Embed Size (px)
Citation preview
UNIVERSIDADE NOVE DE JULHO – UNINOVE
EDUARDO FRANCISCO DA SILVA
VULNERABILIDADE HUMANA – RECOMENDAÇÃO PARA
CONSCIENTIZAÇÃO DO ASPECTO HUMANO COMO ELO MAIS
FRACO DA SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS
SÃO PAULO
2016
EDUARDO FRANCISCO DA SILVA
VULNERABILIDADE HUMANA – RECOMENDAÇÃO PARA
CONSCIENTIZAÇÃO DO ASPECTO HUMANO COMO ELO MAIS
FRACO DA SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS
Projeto de Pesquisa apresentado ao Curso de
Bacharelado em Sistemas de Informação da
Universidade Nove de Julho como requisito
parcial para obtenção do grau de Bacharel em
Sistema de Informação.
Linha de Pesquisa: Planejamento Estratégico e
Gestão de Segurança da Informação
Orientador: Professor Ms. Gabriel Baptista
SÃO PAULO
2016
LISTA DE ILUSTRAÇÕES
Imagem 1.0 – OPSI Orientação para Política de Segurança da Informação.
Imagem 1.1 – Plano de conscientização.
LISTA DE ABREVIATURAS E SIGLAS
ABNT – Associação Brasileira de Normas Técnicas.
BS - British Standard.
CFTV - Closed- Circuit Television (Circuito Fechado de Televisão)
IDS - Intrusion Detection System (Sistema de Detecção de Intrusão)
IEC - International Electrotechnical Commission (Comissão Eletrônica Internacional)
ISO – Internation Organization for Standardization (Organização Internacional para
Padronização)
IPS - Intrusion Prevention System (Sistema de Prevenção de Intrusão)
NBR- Norma Brasileira.
OPSI – Orientação para Política de segurança da Informação.
PSI - Information Security Policy (Política de Segurança da Informação)
SGSI - Sistema de Gestão de Segurança da Informação.
SI - Sistema de Informação.
TI - Tecnologia da Informação.
SUMÁRIO
LISTA DE ILUSTRAÇÕES
LISTA DE ABREVIATURAS E SIGLAS
1 INTRODUÇÃO .......................................................................................................................... 7
1.1 DELIMITAÇÃO DO TEMA ................................................................................................. 9
1.2 PROBLEMA ...................................................................................................................... 9
1.3 HIPÓTESE (S) .................................................................................................................. 9
1.4 OBJETIVOS ............................................................................................................................. 9
1.4.1 Objetivos gerais ...............................................................................................................10
1.4.2 Objetivos específicos .......................................................................................................10
1.4 JUSTIFICATIVA ...............................................................................................................11
2 REVISÃO DA LITERATURA ....................................................................................................12
2.3 ISO 27000 ...............................................................................................................................13
2.3.1 ISO 27001 ............................................................................................................................15
2.3.2 ISO 27002 ............................................................................................................................16
2.3.3 DIFERENÇA ENTRE ISO 27001 E ISO 27002 .......................................................................17
3 METODOLOGIA ......................................................................................................................18
4 RESULTADOS .........................................................................................................................19
5 CONSIDERAÇÕES FINAIS (CONCLUSÃO) ............................................................................42
REFERÊNCIAS BIBLIOGRÁFICAS .................................................................................................44
FOLHA DE APROVAÇÃO DO PROJETO ........................................................................................47
7
1 INTRODUÇÃO
As empresas investem nas melhores tecnologias, software e hardware, firewall,
IDS- Sistema de Detecção de Intrusão (Intrusion Detection System), IPS-
Sistema de Prevenção de Intrusão (Intrusion Prevention System), contratam
melhores guardas para o prédio na melhor empresa de segurança que existe
para manter a segurança na organização (MITNICK, 2003).
Mas com todos esses investimentos se esquecem do quesito humano, o elo
mais fraco da segurança da informação nas empresas. O ser humano tem
dentro de si o dom de ser gentil e querer sempre ajudar, gosta de se sentir útil.
Dessa forma mantém uma porta aberta para que qualquer um tenha acesso às
empresas e a seus dados (MITNICK, 2003).
Por que o fator humano é o elo mais fraco da segurança? Continuamente a
segurança tem sido apenas uma ilusão, que às vezes fica pior ainda quando
entram em questão a credulidade, a inocência ou a ignorância. Dizia o
respeitado cientista Albert Einstein: "Apenas duas coisas são infinitas: o universo
e a estupidez humana" (EINSTEIN apud MITNICK, 2003). Existe uma grande
verdade nisso, pois as pessoas são ingênuas, sempre estão com o pensamento
de que todos são iguais em termos de comportamentos, de boa fé e sempre a
disposição para ajudar o próximo, e que aquela pessoa "colega" de trabalho, ou
estranho é de bom caráter. O ser humano costuma sempre tratar com educação
os desconhecidos, não tem o hábito de desconfiar das pessoas. Por isso
ataques às organizações por meio da engenharia social, que é o ato de se obter
informações acerca de algo por meio da persuasão, podem ter sucesso quando
as pessoas são ingênuas ou, em geral, apenas desconhecem as boas práticas
de segurança. (MITNICK, 2003).
Jamais as organizações devem pensar que esse tipo de prática, ataque,
necessita de táticas de persuasão altamente preparadas. A maior parte desses
ataques, que tem como alvo as empresas, tendo como porta de entrada seus
colaboradores, são feitos de forma direta e simples, apenas pedindo a
informação. (FERREIRA, 2010).
8
As estratégias tomadas pelas empresas que tem surtido efeito para evitar esse
tipo de ataques são o treinamento e capacitação dos funcionários e a
conscientização. Devem-se alertar as pessoas dentro das organizações para
não julgar um livro pela capa, pois o fato de uma pessoa está bem apresentado
e ter boa aparência, não faz dela alguém confiável. (FERREIRA, 2010).
É muito frequente encontrar profissionais e ou empresas oferecendo soluções de
segurança de informação extremamente técnicas. SEGUNDO DAWEL, 2005 as
ferramentas, em si mesmas, são apenas o açúcar que é acrescentado no bolo.
O açúcar por si só é doce, mas só passa a fazer sentido a partir do momento em
que é parti de um contexto maior, o bolo. (DAWEL, 2005).
Profissionais de tecnologia de informação (TI) conservam a ideia errada de que
tornam suas empresas imunes a ataques porque usam produtos de segurança
padrão - firewall, sistema de detecção de intrusão (IDS), ou sistemas avançados
de autenticação, tais como tokens baseados no tempo ou cartões biométricos
inteligentes. Todos que acham que os produtos de segurança sozinhos
oferecem a verdadeira segurança estão fadados a sofrer com a ilusão de
segurança, esse é o caso de viver em um mundo de fantasia: mais cedo ou mais
tarde eles serão vítimas de um incidente de segurança (MITNICK, 2003).
Um atacante nunca desiste, é paciente com seus ataques fica à espreita de uma
falha na segurança. Por mais sofisticado que seja o sistema de segurança de
uma empresa, ele sempre terá uma falha a ser explorada, e a qualquer momento
o ataque terá sucesso (DAWEL, 2005).
À medida que especialista contribuem para o desenvolvimento contínuo de
melhores tecnologias de segurança, tornando ainda mais difíceis à exploração
das vulnerabilidades técnicas, os ataques voltam-se cada vez mais para a
exploração do elemento humano. SEGUNDO MITNICK, 2003 quebrar o “firewall
humano” é muito fácil, não é preciso nenhum investimento, o custo é baixo e o
risco é mínimo. (MITNICK, 2003).
Sendo assim, de nada vai adiantar “fortunas” nas melhores tecnologias e ações
em segurança se não houver um plano de conscientização.
9
Por tal razão, esse trabalho busca orientar as empresas e colaboradores que a
informação é seu maior ativo e precisa ser protegida, e como deve ser feita esta
proteção.
1.1 DELIMITAÇÃO DO TEMA
Tem-se como objeto de estudo da pesquisa vulnerabilidade humana na segurança
da informação nas empresas.
1.2 PROBLEMA
A pesquisa busca responder o fator humano tem sido a maior dificuldade na gestão
da segurança da informação.
1.3 HIPÓTESE (S)
Assimilando as pesquisas e estudos obtidos, acredita-se que a conscientização da
empresa e seus colaboradores é um importante meio das organizações protegerem
suas informações.
1.4 OBJETIVOS
Este trabalho propõe a realização de um estudo e pesquisa, explorando práticas de
segurança da informação, fornecendo contribuições de estudo de conscientização,
10
do aspecto humano como elo mais fraco da gestão da segurança da informação nas
empresas.
O objetivo desse trabalho é conscientizar as empresas que suas informações são
seu maior ativo. E as pessoas responsáveis por elas precisam ser conscientizadas
de como esse ativo importante precisa ser protegido.
Portanto o foco do trabalho é reforçar a importância de se ter um programa de
conscientização e as melhores formas de conduzi-lo.
1.4.1 Objetivos gerais
Criar um plano de conscientização. Conscientizando as empresas que o ser humano
é o elo mais fraco da segurança da informação.
1.4.2 Objetivos específicos
Para atender ao geral, tem-se como objetivos específicos da pesquisa:
Elaborar uma política de segurança da informação.
Sugerir melhorias na condução do processo de segurança da informação.
Desenvolver um plano de conscientização alertando as empresas acerca da
engenharia social.
11
1.4 JUSTIFICATIVA
O trabalho está sendo criado para que as empresas compreendam que
conscientização é importante, necessário e não pode deixar de ser feita. Todavia,
será apresentado meios de conscientizar as organizações, como criar uma política
de segurança da informação bem definida e clara, com a intenção de minimizar a
exposição aos riscos causados pela vulnerabilidade humana.
O projeto destina-se a todo tipo de empresa, independente do seguimento de
atuação. Além dos gestores de TI e colaboradores, porque manter a segurança da
informação dentro da organização é dever de todos. Pois o fator humano é o elo
mais fraco da gestão de segurança da informação nas empresas.
12
2 REVISÃO DA LITERATURA
2.1 SEGURANÇA DA INFORMAÇÃO
A segurança da informação carrega no nome a sua finalidade, que é proteger dados,
preservando a integridade de empresas e ou indivíduos.
No entanto para executar essa proteção ela precisa cobrir diversas áreas, como:
segurança física, infraestrutura tecnológica, aplicações e conscientização
organizacional. Apenas cobrindo tais áreas se minimizam os níveis de exposição a
risco ao qual a empresa está sujeita. (SEGURANÇA DA INFORMAÇÃO, 2015).
Os princípios básicos da segurança da informação são: Confidencialidade,
Integridade e Disponibilidade. A confidencialidade garante que a informação só será
acessada por quem realmente tem autorização, a integridade garante que a
informação se mantenha em seu estado original, não sendo alterada. E a
disponibilidade trabalha para que a informação esteja sempre disponível para
aqueles que estão autorizados a acessá-las. Contudo a segurança da informação
tem como objetivo manter os três pilares da segurança: confidencialidade,
integridade e disponibilidade. (FELEOL, 2012).
Diferença entre Dados e Informação:
Os dados são códigos que formam a matéria prima da informação, logo é uma
informação não tratada. Ou seja, o dado por si só não tem nenhum significado
relevante. Por outro lado, informação é um conjunto de dados tratados e
processados que tem como resultado o significado definitivo de algo. (LUIS, 2015).
Vulnerabilidades:
São brechas nos sistemas, que usuários mal-intencionados utilizam para ter acesso
a conteúdos. Essas brechas quando exploradas aumentam a probabilidade de
exposição a riscos. A vulnerabilidade humana é o dano causado por pessoas às
organizações, podendo ser intencionais ou não. Elas ocorrem de diversas formas,
falta de capacitação, omissão ou até mesmo falta de conhecimento para executar
atividades ou funções. É apontado como exemplo do aumento dessa
13
vulnerabilidade, o funcionário desmotivado, que pode trazer sérios riscos inclusive
financeiros para a empresa. (TECHLIVRE, 2012).
ENGENHARIA SOCIAL
A tecnologia da informação e comunicação interligou a sociedade à tecnologia, a
internet é a maior rede de computadores do mundo e tem crescido de forma
exponencial, e com esse constante crescimento tecnológico hoje já é possível
realizar tarefas cotidianas mesmo sem sair de casa, tais como: pagar contas,
agendar consultas médicas, comprar e etc. Embora toda essa inovação tecnológica
tenha contribuído para um bem comum à sociedade, inclusive influenciando em
como o ser humano se relaciona e se comunica, a tecnologia da Informação tem
sido determinante para um novo cenário de ameaças, expondo a sociedade a uma
nova categoria de fraudes e em virtude disso, gerando perdas matérias ou morais,
apesar da era da informação pressupor uma ampla divulgação do conhecimento,
existem ainda alguns termos pouco difundido na sociedade, tal como, Engenharia
Social que é um dos fatores de riscos que ameaça o consumidor de mídias,
empresas e corporações, o consumidor de mídia deve estar ciente que ele deve se
preservar, deixando de lado o conceito errôneo de que Segurança da Informação é
assunto para profissionais de TI. (TECHNOLOGIES, 2014).
O que é engenharia social? É o dom da persuasão. Segundo Kevin Mitnick: A
engenharia social usa a influência e a persuasão para enganar as pessoas e
convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou
pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das
pessoas para obter as informações com ou sem o uso da tecnologia (MITNICK,
2003).
2.3 ISO 27000
As normas International Organization for Standardization / International
Eletrotechnical Commission (Organização Internacional para Padronização /
Comissão Eletrônica Internacional) ISO/IEC 27000 são voltadas para um ponto.
14
SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO (SGSI) é conhecida
como a família ISO 27000 e é composta por várias normas, as principais delas são
as ISOs 27000 traz informações básicas sobre as normas da série, 27001 bases
para a implantação de um sistema SGSI em uma organização, 27002 certificações
profissional código de boas práticas, 27003 diretrizes mais específicas para
implementação do SGSI, 27004 sobre métricas e relatório do SGSI e 27005 gestões
de riscos. As normas ISOs 27001 e 27002, as quais serão enfatizadas mais a diante,
recomenda-se que sejam usadas em conjunto. (NORMAS TÉCNICAS, 2015).
Existem várias normas da ISO 27000 e cada uma delas tem a sua finalidade, mas
todas têm como objetivo a melhoria do sistema de gestão de segurança da
informação (SGSI). Exatamente assim é citado pelo WIKIPÉDIA: fornecem uma
estrutura para gerenciamento de segurança da informação para qualquer
organização, pública ou privada, grande ou pequeno porte. As suas métricas tem
como objetivo proteger informações e toda organização. (ASSOCIAÇÃO
BRASILEIRA DE NORMAS TÉCNICAS, 2015).
A série de normas da ISO 27000 possui dois tipos de certificações, a que é para
empresa e a certificação para o profissional. Individualmente cada um tem seus
benefícios, mas normalmente as duas precisam estar em conjunto. Todas as
empresas que possuem o certificado dessa norma são reconhecidas como uma
organização de padronização internacional, e isso trás confiabilidade gerando uma
ótima aparência para as partes interessadas, stakeholders: clientes, colaboradores,
parceiros e etc, um grande benefício dessa norma é que ela também se comunica
com outros sistemas de gestão da ISO. (ASSOCIAÇÃO BRASILEIRA DE NORMAS
TÉCNICAS, 2015).
15
2.3.1 ISO 27001
SEGUNDO O BSI: Informação é um bem valioso que pode ajudar ou quebrar a sua
empresa. Quando gerenciada corretamente ela lhe permite operar com confiança.
Gestão de segurança da informação lhe dá a liberdade de crescer, inovar e ampliar
sua carteira de consumidores, sabendo que todas as suas informações confidenciais
permanecerão assim. (BSIGROUP, 2015).
A ISO 27001, norma internacional de gestão de segurança da informação, coloca
em prática um sistema de gestão de segurança da informação, permitindo que todos
os dados confidenciais da empresa sejam protegidos. Minimizando a probabilidade
dos mesmos serem acessados por terceiros. (BSIGROUP, 2015).
Esta norma esclarece os requisitos para estabelecer, implementar, manter e
melhorar continuamente um sistema de gestão da segurança da informação dentro
das organizações, incluindo também requisitos para avaliação e tratamento de riscos
de segurança da informação de acordo com as necessidades organizacional. (ABNT
NBR ISO IEC 27001, 2013).
Todos os requisitos definidos nesta norma são aplicáveis a empresas de qualquer
tamanho e de qualquer segmento. Alguns dos benefícios dessa norma são:
Identificação e controle para gerenciar os riscos, conseguir a confiança das partes
interessadas e clientes, estar em conformidade e assim ter o status de fornecedor
preferencial. (BSIGROUP, 2015). Dentre todos os processos importantes dessa
norma, um em especial será destacado aqui. O Processo da seção 7 Apoio,
especificamente o processo 7.3 Conscientização.
16
Pessoas que realizam trabalhos sob o controle da organização devem estar cientes da:
Política de segurança da informação;
a) Suas contribuições para a eficácia do sistema de gestão de segurança da
informação, incluindo os benefícios da melhoria do desempenho da segurança
da informação; e.
b) Implicações da não conformidade com os requisitos do sistema de gestão da
segurança da informação. (ABNT NBR ISO IEC 27001, 2013).
c) Implicações da não conformidade com os requisitos do sistema de gestão da
segurança da informação.
Quadro 1 – Aspecto da Norma ABNT NBR ISO IEC 27001, 2013.
2.3.2 ISO 27002
A norma ISO 27002 apresenta um guia de boas práticas para a gestão de um
sistema de segurança da informação, com o seguinte objetivo. Segundo o site
profissionais de TI: estabelecer diretrizes e princípios gerais para iniciar,
implementar, manter e melhorar a gestão de segurança da informação em uma
organização. É correto lembrar que antes de 2007 está norma era conhecida como
NBR ISO/IEC 17799. A mesma sofreu uma atualização nesse período tornando-se a
atual ISO 27002 em julho de 2007, a versão original foi publicada em 2000.
Trazendo em seu conteúdo uma cópia fiel da British Standard BS 7799, que foi um
padrão publicado pelo BSI GROUP (BSI), em 1995, e escrita pelo departamento de
indústria e comércio do governo britânico. (PROFISSIONAISTI, 2010).
A norma é composta de 18 seções, será apresentada aqui a seção 7.2.2:
7.2.2 Conscientização, educação e treinamento em segurança da informação:
Convém que todos os funcionários da organização e, onde pertinente, partes
externas recebam treinamento, educação e conscientização apropriados, e as
atualizações regulares das políticas e procedimentos organizacionais relevantes
para as suas funções. É necessário que seja criado um plano para conscientizar as
partes interessadas acerca da segurança da informação, e que o mesmo esteja
17
alinhado à política e procedimentos organizacionais. Pede-se que o programa de
conscientização seja bem planejado e atualizado regularmente estando sempre de
acordo com as políticas e sendo sempre melhorado de acordo com as lições
aprendidas de incidentes de segurança da informação. O treinamento de
conscientização deve ter diversas formas de apresentação, treinamento presencial,
à distância, baseado na web, auditoria e outros. (ABNT NBR ISO IEC 27002, 2013).
2.3.3 DIFERENÇA ENTRE ISO 27001 e ISO 27002
A norma ISO 27001 especifica controles que podem reduzir os riscos de segurança
da informação enquanto a ISO 27002 fornecesse detalhes de como implementar
esses controles. A última, mas não menos importante define as diretrizes e
detalhamento para implementar os controles especificados pela primeira. As
organizações podem obter a certificação para a 27001, mas não para a 27002, pois
cabe ao profissional essa certificação. (27001 ACADEMY, 2015).
18
3 METODOLOGIA
No trabalho foi realizada uma análise de livros e artigos científicos já publicados
que tratam do assunto, contudo possibilitando sugerir melhorias na condução do
processo de segurança da informação. Foi mostrado orientações para política
de segurança da informação, com base nos dados obtidos a respeito de políticas
já existentes.
Sendo feito em seguida um estudo acerca dos danos causados pela
vulnerabilidade humana nas empresas, e o risco que elas estão correndo por
não conscientizar seus colaboradores, e o que um funcionário desmotivado pode
representar para uma empresa.
Por fim, um plano de conscientização foi criado, com o objetivo de tornar as
empresas cientes de que o primeiro investimento para manter a segurança da
informação deve ser feito de forma a educar seus colaboradores da importância
que tem o ativo, informação, para a empresa e como ele dever ser protegido.
19
4 RESULTADOS
4.0. Check-list para análise de política de segurança da informação.
Antes de faze-nos uma análise acerca de política de segurança da informação já
existente, é necessário entendermos o que é política de segurança da informação ou
PSI como é conhecida: É uma documentação que contém uma séria de normas,
métodos e procedimentos bem definidos e de fácil entendimento, claro. Esse
documento deve ser comunicados a “todos” os funcionários, iniciando na alta cúpula
da empresa. O mesmo deve ser analisado e revisado criticamente em intervalos
regulares e/ou quando mudanças forem necessárias.
Sendo de suma importância para a criação de uma boa PSI, o uso da norma citada
à cima ABNT NBR ISO/IEC 27001 e 27002. Que é uma norma de códigos de boas
práticas, onde é possível encontrar orientações para iniciar, implementar, manter e
melhorar a gestão da segurança da informação.
Para facilitar a análise foi criado um check-list de verificação tendo como base a
norma ABNT NBR ISO/IEC 27001:2013. Essa lista de checagem tem como objetivo
destacar os controles que se referem ao tema que estamos trabalhando,
conscientização. A norma manda as empresas aplicar esses controles citados
abaixo, para que as mesmas possam manter a segurança em seu ambiente, de
modo que esteja em conformidade com a ISO 27001. E deixar de aplicar esses
controles quer dizer está em não conformidade com o que a norma manda fazer,
para as empresas certificadas significa perder o direito de renovar a sua certificação.
Lembrando que aqui não se tem por objetivo mostrar todos os controles da norma,
pois estaríamos aplicando a ABNT NBR ISO/IEC 27001:2013. Quando na verdade
esse não é o foco.
4.1 Análise de Política de Segurança da Informação já existente.
4.1.2 PSI (Política de Segurança da Informação) do SENAC
20
Disponível no endereço: http://www.sp.senac.br/normasadministrativas
Check List:
Controles
Atende Atende
Parcialmente
Não
Atende
A.5.1.1: Política de Segurança da Informação: (Um
conjunto de política de segurança da informação deve ser
definido, aprovado pela direção, publicado e comunicado
para os funcionários e partes externas relevantes).
X
A.5.1.2: Análise críticas das políticas para segurança da
informação: (As políticas de segurança da informação
devem ser analisadas criticamente a intervalos planejados
ou quando mudanças significativas ocorrerem, para
assegurar a sua contínua pertinência, adequação e
eficácia).
X
A.6.2.1: Política para o uso de dispositivo móvel: (Uma
política e medidas que apoiam a segurança da informação
devem ser adotadas para gerenciar os riscos decorrentes
do uso de dispositivos móveis).
X
A.7.1.2: Termos de condições de contratação: (As
obrigações contratuais com funcionários e partes externas
devem declarar a sua responsabilidade e da organização
para a segurança da informação).
X
A.7.2.1: Responsabilidades da Organização: (A direção
deve requerer aos funcionários e partes externas que
pratiquem a segurança da informação de acordo com o
estabelecido nas políticas e procedimentos da
X
21
organização).
A.7.2.2: Conscientização, educação e treinamento em
segurança da informação: (Todos os funcionários da
organização e, onde pertinente, as partes externas devem
receber treinamento, educação e conscientização
apropriados, e as atualizações regulares das políticas e
procedimentos organizacionais relevantes para a sua
função).
X
A.11.2.9: Política de mesa limpa e tela limpa: (Devem ser
adotadas uma política de mesa limpa para papéis e mídias
de armazenamento removíveis e uma política de tela limpa
para os recursos de processamento de informação).
X
A.12.3.1: Cópias de segurança da informação: (Cópias de
segurança das informações, softwares e das imagens do
sistema devem ser efetuadas e testadas regulamente
conforme política de geração de cópias de segurança
definida).
X
Analisando a política de segurança da informação do Senac São Paulo um
tópico que chama a atenção é o seguinte:
É também obrigação de cada colaborador manter-se atualizado em relação a está
PSI e aos procedimentos e normas relacionadas, buscando orientação do seu gestor
ou da gerência de Sistemas sempre que não estiver absolutamente seguro quanto à
aquisição, uso e/ou descarte da informação.
22
Quadro – 2 Aspecto da PSI do Senac São Paulo, 2013
Aqui temos um apontamento a fazer. Percebe-se que a empresa diz que o
colaborador tem a obrigação de se manter atualizado acerca da PSI “indo” buscar
orientação do seu gestor.
Segundo a ABNT NBR ISO/IEC 27001, a política deve ser comunicada dentro da
organização. Ou seja, além de ser publicada na intranet, ela deve ser apresentada a
todos dentro da empresa. Todos os funcionários, sem exceção devem estar
familiarizados com a PSI, a empresa quem deve fazer essa apresentação, e mantê-
los atualizados. A norma ainda fala que a organização deve declarar no ato da
contratação as suas obrigações e dos funcionários para a segurança da informação.
Seguindo na análise, é possível identificar como ponto importante a definição da
tratativa com o backup – cópia de segurança. A PSI alerta sobre algo muito sério,
que é não manter o backup próximo do datacenter. Mas, segundo a ABNT NBR
ISO/IEC 27001, as cópias de segurança devem ser efetuadas e testadas
regularmente conforme a política de geração de cópias de segurança bem definida.
Caso que não foi definida em sua política.
4.1.3 - PSI (Política de Segurança da Informação) do Banco Santander (Brasil) S.A
Disponível:
https://www.santander.com.br/document/wps/politica_seguranca_informacao_fev_13
Check List:
Controles Atende Atende
Parcialmente
Não
Atende
A.5.1.1: Política de Segurança da Informação: (Um
conjunto de política de segurança da informação deve ser
definido, aprovado pela direção, publicado e comunicado
para os funcionários e partes externas relevantes).
X
23
A.5.1.2: Análise críticas das políticas para segurança da
informação: (As políticas de segurança da informação
devem ser analisadas criticamente a intervalos planejados
ou quando mudanças significativas ocorrerem, para
assegurar a sua contínua pertinência, adequação e
eficácia).
X
A.6.2.1: Política para o uso de dispositivo móvel: (Uma
política e medidas que apoiam a segurança da informação
devem ser adotadas para gerenciar os riscos decorrentes
do uso de dispositivos móveis).
X
A.7.1.2: Termos de condições de contratação: (As
obrigações contratuais com funcionários e partes externas
devem declarar a sua responsabilidade e da organização
para a segurança da informação).
X
A.7.2.1: Responsabilidades da Organização: (A direção
deve requerer aos funcionários e partes externas que
pratiquem a segurança da informação de acordo com o
estabelecido nas políticas e procedimentos da
organização.)
X
A.7.2.2: Conscientização, educação e treinamento em
segurança da informação: (Todos os funcionários da
organização e, onde pertinente, as partes externas devem
receber treinamento, educação e conscientização
apropriados, e as atualizações regulares das políticas e
procedimentos organizacionais relevantes para a sua
função).
X
24
A.11.2.9: Política de mesa limpa e tela limpa: ( Devem ser
adotadas uma política de mesa limpa para papéis e mídias
de armazenamento removíveis e uma política de tela
limpa para os recursos de processamento de informação).
X
A.12.3.1: Cópias de segurança da informação: (Cópias de
segurança das informações, softwares e das imagens do
sistema devem ser efetuadas e testadas regularmente
conforme política de geração de cópias de segurança
definida).
X
Analisando a PSI do Santander Financiamentos Banco Santander (Brasil)
S.A, algo que parece simples, e por parecer simples muitas empresas não
anota quando fazem a sua política de segurança. Muitos funcionários estão
em suas mesas fazendo as atividades, e no término delas e/ou se precisar se
ausentar por algum motivo, seja ele por mais rápido que for é necessário
efetuar o bloqueio do computador. Por isso destacar-se o seguinte item nessa
PSI: Bloquear sempre o equipamento ao se ausentar (Ctrl + Alt + Del). Porém
a política manda o funcionário que precisar se ausentar bloquear a tela com
as combinações de teclas citadas acima, isso está completamente errado,
essas combinações não bloqueiam apenas um ESC ou CANCAELAR volta
para a área de trabalho, a combinação para bloqueio são teclas (WINDOWS
+ L).
Outro tópico extremamente importante em destaque na PSI da instituição
financeira é a questão da mesa limpa. A norma ISO 27001 possui uma seção
e controle exclusivo para esse ponto, deixar de cumpri esse controle aumenta
ainda mais seu nível de exposição ao furto de informação. A maioria dos
profissionais tem o costume de colar post it com anotações no monitor,
teclado e etc. Além de ter o hábito de deixar papeis e documentos com
25
anotações importantes em cima da mesa. Sendo que não fazem ideia que
estão deixando muitas vezes informação importante deles e até mesmo da
empresa disponível para que qualquer um tenha acesso. Bem, vejamos o que
diz a ABNT NBR ISO/IEC 27001.
A. 11.2.9 – Política de Mesa limpa e tela limpa. Controle – Deve ser adotada
uma política de mesa limpa de papéis e mídias de armazenamento
removíveis e uma política de tela limpa para os recurso de armazenamento de
informação.
Quadro 3 – Aspecto da Norma ABNT NBR ISO IEC 27001, 2013.
Análise geral: Existe uma grande omissão em ambas as políticas analisadas.
Que se trata do termo de ciência ao término de cada uma delas, quando a
empresa apresenta a política de segurança da informação aos seus
funcionários, ao final da PSI deve conter esse termo, onde ele deve assinar,
dizendo-se ciente das regras ali apontadas. E outro ponto faltante é a punição
para o descumprimento, a PSI deve expressar claramente quanto ao que se
pede e também com relação às punições em caso de descumprimento.
4.2. Orientação para Política de Segurança da Informação - OPSI.
Uma pesquisa realizada pelo FBI em 2002 dizia que nove em cada dez grandes
corporações ou órgãos governamentais já sofreram com ataques em seu sistema de
computadores. Chama a atenção para essa pesquisa à descoberta que é muito
pouca as empresas que relatam ou mesmo reconhecem publicamente que tiveram
seus sistemas invadidos. É até aceitável esse receio em se declarar vítima, para não
perder a credibilidade e ou confiança, e para não se complicar novamente atraindo a
atenção de novos atacantes.
Outro ponto importante é que não existem informações de empresas que teve seus
dados furtados por meio de engenharia social. Na maioria das vezes as instituições
nem sabem que sofreram o ataque de um engenheiro social e quando descobrem o
“buraco já é grande”, por isso não os relatam. Mas não vamos negar que essa
26
prática exista, e muitas são as empresas que têm perdidos seu ativo mais preciso
“informação” por meio dela.
Um dos métodos para minimizar a exposição a esses riscos de invasão são as
empresas desenvolverem uma boa política de segurança da informação, e fazer
com que todos os seus funcionários sigam essa política.
Vejamos abaixo alguns tópicos essenciais na elaboração de uma política de
segurança da informação.
Imagem 1.0 – OPSI Orientação para Política de Segurança da Informação.
1 - CLASSIFICAÇÃO DA INFORMAÇÃO
Quais as informações precisam ser protegidas?
A informação deve ser classifica de acordo com seu valor: Confidencial (A
informação só deve circular pelo ambiente interno a mesma é compartilhada com um
27
número muito pequeno de pessoas. Esse tipo de informação está ligado aos planos
de ambição da empresa, presidência, acionistas e etc). Particular (Esse tipo de
informação é de natureza pessoal, tendo seu manuseio apenas internamente. A sua
divulgação não autorizada pode causar impacto sério sobre os empregados e
organização. Tem-se como exemplos desses dados, contas bancárias, holerites,
etc), e Pública (É aquela informação que deve ser compartilhada por todos os
funcionários dentro da empresa, por exemplo, a política de segurança da
informação, missão, visão e valor da empresa e etc). A classificação das
informações deve ser em termos do seu valor, conforme requisitos legais, e
diferentes níveis de sensibilidades, evitando que seja modificada e/ou divulgação
não autorizada.
2 - VERIFICAÇÃO DE ANTECEDENTES – Política: DEVE ser feita a verificação
para todos os recentes contratados, prestadores, consultores, estagiários, e etc,
antes de uma oferta de emprego ou em uma possível pretensão em acordo de
contrato. (Observação: SEGUNDO MITNICK, 2003, qualquer pessoa que tenha
acesso físico às dependências da empresa representa uma ameaça potencial). Pois
é de suma importância fazer à verificação de antecedentes, nunca sabemos qual a
real índole e intensão da pessoa que estamos contratando, “colocando para dentro
de casa”.
Exemplo: Os profissionais de limpeza têm livres acesso a todos os departamentos,
quase sempre quando o ambiente está sem mais ninguém. Podendo assim instalar
um key logger, software de verificação de teclas digitadas, sendo assim possível
capturar senhas, dentre outras ações que é possível fazer. As redes sociais podem
ser uma boa para saber qual pessoa estamos contratando, a maioria das pessoas
colocam sua vida, caráter e personalidade nas redes sociais, vale muito fazer essa
análise sobre a pessoa antes da contratação, e até mesmo durante seu período na
empresa.
3 - IDENTIFICAÇÃO PARA VISITANTES E NÃO EMPREGADOS – Todo visitante
deve ser acompanhado de perto por um funcionário da empresa. A organização
precisa imitir crachás temporários com foto para os prestadores de serviços de
confiança da empresa, e/ou para qualquer visitante que necessite acessar os
ambientes internos.
28
4 - VISITANTES NO DEPARTAMENTO FINANCEIRO – Deve ser evitado ao
máximo pessoas que não façam parte desse setor, estar circulando por ele. Mas em
caso que tenha a necessidade, por exemplo: um Office boy que for entregar
documento, o mesmo precisa ser acompanhado por um funcionário do financeiro
durante toda a sua permanência naquele ambiente.
5 - CONTROLES DE ACESSO FÍSICO E LÓGICO – Deve-se ter um controle das
pessoas que têm determinadas permissões de acessos, seja ele físico ou lógico.
Nas permissões de acesso aos sistemas deve-se ser gerado logs de registros, para
evitar o não repudio, ou seja, para que o ator não venha negar sua ação. No que
desrespeito a senhas, a mesma é individual e intransferível, é expressamente
proibido a não memorização.
É de suma importância para que se tenha esse controle, uma política de criação de
senhas, onde uma senha forte deve conter no mínimo 8 caracteres, incluindo letras
maiúsculas e minúsculas, números e caracteres especiais a mesma deve ser
alterada a cada 30 dias, não podendo ser repetida ás ultimas 20 ou 30 senhas.
Em controle de acesso físico, a organização deve ter todo o seu ambiente interno
filmado, e as gravações armazenadas em ambiente seguro de ótima climatização e
com backups atualizados. É necessário saber quem está entrando em determinada
sala e se essa pessoa tem autorização. As salas precisam ter nas portas senhas de
acesso, cartões biométricos e ou biometria digital. Dentre outros métodos como
leitura de Iris ocular e etc.
6 - NÚMEROS DAS PLACAS DE VEÍCULOS – Caso a empresa tenha um
estacionamento próprio, ela precisa ter armazenada as placas de veículos que
diariamente costumam estar ali estacionados. Quando identificado um veículo
diferente do que se encontra em banco de dados, o responsável pelo automóvel
deve ser interrogado. É responsabilidade da organização ter a ciência das pessoas
que estão circulando em seu ambiente interno.
7 - DESCARTE DE INFORMAÇÃO IMPRESSA OU EM MÍDIA - Toda empresa
deve ter um triturador de papel e mídia. Toda informação que não tenha mais valor
para organização, pode se ter valor para outras pessoas, na maioria das vezes para
a concorrência. Por isso uma informação impressa que é descartada pela
organização, precisa ser triturada. Da mesma forma no dia-a-dia de trabalho,
29
nenhum papel contendo informação pode ser amassado e jogado no sexto de lixo
dentro do escritório, se a aquela informação não tem mais valor, ela deve ser
triturada e depois jogada fora, obs: de preferência em sextos diferentes, para que
ninguém interessado naquela informação venha revirar o lixo e juntar os pedaços de
papeis.
O mesmo deve ocorrer com as mídias, todas elas que perderam o valor para a
organização precisa passar pelo processo de trituração ou destruição de mídias. Por
exemplo, uma mídia de backup que não tem mais valor nenhum para a empresa não
pode ser simplesmente jogada no sexto de lixo, precisa ser destruída. Assim
ninguém mais terá acesso àqueles dados.
8 - QUEM É RESPONSÁVEL POR REPORTAR UM INSIDENTE DE
SEGURNAÇA? A empresa precisa deixar seus colaboradores cientes de quem
é a responsabilidade de informar um incidente, isso deve está claro para todos os
funcionários. O primeiro que viu o incidente, que identificou que tomou conhecimento
ele mesmo é responsável por informar ao cometer de segurança e ou a superior
imediato.
9 – SOLICITAÇÃO DE ACESSO – Creio que diariamente todo TI de qualquer
empresa recebe um pedido de um determinado funcionário para acessar tal
documento ou pasta que está em terminado servidor. Seja essa solicitação feita por
email, ligação telefônica, chat interno, até mesmo pessoalmente ao encontrar nos
corredores o analista responsável pela liberação desses acessos. Bem, antes de ser
concedida a permissão, é necessário que o funcionário que deseja o acesso
documente esse pedido, enviando um email para seu superior imediato, informando
qual o motivo que ele precisa desse acesso. Após aprovação do seu superior, ele
mesmo vai enviar um pedido de solicitação documentado também por email para o
gerente de segurança da informação, OBS- caso a empresa tenha o setor de
segurança da informação, DEVERIA TER. Caso a realidade não seja essa, esse
pedido formulado deve ser enviado ao superior do analista responsável por
conceder o acesso, e assim o acesso é dado ou não. Porque toda essa burocracia?
Porque todo gestor de segurança precisa ter além dos logs de acesso, algo
documentado de quem acessou o quê e para quê acessou e quando foi feito esse
acesso e quais foram às pessoas que autorizaram. Não é saudável para segurança
da empresa sai liberando acessos para qualquer um, observação: todos devem está
30
debaixo dessa mesma política, começando pela presidência e alta cúpula da
organização. Não tem porque um funcionário de Rh querer ter acesso às pastas do
setor de contas a pagar. Isso deve ser bem gerenciado, porque na maioria das
vezes gera conflitos internos. Observação: Se essa política não for respeitada por
todos, primeiro pela alta cúpula, a mesma não terá credibilidade.
10 – SAÍDAS DE EMERGENCIAS – As áreas de evacuação devem ser bem
sinalizadas, É bom que exista simulação de evacuação de ambiente e ou do prédio,
deve ser feito periodicamente pela brigada de incêndio. Todas as salas devem ter as
saídas de emergências sinalizadas e essas indicações precisam estar à altura dos
olhos.
11 - POLÍTICA DE MESA LIMPA E TELA LIMPA – É comum encontrarmos no
ambiente de trabalho de algumas pessoas post its contendo informações
importantes grudados na tela do computador, muitas vezes no teclado. Na maioria
das vezes as informações contidas ali são logins e senhas, telefones de algum
fornecedor ou cliente, ramais de algum departamento, códigos de acesso de
determinado pedido ou códigos de compras e etc. Quando não é isso, a mesa do
colaborador está cheia de documentos. O funcionário está tão focado em
desempenhar suas atividades diárias que não está nem preocupado com o risco das
informações ali disponíveis. Na maioria das vezes não fazem ideia do risco que elas
podem trazer. O que ocorre é que aquelas informações sempre estão ali, o
colaborador levanta para tomar água, ir ao banheiro, vai embora para casa no
término do expediente e aquelas informações sempre ali exposta.
A empresa precisa ter uma política de mesa limpa para que esse tipo de coisa não
venha acontecer. Post its contendo senhas, logins e ou qualquer informação não
pode está grudado na tela do computador ou em lugar nenhum. As senhas e logins
devem todas serem memorizadas. O funcionário deve limpar sua mesa ao se
ausentar dela, sempre colocando os documentos impressos dentro das gavetas e
fechando com cadeado, bloqueando a tela do computador pressionando as teclas
Windows + L, ao se ausentar da sua estação de trabalho. Não sabemos a real
índole do nosso colega de trabalho, qualquer pessoa pode chegar ali naquela mesa
e pegar uma informação que para ele tem muita importância, podendo a mesma ser
comprometedora para o custodiaste, ou para a empresa. Se essas informações
estão sobcustódia de tal funcionário, ele precisa prezar por sua segurança.
31
12 – CONTROLE DE ATIVOS – Ativos é tudo aquilo que gera valor para empresa.
As empresas possuem ativos tangíveis e intangíveis, tangíveis tudo quilo que é
material como máquinas, móveis e etc, e intangíveis tudo aquilo que não se pode
tocar, mas sabemos que existe e representa muito valor para a organização. Como
informação, marca, reputação no mercado, dentre outras.
As empresas costumam ter muitas despesas com trocas de teclados, mouses,
computadores, mesas, cadeiras e etc. O que está faltando é como gerenciar isso,
todos esses ativos geram valor para empresa, logo o funcionário deve ser o principal
responsável por eles. A organização precisa elaborar um inventário de ativos, onde
todo colaborador assina um termo se responsabilizando pelo teclado, computador,
cadeira, mesa recebido como ferramenta de trabalho. Qualquer dano naquele
material é de responsabilidade dele.
13 – ACESSO A INTERNET NAS ESTAÇÕES DE TRABLAHOS – E ACESSO
LIVRE AO WIFI – Bem é comum algumas empresas liberarem o acesso a internet
no ambiente de trabalho, para que a jornada de trabalho não fique tão cansativa, a
empresa deixa livre o acesso a internet nas estações de trabalhos. Esses acessos
devem sempre ser monitorados, e nem todos os sites devem ser permitidos, como
por exemplo, sites pornográficos, sites de downloads como baixaki, dentro outros, e
principalmente redes sociais.
Outra coisa que ocorre nas empresas é disponibilizar o acesso livre ao wifi, com os
celulares que acessa a internet os colaboradores querem estar conectados com as
redes sociais quando se ausenta da sua cadeira de trabalho, vai almoçar, vai ao
banheiro. Mas há um grande perigo nisso, se não for criado subnets, que são
divisões criadas de grandes redes. Ou seja, numa configuração de rede no roteador
na empresa, é possível criar subnets, que é uma divisão dessa rede, onde uma não
acessa a outra. Caso não seja criado, o celular do funcionário e ou do visitante que
tenha acesso livre ao wifi dentro do ambiente interno pode acessar a rede da
empresa, infectando a rede com vírus, pode ter acesso aos documentos na rede. E
com o uso de dispositivos móveis pode tirar fotos de documentos sigilosos e enviar
para terceiros.
14- LOGIN DE ADMINISTRADOR E LIBERAÇÃO DE PORTAS USBs e DRIVERs
DE CDs - Apenas o TI deve ter acesso administrador nas máquinas, usuários não
podem ter esse acesso, pois inúmeros riscos podem trazer para a empresa. Usuário
32
com o login de administrador pode ter acesso livre aos sistemas, e causar
modificações, sendo assim difícil manter a integridade e confidencialidade das
informações. Informação que não deveriam ser alteradas podem sofrer alterações,
informações que coprometem a empresa podem cai nas mãos de terceiros. Usuário
tendo acesso privilegiado nas estações de trabalhos significa que ele pode baixar e
instalar tudo quanto quiser. Contudo o mesmo pode instalar um Utorrent e usar para
fazer downloads de filmes, séries, vídeos e etc. Comprometendo a largura de banda
e prejudicando a desempenho da internet no ambiente de trabalho. Mais ainda, ele
pode instalar um Sniffers, software que monitora a rede, e fareja senhas. Podendo
ter acesso a diversos tipos de senhas de diferentes sistemas.
As portas usb’s e driver’s de cd’s devem sempre permanecer desabilitadas para
leituras de dados. Estando habilitadas para leituras de dados qualquer um pode
espetar um pen drever e transferir dados do computador para ele ou vise e versa.
Além de infectar a máquina da organização e a rede com vírus. E assim causar
sérios problemas.
15 - CONCIENRIZAÇÃO - Toda organização precisa ter um plano para conscientizar
seus colaboradores, parceiros e clientes acerca da sua política e tratativas com a
segurança da informação. Eles precisam ter ciência que a informação é um ativo de
valor importante e essencial para organização e ela precisa ser bem protegida.
Poucos empresas parecem dá importância para o quesito engenharia social, mas a
organização tem que educar seus funcionários a lhe dar com ela e deixá-los cientes
que esse método de roubo de informação existe e a qualquer momento qualquer um
pode ser abordado por engenheiro social e não saberá que é realmente um. Pois
eles não se apresentam com um adesivo na testa dizendo quem é e para quê esta
ali. É necessário que todos tenham conhecimento que pouquíssimas vezes um
desses atacantes irá agir pessoalmente. Na maioria das vezes eles agem por uma
simples ligação, por exemplo, José é um engenheiro social e quer alterar a senha do
cartão de crédito corporativo que seu supervisor deixou cai no corredor. José sabe
que para fazer essa alteração precisa do CPF do titular. Então ele liga no RH se
passando por seu chefe, (Alô aqui é o Ronaldo. – A moça do Rh atende e diz – olá
senhor Ronaldo que prazer atendê-lo, em que posso ajudar? Observe que a moça
do Rh quer ser bem prestativa e não quer desapontar um pedido de um dos
supervisores da empresa. Então ele fala, sabe o que é? Eu nunca memorizo meu
33
CPF, sempre ando com ele na carteira e hoje esqueci, pode me ajudar? Olha na
minha documentação ai qual o meu número de CPF, preciso dele urgente. Então a
moça do Rh responde. Claro que posso ajudar senhor, aguarde cinco minutos que
informo o número. Passado os cinco minutos ela responde, Senhor Ronaldo muito
obrigado por aguardar e desculpe a demora, o número do seu CPF é XXX.YYY.ZZZ-
WW. O colaborado José agradece, muito obrigado querida, parabéns pelo seu
trabalho, pode deixar que irei conversar sobre você com o seu supervisor imediato,
para dá esse elogio. Tchal tenha um bom trabalho). José agora com o número de
CPF e cartão em mãos, liga na administradora do cartão, informa o cpf e nome do
titular, faz a alteração da senha, agora o José pode efetuar qualquer compra com
cartão. Até o Ronaldo perceber que perdeu o cartão, já existe muito saldo devedor
nele.
Sendo assim, as empresas precisam alertar seus funcionários acerca desse tipo de
ação, qualquer um pode receber uma ligação de alguém fingindo ser uma pessoa
que ele não é para adquirir informações. Se a moça do Rh tivesse sido treinada a
como agir diante dessa situação, ela pediria para o José aguardar, pegaria o número
de retorno dele, ligaria para o Ronaldo, pois no Rh deveria ter o número direto do
Senhor Ronaldo, checaria a veracidade da situação.
4.3. Estudo sobre os danos causados nas empresas pela vulnerabilidade humana.
Na era atual que as empresas vivem, denominada de a era da informação, onde a
informação está cada vez mais acessível e disponível para as pessoas. O grande
desafio dos gestores de segurança da informação e gestores de TI é gerenciar a
informação em meio às pessoas, sabendo-se que as empresas estão cheias de
delas por toda parte, e que possuem diferentes comportamentos, índole e caráter.
As corporações têm as mais diversas áreas ocupadas por pessoas, é praticamente
impossível pensar em um setor dentro de determinada empresa que não tenha
algum indivíduo. Na antiga chamada era industrial, onde o empregador via as
pessoas apenas como ferramentas de trabalho, quando pouquíssimas ou nenhuma
autonomia era dada a ela. Hoje se vive totalmente o inverso, com a evolução
tecnológica se viu a necessidade de mudar esse pensamento, e no atual momento
34
as corporações se veem na necessidade de dá autonomia as pessoas dentro do
ambiente de trabalho.
É possível descrever as corporações da atual era da seguinte forma: Empresa +
Processos + Equipes + Pessoas. Empresas que são movidas a processos,
processos que necessitam de uma equipe para tocá-los e equipe têm pessoas.
Em meio a essa quantidade de ativo vivo, será que o dono e/ou presidente da
organização conhece cada ser que presta serviço para ele? Será que muitos
trabalham todos os dias com as mesmas pessoas e as conhecem? Esbarram-se nos
corredores, mas nunca se falam. E como confiar nas pessoas que são funcionários e
estão ouvindo as conversas de determinada equipe nos corredores, ou na porta de
tal departamento. Possivelmente podem pensar, não existe risco algum, a
informação está sendo manipulada no ambiente interno. As pessoas são o grande
“calcanhar de Aquiles” das empresas, elas são falhas, e a qualquer momento podem
deixar escapar uma informação que não deveria sai de sua boca, às vezes nem para
ser escrita em um papel.
O fator humano muito pode dentro das corporações, são eles quem cria e operam
sistemas, que tratam dos processos de contas a pagar e a receber e dentro muitos
outros processos críticos das empresas. Na área de direito, os advogados têm uma
palavra que nesse contexto cabe bem, “imperícia”, quer dizer: fazer algo sem ou
com pouco conhecimento, habilidade, experiência e ou capacitação para o que se
está executando. É possível ver que as organizações têm pecado nesse quesito,
elas não tem capacitado as pessoas para manipular suas informações, na maioria
das vezes as empresas não possuem um setor específico de segurança da
informação, mas as empresas deveriam capacitar seus colaboradores a executar
determinada função ou processo, ainda mais quando se trata de processos críticos
que se houver alguma falha ou erro humano, ou até mesmo o agir de má fé
compromete seu negócio. E os prejuízos financeiros e a imagem da empresa serão
incalculáveis.
O homem é vingativo, quase sempre quando algo não sai de acordo com o que ele
quer ou planeja, o mesmo pensa em outras medidas e nem sempre serão
aceitáveis, ou éticas. Em uma matéria publicada em 2013 pelo TECMUNDO, é
apresentado um funcionário de uma companhia de TI americana que destruiu parte
dos computadores. Dando-lhe prejuízo de um pouco mais de 86 mil reais. O
35
funcionário foi motivado depois que a sua reivindicação junto à empresa por
aumento salarial não teve sucesso.
E o mais inusitado nisso tudo não é o que lhe motivou, mas sim como ele agiu para
causar tamanho dano financeiro. Após a companhia resolver instalar câmeras de
segurança, o criminoso foi filmado entrando no data center, em horário indevido e
jogando uma grande quantidade de produto de limpeza sobre as máquinas. O crime
aconteceu entre 2009 a 2012, o mesmo foi julgado, e depois de confessar o crime
terá que pagar um pouco mais de 26 mil reais para a empresa além passar 6 meses
na prisão.
É possível observar na matéria uma grande falha de segurança que desrespeita ao
controle de acesso físico. Todo ambiente da organização deve ser filmado, a ação
do indevido só foi descoberta 3 anos depois, quando o prejuízo já estava na casa
dos 80 mil reais. Se desde o início o data center fosse monitorado 24 horas,
possivelmente o dano não teria essa proporção.
4.4. Estudos sobre riscos causados pelo fato das empresas não conscientizar seus
colaboradores.
Inúmeros são os ataques sofridos pelas organizações, causando grandes prejuízos,
perca de informação, financeiros e/ou a sua imagem, na maioria das vezes ocorrem
porque os alvos não tomam nenhuma medida de segurança ou as fazem
erroneamente. As companhias precisam tomar medidas exatas de segurança para
evitar esse tipo de perda.
É preciso alertar seus funcionários que senhas padrões não devem ser usadas, pois
é muito fácil a sua descoberta. As empresas devem orientar todos que fazem parte
do seu quadro de empregados, que senha padrão, e usar a mesma senha para
vários sistemas, servidores, portas não é nada seguro. Porque ao ser descoberta
pelo invasor, ela será a primeira a ser usada no próximo ataque.
Muito se ouve profissionais de TI dizerem: “sempre trabalhamos dessa maneira,
sempre fizemos assim há anos e nunca formos invadidos”. Todos que têm esse tipo
de posição estão completamente fadados a sofrer um ataque a qualquer momento,
36
são alvos fáceis pela falta de conscientização. Eles precisam está cientes que isso
representa um grande risco para a organização, as empresas devem está a espreita
e não ter esse tipo de cultura, elas têm que ser inovadoras pioneiras no uso de
tecnologia atualizada como mecanismo de monitoramento e defesa contra invasão.
Deixar de conscientizar é não da importância para as informações que circulam em
ambiente interno, seja ela falada, impressa, ou digital. Por exemplo, se o
empregador não orienta que dados de um novo projeto a qual ele tem investido
milhões, que eles devem ser manipulados de forma correta, pois o seu vazamento
compromete o seu sucesso. Com certeza essas informações estão em risco, pois
um membro da equipe desse projeto pode pegar o elevador lotado, falando ao
celular sobre etapas do projeto, um terceiro ouvir a conversa. Essa pessoa que
ouviu pode ser um engenheiro social, nunca sabemos onde eles estão esse tipo de
atacante é muito observador, sendo assim ao ouvi tal conversa ele vai prestar
atenção em cada palavra. Dependendo do que foi conversado ele pode fazer uma
simples ligação para empresa se passando por alguém da equipe ou responsável
pelo projeto, e adquirir todas as informações sobre o mesmo, logo o projeto que
recebeu milhões em investimento cairá nas mãos de terceiros. Entretanto se esses
colaboradores estivessem cientes que engenharia social existe que muitas são as
companhias invadidas por esse maio, e que esse tipo de informação de caráter
extremamente sensível deve-se ter cuidado ao ser manipulado de forma correta, e
tratada criticamente, não teria tal acontecimento.
No Brasil não temos histórico desses tipos de ataques aonde empresas chegam a
ser invadidas e tem seu principal projeto entregue a concorrência. Possivelmente
isso gere uma falsa sensação de segurança, viver pensando que está totalmente
seguro é o maior erro, não existe segurança cem por cento. Mas temos pequenos
roubos onde script kiddies que são pessoas que sabem usar as ferramentas de
invasão, tem conhecimentos para enganar usuários, invadem sistemas, como, os de
bancos e conseguem roubar grandes quantidades de dinheiro. Mas podemos
futuramente ter grandes invasões assim como ocorrem em países como Estados
Unidos da America, China, Japão, Rússia, dentre outros, se não conscientizarmos
usuários dos riscos que as empresas estão expostas, para isso toda organização,
alta gerência precisa se conscientizar.
37
Acredita-se que pelo fato da internet ter chegado ao Brasil por volta dos anos 90,
enquanto isso nos EUA Kevin Mitnick já está preso, por ter invadidos dezenas de
sistemas de empresas. O fraco desenvolvimento tecnológico que vivemos nos
primórdios da era digital foi muito grande, acabou afetando o avanço de
metodologias e políticas de segurança. É tão provado que uma gigantesca parte
das empresas não possui políticas de segurança bem definidas e não se interessam
em obter uma certificação ISO 27001 ou ISO 17799.
Uma grande prova disso é que só em 2008 que o governo brasileiro liberou uma
Instrução Normativa que regula a implantação de políticas de segurança da
informação em órgãos públicos, enquanto nos EUA já existia essa preocupação há
muito tempo.
4.5. Estudos sobre o que um funcionário desmotivado representa para uma
empresa.
Existe hoje uma grande necessidade para se investir no capital humano. As
empresas necessitam de pessoas para tocar seu negócio e alcançar os seus planos
mais ambiciosos. As companhias são formadas por dezenas de pessoas,
denominadas colaboradores, trabalhando juntos para alcançar o mesmo objetivo.
Mas o que muitas empresas não entendem, ou muitas vezes não tem maturidade
suficiente para li dá com a desmotivação desses colaboradores. Ao se trabalhar com
pessoas as organizações corre esse risco, a qualquer momento um funcionário pode
se desmotivar e isso é preocupante.
A desmotivação do profissional no ambiente de trabalho, não é apenas um problema
pessoal do funcionário como muitas empresas pensam, mas também da empresa,
pois um colaborador desmotivado pode ficar desinteressado, descompromissado e
cometer gastos excessivos, atrasos, afastamento do trabalho, apresentar
dificuldades para trabalhar em equipe, dificuldade para entregar seus resultados
além de problemas com a liderança.
Considerando todos esses acontecimentos, pode se dizer que o mais prejudicado é
o empregador e não o empregado. Sendo assim a organização “liderança” deve
sempre estudar maneiras de motivar o funcionário, reconhecendo a importância e
valor desse capital humano.
38
Para que a companhia possa alcançar suas metas ela precisa ter os funcionários
cem por cento focados. Pois quanto menos eles produzirem, menor será o resultado
obtido pela empresa. Contudo para manter a qualidade da organização é necessário
se manter a qualidade de vida dos funcionários.
Muitos são os causadores da desmotivação do profissional no ambiente corporativo,
falta de reconhecimento pelo trabalho desenvolvido, salário, rotina, problemas
pessoas, desentendimento com colegas, inflexibilidade, dentro outros. Quando um
funcionário está desmotivado e o mesmo não consegue encontrar o caminho, a
empresa não faz um trabalho de motivação, a pessoa terá baixa produtividade e até
mesmo, perderá o foco nos resultados e isso consequentemente causará a
demissão.
Funcionário desmotivado representa um risco e até mesmo dano financeiro à
organização, a partir do momento que ele deixa de produzir o que a empresa estava
acostumada ao seu nível de produção ela perde com isso, projetos começam a
atrasar, trabalhos passam a não serem feitos. A companhia é ferida financeiramente
com isso, pois ela contrata o colaborador para que essas atividades sejam feitas e
recebe por esse trabalho desempenhado, por exemplo, se for uma área de
produção, o produto não ficará pronto, a empresa não vai vender, e cliente não vai
receber o produto. Além do processo de demissão que financeiramente não é bom
para a empresa, que terá gastos com isso, como também terá com a contratação e
treinamento de um novo colaborador.
Ter empregado completamente desmotivado no seu ambiente interno, representa
risco as informações, e a imagem da empresa. Informação de caráter sigiloso pode
ser entregue por esse funcionário a concorrência, destruí informações ou vazar
dados que comprometam a imagem da empresa.
Sendo assim as corporações precisam está capacitada para lidar com essa
situação, pois a qualquer momento e qualquer um dos seus funcionários pode ficar
desmotivado. Então prezar pela qualidade de vida, bem estar do empregado e ser
flexíveis trará maiores resultados para as empresas.
39
4.6. Plano de conscientização
Manter a segurança da informação é bem mais uma questão gerencial, do que
propriamente a tecnologia em si. De nada adianta investir nas mais atuais
tecnologias de segurança, se não tiver conscientização, colaboração e
comprometimento dos funcionários. Para ter sucesso nesse processo de
gerenciamento em meios às pessoas, é importante ter campanhas e treinamentos
para conscientização de funcionários.
Imagem 1.1 – Plano de conscientização.
1 – Classificar as
informações:
2 - Campanha de
conscientização:
3 – Treinamento e
Conscientização:
4 - Convencer a alta
gerência acerca da
segurança da
informação:
5 – Envolvimento das
outras áreas:
6 - Certificações para
empresa e o
profissional. ISO 27001
e 17799 à organização
e ISO 27002 o
profissional de TI.
40
1. Classificar as informações: A informação deve ser classifica de acordo com
seu valor: Confidencial (A informação só deve circular pelo ambiente interno a
mesma é compartilhada com um número muito pequeno de pessoas. Esse
tipo de informação está ligado aos planos de ambição da empresa,
presidência, acionistas e etc). Particular (Esse tipo de informação é de
natureza pessoal, tendo seu manuseio apenas internamente. A sua
divulgação não autorizada pode causar impacto sério sobre os empregados e
organização. Tem-se como exemplos desses dados, contas bancárias,
holerites, etc), e Pública (É aquela informação que deve ser compartilhada
por todos os funcionários dentro da empresa, por exemplo, a política de
segurança da informação, missão, visão e valor da empresa e etc). A
classificação das informações deve ser em termos do seu valor, conforme
requisitos legais, e diferentes níveis de sensibilidades, evitando que seja
modificada e/ou divulgação não autorizada.
2. Campanhas de conscientização: Nas empresas uma grande parte dos
funcionários se não todos tem uma falsa sensação de segurança, sabem que
a empresa possui o mais moderno firewall, o mais desenvolvido software de
monitoramento de rede, e tem todo seu ambiente físico filmado por câmeras
por toda a parte. Essa cultura precisa ser mudada, a falsa sensação de
segurança é um risco, pensar que seus sistemas nunca serão invadidos é
subestimar os atacantes.
3. Treinamentos e conscientização: É necessário ter periodicamente
treinamento, palestras, apresentações onde os funcionários de todas as áreas
são conscientizados dos riscos causados pelo manuseio incorreto das
informações, sendo alertados acerca de engenharia social, tecnologias novas,
vírus, uso correto de correios eletrônicos, senhas, devem ser apresentados
cases de invasões por mais simples que seja o meio pela qual a empresa
exemplo foi invadida. Peças teatrais é um método para fixar o conhecimento
do assunto abordado nas apresentações, sempre ter um tema, assunto,
diferente para apresentar em cada seção. Dependendo do porte da empresa,
deve ocorrer semanalmente ou a cada quinze dias.
4. Convencer a alta gerência acerca da segurança da informação: A alta cúpula
deve entender que a informação é um dos maiores ativos da organização, um
41
fator crítico de sucesso e precisa ser adequadamente protegida. E todos que
fazem o seu manuseio devem ser conscientizados para minimizar o risco a
qual a informação está exposta. Eles devem entender que existem normas
que facilitam esse gerenciamento.
5. Envolvimento das outras áreas: A responsabilidade de manter a segurança da
informação não é apenas da TI, todas as áreas devem está engajadas nesse
processo, cada uma pode ajudar de uma maneira. Por exemplo, o RH deve
acompanhar a participação dos colaboradores aos treinamentos e emitir os
certificados de participação. A área de comunicação interna, promover as
campanhas, distribui cartazes, banners, brindes e comunicados sobre o tema.
6. Certificações: A empresa deve buscar uma das certificações na área de
gestão de segurança da informação, que melhor lhe oriente a gerenciar, e
implementar meios para garantir e manter a segurança dos dados. Como por
exemplo: ISO 27001 ou ISO 17799, para melhor implantar um sistema de
gestão de segurança da informação. Também o profissional precisa adquirir a
certificação ISO 27002 que trabalha em conjunto com as primeiras, é de
suma importância capacitar seus funcionários para lidar com a segurança da
informação.
42
5 CONSIDERAÇÕES FINAIS (CONCLUSÃO)
Realmente o fator humano tem sido a grande dificuldade na gestão de segurança da
informação. Onde as empresas possuem a informação, seu maior e mais importante
ativo, e precisa protegê-las, afirma-se que a conscientização dos seus funcionários é
a melhor maneira de iniciar o processo para manter a segurança da informação em
toda organização, dificultando assim cada vez mais que ela caia nas mãos ou nos
ouvidos de terceiros.
Contudo a pesquisa alcança seu objetivo, apontando o fator humano como elo mais
fraco na gestão da segurança da informação dentro da empresa. Alertando tanto as
organizações como também profissionais de TI a entender que a informação que
circula dentro da companhia tem um extremo valor para mesma, e a sua proteção
depende muito de seus colaboradores.
E por meio de normas são apontados melhores práticas a serem implantadas para
manter a segurança desses dados. Deixando bem claro que a responsabilidade de
manter os dados seguros é de todos dentro da empresa, a começar da alta cúpula.
A pesquisa limita-se em todo o conteúdo teórico, com pouquíssimas bases praticas,
onde fortaleceria ainda mais a sua afirmação, apontando o fator humano como elo
mais fraco na gestão de segurança da informação nas empresas. Uma vez que os
profissionais de TI têm cada vez mais dificuldade para manter a segurança da
informação na organização, já que pessoas são quem às manipulam.
Os poucos relatos de empresas que se declaram vítimas de engenharia social é
uma das limitações do trabalho, são poucos ou quase nenhum os relatos das
companhias que podem ter sido invadidas e tiveram seus dados furtados, e ou
prejuízos por meio da engenhara social. Na maioria das vezes porque as
organizações não têm o conhecimento da invasão e em outros casos para não atrai
a atenção de novos atacantes. Daí as poucas informações acerca do assunto,
dificultando um pouco a sua abordagem.
Em estudos futuros fica a possibilidade de aplicar toda a base teórica dessa
pesquisa, onde é mostrado melhoria com base em normas para implantar e manter
a segurança da informação.
43
Orientando empresas de diversos seguimentos e profissionais de TI a melhorar a
condução do processo de segurança da informação. Deixando um pouco a cultura
de que segurança da informação é feita apenas por meio de tecnologia, mas
envolvendo os principais atores e responsáveis por elas, as pessoas. Sendo assim
entende-se que a aplicação de conceitos aqui apresentados minimizará a exposição
aos riscos que a informação está exposta nas empresas.
44
REFERÊNCIAS BIBLIOGRÁFICAS
ACADEMY, Advisera. Diferença entre ISO 27001 e ISO 27002- 2010. Disponível em
<HTTP://advisera.com/27001academy/pt-br/faqs/#faq3> acesso em: 01 dez. 2015.
ARTIGOS.ETC.BR, Jphora. Ameaças a Segurança da Informação: os Riscos
Humanos como Fator Prevenção, 2010. Disponível em: <
http://www.artigos.etc.br/ameacas-a-seguranca-da-informacao-os-riscos-humanos-
como-fator-prevencao.html>. Acesso em: 04 nov. 2015.
BSI, bsigroup. Segurança da informação, 2015. Disponível em:
<HTTP://www.bsigroup.com/pt-BR/ISO-IEC-27001-seguranca-da-informacao>.
Acesso em: 30 nov. 2015.
COMUNIDADE, Módulo. Conscientização de usuários:Como envolver seu Público
com a Segurança da Informação, 2006. Disponível em:
<WWW.modulo.com.br/comunidade/entrevista/616-conscientizacao-de-usuários-
como-envolver-seu-publico-com-a-seguranca-da-informacao>. Acesso em: 15
abril.2016.
DAWEL, George. A Segurança da Informação nas Empresas: Ampliando Horizontes
Além da Tecnologia. Ed. 2005. Rio de Janeiro: Ciência Moderna, 2005. 116 p.
ECADERNO.COM, O Portal do Conhecimento, 2014. Disponível em:
<http://www.ecaderno.com/profissional/desmotivacao-no-trabalho-como-lidar-com-o-
problema-e-cuidar-do-bem-estar-na-carreira>. Acesso em: 14 abril. 2016
FACOL. Política de Segurança da Informação, 2001. Disponível em: <
http://www.facol.com/web/downloads/Politicas_Seguranca_TI.pdf>. Acesso em: 27
fev 2016.
FELEOL, Alex. Segurança da Informação, 2012. Disponível em:
<http://alexfeleol.com.br/2012/06/23/os-tres-pilares-da-seguranca-da-informacao/->.
Acesso em: 30 nov. 2015.
FERREIRA, Fernando.N.F. O Elo mais fraco da segurança: O fator humano, 2010.
Disponível em: < https://admunaerp200761.files.wordpress.com/2010/06/9392_o-elo-
mais-fraco.doc. >. Acesso em: 25 fev 2016
45
GUSTAVO, Guto. Segurança da Informação, 2009. Disponível em
<http://infrati.blogs.sapo.pt/1517.html> acesso em: 11 nov. 2015.
ISO/IEC 27001, Norma para SGSI: ABNT nbr iso/iec 27001, 2013.
ISO/IEC 27002, Norma de boas práticas para a gestão de segurança da informação:
abnt nbr iso/iec 27002, 2013.
LUIS, Blog.br. Blog Luis, 2015: Disponível em:<http://www.luis.bog.br/qual-a-
difierença-entre-dados-informacao-e-conhecimento.aspx>. Acesso em: 01 dez.
2015.
MITNICK, Kevin. A Arte de Enganar: Ataques de Hackers: Controlando o Fator
Humano na Segurança da Informação. Ed. 2003. São Paulo: Pearson Education,
2003. 286 p.
NETWORK, Faculdade Network. Technologies: Revista de tecnologia da
Informação, 2014/2015. Disponível em: <http://www.nwk.edu.br/intro/wp-
content/uploads/2014/05/Revista-Technologies-2014-Atualizada-em-
26.08.2015.pdf>. Acesso em: 10 nov. 2015.
NORMAS TÉCNICAS. Série ISO 27000, 2015. Disponível em:
<http://www.normastecnicas.com/iso/serie-iso-27000/ >. Acesso em: 26 nov. 2015.
SEGURANÇA DA INFORMAÇÃO. Segurança da informação, 2015. Disponível em:
<http://seguraca-da-informacao.info/ >. Acesso em 30 nov. 2015.
SANTANDER, Financiamento. Política de segurança da informação para
correspondente bancário do Santander, 2013. Disponível em: <
https://www.santander.com.br/document/wps/politica_seguranca_informacao_fev_13
.pdf>. Acesso em 27 de fer 2016
TECHLIVRE, Tecnologia Livre, 2012. Disponível em:
<http://techlivre.com.br/2012/10/16/seguranca-da-informacao-entrada/>. Acesso em:
01 dez. 2015.
TECMUNDO, Homem destrói computadores de empresam por 3 anos com produto
de limpeza, 2013. Disponível em: <http://www.tecmundo.com.br/novidade/36352-
homem-destroi-computadores-de-empresa-por-3-anos-com-produtos-de-
limpeza.htm#ixzz2KphZpJ00>. Acesso em: 07 de abril de 2016.
46
TI, Profissionais. Conhecendo a norma ISO 27002. Disponível em
<HTTP://www.profissionaisti.com.br/2010/03/conheca-a-nbr-isoiec-27002-parte-1/
>acesso em 01 dez. 2015.
VIVA O LINUX, Conscientização da segurança da informação nas organizações,
2015. Disponível em: <https://www.vivaolinux.com.br/dica/Conscientizacao-da-
Seguranca-da-Informacao-nas-Organizacoes>. Acesso em: 14 abril. 2016.
WIKIPEDIA, Norma iso 27000, 2015. Disponível em:
<https://pt.wikipedia.org/wiki/ISO_/_IEC_27000>. Acesso em: 27 nov. 2015.
47
FOLHA DE APROVAÇÃO DO PROJETO
EDUARDO FRANCISCO DA SILVA
VUNERABILIDADE HUMANA – RECOMENDAÇÃO PARA
CONSCIENTIZAÇÃO DO ASPECTO HUMANO COMO ELO MAIS
FRACO DA SEGURNÇA DE INFORMAÇÃO NAS EMPRESAS
Projeto de Pesquisa apresentado ao curso de Bacharelado em Sistemas de
Informação da Universidade Nove de Julho como requisito parcial para obtenção do
grau de Bacharel em Sistemas de Informação, sob a orientação do Prof. Ms. Gabriel
Baptista
Data: ____/____/____
____________________________________________
Assinatura do professor orientador
OBSERVAÇÕES: _____________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
