundo Mamede 2006 a seguran a f sica um componente importante de qualquer pol tica da seguran a uma vez que qualquer porta de entrada pode constituir se como ponto de ataque mais facilmente utilizados Por isso extremamente importante que o documento da seguran a cont m todos os m todos utilizados para a disponibiliza o e controlo de acesso
92. ou externo malicioso Quais s o os efeitos provocados por ac es cat strofes f sicas e naturais Estima o da probabilidade de explora o das vulnerabilidades a terceira etapa de an lise de risco que consiste em determinar o grau de frequ ncia de cada vulnerabilidade ser explorada A probabilidade de ocorrer ou n o uma eventual ataque depende do n vel da seguran a da pr pria organiza o com a probabilidade de algu m derrubar essa seguran a Diz ainda o autor que mesmo ser imposs vel prever a probabilidade de ocorr ncia de eventos existem mecanismo que possibilita estimar essa probabilidade como por exemplo a observa o de dados da popula o em geral a observa o de dados locais atrav s do n mero de casos registados num determinado per odo do tempo e o m todo de Delphi C lculo dos preju zos esperados a quarta etapa consiste em calcular de forma clara os custos em rela o a componentes de hardware e software ou aplica es das organiza es Este c lculos dever ser pensados com bases nos eventuais constrangimentos das actividades da organiza o como por exemplo falhas de uma aplica o ou de um componente de hardware M todo de Delphi uma t cnica em que diversos analistas estimam individualmente a probabilidade de ocorr ncia de um evento As estimativas s o depois reunidas reproduzidas e distribu das a todos os analistas De seguida feita a pergunta aos analistas se des
93. ou seja este sistema tem o potencial para gerir grande maioria das informa es tratadas por qualquer organiza o gt O sistema de informa o geogr fica SIG Sistemas que analisam o contexto geogr fico das organiza es bem como o relacionamentos entre elas oferecendo a possibilidade de visualizar eventos a n vel detalhado Tamb m ajuda a mente humana a assimilar e compreender a informa o permite o utilizador tomar decis es baseado no contexto espacial correcto Estes sistemas s o cada vez mais utilizados na administra o p blica para fins diferentes daquele que englobam a topografia tradicional e gest o imobili ria Sua aplica o cada vez mais comum em sectores como avalia o do impacto ambiental ordenamento do territ rio gest o de recursos planeamentos urbano regional etc 70 106 Seguran a em sistemas de informa o governamentais o caso do MTIE 3 2 Seguran a em sistemas de informa o governamental Segundo Lima et al 2000 essencial garantir o direito dos cidad os privacidade o direito consulta dos dados colectados nos sistemas governamentais de acordo com a constitui o Os Websites p blicos devem responsabilizar pela garantia da confidencialidade das informa es de car cter pessoal que s o depositadas em suas bases de dados sejam elas referentes aos utilizadores ou pessoas que fazem parte da administra o p blica 2 Para os mesmos autores importante
94. oubou a informa o ou dispositivos de informa o sendo assim constituir um risco para a organiza o gt Personifica o este tipo de risco acontece sobretudo quando uma m quina usada por mais de um utilizador que distinguido e autenticado pelo sistema e este destr i os sistemas de autentica o do outro fazendo passar por outro para realizar actividades nessa m quina Ela usada para dois efeitos para o despiste quando se pretende que a verdadeira identidade da m quina usada num ataque seja escondida o que normalmente til em ataques Dos tamb m utiliza se apropria o para a utiliza o de uma identidade indiferente que serve para ultrapassar barreira de seguran a como barreiras simples de autentica o e autoriza o baseado em identidade gt Incapacidade de presta o de servi o atrav s de um ataque DoS a m quina ou dispositivos pode ficar impossibilitado de prestar servi os e consequentemente ocorre a falha ou risco na presta o de servi os Neste tipo de risco quanto mais importante for a relev ncia da m quina para os utilizadores ou para os componentes de sistema distribu do aqui pertence maior ser o risco Em suma conclui se que muito importante que toda e qualquer rea da organiza o tenham profissionais com capacidade de entender a natureza e a probabilidade dos risco saber qual a consequ ncia de inexist ncia da seguran a e ainda conhecer os poss veis vulnerabili
95. procedimentos utilizados e a identifica o dos processos cr ticos e an lise de riscos e amea as gt Projecto esta fase respons vel pela defini o dos conceitos da equipa respons vel pela implementa o e manuten o da seguran a Consiste ainda na elabora o de normas procedimentos plano de conting ncia termo de compromisso e a divulga o do projecto para t cnicos e utilizadores do sistema 73 106 Seguran a em sistemas de informa o governamentais o caso do MTIE gt Implementa o consiste na aplica o formal das regras e normas definidas na fase de projecto e a elabora o e implementa o das modelagens a n vel de seguran a f sica seguran a humana a seguran a l gica e fluxo de informa o gt Gest o fase da descri o e levantamentos da situa o actual do sistema Implementa o dos controlos de seguran a da revis o da pol tica de seguran a face as mudan as nos n veis de risco avalia o e ac o correctiva gt Suporte consiste na manuten o e monitoriza o de efic cia dos controlos de seguran a Para os mesmos autores as fases do MSI devem ser avaliados e examinado periodicamente levando em conta as normas e procedimentos que est o envolvidos de acordo com as exig ncias tecnol gicas imposta pela estrutura o do e business e do e commerce bem como qualquer aspecto que estejam em evolu o 3 3 Seguran a em sistema de informa
96. quotidianas como por exemplo atrav s da aplica o da pol tica de secretaria limpa e da destrui o sistem tica em equipamento adequado dos documentos sens veis em vez de os deitar no lixo O autor acrescenta ainda que a ac o de forma o dever ser preparada em sintonia com a estrutura de recursos humanos e deve abarcar ac es que possibilitam os utilizadores compet ncias na realiza o das tarefas quotidianas de modo a n o afectar a seguran a de sistema de informa o No que concerne a campanha de sensibiliza o refere o autor que este deve compreender quest es concretas da seguran a abarcando inclusivamente aos aspectos relacionados com v rus spam ou quest es fundamentais da seguran a de organiza o como por exemplo o mecanismo de autentica o alertando os utilizadores para as quest es do tamanho da password da valida o do mesmo e ainda a import ncia de escolher ou n o password do tipo considerado f cil como o caso de data nascimento e ainda uma outra quest o que poder ser realizado dentro da campanha de sensibiliza o a quest o de engenheira social idem 2003 Em suma isto quer dizer que a forma o e sensibiliza o dos utilizadores quando bem desenvolvido e implantada constitui um factor de grande import ncia para a seguran a de informa o de qualquer organiza o 47 106 Seguran a em sistemas de informa o governamentais o caso do MTIE 2 1 2 1 2 O Processo
97. r a instala o de qualquer tipo de software e ou hardware sem a ordem da respons vel t cnico da seguran a da organiza o gt Proibir a utiliza o de MP3 filmes fotos e softwares com direitos autorais ou qualquer outro tipo de pirataria 63 106 Seguran a em sistemas de informa o governamentais o caso do MTIE gt Guarda na sua esta o de trabalho somente coisas sup rfluo ou pessoal e os restantes dados ou informa o da organiza o devem ser guardado no servidor onde existem um sistema de backup di rio e confi vel Caso n o sabe como fazer pergunta o respons vel t cnico da seguran a da organiza o 5 Planeamento da seguran a de informa o Segundo Torres et al 2003 num programa transversal a toda empresa como o caso do programa de seguran a o planeamento fundamental para conseguirmos no final avaliar a efic cia das medidas tomadas 2 Contudo importante que um plano seja flex vel e independente porque um plano que dif cil de alterar ou seja com uma l gica particular e elementos muito espec fico poder dificultar mais do que ajudar numa situa o de desastre Idem 2003 No entender de Ferreira 1995 o m todo de planeamento da seguran a consiste em garantir que as actividades cr ticas da organiza o sejam restabelecidas e mantidas a mais r pida poss vel ap s a ocorr ncia de uma falha ou desastre e ela deve recair sobre a manuten o de tarefas cr ti
98. r o seu estado de funcionamento 5 Seguran a dos recursos humanos 5 1 Controlo de presen a e seguran a do pessoal No que concerne ao sistema de controlo de presen a e seguran a do pessoal o MTIE disp e de um sistema denominado de Rel gio de ponto que permite o controlo da entrada e sa da de todos os colaboradores na respectiva institui o Ver a figura abaixo Jueves 29 de julio de 2010 N Terminales 2 GQ ID Presence v2 1 Hora 12 31 40 Usuario Filomena Estado 2 CONECTADO S O DESCONECTADO S Q e v Z Mantenimientos Administradores Th sedes ea Grupos 2 Usuarios 1 Terminales O Horarios f Calendarios 4 Festivos Vacaciones ID Presence Sistema de Control de Presencia A Incidencias Horarias 10011 AM 00111 14 L Listados 11010 ig Estad sticas 4 Herramientas A Informes g Incidencias Diarias Figura 16 Rel gio de ponto Atrav s deste sistema o administrador do mesmo faz o registo de todos os colaboradores do MTIE atrav s do preenchimento de um formul rio adequado por parte do funcion rio ou do estagi rio De acordo com o tempo de servi os das duas categorias vai se proceder a autentica o do mesmo sendo que quando terminar o tempo de contrato estabelecido por 91 106 Seguran a em sistemas de informa o governamentais o caso do MTIE estes profissionais o sistema desactiva automaticamente deixando em aberto a possibilidade da reactiva o dest
99. ra a administra o p blica uma vez que permite melhorar os exerc cios de recupera o de backup e seguran a dos servidores Tamb m reduz os custos de gest o e infra estrutura de tecnologia da administra o p blica Utilizam tamb m dispositivos como firewall cujo objectivo controlar o tr fego na rede do Estado 71 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Cap tulo 4 O caso do MTIE 1 Enquadramento O presente estudo tem como intuito avaliar a situa o actual da Seguran a em Sistema de Informa o governamental mais precisamente no MTIE Neste cap tulo analisam se os resultados obtidos atrav s da entrevista informal conversa aberta recolha e an lise de dados Tem se como objectivo avaliar a situa o actual dos Sistemas de informa o governamental no Minist rio do Turismo Ind stria e Energia do Governo de Cabo Verde no que tange an lise e gest o de risco em seguran a de informa o Especificamente procura se gt Conhecer a situa o da seguran a de informa o no Minist rio do Turismo Ind stria e Energia MTIE gt Propor melhorias da seguran a em Sistemas de informa o no MTIE caso necess rio Para a materializa o do referido estudo foi utilizado como suporte as seguintes t cnicas gt Entrevista informal Conversa aberta gt Recolha e an lise de dados 78 106 Seguran a em sistemas de informa o governamenta
100. ra acima pode se ver os diferentes tipos de sistemas de informa o acima mencionados e outros que ainda n o foram mencionados aqui Isto d se a entender que E Rea A existem v rios tipos de sistemas de informa o de referir que quando fala se dos tipos dos sistemas de informa o n o ser tarefa f cil tem diferente aprecia o isto porque cada autor classifica os sistemas de informa o de acordo com os seus crit rios 38 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Cap tulo 2 A Seguran a em sistema de informa o 1 Enquadramento Este cap tulo versa sobre a seguran a em sistema de informa o onde apresenta se a seguran a de informa o e suas caracter sticas na perspectiva de v rios autores de seguida faz se uma breve abordagem sobre os tipos de seguran a de informa o onde debru a se sobre a seguran a l gica e f sica sendo este ltimo com maior destaque Dentro da seguran a f sica foram abordados os seguintes pontos Seguran a dos recursos humanos ou pessoas onde ainda dentro deste assunto trata se da quest o de forma o e sensibiliza o dos utilizadores e o processo de recrutamento do pessoal como elemento importante da seguran a de organiza o Aborda ainda assunto como seguran a dos centros de processamentos de dados e ou instala o e por ltimo seguran a dos equipamentos De seguida apresenta se a an lise de risco em seguran
101. racional para Sociedade de Informa o 12 106 Seguran a em sistemas de informa o governamentais o caso do MTIE PC Computador PDCA Plan Do Check Act PSI Pol tica da Seguran a de Informa o SAD Sistemas de Apoio Decis o SAE Sistema de Automa o de Escrit rio SCM Supply Chain Management SGBD Sistemas de Gest o de Bases de Dados SGSI Sistema de Gest o da Seguran a de Informa o SI Sistemas de Informa o SIE Sistema de Informa o para Executivo SIG Sistema de Informa o para Gest o SUC Sistema nico de Cobran a TI Tecnologias de Informa o TPS Sistemas de Informa o Transaccional 13 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Gloss rio Amea as Conjuntos de ac o ou acontecimentos realizados por pessoas ou n o que pode levar a altera o n o desejada de equipamentos dos sistemas de informa o ANSI American National Standard Institute ou Instituto Nacional Americano de Padr es uma organiza o formada por grupos da comunidade industrial e comercial dos Estados Unidos dedicada ao desenvolvimento de normas de produ o e comunica o Ataque de for a bruta uma t cnica que consiste em testar todas as combina es poss veis de caracteres at encontrar a chave que permita a descodifica o do texto cifrado Ataque dicion
102. ran a em sistemas de informa o governamentais o caso do MTIE 4 3 Pol tica de acesso a Internet A Internet hoje em dia uma das ferramentas mais poderosa do trabalho por isso ela deve ser acessado e usado de forma restrita respeitando os seguintes t picos Bastos 2005 gt Permitido somente para a navega o de site Em rela o aos casos espec ficos que exijam outros protocolos dever o ser solicitados directamente a equipa da seguran a com pr via autoriza o do respons vel do departamento local gt Bloquear e monitorar o acesso aos sites com conte do perniciosos jogos bate papo apostas e assemelhados gt Proibir o uso de ferramentas P2P Kazaa Morpheus etc gt Proibir o uso de IM Instant messengers n o homologados e autorizados pela equipa da seguran a 4 4 Pol tica de uso de Esta o de trabalho Neste caso referiu se a esta o de trabalho como sendo qualquer computador ligado a rede Portanto diz Bastos 2005 que cada esta o de trabalho tem c digos internos que permitem que ela seja identificada na rede e cada pessoa possui sua pr pria esta o de trabalho Isto significa que tudo que foi feito ou venha ser feito na sua esta o de trabalho da sua responsabilidade por isso sempre que sair do seu local de trabalho efectua logoff ou trava o console As principais regras que devem ser respeitadas na pol tica de uso de esta o de trabalho s o as seguintes gt Proibi
103. recto de ponto de vista da contabiliza o mas n o em rela o a seguran a Ainda associado a esta propriedade encontra a fun o de autoriza o que estabelecem os direitos de utilizadores grupos e sistemas Monteiro et al 2000 Posto isso a seguran a de informa o n o resume apenas a protec o de informa o da organiza o mas sim muito mais do que isso Diz Carneiro 2002 que um dos aspectos mais importante da fun o seguran a a subfun o de manuten o e assist ncia t cnica que consistem em gt Conhecer as atribui es e o funcionamento correcto do estabelecimento de trabalho gt Calendarizar o projecto de revis es do funcionamento do sistema de informa o gt Executar com rapidez e a um custo cada vez mais baixos as tarefas de an lise avalia o e repara o dos servi os gt Ter capacidade de resposta para que as defici ncias ou paragens imprevis veis sejam corrigidas e ou reduzidas a pouco tempo 43 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Para finalizar pode se dizer que inquestion vel o papel da seguran a de informa o na organiza o a n s os profissionais desta rea nossa obriga o e responsabilidade pensar a seguran a de informa o como um todo propondo ideias e sugest o que possam contribuir para o melhoramento deste processo Portanto importante tamb m compreender a forma como tem sido enquadrado
104. riedade de produ o intelectual directos sobre software normas legais correlatas aos sistemas desenvolvidos cl usulas contratuais Princ pios de supervis o constante das tentativas de viola o da seguran a de informa es Consequ ncias de viola es de normas estabelecidas na pol tica de seguran a Princ pios de gest o da continuidade do neg cio Plano de forma o em seguran a de informa es De acordo com Spanceski 2004 a PSI o alicerce de todos os problemas relacionados com protec o de informa o desempenhando uma fun o crucial para qualquer organiza o isto porque delineia normas procedimentos ferramentas e responsabilidades para sustentar o controlo e a seguran a de informa o de qualquer organiza o Na perspectiva de Grilo amp Magalh es 2006 as pol ticas da seguran a s o procedimentos normas e regras que permitem controlar a informa o confidencial aplica o programa dispositivos f sicos ou instala o numa organiza o Tamb m no entender de Moraes amp Cirone 2003 as pol ticas da seguran a s o conjuntos de regras procedimentos autoriza es e nega o que garantem a manuten o da seguran a e da confiabilidade da rede Para Freitas amp Lauro s d a pol tica de seguran a de informa es deve conter princ pios directrizes e regras gen ricos e amplos para aplica o em 58 106 Seguran a em sistemas de informa o go
105. rno Federal O caso do Cart o Nacional de Sa de do SUS Dispon vel lt http www lyfreitas com artigos mba cns2 pdf gt Consultado em 22 06 2010 MONTEIRO Oliveira C L In 2009 Proposta de um Guia para Elabora o de Pol ticas de Seguran a da Informa o e Comunica es em rg os da Administra o P blica Federal Dispon vel lt http dsic planalto gov br documentos cegsic monografias 1 turma ina lucia pdf gt Consultado em 13 04 2010 NA ES Unidas 1995 Government Information System A guide to effective use of information technology in the public sector of developing countries New York Dispon vel lt http unpan un org intradoc groups public documents un unpan000155 pdf gt Consultado em 22 06 2010 PEREIRA Brito F Valdo 2006 Apoio Administra o Business Intelligence D sponivel lt http bdigital unipiaget cv 8080 dspace bitstream 123456789 89 1 Valdo 20Pereira pdf gt Consultado em 12 05 2010 104 106 Seguran a em sistemas de informa o governamentais o caso do MTIE PINHEIRO S M Jos 2007 Conceitos de Redund ncia e Conting ncia Dispon vel lt http www malima com br article read asp id 377 gt Consultado em 18 05 2010 PROMON Business amp Tecnology Review 2005 Seguran a da informa o um diferencial determinante na competitividade das compara es Dispon vel lt http www promon com br portugues noti
106. rte pr tica An lise documental Optou se ainda por observa o indirecta da institui o em estudo como forma de recolher informa o considerada pertinente para a constru o do mesmo Esta observa o foi realizada mediante a solicita o dos directores dos diferentes departamentos da organiza o Tamb m utilizou se uma abordagem quantitativa tendo em conta que optou se por fazer um Case study onde foram realizados entrevista informal conversa aberta an lise e recolha de informa es da organiza o com o objectivo de aperceber a situa o da seguran a em sistema de informa o no Minist rio do Turismo Ind stria e Energia de Governo de Cabo Verde Entrevista informal Conversa aberta Recolha e an lise de dados 3 Estrutura O presente trabalho encontra se estruturado em quatros Cap tulos come ando pela abreviatura gloss rio e uma introdu o onde faz se refer ncia ao enquadramento do trabalho Justifica o da escolha do tema os objectivos e a metodologia utilizada 21 106 Seguran a em sistemas de informa o governamentais o caso do MTIE No Primeiro Cap tulo abarca se as grandes directrizes do Sistema de informa o nomeadamente alguns conceitos contributos de SI na organiza o breve hist ria da evolu o do SI e por ltimo os diferentes tipos do SI No Segundo Cap tulo apresenta se a Seguran a em sistemas de informa o onde fala se da seguran a de informa
107. s de uma rede como a Internet ou uma rede local privada 18 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Introdu o Com o avan o da ci ncia e das tecnologias de informa o a quest o da seguran a em sistemas de informa o tem vindo a revelar se determinante no desempenho adequado das actividades do governo bem como de qualquer outra organiza o que tenha como preocupa o a salvaguarda das suas informa es Na perspectiva de Promon Business amp Technology Review 2005 hoje em dia as organiza es dependem muito dos sistemas de informa o e da internet para desenvolver as suas actividades Um incidente da seguran a pode prejudicar directamente e negativamente as actividades de uma organiza o a confian a dos clientes e o relacionamento com outras organiza es ou seja um incidente da seguran a pode impedir que as organiza es atingem as suas metas e gerar rendimentos para os accionistas Esta perspectiva traz a seguran a de informa o para um patamar novo n o apenas relacionados com a quest o da tecnologia e de ferramentas relevante para a protec o da informa o mas tamb m como um dos pilares de suporte as estrat gias do neg cio de uma organiza o A gest o de seguran a adopta uma nova postura levando em conta os elementos estrat gicos de uma organiza o e evolui para a extens o da pr tica de gest o de riscos do neg cio Idem 2005
108. s de riscos Tem por resultado Tem por resultado FONTE adaptado de MAMEDE 2006 Tamb m pensa se pertinente conhecer os diferentes tipos de risco que possam afectar o sistema de informa o de uma organiza o 3 1 Tipos de riscos De acordo com Z quete 2006 os riscos aqui mencionados s o relativamente aos computadores Como foi referido no primeiro cap tulo o computador um dos elementos integrante dos sistemas de informa o por isso pensa se importante abordar os seguintes tipos de riscos gt Intrus es s o altera o comportamental de uma m quina ou aplica es provocados por um ataque Este tipo de risco de dif cil avaliar porque n o implica qualquer dano objectivo mas garante os intrusos capacidade que lhe s o rejeitados de impor danos maiores usando para esse efeito a m quina invadido 51 106 Seguran a em sistemas de informa o governamentais o caso do MTIE gt Acesso a informa o reservada ou confidencial como sabe se a fun o de computador n o somente processar informa o mas tamb m o armazenamento de informa o cujo acesso dever ser controlado sendo assim qualquer acesso n o autorizado constitui riscos para o dono da informa o gt Perda ou roubo de informa o ou equipamentos a perda ou roubo de informa o armazenado num dispositivo ou computador faz com que perdemos como bvio a informa o considerados confidenciais para a posse de quem r
109. s no dom nio privado de um utilizador e limitada geograficamente 16 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Riscos S o uma expectativa de perda expressada como a probabilidade de que uma amea a em particular poder explorar uma vulnerabilidade com um poss vel preju zo Roteador Dispositivo de uma rede que recebe dados e os envia aos pontos de destino sempre usando as rotas mais curtas dispon veis Sistema de gest o de bases de dados SGBD Conjunto de aplica es que permite a interac o entre o utilizador e bases de dados Site Local na Internet identificado por um nome de dom nio constitu do por uma ou mais p ginas de hiper texto que podem conter textos gr ficos e informa es multim dia Software Cria o intelectual que compreende os programas procedimentos regras e qualquer documenta o associada relativos ao funcionamento de um sistema de processamento de dados Spam Termo usado para se referir aos e mails n o solicitados que geralmente s o enviados para um grande n mero de pessoas Top down Mais geral para mais espec ficos descendentes Significa do mais alto para o mais baixo do mais gen rico para o mais espec fico Unix Sistema operacional produzido pelos Bell Laboratories em 1971 para os minicomputadores DECPDP11 cuja finalidade era proporcionar um meio uniforme e simples em que um n mero relativamente peq
110. so do MTIE gt Servi o de acompanhamento de actividades tur sticas faz o acompanhamento e execu o das ac es voltadas para o desenvolvimento e o crescimento da actividade tur stica atrav s de pesquisas realizadas em coopera o com outros servi os e organismos competentes Inspec o geral das actividades econ micas IGAE rg o e autoridade de pol cia criminal em mat ria de infrac es antiecon micas e contra a sa de p blica que funciona sob a superintend ncia do Ministro do Turismo Ind stria e Energia dotado de autonomia funcional administrativa e financeira bem assim dos necess rios poderes de autoridade nos termos do respectivo Estatuto e demais legisla o aplic vel ao qual compete velar pelo cumprimento das disposi es legais que disciplinam as actividade econ micas Direc o regional de economia DRE servi os do MTIE cuja finalidade a representa o e actua o do MTIE a n vel regional As DRE representam o MTIE junto dos rg os do poder local e articulam se com os rg os desconcentrados do poder central de incid ncia regional Ainda tem como objectivo assegurar fun es desconcentradas de execu o das pol ticas do MTIE em mat ria de licenciamento fiscaliza o e controlo metrol gico englobando as do sector do com rcio e dos servi os do turismo e da energia Encontra se dividida por gt Direc o regional norte DREN esta direc o tem sede em S
111. so do MTIE Hackers Programadores tecnicamente sofisticados que dedicam boa parte do seu tempo a conhecer dominar e modificar os programas e equipamentos Hardware componente f sica de um computador formado por Rato Teclado Monitor e Unidade Central de Processamento Interface Fronteira partilhada entre duas unidades funcionais definidas pelas suas caracter sticas f sicas comuns de interliga o caracter sticas dos sinais e outras caracter sticas apropriadas Logoff Sa da ou encerramento da sess o Procedimento mediante o qual um utilizador encerra uma conex o a um sistema de computador ou dispositivo perif rico Mainframes Macro computador computador de grande capacidade que normalmente o principal processador de uma organiza o Foi designada deste nome ap s o aparecimento dos mini e micro computadores Password ou palavra chave Conjunto de caracteres de conhecimento nico do utilizador utilizado no processo de verifica o da sua identidade assegurando que ele realmente quem diz ser Problemas semi estruturados S o problemas que possuem elementos do tipo estruturado e n o estruturados Utiliza a mistura de m todo standard e ju zo humano para a tomada de decis o Protocolos Conjunto de regras e procedimentos t cnicos para o interc mbio de dados entre computadores ligados em rede Redes de computadores locais LAN Redes de computadores situada
112. soal operacional realizar suas tarefas 33 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Para Beuren amp Martins 2001 um TPS bem sucedida ser uma excelente base de dados de apoio a entrada aos outros sistemas de informa o O TPS a base que sustenta a integridade e a precis o da informa o gerada assegurando a confiabilidade dos sistemas de informa o hierarquicamente acima dele 3 2 Sistemas de informa o para gest o SIG ou MIS Para Stair 1998 apud Beuren amp Martins 2001 um sistema de informa o para gest o SIG um grupo organizado de pessoas procedimentos bases de dados e dispositivos utilizados para disponibilizar informa es de rotina aos administradores e tomadores de decis es De acordo com Silva s d SIG tratam das transac es consideradas ess ncias para os gestores compara as transac es com um plano de ac o sendo fundamentais na disponibiliza o de informa o correctas e no momento exacto para a tomada de decis o dos gerentes O SIG ainda ajuda a reduzir os custos do crescimento e toma poss vel s empresas operarem em grande escala com aumentos m nimos nos custos de coordena o e gest o Silva s d no seu trabalho de pesquisa conclui que o SIG possui um conjunto de fun es e caracter sticas tais como gt Integrar dados de diversas aplica es e transform los em informa o fornecendo as para o
113. sob superintend ncia do Ministro O Gabinete do membro do Governo o rg o que funciona junto do MTIE cujo objectivo assistir directa e pessoalmente no desempenho das suas fun es 80 106 Seguran a em sistemas de informa o governamentais o caso do MTIE A Direc o Geral de Planeamento Or amento e Gest o DGPOG um servi o interdisciplinar e de apoio t cnico a quem compete a formula o e seguimento das pol ticas p blicas de apoio t cnico e administrativo na gest o or amental de recursos humanos financeiros e patrimoniais do Minist rio Encontra se integrada pelos seguintes servi os gt Servi o de estudos planeamento e coopera o este servi o tem por miss o prestar apoio t cnico ao membro do governo na defini o da pol tica econ mica e no desenvolvimento de estudos e da recolha e tratamento de informa o gt Servi o de gest o dos recursos humanos financeiros e patrimoniais o servi o de apoio e coordena o das politicas de desenvolvimento de recursos humanos e gest o administrativa e dos recursos financeiros mat rias e patrimoniais do MTIE bem como da concep o e apoio t cnico normativo formula o destas politicas e sua monitoriza o e avalia o num quadro de moderniza o administrativa em prol da melhoria da qualidade do servi o p blico A Direc o geral da energia DGE o servi o respons vel pela defini o concep o
114. tais impress es e fotografias para os recenseamentos de cidad os Permite cadastral registar e alterar os dados dos eleitores 75 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Existem muitos outros sistemas de informa o no governo de Cabo Verde desenvolvidos pelo NOSI cujo objectivo melhorar a qualidade de servi os da administra o p blica com os clientes finais Todos os sistemas acima mencionados foram desenvolvidos internamente mas actualmente o NOSI sendo o nico desenvolvedor dos sistemas de informa o para o governo est a fazer subcontrata o de empresas externas para desenvolver muitas outras aplica es para o Estado No que diz respeito a pol tica da seguran a o NOSI tem um protocolo assinado com a empresa Microsoft no sentido de utilizar exclusivamente os softwares propriet rios para garantir a sua seguran a Pol ticas da seguran a para os clientes finais s o pol ticas da seguran a definidas pelo NOSI no sentido de n o possibilitar qualquer tentativa de acesso n o autorizada por parte das pessoas n o funcion rios da institui o aos dados considerados sens veis da institui o ou seja nenhuma pessoas ou empresas estranhas tem acesso aos dados da administra o central da institui o O acesso aos servidores restrito aos t cnicos inform ticos do NOSI sendo estas protegidas por mecanismos de autentica o Essa restri o tanto a n vel l
115. tos de mais valia e que merecem destaque no MTIE mais concretamente na rea do com rcio e ind stria porque existem neste Minist rio sistemas de informa o que est a satisfazer os objectivos da institui o gt Na rea de com rcio e ind stria os colaboradores utilizam Tabela din mica que um aplicativo que permite analisar a situa o de todas as empresas do com rcio e ind stria licenciado na C mara de Com rcio de Sotavento em Cabo Verde gt Tamb m utilizam TC On line aplicativo que permite satisfazer os pedidos de t tulo de com rcio externo em linha TCE on line Tendo em conta a grandeza do MTIE e o seu campo de actua o a aposta na seguran a em sistemas de informa o fundamental para o aumento da competitividade da Institui o Dentro deste contexto conclui se que extremamente importante que todos os colaboradores deste sistema tenham os seguintes conhecimento ao n vel da seguran a exigida pela institui o gt Todos os colaboradores devem preencher os requisitos m nimo exigidos Username e password para ter acesso a informa o no MTIE gt Todos os colaboradores devem conhecer e respeitar as pol ticas de utiliza o de email password antiv rus e software programas estabelecidas pela institui o 98 106 Seguran a em sistemas de informa o governamentais o caso do MTIE gt Todos os colaboradores devem ter o conhecimento que o sistema de backup da inteir
116. tra o de crise plano de continuidade operacional e plano de recupera o de desastre que complementam entre si 5 1 1 1 Plano da Administra o de Crise Segundo Laureano 2005 este plano delineia fases por fases o funcionamentos das equipas que abrange o accionamentos da conting ncia antes durante e depois da ocorr ncia do acontecimento e ainda define os procedimentos a serem tomados pela mesma equipa no per odo de retorno normalidade 5 1 1 2 Plano de Continuidade Operacional Ao contr rio do plano de administra o de crise tamb m o plano de continuidade operacional um documento que definem os procedimentos para conting ncia dos activos que suportam cada processo de neg cio objectivando reduzir o tempo de indisponibilidade e consequentemente os impactos potenciais ao neg cio Permite orientar as ac es diante da queda de uma conex o Internet exemplifiquem os desafios organizados pelo plano Idem 2005 5 1 1 3 Plano de Recupera o de Desastres Para Aurelio 2005 Este plano consiste em minimizar a probabilidade de ocorr ncia de interrup o e repor o funcionamento da organiza o Ainda defende o autor que este plano trata o porqu o qu quem onde e quando da recupera o de actividade e procedimento de neg cio da organiza o 66 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Na perspectiva de Ferreira 1995 plano da recupera o trata de criar c p
117. ue interagem entre as ac es de usu rio disponibilizando dados e modelos para a solu o de problemas semi estruturados focando a tomada de decis o ou seja disponibilizam recursos considerados vitais para a realiza o de suporte s decis es do n vel de gest o De acordo com Pereira 2006 SAD s o sistemas complexos que auxiliam os decisores a intervir em diferentes panoramas de neg cio da empresa ou ainda permite a organiza o a possibilidade de simular previs es com base no percurso hist rico da organiza o e para al m de escolher a melhor solu o para a organiza o Para al m de SAD possuir capacidade de reconciliar tecnologias de informa o a conhecimento humano um sistema capaz de apoiar a an lise de dados ad hoc e modela o de decis o para a defini o de um projecto futuro e em intervalos irregulares e n o planeados Moore amp Chang 1980 apud Aronson amp Turban 2001 apud Pereira 2006 Segundo Silva 2005 Os SAD ao contr rio de SIG baseia se em modelos e bancos de dados como elementos indispens veis dos sistemas 3 5 Sistemas de suporte ao executivo ESS ou SIE Ao contr rio de SAD um SIE segundo Boghi amp Shitsuka 2002 um sistemas que consolidam informa es de fontes internas e externas das empresas Este sistema fazem uso Uma base de modelo de sistemas de apoio decis o um componente de software que consiste em modelos utilizados em rotinas comput
118. ueno de utilizadores com um consider vel grau de inter relacionamento pudesse utilizar um s sistema Usu rio ou utilizador Qualquer pessoa ou entidade que utiliza os servi os de um sistema de processamento de dados V rus electr nico Programa ou parte de um programa de computador normalmente malicioso que se propaga infectando isto inserindo c pias de si mesmo e se tornando parte 17 106 Seguran a em sistemas de informa o governamentais o caso do MTIE de outros programas e arquivos de um computador Ele depende da execu o do programa ou arquivo hospedeiro para que possa se tornar activo e dar continuidade ao processo de infec o Vulnerabilidade E o ponto por onde qualquer sistema est sujeita a sofrer um poss vel ataque ou seja uma falha encontrada num determinado equipamento processo e configura o Web Rede teia trama entrela amento Forma abreviada muito frequente para World Wide Web Rede mundial ou um acervo universal de p ginas da Web interligados por v nculos as quais fornecem ao utilizador informa es de um completos banco de dados multim dia utilizando a Internet como mecanismo de transporte Websites uma colec o de p ginas Web imagens v deos ou outros activos digitais que ser o abordados em rela o a uma comum caminho raiz em uma rede baseadas em Internet protocolo Um Web site hospedado em pelo menos um servidor Web acess vel atrav
119. uspens o de servi os da organiza o Para a seguran a dos equipamentos s o fundamentais as medidas tais como gt Instala es de UTS uninterruptable power suply ou geradores de emerg ncia para protec o dos equipamentos contra falhas gt Manuten o correcta dos equipamentos respeitando a especifica o do fabricante de forma a garantir a integridade e disponibilidade do mesmo gt Elimina o ou cifragem de informa o considerado sens vel sempre que for necess rio a repara o de equipamentos gt Utiliza o de cadeados cabos para prevenir contra roubos da esta o de trabalhos gt Destrui o de suportes remov veis com informa o sens vel sempre que estiverem danificados etc 49 106 Seguran a em sistemas de informa o governamentais o caso do MTIE Segundo Silva 2005 a seguran a do equipamento impede a perda dano e acesso n o autorizados aos equipamentos duma organiza o implementando medidas de seguran a desde a sua instala o manuten o at a sua destrui o A seguran a do equipamento deve impedir acessos n o autorizados mas nunca deve por em causa a disponibilidade e a integridade do mesmo 3 An lise de riscos em sistema de informa o Provavelmente pode se dizer que o mundo de hoje caminha para uma sociedade de informa o e a consequ ncia disso ser o aumento da utiliza o dos sistemas de informa o na organiza o que por conseguint
120. vernamentais o caso do MTIE toda a organiza o Al m disso ela deve ser clara o suficiente para ser bem compreendida pelo leitor em foco aplic vel e de f cil aceita o A complexidade e extens o exageradas da PSI podem levar ao fracasso da sua implementa o Cabe destacar que a PSI pode ser composta por v rias pol ticas inter relacionadas como a pol tica de senhas de backup de contrata o e instala o de equipamentos e softwares Afirma Dias 2000 apud Laureano 2005 que a PSI deve abarcar para al m de componentes relacionados com sistemas de informa o mas tamb m deve abarcar aspectos relacionado com a pol tica institucional da organiza o objectivos de neg cios e planeamento estrat gico da organiza o No mesmo ponto de vista defende Freitas amp Lauro s d que uma pol tica da seguran a de informa o PSI n o deve abarcar apenas a rea inform tica mais sim deve abranger todo o sistema de informa o e recursos computacionais de uma organiza o ou seja ela deve integrar vis o a miss o ao neg cio e s metas organizacionais bem como ao plano estrat gico de inform tica e s pol ticas da organiza o respeitante seguran a no seu todo conforme ilustra a figura abaixo Estrat gia Geral da Organiza o Contribui para Estabelece o atingimento da Define Plano estrat gico dei Especifica Gera impactos sobre Planos de desenvolvimento de sistemas Plano de
121. za o est localizada no interior das instala es A pol tica de seguran a para as instala es constitu da pelo conjunto de procedimentos e m todos aplicados a esses sistemas e ao ambiente onde operam Mamede 2006 Segundo Torres et al 2003 a localiza o do centro de dados consiste na descri o de um conjunto de orienta es que permite a localiza o e a configura o correcta dos centros de dados Para o autor este deve respeitar as seguintes regras gt Nunca deve ficar situado nos r s de ch o nem no ltimo piso do edif cio 48 106 Seguran a em sistemas de informa o governamentais o caso do MTIE gt Se no caso do edif cio constitu do por nicos r s de ch o o centro de dados dever ficar situado no local mais escondido dos lugares da circula o p blica gt N o deve existir qualquer acesso directo de lado de fora s salas de centro de dados como por exemplo janelas portas respirat rios etc gt N o deve existir qualquer conduta de guas ou de esgotos pr ximo dos centros de dados gt O lugar onde fica os centros de dados deve ser dotados de tecto falso para a passagem de servi os de alimenta o aos centros de dados 2 1 2 3 Seguran a dos equipamentos Grilo amp Magalh es 2006 defende que a seguran a dos equipamentos consiste na tomada de medidas de seguran a que permite o impedimento de perda dano ou preju zo de equipamentos inform ticas ou a s
Download Pdf Manuals
Related Search