CENTRO UNIVERSITÁRIO LUTERANO DE SANTARÉM CURSO DE SISTEMAS DE INFORMAÇÃO

DALIANE CASTRO DA SILVA

ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM A NORMA NBR ISO

IEC 27002

SANTARÉM 2011

1

DALIANE CASTRO DA SILVA

ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM A NORMA NBR ISO

IEC 27002

Trabalho de Conclusão de Curso apresentado para obtenção do Grau de Bacharel em Sistemas de Informação pelo Centro Universitário Luterano de Santarém. Orientador: Profº. Murilo Braga de Nóvoa

SANTARÉM 2011

2

DALIANE CASTRO DA SILVA

ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA

INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM NORMA NBR ISO IEC 27.002

Trabalho de Conclusão de Curso apresentado para obtenção do Grau de Bacharel em Sistemas de Informação pelo Centro Universitário Luterano de Santarém.

Data de Apresentação: _____/_____/_____.

_________________________________ ____________ NOME Conceito

Titulação – Instituição

_________________________________ ____________ NOME Conceito

Titulação - Instituição

________________________________ ____________ NOME Conceito

Titulação – Instituição

3

A todos que tem a humildade de compartilhar o conhecimento.

4

AGRADECIMENTOS

Á Deus, pela a sua fidelidade e cuidado comigo, a minha família, pai Carlos

Alberto da Silva e mãe Maria Vaneide e a irmã Lidiane Castro e ao presente mais

que especial que a nossa família poderia ganhar o meu irmão Paulo Gabriel pelo os

momentos divertidos da minha vida.

Aos mestres com carinho, pela a paciência por não perderem a fé no ensino.

Aos meus amigos mais que simplesmente colegas de aula responsáveis pela a

diversão e incentivo em destaque a Ana Luiza Silva.

Amigo se faz em tempos de paz, mas é na angústia que se prova o seu valor,

dentre os amigos que a cada dia provam seu valor o lugar de destaque a Lidianne

Lima.

5

“Se o conhecimento for útil a apenas a uma pessoa, então o ensino não cumpriu o seu objetivo” (Daliane Castro).

6

RESUMO

A informação é composta de dados e componentes do conhecimento. Dentro das organizações as informações permeiam sobre as pessoas, sistemas, em meios eletrônicos ou papel e adquirem uma importância grande se lhes é atribuído um valor. O ativo é o conjunto de bens e direitos à disposição de uma entidade, ou seja, expressa os direitos, posses e patrimônio de uma pessoa, ou organização. A informação é um ativo que como qualquer outro, é importante para os negócios, e tem valor para a organização. A segurança da Informação está atrelada a proteção existente ao ativo, os aspectos que caracterizam a segurança em sistemas estão na confidencialidade, integridade e disponibilidade desta Informação. As vulnerabilidades são brechas, portas abertas que servem como meio de acesso ao atacante que é o responsável por executar os meios de ataque (são ações que colocam em ameaça ou em risco os princípios encontrados na segurança computacional); dentre as ameaças existentes a engenharia social é uma das mais usadas pelos os atacantes na tentativa ou ação de obter uma informação de caráter sigiloso, esta se caracteriza por não ser computacional e explorar vulnerabilidades encontradas no ativo humano. A governança de TI promove o bom governo das organizações e é indicada para auxiliar as organizações nas tomadas de decisão, esta por sua vez possuí modelos como ITIL e Cobit e Normas como a NBR/ISO/IEC 27.002 que são metodologias. O COBIT está para auditoria de processos e controles assim como a ITIL está para o gerenciamento de serviços de TI enquanto a NBR/ISO/IEC 27.002 é um conjunto de boas práticas.

Palavras-chave: Informação, Segurança, Norma. . .

. .

7

ABSTRACT

The information consists of data and knowledge components. Inside organizations information is passed around about people, systems, electronically or on paper and information that is of great deal of importance is assigned a value. The asset is the set of goods and rights available to an entity, or express rights, property and assets of a person or organization. Information is an commodity like any other important business assets and has a value to the organization. Information security is tied to the existing protection activity that has a value, the aspects that characterize the safety systems a confidentiality, integrity and availability of this information. Vulnerabilities are open ports that serve as a means of access to the attacker that is running means of attack which are actions that pose a threat or endanger the principles found in computer security, threats. These threats that exist among the social engineering is one of most used by the attackers in an attempt or action to obtain information from a confidential nature, is characterized by computer and don’t exploit vulnerabilities found in human activity. IT governance promotes good government organizations and is indicated to help organizations in decision making, this in turn has models such as ITIL and COBIT and Standards as the NBR / ISO / IEC 27002 which are methodologies. COBIT is to audit processes and controls as well as the ITIL stands for IT service management while the NBR / ISO/ IEC 27002 is a set of best practices.

Key-words: Information, Security, Norms

8

LISTA DE ILUSTRAÇÕES

Figura 1 – Informação é base para todo o conhecimento........................................13

Figura 2 – Relação entre os Ativos da Informação..................................................15

Figura 3 – Classificação das Informações...............................................................16

Figura 4 – Ciclos de Vida da Informação................................................................17

Figura 5 – Características de Segurança da Informação.........................................19

Figura 6 – Fatores Motivadores da Governança de TI............................................34

Figura 7 – Os domínios e componentes da Governança de TI...............................35

Figura 8 – O Núcleo da ITIL....................................................................................36

Figura 9 – Domínio do Cobit.................................................................................. 37

Gráfico 1– ................................................................................................................41

Gráfico 2– ................................................................................................................42

Gráfico 3 – ...............................................................................................................42

Gráfico 4- ................................................................................................................43

Gráfico 5 -................................................................................................................43

Gráfico 6 – ................................................................................................................44

Gráfico 7 – ................................................................................................................44

Gráfico 8 – ................................................................................................................45

Gráfico 9 – ...............................................................................................................45

Gráfico 10 - ...............................................................................................................46

Gráfico 11 – ...............................................................................................................46

Gráfico 12 – ...............................................................................................................47

Gráfico 13 – ...............................................................................................................47

Gráfico 14 – ...............................................................................................................48

Gráfico 15 – ...............................................................................................................48

Gráfico 16 – ...............................................................................................................49

Gráfico 17 – ...............................................................................................................50

Gráfico 18 –...............................................................................................................50

Gráfico 19 – ...............................................................................................................51

Gráfico 20 – ...............................................................................................................42

9

SUMÁRIO

2.1 DEFINIÇÃO ......................................................................................................... 13

2.2 A IMPORTÂNCIA DA INFORMAÇÃO .................................................................. 13

2.3 OS ATIVOS DA INFORMAÇÃO ........................................................................... 14

2.4 CLASSIFICAÇÕES DA INFORMAÇÃO ............................................................... 15

2.5 O CICLO DE VIDA DA INFORMAÇÃO ................................................................ 16

3 SEGURANÇA ........................................................................................................ 19

3.1 SEGURANÇA COMPUTACIONAL ...................................................................... 19

3.2 PRINCIPIOS DA SEGURANÇA COMPUTACIONAL ........................................... 20

3.3 VULNERABILIDADES ......................................................................................... 21

3.4 AMEAÇAS ........................................................................................................... 22

3.5 ATAQUE .............................................................................................................. 23

3.6 ATACANTE ......................................................................................................... 24

4 ENGENHARIA SOCIAL ......................................................................................... 26

4.1 CONCEITO .......................................................................................................... 26

4.2 TIPOS DE ENGENHARIA SOCIAL ...................................................................... 26

4.3 OS ATIVOS PESSOAS E A ENGENHARIA SOCIAL ........................................... 27

4.4 ENGENHARIA SOCIAL: MANIPULANDO SENTIMENTOS ................................ 29

4.5 ENGENHEIROS SOCIAS E SUAS ESTRATÉGIAS DE ATAQUE ....................... 30

4.5 DISFARCES DE UM ENGENHEIRO SOCIAL ..................................................... 32

5 GOVERNANÇA DE TI ........................................................................................... 34 ESTE CAPÍTULO APRESENTA AS CARACTERÍSTICAS E OS COMPONENTES DA GOVERNANÇA DE

TI E OS SEUS RESPECTIVOS MODELOS ITIL E COBIT. ....................................................... 34

5.1 CONCEITO .......................................................................................................... 34

5.2 COMPONENTES DA GOVERNANÇA DE TI ....................................................... 35

5.3 ITIL ...................................................................................................................... 36

5.4 COBIT.................................................................................................................. 37

6 ESTUDO DE CASO ............................................................................................... 39

6.1 HISTÓRICO DA ORGANIZAÇÃO PESQUISADA: CÂMARA MUNICIPAL DE

SANTARÉM. ............................................................................................................. 39

6.2 ESTRUTURA ORGANIZACIONAL ...................................................................... 40

10

6.3 FOCO DA PESQUISA: GABINETE DOS VEREADORES ................................... 41

6.4 ANÁLISE DO PROBLEMA ................................................................................... 41

6.5 APLICAÇÃO DE QUESTIONÁRIOS .................................................................... 41

6.6 QUESTONÁRIO .................................................................................................. 42

7 NORMAS E PADRÕES DE SEGURANÇA ........................................................... 54

7.1 CONCEITO DE NORMAS E PADRÕES .............................................................. 54

7.2 A ORGANIZAÇÃO ISO ........................................................................................ 54

7.3 A ASSOCIAÇÃO ABNT ....................................................................................... 55

7.4 NORMA NBR ISO 17.799 (27.002) – UMA BREVE HISTÓRIA ............................ 55

7.5 A NORMA NBR/ISO/17.799:2005 ........................................................................ 57

7.6 A IMPORTÂNCIA DA NBR/ISO 27002 (17.799:2005).......................................... 58

8 POLÍTICA E ORGANIZAÇÃO DE SEGURANÇA ................................................. 60

8.1 POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO .............................................. 60

8.1.1 DOCUMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. .................................. 61

8.1.2 ANÁLISE CRÍTICA DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ............................. 62

8.1.3 ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO..................................................... 63

8.1.4 COMPROMETIMENTO DA DIREÇÃO COM A SEGURANÇA DA INFORMAÇÃO ................... 63

8.1.5 ATRIBUIÇÃO DE RESPONSABILIDADES PARA A SEGURANÇA DA INFORMAÇÃO ............. 64

8.2 GESTÃO DE ATIVOS ................................................................................................ 65

8.2.1 RESPONSABILIDADE PELOS ATIVOS ....................................................................... 65

8.2.2 INVENTÁRIO DOS ATIVOS ..................................................................................... 66

8.2.3 PROPRIETÁRIO DOS ATIVOS ................................................................................. 66

8.2.4 USO ACEITÁVEL DOS ATIVOS ............................................................................... 67

8.2.5 CLASSIFICAÇÃO DAS INFORMAÇÕES ...................................................................... 68

8.2. 6 RECOMENDAÇÕES PARA A CLASSIFICAÇÃO ........................................................... 68

8.2.7 PAPÉIS E RESPONSABILIDADES ............................................................................ 69

8.2.9 PROCESSO DISCIPLINAR ...................................................................................... 70

8.2.10 ENCERRAMENTO OU MUDANÇA DE CONTRATAÇÃO. .............................................. 71

8.2.11 DEVOLUÇÃO DOS ATIVOS ................................................................................... 72

8.2.12 RETIRADA DE DIREITOS DE ACESSO ................................................................... 72

8.3 MANUTENÇÃO E DESCARTE DA INFORMAÇÃO ........................................................... 72

8.3.1 MANUSEIO DE MÍDIAS .......................................................................................... 73

8.3. 4 TROCA DE INFORMAÇÕES .................................................................................... 75

8.3.5 MÍDIAS EM TRÂNSITO ........................................................................................... 77

11

8.3.6 MENSAGENS ELETRÔNICAS.................................................................................. 78

8.3.7 CONTROLE DE ACESSO AO SISTEMA OPERACIONAL ................................................. 78

8.3.8 PROCEDIMENTOS SEGUROS DE ENTRADA NO SISTEMA (LOG-ON) ............................. 79

8.3.9 IDENTIFICAÇÃO E AUTENTICAÇÃO DE USUÁRIO ....................................................... 80

9 CONCLUSÃO ........................................................................................................ 82 PESQUISADA, GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM. ........... 82 REFERÊNCIAS ......................................................................................................... 84 APÊNDICES ............................................................................................................. 86

11

1 INTRODUÇÃO

Com o crescimento das organizações a tarefa de gerenciar informações tornou-

se mais complexa e isso impulsionou o desenvolvimento de sistemas que auxiliam

no processo de organização de dados.

Para promover a segurança dessas informações, surgiu o campo de estudo

relacionado a este tema, que se preocupa em criar metodologias e ferramentas a fim

de promover a confidencialidade, disponibilidade e integridade da Informação.

Um grande investimento financeiro e tecnológico é feito pelas as organizações

para reparar as eventuais vulnerabilidades dos sistemas, porém é necessário

entender que a segurança não se limita apenas a mecanismos e políticas, esta

também engloba a participação humana como fator primordial nos processos de

gerenciamento da Informação.

As pessoas são peças importantes no gerenciamento de informações, porque

interagem com os sistemas na manipulação de informaçoes; dados estes que

dependendo da sua importância possuem valor e representam ativos para a

organização.

Este trabalho tem como objetivo mostrar primeiramente o conceito e a

importância da Informação dentro dos Sistemas Computacionais dando ênfase nos

conceitos e características de segurança, vulnerabilidade, ameaça e atacante,

explanando sobre as técnicas e conceitos da Engenharia Social apresentando as

possíveis causas, consequências, características e ações preventivas encontradas

nas boas práticas da NBR/ISO/IEC 27.002 contra esse tipo de ataque no que diz

respeito à gestão dos ativos na manutenção e descarte da informação, além disso,

será apresentado um questionário de pesquisa aplicada na organização cujo

objetivo é mostrar de maneira qualitativa e quantitativa os dados referentes à

realidade da segurança da informação na instituição pesquisada.

O presente estudo apresentará os modelos de governança de Tecnologia da

Informação (TI) ITIL e Cobit e as boas práticas da NBR/ISO/IEC 27.002 como

sugestão para auxilio na organização da informação na Instituição pesquisada.

O primeiro capítulo é a introdução do trabalho, apresentando uma breve

descrição dos assuntos a serem abordados.

12

O segundo capítulo descore sobre os conceitos relativos à importância, ciclo de

vida e classificação da informação, apresentando os ativos que esta possuí.

O terceiro capítulo trata da Segurança Computacional apresentando os

princípios e explanando os conceitos sobre vulnerabilidade, ataque e atacante.

O quarto capítulo apresenta o conceito e as características presentes em

ataques de engenharia social explanando sobre as vulnerabilidades encontradas no

ativo humano, bem como os principais meios de ataque de engenheiros sociais.

O quinto capítulo apresenta o conceito da governança de TI, apresentando os

pontos que motivam o seu uso e os componentes do domínio da mesma,

explanando sobre os modelos ITIL e Cobit.

O sétimo capítulo apresenta a organização pesquisada, seu histórico,

características e estrutura organizacional bem como a metodologia usada na

aplicação dos questionários.

O oitavo capítulo apresenta o conceito das normas e padrões de segurança

com o foco no histórico da norma NBR ISO 17.799 até se tornar a atual NBR ISO

27.002 além de destacar os pontos da NBR ISO 27.002 relativos à gestão dos

ativos, manutenção e descarte da informação como proposta a prevenção de

ataques de engenharia social na organização pesquisada.

O nono capítulo é referente às considerações finais.

13

2 OS ASPECTOS DA INFORMAÇÃO

Este capítulo abordará os conceitos relativos ao ciclo de vida e classificação da

informação discorrendo sobre a sua importância e ativos.

2.1 DEFINIÇÃO

Muitos conceitos existem para explicar o que é a Informação, mas para a

maioria dos autores a informação é composta de dados e componentes do

conhecimento.

Segundo Campos (2007) a informação é constituída de um conjunto de dados

que representam um ponto de vista diferente, trazendo um significado novo ou

evidenciando relações antes desconhecidas sobre eventos ou objetos. Por tanto, a

informação possui significado e causa impacto em grau menor ou maior, tornando-a

o elemento essencial da extração e criação do conhecimento, como observado na

figura 1.

Figura 1- Informação é base para todo o conhecimento

Fonte: CAMPOS, 2007

Diante disso, é possível concluir que o conhecimento só poderá ser formado a

partir do momento em que a informação for exposta ao indivíduo e este poderá

desenvolver o conhecimento que varia de pessoa para pessoa quanto ao grau

qualitativo e quantitativo.

2.2 A IMPORTÂNCIA DA INFORMAÇÃO

Com as evoluções econômicas e principalmente tecnológicas dos últimos anos,

a informação expande o seu vasto conceito e não se restringe apenas a ideia de

Dados Informação Conhecimento

14

processamento e manipulação de dados, mas também assume o papel de capital

precioso, capaz de determinar o sucesso ou o fracasso de uma Organização.

Segundo Campos (2007) a utilização da informação alinhada á estratégia

facilita a inovação para a diferenciação do produto, redução do custo e do risco do

negócio, além de representar benefícios á imagem da organização,

“A Informação é um elemento essencial para a geração do conhecimento, para

a tomada de decisões, e que representa efetivamente valor para o negócio, dentro

de cada um dos seus processos” (Campos, 2007).

A importância da Informação para as organizações é universalmente aceita.

Ela é um estimado bem, o qual é atribuído um valor; logo podemos dizer que a

Informação que agrega um valor é denominado um ativo.

Por possuir um valor para as organizações, a Informação deve ser protegida e

guardada, por isso um dos grandes desafios de hoje, é a busca de soluções e meios

que mantenham a segurança e proteção dos ativos referentes à ela.

2.3 OS ATIVOS DA INFORMAÇÃO

Os bens que tem seu respectivo valor e importância para o negócio de uma

organização é denominado ativo, portanto como dito anteriormente a Informação

também é considerada um ativo.

As organizações que se utilizam das tecnologias da Informação possuem

respectivamente ativos da informação que abrangem hardware, software e

dispositivos de armazenamento que fazem parte do patrimônio da Tecnologia da

Informação.

“O termo ativo possui esta denominação, oriunda da área financeira, por ser

considerado um elemento de valor para um indivíduo ou organização, e que, por

esse motivo, necessita de proteção adequada” (NBR/ISO/ IEC- 27002, 2005).

Os ativos da Informação estão divididos em usuários, processos, informação,

ambiente, equipamentos e aplicativos.

Os bens que correspondem a usuários e processos estão nas pessoas, ou

seja, nos funcionários da organização e os processos, sendo esses, as atividades

realizadas, como por exemplo, a emissão de um boleto; enquanto os bens

correspondentes a Informação estão nos dados que a organização confia ao

15

sistema, os ativos que correspondem ao ambiente estão em relação aos ambientes

físicos da organização, por exemplo, a sala do servidor; e os que correspondem a

equipamentos e aplicativos estão no hardware e no software.

É importante ressaltar que um dos ativos mais importantes são as pessoas

que, pois, as mesmas que interagem com os sistemas, como mostrado na figura 2.

Figura 2 – Relação entre os Ativos da Informação

Fonte: CAMPOS, 2007.

Dessa forma, é possível concluir que as pessoas são ativos tão importantes

quantos equipamentos e informações e consequentemente também são alvos de

ataques.

2.4 CLASSIFICAÇÕES DA INFORMAÇÃO

As classificações da informação permitem uma visão mais detalhada da

atribuição quanto a importância de cada uma delas dentro da organização.

Para Peixoto (2006), as informações podem ser públicas, internas, particulares

ou confidenciais como detalhado na figura três.

Pública: São informações deliberadamente voltadas ao público, distribuídas livremente sem restrições para as pessoas, como forma de divulgação, por exemplo, internet, livros, revistas, jornais, dentre outras formas; Interna: São as informações voltadas mais especificamente ao interesse dos próprios funcionários da empresa, e que podem ser úteis ao Engenheiro Social, para se passar por um empregado autorizado, contratado ou por algum fornecedor, ou saber melhores horários para se infiltrar na empresa; Particular: É a categoria de informações de âmbito mais pessoal que, se cair em mãos erradas prejudicará não somente a empresa, como principalmente o próprio funcionário. Tais itens de dados particulares são

16

caracterizados como informações de contas bancárias, histórico de salário, histórico médico de empregados, benefícios de saúde, ou qualquer tipo de informação pessoal que não deve ser pública; Confidencial: Tipo de Informação mais valorizada da empresa. Disponível a um número limitado de pessoas, de modo que se não tratada com devida importância, comprometerá ás vezes de forma irreversível toda a estrutura de gestão administrativa e, de diversos departamentos. Podem ser informações operacionais empresa, de estratégias de negócios, informações de marketing e financeiras, além de informações voltadas aos segredos comerciais da empresa, como códigos – fonte proprietário, especificações técnicas ou funcionais (PEIXOTO, 2006).

Figura 3 – Classificação das Informações

Fonte: PEIXOTO 2006.

Ter conhecimento da classificação das informações é importante para a criação

de estratégias da gestão de segurança que visem proteger os ativos da informação

de acordo com o seu grau de importância.

2.5 O CICLO DE VIDA DA INFORMAÇÃO

O ciclo de vida de uma informação corresponde aos processos vivenciados por

ela, a cada etapa que esta passa e consequentemente se expondo a riscos.

“O ciclo de vida é composto e identificado pelos momentos vividos pela informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que, por sua vez, mantêm a operação da empresa” (SÊMOLA, 2003)

Campos (2007) afirma que a criação ou momento de aquisição da informação

pode se dar por diversas maneiras, por exemplo, pela compra de informação de

outras organizações ou pode ser resultado do cruzamento de diversos bancos de

dados que geram um resultado de apoio a decisão. A informação pode ser o

resultado de processos eletrônicos ou manuais, como o resultado de análises

17

visuais ou fiscais de matérias primas durante o processo de recebimento de

materiais na área de estoque de uma organização, por exemplo.

Campos (2007) apresenta o ciclo de vida da informação em cinco fases que

compreendem: a criação, transporte, publicação, armazenagem e descarte como

mostra a figura quatro.

Figura 4 Ciclos de Vida da Informação

Fonte: CAMPOS, 2007.

Segundo Sêmola (2003), os ciclos de vida das informações se dividem em

quatro etapas.

Manuseio: Momento em que a informação é criada e manipulada seja ao folhear um maço de papéis, ao digitar informações recém geradas em uma aplicação a internet, ou, ainda, ao utilizar sua senha de acesso para autenticação. Armazenamento: Momento em que a informação é armazenada seja em um banco de dados compartilhado, em uma anotação de papel posteriormente postada em um arquivo ferro, ou ainda, em uma mídia de disquete depositada na gaveta da mesa do trabalho. Transporte: Momento em que a Informação é transportada, seja ao caminhar informações por correio eletrônico (e-mail), ao postar um documento via aparelho de fax, ou ainda, a falar ao telefone uma informação confidencial. Descarte: Momento em que a informação é descartada, seja ao depositar na lixeira da empresa ou organização um material impresso, seja ao eliminar um arquivo eletrônico do computador, ou ainda, ao descartar uma mídia usada (SÊMOLA, 2003).

Uma visão mais detalhada sobre o ciclo da informação permite entender que

esta pode ser em formato de texto, informação digital, mensagem, planilha, som,

18

imagem, entre outras possibilidades; por apresentar essa variedade de formas faz

se necessário o uso de boas práticas de segurança que acompanhem a informação

desde a sua criação até o descarte.

19

3 SEGURANÇA

Este capítulo abordará os conceitos referentes à segurança computacional e

seus princípios, explanando sobre a vulnerabilidade, ameaça, ataque e atacante.

3.1 SEGURANÇA COMPUTACIONAL

A utilização da tecnologia da Informação para a manipulação e armazenamento

de dados nas organizações traz vantagens e preocupações, uma delas está na

proteção dos ativos da informação.

A segurança computacional esta atrelada a proteção existentes aos dados

manipulados pela a organização.

Segurança da Informação esta relacionada com proteção do conjunto de

dados, no sentido de preservar o valor que possuem para um indivíduo ou

organização. (OFICINA DA NET, 2005).

Para Howard (1997) apud Mota (2011) a quebra da segurança pode ser

através do acesso não autorizado: Quando existe uma tentativa de acesso as

informações ou recursos sem autoridade para o mesmo, ou seja, quando o atacante

burla o sistema para obter recursos que não poderia obtê-los de outra forma; e do

uso não autorizado: Quando se há autoridade para o acesso das informações e não

para o uso das mesmas para outras finalidades que não corresponde ao interesse

da organização.

Prevenir que atacantes alcancem seus objetivos através do acesso não

autorizado ou uso não autorizado dos computadores e suas redes. (HOWARD, 1997

apud MOTA, 2011).

Toda a informação tem o seu valor, por isso é necessário que esta deva ser

correta e precisa em estar disponível, a fim de que esta seja manipulada,

processada e mantida de forma segura, e é por esse motivo que a segurança

computacional tem sido tratada como uma questão primordial para o sucesso de

uma organização.

20

3.2 PRINCIPIOS DA SEGURANÇA COMPUTACIONAL

Uma vez entendida a importância da informação, é necessário compreender as

características referentes à sua segurança, que se divide em três princípios básicos:

confidencialidade, integridade e disponibilidade.

Para a não ocorrência de incidentes da informação é necessário que nenhum

dos três princípios sejam violados, a segurança da informação só será de fato

completa com o trabalho em conjunto desses princípios.

“A Segurança em Sistema de Informação (SI) visa protegê-lo contra ameaças a

confidencialidade, á integridade, e a disponibilidade das informações e dos recursos

sob a sua responsabilidade”. (BRINKLEY e SCHELL, 1995 apud MOTA, 2011).

Segundo Campos (2007) a confidencialidade está na garantia do não

conhecimento da existência de determinada informação, no sigilo das informações

ou recursos. Já a integridade diz respeito à violação da informação, na preservação

dos dados no seu estado mais puro. A disponibilidade está na liberdade em acessar

certo dado ou informação a qualquer momento.

Figura 5 – Características de Segurança da Informação

Fonte: CAMPOS, 2007.

21

3.3 VULNERABILIDADES

As vulnerabilidades são como portas abertas esquecidas elas podem ser

entendidas como vias de acesso não protegidas onde os ativos podem ser

alcançados pelos atacantes.

As vulnerabilidades estão presentes nos mais diversos setores de uma

organização e em ambientes computacionais não são diferentes, é preciso se

preocupar com cada brecha na segurança, seja no sentido tecnológico

computacional como nas vulnerabilidades encontradas nas próprias pessoas que

fazem parte do dia-dia de uma empresa.

Quando os ativos da informação possuem vulnerabilidades qualquer um dos

princípios da segurança como confiabilidade, integridade e disponibilidade estão

sobre a linha da ameaça.

Para Campos (2007) os ativos da Informação, que suportam os processos de

negócio, possuem vulnerabilidades. É importante destacar que essas

vulnerabilidades estão presentes nos próprios ativos, a saber: computadores são

vulneráveis por serem construídos para troca e armazenamento de dados seja por

meio de disquetes, CDs, portas USB, ou outros de dispositivos de armazenamento

como pen drives e etc. A vulnerabilidade é explorada principalmente por ataques de

vírus, worms, cavalos de tróia, negação de serviço, etc. Arquivos de Aço como

cofres, por exemplo, a vulnerabilidade a ser explorada está na sua própria

construção, onde pessoas com conhecimento de arrombamento podem ter acesso

ou até mesmo roubar todo o seu conteúdo.

1. Aparelhos tais como impressoras e fax, podem disponibilizar

informações para qualquer pessoa que tenha acesso a elas.

2. Cabos de Rede, fibras ópticas e redes wireless, por sua própria

construção, possibilitam interferência no sinal ou acesso aos dados que nele

trafegam.

3. Aparelhos celulares podem ser facilmente roubados e dados da

agenda, mensagens e outras informações podem ser facilmente acessadas.

4. Sistemas de Informação permitem a entrada e consulta de informações

valiosas e podem ser indevidamente acessados.

Sêmola (2003) mostra como as vulnerabilidades estão relacionadas aos

seguintes ativos de informação: Tecnológica - equipamentos de baixa qualidade,

22

criptografia fraca, sistema operacional desatualizado, configuração imprópria de

firewall, links não redundantes, configuração imprópria de roteador, backdoor, bug

nos softwares, autorização de acesso lógico inadequado; Física - ausência de

gerador de energia, ausência de normas para senhas, ausência de fragmentador de

papel, mídia de backup mal acondicionada, aterramento, falta de controles físicos de

acesso, instalação elétrica imprópria, cabeamento desestruturado; Humana - Falta

de treinamento, muitas vezes as organizações não possuem normas ou políticas

que estabeleçam as permissões e negações nos processos de manipulação da

informação.

As vulnerabilidades podem ser reduzidas com contramedidas (são métodos

que podem ser simples ou complexos), técnicas e individuais para que essas sejam

realmente eficazes elas precisam abranger proteção, detecção e reação.

3.4 AMEAÇAS

A ameaça é o ato de tentar explorar as vulnerabilidades dos ativos da

informação. Quando existe uma ameaça já é configurado como uma violação na

segurança; as ações dessas possíveis ameaças são chamadas ataques e os que

executam esses ataques são denominados atacantes.

“A ameaça é um agente externo ao ativo da Informação, que se aproveitando

de suas vulnerabilidades poderá quebrar a confidencialidade, integridade ou

disponibilidade da informação suportada ou utilizada por esse ativo” (CAMPOS,

2005).

Segundo Shirey (1994) apud Mota (2011), as classes das ameaças são:

Disclosure - acesso não autorizado à informação, ou seja, Snooping (bisbilhotar):

ataque passivo – o grampo telefônico é o exemplo clássico; Deception - aceitação

de dados falsos, indução ao erro, modificação (alteração), spoofing1 (masquerading

ou logro), repudiação de origem, repudiação de recebimento; Disruption -

interrupção ou prevenção da operação correta de um sistema com modificação;

Usurpação - Modificação, spoofing, delay2, recusa de serviço.

1 Spoofing: O procedimento que faz com que uma transmissão pareça ter sido enviada por um usuário

autorizado. 2 Delay: Atraso de Serviço.

23

Para Peixoto (2006) em conformidade com Sêmola (2003), escreve que as

ameaças são muitas vezes conseqüências das vulnerabilidades existentes,

provocando assim perdas de confidencialidade, integridade e disponibilidade, e

estas ameaças podem classificadas nos seguintes grupos.

(...) agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negócios de uma organização. (SÊMOLA, 2003).

Ainda segundo Peixoto (2006), as ameaças naturais são fenômenos da

natureza, como incêndios naturais, enchentes, terremotos, tempestades magnéticas,

maremotos, aquecimento, poluição. Já as ameaças involuntárias são inconscientes,

que ocorrem quase sempre devido ao desconhecimento. Podem ser causados por

acidentes, erros, falta de energia etc. E as ameaças voluntárias são ameaças

propositais que mais se relacionam com a Engenharia Social. Causadas por agentes

humanos como hackers, invasores, espiões, ladrões, criadores de disseminadores

de vírus de computador, incendiários.

3.5 ATAQUE

Ataque são todas as ações do atacante que visam comprometer a integridade,

disponibilidade e confiabilidade dos ativos da informação de uma organização, ou

seja, são ameaças colocadas em prática (CARVALHO, 2005).

Segundo Carvalho (2005), esses ataques podem ser classificados em:

Ataque Físico: Roubo de equipamentos, fitas magnéticas, dispositivos de armazenamento removível etc.. são características desse tipo de ataque. Os dispositivos são retirados da organização ou roubados de executivos para posterior análise, onde as informações importantes são recuperadas dos mesmos e utilizadas ou de forma a prejudicar a empresa ou para utilizar esses dados de maneira a obter vantagens comerciais; Packet Snnifing: Esse tipo de ataque consiste na captura de pacotes que circulam na rede, que podem conter informações importantes e, portanto, confidenciais, para a organização. Os serviços FTP

3 e Telnet

4são

vulneráveis a esse tipo de ataque, pois é possível obter facilmente as senhas dos usuários que utilizam esse serviço; Port Scanning: Um ataque

3 FTP: Protocolo que permite a transferência de arquivos através da rede.

4 Telnet: O Telnet é um membro da família TCP/IP de protocolos e permite que um usuário estabeleça uma

sessão remota em um servidor.

24

de port scanning consiste na análise de um sistema com intuito de descobrir os serviços que estão disponíveis no mesmo através de análises das portas de serviço TCP

5 e UDP

6. De posse dessas informações obtidas através

desse tipo de ataque, pode se concentrar esforços para comprometer recursos específicos; Denial of Service: Os ataques de DOS

7, ou negação

de serviço consistem na obtenção de perda de desempenho proposital de serviços ou sistemas de forma a impossibilitar o seu uso pelas as pessoas que tem permissão para acessá-los; Ataques no Nível de Aplicação: Os ataques no nível de aplicação envolvem basicamente a exploração de vulnerabilidades em aplicativos e protocolos na camada de aplicação da pilha dos protocolos TCP/IP, isto é, a camada mais próxima ao usuário; Ataques de Engenharia Social: É um dos mais perigosos e traiçoeiros ataques, por que este não limita se apenas a recursos computacionais, mas caracteriza-se nas vulnerabilidades encontradas nas pessoas que manuseiam os processos de manipulação de ativos da informação. Esse ataque será mais explanado nos capítulos seguintes desta pesquisa.

3.6 ATACANTE

Atacante é o termo utilizado em Segurança de Sistemas para denominar uma

pessoa ou um grupo de pessoas que realiza uma invasão a um sistema

computacional alcançando seu objetivo ou não.

Segundo Carvalho (2005) atualmente o termo mais conhecido para denominar

atacantes é o termo Hacker, mas é possível ainda encontrar outros nomes

relacionados como Script Kiddies, Crackers, Cyber punks, Insiders, Coders, White

Hats, Black Hats e Preacker.

A palavra Hacker possuí várias definições, desde um administrador de sistema corporativo perito o suficiente para descobrir como os computadores realmente funcionam até um criminoso adolescente com pouca ética que se diverte enquanto acaba com rede de uma empresa. (Scheneier, 2001).

No grupo do White-hats, encontram- se os coders, que muitas das vezes são

ex-Black hats que hoje utilizam seus conhecimentos dando palestras ou trabalhando

com consultorias para empresas na área de segurança computacional, além desses

atacantes destaca-se os insiders que se caracterizam pela a ameaça proveniente de

ex-funcionários ou pessoas que possuem acesso ao interior da empresa e se

5 TCP: É um conjunto de protocolos de comunicação entre computadores em rede (também chamado de pilha de

protocolos TCP/IP) 6 UDP: User Data Protocol é um protocolo de transporte de dados, que ao contrário do TCP, na faz nenhum tipo

de conexão. 7 DOS: Denial of Service, negação de serviço.

25

apropriam de informações sigilosas ou comprometem um sistema que deveria ser

seguro, nesse tipo de ataque é comum a utilização de técnicas de Engenharia

Social para a obter cópias de dados de softwares e documentos sigilosos, outro

grupo destaque desta pesquisa que faz uso apenas de Engenharia Social em seus

ataques são os Engenheiros Sociais que são assunto do capítulo a seguir.

26

4 ENGENHARIA SOCIAL

Esse capítulo apresentará os conceitos referentes ao Engenharia Social, os

tipos, como se dá sua execução dos ataques feitos por engenheiros sociais na

manipulação das pessoas como ativos da informação.

4.1 CONCEITO

O termo Engenharia Social é utilizado para denominar a prática de induzir ou

articular ações que levem o individuo acreditar em uma farsa, proporcionando ao

atacante a vantagem necessária a suas ações fraudulentas.

O termo é utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. (Cartilha de Segurança na Internet, 2006).

4.2 TIPOS DE ENGENHARIA SOCIAL

Segundo Assunção (2010) existem três maneiras básicas de ataques de

Engenharia Social: por e-mail ou carta - o engenheiro envia um e-mail ou carta para

seu alvo contendo informações que ele quer. Pode ser pedindo um documento

importante ou fingindo ser do Centro de Processamento de Dados e requerendo

uma mudança de senha. De qualquer maneira, seja correspondência eletrônica ou

real, quase sempre ela fica perfeita. Com o logotipo da organização, marca d’agua e

e-mail de origem parecendo que vem mesmo da empresa. Tudo para gerar

confiança; E-mail Pishing - é mais uma forma de Engenharia Social usada na

internet, o pishing é uma tentativa de obter dados com o uso de e-mails falsos, que

fingem vir de empresas ou bancos, geralmente pedem informações e dão um link de

um programa malicioso.

Ainda segundo Assunção (2010), essa técnica é utilizada por Engenheiros

Sociais, consiste em mandar um arquivo (anexo) compactado zip, com a senha para

ser descompactado no corpo do e-mail, e essa ação barra o antivírus e fornece uma

27

falsa sensação de confiança, pois passa a impressão que o atacante está mandando

um arquivo importante e confiou a senha a vítima que ao digitar a senha encontrará

um arquivo executável malicioso pronto para ser instalado no sistema da vítima, e

muitas vezes esses e-mails estão camuflados de cartões virtuais, convites e até

mesmo instituições financeiras.

Messengers Instantâneos: é necessário ter um cuidado redobrado ao utilizar

os serviços de mensagem instântanea como MSN, ICQ, Skype, Yahoo entre outros;

pois os engenheiros sociais vem nesse tipo de serviço a oportunidade para atacar

na tentativa de fazer a vítima aceitar um determinado arquivo que contendo um

malware8 malicioso, esses engenheiros utilizam da confiança e simpatia para dizer

que o arquivo um jogo interessante ou um projeto inacabado. Apesar das novas

versões do MSN Messenger vir com bloqueio de envio de mensagens executáveis

este pode ser facilmente burlado através de patchs 9 disponíveis na internet

(ASSUNÇÃO, 2010).

Pessoalmente: É o método mais arriscado, mas também o mais eficiente.

Pode se passar por um cliente, por um funcionário ou mesmo um parceiro de

negócios. As possibilidades são infinitas, já que as pessoas tendem a confiar mais

em alguém muito bem vestido. Outra coisa que eles tendem a fazer pessoalmente:

revirar lixo de uma empresa ou organização em busca de informações importantes,

como listas de empregados ou qualquer coisa que beneficie a Engenharia Social

(ASSUNÇÃO, 2010).

Pelo Telefone: O engenheiro se passa por alguém importante, finge precisar

de ajuda ou mesmo se oferece para ajudar. O interesse dele é mexer com o

sentimento das pessoas, fazendo com que elas acabem entregando o que ele

deseja, sem, muitas vezes, nem saberem disso (ASSUNÇÃO, 2010).

4.3 OS ATIVOS PESSOAS E A ENGENHARIA SOCIAL

Ao contrário de que muitos imaginavam o principal risco no controle da

segurança da Informação, não se encontra em ataques elaborados que utilizem

8 Malware: O termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar

em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de

informações (confidenciais ou não). 9 Patch: Pacote de atualizações.

28

tecnologias sofisticadas, na verdade, os ataques podem ser simples, mas com

conseqüências devastadoras, e o principal alvo desses ataques estão no sistema

mais falho conhecido: O ser humano.

O ser humano por si só é uma fonte de complicações, seres humanos são

curiosos, são interativos e extremamente vulneráveis.

Para Campos (2007), as pessoas são o elemento central de um sistema de

segurança da informação e afirma que a organização é, na verdade, o conjunto de

pessoas, que nela trabalham; para ele os incidentes da segurança da informação

sempre envolvem pessoas, seja no lado das vulnerabilidades exploradas, quer no

lado das ameaças que exploram essas vulnerabilidades.

Além de todos os problemas técnicos que podem causar a falta na segurança, ainda temos, o pior deles, e justamente o não técnico. Através de técnicas de Engenharia Social, a manipulação do fator humano causa enormes desastres como: fazer o usuário rodar um cavalo de tróia sem saber, conseguir informações privilegiadas sobre a empresa, obter especificações de um novo produto etc (ASSUNÇÃO, 2010).

A falta de segurança é um problema sério e, infelizmente, muitas universidades, empresas e muitos órgãos do governo não se exercitam, não se atualizam. Eles deixam seus sistemas vulneráveis a ataques e não têm o mínimo de perspicácia para perceber falhas humanas, cada vez mais exploradas por hackers (MITNICK, 2006).

“Geralmente as pessoas são o ponto mais suscetível em um esquema de

segurança. Um trabalhador malicioso, descuidado ou alheio a política de informação

de uma organização pode comprometer até a melhor segurança” (COMMER, 1998).

Mesmo nos incidentes que envolvem acidentes naturais, pessoas precisam prever acidentes e proteger os ativos, quer criando proteções, quer elaborando planos de recuperação do desastre. Portanto, o item pessoas de vê ser de relevância considerada em um sistema de gestão da segurança da informação (CAMPOS, 2010).

Os engenheiros sociais sabem que as pessoas são uma das partes mais

vulneráveis dos ativos da informação, por isso usam da persuasão para

manipularem seus alvos.

29

4.4 ENGENHARIA SOCIAL: MANIPULANDO SENTIMENTOS

Manipulador é a palavra mais adequada para descrever um Engenheiro Social;

dentre os sentimentos explorados em um ataque de Engenharia Social, destacam-

se:

Curiosidade: é sem dúvida, um dos sentimentos humanos mais explorados

por um engenheiro social, e é utilizando técnicas que despertem a curiosidade, é

que o atacante consegue ludibriar suas vítimas. Sabendo que a curiosidade é um

dos pontos mais vulneráveis do ser humano, o engenheiro social vai tentar atiçar de

todas as maneiras a curiosidade da empresa-alvo (ASSUNÇÃO, 2010).

Confiança: é um fator muito manipulado pelos os engenheiros sociais. Ela

pode ser gerada de várias maneiras: onde o atacante pode se passar por um

funcionário de outra filial, citar procedimentos técnicos do manual da empresa ou,

simplesmente, oferecer-se para ajudar com algum problema, outra coisa comum é o

recebimento de um e-mail com o endereço de origem de um amigo ou colega de

trabalho e esse e-mail vir com um anexo e esses e-mails podem ser facilmente

forjados, no geral todos esses fatores fazem com que a “resistência” do funcionário a

entregar informações fique mais fraca (ASSUNÇÃO, 2010).

Simpatia: outro modo de manipulação encontra-se na simpatia, onde a

sensualidade é um dos pontos explorados, é muito mais fácil uma mulher se

aproximar dos seguranças de uma empresa e ser bem sucedida ao utilizar as

técnicas Engenharia Social que um homem, o mesmo ocorre em casos de

Engenharia Social ao telefone, se a pessoa do outro lado da linha solicita

informações de maneira simpática, voz suave, inconscientemente muitos

funcionários tendem a ceder e assim passam informações (ASSUNÇÃO, 2010).

Medo: Outro sentimento explorado pelos os Engenheiros Sociais é o medo,

segundo Assunção (2010) a manipulação do medo é uma das mais poderosas, pois

tende obter resultados muito rápidos. Isso porque ninguém quer agüentar a pressão

o muito tempo e acaba entregando as informações rapidamente. Geralmente, as

ameaças parecem vir de pessoas com uma hierarquia bem maior que do alvo dentro

da organização.

Culpa: Muitas vezes o que faz da Engenharia Social uma técnica bem

sucedida é o poder que esta exerce sobre os sentimentos das pessoas, e um

desses sentimentos é a culpa. Um bom engenheiro social sabe muito bem que

30

dentro de uma organização os funcionários novatos que por quererem mostrar

serviço estão mais vulneráveis a essa abordagem (ASSUNÇÃO, 2010).

4.5 ENGENHEIROS SOCIAS E SUAS ESTRATÉGIAS DE ATAQUE

Mitnick (2003) em seu livro a Arte de Enganar destaca seis tendências usadas

pelos os engenheiros sociais em suas tentativas de manipulação, são elas:

Autoridade: As pessoas têm tendência de atender uma solicitação que é feita

por uma pessoa com autoridade, alguém pode ser convencido a atender uma

solicitação se ela acreditar que o solicitante é uma pessoa com autoridade ou que

está autorizada a fazer tal solicitação. Um engenheiro social tenta impor autoridade

alegando ser do departamento de TI ou dizendo ser um executivo ou uma pessoa

que trabalha para um executivo da empresa.

Afabilidade: As pessoas têm a tendência de atender uma pessoa que faz

solicitação quando esta se passa por alguém agradável ou com interesses, crenças

e atitudes semelhante as da mesma. É comum em ataques de Engenharia Social o

atacante envolver a vítima em uma conversa e descobrir os gostos e interesses do

alvo e usar isto na manipulação.

Reciprocidade: Atender automaticamente a uma solicitação quando há

promessa de receber algo de valor. O presente pode ser um item material, um

conselho ou ajuda. Quando alguém faz algo para a vítima, esta se sente na

inclinação de retribuir. Essa forte tendência de retribuir existe nas situações em que

a pessoa que recebe o presente não pediu por ele sendo esta uma das maneiras

mais eficazes do engenheiro social influenciar sua vítima como no caso a seguir.

Um empregado recebe uma ligação de uma pessoa que se identifica como sendo do departamento de TI. O interlocutor explica que alguns computadores da empresa foram infectados por um vírus novo que não é reconhecido pelo software antivírus e que pode destruir todos os arquivos de um computador. Ele se oferece para instruir a pessoa a tomar algumas medidas para evitar problemas. Depois disso, o interlocutor pede que a pessoa teste um utilitário de software que acabou de ser atualizado recentemente, o qual permite que os usuários mudem as senhas. O empregado reluta em recusar, porque o interlocutor acabou de prestar ajuda que supostamente o protege contra um vírus. Ele retribui, atendendo à solicitação do interlocutor (MITNICK, 2003).

31

Consistência: As pessoas têm a tendência de atender após fazer um

comprometimento público ou adotar uma causa, isso ocorre porque o ser humano

quer sempre ter a aceitação dos outros e se esforça para parecer mais confiável e

ser coerente com suas promessas, principalmente em ambientes de trabalho,

(Mitnick, 2003) a exemplo disso o caso a seguir):

O atacante entra em contato com uma funcionária relativamente nova e a aconselha sobre o acordo para seguir determinadas políticas e procedimentos de segurança como uma condição para usar os sistemas de informações da empresa. Após discutir algumas práticas de segurança, o interlocutor pede à usuária para fornecer a sua senha "para verificar se ela entendeu" a política sobre selecionar uma senha difícil de adivinhar. Depois que a usuária revela a sua senha, o interlocutor faz uma recomendação para que ela crie senhas para que o atacante possa adivinhá-las. A vítima atende por causa do seu acordo anterior de seguir as políticas de segurança e porque supõe que o interlocutor está apenas verificando o seu entendimento (MITNICK, 2003).

Validação social: é como o ditado popular bem ilustra: “Maria vai com as

outras”, a vítima sente que deve cooperar com o engenheiro social porque outras

pessoas de outros departamentos fizeram o mesmo.

Quanto a essa ação Mitnick (2003) ilustra com o seguinte exemplo:

O interlocutor diz que está realizando uma pesquisa e dá o nome das outras pessoas do departamento que diz já terem cooperado com ele. A vítima, acreditando que a cooperação dos outros valida a autenticidade da solicitação, concorda em tomar parte. Em seguida, o interlocutor faz uma série de perguntas, entre as quais estão perguntas que levam a vítima a revelar o seu nome de usuário e senha.

Escassez: Pessoas têm tendência a cooperar quando sentem que estão em

alguma competição a algum serviço ou produto que não estará disponível por muito

tempo, esse tipo de abordagem é comumente feita na web.

Quanto a esse tipo de abordagem Mitnick (2003) ilustra com o exemplo a

seguir:

O atacante envia e-mails dizendo que as primeiras 500 pessoas que se registrarem no novo site Web da empresa ganharão ingressos grátis para a premiere de um filme a que todos querem assistir. Quando um empregado desavisado se registra no site, ele tem de fornecer o endereço de e-mail da sua empresa e selecionar uma senha. Muitas pessoas, motivadas pela conveniência, têm a tendência de usar a mesma senha ou uma senha semelhante em todo sistema de computador que usam. Aproveitando-se disso, a atacante tenta comprometer o trabalho do alvo e os sistemas de

32

computadores domésticos com o nome de usuário e a senha que foram inseridos durante o processo de registro no site Web.

4.5 DISFARCES DE UM ENGENHEIRO SOCIAL

Uma característica dos ataques dos engenheiros sociais em ações de contato

pessoal é a utilização de disfarces.

Durante o processo de persuasão a criatividade do atacante não tem limites,

seja desde um faxineiro que tem acesso ao lixo da organizaçãoo, uma fonte rica de

informações ao presidente de uma multinacional que precisa do telefone do gerente

do setor para tratar de assuntos de negócios.

Mitnick (2003), enumera as abordagens mais comuns dos engenheiros sociais

na criação de seus personagens.

Finge ser um colega de trabalho;

Finge ser um empregado de um fornecedor, empresa parceira ou autoridade legal;

Finge ser alguém com autoridade;

Finge ser um empregado novo que solicita ajuda;

Finge ser um fornecedor ou fabricante de sistemas que liga para oferecer um patch ou uma atualização de sistema;

Oferece ajuda quando ocorrer um problema e, em seguida, faz o problema ocorrer para manipular a vítima e fazer com que ela ligue pedindo ajuda;

Envia software ou patch grátis para que a vitima o instale;

Envia um vírus ou Cavalo de Tróia como um anexo de correio eletrônico;

Usa uma janela pop-up 10

falsa que pede para o usuário fazer o login novamente ou digitar uma senha;

Captura as teclas digitadas pela vítima com um sistema ou programa de computador;

Deixa um disquete ou CD com software malicioso em algum lugar do local de trabalho;

Usa jargão e terminologia interna para ganhar a confiança;

Oferece um prêmio pelo registro em um site Web com um nome de usuário e a senha;

Deixa um documento ou arquivo na sala de correspondência para entrega interna;

Modifica o cabeçalho de uma máquina de fax para que ele venha de uma localização interna;

Pede que uma recepcionista receba e, em seguida, encaminhe um fax;

Pede que um arquivo seja transferido para uma localização aparentemente interna;

Configura uma caixa de correio para que as ligações de retorno percebam o atacante como alguém de dentro da empresa;

10 Pop-Up: É uma janela extra que abre no navegador ao visitar uma página ou clicar em um link específico.

33

Finge ser do escritório remoto e pede acesso local ao correio eletrônico;

Os disfarces são levados a sério pelos os engenheiros sociais, a exemplo disso

podemos citar nomes de Engenheiros Sociais famosos como Kevin Mitnick

conhecido hacker dos anos 90 que invadiu sistemas de companhias telefônicas e

corporações do governo se disfarçando desde técnico de TI a Presidente de

Multinacional, manipulando suas vítimas pessoalmente ou por telefone conseguindo

informações para a execução os seus golpes; outro nome famoso, o considerado rei

dos disfarces é Frank William Abagnale, Jr. que na década de 1960, já viajava o

mundo de graça ao se passar por piloto da companhia área americana Pan Am;

usando uniforme e documentos falsos, o golpe durou dois anos, além disso,

trabalhou em um hospital como médico pediatra por onze meses ao fazer amizade

com um médico residente que o indicou para o trabalho, como se não fosse o

suficiente, Abagnale se passou também por advogado e professor tudo para pôr em

prática os seus golpes de fraudes bancárias e criação de documentos falsos.

34

5 GOVERNANÇA DE TI

Este capítulo apresenta as características e os componentes da Governança

de TI e os seus respectivos modelos ITIL e Cobit.

Dentre os vários adjetivos que conceituam a Governança de TI, um deles é

inegavelmente mais conhecido: bom governo, ou seja, a governança caracteriza-se

por boas práticas; criar estruturas de governança significa definir ações estratégicas

na gestão dos serviços da organização de maneira que venha diminuir as

dificuldades encontradas ao gerenciar e criar controles na organização.

5.1 CONCEITO

A Governança de TI é uma ferramenta que especifica os direitos de decisão e

das responsabilidades e é uma estratégia de gestão a serviços, é um conjunto de

práticas e padrões e relacionamentos estruturados que tem como objetivo expandir

o desempenho e otimização dos recursos dando suporte para as melhores decisões,

encoraja o comportamento desejável no uso da TI (FERNANDES, 2005).

A Governança de TI além de buscar o compartilhamento de decisões de TI

com os dirigentes da organização é responsável principalmente por estabelecer

regras que abrangem a organização e os processos do uso da tecnologia da

informação que envolve usuários, departamentos, divisões, negócios da

organização.

Segundo Fernandes (2005) a Governança de TI é motivada por vários fatores,

como observado na figura seis, dentre os fatores que motivam a Governança da TI,

podemos destacar a Segurança da Informação; é sabido que as organizações

sofrem riscos diários de intrusão visando o roubo, principalmente de dados que

podem afetar sobremaneira a operação da organização.

35

Figura 6-Fatores Motivadores da Governança de TI

Fonte: FAGUNDES, 2005.

De acordo com o nível de acesso dos vários pontos da organização, maior é a

necessidade de envolver todos os níveis a uma política de governança que dite as

permissões e negações na gestão da segurança da informação.

5.2 COMPONENTES DA GOVERNANÇA DE TI

Para Fernandes (2005) a Governança de TI compreende vários mecanismos e

componentes ilustrados na figura sete que logicamente integrados permitem o

desdobramento da estratégia de TI até a operação dos produtos e serviços

correlatos.

Destacando o processo de alinhamento estratégico e copilance da qual a

Segurança da ação esta alocada, este procura determinar qual deve ser o

alinhamento de TI em termos de arquitetura, infra-estrutura, aplicações, processos e

organização com as necessidades presentes e futuras da organização.

Outro componente importante do domínio do alinhamento estratégico que é

importante destacar são princípios da TI, são regras que todos devem seguir, no

âmbito da organização, e que subsidiam tomadas de decisão a cerca da arquitetura

de TI, Infra-estrutura de TI, aquisição e desenvolvimento de aplicações, uso de

padrões, gestão de ativos de TI e assim sucessivamente.

36

Figura 7 – Os domínios e componentes da Governança de TI

Fonte: FAGUNDES, 2005.

5.3 ITIL

É o modelo de referência para gerenciamento de processos TI, ITIL

(Information Tecnology Infrastructure) em português significa “Biblioteca para Infra-

estrutura de serviços de TI”. Essa metodologia foi criada em 1980 pela CCTA

(Centro Computer and Telecommunications Agency) órgão ligado ao OGC (Office for

Government Commerce) da Inglaterra, e com envolvimento de inúmeras

organizações industriais e governamentais (FAGUNDES, 2005).

A principal característica dessa metodologia é que esta está voltada a

processos que visam atender qualquer tipo de organização na área de gestão de

serviços de TI, pois sua filosofia considera o gerenciamento de serviços como um

conjunto de processos fortemente relacionados e integrados. Mostrando que devem

ser usadas: pessoas, processos e tecnologias para atingir os objetivos chaves do

gerenciamento desses serviços.

A ITIL é reconhecida em muitos países pela a sua metodologia voltada a

operação de negócio e antes o que era apenas um conjunto de 60 livros de conjunto

de melhores práticas se tornou padrão em gerenciamento de serviços.

37

A vantagem desta metodologia está na liberdade que está dá para o uso em

qualquer organização, inclusive em órgãos públicos e privados.

Os documentos ITIL abordam: Gerenciamento da Configuração, Central de

Serviços, Gerenciamento de Incidentes, Gerenciamento de Problemas,

Gerenciamento de Mudanças, Gerenciamento de Liberações, Gerenciamento da

Capacidade, Gerenciamento da Disponibilidade, Gerenciamento da Continuidade

dos Serviços de TI, Gerenciamento Financeiro para Serviços de TI, Gerenciamento

do Nível de Serviço, Gerenciamento da Infra-estrutura e Gerenciamento de

Aplicações (FAGUNDES, 2005).

Figura 8 – O Núcleo da ITIL

Fonte: FAGUNDES, 2005.

5.4 COBIT

O Cobit é um guia para a gestão de TI. COBIT (Control Objectives for

Informationand Related Technology), que pode ser traduzido como “Objetivos de

Controle para a Informação e Tecnologia Relacionada”, é recomendado ISACF

38

(Information Systems Audit and Control Foundation), é orientado a negócio, pois

detalha informações para gerenciar processos baseados em objetivos de negócio,

outra característica é que este é um conjunto de diretrizes para gestão de

processos, orientando o entendimento e o gerenciamento de riscos, a auditoria e as

práticas de controles associadas ao uso do TI (ISACA, 2010).

Ainda segundo ISACA (2010), o Cobit atende as demandas:

Administração e Gerência: buscando o equilíbrio entre os riscos e os

investimentos em controles no ambiente dinâmico da Tecnologia da

Informação.

Usuários: dependem dos serviços de TI e seus respectivos controles e

mecanismos de segurança para executar suas atividades.

Auditores: validam suas opiniões ou recomendam melhorias dos

controles internos à administração

E está dividido em quatro domínios:

1. Planejamento e Organização

2. Aquisição e Implementação

3. Entrega e Suporte

4. Monitoração

Figura 9 – Domínio do Cobit

Fonte: ISACA, 2010

39

6 ESTUDO DE CASO

Esse capítulo apresentará o estudo de caso e a metodologia usada na

aplicação dos questionários da organização pesquisada, apresentando o histórico, a

estrutura organizacional, e por fim o dado percentual da pesquisa.

6.1 HISTÓRICO DA ORGANIZAÇÃO PESQUISADA: CÂMARA MUNICIPAL DE

SANTARÉM.

De acordo com Fonseca (2006) a Vila de Santarém, desde a sua instituição a

14 de Março de 1758, já possuía sua Câmara, composta por dois Juízes ordinários e

três vereadores, denominada de Senado da Câmara, mas foi somente a partir de

1828, através da Lei Imperial, que o Legislativo passou a denominar-se Câmara

Municipal. Em obediência à nova Lei, foram eleitos para o quadriênio de 1829 a

1832, os seguintes membros: Padre Raimundo José Auzier, presidente; João de

Deus Leão, secretário; e mais os seguintes membros: Belchior Rodrigues Melo,

Pedro José Bastos e José de Sousa e Silva Seixas. Essa primeira Câmara Municipal

foi instalada em 1º. De Junho de 1829.

Quando em 1848, Santarém foi elevada à categoria de cidade, era presidente

da Câmara o cidadão Joaquim Rodrigues dos Santos.

Com a Proclamação da República, ocorrida em 1889, a Câmara foi dissolvida

pelo Decreto Nº. 81, de 06 de Março de 1890. Estava assim constituída: Francisco

Caetano Correa, presidente, e mais os seguintes membros: José Leopoldo Pereira

Macambira, Miguel Batista Belo de Carvalho, José Cláudio da Silva Rabelo, José

Veloso Pereira, José Joaquim da Silva, Matias Afonso da Silva e Fausto Pinto

Guimarães.

Ainda no mesmo dia 06 de Março de 1890, o Decreto de Nº. 82 transformava a

antiga Câmara Municipal em Conselho Municipal de Intendência, e nomeava os

seguintes membros: Barão de Tapajós (Intendente), e os vereadores José Leopoldo

Pereira Macambira, Ascendino Gonçalves Gentil, Turiano Lins Meira de

Vasconcelos, Joaquim Lopes Bastos e Francisco Caetano Rodrigues dos Santos. À

40

exceção do último membro, que não aceitou a nomeação, este Conselho Municipal

de Intendência tomou posse em 21 de Março de 1890.

Vitoriosa a Revolução de 1930, a Câmara Municipal foi mais uma vez extinta.

Voltou a funcionar de 1935 a 1937, quando houve um golpe de Estado, o chamado

Estado Novo, que dissolveu novamente. Com a volta ao regime Constitucional, a

Câmara foi restabelecida em 1948, com a seguinte composição: Pedro Gonçalves

Gentil, Braz de Alcântara Rebelo, Osman Bentes de Sousa, João Otaviano de

Matos, Benedito de Oliveira Magalhães, Humberto de Abreu Frazão, Jonathas de

Almeida e Silva, Flávio Flamarion Serique e Antonieta Dolores Texeira (suplente de

Antônio Veloso Salgado, que renunciou).

Do ano de 1955 a 1959, a Câmara passa a ter 11 Vereadores. Em 1967 passa

a funcionar com 13 Parlamentares. No ano de 1969 a 1970, por ato da Presidência

da República, a Câmara passa por um recesso. No ano de 1971, passou a funcionar

rogando a proteção Divina. A partir de 1974, os Vereadores passam a ser

remunerados pelo exercício do cargo. De 1983 a 1988, essa Legislatura teve a

duração de 6 anos. De 01 de Janeiro de 1993, a Câmara passa a funcionar com 17

Vereadores; Em 01 de Junho de 2003, a Câmara comemora os seus 174 anos de

cidadania, composta por 17 Vereadores. Em 01 de Janeiro de 2005, a Câmara

passa a funcionar composta por 14 Vereadores, por força da Resolução do TSE de

Nº. 21.702.

6.2 ESTRUTURA ORGANIZACIONAL

A Organização Câmara Municipal de Santarém, é uma entidade governamental

que possuí seis departamentos e quatorze gabinetes destinados a vereadores, a

saber:

1. Departamento de Recursos Humanos

2. Departamento Legislativo

3. Departamento de Finanças

4. Departamento de Recursos Humanos

5. Setor de Informática

6. Central Telefônica

41

6.3 FOCO DA PESQUISA: GABINETE DOS VEREADORES

Os gabinetes destinados aos vereadores funcionam de maneira independente

dos outros setores da câmara, ou seja, a responsabilidade organizacional é

centralizada nos assessores e secretários delegados pelo o parlamentar.

Cada gabinete é responsável pelas as medidas de segurança quanto à gestão

de ativos, manutenção, controle e descarte das informações que entram e saem

diariamente.

6.4 ANÁLISE DO PROBLEMA

Muitas são as vulnerabilidades encontradas em ambientes governamentais

como em gabinetes de uma câmara municipal, dentre essas vulnerabilidades

destacam-se aquelas encontradas na gestão dos ativos, na manutenção e descarte

da informação que são os pontos mais explorados em ataques de engenharia social

que é o foco dessa pesquisa.

6.5 APLICAÇÃO DE QUESTIONÁRIOS

Os questionários foram aplicados em forma de entrevista nos quatorze

gabinetes destinados aos vereadores, foram entrevistados assessores e secretárias

que convivem diariamente com as pessoas e informações que entram e saem.

O objetivo da aplicação desse questionário é ter uma pesquisa de caráter

qualitativo e quantitativo que apresentem as reais necessidades dos gabinetes em

adotar as boas práticas encontradas na norma NBR ISO 27.002 na gestão de ativos

e manutenção e descarte da informação que tão explorada em ataques,

principalmente de engenharia social.

42

6.6 QUESTONÁRIO

A fim de se ter uma pesquisa mais fundada os dados pesquisados foram

transformados em gráficos para a melhor visualização, o objetivo é mostrar de

maneira quantitativa e qualitativa as vulnerabilidades e a necessidade da

organização pesquisada em adotar boas práticas na gestão da segurança da

informação.

As vinte e três perguntas do questionário estão centradas apenas na

manutenção e descarte da informação, na gestão dos ativos da informação com foco

no ativo humano explorado em ataques de engenharia social. Os gráficos

apresentados a seguir são baseados nas informações obtidas na pesquisa.

Na sua função você utiliza computador?

Gráfico 1

Cem por cento dos funcionários entrevistados responderam que utilizam o

computador em suas atividades diárias.

Utiliza outro software além do pacote do Office?

43

Gráfico 2

Apenas sete por cento dos funcionários entrevistados responderam que

utilizam outro software que auxilia na organização da informação em suas atividades

diárias enquanto a maioria noventa e três por cento não fazem uso.

Se utiliza outro software, este contém senha?

Gráfico 3

Cem por cento dos entrevistados que responderam que faziam uso de outro

software específico responderam também que fazem uso de senha para acessar o

software.

Todos fazem uso da mesma senha?

44

Gráfico 4

Sete por cento dos entrevistados que utilizam outro software responderam que

todos os funcionários que manipulam o software têm conhecimento e acesso a

mesma senha enquanto noventa e três possuem senha individual.

Quanto à utilização de senha para acesso ao computador do

trabalho?

Gráfico 5

A maior parte setenta e dois por cento dos entrevistados responderam que não

fazem uso de senha para acessar os computadores do ambiente de trabalho,

apenas vinte e três por cento responderam que fazem uso de senha.

45

Quanto à utilização da internet para uso pessoal no ambiente de

trabalho.

Gráfico 6

Noventa e três por cento dos funcionários entrevistados revelaram que

acessam a internet do trabalho para uso pessoal, apenas sete por cento

responderam não.

Possuí conta em Rede Sociais?

Gráfico 7

Cem por cento dos entrevistados responderam que possuem conta em alguma

rede social.

46

Informações fornecidas em Redes Sociais (Internet). Sobre

situações cotidianas corriqueiras da organização. Comenta com amigos

nas redes sociais?

Gráfico 8

Cinquenta por cento dos entrevistados responderam que comentam com seus

contatos situações ocorridas nas organizações em uma conversa informal ou

divulgado os trabalhos do parlamentar, outro cinqüenta por cento responderam que

não comentam ou divulgam nada da organização em suas redes sociais.

Manutenção da Informação Digital. Os arquivos de computador

são armazenados como? Em pastas criadas no próprio sistema

operacional ou gravadas em mídias removíveis.

Gráfico 9

47

Cinquenta e quatro por cento dos entrevistados responderam que os arquivos

digitais são armazenados em pastas do sistema operacional e quarenta e seis por

cento em mídias removíveis.

Quanto ao descarte de mídias usadas.

Gráfico 10

Cem por cento dos entrevistados descartam mídias usadas nos depósitos de

lixo da própria organização.

Manutenção da Informação em Papel (documentos)

Gráfico 11

48

Cem por cento dos entrevistados mantêm as informações de papel em pastas

arquivos que ficam nas dependências do gabinete e zero por cento faz uso de outra

meio de manutenção dos documentos em papel.

Quanto ao descarte das informações em papel.

Gráfico 12

Cem por cento dos entrevistados responderam que descartam as informações

de papel nos depósitos de lixo da organização.

Existe controle do fluxo das pessoas que entram e saem do gabinete?

Gráfico 13

Cem por cento dos entrevistados responderam que não existe nenhum tipo de

controle das pessoas que entram e saem do gabinete.

49

Quanto ao tratamento das Informações. A organização possuí

alguma política de segurança?

Gráfico 14

Cem por cento dos entrevistados responderam que não existe política de

segurança na organização, apenas a confiança depositada no funcionário de que

este fará o possível para manter as informações “protegidas”.

A organização orienta os funcionários na divulgação de informações

sigilosas?

Gráfico 15

Cem por cento dos entrevistados responderam que não existe orientação da

direção no sentido da divulgação das informações sigilosas, nem treinamento,

50

apenas o bom senso e comum acordo do grupo de funcionários em tomar as

precauções necessárias na divulgação de informações que sejam de caráter

confidencial.

E-mail: Ao receber um e-mail que solicita informações a respeito de sua

conta bancária. Você abre o e-mail e checa para ver se é verdadeiro.

Nem abre o e-mail apenas deleta ou sinaliza como spam?

Gráfico 16

A maioria dos entrevistados, ou seja, setenta e nove por cento responderam

que abrem o e-mail e checam se a procedência é de fato de uma instituição

verdadeira, enquanto vinte um por cento responderam que não se dão ao trabalho

de abrir e deletam imediatamente pois desconhecem ou desconfiam da procedência

do mesmo.

Quanto ao download de anexos. Se o e-mail da pergunta anterior vier

com um anexo: Você faz o download porque confia que o antivírus

detectará se o arquivo for malicioso. Você nunca faz download de

anexo?

51

Fonte: Dados da Pesquisa

Gráfico 17

Setenta e um por cento dos entrevistados responderam que fazem o download

do anexo enquanto vinte e nove por cento nunca fazem download de anexos em

caso parecidos com o exemplo dado na questão anterior.

Mensagens Instantâneas. Ao ser solicitado sobre alguma

informação referente ao trabalho na organização em serviços de

mensagem instantânea.

Gráfico 18

A maioria dos entrevistados, ou seja, sessenta e quatro por cento marcaram

que responderiam sem problemas desde que não fosse nenhuma informação

sigilosa, enquanto trinta e seis por cento marcaram que não responderiam de forma

alguma nenhuma informação solicitada mesmo que essa fosse de caráter público.

52

Solicitação de Informações em relação ao trabalho em

abordagens Pessoais. Se alguém pessoalmente aborda e solicita

informações em relação à organização: Forneceria informações inclusive

sigilosas se quem solicita tem alguma autoridade na organização.

Forneceria qualquer informação a qualquer solicitante desde que não

fosse de caráter sigiloso. Não forneceria nenhum tipo de informação?

Gráfico 19

Sessenta e quatro por cento dos entrevistados responderam que só

forneceriam informações apenas se a pessoa que a solicita exercesse função de

autoridade na organização, trinta e seis por cento responderam que só

responderiam se fossem informações não sigilosas e zero por cento não forneceriam

nenhum tipo de informação.

Solicitação de Informações em relação ao trabalho em

abordagens ao telefone. Ao atender um telefonema onde alguém solicita

uma informação que pode ser de caráter sigiloso ou não. Você fornece a

informação por telefone?

53

Gráfico 20

Noventa e três por cento responderam que forneceriam informações

dependendo da pessoa que se identificasse por telefone.

E sete por cento responderam que não fornecem informações relativas a

organização por telefone.

54

7 NORMAS E PADRÕES DE SEGURANÇA

Esse capítulo abordará a importância e as características das normas e

padrões de segurança, além de apresentar o histórico da Norma NBR/ISO/IEC

27.002.

7.1 CONCEITO DE NORMAS E PADRÕES

Normas e padrões são as bases fundamentais para assegurar a qualidade de

processos, estas normas definem as melhores práticas e ações que as organizações

podem adotar na gestão da segurança da Informação.

7.2 A ORGANIZAÇÃO ISO

A Organização Internacional de Padronização, fundada em vinte e três de

janeiro de 1947, é uma entidade não governamental que possuí cento e sessenta e

dois países membros, com sede em Genebra na Suíça, atribuí-se a esta a

competência da normalização e padronização dos países associados.

A ISO caracteriza-se por intermediar os interesses das organizações privadas

junto ao governo, em alguns casos, as associações dos países membros já fazem

parte da estrutura governamental local, o objetivo primordial da ISO é alcançar um

consenso em relação às soluções referentes às necessidades do negócio e as

necessidades da sociedade.

Por haver vários acrônimos com relação ao nome ISO em vários países, como

em inglês IOS, os fundadores decidiram uniformizar nome da organização, e

optaram por ISO que em grego que dizer igualdade, então independentemente do

país o nome é ISO.

Dentre os tipos de classificações da ISO, estão às normas técnicas,

classificações que abrangem os códigos dos países e normas de procedimento.

55

7.3 A ASSOCIAÇÃO ABNT

A Associação Brasileira de Normas Técnicas, fundada em 1940 é a

organização responsável pela a normalização técnica no Brasil, é uma entidade

privada que além de ser membro fundador da ISO, é representante também de

outras organizações como a IEC (International Eletrotechnical Comission); e das

entidades de normalização regional COPANT (Comissão Panamericana de Normas

Técnicas) e a AMN (Associação Mercosul de Normalização), além disso é

reconhecida como único Foro Nacional de Normalização.

7.4 NORMA NBR ISO 17.799 (27.002) – UMA BREVE HISTÓRIA

A preocupação em gerar uma norma sobre a Segurança da Informação surgiu

na Inglaterra, no Departamento de Indústria e Comércio (DTI – Department of Trade

and Industrys). O objetivo era criar um conjunto de normas, ou seja, critérios que

pudessem proporcionar as organizações uma certificação valida da Segurança da

Informação, além disso, era necessário elaborar um código de boas práticas, que

orientasse a implantação desses critérios nas organizações, e então em 1989 o

projeto gerou a publicação da primeira norma. (CAMPOS, 2007).

Os trabalhos continuaram e com as revisões necessárias e sugestões dadas

pela a área industrial inglesa, o código de práticas foi publicado como padrão

Britânico para a Gestão de Segurança da Informação sob o título de PD 0003 e,

finalmente em 1995, a norma foi publicada pela Britsh Standard, sob o código de

BS-7799.

Apesar do código de boas práticas ser bastante específico na orientação das

aplicações de ações da segurança da Informação, ainda era difícil validar essas

ações e assegurar que elas estavam mesmo sendo realizadas de forma correta. Por

isso, foi construída uma espécie de checklist para verificar se as ações propostas

haviam sido realmente implementadas de acordo com o código de boas práticas.

Assim, o código passou a ser chamado de BS 7799-1 e o checklist para verificar, de

BS 7799-2. Com a segunda parte da norma BS 7799 seria possível inclusive

certificar organizações quando da implementação da Segurança da Informação.

(CAMPOS, 2007).

56

Ainda de acordo com Campos (2007) muitas melhorias foram sendo feitas ao

longo dos anos e a BS 7799 passou a ser adotada por muitas organizações mesmo

fora da Inglaterra, e isso contribui para que a ISO (International Organization for

Standardization) homologasse a BS 7799 e a transformasse em uma norma de

aplicação Internacional ampla e restrita.

No ano 2000, a ISO lançou então a ISO 17.799 que é a versão internacional

da BS 7799-1.

Contudo, a segunda parte da norma BS 7799 não foi transformada em ISO, o

que gerou uma demanda por uma norma internacional que permitisse a certificação

das empresas. Não havendo um consenso para o lançamento através da ISO a

própria Britsh Standard adequou a BS 7799-2 aos padrões já internacionalmente

aceitos, tais como as famílias 9.000 e 14.000 da ISO, adotando também o conceito

de melhoria continua pela a utilização do ciclo PDCA (Plan, Do, check, Act). Essa

norma BS totalmente adequada aos padrões internacionais foi lançada em 2002 e

passou a ser utilizada como norma para a certificação de segurança da informação

em todo mundo. Mais do que uma simples checklist, a BS 7799-2 tornou-se um

verdadeiro instrumento de orientação para a implantação de um sistema de gestão

de segurança da informação.

O Código de práticas homologado e publicado pela a ISO continuou

evoluindo e foi republicada em 2005 com muitas melhorias, tendo os controles de

segurança da informação mais claramente identificados, com os requisitos, forma de

implantação e informações adicionais. Nesse mesmo ano, finalmente, a ISO

homologou a parte 2 da BS 7799, que possibilita a certificação. No entanto, essa

nova norma passou a se chamar ISO 27.001, sendo o objetivo criar uma nova

família de normas de segurança da Informação, tal como acontece com as famílias

9.000 e 14.000.

Segundo Campos (2007) em abril de 2007 a ISO 17.799 foi então renomeada

para ISO 27.002. Ainda existe a possibilidade do lançamento de novas normas da

família, formando a seguinte estrutura:

ISO 27.001: Especificação do sistema de gestão de segurança da

informação.

ISO 27.002: Código de prática para gestão de segurança da

informação (antiga ISSO 17.799)

ISO 27.003: Guia de implementação dos Sistemas de gestão de

segurança da informação

57

ISO 27.004: Medidas e métricas utilizadas em segurança da

Informação

ISO 27.005: Gestão de riscos em sistemas de gestão de segurança

da informação.

ISO 27.006: Requisitos para auditoria e certificação de um sistema de

gestão da segurança da Informação. (CAMPOS, 2007).

Segundo Ferreira e Araújo (2006) apud Matos (2010) em dezembro de 2000 a

ABNT (Associação Brasileira de Normas Técnicas) também resolveu acatar a norma

ISO como padrão brasileiro sendo publicada em 2001 como: ABNT NBR 17799 –

Código de Prática para a Gestão da Segurança da Informação. O importante é que a

partir dessa publicação passamos a ter um referencial de aceitação internacional.

No segundo semestre de 2005 foi lançada a nova versão da norma, a norma

ISO / IEC 17799:2005, que cancela e substitui a edição anterior.

A partir de 2007, a nova edição da NBR/ ISO/IEC 17799 foi incorporada ao

novo esquema de numeração como ISO/IEC 27002.

Segundo a ABNT esta edição da ABNT NBR ISO/IEC 27002 tem seu conteúdo

técnico idêntico ao da versão corrigida de 02.07.2007 da ABNT NBR ISO/IEC

17799:2005.

7.5 A NORMA NBR/ISO/17.799:2005

Dentre as normas existentes destaca se a NBR/ISO/17799, que é a versão

brasileira da BS7799 desenvolvida na Inglaterra pelo CCSC (Commercial Computer

Security Centre) e que ao longo dos anos foi sofrendo alterações até o ano 2000

quando ganhou notoriedade internacional, sendo assim homologada em 2001 pela a

ABNT, e se tornou a NBR/ISOIEC 17799.

A ISO (International Organization for Stardarditation) e a IEC (Internacional

Electritecchnical commission) formam o sistema especializado para a padronização

mundial, assim as entidades nacionais que são membros da ISO ou IEC participam

do desenvolvimento de padrões internacionais através de comitês específicos.

As normas dentro das organizações representam uma base para a afirmação

da qualidade, sendo assim organizações devidamente certificadas por estas normas,

tendem a oferecer serviços e produtos de excelência.

58

As normas caracterizam se pelo o detalhamento específico de cada aspecto

abordado.

O objetivo da NBR/ISO/IEC 17799 é fornecer recomendações para a gestão

de segurança da Informação para o uso dos envolvidos responsáveis pela a

introdução, implementação ou manutenção da segurança nas suas respectivas

organizações.

As informações e os processos, sistemas e redes que lhes dão suporte são ativos importantes para os negócios. “A confidencialidade, a integridade e a disponibilidade das informações podem ser essenciais para manter a competitividade, o fluxo de caixa, a rentabilidade, o atendimento à legislação e a imagem comercial.” (NBR/ISO/ IEC- 27002)

A NBR ISO/IEC 27002 é um conjunto de práticas para a Gestão da

Segurança de Informações está dividida em seções, a saber:

1. Política de Segurança da Informação

2. Organizando a Segurança da Informação

3. Gestão de Ativos

4. Segurança em Recursos humanos

5. Segurança Física e do Ambiente

6. Gestão das Operações e Comunicações

7. Segurança Física e Ambiental

8. Gerenciamento de Comunicação Operações

9. Controle de Acesso

10. Aquisição e Desenvolvimento e Manutenção de Sistemas de Informação

11. Gestão da Continuidade do negócio

12. Conformidade

7.6 A IMPORTÂNCIA DA NBR/ISO 27002 (17.799:2005)

As normas publicadas pela Organização Internacional de Normalização, a ISO,

tem respaldo internacional.

Apesar da NBR ISO 27.002 não ser voltada para fins de certificação é um

código de boas práticas para a segurança da informação que possuí um vasto

59

conjunto de definições importantes para a proteção de informações de

organizações independente do seu porte ou tamanho de atuação.

60

8 POLÍTICA E ORGANIZAÇÃO DE SEGURANÇA

Esse capítulo abordará os pontos de Política e organização de Segurança,

gestão de ativos e manutenção e descarte da informação de acordo com a

NBR/ISO/IEC 27.002, como proposta de boas práticas para a organização

pesquisada.

8.1 POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

A política de segurança da informação desempenha um papel importante na

organização, pois esta estabelece de forma documentada as permissões e

negações na gestão da informação.

Para Campos (2007), a Política de Segurança da Informação é um conjunto

de regras, normas e procedimentos que determina qual deve ser o comportamento

das pessoas que se relacionam com a organização no que se refere ao tratamento

da informação.

A Norma NBR ISO IEC 27.002 especifica que a Política de Segurança da

Informação deve prover uma orientação e apoio da direção para a segurança da

Informação de acordo com os requisitos do negócio e com as leis e

regulamentações relevantes.

Segundo Campos (2007) a política de segurança da informação proporciona

coerência nas decisões e menos complexidade para se chegar a conclusões sobre

assuntos diversos relacionados com a segurança da Informação. As decisões

passam a ser mais justas e mais facilmente aceitas, já que se baseiam em uma

política sólida e conhecida, e não apenas no critério pessoal daquele que decide.

A Importância de uma Política de Segurança da Informação é que esta

estabelece um padrão de comportamento que deve ser do conhecimento geral de

todos e é base para decisões da alta direção em assuntos relacionados à segurança

da Informação.

61

8.1.1 Documento da Política de Segurança da Informação.

A Norma NBR ISO IEC 27002 define que um documento da política de

segurança da informação seja aprovado pela a direção, publicado e comunicado

para todos os funcionários e parte extremas relevantes.

Para Norma NBR ISO IEC 27.002 é necessário que o documento da política

de segurança da informação declare o comprometimento da direção e estabeleça o

enfoque da Organização para gerenciar a Segurança da Informação.

Convêm que o documento da política contenha declarações relativas

a:

a) Uma definição de segurança da informação, suas metas

globais, escopo e importância da segurança da informação como um

mecanismo que habilita o compartilhamento da Informação.

b) Uma declaração do comprometimento da direção, apoiando

as metas e princípios da segurança da informação, alinhada com os

objetivos e estratégias de negócio;

c) Uma estrutura para estabelecer os objetivos de controle e os

controles, incluindo a estrutura de análise/avaliação e gerenciamento de

risco

d) Breve explanação das políticas, princípios e normas

e) Definição das responsabilidades gerais e específicas na

gestão da segurança da informação, incluindo o registro dos incidentes de

segurança da informação;

f) Referências à documentação que possam apoiar a política,

por exemplo, políticas e procedimentos de segurança mais detalhados de

sistemas de informação específicos ou regras de segurança que os

usuários devem seguir.

Convém que esta política de segurança da informação seja

comunicada através de toda a organização para os usuários de forma que

seja relevante acessível e compreensível para o leitor em foco.

(NBR ISO IEC 27.002:2005)

62

8.1.2 Análise Crítica da Política de Segurança da Informação

A norma NBR ISO IEC 27.002:2005, estabelece que convém que política de

Segurança da Informação seja analisada criticamente a intervalos planejados ou

quando mudanças significativas ocorrerem, para assegurar a sua contínua

persistência, adequação e eficácia.

Que a política de segurança da informação tenha um gestor que tenha

aprovado a responsabilidade pelo desenvolvimento, análise crítica e avaliação da

política de segurança da informação.

Convém que a análise crítica da política de segurança da informação leve em

consideração os resultados da análise crítica pela direção. Convém que sejam

definidos procedimentos para análise crítica pela direção, incluindo uma

programação ou um período para a análise crítica.

Que as entradas para a análise crítica pela direção incluam informações sobre: a) realimentação das partes interessadas; b) resultados de análises críticas independentes. c) situação de ações preventivas e corretivas. d) resultados de análises críticas anteriores feitas pela direção; e) desempenho do processo e conformidade com a política de segurança da informação; f) mudanças que possam afetar o enfoque da organização para gerenciar a segurança da informação, incluindo mudanças no ambiente organizacional, nas circunstâncias do negócio, na disponibilidade dos recursos, nas questões contratuais, regulamentares e de aspectos legais ou no ambiente técnico; g) tendências relacionadas com as ameaças e vulnerabilidades; h) relato sobre incidentes de segurança da informação i) recomendações fornecidas por autoridades relevantes Convém que as saídas da análise crítica pela direção incluam quaisquer decisões e ações relacionadas a: a) melhoria do enfoque da organização para gerenciar a segurança da informação e seus processos; b) melhoria dos controles e dos objetivos de controles; c) melhoria na alocação de recursos e/ou de responsabilidades.

(NBR ISO IEC 27.002:2005)

Convém que um registro da análise crítica pela direção seja mantido e que a

aprovação pela direção da política de segurança da informação revisada seja obtida.

63

8.1.3 Organizando a Segurança Da Informação

Segundo a Norma NBR ISO 27. 002 é necessário organizar a Infra-estrutura da

Informação, ou seja, consiste no estabelecimento de uma estrutura de

gerenciamento que tem como função controlar a implementação da segurança da

Informação dentro da organização onde a direção da organização aprove a política

de segurança, atribuindo funções da segurança e coordene e analise criticamente a

implementação da mesma, se necessário convém que uma consultoria

especializada em segurança da Informação seja estabelecida e organizada.

8.1.4 Comprometimento da direção com a Segurança da Informação

Para a norma ISO NBR 27.002 é necessário que a direção apóie ativamente o

segurança da Informação dentro da organização, por meio de um claro

direcionamento, demonstrando o seu comprometimento, definindo atribuições de

forma explicita e conhecendo as responsabilidades pela a segurança da informação.

Convém que a direção:

a) assegure que as metas de segurança da informação estão identificadas, atendem aos requisitos da organização e estão integradas nos processos relevantes; b) formule, analise criticamente e aprove a política de segurança da informação; c) analise criticamente a eficácia da implementação da política de segurança da informação; d) forneça um claro direcionamento e apoio para as iniciativas de segurança da informação; e) forneça os recursos necessários para a segurança da informação; f) aprove as atribuições de tarefas e responsabilidades específicas para a segurança da informação por toda a organização; g) inicie planos e programas para manter a conscientização da segurança da informação; h) assegure que a implementação dos controles de segurança da informação tem uma coordenação e permeia a organização.

(NBR ISO IEC 27.002:2005)

Convém que a direção identifique as necessidades para a consultoria de um

especialista interno ou externo em segurança da informação, analise criticamente e

coordene os resultados desta consultoria por toda a organização.

64

Dependendo do tamanho da organização, tais responsabilidades podem ser

conduzidas por um fórum de gestão exclusivo ou por um fórum de gestão existente,

a exemplo do conselho de diretores.

8.1.5 Atribuição de responsabilidades para a segurança da informação

A norma NBR ISO 27.002 estabelece que todas as responsabilidades pela

segurança da informação, estejam claramente definidas.

Convém que a atribuição das responsabilidades pela segurança da informação

seja feita em conformidade com a política de segurança da informação. Convém que

as responsabilidades pela proteção de cada ativo e pelo cumprimento de processos

de segurança da informação específicos sejam claramente definidas. Convém que

esta responsabilidade seja complementada, onde for necessário, com orientações

mais detalhadas para locais específicos e recursos de processamento de

informações. Convém que sejam claramente definidas as responsabilidades em

cada local para a proteção dos ativos e para realizar processos de segurança da

informação específicos, como, por exemplo, o plano de continuidade de negócios.

Pessoas com responsabilidades definidas pela segurança da informação

podem delegar as tarefas de segurança da informação para outros usuários.

Todavia eles continuam responsáveis e convém que verifiquem se as tarefas

delegadas estão sendo executadas corretamente.

Convém que as áreas pelas quais as pessoas sejam responsáveis, estejam

claramente definidas; em particular convém que os seguintes itens sejam cumpridos:

a) os ativos e os processos de segurança da informação associados com cada sistema sejam identificados e claramente definidos; b) gestor responsável por cada ativo ou processo de segurança da informação tenha atribuições definidas e os detalhes dessa responsabilidade sejam documentados. c) os níveis de autorização sejam claramente definidos e documentados. Em muitas organizações um gestor de segurança da informação pode ser indicado para assumir a responsabilidade global pelo desenvolvimento e implementação da segurança da informação e para apoiar a identificação de controles. (NBR ISO IEC 27.002:2005)

Entretanto, a responsabilidade pela obtenção dos recursos e implementação

dos controles permanece sempre com os gestores. Uma prática comum é indicar um

65

responsável por cada ativo, tornando-o assim responsável por sua proteção no dia a

dia.

Como proposta para a prevenção de ataques de Engenharia Social na

organização pesquisada Gabinetes da Câmara Municipal de Santarém, foi

destacada na NBR/ISO/27.002 apenas os pontos referente a boas práticas na

gestão de ativos no descarte e manutenção das informações.

8.2 Gestão de Ativos

Ativo de acordo com a norma NBR ISO IEC 27.002, é tudo que representa

valor para a organização, a gestão de ativos corresponde às medidas estabelecidas

pela norma na manutenção e proteção dos mesmos, as medidas que a norma

sugere estão primeiramente no levantamento e identificação desses ativos

detalhando os seus devidos proprietários identificando-os para a elaboração de um

inventário que promova a organização e manutenção desses ativos de maneira que

seja possível classificar informações e ativos conforme o nível de proteção indicado

a cada um deles, seguindo as boas práticas documentadas que definem as

permissões negações no uso dos mesmos.

8.2.1 Responsabilidade pelos ativos

A direção da Câmara Municipal de Santarém assume a responsabilidades

pelos os ativos pertencentes a ela como móveis e computadores, mas não tem

autoridade sobre os outros ativos pertencentes aos gabinetes dos parlamentares

cuja responsabilidade fica ao cuidado dos mesmos, não há um controle na atribuição

da manutenção apropriada de controles.

Para isso a norma NBR ISO 27.002, especifica que a gestão dos ativos tem

como objetivo alcançar e manter a proteção adequada dos ativos da organização, a

norma também aconselha que todos os ativos sejam inventariados e tenham um

proprietário responsável de maneira que os proprietários dos ativos sejam

identificados e a eles sejam atribuídas às responsabilidades pela a manutenção

apropriada dos controles.

66

8.2.2 Inventário dos Ativos

Quanto ao inventário dos ativos, na organização pesquisada Câmara municipal

de Santarém há uma documentação que apenas registra os ativos, mas não os

classifica de acordo com o grau de importância e nem estabelece uma política de

manutenção específica a eles, quanto aos gabinetes dos parlamentares nenhum

controle existe o que representa uma vulnerabilidade muito grande quanto a

possíveis ações de atacantes ou ate mesmo desastres físicos ou naturais.

A norma NBR ISO 27.002, aconselha que todos os ativos sejam claramente

identificados e um inventário de todos os ativos importantes seja estruturado e

mantido.

A norma também especifica as diretrizes para a implementação, e estabelece

que a organização identifique todos os ativos e documente a importância destes

ativos. Convém que o inventário do ativo inclua todas as informações necessárias

que permitam recuperar de um desastre, incluindo o tipo do ativo, formato,

localização, informações sobre cópias de segurança, informações sobre licenças e a

importância do ativo para o negócio. Convém que o inventário não duplique outros

inventários desnecessariamente, porém ele deve assegurar que o seu conteúdo está

coerente.

8.2.3 Proprietário dos Ativos

Os proprietários dos ativos designados na organização pesquisada os

gabinetes da Câmara Municipal de Santarém estão representados nos

parlamentares cujo os mesmos não tem nenhum tipo de controle ou documentação

que os oriente quanto as suas responsabilidades.

Quanto aos proprietários dos ativos a norma NBR ISO 27.002 estabelece que

convém que todas as informações e ativos associados com os recursos de

processamento da informação tenham um proprietário designado por uma parte

definida da organização.

Convém que o proprietário do ativo seja responsável por: a) assegurar que as informações e os ativos associados com os recursos de processamento da informação estejam adequadamente classificados;

67

b) definir e periodicamente analisar criticamente as classificações e restrições ao acesso, levando em conta as políticas de controle de acesso, aplicáveis. O proprietário pode ser designado para: a) um processo do negócio; b) um conjunto de atividades definidas; c) uma aplicação; ou d) um conjunto de dados definido. (NBR ISO IEC 27.002:2005)

8.2.4 Uso Aceitável dos Ativos

Quanto ao uso da informação e os ativos nelas envolvidos, a organização

pesquisada. Gabinetes da Câmara Municipal de Santarém, não possuí uma política

que oriente os funcionários e terceiros, existe apenas a confiança depositada no

bom senso dos mesmos ao estabelecer limites nos recursos de processamento da

informação.

A norma NBR ISO 27.002, especifica que sejam identificadas, documentadas e

implementadas regras para que sejam permitidos o uso de informações e de ativos

associados aos recursos de processamento da informação e que todos os

funcionários, fornecedores e terceiros sigam as regras para o uso permitido de

informações e de ativos associados aos recursos de processamento da informação,

incluindo:

a) regras para o uso da internet e do correio eletrônico

b) diretrizes para o uso de dispositivos móveis, especialmente para o uso fora

das instalações da organização.

Convém que funcionários, fornecedores e terceiros que usem ou tenham

acesso aos ativos da organização estejam conscientes dos limites que existem para

os usos das informações e ativos associados da organização aos recursos de

processamento da informação. Convém que eles sejam responsáveis pelo uso de

quaisquer recursos de processamento da informação e de quaisquer outros usos

conduzidos sob as suas responsabilidades.

68

8.2.5 Classificação das Informações

A organização pesquisada não classifica as informações de acordo com seu

grau de importância, apenas mantém informações em um ambiente fora do espaço

físico do gabinete.

Para isso, quanto à classificação das Informações a Norma NBR ISO 27.002

estabelece que a informação seja classificada para indicar a necessidade,

prioridades e o nível esperado de proteção quando do tratamento da informação.

Por isso recomenda-se que a informação seja classificada em termos do seu valor,

requisitos legais, sensibilidade e criticidade para a organização.

A norma especifica que a classificação da informação e seus respectivos

controles de proteção levem em consideração as necessidades de

compartilhamento ou restrição de informações e os respectivos impactos nos

negócios associados com tais necessidades, convém que as diretrizes para

classificação incluam convenções para classificação inicial e reclassificação ao

longo do tempo, de acordo com algumas políticas de controle de acesso

predeterminadas. Além disso, Convém que seja de responsabilidade do proprietário

do ativo definir a classificação de um ativo, analisando-o criticamente a intervalos

regulares, e assegurar que ele está atualizado e no nível apropriado.

8.2. 6 Recomendações para a Classificação

A Norma NBR/ISO 27.002 especifica que convêm que a informação seja

classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade

para a organização e que a classificação da informação e seus respectivos controles

de proteção levem em consideração as necessidades de compartilhamento ou

restrição de informações e os respectivos impactos nos negócios, associados com

tais necessidades.

Ainda de acordo com a norma NBR/ISO/IEC 27.002 convém que as diretrizes

para classificação incluam convenções para classificação inicial e reclassificação ao

longo do tempo, de acordo com algumas políticas de controle de acesso

predeterminadas e que seja de responsabilidade do proprietário do ativo definir a

classificação de um ativo, analisando-o criticamente a intervalos regulares, e

69

assegurar que ele está atualizado e no nível apropriado e que a classificação leve

em consideração a agregação do efeito e que cuidados sejam tomados com a

quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso.

Esquemas excessivamente complexos podem tornar o uso incômodo e ser inviáveis

economicamente ou impraticáveis. Convém que atenção especial seja dada na

interpretação dos rótulos de classificação sobre documentos de outras

organizações, que podem ter definições diferentes para rótulos iguais ou

semelhantes aos usados.

8.2.7 Papéis e Responsabilidades

Na organização pesquisada, gabinete da Câmara Municipal de Santarém não

existe um documento que defina o papel e as responsabilidades de funcionários ou

terceiros, existe apenas o bom senso de todos os envolvidos no processo de

manipulação da informação.

A norma NBR ISO 27.002, estipula que as responsabilidades pela a segurança

da informação de funcionários, fornecedores e terceiros sejam definidos e

documentados de acordo com a política de segurança da informação da

organização.

“Convém que papéis e responsabilidades de segurança da informação sejam

definidos e claramente comunicados aos candidatos a cargos, durante o processo

de pré- contratação.” (NBR/ISO/ IEC- 27002)

A norma também define que descrições de cargos podem ser usadas para

documentar responsabilidades e papéis pela segurança da informação. Convém que

papéis e responsabilidades pela segurança da informação para pessoas que não

estão engajadas por meio do processo de contratação da organização, como, por

exemplo, através de uma organização terceirizada, sejam claramente definidos e

comunicados.

70

8.2.8 Conscientização, Educação, Treinamento em Segurança da Informação

A organização pesquisada não promove treinamentos e conscientização dos

seus funcionários, existem apenas reuniões que definem as ações do gabinete, mas

não especificam as questões da segurança da informação.

Segundo a norma ISO NBR 27.002, é necessário que todos os funcionários da

organização e, onde pertinente, fornecedores e terceiros recebam treinamento

apropriados em conscientização, e atualizações regulares nas políticas e

procedimentos organizacionais, relevantes para as suas funções.

Convém que o treinamento em conscientização comece com um processo

formal de indução concebido para introduzir as políticas e expectativas de segurança

da informação da organização, antes que seja dado o acesso às informações ou

serviços e que os treinamentos em curso incluam requisitos de segurança da

informação, responsabilidades legais e controles do negócio, bem como o

treinamento do uso correto dos recursos de processamento da informação, como,

por exemplo, procedimentos de log-on, o uso de pacotes de software e informações

sobre o processo disciplinar.

É necessário que a conscientização, educação e treinamento nas atividades de

segurança da informação sejam adequados e relevantes para os papéis,

responsabilidades e habilidades da pessoa, e que incluam informações sobre

conhecimento de ameaças, quem deve ser contatado para orientações sobre

segurança da informação e os canais adequados para relatar os incidentes de

segurança da informação.

O treinamento para aumentar a conscientização visa permitir que as pessoas

reconheçam os problemas e incidentes de segurança da informação, e respondam

de acordo com as necessidades do seu trabalho.

8.2.9 Processo Disciplinar

Não há processo disciplinar quanto aos funcionários que tenham de alguma

forma prejudicado a organização no que se diz respeito a vazamento de

informações, existe apenas o levantamento de testemunhas, mas não de maneira

formal ou documentada, a demissão é feita de maneira discreta.

71

A norma NBR ISO IEC 27.002 especifica que convém que exista um processo

disciplinar formal para os funcionários que tenham cometido uma violação da

segurança da informação.

Ainda de acordo com a norma NBR ISSO IEC 27.002, convém que o processo

disciplinar não inicie sem uma verificação prévia de que a violação da segurança da

informação realmente ocorreu e que este processo disciplinar formal assegure um

tratamento justo e correto aos funcionários que são suspeitos de cometer violações

de segurança da informação.

O processo disciplinar formal deve dar uma resposta de forma gradual, que

leve em consideração fatores como a natureza e a gravidade da violação e o seu

impacto no negócio, se este é ou não o primeiro delito, se o infrator foi ou não

adequadamente treinado, as legislações relevantes, os contratos do negócio e

outros fatores conforme requerido. Em casos sérios de má conduta, convém que o

processo permita, por um certo período, a remoção das responsabilidades, dos

direitos de acesso e privilégios e, dependendo da situação, solicitar à pessoa, a

saída imediata das dependências da organização, escoltando-a.

“Convém que o processo disciplinar também seja usado como uma forma de dissuasão, para evitar que os funcionários, fornecedores e terceiros violem os procedimentos e as políticas de segurança da informação da organização, e quaisquer outras violações na segurança..” (NBR/ISO/ IEC- 27002).

8.2.10 Encerramento ou mudança de Contratação.

Quanto ao encerramento das atividades ou mudança de contratação dos

funcionários se dá de maneira discreta, mas não existe uma política quanto a isso,

dependendo do cargo ou grau de importância do funcionário em questão, as

medidas tomadas em relação a sua saída podem mudar.

Em relação às questões de mudança e contratação a norma ISO 27.002,

especifica que é necessário que os funcionários e terceiros deixem a organização de

forma ordenada.

A norma ISO 27.002 especifica que convém que responsabilidades sejam

definidas para assegurar que a saída de funcionários, fornecedores e terceiros da

organização seja feita de modo controlado e que a devolução de todos os

equipamentos e a retirada de todos os direitos de acesso estão concluídas.

72

8.2.11 Devolução dos ativos

Quanto à devolução de ativos a organização pesquisada a saber Gabinete da

câmara Municipal de Santarém obriga funcionários a devolverem, chaves,

computadores ou qualquer outro bem da organização, mas essa devolução não

acontece de forma organizada, pois não existe uma política de segurança

estabelecida para isso.

Em relação à devolução dos ativos, a norma NBR ISO 27.002, especifica que

todos os funcionários, fornecedores e terceiros devolvam todos os ativos da

organização que estejam em sua posse, após o encerramento de suas atividades,

do contrato ou acordo.

A norma especifica que convém que o processo de encerramento de atividades

seja formalizado para contemplar a devolução de todos os equipamentos,

documentos corporativos e software entregues à pessoa. Outros ativos da

organização, tais como dispositivos de computação móvel, cartões de créditos,

cartões de acesso, software, manuais e informações armazenadas em mídia

eletrônica, também precisam ser devolvidos.

8.2.12 Retirada de Direitos de Acesso

A norma NBR ISO 27.002, especifica que os direitos de acesso de todos os

funcionários e terceiros ás informações e aos recursos de processamento da

informação sejam retirados após o encerramento de suas atividades, contratos ou

acordos, ou ajustados após as mudanças.

8.3 Manutenção e Descarte da Informação

Especificações da Norma NBR ISO IEC 27002 a respeito da manutenção e

descarte da Informação.

73

8.3.1 Manuseio de Mídias

As mídias utilizadas durante o processo de manutenção da informação na

organização pesquisada são armazenadas no próprio gabinete e abrigam

informações referentes a documentos, projetos e registro financeiro.

A NBR/ISO 27.002 especifica que os procedimentos operacionais apropriados

sejam estabelecidos para proteger documentos, mídias magnéticas de

computadores (fitas, discos), dados de entrada e saída e documentação dos

sistemas contra divulgação não autorizada, modificação, remoção e destruição.

Convém que existam procedimentos implementados para o gerenciamento de mídias removíveis e que as seguintes diretrizes para o gerenciamento de mídias removíveis sejam consideradas: a) quando não for mais necessário, o conteúdo de qualquer meio magnético reutilizável seja destruído, caso venha a ser retirado da organização; b) quando necessário e prático, seja requerida a autorização para remoção de qualquer mídia da organização e mantido o registro dessa remoção como trilha de auditoria; c) toda mídia seja guardada de forma segura em um ambiente protegido, de acordo com as especificações do fabricante; d) informações armazenadas em mídias que precisam estar disponíveis por muito tempo (em conformidade com as especificações dos fabricantes) sejam também armazenadas em outro local para evitar perda de informações devido à deterioração das mídias; e) as mídias removíveis sejam registradas para limitar a oportunidade de perda de dados; f) as unidades de mídias removíveis estejam habilitadas somente se houver uma necessidade do negócio. Convém que todos os procedimentos e os níveis de autorização sejam explicitamente documentados. O objetivo dessa boa prática de segurança é prevenir contra divulgação não autorizada, modificação, remoção ou destruição aos ativos, e interrupções das atividades do negócio. Para isso, convém que as mídias sejam controladas e fisicamente protegidas. (NBR/ISO 27.002:2005)

8.3.2 Descarte de Mídias

O descarte de mídias na organização pesquisada se dá no lixeiro da própria

organização, não existe uma política de descarte.

Quanto a isso, a norma NBR ISO 27.002, especifica que quanto ao descarte de

mídias deve ser descartadas de forma segura e protegida quando não forem mais

necessárias, por meios de procedimentos formais, a saber:

Quando não for mais necessário, o conteúdo de qualquer magnético reutilizável

seja destruído, caso venha ser retirado da organização;

74

Quando necessário e pratico, seja requerida a autorização para a remoção de

qualquer mídia da organização e mantido registro dessa remoção.

c) pode ser mais fácil implementar a coleta e descarte seguro de todas as mídias a serem inutilizadas do que tentar separar apenas aquelas contendo informações sensíveis; d) muitas organizações oferecem serviços de coleta e descarte de papel, de equipamentos e de mídias magnéticas; convém que se tenha o cuidado na seleção de um fornecedor com experiência e controles adequados; e) descarte de itens sensíveis seja registrado em controles sempre que possível para se manter uma trilha de auditoria. (NBR ISO IEC 27.002:2005)

Quando da acumulação de mídias para descarte, convém que se leve em

consideração o efeito proveniente do acúmulo, o que pode fazer com que uma

grande quantidade de informação não sensível torne-se sensível.

8.3.3 Procedimentos para o Tratamento da Informação

A Organização gabinetes da Câmara Municipal, quanto ao tratamento da

informação não define uma política; de acordo com as entrevistas feitas junto com

os funcionários os mesmos disseram que não existe uma organização definida

quanto à manutenção das informações e que fica a critério de cada funcionário do

gabinete a responsabilidade pelos os mesmos.

A NBR ISO IEC 27.799 estabelece que sejam estabelecidos procedimentos

para o tratamento e armazenamento das informações, para proteger tais

informações contra a divulgação não autorizada ou uso indevido.

Ainda de acordo com a norma, convêm que procedimentos sejam

estabelecidos para o tratamento, processamento, armazenamento e transmissão da

informação, de acordo com a sua classificação e que os seguintes itens sejam

considerados:

a) tratamento e identificação de todos os meios magnéticos indicando o nível de classificação; b) restrições de acesso para prevenir o acesso de pessoas não autorizadas; c) manutenção de um registro formal dos destinatários de dados autorizados; d) garantia de que a entrada de dados seja completa, de que o processamento esteja devidamente concluído e de que a validação das saídas seja aplicada; e) proteção dos dados preparados para expedição ou impressão de forma consistente com a sua criticidade; f) armazenamento das mídias em conformidade com as especificações dos fabricantes;

75

g) manutenção da distribuição de dados no menor nível possível; h) identificação eficaz de todas as cópias das mídias, para chamar a atenção dos destinatários autorizados; i) análise crítica das listas de distribuição e das listas de destinatários autorizados em intervalos regulares. (NBR ISO IEC 27.002:2005)

8.3. 4 Troca de Informações

Não existe uma política quanto à troca de informações na organização

pesquisada, constatou-se que muitas informações consideradas sigilosas eram

trocadas verbalmente nos corredores entre parlamentares e assessores e entre

funcionários dos gabinetes e parlamentares, além disso constatou-se que muitas

formações importantes eram trocadas ao telefone.

Quanto à troca de informações a NBR ISO IEC 27.002 aconselha que os

procedimentos e controle estabelecidos para a troca de informações em recursos

eletrônicos de comunicação considerem os tópicos a seguir:

a) procedimentos formulados para proteger a informação em trânsito contra interceptação, cópia, modificação, desvio e destruição; b) procedimentos para detecção e proteção contra código malicioso que pode ser transmitido através do uso de recursos eletrônicos de comunicação. c) procedimentos para proteção de informações eletrônicas sensíveis que sejam transmitidas na forma de anexos; d) política ou diretrizes que especifiquem o uso aceitável dos recursos eletrônicos de comunicação e) procedimentos para o uso de comunicação sem fio (wireless), levando em conta os riscos particulares envolvidos; f) as responsabilidades de funcionários, fornecedores e quaisquer outros usuários não devem comprometer a organização através de, por exemplo, difamação, assédio, falsa identidade, retransmissão de "correntes", compras não autorizadas etc.; g) uso de técnicas de criptografia para, por exemplo, proteger a confidencialidade, a integridade e a autenticidade das informações; h) diretrizes de retenção e descarte para toda a correspondência de negócios, incluindo mensagens, de acordo com regulamentações e legislação locais e nacionais relevantes; i) não deixar informações críticas ou sensíveis em equipamentos de impressão, tais como copiadoras, impressoras e aparelhos de fax, de tal forma que pessoas não autorizadas tenham acesso a elas; j) controles e restrições associados à retransmissão em recursos de comunicação como, por exemplo, a retransmissão automática de correios eletrônicos para endereços externos; k) lembrar às pessoas que elas devem tomar precauções adequadas como, por exemplo, não revelar informações sensíveis, para evitar que sejam escutadas ou interceptadas durante uma ligação telefônica por:

(NBR ISO IEC 27.002:2005)

76

1) pessoas em sua vizinhança, especialmente quando estiver usando telefone celular; 2) grampo telefônico e outras formas de escuta clandestina através do acesso físico ao aparelho telefônico ou à linha, ou, ainda, pelo uso de rastreadores; 3) pessoas ao lado do interlocutor; l) não deixar mensagens contendo informações sensíveis em secretárias eletrônicas, uma vez que as mensagens podem ser reproduzidas por pessoas não autorizadas, gravadas em sistemas públicos ou gravadas indevidamente por erro de discagem; m) lembrar as pessoas sobre os problemas do uso de aparelhos de fax, tais como: 1) acesso não autorizado a dispositivos para recuperação de mensagens; 2) programação de aparelhos, deliberada ou acidental, para enviar mensagens para números específicos determinados; 3) envio de documentos e mensagens para número errado, seja por falha na discagem ou uso de número armazenado errado; n) lembrar as pessoas para que evitem o armazenamento de dados pessoais, como endereços de correios eletrônicos ou informações adicionais particulares, em qualquer software, impedindo que sejam capturados para uso não autorizado; o) lembrar as pessoas sobre a existência de aparelhos de fax e copiadoras que têm dispositivos de armazenamento temporário de páginas para o caso de falha no papel ou na transmissão, as quais serão impressas após a correção da falha. (NBR ISO IEC 27.002:2005)

A norma NBR ISO 27.002 aconselha que adicionalmente, convém que as

pessoas sejam lembradas de que não devem manter conversas confidenciais em

locais públicos, escritórios abertos ou locais de reunião que não disponham de

paredes à prova de som e que os recursos utilizados para a troca de informações

estejam de acordo com os requisitos legais pertinentes.

A troca de informações pode ocorrer através do uso de vários tipos diferentes

de recursos de comunicação, incluindo correios eletrônicos, voz, fax e vídeo.

A troca de softwares pode ocorrer de diferentes formas, incluindo a baixa

(download) da internet ou a aquisição junto a fornecedores que vendem produtos em

série.

De acordo com a norma NBR ISSO IEC 27.002, convém que sejam

consideradas as possíveis implicações nos negócios, nos aspectos legais e na

segurança, relacionadas com a troca eletrônica de dados, com o comércio

eletrônico, comunicação eletrônica e com os requisitos para controles.

As informações podem ser comprometidas devido à falta de conscientização,

de políticas ou de procedimentos no uso de recursos de troca de informações, como,

por exemplo, a escuta de conversas ao telefone celular em locais públicos, erro de

endereçamento de mensagens de correio eletrônico, escuta não autorizada de

77

mensagens gravadas em secretárias eletrônicas, acesso não autorizado a sistemas

de correio de voz ou o envio acidental de faxes para aparelhos errados.

8.3.5 Mídias em Trânsito

Na Organização pesquisada constatou-se que muitos funcionários mantém

documentos importantes em seus pendrives pessoais, dessa forma as informações

saem do ambiente físico do gabinete e sofrem risco de serem manipuladas ou

acessadas sem a devida autorização.

Quanto a isso a ISO NBR 27.002, quanto às mídias em trânsito estabelece

que mídias contendo informações sejam protegidas contra acesso não autorizado,

uso impróprio ou alteração indevida durante o transporte externo aos limites físicos

da organização.

Convém que as seguintes recomendações sejam consideradas, para proteger as mídias que são transportadas entre localidades: a) meio de transporte ou o serviço de mensageiros sejam confiáveis; b) seja definida uma relação de portadores autorizados em concordância com o gestor; c) sejam estabelecidos procedimentos para a verificação da identificação dos transportadores; d) a embalagem seja suficiente para proteger o conteúdo contra qualquer dano físico, como os que podem ocorrer durante o transporte, e que seja feita de acordo com as especificações dos fabricantes (como no caso de

softwares), por exemplo, protegendo contra fatores ambientais que possam reduzir a possibilidade de restauração dos dados como a exposição ao calor, umidade ou campos eletromagnéticos; e) sejam adotados controles, onde necessário, para proteger informações sensíveis contra divulgação não autorizada ou modificação; como exemplo, pode-se incluir o seguinte: 1) utilização de recipientes lacrados; 2) entrega em mãos; 3) lacre explícito de pacotes (que revele qualquer tentativa de acesso); 4) em casos excepcionais, divisão do conteúdo em mais de uma remessa e expedição por rotas distintas. (NBR ISO IEC 27.002:2005)

As informações podem estar vulneráveis a acesso não autorizado, uso

impróprio ou alteração indevida durante o transporte físico, por exemplo, quando a

mídia é enviada por via postal ou sistema de mensageiros.

78

8.3.6 Mensagens Eletrônicas

Na organização pesquisada, muitas informações são trocadas via mensagens

instantâneas, a maioria delas a respeito de solicitações ou interesses políticos,

informações que se refiram a interesses políticos podem se tornar sigilosas.

A NBR ISO IEC 27.002, quanto a mensagens eletrônicas estabelece que convém que as informações que trafegam em mensagens eletrônicas sejam adequadamente protegidas. Convém que as considerações de segurança da informação sobre as mensagens eletrônicas incluam o seguinte: a) proteção das mensagens contra acesso não autorizado, modificação ou negação de serviço; b) assegurar que o endereçamento e o transporte da mensagem estejam corretos; c) confiabilidade e disponibilidade geral do serviço; d) aspectos legais, como, por exemplo, requisitos de assinaturas eletrônicas; e) aprovação prévia para o uso de serviços públicos externos, tais como sistemas de mensagens instantâneas e compartilhamento de arquivos; f) níveis mais altos de autenticação para controlar o acesso a partir de redes públicas. (NBR ISO IEC 27.002:2005)

Mensagens eletrônicas como correio eletrônico, Eletronic Data Interchange (EDI)

e sistemas de mensagens instantâneas cumprem um papel cada vez mais

importante nas comunicações do negócio. A mensagem eletrônica tem riscos

diferentes, se comparada com a comunicação em documentos impressos.

8.3.7 Controle de acesso ao sistema operacional

Os gabinetes da Câmara Municipal de acordo com as informações colhidas nos

questionários e entrevistas, a única medida de segurança adotada por uma parcela

pequena de funcionários é a utilização de senhas no acesso ao Sistema Operacional.

Quanto aos controles ao acesso ao Sistema Operacional, a NBR ISO 27.002

estabelece:

Prevenir acesso não autorizado aos sistemas operacionais.

79

Convém que recursos de segurança da informação sejam usados para

restringir o acesso aos sistemas operacionais para usuários autorizados. Convém

que estes recursos permitam:

a) autenticação de usuários autorizados, conforme a política de controle de acesso definida; b) registro das tentativas de autenticação no sistema com sucesso ou falha; c) registro do uso de privilégios especiais do sistema; d) disparo de alarmes quando as políticas de segurança do sistema são violadas; e) fornecer meios apropriados de autenticação; f) restrição do tempo de conexão dos usuários, quando apropriado.(NBR ISO IEC 27002)

8.3.8 Procedimentos seguros de entrada no sistema (log-on)

Não existem controles de acesso quanto ao Sistema Operacional por meio de

senhas, as máquinas pertencentes à organização ficam desprotegidas.

Para isso, a NBR ISO 27.002 diz que convém que o acesso aos sistemas

operacionais seja controlado por um procedimento seguro de entrada no sistema

(log-on).

Segundo a norma NBR ISSO IEC 27002, convém que o procedimento para

entrada no sistema operacional seja configurado para minimizar a oportunidade de

acessos não autorizados e que o procedimento de entrada (log-on) divulgue o

mínimo de informações sobre o sistema, de forma a evitar o fornecimento de

informações desnecessárias a um usuário não autorizado.

Convém que um bom procedimento de entrada no sistema (log-on): a) não mostre identificadores de sistema ou de aplicação até que o processo tenha sido concluído com sucesso; b) mostre um aviso geral informando que o computador seja acessado somente por usuários autorizados; c) não forneça mensagens de ajuda durante o procedimento de entrada (log-on) que poderiam auxiliar um usuário não autorizado; d) valide informações de entrada no sistema somente quando todos os dados de entrada estiverem completos. Caso ocorra uma condição de erro, convém que o sistema não indique qual parte do dado de entrada está correta ou incorreta; e) limite o número permitido de tentativas de entradas no sistema (log-on) sem sucesso, por exemplo, três tentativas, e considere: 1) registro das tentativas com sucesso ou com falha; 2) imposição do tempo de espera antes de permitir novas tentativas de entrada no sistema (log-on) ou rejeição de qualquer tentativa posterior de acesso sem autorização específica; 3) encerramento das conexões por data link; 4) envio de uma mensagem de alerta para o console do sistema, se o número máximo de tentativas de entrada no sistema (log-on) for alcançado;

80

5) configuração do número de reutilização de senhas alinhado com o tamanho mínimo da senha e o valor do sistema que está sendo protegido; f) limite o tempo máximo e mínimo permitido para o procedimento de entrada no sistema (log-on). Se excedido, convém que o sistema encerre o procedimento; g) mostre as seguintes informações, quando o procedimento de entrada no sistema (log-on) finalizar com sucesso: 1) data e hora da última entrada no sistema (log-on) com sucesso; 2) detalhes de qualquer tentativa sem sucesso de entrada no sistema (log-on) desde o último acesso com sucesso; h) não mostre a senha que está sendo informada ou considere ocultar os caracteres da senha por símbolos; i) não transmita senhas em texto claro pela rede. (NBR ISO IEC 27002)

8.3.9 Identificação e autenticação de usuário

Quanto à identificação dos funcionários e parlamentares, não existe nenhuma

medida de segurança, quanto à criação de cartões de identificação etc.

Para isso a NBR ISO 27.002 especifica que convém que todos os usuários

tenham um identificador único (ID de usuário) para uso pessoal e exclusivo, e

convém que uma técnica adequada de autenticação seja escolhida para validar a

identidade alegada por um usuário.

Ainda de acordo com a NBR ISO IEC 27002 convém que este controle seja

aplicado para todos os tipos de usuários (incluindo o pessoal de suporte técnico,

operadores, administradores de rede, programadores de sistema e administradores

de banco dedados) e que os identificadores de usuários (ID de usuários) possam ser

utilizados para rastrear atividades ao indivíduo responsável e que que atividades

regulares de usuários não sejam executadas através de contas privilegiadas.

A norma NBR ISO IEC 27002 também especifíca que em circunstâncias

excepcionais, onde exista um claro benefício ao negócio, pode ocorrer à utilização

de um identificador de usuário (ID de usuário) compartilhado por um grupo de

usuários ou para um trabalho específico. Convém que a aprovação pelo gestor

esteja documentada nestes casos. Controles adicionais podem ser necessários para

manter as responsabilidades.

É necessário que identificadores de usuários (ID de usuários) genéricos para

uso de um indivíduo somente sejam permitidos onde as funções acessíveis ou as

ações executadas pelo usuário não precisam ser rastreadas (por exemplo, acesso

somente leitura), ou quando existem outros controles implementados (por exemplo,

81

senha para identificador de usuário genérico somente fornecida para um indivíduo

por vez e registrada).

Convém que onde autenticação forte e verificação de identidade é requerida,

métodos alternativos de autenticação de senhas, como meios criptográficos, cartões

inteligentes (smart card), tokens 11e meios biométricos sejam utilizados.

As senhas são uma maneira muito comum de se prover identificação e

autenticação com base em um segredo que apenas o usuário conhece. O mesmo

pode ser obtido com meios criptográficos e protocolos de autenticação. Convém que

a força da identificação e autenticação de usuário seja adequada com a

sensibilidade da informação a ser acessada.

Objetos como tokens de memória ou cartões inteligentes (smart card) que os

usuários possuem também podem ser usados para identificação e autenticação. As

tecnologias de autenticação biométrica que usam características ou atributos únicos

de um indivíduo também podem ser usadas para autenticar a identidade de uma

pessoa. Uma combinação de tecnologias e mecanismos seguramente relacionados

resultará em uma autenticação forte.

11 Tokens: São dispositivos físicos que auxiliam o usuário quanto à segurança pessoal ao gerar uma senha

temporária de proteção para as contas que ele utiliza.

82

9 CONCLUSÃO

Os aspectos da geração do conhecimento a partir da informação são muito

importantes para as organizações, sendo que a informação representa um valor, por

sua vez os meios e dispositivos que interagem com a informação também são

considerados bens da organização, por isso a preocupação em protegê-los; diante

dessa necessidade é que surgem as políticas de governança que promovem boas

práticas que apóiam as organizações na segurança da informação, muitos são os

modelos que podem ser implementados que promovem boas práticas durante o ciclo

de vida da informação, dentre eles destaca-se neste presente trabalho, a norma

NBR/ISO/IEC/27002, a qual foi usada na elaboração de possíveis soluções as

vulnerabilidades encontradas na gestão de ativos e na manutenção e descarte da

informação da organização pesquisada, Gabinetes da Câmara Municipal de

Santarém.

É importante ressaltar que para se ter o sucesso desejado a respeito da

segurança é necessário o comprometimento da direção e funcionários ao fazer valer

as práticas sugeridas neste documento, o objetivo desta é fazer com que as

hipóteses aqui levantadas sirvam de alerta aos cuidados que a organização deve ter

com a informação que são o foco principal de ações de atacantes, principalmente os

que fazem uso de engenharia social.

As dificuldades encontradas na elaboração deste documento foram referentes

à aplicação dos questionários na busca de respostas sinceras dos entrevistados, por

isso a além das informações coletadas, foram feitas observações junto a direção da

organização e funcionários a fim de que se tivesse dados mais próximos da

realidade pesquisada.

Durante o processo de levantamento de informações na organização

pesquisada constatou-se que as responsabilidades quanto à segurança da

informação não são definidas e as medidas em relação à mesma não seguem a

nenhuma política ou documentação o que deixa a organização vulnerável a

eventuais ataques.

83

Assim, fica concluído que a pesquisa feita na organização e a análise junto à

norma NBR/ISO/IEC 27.002:2005 serve como sugestão ao melhoramento de

medidas de segurança nos gabinetes da câmara municipal de Santarém no que diz

respeito à gestão de ativos e controles na manutenção e descarte da informação.

84

REFERÊNCIAS

ASSUNÇÃO, Flávio. Segredos do Hacker Ético. 3ª edição. Florianópolis: Visual Books, 2010.

CAMPOS, André. Sistema de Segurança da Informação. 2ª edição. Florianópolis: Visual Books, 2007.

CARVALHO, Luciano. Segurança de Redes. Rio de Janeiro: Ciência Moderna, 2005. 5p.

CERT-BR. COMITÊ GESTOR DA INTERNET NO BRASIL. Cartilha de Segurança para Internet, 2006.

COBIT Framework for IT Governance and Contro l. Disponível em: < http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx>. Acesso em: 12 Jun. 2011.

COMMER, Douglas E. Interligação em redes com TC/IP: Princípios, protocolos e arquitetura. Tradução : ARX Publicações. Rio Janeiro: Campus, 1998.

FERNANDES, Aguinaldo Aragon. Implantando a Governança de TI: da estratégia a gestão dos processos e serviços. 3ª ed.Rio de Janeiro: Brasport, 2008.

FONSECA, Wildes. Histórico da Câmara Municipal de Santarém. Disponível em: <http://www.camaradesantarem.pa.gov.br/santarem/conhecacamara.php>. Acesso em: 20 Nov. 2011.

MATOS, Marcelo. Proposta de um Checklist. Disponível em: <http://www.flf.edu.br/revista-flf/monografias-mputacao/monografia_marcelo_matos.pdf.> Acesso em: 21 de Novembro de 2011.

MITNICK, Kevin D.; SIMON, William L.A. A arte de Enganar: Controlando o fator humano na segurança da informação.Tradução: Kátia Aparecida Roque. São Paulo: Pearson Education, 2003.

MITNICK, Kevin. Hacker Regenerado. Época, São Paulo, n 278, 15 set. 2003. Entrevista concedida a Luciana Vicária. Disponível em: < http://revistaepoca.globo.com/Epoca/0,6993,EPT600936-1666,00.html> Acesso em: 21 mar. 2011.

MOTA, Gustavo. Introdução a Segurança Computacional. Disponível em:< htpp://www.slidefinder.net/i/introducao_20a_20seguranca.../p2>. Acesso em: 23 Set. 2011.

85

NBR/ ISO 27002:2005. Tecnologia da Informação: Código de práticas para a gestão da segurança da informação. Associação Brasileira de Normas Técnicas ABNT, 2002.

Oficina da Net. Disponível em: <http://www.oficinadanet.com.br/ >. Acesso em: 14 ago. 2011.

PEIXOTO, Mário César Pintaudi. Engenharia Social & Segurança da Informação na Gestão Corporativa. 1ª ed. Rio de Janeiro: Brasport, 2006.

SÊMOLA, Marcos. Gestão da segurança da informação: Uma visão executiva. Rio de Janeiro: Elsevier, 2003.

SCHNEIER, Bruno. Segurança.com. 1ª ed. Rio de Janeiro: Campus, 2001.

86

APÊNDICES

87

APÊNDICE A – QUESTIONÁRIO APLICADO AOS FUNCIONÁRIOS DOS

GABINETES.

Dados do Funcionário:

Qual é a sua função na Organização?_____________________________________

Quanto tempo trabalha na Organização?___________________________________

Possuí outro emprego? Onde? Qual?______________________________________

Descrição do Trabalho

Na sua função você utiliza computador?

[ ] Sim [ ] Não

Software Específico

Utiliza outro software além do pacote do Office?

[ ] Sim [ ]Não

Senhas

Existe senha para fazer uso desse software?

Todos fazem uso da mesma senha?

[ ] Sim [ ]Não

Quanto à utilização de senha para acesso ao computador do trabalho.

[ ] Sim [ ]Não

Internet

Quanto à utilização da internet para uso pessoal no ambiente de trabalho.

[ ] Sim [ ]Não

Informações fornecidas em Redes Sociais: Sobre situações cotidianas corriqueiras

da organização.

Comenta com amigos nas redes sociais?

[ ] Sim [ ]Não

88

Manutenção da Informação Digital.

Os arquivos de computador são armazenados como? Em pastas criadas no próprio

sistema operacional ou gravadas em mídias removíveis?

[ ] Pastas arquivo [ ] mídias removíveis ( CDs, pendrives, DVDs)

Quanto ao descarte de mídias usadas.

[ ] Lixo da Organização

[ ] Destruídos de maneira não reutilizável.

Manutenção da Informação em Papel (documentos)

[ ] Pastas arquivos

[ ] Outro.

Se outro, descreva:

Quanto ao descarte das informações em papel.

[ ] Lixo da Organização

[ ] Destruídos de maneira não reutilizável.

Medidas de Segurança

Existe controle do fluxo das pessoas que entram e saem do gabinete?

[ ] Sim [ ]Não

A organização possuí alguma política de segurança?

[ ] Sim [ ]Não

A organização orienta formalmente os funcionários na divulgação de informações

sigilosas? Existe treinamento?

[ ] Sim [ ]Não

E-mail

Ao receber um e-mail que solicita informações a respeito de sua conta bancária.

[ ] Você abre o e-mail e checa para ver se é verdadeiro.

[ ] Nem abre o e-mail apenas deleta ou sinaliza como spam.

Se o e-mail vier com um arquivo em anexo:

[ ] Faz o download porque confia que o antivírus detectará se o arquivo for

malicioso.

[ ] Nunca faz download de anexo.

Mensagens Instantâneas

Ao ser solicitado sobre alguma informação referente ao trabalho na organização em

serviços de mensagem instantânea.

89

[ ] Fornece, desde que não sejam informações sigilosas.

[ ]Não fornece nenhum tipo de informação em serviços de mensagem instantânea.

Pessoalmente

Se alguém pessoalmente aborda e solicita informações em relação à organização:

[ ]Forneceria informações inclusive sigilosas se quem solicita tem alguma autoridade

na organização.

[ ]Forneceria qualquer informação a qualquer solicitante desde que não fosse de

caráter sigiloso.

[ ]Não forneceria nenhum tipo de informação.

Telefonemas

Ao atender um telefonema onde alguém solicita uma informação que pode ser de

caráter sigiloso ou não.

Você fornece a informação por telefone?

[ ] Sim [ ]Não

90

91

92