17a Tiragem ©2003, Elsevier Editora Ltda. Todos os direitos reservados e protegidos pela Lei no9.610 de 19/02/1998. Nenhuma parte deste livro, sem autorização prévia por escrito da editora, poderá ser reproduzida ou transmitida sejam quais forem os meios empregados: eletrônicos, mecânicos, fotográficos, gravação ou quaisquer outros. Copidesque Adriana Kramer Editoração Eletrônica Estúdio Castellani Revisão Gráfica Vânia Maria Martins Projeto Gráfico Elsevier Editora Ltda. Conhecimento sem Fronteiras Rua Sete de Setembro, 111/16º andar 20050-006 – Centro – Rio de Janeiro – RJ – Brasil Rua Quintana, 753 – 8º andar 04569-011 – Brooklin – São Paulo – SP – Brasil Serviço de Atendimento ao Cliente 0800-0265340 [email protected] ISBN 13: 978-85-352-1191-7 Nota:Muitozeloetécnicaforamempregadosnaediçãodestaobra.Noentanto,podemocorrererrosdedigi- tação,impressãooudúvidaconceitual.Emqualquerdashipóteses,solicitamosacomunicaçãoaonossoServiço de Atendimento ao Cliente, para que possamos esclarecer ou encaminhar a questão. Nemaeditoranemoautorassumemqualquerresponsabilidadeporeventuaisdanosouperdasapes- soasoubens,originados do uso desta publicação. CIP-Brasil. Catalogação na fonte. Sindicato Nacional dos Editores de Livros, RJ S475s Sêmola, Marcos Gestão da segurança da informação: visão executiva da segurança da informação: aplicada ao Security Officer / Marcos Sêmola e Módulo Security Solutions S.A. – Rio de Janeiro: Elsevier, 2003 – 17areimpressão. Inclui bibliografia ISBN 978-85-352-1191-7 1. Sistema de informação gerencial – Medidas de segurança. 2. Sistemas de segurança. I. Título. 02-2034. CDD – 658.4038 CDU – 65.012.4:007 Este livro é dedicado à memória dos meus avós paternos Archimedes Renato Forin Sêmola e Fernanda Sêmola, por seus valoresincontestáveis,pelaliçãode vidaque comparti- lharam,incentivandoabuscacontínuadoconhecimentoeda razão,epeloamoraplicadoaopapeleducacionalquesepro- puseram a cumprir por nós. Agradecimentos Comumente os livros se iniciam com o capítulo de agradecimentos. Seupropósitoestáintimamenteligadoapermitirqueoautortornepú- blicaaimportânciaparticipativadepessoaseempresasnaobraliterá- ria.Curiosoéqueagranularidadeecapilaridadedosagradecimentos tendemadiminuirediçãoaedição,emfunçãodaquantidadedeobras do autor. Assim, neste livro não será diferente. Dessaforma,inicioagradecendoàempresaMóduloSecuritySo- lutions – onde atuo como Gerente Nacional de Produtos – por sua responsabilidade no meu envolvimento profissional com a área de segurança,pelasoportunidadesquemetemsidoproveitosaseprin- cipalmente,porserumdosfatorescríticosdesucessoparaaconstru- çãodestelivroaoemprestar-megrandepartedeseusconceitosevi- sõesaplicadasnodia-a-dia,queaquiseencontramdidaticamenteor- ganizadas e complementadas por experiências docentes. Ainda no “perímetroMódulo”,agradeçoaoscolaboradoresemgeral,àunida- dedetreinamentoMEC–MóduloEducationCenter,aosintegrantes das equipes do Módulo Security Lab, Módulo Consulting Team, AccountManagersetambémàequipedoPortal,quediretaeindire- tamente, contribuíram com a divulgação, revisão e organização das informações compartilhadas neste livro. Um agradecimento aos trêssóciosvisionários,queem1985souberamidentificaraoportu- nidadeecomeçaramaescreverahistóriadasegurançadainformação no Brasil, mas em especial a um deles, Fernando Nery, a quem res- ponsabilizo pelo interesse e entusiasmo que desenvolvi pela Segu- rançadaInformaçãoepelacondiçãoinformaldeco-autordemuitos dos conceitos e insights presentes aqui. AgradeçoàFundaçãoGetúlioVargasqueteveumimportantepa- pelnamaterializaçãodesteprojeto,poracreditarnopotencialliterário da obra e principalmente no valor que poderia agregar aos cursos de educação continuada MBA (Master in Business Administration). Agradeço aos amigos e mentores da FGV/EPGE, Moisés Glat, Raul Colcher,BernardoGrinner,CarlosSalleseAndréValleque,poracre- ditarem no meu potencial como educador, viabilizaram – a partir de umconvite–aenriquecedoraexperiênciadelecionaracadeiradeGes- tãodeSegurançadaInformaçãoparaoscursosnacionaisMBAdainsti- tuição.ÀamigaeprofessoraDeanaWeikersheimer,umagradecimen- toespecialpelashorasnossaguõesdosaeroportosemquetrocávamos experiências, enquanto era especialmente motivado a seguir seu exemplodecompartilharoconhecimentooradistribuídoatravésdes- te livro. Sendo rigoroso com a premissa de usufruir deste capítulo para agradecimentosextensivos–principalmenteporsetratardaprimeira obra–nãopossodeixarderesponsabilizarporumafatiadesteresulta- domeuscolegasdocursoMBAemTecnologiaAplicada/FGV,especial- menteaoMarcoAurélioLatgeeLuizMárioGrinner,queforamsem- pre presentes e incentivadores de meus projetos ambiciosos. Como não poderia deixar de ser, não me permito esquecer dos principais responsáveis pelo apoio incondicional e a base sólida que viabilizamdiretamenteosucessodemaisesteprojeto,minhafamília, principalmente meus pais, meus irmãos, minha esposa Adrianny e, agora,aos45minutosdosegundotempodolivro,meuprimeirofilho, Guilherme, que está sendo aguardado com ansiedade. Prefácio Recentementepasseipeladesagradávelexperiênciadeserassaltadoao finaldeumdiadetrabalho.Oassaltantechegoupedindoomeu“lap- top”,emalusãoàminhapasta,queeuachavaserdiscretaequenãose parecia com as pastas tradicionais de notebook. Argumentei que não possuía“laptop”napasta,aliviadoporterdeixadoomeuemcasana- quele dia, e abri a pasta, por “pedido” dele, mostrando a ausência do equipamento.Elequislevarapastaassimmesmo,noqueeuinstinti- vamente pedi para que ele me deixasse ficar com minha agenda. Ele desistiu, pediu minha carteira, e depois fugiu em sua moto. Apesardosustoedotrauma,fiqueipensandonesseepisódiocom olhosprofissionais.Detodosositensqueeupossuíacomigonaquele momento,talvezaminhaagendaestivesseentreosmaisbaratos.Con- tudo, por conta de todas as minhas anotações e rabiscos, foi o único item pelo qual eumearrisquei (louco!) emumaargumentação tensa para poder mantê-lo. Obviamente,queaminhavidaeraamaiorprioridade,seguidodos documentospessoaisqueestavamemumasegundacarteiraenãofo- ramlevados,masoqueesseepisódioilustroufoiumasituaçãocotidia- naemqueinformaçõesestavamemrisco,mesmosemhavernenhum aparato tecnológico envolvido. Extrapolandoessecaso,ficopensando:eseumnotebookfossele- vado?Seráqueodonoperderiainformações?Seráqueasinformações contidasneleestariamprotegidasdosolhosdeterceiros?Poderiaum assalto desses ser contratado por um concorrente inescrupuloso? Evidentemente,esteéapenasumdosváriosriscosaosquais,infe- lizmente,tantoeuquantooleitorestamossujeitosenquantovivermos neste mundo imperfeito e injusto. Mas, olhemos um pouco além: quantosdenós,comoprofissionais,executivoseempresáriosresponsáveis quesomos,podemosdizerqueadministramososriscosaquenossasem- presas e negócios estão sujeitos por dependeremde informações? Pensemos nos nossos negócios em relação à Informação: (cid:2) Quãodependentessomos?Conseguimosficarumasemanasem nossoscomputadoresesistemas?Quecomputadoresequesis- temas não podem parar? (cid:2) Quão sensíveis somos? Que informações não podem cair nas mãosdenossosconcorrentes?Queinformaçõesnãopodemvir a público? (cid:2) Quão conhecidos e confiáveis somos? Nossa reputação será afetadasemodificaremnossasinformações,seterceirossepas- sarempornósousenossosserviçosforeminterrompidossem aviso? (cid:2) Ondemoraoperigo?Emagentesexternosaonossonegócio,ou entre os nossos quadros funcionais? Na ação deliberada, ou na negligência ou imperícia aplicadas ao nosso dia-a-dia? MuitaspessoaspensamqueSegurançadaInformaçãoseresumeà compra de equipamentos e softwares caros, como firewalls, sistemas dedetecçãodeintrusosouantivírus.Outrasachamqueincluiraado- ção de Políticas de Segurança e o estabelecimento de responsabilida- desfuncionaisaoaparatotecnológicoésuficiente.Masnenhumades- sasabordagensconsegueprevenirperdasseforemadotadasdeforma isolada e inconseqüente. Segurança da Informação não é uma ciência exata. Se fôssemos classificá-la,elaestarianocampodagestãoderiscos.Eparagerirris- coséprecisoconjugarváriosverbos:Conhecer,Planejar,Agir,Audi- tar,Educar,Monitorar,AprendereGerenciarsãoapenasalgunsdeles. AprincipalcontribuiçãodeMarcosSêmolacomestelivroétradu- zir em uma linguagem didática diversos conceitos e abordagens co- munsnocampodaSegurançadaInformação.Maisdoqueisso,olivro permiteterumavisãoglobaldosváriosaspectosenvolvidos,introdu- zindooassuntoàquelesquecomeçam,eproporcionandoumaestru- tura de orientação sintética e fácil para aqueles mais experientes. O livro se destina a pessoas que, como você que leu este prefácio atéaqui,seinteressampeloassuntoeestãoconscientesdasuaimpor- tância, e também àquelas que ainda não despertaram para ele. Como auxílio à conscientização, seu texto é um presente valioso. IVANALCOFORADO Information Security Specialist Engenheiro de Produção, formado pela UFRJ e pós-graduado pelo Centro de Referência em Inteligência Empresarial (CRIE) da COPPE, e consultor nas áreas de Gestão do Conhecimento e Segurança da Informação. O Autor MARCOSSÊMOLAéGerentedaDivisãodeConsultoriadeSegurançada InformaçãodamultinacionalAtosOriginparaaAméricadoSul,Con- sultorSênioremGestãodeSegurançadaInformação,umdosdezpro- fissionaisbrasileiroscertificadosinternacionalmentecomotítuloCISM –CertifiedInformationSecurityManager.Possui13anosdeexperiên- ciaemTIdosquais6àfrentedagestãodeprojetosedesenvolvimento deserviçosdesegurançadainformação.ÉProfessordaFundaçãoGetu- lioVargas,MBAemTecnologiaAplicada,PósGraduadoemMarketing eEstratégiadeNegócios,PósGraduadoemRedeseBacharelemCiência daComputação.Éaindaarticulista,colunistadoIDGNow,autordoli- vroGestãodaSegurançadaInformação–umavisãoexecutiva,daEdi- toraCampuseeleitoSECMASTER,ProfissionaldeSegurançadaInfor- mação de 2003 pelo ISACA e Via Forum. Para entrar em contato com o autor envie um e-mail para: [email protected]