Upload
dally-anne-castro
View
381
Download
4
Embed Size (px)
DESCRIPTION
aspectos que caracterizam a segurança em sistemas estão na confidencialidade, integridade e disponibilidade desta Informação. As vulnerabilidades são brechas, portas abertas que servem como meio de acesso ao atacante que é o responsável por executar os meios de ataque (são ações que colocam em ameaça ou em risco os princípios encontrados na segurança computacional); dentre as ameaças existentes a engenharia social é uma das mais usadas pelos os atacantes na tentativa ou ação de obter uma informação de caráter sigiloso, esta se caracteriza por não ser computacional e explorar vulnerabilidades encontradas no ativo humano. A governança de TI promove o bom governo das organizações e é indicada para auxiliar as organizações nas tomadas de decisão, esta por sua vez possuí modelos como ITIL e Cobit e Normas como a NBR/ISO/IEC 27.002 que são metodologias. O COBIT está para auditoria de processos e controles assim como a ITIL está para o gerenciamento de serviços de TI enquanto a NBR/ISO/IEC 27.002 é um conjunto de boas práticas. Palavras-chave: Informação, Segurança, Norma. . . . .
Citation preview
CENTRO UNIVERSITÁRIO LUTERANO DE SANTARÉM CURSO DE SISTEMAS DE INFORMAÇÃO
DALIANE CASTRO DA SILVA
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM A NORMA NBR ISO
IEC 27002
SANTARÉM 2011
1
DALIANE CASTRO DA SILVA
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM A NORMA NBR ISO
IEC 27002
Trabalho de Conclusão de Curso apresentado para obtenção do Grau de Bacharel em Sistemas de Informação pelo Centro Universitário Luterano de Santarém. Orientador: Profº. Murilo Braga de Nóvoa
SANTARÉM 2011
2
DALIANE CASTRO DA SILVA
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA
INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM NORMA NBR ISO IEC 27.002
Trabalho de Conclusão de Curso apresentado para obtenção do Grau de Bacharel em Sistemas de Informação pelo Centro Universitário Luterano de Santarém.
Data de Apresentação: _____/_____/_____.
_________________________________ ____________ NOME Conceito
Titulação – Instituição
_________________________________ ____________ NOME Conceito
Titulação - Instituição
________________________________ ____________ NOME Conceito
Titulação – Instituição
3
A todos que tem a humildade de compartilhar o conhecimento.
4
AGRADECIMENTOS
Á Deus, pela a sua fidelidade e cuidado comigo, a minha família, pai Carlos
Alberto da Silva e mãe Maria Vaneide e a irmã Lidiane Castro e ao presente mais
que especial que a nossa família poderia ganhar o meu irmão Paulo Gabriel pelo os
momentos divertidos da minha vida.
Aos mestres com carinho, pela a paciência por não perderem a fé no ensino.
Aos meus amigos mais que simplesmente colegas de aula responsáveis pela a
diversão e incentivo em destaque a Ana Luiza Silva.
Amigo se faz em tempos de paz, mas é na angústia que se prova o seu valor,
dentre os amigos que a cada dia provam seu valor o lugar de destaque a Lidianne
Lima.
5
“Se o conhecimento for útil a apenas a uma pessoa, então o ensino não cumpriu o seu objetivo” (Daliane Castro).
6
RESUMO
A informação é composta de dados e componentes do conhecimento. Dentro das organizações as informações permeiam sobre as pessoas, sistemas, em meios eletrônicos ou papel e adquirem uma importância grande se lhes é atribuído um valor. O ativo é o conjunto de bens e direitos à disposição de uma entidade, ou seja, expressa os direitos, posses e patrimônio de uma pessoa, ou organização. A informação é um ativo que como qualquer outro, é importante para os negócios, e tem valor para a organização. A segurança da Informação está atrelada a proteção existente ao ativo, os aspectos que caracterizam a segurança em sistemas estão na confidencialidade, integridade e disponibilidade desta Informação. As vulnerabilidades são brechas, portas abertas que servem como meio de acesso ao atacante que é o responsável por executar os meios de ataque (são ações que colocam em ameaça ou em risco os princípios encontrados na segurança computacional); dentre as ameaças existentes a engenharia social é uma das mais usadas pelos os atacantes na tentativa ou ação de obter uma informação de caráter sigiloso, esta se caracteriza por não ser computacional e explorar vulnerabilidades encontradas no ativo humano. A governança de TI promove o bom governo das organizações e é indicada para auxiliar as organizações nas tomadas de decisão, esta por sua vez possuí modelos como ITIL e Cobit e Normas como a NBR/ISO/IEC 27.002 que são metodologias. O COBIT está para auditoria de processos e controles assim como a ITIL está para o gerenciamento de serviços de TI enquanto a NBR/ISO/IEC 27.002 é um conjunto de boas práticas.
Palavras-chave: Informação, Segurança, Norma. . .
. .
7
ABSTRACT
The information consists of data and knowledge components. Inside organizations information is passed around about people, systems, electronically or on paper and information that is of great deal of importance is assigned a value. The asset is the set of goods and rights available to an entity, or express rights, property and assets of a person or organization. Information is an commodity like any other important business assets and has a value to the organization. Information security is tied to the existing protection activity that has a value, the aspects that characterize the safety systems a confidentiality, integrity and availability of this information. Vulnerabilities are open ports that serve as a means of access to the attacker that is running means of attack which are actions that pose a threat or endanger the principles found in computer security, threats. These threats that exist among the social engineering is one of most used by the attackers in an attempt or action to obtain information from a confidential nature, is characterized by computer and don’t exploit vulnerabilities found in human activity. IT governance promotes good government organizations and is indicated to help organizations in decision making, this in turn has models such as ITIL and COBIT and Standards as the NBR / ISO / IEC 27002 which are methodologies. COBIT is to audit processes and controls as well as the ITIL stands for IT service management while the NBR / ISO/ IEC 27002 is a set of best practices.
Key-words: Information, Security, Norms
8
LISTA DE ILUSTRAÇÕES
Figura 1 – Informação é base para todo o conhecimento........................................13
Figura 2 – Relação entre os Ativos da Informação..................................................15
Figura 3 – Classificação das Informações...............................................................16
Figura 4 – Ciclos de Vida da Informação................................................................17
Figura 5 – Características de Segurança da Informação.........................................19
Figura 6 – Fatores Motivadores da Governança de TI............................................34
Figura 7 – Os domínios e componentes da Governança de TI...............................35
Figura 8 – O Núcleo da ITIL....................................................................................36
Figura 9 – Domínio do Cobit.................................................................................. 37
Gráfico 1– ................................................................................................................41
Gráfico 2– ................................................................................................................42
Gráfico 3 – ...............................................................................................................42
Gráfico 4- ................................................................................................................43
Gráfico 5 -................................................................................................................43
Gráfico 6 – ................................................................................................................44
Gráfico 7 – ................................................................................................................44
Gráfico 8 – ................................................................................................................45
Gráfico 9 – ...............................................................................................................45
Gráfico 10 - ...............................................................................................................46
Gráfico 11 – ...............................................................................................................46
Gráfico 12 – ...............................................................................................................47
Gráfico 13 – ...............................................................................................................47
Gráfico 14 – ...............................................................................................................48
Gráfico 15 – ...............................................................................................................48
Gráfico 16 – ...............................................................................................................49
Gráfico 17 – ...............................................................................................................50
Gráfico 18 –...............................................................................................................50
Gráfico 19 – ...............................................................................................................51
Gráfico 20 – ...............................................................................................................42
9
SUMÁRIO
2.1 DEFINIÇÃO ......................................................................................................... 13
2.2 A IMPORTÂNCIA DA INFORMAÇÃO .................................................................. 13
2.3 OS ATIVOS DA INFORMAÇÃO ........................................................................... 14
2.4 CLASSIFICAÇÕES DA INFORMAÇÃO ............................................................... 15
2.5 O CICLO DE VIDA DA INFORMAÇÃO ................................................................ 16
3 SEGURANÇA ........................................................................................................ 19
3.1 SEGURANÇA COMPUTACIONAL ...................................................................... 19
3.2 PRINCIPIOS DA SEGURANÇA COMPUTACIONAL ........................................... 20
3.3 VULNERABILIDADES ......................................................................................... 21
3.4 AMEAÇAS ........................................................................................................... 22
3.5 ATAQUE .............................................................................................................. 23
3.6 ATACANTE ......................................................................................................... 24
4 ENGENHARIA SOCIAL ......................................................................................... 26
4.1 CONCEITO .......................................................................................................... 26
4.2 TIPOS DE ENGENHARIA SOCIAL ...................................................................... 26
4.3 OS ATIVOS PESSOAS E A ENGENHARIA SOCIAL ........................................... 27
4.4 ENGENHARIA SOCIAL: MANIPULANDO SENTIMENTOS ................................ 29
4.5 ENGENHEIROS SOCIAS E SUAS ESTRATÉGIAS DE ATAQUE ....................... 30
4.5 DISFARCES DE UM ENGENHEIRO SOCIAL ..................................................... 32
5 GOVERNANÇA DE TI ........................................................................................... 34 ESTE CAPÍTULO APRESENTA AS CARACTERÍSTICAS E OS COMPONENTES DA GOVERNANÇA DE
TI E OS SEUS RESPECTIVOS MODELOS ITIL E COBIT. ....................................................... 34
5.1 CONCEITO .......................................................................................................... 34
5.2 COMPONENTES DA GOVERNANÇA DE TI ....................................................... 35
5.3 ITIL ...................................................................................................................... 36
5.4 COBIT.................................................................................................................. 37
6 ESTUDO DE CASO ............................................................................................... 39
6.1 HISTÓRICO DA ORGANIZAÇÃO PESQUISADA: CÂMARA MUNICIPAL DE
SANTARÉM. ............................................................................................................. 39
6.2 ESTRUTURA ORGANIZACIONAL ...................................................................... 40
10
6.3 FOCO DA PESQUISA: GABINETE DOS VEREADORES ................................... 41
6.4 ANÁLISE DO PROBLEMA ................................................................................... 41
6.5 APLICAÇÃO DE QUESTIONÁRIOS .................................................................... 41
6.6 QUESTONÁRIO .................................................................................................. 42
7 NORMAS E PADRÕES DE SEGURANÇA ........................................................... 54
7.1 CONCEITO DE NORMAS E PADRÕES .............................................................. 54
7.2 A ORGANIZAÇÃO ISO ........................................................................................ 54
7.3 A ASSOCIAÇÃO ABNT ....................................................................................... 55
7.4 NORMA NBR ISO 17.799 (27.002) – UMA BREVE HISTÓRIA ............................ 55
7.5 A NORMA NBR/ISO/17.799:2005 ........................................................................ 57
7.6 A IMPORTÂNCIA DA NBR/ISO 27002 (17.799:2005).......................................... 58
8 POLÍTICA E ORGANIZAÇÃO DE SEGURANÇA ................................................. 60
8.1 POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO .............................................. 60
8.1.1 DOCUMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. .................................. 61
8.1.2 ANÁLISE CRÍTICA DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ............................. 62
8.1.3 ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO..................................................... 63
8.1.4 COMPROMETIMENTO DA DIREÇÃO COM A SEGURANÇA DA INFORMAÇÃO ................... 63
8.1.5 ATRIBUIÇÃO DE RESPONSABILIDADES PARA A SEGURANÇA DA INFORMAÇÃO ............. 64
8.2 GESTÃO DE ATIVOS ................................................................................................ 65
8.2.1 RESPONSABILIDADE PELOS ATIVOS ....................................................................... 65
8.2.2 INVENTÁRIO DOS ATIVOS ..................................................................................... 66
8.2.3 PROPRIETÁRIO DOS ATIVOS ................................................................................. 66
8.2.4 USO ACEITÁVEL DOS ATIVOS ............................................................................... 67
8.2.5 CLASSIFICAÇÃO DAS INFORMAÇÕES ...................................................................... 68
8.2. 6 RECOMENDAÇÕES PARA A CLASSIFICAÇÃO ........................................................... 68
8.2.7 PAPÉIS E RESPONSABILIDADES ............................................................................ 69
8.2.9 PROCESSO DISCIPLINAR ...................................................................................... 70
8.2.10 ENCERRAMENTO OU MUDANÇA DE CONTRATAÇÃO. .............................................. 71
8.2.11 DEVOLUÇÃO DOS ATIVOS ................................................................................... 72
8.2.12 RETIRADA DE DIREITOS DE ACESSO ................................................................... 72
8.3 MANUTENÇÃO E DESCARTE DA INFORMAÇÃO ........................................................... 72
8.3.1 MANUSEIO DE MÍDIAS .......................................................................................... 73
8.3. 4 TROCA DE INFORMAÇÕES .................................................................................... 75
8.3.5 MÍDIAS EM TRÂNSITO ........................................................................................... 77
11
8.3.6 MENSAGENS ELETRÔNICAS.................................................................................. 78
8.3.7 CONTROLE DE ACESSO AO SISTEMA OPERACIONAL ................................................. 78
8.3.8 PROCEDIMENTOS SEGUROS DE ENTRADA NO SISTEMA (LOG-ON) ............................. 79
8.3.9 IDENTIFICAÇÃO E AUTENTICAÇÃO DE USUÁRIO ....................................................... 80
9 CONCLUSÃO ........................................................................................................ 82 PESQUISADA, GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM. ........... 82 REFERÊNCIAS ......................................................................................................... 84 APÊNDICES ............................................................................................................. 86
11
1 INTRODUÇÃO
Com o crescimento das organizações a tarefa de gerenciar informações tornou-
se mais complexa e isso impulsionou o desenvolvimento de sistemas que auxiliam
no processo de organização de dados.
Para promover a segurança dessas informações, surgiu o campo de estudo
relacionado a este tema, que se preocupa em criar metodologias e ferramentas a fim
de promover a confidencialidade, disponibilidade e integridade da Informação.
Um grande investimento financeiro e tecnológico é feito pelas as organizações
para reparar as eventuais vulnerabilidades dos sistemas, porém é necessário
entender que a segurança não se limita apenas a mecanismos e políticas, esta
também engloba a participação humana como fator primordial nos processos de
gerenciamento da Informação.
As pessoas são peças importantes no gerenciamento de informações, porque
interagem com os sistemas na manipulação de informaçoes; dados estes que
dependendo da sua importância possuem valor e representam ativos para a
organização.
Este trabalho tem como objetivo mostrar primeiramente o conceito e a
importância da Informação dentro dos Sistemas Computacionais dando ênfase nos
conceitos e características de segurança, vulnerabilidade, ameaça e atacante,
explanando sobre as técnicas e conceitos da Engenharia Social apresentando as
possíveis causas, consequências, características e ações preventivas encontradas
nas boas práticas da NBR/ISO/IEC 27.002 contra esse tipo de ataque no que diz
respeito à gestão dos ativos na manutenção e descarte da informação, além disso,
será apresentado um questionário de pesquisa aplicada na organização cujo
objetivo é mostrar de maneira qualitativa e quantitativa os dados referentes à
realidade da segurança da informação na instituição pesquisada.
O presente estudo apresentará os modelos de governança de Tecnologia da
Informação (TI) ITIL e Cobit e as boas práticas da NBR/ISO/IEC 27.002 como
sugestão para auxilio na organização da informação na Instituição pesquisada.
O primeiro capítulo é a introdução do trabalho, apresentando uma breve
descrição dos assuntos a serem abordados.
12
O segundo capítulo descore sobre os conceitos relativos à importância, ciclo de
vida e classificação da informação, apresentando os ativos que esta possuí.
O terceiro capítulo trata da Segurança Computacional apresentando os
princípios e explanando os conceitos sobre vulnerabilidade, ataque e atacante.
O quarto capítulo apresenta o conceito e as características presentes em
ataques de engenharia social explanando sobre as vulnerabilidades encontradas no
ativo humano, bem como os principais meios de ataque de engenheiros sociais.
O quinto capítulo apresenta o conceito da governança de TI, apresentando os
pontos que motivam o seu uso e os componentes do domínio da mesma,
explanando sobre os modelos ITIL e Cobit.
O sétimo capítulo apresenta a organização pesquisada, seu histórico,
características e estrutura organizacional bem como a metodologia usada na
aplicação dos questionários.
O oitavo capítulo apresenta o conceito das normas e padrões de segurança
com o foco no histórico da norma NBR ISO 17.799 até se tornar a atual NBR ISO
27.002 além de destacar os pontos da NBR ISO 27.002 relativos à gestão dos
ativos, manutenção e descarte da informação como proposta a prevenção de
ataques de engenharia social na organização pesquisada.
O nono capítulo é referente às considerações finais.
13
2 OS ASPECTOS DA INFORMAÇÃO
Este capítulo abordará os conceitos relativos ao ciclo de vida e classificação da
informação discorrendo sobre a sua importância e ativos.
2.1 DEFINIÇÃO
Muitos conceitos existem para explicar o que é a Informação, mas para a
maioria dos autores a informação é composta de dados e componentes do
conhecimento.
Segundo Campos (2007) a informação é constituída de um conjunto de dados
que representam um ponto de vista diferente, trazendo um significado novo ou
evidenciando relações antes desconhecidas sobre eventos ou objetos. Por tanto, a
informação possui significado e causa impacto em grau menor ou maior, tornando-a
o elemento essencial da extração e criação do conhecimento, como observado na
figura 1.
Figura 1- Informação é base para todo o conhecimento
Fonte: CAMPOS, 2007
Diante disso, é possível concluir que o conhecimento só poderá ser formado a
partir do momento em que a informação for exposta ao indivíduo e este poderá
desenvolver o conhecimento que varia de pessoa para pessoa quanto ao grau
qualitativo e quantitativo.
2.2 A IMPORTÂNCIA DA INFORMAÇÃO
Com as evoluções econômicas e principalmente tecnológicas dos últimos anos,
a informação expande o seu vasto conceito e não se restringe apenas a ideia de
Dados Informação Conhecimento
14
processamento e manipulação de dados, mas também assume o papel de capital
precioso, capaz de determinar o sucesso ou o fracasso de uma Organização.
Segundo Campos (2007) a utilização da informação alinhada á estratégia
facilita a inovação para a diferenciação do produto, redução do custo e do risco do
negócio, além de representar benefícios á imagem da organização,
“A Informação é um elemento essencial para a geração do conhecimento, para
a tomada de decisões, e que representa efetivamente valor para o negócio, dentro
de cada um dos seus processos” (Campos, 2007).
A importância da Informação para as organizações é universalmente aceita.
Ela é um estimado bem, o qual é atribuído um valor; logo podemos dizer que a
Informação que agrega um valor é denominado um ativo.
Por possuir um valor para as organizações, a Informação deve ser protegida e
guardada, por isso um dos grandes desafios de hoje, é a busca de soluções e meios
que mantenham a segurança e proteção dos ativos referentes à ela.
2.3 OS ATIVOS DA INFORMAÇÃO
Os bens que tem seu respectivo valor e importância para o negócio de uma
organização é denominado ativo, portanto como dito anteriormente a Informação
também é considerada um ativo.
As organizações que se utilizam das tecnologias da Informação possuem
respectivamente ativos da informação que abrangem hardware, software e
dispositivos de armazenamento que fazem parte do patrimônio da Tecnologia da
Informação.
“O termo ativo possui esta denominação, oriunda da área financeira, por ser
considerado um elemento de valor para um indivíduo ou organização, e que, por
esse motivo, necessita de proteção adequada” (NBR/ISO/ IEC- 27002, 2005).
Os ativos da Informação estão divididos em usuários, processos, informação,
ambiente, equipamentos e aplicativos.
Os bens que correspondem a usuários e processos estão nas pessoas, ou
seja, nos funcionários da organização e os processos, sendo esses, as atividades
realizadas, como por exemplo, a emissão de um boleto; enquanto os bens
correspondentes a Informação estão nos dados que a organização confia ao
15
sistema, os ativos que correspondem ao ambiente estão em relação aos ambientes
físicos da organização, por exemplo, a sala do servidor; e os que correspondem a
equipamentos e aplicativos estão no hardware e no software.
É importante ressaltar que um dos ativos mais importantes são as pessoas
que, pois, as mesmas que interagem com os sistemas, como mostrado na figura 2.
Figura 2 – Relação entre os Ativos da Informação
Fonte: CAMPOS, 2007.
Dessa forma, é possível concluir que as pessoas são ativos tão importantes
quantos equipamentos e informações e consequentemente também são alvos de
ataques.
2.4 CLASSIFICAÇÕES DA INFORMAÇÃO
As classificações da informação permitem uma visão mais detalhada da
atribuição quanto a importância de cada uma delas dentro da organização.
Para Peixoto (2006), as informações podem ser públicas, internas, particulares
ou confidenciais como detalhado na figura três.
Pública: São informações deliberadamente voltadas ao público, distribuídas livremente sem restrições para as pessoas, como forma de divulgação, por exemplo, internet, livros, revistas, jornais, dentre outras formas; Interna: São as informações voltadas mais especificamente ao interesse dos próprios funcionários da empresa, e que podem ser úteis ao Engenheiro Social, para se passar por um empregado autorizado, contratado ou por algum fornecedor, ou saber melhores horários para se infiltrar na empresa; Particular: É a categoria de informações de âmbito mais pessoal que, se cair em mãos erradas prejudicará não somente a empresa, como principalmente o próprio funcionário. Tais itens de dados particulares são
16
caracterizados como informações de contas bancárias, histórico de salário, histórico médico de empregados, benefícios de saúde, ou qualquer tipo de informação pessoal que não deve ser pública; Confidencial: Tipo de Informação mais valorizada da empresa. Disponível a um número limitado de pessoas, de modo que se não tratada com devida importância, comprometerá ás vezes de forma irreversível toda a estrutura de gestão administrativa e, de diversos departamentos. Podem ser informações operacionais empresa, de estratégias de negócios, informações de marketing e financeiras, além de informações voltadas aos segredos comerciais da empresa, como códigos – fonte proprietário, especificações técnicas ou funcionais (PEIXOTO, 2006).
Figura 3 – Classificação das Informações
Fonte: PEIXOTO 2006.
Ter conhecimento da classificação das informações é importante para a criação
de estratégias da gestão de segurança que visem proteger os ativos da informação
de acordo com o seu grau de importância.
2.5 O CICLO DE VIDA DA INFORMAÇÃO
O ciclo de vida de uma informação corresponde aos processos vivenciados por
ela, a cada etapa que esta passa e consequentemente se expondo a riscos.
“O ciclo de vida é composto e identificado pelos momentos vividos pela informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que, por sua vez, mantêm a operação da empresa” (SÊMOLA, 2003)
Campos (2007) afirma que a criação ou momento de aquisição da informação
pode se dar por diversas maneiras, por exemplo, pela compra de informação de
outras organizações ou pode ser resultado do cruzamento de diversos bancos de
dados que geram um resultado de apoio a decisão. A informação pode ser o
resultado de processos eletrônicos ou manuais, como o resultado de análises
17
visuais ou fiscais de matérias primas durante o processo de recebimento de
materiais na área de estoque de uma organização, por exemplo.
Campos (2007) apresenta o ciclo de vida da informação em cinco fases que
compreendem: a criação, transporte, publicação, armazenagem e descarte como
mostra a figura quatro.
Figura 4 Ciclos de Vida da Informação
Fonte: CAMPOS, 2007.
Segundo Sêmola (2003), os ciclos de vida das informações se dividem em
quatro etapas.
Manuseio: Momento em que a informação é criada e manipulada seja ao folhear um maço de papéis, ao digitar informações recém geradas em uma aplicação a internet, ou, ainda, ao utilizar sua senha de acesso para autenticação. Armazenamento: Momento em que a informação é armazenada seja em um banco de dados compartilhado, em uma anotação de papel posteriormente postada em um arquivo ferro, ou ainda, em uma mídia de disquete depositada na gaveta da mesa do trabalho. Transporte: Momento em que a Informação é transportada, seja ao caminhar informações por correio eletrônico (e-mail), ao postar um documento via aparelho de fax, ou ainda, a falar ao telefone uma informação confidencial. Descarte: Momento em que a informação é descartada, seja ao depositar na lixeira da empresa ou organização um material impresso, seja ao eliminar um arquivo eletrônico do computador, ou ainda, ao descartar uma mídia usada (SÊMOLA, 2003).
Uma visão mais detalhada sobre o ciclo da informação permite entender que
esta pode ser em formato de texto, informação digital, mensagem, planilha, som,
18
imagem, entre outras possibilidades; por apresentar essa variedade de formas faz
se necessário o uso de boas práticas de segurança que acompanhem a informação
desde a sua criação até o descarte.
19
3 SEGURANÇA
Este capítulo abordará os conceitos referentes à segurança computacional e
seus princípios, explanando sobre a vulnerabilidade, ameaça, ataque e atacante.
3.1 SEGURANÇA COMPUTACIONAL
A utilização da tecnologia da Informação para a manipulação e armazenamento
de dados nas organizações traz vantagens e preocupações, uma delas está na
proteção dos ativos da informação.
A segurança computacional esta atrelada a proteção existentes aos dados
manipulados pela a organização.
Segurança da Informação esta relacionada com proteção do conjunto de
dados, no sentido de preservar o valor que possuem para um indivíduo ou
organização. (OFICINA DA NET, 2005).
Para Howard (1997) apud Mota (2011) a quebra da segurança pode ser
através do acesso não autorizado: Quando existe uma tentativa de acesso as
informações ou recursos sem autoridade para o mesmo, ou seja, quando o atacante
burla o sistema para obter recursos que não poderia obtê-los de outra forma; e do
uso não autorizado: Quando se há autoridade para o acesso das informações e não
para o uso das mesmas para outras finalidades que não corresponde ao interesse
da organização.
Prevenir que atacantes alcancem seus objetivos através do acesso não
autorizado ou uso não autorizado dos computadores e suas redes. (HOWARD, 1997
apud MOTA, 2011).
Toda a informação tem o seu valor, por isso é necessário que esta deva ser
correta e precisa em estar disponível, a fim de que esta seja manipulada,
processada e mantida de forma segura, e é por esse motivo que a segurança
computacional tem sido tratada como uma questão primordial para o sucesso de
uma organização.
20
3.2 PRINCIPIOS DA SEGURANÇA COMPUTACIONAL
Uma vez entendida a importância da informação, é necessário compreender as
características referentes à sua segurança, que se divide em três princípios básicos:
confidencialidade, integridade e disponibilidade.
Para a não ocorrência de incidentes da informação é necessário que nenhum
dos três princípios sejam violados, a segurança da informação só será de fato
completa com o trabalho em conjunto desses princípios.
“A Segurança em Sistema de Informação (SI) visa protegê-lo contra ameaças a
confidencialidade, á integridade, e a disponibilidade das informações e dos recursos
sob a sua responsabilidade”. (BRINKLEY e SCHELL, 1995 apud MOTA, 2011).
Segundo Campos (2007) a confidencialidade está na garantia do não
conhecimento da existência de determinada informação, no sigilo das informações
ou recursos. Já a integridade diz respeito à violação da informação, na preservação
dos dados no seu estado mais puro. A disponibilidade está na liberdade em acessar
certo dado ou informação a qualquer momento.
Figura 5 – Características de Segurança da Informação
Fonte: CAMPOS, 2007.
21
3.3 VULNERABILIDADES
As vulnerabilidades são como portas abertas esquecidas elas podem ser
entendidas como vias de acesso não protegidas onde os ativos podem ser
alcançados pelos atacantes.
As vulnerabilidades estão presentes nos mais diversos setores de uma
organização e em ambientes computacionais não são diferentes, é preciso se
preocupar com cada brecha na segurança, seja no sentido tecnológico
computacional como nas vulnerabilidades encontradas nas próprias pessoas que
fazem parte do dia-dia de uma empresa.
Quando os ativos da informação possuem vulnerabilidades qualquer um dos
princípios da segurança como confiabilidade, integridade e disponibilidade estão
sobre a linha da ameaça.
Para Campos (2007) os ativos da Informação, que suportam os processos de
negócio, possuem vulnerabilidades. É importante destacar que essas
vulnerabilidades estão presentes nos próprios ativos, a saber: computadores são
vulneráveis por serem construídos para troca e armazenamento de dados seja por
meio de disquetes, CDs, portas USB, ou outros de dispositivos de armazenamento
como pen drives e etc. A vulnerabilidade é explorada principalmente por ataques de
vírus, worms, cavalos de tróia, negação de serviço, etc. Arquivos de Aço como
cofres, por exemplo, a vulnerabilidade a ser explorada está na sua própria
construção, onde pessoas com conhecimento de arrombamento podem ter acesso
ou até mesmo roubar todo o seu conteúdo.
1. Aparelhos tais como impressoras e fax, podem disponibilizar
informações para qualquer pessoa que tenha acesso a elas.
2. Cabos de Rede, fibras ópticas e redes wireless, por sua própria
construção, possibilitam interferência no sinal ou acesso aos dados que nele
trafegam.
3. Aparelhos celulares podem ser facilmente roubados e dados da
agenda, mensagens e outras informações podem ser facilmente acessadas.
4. Sistemas de Informação permitem a entrada e consulta de informações
valiosas e podem ser indevidamente acessados.
Sêmola (2003) mostra como as vulnerabilidades estão relacionadas aos
seguintes ativos de informação: Tecnológica - equipamentos de baixa qualidade,
22
criptografia fraca, sistema operacional desatualizado, configuração imprópria de
firewall, links não redundantes, configuração imprópria de roteador, backdoor, bug
nos softwares, autorização de acesso lógico inadequado; Física - ausência de
gerador de energia, ausência de normas para senhas, ausência de fragmentador de
papel, mídia de backup mal acondicionada, aterramento, falta de controles físicos de
acesso, instalação elétrica imprópria, cabeamento desestruturado; Humana - Falta
de treinamento, muitas vezes as organizações não possuem normas ou políticas
que estabeleçam as permissões e negações nos processos de manipulação da
informação.
As vulnerabilidades podem ser reduzidas com contramedidas (são métodos
que podem ser simples ou complexos), técnicas e individuais para que essas sejam
realmente eficazes elas precisam abranger proteção, detecção e reação.
3.4 AMEAÇAS
A ameaça é o ato de tentar explorar as vulnerabilidades dos ativos da
informação. Quando existe uma ameaça já é configurado como uma violação na
segurança; as ações dessas possíveis ameaças são chamadas ataques e os que
executam esses ataques são denominados atacantes.
“A ameaça é um agente externo ao ativo da Informação, que se aproveitando
de suas vulnerabilidades poderá quebrar a confidencialidade, integridade ou
disponibilidade da informação suportada ou utilizada por esse ativo” (CAMPOS,
2005).
Segundo Shirey (1994) apud Mota (2011), as classes das ameaças são:
Disclosure - acesso não autorizado à informação, ou seja, Snooping (bisbilhotar):
ataque passivo – o grampo telefônico é o exemplo clássico; Deception - aceitação
de dados falsos, indução ao erro, modificação (alteração), spoofing1 (masquerading
ou logro), repudiação de origem, repudiação de recebimento; Disruption -
interrupção ou prevenção da operação correta de um sistema com modificação;
Usurpação - Modificação, spoofing, delay2, recusa de serviço.
1 Spoofing: O procedimento que faz com que uma transmissão pareça ter sido enviada por um usuário
autorizado. 2 Delay: Atraso de Serviço.
23
Para Peixoto (2006) em conformidade com Sêmola (2003), escreve que as
ameaças são muitas vezes conseqüências das vulnerabilidades existentes,
provocando assim perdas de confidencialidade, integridade e disponibilidade, e
estas ameaças podem classificadas nos seguintes grupos.
(...) agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negócios de uma organização. (SÊMOLA, 2003).
Ainda segundo Peixoto (2006), as ameaças naturais são fenômenos da
natureza, como incêndios naturais, enchentes, terremotos, tempestades magnéticas,
maremotos, aquecimento, poluição. Já as ameaças involuntárias são inconscientes,
que ocorrem quase sempre devido ao desconhecimento. Podem ser causados por
acidentes, erros, falta de energia etc. E as ameaças voluntárias são ameaças
propositais que mais se relacionam com a Engenharia Social. Causadas por agentes
humanos como hackers, invasores, espiões, ladrões, criadores de disseminadores
de vírus de computador, incendiários.
3.5 ATAQUE
Ataque são todas as ações do atacante que visam comprometer a integridade,
disponibilidade e confiabilidade dos ativos da informação de uma organização, ou
seja, são ameaças colocadas em prática (CARVALHO, 2005).
Segundo Carvalho (2005), esses ataques podem ser classificados em:
Ataque Físico: Roubo de equipamentos, fitas magnéticas, dispositivos de armazenamento removível etc.. são características desse tipo de ataque. Os dispositivos são retirados da organização ou roubados de executivos para posterior análise, onde as informações importantes são recuperadas dos mesmos e utilizadas ou de forma a prejudicar a empresa ou para utilizar esses dados de maneira a obter vantagens comerciais; Packet Snnifing: Esse tipo de ataque consiste na captura de pacotes que circulam na rede, que podem conter informações importantes e, portanto, confidenciais, para a organização. Os serviços FTP
3 e Telnet
4são
vulneráveis a esse tipo de ataque, pois é possível obter facilmente as senhas dos usuários que utilizam esse serviço; Port Scanning: Um ataque
3 FTP: Protocolo que permite a transferência de arquivos através da rede.
4 Telnet: O Telnet é um membro da família TCP/IP de protocolos e permite que um usuário estabeleça uma
sessão remota em um servidor.
24
de port scanning consiste na análise de um sistema com intuito de descobrir os serviços que estão disponíveis no mesmo através de análises das portas de serviço TCP
5 e UDP
6. De posse dessas informações obtidas através
desse tipo de ataque, pode se concentrar esforços para comprometer recursos específicos; Denial of Service: Os ataques de DOS
7, ou negação
de serviço consistem na obtenção de perda de desempenho proposital de serviços ou sistemas de forma a impossibilitar o seu uso pelas as pessoas que tem permissão para acessá-los; Ataques no Nível de Aplicação: Os ataques no nível de aplicação envolvem basicamente a exploração de vulnerabilidades em aplicativos e protocolos na camada de aplicação da pilha dos protocolos TCP/IP, isto é, a camada mais próxima ao usuário; Ataques de Engenharia Social: É um dos mais perigosos e traiçoeiros ataques, por que este não limita se apenas a recursos computacionais, mas caracteriza-se nas vulnerabilidades encontradas nas pessoas que manuseiam os processos de manipulação de ativos da informação. Esse ataque será mais explanado nos capítulos seguintes desta pesquisa.
3.6 ATACANTE
Atacante é o termo utilizado em Segurança de Sistemas para denominar uma
pessoa ou um grupo de pessoas que realiza uma invasão a um sistema
computacional alcançando seu objetivo ou não.
Segundo Carvalho (2005) atualmente o termo mais conhecido para denominar
atacantes é o termo Hacker, mas é possível ainda encontrar outros nomes
relacionados como Script Kiddies, Crackers, Cyber punks, Insiders, Coders, White
Hats, Black Hats e Preacker.
A palavra Hacker possuí várias definições, desde um administrador de sistema corporativo perito o suficiente para descobrir como os computadores realmente funcionam até um criminoso adolescente com pouca ética que se diverte enquanto acaba com rede de uma empresa. (Scheneier, 2001).
No grupo do White-hats, encontram- se os coders, que muitas das vezes são
ex-Black hats que hoje utilizam seus conhecimentos dando palestras ou trabalhando
com consultorias para empresas na área de segurança computacional, além desses
atacantes destaca-se os insiders que se caracterizam pela a ameaça proveniente de
ex-funcionários ou pessoas que possuem acesso ao interior da empresa e se
5 TCP: É um conjunto de protocolos de comunicação entre computadores em rede (também chamado de pilha de
protocolos TCP/IP) 6 UDP: User Data Protocol é um protocolo de transporte de dados, que ao contrário do TCP, na faz nenhum tipo
de conexão. 7 DOS: Denial of Service, negação de serviço.
25
apropriam de informações sigilosas ou comprometem um sistema que deveria ser
seguro, nesse tipo de ataque é comum a utilização de técnicas de Engenharia
Social para a obter cópias de dados de softwares e documentos sigilosos, outro
grupo destaque desta pesquisa que faz uso apenas de Engenharia Social em seus
ataques são os Engenheiros Sociais que são assunto do capítulo a seguir.
26
4 ENGENHARIA SOCIAL
Esse capítulo apresentará os conceitos referentes ao Engenharia Social, os
tipos, como se dá sua execução dos ataques feitos por engenheiros sociais na
manipulação das pessoas como ativos da informação.
4.1 CONCEITO
O termo Engenharia Social é utilizado para denominar a prática de induzir ou
articular ações que levem o individuo acreditar em uma farsa, proporcionando ao
atacante a vantagem necessária a suas ações fraudulentas.
O termo é utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. (Cartilha de Segurança na Internet, 2006).
4.2 TIPOS DE ENGENHARIA SOCIAL
Segundo Assunção (2010) existem três maneiras básicas de ataques de
Engenharia Social: por e-mail ou carta - o engenheiro envia um e-mail ou carta para
seu alvo contendo informações que ele quer. Pode ser pedindo um documento
importante ou fingindo ser do Centro de Processamento de Dados e requerendo
uma mudança de senha. De qualquer maneira, seja correspondência eletrônica ou
real, quase sempre ela fica perfeita. Com o logotipo da organização, marca d’agua e
e-mail de origem parecendo que vem mesmo da empresa. Tudo para gerar
confiança; E-mail Pishing - é mais uma forma de Engenharia Social usada na
internet, o pishing é uma tentativa de obter dados com o uso de e-mails falsos, que
fingem vir de empresas ou bancos, geralmente pedem informações e dão um link de
um programa malicioso.
Ainda segundo Assunção (2010), essa técnica é utilizada por Engenheiros
Sociais, consiste em mandar um arquivo (anexo) compactado zip, com a senha para
ser descompactado no corpo do e-mail, e essa ação barra o antivírus e fornece uma
27
falsa sensação de confiança, pois passa a impressão que o atacante está mandando
um arquivo importante e confiou a senha a vítima que ao digitar a senha encontrará
um arquivo executável malicioso pronto para ser instalado no sistema da vítima, e
muitas vezes esses e-mails estão camuflados de cartões virtuais, convites e até
mesmo instituições financeiras.
Messengers Instantâneos: é necessário ter um cuidado redobrado ao utilizar
os serviços de mensagem instântanea como MSN, ICQ, Skype, Yahoo entre outros;
pois os engenheiros sociais vem nesse tipo de serviço a oportunidade para atacar
na tentativa de fazer a vítima aceitar um determinado arquivo que contendo um
malware8 malicioso, esses engenheiros utilizam da confiança e simpatia para dizer
que o arquivo um jogo interessante ou um projeto inacabado. Apesar das novas
versões do MSN Messenger vir com bloqueio de envio de mensagens executáveis
este pode ser facilmente burlado através de patchs 9 disponíveis na internet
(ASSUNÇÃO, 2010).
Pessoalmente: É o método mais arriscado, mas também o mais eficiente.
Pode se passar por um cliente, por um funcionário ou mesmo um parceiro de
negócios. As possibilidades são infinitas, já que as pessoas tendem a confiar mais
em alguém muito bem vestido. Outra coisa que eles tendem a fazer pessoalmente:
revirar lixo de uma empresa ou organização em busca de informações importantes,
como listas de empregados ou qualquer coisa que beneficie a Engenharia Social
(ASSUNÇÃO, 2010).
Pelo Telefone: O engenheiro se passa por alguém importante, finge precisar
de ajuda ou mesmo se oferece para ajudar. O interesse dele é mexer com o
sentimento das pessoas, fazendo com que elas acabem entregando o que ele
deseja, sem, muitas vezes, nem saberem disso (ASSUNÇÃO, 2010).
4.3 OS ATIVOS PESSOAS E A ENGENHARIA SOCIAL
Ao contrário de que muitos imaginavam o principal risco no controle da
segurança da Informação, não se encontra em ataques elaborados que utilizem
8 Malware: O termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar
em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de
informações (confidenciais ou não). 9 Patch: Pacote de atualizações.
28
tecnologias sofisticadas, na verdade, os ataques podem ser simples, mas com
conseqüências devastadoras, e o principal alvo desses ataques estão no sistema
mais falho conhecido: O ser humano.
O ser humano por si só é uma fonte de complicações, seres humanos são
curiosos, são interativos e extremamente vulneráveis.
Para Campos (2007), as pessoas são o elemento central de um sistema de
segurança da informação e afirma que a organização é, na verdade, o conjunto de
pessoas, que nela trabalham; para ele os incidentes da segurança da informação
sempre envolvem pessoas, seja no lado das vulnerabilidades exploradas, quer no
lado das ameaças que exploram essas vulnerabilidades.
Além de todos os problemas técnicos que podem causar a falta na segurança, ainda temos, o pior deles, e justamente o não técnico. Através de técnicas de Engenharia Social, a manipulação do fator humano causa enormes desastres como: fazer o usuário rodar um cavalo de tróia sem saber, conseguir informações privilegiadas sobre a empresa, obter especificações de um novo produto etc (ASSUNÇÃO, 2010).
A falta de segurança é um problema sério e, infelizmente, muitas universidades, empresas e muitos órgãos do governo não se exercitam, não se atualizam. Eles deixam seus sistemas vulneráveis a ataques e não têm o mínimo de perspicácia para perceber falhas humanas, cada vez mais exploradas por hackers (MITNICK, 2006).
“Geralmente as pessoas são o ponto mais suscetível em um esquema de
segurança. Um trabalhador malicioso, descuidado ou alheio a política de informação
de uma organização pode comprometer até a melhor segurança” (COMMER, 1998).
Mesmo nos incidentes que envolvem acidentes naturais, pessoas precisam prever acidentes e proteger os ativos, quer criando proteções, quer elaborando planos de recuperação do desastre. Portanto, o item pessoas de vê ser de relevância considerada em um sistema de gestão da segurança da informação (CAMPOS, 2010).
Os engenheiros sociais sabem que as pessoas são uma das partes mais
vulneráveis dos ativos da informação, por isso usam da persuasão para
manipularem seus alvos.
29
4.4 ENGENHARIA SOCIAL: MANIPULANDO SENTIMENTOS
Manipulador é a palavra mais adequada para descrever um Engenheiro Social;
dentre os sentimentos explorados em um ataque de Engenharia Social, destacam-
se:
Curiosidade: é sem dúvida, um dos sentimentos humanos mais explorados
por um engenheiro social, e é utilizando técnicas que despertem a curiosidade, é
que o atacante consegue ludibriar suas vítimas. Sabendo que a curiosidade é um
dos pontos mais vulneráveis do ser humano, o engenheiro social vai tentar atiçar de
todas as maneiras a curiosidade da empresa-alvo (ASSUNÇÃO, 2010).
Confiança: é um fator muito manipulado pelos os engenheiros sociais. Ela
pode ser gerada de várias maneiras: onde o atacante pode se passar por um
funcionário de outra filial, citar procedimentos técnicos do manual da empresa ou,
simplesmente, oferecer-se para ajudar com algum problema, outra coisa comum é o
recebimento de um e-mail com o endereço de origem de um amigo ou colega de
trabalho e esse e-mail vir com um anexo e esses e-mails podem ser facilmente
forjados, no geral todos esses fatores fazem com que a “resistência” do funcionário a
entregar informações fique mais fraca (ASSUNÇÃO, 2010).
Simpatia: outro modo de manipulação encontra-se na simpatia, onde a
sensualidade é um dos pontos explorados, é muito mais fácil uma mulher se
aproximar dos seguranças de uma empresa e ser bem sucedida ao utilizar as
técnicas Engenharia Social que um homem, o mesmo ocorre em casos de
Engenharia Social ao telefone, se a pessoa do outro lado da linha solicita
informações de maneira simpática, voz suave, inconscientemente muitos
funcionários tendem a ceder e assim passam informações (ASSUNÇÃO, 2010).
Medo: Outro sentimento explorado pelos os Engenheiros Sociais é o medo,
segundo Assunção (2010) a manipulação do medo é uma das mais poderosas, pois
tende obter resultados muito rápidos. Isso porque ninguém quer agüentar a pressão
o muito tempo e acaba entregando as informações rapidamente. Geralmente, as
ameaças parecem vir de pessoas com uma hierarquia bem maior que do alvo dentro
da organização.
Culpa: Muitas vezes o que faz da Engenharia Social uma técnica bem
sucedida é o poder que esta exerce sobre os sentimentos das pessoas, e um
desses sentimentos é a culpa. Um bom engenheiro social sabe muito bem que
30
dentro de uma organização os funcionários novatos que por quererem mostrar
serviço estão mais vulneráveis a essa abordagem (ASSUNÇÃO, 2010).
4.5 ENGENHEIROS SOCIAS E SUAS ESTRATÉGIAS DE ATAQUE
Mitnick (2003) em seu livro a Arte de Enganar destaca seis tendências usadas
pelos os engenheiros sociais em suas tentativas de manipulação, são elas:
Autoridade: As pessoas têm tendência de atender uma solicitação que é feita
por uma pessoa com autoridade, alguém pode ser convencido a atender uma
solicitação se ela acreditar que o solicitante é uma pessoa com autoridade ou que
está autorizada a fazer tal solicitação. Um engenheiro social tenta impor autoridade
alegando ser do departamento de TI ou dizendo ser um executivo ou uma pessoa
que trabalha para um executivo da empresa.
Afabilidade: As pessoas têm a tendência de atender uma pessoa que faz
solicitação quando esta se passa por alguém agradável ou com interesses, crenças
e atitudes semelhante as da mesma. É comum em ataques de Engenharia Social o
atacante envolver a vítima em uma conversa e descobrir os gostos e interesses do
alvo e usar isto na manipulação.
Reciprocidade: Atender automaticamente a uma solicitação quando há
promessa de receber algo de valor. O presente pode ser um item material, um
conselho ou ajuda. Quando alguém faz algo para a vítima, esta se sente na
inclinação de retribuir. Essa forte tendência de retribuir existe nas situações em que
a pessoa que recebe o presente não pediu por ele sendo esta uma das maneiras
mais eficazes do engenheiro social influenciar sua vítima como no caso a seguir.
Um empregado recebe uma ligação de uma pessoa que se identifica como sendo do departamento de TI. O interlocutor explica que alguns computadores da empresa foram infectados por um vírus novo que não é reconhecido pelo software antivírus e que pode destruir todos os arquivos de um computador. Ele se oferece para instruir a pessoa a tomar algumas medidas para evitar problemas. Depois disso, o interlocutor pede que a pessoa teste um utilitário de software que acabou de ser atualizado recentemente, o qual permite que os usuários mudem as senhas. O empregado reluta em recusar, porque o interlocutor acabou de prestar ajuda que supostamente o protege contra um vírus. Ele retribui, atendendo à solicitação do interlocutor (MITNICK, 2003).
31
Consistência: As pessoas têm a tendência de atender após fazer um
comprometimento público ou adotar uma causa, isso ocorre porque o ser humano
quer sempre ter a aceitação dos outros e se esforça para parecer mais confiável e
ser coerente com suas promessas, principalmente em ambientes de trabalho,
(Mitnick, 2003) a exemplo disso o caso a seguir):
O atacante entra em contato com uma funcionária relativamente nova e a aconselha sobre o acordo para seguir determinadas políticas e procedimentos de segurança como uma condição para usar os sistemas de informações da empresa. Após discutir algumas práticas de segurança, o interlocutor pede à usuária para fornecer a sua senha "para verificar se ela entendeu" a política sobre selecionar uma senha difícil de adivinhar. Depois que a usuária revela a sua senha, o interlocutor faz uma recomendação para que ela crie senhas para que o atacante possa adivinhá-las. A vítima atende por causa do seu acordo anterior de seguir as políticas de segurança e porque supõe que o interlocutor está apenas verificando o seu entendimento (MITNICK, 2003).
Validação social: é como o ditado popular bem ilustra: “Maria vai com as
outras”, a vítima sente que deve cooperar com o engenheiro social porque outras
pessoas de outros departamentos fizeram o mesmo.
Quanto a essa ação Mitnick (2003) ilustra com o seguinte exemplo:
O interlocutor diz que está realizando uma pesquisa e dá o nome das outras pessoas do departamento que diz já terem cooperado com ele. A vítima, acreditando que a cooperação dos outros valida a autenticidade da solicitação, concorda em tomar parte. Em seguida, o interlocutor faz uma série de perguntas, entre as quais estão perguntas que levam a vítima a revelar o seu nome de usuário e senha.
Escassez: Pessoas têm tendência a cooperar quando sentem que estão em
alguma competição a algum serviço ou produto que não estará disponível por muito
tempo, esse tipo de abordagem é comumente feita na web.
Quanto a esse tipo de abordagem Mitnick (2003) ilustra com o exemplo a
seguir:
O atacante envia e-mails dizendo que as primeiras 500 pessoas que se registrarem no novo site Web da empresa ganharão ingressos grátis para a premiere de um filme a que todos querem assistir. Quando um empregado desavisado se registra no site, ele tem de fornecer o endereço de e-mail da sua empresa e selecionar uma senha. Muitas pessoas, motivadas pela conveniência, têm a tendência de usar a mesma senha ou uma senha semelhante em todo sistema de computador que usam. Aproveitando-se disso, a atacante tenta comprometer o trabalho do alvo e os sistemas de
32
computadores domésticos com o nome de usuário e a senha que foram inseridos durante o processo de registro no site Web.
4.5 DISFARCES DE UM ENGENHEIRO SOCIAL
Uma característica dos ataques dos engenheiros sociais em ações de contato
pessoal é a utilização de disfarces.
Durante o processo de persuasão a criatividade do atacante não tem limites,
seja desde um faxineiro que tem acesso ao lixo da organizaçãoo, uma fonte rica de
informações ao presidente de uma multinacional que precisa do telefone do gerente
do setor para tratar de assuntos de negócios.
Mitnick (2003), enumera as abordagens mais comuns dos engenheiros sociais
na criação de seus personagens.
Finge ser um colega de trabalho;
Finge ser um empregado de um fornecedor, empresa parceira ou autoridade legal;
Finge ser alguém com autoridade;
Finge ser um empregado novo que solicita ajuda;
Finge ser um fornecedor ou fabricante de sistemas que liga para oferecer um patch ou uma atualização de sistema;
Oferece ajuda quando ocorrer um problema e, em seguida, faz o problema ocorrer para manipular a vítima e fazer com que ela ligue pedindo ajuda;
Envia software ou patch grátis para que a vitima o instale;
Envia um vírus ou Cavalo de Tróia como um anexo de correio eletrônico;
Usa uma janela pop-up 10
falsa que pede para o usuário fazer o login novamente ou digitar uma senha;
Captura as teclas digitadas pela vítima com um sistema ou programa de computador;
Deixa um disquete ou CD com software malicioso em algum lugar do local de trabalho;
Usa jargão e terminologia interna para ganhar a confiança;
Oferece um prêmio pelo registro em um site Web com um nome de usuário e a senha;
Deixa um documento ou arquivo na sala de correspondência para entrega interna;
Modifica o cabeçalho de uma máquina de fax para que ele venha de uma localização interna;
Pede que uma recepcionista receba e, em seguida, encaminhe um fax;
Pede que um arquivo seja transferido para uma localização aparentemente interna;
Configura uma caixa de correio para que as ligações de retorno percebam o atacante como alguém de dentro da empresa;
10 Pop-Up: É uma janela extra que abre no navegador ao visitar uma página ou clicar em um link específico.
33
Finge ser do escritório remoto e pede acesso local ao correio eletrônico;
Os disfarces são levados a sério pelos os engenheiros sociais, a exemplo disso
podemos citar nomes de Engenheiros Sociais famosos como Kevin Mitnick
conhecido hacker dos anos 90 que invadiu sistemas de companhias telefônicas e
corporações do governo se disfarçando desde técnico de TI a Presidente de
Multinacional, manipulando suas vítimas pessoalmente ou por telefone conseguindo
informações para a execução os seus golpes; outro nome famoso, o considerado rei
dos disfarces é Frank William Abagnale, Jr. que na década de 1960, já viajava o
mundo de graça ao se passar por piloto da companhia área americana Pan Am;
usando uniforme e documentos falsos, o golpe durou dois anos, além disso,
trabalhou em um hospital como médico pediatra por onze meses ao fazer amizade
com um médico residente que o indicou para o trabalho, como se não fosse o
suficiente, Abagnale se passou também por advogado e professor tudo para pôr em
prática os seus golpes de fraudes bancárias e criação de documentos falsos.
34
5 GOVERNANÇA DE TI
Este capítulo apresenta as características e os componentes da Governança
de TI e os seus respectivos modelos ITIL e Cobit.
Dentre os vários adjetivos que conceituam a Governança de TI, um deles é
inegavelmente mais conhecido: bom governo, ou seja, a governança caracteriza-se
por boas práticas; criar estruturas de governança significa definir ações estratégicas
na gestão dos serviços da organização de maneira que venha diminuir as
dificuldades encontradas ao gerenciar e criar controles na organização.
5.1 CONCEITO
A Governança de TI é uma ferramenta que especifica os direitos de decisão e
das responsabilidades e é uma estratégia de gestão a serviços, é um conjunto de
práticas e padrões e relacionamentos estruturados que tem como objetivo expandir
o desempenho e otimização dos recursos dando suporte para as melhores decisões,
encoraja o comportamento desejável no uso da TI (FERNANDES, 2005).
A Governança de TI além de buscar o compartilhamento de decisões de TI
com os dirigentes da organização é responsável principalmente por estabelecer
regras que abrangem a organização e os processos do uso da tecnologia da
informação que envolve usuários, departamentos, divisões, negócios da
organização.
Segundo Fernandes (2005) a Governança de TI é motivada por vários fatores,
como observado na figura seis, dentre os fatores que motivam a Governança da TI,
podemos destacar a Segurança da Informação; é sabido que as organizações
sofrem riscos diários de intrusão visando o roubo, principalmente de dados que
podem afetar sobremaneira a operação da organização.
35
Figura 6-Fatores Motivadores da Governança de TI
Fonte: FAGUNDES, 2005.
De acordo com o nível de acesso dos vários pontos da organização, maior é a
necessidade de envolver todos os níveis a uma política de governança que dite as
permissões e negações na gestão da segurança da informação.
5.2 COMPONENTES DA GOVERNANÇA DE TI
Para Fernandes (2005) a Governança de TI compreende vários mecanismos e
componentes ilustrados na figura sete que logicamente integrados permitem o
desdobramento da estratégia de TI até a operação dos produtos e serviços
correlatos.
Destacando o processo de alinhamento estratégico e copilance da qual a
Segurança da ação esta alocada, este procura determinar qual deve ser o
alinhamento de TI em termos de arquitetura, infra-estrutura, aplicações, processos e
organização com as necessidades presentes e futuras da organização.
Outro componente importante do domínio do alinhamento estratégico que é
importante destacar são princípios da TI, são regras que todos devem seguir, no
âmbito da organização, e que subsidiam tomadas de decisão a cerca da arquitetura
de TI, Infra-estrutura de TI, aquisição e desenvolvimento de aplicações, uso de
padrões, gestão de ativos de TI e assim sucessivamente.
36
Figura 7 – Os domínios e componentes da Governança de TI
Fonte: FAGUNDES, 2005.
5.3 ITIL
É o modelo de referência para gerenciamento de processos TI, ITIL
(Information Tecnology Infrastructure) em português significa “Biblioteca para Infra-
estrutura de serviços de TI”. Essa metodologia foi criada em 1980 pela CCTA
(Centro Computer and Telecommunications Agency) órgão ligado ao OGC (Office for
Government Commerce) da Inglaterra, e com envolvimento de inúmeras
organizações industriais e governamentais (FAGUNDES, 2005).
A principal característica dessa metodologia é que esta está voltada a
processos que visam atender qualquer tipo de organização na área de gestão de
serviços de TI, pois sua filosofia considera o gerenciamento de serviços como um
conjunto de processos fortemente relacionados e integrados. Mostrando que devem
ser usadas: pessoas, processos e tecnologias para atingir os objetivos chaves do
gerenciamento desses serviços.
A ITIL é reconhecida em muitos países pela a sua metodologia voltada a
operação de negócio e antes o que era apenas um conjunto de 60 livros de conjunto
de melhores práticas se tornou padrão em gerenciamento de serviços.
37
A vantagem desta metodologia está na liberdade que está dá para o uso em
qualquer organização, inclusive em órgãos públicos e privados.
Os documentos ITIL abordam: Gerenciamento da Configuração, Central de
Serviços, Gerenciamento de Incidentes, Gerenciamento de Problemas,
Gerenciamento de Mudanças, Gerenciamento de Liberações, Gerenciamento da
Capacidade, Gerenciamento da Disponibilidade, Gerenciamento da Continuidade
dos Serviços de TI, Gerenciamento Financeiro para Serviços de TI, Gerenciamento
do Nível de Serviço, Gerenciamento da Infra-estrutura e Gerenciamento de
Aplicações (FAGUNDES, 2005).
Figura 8 – O Núcleo da ITIL
Fonte: FAGUNDES, 2005.
5.4 COBIT
O Cobit é um guia para a gestão de TI. COBIT (Control Objectives for
Informationand Related Technology), que pode ser traduzido como “Objetivos de
Controle para a Informação e Tecnologia Relacionada”, é recomendado ISACF
38
(Information Systems Audit and Control Foundation), é orientado a negócio, pois
detalha informações para gerenciar processos baseados em objetivos de negócio,
outra característica é que este é um conjunto de diretrizes para gestão de
processos, orientando o entendimento e o gerenciamento de riscos, a auditoria e as
práticas de controles associadas ao uso do TI (ISACA, 2010).
Ainda segundo ISACA (2010), o Cobit atende as demandas:
Administração e Gerência: buscando o equilíbrio entre os riscos e os
investimentos em controles no ambiente dinâmico da Tecnologia da
Informação.
Usuários: dependem dos serviços de TI e seus respectivos controles e
mecanismos de segurança para executar suas atividades.
Auditores: validam suas opiniões ou recomendam melhorias dos
controles internos à administração
E está dividido em quatro domínios:
1. Planejamento e Organização
2. Aquisição e Implementação
3. Entrega e Suporte
4. Monitoração
Figura 9 – Domínio do Cobit
Fonte: ISACA, 2010
39
6 ESTUDO DE CASO
Esse capítulo apresentará o estudo de caso e a metodologia usada na
aplicação dos questionários da organização pesquisada, apresentando o histórico, a
estrutura organizacional, e por fim o dado percentual da pesquisa.
6.1 HISTÓRICO DA ORGANIZAÇÃO PESQUISADA: CÂMARA MUNICIPAL DE
SANTARÉM.
De acordo com Fonseca (2006) a Vila de Santarém, desde a sua instituição a
14 de Março de 1758, já possuía sua Câmara, composta por dois Juízes ordinários e
três vereadores, denominada de Senado da Câmara, mas foi somente a partir de
1828, através da Lei Imperial, que o Legislativo passou a denominar-se Câmara
Municipal. Em obediência à nova Lei, foram eleitos para o quadriênio de 1829 a
1832, os seguintes membros: Padre Raimundo José Auzier, presidente; João de
Deus Leão, secretário; e mais os seguintes membros: Belchior Rodrigues Melo,
Pedro José Bastos e José de Sousa e Silva Seixas. Essa primeira Câmara Municipal
foi instalada em 1º. De Junho de 1829.
Quando em 1848, Santarém foi elevada à categoria de cidade, era presidente
da Câmara o cidadão Joaquim Rodrigues dos Santos.
Com a Proclamação da República, ocorrida em 1889, a Câmara foi dissolvida
pelo Decreto Nº. 81, de 06 de Março de 1890. Estava assim constituída: Francisco
Caetano Correa, presidente, e mais os seguintes membros: José Leopoldo Pereira
Macambira, Miguel Batista Belo de Carvalho, José Cláudio da Silva Rabelo, José
Veloso Pereira, José Joaquim da Silva, Matias Afonso da Silva e Fausto Pinto
Guimarães.
Ainda no mesmo dia 06 de Março de 1890, o Decreto de Nº. 82 transformava a
antiga Câmara Municipal em Conselho Municipal de Intendência, e nomeava os
seguintes membros: Barão de Tapajós (Intendente), e os vereadores José Leopoldo
Pereira Macambira, Ascendino Gonçalves Gentil, Turiano Lins Meira de
Vasconcelos, Joaquim Lopes Bastos e Francisco Caetano Rodrigues dos Santos. À
40
exceção do último membro, que não aceitou a nomeação, este Conselho Municipal
de Intendência tomou posse em 21 de Março de 1890.
Vitoriosa a Revolução de 1930, a Câmara Municipal foi mais uma vez extinta.
Voltou a funcionar de 1935 a 1937, quando houve um golpe de Estado, o chamado
Estado Novo, que dissolveu novamente. Com a volta ao regime Constitucional, a
Câmara foi restabelecida em 1948, com a seguinte composição: Pedro Gonçalves
Gentil, Braz de Alcântara Rebelo, Osman Bentes de Sousa, João Otaviano de
Matos, Benedito de Oliveira Magalhães, Humberto de Abreu Frazão, Jonathas de
Almeida e Silva, Flávio Flamarion Serique e Antonieta Dolores Texeira (suplente de
Antônio Veloso Salgado, que renunciou).
Do ano de 1955 a 1959, a Câmara passa a ter 11 Vereadores. Em 1967 passa
a funcionar com 13 Parlamentares. No ano de 1969 a 1970, por ato da Presidência
da República, a Câmara passa por um recesso. No ano de 1971, passou a funcionar
rogando a proteção Divina. A partir de 1974, os Vereadores passam a ser
remunerados pelo exercício do cargo. De 1983 a 1988, essa Legislatura teve a
duração de 6 anos. De 01 de Janeiro de 1993, a Câmara passa a funcionar com 17
Vereadores; Em 01 de Junho de 2003, a Câmara comemora os seus 174 anos de
cidadania, composta por 17 Vereadores. Em 01 de Janeiro de 2005, a Câmara
passa a funcionar composta por 14 Vereadores, por força da Resolução do TSE de
Nº. 21.702.
6.2 ESTRUTURA ORGANIZACIONAL
A Organização Câmara Municipal de Santarém, é uma entidade governamental
que possuí seis departamentos e quatorze gabinetes destinados a vereadores, a
saber:
1. Departamento de Recursos Humanos
2. Departamento Legislativo
3. Departamento de Finanças
4. Departamento de Recursos Humanos
5. Setor de Informática
6. Central Telefônica
41
6.3 FOCO DA PESQUISA: GABINETE DOS VEREADORES
Os gabinetes destinados aos vereadores funcionam de maneira independente
dos outros setores da câmara, ou seja, a responsabilidade organizacional é
centralizada nos assessores e secretários delegados pelo o parlamentar.
Cada gabinete é responsável pelas as medidas de segurança quanto à gestão
de ativos, manutenção, controle e descarte das informações que entram e saem
diariamente.
6.4 ANÁLISE DO PROBLEMA
Muitas são as vulnerabilidades encontradas em ambientes governamentais
como em gabinetes de uma câmara municipal, dentre essas vulnerabilidades
destacam-se aquelas encontradas na gestão dos ativos, na manutenção e descarte
da informação que são os pontos mais explorados em ataques de engenharia social
que é o foco dessa pesquisa.
6.5 APLICAÇÃO DE QUESTIONÁRIOS
Os questionários foram aplicados em forma de entrevista nos quatorze
gabinetes destinados aos vereadores, foram entrevistados assessores e secretárias
que convivem diariamente com as pessoas e informações que entram e saem.
O objetivo da aplicação desse questionário é ter uma pesquisa de caráter
qualitativo e quantitativo que apresentem as reais necessidades dos gabinetes em
adotar as boas práticas encontradas na norma NBR ISO 27.002 na gestão de ativos
e manutenção e descarte da informação que tão explorada em ataques,
principalmente de engenharia social.
42
6.6 QUESTONÁRIO
A fim de se ter uma pesquisa mais fundada os dados pesquisados foram
transformados em gráficos para a melhor visualização, o objetivo é mostrar de
maneira quantitativa e qualitativa as vulnerabilidades e a necessidade da
organização pesquisada em adotar boas práticas na gestão da segurança da
informação.
As vinte e três perguntas do questionário estão centradas apenas na
manutenção e descarte da informação, na gestão dos ativos da informação com foco
no ativo humano explorado em ataques de engenharia social. Os gráficos
apresentados a seguir são baseados nas informações obtidas na pesquisa.
Na sua função você utiliza computador?
Gráfico 1
Cem por cento dos funcionários entrevistados responderam que utilizam o
computador em suas atividades diárias.
Utiliza outro software além do pacote do Office?
43
Gráfico 2
Apenas sete por cento dos funcionários entrevistados responderam que
utilizam outro software que auxilia na organização da informação em suas atividades
diárias enquanto a maioria noventa e três por cento não fazem uso.
Se utiliza outro software, este contém senha?
Gráfico 3
Cem por cento dos entrevistados que responderam que faziam uso de outro
software específico responderam também que fazem uso de senha para acessar o
software.
Todos fazem uso da mesma senha?
44
Gráfico 4
Sete por cento dos entrevistados que utilizam outro software responderam que
todos os funcionários que manipulam o software têm conhecimento e acesso a
mesma senha enquanto noventa e três possuem senha individual.
Quanto à utilização de senha para acesso ao computador do
trabalho?
Gráfico 5
A maior parte setenta e dois por cento dos entrevistados responderam que não
fazem uso de senha para acessar os computadores do ambiente de trabalho,
apenas vinte e três por cento responderam que fazem uso de senha.
45
Quanto à utilização da internet para uso pessoal no ambiente de
trabalho.
Gráfico 6
Noventa e três por cento dos funcionários entrevistados revelaram que
acessam a internet do trabalho para uso pessoal, apenas sete por cento
responderam não.
Possuí conta em Rede Sociais?
Gráfico 7
Cem por cento dos entrevistados responderam que possuem conta em alguma
rede social.
46
Informações fornecidas em Redes Sociais (Internet). Sobre
situações cotidianas corriqueiras da organização. Comenta com amigos
nas redes sociais?
Gráfico 8
Cinquenta por cento dos entrevistados responderam que comentam com seus
contatos situações ocorridas nas organizações em uma conversa informal ou
divulgado os trabalhos do parlamentar, outro cinqüenta por cento responderam que
não comentam ou divulgam nada da organização em suas redes sociais.
Manutenção da Informação Digital. Os arquivos de computador
são armazenados como? Em pastas criadas no próprio sistema
operacional ou gravadas em mídias removíveis.
Gráfico 9
47
Cinquenta e quatro por cento dos entrevistados responderam que os arquivos
digitais são armazenados em pastas do sistema operacional e quarenta e seis por
cento em mídias removíveis.
Quanto ao descarte de mídias usadas.
Gráfico 10
Cem por cento dos entrevistados descartam mídias usadas nos depósitos de
lixo da própria organização.
Manutenção da Informação em Papel (documentos)
Gráfico 11
48
Cem por cento dos entrevistados mantêm as informações de papel em pastas
arquivos que ficam nas dependências do gabinete e zero por cento faz uso de outra
meio de manutenção dos documentos em papel.
Quanto ao descarte das informações em papel.
Gráfico 12
Cem por cento dos entrevistados responderam que descartam as informações
de papel nos depósitos de lixo da organização.
Existe controle do fluxo das pessoas que entram e saem do gabinete?
Gráfico 13
Cem por cento dos entrevistados responderam que não existe nenhum tipo de
controle das pessoas que entram e saem do gabinete.
49
Quanto ao tratamento das Informações. A organização possuí
alguma política de segurança?
Gráfico 14
Cem por cento dos entrevistados responderam que não existe política de
segurança na organização, apenas a confiança depositada no funcionário de que
este fará o possível para manter as informações “protegidas”.
A organização orienta os funcionários na divulgação de informações
sigilosas?
Gráfico 15
Cem por cento dos entrevistados responderam que não existe orientação da
direção no sentido da divulgação das informações sigilosas, nem treinamento,
50
apenas o bom senso e comum acordo do grupo de funcionários em tomar as
precauções necessárias na divulgação de informações que sejam de caráter
confidencial.
E-mail: Ao receber um e-mail que solicita informações a respeito de sua
conta bancária. Você abre o e-mail e checa para ver se é verdadeiro.
Nem abre o e-mail apenas deleta ou sinaliza como spam?
Gráfico 16
A maioria dos entrevistados, ou seja, setenta e nove por cento responderam
que abrem o e-mail e checam se a procedência é de fato de uma instituição
verdadeira, enquanto vinte um por cento responderam que não se dão ao trabalho
de abrir e deletam imediatamente pois desconhecem ou desconfiam da procedência
do mesmo.
Quanto ao download de anexos. Se o e-mail da pergunta anterior vier
com um anexo: Você faz o download porque confia que o antivírus
detectará se o arquivo for malicioso. Você nunca faz download de
anexo?
51
Fonte: Dados da Pesquisa
Gráfico 17
Setenta e um por cento dos entrevistados responderam que fazem o download
do anexo enquanto vinte e nove por cento nunca fazem download de anexos em
caso parecidos com o exemplo dado na questão anterior.
Mensagens Instantâneas. Ao ser solicitado sobre alguma
informação referente ao trabalho na organização em serviços de
mensagem instantânea.
Gráfico 18
A maioria dos entrevistados, ou seja, sessenta e quatro por cento marcaram
que responderiam sem problemas desde que não fosse nenhuma informação
sigilosa, enquanto trinta e seis por cento marcaram que não responderiam de forma
alguma nenhuma informação solicitada mesmo que essa fosse de caráter público.
52
Solicitação de Informações em relação ao trabalho em
abordagens Pessoais. Se alguém pessoalmente aborda e solicita
informações em relação à organização: Forneceria informações inclusive
sigilosas se quem solicita tem alguma autoridade na organização.
Forneceria qualquer informação a qualquer solicitante desde que não
fosse de caráter sigiloso. Não forneceria nenhum tipo de informação?
Gráfico 19
Sessenta e quatro por cento dos entrevistados responderam que só
forneceriam informações apenas se a pessoa que a solicita exercesse função de
autoridade na organização, trinta e seis por cento responderam que só
responderiam se fossem informações não sigilosas e zero por cento não forneceriam
nenhum tipo de informação.
Solicitação de Informações em relação ao trabalho em
abordagens ao telefone. Ao atender um telefonema onde alguém solicita
uma informação que pode ser de caráter sigiloso ou não. Você fornece a
informação por telefone?
53
Gráfico 20
Noventa e três por cento responderam que forneceriam informações
dependendo da pessoa que se identificasse por telefone.
E sete por cento responderam que não fornecem informações relativas a
organização por telefone.
54
7 NORMAS E PADRÕES DE SEGURANÇA
Esse capítulo abordará a importância e as características das normas e
padrões de segurança, além de apresentar o histórico da Norma NBR/ISO/IEC
27.002.
7.1 CONCEITO DE NORMAS E PADRÕES
Normas e padrões são as bases fundamentais para assegurar a qualidade de
processos, estas normas definem as melhores práticas e ações que as organizações
podem adotar na gestão da segurança da Informação.
7.2 A ORGANIZAÇÃO ISO
A Organização Internacional de Padronização, fundada em vinte e três de
janeiro de 1947, é uma entidade não governamental que possuí cento e sessenta e
dois países membros, com sede em Genebra na Suíça, atribuí-se a esta a
competência da normalização e padronização dos países associados.
A ISO caracteriza-se por intermediar os interesses das organizações privadas
junto ao governo, em alguns casos, as associações dos países membros já fazem
parte da estrutura governamental local, o objetivo primordial da ISO é alcançar um
consenso em relação às soluções referentes às necessidades do negócio e as
necessidades da sociedade.
Por haver vários acrônimos com relação ao nome ISO em vários países, como
em inglês IOS, os fundadores decidiram uniformizar nome da organização, e
optaram por ISO que em grego que dizer igualdade, então independentemente do
país o nome é ISO.
Dentre os tipos de classificações da ISO, estão às normas técnicas,
classificações que abrangem os códigos dos países e normas de procedimento.
55
7.3 A ASSOCIAÇÃO ABNT
A Associação Brasileira de Normas Técnicas, fundada em 1940 é a
organização responsável pela a normalização técnica no Brasil, é uma entidade
privada que além de ser membro fundador da ISO, é representante também de
outras organizações como a IEC (International Eletrotechnical Comission); e das
entidades de normalização regional COPANT (Comissão Panamericana de Normas
Técnicas) e a AMN (Associação Mercosul de Normalização), além disso é
reconhecida como único Foro Nacional de Normalização.
7.4 NORMA NBR ISO 17.799 (27.002) – UMA BREVE HISTÓRIA
A preocupação em gerar uma norma sobre a Segurança da Informação surgiu
na Inglaterra, no Departamento de Indústria e Comércio (DTI – Department of Trade
and Industrys). O objetivo era criar um conjunto de normas, ou seja, critérios que
pudessem proporcionar as organizações uma certificação valida da Segurança da
Informação, além disso, era necessário elaborar um código de boas práticas, que
orientasse a implantação desses critérios nas organizações, e então em 1989 o
projeto gerou a publicação da primeira norma. (CAMPOS, 2007).
Os trabalhos continuaram e com as revisões necessárias e sugestões dadas
pela a área industrial inglesa, o código de práticas foi publicado como padrão
Britânico para a Gestão de Segurança da Informação sob o título de PD 0003 e,
finalmente em 1995, a norma foi publicada pela Britsh Standard, sob o código de
BS-7799.
Apesar do código de boas práticas ser bastante específico na orientação das
aplicações de ações da segurança da Informação, ainda era difícil validar essas
ações e assegurar que elas estavam mesmo sendo realizadas de forma correta. Por
isso, foi construída uma espécie de checklist para verificar se as ações propostas
haviam sido realmente implementadas de acordo com o código de boas práticas.
Assim, o código passou a ser chamado de BS 7799-1 e o checklist para verificar, de
BS 7799-2. Com a segunda parte da norma BS 7799 seria possível inclusive
certificar organizações quando da implementação da Segurança da Informação.
(CAMPOS, 2007).
56
Ainda de acordo com Campos (2007) muitas melhorias foram sendo feitas ao
longo dos anos e a BS 7799 passou a ser adotada por muitas organizações mesmo
fora da Inglaterra, e isso contribui para que a ISO (International Organization for
Standardization) homologasse a BS 7799 e a transformasse em uma norma de
aplicação Internacional ampla e restrita.
No ano 2000, a ISO lançou então a ISO 17.799 que é a versão internacional
da BS 7799-1.
Contudo, a segunda parte da norma BS 7799 não foi transformada em ISO, o
que gerou uma demanda por uma norma internacional que permitisse a certificação
das empresas. Não havendo um consenso para o lançamento através da ISO a
própria Britsh Standard adequou a BS 7799-2 aos padrões já internacionalmente
aceitos, tais como as famílias 9.000 e 14.000 da ISO, adotando também o conceito
de melhoria continua pela a utilização do ciclo PDCA (Plan, Do, check, Act). Essa
norma BS totalmente adequada aos padrões internacionais foi lançada em 2002 e
passou a ser utilizada como norma para a certificação de segurança da informação
em todo mundo. Mais do que uma simples checklist, a BS 7799-2 tornou-se um
verdadeiro instrumento de orientação para a implantação de um sistema de gestão
de segurança da informação.
O Código de práticas homologado e publicado pela a ISO continuou
evoluindo e foi republicada em 2005 com muitas melhorias, tendo os controles de
segurança da informação mais claramente identificados, com os requisitos, forma de
implantação e informações adicionais. Nesse mesmo ano, finalmente, a ISO
homologou a parte 2 da BS 7799, que possibilita a certificação. No entanto, essa
nova norma passou a se chamar ISO 27.001, sendo o objetivo criar uma nova
família de normas de segurança da Informação, tal como acontece com as famílias
9.000 e 14.000.
Segundo Campos (2007) em abril de 2007 a ISO 17.799 foi então renomeada
para ISO 27.002. Ainda existe a possibilidade do lançamento de novas normas da
família, formando a seguinte estrutura:
ISO 27.001: Especificação do sistema de gestão de segurança da
informação.
ISO 27.002: Código de prática para gestão de segurança da
informação (antiga ISSO 17.799)
ISO 27.003: Guia de implementação dos Sistemas de gestão de
segurança da informação
57
ISO 27.004: Medidas e métricas utilizadas em segurança da
Informação
ISO 27.005: Gestão de riscos em sistemas de gestão de segurança
da informação.
ISO 27.006: Requisitos para auditoria e certificação de um sistema de
gestão da segurança da Informação. (CAMPOS, 2007).
Segundo Ferreira e Araújo (2006) apud Matos (2010) em dezembro de 2000 a
ABNT (Associação Brasileira de Normas Técnicas) também resolveu acatar a norma
ISO como padrão brasileiro sendo publicada em 2001 como: ABNT NBR 17799 –
Código de Prática para a Gestão da Segurança da Informação. O importante é que a
partir dessa publicação passamos a ter um referencial de aceitação internacional.
No segundo semestre de 2005 foi lançada a nova versão da norma, a norma
ISO / IEC 17799:2005, que cancela e substitui a edição anterior.
A partir de 2007, a nova edição da NBR/ ISO/IEC 17799 foi incorporada ao
novo esquema de numeração como ISO/IEC 27002.
Segundo a ABNT esta edição da ABNT NBR ISO/IEC 27002 tem seu conteúdo
técnico idêntico ao da versão corrigida de 02.07.2007 da ABNT NBR ISO/IEC
17799:2005.
7.5 A NORMA NBR/ISO/17.799:2005
Dentre as normas existentes destaca se a NBR/ISO/17799, que é a versão
brasileira da BS7799 desenvolvida na Inglaterra pelo CCSC (Commercial Computer
Security Centre) e que ao longo dos anos foi sofrendo alterações até o ano 2000
quando ganhou notoriedade internacional, sendo assim homologada em 2001 pela a
ABNT, e se tornou a NBR/ISOIEC 17799.
A ISO (International Organization for Stardarditation) e a IEC (Internacional
Electritecchnical commission) formam o sistema especializado para a padronização
mundial, assim as entidades nacionais que são membros da ISO ou IEC participam
do desenvolvimento de padrões internacionais através de comitês específicos.
As normas dentro das organizações representam uma base para a afirmação
da qualidade, sendo assim organizações devidamente certificadas por estas normas,
tendem a oferecer serviços e produtos de excelência.
58
As normas caracterizam se pelo o detalhamento específico de cada aspecto
abordado.
O objetivo da NBR/ISO/IEC 17799 é fornecer recomendações para a gestão
de segurança da Informação para o uso dos envolvidos responsáveis pela a
introdução, implementação ou manutenção da segurança nas suas respectivas
organizações.
As informações e os processos, sistemas e redes que lhes dão suporte são ativos importantes para os negócios. “A confidencialidade, a integridade e a disponibilidade das informações podem ser essenciais para manter a competitividade, o fluxo de caixa, a rentabilidade, o atendimento à legislação e a imagem comercial.” (NBR/ISO/ IEC- 27002)
A NBR ISO/IEC 27002 é um conjunto de práticas para a Gestão da
Segurança de Informações está dividida em seções, a saber:
1. Política de Segurança da Informação
2. Organizando a Segurança da Informação
3. Gestão de Ativos
4. Segurança em Recursos humanos
5. Segurança Física e do Ambiente
6. Gestão das Operações e Comunicações
7. Segurança Física e Ambiental
8. Gerenciamento de Comunicação Operações
9. Controle de Acesso
10. Aquisição e Desenvolvimento e Manutenção de Sistemas de Informação
11. Gestão da Continuidade do negócio
12. Conformidade
7.6 A IMPORTÂNCIA DA NBR/ISO 27002 (17.799:2005)
As normas publicadas pela Organização Internacional de Normalização, a ISO,
tem respaldo internacional.
Apesar da NBR ISO 27.002 não ser voltada para fins de certificação é um
código de boas práticas para a segurança da informação que possuí um vasto
59
conjunto de definições importantes para a proteção de informações de
organizações independente do seu porte ou tamanho de atuação.
60
8 POLÍTICA E ORGANIZAÇÃO DE SEGURANÇA
Esse capítulo abordará os pontos de Política e organização de Segurança,
gestão de ativos e manutenção e descarte da informação de acordo com a
NBR/ISO/IEC 27.002, como proposta de boas práticas para a organização
pesquisada.
8.1 POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
A política de segurança da informação desempenha um papel importante na
organização, pois esta estabelece de forma documentada as permissões e
negações na gestão da informação.
Para Campos (2007), a Política de Segurança da Informação é um conjunto
de regras, normas e procedimentos que determina qual deve ser o comportamento
das pessoas que se relacionam com a organização no que se refere ao tratamento
da informação.
A Norma NBR ISO IEC 27.002 especifica que a Política de Segurança da
Informação deve prover uma orientação e apoio da direção para a segurança da
Informação de acordo com os requisitos do negócio e com as leis e
regulamentações relevantes.
Segundo Campos (2007) a política de segurança da informação proporciona
coerência nas decisões e menos complexidade para se chegar a conclusões sobre
assuntos diversos relacionados com a segurança da Informação. As decisões
passam a ser mais justas e mais facilmente aceitas, já que se baseiam em uma
política sólida e conhecida, e não apenas no critério pessoal daquele que decide.
A Importância de uma Política de Segurança da Informação é que esta
estabelece um padrão de comportamento que deve ser do conhecimento geral de
todos e é base para decisões da alta direção em assuntos relacionados à segurança
da Informação.
61
8.1.1 Documento da Política de Segurança da Informação.
A Norma NBR ISO IEC 27002 define que um documento da política de
segurança da informação seja aprovado pela a direção, publicado e comunicado
para todos os funcionários e parte extremas relevantes.
Para Norma NBR ISO IEC 27.002 é necessário que o documento da política
de segurança da informação declare o comprometimento da direção e estabeleça o
enfoque da Organização para gerenciar a Segurança da Informação.
Convêm que o documento da política contenha declarações relativas
a:
a) Uma definição de segurança da informação, suas metas
globais, escopo e importância da segurança da informação como um
mecanismo que habilita o compartilhamento da Informação.
b) Uma declaração do comprometimento da direção, apoiando
as metas e princípios da segurança da informação, alinhada com os
objetivos e estratégias de negócio;
c) Uma estrutura para estabelecer os objetivos de controle e os
controles, incluindo a estrutura de análise/avaliação e gerenciamento de
risco
d) Breve explanação das políticas, princípios e normas
e) Definição das responsabilidades gerais e específicas na
gestão da segurança da informação, incluindo o registro dos incidentes de
segurança da informação;
f) Referências à documentação que possam apoiar a política,
por exemplo, políticas e procedimentos de segurança mais detalhados de
sistemas de informação específicos ou regras de segurança que os
usuários devem seguir.
Convém que esta política de segurança da informação seja
comunicada através de toda a organização para os usuários de forma que
seja relevante acessível e compreensível para o leitor em foco.
(NBR ISO IEC 27.002:2005)
62
8.1.2 Análise Crítica da Política de Segurança da Informação
A norma NBR ISO IEC 27.002:2005, estabelece que convém que política de
Segurança da Informação seja analisada criticamente a intervalos planejados ou
quando mudanças significativas ocorrerem, para assegurar a sua contínua
persistência, adequação e eficácia.
Que a política de segurança da informação tenha um gestor que tenha
aprovado a responsabilidade pelo desenvolvimento, análise crítica e avaliação da
política de segurança da informação.
Convém que a análise crítica da política de segurança da informação leve em
consideração os resultados da análise crítica pela direção. Convém que sejam
definidos procedimentos para análise crítica pela direção, incluindo uma
programação ou um período para a análise crítica.
Que as entradas para a análise crítica pela direção incluam informações sobre: a) realimentação das partes interessadas; b) resultados de análises críticas independentes. c) situação de ações preventivas e corretivas. d) resultados de análises críticas anteriores feitas pela direção; e) desempenho do processo e conformidade com a política de segurança da informação; f) mudanças que possam afetar o enfoque da organização para gerenciar a segurança da informação, incluindo mudanças no ambiente organizacional, nas circunstâncias do negócio, na disponibilidade dos recursos, nas questões contratuais, regulamentares e de aspectos legais ou no ambiente técnico; g) tendências relacionadas com as ameaças e vulnerabilidades; h) relato sobre incidentes de segurança da informação i) recomendações fornecidas por autoridades relevantes Convém que as saídas da análise crítica pela direção incluam quaisquer decisões e ações relacionadas a: a) melhoria do enfoque da organização para gerenciar a segurança da informação e seus processos; b) melhoria dos controles e dos objetivos de controles; c) melhoria na alocação de recursos e/ou de responsabilidades.
(NBR ISO IEC 27.002:2005)
Convém que um registro da análise crítica pela direção seja mantido e que a
aprovação pela direção da política de segurança da informação revisada seja obtida.
63
8.1.3 Organizando a Segurança Da Informação
Segundo a Norma NBR ISO 27. 002 é necessário organizar a Infra-estrutura da
Informação, ou seja, consiste no estabelecimento de uma estrutura de
gerenciamento que tem como função controlar a implementação da segurança da
Informação dentro da organização onde a direção da organização aprove a política
de segurança, atribuindo funções da segurança e coordene e analise criticamente a
implementação da mesma, se necessário convém que uma consultoria
especializada em segurança da Informação seja estabelecida e organizada.
8.1.4 Comprometimento da direção com a Segurança da Informação
Para a norma ISO NBR 27.002 é necessário que a direção apóie ativamente o
segurança da Informação dentro da organização, por meio de um claro
direcionamento, demonstrando o seu comprometimento, definindo atribuições de
forma explicita e conhecendo as responsabilidades pela a segurança da informação.
Convém que a direção:
a) assegure que as metas de segurança da informação estão identificadas, atendem aos requisitos da organização e estão integradas nos processos relevantes; b) formule, analise criticamente e aprove a política de segurança da informação; c) analise criticamente a eficácia da implementação da política de segurança da informação; d) forneça um claro direcionamento e apoio para as iniciativas de segurança da informação; e) forneça os recursos necessários para a segurança da informação; f) aprove as atribuições de tarefas e responsabilidades específicas para a segurança da informação por toda a organização; g) inicie planos e programas para manter a conscientização da segurança da informação; h) assegure que a implementação dos controles de segurança da informação tem uma coordenação e permeia a organização.
(NBR ISO IEC 27.002:2005)
Convém que a direção identifique as necessidades para a consultoria de um
especialista interno ou externo em segurança da informação, analise criticamente e
coordene os resultados desta consultoria por toda a organização.
64
Dependendo do tamanho da organização, tais responsabilidades podem ser
conduzidas por um fórum de gestão exclusivo ou por um fórum de gestão existente,
a exemplo do conselho de diretores.
8.1.5 Atribuição de responsabilidades para a segurança da informação
A norma NBR ISO 27.002 estabelece que todas as responsabilidades pela
segurança da informação, estejam claramente definidas.
Convém que a atribuição das responsabilidades pela segurança da informação
seja feita em conformidade com a política de segurança da informação. Convém que
as responsabilidades pela proteção de cada ativo e pelo cumprimento de processos
de segurança da informação específicos sejam claramente definidas. Convém que
esta responsabilidade seja complementada, onde for necessário, com orientações
mais detalhadas para locais específicos e recursos de processamento de
informações. Convém que sejam claramente definidas as responsabilidades em
cada local para a proteção dos ativos e para realizar processos de segurança da
informação específicos, como, por exemplo, o plano de continuidade de negócios.
Pessoas com responsabilidades definidas pela segurança da informação
podem delegar as tarefas de segurança da informação para outros usuários.
Todavia eles continuam responsáveis e convém que verifiquem se as tarefas
delegadas estão sendo executadas corretamente.
Convém que as áreas pelas quais as pessoas sejam responsáveis, estejam
claramente definidas; em particular convém que os seguintes itens sejam cumpridos:
a) os ativos e os processos de segurança da informação associados com cada sistema sejam identificados e claramente definidos; b) gestor responsável por cada ativo ou processo de segurança da informação tenha atribuições definidas e os detalhes dessa responsabilidade sejam documentados. c) os níveis de autorização sejam claramente definidos e documentados. Em muitas organizações um gestor de segurança da informação pode ser indicado para assumir a responsabilidade global pelo desenvolvimento e implementação da segurança da informação e para apoiar a identificação de controles. (NBR ISO IEC 27.002:2005)
Entretanto, a responsabilidade pela obtenção dos recursos e implementação
dos controles permanece sempre com os gestores. Uma prática comum é indicar um
65
responsável por cada ativo, tornando-o assim responsável por sua proteção no dia a
dia.
Como proposta para a prevenção de ataques de Engenharia Social na
organização pesquisada Gabinetes da Câmara Municipal de Santarém, foi
destacada na NBR/ISO/27.002 apenas os pontos referente a boas práticas na
gestão de ativos no descarte e manutenção das informações.
8.2 Gestão de Ativos
Ativo de acordo com a norma NBR ISO IEC 27.002, é tudo que representa
valor para a organização, a gestão de ativos corresponde às medidas estabelecidas
pela norma na manutenção e proteção dos mesmos, as medidas que a norma
sugere estão primeiramente no levantamento e identificação desses ativos
detalhando os seus devidos proprietários identificando-os para a elaboração de um
inventário que promova a organização e manutenção desses ativos de maneira que
seja possível classificar informações e ativos conforme o nível de proteção indicado
a cada um deles, seguindo as boas práticas documentadas que definem as
permissões negações no uso dos mesmos.
8.2.1 Responsabilidade pelos ativos
A direção da Câmara Municipal de Santarém assume a responsabilidades
pelos os ativos pertencentes a ela como móveis e computadores, mas não tem
autoridade sobre os outros ativos pertencentes aos gabinetes dos parlamentares
cuja responsabilidade fica ao cuidado dos mesmos, não há um controle na atribuição
da manutenção apropriada de controles.
Para isso a norma NBR ISO 27.002, especifica que a gestão dos ativos tem
como objetivo alcançar e manter a proteção adequada dos ativos da organização, a
norma também aconselha que todos os ativos sejam inventariados e tenham um
proprietário responsável de maneira que os proprietários dos ativos sejam
identificados e a eles sejam atribuídas às responsabilidades pela a manutenção
apropriada dos controles.
66
8.2.2 Inventário dos Ativos
Quanto ao inventário dos ativos, na organização pesquisada Câmara municipal
de Santarém há uma documentação que apenas registra os ativos, mas não os
classifica de acordo com o grau de importância e nem estabelece uma política de
manutenção específica a eles, quanto aos gabinetes dos parlamentares nenhum
controle existe o que representa uma vulnerabilidade muito grande quanto a
possíveis ações de atacantes ou ate mesmo desastres físicos ou naturais.
A norma NBR ISO 27.002, aconselha que todos os ativos sejam claramente
identificados e um inventário de todos os ativos importantes seja estruturado e
mantido.
A norma também especifica as diretrizes para a implementação, e estabelece
que a organização identifique todos os ativos e documente a importância destes
ativos. Convém que o inventário do ativo inclua todas as informações necessárias
que permitam recuperar de um desastre, incluindo o tipo do ativo, formato,
localização, informações sobre cópias de segurança, informações sobre licenças e a
importância do ativo para o negócio. Convém que o inventário não duplique outros
inventários desnecessariamente, porém ele deve assegurar que o seu conteúdo está
coerente.
8.2.3 Proprietário dos Ativos
Os proprietários dos ativos designados na organização pesquisada os
gabinetes da Câmara Municipal de Santarém estão representados nos
parlamentares cujo os mesmos não tem nenhum tipo de controle ou documentação
que os oriente quanto as suas responsabilidades.
Quanto aos proprietários dos ativos a norma NBR ISO 27.002 estabelece que
convém que todas as informações e ativos associados com os recursos de
processamento da informação tenham um proprietário designado por uma parte
definida da organização.
Convém que o proprietário do ativo seja responsável por: a) assegurar que as informações e os ativos associados com os recursos de processamento da informação estejam adequadamente classificados;
67
b) definir e periodicamente analisar criticamente as classificações e restrições ao acesso, levando em conta as políticas de controle de acesso, aplicáveis. O proprietário pode ser designado para: a) um processo do negócio; b) um conjunto de atividades definidas; c) uma aplicação; ou d) um conjunto de dados definido. (NBR ISO IEC 27.002:2005)
8.2.4 Uso Aceitável dos Ativos
Quanto ao uso da informação e os ativos nelas envolvidos, a organização
pesquisada. Gabinetes da Câmara Municipal de Santarém, não possuí uma política
que oriente os funcionários e terceiros, existe apenas a confiança depositada no
bom senso dos mesmos ao estabelecer limites nos recursos de processamento da
informação.
A norma NBR ISO 27.002, especifica que sejam identificadas, documentadas e
implementadas regras para que sejam permitidos o uso de informações e de ativos
associados aos recursos de processamento da informação e que todos os
funcionários, fornecedores e terceiros sigam as regras para o uso permitido de
informações e de ativos associados aos recursos de processamento da informação,
incluindo:
a) regras para o uso da internet e do correio eletrônico
b) diretrizes para o uso de dispositivos móveis, especialmente para o uso fora
das instalações da organização.
Convém que funcionários, fornecedores e terceiros que usem ou tenham
acesso aos ativos da organização estejam conscientes dos limites que existem para
os usos das informações e ativos associados da organização aos recursos de
processamento da informação. Convém que eles sejam responsáveis pelo uso de
quaisquer recursos de processamento da informação e de quaisquer outros usos
conduzidos sob as suas responsabilidades.
68
8.2.5 Classificação das Informações
A organização pesquisada não classifica as informações de acordo com seu
grau de importância, apenas mantém informações em um ambiente fora do espaço
físico do gabinete.
Para isso, quanto à classificação das Informações a Norma NBR ISO 27.002
estabelece que a informação seja classificada para indicar a necessidade,
prioridades e o nível esperado de proteção quando do tratamento da informação.
Por isso recomenda-se que a informação seja classificada em termos do seu valor,
requisitos legais, sensibilidade e criticidade para a organização.
A norma especifica que a classificação da informação e seus respectivos
controles de proteção levem em consideração as necessidades de
compartilhamento ou restrição de informações e os respectivos impactos nos
negócios associados com tais necessidades, convém que as diretrizes para
classificação incluam convenções para classificação inicial e reclassificação ao
longo do tempo, de acordo com algumas políticas de controle de acesso
predeterminadas. Além disso, Convém que seja de responsabilidade do proprietário
do ativo definir a classificação de um ativo, analisando-o criticamente a intervalos
regulares, e assegurar que ele está atualizado e no nível apropriado.
8.2. 6 Recomendações para a Classificação
A Norma NBR/ISO 27.002 especifica que convêm que a informação seja
classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade
para a organização e que a classificação da informação e seus respectivos controles
de proteção levem em consideração as necessidades de compartilhamento ou
restrição de informações e os respectivos impactos nos negócios, associados com
tais necessidades.
Ainda de acordo com a norma NBR/ISO/IEC 27.002 convém que as diretrizes
para classificação incluam convenções para classificação inicial e reclassificação ao
longo do tempo, de acordo com algumas políticas de controle de acesso
predeterminadas e que seja de responsabilidade do proprietário do ativo definir a
classificação de um ativo, analisando-o criticamente a intervalos regulares, e
69
assegurar que ele está atualizado e no nível apropriado e que a classificação leve
em consideração a agregação do efeito e que cuidados sejam tomados com a
quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso.
Esquemas excessivamente complexos podem tornar o uso incômodo e ser inviáveis
economicamente ou impraticáveis. Convém que atenção especial seja dada na
interpretação dos rótulos de classificação sobre documentos de outras
organizações, que podem ter definições diferentes para rótulos iguais ou
semelhantes aos usados.
8.2.7 Papéis e Responsabilidades
Na organização pesquisada, gabinete da Câmara Municipal de Santarém não
existe um documento que defina o papel e as responsabilidades de funcionários ou
terceiros, existe apenas o bom senso de todos os envolvidos no processo de
manipulação da informação.
A norma NBR ISO 27.002, estipula que as responsabilidades pela a segurança
da informação de funcionários, fornecedores e terceiros sejam definidos e
documentados de acordo com a política de segurança da informação da
organização.
“Convém que papéis e responsabilidades de segurança da informação sejam
definidos e claramente comunicados aos candidatos a cargos, durante o processo
de pré- contratação.” (NBR/ISO/ IEC- 27002)
A norma também define que descrições de cargos podem ser usadas para
documentar responsabilidades e papéis pela segurança da informação. Convém que
papéis e responsabilidades pela segurança da informação para pessoas que não
estão engajadas por meio do processo de contratação da organização, como, por
exemplo, através de uma organização terceirizada, sejam claramente definidos e
comunicados.
70
8.2.8 Conscientização, Educação, Treinamento em Segurança da Informação
A organização pesquisada não promove treinamentos e conscientização dos
seus funcionários, existem apenas reuniões que definem as ações do gabinete, mas
não especificam as questões da segurança da informação.
Segundo a norma ISO NBR 27.002, é necessário que todos os funcionários da
organização e, onde pertinente, fornecedores e terceiros recebam treinamento
apropriados em conscientização, e atualizações regulares nas políticas e
procedimentos organizacionais, relevantes para as suas funções.
Convém que o treinamento em conscientização comece com um processo
formal de indução concebido para introduzir as políticas e expectativas de segurança
da informação da organização, antes que seja dado o acesso às informações ou
serviços e que os treinamentos em curso incluam requisitos de segurança da
informação, responsabilidades legais e controles do negócio, bem como o
treinamento do uso correto dos recursos de processamento da informação, como,
por exemplo, procedimentos de log-on, o uso de pacotes de software e informações
sobre o processo disciplinar.
É necessário que a conscientização, educação e treinamento nas atividades de
segurança da informação sejam adequados e relevantes para os papéis,
responsabilidades e habilidades da pessoa, e que incluam informações sobre
conhecimento de ameaças, quem deve ser contatado para orientações sobre
segurança da informação e os canais adequados para relatar os incidentes de
segurança da informação.
O treinamento para aumentar a conscientização visa permitir que as pessoas
reconheçam os problemas e incidentes de segurança da informação, e respondam
de acordo com as necessidades do seu trabalho.
8.2.9 Processo Disciplinar
Não há processo disciplinar quanto aos funcionários que tenham de alguma
forma prejudicado a organização no que se diz respeito a vazamento de
informações, existe apenas o levantamento de testemunhas, mas não de maneira
formal ou documentada, a demissão é feita de maneira discreta.
71
A norma NBR ISO IEC 27.002 especifica que convém que exista um processo
disciplinar formal para os funcionários que tenham cometido uma violação da
segurança da informação.
Ainda de acordo com a norma NBR ISSO IEC 27.002, convém que o processo
disciplinar não inicie sem uma verificação prévia de que a violação da segurança da
informação realmente ocorreu e que este processo disciplinar formal assegure um
tratamento justo e correto aos funcionários que são suspeitos de cometer violações
de segurança da informação.
O processo disciplinar formal deve dar uma resposta de forma gradual, que
leve em consideração fatores como a natureza e a gravidade da violação e o seu
impacto no negócio, se este é ou não o primeiro delito, se o infrator foi ou não
adequadamente treinado, as legislações relevantes, os contratos do negócio e
outros fatores conforme requerido. Em casos sérios de má conduta, convém que o
processo permita, por um certo período, a remoção das responsabilidades, dos
direitos de acesso e privilégios e, dependendo da situação, solicitar à pessoa, a
saída imediata das dependências da organização, escoltando-a.
“Convém que o processo disciplinar também seja usado como uma forma de dissuasão, para evitar que os funcionários, fornecedores e terceiros violem os procedimentos e as políticas de segurança da informação da organização, e quaisquer outras violações na segurança..” (NBR/ISO/ IEC- 27002).
8.2.10 Encerramento ou mudança de Contratação.
Quanto ao encerramento das atividades ou mudança de contratação dos
funcionários se dá de maneira discreta, mas não existe uma política quanto a isso,
dependendo do cargo ou grau de importância do funcionário em questão, as
medidas tomadas em relação a sua saída podem mudar.
Em relação às questões de mudança e contratação a norma ISO 27.002,
especifica que é necessário que os funcionários e terceiros deixem a organização de
forma ordenada.
A norma ISO 27.002 especifica que convém que responsabilidades sejam
definidas para assegurar que a saída de funcionários, fornecedores e terceiros da
organização seja feita de modo controlado e que a devolução de todos os
equipamentos e a retirada de todos os direitos de acesso estão concluídas.
72
8.2.11 Devolução dos ativos
Quanto à devolução de ativos a organização pesquisada a saber Gabinete da
câmara Municipal de Santarém obriga funcionários a devolverem, chaves,
computadores ou qualquer outro bem da organização, mas essa devolução não
acontece de forma organizada, pois não existe uma política de segurança
estabelecida para isso.
Em relação à devolução dos ativos, a norma NBR ISO 27.002, especifica que
todos os funcionários, fornecedores e terceiros devolvam todos os ativos da
organização que estejam em sua posse, após o encerramento de suas atividades,
do contrato ou acordo.
A norma especifica que convém que o processo de encerramento de atividades
seja formalizado para contemplar a devolução de todos os equipamentos,
documentos corporativos e software entregues à pessoa. Outros ativos da
organização, tais como dispositivos de computação móvel, cartões de créditos,
cartões de acesso, software, manuais e informações armazenadas em mídia
eletrônica, também precisam ser devolvidos.
8.2.12 Retirada de Direitos de Acesso
A norma NBR ISO 27.002, especifica que os direitos de acesso de todos os
funcionários e terceiros ás informações e aos recursos de processamento da
informação sejam retirados após o encerramento de suas atividades, contratos ou
acordos, ou ajustados após as mudanças.
8.3 Manutenção e Descarte da Informação
Especificações da Norma NBR ISO IEC 27002 a respeito da manutenção e
descarte da Informação.
73
8.3.1 Manuseio de Mídias
As mídias utilizadas durante o processo de manutenção da informação na
organização pesquisada são armazenadas no próprio gabinete e abrigam
informações referentes a documentos, projetos e registro financeiro.
A NBR/ISO 27.002 especifica que os procedimentos operacionais apropriados
sejam estabelecidos para proteger documentos, mídias magnéticas de
computadores (fitas, discos), dados de entrada e saída e documentação dos
sistemas contra divulgação não autorizada, modificação, remoção e destruição.
Convém que existam procedimentos implementados para o gerenciamento de mídias removíveis e que as seguintes diretrizes para o gerenciamento de mídias removíveis sejam consideradas: a) quando não for mais necessário, o conteúdo de qualquer meio magnético reutilizável seja destruído, caso venha a ser retirado da organização; b) quando necessário e prático, seja requerida a autorização para remoção de qualquer mídia da organização e mantido o registro dessa remoção como trilha de auditoria; c) toda mídia seja guardada de forma segura em um ambiente protegido, de acordo com as especificações do fabricante; d) informações armazenadas em mídias que precisam estar disponíveis por muito tempo (em conformidade com as especificações dos fabricantes) sejam também armazenadas em outro local para evitar perda de informações devido à deterioração das mídias; e) as mídias removíveis sejam registradas para limitar a oportunidade de perda de dados; f) as unidades de mídias removíveis estejam habilitadas somente se houver uma necessidade do negócio. Convém que todos os procedimentos e os níveis de autorização sejam explicitamente documentados. O objetivo dessa boa prática de segurança é prevenir contra divulgação não autorizada, modificação, remoção ou destruição aos ativos, e interrupções das atividades do negócio. Para isso, convém que as mídias sejam controladas e fisicamente protegidas. (NBR/ISO 27.002:2005)
8.3.2 Descarte de Mídias
O descarte de mídias na organização pesquisada se dá no lixeiro da própria
organização, não existe uma política de descarte.
Quanto a isso, a norma NBR ISO 27.002, especifica que quanto ao descarte de
mídias deve ser descartadas de forma segura e protegida quando não forem mais
necessárias, por meios de procedimentos formais, a saber:
Quando não for mais necessário, o conteúdo de qualquer magnético reutilizável
seja destruído, caso venha ser retirado da organização;
74
Quando necessário e pratico, seja requerida a autorização para a remoção de
qualquer mídia da organização e mantido registro dessa remoção.
c) pode ser mais fácil implementar a coleta e descarte seguro de todas as mídias a serem inutilizadas do que tentar separar apenas aquelas contendo informações sensíveis; d) muitas organizações oferecem serviços de coleta e descarte de papel, de equipamentos e de mídias magnéticas; convém que se tenha o cuidado na seleção de um fornecedor com experiência e controles adequados; e) descarte de itens sensíveis seja registrado em controles sempre que possível para se manter uma trilha de auditoria. (NBR ISO IEC 27.002:2005)
Quando da acumulação de mídias para descarte, convém que se leve em
consideração o efeito proveniente do acúmulo, o que pode fazer com que uma
grande quantidade de informação não sensível torne-se sensível.
8.3.3 Procedimentos para o Tratamento da Informação
A Organização gabinetes da Câmara Municipal, quanto ao tratamento da
informação não define uma política; de acordo com as entrevistas feitas junto com
os funcionários os mesmos disseram que não existe uma organização definida
quanto à manutenção das informações e que fica a critério de cada funcionário do
gabinete a responsabilidade pelos os mesmos.
A NBR ISO IEC 27.799 estabelece que sejam estabelecidos procedimentos
para o tratamento e armazenamento das informações, para proteger tais
informações contra a divulgação não autorizada ou uso indevido.
Ainda de acordo com a norma, convêm que procedimentos sejam
estabelecidos para o tratamento, processamento, armazenamento e transmissão da
informação, de acordo com a sua classificação e que os seguintes itens sejam
considerados:
a) tratamento e identificação de todos os meios magnéticos indicando o nível de classificação; b) restrições de acesso para prevenir o acesso de pessoas não autorizadas; c) manutenção de um registro formal dos destinatários de dados autorizados; d) garantia de que a entrada de dados seja completa, de que o processamento esteja devidamente concluído e de que a validação das saídas seja aplicada; e) proteção dos dados preparados para expedição ou impressão de forma consistente com a sua criticidade; f) armazenamento das mídias em conformidade com as especificações dos fabricantes;
75
g) manutenção da distribuição de dados no menor nível possível; h) identificação eficaz de todas as cópias das mídias, para chamar a atenção dos destinatários autorizados; i) análise crítica das listas de distribuição e das listas de destinatários autorizados em intervalos regulares. (NBR ISO IEC 27.002:2005)
8.3. 4 Troca de Informações
Não existe uma política quanto à troca de informações na organização
pesquisada, constatou-se que muitas informações consideradas sigilosas eram
trocadas verbalmente nos corredores entre parlamentares e assessores e entre
funcionários dos gabinetes e parlamentares, além disso constatou-se que muitas
formações importantes eram trocadas ao telefone.
Quanto à troca de informações a NBR ISO IEC 27.002 aconselha que os
procedimentos e controle estabelecidos para a troca de informações em recursos
eletrônicos de comunicação considerem os tópicos a seguir:
a) procedimentos formulados para proteger a informação em trânsito contra interceptação, cópia, modificação, desvio e destruição; b) procedimentos para detecção e proteção contra código malicioso que pode ser transmitido através do uso de recursos eletrônicos de comunicação. c) procedimentos para proteção de informações eletrônicas sensíveis que sejam transmitidas na forma de anexos; d) política ou diretrizes que especifiquem o uso aceitável dos recursos eletrônicos de comunicação e) procedimentos para o uso de comunicação sem fio (wireless), levando em conta os riscos particulares envolvidos; f) as responsabilidades de funcionários, fornecedores e quaisquer outros usuários não devem comprometer a organização através de, por exemplo, difamação, assédio, falsa identidade, retransmissão de "correntes", compras não autorizadas etc.; g) uso de técnicas de criptografia para, por exemplo, proteger a confidencialidade, a integridade e a autenticidade das informações; h) diretrizes de retenção e descarte para toda a correspondência de negócios, incluindo mensagens, de acordo com regulamentações e legislação locais e nacionais relevantes; i) não deixar informações críticas ou sensíveis em equipamentos de impressão, tais como copiadoras, impressoras e aparelhos de fax, de tal forma que pessoas não autorizadas tenham acesso a elas; j) controles e restrições associados à retransmissão em recursos de comunicação como, por exemplo, a retransmissão automática de correios eletrônicos para endereços externos; k) lembrar às pessoas que elas devem tomar precauções adequadas como, por exemplo, não revelar informações sensíveis, para evitar que sejam escutadas ou interceptadas durante uma ligação telefônica por:
(NBR ISO IEC 27.002:2005)
76
1) pessoas em sua vizinhança, especialmente quando estiver usando telefone celular; 2) grampo telefônico e outras formas de escuta clandestina através do acesso físico ao aparelho telefônico ou à linha, ou, ainda, pelo uso de rastreadores; 3) pessoas ao lado do interlocutor; l) não deixar mensagens contendo informações sensíveis em secretárias eletrônicas, uma vez que as mensagens podem ser reproduzidas por pessoas não autorizadas, gravadas em sistemas públicos ou gravadas indevidamente por erro de discagem; m) lembrar as pessoas sobre os problemas do uso de aparelhos de fax, tais como: 1) acesso não autorizado a dispositivos para recuperação de mensagens; 2) programação de aparelhos, deliberada ou acidental, para enviar mensagens para números específicos determinados; 3) envio de documentos e mensagens para número errado, seja por falha na discagem ou uso de número armazenado errado; n) lembrar as pessoas para que evitem o armazenamento de dados pessoais, como endereços de correios eletrônicos ou informações adicionais particulares, em qualquer software, impedindo que sejam capturados para uso não autorizado; o) lembrar as pessoas sobre a existência de aparelhos de fax e copiadoras que têm dispositivos de armazenamento temporário de páginas para o caso de falha no papel ou na transmissão, as quais serão impressas após a correção da falha. (NBR ISO IEC 27.002:2005)
A norma NBR ISO 27.002 aconselha que adicionalmente, convém que as
pessoas sejam lembradas de que não devem manter conversas confidenciais em
locais públicos, escritórios abertos ou locais de reunião que não disponham de
paredes à prova de som e que os recursos utilizados para a troca de informações
estejam de acordo com os requisitos legais pertinentes.
A troca de informações pode ocorrer através do uso de vários tipos diferentes
de recursos de comunicação, incluindo correios eletrônicos, voz, fax e vídeo.
A troca de softwares pode ocorrer de diferentes formas, incluindo a baixa
(download) da internet ou a aquisição junto a fornecedores que vendem produtos em
série.
De acordo com a norma NBR ISSO IEC 27.002, convém que sejam
consideradas as possíveis implicações nos negócios, nos aspectos legais e na
segurança, relacionadas com a troca eletrônica de dados, com o comércio
eletrônico, comunicação eletrônica e com os requisitos para controles.
As informações podem ser comprometidas devido à falta de conscientização,
de políticas ou de procedimentos no uso de recursos de troca de informações, como,
por exemplo, a escuta de conversas ao telefone celular em locais públicos, erro de
endereçamento de mensagens de correio eletrônico, escuta não autorizada de
77
mensagens gravadas em secretárias eletrônicas, acesso não autorizado a sistemas
de correio de voz ou o envio acidental de faxes para aparelhos errados.
8.3.5 Mídias em Trânsito
Na Organização pesquisada constatou-se que muitos funcionários mantém
documentos importantes em seus pendrives pessoais, dessa forma as informações
saem do ambiente físico do gabinete e sofrem risco de serem manipuladas ou
acessadas sem a devida autorização.
Quanto a isso a ISO NBR 27.002, quanto às mídias em trânsito estabelece
que mídias contendo informações sejam protegidas contra acesso não autorizado,
uso impróprio ou alteração indevida durante o transporte externo aos limites físicos
da organização.
Convém que as seguintes recomendações sejam consideradas, para proteger as mídias que são transportadas entre localidades: a) meio de transporte ou o serviço de mensageiros sejam confiáveis; b) seja definida uma relação de portadores autorizados em concordância com o gestor; c) sejam estabelecidos procedimentos para a verificação da identificação dos transportadores; d) a embalagem seja suficiente para proteger o conteúdo contra qualquer dano físico, como os que podem ocorrer durante o transporte, e que seja feita de acordo com as especificações dos fabricantes (como no caso de
softwares), por exemplo, protegendo contra fatores ambientais que possam reduzir a possibilidade de restauração dos dados como a exposição ao calor, umidade ou campos eletromagnéticos; e) sejam adotados controles, onde necessário, para proteger informações sensíveis contra divulgação não autorizada ou modificação; como exemplo, pode-se incluir o seguinte: 1) utilização de recipientes lacrados; 2) entrega em mãos; 3) lacre explícito de pacotes (que revele qualquer tentativa de acesso); 4) em casos excepcionais, divisão do conteúdo em mais de uma remessa e expedição por rotas distintas. (NBR ISO IEC 27.002:2005)
As informações podem estar vulneráveis a acesso não autorizado, uso
impróprio ou alteração indevida durante o transporte físico, por exemplo, quando a
mídia é enviada por via postal ou sistema de mensageiros.
78
8.3.6 Mensagens Eletrônicas
Na organização pesquisada, muitas informações são trocadas via mensagens
instantâneas, a maioria delas a respeito de solicitações ou interesses políticos,
informações que se refiram a interesses políticos podem se tornar sigilosas.
A NBR ISO IEC 27.002, quanto a mensagens eletrônicas estabelece que convém que as informações que trafegam em mensagens eletrônicas sejam adequadamente protegidas. Convém que as considerações de segurança da informação sobre as mensagens eletrônicas incluam o seguinte: a) proteção das mensagens contra acesso não autorizado, modificação ou negação de serviço; b) assegurar que o endereçamento e o transporte da mensagem estejam corretos; c) confiabilidade e disponibilidade geral do serviço; d) aspectos legais, como, por exemplo, requisitos de assinaturas eletrônicas; e) aprovação prévia para o uso de serviços públicos externos, tais como sistemas de mensagens instantâneas e compartilhamento de arquivos; f) níveis mais altos de autenticação para controlar o acesso a partir de redes públicas. (NBR ISO IEC 27.002:2005)
Mensagens eletrônicas como correio eletrônico, Eletronic Data Interchange (EDI)
e sistemas de mensagens instantâneas cumprem um papel cada vez mais
importante nas comunicações do negócio. A mensagem eletrônica tem riscos
diferentes, se comparada com a comunicação em documentos impressos.
8.3.7 Controle de acesso ao sistema operacional
Os gabinetes da Câmara Municipal de acordo com as informações colhidas nos
questionários e entrevistas, a única medida de segurança adotada por uma parcela
pequena de funcionários é a utilização de senhas no acesso ao Sistema Operacional.
Quanto aos controles ao acesso ao Sistema Operacional, a NBR ISO 27.002
estabelece:
Prevenir acesso não autorizado aos sistemas operacionais.
79
Convém que recursos de segurança da informação sejam usados para
restringir o acesso aos sistemas operacionais para usuários autorizados. Convém
que estes recursos permitam:
a) autenticação de usuários autorizados, conforme a política de controle de acesso definida; b) registro das tentativas de autenticação no sistema com sucesso ou falha; c) registro do uso de privilégios especiais do sistema; d) disparo de alarmes quando as políticas de segurança do sistema são violadas; e) fornecer meios apropriados de autenticação; f) restrição do tempo de conexão dos usuários, quando apropriado.(NBR ISO IEC 27002)
8.3.8 Procedimentos seguros de entrada no sistema (log-on)
Não existem controles de acesso quanto ao Sistema Operacional por meio de
senhas, as máquinas pertencentes à organização ficam desprotegidas.
Para isso, a NBR ISO 27.002 diz que convém que o acesso aos sistemas
operacionais seja controlado por um procedimento seguro de entrada no sistema
(log-on).
Segundo a norma NBR ISSO IEC 27002, convém que o procedimento para
entrada no sistema operacional seja configurado para minimizar a oportunidade de
acessos não autorizados e que o procedimento de entrada (log-on) divulgue o
mínimo de informações sobre o sistema, de forma a evitar o fornecimento de
informações desnecessárias a um usuário não autorizado.
Convém que um bom procedimento de entrada no sistema (log-on): a) não mostre identificadores de sistema ou de aplicação até que o processo tenha sido concluído com sucesso; b) mostre um aviso geral informando que o computador seja acessado somente por usuários autorizados; c) não forneça mensagens de ajuda durante o procedimento de entrada (log-on) que poderiam auxiliar um usuário não autorizado; d) valide informações de entrada no sistema somente quando todos os dados de entrada estiverem completos. Caso ocorra uma condição de erro, convém que o sistema não indique qual parte do dado de entrada está correta ou incorreta; e) limite o número permitido de tentativas de entradas no sistema (log-on) sem sucesso, por exemplo, três tentativas, e considere: 1) registro das tentativas com sucesso ou com falha; 2) imposição do tempo de espera antes de permitir novas tentativas de entrada no sistema (log-on) ou rejeição de qualquer tentativa posterior de acesso sem autorização específica; 3) encerramento das conexões por data link; 4) envio de uma mensagem de alerta para o console do sistema, se o número máximo de tentativas de entrada no sistema (log-on) for alcançado;
80
5) configuração do número de reutilização de senhas alinhado com o tamanho mínimo da senha e o valor do sistema que está sendo protegido; f) limite o tempo máximo e mínimo permitido para o procedimento de entrada no sistema (log-on). Se excedido, convém que o sistema encerre o procedimento; g) mostre as seguintes informações, quando o procedimento de entrada no sistema (log-on) finalizar com sucesso: 1) data e hora da última entrada no sistema (log-on) com sucesso; 2) detalhes de qualquer tentativa sem sucesso de entrada no sistema (log-on) desde o último acesso com sucesso; h) não mostre a senha que está sendo informada ou considere ocultar os caracteres da senha por símbolos; i) não transmita senhas em texto claro pela rede. (NBR ISO IEC 27002)
8.3.9 Identificação e autenticação de usuário
Quanto à identificação dos funcionários e parlamentares, não existe nenhuma
medida de segurança, quanto à criação de cartões de identificação etc.
Para isso a NBR ISO 27.002 especifica que convém que todos os usuários
tenham um identificador único (ID de usuário) para uso pessoal e exclusivo, e
convém que uma técnica adequada de autenticação seja escolhida para validar a
identidade alegada por um usuário.
Ainda de acordo com a NBR ISO IEC 27002 convém que este controle seja
aplicado para todos os tipos de usuários (incluindo o pessoal de suporte técnico,
operadores, administradores de rede, programadores de sistema e administradores
de banco dedados) e que os identificadores de usuários (ID de usuários) possam ser
utilizados para rastrear atividades ao indivíduo responsável e que que atividades
regulares de usuários não sejam executadas através de contas privilegiadas.
A norma NBR ISO IEC 27002 também especifíca que em circunstâncias
excepcionais, onde exista um claro benefício ao negócio, pode ocorrer à utilização
de um identificador de usuário (ID de usuário) compartilhado por um grupo de
usuários ou para um trabalho específico. Convém que a aprovação pelo gestor
esteja documentada nestes casos. Controles adicionais podem ser necessários para
manter as responsabilidades.
É necessário que identificadores de usuários (ID de usuários) genéricos para
uso de um indivíduo somente sejam permitidos onde as funções acessíveis ou as
ações executadas pelo usuário não precisam ser rastreadas (por exemplo, acesso
somente leitura), ou quando existem outros controles implementados (por exemplo,
81
senha para identificador de usuário genérico somente fornecida para um indivíduo
por vez e registrada).
Convém que onde autenticação forte e verificação de identidade é requerida,
métodos alternativos de autenticação de senhas, como meios criptográficos, cartões
inteligentes (smart card), tokens 11e meios biométricos sejam utilizados.
As senhas são uma maneira muito comum de se prover identificação e
autenticação com base em um segredo que apenas o usuário conhece. O mesmo
pode ser obtido com meios criptográficos e protocolos de autenticação. Convém que
a força da identificação e autenticação de usuário seja adequada com a
sensibilidade da informação a ser acessada.
Objetos como tokens de memória ou cartões inteligentes (smart card) que os
usuários possuem também podem ser usados para identificação e autenticação. As
tecnologias de autenticação biométrica que usam características ou atributos únicos
de um indivíduo também podem ser usadas para autenticar a identidade de uma
pessoa. Uma combinação de tecnologias e mecanismos seguramente relacionados
resultará em uma autenticação forte.
11 Tokens: São dispositivos físicos que auxiliam o usuário quanto à segurança pessoal ao gerar uma senha
temporária de proteção para as contas que ele utiliza.
82
9 CONCLUSÃO
Os aspectos da geração do conhecimento a partir da informação são muito
importantes para as organizações, sendo que a informação representa um valor, por
sua vez os meios e dispositivos que interagem com a informação também são
considerados bens da organização, por isso a preocupação em protegê-los; diante
dessa necessidade é que surgem as políticas de governança que promovem boas
práticas que apóiam as organizações na segurança da informação, muitos são os
modelos que podem ser implementados que promovem boas práticas durante o ciclo
de vida da informação, dentre eles destaca-se neste presente trabalho, a norma
NBR/ISO/IEC/27002, a qual foi usada na elaboração de possíveis soluções as
vulnerabilidades encontradas na gestão de ativos e na manutenção e descarte da
informação da organização pesquisada, Gabinetes da Câmara Municipal de
Santarém.
É importante ressaltar que para se ter o sucesso desejado a respeito da
segurança é necessário o comprometimento da direção e funcionários ao fazer valer
as práticas sugeridas neste documento, o objetivo desta é fazer com que as
hipóteses aqui levantadas sirvam de alerta aos cuidados que a organização deve ter
com a informação que são o foco principal de ações de atacantes, principalmente os
que fazem uso de engenharia social.
As dificuldades encontradas na elaboração deste documento foram referentes
à aplicação dos questionários na busca de respostas sinceras dos entrevistados, por
isso a além das informações coletadas, foram feitas observações junto a direção da
organização e funcionários a fim de que se tivesse dados mais próximos da
realidade pesquisada.
Durante o processo de levantamento de informações na organização
pesquisada constatou-se que as responsabilidades quanto à segurança da
informação não são definidas e as medidas em relação à mesma não seguem a
nenhuma política ou documentação o que deixa a organização vulnerável a
eventuais ataques.
83
Assim, fica concluído que a pesquisa feita na organização e a análise junto à
norma NBR/ISO/IEC 27.002:2005 serve como sugestão ao melhoramento de
medidas de segurança nos gabinetes da câmara municipal de Santarém no que diz
respeito à gestão de ativos e controles na manutenção e descarte da informação.
84
REFERÊNCIAS
ASSUNÇÃO, Flávio. Segredos do Hacker Ético. 3ª edição. Florianópolis: Visual Books, 2010.
CAMPOS, André. Sistema de Segurança da Informação. 2ª edição. Florianópolis: Visual Books, 2007.
CARVALHO, Luciano. Segurança de Redes. Rio de Janeiro: Ciência Moderna, 2005. 5p.
CERT-BR. COMITÊ GESTOR DA INTERNET NO BRASIL. Cartilha de Segurança para Internet, 2006.
COBIT Framework for IT Governance and Contro l. Disponível em: < http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx>. Acesso em: 12 Jun. 2011.
COMMER, Douglas E. Interligação em redes com TC/IP: Princípios, protocolos e arquitetura. Tradução : ARX Publicações. Rio Janeiro: Campus, 1998.
FERNANDES, Aguinaldo Aragon. Implantando a Governança de TI: da estratégia a gestão dos processos e serviços. 3ª ed.Rio de Janeiro: Brasport, 2008.
FONSECA, Wildes. Histórico da Câmara Municipal de Santarém. Disponível em: <http://www.camaradesantarem.pa.gov.br/santarem/conhecacamara.php>. Acesso em: 20 Nov. 2011.
MATOS, Marcelo. Proposta de um Checklist. Disponível em: <http://www.flf.edu.br/revista-flf/monografias-mputacao/monografia_marcelo_matos.pdf.> Acesso em: 21 de Novembro de 2011.
MITNICK, Kevin D.; SIMON, William L.A. A arte de Enganar: Controlando o fator humano na segurança da informação.Tradução: Kátia Aparecida Roque. São Paulo: Pearson Education, 2003.
MITNICK, Kevin. Hacker Regenerado. Época, São Paulo, n 278, 15 set. 2003. Entrevista concedida a Luciana Vicária. Disponível em: < http://revistaepoca.globo.com/Epoca/0,6993,EPT600936-1666,00.html> Acesso em: 21 mar. 2011.
MOTA, Gustavo. Introdução a Segurança Computacional. Disponível em:< htpp://www.slidefinder.net/i/introducao_20a_20seguranca.../p2>. Acesso em: 23 Set. 2011.
85
NBR/ ISO 27002:2005. Tecnologia da Informação: Código de práticas para a gestão da segurança da informação. Associação Brasileira de Normas Técnicas ABNT, 2002.
Oficina da Net. Disponível em: <http://www.oficinadanet.com.br/ >. Acesso em: 14 ago. 2011.
PEIXOTO, Mário César Pintaudi. Engenharia Social & Segurança da Informação na Gestão Corporativa. 1ª ed. Rio de Janeiro: Brasport, 2006.
SÊMOLA, Marcos. Gestão da segurança da informação: Uma visão executiva. Rio de Janeiro: Elsevier, 2003.
SCHNEIER, Bruno. Segurança.com. 1ª ed. Rio de Janeiro: Campus, 2001.
86
APÊNDICES
87
APÊNDICE A – QUESTIONÁRIO APLICADO AOS FUNCIONÁRIOS DOS
GABINETES.
Dados do Funcionário:
Qual é a sua função na Organização?_____________________________________
Quanto tempo trabalha na Organização?___________________________________
Possuí outro emprego? Onde? Qual?______________________________________
Descrição do Trabalho
Na sua função você utiliza computador?
[ ] Sim [ ] Não
Software Específico
Utiliza outro software além do pacote do Office?
[ ] Sim [ ]Não
Senhas
Existe senha para fazer uso desse software?
Todos fazem uso da mesma senha?
[ ] Sim [ ]Não
Quanto à utilização de senha para acesso ao computador do trabalho.
[ ] Sim [ ]Não
Internet
Quanto à utilização da internet para uso pessoal no ambiente de trabalho.
[ ] Sim [ ]Não
Informações fornecidas em Redes Sociais: Sobre situações cotidianas corriqueiras
da organização.
Comenta com amigos nas redes sociais?
[ ] Sim [ ]Não
88
Manutenção da Informação Digital.
Os arquivos de computador são armazenados como? Em pastas criadas no próprio
sistema operacional ou gravadas em mídias removíveis?
[ ] Pastas arquivo [ ] mídias removíveis ( CDs, pendrives, DVDs)
Quanto ao descarte de mídias usadas.
[ ] Lixo da Organização
[ ] Destruídos de maneira não reutilizável.
Manutenção da Informação em Papel (documentos)
[ ] Pastas arquivos
[ ] Outro.
Se outro, descreva:
Quanto ao descarte das informações em papel.
[ ] Lixo da Organização
[ ] Destruídos de maneira não reutilizável.
Medidas de Segurança
Existe controle do fluxo das pessoas que entram e saem do gabinete?
[ ] Sim [ ]Não
A organização possuí alguma política de segurança?
[ ] Sim [ ]Não
A organização orienta formalmente os funcionários na divulgação de informações
sigilosas? Existe treinamento?
[ ] Sim [ ]Não
Ao receber um e-mail que solicita informações a respeito de sua conta bancária.
[ ] Você abre o e-mail e checa para ver se é verdadeiro.
[ ] Nem abre o e-mail apenas deleta ou sinaliza como spam.
Se o e-mail vier com um arquivo em anexo:
[ ] Faz o download porque confia que o antivírus detectará se o arquivo for
malicioso.
[ ] Nunca faz download de anexo.
Mensagens Instantâneas
Ao ser solicitado sobre alguma informação referente ao trabalho na organização em
serviços de mensagem instantânea.
89
[ ] Fornece, desde que não sejam informações sigilosas.
[ ]Não fornece nenhum tipo de informação em serviços de mensagem instantânea.
Pessoalmente
Se alguém pessoalmente aborda e solicita informações em relação à organização:
[ ]Forneceria informações inclusive sigilosas se quem solicita tem alguma autoridade
na organização.
[ ]Forneceria qualquer informação a qualquer solicitante desde que não fosse de
caráter sigiloso.
[ ]Não forneceria nenhum tipo de informação.
Telefonemas
Ao atender um telefonema onde alguém solicita uma informação que pode ser de
caráter sigiloso ou não.
Você fornece a informação por telefone?
[ ] Sim [ ]Não
90
91
92