Embed Size (px)
Citation preview
UNIVERSIDADE FEDERAL DO PARÁ
CAMPUS MARABÁ
PATRICIA RODRIGUES DA SILVA PATRICIA VIVIANE DE SÁ OLIVEIRA
BOAS PRÁTICAS ISO/IEC 27002 PARA SEGURANÇA DA
INFORMAÇÃO EM EMPRESAS DE XINGUARA-PA
XINGUARA-PA
2014
PATRICIA RODRIGUES DA SILVA PATRICIA VIVIANE DE SÁ OLIVEIRA
BOAS PRÁTICAS ISO/IEC 27002 PARA SEGURANÇA DA
INFORMAÇÃO EM EMPRESAS DE XINGUARA-PA
Trabalho de Conclusão de Curso apresentado à UFPA – Universidade Federal do Pará, como requisito parcial para a obtenção do título de Bacharel em Sistemas de Informação. Orientador: Profª Msc. Cassia Kahwage
XINGUARA-PA
2014
Dados Internacionais de Catalogação-na-Publicação (CIP)
(Biblioteca Josineide Tavares, Marabá-PA)
_______________________________________________________________________________
Silva, Patrícia Rodrigues, Oliveira, Patricia Viviane de Sá.
Boas práticas ISO/IEC para segurança da informação em empresas de
Xinguara-Pa / Patrícia Rodrigues da Silva, Patricia Viviane de Sá Oliveira;
Orientadora, Cássia Maria Carneiro Kahwage – 2014.
Trabalho de Conclusão de Curso (Graduação) Universidade Federal do
Pará, Faculdade de Computação, 2014.
1. Redes de computadores – Segurança. 2. Computadores – Medidas
de segurança – Xinguara, (PA). 3. Proteção de dados- Xinguara,
(PA). 3. NBR-ISO/IEC 27002. I. Oliveira, Patricia Viviane de Sá.
II. Título.
CDD - 22 ed.: 005.8
_______________________________________________________________________________
PATRICIA RODRIGUES DA SILVA PATRICIA VIVIANE DE SÁ OLIVEIRA
BOAS PRÁTICAS ISO/IEC 27002 PARA SEGURANÇA DA
INFORMAÇÃO EM PEQUENAS EMPRESAS DE XINGUARA-PA
Trabalho submetido à avaliação da banca examinadora aprovado pelo colegiado da Faculdade de Computação da Universidade Federal do Pará e julgada adequada para a obtenção do rau de Bacharel em Sistemas de Informação. Aprovada em: 31 / 01 / 2014
______________________________________ Profª. Msc. Cássia Maria Carneiro Kahwage
(Orientadora – UFPA)
______________________________________ Prof°. Msc. Josué Leal Moura Dantas
(Membro – UFPA)
______________________________________ Prof°. José Santos (Membro externo)
Dedico este trabalho a meu querido paizinho,
Miguel Felix de Sá. Por trinta e dois anos Deus
me concedeu o privilégio de ter sua presença
física comigo. Hoje, desfruto da saudade e
certeza que sempre estarás ao meu lado,
inclusive agora. Você foi e sempre será meu
maior incentivador.
(Patricia Viviane)
Dedico este trabalho ao meu pai José Flori, a
minha mãe Maria de Fátima “in memoriam”, ao
meu amor Carlos Juvenal por todo o apoio e
companheirismo durante a trajetória nesse
caminho.
(Patrícia Rodrigues)
Agradeço a Deus, autor e consumador da minha
fé, pela força e coragem empregada em mim
durante esta e tantas outras jornadas.
A meus filhos Jhônatas (filho) e Ana Júlia (filha)
pelo suporte e amor oferecidos a mim mesmo
quando isso lhes custava minha ausência.
A minha querida mamãe (Maria Nilda) por sempre
acreditar na possibilidade desse sonho e me
motivar a sonhar mais.
A meus colegas, amigos e mestres que trilharam
junto conosco esta caminhada, em especial nossa
orientadora Cássia Kahwage.
(Patricia Viviane)
Agradeço a Deus pela oportunidade, vida e saúde
pra passar por essa etapa de aprendizado em
minha vida, a todos os professores, familiares,
amigos e colegas que me apoiaram, incentivaram
e contribuíram de forma direta ou indireta para o
meu desenvolvimento intelectual, pessoal, social
e profissional. Em especial ao meu esposo por
tudo que tens feito por mim.
(Patrícia Rodrigues)
RESUMO
No competitivo mundo das micro e pequenas empresas a utilização de tecnologia é cada vez mais necessária para expandir e manter o controle sobre seus ativos. Poucos são os gestores que priorizam a segurança da informação em suas organizações, seja por falta de capital, conhecimento ou produtos que supram a real necessidade da pequena empresa. O presente trabalho tem por objetivo apresentar boas práticas de segurança da informação baseada na norma NBR ISO/IEC 27002:2005 – Código de prática de Gestão de Segurança da Informação com aplicação em pequenas empresas e, através de pesquisa de campo, verificar atuais práticas de segurança em vinte empresas do município de Xinguara-PA para identificar preocupações/ameaças e gerar recomendações gerais que auxiliem na adoção de boas práticas de segurança das informações institucionais. Serão apresentados conceitos e práticas sobre o tema.
Palavras-chave: Segurança da informação, NBR ISO/IEC 27002, micro e pequenas empresas.
ABSTRACT
In the competitive world of micro and small businesses use technology is increasingly
necessary to expand and maintain control over their assets. Few managers who
prioritize information security in their organizations, either for lack of capital,
knowledge and products that meet the real needs of small business. This paper aims
to present good practices of information security based on standard ISO / IEC
27002:2005 - Code of Practice for Information Security Management with application
of small businesses and through field research, check current practices safety in the
municipality of twenty companies Xinguara-PA to identify concerns / threats and
generate general recommendations to assist in the adoption of good security
practices of institutional information. Concepts and practices on the subject will be
presented.
Keywords: Information Security, ISO / IEC 27002, micro and small enterprises.
SUMÁRIO
1 INTRODUÇÃO ............................................................................................... 11
2. SEGURANÇA DA INFORMAÇÃO ................................................................ 14
2.1 TERMOS E CONCEITOS ............................................................................ 16
2.2 IDENTIFICAÇÃO DOS REQUISITOS DE SEGURANÇA DA INFORMAÇÃO
......................................................................................................................... 18
2.3 ANALISANDO, TRATANDO RISCOS E ESTABELECENDO CONTROLES
DE SEGURANÇA DA INFORMAÇÃO .............................................................. 19
2.4 FATORES CRÍTICOS PARA O SUCESSO ................................................. 21
2.5 A SEGURANÇA DA INFORMAÇÃO E SEUS PRINCÍPIOS ........................ 22
3 NORMA ABNT NBR ISO/IEC 27002:2005 .................................................... 25
3.1 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ....................................... 26
3.2 ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO ................................ 27
3.2.1 Comprometimento da direção com a Segurança da Informação ......... 28
3.2.2 Coordenação da segurança ................................................................... 29
3.2.3 Atribuição de responsabilidades ........................................................... 30
3.3 GESTÃO DE ATIVOS ................................................................................. 30
3.4 SEGURANÇA EM RECURSOS HUMANOS ................................................ 31
3.5 SEGURANÇA FÍSICA E DO AMBIENTE .................................................... 32
3.5.1 Segurança externa e de entrada ............................................................ 34
3.5.2 Segurança de sala de equipamentos .................................................... 35
3.5.3 Redundância .......................................................................................... 36
3.5.4 Segurança no fornecimento de energia ................................................ 36
3.5.5 Backup .................................................................................................... 37
3.6 GESTÃO DAS OPERAÇÕES E COMUNICAÇÕES .................................... 37
3.7 CONTROLE DE ACESSO ........................................................................... 38
3.7.1 AUTENTICAÇÃO E AUTORIZAÇÃO ....................................................... 39
3.8 AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS DE
INFORMAÇÃO ................................................................................................. 40
3.9 GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO ............... 40
3.10 GESTÃO DA CONTINUIDADE DE NEGÓCIOS ......................................... 41
3.11 CONFORMIDADE ..................................................................................... 42
4 LEVANTAMENTO DE DADOS NAS PEQUENAS EMPRESAS DE XINGUARA
......................................................................................................................... 44
4.1 METODOLOGIA ......................................................................................... 44
4.2 AMOSTRA E SUJEITOS DA PESQUISA .................................................... 44
4.3 INSTRUMENTO DA PESQUISA ................................................................. 44
4.4 APRESENTAÇÃO DOS RESULTADOS ..................................................... 45
4.4.1 Caracterização da amostra .................................................................... 45
5 RECOMENDAÇÕES ÀS EMPRESAS ............................................................ 54
CONSIDERAÇÕES FINAIS .............................................................................. 57
REFERÊNCIAS BIBLIOGRÁFICAS .................................................................. 59
ANEXOS .......................................................................................................... 61
ANEXO I – QUESTIONÁRIO ............................................................................ 62
ANEXO II - Cartilha Básica de Segurança da Informação ............................. 65
11
1 INTRODUÇÃO
No mundo globalizado dos dias atuais um dos maiores bens de uma
empresa é a informação. A informação é indispensável em todos os níveis de
hierarquia existentes dentro das organizações, para que gestores tomem decisão
mais assertivas, para manter uma maior competitividade e lucratividade da empresa.
A norma ISO/IEC1 27002:2005 define que, informação é um ativo
que como qualquer outro ativo importante, é essencial para os negócios de uma
organização e consequentemente precisa ser adequadamente protegida. Isto é
especialmente importante no ambiente dos negócios, cada vez mais interconectado.
Como um resultado deste incrível aumento da interconectividade, a informação está
agora exposta a um crescente número e a uma grande variedade de ameaças e
vulnerabilidades.
A informação pode existir em diversas formas. Ela pode ser
impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio
ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual
for a forma apresentada ou o meio através ou o meio do qual a informação é
compartilhada ou armazenada, é recomendado que ela seja sempre protegida
adequadamente.
O município de Xinguara está localizado no Sudoeste do Pará e
possui uma população estimada de 40.573 habitantes (IBGE, 2010). Hoje no
município, segundo dados fornecidos pela Associação Comercial Industrial e
Agropastoril ACIAPA (2012), existem 436 empresas associadas, sendo 284
(65,13%) de micro e pequenas empresas e entre as micro e pequenas empresas
211 (74,29%) possuem suas rotinas parcial ou totalmente informatizadas.
Durante o período de Estágio Curricular Supervisionado exigido no
curso de Sistemas de Informação, com carga horária de 172 horas, foi observado
nas empresas um número expressivo de ocorrências de perda de dados e
equipamentos decorridos por falta de atitudes corretas que garantam o mínimo de
integridade, disponibilidade e confiabilidade das informações, nos motivando a
estudar sobre boas práticas em segurança da informação para contribuir com
1 International Organization for Standardization / International Electrotechnical Commision (Organização
Internacional para Padronização / Comissão Internacional Eletrotécnica)
12
gestores de pequenas empresas do município. Diante da falta de conhecimento
técnico, inexistência de política de segurança da informação, práticas errôneas de
manutenção e pouca preocupação com segurança da informação justifica-se a
necessidade de maior conhecimento e conscientização da importância de se adotar
boas práticas de segurança da informação diminuindo as ocorrências de infortúnios
e percas.
Em 2012 a pesquisa realizada pela IDC2 International Data
Corporation (Empresa Internacional de Dados), revelou os principais desafios
enfrentados pelas empresas quando o assunto é Segurança da Informação. Os
principais deles foram: mudar a cultura organizacional a favor da segurança,
conscientizar o nível executivo dos riscos e das suas consequências, suprir a falta
de mão de obra qualificada, colocar o tema segurança na agenda do responsável
pelo departamento de informática da empresa e oferecer novas e mais completas
ofertas de segurança.
A pesquisa diagnosticou dificuldades para aquisição de Segurança
da Informação apontando que somente 15% das empresas têm claro o que deseja
adquirir. Outros 40% sabem mais ou menos comprar segurança e o restante está
desorientado, de acordo com pesquisa realizada com 206 empresas em todo o
Brasil de todos os segmentos de mercado.
A falta ou pouco conhecimento sobre as melhores práticas de
segurança da informação dificulta a aquisição de ferramentas que facilitam no
processo de proteção de informações indispensáveis a continuidade do negócio. Os
prejuízos causados pelo descaso à segurança da informação podem causar
indisponibilidade temporária a base de dados da empresa, sem maiores prejuízos,
porém, podem levar uma empresa à falência financeira causada por ataques em
pontos vulneráveis e vitais.
As preocupações com a segurança da informação cresceram
exponencialmente com os efeitos da globalização nas sociedades, comportando
riscos acrescidos para as empresas que, ao apostarem nos mercados surgidos com
a utilização ampla das vias de comunicação digitais, se confrontam com a
2 Empresa líder em inteligência de mercado, consultoria e eventos nas indústrias de tecnologia da informação,
telecomunicações e mercados de consumo em massa de tecnologia em mais de 110 países em todo o mundo.
Há mais de 45 anos a IDC fornece informações estratégicas para ajudar os clientes a alcançarem seus objetivos
de negócios.
13
necessidade de assegurar a confidencialidade, integridade e disponibilidade da
informação resultante dos contatos com os seus diversos parceiros. Os aspectos
relacionados com a segurança da informação necessitam de ser identificados e
avaliados de modo a ser possível garantir segurança e a continuidade do negócio de
forma saudável e satisfatória.
O objetivo deste trabalho é gerar uma série de recomendações, em
linguagem mais simples, a partir da ISO 27002:2005, para micro e pequenas
empresas de Xinguara, em intuito de garantir maior confidencialidade, integridade e
disponibilidade. Os objetivos específicos foram estudar e conhecer as melhores
práticas de segurança da informação, conhecer o cenário de empresas locais,
identificar as maiores preocupações e ameaças de segurança das empresas, bem
como verificar as práticas de segurança da informação em micro e pequenas
empresas de Xinguara.
Após a pesquisa bibliográfica foram realizadas visitas de
observação, entrevistas e aplicados questionários em empresas selecionadas para a
pesquisa de campo. Os dados coletados serão analisados para verificação das
práticas de segurança e ameaças identificadas nas organizações. Partindo de tal
análise serão geradas recomendações gerais que contribuam positivamente com o
conjunto de empresas estudadas.
O trabalho é composto de 5 capítulos que descrevem a importância
das boas práticas em segurança da informação para a continuidade dos negócios
em micro e pequenas empresas do município de Xinguara-PA, apresenta termos,
conceitos e nomenclaturas que dizem respeito a segurança da informação, descreve
a norma ISO/IEC 27002:2005 e suas 11 seções de controles de segurança da
informação, com suas respectivas finalidades e estudo de caso realizado em micro
e pequenas empresas do município de Xinguara-PA, identificando as ameaças e
vulnerabilidades de segurança da informação para gerar recomendações de boas
práticas de acordo com a ISO 27002:2005.
14
2. SEGURANÇA DA INFORMAÇÃO
Nos dias atuais as informações são consideradas como um dos
principais ativos de uma organização, senão, o principal. Vive-se na sociedade da
informação e estas estão constantemente sob risco, tornando a segurança da
informação fundamental para sobrevivência das empresas.
De acordo com Rezende e Abreu (2000) a informação é um dado
com uma interpretação lógica ou natural dada por quem a fornece. Possui valor
altamente significativo e pode representar grande poder para quem a possui, pois
está fortemente integrada com processos, pessoas e tecnologias da empresa.
O controle da informação é um fator de sucesso crítico para os
negócios do ponto de vista estratégico e empresarial. Dispor da informação correta,
no momento adequado, significa tomar uma decisão de forma ágil e eficiente, e com
a evolução, a informação ganhou mobilidade, inteligência e real capacidade de
gestão, aumentando a criticidade da segurança da informação, e cada vez mais a
real necessidade de se ter um controle eficaz sobre os dados e informações da
empresa, no que diz respeito a seu fluxo, método de acesso, permissão de acesso,
e monitoramento.
Ativo vem a ser qualquer coisa que tenha valor para a organização.
São ativos os elementos que compõem o processo de manipulação da informação, a
contar a própria informação, os meios em que ela é armazenada, transportada e
descartada (Baldissera, 2007).
Atualmente ativos de grande valor para as organizações são
bastante visados, entre eles estão:
Processos de apoio: representam uma atividade interna,
geralmente transversal, permitindo assegurar o bom funcionamento da empresa. Os
processos de apoio são geralmente invisíveis para o cliente (beneficiário). Pode
tratar-se, por exemplo, da gestão financeira, da gestão de recursos humanos e a
formação de colaboradores (Pillou, 2006).
Sistemas: são um conjunto de componentes inter-relacionados que
coleta (ou recupera), processa, armazena e distribui informações para dar suporte à
tomada de decisão e ao controle da organização
15
Redes: são estruturas físicas (equipamentos) e lógicas (programas,
protocolos) que permitem que dois ou mais computadores possam compartilhar suas
informações entre si.
Informação: são dados com algum significado ou relevância. É
essencial para os negócios de uma organização (Marçula, 2008).
Os ativos por sua vez são importantes e necessitam ser
resguardados de ameaças de natureza humana e tecnológica, através de práticas,
metodologias, frameworks, padrões e normas que auxiliam na análise de riscos e
apontam para uma melhor prática em segurança da informação.
Dentre as práticas e metodologias pode-se citar as normas NBR ISO
IEC 17799 que é um código de boas práticas para a gestão da Segurança da
Informação, atualizado pelo Comitê Internacional da ISO IEC. Aprovada pela ISO
(em Genebra - 15/06/2005) é o resultado de um trabalho de cinco anos, que
envolveu aproximadamente 100 especialistas em Sistemas de Informação de 35
Países.
No Brasil, a ABNT (Associação Brasileira de Normas Técnicas)
lançou no dia 24/08/2005 a versão NBR ISO IEC 17799:2005, a partir de 2007
passou a ser numerada como NBR ISO IEC 27002.
De acordo com a Norma ABNT NBR ISO/IEC 27002:2005:
“Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, como: políticas, processos, procedimentos, estruturas organizacionais, e funções de hardware e software, estes controles necessitam ser estabelecidos, implementados, monitorados, analisados e melhorados onde se fizer necessário, garantindo que a segurança da organização e os objetivos do negócio sejam atendidos.” (ABNT, NBR ISO/IEC 27002:2005, p.10).
A segurança da informação é de extrema importância para os
negócios por estabelecer diretrizes de proteção da infraestrutura crítica e sua função
é viabilizar os negócios combatendo as ameaças à sua integridade, disponibilidade e
confidencialidade com o objetivo de garantir a continuidade do negócio e diminuir os
riscos. Beal (2005) e Sêmola (2003) apud Netto (2007) reforça que o objetivo da
segurança da informação é preservar os ativos quanto à:
16
Confidencialidade: é a garantia de que somente pessoas autorizadas terão acesso a ela, protegendo-a de acordo com o grau de sigilo do seu conteúdo; Integridade: é a garantia da exatidão da informação, assegurando que pessoas não autorizadas possam modifica-la, adicioná-la ou removê-la, seja de forma intencional ou acidental. Disponibilidade: é a garantia de que os autorizados a acessarem a informação possam fazê-lo sempre que necessário.
As atividades que envolvem a segurança da informação como:
definir, alcançar, manter e melhorar a segurança são atividades essenciais para
assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos
requisitos legais e a imagem da organização junto ao mercado. (ABNT, NBR
ISO/IEC 27002:2005, p. 10).
2.1 TERMOS E CONCEITOS
Para melhor definir, e entender as nomenclaturas, que envolvem
segurança da informação este capitulo apresenta termos e conceitos comumente
utilizados nas políticas de segurança da informação (ABNT, NBR ISO/IEC
27002:2005, p.1-3), são eles:
Ativo – Toda e qualquer coisa que tenha valor para a
organização;
Controle – Forma de gerenciar riscos, incluindo políticas,
procedimentos, diretrizes, práticas, ou estruturas organizacionais, que podem ser
de natureza administrativa, técnica, de gestão ou legal. Também usado como
sinônimo para proteção ou contramedida;
Diretriz – Descrição que orienta o que deve ser feito e como,
para se alcançarem os objetivos estabelecidos na política;
Recursos de processamento da informação – Qualquer
sistema de processamento da informação, serviço ou infraestrutura, ou as
instalações físicas que a abriguem;
Segurança da informação – Preservação da confidencialidade,
da integridade, e da disponibilidade da informação; adicionalmente, outras
propriedades, tais como autenticidade, responsabilidade, não repúdio de
confiabilidade, podem também estar envolvidas;
17
Evento de segurança da informação – Ocorrência identificada
de um sistema, serviço ou rede, que indica uma possível violação da política de
segurança da informação ou falha de controles, ou uma situação previamente
desconhecida, que possa ser relevante para a segurança da informação;
Incidente de segurança da informação – Um incidente de
segurança da informação é indicado por um simples ou por uma série de eventos
de segurança da informação indesejados ou inesperados, que tenham uma
grande probabilidade de comprometer as operações do negócio e ameaçar a
segurança da informação;
Política – Intenções e diretrizes globais formalmente expressas
pela direção;
Risco – combinação da probabilidade de um evento e de suas
consequências;
Análise de riscos – Uso sistemático de informações para
identificar fontes e estimar riscos;
Análise/Avaliação de riscos – Processo completo de análise e
avaliação de riscos;
Avaliação de riscos – Processo de comparar o risco estimado
com critérios de riscos pré-definidos para estimar a importância do risco;
Gestão de riscos – Atividades coordenadas para direcionar e
controlar uma organização no que se refere a riscos e a comunicação de riscos;
Tratamento do risco – Processo de seleção e implementação de
medidas para modificar um risco;
Terceiro setor – Pessoa ou organismo reconhecido como
independente das partes envolvidas, no que se refere a um dado assunto;
Ataque - O termo “ataque” define a efetivação da ameaça.
Existindo vários tipos destes. Ataque pode ser definido como um assalto ao
sistema de segurança que deriva de uma ameaça inteligente, isto é, um ato
inteligente que seja uma tentativa deliberada para invadir serviços de segurança
e violar as políticas do sistema.
Ameaça – Causa potencial de um incidente indesejado, que pode
resultar em dano para o sistema ou organização;
Vulnerabilidade – Fragilidade de um ativo ou grupo de ativos
que pode ser explorada por uma ou mais ameaças.
18
Controle de acesso - é uma referência à prática de permitir o
acesso a uma propriedade, prédio, ou sala, apenas para pessoas autorizadas
por meio físico, mecânicos e/ou tecnológicos. O controle de acesso pode ser
realizado em vários níveis.
2.2 IDENTIFICAÇÃO DOS REQUISITOS DE SEGURANÇA DA INFORMAÇÃO
Conforme a ABNT NBR ISO/IEC 27002:2005 é essencial que uma
empresa identifique seus requisitos de segurança da informação da seguinte forma:
a) A partir da análise/avaliação de riscos para a segurança da
informação na organização, conforme apresentado na Figura 1, considera-se os
objetivos e as estratégias globais de negócio da empresa, identificando quais são as
ameaças e vulnerabilidades aplicadas aos ativos, para posteriormente realizar, de
forma objetiva, uma estimativa da probabilidade de ocorrência de ameaças e qual
será o impacto potencial ao negócio.
Figura 1 – Requisitos (Análise/avaliação de riscos)
Fonte: CUNHA, 2009
b) Verificar a legislação vigente, estatutos, regulamentações, e
cláusulas contratuais, que a empresa, seus parceiros, contratados e provedores de
serviço tem que atender, além de seu ambiente sociocultural.
19
c) Estabelecer conjunto particular de princípios, objetivos e requisitos
do negócio para processamento da informação que uma organização tem que
desenvolver para apoiar suas operações (Figura 2).
Figura 2 – Requisitos (Apoio as operações)
Fonte: CUNHA, 2009
2.3 ANALISANDO, TRATANDO RISCOS E ESTABELECENDO CONTROLES
DE SEGURANÇA DA INFORMAÇÃO
Após identificação dos requisitos de segurança da informação
através da análise/avaliação sistemática dos riscos de segurança é hora de
direcionar e determinar quais serão as ações gerenciais a serem adotadas e as
prioridades para o tratamento dos riscos.
De acordo com Laureano (2005), “o risco é uma expectativa de
perda expressada como a probabilidade de que uma ameaça em particular poderá
explorar uma vulnerabilidade com um possível prejuízo”. É certo que o risco de
segurança dificilmente será zero, porém, é possível estar sempre em um nível baixo
de insegurança diminuindo as ameaças aos ativos da organização.
Os resultados da análise/avaliação irão ajudar a direcionar e
determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento
dos riscos de segurança da informação. Um bom programa de segurança da
informação começa com a avaliação de riscos que indica quais informações
necessitam ser protegidas, de quais ameaças e quais danos poderiam sofrer a
empresa caso as ameaças concretizassem (ABNT, NBR ISO/IEC 27002:2005, p.6).
A análise de riscos deve ser realizada periodicamente, com vistas a encontrar
quaisquer mudanças que possam alterar os resultados da análise/avaliação.
20
A Segurança da informação compreende questões tecnológicas e
rotineiras da empresa. No dia a dia alguns quesitos de segurança podem parecer
muito simples e passarem despercebidos, deixando espaço aberto para ameaças,
que na exploração das vulnerabilidades, acarretam graves incidentes aos negócios.
Para que os ativos da empresa estejam protegidos é necessário que
a segurança da informação não seja vista apenas como um ato, mas, um processo
contínuo que pode ser verificado através do ciclo administrativo PDCA.
Para Laureano (2005, p. 50) o método PDCA (Plan, Do, Check e
Action – Planejar, Executar, Verificar e Agir), é o principal método da Administração
pela Qualidade Total, tendo sido criado na década de 1920 por Shewhart. Ele se
baseia no controle de processos, mas pode ser adaptado para ser utilizando num
ciclo de verificação da informação num processo de segurança, suas etapas são:
Plan (Planejar) é fazer um planejamento de segurança da
informação de acordo com cada negócio;
DO (Fazer) é fazer a implementação deste planejamento, seja com
ferramentas específicas, treinamentos, conscientização ou procedimentos;
Check (Checar) é fazer o monitoramento das ações, verificando se o
executado está de acordo com as expectativas do planejado;
Act (Agir) é manter e fazer melhorias, definindo novos objetivos.
Tendo os requisitos e riscos de segurança de informação
identificados, e relacionadas às decisões para tratamento desses riscos, faz-se
necessário elaborar maneiras de controle apropriadas e implementá-las para
assegurar que os riscos sejam reduzidos a um nível aceitável.
Os controles podem ser estabelecidos a partir da NBR ISO/IEC
27002:2005, ou podem ser estabelecidos novos métodos de controle com vistas a
atender a necessidade da empresa - no caso de médias ou pequenas empresas.
Um controle em nível médio pode ser satisfatório, dependendo é claro, do grau de
importância dos dados submetidos aos usuários e disponibilizados em ambiente de
risco, enquanto que a seleção de controles vai depender das decisões da
organização, baseadas em critérios de aceitação de risco. É importante que os
controles estejam em conformidade com todas as legislações e regulamentações
nacionais e internacionais.
A partir do estabelecimento de um determinado número de
controles, considera-se um ponto de partida para a implementação da segurança da
21
informação, controles baseados em requisitos legais e em melhores práticas de
segurança da informação (ABNT, NBR ISO/IEC 27002:2005, p.10).
Sob o ponto de vista da norma controles como a proteção a dados e
privacidade de informações pessoais, a proteção de registros organizacionais e os
direitos de propriedade intelectual são considerados essenciais para qualquer
organização.
Ainda são considerados práticas de segurança da informação:
Documento de política da segurança da informação; Atribuição de responsabilidades
para segurança da informação; Conscientização, educação e treinamento em
segurança da informação; Processamento correto nas aplicações; Gestão de
vulnerabilidades técnicas; Gestão de continuidade do negócio; e Gestão de
incidentes de segurança da informação e melhorias.
2.4 FATORES CRÍTICOS PARA O SUCESSO
A experiência aliada as melhores práticas têm mostrado que
estabelecer fatores críticos são essenciais para o sucesso da implementação de
segurança da informação nas organizações, sendo assim a norma NBR ISO/IEC
27002 apresenta os principais fatores relacionados a implementação:
a) Política de segurança da informação, objetivos e atividades, que
reflitam os objetivos do negócio;
b) Abordagem e estrutura para implementação, manutenção,
monitoramento e melhoria da segurança da informação que esteja em conformidade
com a cultura organizacional;
c) Comprometimento e apoio de todos os níveis gerenciais;
d) Bom entendimento dos requisitos de segurança da informação, da
análise/avaliação de riscos e da gestão de risco;
e) Explanação eficiente da segurança da informação para todos os
gerentes, funcionários e outras partes envolvidas para se alcançar a
conscientização;
f) Divulgação de diretrizes e normas sobre a política de segurança
da informação para os gerentes, funcionários e outras partes envolvidas;
g) Provisão de recursos financeiros para as atividades de gestão de
segurança da informação;
22
h) Provisão de conscientização, treinamento e educação adequados;
i) Estabelecimento de um eficiente processo de gestão de
incidentes e segurança da informação;
j) Implementar um sistema de medição, que seja usado para avaliar
o desempenho de gestão da segurança da informação e obtenção de sugestão para
melhorias.
Entre esses fatores considera-se imprescindível a criação de uma
política de segurança de informação adequada à necessidade da empresa e a
conscientização das pessoas envolvidas para que as mesmas compreendam a
importância do comprometimento com a segurança da informação.
2.5 A SEGURANÇA DA INFORMAÇÃO E SEUS PRINCÍPIOS
Para Laureano (2005), as organizações têm dependido cada vez
mais dos sistemas de informações e do constante surgimento de novas tecnologias
e de formas de trabalho como, o comércio eletrônico, as redes privadas, os
funcionários móveis, esses fatores contribuem para uma preocupação maior com a
segurança da informação, pois esses sistemas estão cada vez mais vulneráveis a
uma quantidade cada vez maior de ameaças.
O crescimento das redes de computadores e consequentemente a
grande rede mundial de computadores – a internet – mudou a forma de utilização
dos sistemas computacionais, as possibilidades tanto para utilização de benfeitorias
como para uso mal intencionado, expondo a organização a riscos de privacidade e a
integridade da informação, ataques de negação de serviço a usuários autorizados,
intrusão, modificação não autorizada de dados, armazenados, em processamento
ou em trânsito, envolvendo a segurança de recursos humanos, documentação,
instalação de comunicações e computacional, assim como as destinadas a prevenir,
detectar, deter e documentar eventuais ameaças a seu desenvolvimento.
Na visão de Laureano e Moraes (2005), integridade não é
confiabilidade do conteúdo da informação. Uma informação pode ser imprecisa, mas
deve permanecer íntegra. A combinação em proporções apropriadas dos itens
confidencialidade, disponibilidade e integridade facilitam o suporte para que as
empresas alcancem os seus objetivos, pois seus sistemas de informação serão mais
23
confiáveis. Para os autores, os sistemas computacionais exigem alguns princípios
para respeitar as condições de:
Autenticidade – Garantir que a informação ou o usuário desta é autêntico; Atesta a origem da informação;
Não repúdio – Não é possível negar uma operação ou serviço que modificou ou criou uma informação; Não é possível negar uma ação realizada;
Legalidade – Garantir a legalidade da informação, aderência de um sistema a legislação vigente; informação que possui valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com cláusulas contratuais ou legislação política institucional, nacional ou internacional vigentes;
Privacidade – Uma informação pode ser considerada confidencial, mas não privada. A informação privada deve ser visualizada ou alterada (entenda-se como Leitura/Escrita/Modificação) pelo seu proprietário. A informação não deve ainda estar disponível a outras pessoas; Pode ser entendida como capacidade de um usuário realizar ações sem ser identificado.
Auditoria – Rastrear, identificar, analisar etapas ou passos que um processo realizou ou que a informação foi submetida, identificando participantes, locais, horários de cada etapa ou procedimento realizado. Auditoria abrange um conjunto de funções de um sistema computacional que irá viabilizar uma auditoria; Consiste na análise do histórico dos eventos dentro de um sistema para determinar quando e onde ocorreu uma violação da segurança.
Figura 4 – Princípios de Segurança Fonte: Laureano, 2005
24
Os princípios para respeitar a segurança da informação são:
confidencialidade, integridade e disponibilidade. Para Stoneburner (2001) apud
Laureano (2005) a confidencialidade depende da integridade, pois se a integridade
se perder, os mecanismos de confidencialidade não são mais confiáveis. A
integridade depende da confidencialidade, pois se alguma informação confidencial
se perder, os mecanismos de integridade podem ser desativados. Auditoria e
disponibilidade dependem da integridade e confidencialidade, pois estes
mecanismos garantem a auditoria do sistema e a disponibilidade do sistema. A
figura 4 identifica as dependências citadas.
Para que seja possível manter os princípios da confidencialidade,
integridade e disponibilidade das informações, existem as normas de segurança da
informação disponíveis na NBR ISO/IEC 27002:2005, descrita no capítulo seguinte.
25
3 NORMA ABNT NBR ISO/IEC 27002:2005
Segundo a ABNT, NBR ISO/IEC 27002:2005, a NBR ISO/IEC 17799
foi traduzida no Comitê Brasileiro de Computadores e Processamento de Dados,
pela Comissão de Estudo de Segurança Física em Instalações de Informática. Esta
Norma é equivalente a ISO 27002:2005 e alguns termos não foram traduzidos para
a língua portuguesa por não possuírem tradução equivalente.
O objetivo da Norma ABNT NBR ISO 27002:2005 segundo a própria
ABNT, NBR ISO/IEC 27002:2005, é estabelecer diretrizes e princípios gerais para
iniciar, implementar, manter e melhorar a gestão de segurança da informação em
uma organização.
Os objetivos de controle e os controles têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos. A norma pode servir como um guia prático para desenvolver os procedimentos de segurança da informação da organização e as eficientes práticas de gestão da segurança, e para ajudar a criar confiança nas atividades inter organizacionais (Matos, 2010).
A NBR ISO 27002:2005 é composta de 11 seções de controles de
segurança da informação, totalizando 39 categorias principais de segurança e uma
seção introdutória que aborda a análise/avaliação e o tratamento de riscos.
As seções possuem cada uma, uma quantia de categorias principais
de segurança da informação. Abaixo estão relacionadas as 11 seções e as
quantidades de categorias, respectivamente:
1. Política de Segurança da Informação (1 categoria);
2. Organizando a Segurança da Informação (2 categorias);
3. Gestão de Ativos (2 categorias);
4. Segurança em Recursos Humanos (3 categorias);
5. Segurança Física e do Ambiente (2 categorias);
6. Gestão das Operações e Comunicações (10 categorias);
7. Controle de Acesso (7 categorias);
8. Aquisição, Desenvolvimento e Manutenção de Sistemas de
Informação (6 categorias);
9. Gestão de Incidentes de Segurança da Informação (2
categorias);
26
10. Gestão da Continuidade do Negócio (1 categoria);
11. Conformidade (3 categorias).
Para Matos (2010), o grau de importância das seções são
independentes da ordem apresentada. As circunstâncias e o ambiente da
organização delimitará a importância de cada seção e categoria, identificando quais
são aplicáveis aos processos específicos do negócio.
3.1 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Segundo (ABNT, NBR ISO/IEC 27002:2005, p. 10), a política de
segurança é o documento que deve ser criado sobre a segurança da informação da
organização, devendo conter os conceitos de segurança da informação, o
comprometimento da direção com a política de segurança, estrutura para
estabelecer os objetivos de controle, definição desses controles, estrutura de
análise, avaliação e gerenciamento de riscos, políticas, princípios, normas e
requisitos de conformidade de segurança da informação específicos para a
organização. Essa política também deve ser comunicada a todos, bem como
analisada e revisada criticamente, em intervalos regulares ou quando mudanças se
fizerem necessárias.
O objetivo da política de segurança de informação é “prover
orientação e apoio à direção para garantir a segurança da informação de acordo
com os requisitos do negócio e com as leis e regulamentações pertinentes” (NBR
ISO/IEC 27002:2005, p.10).
O documento com a política de segurança da informação deve
conter o comprometimento da direção da organização, e estabelecer o enfoque da
organização para gerenciar a segurança da informação. A política deve expor:
Definição de segurança da informação, suas metas globais,
escopo e importância de segurança da informação como um mecanismo que habilita
o compartilhamento e uso da informação;
Declaração de comprometimento da direção, apoiando as metas
e princípios da segurança da informação, alinhada com os objetivos e estratégias do
negócio;
27
Estrutura para esclarecer os objetivos de controle e os controles,
incluindo a estrutura de análise/avaliação e gerenciamento de riscos;
Explanação das políticas, princípios, normas e requisitos de
conformidade de segurança da informação específicos para a organização;
Definição das responsabilidades gerais e específicas na gestão
da segurança da informação, incluindo o registro dos incidentes de segurança da
informação;
Referências à documentação que possam apoiar a política, por
exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de
informação específicos ou regras de segurança que os usuários devem seguir.
A política de segurança da informação pode ser parte de um
documento de política geral. Se a mesma for distribuída fora da organização, é
importante que sejam tomadas medidas que não revelem informações sigilosas.
Através do contexto definido na política de segurança é possível
identificar os ativos, selecionar os controles apropriados e definir o grau de
prioridade para que os mesmos sejam implantados. Para Fontes (2011), “a não
implantação da política impede o desenvolvimento adequado da segurança da
informação na organização, uma vez que faltarão referenciais para implantação dos
controles”.
3.2 ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO
De acordo com ABNT, NBR ISO/IEC 27002:2005, para implementar
a segurança da informação em uma organização, faz-se necessária que seja
estabelecida uma estrutura para gerenciá-la. Para isso, as atividades de segurança
da informação devem ser coordenadas por representantes de diversas partes da
organização, com funções e papéis relevantes. Todas as responsabilidades pela
segurança da informação também devem estar claramente definidas. É importante
ainda que sejam estabelecidos acordos de confidencialidade para proteger as
informações de caráter sigiloso, bem como as informações que são acessadas,
comunicadas, processadas ou gerenciadas por partes externas, tais como terceiros
e clientes.
28
O principal objetivo da Organização da Política da Segurança da
Informação é gerenciar a segurança da informação dentro da organização.
Uma estrutura de gerenciamento deve ser estabelecida para iniciar e
controlar a segurança da informação, adequando-a a realidade da organização.
Cabe a direção aprovar a política de segurança da informação, atribuir as funções
de segurança da informação, coordenar e analisar criticamente a implementação da
segurança da informação por toda a organização.
A organização da segurança da informação deve ter enfoque
multidisciplinar e envolver os colaboradores de todas as áreas da empresa, podendo
contar com consultoria em segurança da informação, para manter-se atualizado com
as tendências do mercado, monitorar normas e métodos de avaliação, e fornecer
apoio adequado quando estiver tratando de incidentes de segurança da informação.
3.2.1 Comprometimento da direção com a Segurança da Informação
De acordo com ABNT, NBR ISO/IEC 27002:2005 a direção deve
apoiar ativamente a segurança da informação dentro a organização, através de claro
direcionamento, demonstrar comprometimento, definir atribuições de forma explícita,
e assumir as responsabilidades pela segurança da informação, com as seguintes
diretrizes:
a) Assegurar que as metas de segurança da informação estejam
identificadas, atendam aos requisitos da organização, e estejam integrados aos
processos relevantes;
b) Formular, analisar criticamente, e aprovar a político de
segurança da informação;
c) Analisar criticamente a eficácia da implementação de política de
segurança da informação;
d) Fornecer claro direcionamento e apoio as iniciativas de
segurança da informação;
e) Fornecer recursos necessários para a segurança da informação;
f) Aprovar atribuições de tarefas e responsabilidades específicas
de segurança da informação por toda a organização;
29
g) Iniciar planos e programas para manter a conscientização da
segurança da informação;
h) Assegurar que a implementação dos controles de segurança da
informação tenha uma coordenação e envolva toda a organização.
A direção deve ainda identificar as necessidades para a consultoria
de um especialista interno ou externo em segurança da informação, que analise
criticamente e coordene os resultados da consultoria por toda a organização.
3.2.2 Coordenação da segurança
Devem ser coordenadas por representantes de diferentes partes da
organização com funções e papéis relevantes.
É importante que haja cooperação e colaboração de gerentes,
usuários, administradores, desenvolvedores, auditores, pessoal de segurança e
especialistas com habilidades nas áreas de seguro, questões legais, recursos
humanos, TI e gestão de riscos. Segundo a NBR ISO 27002:2005 esta atividade
deve:
a) Garantir que as atividades de segurança da informação sejam
executadas em conformidade com a política de segurança da informação;
b) Identificar como conduzir as não conformidades;
c) Aprovar as metodologias e processos de segurança da
informação, como análise/avaliação de riscos e classificação da informação;
d) Identificar ameaças significativas e exposição da informação e
dos recursos de processamento da informação às ameaças;
e) Avaliar a adequação e coordenar a implementação de controles
de segurança da informação;
f) Promover de forma eficaz, a educação, o treinamento, e a
conscientização sobre segurança da informação na organização;
g) Avaliar as informações recebidas do monitoramento e da análise
crítica dos incidentes de segurança da informação, e recomende ações apropriadas
com a resposta para incidentes de segurança da informação identificados.
30
Caso a organização não use representantes das diferentes áreas,
estas ações devem ser conduzidas por um organismo de gestão adequada ou por
um gestor individual.
3.2.3 Atribuição de responsabilidades
A atribuição de responsabilidades deve ser feita em conformidade
com a política de segurança da informação. A responsabilidade por cada ativo e pelo
cumprimento de processos de segurança da informação devem ser claramente
definidos, se houver necessidade poderá haver complementos com orientações
mais detalhadas para locais específicos e recursos de processamento de
informações.
De acordo com a ABNT NBR ISO 27002:2005, pessoas com
responsabilidades definidas pela segurança da informação podem delegar as tarefas
de segurança a outros usuários, porém não deixando de ser responsáveis, tendo a
obrigação de verificar se as tarefas delegadas estão sendo executadas
corretamente, e os seguintes itens sejam cumpridos:
a) Os ativos e os processos de segurança da informação associados
com cada sistema sejam identificados e claramente definidos;
b) O gestor responsável por cada ativo ou processo de segurança da
informação tenha atribuições definidas e seus detalhes sejam regularmente
documentados;
c) Os níveis de autorização sejam claramente definidos e
documentados.
Pode ainda um gestor de segurança ser indicado para assumir a
responsabilidade global pelo desenvolvimento e implementação da segurança da
informação e para apoiar a identificação dos controles. Todavia, as
responsabilidades pela obtenção dos recursos e implementação dos controles
permanece sempre com os gestores.
3.3 GESTÃO DE ATIVOS
Gestão de Ativos significa proteger e manter os ativos da
organização, para que eles sejam devidamente protegidos. Os ativos devem ser
31
primeiramente identificados e levantados, com proprietários também identificados e
designados, de tal forma que um inventário de ativos possa ser estruturado e
posteriormente mantido. As informações e os ativos ainda devem ser classificados,
conforme o nível de proteção recomendado para cada um deles, e seguir regras
documentadas, que definem qual o tipo de uso é permitido fazer com os ativos.
Para que o processo de identificação possa ser guiado com êxito,
não dependendo exclusivamente da avaliação do consultor de segurança, faz-se
necessário o envolvimento dos criadores, gestores, curadores e usuários dos ativos.
Estes devem estar habilitados a responder aos seguintes questionamentos:
Qual a utilidade da informação?
Qual o valor da informação?
Qual a validade da informação?
Quem é responsável pela manutenção da classificação da
informação?
A utilidade da informação pode parecer simples, mas deve ser
consolidada base a uma visão holística, a informação é parte de um todo muitas
vezes indecomponível.
3.4 SEGURANÇA EM RECURSOS HUMANOS
De acordo com ABNT NBR ISO 27002:2005, antes mesmo de
realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros, é
importante que cada um deles entenda suas responsabilidades e esteja de acordo
com o papel que desempenhará. Portanto, as descrições de cargo e os termos e
condições de contratação devem ser explícitos, especialmente no que tange às
responsabilidades de segurança da informação. É importante também que quaisquer
candidatos sejam devidamente analisados, principalmente se for lidar com
informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, fraude ou
mau uso dos recursos.
Durante todo o tempo em que funcionários, fornecedores e terceiros
estiverem trabalhando na empresa, eles devem estar conscientes sobre as ameaças
relativas à segurança da informação, bem como de suas responsabilidades e
obrigações, de tal maneira que estejam preparados para apoiar a política de
segurança da informação da organização.
32
Os colaboradores (funcionários, fornecedores e terceiros) também
devem ser educados e treinados nos procedimentos de segurança da informação e
no uso correto dos recursos de processamento da informação. É fundamental ainda
que um processo disciplinar formal seja estabelecido para tratar das violações de
segurança da informação.
No momento em que ocorrer o encerramento ou uma mudança na
contratação ou a saída de funcionários, fornecedores e terceiros, deve ser realizado
procedimento de modo ordenado e controlado, para que a devolução de todos os
equipamentos e a retirada de todos os direitos de acesso seja concluída.
As máquinas estão à volta dos serem humanos e com elas o homem
tem um relacionamento rotineiro, sendo comum encontrar falhas em máquinas feitas
para facilitar a vida e até substituir algumas tarefas que deveriam ser realizadas sem
falhas, mas como são os próprios homens que definem as especificações das
máquinas, estas especificações estão sujeitas a inconsistências e a indefinições.
Antigamente, a atenção sobre a segurança da informação estava
focada para a tecnologia. Hoje, o desafio é construir uma relação de confiabilidade
com clientes e parceiros. Os gestores estão procurando dar mais atenção ao ser
humano, pois é ele que faz com que as engrenagens empresariais funcionem
perfeitas e harmonicamente, buscando um relacionamento cooperativo e satisfatório
para ambas as partes, com objetivos comuns.
A contratação de pessoas deve ser feita com critérios de segurança
bem definidos, com acordos de confidencialidade, responsabilidades da direção,
controles e processos disciplinares, pontos para encerramento e mudança de
contratação, e claro, instruções sobre as políticas internas de segurança da
informação. Após o encerramento do contrato de trabalho, alguns controles devem
ser seguidos, como controle de acesso retirado, devolução dos ativos
disponibilizados (notebooks, celulares e afins).
3.5 SEGURANÇA FÍSICA E DO AMBIENTE
A segurança física está relacionada ao ambiente, as instalações de
processamento de informação críticas ou sensíveis devem ser mantidas em áreas
seguras, com níveis e controles de acesso apropriados, incluindo proteção física.
Essa proteção deve ser compatível com os riscos previamente identificados.
33
Os equipamentos também devem ser protegidos contra ameaças
físicas e ambientais, incluindo aqueles utilizados fora das dependências da
organização. De acordo com Faria (2010a) “As instalações de processamento de
informação críticas ou sensíveis devem ser mantidas em áreas seguras, com níveis
e controles de acesso apropriados, incluindo proteção física. Essa proteção deve ser
compatível com os riscos previamente identificados”.
O ambiente físico é onde realmente começa a segurança da
informação. Não adianta investir dinheiro em esquemas sofisticados e complexos, se
não há instalação de pelo menos uma simples porta para proteger fisicamente os
ativos da organização.
Conforme a ABNT NBR ISO 27002:2005 a segurança física abrange
todo o ambiente onde os sistemas de informação estão instalados:
- Prédio;
- Portas de acesso;
- Trancas;
- Piso;
- Salas;
- Computadores.
A segurança física abrange conhecimentos na área de engenharia
civil e elétrica, a NBR ISO/IEC 27002:2005 divide a área segurança física da
seguinte forma:
Áreas de segurança:
- Perímetro da segurança física;
- Controles de entrada física;
- Segurança em escritórios, salas e instalações de processamento;
- Trabalhando em áreas comerciais;
- Isolamento das áreas de expedição e carga.
Segurança dos equipamentos:
- Instalação e proteção de equipamentos;
- Fornecimento de energia;
- Segurança do cabeamento;
- Manutenção de equipamentos;
34
- Segurança de equipamentos fora das instalações;
- Reutilização e alienação segura de equipamentos.
Controles gerais:
- Política de mesa limpa e tela limpa3;
- Remoção de propriedade.
3.5.1 Segurança externa e de entrada
Conforme a norma é relevante levar em consideração as diretrizes
abaixo:
1. Proteção da instalação onde os equipamentos estão localizados,
contra:
– Entrada de pessoas não autorizadas;
– Catástrofes ambientais.
2. O prédio deve ter paredes sólidas e número restrito de entradas
e saídas;
3. Evitar baixadas onde a água possa se acumular enchentes;
4. Evitar áreas muito abertas - descargas atmosféricas;
5. Em qualquer lugar, usar para-raios;
6. Usar muros externos e manter a área limpa – evitando incêndios
acidentais.
7. Controle de acesso físico nas entradas e saídas:
- Travas;
- Alarmes;
- Grades;
- Vigilante humano;
- Vigilância eletrônica;
3 Garante que as informações manipuladas em papéis, mídias removíveis, sistemas, aplicativos, planilhas e
documentos não fiquem expostos ao acesso não autorizado.
35
- Portas com senha;
- Cartão de acesso;
- Registro de entradas e saídas de pessoas e objetos.
8. Funcionários que trabalham na instituição devem ser
identificados com crachás com foto;
9. Visitantes devem usar crachás diferenciados por setor visitado;
10. Todos os funcionários devem ser responsáveis pela fiscalização.
3.5.2 Segurança de sala de equipamentos
A Segurança Física é fundamental ao pensarmos em proteção de
informações e continuidade dos negócios. O maior objetivo na segurança física é
impedir perdas, danos, furtos ou comprometimento de ativos e interrupção das
atividades da organização. Por isso, é necessário proteger os equipamentos contra
ameaças físicas e do meio ambiente.
Alguns fatores que colaboram na segurança física da sala de
equipamentos são:
1. Agregar todo o centro da rede e os serviços que nela operam;
2. Entrada somente de pessoal que trabalha na sala;
3. Registro de pessoas que entram e saem;
4. A sala deve ser trancada ao sair;
5. Deve fornecer acesso remoto aos equipamentos;
6. O conteúdo da sala não deve ser visível externamente;
7. Além do acesso indevido, a sala deve ser protegida contra:
- Vandalismo;
- Fogo;
- Interferências eletromagnéticas;
- Fumaça;
- Gases corrosivos;
- Poeira.
8. Se possível uso de salas-cofre;
36
9. Evitar acesso físico aos equipamentos;
10. Evitar acesso local ao computador;
11. Configurar como inativos botões de setup e liga/desliga na CPU
Mesmo em processos não críticos e em organizações de pequeno
porte, as ameaças e intempéries da natureza podem causar grandes danos e
paralisações nas atividades. O acesso não autorizado aos ativos físicos coloca em
risco equipamentos, pessoas e informações, a escolha do ambiente físico é o ponto
de partida para um bom plano de segurança.
3.5.3 Redundância
São muito comuns falhas de hardware, causadas por acidentes ou
fadiga de componentes mecânicos e eletrônicos. Não existe sistema computacional
infalível, todo sistema computacional um dia vai falhar.
Com base na probabilidade de ocorrência de falhas, o mecanismo
mais importante para tolerar falhas é a redundância:
- Redundância de servidores;
- Redundância de fontes de alimentação;
- Redundância de discos (RAID);
- Redundância de equipamentos;
- Redundância de ventilação; e
- Redundância de interfaces de rede.
3.5.4 Segurança no fornecimento de energia
Comumente o fornecimento de energia é abastecido pela
concessionária apresentando, variação de tensão e interrupção do fornecimento.
Para garantir a disponibilidade da informação é preciso garantir o
fornecimento constante de energia, e ele deve estar dentro da tensão recomendada,
com no mínimo os componentes: filtro de linha, estabilizador de tensão, nobreak,
solução mista, e gerador. (ABNT NBR ISO 27002:2005).
37
3.5.5 Backup
O processo de backup envolve segurança tanto física quanto lógica,
como armazenamento das mídias e software de backup. É um procedimento que
envia os dados de um determinado local para outro, ou seja, uma cópia do original
para garantir a continuidade de determinado trabalho no caso de perca do original. A
manutenção de cópias de segurança é imprescindível para continuidade dos
processos do negócio em caso de catástrofes, falta de segurança básica (antivírus,
spywares, firewall). É um procedimento que diminui o ônus da situação e permite a
volta ao trabalho, se não imediata, com o menor tempo possível. Acontecem
inúmeros casos de roubos de equipamentos em instituições, perca de laptops,
boicote por parte de funcionários insatisfeitos ou demitidos.
O backup é o último recurso em caso de perda de informações, ele
oferece garantia contra falhas, e disponibilidade de acesso a informação quando
necessário.
De acordo com SANTOS e STADLER (2013), existem tipos
diferentes de backup, um "backup completo" salva toda a informação independente
da natureza, importância, idade ou prioridade. Um "backup incremental" salva só as
informações que sofreram mudanças desde o último "backup completo" ou
"incremental" e ao ser feito o backup as informações que estão sendo atualizadas
são marcadas para que não sejam salvas nos próximos backups. O "backup
diferencial" salva somente a data que foi modificada desde os últimos backups,
porém não acrescenta nenhuma marcação, ou seja, no próximo backup a
informação é salva novamente.
3.6 GESTÃO DAS OPERAÇÕES E COMUNICAÇÕES
A ABNT NBR ISO 27002:2005 nos assegura que é importante que
estejam definidos os procedimentos e responsabilidades pela gestão e operação de
todos os recursos de processamento das informações. Além disso, deve-se utilizar
sempre que necessária à delegação de funções, visando reduzir o risco de mau uso
ou uso indevido dos sistemas.
38
Para o gerenciamento de serviços terceirizados, deve-se
implementar e manter o nível apropriado de segurança da informação e em
conformidade com acordos de entrega de serviços terceirizados.
É fundamental planejar e preparar a disponibilidade e os recursos
dos sistemas para minimizar o risco de falhas, bem como prever a capacidade futura
dos sistemas, de forma a reduzir os riscos de sobrecarga. Também se deve
prevenir e detectar a introdução de códigos maliciosos, e os usuários devem estar
conscientes sobre isso.
Procedimentos para a geração de cópias de segurança e sua
recuperação também devem ser estabelecidos.
Deve-se garantir ainda o gerenciamento seguro de redes. Controles
adicionais podem até mesmo ser necessários para proteger informações
confidenciais que trafegam em redes públicas.
As trocas de informações entre organizações devem ser baseadas
em uma política formal específica, devendo ser efetuadas a partir de acordos entre
as partes e sempre em conformidade com toda a legislação pertinente.
Deve-se ainda, implementar mecanismos de monitoração de
atividades não autorizadas de processamento da informação. Os eventos de
segurança da informação devem ser registrados, lembrando que as organizações
devem estar aderentes aos requisitos legais aplicáveis para suas atividades de
registro e monitoramento.
3.7 CONTROLE DE ACESSO
De acordo com FARIA (2010b), o controle do acesso à informação,
aos recursos de processamento das informações e aos processos de negócios tem
sua base nos requisitos do negócio e na segurança da informação. Diante disso,
deve ser assegurado o acesso de usuário autorizado e prevenindo o acesso não
autorizado a sistemas de informação. Portanto, devem existir procedimentos que
englobem desde o cadastro inicial de um novo usuário até o cancelamento final do
seu registro, garantindo assim que já não possuem mais acesso a sistemas de
informação e serviços.
Os usuários sempre devem estar conscientes de suas
responsabilidades, particularmente no que se refere ao uso de senhas e de
39
segurança dos equipamentos de usuários. Nesse sentido, sugere-se ainda a adoção
da “política de mesa e tela limpa4”, para reduzir o risco de acessos não autorizados
ou danos a documentos, papéis, mídias e recursos de processamento da informação
que estejam ao alcance de qualquer um.
As informações devem ser protegidas visando à manutenção de sua
confidencialidade, autenticidade ou integridade por meios criptográficos.
3.7.1 AUTENTICAÇÃO E AUTORIZAÇÃO
Na segurança da informação o controle de acesso pode ser
compreendido como a capacidade de aceitar ou rejeitar a utilização de um objeto por
um indivíduo. Enquanto a autenticação identifica quem acessa, a autorização
determina o que um usuário autenticado pode realizar.
De acordo com Laureano (2005),
Autorização é o processo de conceder ou negar direitos a usuários ou sistemas, por meio das chamadas listas de controle de acessos (Access Control Lists – ACL), definindo quais atividades poderão ser realizadas, desta forma gerando os chamados perfis de acesso. Enquanto que a autenticação é o meio para obter a certeza de que o usuário ou o objeto remoto é realmente quem está afirmando ser.
Através da autorização tem-se a garantia que apenas usuários
autorizados consumam os recursos que incluem arquivos, programas de
computador, dispositivos de hardware funcionalidades disponibilizadas
por aplicações instaladas em um sistema. Tal processo é antecedido pela
autenticação que estabelece a verificação e confirmação da identidade digital do
usuário, geralmente, através da requisição de um log in.
Os processos de autenticação estão baseados em três métodos
distintos:
1. Identificação positiva (O que você sabe) – Na qual o
requerente demonstra conhecimento de alguma informação utilizada no processo de
autenticação, por exemplo, uma senha.
4 A política de mesa e tela limpa auxilia na garantia de que papéis, mídias removíveis, informações
manipuladas por sistemas aplicativos não fiquem expostas ao acesso não autorizado.
40
2. Identificação proprietária (O que você tem) – Na qual o
requerente demonstrar possuir algo a ser utilizado no processo de autenticação,
como um cartão magnético.
3. Identificação Biométrica (O que você é) – Na qual o
requerente exibe alguma característica própria, tal como a sua impressão digital.
3.8 AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS DE
INFORMAÇÃO
Segundo a ABNT NBR ISO 27002:2005, “Sistemas de informação
incluem sistemas operacionais, infraestrutura, aplicações de negócios, produtos de
prateleira, serviços e aplicações desenvolvidas pelo usuário”. A fase que envolve
projeto e a implementação dos sistemas de informação destinam-se a apoiar os
processos que são importantes para segurança da informação. Por essa razão, os
requisitos de segurança de sistemas de informação devem ser identificados e
acordados antes do desenvolvimento e/ou de sua implementação.
Fontes e Napoleão (2010) contribuem afirmando que “desde a etapa
de desenvolvimento ou aquisição de sistemas de informação, as áreas de negócio
precisam ser envolvidas no processo de desenvolvimento do sistema”. Os sistemas
e posteriores controles de segurança existem para a realização do negócio.
A norma apresenta algumas diretrizes que definem a participação da
direção, são elas:
a) Convém que sejam especificados os requisitos para controles de
segurança nas especificações de requisitos de negócios, para novos sistemas ou
melhorias dos sistemas existentes.
b) Convém que requisitos de segurança e controles reflitam o valor
dos ativos de informação envolvidos e os danos potenciais ao negócio que poderiam
resultar de uma falha ou ausência de segurança.
3.9 GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
É importante assegurar que eventos de segurança da informação
sejam comunicados o mais rápido possível, de tal forma que a tomada de
41
decisão/ação corretiva ocorra em tempo hábil. Para tanto, devem ser estabelecidos
procedimentos formais de registro, bem como todos os funcionários, fornecedores e
terceiros devem estar conscientes sobre os procedimentos para notificação dos
diferentes tipos de eventos. (Faria, 2010b).
Para que um sistema de gestão de segurança da informação seja
bem sucedido é importante que seja institucionalizado alguns aspectos básicos do
comportamento organizacional e também que se certifique que o mesmo possua
uma série de decisões rápidas previamente definidas, evitando um grande atraso na
tomada de decisões. Algumas das comunicações mais importantes dizem respeito à
notificação de incidentes de segurança da informação. Deve existir um caminho fácil
e bem documentado a ser seguido por todos os funcionários, fornecedores e
terceirizados que possam vir a identificar um evento como este.
3.10 GESTÃO DA CONTINUIDADE DE NEGÓCIOS
Um plano de continuidade de negócios estabelece várias atividades
que não permita a interrupção das atividades do negócio protegendo os processos
críticos de efeitos de falhas ou desastres relevantes, além de assegurar a retomada
das atividades em tempo hábil.
A ABNT NBR ISO 27002:2005 lista algumas conveniências do plano
de continuidade do negócio da seguinte maneira:
Implementação do processo de gestão da continuidade do
negócio para minimizar um impacto sobre a organização e recuperar perdas de
ativos da informação (que pode ser resultante de, por exemplo, desastres naturais,
acidentes, falhas de equipamentos e ações intencionais) a um nível aceitável
através da combinação de ações de prevenção e recuperação.
• Identificação dos processos críticos e integração da gestão da
segurança da informação com as exigências da gestão da continuidade do negócio
com outros requisitos de continuidade relativos a tais aspectos como operações,
funcionários, materiais, transporte e instalações.
• As consequências de desastres, falhas de segurança, perda de
serviços e disponibilidade de serviços devem ser sujeitas a uma análise de impacto
nos negócios.
42
• Que os planos de continuidade do negócio sejam desenvolvidos e
implementados para assegurar que as operações essenciais sejam recuperadas
dentro da requerida escala de tempo.
• A segurança da informação deve ser uma parte integrante do
processo global de continuidade de negócios e a gestão de outros processos dentro
da organização.
• A gestão da continuidade do negócio deve incluir controles para
identificar e reduzir riscos, em complementação ao processo de análise/avaliação de
riscos global, limite as consequências aos danos do incidente e garanta que as
informações requeridas para os processos do negócio estejam prontamente
disponíveis.
FARIA (2010b) aconselha que a organização não possa ficar
indisponível em momento algum para seus clientes mesmo que tenham problemas
com seus processos de negócios, recursos, dados e informações. Velocidade de
processamento e de decisões, altíssima disponibilidade, flexibilidade e foco em
produtos de acordo com o mercado são requisitos fundamentais para que continue o
sucesso da organização. Porém, se não houver planejamento para segurança e
contingência adequados, alguns ou até todos os requisitos estarão ameaçados e,
consequentemente, a organização ameaçada.
3.11 CONFORMIDADE
O objetivo é "evitar a violação de qualquer lei criminal ou civil,
estatuto, regulamentação contratuais e de quaisquer requisitos de segurança da
informação". (ABNT NBR ISO 27002:2005).
Nos dias atuais. Pode-se afirmar que o que há de mais importante
no mundo corporativo é a informação. Os detentores da informação obtêm larga
vantagem na disputa pelo exigente mercado, porém só isso não basta, é
imprescindível ainda garantir a disponibilidade e o acesso à mesma, conformidade
com normas e políticas de segurança da informação e conformidade técnica.
Para garantir conformidade dos sistemas com as políticas e normas
organizacionais de segurança da informação, são necessárias:
Conformidade com as políticas e normas de segurança da
informação;
43
Verificação da conformidade técnica com as normas de
segurança da informação.
44
4 LEVANTAMENTO DE DADOS NAS PEQUENAS EMPRESAS DE XINGUARA
4.1 METODOLOGIA
Esta pesquisa utilizou o método quantitativo que tem por objetivo
levantar as opiniões e atitudes de um conjunto de 20 micro e pequenas empresas no
município de Xinguara-PA referente a boas práticas de segurança da informação.
Para que fosse possível a pesquisa foram realizadas três etapas: na primeira foi
realizado levantamento bibliográfico para aprofundar os conceitos sobre o tema a
partir o qual foi elaborado o instrumento de coleta de dados; na segunda etapa
realizou-se a coleta de dados em campo, através da coleta de resposta ao
questionário realizado nas empresas selecionadas na base de dados fornecida pela
ACIAPA (Associação Comercial Industrial e Agropastoril de Xinguara-PA) e uma
terceira etapa de análise dos dados coletados, cujos resultados estão na seção
apresentação dos resultados.
4.2 AMOSTRA E SUJEITOS DA PESQUISA
A população das empresas associadas à ACIAPA com base nos
relatórios do período de janeiro a junho de 2012, constituída por 436 empresas,
sendo 284 (65,13%) de micro e pequenas empresas e entre tais 211 (74,29%)
possuem suas rotinas parcial ou totalmente informatizadas. Nesse universo foi
selecionada uma amostra de 20 micros e pequenas empresas de diferentes
atividades econômicas, que possuam suas rotinas total ou parcialmente
informatizadas, tendo como sujeitos da pesquisa gestores (gerentes ou
proprietários) ou funcionários que possuem algum envolvimento em gestão de
segurança da informação ou em tecnologia da informação.
4.3 INSTRUMENTO DA PESQUISA
A pesquisa foi realizada entre os meses de junho e julho de 2013.
Foram realizadas visitas em 40 organizações que se disponibilizaram a participar da
entrevista inicial para observação, levantamento de cenários e escolha das 20
empresas participantes da amostra do estudo de caso. Após a seleção das 20
45
empresas foram realizadas entrevistas com gestores de forma a levantar o perfil do
gestor, perfil da empresa e perfil das práticas de segurança da informação utilizadas
na empresa para posterior análise.
O critério para a seleção foi empresas de diferentes atividades
econômicas, o nível de informatização e a disponibilidade para responder as
questões.
4.4 APRESENTAÇÃO DOS RESULTADOS
4.4.1 Caracterização da amostra
A Associação Comercial de Xinguara usa o parâmetro de definição
que vem do Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (Sebrae)
onde a entidade limita as micro empresas às que empregam até nove pessoas no
caso do comércio e serviços, ou até 19, no caso dos setores industrial ou de
construção. Já as pequenas empresas são definidas como as que empregam de 10
a 49 pessoas, no caso de comércio e serviços, e 20 a 99 pessoas, no caso de
indústria e empresas de construção.
Dentre as 20 empresas que responderam o questionário, as
questões ficaram representadas da seguinte forma:
Quanto ao cargo que ocupa na organização:
Gráfico 1: Cargo Fonte: Elaboração própria
46
Quanto ao departamento em que atua:
Quanto a decisão de compra:
Na amostra, conforme o Gráfico 1, 65% dos pesquisados ocupam
cargos gerenciais, sendo: 10% sócios proprietários, 20% gerentes e a maioria são
diretores representando 35% dos pesquisados. Ainda tem 30% que ocupam outros
cargos (Auxiliar administrativo, Secretária, Assistente, Coordenador) e 5% que
ocupa o cargo de analista. Esses dados são confirmados na questão 2 sobre o
departamento de atuação onde 65% encontram-se na presidência ou gerência geral
da empresa, seguidos em 15% pelo departamento de tecnologia da informação,
10% de Outros, 5% para departamento de suprimentos e 5% no departamento de
recursos humanos (Gráfico 2).
Gráfico 2: Departamento Fonte: Elaboração própria
Gráfico 3: Decisão de compra Fonte: Elaboração própria
47
No Gráfico 3 vemos que 55% dos pesquisados possuem
envolvimento sobre a decisão de compra de ferramentas e técnicas de gestão da
segurança da Informação ou tecnologia da informação. Em contrapartida 10% não
participa do processo de compra e 35% decide a compra sozinho.
Quanto às características das empresas respondentes em relação
ao porte e ao número de empregados, amostra coletada está representada da
seguinte forma no Gráfico 4: 85% são micro e pequenas empresas (até 99
funcionários), sendo 20% de 1 a 9 funcionários, 60% de 10 a 49 funcionários e 5%
de 50 a 99 funcionários. Somente 15% da amostra são médias empresas (de 100 a
400 funcionários).
Gráfico 4: Número de empregados Fonte: Elaboração própria
Gráfico 5: Funcionários envolvidos nas atividades de TI Fonte: Elaboração própria
48
Entre os funcionários em 85% das empresas apenas 1 a 3
funcionários estão envolvidos diretamente nas atividades de tecnologia da
informação. Enquanto que 10% das empresas possuem de 4 a 6 funcionários e 5%
possuem 7 a 10 funcionários na área de TI.
Quanto ao número de computadores o gráfico 6 representa que a
maioria das empresas pesquisadas possui entre 5 e 100 computadores (95%), com
maior concentração entre 11 a 20 computadores (30%).
Ao serem questionados da existência de departamento que cuida
exclusivamente da tecnologia da informação na empresa 60% dos entrevistados
responderam afirmativamente enquanto que 40% responderam que na empresa não
existe um departamento exclusivo para administrar as demandas relacionadas a
tecnologia da informação, isso pode ser observado no gráfico 7.
Gráfico 6: Quantidade de computadores Fonte: Elaboração própria
Gráfico 7: Departamento de TI computadores Fonte: Elaboração própria
49
Entre as atividades desenvolvidas pelo departamento de TI ou por
empresa terceirizada contratada 100% dos entrevistados selecionaram atividades de
suporte a aplicações (softwares) e suporte a infraestrutura (hardwares), 90% utilizam
dos serviços de manutenção em rede e 75% das atividades de atualização de
produtos, conforme gráfico 8.
Entre as empresas pesquisadas 85% tem seus computadores
ligados a alguma rede coorporativa e 100% tem seus computadores ligados a
internet.
Quanto ao nível de informatização das operações da empresa 100%
das empresas utilizam os recursos de tecnologia da informação para edição de
documentos e planilhas, e-mail, internet banking e sistemas internos. 35% utilizam
comércio eletrônico e 5% utiliza outros sistemas coorporativos. 100% das empresas
não utilizam sistema integrado e acesso remoto a funcionários e fornecedores.
Em relação a medidas de segurança da informação 100% das
empresas pesquisadas afirmaram não possuir nenhum tipo de política de segurança
para a utilização dos recursos de tecnologia da informação, não possuir programa
de treinamento de segurança da informação e não elaborar ou implementar alguma
ação de segurança da informação das empresas. O que confirma a falta de boas
práticas de segurança da informação nas empresas, comprometendo a integridade,
disponibilidade e confidencialidade das informações.
Gráfico 8: Empresa contratada Fonte: Elaboração própria
50
A utilização do antivírus foi unânime entre as empresas
pesquisadas, 100% responderam que possuem o software instalado em seus
equipamentos. O antivírus utilizado por 40% das empresas é o AVG, sendo que
entre estas 50% utiliza a versão gratuita e 50% a versão paga. 30% das empresas
optaram pelo antivírus Avast em sua versão gratuita. 20% das empresas utilizam o
Kaspersky na versão paga e 10% utilizam o Avira na versão gratuita. Foi
diagnosticado que 60% das empresas optaram pela versão gratuita do antivírus e
que 100% das empresas utilizam a atualização automática para garantir que o
antivírus não fique desatualizado. Veja no gráfico 9 a utilização do antivírus nas
empresas.
Entre outras ferramentas/Técnicas de segurança da informação
nota-se que 35% das empresas pesquisas utilizam Anti-Spam, Anti-Spyware e
Firewall, demonstrando que a maioria 65% está com a segurança das informações
sujeitas a ataque de invasores maliciosos. Observe a Tabela 1.
Ferramenta/Técnica Possui Não possui % Possui
Anti-Spam 7 13 35%
Anti-Spyware 7 13 35%
Firewall 7 13 35%
Sistema de detecção de intrusos (IDS)
1 19 5%
Tabela 1: Ferramentas/Técnicas de segurança da Informação
Fonte: Elaboração própria
Gráfico 9: Antivírus
Fonte: Elaboração própria
51
Quanto a tecnologias adotadas para proteção de dados 100% das
empresas responderam utilizar backup interno dos dados na empresa demonstrando
comprometimento com o arquivamento dos dados organizacionais. 55% usam o
backup de dados incremental - a maioria (7 empresas) o faz com frequência diária e
a minoria (4 empresas) com frequência semanal - e 45% usam o backup de dados
completo, sendo que 3 empresas faz com frequência mensal, 3 empresas com
frequência semanal e 3 empresas com frequência diária.
Em relação, ainda, a tecnologias adotadas para proteção de dados
como backup off-line mantidas fora da empresa, uso de criptografia para proteção de
dados armazenados em servidores desktop, uso de criptografia em mídias externas
e uso de criptografia em notebook, PDA e similares 90% das empresas
responderam não utilizá-las. 5% das empresas declarou utilizar backup off-line fora
da empresa e 5% das empresas declarou usar criptografia para proteção de dados
armazenados em servidores desktop, conforme Tabela 2.
Tabela 2: Tecnologias adotadas para proteção de dados Fonte: Elaboração própria
Em relação à proteção de falhas de energia elétrica 95% das
empresas pesquisadas tem preferência pela utilização do nobreak que armazena a
energia, filtrando as intempéries da corrente elétrica. O estabilizador é utilizado por
75% das empresas e o aterramento por 25%, conforme apresentado na tabela 3.
Tabela 3: Equipamentos de proteção de falhas de energia elétrica
Fonte: Elaboração própria
Tecnologias adotadas Possui Não possui
% Possui
Backup off-line mantidas fora da empresa 1 19 5%
Usa criptografia para proteção de dados armazenados e servidores desktop
1 19 5%
Utiliza criptografia em mídias externas 0 20 0%
Utiliza criptografia em notebook, PDA, e similares 0 20 0%
Equipamento Utiliza Não
utiliza %
Utiliza
Estabilizador 15 5 75%
Nobreak 19 1 95%
Aterramento 5 15 25%
52
Na tabela 4 verifica-se que somente 45% das empresas realizam
atualização de software para correção de falhas de segurança, 35% possuem regras
para uso da informação e dos recursos de TI e 10% utiliza a criptografia em banco
de dados e/ou para troca de informações.
Tabela 4: Outras ferramentas/técnicas de segurança da informação Fonte: Elaboração própria
Entre as tecnologias utilizadas para manter os clientes seguros 90%
das empresas declararam não possuir nenhuma tecnologia, 5% declara utilizar
SSL/TLS e HPPS, e os outros 5% utiliza VPN (Rede Privada Virtual) conforme
apresenta o gráfico 10.
Outras ferramentas Utiliza Não
utiliza %
Utiliza
Atualização de Software para correção de falhas de segurança
9 11 45%
Criptografia em banco de dados e/ou para troca de informações
2 18 10%
Supervisão de desenvolvimento terceirizado de software com requisitos para controles de segurança da informação
0 20 0%
Regras para uso da informação e dos recursos de TI 7 13 35%
Contratos com terceiros com termos claros relativos a segurança
0 20 0%
Política de segurança da informação 0 20 0%
Conscientização, educação e treinamento em segurança
0 20 0%
Plano de recuperação de desastres e contingência em casos de ocorrência de incidentes
0 20 0%
Gráfico 10: Tecnologias para manter clientes seguros
Fonte: Elaboração própria
53
Relacionado as tecnologias de autenticação 90% das empresas
utilizam senhas, destas 50% utilizam certificados digitais e 50% apenas senhas e
10% restantes não utilizam qualquer tecnologia de autenticação, como descrito na
tabela 5.
Tabela 5: Tecnologia de autenticação
Fonte: Elaboração própria
Na atualização das aplicações 75% das empresas declaram
atualizar frequentemente o sistema operacional, 20% esporadicamente e 5% quase
nunca. Os aplicativos, por sua vez, 65% são atualizados frequentemente, 30%
esporadicamente e 5% quase nunca. Já os servidores de rede são atualizados
frequentemente por 75% das empresas, 20% esporadicamente e 5% não fazem
atualização, demonstrado na tabela 6.
Tabela 6: Atualização de aplicações
Fonte: Elaboração própria
Tecnologia de autenticação Utiliza Não
utiliza %
Utiliza
Senhas 18 2 90%
Certificados digitais 9 11 45%
Tokens/smart card 0 20 0%
Atualização de aplicações
Frequentemente Esporadicamente Quase nunca
Não faz
Sistemas Operacionais
75% 20% 5% 0%
Aplicativos 65% 30% 5% 0%
Servidores de rede 75% 20% 0% 5%
54
5 RECOMENDAÇÕES ÀS EMPRESAS
Todos os processos organizacionais estão ligados à informação e
ela é extremamente importante para o bom andamento dos negócios. Visando a
seguridade das informações é de grande valia o uso de técnicas e boas práticas de
segurança da informação.
Após estudo bibliográfico e de campo recomenda-se às empresas
pesquisadas boas práticas para garantir o mínimo de segurança das informações
coorporativas, são elas:
a. Após instalado o sistema operacional é importante instalar um
firewall de perímetro, com regras configuradas pelo administrador, para proteger o
computador contra acessos não permitidos vindos da internet. O Firewall é um
dispositivo de uma rede de computadores que tem como função principal fazer uma
barreira de proteção que controla a entrada e saída de dados do seu computador
com a internet. Seu objetivo é permitir somente a transmissão e recepção de dados
autorizados.
b. Mantenha seu sistema operacional e aplicativos sempre
atualizados evitando ameaças e vulnerabilidades.
c. As senhas devem ser individuais, sem divulgação ou
compartilhamento. A criação de senhas seguras depende da combinação de no
mínimo oito caracteres, misturando letras maiúsculas, minúsculas, números e
símbolos. Utilize “$” em vez de “S”, “&” em vez de “E”, “1” em vez de “I”. Por
exemplo: “J&$u$l1ndo”, “Jesuslindo”, senha fácil de lembrar e difícil de adivinhar. E,
ainda, devem ser alteradas regularmente.
d. O Antivírus protege as informações da empresa contra as
ameaças virtuais de vírus e arquivos maliciosos e o Anti spyware elimina os
programas espiões que são enviados para seu computador e são capazes de roubar
senhas. Ambos devem ser configurados para atualizações automáticas. Verificações
devem ser feitas em mídias removíveis (Cd´s, DVD´s, Pen Drive, Cartão de
memória, HD externo) e recomenda-se varredura completa no sistema
constantemente.
e. Durante a utilização da Internet use o bom senso e sempre
verifique a conexão segura e o certificado digital (cadeado no navegador). Evite a
utilização de links em e-mail e mensagens instantâneas.
55
f. Use a criptografia como ferramenta de segurança, principalmente
quando os dados estiverem em mídias móveis (notebook, pendrive, DVD, CD). Os
programas do pacote Office da Microsoft possuem uma maneira de você criptografar
o documento pelas próprias opções dos arquivos. Para isso, primeiro clique no botão
“Arquivo” e escolha a alternativa “Informações”. Em seguida, no setor “Permissões”,
selecione “Proteger Documento” e clique na opção “Criptografar com senha”. Outra
ferramenta é o 7-Zip que pode ser utilizado quando você precisa enviar um ou mais
arquivos para uma pessoa, mas quer mantê-los seguros.
g. Ao utilizar email execute o antivírus em programas baixados,
mesmo tendo a origem conhecida e evite abrir arquivos com extensão zip de e-mails
desconhecidos ou suspeitos.
h. Faça cópias de segurança (backup) dos dados importantes, para
isso utilize ferramentas de backup (por exemplo Backup do Windows). O primeiro
backup deve ser do tipo completo ou total, onde todas as informações são salvas
independentes da natureza, importância, idade ou prioridade. Os próximos backups
recomenda-se o tipo incremental que salva só as informações que sofreram
mudanças desde o último backup completo ou incremental com periodicidade diária,
semanal ou mensal, de acordo com a importância das novas informações. Faça o
backup em mídias diferentes e tenha sempre cópia da cópia.
i. Sempre utilize estabilizador resistente a queda de energia
(nobreak) evitando defeitos físicos no equipamento e perda de dados com o
aterramento devidamente instalado, para proteger o computador contra descargas
eletrostáticas e o usuário de choques elétricos.
A potência do nobreak para um computador de mesa varia de 250 e
550 watts, de acordo com o processador, placa de vídeo e quantidade de discos
rígidos que possui. Recomendamos o uso de nobreaks que variem entre 700 e 1500
watts de potência para não correr riscos de sobrecarga.
j. Elabore um documento com a política de segurança da
informação, com regras claras para a utilização dos recursos de tecnologia da
informação dentro do âmbito organizacional. Caso seja inviável, pelo porte da
empresa, a elaboração da política de segurança da informação, no mínimo, estipular
regras com boas práticas de segurança da informação que garantam a integridade,
disponibilidade e confidencialidade das informações. Algumas regras:
56
Atualização periódica do sistema e aplicativos.
Cuidado com suas senhas.
Utilização de antivírus e antispyware (atualizados).
Cuidados ao navegar na internet.
Realização de cópias de segurança (backups).
57
CONSIDERAÇÕES FINAIS
A segurança da informação se tornou um processo essencial em
qualquer organização, seja de pequeno, médio ou grande porte, este fato é inegável.
É oportuno mencionar que o surgimento de novas tecnologias e a
constante utilização da rede mundial de computadores (internet) aumenta a
vulnerabilidade e oportunizam novas ameaças a segurança da informação. Devido a
isso os gestores buscam investir em segurança, mesmo que ainda não seja o
suficiente ou não seja uma organização de grande porte.
Nas pequenas e micro empresas de Xinguara-PA foi possível
observar a tentativa, nem sempre bem sucedida, de praticar princípios básicos da
segurança da informação. Porém, percebe-se que estar em um nível mínimo de
segurança não é a realidade vivida nessas empresas. O uso de regras que
envolvam a segurança da informação é utilizado por um pequeno grupo (35% das
empresas) deixando claro que os gestores não dão a devida importância ao uso de
regras de segurança da informação, ficando assim vulneráveis a danos.
É sobremodo importante assinalar que uma organização,
independente de seu porte, necessita de uma política de segurança da informação,
na proporção e complexidade de seus processos e volume de informações. Após
implementação deve-se manter o controle sobre as práticas recomendadas através
de atualização tecnológica e treinamento do pessoal, conforme a realidade da
empresa.
Organizações que conseguiram implementar uma real política de
segurança da informação, e mantém um constante monitoramento, sobre ela, torna
o ambiente organizacional mais seguro e confiável, a preocupação com a segurança
da informação deve ser constante e em ciclo periódicos de manutenção, faz-se
necessário e parte do processo completo de uma política bem estabelecida e
conforme com as necessidades da organização.
As organizações ainda podem obter real redução de custos,
utilizando-se das melhores práticas exigidas pelas NBR ISO /IEC 27002. Vale dizer
que as empresas que utilizam normas de segurança podem se planejar para obter
uma certificação ISO, porém, para pequenas e micro empresas a certificação é
inviável devido a limitação de capital para investimento.
58
Em micro e pequenas empresas é viável a utilização de boas
práticas de segurança da informação, que requerem aplicação de capital em
ferramentas (hardware e software), capacitação e treinamento de pessoal. Os
administradores precisam adquirir conhecimento sobre as normas e o cenário da
própria empresa, adequando uma política de segurança viável à organização.
A contribuição do presente trabalho, através da elaboração de
recomendações baseadas nas práticas de segurança da norma NBR ISO /IEC
27002, oferece orientações básicas aos gestores para auxiliar na adoção de novas
medidas de segurança da informação e compreensão da importância de proteger no
presente para não arcar com prejuízos futuros.
59
REFERÊNCIAS BIBLIOGRÁFICAS
ABNT NBR ISO/IEC 27002:2005 – Técnicas de segurança – Código de prática para gestão de segurança da informação. ABNT, 2005.
ARAUJO, Eduardo Edson de. A vulnerabilidade humana na segurança da informação. 2005. Disponível em: http://www.si.lopesgazzani.com.br/TFC/monografias/Monografia%20Final%20Eduardo%20Edson.pdf. Acessado em 03/04/2012.
BALDISSERA, Thiago André. NUNES, Raul Ceratta. Impacto na implementação da Norma NBR ISO/IEC 17799 para a gestão da segurança da informação em colégios: um estudo de caso. 2007. Disponível em: http://www.abepro.org.br/biblioteca/enegep2007_tr640475_9300.pdf. Acessado em: 11/04/2012.
CUNHA, W. Resumo ABNT NBR ISO/IEC 27002:2005. Código de prática para a gestão da segurança da informação. 2009. Disponível em: http://waltercunha.com/blog/wp-content/uploads/2009/06/resumo_abnt_nbr_iso_27002_2005.pdf. Acessado em 20/04/2012.
FARIA, A. L. Conheça a NBR ISO/IEC 27002 – Parte 1. Acessado em 14 de agosto de 2010. Disponível em <http://www.profissionaisti.com.br/2010/03/conheca-a-nbr-isoiec-27002-parte-1/> 2010a. Acessado em 17/05/2012.
FARIA, A. L. Conheça a NBR ISO/IEC 27002 – Parte 2. Acessado em 14 de agosto de 2010. Disponível em <http://www.profissionaisti.com.br/2010/03/conheca-a-nbr-isoiec-27002-parte-2/>, 2010b. Acessado em 17/05/2012.
FONTES, Edison Luiz Gonçalves. Política de segurança da informação: uma contribuição para o estabelecimento de um padrão mínimo. São Paulo: Saraiva, 2011.
LAUREANO, Marcos Aurélio Pchek. Gestão de Segurança da Informação. 2005. Disponível em: http://www.mLaureano.org/aulas_material/gst/apostila_versao_20.pdf. Acessado em: 01/04/2012
LAUREANO, Marcos Aurélio Pchek. Moraes, Paulo Eduardo Sobreira. Segurança como estratégia de gestão da informação. Revista Economia & Tecnologia. Vol 8. 2005. Disponível em: http://www.mLaureano.org/projects/seguranca/economia_tecnologia_seguranca.pdf. Acessado em: 15/04/2012.
MARÇULA, Marcelo. Informática: Conceitos e Aplicações. 3. Ed. rev. São Paulo: Érica, 2008.
MATOS, Francisco Marcelo Alencar de. Proposta de um checklist para verificação da segurança física de uma empresa baseada na norma ABNT NBR ISO/IEC 27002:2005. 2010. Disponível em: http://www.flf.edu.br/revista-
60
flf/monografias-computacao/monografia_marcelo_matos.pdf. Acessado em: 15/05/2012
NETTO, Abner da Silva. Gestão da Segurança da Informação fatores que influenciam sua adoção em pequenas e médias empresas. 2007. Disponível em: http://www.uscs.edu.br/posstricto/administracao/dissertacoes/2007/abner_da_silva_neto/dissertacao_AbnerNetto.pdf. Acessado em: 28/03/2012
PILLOU. Jean François. Qualidade - gestão pelos processos. 2006. Disponível em: http://pt.kioskea.net/contents/qualite/processus.php3 acessado em: 20/11/2012
REZENDE, Denis Alcides e ABREU, Aline França. Tecnologia da Informação Aplicada a Sistemas de Informação Empresariais. São Paulo: Atlas, 2000.
SANTOS, Jhonatan Sidrônio Veloso. STADLER, Leonardo Delinsk Haickel Martins. Política de Segurança da Informação para empresa ACME. 2013. Disponível em: http://nippromove.hospedagemdesites.ws/anais_simposio/arquivos_up/documentos/artigos/6c7b8717eb8c5959190e932e5145f419.pdf. Acessado em: 05/01/2014.
61
ANEXOS
62
ANEXO I – QUESTIONÁRIO
Sua empresa: _______________________________________________________________ PERFIL GESTOR 1. QUE CARGO VOCÊ OCUPA? ( ) DIRETOR ( ) SÓCIO PROPRIETÁRIO ( ) GERENTE ( ) ANALISTA ( ) OUTRO:_____________________________ 2. EM QUE DEPARTAMENTO VOCÊ ATUA? ( ) PRESIDENCIA / GERENCIA GERAL ( ) RECURSOS HUMANOS ( ) SUPRIMENTOS ( ) TECNOLOGIA DA INFORMAÇÃO ( ) OUTRO:_____________________________ Qual sua formação?_________________________ 3. QUANTO A COMPRA EQUIPAMENTOS, SOFTWARES E SERVIÇOS DE INFORMÁTICA, QUAL É SEU PODER DE DECISÃO? ( ) A DECISÃO É SUA ( ) PARTICIPA DO PROCESSO ( ) NÃO PARTICIPA ( ) OUTRO:_____________________________ PERFIL DA EMPRESA 4. A EMPRESA TEM QUANTOS EMPREGADOS? ( ) 1 A9 ( ) 10 A 49 ( ) 50 A 99 ( ) OUTRO:_____________________________ 5. A EMPRESA TEM QUANTOS COMPUTADORES? ( ) MENOS DE 5 ( ) 5 A 10 ( ) 11 A 20 ( ) 21 A 100 ( ) OUTRO:_____________________________ 6. A EMPRESA TEM QUANTOS FUNCIONÁRIOS ENVOLVIDOS DIRETAMENTE NAS ATIVIDADES DE TI? ( ) 1 A 3 ( ) 4 A 6 ( ) 7 A 10 ( ) OUTRO:_____________________________ 7. NA SUA EMPRESA DE QUEM É A RESONSABILIDADE DA ÁREA DE TI (TECNOLOGIA DA INFORMAÇÃO)? Existe um departamento que cuida exclusivamente da Tecnologia da Informação, isto é, computadores? ( ) SIM ( ) NÃO Existe alguma empresa contratada, ou terceirizada para realizar operações relacionadas e TI? ( ) SIM ( ) NÃO Em caso afirmativo, Quantas? ( ) 1 ( ) 2 ( ) 3 ( ) outro:_________________
63
Quais?_______________________________________________________________________ Que atividades? ( ) Suporte a aplicações (softwares) ( ) Suporte a infraestrutura (hardwares) ( ) Manutenção em rede ( ) Atualização de produtos ( ) Outro___________________________________________________________________ Os computadores estão ligados a alguma rede coorporativa? ( ) Sim ( ) Não Os computadores estão ligados a alguma rede publica, tipo a Internet? ( ) Sim ( ) Não 7. QUAL O NÍVEL DE INFORMATIZAÇÃO DAS OPERAÇÕES DA EMPRESA? ( ) Edição de documentos e planilhas ( ) Emails ( ) Internet Banking ( ) Sistema integrado ( ) Acesso remoto a funcionários e fornecedores ( ) Comércio eletrônico ( ) Sistemas internos ( ) Outros Sistemas corporativos Medidas de segurança da Informação A sua empresa possui algum tipo de política de segurança na utilização dos recursos de TI? ( ) Sim ( ) Não Existe alguns programa de treinamento de segurança da informação? ( ) Sim ( ) Não Elaborou ou implementou alguma ação de segurança da informação da empresas? ( ) Sim ( ) Não 8. QUAIS FERRAMENTAS/TÉCNICAS DE SEGURANÇA DA INFORMAÇÃO A EMPRESA POSSUI? ( ) ANTIVIRUS . QUAL?_______________________ VERSÃO PAGA ( ) VERSÃO GRATUITA ( ) ( ) Anti-Spam? ( ) Anti-spyware? ( ) Firewall? ( ) Sistema de detecção de intrusos (IDS)? ( ) Nenhuma das anteriores 9. FREQUÊNCIA DA ATUALIZAÇÃO DO ANTIVIRUS ( ) ATUALIZAÇÃO AUTOMÁTICA ( ) DIARIAMENTE ( ) SEMANALMENTE ( ) MENSALMENTE ( ) TRIMESTRALMENTE 10. Quanto a tecnologias adotadas para proteção de Dados Qual utilizada na empresa: ( ) Backup interno dos dados na empresa ( ) Backup off-line mantidas fora da empresa ( ) Usa criptografia para proteção de dados armazenados e servidores desktop; ( ) Utiliza criptografia em mídias externas
64
( ) Utiliza criptografia em notebook, PDA, e similares ( ) Não possui nenhuma dessas tecnologias 11. Quanto ao sistema de BACKUP QUE TIPO? ( ) COMPLETO ( ) INCREMENTAL COM QUE FREQUÊNCIA? ( ) DIÁRIA ( ) SEMANAL ( ) MENSAL ( ) OUTRA__________ 12. OUTRAS FERRAMENTAS/TÉCNICAS DE SEGURANÇA DA INFORMAÇÃO ( ) EQUIPAMENTO PARA PROTEÇÃO DE FALHAS DE ENERGIA ELÉTRICA QUAIS? ESTABILIZADOR ( ) NOOBREAK ( ) ATERRAMENTO ( ) OUTROS:_________ ( ) NOME DE USUÁRIO, SENHA INDIVIDUAL E SECRETA PARA ACESSO A REDE ( ) SALA DE SERVIDORES PROTEGIDA E EM LOCAL RESTRITO ( ) DESCARTE SEGURO DE MÍDIA REMOVÍVEL ( ) MONITORAMENTO E ANÁLISE CRÍTICA DOS REGISTROS (LOGS) ( ) OUTRO:_____________________________ 13. QUAIS FERRAMENTAS/TÉCNICAS DE SEGURANÇA DA INFORMAÇÃO A EMPRESA POSSUI? ( ) ATUALIZAÇÃO DE SOFTWARE PARA CORREÇÃO DE FALHAS DE SEGURANÇA ( ) CRIPTOGRAFIA EM BANCO DE DADOS E/OU PARA TROCA DE INFORMAÇÕES ( ) SUPERVISÃO DO DESENVOLVIMENTO TERCERIZADO DE SOFTWARE COM REQUISITOS PARA CONTROLES DE SEGURANÇA DA INFORMAÇÃO 14. QUAIS FERRAMENTAS/TÉCNICAS DE SEGURANÇA DA INFORMAÇÃO A EMPRESA POSSUI? ( ) REGRAS PARA USO DA INFORMAÇÃO E DOS RECURSOS DE TI ( ) CONTRATOS COM TERCEIROS COM TERMOS CLAROS RELATIVOS A SEGURANÇA ( ) POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ( ) CONSCIENTIZAÇÃO, EDUCAÇÃO E TREINAMENTO EM SEGURANÇA ( ) PLANO DE RECUPERAÇÃO DE DESASTRES E CONTINGÊNCIA EM CASOS DE OCORRÊNCIA DE INCIDENTES 15.QUAIS TECNOLOGIAS PARA MANTER CLIENTES SEGUROS VOCÊ UTILIZA? ( ) SSL/TLS e HPPS ( ) VPN (rede Privada Virtual) ( ) Não possui 16. QUANTO A TECNOLOGIA DE AUTENTICAÇÃO UTILIZADA ( ) Senhas ( ) Certificados digitais ( ) Tokens/smart card 17 QUANTO A ATUALIZAÇÃO DAS APLICAÇÕES SE SÃO REALIZADAS ( ) Sistemas Operacionais ( )frequentemente ( )esporadicamente ( )quase nunca ( )Não faz ( ) Aplicativos (navegadores, leitores de email, editores) ( )frequentemente ( )esporadicamente ( )quase nunca ( )Não faz Servidores de Rede (WEB, DNS/ SMTP) ( )frequentemente ( )esporadicamente ( )quase nunca ( )Não faz ( ) Não possui nenhuma das tecnologias citadas
65
ANEXO II – CARTILHA DE RECOMENDAÇÕES BÁSICAS AS EMPRESAS
ESTUDADAS.
Cartilha Básica de Segurança da Informação
Esta cartilha simplificada é voltada especialmente para usuários não-técnicos. Nela, são apresentados breves lembretes com sugestões de softwares, dicas e boas práticas recomendadas para garantir a segurança de seus sistemas.
Passo 1 – Firewall
Após a instalação do seu sistema operacional[1] escolhido, instale um firewall[2]. Conectar um sistema operacional não atualizado na internet (ou até intranet) não é recomendado, devido às possíveis vulnerabilidades de um sistema desatualizado.
Passo 2 – Mantenha seu sistema Atualizado
Novas ameaças e vulnerabilidades são descobertas todos os dias, para proteger-se delas mantenha seu sistema operacional e seus aplicativos sempre atualizados.
Procure por atualizações automáticas diretamente no programa ou sistema operacional, ou baixe as atualizações regularmente a partir do fornecedor oficial. Dê sempre preferência para o site oficial do fornecedor, ou para mirrors[4] credenciados pelo mesmo.
Passo 3 – Cuidados com suas senhas
Não divulgue e nem compartilhe – a senha é sua e de mais ninguém.
Não escreva em local público ou de fácil acesso.
Nunca use palavras de dicionários ou dados pessoais como senha.
Crie senhas com mais de oito caracteres e que misture letras maiúsculas, minúsculas, números e caracteres especiais.
Mude de senha regularmente, principalmente se utilizar máquinas administradas por pessoas que não sejam de sua confiança, inclusive se você não confiar em si mesmo no que tange a manutenção da segurança da informação de seu computador.
Passo 4 – Antivirus[5] e antispyware[6]
Configure seu antivírus para procurar por atualizações sempre que seu computador estiver conectado à Internet.
Faça pelo menos uma varredura completa no sistema por semana.
Use seu antivírus em todo arquivo baixado antes de executá-lo, assim como em toda mídia removível conectada. Se possível, configure essas verificações para que sejam feitas automaticamente, assim como demais verificações passíveis de execução pelo software.
Passo 5 – Navegando na internet
Utilize no navegador o bloqueador nativo de scripts ou use complementos que realizem tal atividade. Só autorize a execução de scripts de sites de sua confiança.
66
Permita somente a execução de programas Java[7] e de ActiveX[8] de sua confiança.
É recomendável uma limpeza esporádica dos cookies[9] do seu navegador.
Ao acessar contas bancárias ou demais sites onde ocorra a troca de informações e dados sensíveis, lembre-se sempre de verificar a existência de conexão segura e de analisar o certificado digital (procure pelo cadeado no navegador e um informativo de certificado digital). Lembre-se sempre também de digitar o endereço destino, e nunca usar os links enviados por terceiros, tais como oriundos de e-mail, mensageiros instantâneos, etc.
Em qualquer interação pela internet, seja por mídias sociais, mensageiros instantâneos, chats e canais de IRC, usem sempre o seu bom senso para determinar quais informações serão passadas por esses canais, assim como para tratar as informações recebidas. Além disso é recomendável se comunicar apenas com pessoas conhecidas.
Os ataques mais populares dos últimos meses contra clientes e usuários foram dirigidos contra os navegadores e os Adobe Reader e Acrobat. Os usuários devem desabilitar a capacidade destes aplicativos rodarem JavaScript ou outros aplicativos que não sejam o texto .pdf ou o texto em html.
Passo 6 – Use sempre criptografia
Mantenha o hábito de manter seus arquivos, principalmente quando armazenados em notebooks e mídia móveis (pendrive, DVD, etc), criptografados. Para facilitar esse processo existem programas que além de encriptar cada arquivo individualmente, também criam volumes ou containers encriptados, para um grande número de dados e/ou arquivos.
Passo 7 – Correio eletrônico
Passe sempre o antivírus em programas vindos por email, mesmo de fontes confiáveis.
Verifique a procedência de emails com anexos duvidosos (de bancos, lojas ou provedores de serviços) observando o cabeçalho completo da mensagem. Caso utilize cliente de e-mail, configure seu cliente de email para não executar automaticamente programas ou scripts.
Mesmo que tenha utilizado o antivírus, evite abrir arquivos enviados por fontes não confiáveis. Verifique se o remente é mesmo quem ele diz.
Desconfie muito de arquivos executáveis recebidos (.exe, .bat, .zip), mesmo vindo de fontes confiáveis.
Verifique a veracidade das informações e use sempre seu bom senso antes de repassar. O bom senso nessas horas será sua principal ferramenta.
Cuidado ao visualizar imagens armazenadas externamente aos e-mails. Com esse ato o remetente do e-mail tem a possibilidade de descobrir sua localização na internet (endereço IP[10]), além de outras informações sobre sua máquina, tais como sistema operacional, versões do mesmo, etc.
Passo 8 – Baixando Programas
67
Baixe programas apenas do fornecedor oficial, ou para sites ou mirrors referenciados pelo mesmo.
Se o programa for desconhecido por você, informe-se sobre o mesmo em páginas de busca e sites especializados antes de baixar ou executar qualquer programa. Pergunte também para amigos e familiares.
Sempre passe seu antivírus atualizado em arquivos antes de executá-los pela primeira vez ou instalá-los, independente da origem ou indicação.
Passo 9 – Proteja seus dados pessoais
Evite fazer cadastros pela Internet, especialmente fornecendo seus dados pessoais, a não ser que seja estritamente necessário.
Nunca forneça informações sensíveis em sites sem que você tenha solicitado o serviço que o exige, e o faça somente se confiar no site e se o mesmo estiver utilizando criptografia (procure pelo cadeado no navegador e um informativo de certificado digital).
Cuidado aos disponibilizar informações muito pessoais em sites de relacionamento (telefones móveis, endereços residenciais, etc.).
Passo 10 – Faça backups
Agende regularmente cópias de reserva (backup) de todos os seus dados importantes.
Pense nas coisas que realmente lhe fariam falta caso perdesse tudo e cuide para que isso não aconteça.
Discos rígidos, pendrives e CDs também dão defeito! Tenha sempre cópias redundantes e jamais confie em apenas uma mídia para armazenar seus dados mais importantes.
Passo 11 – Segurança Física
Tenha um filtro de linha com suporte a queda de energia (no-break). Se não for possível, use ao menos um filtro de linha.
Mantenha seu computador e cabos protegidos contra quedas e esbarrões.
Mantenha seu computador e suas mídias (como pendrives, CDs e DVDs) em local seco, arejado e não muito quente nem muito frio, e sempre protegidos de fontes eletromagnéticas fortes.
Passo 12 – O mais importante
Use sempre seu bom senso.
O passo 1 não necessariamente vem antes do passo 4, e o passo 9 não necessariamente depois do passo 2. Essa cartilha é um guia, que contém uma série de sugestões, não uma regra ou uma verdade incontestável.
68
Glossário
[1] Sistema Operacional: Programa que gerencia as funções básicas de um computador,
armazenamento e recuperação de informações. Ex. Windows, da Microsoft, Macinstosh da Apple e
Linux.
[2] Firewall pessoal: Software ou programa utilizado para proteger um computador contra acessos
não autorizados vindos da Internet. É um tipo específico de firewall, dispositivo constituído pela
combinação de software e hardware, utilizado para dividir e controlar o acesso entre redes de
computadores.
[3] Vulnerabilidade: Falha no projeto, implementação ou configuração de um software ou sistema
operacional que, quando explorada por um atacante, resulta na violação da segurança de um
computador.
[4] Mirrors: Mirrors, em terminologia computacional, são sites espelhados, isto é, um servidor que
contém um conjunto de arquivos que é uma duplicata do conjunto de arquivos existentes em outro
servidor. Os “sites-espelho” existem para dividir a carga de distribuição entre os sites.
[5] Anti-virus: Sofware desenvolvido para detectar, anular e eliminar de um computador vírus e outros
tipos de código malicioso.
[6] Anti-spyware: Software desenvolvido para combater spyware, adware, keyloggers entre outros
programas espiões.
[7] Java: Linguagem de programação desenvolvida pela Sun Microsystems.
[8] Active-X: Linguagem de programação criada pela Microsoft que permite a inclusão de itens
multimídia em páginas Web.
[9] Cookies: Um conjunto de informações que um site escreve no disco rígido do computador do
cliente, que tem várias funções, tais como: armazenar as preferências do usuário para certos tipos de
informação ou registrar informações relativa à sua visita no site.
[10] Endereço IP: Este endereço é um número único para cada computador conectado à Internet,
composto por uma sequência de 4 números que variam de 0 até 255, separados por um ponto. Por
exemplo: 192.168.34.25.
Fonte: Cartilha de Segurança da Informação para usuários não técnicos. Disponível em:
https://www.clavis.com.br/cartilha/cartilha-de-seguranca-da-informacao-para-usuarios-nao-
tecnicos.php
