Política de Segurança da Informação nas Corporações Policy ...revistapensar.com.br/tecnologia/pasta_upload/artigos/a87.pdf · ao controle de acesso em uma loja real o qual é

Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014

Política de Segurança da Informação nas CorporaçõesPolicy of Information Security in Corporations

Información Política de Seguridad en las empresas

Agenor Nogueira de Souza1

Prof. Ricardo Augusto Coelho Leite2

Resumo: O objetivo deste artigo é descrever as estratégias da política de segurança da informaçãoque visam minimizar os incidentes em segurança da informação nas corporações. Realizou-se umapesquisa do tipo exploratória, teve-se como base a pesquisa bibliográfica e a pesquisa documental.Utilizou-se de dados quantitativos do Centro de Estudos, Resposta e Tratamento de Incidentes deSegurança no Brasil (CERT.br).Palavras chaves: Segurança da Informação. Política de segurança da informação. Ameaças.Fraudes.

Abstract: The objective of this article is to describe the strategies of Policy of information security forto minimize the incidents in information security in the corporations. A research was conducted of typeexploratory, based on the Bibliographic and documentary research. We used quantitative data fromthe Center of Studies, Response and Treatment of Security Incidents in Brazil (CERT.br).Keywords: Information Security. Policy of information security. Threats. Fraud.

Resumen: El propósito de este artículo es describir las estrategias de la política de seguridad de lainformación dirigida a minimizar los incidentes de seguridad de la información en la empresa. Serealizó una encuesta de la cuenta de exploración se basó en la literatura y la investigacióndocumental. Hemos utilizado los datos cuantitativos del Centro de Estudios, Respuesta y Tratamientode Incidentes de Seguridad en Brasil (CERT.br).Palavras clave: Seguridad de la Información. Información de la política de seguridad. Amenazas.Fraude.

1 - INTRODUÇÃO

Constitui-se objeto deste artigo uma descrição das políticas de segurança da

informação utilizadas nas corporações.

A política de segurança de uma corporação deve ser baseada em normas,

incluindo ainda as suas práticas e conhecimento da cultura e valores da empresa. O

apoio da direção das corporações é fundamental na defesa dos recursos a serem

investidos. Para ser possível fazer uma política mais abrangente, a representatividade

deste apoio na divulgação de campanhas internas torna-se necessária a

participação de todos.

1 Graduando em Sistemas de Informação pela Faculdade Infórium de Tecnologia. E-mail: [email protected] Especialista; professor dos cursos de graduação em CST Redes de Computadores, Sistemas de Internet eBacharel em Sistemas de Informação na Faculdade Infórium de Tecnologia. E-mail: [email protected]


Delimitou-se o tema em estudo a uma análise dos incidentes do tipo fraude

e a relação deste incidente com a política de segurança da informação utilizada nas

corporações para inibir este e outros incidentes mais comuns.

O objetivo geral é descrever as estratégias da política de segurança que

visam minimizar os incidentes em segurança da informação no uso de computadores

nas corporações. São objetivos específicos: conceituar incidentes em segurança da

informação; reunir informações sobre os principais incidentes em segurança da

informação no uso de computadores nas corporações; conceituar política de

segurança da informação.

A pergunta que norteia o estudo é no sentido de investigar se os incidentes

em segurança da informação estariam relacionados a uma política de segurança da

informação ineficiente.

A hipótese básica orientadora do estudo propõe fazer uma relação entre os

incidentes em segurança da informação e a falta de uma política de segurança da

informação, que abranja todos os usuários de uma corporação.

Justifica-se a relevância deste tema tendo-se em vista a difusão da tecnologia

da informação em todos os meios da comunidade, nas micros, pequenas, médias e

grandes corporações, onde os incidentes são muitos frequentes, principalmente

quando não são geridos por pessoas capacitadas e com metas e estratégias bem

definidas.

Para a compreensão do tema proposto dividiu-se este artigo em cinco seções.

A seção 1, esta introdução, é indicativa do estudo; a seção 2, apresenta o

embasamento teórico sobre Segurança da Informação e Política de Segurança da

Informação; a seção 3, apresenta a caracterização do objeto de estudo, relata os

incidentes mais comuns nas corporações; a seção 4, trata da discussão sobre o

tema; a seção 5, tece as conclusões do artigo.

2 - SEGURANÇA DA INFORMAÇÃO E POLÍTICA DE SEGURANÇA DAINFORMAÇÃO: UMA ABORDAGEM TEÓRICA

A segurança da informação é a proteção mais apropriada sobre as

informações de uma determinada empresa ou pessoa, sendo que esta pode se

apresentar de várias formas, como: informações impressas, eletrônicas, escrita e de

forma tácita, disponível apenas no conhecimento do ser humano.


a) Segurança da Informação

Fazendo-se uma comparação do mundo real em que têm-se que tomar os

devidos cuidados ao sair de casa, certificando de que as janelas, portas e o portão

estejam fechados, Nakamura; Geus (2007) afirmam que os mesmos critérios de

segurança devem ser seguidos, por meio de medidas estritas de segurança. As

empresas têm que proteger os seus ativos, ter uma política de segurança da

informação, fazer separação entre rede pública e rede interna.

No final da década de 80, surgiu uma das principais ferramentas para

proteção dos ativos nas corporações dada a necessidade de manter bloqueios de

acesso e restrições de tráfego entre as redes existentes, esta se distinguiu como

firewall, que segundo a comparação feita por Nakamura; Geus (2007) é equivalente

ao controle de acesso em uma loja real o qual é feito por intermédio de porteiros,

vigias, limites físicos e portas.

Destaca-se que a escolha da palavra firewall para definir as funções desse

programa ou dispositivo é baseada numa técnica de combate a incêndios que

consiste na utilização de portas corta-fogo (firewall) que impedem a propagação do

fogo em uma construção. O firewall pode ser utilizado na forma de software3 e

hardware4 ou combinados. A determinação de qual forma de segurança será usada

dependerá do porte da rede, da política de segurança que será aplicada e o grau de

segurança desejado.

A necessidade de utilização cada vez maior da internet pelas organizações ea constituição de ambientes cooperativos levam a uma crescentepreocupação quanto à segurança. Como consequência, pode-se ver umarápida evolução nessa área, principalmente com relação ao firewall, que é umdos principais, mais conhecidos e antigos componentes de um sistema desegurança. Sua fama, de certa forma, acaba contribuindo para a criação deuma falsa expectativa quanto à segurança total da organização, além decausar uma mudança ou mesmo uma banalização quanto à suadefinição (NAKAMURA; GEUS, 2007, p. 220).

Assim como os firewalls, há no mercado da tecnologia da informação os

sistemas de detecção de intrusão, Intrusion Detections System (IDS), e sistemas de

prevenção de intrusão, Intrusion Prevention System (IPS), que funcionam como um

3 Software, em um sistema computacional, o conjunto dos componentes informacionais, que não faz parte doequipamento físico e inclui os programas e os dados a eles associados. Qualquer programa ou conjunto deprogramas de computador (FERREIRA, 2001).4 Hardware, componente, ou conjunto de componentes físicos de um computador (FERREIRA, 2001).


alarme. A detecção normalmente é feita com base em algum tipo de conhecimento,

como: assinaturas de ataques e aprendizado de uma rede. Há também a detecção

com base em comportamento anômalo.O IDS é um componente essencial em um ambiente cooperativo. Suacapacidade de detectar diversos ataques e intrusões auxilia na proteção doambiente, e sua localização é um dos pontos a serem definidos com cuidado.Novos tipos de sistemas, que procuram não apenas detectar, mas tambémprevenir os ataques, estes sistemas são conhecidos como sistemas deprevenção de intrusão, IPS, (NAKAMURA; GEUS, 2007, p. 264).

A criptografia é uma das formas mais seguras de transmitir informação, ela se

baseia em um conjunto de técnicas para ocultar a informação de um acesso

indevido. O objetivo da criptografia é transformar uma mensagem, uma informação

legível em um conjunto de caracteres impossível de ser compreendido.

A criptográfica tem a função e importância cada vez maisfundamentais para a segurança nas organizações; é a ciência demanter as mensagens seguras. A cifragem (encryption) é o processode disfarçar a mensagem original, o texto claro (plaintext) ou(cleartext), de tal modo que sua substância é escondida em umamensagem como texto cifrado (ciphertext), enquanto a decifragem(decrytpion) é o processo de transformar o texto cifrado de volta emtexto claro original (NAKAMURA; GEUS, 2007, p. 301).

Neste sentido Lyra(2008) afirma que a criptografia é uma arte ou ciência de

se escrever em códigos, com o objetivo de garantir a segurança da informação. Com

a segurança dada pela criptografia foi possível a expansão do comércio eletrônico.

A criptografia é definida como arte ou ciência de escrever em cifrasou em códigos, com o propósito de restringir ao destinatário acapacidade de decodificá-la e compreendê-la. Mecanismos decriptografia são amplamente adotados em ambientes computacionaispara oferecer garantia de autenticação, privacidade e integridade dosdados e comunicações, e sem essa tecnologia não teria sidopossível popularizar o comércio eletrônico (LYRA, 2008, p. 37).

A NBR ISO/IEC 17799 (2001)5 define que a informação é um ativo

fundamental para os negócios de uma organização, um bem como outro qualquer e

que precisa ser protegido de forma adequada. A segurança da informação tem o

papel de proteger esse tipo de ativo de diversos tipos de ameaças para garantir a

continuidade dos negócios, minimizar os danos e maximizar os retornos dos

investimentos realizados pela organização. A norma cita também que a segurança

da informação é caracterizada pela preservação da confidencialidade, integridade e

disponibilidade.

5 NBR ISO/IEC 17799 – Norma Brasileira – Tecnologia da informação – Código de prática para gestão desegurança da informação.


Para a NBR ISO/IEC 17799 (2001) é essencial que uma organização

identifique os seus requisitos de segurança, ela define três principais fontes. A

primeira fonte é derivada de uma avaliação dos potencias de riscos que os ativos da

organização estão expostos, como as ameaças, as vulnerabilidades, probabilidade

de sua ocorrência e o impacto potencial estimado. A segunda fonte é a legislação

vigente, os estatutos, a regulamentação, e cláusulas contratuais que a organização,

seus parceiros, contratados e prestadores de serviço tem que atender. Por último, a

terceira fonte diz respeito ao conjunto particular de princípios, objetivos e requisitos

para o processamento a informação que a organização tem que desenvolver para

atender as suas necessidades.

Avaliação de risco é uma consideração sistemática: - do impacto nos

negócios como resultado de uma falha de segurança, levando-se em conta as

potencias consequências da perda de confidencialidade, integridade ou

disponibilidade da informação ou de outros ativos; - da probabilidade de tal

falha realmente ocorrer à luz das ameaças e vulnerabilidades mais frequentes

e nos controles atualmente implementados (NBR ISO/IEC 17799, 2001, p.2).

A Associação Brasileira de Normas Técnicas (ABNT) NBR ISO6/IEC7 27001

(2006)8 tem várias definições dos termos de segurança, quadro 1.

Quadro 1 - ABNT NBR ISO/IEC 27001 (2006) e os termos de segurança

Ativo qualquer coisa que tenha valor para a organização

Disponibilidade propriedade de estar acessível e utilizável sobdemanda por uma entidade autorizada

Confidencialidade propriedade de que a informação não estejadisponível ou revelada a indivíduos, entidades ouprocessos não autorizados

6 ISO: sigla de International Organization for Standardization. A ISO tem como objetivo criar normas que facilitemo comércio e promovam boas práticas de gestão e o avanço tecnológico, além de disseminar conhecimentos. NoBrasil, a ISO é representada pela Associação Brasileira de Normas Técnicas,( ABNT) (INMETRO, 2014)7 IEC: sigla de International Electrotechnical Commission. O IEC é uma organização não governamental, semfins lucrativos, que desenvolve normas internacionais e opera sistemas de avaliação de conformidade nas áreasde eletrotécnica (elétricas, eletrônicas e tecnologias correlatas) (IEC, 2014)8 NBR ISO/IEC 27001 – Norma Brasileira – Tecnologia da informação - Técnicas de segurança — Sistemas degestão de segurança da informação — Requisitos.


Segurançada informação

preservação da confidencialidade, integridade edisponibilidade da informação; adicionalmente,outras propriedades, tais como autenticidade,responsabilidade, não repúdio e confiabilidade,podem também estar envolvidas

Evento de segurançada informação

uma ocorrência identificada de um estado desistema, serviço ou rede, indicando uma possívelviolação da política de segurança da informação oufalha de controles, ou uma situação previamentedesconhecida, que possa ser relevante para asegurança da informação

Incidente de segurançada informação

um simples ou uma série de eventos de segurançada informação indesejados ou inesperados, quetenham uma grande probabilidade de comprometeras operações do negócio e ameaçar a segurança dainformação

Integridade propriedade de salvaguarda da exatidão ecompleteza de ativos

Fonte: NBR ISO/IEC 27001

A política de segurança da informação serve como base para o

estabelecimento de normas e procedimentos, visando garantir a segurança da

informação, assim como determinar responsabilidades relativas à segurança nas

corporações. As políticas de segurança fornecem parâmetros para a implementação

de mecanismos de segurança, definem procedimentos adequados, processos de

auditoria à segurança e estabelecem uma base para procedimentos legais na

eventualidade de ataques.

b) Política de segurança da informação

A política de segurança da informação segundo Nakamura; Geus (2007)

abrange os aspectos humanos, culturais e tecnológicos de uma organização, como

também os processos, o ramo de atividade, enfim os negócios desta organização. É

a partir da política de segurança da informação que são definidos as normas e os

procedimentos a serem adotas e seguidos em toda a organização. O planejamento da

política de segurança da informação é um dos principais passos para a sua

implantação, passo esse que exige uma visão ampla de toda a sorte de riscos sejam

entendidos para que possam ser estrategicamente combatidos. O ideal é que a

abordagem da política de segurança seja pró ativa, considerando sempre o não é

‗se‘, mas sim ‗quando‘, a abordagem pró ativa bem definida, traz consigo a definição


de responsabilidades individuais e essa é bem clara, facilitando assim a sua atuação

em todas as áreas da organização.

O planejamento da política de segurança da informação deve ser feitotendo como diretriz o caráter geral e abrangente de todos os pontos, incluindoas regras que devem ser obedecidas por todos. Essas regras devemespecificar quem pode acessar quais recursos, quais são os tipos de usospermitidos no sistema, bem como os procedimentos e controles necessáriospara proteger as informações. (NAKAMURA; GEUS, 2007, p.190).

Segundo Lyra (2008) a elaboração de uma política de segurança da

informação sólida deve considerar de forma criteriosa a particularização e

detalhamento as características de cada processo, de cada local e infraestrutura,

tomando corpo através de diretrizes e normas, procedimentos e instruções que

tornaram oficiais sobre a questão em toda a organização.

Divulgar corporativamente a política de segurança da informação, afim detorná-la o instrumento oficial, de conhecimento de todos, que irá nortear osexecutivos, técnicos e usuários quanto às melhores práticas norelacionamento com a informação. Capacitar, conscientizando os usuáriosno que se refere ao comportamento diante do manuseio, armazenamento,transporte e descarte da informação, incluindo o conhecimento dos critérios,proibições e responsabilidades inerentes ao assunto (LYRA, 2008, p. 53).

Para Nakamura; Geus (2007) os principais elementos da política de

segurança da informação são vigilância, atitude, estratégia e tecnologia. Sendo que

vigilância diz respeito à forma que todos os membros de uma corporação devem se

comportar diante a alarmes e alertas e terem uma posição de guardiões para evitar

abusos sistêmicos e acidentais. Atitude, significa uma postura reflexo do

treinamento, a política deve ser de fácil acesso para que seja alcançada a sua

compreensão e cumplicidade da política definida. Estratégia traduz na maneira mais

criativa possível, sendo capaz de se adaptar as mudanças no ambiente de trabalho,

evitando grandes perdas de produção em função da demanda da segurança

desejada. Tecnologia, a solução tecnológica deve ser bem dimensionada, flexível e

adaptável, o ideal que ela não seja nem subdimensionada, em que venha dar uma

falsa sensação de proteção e nem sobre dimensionada, o ideal que ao invés da

política se basear em um produto e/ou solução, se norteie mais na essência da

política de segurança da informação.

Uma característica importante de uma política é que ela deve ser curta osuficiente para que seja lida e conhecida por todos os funcionários daempresa. A essa política de alto nível devem ser acrescentados políticas,normas e procedimentos específicos para setores e áreas particulares,como por exemplo, para a área de informática. (NAKAMURA; GEUS,2007, p.194).


A autenticação libera o acesso inicial a qualquer sistema, identifica,

estabelece o nível de privilégio que o usuário pode exercer: libera ou nega acesso a

determinadas áreas de um sistema. Autenticação é essencial para garantir a


Neste sentido Nakamura; Geus (2007) assinala que a autenticação tem um

papel fundamental para a segurança de um ambiente cooperativo, ao validar a

identificação dos usuários. Uma vez que o usuário é identificado, libera-se para ele

os acessos aos quais o perfil dele permite. Este acesso vai ser mais restritivo,

intermediário ou amplo de acordo com as responsabilidades e atribuições do usuário

na corporação. O controle de acesso pela validação implica em segurança, em maior

ou menor chance de ocorrerem falhas acidentais, em acesso indevido a informações

sigilosas, entre outros ganhos.

Uma política de segurança da informação tem que ter diretrizes relativas a

senha, como: tempo de validade, quantidade de dígitos mínimo e máximo, quais

tipos de caracteres são permitidos, prazo mínimo que se possa repetir a senha já

utilizada entres outros.

Para Nakamura; Geus (2007) as senhas são utilizadas pela grande maioria

dos sistemas de autenticação e são consideradas necessárias como um meio de

proteção. Contudo, elas são consideradas também perigosas, pois dependem do elo

mais fraco da corrente, que são os usuários. Os usuários podem, escolher senhas

óbvias e fáceis, compartilhá-las com seus colegas. A existência de uma política de

segurança que auxilie na escolha de senha segura, que seja boa para o usuário e

para a organização é fundamental, pois pode aumentar o nível de segurança de toda

uma organização.

Completando Lyra (2008) afirma que as melhores práticas relacionadas à

política de senha recomendam a troca periódica das senhas, a identificação de

senhas de fácil dedução e bloqueio após, por exemplo, três tentativas sem sucesso.

A segurança no contexto da governança de tecnologia da informação

conforme Lyra (2008) é definido pelo Control Objetives for Information And Related

Technology (COBIT) como um guia semelhante a um framework9, direcionado para

a gestão da tecnologia da informação. O guia traz consigo uma série de recursos

que podem servir de referência para a gestão da tecnologia da informação, nele

9 Framework – Estrutura, armação, esqueleto, composição, organização. (MARQUES; DRAPER, 1990)


encontra-se um sumário executivo, um framework, controle de objetivos, mapas de

auditoria, ferramentas para sua implementação e principalmente um guia importante

com técnicas de gerenciamento. COBIT cobre os quatro domínios: planejar e

organizar; adquirir e implementar; entregar e dar suporte; monitorar e avaliar.

3 - A SEGURANÇA DA INFORMAÇÃO

3.1 - A evolução da segurança da informação

Nesta seção descreve-se os antecedentes da segurança da informação,

difusão e sua predominância, bem como os tipos de incidentes em segurança da

informação, os ataques mais comuns utilizados pelos hackers10 e uma abordagem

de fraudes mais utilizadas.

a) Antecedentes históricos da segurança da informação

Um dado histórico relevante que se tem como referência na segurança da

informação é o ―Orange Book ‖, livro laranja americano de normas relativas à

segurança da informação, que começou a ser formulado em 1978 e teve sua versão

final em 1985.

Em 1977, o Departamento de Defesa, (DoD) dos Estados Unidos apresentouum plano sistemático para tratar do Problema Clássico de Segurança, oqual daria origem ao "DoD Computer Security Initiative"11, que, logo depoisdesenvolveria um "centro" para avaliar se as soluções disponibilizadas, eramrealmente seguras.

Com a construção do "Centro", foi gerada uma necessidade da criação de umconjunto de regras a serem utilizadas no processo de avaliação. Esteconjunto de regras ficaria conhecido informalmente como "The Orange Book".

Oprocesso de escrita do "Orange Book", conhecido oficialmente como TrustedComputer Evaluation Criteria - DoD 5200.28-STD"12,foi iniciado ainda no anode 1978, sendo feita a publicação da versão "draft", ou rascunho, e no dia 26de dezembro de 1985 foi publicada a versão final e atual deste documento.

Mesmo que o "Orange Book" seja considerado, atualmente, um documentoultrapassado, pode-se considerá-lo como o marco inicial na busca de umconjunto de medidas que permitam a um ambiente computacional serqualificado como seguro. Fonte: História da computação e da segurança deinformação (s.d.)

b) Difusão da segurança da informação

10 Hackers – São especialistas que já dominam diversas técnicas de invasão e conhecem com profundidade pelomenos um sistema operacional. São excelentes programadores e administradores de sistemas. (ULBRICH;DELLA VALLE, 2009)11Iniciativas de Segurança de Informática12 Livro Critérios de avaliação de informática confiável do Departamento de Defesa 5200.28-STD


Segundo o site profissionaisti.com.br a tecnologia da informação é encontrada

em todos os portes de empresas, sejam elas micros ou grandes. Um fator que pode

ser determinante para todo o andamento da empresa é a preocupação com a


A Segurança da Informação vem ganhando cada vez mais espaço eimportância nas empresas. O seu princípio considera as informaçõese as pessoas como seus principais ativos. Com o avanço datecnologia e com a grande competitividade do mercado é cada vezmais importante para uma organização investir em um sistema deinformação seguro e políticas claras de segurança da informação,independente do seu porte e de suas colocações no mercado.

Atualmente a informação pode ser considerada um dos ativos maisimportantes de uma empresa. Se uma empresa possui segurança desuas informações, certamente isso transparece uma sensação decredibilidade para os seus clientes. Segundo a concepção deRezende (2009), informação nos dias de hoje tem um valorsignificativo dentro de uma organização, representando muitas vezesa base para manter recursos financeiros e seus ativos em atividade.Fonte: Segurança da informação no ambiente corporativo (2013)

c) Predominância da segurança da informação

Em 2013 o site pwc13.com.br divulgou o resultado da décima Pesquisa Global

de Segurança da Informação, um estudo conduzido pela PwC e outras duas

parceiras, realizado em 128 países. Segundo a PwC os maiores investimentos em

segurança da informação estão concentrados na Ásia, a América do Norte mantém

em posição estável, já a Europa está estagnada na questão de investimentos e está

se enfraquecendo em relação à segurança da informação. A América do Sul

desponta como líder em algumas categorias, o Brasil está cada vez mais sólido na

questão de investimentos e alinhado às práticas dos lideres mundiais.

Dada a limitação de espaço este estudo apresenta apenas um dos gráficos da

pesquisa da PwC, onde pode-se verificar que está ocorrendo queda no uso de

ferramentas de segurança da informação, observa-se também um relaxamento das

políticas que estabelecem padrões nas organizações. Muitos dos elementos vêm

sendo excluídos nos últimos anos. Como por exemplo as políticas relativas a backup

e recuperação de dados, que aparece com apenas 51%. em vigor nas empresas.

Gráfico 1: Elementos que compõem as políticas de segurança no mundo

13 PriceWaterhouseCoopers - A marca PwC se originou da fusão das firmas Price e Waterhouse em meados doséculo XIX e com a Coopers&Lybrand em 1998.


Fonte: http://www.pwc.com.br/pt/estudos-pesquisas/giss-2013.jhtml

d) Os tipos de incidentes em segurança da informação, os ataques mais comuns

Um dos principais ataques que as corporações enfrentam no dia-a-dia é a

engenharia social, vista de maneira similar por praticamente todos os teóricos do

assunto.

A engenharia social é a técnica que explora as fraquezas humanas e sociais,em vez de explorar a tecnologia. Ela tem o objetivo de enganar e ludibriarpessoas assumindo-se uma falsa identidade, afim de que elas revelemsenhas ou outras informações que possam comprometer a segurançada organização. Esta técnica explora o fato de os usuários estaremsempre dispostos a ajudar e colaborar com os serviços daorganização. Ela é capaz de convencer a pessoa que está do outrolado da porta a abri-la, independentemente do tamanho do cadeado. Oengenheiro social manipula as pessoas para que elas entreguemchaves ou abram o cadeado, explorando características humanascomo reciprocidade, consistência, busca por aprovação social,simpatia, autoridade e medo (NAKAMURA; GEUS, 2007, p. 85).

Neste sentido Lyra (2008) afirma que as pessoas menos avisadas fornecem

informações sigilosas apenas pelo fato de serem prestativas e pelo fato de acharem

que todos são de boa índole.

Segundo o SANS Institute14, ―Engenharia Social é a arte de utilizar ocomportamento humano para quebrar a segurança sem que a vítima sequerperceba que foi manipulada‖. E segundo o CERT.br define engenharia socialcomo um método de ataque onde alguém faz uso da persuasão, muitasvezes abusando da ingenuidade ou confiança do usuário, para obterinformações que podem ser utilizadas para ter acesso não autorizado aosativos da informação (LYRA, 2008, p. 21).

14 SANS Institute - Computer Security Education and Information Security Training, Instituto de SegurançaComputacional, Educação e Treinamento em Segurança da Informação.


Segundo Ulbrich; Della Valle (2009) a engenharia social visa colher

informações vitais sobre o alvo escolhido, além das óbvias, como dados financeiros,

pessoais e hierárquicos, como também informações de instalações físicas e lógicas,

topologia de rede, política de senhas e chaves criptográficas.

A engenharia social basicamente, significa a ―garimpagem‖ de informaçõesvitais sobre uma determinada pessoa, empresa, produto ou organização.Essas informações são provenientes quase sempre de pessoas próximasao indivíduo a ser atacado ou do próprio quadro de funcionários eclientes – no caso de empresas (ULBRICH; DELLA VALLE, 2009, p. 124).

Entre as diversas vulnerabilidades há também a captura da conta, senha e

demais dados do usuário via sites, até mesmo aqueles ditos como confiáveis, que

dão a garantia a privacidade das informações dos seus clientes. Esta vulnerabilidade

ocorre via SQL Injection15.SQL Injection, que consiste em inserir comandos da linguagem SQL noscampos de login16 e senha para, de acordo com a mensagem de erroretornada pelo servidor, mapear todo o banco de dados dos usuários. Essemétodo funciona para scripts ASP17 que utilizam de chamadas SQL, maspode ser adaptado para qualquer linguagem.. A sintaxe pode ser diferente,mas o mecanismo é similar (ULBRICH; DELLA VALLE, 2009, p. 205).

Apresenta-se a seguir as ameaças mais comuns que as corporações estão

expostas, entre elas, cavalo de Tróia, spans, DoS, WEB, engenharia social e outras.

Quadro 2 – Ameaças mais comuns nas corporaçõesCavalo de Tróia Ulbrich; Della Valle (2009) afirmam que os cavalos de troia são

apenas expedientes utilizados para fazer a vítima acreditar queo arquivo em questão trata-se de algo inofensivo ou mesmoum presente – embora guarde algo danoso em suasentranhas. Cavalos de Tróia guardam e transportam qualquercoisa – pode ser um backdoor18 (o mais usual), mas tambémpode ser um vírus19, um programa inocente ou mesmo outrocavalo de Tróia mais poderoso.

DoS (DoS -- Denial of Service): notificações de ataques de negaçãode serviço, onde o atacante utiliza um computador ou umconjunto de computadores para tirar de operação um serviço,computador ou rede. (CERT.br)

15 SQL Injection é um dos muitos mecanismos de ataque utilizados por hackers para roubar dados de organizaçõesem páginas na internet.16 Campo para a entrada da conta/chave do usuário17 Série de instruções para serem seguidas no padrão ASP, Microsoft Active Server Pages.18Backdoor (também conhecido por porta dos fundos) são programas que instalam um ambiente de serviço em umcomputador, tornando-o acessível à distância, permitindo o controle remoto da máquina sem que o usuário saiba.(Vírus e cia., s.d)19 Vírus é código escrito com o objetivo de contaminar sistemas computacionais que se propaga rapidamente. Éconsiderado um agente hospedeiro que age fazendo cópia de seu próprio código e sua ação está ligada diretamente àexecução do programa ou do arquivo infectado (GLBO,2006).


Invasão Um ataque bem sucedido que resulte no acesso nãoautorizado a um computador ou rede. (CERT.br)

Web Um caso particular de ataque visando especificamente ocomprometimento de servidores Web ou desfigurações depáginas na Internet. (CERT.br)

Scan Notificações de varreduras em redes de computadores, com ointuito de identificar quais computadores estão ativos e quaisserviços estão sendo disponibilizados por eles. É amplamenteutilizado por atacantes para identificar potenciais alvos, poispermite associar possíveis vulnerabilidades aos serviçoshabilitados em um computador. (CERT.br)

Fraude Segundo Houaiss20, é "qualquer ato ardiloso, enganoso, demá-fé, com intuito de lesar ou ludibriar outrem, ou de nãocumprir determinado dever; logro". (CERT.br)

Fonte: Diversas fontes conforme citado em cada item

3.2 - A base legal da política de segurança da informação

As leis voltadas para a segurança da informação estão distribuídas em

diversos dispositivos, como pode-se verificar no quadro 3. O Marco Civil aprovado

recentemente regulamenta o uso da internet no Brasil, não sendo propriamente

um instrumento voltado para a política de segurança da informação no âmbito

corporativo.

Quadro 3 – Relação de leis, artigos e decretos que regulamentam os aspectosrelativos à segurança da informação.

Dispositivo Mandamento Legal Aspecto Segurança InformaçãoConstituiçãoFederal, art.5º, inciso X.

Direito à privacidade.Sigilo das informaçõesrelacionadas à intimidade ou àvida privada de alguém.

ConsolidaçãoLeis Trabalho -CLT, art. 482,alínea g.

Rescisão de contrato de trabalho deempregado que viola segredo da empresa.

Proteção das informaçõessigilosas acessadas no exercíciode emprego público

Código deDefesa doConsumidor,arts. 43 e 44.

Direito de acesso do consumidor às suasinformações pessoais arquivadas em bancosde dados e direito de retificação dasinformações incorretas.

Garantia da integridade edisponibilidade das informaçõesdos consumidores arquivadas embancos de dados.

Código Penal,art. 154-A.

Pena - detenção, de 3 meses a1 ano, e multa.

Proteção à violação deequipamentos e sistemas - sejameles conectados ou não à internet- com intenção de destruir dados,ou instalar vulnerabilidades.

Código Penal,art. 313-B.

Pena de 3 meses a 2 anos e multa por crimede modificação ou alteração não autorizadade sistemas de informações.

Proteção da integridade edisponibilidade das informaçõesconstantes nos órgãos públicos.

20Dicionário Houaiss da Língua Portuguesa, elaborado pelo lexicógrafo brasileiro Antônio Houaiss.


Lei nº7.232/84, art.2o, inciso VIII.

Exigência de mecanismos e instrumentoslegais e técnicos para a proteção do sigilo dosdados informatizados armazenados,processados e veiculados, do interesse daprivacidade e de segurança das pessoas

Sigilo dos dados relacionados àintimidade, vida privada e honra,especialmente dos dadosarmazenados através de recursosinformáticos.

Lei nº9.296/96, art.10.

Pena de dois a quatro anos, e multa por crimede interceptação de comunicaçõestelefônicas, de informática ou telemática, ouquebra de segredo da Justiça, semautorização judicial

Sigilo dos dados e dascomunicações privadas.

Lei nº10.683/03, art.6º, inciso IV.

Prevê a competência do GSIPR de coordenara atividade de segurança da informação.

Todos os aspectos da segurançada informação.

Decreto nº3.505/00, art.1º.

Institui a Política de Segurança da Informaçãonos órgãos e entidades da AdministraçãoPública Federal.

Pressupostos básicos dasegurança da informação.

Fonte: site http://dsic.planalto.gov.br/documentos/quadro_legislacao.htm


3.3 - Dados quantitativos sobre incidentes em segurança da informação

Os incidentes em segurança da informação têm crescido ano a ano conforme

pode-se verificar no gráfico 2 do CERT21, o ano de 2013 teve um decréscimo

considerável, assim como houve também em 2010, mas mesmo assim essa não é a

tendência. No detalhamento por tipo de ataques, fraude é segundo colocado na

classificação geral. Este estudo propõe dar foco ao tipo de incidente/ataque fraude,

em que pode-se ter um detalhamento maior nos gráficos e nas análise feitas pelo

CERT-br.

Como pode-se observar, o total de notificações recebidas pelo CERT em

2013 foi de 352.925, este número foi 24% menor que o total de 2012.

Gráfico 2: Total de Incidentes Reportados ao CERT.br – de 1999 à 2013

Fonte: CERT.br

Este estudo apresenta os gráficos relativos ao fechamento anual de 2013.

Alguns destaques que pode-se observar da análise do CERT. Embora o total de

notificações reportadas ao CERT tenha retraído em 2013, as notificações de

tentativas de fraude, em 2013, totalizaram 85.675, correspondendo a um aumento de

23% em relação a 2012. Como também, as notificações de casos de páginas falsas

21 O CERT.br mantém estatísticas sobre notificações de incidentes a ele reportados. Estas notificações sãovoluntárias e refletem os incidentes ocorridos em redes que espontaneamente os notificaram ao CERT.br.


de bancos e sites de comércio eletrônico (phishing clássico) em 2013

cresceram 44% em relação a 2012.

Gráfico 3 : Incidentes Reportados - Tipos de Ataque Acumulado

Janeiro a Dezembro de 2013

Fonte: CERT.br

Gráfico 4 : Incidentes Reportados - Tipos de Ataques em Percentual


Fonte: CERT.br


As notificações sobre Cavalos de Troia, utilizados para furtar informações e

credenciais, tiveram um crescimento de 4% em relação ao ano de 2012. Seguindo a

tendência geral, em 2013 o número de notificações de casos de páginas falsas que

não envolvem bancos e sites de comércio eletrônico teve uma queda de 49% em

relação a 2012. O CERT, recebeu 5.068 notificações relacionadas a eventuais

quebras de direitos autorais, este número foi 11% maior que o do ano de 2012,

conforme pode-se verificar no gráfico 5.

Gráfico 5 : Incidentes Reportados - Tentativas de fraudes reportadas


Fonte: CERT.br

4 - DISCUSSÃO SOBRE OS DIVERSOS ASPECTOS DA SEGURANÇA DAINFORMAÇÃO

a) Em Segurança da informação

O estudo apresenta, inicialmente, a analogia de Nakamura; Geus (2007)

sobre a preocupação com portas, acessos que devem ser mantidos fechados para

garantir o mínimo de segurança, sendo que o mesmo comportamento tem que se

verificar no ambiente da informática para a proteção dos ativos. Seguindo este

raciocínio são apresentados as proteções, as vantagens de se utilizar Firewalls, IDS

e IPS para proteção de acesso à internet e outros sistemas de como um todo.


Cita-se o papel da criptografia que tem a crucial importância para as

organizações nas transferências de mensagens de forma segura.

Entrando mais para o lado da teoria e normas a (NBR ISO/IEC 17799, 2001)

faz referência dos requisitos de segurança, as principais fontes: avaliação dos

potenciais riscos, legislação vigente, princípios e objetivos da corporação.

b) Em Política de segurança da informação

As políticas de segurança fornecem parâmetros para a implementação de

mecanismos de segurança; A política de segurança da informação segundo

Nakamura; Geus (2007) abrange os aspectos humanos, culturais e tecnológicos. O

planejamento da política de segurança da informação deve ser feito tendo como

diretriz o caráter geral.

Segundo Lyra (2008), deve-se divulgar corporativamente a política de

segurança da informação, afim de torná-la o instrumento oficial.

A autenticação libera acesso inicial a qualquer sistema, identifica, estabelece

o nível de privilégio que o usuário pode exercer.

Assim, uma boa política de segurança da informação tem que ter diretrizes

relativas à senha, como: tempo de validade, quantidade de dígitos, conforme indica

Nakamura; Geus (2007) a autenticação tem um papel fundamental para a

segurança.

A governança de tecnologia da informação para Lyra (2008) o COBIT é um

modelo a ser seguido.

c) Em Aspectos da Segurança da Informação

A referência histórica em segurança da informação, o ―Orange Book‖, teve o

seu início de elaboração 1978, com a versão final em 1985.

A difusão da Segurança da Informação vem ganhando cada vez mais espaço

e importância nas empresas, esta tem sido considerada um dos ativos mais

importantes de uma empresa.

Segundo a pesquisa da PWC, a Ásia destaca-se como líder mundial em

segurança da informação. O Brasil se mostra cada vez mais sólido e alinhado com

os investimentos, práticas e o desempenho dos líderes mundiais.


d) Ataques/ameaças:

A engenharia social é a técnica que explora as fraquezas humanas e sociais,

em vez de explorar a tecnologia. Pode ser minimizada com a política de segurança

da informação bem formulada;

SQL Injection, que consiste em inserir comandos da linguagem SQL nos

campos de login e senha para, de acordo com a mensagem de erro retornada pelo

servidor, mapear todo o banco de dados dos usuários. Pode ser combatida com

Firewalls e IDS/IPS.

Cavalo de Tróia são expedientes utilizados para fazer a vítima acreditar que o

arquivo em questão trata-se de algo inofensivo. Pode ser minimizada com a política

de segurança da informação bem formulada;

Invasão é um ataque bem sucedido que resulte no acesso não autorizado.

Pode-se utilizar Firewalls, IDS/IPS para tentar evitar tais ataques.

Scan são notificações de varreduras em redes de computadores, com o

intuito de identificar quais computadores estão ativos e quais serviços estão sendo

disponibilizados por eles. Pode-se utilizar Firewalls, IDS/IPS para tentar evitar tais

ataques.

Fraudes é qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou

ludibriar outrem, ou de não cumprir determinado dever; logro. Pode ser minimizada

com a política de segurança da informação bem formulada.

5 - CONCLUSÃO

Os incidentes em segurança da informação têm aumentado

proporcionalmente com o aumento da utilização dos computadores tanto nas

corporações quanto no uso doméstico, conforme pode-se verificar nos dados

disponibilizados pelo CERT. Porém, há de se considerar que os dados do CERT são

uma referência, pois provavelmente muitos incidentes que ocorrem não são

reportados por diversas razões e estratégicas empresarias.

Através deste estudo, pode-se dizer que as corporações que utilizam das

ferramentas adequadas, das tecnologias apropriadas e das melhores práticas do


mercado, associadas a uma política de segurança da informação eficaz, tendem a

minimizar os incidentes em segurança da informação, seja qual for a natureza que

estes incidentes venham ter.

Diante do exposto, conclui-se que mediante a uma política de segurança da

informação abrangente, eficaz, utilizando-se de todos os recursos possíveis

disponíveis; como tecnologias, treinamento, conscientização e envolvimento de

todos, é possível sim minimizar falhas em segurança da informação e evitar

incidentes em fraudes, engenharia social e tantos outros em que as tecnologias

disponíveis barram de forma automática.


REFERÊNCIAS

ABNT (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS). NBR ISO/IEC17799: Tecnologia da Informação – Código de prática para gestão a segurançada informação. Rio de Janeiro, 2001.

ABNT (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS). NBR ISO/IEC27001: Tecnologia da informação - Técnicas de segurança — Sistemas de gestãode segurança da informação — Requisitos. Rio de Janeiro, 2006.

CERT, 2014 – Centro de Estudos, Resposta e Tratamento de Incidentes eSegurança no Brasil, ―Incidentes Reportados ao CERT.br ‖. Disponível em:http://www.cert.br/stats/incidentes Acessado 05/20/2014.

FERREIRA, Aurélio B. H.. Mini Aurélio Seculo XXI. Rio de Janeiro: Nova Fronteira,2001.

GLBO, Gislaine Lirian Bueno de Oliveira ,,Trabalho de conclusão de curso, doCentro Universitário SENAC – Unidade Sorocaba, 2006.

História da computação e da segurança de informação, s.d. Disponível em <http://www.oarquivo.com.br/a-historia-da-computacao-e-da-seguranca-de-informacao-parte-1 >. Acesso em: 23 de maio de 2014

IEC. What we do, 2014. Disponível em:<http://www.iec.ch/about/activities/?ref=menu>. Acesso em: 23 de maiode 2014.

INMETRO. O que é ISO ?, 2014. Disponível em:<http://www.inmetro.gov.br/qualidade/responsabilidade_social/o-que-iso.asp>.Acesso em: 23 de maio de 2014.

LYRA, Maurício Rocha. Segurança e auditoria em sistemas de informação. 1ª ed.Rio de Janeiro: Ciência Moderna, 2008.

Marques, Amadeu; Draper, David. Dicionário Português - Inglês / Inglês –Português, 1990

Vírus e cia., s.d. Disponível em < http://www.cultura.ufpa.br/dicas/vir/inv-back.htm >Acesso em: 21 de maio de 2014

NAKAMURA, Emilio Tissato; GEUS, Paulo Lício. Segurança de redes emambientes cooperativos. 1ª ed. São Paulo: Novatec, 2007.

PWC < http://www.pwc.com.br/pt/estudos-pesquisas/giss-2013.jhtml > Acesso em:20 de maio de 2014.


Quadro da legislação relacionada à segurança da informação e comunicações,2013. Disponível em < http://dsic.planalto.gov.br/documentos/quadro_legislacao.htm> Acesso em: 23 de maio de 2014

Segurança da informação no ambiente corporativo, 2013. Disponível em <http://www.profissionaisti.com.br/2013/09/seguranca-da-informacao-no-ambiente-corporativo> Acesso em: 21 de maio de 2014

ULBRICH, Henrique Cesar; DELLA VALLE, James. Universidade Hacker. 6ª ed.São Paulo: Digerati Books, 2009.

Documents

Política de Segurança da Informação nas Corporações Policy ...revistapensar.com.br/tecnologia/pasta_upload/artigos/a87.pdf · ao controle de acesso em uma loja real o qual é