ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM A NORMA NBR ISO IEC 27002
aspectos que caracterizam a segurança em sistemas estão na confidencialidade, integridade e disponibilidade desta Informação. As vulnerabilidades são brechas, portas abertas que servem como meio de acesso ao atacante que é o responsável por executar os meios de ataque (são ações que colocam em ameaça ou em risco os princípios encontrados na segurança computacional); dentre as ameaças existentes a engenharia social é uma das mais usadas pelos os atacantes na tentativa ou ação de obter uma informação de caráter sigiloso, esta se caracteriza por não ser computacional e explorar vulnerabilidades encontradas no ativo humano. A governança de TI promove o bom governo das organizações e é indicada para auxiliar as organizações nas tomadas de decisão, esta por sua vez possuí modelos como ITIL e Cobit e Normas como a NBR/ISO/IEC 27.002 que são metodologias. O COBIT está para auditoria de processos e controles assim como a ITIL está para o gerenciamento de serviços de TI enquanto a NBR/ISO/IEC 27.002 é um conjunto de boas práticas.
Palavras-chave: Informação, Segurança, Norma. . . . .
Semelhante a ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM A NORMA NBR ISO IEC 27002
Segurança da Informação com Windows ServerGuilherme Lima
Semelhante a ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM A NORMA NBR ISO IEC 27002 (20)
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM: UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM A NORMA NBR ISO IEC 27002
1. CENTRO UNIVERSITÁRIO LUTERANO DE SANTARÉM
CURSO DE SISTEMAS DE INFORMAÇÃO
DALIANE CASTRO DA SILVA
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM:
UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA
INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM A NORMA NBR ISO
IEC 27002
SANTARÉM
2011
2. 1
DALIANE CASTRO DA SILVA
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM:
UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA
INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM A NORMA NBR ISO
IEC 27002
Trabalho
de
Conclusão
de
Curso
apresentado para obtenção do Grau de
Bacharel em Sistemas de Informação pelo
Centro Universitário Luterano de Santarém.
Orientador: Profº. Murilo Braga de Nóvoa
SANTARÉM
2011
3. 2
DALIANE CASTRO DA SILVA
ESTUDO DE CASO DOS GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM:
UMA ANÁLISE SOBRE A SEGURANÇA NA MANUTENÇÃO E DESCARTE DA
INFORMAÇÃO E GESTÃO DE ATIVOS DE ACORDO COM NORMA NBR ISO IEC
27.002
Trabalho
de
Conclusão
de
Curso
apresentado para obtenção do Grau de
Bacharel em Sistemas de Informação pelo
Centro Universitário Luterano de Santarém.
Data de Apresentação: _____/_____/_____.
_________________________________
NOME
Titulação – Instituição
____________
Conceito
_________________________________
NOME
Titulação - Instituição
____________
Conceito
________________________________
NOME
Titulação – Instituição
____________
Conceito
4. 3
A todos que tem a humildade de
compartilhar o conhecimento.
5. 4
AGRADECIMENTOS
Á Deus, pela a sua fidelidade e cuidado comigo, a minha família, pai Carlos
Alberto da Silva e mãe Maria Vaneide e a irmã Lidiane Castro e ao presente mais
que especial que a nossa família poderia ganhar o meu irmão Paulo Gabriel pelo os
momentos divertidos da minha vida.
Aos mestres com carinho, pela a paciência por não perderem a fé no ensino.
Aos meus amigos mais que simplesmente colegas de aula responsáveis pela a
diversão e incentivo em destaque a Ana Luiza Silva.
Amigo se faz em tempos de paz, mas é na angústia que se prova o seu valor,
dentre os amigos que a cada dia provam seu valor o lugar de destaque a Lidianne
Lima.
6. 5
“Se o conhecimento for útil a apenas a
uma pessoa, então o ensino não cumpriu o
seu objetivo” (Daliane Castro).
7. 6
RESUMO
A informação é composta de dados e componentes do conhecimento. Dentro das
organizações as informações permeiam sobre as pessoas, sistemas, em meios
eletrônicos ou papel e adquirem uma importância grande se lhes é atribuído um
valor. O ativo é o conjunto de bens e direitos à disposição de uma entidade, ou seja,
expressa os direitos, posses e patrimônio de uma pessoa, ou organização. A
informação é um ativo que como qualquer outro, é importante para os negócios, e
tem valor para a organização. A segurança da Informação está atrelada a proteção
existente ao ativo, os aspectos que caracterizam a segurança em sistemas estão na
confidencialidade, integridade e disponibilidade desta Informação. As
vulnerabilidades são brechas, portas abertas que servem como meio de acesso ao
atacante que é o responsável por executar os meios de ataque (são ações que
colocam em ameaça ou em risco os princípios encontrados na segurança
computacional); dentre as ameaças existentes a engenharia social é uma das mais
usadas pelos os atacantes na tentativa ou ação de obter uma informação de caráter
sigiloso, esta se caracteriza por não ser computacional e explorar vulnerabilidades
encontradas no ativo humano. A governança de TI promove o bom governo das
organizações e é indicada para auxiliar as organizações nas tomadas de decisão,
esta por sua vez possuí modelos como ITIL e Cobit e Normas como a NBR/ISO/IEC
27.002 que são metodologias. O COBIT está para auditoria de processos e controles
assim como a ITIL está para o gerenciamento de serviços de TI enquanto a
NBR/ISO/IEC 27.002 é um conjunto de boas práticas.
Palavras-chave: Informação, Segurança, Norma.
.
.
.
.
8. 7
ABSTRACT
The
information consists of
data
and knowledge
components.
Inside
organizations information is passed around about people, systems, electronically
or on paper and information that is of great deal of importance is assigned
a value. The asset is the set of goods and rights available to an entity,
or express rights, property and assets of a person or organization. Information is an
commodity like any other important business assets and has a value to the
organization. Information security is tied to the existing protection activity that
has a value,
the
aspects
that
characterize the
safety systems a
confidentiality, integrity and availability of this information. Vulnerabilities are open
ports that serve as a means of access to the attacker that is running means of
attack which are actions that pose a threat or endanger the principles found
in computer security, threats. These threats that exist among the social engineering
is one of most used by the attackers in an attempt or action to obtain information
from a confidential
nature,
is
characterized by computer and don’t exploit
vulnerabilities found in human activity. IT governance promotes good government
organizations and is indicated to help organizations in decision making, this in
turn has models such as ITIL and COBIT and Standards as the NBR /
ISO / IEC 27002 which are methodologies. COBIT is to audit processes and
controls as well as the ITIL stands for IT service management while the NBR /
ISO/ IEC 27002 is a set of best practices.
Key-words: Information, Security, Norms
9. 8
LISTA DE ILUSTRAÇÕES
Figura 1 – Informação é base para todo o conhecimento........................................13
Figura 2 – Relação entre os Ativos da Informação..................................................15
Figura 3 – Classificação das Informações...............................................................16
Figura 4 – Ciclos de Vida da Informação................................................................17
Figura 5 – Características de Segurança da Informação.........................................19
Figura 6 – Fatores Motivadores da Governança de TI............................................34
Figura 7 – Os domínios e componentes da Governança de TI...............................35
Figura 8 – O Núcleo da ITIL....................................................................................36
Figura 9 – Domínio do Cobit.................................................................................. 37
Gráfico 1– ................................................................................................................41
Gráfico 2– ................................................................................................................42
Gráfico 3 – ...............................................................................................................42
Gráfico 4- ................................................................................................................43
Gráfico 5 -................................................................................................................43
Gráfico 6 – ................................................................................................................44
Gráfico 7 – ................................................................................................................44
Gráfico 8 – ................................................................................................................45
Gráfico 9 – ...............................................................................................................45
Gráfico 10 - ...............................................................................................................46
Gráfico 11 – ...............................................................................................................46
Gráfico 12 – ...............................................................................................................47
Gráfico 13 – ...............................................................................................................47
Gráfico 14 – ...............................................................................................................48
Gráfico 15 – ...............................................................................................................48
Gráfico 16 – ...............................................................................................................49
Gráfico 17 – ...............................................................................................................50
Gráfico 18 –...............................................................................................................50
Gráfico 19 – ...............................................................................................................51
Gráfico 20 – ...............................................................................................................42
10. 9
SUMÁRIO
2.1 DEFINIÇÃO ......................................................................................................... 13
2.2 A IMPORTÂNCIA DA INFORMAÇÃO .................................................................. 13
2.3 OS ATIVOS DA INFORMAÇÃO ........................................................................... 14
2.4 CLASSIFICAÇÕES DA INFORMAÇÃO ............................................................... 15
2.5 O CICLO DE VIDA DA INFORMAÇÃO ................................................................ 16
3 SEGURANÇA ........................................................................................................ 19
3.1 SEGURANÇA COMPUTACIONAL ...................................................................... 19
3.2 PRINCIPIOS DA SEGURANÇA COMPUTACIONAL ........................................... 20
3.3 VULNERABILIDADES ......................................................................................... 21
3.4 AMEAÇAS ........................................................................................................... 22
3.5 ATAQUE .............................................................................................................. 23
3.6 ATACANTE ......................................................................................................... 24
4 ENGENHARIA SOCIAL ......................................................................................... 26
4.1 CONCEITO.......................................................................................................... 26
4.2 TIPOS DE ENGENHARIA SOCIAL ...................................................................... 26
4.3 OS ATIVOS PESSOAS E A ENGENHARIA SOCIAL ........................................... 27
4.4 ENGENHARIA SOCIAL: MANIPULANDO SENTIMENTOS ................................ 29
4.5 ENGENHEIROS SOCIAS E SUAS ESTRATÉGIAS DE ATAQUE ....................... 30
4.5 DISFARCES DE UM ENGENHEIRO SOCIAL ..................................................... 32
5 GOVERNANÇA DE TI ........................................................................................... 34
ESTE CAPÍTULO APRESENTA AS CARACTERÍSTICAS E OS COMPONENTES DA GOVERNANÇA DE
TI E OS SEUS RESPECTIVOS MODELOS ITIL E COBIT. ....................................................... 34
5.1 CONCEITO.......................................................................................................... 34
5.2 COMPONENTES DA GOVERNANÇA DE TI ....................................................... 35
5.3 ITIL ...................................................................................................................... 36
5.4 COBIT.................................................................................................................. 37
6 ESTUDO DE CASO ............................................................................................... 39
6.1 HISTÓRICO DA ORGANIZAÇÃO PESQUISADA: CÂMARA MUNICIPAL DE
SANTARÉM. ............................................................................................................. 39
6.2 ESTRUTURA ORGANIZACIONAL ...................................................................... 40
11. 10
6.3 FOCO DA PESQUISA: GABINETE DOS VEREADORES ................................... 41
6.4 ANÁLISE DO PROBLEMA................................................................................... 41
6.5 APLICAÇÃO DE QUESTIONÁRIOS .................................................................... 41
6.6 QUESTONÁRIO .................................................................................................. 42
7 NORMAS E PADRÕES DE SEGURANÇA ........................................................... 54
7.1 CONCEITO DE NORMAS E PADRÕES .............................................................. 54
7.2 A ORGANIZAÇÃO ISO ........................................................................................ 54
7.3 A ASSOCIAÇÃO ABNT ....................................................................................... 55
7.4 NORMA NBR ISO 17.799 (27.002) – UMA BREVE HISTÓRIA ............................ 55
7.5 A NORMA NBR/ISO/17.799:2005 ........................................................................ 57
7.6 A IMPORTÂNCIA DA NBR/ISO 27002 (17.799:2005).......................................... 58
8 POLÍTICA E ORGANIZAÇÃO DE SEGURANÇA ................................................. 60
8.1 POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO .............................................. 60
8.1.1 DOCUMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. .................................. 61
8.1.2 ANÁLISE CRÍTICA DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ............................. 62
8.1.3 ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO..................................................... 63
8.1.4 COMPROMETIMENTO DA DIREÇÃO COM A SEGURANÇA DA INFORMAÇÃO ................... 63
8.1.5 ATRIBUIÇÃO DE RESPONSABILIDADES PARA A SEGURANÇA DA INFORMAÇÃO ............. 64
8.2 GESTÃO DE ATIVOS ................................................................................................ 65
8.2.1 RESPONSABILIDADE PELOS ATIVOS ....................................................................... 65
8.2.2 INVENTÁRIO DOS ATIVOS ..................................................................................... 66
8.2.3 PROPRIETÁRIO DOS ATIVOS ................................................................................. 66
8.2.4 USO ACEITÁVEL DOS ATIVOS ............................................................................... 67
8.2.5 CLASSIFICAÇÃO DAS INFORMAÇÕES ...................................................................... 68
8.2. 6 RECOMENDAÇÕES PARA A CLASSIFICAÇÃO ........................................................... 68
8.2.7 PAPÉIS E RESPONSABILIDADES ............................................................................ 69
8.2.9 PROCESSO DISCIPLINAR ...................................................................................... 70
8.2.10 ENCERRAMENTO OU MUDANÇA DE CONTRATAÇÃO. .............................................. 71
8.2.11 DEVOLUÇÃO DOS ATIVOS ................................................................................... 72
8.2.12 RETIRADA DE DIREITOS DE ACESSO ................................................................... 72
8.3 MANUTENÇÃO E DESCARTE DA INFORMAÇÃO ........................................................... 72
8.3.1 MANUSEIO DE MÍDIAS .......................................................................................... 73
8.3. 4 TROCA DE INFORMAÇÕES.................................................................................... 75
8.3.5 MÍDIAS EM TRÂNSITO........................................................................................... 77
12. 11
8.3.6 MENSAGENS ELETRÔNICAS.................................................................................. 78
8.3.7 CONTROLE DE ACESSO AO SISTEMA OPERACIONAL ................................................. 78
8.3.8 PROCEDIMENTOS SEGUROS DE ENTRADA NO SISTEMA (LOG-ON) ............................. 79
8.3.9 IDENTIFICAÇÃO E AUTENTICAÇÃO DE USUÁRIO ....................................................... 80
9 CONCLUSÃO ........................................................................................................ 82
PESQUISADA, GABINETES DA CÂMARA MUNICIPAL DE SANTARÉM. ........... 82
REFERÊNCIAS ......................................................................................................... 84
APÊNDICES ............................................................................................................. 86
13. 11
1 INTRODUÇÃO
Com o crescimento das organizações a tarefa de gerenciar informações tornouse mais complexa e isso impulsionou o desenvolvimento de sistemas que auxiliam
no processo de organização de dados.
Para promover a segurança dessas informações, surgiu o campo de estudo
relacionado a este tema, que se preocupa em criar metodologias e ferramentas a fim
de promover a confidencialidade, disponibilidade e integridade da Informação.
Um grande investimento financeiro e tecnológico é feito pelas as organizações
para reparar as eventuais vulnerabilidades dos sistemas, porém é necessário
entender que a segurança não se limita apenas a mecanismos e políticas, esta
também engloba a participação humana como fator primordial nos processos de
gerenciamento da Informação.
As pessoas são peças importantes no gerenciamento de informações, porque
interagem com os sistemas na manipulação de informaçoes; dados estes que
dependendo da sua importância possuem valor e representam ativos para a
organização.
Este trabalho tem como objetivo mostrar primeiramente o conceito e a
importância da Informação dentro dos Sistemas Computacionais dando ênfase nos
conceitos e características de segurança, vulnerabilidade, ameaça e atacante,
explanando sobre as técnicas e conceitos da Engenharia Social apresentando as
possíveis causas, consequências, características e ações preventivas encontradas
nas boas práticas da NBR/ISO/IEC 27.002 contra esse tipo de ataque no que diz
respeito à gestão dos ativos na manutenção e descarte da informação, além disso,
será apresentado um questionário de pesquisa aplicada na organização cujo
objetivo é mostrar de maneira qualitativa e quantitativa os dados referentes à
realidade da segurança da informação na instituição pesquisada.
O presente estudo apresentará os modelos de governança de Tecnologia da
Informação (TI) ITIL e Cobit e as boas práticas da NBR/ISO/IEC 27.002 como
sugestão para auxilio na organização da informação na Instituição pesquisada.
O primeiro capítulo é a introdução do trabalho, apresentando uma breve
descrição dos assuntos a serem abordados.
14. 12
O segundo capítulo descore sobre os conceitos relativos à importância, ciclo de
vida e classificação da informação, apresentando os ativos que esta possuí.
O terceiro capítulo trata da Segurança Computacional apresentando os
princípios e explanando os conceitos sobre vulnerabilidade, ataque e atacante.
O quarto capítulo apresenta o conceito e as características presentes em
ataques de engenharia social explanando sobre as vulnerabilidades encontradas no
ativo humano, bem como os principais meios de ataque de engenheiros sociais.
O quinto capítulo apresenta o conceito da governança de TI, apresentando os
pontos que motivam o seu uso e os componentes do domínio da mesma,
explanando sobre os modelos ITIL e Cobit.
O sétimo capítulo apresenta a organização pesquisada, seu histórico,
características e estrutura organizacional bem como a metodologia usada na
aplicação dos questionários.
O oitavo capítulo apresenta o conceito das normas e padrões de segurança
com o foco no histórico da norma NBR ISO 17.799 até se tornar a atual NBR ISO
27.002 além de destacar os pontos da NBR ISO 27.002 relativos à gestão dos
ativos, manutenção e descarte da informação como proposta a prevenção de
ataques de engenharia social na organização pesquisada.
O nono capítulo é referente às considerações finais.
15. 13
2 OS ASPECTOS DA INFORMAÇÃO
Este capítulo abordará os conceitos relativos ao ciclo de vida e classificação da
informação discorrendo sobre a sua importância e ativos.
2.1 DEFINIÇÃO
Muitos conceitos existem para explicar o que é a Informação, mas para a
maioria dos autores a informação é composta de dados e componentes do
conhecimento.
Segundo Campos (2007) a informação é constituída de um conjunto de dados
que representam um ponto de vista diferente, trazendo um significado novo ou
evidenciando relações antes desconhecidas sobre eventos ou objetos. Por tanto, a
informação possui significado e causa impacto em grau menor ou maior, tornando-a
o elemento essencial da extração e criação do conhecimento, como observado na
figura 1.
Figura 1- Informação é base para todo o conhecimento
Dados
Informação
Conhecimento
Fonte: CAMPOS, 2007
Diante disso, é possível concluir que o conhecimento só poderá ser formado a
partir do momento em que a informação for exposta ao indivíduo e este poderá
desenvolver o conhecimento que varia de pessoa para pessoa quanto ao grau
qualitativo e quantitativo.
2.2 A IMPORTÂNCIA DA INFORMAÇÃO
Com as evoluções econômicas e principalmente tecnológicas dos últimos anos,
a informação expande o seu vasto conceito e não se restringe apenas a ideia de
16. 14
processamento e manipulação de dados, mas também assume o papel de capital
precioso, capaz de determinar o sucesso ou o fracasso de uma Organização.
Segundo Campos (2007) a utilização da informação alinhada á estratégia
facilita a inovação para a diferenciação do produto, redução do custo e do risco do
negócio, além de representar benefícios á imagem da organização,
“A Informação é um elemento essencial para a geração do conhecimento, para
a tomada de decisões, e que representa efetivamente valor para o negócio, dentro
de cada um dos seus processos” (Campos, 2007).
A importância da Informação para as organizações é universalmente aceita.
Ela é um estimado bem, o qual é atribuído um valor; logo podemos dizer que a
Informação que agrega um valor é denominado um ativo.
Por possuir um valor para as organizações, a Informação deve ser protegida e
guardada, por isso um dos grandes desafios de hoje, é a busca de soluções e meios
que mantenham a segurança e proteção dos ativos referentes à ela.
2.3 OS ATIVOS DA INFORMAÇÃO
Os bens que tem seu respectivo valor e importância para o negócio de uma
organização é denominado ativo, portanto como dito anteriormente a Informação
também é considerada um ativo.
As organizações que se utilizam das tecnologias da Informação possuem
respectivamente ativos da informação que abrangem hardware, software e
dispositivos de armazenamento que fazem parte do patrimônio da Tecnologia da
Informação.
“O termo ativo possui esta denominação, oriunda da área financeira, por ser
considerado um elemento de valor para um indivíduo ou organização, e que, por
esse motivo, necessita de proteção adequada” (NBR/ISO/ IEC- 27002, 2005).
Os ativos da Informação estão divididos em usuários, processos, informação,
ambiente, equipamentos e aplicativos.
Os bens que correspondem a usuários e processos estão nas pessoas, ou
seja, nos funcionários da organização e os processos, sendo esses, as atividades
realizadas, como por exemplo, a emissão de um boleto; enquanto os bens
correspondentes a Informação estão nos dados que a organização confia ao
17. 15
sistema, os ativos que correspondem ao ambiente estão em relação aos ambientes
físicos da organização, por exemplo, a sala do servidor; e os que correspondem a
equipamentos e aplicativos estão no hardware e no software.
É importante ressaltar que um dos ativos mais importantes são as pessoas
que, pois, as mesmas que interagem com os sistemas, como mostrado na figura 2.
Figura 2 – Relação entre os Ativos da Informação
Fonte: CAMPOS, 2007.
Dessa forma, é possível concluir que as pessoas são ativos tão importantes
quantos equipamentos e informações e consequentemente também são alvos de
ataques.
2.4 CLASSIFICAÇÕES DA INFORMAÇÃO
As classificações da informação permitem uma visão mais detalhada da
atribuição quanto a importância de cada uma delas dentro da organização.
Para Peixoto (2006), as informações podem ser públicas, internas, particulares
ou confidenciais como detalhado na figura três.
Pública: São informações deliberadamente voltadas ao público, distribuídas
livremente sem restrições para as pessoas, como forma de divulgação, por
exemplo, internet, livros, revistas, jornais, dentre outras formas; Interna:
São as informações voltadas mais especificamente ao interesse dos
próprios funcionários da empresa, e que podem ser úteis ao Engenheiro
Social, para se passar por um empregado autorizado, contratado ou por
algum fornecedor, ou saber melhores horários para se infiltrar na empresa;
Particular: É a categoria de informações de âmbito mais pessoal que, se
cair em mãos erradas prejudicará não somente a empresa, como
principalmente o próprio funcionário. Tais itens de dados particulares são
18. 16
caracterizados como informações de contas bancárias, histórico de salário,
histórico médico de empregados, benefícios de saúde, ou qualquer tipo de
informação pessoal que não deve ser pública; Confidencial: Tipo de
Informação mais valorizada da empresa. Disponível a um número limitado
de pessoas, de modo que se não tratada com devida importância,
comprometerá ás vezes de forma irreversível toda a estrutura de gestão
administrativa e, de diversos departamentos. Podem ser informações
operacionais empresa, de estratégias de negócios, informações de
marketing e financeiras, além de informações voltadas aos segredos
comerciais da empresa, como códigos – fonte proprietário, especificações
técnicas ou funcionais (PEIXOTO, 2006).
Figura 3 – Classificação das Informações
Fonte: PEIXOTO 2006.
Ter conhecimento da classificação das informações é importante para a criação
de estratégias da gestão de segurança que visem proteger os ativos da informação
de acordo com o seu grau de importância.
2.5 O CICLO DE VIDA DA INFORMAÇÃO
O ciclo de vida de uma informação corresponde aos processos vivenciados por
ela, a cada etapa que esta passa e consequentemente se expondo a riscos.
“O ciclo de vida é composto e identificado pelos momentos vividos pela
informação que a colocam em risco. Os momentos são vivenciados
justamente quando os ativos físicos, tecnológicos e humanos fazem uso da
informação, sustentando processos que, por sua vez, mantêm a operação
da empresa” (SÊMOLA, 2003)
Campos (2007) afirma que a criação ou momento de aquisição da informação
pode se dar por diversas maneiras, por exemplo, pela compra de informação de
outras organizações ou pode ser resultado do cruzamento de diversos bancos de
dados que geram um resultado de apoio a decisão. A informação pode ser o
resultado de processos eletrônicos ou manuais, como o resultado de
análises
19. 17
visuais ou fiscais de matérias primas durante o processo de recebimento de
materiais na área de estoque de uma organização, por exemplo.
Campos (2007) apresenta o ciclo de vida da informação em cinco fases que
compreendem: a criação, transporte, publicação, armazenagem e descarte como
mostra a figura quatro.
Figura 4 Ciclos de Vida da Informação
Fonte: CAMPOS, 2007.
Segundo Sêmola (2003), os ciclos de vida das informações se dividem em
quatro etapas.
Manuseio: Momento em que a informação é criada e manipulada seja ao
folhear um maço de papéis, ao digitar informações recém geradas em uma
aplicação a internet, ou, ainda, ao utilizar sua senha de acesso para
autenticação. Armazenamento: Momento em que a informação é
armazenada seja em um banco de dados compartilhado, em uma anotação
de papel
posteriormente postada em um arquivo ferro, ou ainda, em
uma mídia de disquete depositada na gaveta da mesa do trabalho.
Transporte: Momento em que a Informação é transportada, seja ao
caminhar informações por correio eletrônico (e-mail), ao postar um
documento via aparelho de fax, ou ainda, a falar ao telefone uma
informação confidencial. Descarte: Momento em que a informação é
descartada, seja ao depositar na lixeira da empresa ou organização um
material impresso, seja ao eliminar um arquivo eletrônico do computador, ou
ainda, ao descartar uma mídia usada (SÊMOLA, 2003).
Uma visão mais detalhada sobre o ciclo da informação permite entender que
esta pode ser em formato de texto, informação digital, mensagem, planilha, som,
20. 18
imagem, entre outras possibilidades; por apresentar essa variedade de formas faz
se necessário o uso de boas práticas de segurança que acompanhem a informação
desde a sua criação até o descarte.
21. 19
3 SEGURANÇA
Este capítulo abordará os conceitos referentes à segurança computacional e
seus princípios, explanando sobre a vulnerabilidade, ameaça, ataque e atacante.
3.1 SEGURANÇA COMPUTACIONAL
A utilização da tecnologia da Informação para a manipulação e armazenamento
de dados nas organizações traz vantagens e preocupações, uma delas está na
proteção dos ativos da informação.
A segurança computacional esta atrelada a proteção existentes aos dados
manipulados pela a organização.
Segurança da Informação esta relacionada com proteção do conjunto de
dados, no sentido de preservar o valor que possuem para um indivíduo ou
organização. (OFICINA DA NET, 2005).
Para Howard (1997) apud Mota (2011) a quebra da segurança pode ser
através do acesso não autorizado: Quando existe uma tentativa de acesso as
informações ou recursos sem autoridade para o mesmo, ou seja, quando o atacante
burla o sistema para obter recursos que não poderia obtê-los de outra forma; e do
uso não autorizado: Quando se há autoridade para o acesso das informações e não
para o uso das mesmas para outras finalidades que não corresponde ao interesse
da organização.
Prevenir que atacantes alcancem seus objetivos através do acesso não
autorizado ou uso não autorizado dos computadores e suas redes. (HOWARD, 1997
apud MOTA, 2011).
Toda a informação tem o seu valor, por isso é necessário que esta deva ser
correta e precisa em estar disponível, a fim de que esta seja manipulada,
processada e mantida de forma segura, e é por esse motivo que a segurança
computacional tem sido tratada como uma questão primordial para o sucesso de
uma organização.
22. 20
3.2 PRINCIPIOS DA SEGURANÇA COMPUTACIONAL
Uma vez entendida a importância da informação, é necessário compreender as
características referentes à sua segurança, que se divide em três princípios básicos:
confidencialidade, integridade e disponibilidade.
Para a não ocorrência de incidentes da informação é necessário que nenhum
dos três princípios sejam violados, a segurança da informação só será de fato
completa com o trabalho em conjunto desses princípios.
“A Segurança em Sistema de Informação (SI) visa protegê-lo contra ameaças a
confidencialidade, á integridade, e a disponibilidade das informações e dos recursos
sob a sua responsabilidade”. (BRINKLEY e SCHELL, 1995 apud MOTA, 2011).
Segundo Campos (2007) a confidencialidade está na garantia do não
conhecimento da existência de determinada informação, no sigilo das informações
ou recursos. Já a integridade diz respeito à violação da informação, na preservação
dos dados no seu estado mais puro. A disponibilidade está na liberdade em acessar
certo dado ou informação a qualquer momento.
Figura 5 – Características de Segurança da Informação
Fonte: CAMPOS, 2007.
23. 21
3.3 VULNERABILIDADES
As vulnerabilidades são como portas abertas esquecidas elas podem ser
entendidas como vias de acesso não protegidas onde os ativos podem ser
alcançados pelos atacantes.
As vulnerabilidades estão presentes nos mais diversos setores de uma
organização e em ambientes computacionais não são diferentes, é preciso se
preocupar com cada brecha na segurança, seja no sentido tecnológico
computacional como nas vulnerabilidades encontradas nas próprias pessoas que
fazem parte do dia-dia de uma empresa.
Quando os ativos da informação possuem vulnerabilidades qualquer um dos
princípios da segurança como confiabilidade, integridade e disponibilidade estão
sobre a linha da ameaça.
Para Campos (2007) os ativos da Informação, que suportam os processos de
negócio,
possuem
vulnerabilidades.
É
importante
destacar
que
essas
vulnerabilidades estão presentes nos próprios ativos, a saber: computadores são
vulneráveis por serem construídos para troca e armazenamento de dados seja por
meio de disquetes, CDs, portas USB, ou outros de dispositivos de armazenamento
como pen drives e etc. A vulnerabilidade é explorada principalmente por ataques de
vírus, worms, cavalos de tróia, negação de serviço, etc. Arquivos de Aço como
cofres, por exemplo, a vulnerabilidade a ser explorada está na sua própria
construção, onde pessoas com conhecimento de arrombamento podem ter acesso
ou até mesmo roubar todo o seu conteúdo.
1.
Aparelhos tais como impressoras e fax, podem disponibilizar
informações para qualquer pessoa que tenha acesso a elas.
2.
Cabos de Rede, fibras ópticas e redes wireless, por sua própria
construção, possibilitam interferência no sinal ou acesso aos dados que nele
trafegam.
3.
Aparelhos celulares podem ser facilmente roubados e dados da
agenda, mensagens e outras informações podem ser facilmente acessadas.
4.
Sistemas de Informação permitem a entrada e consulta de informações
valiosas e podem ser indevidamente acessados.
Sêmola (2003) mostra como as vulnerabilidades estão relacionadas aos
seguintes ativos de informação: Tecnológica - equipamentos de baixa qualidade,
24. 22
criptografia fraca, sistema operacional desatualizado, configuração imprópria de
firewall, links não redundantes, configuração imprópria de roteador, backdoor, bug
nos softwares, autorização de acesso lógico inadequado; Física - ausência de
gerador de energia, ausência de normas para senhas, ausência de fragmentador de
papel, mídia de backup mal acondicionada, aterramento, falta de controles físicos de
acesso, instalação elétrica imprópria, cabeamento desestruturado; Humana - Falta
de treinamento, muitas vezes as organizações não possuem normas ou políticas
que estabeleçam as permissões e negações nos processos de manipulação da
informação.
As vulnerabilidades podem ser reduzidas com contramedidas (são métodos
que podem ser simples ou complexos), técnicas e individuais para que essas sejam
realmente eficazes elas precisam abranger proteção, detecção e reação.
3.4 AMEAÇAS
A ameaça é o ato de tentar explorar as vulnerabilidades dos ativos da
informação. Quando existe uma ameaça já é configurado como uma violação na
segurança; as ações dessas possíveis ameaças são chamadas ataques e os que
executam esses ataques são denominados atacantes.
“A ameaça é um agente externo ao ativo da Informação, que se aproveitando
de suas vulnerabilidades poderá quebrar a confidencialidade, integridade ou
disponibilidade da informação suportada ou utilizada por esse ativo” (CAMPOS,
2005).
Segundo Shirey (1994) apud Mota (2011), as classes das ameaças são:
Disclosure - acesso não autorizado à informação, ou seja, Snooping (bisbilhotar):
ataque passivo – o grampo telefônico é o exemplo clássico; Deception - aceitação
de dados falsos, indução ao erro, modificação (alteração), spoofing1 (masquerading
ou logro), repudiação de origem, repudiação de recebimento; Disruption interrupção ou prevenção da operação correta de um sistema com modificação;
Usurpação - Modificação, spoofing, delay2, recusa de serviço.
1
Spoofing: O procedimento que faz com que uma transmissão pareça ter sido enviada por um usuário
autorizado.
2
Delay: Atraso de Serviço.
25. 23
Para Peixoto (2006) em conformidade com Sêmola (2003), escreve que as
ameaças são muitas vezes conseqüências das vulnerabilidades existentes,
provocando assim perdas de confidencialidade, integridade e disponibilidade, e
estas ameaças podem classificadas nos seguintes grupos.
(...) agentes ou condições que causam incidentes que comprometem as
informações e seus ativos por meio da exploração de vulnerabilidades,
provocando perdas de confidencialidade, integridade e disponibilidade e,
consequentemente, causando impactos aos negócios de uma organização.
(SÊMOLA, 2003).
Ainda segundo Peixoto (2006), as ameaças naturais são fenômenos da
natureza, como incêndios naturais, enchentes, terremotos, tempestades magnéticas,
maremotos, aquecimento, poluição. Já as ameaças involuntárias são inconscientes,
que ocorrem quase sempre devido ao desconhecimento. Podem ser causados por
acidentes, erros, falta de energia etc. E as ameaças voluntárias são ameaças
propositais que mais se relacionam com a Engenharia Social. Causadas por agentes
humanos como hackers, invasores, espiões, ladrões, criadores de disseminadores
de vírus de computador, incendiários.
3.5 ATAQUE
Ataque são todas as ações do atacante que visam comprometer a integridade,
disponibilidade e confiabilidade dos ativos da informação de uma organização, ou
seja, são ameaças colocadas em prática (CARVALHO, 2005).
Segundo Carvalho (2005), esses ataques podem ser classificados em:
Ataque Físico: Roubo de equipamentos, fitas magnéticas,
dispositivos de armazenamento removível etc.. são características desse
tipo de ataque. Os dispositivos são retirados da organização ou roubados
de executivos para posterior análise, onde as informações importantes são
recuperadas dos mesmos e utilizadas ou de forma a prejudicar a empresa
ou para utilizar esses dados de maneira a obter vantagens comerciais;
Packet Snnifing: Esse tipo de ataque consiste na captura de pacotes que
circulam na rede, que podem conter informações importantes e, portanto,
3
4
confidenciais, para a organização. Os serviços FTP e Telnet são
vulneráveis a esse tipo de ataque, pois é possível obter facilmente as
senhas dos usuários que utilizam esse serviço; Port Scanning: Um ataque
3
FTP: Protocolo que permite a transferência de arquivos através da rede.
Telnet: O Telnet é um membro da família TCP/IP de protocolos e permite que um usuário estabeleça uma
sessão remota em um servidor.
4
26. 24
de port scanning consiste na análise de um sistema com intuito de descobrir
os serviços que estão disponíveis no mesmo através de análises das portas
5
6
de serviço TCP e UDP . De posse dessas informações obtidas através
desse tipo de ataque, pode se concentrar esforços para comprometer
7
recursos específicos; Denial of Service: Os ataques de DOS , ou negação
de serviço consistem na obtenção de perda de desempenho proposital de
serviços ou sistemas de forma a impossibilitar o seu uso pelas as pessoas
que tem permissão para acessá-los; Ataques no Nível de Aplicação: Os
ataques no nível de aplicação envolvem basicamente a exploração de
vulnerabilidades em aplicativos e protocolos na camada de aplicação da
pilha dos protocolos TCP/IP, isto é, a camada mais próxima ao usuário;
Ataques de Engenharia Social: É um dos mais perigosos e traiçoeiros
ataques, por que este não limita se apenas a recursos computacionais, mas
caracteriza-se nas vulnerabilidades encontradas nas pessoas que
manuseiam os processos de manipulação de ativos da informação. Esse
ataque será mais explanado nos capítulos seguintes desta pesquisa.
3.6 ATACANTE
Atacante é o termo utilizado em Segurança de Sistemas para denominar uma
pessoa ou um grupo de pessoas que realiza uma invasão a um sistema
computacional alcançando seu objetivo ou não.
Segundo Carvalho (2005) atualmente o termo mais conhecido para denominar
atacantes é o termo Hacker, mas é possível ainda encontrar outros nomes
relacionados como Script Kiddies, Crackers, Cyber punks, Insiders, Coders, White
Hats, Black Hats e Preacker.
A palavra Hacker possuí várias definições, desde um administrador de
sistema corporativo perito o suficiente para descobrir como os
computadores realmente funcionam até um criminoso adolescente com
pouca ética que se diverte enquanto acaba com rede de uma empresa.
(Scheneier, 2001).
No grupo do White-hats, encontram- se os coders, que muitas das vezes são
ex-Black hats que hoje utilizam seus conhecimentos dando palestras ou trabalhando
com consultorias para empresas na área de segurança computacional, além desses
atacantes destaca-se os insiders que se caracterizam pela a ameaça proveniente de
ex-funcionários ou pessoas que possuem acesso ao interior da empresa e se
5
TCP: É um conjunto de protocolos de comunicação entre computadores em rede (também chamado de pilha de
protocolos TCP/IP)
6
UDP: User Data Protocol é um protocolo de transporte de dados, que ao contrário do TCP, na faz nenhum tipo
de conexão.
7
DOS: Denial of Service, negação de serviço.
27. 25
apropriam de informações sigilosas ou comprometem um sistema que deveria ser
seguro, nesse tipo de ataque é
comum a utilização de técnicas de Engenharia
Social para a obter cópias de dados de softwares e documentos sigilosos, outro
grupo destaque desta pesquisa que faz uso apenas de Engenharia Social em seus
ataques são os Engenheiros Sociais que são assunto do capítulo a seguir.
28. 26
4 ENGENHARIA SOCIAL
Esse capítulo apresentará os conceitos referentes ao Engenharia Social, os
tipos, como se dá sua execução dos ataques feitos por engenheiros sociais na
manipulação das pessoas como ativos da informação.
4.1 CONCEITO
O termo Engenharia Social é utilizado para denominar a prática de induzir ou
articular ações que levem o individuo acreditar em uma farsa, proporcionando ao
atacante a vantagem necessária a suas ações fraudulentas.
O termo é utilizado para descrever um método de ataque, onde alguém faz
uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do
usuário, para obter informações que podem ser utilizadas para ter acesso
não autorizado a computadores ou informações. (Cartilha de Segurança na
Internet, 2006).
4.2 TIPOS DE ENGENHARIA SOCIAL
Segundo Assunção (2010) existem três maneiras básicas de ataques de
Engenharia Social: por e-mail ou carta - o engenheiro envia um e-mail ou carta para
seu alvo contendo informações que ele quer. Pode ser pedindo um documento
importante ou fingindo ser do Centro de Processamento de Dados e requerendo
uma mudança de senha. De qualquer maneira, seja correspondência eletrônica ou
real, quase sempre ela fica perfeita. Com o logotipo da organização, marca d’agua e
e-mail de origem parecendo que vem mesmo da empresa. Tudo para gerar
confiança; E-mail Pishing - é mais uma forma de Engenharia Social usada na
internet, o pishing é uma tentativa de obter dados com o uso de e-mails falsos, que
fingem vir de empresas ou bancos, geralmente pedem informações e dão um link de
um programa malicioso.
Ainda segundo Assunção (2010), essa técnica é utilizada por Engenheiros
Sociais, consiste em mandar um arquivo (anexo) compactado zip, com a senha para
ser descompactado no corpo do e-mail, e essa ação barra o antivírus e fornece uma
29. 27
falsa sensação de confiança, pois passa a impressão que o atacante está mandando
um arquivo importante e confiou a senha a vítima que ao digitar a senha encontrará
um arquivo executável malicioso pronto para ser instalado no sistema da vítima, e
muitas vezes esses e-mails estão camuflados de cartões virtuais, convites e até
mesmo instituições financeiras.
Messengers Instantâneos: é necessário ter um cuidado redobrado ao utilizar
os serviços de mensagem instântanea como MSN, ICQ, Skype, Yahoo entre outros;
pois os engenheiros sociais vem nesse tipo de serviço a oportunidade para atacar
na tentativa de fazer a vítima aceitar um determinado arquivo que contendo um
malware8 malicioso, esses engenheiros utilizam da confiança e simpatia para dizer
que o arquivo um jogo interessante ou um projeto inacabado. Apesar das novas
versões do MSN Messenger vir com bloqueio de envio de mensagens executáveis
este pode ser facilmente burlado através de patchs
9
disponíveis na internet
(ASSUNÇÃO, 2010).
Pessoalmente: É o método mais arriscado, mas também o mais eficiente.
Pode se passar por um cliente, por um funcionário ou mesmo um parceiro de
negócios. As possibilidades são infinitas, já que as pessoas tendem a confiar mais
em alguém muito bem vestido. Outra coisa que eles tendem a fazer pessoalmente:
revirar lixo de uma empresa ou organização em busca de informações importantes,
como listas de empregados ou qualquer coisa que beneficie a Engenharia Social
(ASSUNÇÃO, 2010).
Pelo Telefone: O engenheiro se passa por alguém importante, finge precisar
de ajuda ou mesmo se oferece para ajudar. O interesse dele é mexer com o
sentimento das pessoas, fazendo com que elas acabem entregando o que ele
deseja, sem, muitas vezes, nem saberem disso (ASSUNÇÃO, 2010).
4.3 OS ATIVOS PESSOAS E A ENGENHARIA SOCIAL
Ao contrário de que muitos imaginavam o principal risco no controle da
segurança da Informação, não se encontra em ataques elaborados que utilizem
8
Malware: O termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar
em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de
informações (confidenciais ou não).
9
Patch: Pacote de atualizações.
30. 28
tecnologias sofisticadas, na verdade, os ataques podem ser simples, mas com
conseqüências devastadoras, e o principal alvo desses ataques estão no sistema
mais falho conhecido: O ser humano.
O ser humano por si só é uma fonte de complicações, seres humanos são
curiosos, são interativos e extremamente vulneráveis.
Para Campos (2007), as pessoas são o elemento central de um sistema de
segurança da informação e afirma que a organização é, na verdade, o conjunto de
pessoas, que nela trabalham; para ele os incidentes da segurança da informação
sempre envolvem pessoas, seja no lado das vulnerabilidades exploradas, quer no
lado das ameaças que exploram essas vulnerabilidades.
Além de todos os problemas técnicos que podem causar a falta na
segurança, ainda temos, o pior deles, e justamente o não técnico. Através
de técnicas de Engenharia Social, a manipulação do fator humano causa
enormes desastres como: fazer o usuário rodar um cavalo de tróia sem
saber, conseguir informações privilegiadas sobre a empresa, obter
especificações de um novo produto etc (ASSUNÇÃO, 2010).
A falta de segurança é um problema sério e, infelizmente, muitas
universidades, empresas e muitos órgãos do governo não se exercitam, não
se atualizam. Eles deixam seus sistemas vulneráveis a ataques e não têm o
mínimo de perspicácia para perceber falhas humanas, cada vez mais
exploradas por hackers (MITNICK, 2006).
“Geralmente as pessoas são o ponto mais suscetível em um esquema de
segurança. Um trabalhador malicioso, descuidado ou alheio a política de informação
de uma organização pode comprometer até a melhor segurança” (COMMER, 1998).
Mesmo nos incidentes que envolvem acidentes naturais, pessoas precisam
prever acidentes e proteger os ativos, quer criando proteções, quer
elaborando planos de recuperação do desastre. Portanto, o item pessoas de
vê ser de relevância considerada em um sistema de gestão da segurança
da informação (CAMPOS, 2010).
Os engenheiros sociais sabem que as pessoas são uma das partes mais
vulneráveis dos ativos da informação, por isso usam da persuasão para
manipularem seus alvos.
31. 29
4.4 ENGENHARIA SOCIAL: MANIPULANDO SENTIMENTOS
Manipulador é a palavra mais adequada para descrever um Engenheiro Social;
dentre os sentimentos explorados em um ataque de Engenharia Social, destacamse:
Curiosidade: é sem dúvida, um dos sentimentos humanos mais explorados
por um engenheiro social, e é utilizando técnicas que despertem a curiosidade, é
que o atacante consegue ludibriar suas vítimas. Sabendo que a curiosidade é um
dos pontos mais vulneráveis do ser humano, o engenheiro social vai tentar atiçar de
todas as maneiras a curiosidade da empresa-alvo (ASSUNÇÃO, 2010).
Confiança: é um fator muito manipulado pelos os engenheiros sociais. Ela
pode ser gerada de várias maneiras: onde o atacante pode se passar por um
funcionário de outra filial, citar procedimentos técnicos do manual da empresa ou,
simplesmente, oferecer-se para ajudar com algum problema, outra coisa comum é o
recebimento de um e-mail com o endereço de origem de um amigo ou colega de
trabalho e esse e-mail vir com um anexo e esses e-mails podem ser facilmente
forjados, no geral todos esses fatores fazem com que a “resistência” do funcionário a
entregar informações fique mais fraca (ASSUNÇÃO, 2010).
Simpatia: outro modo de manipulação encontra-se na simpatia, onde a
sensualidade é um dos pontos explorados, é muito mais fácil uma mulher se
aproximar dos seguranças de uma empresa e ser bem sucedida ao utilizar as
técnicas Engenharia Social que um homem, o mesmo ocorre em casos de
Engenharia Social ao telefone, se a pessoa do outro lado da linha solicita
informações
de
maneira
simpática,
voz
suave,
inconscientemente
muitos
funcionários tendem a ceder e assim passam informações (ASSUNÇÃO, 2010).
Medo: Outro sentimento explorado pelos os Engenheiros Sociais é o medo,
segundo Assunção (2010) a manipulação do medo é uma das mais poderosas, pois
tende obter resultados muito rápidos. Isso porque ninguém quer agüentar a pressão
o muito tempo e acaba entregando as informações rapidamente. Geralmente, as
ameaças parecem vir de pessoas com uma hierarquia bem maior que do alvo dentro
da organização.
Culpa: Muitas vezes o que faz da Engenharia Social uma técnica bem
sucedida é o poder que esta exerce sobre os sentimentos das pessoas, e um
desses sentimentos é a culpa. Um bom engenheiro social sabe muito bem que
32. 30
dentro de uma organização os funcionários novatos que por quererem mostrar
serviço estão mais vulneráveis a essa abordagem (ASSUNÇÃO, 2010).
4.5 ENGENHEIROS SOCIAS E SUAS ESTRATÉGIAS DE ATAQUE
Mitnick (2003) em seu livro a Arte de Enganar destaca seis tendências usadas
pelos os engenheiros sociais em suas tentativas de manipulação, são elas:
Autoridade: As pessoas têm tendência de atender uma solicitação que é feita
por uma pessoa com autoridade, alguém pode ser convencido a atender uma
solicitação se ela acreditar que o solicitante é uma pessoa com autoridade ou que
está autorizada a fazer tal solicitação. Um engenheiro social tenta impor autoridade
alegando ser do departamento de TI ou dizendo ser um executivo ou uma pessoa
que trabalha para um executivo da empresa.
Afabilidade: As pessoas têm a tendência de atender uma pessoa que faz
solicitação quando esta se passa por alguém agradável ou com interesses, crenças
e atitudes semelhante as da mesma. É comum em ataques de Engenharia Social o
atacante envolver a vítima em uma conversa e descobrir os gostos e interesses do
alvo e usar isto na manipulação.
Reciprocidade: Atender automaticamente a uma solicitação quando há
promessa de receber algo de valor. O presente pode ser um item material, um
conselho ou ajuda. Quando alguém faz algo para a vítima, esta se sente na
inclinação de retribuir. Essa forte tendência de retribuir existe nas situações em que
a pessoa que recebe o presente não pediu por ele sendo esta uma das maneiras
mais eficazes do engenheiro social influenciar sua vítima como no caso a seguir.
Um empregado recebe uma ligação de uma pessoa que se identifica como
sendo do departamento de TI. O interlocutor explica que alguns
computadores da empresa foram infectados por um vírus novo que não é
reconhecido pelo software antivírus e que pode destruir todos os arquivos
de um computador. Ele se oferece para instruir a pessoa a tomar algumas
medidas para evitar problemas. Depois disso, o interlocutor pede que a
pessoa teste um utilitário de software que acabou de ser atualizado
recentemente, o qual permite que os usuários mudem as senhas. O
empregado reluta em recusar, porque o interlocutor acabou de prestar ajuda
que supostamente o protege contra um vírus. Ele retribui, atendendo à
solicitação do interlocutor (MITNICK, 2003).
33. 31
Consistência: As pessoas têm a tendência de atender após fazer um
comprometimento público ou adotar uma causa, isso ocorre porque o ser humano
quer sempre ter a aceitação dos outros e se esforça para parecer mais confiável e
ser coerente com suas promessas, principalmente em ambientes de trabalho,
(Mitnick, 2003) a exemplo disso o caso a seguir):
O atacante entra em contato com uma funcionária relativamente nova e a
aconselha sobre o acordo para seguir determinadas políticas e
procedimentos de segurança como uma condição para usar os sistemas de
informações da empresa. Após discutir algumas práticas de segurança, o
interlocutor pede à usuária para fornecer a sua senha "para verificar se ela
entendeu" a política sobre selecionar uma senha difícil de adivinhar. Depois
que a usuária revela a sua senha, o interlocutor faz uma recomendação
para que ela crie senhas para que o atacante possa adivinhá-las. A vítima
atende por causa do seu acordo anterior de seguir as políticas de
segurança e porque supõe que o interlocutor está apenas verificando o seu
entendimento (MITNICK, 2003).
Validação social: é como o ditado popular bem ilustra: “Maria vai com as
outras”, a vítima sente que deve cooperar com o engenheiro social porque outras
pessoas de outros departamentos fizeram o mesmo.
Quanto a essa ação Mitnick (2003) ilustra com o seguinte exemplo:
O interlocutor diz que está realizando uma pesquisa e dá o nome das outras
pessoas do departamento que diz já terem cooperado com ele. A vítima,
acreditando que a cooperação dos outros valida a autenticidade da
solicitação, concorda em tomar parte. Em seguida, o interlocutor faz uma
série de perguntas, entre as quais estão perguntas que levam a vítima a
revelar o seu nome de usuário e senha.
Escassez: Pessoas têm tendência a cooperar quando sentem que estão em
alguma competição a algum serviço ou produto que não estará disponível por muito
tempo, esse tipo de abordagem é comumente feita na web.
Quanto a esse tipo de abordagem Mitnick (2003) ilustra com o exemplo a
seguir:
O atacante envia e-mails dizendo que as primeiras 500 pessoas que se
registrarem no novo site Web da empresa ganharão ingressos grátis para a
premiere de um filme a que todos querem assistir. Quando um empregado
desavisado se registra no site, ele tem de fornecer o endereço de e-mail da
sua empresa e selecionar uma senha. Muitas pessoas, motivadas pela
conveniência, têm a tendência de usar a mesma senha ou uma senha
semelhante em todo sistema de computador que usam. Aproveitando-se
disso, a atacante tenta comprometer o trabalho do alvo e os sistemas de
34. 32
computadores domésticos com o nome de usuário e a senha que foram
inseridos durante o processo de registro no site Web.
4.5 DISFARCES DE UM ENGENHEIRO SOCIAL
Uma característica dos ataques dos engenheiros sociais em ações de contato
pessoal é a utilização de disfarces.
Durante o processo de persuasão a criatividade do atacante não tem limites,
seja desde um faxineiro que tem acesso ao lixo da organizaçãoo, uma fonte rica de
informações ao presidente de uma multinacional que precisa do telefone do gerente
do setor para tratar de assuntos de negócios.
Mitnick (2003), enumera as abordagens mais comuns dos engenheiros sociais
na criação de seus personagens.
Finge ser um colega de trabalho;
Finge ser um empregado de um fornecedor, empresa parceira ou
autoridade legal;
Finge ser alguém com autoridade;
Finge ser um empregado novo que solicita ajuda;
Finge ser um fornecedor ou fabricante de sistemas que liga para
oferecer um patch ou uma atualização de sistema;
Oferece ajuda quando ocorrer um problema e, em seguida, faz o
problema ocorrer para manipular a vítima e fazer com que ela ligue pedindo
ajuda;
Envia software ou patch grátis para que a vitima o instale;
Envia um vírus ou Cavalo de Tróia como um anexo de correio
eletrônico;
10
Usa uma janela pop-up falsa que pede para o usuário fazer o login
novamente ou digitar uma senha;
Captura as teclas digitadas pela vítima com um sistema ou programa
de computador;
Deixa um disquete ou CD com software malicioso em algum lugar do
local de trabalho;
Usa jargão e terminologia interna para ganhar a confiança;
Oferece um prêmio pelo registro em um site Web com um nome de
usuário e a senha;
Deixa um documento ou arquivo na sala de correspondência para
entrega interna;
Modifica o cabeçalho de uma máquina de fax para que ele venha de
uma localização interna;
Pede que uma recepcionista receba e, em seguida, encaminhe um
fax;
Pede que um arquivo seja transferido para uma localização
aparentemente interna;
Configura uma caixa de correio para que as ligações de retorno
percebam o atacante como alguém de dentro da empresa;
10
Pop-Up: É uma janela extra que abre no navegador ao visitar uma página ou clicar em um link específico.
35. 33
Finge ser do escritório remoto e pede acesso local ao correio
eletrônico;
Os disfarces são levados a sério pelos os engenheiros sociais, a exemplo disso
podemos citar nomes de Engenheiros Sociais famosos como Kevin Mitnick
conhecido hacker dos anos 90 que invadiu sistemas de companhias telefônicas e
corporações do governo se disfarçando desde técnico de TI a Presidente de
Multinacional, manipulando suas vítimas pessoalmente ou por telefone conseguindo
informações para a execução os seus golpes; outro nome famoso, o considerado rei
dos disfarces é Frank William Abagnale, Jr. que na década de 1960, já viajava o
mundo de graça ao se passar por piloto da companhia área americana Pan Am;
usando uniforme e documentos falsos, o golpe durou dois anos, além disso,
trabalhou em um hospital como médico pediatra por onze meses ao fazer amizade
com um médico residente que o indicou para o trabalho, como se não fosse o
suficiente, Abagnale se passou também por advogado e professor tudo para pôr em
prática os seus golpes de fraudes bancárias e criação de documentos falsos.
36. 34
5 GOVERNANÇA DE TI
Este capítulo apresenta as características e os componentes da Governança
de TI e os seus respectivos modelos ITIL e Cobit.
Dentre os vários adjetivos que conceituam a Governança de TI, um deles é
inegavelmente mais conhecido: bom governo, ou seja, a governança caracteriza-se
por boas práticas; criar estruturas de governança significa definir ações estratégicas
na gestão dos serviços da organização de maneira que venha diminuir as
dificuldades encontradas ao gerenciar e criar controles na organização.
5.1 CONCEITO
A Governança de TI é uma ferramenta que especifica os direitos de decisão e
das responsabilidades e é uma estratégia de gestão a serviços, é um conjunto de
práticas e padrões e relacionamentos estruturados que tem como objetivo expandir
o desempenho e otimização dos recursos dando suporte para as melhores decisões,
encoraja o comportamento desejável no uso da TI (FERNANDES, 2005).
A Governança de TI além de buscar o compartilhamento de decisões de TI
com os dirigentes da organização é responsável principalmente por estabelecer
regras que abrangem a organização e os processos do uso da tecnologia da
informação
que
envolve
usuários,
departamentos,
divisões,
negócios
da
organização.
Segundo Fernandes (2005) a Governança de TI é motivada por vários fatores,
como observado na figura seis, dentre os fatores que motivam a Governança da TI,
podemos destacar a Segurança da Informação; é sabido que as organizações
sofrem riscos diários de intrusão visando o roubo, principalmente de dados que
podem afetar sobremaneira a operação da organização.
37. 35
Figura 6-Fatores Motivadores da Governança de TI
Fonte: FAGUNDES, 2005.
De acordo com o nível de acesso dos vários pontos da organização, maior é a
necessidade de envolver todos os níveis a uma política de governança que dite as
permissões e negações na gestão da segurança da informação.
5.2 COMPONENTES DA GOVERNANÇA DE TI
Para Fernandes (2005) a Governança de TI compreende vários mecanismos e
componentes ilustrados na figura sete que logicamente integrados permitem o
desdobramento da estratégia de TI até a operação dos produtos e serviços
correlatos.
Destacando o processo de alinhamento estratégico e copilance da qual a
Segurança da ação esta alocada, este procura determinar qual deve ser o
alinhamento de TI em termos de arquitetura, infra-estrutura, aplicações, processos e
organização com as necessidades presentes e futuras da organização.
Outro componente importante do domínio do alinhamento estratégico que é
importante destacar são princípios da TI, são regras que todos devem seguir, no
âmbito da organização, e que subsidiam tomadas de decisão a cerca da arquitetura
de TI, Infra-estrutura de TI, aquisição e desenvolvimento de aplicações, uso de
padrões, gestão de ativos de TI e assim sucessivamente.
38. 36
Figura 7 – Os domínios e componentes da Governança de TI
Fonte: FAGUNDES, 2005.
5.3 ITIL
É o modelo de referência para gerenciamento de processos TI, ITIL
(Information Tecnology Infrastructure) em português significa “Biblioteca para Infraestrutura de serviços de TI”. Essa metodologia foi criada em 1980 pela CCTA
(Centro Computer and Telecommunications Agency) órgão ligado ao OGC (Office for
Government Commerce) da Inglaterra, e com envolvimento de inúmeras
organizações industriais e governamentais (FAGUNDES, 2005).
A principal característica dessa metodologia é que esta está voltada a
processos que visam atender qualquer tipo de organização na área de gestão de
serviços de TI, pois sua filosofia considera o gerenciamento de serviços como um
conjunto de processos fortemente relacionados e integrados. Mostrando que devem
ser usadas: pessoas, processos e tecnologias para atingir os objetivos chaves do
gerenciamento desses serviços.
A ITIL é reconhecida em muitos países pela a sua metodologia voltada a
operação de negócio e antes o que era apenas um conjunto de 60 livros de conjunto
de melhores práticas se tornou padrão em gerenciamento de serviços.
39. 37
A vantagem desta metodologia está na liberdade que está dá para o uso em
qualquer organização, inclusive em órgãos públicos e privados.
Os documentos ITIL abordam: Gerenciamento da Configuração, Central de
Serviços,
Gerenciamento
de
Incidentes,
Gerenciamento
de
Problemas,
Gerenciamento de Mudanças, Gerenciamento de Liberações, Gerenciamento da
Capacidade, Gerenciamento da Disponibilidade, Gerenciamento da Continuidade
dos Serviços de TI, Gerenciamento Financeiro para Serviços de TI, Gerenciamento
do Nível de Serviço, Gerenciamento da Infra-estrutura e Gerenciamento de
Aplicações (FAGUNDES, 2005).
Figura 8 – O Núcleo da ITIL
Fonte: FAGUNDES, 2005.
5.4 COBIT
O Cobit é um guia para a gestão de TI. COBIT (Control Objectives for
Informationand Related Technology), que pode ser traduzido como “Objetivos de
Controle para a Informação e Tecnologia Relacionada”, é recomendado ISACF
40. 38
(Information Systems Audit and Control Foundation), é orientado a negócio, pois
detalha informações para gerenciar processos baseados em objetivos de negócio,
outra característica é que este é um conjunto de diretrizes para gestão de
processos, orientando o entendimento e o gerenciamento de riscos, a auditoria e as
práticas de controles associadas ao uso do TI (ISACA, 2010).
Ainda segundo ISACA (2010), o Cobit atende as demandas:
Administração e Gerência: buscando o equilíbrio entre os riscos e os
investimentos em controles no ambiente dinâmico da Tecnologia da
Informação.
Usuários: dependem dos serviços de TI e seus respectivos controles e
mecanismos de segurança para executar suas atividades.
Auditores: validam suas opiniões ou recomendam melhorias dos
controles internos à administração
E está dividido em quatro domínios:
1. Planejamento e Organização
2. Aquisição e Implementação
3. Entrega e Suporte
4. Monitoração
Figura 9 – Domínio do Cobit
Fonte: ISACA, 2010
41. 39
6 ESTUDO DE CASO
Esse capítulo apresentará o estudo de caso e a metodologia usada na
aplicação dos questionários da organização pesquisada, apresentando o histórico, a
estrutura organizacional, e por fim o dado percentual da pesquisa.
6.1 HISTÓRICO DA ORGANIZAÇÃO PESQUISADA: CÂMARA MUNICIPAL DE
SANTARÉM.
De acordo com Fonseca (2006) a Vila de Santarém, desde a sua instituição a
14 de Março de 1758, já possuía sua Câmara, composta por dois Juízes ordinários e
três vereadores, denominada de Senado da Câmara, mas foi somente a partir de
1828, através da Lei Imperial, que o Legislativo passou a denominar-se Câmara
Municipal. Em obediência à nova Lei, foram eleitos para o quadriênio de 1829 a
1832, os seguintes membros: Padre Raimundo José Auzier, presidente; João de
Deus Leão, secretário; e mais os seguintes membros: Belchior Rodrigues Melo,
Pedro José Bastos e José de Sousa e Silva Seixas. Essa primeira Câmara Municipal
foi instalada em 1º. De Junho de 1829.
Quando em 1848, Santarém foi elevada à categoria de cidade, era presidente
da Câmara o cidadão Joaquim Rodrigues dos Santos.
Com a Proclamação da República, ocorrida em 1889, a Câmara foi dissolvida
pelo Decreto Nº. 81, de 06 de Março de 1890. Estava assim constituída: Francisco
Caetano Correa, presidente, e mais os seguintes membros: José Leopoldo Pereira
Macambira, Miguel Batista Belo de Carvalho, José Cláudio da Silva Rabelo, José
Veloso Pereira, José Joaquim da Silva, Matias Afonso da Silva e Fausto Pinto
Guimarães.
Ainda no mesmo dia 06 de Março de 1890, o Decreto de Nº. 82 transformava a
antiga Câmara Municipal em Conselho Municipal de Intendência, e nomeava os
seguintes membros: Barão de Tapajós (Intendente), e os vereadores José Leopoldo
Pereira
Macambira,
Ascendino
Gonçalves
Gentil,
Turiano
Lins
Meira
de
Vasconcelos, Joaquim Lopes Bastos e Francisco Caetano Rodrigues dos Santos. À
42. 40
exceção do último membro, que não aceitou a nomeação, este Conselho Municipal
de Intendência tomou posse em 21 de Março de 1890.
Vitoriosa a Revolução de 1930, a Câmara Municipal foi mais uma vez extinta.
Voltou a funcionar de 1935 a 1937, quando houve um golpe de Estado, o chamado
Estado Novo, que dissolveu novamente. Com a volta ao regime Constitucional, a
Câmara foi restabelecida em 1948, com a seguinte composição: Pedro Gonçalves
Gentil, Braz de Alcântara Rebelo, Osman Bentes de Sousa, João Otaviano de
Matos, Benedito de Oliveira Magalhães, Humberto de Abreu Frazão, Jonathas de
Almeida e Silva, Flávio Flamarion Serique e Antonieta Dolores Texeira (suplente de
Antônio Veloso Salgado, que renunciou).
Do ano de 1955 a 1959, a Câmara passa a ter 11 Vereadores. Em 1967 passa
a funcionar com 13 Parlamentares. No ano de 1969 a 1970, por ato da Presidência
da República, a Câmara passa por um recesso. No ano de 1971, passou a funcionar
rogando a proteção Divina. A partir de 1974, os Vereadores passam a ser
remunerados pelo exercício do cargo. De 1983 a 1988, essa Legislatura teve a
duração de 6 anos. De 01 de Janeiro de 1993, a Câmara passa a funcionar com 17
Vereadores; Em 01 de Junho de 2003, a Câmara comemora os seus 174 anos de
cidadania, composta por 17 Vereadores. Em 01 de Janeiro de 2005, a Câmara
passa a funcionar composta por 14 Vereadores, por força da Resolução do TSE de
Nº. 21.702.
6.2 ESTRUTURA ORGANIZACIONAL
A Organização Câmara Municipal de Santarém, é uma entidade governamental
que possuí seis departamentos e quatorze gabinetes destinados a vereadores, a
saber:
1. Departamento de Recursos Humanos
2. Departamento Legislativo
3. Departamento de Finanças
4. Departamento de Recursos Humanos
5. Setor de Informática
6. Central Telefônica
43. 41
6.3 FOCO DA PESQUISA: GABINETE DOS VEREADORES
Os gabinetes destinados aos vereadores funcionam de maneira independente
dos outros setores da câmara, ou seja, a responsabilidade organizacional é
centralizada nos assessores e secretários delegados pelo o parlamentar.
Cada gabinete é responsável pelas as medidas de segurança quanto à gestão
de ativos, manutenção, controle e descarte das informações que entram e saem
diariamente.
6.4 ANÁLISE DO PROBLEMA
Muitas são as vulnerabilidades encontradas em ambientes governamentais
como em gabinetes de uma câmara municipal, dentre essas vulnerabilidades
destacam-se aquelas encontradas na gestão dos ativos, na manutenção e descarte
da informação que são os pontos mais explorados em ataques de engenharia social
que é o foco dessa pesquisa.
6.5 APLICAÇÃO DE QUESTIONÁRIOS
Os questionários foram aplicados em forma de entrevista nos quatorze
gabinetes destinados aos vereadores, foram entrevistados assessores e secretárias
que convivem diariamente com as pessoas e informações que entram e saem.
O objetivo da aplicação desse questionário é ter uma pesquisa de caráter
qualitativo e quantitativo que apresentem as reais necessidades dos gabinetes em
adotar as boas práticas encontradas na norma NBR ISO 27.002 na gestão de ativos
e manutenção e descarte da informação que tão explorada em ataques,
principalmente de engenharia social.
44. 42
6.6 QUESTONÁRIO
A fim de se ter uma pesquisa mais fundada os dados pesquisados foram
transformados em gráficos para a melhor visualização, o objetivo é mostrar de
maneira quantitativa e qualitativa as vulnerabilidades e a necessidade da
organização pesquisada em adotar boas práticas na gestão da segurança da
informação.
As vinte e três perguntas do questionário estão centradas apenas na
manutenção e descarte da informação, na gestão dos ativos da informação com foco
no ativo humano explorado em ataques de engenharia social. Os gráficos
apresentados a seguir são baseados nas informações obtidas na pesquisa.
Na sua função você utiliza computador?
Gráfico 1
Cem por cento dos funcionários entrevistados responderam que utilizam o
computador em suas atividades diárias.
Utiliza outro software além do pacote do Office?
45. 43
Gráfico 2
Apenas sete por cento dos funcionários entrevistados responderam que
utilizam outro software que auxilia na organização da informação em suas atividades
diárias enquanto a maioria noventa e três por cento não fazem uso.
Se utiliza outro software, este contém senha?
Gráfico 3
Cem por cento dos entrevistados que responderam que faziam uso de outro
software específico responderam também que fazem uso de senha para acessar o
software.
Todos fazem uso da mesma senha?
46. 44
Gráfico 4
Sete por cento dos entrevistados que utilizam outro software responderam que
todos os funcionários que manipulam o software têm conhecimento e acesso a
mesma senha enquanto noventa e três possuem senha individual.
Quanto à utilização de senha para acesso ao computador do
trabalho?
Gráfico 5
A maior parte setenta e dois por cento dos entrevistados responderam que não
fazem uso de senha para acessar os computadores do ambiente de trabalho,
apenas vinte e três por cento responderam que fazem uso de senha.
47. 45
Quanto à utilização da internet para uso pessoal no ambiente de
trabalho.
Gráfico 6
Noventa e três por cento dos funcionários entrevistados revelaram que
acessam a internet do trabalho para uso pessoal, apenas sete por cento
responderam não.
Possuí conta em Rede Sociais?
Gráfico 7
Cem por cento dos entrevistados responderam que possuem conta em alguma
rede social.
48. 46
Informações fornecidas em Redes Sociais (Internet). Sobre
situações cotidianas corriqueiras da organização. Comenta com amigos
nas redes sociais?
Gráfico 8
Cinquenta por cento dos entrevistados responderam que comentam com seus
contatos situações ocorridas nas organizações em uma conversa informal ou
divulgado os trabalhos do parlamentar, outro cinqüenta por cento responderam que
não comentam ou divulgam nada da organização em suas redes sociais.
Manutenção da Informação Digital. Os arquivos de computador
são armazenados como? Em pastas criadas no próprio sistema
operacional ou gravadas em mídias removíveis.
Gráfico 9
49. 47
Cinquenta e quatro por cento dos entrevistados responderam que os arquivos
digitais são armazenados em pastas do sistema operacional e quarenta e seis por
cento em mídias removíveis.
Quanto ao descarte de mídias usadas.
Gráfico 10
Cem por cento dos entrevistados descartam mídias usadas nos depósitos de
lixo da própria organização.
Manutenção da Informação em Papel (documentos)
Gráfico 11
50. 48
Cem por cento dos entrevistados mantêm as informações de papel em pastas
arquivos que ficam nas dependências do gabinete e zero por cento faz uso de outra
meio de manutenção dos documentos em papel.
Quanto ao descarte das informações em papel.
Gráfico 12
Cem por cento dos entrevistados responderam que descartam as informações
de papel nos depósitos de lixo da organização.
Existe controle do fluxo das pessoas que entram e saem do gabinete?
Gráfico 13
Cem por cento dos entrevistados responderam que não existe nenhum tipo de
controle das pessoas que entram e saem do gabinete.
51. 49
Quanto ao tratamento das Informações. A organização possuí
alguma política de segurança?
Gráfico 14
Cem por cento dos entrevistados responderam que não existe política de
segurança na organização, apenas a confiança depositada no funcionário de que
este fará o possível para manter as informações “protegidas”.
A organização orienta os funcionários na divulgação de informações
sigilosas?
Gráfico 15
Cem por cento dos entrevistados responderam que não existe orientação da
direção no sentido da divulgação das informações sigilosas, nem treinamento,
52. 50
apenas o bom senso e comum acordo do grupo de funcionários em tomar as
precauções necessárias na divulgação de informações que sejam de caráter
confidencial.
E-mail: Ao receber um e-mail que solicita informações a respeito de sua
conta bancária. Você abre o e-mail e checa para ver se é verdadeiro.
Nem abre o e-mail apenas deleta ou sinaliza como spam?
Gráfico 16
A maioria dos entrevistados, ou seja, setenta e nove por cento responderam
que abrem o e-mail e checam se a procedência é de fato de uma instituição
verdadeira, enquanto vinte um por cento responderam que não se dão ao trabalho
de abrir e deletam imediatamente pois desconhecem ou desconfiam da procedência
do mesmo.
Quanto ao download de anexos. Se o e-mail da pergunta anterior vier
com um anexo: Você faz o download porque confia que o antivírus
detectará se o arquivo for malicioso. Você nunca faz download de
anexo?
53. 51
Fonte: Dados da Pesquisa
Gráfico 17
Setenta e um por cento dos entrevistados responderam que fazem o download
do anexo enquanto vinte e nove por cento nunca fazem download de anexos em
caso parecidos com o exemplo dado na questão anterior.
Mensagens Instantâneas. Ao ser solicitado sobre alguma
informação referente ao trabalho na organização em serviços de
mensagem instantânea.
Gráfico 18
A maioria dos entrevistados, ou seja, sessenta e quatro por cento marcaram
que responderiam sem problemas desde que não fosse nenhuma informação
sigilosa, enquanto trinta e seis por cento marcaram que não responderiam de forma
alguma nenhuma informação solicitada mesmo que essa fosse de caráter público.
54. 52
Solicitação de Informações em relação ao trabalho em
abordagens Pessoais. Se alguém pessoalmente aborda e solicita
informações em relação à organização: Forneceria informações inclusive
sigilosas se quem solicita tem alguma autoridade na organização.
Forneceria qualquer informação a qualquer solicitante desde que não
fosse de caráter sigiloso. Não forneceria nenhum tipo de informação?
Gráfico 19
Sessenta e quatro por cento dos entrevistados responderam que só
forneceriam informações apenas se a pessoa que a solicita exercesse função de
autoridade na organização, trinta e seis por cento responderam que só
responderiam se fossem informações não sigilosas e zero por cento não forneceriam
nenhum tipo de informação.
Solicitação de Informações em relação ao trabalho em
abordagens ao telefone. Ao atender um telefonema onde alguém solicita
uma informação que pode ser de caráter sigiloso ou não. Você fornece a
informação por telefone?
55. 53
Gráfico 20
Noventa e três por cento responderam que forneceriam informações
dependendo da pessoa que se identificasse por telefone.
E sete por cento responderam que não fornecem informações relativas a
organização por telefone.
56. 54
7 NORMAS E PADRÕES DE SEGURANÇA
Esse capítulo abordará a importância e as características das normas e
padrões de segurança, além de apresentar o histórico da Norma NBR/ISO/IEC
27.002.
7.1 CONCEITO DE NORMAS E PADRÕES
Normas e padrões são as bases fundamentais para assegurar a qualidade de
processos, estas normas definem as melhores práticas e ações que as organizações
podem adotar na gestão da segurança da Informação.
7.2 A ORGANIZAÇÃO ISO
A Organização Internacional de Padronização, fundada em vinte e três de
janeiro de 1947, é uma entidade não governamental que possuí cento e sessenta e
dois países membros, com sede em Genebra na Suíça, atribuí-se a esta a
competência da normalização e padronização dos países associados.
A ISO caracteriza-se por intermediar os interesses das organizações privadas
junto ao governo, em alguns casos, as associações dos países membros já fazem
parte da estrutura governamental local, o objetivo primordial da ISO é alcançar um
consenso em relação às soluções referentes às necessidades do negócio e as
necessidades da sociedade.
Por haver vários acrônimos com relação ao nome ISO em vários países, como
em inglês IOS, os fundadores decidiram uniformizar nome da organização, e
optaram por ISO que em grego que dizer igualdade, então independentemente do
país o nome é ISO.
Dentre os tipos de classificações da ISO, estão às normas técnicas,
classificações que abrangem os códigos dos países e normas de procedimento.
57. 55
7.3 A ASSOCIAÇÃO ABNT
A Associação Brasileira de Normas Técnicas, fundada em 1940 é a
organização responsável pela a normalização técnica no Brasil, é uma entidade
privada que além de ser membro fundador da ISO, é representante também de
outras organizações como a IEC (International Eletrotechnical Comission); e das
entidades de normalização regional COPANT (Comissão Panamericana de Normas
Técnicas) e a AMN (Associação Mercosul de Normalização), além disso é
reconhecida como único Foro Nacional de Normalização.
7.4 NORMA NBR ISO 17.799 (27.002) – UMA BREVE HISTÓRIA
A preocupação em gerar uma norma sobre a Segurança da Informação surgiu
na Inglaterra, no Departamento de Indústria e Comércio (DTI – Department of Trade
and Industrys). O objetivo era criar um conjunto de normas, ou seja, critérios que
pudessem proporcionar as organizações uma certificação valida da Segurança da
Informação, além disso, era necessário elaborar um código de boas práticas, que
orientasse a implantação desses critérios nas organizações, e então em 1989 o
projeto gerou a publicação da primeira norma. (CAMPOS, 2007).
Os trabalhos continuaram e com as revisões necessárias e sugestões dadas
pela a área industrial inglesa, o código de práticas foi publicado como padrão
Britânico para a Gestão de Segurança da Informação sob o título de PD 0003 e,
finalmente em 1995, a norma foi publicada pela Britsh Standard, sob o código de
BS-7799.
Apesar do código de boas práticas ser bastante específico na orientação das
aplicações de ações da segurança da Informação, ainda era difícil validar essas
ações e assegurar que elas estavam mesmo sendo realizadas de forma correta. Por
isso, foi construída uma espécie de checklist para verificar se as ações propostas
haviam sido realmente implementadas de acordo com o código de boas práticas.
Assim, o código passou a ser chamado de BS 7799-1 e o checklist para verificar, de
BS 7799-2. Com a segunda parte da norma BS 7799 seria possível inclusive
certificar organizações quando da implementação da Segurança da Informação.
(CAMPOS, 2007).
58. 56
Ainda de acordo com Campos (2007) muitas melhorias foram sendo feitas ao
longo dos anos e a BS 7799 passou a ser adotada por muitas organizações mesmo
fora da Inglaterra, e isso contribui para que a ISO (International Organization for
Standardization) homologasse a BS 7799 e a transformasse em uma norma de
aplicação Internacional ampla e restrita.
No ano 2000, a ISO lançou então a ISO 17.799 que é a versão internacional
da BS 7799-1.
Contudo, a segunda parte da norma BS 7799 não foi transformada em ISO, o
que gerou uma demanda por uma norma internacional que permitisse a certificação
das empresas. Não havendo um consenso para o lançamento através da ISO a
própria Britsh Standard adequou a BS 7799-2 aos padrões já internacionalmente
aceitos, tais como as famílias 9.000 e 14.000 da ISO, adotando também o conceito
de melhoria continua pela a utilização do ciclo PDCA (Plan, Do, check, Act). Essa
norma BS totalmente adequada aos padrões internacionais foi lançada em 2002 e
passou a ser utilizada como norma para a certificação de segurança da informação
em todo mundo. Mais do que uma simples checklist, a BS 7799-2 tornou-se um
verdadeiro instrumento de orientação para a implantação de um sistema de gestão
de segurança da informação.
O Código de práticas homologado e publicado pela a ISO continuou
evoluindo e foi republicada em 2005 com muitas melhorias, tendo os controles de
segurança da informação mais claramente identificados, com os requisitos, forma de
implantação e informações adicionais. Nesse mesmo ano, finalmente, a ISO
homologou a parte 2 da BS 7799, que possibilita a certificação. No entanto, essa
nova norma passou a se chamar ISO 27.001, sendo o objetivo criar uma nova
família de normas de segurança da Informação, tal como acontece com as famílias
9.000 e 14.000.
Segundo Campos (2007) em abril de 2007 a ISO 17.799 foi então renomeada
para ISO 27.002. Ainda existe a possibilidade do lançamento de novas normas da
família, formando a seguinte estrutura:
ISO 27.001: Especificação do sistema de gestão de segurança da
informação.
ISO 27.002: Código de prática para gestão de segurança da
informação (antiga ISSO 17.799)
ISO 27.003: Guia de implementação dos Sistemas de gestão de
segurança da informação
59. 57
ISO 27.004: Medidas e métricas utilizadas em segurança da
Informação
ISO 27.005: Gestão de riscos em sistemas de gestão de segurança
da informação.
ISO 27.006: Requisitos para auditoria e certificação de um sistema de
gestão da segurança da Informação. (CAMPOS,
2007).
Segundo Ferreira e Araújo (2006) apud Matos (2010) em dezembro de 2000 a
ABNT (Associação Brasileira de Normas Técnicas) também resolveu acatar a norma
ISO como padrão brasileiro sendo publicada em 2001 como: ABNT NBR 17799 –
Código de Prática para a Gestão da Segurança da Informação. O importante é que a
partir dessa publicação passamos a ter um referencial de aceitação internacional.
No segundo semestre de 2005 foi lançada a nova versão da norma, a norma
ISO / IEC 17799:2005, que cancela e substitui a edição anterior.
A partir de 2007, a nova edição da NBR/ ISO/IEC 17799 foi incorporada ao
novo esquema de numeração como ISO/IEC 27002.
Segundo a ABNT esta edição da ABNT NBR ISO/IEC 27002 tem seu conteúdo
técnico idêntico ao da versão corrigida de 02.07.2007 da ABNT NBR ISO/IEC
17799:2005.
7.5 A NORMA NBR/ISO/17.799:2005
Dentre as normas existentes destaca se a NBR/ISO/17799, que é a versão
brasileira da BS7799 desenvolvida na Inglaterra pelo CCSC (Commercial Computer
Security Centre) e que ao longo dos anos foi sofrendo alterações até o ano 2000
quando ganhou notoriedade internacional, sendo assim homologada em 2001 pela a
ABNT, e se tornou a NBR/ISOIEC 17799.
A ISO (International Organization for Stardarditation) e a IEC (Internacional
Electritecchnical commission) formam o sistema especializado para a padronização
mundial, assim as entidades nacionais que são membros da ISO ou IEC participam
do desenvolvimento de padrões internacionais através de comitês específicos.
As normas dentro das organizações representam uma base para a afirmação
da qualidade, sendo assim organizações devidamente certificadas por estas normas,
tendem a oferecer serviços e produtos de excelência.
60. 58
As normas caracterizam se pelo o detalhamento específico de cada aspecto
abordado.
O objetivo da NBR/ISO/IEC 17799 é fornecer recomendações para a gestão
de segurança da Informação para o uso dos envolvidos responsáveis pela a
introdução, implementação ou manutenção da segurança nas suas respectivas
organizações.
As informações e os processos, sistemas e redes que lhes dão suporte são
ativos importantes para os negócios. “A confidencialidade, a integridade e a
disponibilidade das informações podem ser essenciais para manter a
competitividade, o fluxo de caixa, a rentabilidade, o atendimento à
legislação e a imagem comercial.” (NBR/ISO/ IEC- 27002)
A NBR ISO/IEC 27002 é um conjunto de práticas para a Gestão da
Segurança de Informações está dividida em seções, a saber:
1. Política de Segurança da Informação
2. Organizando a Segurança da Informação
3. Gestão de Ativos
4. Segurança em Recursos humanos
5. Segurança Física e do Ambiente
6. Gestão das Operações e Comunicações
7. Segurança Física e Ambiental
8. Gerenciamento de Comunicação Operações
9. Controle de Acesso
10. Aquisição e Desenvolvimento e Manutenção de Sistemas de Informação
11. Gestão da Continuidade do negócio
12. Conformidade
7.6 A IMPORTÂNCIA DA NBR/ISO 27002 (17.799:2005)
As normas publicadas pela Organização Internacional de Normalização, a ISO,
tem respaldo internacional.
Apesar da NBR ISO 27.002 não ser voltada para fins de certificação é um
código de boas práticas para a segurança da informação que possuí um vasto
62. 60
8 POLÍTICA E ORGANIZAÇÃO DE SEGURANÇA
Esse capítulo abordará os pontos de Política e organização de Segurança,
gestão de ativos e manutenção e descarte da informação de acordo com a
NBR/ISO/IEC 27.002, como proposta de boas práticas para a organização
pesquisada.
8.1 POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
A política de segurança da informação desempenha um papel importante na
organização, pois esta estabelece de forma documentada as permissões e
negações na gestão da informação.
Para Campos (2007), a Política de Segurança da Informação é um conjunto
de regras, normas e procedimentos que determina qual deve ser o comportamento
das pessoas que se relacionam com a organização no que se refere ao tratamento
da informação.
A Norma NBR ISO IEC 27.002 especifica que a Política de Segurança da
Informação deve prover uma orientação e apoio da direção para a segurança da
Informação de acordo com os requisitos do negócio e com as leis e
regulamentações relevantes.
Segundo Campos (2007) a política de segurança da informação proporciona
coerência nas decisões e menos complexidade para se chegar a conclusões sobre
assuntos diversos relacionados com a segurança da Informação. As decisões
passam a ser mais justas e mais facilmente aceitas, já que se baseiam em uma
política sólida e conhecida, e não apenas no critério pessoal daquele que decide.
A Importância de uma Política de Segurança da Informação é que esta
estabelece um padrão de comportamento que deve ser do conhecimento geral de
todos e é base para decisões da alta direção em assuntos relacionados à segurança
da Informação.
63. 61
8.1.1 Documento da Política de Segurança da Informação.
A Norma NBR ISO IEC 27002 define que um documento da política de
segurança da informação seja aprovado pela a direção, publicado e comunicado
para todos os funcionários e parte extremas relevantes.
Para Norma NBR ISO IEC 27.002 é necessário que o documento da política
de segurança da informação declare o comprometimento da direção e estabeleça o
enfoque da Organização para gerenciar a Segurança da Informação.
Convêm que o documento da política contenha declarações relativas
a:
a)
Uma definição de segurança da informação, suas metas
globais, escopo e importância da segurança da informação como um
mecanismo que habilita o compartilhamento da Informação.
b)
Uma declaração do comprometimento da direção, apoiando
as metas e princípios da segurança da informação, alinhada com os
objetivos e estratégias de negócio;
c)
Uma estrutura para estabelecer os objetivos de controle e os
controles, incluindo a estrutura de análise/avaliação e gerenciamento de
risco
d)
Breve explanação das políticas, princípios e normas
e)
Definição das responsabilidades gerais e específicas na
gestão da segurança da informação, incluindo o registro dos incidentes de
segurança da informação;
f)
Referências à documentação que possam apoiar a política,
por exemplo, políticas e procedimentos de segurança mais detalhados de
sistemas de informação específicos ou regras de segurança que os
usuários devem seguir.
Convém que esta política de segurança da informação seja
comunicada através de toda a organização para os usuários de forma que
seja relevante acessível e compreensível para o leitor em foco .
(NBR ISO IEC 27.002:2005)
64. 62
8.1.2 Análise Crítica da Política de Segurança da Informação
A norma NBR ISO IEC 27.002:2005, estabelece que convém que política de
Segurança da Informação seja analisada criticamente a intervalos planejados ou
quando mudanças significativas ocorrerem, para assegurar a sua contínua
persistência, adequação e eficácia.
Que a política de segurança da informação tenha um gestor que tenha
aprovado a responsabilidade pelo desenvolvimento, análise crítica e avaliação da
política de segurança da informação.
Convém que a análise crítica da política de segurança da informação leve em
consideração os resultados da análise crítica pela direção.
definidos
procedimentos
para
análise
crítica
pela
Convém que sejam
direção,
incluindo
uma
programação ou um período para a análise crítica.
Que as entradas para a análise crítica pela direção incluam informações
sobre:
a) realimentação das partes interessadas;
b) resultados de análises críticas independentes.
c) situação de ações preventivas e corretivas.
d) resultados de análises críticas anteriores feitas pela direção;
e) desempenho do processo e conformidade com a política de segurança
da informação;
f) mudanças que possam afetar o enfoque da organização para gerenciar a
segurança da informação, incluindo mudanças no ambiente organizacional,
nas circunstâncias do negócio, na disponibilidade dos recursos, nas
questões contratuais, regulamentares e de aspectos legais ou no ambiente
técnico;
g) tendências relacionadas com as ameaças e vulnerabilidades;
h) relato sobre incidentes de segurança da informação
i) recomendações fornecidas por autoridades relevantes
Convém que as saídas da análise crítica pela direção incluam quaisquer
decisões e ações relacionadas a:
a) melhoria do enfoque da organização para gerenciar a segurança da
informação e seus processos;
b) melhoria dos controles e dos objetivos de controles;
c) melhoria na alocação de recursos e/ou de responsabilidades.
(NBR ISO IEC 27.002:2005)
Convém que um registro da análise crítica pela direção seja mantido e que a
aprovação pela direção da política de segurança da informação revisada seja obtida.
65. 63
8.1.3 Organizando a Segurança Da Informação
Segundo a Norma NBR ISO 27. 002 é necessário organizar a Infra-estrutura da
Informação,
ou
seja,
consiste
no
estabelecimento
de
uma
estrutura
de
gerenciamento que tem como função controlar a implementação da segurança da
Informação dentro da organização onde a direção da organização aprove a política
de segurança, atribuindo funções da segurança e coordene e analise criticamente a
implementação
da
mesma,
se
necessário
convém
que
uma
consultoria
especializada em segurança da Informação seja estabelecida e organizada.
8.1.4 Comprometimento da direção com a Segurança da Informação
Para a norma ISO NBR 27.002 é necessário que a direção apóie ativamente o
segurança da Informação dentro da organização, por meio de um claro
direcionamento, demonstrando o seu comprometimento, definindo atribuições de
forma explicita e conhecendo as responsabilidades pela a segurança da informação.
Convém que a direção:
a) assegure que as metas de segurança da informação estão identificadas,
atendem aos requisitos da organização e estão integradas nos processos
relevantes;
b) formule, analise criticamente e aprove a política de segurança da
informação;
c) analise criticamente a eficácia da implementação da política de
segurança da informação;
d) forneça um claro direcionamento e apoio para as iniciativas de segurança
da informação;
e) forneça os recursos necessários para a segurança da informação;
f) aprove as atribuições de tarefas e responsabilidades específicas para a
segurança da informação por toda a organização;
g) inicie planos e programas para manter a conscientização da segurança
da informação;
h) assegure que a implementação dos controles de segurança da
informação tem uma coordenação e permeia a organização.
(NBR ISO IEC 27.002:2005)
Convém que a direção identifique as necessidades para a consultoria de um
especialista interno ou externo em segurança da informação, analise criticamente e
coordene os resultados desta consultoria por toda a organização.
66. 64
Dependendo do tamanho da organização, tais responsabilidades podem ser
conduzidas por um fórum de gestão exclusivo ou por um fórum de gestão existente,
a exemplo do conselho de diretores.
8.1.5 Atribuição de responsabilidades para a segurança da informação
A norma NBR ISO 27.002 estabelece que todas as responsabilidades pela
segurança da informação, estejam claramente definidas.
Convém que a atribuição das responsabilidades pela segurança da informação
seja feita em conformidade com a política de segurança da informação. Convém que
as responsabilidades pela proteção de cada ativo e pelo cumprimento de processos
de segurança da informação específicos sejam claramente definidas. Convém que
esta responsabilidade seja complementada, onde for necessário, com orientações
mais detalhadas para locais específicos e recursos de processamento de
informações. Convém que sejam claramente definidas as responsabilidades em
cada local para a proteção dos ativos e para realizar processos de segurança da
informação específicos, como, por exemplo, o plano de continuidade de negócios.
Pessoas com responsabilidades definidas pela segurança da informação
podem delegar as tarefas de segurança da informação para outros usuários.
Todavia eles continuam responsáveis e convém que verifiquem se as tarefas
delegadas estão sendo executadas corretamente.
Convém que as áreas pelas quais as pessoas sejam responsáveis, estejam
claramente definidas; em particular convém que os seguintes itens sejam cumpridos:
a) os ativos e os processos de segurança da informação associados com
cada sistema sejam identificados e claramente definidos;
b) gestor responsável por cada ativo ou processo de segurança da
informação tenha atribuições definidas e os detalhes dessa
responsabilidade sejam documentados.
c) os níveis de autorização sejam claramente definidos e documentados.
Em muitas organizações um gestor de segurança da informação pode ser
indicado para assumir a responsabilidade global pelo desenvolvimento e
implementação da segurança da informação e para apoiar a identificação de
controles. (NBR ISO IEC 27.002:2005)
Entretanto, a responsabilidade pela obtenção dos recursos e implementação
dos controles permanece sempre com os gestores. Uma prática comum é indicar um