Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança de Sistemas Segurança de Sistemas Organizado por Universidade Luterana do Brasil Universidade Luterana do Brasil – ULBRA Canoas, RS 2015 Alexandre Timm Vieira Márcia Baltar Vieira Sérgio Vilanova Conrado Ruch Jr William Alevate Júlio Lindolfo Lorenz ISBN: 978-85-68453-73-5 Dados técnicos do livro Diagramação: Jonatan Souza Revisão: Paula Fernanda Malaszkiewicz Conselho Editorial EAD Andréa de Azevedo Eick Ângela da Rocha Rolla Astomiro Romais Claudiane Ramos Furtado Dóris Gedrat Honor de Almeida Neto Maria Cleidia Klein Oliveira Maria Lizete Schneider Luiz Carlos Specht Filho Vinicius Martins Flores Obra organizada pela Universidade Luterana do Brasil. Informamos que é de inteira responsabilidade dos autores a emissão de conceitos. Nenhuma parte desta publicação poderá ser reproduzida por qualquer meio ou forma sem prévia autorização da ULBRA. A violação dos direitos autorais é crime estabelecido na Lei nº 9.610/98 e punido pelo Artigo 184 do Código Penal. S456 Segurança de sistemas / Organizado por Universidade Luterana do Brasil. – Canoas: Ed. ULBRA, 2015. 230 p. : il. 1. Computação. 2. Segurança da informação. 3. Segurança de sistemas. I. Universidade Luterana do Brasil. CDU 681.3.056.5 Dados Internacionais de Catalogação na Publicação – CIP Setor de Processamento Técnico da Biblioteca Martinho Lutero – ULBRA/Canoas Este livro proporciona o estudo e a compreensão dos conceitos funda-mentais de Segurança da Informação. O termo Segurança da Informa- ção se aplica a todos os aspectos de proteção de informações e dados, estando intimamente relacionado com o de Segurança de Sistemas, in- cluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si. São abordados desde aspectos técnicos até a gestão da segurança da informação. Os aspectos técnicos envolvem desde segurança física do ambiente até ferramentas e técnicas utilizadas para ataques, criptogra- fia, Firewalls e sistemas de detecção de intrusão. Os aspectos gerenciais abordam a política de segurança da informação, gestão de riscos, gestão de continuidade dos negócios e estratégias de cultura e conscientização, com ênfase nas normas internacionais ISO/IEC 27001, 27002, 27004 e 27005, bem como na NBR 15999-1 e a ISO 22301. Apresentação 1 Conceituando a Segurança da Informação ............................1 2 Política de Segurança da Informação ..................................23 3 Cultura e Conscientização em Segurança da Informação ....44 4 Análise e Avaliação de Risco ...............................................67 5 Gestão da Continuidade de Negócios .................................97 6 Criptografia ......................................................................121 7 Aplicando Criptografia ......................................................142 8 Segurança nos Ambientes Físicos ......................................166 9 Firewall Teoria e Prática ....................................................191 10 Ataque, Vulnerabilidade e Detecção de Intrusão ...............222 Sumário Conceituando a Segurança da Informação1 1 Mestre em Engenharia Elétrica pela PUC-RS. Professor na ULBRA - Universidade Luterana do Brasil e Analista de Segurança da Informação no Banrisul - Banco do Estado do Rio Grande do Sul. Certificado MCSO, ISFS e ITIL. Alexandre Timm Vieira1 Capítulo 1 2 Segurança de Sistemas Introdução Informação enquanto conceito remete a uma grande diver- sidade de definições, do uso quotidiano ao mais técnico. O conceito de informação está intimamente ligado a dados, có- digos, formas estruturadas, padrões, instruções, percepção e representação e, enquanto armazenada, é conhecimento acumulado que pode ser consultado, utilizado e transferido, servindo como um fornecedor de ensino e cultura para a so- ciedade. O domínio de informações corretas e qualificadas permite uma precisa tomada de decisões e o planejamento de estra- tégias para os negócios. Sistemas de informações eficientes possibilitam que as corporações produzam mais, faturem mais e gerem mais empregos. O processo de transmissão dessas informações, circulando em quantidade e com qualidade entre pessoas e empresas, possibilitam que todos se comuniquem mais rapidamente entre si, o que gera uma atividade econômica maior e um desen- volvimento mais rápido da sociedade. Desde 550 a.C., Ciro, o Grande, rei da Pérsia, já projetava os primeiros sistemas para transmitir informações a distância por meio de pessoas e animais. Nas últimas décadas, as comunicações de dados deram um grande salto tecnológico e continuam a se desenvolver ra- pidamente. Desde o início da década de 1960, vários pesqui- sadores desenvolveram paralelamente a ideia de informação viajando em pacotes, ou seja, blocos de dados transportando Capítulo 1 Conceituando a Segurança da Informação 3 informações, e os personagens-chave deste conceito foram Vinton Cerf e Robert Kahn, criadores da pilha de protocolos TCP/IP, o conjunto de regras que veio a ser implementado para controlar a comunicação ainda na ARPANET, que pouco de- pois veio a se tornar a Internet (a rede de pacotes interligan- do milhares de computadores compartilhando informações no mundo inteiro). As transformações trazidas pela evolução das tecnologias de informação e do advento da Internet como um meio global de comunicação afetou a forma com a sociedade e as organi- zações agem, dando início à Era da Informação e da Socieda- de do Conhecimento, onde um dos aspectos mais importantes neste cenário é a Segurança das Informações. Em nossa sociedade digital atual, é notório que cada vez mais presenciamos situações nas quais o termo Segurança de Informação está inserido. De vazamento de informações pes- soais como fotos e vídeos, Engenharia Social e práticas de Cyberbullying (atos hostis para constranger pessoas), a golpes bancários, espionagem industrial até guerra cibernética, pode- mos vê-la presente nas mais diversas situações. Dessa forma, qual a melhor maneira de definir o que é a Segurança da Informação? Segurança da Informação significa “proteger a informação dos vários tipos de ameaças”, ou seja, identificar medidas – proteções – que visam livrar a organização de situações de risco (ameaças) que possam comprometer os objetivos da ins- tituição, trazendo danos ou prejuízos. Um exemplo de prote- ção são os softwares antivírus e, de ameaça, são os vírus de 4 Segurança de Sistemas computadores. Dessa forma, “garante-se a continuidade dos negócios, minimizando o risco e maximizando o retorno sobre os investimentos e as oportunidades de negócios”. Esta definição de segurança faz referência à norma inter- nacional ISO/IEC 27002:, que no Brasil foi regulamentada pela ABNT e serve como um guia de melhores práticas para a gestão da Segurança da Informação, sendo consolidada em todo mundo como a principal referência em Segurança. E quais os objetivos da Segurança da Informação? Todas as ações em Segurança da Informação devem ser orientadas por esta tríade formada pelos aspectos de confiden- cialidade, integridade e disponibilidade, conforme a Figura 1. Joe Beck/ULBRA Figura 1 Objetivos da Segurança da Informação. Manter a Confidencialidade das informações significa, basicamente, garantir o sigilo de forma que apenas as pessoas que devem ter conhecimento a seu respeito poderão acessá- Capítulo 1 Conceituando a Segurança da Informação 5 -las. Diferentes tipos de informações terão diferentes níveis de confidencialidade. Manter a Disponibilidade das informações é garantir que ela possa ser acessada por aqueles que dela necessitam, no momento em que precisam. Manter a Integridade das informações envolve proteger as informações contra alterações em seu estado original. Dentro desse conceito geral de Segurança da Informação e seus três objetivos básicos, identificamosos 4 pilares que sus- tentam a segurança (Figura 2), sendo eles: a TECNOLOGIA, os PROCESSOS, as PESSOAS e o AMBIENTE. TECNOLOGI A PROCESSOS PESSOAS AMBIENTE SEGURANÇA DA INFORMAÇÃO Figura 2 Os quatro pilares que sustentam a segurança da informação. A TECNOLOGIA está relacionada com as soluções de segurança empregadas para suportar os processos delinea- dos. São elas que facilitam a devida aplicação das políticas 6 Segurança de Sistemas de segurança e seu monitoramento. Incluem diversas funcio- nalidades, desde a identificação dos usuários, criptografia de dados, defesa contra ameaças (como vírus), até a gestão da segurança. Os PROCESSOS constituem a linha mestra da gestão da segurança no dia a dia. Compreendem desde a visão da cor- poração, sua estratégia de segurança, a definição das políti- cas, até os processos que colocam em prática as políticas, os procedimentos, a documentação de controle e os padrões de conformidade. Por meio de processos bem definidos, uma or- ganização torna a segurança uma responsabilidade de todos e não apenas da área de segurança, pois determinam diretrizes do que é ou não permitido. As PESSOAS são um dos elementos mais importantes na gestão da segurança, pois em essência são elas que executam e suportam os processos de uma corporação. Temos os quatros pilares, porém somente as Pessoas estão vinculadas ou partici- pam nos primeiros três pilares, pois em última análise são elas que definem, criam, implementam e controlam os Processos, as Tecnologias e os Ambientes. Por esta razão, existe uma forte necessidade de que as Pessoas estejam conscientes e tenham uma cultura relacionada à Segurança da Informação, até por- que, comumente se fala, que “as pessoas são o elo mais fraco da corrente...”. Será? O capítulo 3 irá abordar especificamen- te o plano de conscientização das pessoas. O AMBIENTE é a união desses três primeiros fatores que, em conjunto, formam uma estrutura de segurança da informa- ção eficiente e de qualidade. Capítulo 1 Conceituando a Segurança da Informação 7 Assim, é importante compreender que não adianta investir apenas em um dos pilares, deixando os outros de lado. Caso esses fatores não estejam em equilíbrio, deixará a segurança da informação instável, trazendo grandes prejuízos às organi- zações. A Segurança não é apenas tecnologias, não é possível comprar um dispositivo que torne um ambiente totalmente se- guro, assim como não é possível comprar ou criar um software capaz de tornar um computador seguro. A segurança é a dire- ção em que se pode caminhar, mas nunca se chega de fato ao destino pelo fato dela não ser estática. É semelhante a tentar subir uma escada rolante infinita que desce: você poderá correr alguns degraus acima e então parar para recuperar o fôlego; após descansar, descobrirá que a escada rolante o levou para baixo até o mesmo ou além do ponto de início. Para se manter no mesmo nível, será preciso um esforço contínuo. Para avançar e conseguir maior segurança, será necessário um esforço ainda maior. E, como em uma escada rolante, não basta a quantida- de do esforço, é necessário mover-se na direção correta. Joe Beck/ULBRA Ou seja, a segurança da Informação é como processo cí- clico. Não é um processo que termina e está pronto. Sempre 8 Segurança de Sistemas que termina uma fase, inicia-se uma nova fase de planeja- mento, implementação, avaliação e melhoria. Em Segurança da Informação é assim: logo depois de terminarmos uma fase, alguém divulga uma nova vulnerabilidade e reiniciamos todo um novo ciclo. “É como a saúde, as pessoas podem comprar livros e aprender sobre dietas, exercícios ou terapias, que são proces- sos que as pessoas podem seguir em busca da saúde. A saúde é um tipo de estado ideal que nunca se consegue alcançar de maneira completa. Uma pessoa pode ser maravilhosamente saudável, mas nunca alcançará o estado de saúde perfeita. Também nunca se alcança um estado de segurança perfeita.“ Histórico da Segurança da Informação até o estágio atual A preocupação com a informação e com o conhecimento atre- lado a ela remonta a milênios. Isso pode ser observado no pro- cesso de escrita de alguns povos, como no caso da civilização egípcia, na qual somente as castas “superiores” da sociedade tinham acesso aos manuscritos da época e poucas pessoas dominavam o processo de escrita e leitura propriamente dito. Assim, a escrita por meio de hieróglifos do Egito antigo repre- senta uma das várias formas utilizadas pelos antigos para prote- gerem e, ao mesmo tempo, perpetuarem o seu conhecimento. Mas foi no século passado que talvez tenhamos tido a grande ruptura de paradigma, onde a máquina eletromecâni- Capítulo 1 Conceituando a Segurança da Informação 9 ca Enigma de criptografia com rotores desenvolvida por crip- tógrafos alemães veio a ser usada para cifrar informações a partir de 1920. Esta máquina se tornou um fator determinante para o exército alemão proteger as comunicações durante a guerra, possibilitando que os comandantes do exército de Hi- tler se comunicassem em absoluto sigilo. Porém, quando estes códigos utilizados pelo exército Ale- mão foram descobertos por Alan Turing (cientista de com- putação britânico), isso possibilitou às forças aliadas, sob a liderança de Turing, desenvolver o COLOSSUS, o primeiro computador eletrônico do mundo utilizado na Segunda Guer- ra Mundial para quebrar os códigos alemães ultrassecretos. Como os códigos gerados pelo Enigma mudavam frequen- temente, isso obrigou o projeto do COLOSSUS a incorporar recursos que possibilitassem uma decodificação rápida das mensagens, o que impulsionou o surgimento de novas solu- ções que acabaram dando origem ao que temos hoje em ter- mos de computação e ao fantástico crescimento dessa área em tão pouco tempo. A preocupação com a segurança da informação sempre teve como principal objetivo proteger “as informações” do aces- so de outras pessoas com o objetivo de manutenção do poder, de preservar benefícios, táticas e estratégias de guerra etc. A segurança da Tecnologia da Informação começou a ser discutida quase simultaneamente aos primeiros resultados prá- ticos da Internet, estabelecidos em 1969 pela até então chama- da ARPANET. Logo após os primeiros passos dessa rede, pes- quisadores de diversas linhas começaram a perceber que este 10 Segurança de Sistemas sistema de comunicação de informações entre computadores não era completamente seguro. Uma das primeiras referências à preocupação com a segurança se referia ao controle das senhas. Era um ponto crítico pois, embora o indivíduo feitor do ataque não possuísse ainda tecnologia ou conhecimentos suficientes para efetivá-lo através de meios mais elaborados, ele poderia perfeitamente tentar algo tão simples como adivi- nhar uma senha. Em 1973, Bob Metcalfe, um pesquisador da ARPA Compu- ter Networks, alertava através da RFC 602 para a fragilidade das senhas, dizendo que um dos mais simples meios, e por- tanto o primeiro a ser tentado, de invadir um sistema de com- putadores interconectados ou não, era tentar o login usando uma conta conhecida de administrador e uma senha óbvia, como o nome ou sobrenome do administrador, nome do servi- dor, datas importantes, números de telefone conhecidos e etc. Atualmente, mais de trinta anos depois do aviso de Metcalfe, muitos dos ataques ainda são conseguidos a partir da quebra de uma senha daquele tipo, visto que apesar das atuais tecno- logias elaboradas de proteção e ocultação de senhas e base de senhas, pouco se pode fazer se um usuário, por exemplo, coloca seu próprio nome de usuário como senha. Curiosa- mente, Metcalfe também é o criador da tecnologia Ethernet, que domina as redes de computadores até hoje, bem como fundador da extinta empresa 3COM. Dessa época, também surgiu o primeiro vírus. De repente, na tela de todos os Mainframes IBM 360, começava a apa- recer a mensagem “I am a creeper... catch me if you can!” Capítulo 1 Conceituandoa Segurança da Informação 11 (Sou uma trepadeira... agarre-me se puder!). Robert Thomas Morris é considerado o autor deste mítico vírus, que também deu lugar ao primeiro programa antivírus. Seu nome era muito lógico: “Reaper”, ou seja, ceifeiro. Nas últimas décadas, a tecnologia evolui muito rapida- mente. A segurança da informação vem acompanhando esta evolução e está preparada para os desafios atuais, dos quais destacamos o AUMENTO DA EXPOSIÇÃO DAS INFORMA- ÇÕES, a CONVERGÊNCIA de meios de acessos, as DIFEREN- ÇAS TECNOLÓGICAS as questões relacionadas com LEIS, REGULAMENTAÇÕES e NORMAS. Quanto ao Aumento da Exposição das Informações, no ce- nário da década de 60, as redes de comunicação de dados começaram a se proliferar, baseadas em computadores Main- frames. Estes eram máquinas grandes e poderosas que abrigavam informações centralizadas. Os usuários acessavam essas infor- mações por terminais ligados diretamente ao Mainframe. Os dados viajavam de seus terminais pelo cabo até o Mainframe, que então distribuía esses dados para outros terminais. Esse era um método centralizado e muito simplificado de comuni- cação, sendo mais fácil garantir a segurança das informações (Figura 3). 12 Segurança de Sistemas Joe Beck/ULBRA Figura 3 Diagrama da infraestrutura centralizada de um Mainframe e seus terminais. Com o passar dos anos, vieram as estações de trabalho e as informações começaram a ficar distribuídas. As fronteiras da segurança da informação foram se expandindo à medida que as informações começam a descentralizar dos Mainframes para as estações de trabalho que armazenam planilhas, docu- mentos, mensagens de correio eletrônico, entre outras bases de informações descentralizadas. A complexidade para garan- tir a segurança vai aumentando. Na medida que as empresas começaram a se conectar à Internet e fazer uso dela como ferramenta de negócios, os problemas de segurança explodi- ram, pois os sistemas ficam expostos a um número infinitamen- te maior de pessoas. Como exemplo de Convergências, podemos pegar o se- tor bancário que, há apenas alguns anos, apenas fazia pelo Capítulo 1 Conceituando a Segurança da Informação 13 computador operações bancárias. Hoje em dia, isso também é feito com diversos dispositivos, como smartphones, tablets, TVs e relógios inteligentes e, possivelmente, até de eletrodomésti- cos como geladeiras. Isso faz com que uma quantidade cada vez maior de informações trafegue por diferentes meios, facili- tando cada vez mais o acesso de pessoas mal-intencionadas. Os Problemas Tecnológicos também pode usar como referência essas tecnologias convergentes para acesso a um banco (telefones, tablets e etc.) que foram desenvolvidas com pouca ou nenhuma preocupação com segurança, o que agra- va muito a situação atual potencializando as fraudes bancárias. Elas são cenário de constante transposição de controles e de muitas falhas que surgem diariamente, demandando que uma área de segurança da informação se mantenha atualizada e preparada para lidar com novos problemas a todo momento, identificando qual o melhor padrão de criptografia que atenda desde um computador avançado até um relógio de pulso inte- ligente com acesso a conta bancária, passando pelas formas de leitura de um cartão com chip, seja no smartphone de um cliente ou na estação de trabalho de um estabelecimento. Questões relacionadas com conformidade a Leis, Regula- mentos e Normas remetem a organizações como do Banco Central, às regras da CVM (Comissão de Valores Mobiliários), à Lei do Sigilo Bancário aos acordos internacionais como SOX e Basiléia II, que demonstram a preocupação dos governos e órgãos reguladores com fraudes e outros problemas relativos à confiabilidade e disponibilidade de informações, que podem colocar sob suspeita as ações de uma organização e condu- zem à necessidade de controles de segurança e padrões 14 Segurança de Sistemas de auditoria. Alguns requisitos dessas leis se referem nitida- mente à segurança da informação, como a disponibilidade de informações de sistemas de informação (logs), garantia de não repúdio de transações, sistemas menos suscetíveis a frau- des, segregação de funções e controle rígido de acesso, entre outros. Conjunto de Normas Internacionais ISO/ IEC 27000 A ISO – “International Organization for Standardization” é uma organização sediada em Genebra, na Suíça, que foi funda- da em 1946. O propósito da ISO é desenvolver e promover normas que possam ser utilizadas igualmente por todos os pa- íses do mundo. Cerca de 111 países integram essa importan- te organização internacional especializada em padronização, cujos membros são entidades normativas de âmbito nacional. O Brasil é representado pela Associação Brasileira de Nor- mas Técnicas – ABNT. A sigla IEC significa International Elec- trotechnical Commission. É uma organização voltada para o aprimoramento da indústria da informação. Uma associação entre as duas instituições produz normas e padronizações in- ternacionais. A série ISO 27000 está relacionada com segurança da informação, estando em conformidade com outros padrões de sistemas de gerência ISO, como ISO 9001 (sistemas de gerência da qualidade) e ISO 14001 (sistemas de gerência ambiental), ambos em acordo com suas estruturas gerais e Capítulo 1 Conceituando a Segurança da Informação 15 de natureza a combinar as melhores práticas com padrões de certificação.  ISO 27001 - Substituiu a norma BS 7799-2 para certi- ficação de sistema de gestão de segurança da informa- ção.  ISO 27002 - Substituiu a ISO 17799 (Código de Boas Práticas).  ISO 27003 - Orientação prática para a criação e im- plementação de um sistema de gestão da segurança da informação em conformidade com a ISO 27001.  ISO 27004 - Esta norma incide sobre os mecanismos de mediação e de relatório a fim de avaliar a eficácia do Sistema de Gestão de Segurança da Informação.  ISO 27005 - Fornece as diretrizes para o processo de Gestão de Riscos de Segurança da Informação.  ISO 27006 - Define critérios para as pessoas e empre- sas que farão a certificação e auditoria do SGSI. A ISO 27002 é um conjunto de recomendações para gestão da Segurança da Informação para uso de implemen- tação ou manutenção da segurança nas organizações. Provi- dencia uma base comum para o desenvolvimento de nor- mas de segurança organizacional e das práticas efetivas de gestão da segurança. A ISO/IEC 27002, por sua vez, substituiu a ISO 17799, que estava apoiada na parte 1 da BS7799 descrita anterior- mente. Essa norma é publicada no Brasil pela ABNT com o 16 Segurança de Sistemas código NBR ISO 27002 e amplamente apoiada nas normas ISO/IEC 27002 (sendo uma tradução literal destas). História da ISO/IEC 27001 e 27002:  Código de Prática do Governo do Reino Unido – 1993  BS 7799 Parte 1 – Norma Britânica – 1995  BS 7799 Parte 2 – 1998  BS 7799 Parte 1 e Parte 2 revisadas 1999 (Par consis- tente)  ISO/IEC 17799 (BS 7799-1:2000) – Dez/2000  NBR ISO/IEC 17799:2001 – Ago/2001  ISO/IEC 17799:2005 – Jul/2005  NBR ISO/IEC 17799:2005 – Set/2005  ISO/IEC 27001:2005 – Out/2005  NBR ISO/IEC 27001:2006 - Abr/2006  ISO/IEC 27002:2007 – Julho/2007  NBR ISO/IEC 27002:2008  ISO/IEC 27001:2013 – Set/2013  ISO/IEC 27002:2013 – Set/2013 A norma foi revisada em junho de 2005 (modificações es- truturais) e a última revisão foi feita em setembro de 2013 (modificações estruturais e nos controles). Mudanças entre a versão 2005 e 2013 da ISO/IEC 27002: Número de seções - O número de seções aumentou de 11 para 14 na nova versão. Alguns controles estavam inseri- Capítulo 1 Conceituando a Segurança da Informação 17 dos em seções as quais não pertenciam; agora, o problema foi resolvido. Número de controles - O número de controles diminuiu de 133 a 114. Isso se deve à eliminação de alguns controles que eram muito específicos ou desatualizados. Estrutura de seções – A Criptografia se tornouuma se- ção separada. Uma coisa semelhante aconteceu com as Rela- ções com o Fornecedor, que se tornou uma seção separada. A seção Gerenciamento das operações e Comunicações foi dividida em Operações de Segurança e Segurança nas Co- municações. Mudanças entre a versão 2005 e 2013 da ISO/IEC 27002: ISO/IEC 27002:2013 ISO/IEC 27002:2005 ISO/IEC 27002:2013 ISO/IEC 27002:2005 5) Políticas de Segurança 6) Organização da segurança da informação 7) Segurança em recursos humanos 8) Gestão de ativos 9) Controle de acessos 10) Criptografia 11) Segurança física e ambiental 12) Operações de Segurança 13) Segurança das comunicações 14) Sistema de aquisição, desenvolvimento e manutenção de sistemas de informação 15) Relações com fornecedores 16) Gestão de incidentes de segurança da informação 17) Aspectos de continuidade dos negócios, relativos à segurança da informação 18) Compliance 5) Política de Segurança 6) Organizando a Segurança da Informação 7) Gestão de Ativos 8) Segurança em Recursos Humanos 9) Segurança Física e do Ambiente 10) Gestão das Operações e Comunicações 11) Controle de Acesso 12) Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação 13) Gestão de Incidentes de Segurança da Informação 14) Gestão da Continuidade do Negócio 15) Conformidade ental ça caçõõe 1 1 1 olvimento e 1 es 1 1 1 18 Segurança de Sistemas Recapitulando A informação é um ativo que, como qualquer outro ativo im- portante, é essencial para os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida. Isso é especialmente importante no ambiente dos negócios, cada mais interconectado. Como resultado desse incrível au- mento da interconectividade, a informação está agora exposta a um crescente número e uma grande variedade de ameaças e vulnerabilidades. Segundo a ISO/IEC 27002, a Segurança da Informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao ne- gócio, maximizar o retorno sobre os investimentos e as oportu- nidades de negócio. A segurança é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, proces- sos, procedimentos estruturas organizacionais e funções de software e hardware. Esses controles precisam ser estabeleci- dos, implementados, monitorados, analisados criticamente e melhorados onde necessário para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isso seja feito em conjunto com outros processos de gestão de negócio, segundo a ISO/IEC 27002. A Segurança da Informação é garantida pela preservação de três aspectos essenciais, o CID:  Confidencialidade Capítulo 1 Conceituando a Segurança da Informação 19  Integridade  Disponibilidade A confidencialidade se trata de garantir que se tenha aces- so à informação somente quem tenha autorização para tal. Restringir acesso físico seria um exemplo de requisito de se- gurança para informações impressas e medidas de proteção lógica seriam exemplos para informações em meio digital. A integridade significa assegurar que a informação e os métodos de processamento se mantêm exatos e completos: proteções são aplicadas contra alteração não autorizada e er- ros do meio de transporte, por exemplo. A disponibilidade trata de garantir que sempre que usuários autorizados necessitem ter acesso a informações, isso aconteça efetivamente. As proteções são aplicadas, por exemplo, contra falhas dos equipamentos e ações de pessoas maliciosas. Referências ABNT - Associação Brasileira de Normas e Técnicas. Tecno- logia da informação – Código de prática para a gestão da segurança da Informação. NBR ISO/IEC 27002:2013. TANENBAUM, Andrew S.; WETHERALL, David. Redes de Computadores. Tradução de Daniel Vieira. Revisão Técni- ca de Isaías Lima. 5. ed. São Paulo: Pearson Prentice Hall, 2011. 20 Segurança de Sistemas ANDRESS, Amanda. Surviving Security: How to Integrate Pe- ople, Process, and Technology. 2. ed. Auerbach Publica- tions, 2004. SOUSA, Lindeberg Barros de Sousa. Redes de Computado- res – Dados, Voz e Imagem. 4. ed. São Paulo: Editora Éri- ca, 1999. SUAVÉ, Jacques Philippe. MOURA, José Antão Beltrão. TEIXEI- RA, Suzana de Queiroz Ramos. JÚNIOR, José Helvécio Tei- xeira. Redes de Computadores – Serviços, Administração e Segurança. São Paulo: Makron Books, 1999. KUROSE, James F. ROSS, Keith W. Redes de Computadores e a Internet: uma abordagem top-down. Tradução de Da- niel Vieira. Revisão Técnica Wagner Luiz Zucchi. 6. ed. São Paulo: Pearson Education do Brasil, 2013. WADLOW, Thomas A. Segurança de Redes – Projetos e ge- renciamento de redes seguras. Tradução Fábio Freitas da Silva. Rio de Janeiro: Editora Campus, 2000. BEAL, Adriana. Segurança da Informação: princípios e me- lhores práticas para a proteção de ativos de informação nas organizações. São Paulo: Editora Atlas, 2005. FERREIRA, Fernando Nicolau Freitas. ARAÚJO, Márcio T. Polí- tica de Segurança da Informação. 2. ed. Editora Ciência Moderna, 2009. Capítulo 1 Conceituando a Segurança da Informação 21 Atividades 1) Com relação aos objetivos da Segurança da Informação, qual das respostas abaixo corresponde à Disponibilidade? a) Garantia de que as informações e sistemas estarão de acordo com os preceitos da legislação em vigor. b) Garantia de que as informações serão transferidas com segurança. c) Garantia de que os sistemas e recursos sempre fiquem seguros. d) Garantia de que as informações estejam disponíveis sempre que forem necessárias. 2) Qual destes exemplos é uma ameaça à confidencialidade? a) Uma caixa de correio eletrônico lotada b) Exclusão acidental de dados c) Utilização privada de dados d) Falsificação de dados 3) Qual são os pilares que mantêm o equilíbrio da Segurança da Informação? a) Tecnologia, Confidencialidade, Integridade e Disponi- bilidade b) Confidencialidade, Integridade e Disponibilidade c) Tecnologia, Processos, Pessoas e Ambiente 22 Segurança de Sistemas d) Tecnologia, Confidencialidade, Processos e Pessoas 4) Para que serve a Segurança da Informação? Em relação a essa pergunta, qual resposta abaixo é falsa? a) Proteger as informações dos vários tipos de ameaças. b) Garantir a Continuidade dos Negócios. c) Maximizar riscos operacionais. d) Identificar ameaças e as melhores proteções alinhadas aos negócios. 5) Qual alternativa abaixo é um exemplo de ameaça? a) Criptografia b) Firewall c) Anti-Virus d) Vírus, worms e spyware Gabarito 1) d 2) c 3) c 4) c 5) d Política de Segurança da Informação12 1 Mestre em Engenharia Elétrica pela PUC-RS. Professor na ULBRA - Universidade Luterana do Brasil - e Analista de Segurança da Informação no Banrisul - Banco do Estado do Rio Grande do Sul. Certificado MCSO, ISFS e ITIL. 2 Mestre em Ciência da Computação pela UFRGS. Professora no SENAC-RS e no IBGEN – Instituto Brasileiro de Gestão de Negócios. Alexandre Timm Vieira1 Márcia Baltar Vieira2 Capítulo 2 24 Segurança de Sistemas Introdução Se um profissional de Segurança da Informação for questiona- do sobre o que deve ser feito de mais importante para proteger um ambiente de tecnologia, ele responderá, sem titubear, que é desenvolver uma boa política de segurança da informação. Se você pedir que mostre onde está publicada a política, é bastante provável que ele peça um prazo para apresentar essa política e a forma como é divulgada. Uma política de segurança consiste em uma série de de- cisões que irão, em conjunto, determinar a postura de uma organização com relação à segurança. Essa política de segu- rança que deve determinar os limites de tolerância e os níveis de resposta às violações que possam ocorrer. Certamente, as políticas de segurança irão diferir de uma organização para outra. Por exemplo, em um departamento de uma universida- de, as necessidades de segurança são bem diferentes daque- las encontradas em grandes corporações, como por exemplo,em uma administradora de cartões de crédito que, por sua vez, difere consideravelmente de uma instituição militar. O impor- tante a ser observado é que toda organização, independen- temente de seu tipo, deve ter uma política de segurança bem definida, mesmo que seja somente para estabelecer ações a serem tomadas quando da ocorrência de eventos inaceitáveis. Vários são os propósitos a serem atingidos com uma políti- ca de Segurança da Informação. Entre eles, podemos destacar:  Descrever o que está sendo protegido e por quê. Capítulo 2 Política de Segurança da Informação 25  Definir as prioridades sobre o que precisa ser protegido.  Permitir o estabelecimento de um acordo explícito com as várias partes da corporação em relação ao valor da segurança.  Fornecer à área de segurança a autoridade necessária para sustentar o “não” quando necessário. Mas, se consensualmente a política de segurança é o re- curso mais importante para tornar um ambiente seguro, por que muitas vezes ela é tão negligenciada? A política é impor- tante, mas muitas vezes existem outras medidas de segurança de resultado mais imediato que se tornam prioridade; em ou- tros momentos, dentro de muitas corporações, a política inter- na e possíveis atritos entre áreas distintas podem influenciar na escrita da política, na determinação dos responsáveis, seja por explicitamente grupos quererem ou não assumir responsabili- dades em regras e procedimentos. Por fim, uma boa política é um documento difícil de se organizar, principalmente quando é necessário que seja abrangente. Não é possível prever todos os casos e todos os detalhes. Portanto, uma boa política hoje é melhor que uma exce- lente política no próximo ano. Mesmo pequena, mas bem distribuída, é melhor que uma política forte que ninguém leu. Não adianta ter uma política muito grande, mas complexa de ser atualizada, podendo se tornar obsoleta com o passar do tempo. 26 Segurança de Sistemas Como desenvolver uma política de Segurança da Informação Primeiramente, é importante destacar que a política deve ser desenvolvida antes de um incidente de segurança, visto que se a criação dela for motivada por um incidente, a probabi- lidade de ser focada em demasia naquela situação é muito grande. Ao criar uma Política de Segurança da Informação, bus- ca-se garantir a organização, uma postura de pró-atividade frente a incidentes de segurança e ameaças, permitindo que, por meio de um processo periódico de revisão da política, a organização possa acompanhar com velocidade as va- riações do ambiente, ajustando os controles de segurança a fim de manter um nível de segurança adequado para os negócios. Quem fará uso da política são todos os colaboradores da organização, podendo incluir estagiários e terceirizados, sen- do que ela se aplica a todos os níveis hierárquicos, inclusive a cúpula estratégica da organização e, portanto, deve con- tar com a participação desta no processo de elaboração. A aprovação da PSI deve ser feita até o maior nível hierárquico da organiza ção, garantindo o comprometimento desta com os objetivos estratégicos da organização alinhado às necessida- des de negócio. Capítulo 2 Política de Segurança da Informação 27 Escopo Alinhado aos objetivos do negócio, devem-se identificar os pontos prioritários de atenção frente aos objetivos básicos da Segurança da Informação, que são a confidencialidade, dis- ponibilidade e integridade das informações, como por exem- plo, a prioridade ser a proteção de informações financeiras de clientes. Portanto, questões como controles no uso de correio eletrônico, acesso a dispositivos removíveis de armazenamento e os aplicativos de processamento dessas informações serão críticos e relevantes para serem contemplados na Política. Uma boa estratégia para definição do escopo da Política de Segurança é analisar os resultados da aplicação de um Gerenciamento de Risco, conforme será descrito no Capítulo 4 deste livro. Por meio dessa análise, garante-se um mapea- mento claro de controles a serem contemplados na política de segurança alinhados com as principais ameaças e vulne- rabilidades que mais causam impacto e oferecem riscos aos negócios estratégicos da corporação. A necessidade da política também surge quando analisado por uma perspectiva de conformidade legal. Muitas organiza- ções têm seu funcionamento controlado por entidades externas que impõem requisitos em relação à Segurança da Informa- ção, portanto o desenvolvimento das políticas é ponto funda- mental em uma série de normas e regulamentações, além de ser incentivado por normas internacionais de melhores práti- cas. Esse fator é importante, pois o não desenvolvimento de políticas pode ser considerado negligência administrativa caso a organização seja processada por problemas de segurança 28 Segurança de Sistemas da informação que tenham causado danos a terceiros, como acionistas ou mesmo empregados. Com essas bases de referências, deve-se definir o escopo da política. Tende-se a querer aplicar a política a toda a cor- poração, mas esta alternativa mostra-se inviável com o tempo. Deve-se trabalhar com um escopo reduzido focando ambien- tes menores, mas de grande importância, partindo aos poucos para todos os cenários da corporação. Quem desenvolve a Política? É fundamental que exista uma estrutura de gerenciamento da Segurança da Informação dentro da organização, estabeleci- da para coordenar e analisar criticamente a implementação da segurança, indicando quem é responsável e presta contas pela segurança em todos os níveis da organização e quais as linhas hierárquicas existentes entre as funções de seguran- ça, sendo responsabilidade desse departamento o desenvol- vimento da Política de Segurança, garantindo o alinhamento com os princípios de segurança que a alta direção da empre- sa considera importantes e fundamentais para o negócio da organização. Para o aprofundamento mais técnico da Política, é fundamental o envolvimento de profissionais das áreas de tecnologia, como infraestrutura de TI e desenvolvimento de sistemas, que serão os responsáveis pela implementação de grande parte dos controles e, por isso, terão a responsabilida- de de detalhá-los. Diferentes áreas da organização podem participar, contri- buindo com informações relevantes, sendo conveniente en- Capítulo 2 Política de Segurança da Informação 29 volver cooperação e colaboração de gerentes, usuários, ad- ministradores, auditores, segurança física e patrimonial, área jurídica, recursos humanos e gestão de riscos. Se o tamanho da organização não comporta um depar- tamento de Segurança da Informação e a utilização de re- presentantes de diferentes áreas, convém que as ações sejam conduzidas por um organismo de gestão adequado ou por um gestor individual. A contratação de terceiros pode ser uma opção bastante conveniente, disponibilizando uma consultoria especializada em Segurança da Informação dentro da organização. Nem sempre o orçamento da instituição permite esse tipo de contra- tação; portanto, para se manter atualizado com as tendências de mercado, acompanhar normas e métodos de avaliação e garantir apoio adequado quanto ao tratamento de incidentes de segurança, é conveniente manter contatos com especialis- tas ou grupos de segurança externos. Conteúdo da Política de Segurança O conteúdo da política varia de acordo com o tipo e tamanho da organização, sendo fundamental seu alinhamento com a norma internacional ISO/IEC27002, abordada no primeiro capítulo deste livro. Sempre que cabí vel, os seguintes aspectos da norma devem ser abordados:  Organização da segurança: Define a estrutura de ges- tão adotada para administrar as questões de segurança da informação. 30 Segurança de Sistemas  Classificação e controle dos ativos de informação: Orienta so bre realização de inventário dos ativos infor- macionais, formas de clas sificação da informação con- siderada crítica e responsabilidadespela ma nutenção dos controles necessários para protegê-la .  Aspectos humanos da segurança: Definições sobre a po- lítica de se gurança de pessoal, contemplando desde os processos de admissão e demissão, requisitos de segu- rança aplicáveis a empregados e prestadores de serviço, além de treina mentos e conscientização em segurança.  Segurança do ambiente físico: Proteção dos recur sos e instalações de processamento de informações críticas ou sensí veis do negócio contra acesso não autorizado, dano ou interferência.  Segurança do ambiente lógico: Garantir a operação correta e segura dos recursos computacionais e proteger a integridade dos serviços.  Segurança das comunicações: Proteção de dados e in- formações durante o processo de comunicação.  Prevenção e tratamento de incidentes: Prevenção, detec- ção, notificação, investigação e tratamento de incidentes de segu rança, bem como para a emissão de relatórios a eles relacionados.  Desenvolvimento/aquisição, implantação e manutenção de siste mas: Uso de controles de segurança em todas as eta pas do ciclo de vida dos sistemas, incluindo o padrão Capítulo 2 Política de Segurança da Informação 31 mínimo de segu rança a ser aplicado a todos os sistemas corporativos.  Gestão da continuidade do negócio: Recomendações para que a or ganização se prepare para neutralizar as interrupções das atividades organizacionais e proteja os processos críticos na ocorrência de uma falha ou desastre.  Conformidade: Preservação da conformidade com requi- sitos legais e marcos regulatórios. O não cumprimento de obrigações legais pode implicar em grande prejuízo, em que o desenvolvimento da política deve contemplar tais necessidades e mostrar o comprometimento da or- ganização em atingir os objetivos por elas levantados. Nesse aspecto, também devem ser previstos procedimen- tos a serem adotados em caso de violação da política de se gurança e descrição das punições a que estão sujeitos os infratores (as quais podem ir de uma simples adver- tência à demissão e ação judicial). Alguns exemplos de requisitos legais e regulatórios são a lei das S/A, código civil, resoluções do Banco Central, normas da CVM e acordos como Sarbanes-Oxley e Basiléia I e II. Responsabilidades Uma política de segurança da informação deve identificar e atribuir as responsabilidades em todos os níveis organizacio- nais, definindo e explicando aos diversos colaboradores quais as suas responsabilidades. Cada classe de colaborador pode apresentar níveis distintos de responsabilidades e privilégios e 32 Segurança de Sistemas estes devem estar claramente delimitados na política, como por exemplo:  Responsabilidades gerais: Aplicada a todos os colabo- radores.  Responsabilidades de Administradores de Sistemas/ Operações: Tratarão das informações sobre os usuá- rios e terão privilégios especiais de controle total aos sistemas, necessitando a definição de responsabilidades específicas.  Responsabilidades de terceirizados: Com acesso a am- bientes específicos, necessitam de autorizações e res- ponsabilidades especiais.  Responsabilidades para convidados: Convém prever co- laboradores do tipo convidados, que não têm acesso aos ambientes da organização, mas possam vir a ser concedidos de forma reduzida por prévia notificação e por períodos determinados. Essas responsabilidades bem definidas criam uma cultura de segurança, atuando com aquele que normalmente é consi- derado o elo mais fraco: as pessoas. Organização da Política de Segurança Desenvolver a política, como já pôde ser percebido até o mo- mento, implica bastante trabalho, reunindo as pessoas certas para buscar aprovação dos processos modelados e da políti- Capítulo 2 Política de Segurança da Informação 33 ca escrita, mas isso pode refletir em muitas reuniões e muitas indefinições. Portanto, é preciso saber tomar decisões flexíveis para moldá-la de acordo com as necessidades da organiza- ção. A seguir, são abordadas algumas recomendações para o estabelecimento da política na organização: A política deve ter uma abrangência ampla, não incluindo nada específico. Afirme generalidades, mantendo seu foco nas questões de princípio, por exemplo: para manter a generali- dade dos princípios, em lugar de mencionar na política o “uso de antivírus”, é preferível usar expressões como “combate de código malicioso”. Trate a política e suas regras como regras absolutas com força de lei. Não faça nada que possa violar a política e não permita que ocorram violações. Utilize uma linguagem clara e objetiva, evitando duplas in- terpretações, como por exemplo, a regra “Uso pessoal mínimo durante o horário comercial normal” dá margem para qual o significado de “mínimo” concretamente. Apesar de a política ser tratada como lei, o uso de uma linguagem complexa e demasiadamente formal pode tornar sua leitura complicada e maçante, portanto é importante fa- zer uma escolha cabível entre a alta formalidade e uma lin- guagem mais próxima à realidade da instituição e de seus colaboradores. O estilo adotado deve ser mantido em toda a política. 34 Segurança de Sistemas Um exemplo de organização da Política de Segurança a Informação são os itens contidos na Política de Segurança da Informação do Instituto do Patrimônio Histórico e Artístico Nacional do Ministério da Cultura, elaborada pelo seu Co- mitê Gestor de Tecnologia da Informação e disponibilizada publicamente em: <http://www.iphan.gov.br/baixaFcdAnexo. do?id=4010>. Estrutura É por meio da Política de Segurança da Informação que as estratégias de proteção das informações da organização serão definidas, sempre baseadas nas necessidades de proteção que a organização necessita, e passada para todas as áreas envol- vidas nas mais diversas esferas. Elas servirão como linha mestra de todas as atividades de segurança das informações que são desempenhadas na orga- nização. A política deve ser estruturada de forma de forma a refletir os objetivos estratégicos da organização que se manterão por longo prazo, bem como os objetivos táticos e operacionais que refletem as rotinas diárias e podem sofrer mudanças em curto prazo, conforme ilustra a Figura 1. Capítulo 2 Política de Segurança da Informação 35 Joe Beck/ULBRA Figura 1 Estrutura da Política de Segurança Objetivos estratégicos – Refletem a visão estratégica da alta direção e servirão como base para que as normas e os procedimentos mantenham coerência com as diretrizes or- ganizacionais (missão, visão, valores, objetivos), com a estra- tégica corporativa e com as diretrizes de segurança em geral existentes na organização. Um exemplo de diretriz estratégica é “Proteger as informações e sistemas contra a modificação, destruição, acesso ou divulgação não autorizada pela orga- nização”. Objetivos táticos - Especificam as normas e regras no pla- no tático, refletindo as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégica definida nas diretrizes. Um exemplo de norma tática é “Não 36 Segurança de Sistemas é permitida a utilização de software não adquirido oficialmen- te pelo Banrisul, bem como suas cópias, ou de qualquer ou- tro software”. Objetivos operacionais – Os procedimentos e rotinas ope- racionais detalham, no plano operacional, as configurações de um determinado produto ou funcionalidade que devem ser realizada para implementar os controles e as tecnologias esta- belecidas nas normas, bem como detalham atividades passo a passo que normalmente envolvem a interação entre áreas e/ ou pessoas. Um exemplo de procedimento operacional é “Os colaboradores que identificarem a necessidade da construção de um Plano de Continuidade de Negócio - PCN, devem entrar em contato por correio eletrônico para gestaoPCN@dominio. com.br. Um analista será designado para orientar o solicitante.” Estudo de Caso A seguir, é apresentado o caso Randal Schwartz, real e polê- mico, percursor para as políticasde segurança da informação. Randal Schwartz foi um homem famoso por suas impor- tantes contribuições às comunidades de programação, par- ticularmente seus discursos na Practical Extraction and Report Language (linguagem Perl). De maneira geral, Schwartz teve uma influência benéfica na Internet. Apesar de suas contribuições, Schwartz permanece na linha divisória entre hacker (bom) e Cracker (mau). No outono de 1993, ele trabalhou para a Intel em Oregon. Pela sua capaci- dade como administrador de sistema, Schwartz foi autorizado Capítulo 2 Política de Segurança da Informação 37 a implementar certos procedimentos de segurança. Ele mais tarde explicaria, dando seu próprio testemunho: Parte de meu trabalho envolvia certificar de que os sis- temas de computador eram seguros, prestar atenção a ativos de informações, porque é aí onde a empresa in- teira reside - o produto da empresa é o que está dentro desses discos. Isso é o que as pessoas estão produzindo. Elas estão sentadas à frente de suas estações de traba- lho. Então, proteger essas informações era meu trabalho, examinar a situação, ver o que precisava ser corrigido, o que precisava ser alterado, o que precisava ser instalado e o que precisava ser alterado de tal maneira que as in- formações fossem protegidas. Os seguintes eventos se tornaram conhecidos:  No dia 28 de outubro de 1993, um administrador de sistema na Intel observou processos pesados sendo exe- cutados em uma máquina sob seu controle.  Por meio do exame desses processos, o administrador de sistema concluiu que o programa sendo executado era o conhecido Crack, um utilitário comum utilizado para decifrar senhas em sistemas UNIX. Esse utilitário estava sendo aplicado às senhas da rede da Intel e de pelo menos uma outra empresa.  Mais exames revelaram que os processos estavam sendo executados por Schwartz ou por alguém utilizando seu login e sua senha. 38 Segurança de Sistemas  O administrador de sistema entrou em contato com um superior que confirmou que Schwartz não estava autori- zado a quebrar as senhas da rede da Intel.  No dia 12 de novembro de 1993, esse administrador de sistema forneceu um depoimento que era suficiente para sustentar um mandato de busca na casa de Schwartz.  O mandato de busca foi fornecido e Schwartz foi poste- riormente detido, acusado sob um obscuro estatuto de crime de informática do Oregon. O caso é polêmico e estranho. Você tem um programador qualificado e famoso encarregado de manter segurança inter- na para uma empresa grande. Ele se ocupa com procedimen- tos para testar a segurança de rede e acaba sendo detido por causa do seu trabalho. Pelo menos inicialmente, o caso apa- rece dessa maneira. Infelizmente, esse não é o fim da história. Schwartz não tinha autorização para decifrar esses arquivos de senha e houve evidências de que ele violou outras diretivas de segurança de rede na Intel. Por exemplo, Schwartz uma vez instalou um script de shell que permitia a ele acessar à rede da Intel a partir de outras localizações. Esse script abriu um minúsculo furo no firewall da Intel. Outro administrador de sistema descobriu esse progra- ma, congelou a conta de Schwartz e o confrontou. Schwartz concordou que instalar o script não foi uma boa ideia e con- cordou ainda em reprimir a utilização dele. Algum tempo mais tarde, esse mesmo administrador de sistema descobriu que Schwartz tinha reinstalado e renomeado o programa, assim jogando o administrador de sistema para fora dos trilhos. Capítulo 2 Política de Segurança da Informação 39 O que tudo isso significa? Randal Schwartz provavelmente quebrou a diretiva da Intel muitas vezes. Entretanto, o depoi- mento sugere que essa diretiva nunca foi explicitamente colo- cada para Schwartz. Pelo menos, não lhe foi fornecido nenhum documento que proibia expressamente sua atividade. Mas também parece claro que Schwartz excedeu sua autoridade. Vendo o caso objetivamente, algumas conclusões podem ser imediatamente deduzidas. Na época, ferramentas como o Crack eram relativamente novas no campo da segurança e mesmo sendo um procedimento louvável para identificar senhas fracas, aquelas que podem ser facilmente decifradas, essa prática intrusiva de decifrar senhas pode não ser tão acei- ta universalmente como um procedimento benéfico (pelo me- nos não na Intel) e, claramente, se uma Política de Segurança estivesse estabelecida e divulgada internamente na instituição e em termos de usuários no processo de contratação, a Intel teria o embasamento legal claro para sustentar o descumpri- mento no uso correto dos recursos da instituição. Recapitulando Uma política de segurança da informação prove uma orienta- ção e o apoio da organização para a segurança da informa- ção de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes. Convém que a alta direção estabeleça uma clara orien- tação da política, alinhada com os objetivos de negócio, e 40 Segurança de Sistemas demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização. Recomenda-se que uma política de segurança siga as refe- rências da norma internacional ISO/IEC27002 e, sempre que possível, os seus objetivos de segurança devem ser abordados:  Organização da segurança.  Classificação e controle dos ativos de informação.  Aspectos humanos da segurança .  Segurança do ambiente físico.  Segurança do ambiente lógico.  Segurança das comunicações.  Prevenção e tratamento de incidentes.  Desenvolvimento/aquisição, implantação e manutenção de siste mas.  Gestão da continuidade do negócio.  Conformidade. Referências ABNT - Associação Brasileira de Normas e Técnicas. Tecno- logia da informação – Código de prática para a gestão da segurança da Informação. NBR ISO/IEC 27002:2013. Capítulo 2 Política de Segurança da Informação 41 SUAVÉ, Jacques Philippe. MOURA, José Antão Beltrão. TEIXEI- RA, Suzana de Queiroz Ramos. JÚNIOR, José Helvécio Tei- xeira. Redes de Computadores – Serviços, Administração e Segurança. São Paulo: Makron Books, 1999. KUROSE, James F. ROSS, Keith W. Redes de Computadores e a Internet: uma abordagem top-down. Tradução de Da- niel Vieira. Revisão Técnica Wagner Luiz Zucchi. 6. ed. São Paulo: Pearson Education do Brasil, 2013. WADLOW, Thomas A. Segurança de Redes – Projetos e ge- renciamento de redes seguras. Tradução Fábio Freitas da Silva. Rio de Janeiro: Editora Campus, 2000. BEAL, Adriana. Segurança da Informação: princípios e me- lhores práticas para a proteção de ativos de informação nas organizações. São Paulo: Editora Atlas, 2005. FERREIRA, Fernando Nicolau Freitas. ARAÚJO, Márcio T. Polí- tica de Segurança da Informação. 2. ed. Editora Ciência Moderna, 2009. Atividades 1) Qual alternativa a seguir não reflete os objetivos de uma Política de Segurança da Informação? a) Demonstrar o apoio da Alta Gestão para com as me- lhores práticas de Segurança da Informação. b) Definir responsabilidades gerais e específicas na Ges- tão de Segurança da Informação. 42 Segurança de Sistemas c) Estabelecer consequências caso as definições de Se- gurança da Informação sejam violadas. d) Definir orientações para que a organização esteja em conformidade com leis, requisitos regulamentares e/ ou contratuais. e) Alinhar as melhores práticas de Segurança da Informa- ção com os objetivos e estratégias do cliente externo. 2) Quais as três categorias em que está estruturada a Política de Segurança? a) Diretrizes, Normas e Procedimentos. b) Táticas, Procedimentos e Instruções. c) Táticas, Procedimentos e Operações. d) Diretrizes, Procedimentos e Instruções. e) Todas as alternativas estão incorretas. 3) Ao criarmos uma Política de Segurança da Informação, além de garantirmos organização e postura proativa frente a incidentes, por que devemos realizar um processo perió- dico de revisãodessa política? 4) É sabido que é de extrema relevância existir uma estrutura de gerenciamento da Segurança da Informação dentro da organização, estabelecida para coordenar e analisar criti- camente a implementação da Segurança. Porém, a quem se deve destinar os aspectos técnicos da Política de Segu- rança? Capítulo 2 Política de Segurança da Informação 43 a) Alta direção da empresa. b) Gerentes dos principais setores da empresa. c) Profissionais das áreas de tecnologia, como infraestru- tura de TI e desenvolvimento de sistemas. d) Profissionais terceirizados, especializados em infraes- trutura de rede. e) Todas as alternativas estão incorretas. 5) O conteúdo da Política de Segurança de uma organização varia de acordo com seu tipo e tamanho, sendo funda- mental um alinhamento com a norma internacional ISO/ IEC27002. Porém, é recomendado abordar alguns aspec- tos da norma, como por exemplo, a Conformidade. Quais características podemos descrever sobre esse aspecto? Gabarito 1) e 2) a 3) Para que a organização possa acompanhar com veloci- dade as variações do ambiente, ajustando os controles de segurança a fim de manter um nível de segurança adequado para os negócios. 4) c 5) Preservação da conformidade com requisitos legais e marcos regulatórios. ?????????? Capítulo ? Cultura e Conscientização em Segurança da Informação12 Cultura e Conscientização em Segurança... 1 Mestre em Engenharia Elétrica pela PUC-RS. Professor na ULBRA - Universidade Luterana do Brasil - e Analista de Segurança da Informação no Banrisul - Banco do Estado do Rio Grande do Sul. Certificado MCSO, ISFS e ITIL. 2 Superintendente da Unidade de Infraestrutura de TI no Banrisul – Banco do Estado do Rio Grande do Sul Alexandre Timm Vieira1 Sérgio Vilanova2 Capítulo 3 Capítulo 3 Cultura e Conscientização em Segurança... 45 Introdução Uma das principais razões pela qual a segurança da infor- mação é difícil de ser implementada é pelo fato de a gene- ralidade dos gestores reduzirem a segurança a um problema meramente tecnológico. A tecnologia é, claramente, um dos componentes essenciais a uma estratégia de segurança, mas por si só não resolve nada. Para demonstrar que a segurança da informação exige bem mais que uma abordagem exclusivamente tecnológica, a edição de 2013 do Global State of Information Security revela que as organizações afirmaram dispor de antivírus e diversas outras tecnologias para proteção contra as principais ameaças (Figura 1). Joe Beck/ULBRA Figura 1 Tecnologias para Proteção da Informação. A título indicativo, no entanto, os problemas com malware (vírus) constituem o tipo de incidente responsável pelo maior número de prejuízos, como indica o relatório de 2013 da Ka- 46 Segurança de Sistemas persky (empresa desenvolvedora do conhecido software antiví- rus), no qual 66% das empresas avaliadas são vítimas de vírus (Figura 2). Joe Beck/ULBRA Figura 2 Tipos de ataques. Desses incidentes com vírus, 12% causaram perda de da- dos sensíveis aos negócios e outros 23% também causaram perda de dados, apesar de serem informações não sensíveis. Os 30% restantes não causaram perdas, mas podem causar lentidão e indisponibilidade dos serviços de TI. Se a solução para segurança fosse puramente tecnológica, esses resultados seriam significativamente diferentes. Os resul- tados provam, sem margem para dúvidas, que a segurança da informação vai muito para além das soluções tecnológicas, mas por um triângulo que, para além da tecnologia, envolva as pessoas e os processos. Capítulo 3 Cultura e Conscientização em Segurança... 47 No livro “Surviving Security: How to Integrate People, Pro- cess, and Technology”, Amanda Andress explica bem essa inte- ração entre processos, pessoas e tecnologias, nessa ordem de importância. Os processos (políticas e procedimentos) definem como uma organização encara a segurança, como os seus funcionários devem atuar e como determinadas situações de- vem ser tratadas. Sem processos definidos, nenhuma organiza- ção pode afirmar dispor uma sólida implantação de seguran- ça da informação, pura e simplesmente porque os processos são a base sobre a qual se constrói a segurança. Segundo Andress, as pessoas são o segundo componente mais importante da segurança. Elas são geralmente conside- radas o elo mais fraco numa infraestrutura de segurança, co- locando muitas vezes em risco o tempo, a energia e o dinheiro despendido para avaliar, adquirir e implementar uma solução de segurança. A educação dos usuários e a sua sensibilização para a segurança, recompensando-os quando seguem os pro- cedimentos, desempenha um papel importante e da máxima importância. Por fim, vem a tecnologia, o componente importante em uma infraestrutura de segurança da informação, mas pouco eficiente sem processos bem definidos e colaboradores cons- cientizados sobre a segurança. Os investimentos em tecnolo- gia terão pouco valor se as pessoas não receberem treinamen- to adequado sobre o que e como fazer. Há muito tempo os criminosos já sabem que a maneira mais fácil de burlar um sistema de segurança da informação é explorar as pessoas. Técnicas simples – como se fazer passar 48 Segurança de Sistemas por pessoal de TI ou da empresa – podem ser usadas para se obter acesso a informações sem deixar suspeitas. Entre as em- presas entrevistadas pelo relatório “Muito além de Compliance - Pesquisa Global sobre Segurança da Informação” da Ernst & Young, de 2008, 85% das empresas analisadas confirmaram que conduzem testes de invasão pela Internet regularmente, mas apenas 19% responderam que recorrem à engenharia so- cial para testar seus funcionários. Por que ter “cultura e conscientização em Segurança da Informação”? Existem vários “porquês” para essa questão, que passam por razões pessoais, profissionais e/ou legais ou contratuais, todos envolvendo cuidados com a exposição de informações, das mais simples até as mais sigilosas. Em termos pessoais, temos que ter cuidado ao passar in- formações em meios eletrônicos de comunicação, quando en- tramos em redes sociais, respondemos mensagens de correio eletrônico, acessamos nossas contas nos sistemas de Internet Banking e assim por diante. Também relacionadas a questões pessoais, temos de orientar nossos filhos e familiares a terem os mesmos cuidados. Em termos profissionais, precisamos cuidar desde as infor- mações que possam vir a ser usadas pelos concorrentes, como também aquelas que, por alguma questão legal ou moral, ne- cessite que tenhamos cautela e maior cuidado com o seu uso. Capítulo 3 Cultura e Conscientização em Segurança... 49 Também temos de cuidar os recursos e os ativos de tecnologia que a empresa coloca à disposição para a realização de nos- sas atividades, além de orientar os colegas, estejam eles em qualquer nível de delegação. Esses cuidados devem fazer parte de nossa vida pessoal e profissional, pois por erro ou distração podemos perder um pen drive contendo todas as nossas fotos do verão ou tornar disponível informações pessoais de cliente ou contas em que estamos trabalhando. Porém, talvez o que hoje nos remeta a observar com maior rigor esses cuidados com a segurança da informação são os crescentes avanços nas ações fraudulentas usadas por crimi- nosos, como os “hackers”, que buscam obter informações das pessoas para cometer atos ilícitos através dos meios eletrôni- cos de comunicação. A cada ano, o número de softwares maliciosos aumenta e o número de ataques a computadores pessoais, contas ban- cárias, dados e informações tem se tornado uma preocupação geral das empresas de softwares, dos bancos, lojistas etc., mas o fundamental é que devemos encarar isso como uma preo- cupação pessoal. Por mais que se invista em tecnologias e sistemas de pro- teção, essa “guerra” contra os criminosos virtuais não parece estar perto do fim e todas as armas disponíveis para se pro- teger devem ser utilizadas. Todos os programas de proteção,atualizações e correções devem estar instalados nos computa- dores, pois a cada minuto surge uma nova ameaça que pode explorar uma vulnerabilidade dos sistemas. Cuidados com a 50 Segurança de Sistemas escolha e proteção de senhas, acessos a sites, a mensagens de e-mail, também fazem parte desse modelo que visa dar proteção. Assim, é preciso adotar uma cultura que se torne consci- ência de segurança da informação. Mas o que fazer? Em geral, encontramos muitas referências técnicas relacio- nadas a questões de segurança da informação, em especial sobre Processos, Tecnologias, Ambientes e sobre os riscos e cuidados associados às atribuições e atividades das pessoas. Mas quando o assunto é “Cultura e Conscientização”, existem poucas referências. O que diz a norma ISO/IEC27002? Em termos práticos, encontramos muito poucas referências sobre cultura e conscientização na norma; ela basicamente orienta que existam ações, porém não apresenta maiores de- talhes ou, até mesmo, conceitos a serem observados. No item “6.1.2.”, temos o subitem “f” – “Promova de for- ma eficaz, a educação, o treinamento e a conscientização pela segurança da informação, por toda a organização”. No item “8.2.2 – Conscientização, educação e treinamen- to em segurança da informação”, temos os seguintes aponta- mentos: Capítulo 3 Cultura e Conscientização em Segurança... 51  Controle  Diretrizes de Implementação  Informações Adicionais Em uma área de Segurança da Informação de uma insti- tuição, a tecnologia desempenha um papel vital na segurança da informação, mas também é preciso focar em programas de cultura, conscientização e treinamento para que a área tenha eficácia operacional. As pessoas em uma instituição devem ser tão cruciais quanto qualquer outro componente da segurança da informação – assim, ajudarão a impedir a ocorrência de incidentes e possibilitarão uma resposta eficaz e oportuna sempre que necessário. Implementando um processo de cultura e conscientização de segurança da informação na organização Este tópico é mais voltado a profissionais da área de Seguran- ça da Informação que busquem implementar em sua organi- zação um processo de Cultura e Conscientização. É claro que isso vai depender do porte da empresa e da na- tureza de suas atribuições. Os controles, leis, normas e proce- dimentos variam de acordo com o ramo de atividade e do foco que a empresa atua. Uma empresa que atua exclusivamente com comércio eletrônico (sites de vendas) terá preocupações e cuidados distintos de uma loja que só usa a parte de TI para 52 Segurança de Sistemas controle de estoque, faturamento e registro das compras efe- tuadas na loja. Os cuidados nas indústrias são diferentes dos aplicados nos meios bancários, que por sua vez diferem da área governamental. Empresas multinacionais precisam aten- der às regulamentações de seus países de origem ou, no caso das empresas brasileiras que possuem ações na bolsa ameri- cana, precisam atender a legislações externas, como é o caso da Sabanes Oxley (SOX). Certa vez, assisti uma apresentação, em um evento de se- gurança, que tratava de do nível de proteção e sigilo que é preciso em uma escola de samba do Rio de Janeiro para que as informações do enredo e das fantasias não vazem antes dos desfiles ou do momento apropriado. Nesse caso, não se trata de TI, mas da estratégia que os organizadores devem montar todo ano para garantir a segurança das informações, afinal cada escola conta com milhares de participantes, sendo im- portante o nível de segregação da informação em cada uma das estruturas da escola. Poderíamos separar as ações em dois níveis: um de cunho INTERNO, voltado aos profissionais que trabalham na empre- sa, sejam eles empregados, estagiários ou contratados exter- nos, e um de cunho EXTERNO, voltado para clientes e empre- sas parceiras, no qual estariam compreendidos um conjunto de atividades (entre campanhas, cursos e avaliações) e materiais associados, planejados para promover e manter uma situa- ção onde todos tenham uma mesma base nivelada sobre Segurança de Informação, bem como competências es- pecíficas conforme sua área de atuação, proporcionando um alto nível de conhecimento e consciência sobre segurança. Capítulo 3 Cultura e Conscientização em Segurança... 53 Este programa de treinamento e conscientização de segu- rança deverá ser um processo contínuo que visa mudar o modo como pessoas pensam e agem, possibilitando um am- biente de segurança positivo na instituição, fazendo com que os funcionários ajam instintivamente e sejam proativos de modo que promovam as boas práticas de segurança da informação. Objetivos O programa de conscientização visa mudar o modo como os colaboradores de sistema pensam e agem, de forma que a segurança da informação se torne parte das atividades de ne- gócios da empresa, fazendo com que os colaboradores:  Aumentem a conscientização, percebendo o que signifi- ca Segurança da Informação para a organização;  Saibam como aplicar as ações de segurança em seu ambiente de trabalho;  Entendam que as informações armazenadas nos siste- mas são um recurso importante e valioso;  Adquiram uma cultura de diálogo e participação nos assuntos relacionados, auxiliando no reconhecimento de problemas e incidentes, permitindo uma resposta de acordo;  Entendam a política de segurança, padronização dos sistemas e princípios da organização; Enfim, percebam que eles também são responsáveis pela segurança da informação, conhecendo a direção estratégica e 54 Segurança de Sistemas estabelecendo vínculos constantes entre objetivos de seguran- ça e ações diárias. Benefícios Os benefícios de um programa de treinamento e conscienti- zação de segurança da informação para uma instituição vem de assegurar que incidentes de segurança sejam reduzidos em número e escala e, consequentemente, acabar melhorando as práticas de trabalho e garantir que a segurança será uma parte integrada aos produtos e serviços oferecidos. Benefícios do programa de treinamento e conscientização em segurança da informação:  Aumento da confiança dos clientes e acionistas na capa- cidade da instituição em fornecer qualidade de produtos e serviços;  Garantir a melhor continuidade dos negócios;  Melhor proteção das informações confidenciais de pes- soas não autorizadas, concorrentes ou ladrões;  Menor custo à segurança de TI por erros não intencionais;  Melhoria no astral dos colaboradores, pois funcionários gostam de trabalhar para garantir a segurança e quali- dade nas organizações;  Quantificar o nível de maturidade da segurança no que- sito pessoas.  Aderência à Política de Segurança da Informação. Capítulo 3 Cultura e Conscientização em Segurança... 55 Definição do escopo O escopo define basicamente a abrangência do programa de conscientização, no qual idealmente ele deve ser endereçado a todos os colaboradores da instituição (sejam funcionários, estagiários e terceirizados), pois para construir um nível consis- tente de segurança em todas as partes de uma organização, é importante que não tenha nenhum elo fraco na corrente. Mas a definição de escopo é um dos principais fatores de sucesso ou fracasso do programa de conscientização, no qual o tamanho do escopo é a principal regra para avaliar se ele está correto: quanto maior o escopo, maior a probabilidade de insucesso no projeto, portanto é fundamental agrupar as pessoas em áreas alinhadas com a estratégia da organização, identificando-as de acordo com o(s) macroprocesso(s) de ne- gócio que elas suportam. O enfoque do programa de conscientização poderá variar de acordo com o escopo identificado, refletindo áreas mapea- das alinhadas com os processos de negócios. Portanto, alguns cuidados serão tomados para atingir o ob- jetivo do programa, assim como:  Estar alinhado com as atividades de cada área mapea- da e os impactos que a área traz aos negócios da orga- nização, podendo, dessaforma, priorizar as áreas mais críticas.  Reconhecer as ameaças e riscos associados aos negó- cios, podendo, dessa forma, direcionar o material para as questões de segurança corretas, como priorizar uso 56 Segurança de Sistemas correto de recursos, cuidados com engenharia social, ataques de phishing por email etc.  Levar em consideração a cultura já estabelecida e tra- balhar atividades que são comuns à instituição e, es- pecificamente, a cada área, garantindo, dessa forma, que o material produzido esteja alinhado ao ambiente e cultura da instituição. O diagrama da Figura 3 ilustra as ações que poderão ser desenvolvidas conforme os escopos distintos envolvidos no programa de conscientização. Macroprocesso de Negócio X Macroprocesso de Negócio ... Macroprocesso de Negócio Y Área A Área... Área n Competências Específicas em Segurança da Informação Competências Gerais em Segurança da Informação AÇÕES • Curso presencial • Curso a distância (online) • Prova de avaliação • Campanha impressa (folders, cartazes etc.) • Campanha digital (site, vídeos, e-mails etc.) • Uso de desafios com premiações • Distribuição de brindes • Cartilha Figura 3 Mapeamento do Escopo do Programa de Conscientização. Para cada escopo previsto, serão definidas as competên- cias necessárias a serem abordadas e um conjunto de ações entre cursos presenciais ou a distância (por meio de ferramen- tas de ensino a distância), possibilidade de aplicação de testes Capítulo 3 Cultura e Conscientização em Segurança... 57 de avaliação, campanhas impressas e digitais, utilização de desafios com premiações, distribuição de brindes e confecção de cartilha impressa ou digital. Material produzido A abordagem do programa de conscientização pode seguir duas linhas: baseada na ênfase do bom comportamento ou na punição do não cumprimento da política. A linha prefe- rencial escolhida será da comunicação positivista, na qual se enfatizam os benefícios ao indivíduo e à instituição quando o comportamento está adequado à política de segurança da empresa, colocando as palavras sempre de forma positiva, não usando frases que tenham conotação negativa. A condução de treinamentos deverá ser de forma lúdica e efetiva, por meio de um ciclo de aprendizagem entre funda- mentos teóricos e práticas vivenciais, em que se estabelecem relações entre a teoria e a rotina de trabalho do dia a dia, verificando com o grupo os sentimentos e processos que acon- teceram. Lembrando sempre que a intenção não é reprimir, e sim treinar o comportamento e demonstrar os benefícios trazi- dos com a mudança de comportamento. Em consequência disso, as ações produzidas de materiais específicos podem produzir diferentes abordagens de ensino e de distribuição de conteúdos citados abaixo. • Cursos Para treinamentos, devem ser utilizados convites estilizados e personalizados para os colaboradores, formalizando o curso a 58 Segurança de Sistemas ser realizado, como horário e local do treinamento. Os mate- riais didáticos produzidos poderão ser disponibilizados em um site específico do treinamento. Poderão ser aplicados questio- nários e avaliação individual para que sejam contabilizados desempenhos. Para que o colaborador aplique de forma mais eficaz as medidas de segurança abordadas no curso, deverá ser entregue um certificado de conclusão, servindo como fator motivacional e promovendo o mesmo a um agente de segu- rança da informação. • Campanhas Cartazes com dicas de segurança poderão ser fixados em qua- dros de aviso (com itens curtos que chamem a atenção). Distri- buição de folhetos ou brochuras com dicas de segurança, in- clusive utilizando o contracheque de cada colaborador, poder ser um veículo de informação, sendo impresso nele lembretes de segurança. Também deverão ser fornecidos trabalhos, pes- quisas e artigos para leitura voltados à Segurança da Informa- ção e, principalmente, Engenharia Social, que atinge direta- mente todos os funcionários, por meio dos jornais e revistas internas da empresa. Também é eficaz a impressão de adesi- vos para situações específicas, como por exemplo, etiquetas para o telefone com mensagens tais como “A pessoa que está ligando é quem ela diz ser?”. Toda precaução e divulgação quanto à segurança são válidos. Assim como as ameaças, os lembretes também devem ser constantes! Capítulo 3 Cultura e Conscientização em Segurança... 59 • Desafios, premiações e brindes Fugir da mesmice de programas tradicionais (que já se tor- naram bastante familiares, fazendo assim com que comecem a serem ignorados), faz com que fiquem mais “enraizadas” as mensagens na mente de cada um. Portanto, com o auxílio do site na Internet/Intranet poderão ser criados desafios re- lacionados com a campanha e treinamento que destaquem a importância da segurança e estimulem a participação dos funcionários por meio do recebimento de brindes, como por exemplo, mouse pads (personalizados com mensagens), cha- veiros, canetas e até “biscoitos da sorte” com lembretes que chamem a atenção quanto à segurança. Para os melhores co- locados nos desafios, podem ser definidos prêmios especiais, como camisetas e agendas personalizadas relacionadas com segurança. A agenda pode conter dicas e procedimentos so- bre segurança da informação, em conformidade com a políti- ca de segurança, por meio de diferentes mensagens impressas em cada folha, a cada dia do ano. Esses brindes e prêmios especiais servem de motivação para que o funcionário aplique de forma mais eficaz as medidas de segurança das informa- ções, por estar colaborando significativamente na diminuição dos incidentes sofridos. Fatores de Sucesso e indicadores de desempenho Como forma de avaliar o sucesso do programa de treinamen- to e conscientização, devem ser estabelecidos alguns fatores de sucesso: 60 Segurança de Sistemas  Contabilização do número de incidentes envolvendo a segurança da informação na organização, no que tange à confidencialidade, disponibilidade e integridade das informações. Identificação os resultados antes e depois da aplicação de ações de conscientização.  A avaliação dos colaboradores sobre as ações realizadas.  O número de colaboradores atingidos. Recapitulando Não adianta termos inúmeras ferramentas de proteção sem treinamento e educação dentro de uma organização. Segun- do as estatísticas apresentadas anteriormente, a maioria dos incidentes de segurança é causada por colaboradores internos. Isso vai desde o download de material pornográfico, conta- minação por vírus, até vazamento de informações sigilosas. Se a organização não tiver uma boa metodologia de treinamento para segurança da informação, esses são apenas alguns dos riscos aos quais se está sujeito. Uma pesquisa realizada em 2008 no Brasil pela KPMG (http://www.kpmg.com.br) mostra que o número de crimes virtuais triplicou dentro das empresas. Mesmo com os dados alarmantes, ainda há quem não se proteja. De acordo com o especialista em Segurança de Informação da consultoria Ep- sec, Denny Roger – palestrante internacional e autor de mais de 100 projetos na área –, o que não faltam são casos de Capítulo 3 Cultura e Conscientização em Segurança... 61 crimes praticados dentro de empresas brasileiras. Em um dos exemplos citados pelo consultor, uma empresa do setor quími- co teve suas planilhas de custo e produção vendidas para a concorrência. Em três meses, a empresa perdeu 75% da fatia de mercado que ocupava. Para Denny Roger, o maior desafio das empresas é a conscientização. “O computador não faz nada sozinho. Nosso maior desafio é conscientizar as pesso- as”, finaliza o consultor em Segurança da Informação. A Figu- ra 4 ilustra as principais causas que levam os funcionários a terem condutas impróprias que passem por cima da política de segurança por falta de conscientização. O gráfico representa um estudo feito pela KPMG entre 2005 e 2006 com 4056 funcionários de empresas norte-americanas. Joe
Compartilhar