Embed Size (px)
Citation preview
ETEC DE COTIA
ESCOLA TÉCNICA ESTADUAL DE COTIA
TÉCNICO EM REDES DE COMPUTADORES
Marcos Vinicius Silva Machado de Souza
Matheus Vicente Ribeiro
Nathan Eloy de Miranda
Rodrigo Silva Zeferino
Vinícius Viana dos Santos
Wesley FrançaVieira
PLANO DE NEGÓCIOS – TREINAMENTO DE USUÁRIOS
Prevenção de vulnerabilidades ocasionadas por fator humano
Cotia/SP
2015
Marcos Vinicius Silva Machado de Souza
Matheus Vicente Ribeiro
Nathan Eloy de Miranda
Rodrigo Silva Zeferino
Vinícius Viana dos Santos
Wesley França Vieira
PLANO DE NEGÓCIOS – TREINAMENTO DE USUÁRIOS
Prevenção de vulnerabilidades ocasionadas por fator humano
Trabalho de Empreendedorismo apresentado para obtenção de nota no Curso de
Redes de Computadores da Etec de Cotia.
Orientador: Prof. Elcidia Mendes Neta
Cotia/SP
2015
SUMÁRIO
1. INTRODUÇÃO ................................................................................ 3
2. ANÁLISE DE MERCADO ............................................................. 4
2.1. CARACTERÍSTICAS GERAIS DOS CLIENTES ..................... 4
2.2. INTERESSE E COMPORTAMENTO DOS CLIENTES .......... 4
2.3. MOTIVOS PARA CONTRATAR O SERVIÇO ........................ 4
2.4. ONDE ESTÃO OS CLIENTES................................................... 5
3. PLANO FINANCEIRO ................................................................... 6
3.1. ROI (RETORNO SOBRE INVESTIMENTO) ........................... 6
3.1.1. Exemplo de cálculo de ROI ................................................... 6
4. PLANO DE MARKETING ............................................................. 8
5. PLANO OPERACIONAL ............................................................... 9
6. CONSTRUÇÃO DE CENÁRIOS ................................................. 10
REFERÊNCIAS ...................................................................................... 11
3
1. INTRODUÇÃO
Problemas na segurança da rede corporativa podem gerar grandes dificuldades para o
funcionamento de uma empresa que depende dessa rede. Perda de arquivos, informações
errôneas, sistemas cruciais temporariamente indisponíveis e outros problemas são comumente
encontrados em empresas que possuem uma grande quantidade de informação em constante
trafego. Seja pela falta de preparo, ou por falhas ocorridas em certas áreas, as“dores de
cabeça” por quais passam os técnicos e líderes de uma empresa são sempre grandes. Segundo
esses problemas, com base em pesquisas, aulas e até mesmo em experiências próprias, grande
parte dos erros e problemas em uma rede ocorre devido falhas na atuação do fator humano da
corporação. Sendo assim, a solução é tratar o fator humano das empresas.
Nós baseamos a nossa problemática na seguinte frase: “O fator humano é o elo mais
fraco da segurança”. Kevin Mitnick cita esta frase em seu livro A Arte de Enganar, e reporta
um dos principais problemas na área de segurança da informação. Pode-se perceber que a
falha ocorre independente de softwares frágeis ou mesmo da ausência deles, esta por sua vez,
é marcada por alguma deficiência pessoal dentro de cada empresa. Portanto, podemos dizer
que um sistema de informação não está totalmente seguro apenas com tecnologia ou
processos que são definidos para a segurança do mesmo.
O fator humano é considerado por Mitnick e por tantos outros especialistas como o elo
mais fraco de um sistema de informação, assim uma falha, um descuido ou até mesmo a falta
de conhecimento podem gerar prejuízos enormes para organizações, ou seja, o erro por parte
do fator humano é sem dúvida, o foco a ser trabalhado e melhorado. A partir disto, temos por
definido que a principal falha das corporações é a falta de investimento humano-tecnológico,
ou seja, a falta de treinamento ao recurso humano.
A falta de informação geralmente é o que leva as pessoas a cometerem condutas
inadequadas. Se a empresa orientasse seus funcionários devidamente, os incidentes
como [...] utilizar a internet para fins pessoais [...] seriam prevenidos por uma boa
ação e a criaçãodeumcódigo de ética.(SCARDUELLI,Guilherme M., 2009, p. 12).
Assim, chegamos à conclusão de que a melhor forma de solucionar esseserros no fator
humano é por via da preparação prévia (treinamento) para que os funcionários se acostumem
com o uso da rede corporativa. O projeto em si, evitará a perda de dinheiro com aplicação de
solução opensource (software gratuito e de código aberto). Sendo assim, nós temos como
objetivo orientar o funcionário, utilizando de ambiente virtual de aprendizagem, a forma
correta de gerenciar todos os recursos à sua volta preservando os conceitos de segurança da
informação dentro do local de trabalho.
4
2. ANÁLISE DE MERCADO
2.1. CARACTERÍSTICAS GERAIS DOS CLIENTES
Os clientes normalmente possuem a idade adulta, sendo donos ou administradores da
rede da empresa onde trabalham, podendo ser homens ou mulheres. Tendem a ter
conhecimento específico na área administrativa e possuem empresas em regiões próximas.
As empresas podem atuar em diversos setores, não tendo apenas um como específico,
oferecendo diversos produtos e serviços. O nosso foco é direcionado a EPPs (Empresas de
Pequeno Porte) e MEs (Microempresas) que estão iniciando os serviços, pois necessitam do
treinamento ou já possuem até dois anos de experiência no mercado pela questão de
estabilidade financeira para cumprir com determinadas propostas de investimento sugeridas
por nós. A empresa que receberá os serviços, não necessariamente precisa ter uma boa
aparência no mercado, porém com uma boa aparência teremos mais divulgação de nossos
serviços.
2.2. INTERESSE E COMPORTAMENTO DOS CLIENTES
Os nossos serviços são oferecidos e adaptados de acordo com a necessidade da
empresa, sendo necessária a instalação (aplicação) apenas uma única vez, porém com diversas
adaptações e mudanças no projeto acompanhando o progresso dos funcionários e da empresa.
Novos serviços são solicitados pelo contato por e-mail, site ou telefone. A faixa média de
preços para esse tipo de serviço varia de R$ 25,00 a R$ 50,00 por funcionário e R$ 20,00 a R$
50,00 por hora, além de diversos outros fatores. No caso do projeto apresentado, como o
ensino é a distância, são cobradas apenas as horas de instalação do software e o número de
alunos que seriam cadastrados no software uma única vez.
2.3. MOTIVOS PARA CONTRATAR O SERVIÇO
Os preços dos serviços prestados estão na faixa do mercado atual, sendo utilizadas
plataformas open source (de código aberto) para a aplicação do mesmo, fazendo com que o
projeto fique ainda mais em conta para os clientes. O software é instalado em no máximo 30
dias, sendo esse o prazo de entrega, com um pagamento efetuado logo a seguir. O
atendimento à empresa contratante é constante até o término do serviço, uma vez que é feito o
acompanhamento para a atualização e configuração do software utilizado.
5
2.4. ONDE ESTÃO OS CLIENTES
Atuamos no mercado de EPPs e MEs, localizados em nossa região e arredores, uma
vez que não possuímos capital e recursos suficientes para atender grandes distâncias,
resultando em prejuízo para com o preço requisitado.
6
3. PLANO FINANCEIRO
A aplicação do projeto em si não possui custos além dos de alocação do servidor em
domínio que, por motivos de teste, está em funcionamento atualmente durante o período de 3
meses (90 dias). Para método de comparação, o custo foi de R$ 47,00, levando em
consideração que o registro em domínio foi gratuito devido a promoção que estava em vigor
na época de contratação dos serviços LocaWeb. Como custo existe apenas a contratação dos
serviços e o apoio técnico prestado por parte dos integrantes do projeto para com a empresa
contratante. Não está sendo oferecido um serviço comunitário e, portanto, o projeto tem um
custo. O acompanhamento dos integrantes com a plataforma e o programa de ensino, para
adaptá-lo constantemente às necessidades do cliente, possui certo custo, que seria calculado
junto à alocação do servidor citada anteriormente, para que não ocorra um prejuízo.
3.1. ROI (RETORNO SOBRE INVESTIMENTO)
O ROI do projeto se baseia basicamente na perda de dinheiro que será evitada com a
aplicação do projeto. Caso algum problema venha a ocorrer na rede da empresa e uma
máquina fique desabilitada por causa de erro humano, por exemplo, o funcionário contratado
não pode exercer sua profissão naquele computador. No entanto, ele não deixa de receber, o
que faz com que ele ganhe seu salário normalmente por horas de trabalho, mas sem trabalhar
para a empresa que o paga. Basicamente, se torna um peso. Esse fator, junto ao custo de
manutenção do dispositivo em mau funcionamento, que seriam as horas de trabalho do
técnico de TI, é o prejuízo que vem a ocorrer com uma empresa que não aplica treinamento
aos seus funcionários. Portanto, após a aplicação do projeto, o ROI se torna o valor que viria a
ser perdido, uma vez que, como não ocorreu erro, o funcionário está trabalhando normalmente
de acordo com seu salário e não foram necessários os serviços de um técnico de TI.
3.1.1. Exemplo de cálculo de ROI
Exemplo aonde um problema com vírus veio a ocorrer no setor contábil e um técnico
teve que ser chamado para resolver o problema durante uma hora (executando manutenção
preventiva). O funcionário de ADM deixa de trabalhar (ocioso), mas não de receber seu
salário.
7
Tabela 1 (Salários médios de funcionários)
Funcionário Salário Valor da hora
(Salário / 30 Dias / 8 horas)
Financeiro/Fiscal R$ 1.936,00 R$ 8,06
Administrativo R$ 2.193,00 R$ 9,13
Contábil R$ 2.572,00 R$ 10,71
Secretariado R$ 2.814,00 R$ 11,72
Recursos Humanos R$ 1.462,00 R$ 6,09
Técnico de Informática R$ 75,00
Prejuízo = (Hora funcionário + Hora técnico) × Tempo de serviço do técnico
Prejuízo = (10,71 + 75,00) × 1 = R$ 85,71
Consequentemente, o ROI caso o problema fosse evitado seria o trabalho e a prestação
de serviço garantidos do funcionário que ficou ocioso e o não-gasto de R$ 75,00 dos serviços
prestados pelo Técnico de Informática.
8
4. PLANO DE MARKETING
O foco do nosso projeto é a prestação de serviços para EPPs e MEs, pelo fato de que
estas possuem mais erros frequentes por partes dos usuários, diferentemente das grandes
empresas que já possuem uma infraestrutura de TI bem arquitetada. Como vender é gerar uma
necessidade, demonstrar e apresentar uma vulnerabilidade causada pelos funcionários e
oferecer sua solução gera automaticamente o interesse do cliente para com sua empresa e
nossos serviços.
Para uma fase inicial após o contato com o cliente por meio de um mediador, site,
telefone ou e-mail, será entregue a documentação do projeto e logo após o cliente irá verificar
e decidir se aprova o mesmo. Após aprovação ocorrerá a fase de análise do ambiente para
identificação de problemas ocorridos, por exemplo, em um escritório de contabilidade podem
acontecer erros relacionados a atualização de softwares que ocorrem por parte direta do
usuário ao clicar e mexer onde não deve ou um ataque de hackers por phishing que é por
parte indireta do funcionário, onde o mesmo abre um e-mail contaminado entre muitas outras
coisas que interferem no bom funcionamento do ambiente tecnológico da empresa tanto por
parte de segurança da informação quanto por desempenho da mesma na questão de ter que
parar algum processo para resolver um problema específico.
9
5. PLANO OPERACIONAL
Para fazer a análise do ambiente é necessário um conjunto de softwares como, por
exemplo: Rogue Killer, JRT, RKill, Combofix, AdwCleaner, que além de fazer remoção de
vírus, geram um relatório dos problemas encontrados e das soluções aplicadas. Também
podem ser realizados pentests (testes de penetração) com o sistema operacional Linux
Backtrack, que irá identificar as vulnerabilidades dos computadores da rede. A análise ocorre
antes da aplicação para que com os relatórios sejam elaboradas aulas específicas para serem
aplicadas junto ao Moodle, e também após a aplicação, para detectar as mudanças que
ocorreram e se e se houveram melhorias.
Com esses testes é possível a observação do que precisa ser implantado. Logo em
seguida, com os testes realizados, é apresentada uma demonstração do nosso serviço ao
cliente e também das soluções necessárias para a implantação correta do serviço, como
também os requisitos. Em seguida são feitas as documentações necessárias para a adesão do
serviço a empresa, como o SLA. Com a aprovação é implantado o serviço e em seguida
mantidas observações diretas na empresa. Após finalização para mostrar ao usuário que ele é
a ponta do iceberg, que através dele que esses problemas podem ser sanados.
10
6. CONSTRUÇÃO DE CENÁRIOS
O cenário de aplicação não varia de acordo com a ramificação da empresa tanto
comércio, indústria ou serviços, pois todas possuem redes de computadores e funcionários,
portanto, as etapas citadas abaixo são utilizadas para qualquer tipo de empresa, independente
do tipo de problema encontrado ou do ramo da empresa.
Em um setor de administração, os funcionários vêm tendo problemas com o acesso à
conta de e-mail empresarial, pois ao inserirem o login e senha, a autenticação falha e, aparece
a seguinte mensagem: “Senha incorreta”. É possível constatar que a senha foi mudada sem a
autorização destes funcionários, ou seja, os mesmos sofreram um ataque de phishing (vírus
que coleta de informações sendo feita de forma não autorizada), onde as informações que
foram roubadas eram as senhas dos funcionários.
O phishing é adquirido por um computador geralmente por engenharia social, ou seja,
o próprio funcionário, influenciado por terceiros, clica em um link de propaganda, por
exemplo, e este contém o phishing, que é instalado automaticamente na estação de trabalho.
Assim as informações digitadas são coletadas e enviadas à pessoa que realizou o ataque e
assim, essas informações podem ser utilizadas com diversos fins; no caso citado, as senhas
foram roubadas para se ter acesso aos e-mails dos funcionários.
Com o treinamento, os funcionários aprendem como evitar que estas situações
ocorram, a partir de certas prevenções que serão ensinadas, como por exemplo, identificar
links suspeitos que possam conter um malware.
11
REFERÊNCIAS
SCARDUELLI, Guilherme M..Segurança da Informação nas Empresas,
problemas frequentes. Disponível em: <http://fateczl.edu.br/TCC/2009-2/tcc-32.pdf>
Acesso em: 4 de Ago. de 2014.
MACHADO, Felipe R.. Segurança da Informação numa perspectiva mais
humana: Falhas internas e procedimentos de prevenção e defesa da rede. Disponível em:
<http://www.cin.ufpe.br/~tg/2009-1/frm.pdf> Acesso em: 5 de Ago. de 2014.
Autor desconhecido. Segurança da informação. Disponível em:
<http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o> Acesso
em: 20 de Ago. de 2014.
SOUZA, Rodrigo. Conheça os maiores erros de segurança nas corporações.
Disponível em: <http://olhardigital.uol.com.br/noticia/conheca-os-maiores-erros-de-
seguranca-nas-corporacoes/9469> Acesso em: 23 de Ago. de 2014.
Autor desconhecido. Olhar Digital - Saiba como evitar a ameaça 'indestrutível' do
USB. Disponível em: <http://olhardigital.uol.com.br/noticia/44480/44480> Acesso em: 3 de
Out. de 2014.
Autor desconhecido. Como calcular o ROI em Projetos de TI. Disponível em:
<http://www.opservices.com.br/como-calcular-o-roi-em-projetos-de-ti/> Acesso em: 17 de
Out. de 2014.
Autor desconhecido. 31% dos profissionais trocariam sistema de segurança nas
empresas. Disponível em:
<http://www.ipnews.com.br/telefoniaip/index.php?option=com_content&view=article&id=31
163%3Aprofissionais-trocariam-sistema-de-seguranca-nas-
empresas&catid=67%3Aseguranca&Itemid=566> Acesso em: 22 de Set. de 2014.
Autor desconhecido. 49% das empresas se consideram pioneiras no uso de novas
tecnologias. Disponível em:
<http://www.ipnews.com.br/telefoniaip/index.php?option=com_content&view=article&id=31
651%3A49-das-empresas-se-consideram-pioneiras-no-uso-de-novas-tecnologias-revela-
estudo&catid=323%3Anacional&Itemid=652> Acesso em: 22 de Set. de 2014.
Autor desconhecido. 80% dos usuários corporativos não conseguem identificar
golpes de phishing. Disponível em:
<http://www.ipnews.com.br/telefoniaip/index.php?option=com_content&view=article&id=31
12
495%3Aestudo-detecta-que-80-dos-usuarios-corporativos-nao-conseguem-identificar-golpes-
de-phishing&catid=67%3Aseguranca&Itemid=566> Acesso em: 22 de Set. de 2014.
PASSERI, Paolo. July 2014 Cyber AttacksStatistics.Disponível em:
<http://hackmageddon.com/2014/08/11/july-2014-cyber-attacks-statistics/> Acesso em: 22 de
Set. de 2014.
MITNICK, Kevin D; SIMON, William L. A Arte de Enganar – Ataques de hackers:
controlando o fator humano na segurança da informação. São Paulo: Pearson Education,
2003.
PINHEIRO, Patrícia Peck. Tudo o que você precisa ouvir sobre direito digital no
dia-a-dia (Audiolivro). São Paulo: Saraiva, 2009.
_________; ROSA, Fabrizio. Crimes da Informática. Campinas: Bookseller, 2006.
Autor desconhecido. Ameaças e vulnerabilidades da informação: Como precaver!
Disponível em: <http://www.portaleducacao.com.br/educacao/artigos/48819/ameacas-e-
vulnerabilidades-da-informacao-como-precaver> Acesso em 11 de Mar. de 2015.
Autor desconhecido. Norma ABNT NBR ISO/IEC 17799:2005. Disponível em:
<http://www.ciencianasnuvens.com.br/site/wpcontent/uploads/2014/09/215545813-ABNT-
NBR-177991.pdf> Acesso em: 14 Mar. de 2015.
