La propuesta de un modelo para la construccin de poltica de seguridad de informacin en la implementacin de actividades en redes corporativas: estudio de caso.

Nombre: Paula Raquel Sales do Nascimento (UNINORTE) Correo electrnico: rakelsales@hotmail.com Nombre: Alex Fabiano Pimenta dos Santos (UNINORTE) Correo electrnico: alex.saantos@hotmail.com Nombre: Bruno Costa de Oliveira (UNINORTE) Correo electrnico: bruno_warley@hotmail.com

Nombre: Larcio Pereira da Silva Jnior (UNINORTE) Correo electrnico: laerciojr_roop@hotmail.com Nome: Ismael Izidro da Silva Filho (UNINORTE) Correo electrnico: maelizidro@gmail.com Nombre: Jandecy Cabral Leite (UNINORTE) Correo electrnico: jandecycabral@hotmail.com

1 Introducin Con el pasar de los aos las redes de ordenadores fueron albas de invasores, ms conocidos como hackers y crackers. Tales invasores tienen como finalidad pasar por la poltica de seguridad de rede implantada y capturar informaciones como contraseas de la cuentas, proyectos o carpetas confidenciales. Hoy con la gran facilidad de dividir carpetas por la red esas prcticas de invasores fueran tornndose cada vez ms comunes, as gran parte de las organizaciones estn mudando el foco de sus negocios e invistiendo cada vez ms en seguridad para que estas sean protegidas contra estos tipos de ataques. Es comn de la noche para el da un negocio perder millones o billones al saber que sus informaciones fueran robadas, pero no es comn or que un negocio inviste millones en proteccin. El objetivo principal de este artigo es crear una poltica de seguridad que sea aplicable en actividades en redes corporativas, disminuyendo los riesgos de un ataque. El uso de la poltica de seguridad debe proteger la informacin, reducir los riesgos y las prdidas asociadas a los recursos de red y seguridad. El PSI y la seguridad es un riesgo para la misin acadmica, de prdida de datos o de la divulgacin no autorizada de informacin sobre la investigacin y ordenadores educativos, registro acadmico y sistemas financieros pueden afectar a universidad y a los estudiantes. Los puntos tratados sobre seguridad deben establecer polticas para proteger las redes y sistemas de ordenadores del uso impropio. Los mecanismos de seguridad ayudaran en la identificacin y prevencin del abuso de acceso. Las polticas de seguridad establecen mecanismo que protegern y agradaran responsabilidades legales para sus redes y conectividad de sistemas de ordenadores a la internet mundial, tales mecanismos apoyarn los moldes de las polticas existentes. La responsabilidad por la seguridad de los recursos computacionales depende de los administradores del sistema que dirigen tales recursos.
Usualmente redes corporativas son desarrolladas e implementadas sin aspectos de seguridad o normativo, pero para tener una funcionalidad, eficiencia y velocidad. Aunque esto sea bueno del punto de vista empresarial, los problemas de seguridad aparecern despus, y las empresas gastarn dinero para resolverlos en la proporcin del tamao de sus redes. Siendo a si la poltica de seguridad de la informacin debe ser definida dentro de una organizacin. Este trabajo visa demonstrar el aumento del nivel de seguridad a ser desarrollado un estudio en las principales informaciones que deben ser protegidas dentro de un ambiente corporativo para definir la poltica usada para asegurar la proteccin de la red, utilizando herramientas como: firewalls, tcnicas de ataque externos, tipos de criptografa, tipos de herramientas para fundamentar mejor nuestra evaluacin sobre el estudio realizado.

2 Metodologa y Organizacin de poltica de seguridad de informacin Padrones adoptados por leyes para mantener la seguridad de las redes, es un documento de practicidad para el bueno entendimiento de la poltica de seguridad y que cada organizacin tenga un PSI, que es un modelo padrn para cada empresa para operar y trabajar de una forma harmnica. Al ser criado un PSI es importante reunir todas las informaciones asociadas a la organizacin y estas sern organizadas y actualizadas por un equipo de directores y colaboradores capaces de transferir todas las informaciones necesarias para que el ambiente de redes pueda desarrollar. Despus es necesario aplicar un estudio con todos los colaboradores de la organizacin y que estos conocen las reglas y padrones adoptados. Es necesario que todos entiendan que las reglas deben ser seguidas para que no coloquen en riesgo la seguridad de la red. Despus del conocimiento de las informaciones necesarias referente al ambiente al cual ser implantado un PSI, deberse preparar y protocolar cada documento descrito para que este haga parte del proyecto inicial de programacin de PSI. Es importante asegurar tales informaciones realizando teste con una pequea parte del grupo, ideal es que estos no hagan parte del cuerpo tcnico que est desarrollando el proyecto, asegurando que estos no conocen las reglas de la organizacin y as el teste ser testada la veracidad de las informaciones colectadas o verificar el nivel de integridad y responsabilidad de las mismas. La gran mayora de los proyectos este periodo dura cerca de dos meses. Antes de colocar en prctica un proyecto de PSI es necesario ofrecer palestras para presentacin de las ideas principales y objetivos a ser alcanzados y sacar las dudas sobre el mismo. La fase final del proyecto es la implementacin. En toda la organizacin est fase debe ser acompaada para que no aja fallas en el proceso de implementacin. Es necesario que mensualmente tenga una revisin para asegurar los posibles accesos indebidos o invasores en la red, esa barredura es posible que sea preciso revisar algunos aspectos en el contexto del trabajo para evitar riesgo. Y despus de un ao de poltica implantada es necesario actualizaciones de las reglas de la organizacin para que estas puedan atender las necesidades. El imagen abajo muestra la idea inicial para implementar un PSI en el instituto escogido.

J existe uma PSI ?

Cria um comit gestor

Conhecer a empresa

Trenamento de Segurana

Organizaes das ideias

Escrever a poltica Reviso

Testar a poltica

Resultado esperado

Implementao

Apresentao

Anotar resultado

Avaliao dos Resultados

Passou 1 ano

Metodologa de Poltica de Seguridad de Informacin Fuente: Autor Cuanto AL proceso de construccin y organizacin de la poltica de seguridad, es fundamental abordar las metodologas utilizadas en la organizacin. A seguir tendremos algunos tems que pueden influenciar en PSI de la organizacin: 1. Seguridad Fsica: Parte fsica debe ser bien estructurada repasando toda parte elctrica y tensiones de las tomadas, estas deben ser identificadas en tensiones correctas. Todo ambiente debe estar asegurado contra incendio o desastre, tal poltica debe definir proteccin a los equipamientos del instituto y viabilizar salidas de emergencias tal proceso debe ser elaborado para no colocar en riesgo la parte lgica de la empresa Seguridad Lgica: esta parte de PSI cuida del acceso a las informaciones para que no aja acceso indevido por personas no autorizadas, este proceso es preciso que sea averiguada la identificacin del usuario junto de autenticacin, pues tales quesitos son relevantes en la seguridad de las informaciones de acceso, todava deben tener un login y contrasea capaz de realizar un registro en banco de datos el horario, fecha y cuantidad de veces que el usuario tuvo acceso a estas informaciones Seguridad Perimetral: Es una poltica definida en las bordas de red. En un PSI, puede influenciar en la manera como el congestionamiento entre redes, o entre las subredes de la corporacin sern delimitadas. Por ejemplos, a travs de ACLs y firewalls, pueden ser definidas un documento donde definan cuales congestionamientos son permitidos a partir de un determinado grupo. Tambin pueden ser utilizados los relatos y logs de los componentes de esta metodologa para revisar PSI a cada ao.

2.

3.

4.

Seguridad en redes inalmbrico: define la manera como el sistema de telecomunicaciones inalmbricos ser protegido. Es importante decir cuales tipos de autenticacin sern usados para cada red Wifi. Con la utilizacin padrn IEEE 802.1x puede ser definida cual tipo de autenticacin ser hecha por el usuario, quedndose libre de utilizar una contrasea y as fcil de fiscalizar los usuarios que no cumplieren las normas de PSI.

5.

VPN: Para instituto a VPN se torna esencial, pues en la mayora de las veces el acceso remoto para bsqueda es fundamental. Como la poltica de seguridad de informacin es un documento que visa regir la organizacin de leyes de seguridad, puede definir la obligatoriedad del uso de conexiones VPN para acceso remoto.

Pilares da segurana da informao Fonte: www.espacoacademico.com.br/042/42amsf.htm

3. Propuesta de Implementacin de Poltica de Seguridad de Informacin Aplicada en Redes de Ordenadores Seguridad de informacin tiene como principal objetivo mantener La integridad de los activos e informaciones de una organizacin en su ambiente computacional, principalmente en respecto a redes de ordenadores y sistema de telecomunicacin. Un PSI tiene como propsito definir las normas, reglas y directrices aplicadas a redes de ordenadores siendo elaborada de acuerdo con normas y leyes vigentes actualizadas por los rganos competentes que tratan de la administracin de seguridad de informacin. Este documento tiene como objetivo definir una poltica de seguridad de informacin, con directrices, restricciones y requisitos a ser aplicados en el campo computacional de la organizacin para garantir la integridad de los activos, bien como la integridad del sistema de redes y telecomunicaciones. Modelo de Normas y Directrices Esta poltica es exhaustivo a todos que utilizan los recursos de redes de organizacin. Los recursos de red estn para facilitar el desarrollo del trabajo. As deben ser utilizadas solamente las funciones ejercidas en la organizacin. El acceso al ambiente fsico de la organizacin (habitacin, pasillo, etc) sern permitidos a travs de identificacin por pasaporte para funcionarios y invitados. El acceso a habitaciones que guardan los servidores, dispositivos de red y carpetas de backup, sern hechos a travs de identificacin propia (contraseas). Las instalaciones y manutenciones elctricas y de red sern hechas de acuerdo con la poltica de recuperacin de desastres. El acceso ser hecho despus de la autenticacin en el sistema a travs de login y contrasea. Cada usuario debe tener un login y su propia contrasea. Cada uno es responsable por guardarla. Del proceso de autenticacin por login y contrasea, cada usuario deber utilizar su certificado digital, para garantir o no repudio, principalmente en el envo de documentos y mensajes por correo electrnico. Debern respectar los stios autorizados de acuerdo con este documento, bien como las redes autorizadas en la poltica de firewall y ACL. Sern permitidos sitios relacionados al desarrollo de las funciones ejercidas por cada funcionario, bien como sitios de noticias, entretenimiento, deportes, humor, etc. Prohibiendo sitios con contenidos adultos, pornogrficos, racista, pedofilia, hacker, terrorista y armas. Teniendo respecto de poltica de firewall y ACL, no es permitida la alteracin de las configuraciones de direcciones IPs, Gateways, y/o DNS. Tampoco el uso de proxies u otro sistema para burlar los filtros. Peridicamente ser hecha una auditoria en todos los PCs de acuerdo con los resultados del documento y logs de IDS/IPS y firewall, para mantener la integridad de red.

Configuraciones de Topologia de Seguridad El uso de red inalmbrico ser hecha a travs de autendiacin de login y contrasea del propio usuario Las normas referente al uso de red padrn (red cableada), son vigentes para redes inalmbricas. Los usuarios que necesitaren ejercer SUS funciones remotamente debern utilizar la VPN corporativa. Todo usuario que necesitar conectarse en VPN deber solicitar su contrasea personal al equipo de suporte.

5. Estudio de Caso
El estudio de caso fue realizado en una organizacin no gubernamental, un instituto de investigacin y tecnologa con actuacin nacional e internacional en monitoriamente inicial de sus actividades. Este instituto realiza contribuciones tecnolgicas para el avanzo y el bien de la humanidad, bien como establecer soluciones innovadoras capaces de atender reas pretendidas. Ella mantiene un servicio de informaciones sobre el cliente y el propio negocio.

Toda y cualquiera empresa que lida con informaciones necesita que estas sean seguras, principalmente en relacin a informaciones de terceros, su vaciamiento puede traer procesos judicial, inclusive criminales, as como prdida de confianza para el negocio delante del mercado, Una vez que no se puede estimar el riesgo al cual la empresa estuve expuesta, pues este nunca ha sido medido antes, adoptando una metodologa que pueda ser implantada, llevando en consideracin la cuantidad de usuarios, el cuesto y tiempo. Primer fue realizado un levantamiento para apurar los colaboradores de la empresa, informaciones a cerca de la poltica llevando en cuenta los criterios adoptados en este artigo para recogimiento de informaciones. Fueran definidas las siguientes fases para teste de implementacin

Identificacin de recursos para ser protegidos hardware, red, software, datos, informaciones personales, documentacin; Identificacin de riesgos (amenazas) naturales o causadas por personas; Anlisis de riesgos (vulnerabilidades e impactos) identificar las vulnerabilidades y los impactos asociados; Evaluacin de riesgos (probabilidad de ocurrencia) levantamiento de probabilidad ocurrir una amenaza, estimando el valor del prejuicio. Tratamiento de riesgos manera de trabajar con amenazas. Controle de eficacia adoptados para minimizar ls riesgos identificados; Revaluacin de riesgos en intervalos de tiempo no superiores a seis meses;

Otro punto fue la adaptacin de poltica de seguridad a realidad de la empresa, bien como las reglas de directores de seguridad. Los recursos fueron vistos y catalogados en la entrevista inicial con los colaboradores, luego o aceite del proyecto. Ellos fueron divididos en tres grupos: recursos de hardware, software y recursos humanos. Los principales recursos de hardware son:

1 Athlon XP 3000 1gb Ram hd 160Gb Servidor Web Internet roteador*** 1 Athlon XP 3000 1gb Ram hd 120Gb Servidor Banco de dados / arquivos *** 50 Dell Windows 7 Core i3 4 gb Ram hd 500GB Hosts Linksy 2.4 Ghz 54 Mbps Roteador 3com 24 portas gerencivel Switche

De estos existen tems como datos y cdigos impresos, al cual debiese dar atencin. Principalmente en trminos de guardar y descarte. Recursos Softwares:

6 Windows 2000 Pro Banco de datos contiendo informaciones alumnos*** Banco de datos contiendo informaciones propias*** cdigos fuente** softwares libres diversos.

Los asteristicos son relativos a la importancia dado a cada tem. Cuanto a los recursos humanos de la empresa, todos los colaboradores son de rea de tecnologa de informacin, siendo Doctores, Posgrados y graduados. Fue definida una buena parte de las necesidades de la empresa en relacin a seguridad y SUS trillas de auditoria 1- instalacin de un firewall; 2- actualizacin de patches de seguridad de los fabricantes; 3- instalacin de un sistema de controle; 4- separar servidores; 5- por seguridad utilizar un banco de datos para guardar carpetas; 6- crear una rutina de actualizacin de los antivirus, en las mquinas y servidor, esta ser automtica por atendimiento y diaria; 7- centralizacin de los registros de log en un servidor.

La trilla de auditora es una tcnica que permite el acompaamiento de todas las actividades que afectan un determinado conjunto de informaciones, como un registro de datos, desde el momento en que l entra en el sistema hasta el instante en que es removido. Ellas permiten documentar, por ejemplo, quien efectu una determinada alteracin y cuando ocurri. Las trillas de autora pueden ser desarrollada por varios componentes de aplicativos y de infraestructura para fines distintos: servidores de VPN y firewalls pueden desarrollar eventos para ayudar a detectar invasiones externas, componentes de middleware pueden desarrollar datos de instrumentacin para ayudar a detectar anomalas de desempeo. En el caso ser usado logs de eventos de sistema, del firewall, logs de acceso, del antivirus y registro de eventos semejantes a los usados en helpdesk, que ser preparado por el administrador de red, para mapear posibles problemas y un registro con todas las propiedades de acceso de usuario. Despus que los datos de auditora tuvieren sido producidos, ellos precisan ser colectados y almacenados. Existen dos principales modelos considerados: distribuido y centralizado. En el distribuido, los datos de auditora permanecen en el sistema en que fueron desarrollados. En la centralizada que fue escogida los datos son enviados para una instalacin central de almacenamiento y colecta de datos.

Una vez colectados, los datos son procesados y analizados de manera automtica o manual. Las auditoras son realizadas a cada seis meses, siempre por alguien autorizado y externo a empresa para garantir imparcialidad. En el caso de unos crises o invasin un administrador ser llamado independiente del tiempo transcurrido y la poltica ser revista. La propuesta inicial era un cambio de servidores y estaciones para Linux, pues en este SO es ms difcil la propagacin de virus, hasta la cuantidad de ellos es menor. Una vez implantada es fcil su administracin, ella depende de algunos conocimientos por parte de los administradores y usuarios. El acuerdo en las reuniones realizadas con los colaboradores, fue la creacin de servidor de datos comn para banco de datos, diccionario de dados y carpetas diversas. Para esto ser implantado una memoria y espacio en disco de un Athon XP 3000. Ese servidor fue implantado en Linux en distribucin de Debian 6.0, tambin comportar el servidor de Samba, para integracin con mquinas Windows. Primer paso fue acordado el tipo de topologa estrella como modelo para red levando en consideracin el recibimiento de internet por un modem ADSL, teniendo un rodeador como firewall, un servidor de datos, web y correo.

Esquema a ser usado en la red Fuente: www.midii.com.br/servios.php Fue observado la necesidad de nuevo computador Athlon XP 3000, 1Gb de Ram HD 160Gb, para rodar Suid (Proxy), rodeador, el DNS, el DHCP e o PostFix de correo electrnico. O Squid exige una buena cuantidad de memoria para disponibilidad de un acceso de cualidad a internet. O squid proporciona la personalizacin del tipo

de acceso por usuario y grupo de usuarios a internet, pudiendo bloquear sitios, lo que sumado al fato de ser gratis tornase bastante atractivo. En la solucin Firewall, fue acertada la necesidad de un rodeador que ser usado como firewall usando reglas para autenticacin en la red. Tanto los datos como los cdigos fuente sern almacenados en bancos de datos (MySOL) para facilitar auditora y aumentar la seguridad. Los logs del MySOL facilitan la consulta cobre quien realiz alteraciones, etc. Presentando mquina y usuario. En la solucin personal, fue acordado la firma de un documento por parte de alumnos y colaboradores tomando conocimiento de las reglas establecidas para la poltica de seguridad de la empresa, as como recibieron estudios sobre las tcnicas de engeara social y como evitar el contagio de virus y otros software maliciosos, como de la propia poltica. A seguir las nuevas reglas sumadas a las directrices de la poltica presentada: Prohibido cualquier tipo de lanche delante del ordenador Los usuarios deben utilizar el correo electrnico de la empresa para fines de la misma, correo electrnicos personales podrn ser ledos en webemail respectando las reglas. No abrir carpetas desconocidas o sospechas. No abrir los anexos Procurar leer los e-mais em formato Text em vez de Html. Los datos de los usuarios no deben ser divididos con nadie y tampoco salieren del instituto. Todas las alteraciones hechas en cdigos deben ser registradas y esclarecidas al administrador de red. Las contraseas de red deben ser guardadas en local seguro y cambiadas con el administrador. Protectores de tela debern ter cdigo y sern accionados dentro de cinco minutos de ausente. Las puniciones sern en la proporcin de los daos causados, por ejemplo, va recibir una advertencia, en la tercera pagar multa de R$ 100,00. Informar se alguien desobedecer las reglas, caso contrario dividir con l la multa.

Fue dada una sugestin en relacin contraseas. El uso de software para creacin de contraseas randomicas, que sera usado para imprimir en una tarjeta sobre la responsabilidad del usuario, que al final de una semana sera entregue al administrador de red para ser destruido y un nuevo impreso. En el plano de contingencia y continuidad fue observado en trminos de continuidad, la empresa no tiene nivel de procesamiento de informaciones que justifique la necesidad de implementar un sistema con RAID o servidores de alta disponibilidad. El cuesto de tiempo parado para retornar el sistema, no justifica por lo menos en su estado actual, el cuesto de implementacin del mismo. Aunque el plano de contingencia ser implementado.

El plan de contingencia consiste de la documentacin de todos los procesos de implementacin de los servidores y estaciones, bien como la creacin de manuales de restauracin de estos y de los backup de datos. Copias de los Cds con los software necesarios para la recreacin de la estructura de red y sus servicios fueran hechas y dejadas junto a los manuales. Con todas las actualizaciones hechas en un Cd a parte del sistema. Cada vez que son hechas actualizaciones en el sistema, debe incluir el cd y, en la lista de actualizaciones en manual. Backups esos son realizados apenas de los datos y elementos de trabajo, no de sistema operacional ni de programas. Son realizados diariamente.

6. Conclusin Los accesos a las redes no son controlados totalmente, pus la posibilidad de violacin existe y ocurre cuando menos se espera, siendo las soluciones de seguridad las nica que pueden servir como base para solucin. Uno de los objetivos de la norma NBR ISO/IEC 27002 es establecer directrices y principios generales para empezar, implementar, mantener y mejorar la administracin de seguridad de informacin en una organizacin. Los controles esenciales y maneras son tratados por la norma, los cuales precisan ser separaos para que el chek-list quedase consistente. Realizndose un anlisis del artigo, el objetivo principal fue alcanzado, fue implementada una poltica de seguridad, utilizando recursos bsicos, levando en consideracin que no haba un documento o metodologa a ser

seguida con relacin a seguridad de informacin. La metodologa creada permite que sean incluidos nuevos tpicos y preguntas, que permite adecuarlos rpidamente, los cambios de norma o de empresa, puede ser utilizados en cualquier empresa que se obtenga de red de ordenadores. Vale resaltar que no solamente normas de seguridad son importantes, otras normas tambin poseen su gran importancia, esto puede ser comprobado por la procura de ese mecanismo y por las organizaciones que ya adoptaron estos mecanismos. El producto final desarrollado, partir de este trabajo, est listo para ser utilizado en un proceso de evaluacin de seguridad de informacin de una organizacin.

6 - Referencias VON SOLMS, R. Information security management: why standards are important. Information Management & Computer Security, v. 7, n. 1, p. 5057, 1999. SCHELL, R. R. Information security: science, pseudoscience and flying pigs. In: 17th Computer Security Applications Conference. [S.l.]: ACSAC, 2001. p. 205216. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 27002: Tecnologia da informao - cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro, 2002.MAY, C. Dynamic corporate culture lies at the heart of effective security strategy. Computer Fraud & Security, v. 2003, n. 5, p. 1013, May 2003. POSTHUMUS, S.; VON SOLMS, R. A framework for the governance of information security. Computers & Security, v. 23, n. 8, p. 638646, Dec. 2004. WILLIAMS, P. Information security governance. Information security technical report, v. 6, n. 3, p. 6070, Nov. 2001. TONG, C. K. S. et al. Implementation of ISO17799 and BS7799 in picture archiving and communication system: local experience in implementation of BS7799 standard. International Congress Series, v. 1256, p. 311 318, 2003. MARCINCOWSKI, S. J.; STANTON, J. M. Motivational aspects of information security policies. In: IEEE International Conference on Systems, Man and Cybernetics. Oakland, California: IEEE Society, 2003. v. 3, p. 25272532. STANTON, J. M. et al. Examining the linkage between organizational commitment and information security. In: IEEE International Conference on Systems, Man and Cybernetics. Oakland, California: IEEE Society, 2003. v. 3, p. 25012506. HNE, K.; ELOFF, J. Information security policy: what do international information security standards say? Computers & Security, v. 21, n. 5, p. 402409, Oct. 2002. WOOD, C. C. Why information security is now multi-disciplinary, multi-departmental, and multiorganizational in nature. Computer Fraud & Security, v. 2004, n. 1, p. 1617, Jan. 2004. WOOD, C. C.; PARKER, D. B. Why ROI and similar financial tools are not advisable for evaluating the merits of security projects. Computer Fraud & Security, v. 2004, n. 5, p. 810, May 2004. SMITH, K. B. Typologies, taxonomies, and the benefits of policy classification. Policy Studies Journal, v. 30, n. 3, p. 379395, Aug. 2002.

WEIMER, J.; PAPE, J. C. A taxonomy of systems of corporate governance. Corporate G RYAN, L. V. Corporate governance and business ethics in North America: the state of the art. Business & Society, v. 44, n. 1, p. 4073, Mar. 2005. TURNBUL, S. The science of corporate governance. Corporate Governance, v. 10, n. 4, p. 261277, Oct. 2002. SHULOCK, N. The paradox of policy analysis: If it is not used, why do we produce so much of it? Journal of Policy Analysis and Management, v. 18, n. 2, p. 226244, 1999. TAKAHASHI, T. Sociedade da Informao no Brasil: Livro verde. Braslia: Ministrio da Cincia e Tecnologia, 2000. MINISTRIO DA CINCIA E TECNOLOGIA. Livro Branco: Cincia, tecnologia e inovao. Braslia: Ministrio da Cincia e Tecnologia, 2002. CASTELLS, M. A sociedade em rede. 7. ed. So Paulo: Paz e Terra, 2003. COSTA, I. T. M. Informao, trabalho e tempo livre: polticas de informao para o sculo XXI. Cincia da Informao, v. 28, n. 2, p. 1719, Maio/Ago. 1999. MCGARRY, K. O contexto dinmico da informao. Braslia: Briquet de Lemos, 1999. MIRANDA, A. Cincia da Informao: teoria de uma rea em expanso. Braslia: Thesaurus, 2003. FUNDAO GETLIO VARGAS. Mapa da Excluso Digital. Rio de Janeiro: Centro de Polticas Sociais Fundao Getlio Vargas, 2003. FERREIRA, R. da S. A sociedade da informao no Brasil: um ensaio sobre os desafios do Estado. Cincia da Informao, v. 32, n. 1, p. 3641, jan./abr. 2003. CORNELLA, A. Information policies in Spain. Government Information Quarterly, v. 15, n. 2, p. 197220, 1998. MAXWELL, T. A. The public need to know: emergencies, government organizations, and public information policies. Government Information Quarterly, v. 20, n. 3, p. 197220, July 2003. INFORMATION SYSTEMS AUDIT AND CONTROL FOUNDATION. Information security governance: guidance for boards of directors and executive management. Rolling Meadows, Illinois, 2001.

Nombre: Paula Raquel Sales do Nascimento (UNINORTE) Direccin: Calle 65, N 04, Quadra 138, Conj. Nova Cidade, Bairro: Cidade Nova, Manaus / Amazonas Brasil. Cep: 69097 388 Telfonos: (92) 9137 2559 / 8192 2006 / 3212 2827. Correo electrnico: rakelsales@hotmail.com Nombre: Alex Fabiano Pimenta dos Santos (UNINORTE) Direccin: Calle Rio Negro, N 279, Bairro: Educandos, Manaus / Amazonas Brasil. CEP: 69070 130 Telfonos: (92) 3631 2333 / 8244 - 4506 Correo electrnico: alex.saantos@hotmail.com

Nombre: Bruno Costa de Oliveira (UNINORTE) Direccin: Rua Juruti, Lot. Campos Sales, Bairro: Tarum, Manaus / Amazonas Brasil. Cep: 69021 435 Telfonos: (92) 9174 6093 / 2123 - 2225 Correo electrnico: brunowarley@gmail.com

Nombre: Larcio Pereira da Silva Jnior (UNINORTE) Direccin: Calle Roraima, N 266, Bairro: So Jos, Manaus / Amazonas Brasil. Cep: 69085 220 Telfonos: (92) 3231 1538 / 9119 - 6991 Correo electrnico: laerciojr_roop@hotmail.com

Nombre: Ismael Izidro da Silva Filho (UNINORTE) Direccin: Calle Saldanha Marinho, N586, Centro, Manaus / Amazonas Brasil. Cep: 69010 040 Telfonos: (92) 9329 - 6364 Correo electrnico: maelizidro@gmail.com

Nombre: Jandecy Cabral Leite (UNINORTE) Direccin: Calle Cuiab, N 26, Bairro: Nossa Senhora das Graas, Manaus / Amazonas Brasil. Cep: 69050 000 Telfonos: (92) 9204 7925 / 3584 6145 / 3248 2646. Correo electrnico: jandecycabral@hotmail.com