CENTRO UNIVERSITRIO DO TRINGULO PR-REITORIA DE ENSINO DE GRADUAO CURSO DE CINCIA DA COMPUTAO

Gesto da segurana da informao no contexto da vulnerabilidade tcnica e humana inserida nas Organizaes

Mrio Csar Pintaudi Peixoto

Uberlndia,Dezembro/2004

CENTRO UNIVERSITRIO DO TRINGULO PR-REITORIA DE ENSINO DE GRADUAO CURSO DE CINCIA DA COMPUTAO

Gesto da segurana da informao no contexto da vulnerabilidade tcnica e humana inserida nas Organizaes

Mrio Csar Pintaudi Peixoto

Monografia Cincia da

apresentada

ao

Curso do

de

Computao

Centro

Universitrio do Tringulo - Unitri, como requisito bsico obteno do grau de Bacharel em Cincia da Computao, sob a orientao do Prof. Jansen Rubens Fidelis da Silva, Esp.

Uberlndia, Dezembro/2004

ii

Gesto da segurana da informao no contexto da vulnerabilidade tcnica e humana inserida nas Organizaes

Mrio Csar Pintaudi Peixoto

Monografia apresentada ao Curso de Cincia da Computao do Centro Universitrio do Tringulo - Unitri, como requisito bsico obteno do grau de Bacharel em Cincia da Computao.

Jansen Rubens Fidelis da Silva, Esp. (Orientador)

(Avaliadores) Snia Aparecida Santana Silvia Fernanda Martins Brando

Prof. Silvia Fernanda M. Brando, Msc.

(Coordenadora de Curso)

Uberlndia, Dezembro/2004

iii

Se ouvires um dia dizer em exemplo de vida, fique feliz. Se conheceste um exemplo de vida, desfrute o privilgio. Se viveu com um exemplo de vida, agradea eternamente a Deus. (Autor desconhecido)

iv

Dedico a realizao deste trabalho a meu inestimvel e querido pai, Mrio Roberto Pereira Peixoto. Que muito me ensinou no pouco tempo que esteve comigo nesta vida. Assim como minha querida me, Maria Cristina Pintaudi Peixoto que muito se empenha e dedica a cada dia para uma melhor educao e felicidade de seus filhos. Obrigado pai! Obrigado me!

Agradecimentos a Minha querida me e irmo, a minha companheira Camila, a meus professores que foram fundamentais pela minha formao e incentivo, aos meus queridos amigos e colegas de trabalho, a minha amiga Maira Nani, a meu orientador que tivera sabedoria e pacincia para me orientar. Sobretudo a meu pai que me ensinou que com disciplina, dedicao e f pode-se alcanar os objetivos almejados na vida, sendo a pedra mestre, o alicerce, minha inspirao. E principalmente a Deus que nos momentos de fraqueza apertou mais forte minha mo e ergueu-me para continuar a caminhada.

vi

RESUMO

O alto investimento das empresas de TI, no que se refere segurana, esta relacionado preocupao em se protegerem cada vez mais dos ataques por hackers e novos vrus que surgem. Com o crescimento da incluso digital em toda parte do mundo, o acesso informao est mais fcil. O reflexo deste novo panorama traduz-se em episdios cada vez mais freqentes de saques eletrnicos indevidos, clonagem de cartes de crdito, acesso a bases de dados confidenciais, dentre inmeras outras ameaas. A segurana da informao vem sendo tema de grande debate neste novo milnio. As organizaes esto buscando solues prticas e efetivas, que possam trazer otimizao de suas atividades, mas ao mesmo tempo segurana em operar seus mecanismos de trabalho. A forma como as organizaes devero gerir este desafio, ir se deparar em duas frentes: a segurana da informao em mbito fsico e tcnico. Mas abstendo-se quase que somente a preocupar-se com a tecnologia e toda a estrutura a ser empregada, esquecem do elo mais fraco que rege em todas as empresas de qualquer setor: o fator humano. E um novo termo surge neste contexto da insegurana tecnolgica e humana. A chamada engenharia social. Agora alm dos hackers e vrus, o funcionrio insatisfeito e o vazamento de informaes indevidas, passam a fazer parte do rol de preocupaes. Assim o objetivo do trabalho conseguir demonstrar que com pouco investimento consegue-se resultados satisfatrios no quesito segurana das informaes, principalmente por estar voltado ao mbito humano. Alm de fornecer subsdios concretos para elaborao de um software que sirva como ferramenta eficaz para efetivao dos clculos, anlises e posterior classificao dos riscos, das situaes de criticidade e por fim das justificativas de investimento.

vii

SUMRIO

LISTA DE FIGURAS................................................................................................................... ..xi 1. Introduo ........................................................................................................ 12

2. Engenharia Social ........................................................................................... 13

2.1. Definio ................................................................................................................................15 2.2. Perfil do Engenheiro Social ...................................................................................................16 2.2.1. Suas ferramentas. ..............................................................................................................16 2.3. A arte do Engenheiro Social e suas tcnicas.........................................................................17 2.3.1. Informaes inofensivas X valiosas..................................................................................17 2.3.2. Criando a Confiana .........................................................................................................17 2.3.3. Simplesmente Pedindo......................................................................................................19 2.3.4. Posso ajudar ......................................................................................................................20 2.3.5. Voc pode me ajudar .......................................................................................................21 2.4. Engenharia Social na Internet...............................................................................................22 2.4.1 Internet Banking ................................................................................................................25 2.5. Pontos fracos explorados pelo Engenheiro social ................................................................27 2.5.1. Checando o lixo ................................................................................................................29 2.6. Estrutura diagramtica e objetiva do processo de ataque do Engenheiro social..............32 2.7. Dinmica de como evitar ou dificultar a entrega de informaes......................................34 2.8. Concluso ................................................................................................................................37

3. Gesto da Segurana da Informao ............................................................ 39

3.1. Definio ................................................................................................................................40 3.2. Conceitos bsicos da segurana...........................................................................................40 3.2.1. Segurana e ativos...........................................................................................................43 3.3. Diferenciando ameaa de vulnerabilidade .........................................................................46 3.4. Teste com o Jogo da Segurana.......................................................................................47 3.5 Aspectos da Segurana ..........................................................................................................50 3.5.1. Risco de Segurana .........................................................................................................52 3.6 Security Officer .......................................................................................................................52 3.7 Concluso.................................................................................................................................53

4.0 Engenheiro Social versus Security Office ...............................................................55

4.1. Segurana administrar riscos ...........................................................................................56 4.2. Propostas de um Security Office...........................................................................................57 4.3 Dificultando a vida do Engenheiro Social .............................................................................58 4.4 Medidas de um plano de treinamento contra o Engenheiro Social.....................................61

viii

4.4.1 Exemplos para reforar a conscientizao........................................................................63 4.5 Engenheiro Social na escolha dos dados a serem atacados..................................................65 4.6 Security Office na defesa da checagem de dados e pessoas .................................................68 4.7 Concluso ................................................................................................................................71

5 Metodologias ................................................................................................ ...73

5.1 Teste de conformidade ........................................................................................................73 5.2 Metodologia de Mosler ..................................................................................................... 79 5.3 Metodologia de William T.Fine .........................................................................................87

6 Estudo de caso ............................................................................................. ...94

6.1 Segurana da Informao em conformidade ISO17799 ...................................................95 6.1.1. Resultados ......................................................................................................................95 6.2 Avaliao prtica na Organizao.........................................................................................96 6.2.1 Aplicao da anlise da classe de risco .........................................................................98 6.2.1.1 Resultados ............................................................................................................114 6.2.2 Aplicao da anlise do grau de criticidade .................................................................127 6.2.2.1 Resultados ............................................................................................................143 6.2.3 Aplicao da anlise da justificativa do investimento .................................................152 6.2.3.1 Resultados ............................................................................................................157

7 Concluso .............................................................................................................................158
REFERNCIAS BIBLIOGRFICAS .....................................................................................160

ix

LISTA DE FIGURAS
FIGURA 2.1 Estrutura de Ataque --------------------------------------------------------------

32

FIGURA 2.2 Dinmica da entrega de informaes ------------------------------------------ 35 FIGURA 3.1 Trinmio da informao -------------------------------------------------------FIGURA 3.2 Panorama das ameaas --------------------------------------------------FIGURA 3.3 Elo mais fraco -------------------------------------------------------------FIGURA 3.5 Ambiente sem polticas de segurana -----------------------------FIGURA 3.5.1 Os trs plos da Segurana------------------------------------------------FIGURA 4.5 Classificao das informaes ------------------------------------------------41 44 46 48 51 66

FIGURA 6.2 Principais ameaas segurana da informao------------------------------- 97

1.

INTRODUO Desde os tempos primitivos o ato de se comunicar por mais arcaico que

fosse era um meio de transmitir informao. Hoje infelizmente no h mais a necessidade de olhar nos olhos para transmitir uma informao ntegra confidencial e disponvel. Muita coisa mudou e com a acelerada transformao de recursos, idias e ideais o homem percebeu e esta descobrindo cada vez mais que a informao como o ar que respiramos: essencial. A monografia desenvolvida tem o propsito, a partir das pesquisas, entrevistas, comparaes e estudos realizados, deixar claro que assim como cada pessoa deve ter cuidado com seus documentos pessoais, as organizaes devem ter cuidados com todo tipo de informao que circula dentro dela, referente sobretudo s pessoas que por elas so responsveis. Mediante o quadro crtico que se encontra todo tipo de organizao ao tratar suas informaes sejam elas confidenciais ou no, torna-se fundamental no to somente ao profissional da rea de Tecnologia da Informao, mas tambm os demais responsveis por algum tipo de informao que comprometa a empresa, serem orientados, instrudos e comprometidos ao melhor tratamento e cuidados com as informaes. O captulo 2 refere-se a engenharia social, monstrando como ela est presente em nosso cotidiano, o perfil do engenheiro social, com suas armas e artimanhas principalmente atravs da utililzao de ferramentas como a internet. Aspectos de como administrar a segurana da informao bem como o papel dos responsveis pelas polticas e normas de segurana, sero tratados no captulo 3. J no captulo 4, ser feita uma juno da engenharia social com a segurana da informao, destacando as vulnerabilidades e ameaas existentes que a engenharia social traz consigo, afetando assim a segurana das informaes, perante a luta prpriamente dita entre Engenheiro Social versus Security Office. A explicao das metodologias de Mosler e de William T. Fine, aplicadas para os clculos e anlises, sero apresentados no captulo 5.

12

No captulo 6 sero abordados dois momentos para apresentao do estudo de caso. No primeiro momento, com o objetivo de diagnosticar a instituio no quesito segurana das informaes, sob a ptica da engenharia social. No segundo momento, uma avaliao prtica da anlise das classes de risco existentes em cada setor, bem como os cclulos do grau de criticidade e justificativa de investimento, segundo as metodologias. Por fim no captulo 7, ser apresentada a concluso do trabalho desenvolvido.

13

2.

ENGENHARIA SOCIAL

Segurana tem incio e termina com as pessoas

llen Frisch [Essential System Administration]

A engenharia social representa uma designao diferente ou at mesmo pouco conhecida. Parece mais o nome de um curso ou coisa do gnero. Eis como a Bblia narra a queda do homem, como vtima da engenharia social, desde os tempos de Ado e Eva: de saber que a serpente era o mais astuto de todos os animais da terra, que Deus tinha feito. E a serpente disse mulher: Por que vos mandou Deus que no comsseis de toda a rvore do paraso? Respondeu-lhe a mulher: Ns comemos do fruto das rvores que esto no paraso. Mas do fruto da rvore que est no meio, Deus nos mandou que no comssemos e nem a tocssemos a fim de no morrermos. Porm, a serpente disse mulher: Vs de nenhum modo morrereis. Mas Deus sabe que, em qualquer dia que comerdes dele, os vossos olhos se abriro e sereis como deuses, conhecendo o bem e o mal. [1] Tratando a engenharia social como a arte de enganar as pessoas, como tambm o poder da tcnica de persuaso, influncia e manipulao, a serpente trabalhou muito bem quanto a estes quesitos e se consagrou como grande pioneira no que diz respeito origem da chamada engenharia social. Portanto ao final deste captulo conseguir-se compreender o que na verdade vm a ser a engenharia social e consequentemente as tcnicas dela utilizadas com o objetivo principal de entender essa arte da persuaso de pessoas, utilizadas pelo engenheiro social.

14

2.1 DEFINIO

Levando se em conta o significado das palavras supostamente separadas, tm-se: Engenharia: Arte de aplicar conhecimentos cientficos e empricos e certas habilitaes especficas criao de estruturas, dispositivos e processos que se utilizam para converter recursos naturais em formas adequadas ao atendimento das necessidades humanas [25]. Social: Da sociedade, ou relativo a ela. Socivel. Que interessa sociedade. [25].

Muitos so os significados e interpretaes dadas a Engenharia Social. Mas uma das melhores encontradas segundo a Konsultex Informtica [5], empresa de software especializada em gerenciamento de projetos, a seguinte:

Engenharia Social a cincia que estuda como o conhecimento do comportamento humano pode ser utilizado para induzir uma pessoa a atuar segundo seu desejo. No se trata de hipnose ou controle da mente, as tcnicas de Engenharia Social so amplamente utilizadas por detetives (para obter informao), e magistrados (para comprovar se um declarante fala a verdade). Tambm utilizada para lograr todo tipo de fraudes, inclusive invaso de sistemas eletrnicos [6]. Ou segundo um dos maiores especialistas na arte da engenharia social, Kevin Mitnick: um termo diferente para definir o uso de persuaso para influenciar as pessoas a concordar com um pedido [2].

15

2.2 PERFIL DO ENGENHEIRO SOCIAL Geralmente o engenheiro social um tipo de pessoa agradvel. Ou seja, uma pessoa educada, simptica, carismtica. Mas sobretudo criativa, flexvel e dinmica. Possuindo uma conversa bastante envolvente. Embora existam inmeros engenheiros sociais espalhados pelo mundo, exercendo propositalmente esta arte para o bem ou para o mal, assim como pessoas que mesmo sem o conhecimento prvio desta designao, j cometeram o ato de engenharia social, de alguma forma ocasionalmente em suas rotinas dirias; dois personagens merecem destaques relevantes no contexto da engenharia social: Frank Abagnale W. Jr e Kevin D.Mitnick .

2.2.1 SUAS FERRAMENTAS Como principais ferramentas utilizadas pelo praticante da engenharia social tm-se: Telefone (se passar por algum que no , seria um dos tpicos ataques de engenharia social, como na personificao help-desk); Internet (coleta de informaes como, por exemplo, sites que fornecem id e passwords default [26], sites clonados etc.); E-mail (Fakemail, e-mails falsos); Pessoalmente In Person Social Engineering (poder de persuaso, habilidade em saber conversar, tipo de ataque mais raro); Chats (bate papo) Assim como no telefone, fazer-se passar por algum que na verdade no , fica muito mais fcil pelos canais de bate-papo. Pois alm de tudo, mandar fotos fica bem mais atrativo e seduz mais facilmente a conseguir informaes que deseja; Cartas/correspondncia No o meio mais moderno sem dvida, mas acredite um recurso poderoso que faz como uma das maiores vtimas, pessoas mais velhas. No somente idosos , mas principalmente aquelas que tem uma certa resistncia tecnologia. muito fcil hoje elaborar

16

cartas documentos com logomarcas e tudo mais, dando-se a impresso de que se trata realmente daquela origem; Spyware Software especializado usado para monitorar de modo oculto as atividades do computador de um alvo. Mergulho no lixo Dumpster diving (Vrias coisas que so descartadas para o lixo, muita das vezes contem informaes essenciais ao suposto engenheiro social); Surfar sobre os ombros - o ato de observar uma pessoa digitando no teclado do computador para descobrir e roubar sua senha ou outras informaes de usurio.

2.3 A ARTE DO ENGENHEIRO SOCIAL E SUAS TCNICAS As arte-manhas utilizadas por um engenheiro social esto em constante evoluo. Procuram sempre buscar algo inovador, diferente do tradicional para conseguir atingir seus objetivos. Mas mesmo perante tais transformaes e mudanas no segmento da arte de enganar, modificando ou incrementando seus ataques, o engenheiro social utiliza-se sempre de alguns aspectos clssicos de ataque, que sero vistos a seguir.

2.3.1 INFORMAES INOFENSIVAS x VALIOSAS Quando as informaes no so inofensivas? Pergunta difcil de ser respondida partindo-se do ponto de vista funcionrio despreparado. Como um jogo de quebra-cabea, as informaes so postas como pedaos importantes, que se juntando a outros pedaos formaro o resultado final do que se espera. Assim, informaes que parecem ser irrelevantes ou to pouco consideradas como importantes, quando juntadas a outras tambm assim consideradas tomam forma diferente daquilo que imaginvamos ser inofensivo. E passa a ser a chave que o engenheiro social precisava para abrir o reino encantado e ter acesso a informaes que at ento eram confidenciais. Fica a

17

ateno que deve prevalecer a qualquer tipo de informao que for repassada. O funcionrio deve pensar antes se realmente aquilo que lhe foi pedido inofensivo ou no. Vale a seguinte regra: No d nenhuma informao pessoal ou interna da empresa, nem identificadores para ningum, a menos que a sua voz seja conhecida e o solicitante tenha necessidade de saber a informao. Segundo Kevin Mitnick: Como diz o ditado: at mesmo os verdadeiros paranicos provavelmente tm inimigos. Devemos assumir que cada empresa tambm tem os seus os atacantes que visam a infra-estrutura da rede para comprometer os segredos da empresa. No acabe sendo uma estatstica nos crimes de computadores; est mais do que na hora de armazenar as defesas necessrias implementando controles adequados por meio de polticas de segurana e procedimentos bem planejados. [3] Portanto, neuroses e paranias a parte, nunca demais prevenir, educar e estar cada vez mais atento. Pois aquelas informaes que voc acha aparentar serem inofensivas podem ser a chave para os segredos mais valiosos que a empresa guarda.

2.3.2 CRIANDO A CONFIANA Pode parecer estranho acreditar que praticamente todas as pessoas esto sujeitas a serem enganadas a qualquer momento em qualquer lugar. Segurana parece estar muito prximo da confiana. O que realmente uma verdade. Segundo Yamagishi, ... a confiana generalizada a expectativa bsica de um comportamento no-explorador da contraparte, at prova em contrrio. [7]. Confiana no transitiva: Eu confio em Maria, e Maria confia em Joo, no significa que eu confio em Joo.

18

Por exemplo, Maria pode acessar dados secretos para o seu trabalho; ento ela pode copi-los para a sua rea e dar a Joo acesso a eles! Agora Joo tem acesso a dados secretos (uma cpia deles pelo menos!). O problema, porm, foi causado por Maria, que era a depositria da nossa confiana, e nos traiu. Seria desejvel que este tipo de vazamento pudesse ser contido. [13]. [INF712 Gerncia de Segurana da Informao] O que o engenheiro social nada mais faz simplesmente adquirir esta confiana primeiro para que depois de reforado esse vnculo de amizade criado, possa ento atacar e conseguir as informaes. Ele prepara toda a teia de situaes que pode vir a ocorrer, como questionamentos e perguntas das quais ele possa ter que responder no ato, sem gaguejar ou demonstrar insegurana, a ponto da vitima no ter motivo de desconfiar de algo estranho nessa conversa. A princpio que quando as pessoas no tem um determinado motivo para suspeitar, onde o engenheiro social ganha a confiana mais facilmente. O hbito de aprendermos a nos educar cada vez mais a observar, pensar e questionar a autoridade que aparenta ser no momento de fundamental importncia para ao menos dificultar a entrega de informaes preciosas, ou at mesmo de informaes que achamos no ser importantes serem compartilhadas. O cuidado que se deve tomar vale para todos os aspectos e situaes inerentes ao tipo de atacante que venha a nos persuadir. Quando ramos crianas, nossos pais nos ensinavam a no confiar em estranhos. Talvez todos devessem adotar esse antigo princpio no ambiente de trabalho.

2.3.3 SIMPLESMENTE PEDINDO Considerada literalmente a tcnica mais simples de se conseguir informao. Quando voc tem alguma dvida ou quer saber alguma informao, o que voc faz naturalmente pedir. Ento nada mais prtico e simples solicitar o pedido da informao interessada para a suposta vtima.

19

Sem dvida alguma o engenheiro social tem truques fabulosos a ponto de conseguir absorver da mais simples a suposta impossvel fonte de informaes que uma determinada empresa guarda. Mas pode acreditar que este simples e direto ataque de pedir as informaes funciona. Primeiramente o engenheiro social deve sim ter ao menos conhecimento de alguns jarges comumente utilizados naquele ambiente que se proviera o ataque. O saber da linguagem de uma empresa e de sua estrutura corporativa, bem como os departamentos ali existentes e suas funes, fazem parte da bagagem essencial de truques que um engenheiro social bem sucedido deve ter consigo. Aps ter em mos tais conhecimentos fica mais fcil ter a confiana da pessoa que disponibilizar a informao. Segundo Kevin Mitnick em sua entrevista aqui no Brasil para a Information Week Brasil, existem seis caractersticas do comportamento humano que podem ser explorados pelo engenheiro social, onde duas delas so destaque neste contexto da tcnica do simplesmente pedindo. Que so: a autoridade e o medo. Autoridade, devido o que fora mencionado acima com relao credibilidade. Ou seja, aps ter conhecimento suficiente para demonstrar que sabe do que esta falando alm da confiana com quem esta falando (na mesma linguagem transposta aos jarges comuns utilizados) e, sobretudo aonde quer chegar, manipulando de forma segura e convicta, faz com que a vitima seja quase que sufocada a dispor a informao requisitada. Levando-se em conta tambm o fator conseqente da outra caracterstica do comportamento humano: o medo.

2.3.4 POSSO AJUDAR Dispondo-se desta tcnica do posso ajudar? o atacante (engenheiro social) com sua habilidade nata de persuaso consegue criar um problema para voc. E aproveitando desse eventual problema criado, o engenheiro social, passa a ser definitivamente a soluo exata destes seus problemas. Ai onde mora o

20

perigo. Um dos pratos prediletos do engenheiro social justamente conseguir as informaes partindo da gratido imposta pelo favor executado por ele. O atacante cria uma teia para convencer o alvo de que ele tem um problema que na verdade no existe ou, como neste caso, de um problema que ainda no aconteceu, mas que o atacante sabe que acontecer porque ele vai caus-lo. Em seguida, ele se apresenta como a pessoa que pode fornecer a soluo [3]. Esse tipo de ataque, ou esta tcnica utilizada, conhecida como engenharia social inversa, extremamente poderoso. Pois parte-se da premissa de que o engenheiro social tem absoluta credibilidade para conseguir as informaes que deseja. Portanto caso algum venha lhe fazer um favor e mais tarde vier pedir outro em troca, no v imediatamente retribuir, sem ao menos pensar cuidadosamente as conseqncias daquilo que lhe pediu, possa vir a trazer no presente momento, ou futuramente transtornos s vezes irreparveis.

2.3.5 VOC PODE ME AJUDAR Parecido com a tcnica do simplesmente pedindo, pois se baseia no fato de estar tambm solicitando um pedido de informao. Uma das diferenas a questo da utilizao da dramaticidade juntamente com a humildade pela qual o atacante (engenheiro social) faz o pedido. Sem dvida, um dos mtodos mais poderosos utilizados pelos engenheiros sociais o golpe simples de fingir que precisa de ajuda. Levando-se em conta que o funcionrio novo ou velho de casa vendo a necessidade simplria de poder ajudar um companheiro de trabalho, que acabara de requisitar uma informao, no hesitara em cooperar e assim fornecer o que deseja. Deve-se ento ficar atento que no ensejo desta boa vontade de poder ajudar o prximo, fica a grande chance de o engenheiro social poder explorar esse

21

tipo de vulnerabilidade, aproveitando assim essa disposio de ajudar, para ento conseguir atingir seu objetivo.

2.4 ENGENHARIA SOCIAL NA INTERNET Sem sombra de dvidas a internet um excelente recurso para coleta de informaes assim como para incrementar a finalizao de um ataque de engenharia social. Armadilhas como sites clonados, mensagens enganosas que chegam a nosso correio eletrnico fakemail (e-mails falsos) com anexos aparentemente inofensivos, chats (bate-papos), so ferramentas freqentemente utilizadas pelo engenheiro social. Os aparentes programinhas inofensivos, mas muito maldosos, que so inseridos nos computadores, na maioria das vezes por ns mesmos persuadidos ou induzidos por algum (engenheiro social) ou por algum motivo (anncios atraentes de algo que nos interessa, via e-mail) so exemplos de transtornos que podem surgir, se no ficar atento e assim prevenir que qualquer tipo do chamado malware - abreviao de malicious software seja executada dando acesso total ao seu computador,como se o atacante estivesse sentado em frente sua mquina usando seu teclado. Mensagens de e-mails com ttulos familiares, podem fazer com que voc acredite ser de algum que na verdade no . Portanto, muita ateno ao sair abrindo anexos e clicando em links sem o prvio cuidado necessrio de segurana. Chorar o leite derramado no vai fazer com que volte o tempo e previna-se do acontecido. Lembre-se sempre: Na dvida no faa nada! Pare, pense e se necessrio confirme a procedncia de alguma forma, ao ponto de lhe dar a firme segurana de poder abrir ou executar o que fora recebido. Links que lhe direcionam para determinada pgina que na verdade no realmente a original, outro ponto a ser destacado de vital importncia neste contexto na arte de enganar. Esteja atento para onde est sendo redirecionado o

22

link que voc clicou. Se realmente esta coerente ao domnio ao qual pertence o hiperlink acessado. Sempre que estiver navegando, ou seja, visitando algum site, verifique se a conexo esta autenticada e criptografada. No v clicando diretamente em Sim em nenhuma caixa de dilogo que possa indicar uma questo de segurana, como por exemplo, um certificado digital invlido ou vencido. Muito cuidado quanto a isso, pois um site Web que no usa um protocolo seguro, no se convm passar informaes confidenciais, tais como seu endereo, telefone, nome, nmero de cartes de crdito dentre outras informaes. Como dizia Thomas Jefferson O preo da liberdade a eterna vigilncia [24]. Quanto a segurana em relao a vrus, regra bsica: ter um anti-virus instalado.Como tambm se possvel deixar ativado o firewall do Sistema Operacional(no caso do windows XP, que vem com um simples, mas que supre a necessidade caseira do usurio domstico), ou instalar algum disponvel facilmente na internet. Melhor anti-virus? Aquele que esteja sempre atualizado. No atualizado anualmente, ou mensalmente. Mas sim diariamente ou no muito semanalmente. Completamente seguro, com certeza ningum est. Mas dificultar a entrada de vrus, trojans dentre outros inconvenientes, isso no s pode como deve ser feito, se quiser preservar ao menos um pouco da privacidade de seus dados que julga ser confidencial. A Symantec [17] tambm d algumas orientaes relevantes a esse contexto:

Estabelea uma poltica de utilizao da Internet. Permita que os funcionrios conheam as regras da empresa a respeito do uso pessoal do e-mail e da Internet. Desenvolver polticas de utilizao da Internet ajudar tambm os gerentes de TI a configurar e monitorar solues de segurana da rede com maior eficincia.

23

Utilize uma tecnologia que permita uma verificao de contedo imprprio nos e-mails e anote as atividades da Internet que estejam fora dos parmetros determinados pela gerncia.

Especialistas jurdicos afirmam que monitorar os contedos dos e-mails e da Internet utilizados pelos funcionrios ajudam a proteger a empresa no caso de um processo legal. Tenha uma poltica e uma soluo de monitoramento de contedos para mostrar seus esforos em proteger os funcionrios de ataques, por exemplo.

Treine seus usurios para que eles saibam quando e como fazer download das mais recentes atualizaes dos antivrus, bem como reconhecer um possvel vrus. Ensine-os a fazer uma verificao nos documentos antes de abri-los.

Atualize o antivrus, de modo a evitar as brechas de segurana conhecidas dos softwares reduzindo assim as chances de uma entrada de vrus pelas pginas da Web ou por e-mail.

Desenvolva uma poltica para senhas, requisitando freqentes mudanas nas mesmas e educando os usurios nas tticas de engenharia social. Reforce que eles nunca devem informar suas senhas. Softwares para descobrir senhas esto disponveis e ajudam a encontrar senhas fracas de usurios na sua rede. De qualquer modo, o software no proteger a companhia contra o comportamento negligente de um usurio. Muitas vezes, educar os funcionrios o suficiente.

Determine a necessidade de cada funcionrio de acessar informaes delicadas, e restrinja o acesso somente para o que for necessrio a cada funo na empresa.

Informe os funcionrios sobre os perigos de fazer download de softwares e protetores de tela gratuitos [17].

24

O hacker pode ser considerado o primo longe do engenheiro social. Nem todo engenheiro social um hacker, mas em alguns casos o hacker chega a ser um engenheiro social, com condutas semelhantes a captura de informaes.Pois o hacker age de forma a explorar muito mais as vulnerabilidades tcnicas, enquanto o engenheiro social as vulnerabilidades humanas.

2.4.1 INTERNET BANKING Com o advento da internet, muita coisa mudou e melhorou. E a evoluo da internet inserida aos bancos, onde atividades ante ditas extremamente cansativas, como ficar em uma fila para to somente tirar um extrato ou fazer uma transferncia, agora no mais necessrio. Para se ter uma idia, as ltimas estatsticas da Febraban (Federao Brasileira dos Bancos) revelam que 13 milhes de usurios brasileiros utilizaram os servios de internet banking em 2002, representando um aumento de 56,63% se compararmos com os nmeros de 2001 (8,3 milhes de usurios) [11]. Os perigos quanto s compras on-line e transaes bancrias via internet mediante a disponibilizao dos nmeros do carto de crdito existem, assim como tambm a utilizao de seu carto pessoalmente em lojas, bares, restaurantes, postos, padarias e oficinas. Qualquer funcionrio mal intencionado relativo ao estabelecimento que utilizara o carto poder guardar o cupom/recibo emitido aps efetuar o pagamento, j contendo seu nome, e dados do carto utilizado, tal como usar um dispositivo facilmente disponvel na internet, um dispositivo de varredura, que armazena os dados de qualquer carto de crdito que passado por ele para recuperao posterior[3]. De acordo com o CAIS Centro de Atendimento a Incidentes de Segurana; dentre as principais condutas que todo usurio de internet banking deve ter seriam [10]: Manter bem guardadas e seguras suas senhas bancrias, seguindo as recomendaes de seu banco;

25

No fornecer detalhes de sua conta bancria ou senhas a terceiros quando abordados por qualquer meio, seja pessoalmente, telefone ou e-mail;

Usar senhas fortes e no triviais, trocar as senhas com freqncia, seguindo as normas e recomendaes de seu banco;

Ao acessar o site de seu banco, dedicar algum tempo a verificar a pgina, propagandas e dados solicitados, em busca de algo suspeito. Recomendase tambm verificar se o endereo mostrado pelo navegador corresponde ao endereo acessado, por exemplo: www.banco.com.br;

Ficar atento aos comunicados oficiais do seu banco. Alguns bancos tm destacado nos seus sites, mensagens de advertncia sobre recentes tentativas de fraude;

Ao ser alvo de situaes suspeitas (e-mails do banco, contatos telefnicos solicitando senha ou conta bancria, erros consecutivos no acesso ao site do banco), notificar o ocorrido ao servio de suporte ao usurio do respectivo banco;

Manter sempre atualizado o navegador utilizado, por exemplo Netscape e Internet Explorer;

Verificar o certificado digital do site do banco, confirmando se este foi realmente emitido para o referido banco e seu prazo de validade. Recomenda-se tambm ficar atento s mensagens emitidas pelo seu navegador, verificando se este reconheceu a autoridade certificadora que emitiu o certificado ao site que voc est acessando;

No descartar automaticamente as mensagens de aviso geradas pelo navegador em relao a certificados digitais e pginas criptografadas. A prtica recomendada ler atentamente tais mensagens e em caso de dvidas interromper o processo, consultando o servio de suporte ao usurio do banco [10].

26

Todo cuidado e ateno so poucos. Essa a frase que se deve ter em mente. Absolutamente todos esto sujeitos a sofrerem algum tipo de ataque, posteriormente, serem enganados. De qualquer parte do mundo, sem exees. A seguir mensagem notifica os usurios do registro.br a ficarem atentos s tcnicas de engenharia social [12]:
Subject: [MetaReciclagem] Re: ATENCAO - Ataque de engenharia social aos usuarios do Registro.br On Tue, 9 Dec 2003 19:57:38 -0200 Joo Schmutz <joaoschmutz@linuxconf.com.br> wrote: > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > Prezados Srs., Nas ltimas horas, circularam pela Internet mensagens de solicitao de verificao de dados devido a uma suposta atualizao nos sistemas do Registro.br. Estas mensagens so falsas e contem um endereo hospedado em um provedor gratuito o qual copia quase que fielmente a pgina de autenticao do sistema do Registro.br. As distines caractersticas deste site so o endereo diferente de registro.br, a inexistncia do "cadeado" indicando site seguro e a presena de uma propaganda no topo desta pgina. Caso voc tenha sido induzido a fornecer seu ID e senha nesta pgina, por favor, somente nestes casos, entre em contato o mais rpido possvel com o servio de atendimento do registro.br preferencialmente respondendo esta mensagem ou pelo pelo telefone 11 5509-3500. O Registro.br somente atende seus usurios pelo endereo http://registro.br/ e a pgina de autenticao encontra-se em um site seguro. Fique sempre atento a estas duas caractersticas e em caso de dvidas entre em contato [1] com o registro.br antes de fornecer quaisquer dados ou senha. Atenciosamente, Registro.br http://registro.br/ [1] http://registro.br/contate.htmlbr/ [1] http://registro.br/contate.html

2.5 PONTOS FRACOS EXPLORADOS PELO ENGENHEIRO SOCIAL Se todo funcionrio fosse to questionador como uma criana, demonstrando interesse nos mnimos detalhes, ouvindo mais, estando fortemente atenta a tudo a sua volta, e principalmente fazendo o uso dos poderosos porques, com certeza as empresas transformariam os frgeis cadeados em legtimos dispositivos dificultantes de segurana da informao.

27

Quando um engenheiro social sabe como as coisas funcionam dentro da empresa-alvo, ele pode usar esse conhecimento para desenvolver a confiana junto aos empregados. As empresas precisam estar preparadas para os ataques da engenharia social vindos de empregados atuais ou ex-empregados, que podem ter um motivo de descontentamento. As verificaes de histrico podem ser teis para detectar os candidatos a emprego que tenham uma propenso para esse tipo de comportamento. Mas, na maioria dos casos, difcil detectar essas pessoas. A nica segurana razovel nesses casos implantar e auditar os procedimentos de verificao de identidade, incluindo o status de emprego da pessoa, antes de divulgar qualquer informao para qualquer um que no se conhea pessoalmente e, portanto, no se sabe se ainda est na empresa [3]. O engenheiro social trabalha como ningum os pontos relativos a psicologia humana. Explora sentimentos como o medo e a insegurana da vtima. Utiliza-se tambm a simpatia para conseguir convencer. Ou at mesmo a culpa, como forma de se pensar Ah coitadinho dele, eu j passei por isso tambm ou realmente difcil ou constrangedora a situao dele. Assim tambm como forma de intimidao, proporcionando o medo ou a insegurana de que se no fornecer aquela informao naquele momento, ter a sensao que poder se comprometer gravemente em seu emprego, especificamente com seus superiores. tpico do usurio, no ter a concreta noo de que se ele esta trabalhando com um computador, e nesta mquina se guardam documentos texto, planilhas, slides e todo tipo de arquivo importante de seu setor, fica mais do que nunca sujeito a dispor facilmente dessas informaes se no tiver o costume de perceber quo importante quilo que guarda em sua mquina. O engenheiro social explora precisamente esse tipo de alvo. O funcionrio desatento com seus dados; ou seja, que tem pouca compreenso de como so valiosas as informaes que ele pode fornecer a um estranho. incrvel como fcil para um engenheiro social convencer as pessoas a fazerem as coisas com base no modo como ele estrutura a solicitao. A tese acionar uma resposta automtica com base nos princpios psicolgicos e utilizar

28

os atalhos mentais que as pessoas usam quando percebem que o interlocutor um aliado [3]. Portanto o prvio conhecimento de quem estar recebendo a informao imprescindvel. A conferncia seja de forma pessoal ou de diferentes nveis de autenticao para disponibilizao da informao deve ser levada a srio. "Em uma partida de futebol, o assistente do juiz orientado a deixar o lance seguir e no marcar impedimento do atacante caso ele fique em dvida, mas quando falamos em segurana da informao a regra : na dvida, DESCONFIE!" [16]- [Marco Aurlio Maia - Consultor de Segurana da Mdulo Securtiy
Solutions.]

As pessoas manipuladoras em geral tm personalidades muito atraentes. Elas geralmente so rpidas e bem articuladas. Os engenheiros sociais tambm so habilidosos para distrair os processos de pensamento das pessoas para que elas cooperem.Pensar que determinada pessoa no vulnervel a essa manipulao subestimar a habilidade e o instinto mortal do engenheiro social. Um bom engenheiro social, por sua vez, nunca subestima o seu adversrio [3].

2.5.1 CHECANDO O LIXO Como dito anteriormente uma das ferramentas que um engenheiro social (geralmente aquele que est disposto a qualquer coisa em busca da informao) utiliza a busca no lixo. Ou seja, vasculhar detalhadamente todo tipo de objeto ou documentos que sejam suspeitas de fornecer preciosas informaes.(Cadernetas com telefones; memorandos; manuais com polticas internas da empresa; calendrios com informaes sobre eventos,cursos ou frias; manuais dos sistemas utilizados; qualquer coisa que contenha nome de usurios e senhas; disquetes,CDs ou HDs aparentemente inutilizveis; papel timbrado da empresa, etc...) Portanto trate o lixo com mais respeito. Parece engraado mas verdade.Sem perceber muitas pessoas jogam fora aquilo que com toda

29

tranqilidade acham ser desnecessrio , intil , eventualmente um lixo.Esquecem de ao menos quebrar , picotar , separar em outros lixos.E no se esquea do lixo digital.Isso mesmo! Aquele que voc com certeza pede para esvaziar de vez enquando. Medidas simples mas importantssimas e que fazem uma grande diferena se tratado desta maneira. A seguir os chamados oito segredos para tratar o lixo com mais sabedoria [3]: Classificar todas as informaes confidenciais com base no grau de confidencialidade; Estabelecer procedimentos em toda a empresa para descartar as informaes confidenciais; Insistir em que todas as informaes confidenciais descartadas passem primeiro pela mquina cortadora de papel e fornecer um modo seguro de se livrar das informaes importantes em pedaos de papel que so pequenos demais e passam pela mquina. As mquinas no devem ser muito baratas, as quais resultam em tiras de papel que podem ser montadas novamente por um atacante determinado e com pacincia. Elas devem ser do tipo que faz cortes cruzados ou do tipo que transforma a sada em polpa intil; Fornecer um modo de inutilizar ou apagar completamente a mdia de computador os disquetes, discos Zip, CDs, e DVDs usados para armazenar arquivos, fitas removveis ou unidades de disco rgido antigas e outras mdias de computador antes de descartala. Lembre-se de que os arquivos apagados no so realmente removidos; eles ainda podem ser recuperados como descobriram os executivos da Enron e muitos outros. Jogar simplesmente a mdia de computador no lixo um convite para o seu vira-latas local de planto;

30

Manter um nvel de controle apropriado sobre a seleo das pessoas da sua equipe de limpeza usando a verificao de antecedentes, se for apropriado;

Fazer com que os empregados pensem periodicamente na natureza do material que esto jogando no lixo;

Trancar os contineres de lixo; Usar contineres separados para material confidencial e fazer com que os materiais dispensados sejam manuseados por uma empresa especializada nesse trabalho [3].

O setor que fica responsvel pela limpeza da empresa um dos setores que se deve dar muita ateno. Seja o pessoal da prpria organizao ou empregados terceirizados, contratados por uma agncia que fornece esse tipo de servio, deve haver treinamentos nas questes de segurana fsica. De acordo com Kevin Mitnick relatando os cuidados que deve ter os funcionrios da limpeza de qualquer organizao dizendo que... as equipes de limpeza devem ser treinadas quanto s tcnicas usadas pelas pessoas no autorizadas que seguem uma pessoa autorizada quando ela passa pela entrada de segurana. Elas tambm devem ser treinadas para no permitir que outra pessoa as siga e entre no prdio s porque parece ser um empregado[3] Como uma espcie de teste, pode-se fazer um acompanhamento constante procurando avaliar e perceber as vulnerabilidades encontradas. Colocando ou contratando uma pessoa de confiana para que de vez em quando em certas pocas aparea justamente nos horrios de limpeza esta pessoa para tentar entrar nas instalaes ou conseguir algo ou alguma coisa que no deveria em hiptese alguma conseguir, sem a devida identificao correta naquele momento.

31

Analisando a FIGURA 2.1 Estrutura de Ataque, pode-se perceber que o engenheiro social estipula seus ataques para chegar ao foco principal, que as informaes confidenciais da empresa, passando sempre pelo elo mais fraco que o fator humano; ou seja, a chamada vtima ativa (VA) ou vtima superficial (VS). OE

IGD

Foco principal

VS
ISE

VA

Engenheiro Social

FIGURA 2.1 Estrutura de Ataque Legenda :

32

OE Organizao Empresa ISE Informaes Sigilosas da Empresa (informaes internas e confidenciais da empresa) IGD Informaes Gerais Disponveis (informaes disponveis na internet, livros, revistas, jornais, ou at mesmo no lixo) Vtima Ativa (funcionrios da empresa) Vtima Superficial (parentes e/ou amigos da vtima ativa, exfuncionrios,servios terceirizados,concorrentes). Pode-se afirmar ainda que os ataques do engenheiro social ganhem mais

fora, ou conseguem atingir seus objetivos com mais eficincia, partindo-se do pressuposto de que a coleta primeiramente das informaes a partir do fator externo, IGD + VS, leva a deduzir que ser mais bem sucedida a chegada s informaes sigilosas da empresa (ISE) como tambm mais convincente a persuadir a vtima ativa (VA), fazendo IGC+VS+VA, para ento finalmente chegar a estas informaes confidenciais. Porm o engenheiro social poder optar por direcionar seu ataque diretamente vtima ativa (VA), almejando logo em seguida as informaes sigilosas da empresa (ISE).Sendo este mtodo considerado mais vlido para aquele engenheiro social com maior experincia. Outro ponto a se destacar a importncia que a vtima superficial (VS) tem nesse papel das informaes fornecidas. Dependendo da origem desta vtima como sobretudo a qualidade destas informaes geradas ao engenheiro social, este contudo ter grandes possibilidades de j conseguir atingir seu objetivo. Assim como IGD + VS podem levar as informaes confidenciais da empresa tambm IGD + VA, chegam ao objetivo final, mas com maiores dificuldades, devido uma maior resistncia que a prpria VA pode oferecer, levando-se em conta a falta de credibilidade e confiana transmitida que o engenheiro social deveria dispor. Isso devido a no passagem pela coleta de informaes com a vtima superficial (VS).

33

Enfim, a frmula ideal para uma maior garantia do sucesso deste ataque ser sem dvida passar por todas as etapas que um engenheiro social tem como recursos, ou seja: IGD + VS + VA ISE

2.7 - DINMICA DE COMO EVITAR OU DIFICULTAR A ENTREGA DE INFORMAES Como chefe de segurana das informaes em uma empresa, ou responsvel por estar disseminando as condutas corretas e plausveis inerentes sua equipe de trabalho, nada mais coerente do que fazer com que os funcionrios desta empresa estejam aptos a entender o quanto importante a preservao consciente das informaes que cada um manipula em seu dia-a-dia. E no menos importante do que saber que estes funcionrios tm esta conscincia das boas prticas de segurana das informaes ter a certeza de que a empresa tenha e possa contar com uma referncia; ou o chamado Chief Security Officer (CSO), ou qualquer outra designao que venha a denominar um responsvel pela segurana das informaes, a ponto deste saber como fazer o tratamento, de forma literalmente tcnica e at mesmo psicolgica, de compreenso da importncia das informaes, assim como forma de se transformar em hbitos normais, na conduta de um tratamento mais cuidadoso s informaes por parte dos funcionrios. Como no prprio site da Symantec referencia : ...Funcionrios que no estejam devidamente treinados ou satisfeitos com seu trabalho so tambm passveis de divulgar informaes proprietrias e at delicadas a indivduos no autorizados, como por exemplo, os concorrentes [17].

34

Portanto, no to somente entender os fatores externos como perigos convincentes a se preocupar, vale sempre ter em mente que o bom relacionamento e entendimento com os prprios funcionrios da empresa, podem economizar ou evitar futuras dores de cabea e noites mal dormidas.

35

FIGURA 2.2 Dinmica da entrega de informaes

36

2.7.1 - ANLISE

De acordo com o que demonstrado na FIGURA 2.2 Dinmica da entrega de informaes, no momento em que o engenheiro social faz o contato, interage ou comunica-se, surge ento a chamada *Distncia de resistncia que existe com qualquer suposta vtima que o engenheiro social determina como alvo de seu ataque. Essa distncia pode ser tanto maior ou menor (da vtima ao engenheiro social) dependendo do estudo que fora feito pelo prprio engenheiro social na busca de uma gama maior de informaes, a tal ponto de fazer com que o contato com o alvo seja de certa forma bem familiarizada. Dando a impresso realmente de que o atacante (engenheiro social) conhece muito bem aquele ambiente tendo a total segurana do que esta falando, com quem quer falar e at onde chegar.

*Raio de conhecimento equivale ao conhecimento baseado nas polticas de segurana adotadas pela Empresa mais o conhecimento das tcnicas utilizadas pelo engenheiro social. Ou seja, quanto maior for esse raio menor ser a probabilidade de se entregar informaes valiosas ao engenheiro social.

37

2.8 CONCLUSO Na medida em que surgem novas tecnologias, a evoluo e grandes transformaes numa velocidade estonteante, com uma dificuldade tamanha de se conseguir acompanhar tais mudanas, o ser humano no fica atrs devido sua enorme capacidade de inteligncia e sobretudo criatividade. O ambiente frio e parcial que transcende os computadores, dispositivos, equipamentos mecnicos e eletrnicos, com suas mais modernas arquiteturas, plataformas, autenticaes dentre outras inmeras formas de garantir mais segurana informao, ainda no so e com certeza no ser to cedo, a soluo definitiva para conter o mpeto curioso, criativo, astuto e surpreendente crebro humano. A Engenharia social retrata trs aspectos fundamentais que englobam sua verdadeira essncia. Uma delas como cincia na forma de estudo, pesquisa e descobrimento, que o engenheiro social deve ter consigo. A tcnica, como modelo de aplicao de suas habilidades envolvendo caractersticas propriamente padronizadas como principalmente personalizadas ou incrementadas. Por fim a arte, como o meio mais criativo e envolvente que o engenheiro social pode trazer levando em conta o senso lgico, mas sobretudo emocional que muito bem explorado por esse mestre articulador das vulnerabilidades humanas. No existe ao certo uma receita milagrosa que define como totalmente seguro qualquer ambiente de trabalho que manipule informao. Fica como medida para dificultar a entrega destas informaes, as condutas, os treinamentos, os hbitos, o conhecimento das tcnicas de engenharia social, alm claro da ateno e responsabilidade que se deve ter, ao manipular, transmitir ou descartar informaes seja elas importantes ou no para voc. A Engenharia Social isso. Esta em nossa volta, em nossa vida. Mesmo que tenhamos participado sem saber de alguma forma, contribudo sem querer, utilizado sem saber que o fez, pode ter sido engenharia social. Mas no ambiente de trabalho principalmente que o cuidado deve ser maior. Pois no se sabe se

38

poder ser contornado, recuperado ou reversvel determinada situao condizente a um ataque da engenharia social. Por se tratar de um fator inerente s vulnerabilidades humanas, podendo comprometer toda uma estrutura organizacional nos aspectos tcnicoadminstrativos, a engenharia social parte integrante anlise dos riscos, relativa as ameaas advindas segurana das informaes . Portanto no prximo captulo ser abordada a segurana da informao propriamente dita. Exatamente a (in) segurana quanto informao que o engenheiro social muitas vezes explora. Destacando-se agora no somente o fator humano como eventual ameaa, mas tambm fatores fsicos e tcnicos.

39

3- GESTO DA SEGURANA DA INFORMAO

So as prticas, os procedimentos e os mecanismos usados para a proteo da informao e seus ativos, que podem impedir que ameaas explorem vulnerabilidades... Marcos Smola

A engenharia social em si, propriamente dita, esta inserida como um dos desafios (se no o maior deles), mais complexos no mbito das vulnerabilidades encontradas na gesto da segurana da informao. A gesto da segurana da informao um assunto que esta em pauta a todo instante em toda empresa e organizao que priva de contedo, dados; enfim todo tipo de informao. Como diz em uma das letras da msica do grupo Titans: O pulso ainda pulsa. Fazendo uma analogia, a informao ainda corre. Corre como o sangue em nossas veias e por todo nosso corpo. E se parar de correr, se parar de pulsar, morremos. Pois ainda no surgiu algum caso de ser humano que viva sem sangue em seu corpo. Assim a empresa, que sem informao no sobrevive. E alm de contar com a informao que transcende todos os setores vitais e no vitais, ela deve salvaguardar com cuidados essenciais ou at mesmo especiais, toda essa informao com o mximo de segurana possvel, afim de no comprometer todo o corpo; ou seja, toda a empresa. De acordo com as pesquisas mais recentes, aproximadamente 53% das empresas brasileiras apontam os funcionrios insatisfeitos como a maior ameaa segurana da informao, 40% delas afirmam ter sido vtimas de algum tipo de invaso, 31% no sabe dizer se sofreu ataques e somente 29% alega nunca ter sofrido ataques, sendo que 84% dos ataques sofridos aconteceram no ano de 2001. Em 22% dos casos de ataque, as organizaes no conseguiram detectar as causas e 85% no soube quantificar o prejuzo [32]. Contudo, ao final deste capitulo percebera-se que a maioria das organizaes ficam muito a desejar quando se trata da segurana de suas informaes, refletindo-se consequentemente em vulnerabilidades que se

40

transformam em ameaas agravantes sade da organizao, sem no entanto objetivar em elaborar uma poltica de segurana inerente s verdadeiras necessidades emergentes daquela organizao, sobretudo atualizadas.

3.1 DEFINIO Informao [4]: Conjunto de dados utilizados para a transferncia de uma mensagem entre indivduos e/ou mquinas em processos comunicativos (isto , baseados em troca de mensagens) ou transacionais (isso , processos em que sejam realizadas operaes que envolvam, por exemplo, a transferncia de valores monetrios).A informao pode estar presente ou ser manipulada por inmeros elementos deste processo, chamados ativos, os quais so alvo de proteo da segurana da informao. A informao representa a inteligncia competitiva dos negcios e reconhecido como ativo crtico para a continuidade operacional da empresa [4]. Segurana da Informao: De acordo com Marcos Smola [4], Podemos definir Segurana da Informao como uma rea do conhecimento dedicada proteo de ativos da informao contra acessos no autorizados, alteraes indevidas ou sua indisponibilidade.

3.2 - CONCEITOS BSICOS DA SEGURANA Como dito no captulo anterior, vulnerabilidades existem, e no so poucas. At mesmo muito desconhecidas e despercebidas dentro de qualquer organizao, seja ela de TI ou no. Para tanto, no contexto de gerir a segurana da informao, deve - se levar em conta que os ativos (tudo que manipula direta ou indiretamente a informao, inclusive ela prpria, ou seja; em termos de segurana das informaes, um ativo pode ser um computador, uma impressora, um fichrio na mesa da secretria, ou at mesmo o prprio usurio, no devendo ser confundido com o ativo patrimonial), tm que ser encarados minuciosamente

41

como ponto chave para o efetivo sucesso de administrar por onde passa com quem passa e at onde chega essa informao. A frase: Informao a alma do negcio, faz sentido, pois mesmo tambm no enxergando essa informao, sabemos que se faz importante t-la dentro da empresa. Levando em conta que o negcio se equivale a capital, deduzse que no to somente deixar de inovar/atualizar a chegada de informaes na empresa, como tambm no conduzir, armazenar, transpor e at mesmo descartar alguns tipos de informaes leva a constatar uma empresa sem vida que pouco valoriza trs conceitos fundamentais no que se trata em temos de segurana da informao,como demonstrado na FIGURA 3.1[4]: -Confidencialidade -Integridade Disponibilidade

FIGURA 3.1 Trinmio da informao

Confidencialidade A tramitao das informaes deve contar com a segurana de que elas cheguem sem com que dissipem para outros meios ou lugares com o qual no deveria passar. Recursos como criptografar as informaes enviadas, autenticaes dentre outros, so vlidos desde que mantenham tambm a integridade destas informaes.;

42

Integridade Aps a certeza de uma chegada confivel das informaes; ou seja, recebido pela pessoa correta e enviado pela que realmente se esperava ter enviado, devese esperar tambm que a informao no tenha sofrido nenhum tipo de modificao ou alterao comprometendo sua real veracidade, levando perda da integridade que tais informaes continham quando partiu da origem que provera; Disponibilidade - De nada adiantaria termos a confidencialidade e a integridade se tais informaes no estiverem disponveis para serem acessadas. Talvez um dos grandes desafios seja justamente conseguir manter essa estrutura da passagem destas informaes de forma confivel e ntegra sem com que haja a enorme dificuldade ou at mesmo a impossibilidade de captar de forma vivel tais informaes Dentre alguns objetivos especficos que as empresas devem buscar para implantar como diretivas de segurana da informao, os mencionados acima so sem dvida destaque especial, mas h tambm outros fatores relevantes a serem observados como por exemplo: [22].

Autenticidade; Garantia da identidade dos usurios; Controle das operaes individuais de cada usurio atravs do log; A preveno de interrupes na operao de todo o sistema (hardware / software), ou seja, uma quebra do sistema no deve impedir o acesso aos dados;

Infelizmente ainda no da cultura de nosso pas, empresas adotarem potencial investimento em segurana digital, mais especificamente na segurana das informaes. Pesquisa feita pela Symantec com 200 companhias sediadas no Brasil revela que 80% investem at 10% do oramento total em segurana e 57% dedicam at 5%.

43

O estudo mostra ainda que os vrus e cdigos maliciosos sejam a causa de 54% dos problemas digitais enfrentados. Em seguida esto as vulnerabilidades de software e hardware (32%) e os ataques causados por funcionrios (30%) [23]. Muito pouco investimento se levarmos em considerao que o Brasil j o quarto colocado em acesso internet no mundo.

3.2.1 SEGURANA E ATIVOS J parou para pensar se realmente a segurana imposta esta mesma altura, ou equivalente aos valores patrimoniais, fsicos e humanos considerados por voc importantes e significativos? Mentalize sua casa. O que se encontra l? Com certeza muitas coisas que voc lutou e trabalhou para conquistar; isso em termos de bens materiais. E se tratando em aspectos afetivos? Em sua casa tambm se encontra uma grande riqueza que sua famlia. E o que basicamente tem-se em toda casa, para manter ao menos um pouco de privacidade e segurana? As portas. Isso mesmo. Com ela(s) voc mantm uma barreira do mundo externo ao mundo que internamente voc considera importante para voc. Agora pense bem novamente, se voc tranca sempre as portas de sua casa, mantm cadeados ou sistemas de segurana que monitorem ou dificultem a entrada naquela porta. Mas voc deixa uma, apenas uma fora desses padres de segurana considerados por voc necessrios para manter a segurana de sua casa e sua famlia. J o suficiente para considerar o restante da segurana nas outras portas insignificantes e desprezveis. Em qualquer empresa isso deveria ser levado literalmente ao p da letra. Mas no o que acontece. Desprezam, ignoram, fazem corpo mole, encontram mil e uma desculpas e dificuldades, adiam sempre para uma data que nunca chega, esperando assim at que ocorra um incidente, um transtorno, ou algo que traga um impacto quase que irreversvel, um verdadeiro choque, para que enfim enxerguem

44

de verdade que segurana da informao no uma despesa e sim um investimento obrigatrio. Pensar to somente no investimento da segurana em mbito tecnolgico, com equipamentos de ponta, infra-estrutura de primeiro mundo, firewalls e sistemas de segurana muito bem estruturados e preparados, no adiantara se tambm no for levado em considerao a segurana em termos fsicos e sobretudo humano. Ento trancar as portas, quando no mais estiver no local e se principalmente estiver sob sua responsabilidade, obrigao. No deixar documentos a merc de qualquer um que passar e assim poder ler ou levar; educar todos os funcionrios da empresa (sem exceo) quanto a condutas das boas prticas de segurana da informao.Dentre outros inmeros procedimentos, que tambm fora visto no capitulo anterior, devem ser levados em conta. Muitos outros fatores tambm colaboram para o rompimento de qualquer estrutura tcnico-administrativa das empresas em geral. A FIGURA 3.2[4] esboa a diversidade panormica das vulnerabilidades que expem as informaes da empresa a ameaas associadas:

FIGURA 3.2 Panorama das ameaas 45

Quando se diz que o buraco muito mais fundo, no apenas um dito popular, mas vale tambm no que se diz respeito ao tratamento da informao. Comparemos tal segurana da informao a um iceberg.(grande bloco de gelo que flutua solto no oceano). Saiba que o que visto fora dgua corresponde apenas a 15% do imenso bloco de gelo, existindo muito mais gelo submerso que no pode ser visto. exatamente assim que considerada a segurana da informao. Vista apenas como uma viso superficial, subjetiva, tratada de forma particular, isolada e no como um todo, muito alm do entendimento parcial. Segundo um dos grandes especialistas nesta rea da segurana da informao, Marcos Smola, os pecados comumente praticados no momento em que se pensa e tenta aplicar a segurana da informao, relevantes ao que fora mencionado acima, no aspecto de no considerar a segurana da informao como algo muito mais abrangente so [4]: Atribuir exclusivamente rea tecnolgica a segurana da informao; Posicionar hierarquicamente essa equipe abaixo da diretoria de TI; Definir investimentos subestimados e limitados abrangncia dessa diretoria; Elaborar planos de ao orientados reatividade; No perceber a interferncia direta da segurana com o negcio; Tratar as atividades as atividades como despesa e no como investimento; Adotar ferramentas pontuais como medida paliativa; Satisfazer-se com a sensao de segurana provocada por aes isoladas; No cultivar corporativamente a mentalidade de segurana; Tratar a segurana como um projeto e no como um processo. De acordo com o conceito dito em [4]: A viso corporativa da segurana da informao deve ser comparado a uma corrente, em que o elo mais fraco determina seu grau de resistncia e proteo. A invaso ocorre onde a segurana falha!

46

FIGURA 3.3 Elo mais fraco Lembra-se da porta? Mencionada anteriormente? o mesmo caso. Se dentre inmeros recursos de proteo, cuidados especiais, houver uma nica brecha, ou seja; uma nica vulnerabilidade sensvel a no ser suficiente, ou no estar no mesmo padro imposto de segurana funcional ao restante, de se deixar preocupado.

3.3 DIFERENCIANDO AMEAA DE VULNERABILIDADE Para conseguir um melhor entendimento sobre tal diferena, imagine o seguinte: Quando voc se sente ameaado seja por qualquer tipo de fator ou circunstncia, no necessariamente voc se sente vulnervel. Mas quando voc se considera vulnervel a alguma situao ou momento, instintivamente voc se v, ou se acha ameaado. No uma regra, mas vale principalmente no contexto do que se diz respeito as informaes. As ameaas so muita das vezes conseqncia das vulnerabilidades existentes, provocando assim perdas de confidencialidade, integridade e disponibilidade. E podem ser divididas em :

47

- Ameaas naturais fenmenos da natureza; - Ameaas involuntrias ocorre mais devido o desconhecimento, ou acidentes, erros dentre outros. - Ameaas voluntrias A que mais se relaciona com a Engenharia Social. Causadas por hacker, invasores, espies, disseminadores de vrus de computador. So ameaas propositais, de ocorrncia humana. As vulnerabilidades so frutos tambm de ameaas generalizadas e exploradas afetando assim a segurana das informaes. As vulnerabilidades podem ser : - Fsicas: salas de CPD mal planejadas, estrutura de segurana fora dos padres exigidos; - Naturais: Computadores so propensos a sofrerem danos naturais, como tempestades, incndio, alm por exemplo de falta de energia, acmulo de poeira, aumento da umidade e temperatura; - Hardware: Desgaste do equipamento, obsolescncia ou m utilizao; - Software M instalao,erros de configurao, vazamento de informaes dependendo do caso, perda de dados ou indisponibilidade de recursos; -Mdias Disquetes, cds podem ser perdidos ou danificados, onde a radiao eletromagntica pode causar danos s vezes irreparveis nas mdias; - Comunicao Acessos no autorizados ou perda de comunicao; - Humanas Tratada no capitulo anterior como por exemplo, das tcnicas de engenharia social, as vulnerabilidades referindo-se ao fator humano, como falta de treinamentos, conscientizao, o no seguimento das polticas de segurana.

3.4 TESTE COM O JOGO DA SEGURANA A empresa Mdulo Security Solutions lder em Segurana da Informao na Amrica Latina, trouxe dentre inmeros outros artigos que sempre divulga em

48

seu portal, um tambm muito interessante e bastante didtico desenvolvido pelo Mdulo Education Center, relativo Segurana da Informao, no ambiente corporativo. Que : O jogo da segurana. Na FIGURA 3.5-A, demonstrao de um ambiente de trabalho, onde se encontra inmeras falhas de segurana no mbito fsico, tcnico e humano [27].

FIGURA 3.5 Ambiente sem polticas de segurana. Como percebido na FIGURA 3.5, realmente muitas medidas devero ser tomadas para se no resolver todas, ao menos minimizar tamanha desordem, imprudncia e insegurana. Detectou-se algumas falhas agravantes, como tambm simples de serem resolvidas, seguindo polticas de segurana e condutas educativas por parte dos funcionrios da empresa. Veja os erros: Mencionar senha por telefone. Ou alm de tudo antes de disponibilizar qualquer tipo de informao, saber: Com quem fala, de onde fala, conferir se possvel telefone de onde se origina o nmero esteja batendo com o que mencionou (via bina por exemplo) e por que, quer aquela informao;

49

Fatores externos (Visitantes) ter acesso rea interna na empresa, obtendo contado a informaes confidenciais; Entrega de informaes sem o devido conhecimento real de quem esta levando essa informao; Entrada de pessoas no autorizadas ou principalmente sem identificao de quem se trata, com portas abertas e expostas entrada de qualquer um; Recebimento de informaes digitais (disquete, cd etc..) sem o prvio conhecimento da procedncia de onde realmente vem, de quem vem e do que se trata, sem fazer primeiramente uma inspeo do material recebido em algum lugar ou equipamento que no comprometa a empresa ou organizao;

Descarte incorreto de material que se acha intil depois de jogado no lixo. O no picotamento em diversos pedaos e de preferncia em diversos lixos; Cabos e fios que interligam os computadores soltos no meio da sala, sem a devida organizao de estar atrs do micro salvaguardado de qualquer tropeo ou acidente;

Gavetas abertas, de fcil acesso a documentos; Jogos via internet ou mesmo por disquetes ou CD-ROM so passveis de conter armadilhas, como ativao de worms, cavalos de tria , vrus dentre outros perigos que se escondem por traz dos envolventes jogos, ou diverses oferecidas;

Deixar exposto arquivos de backup, no guardando em lugar seguro e confivel. Alm de demonstrar explicitamente que um backup. Como do absurdo de colocar em risco a perda de todo backup sem os devidos cuidados necessrios a segurana fsica, em caso de algum acidente como uma xcara de caf cair em cima do material de backup;

Nome de usurio e senhas expostos para qualquer um que passar, ver e ter acesso; Disquetes, Cds, documentos, material particular como bolsas, carteiras em cima da mesa ou expostos, com grande facilidade de algum se apoderar ou ter acesso, principalmente se as portas ou janelas ficam sempre abertas;

50

Fumar em ambiente de trabalho, j no to correto dependendo de onde se trabalha, quanto mais se neste lugar tm-se carpetes! ; Programas, documentos digitais gravados em disquete ou Cds, no sendo devidamente guardados em lugares seguros onde somente aqueles que podem ter realmente acesso seriam portadores da informao;

Materiais eletro-eletrnicos, perto das mquinas de trabalho; Cabos de energia soltos, comprometendo a segurana fsica dos funcionrios; Computador ligado demonstrando informaes confidenciais como senha, usurio, cdigos fontes; Acesso a sites indevidos, no confiveis, ou fora das polticas de trabalho da empresa; Computador ligado e, sobretudo logado com a senha e nome de algum usurio esquecidinho, deixando a merc o uso da mquina por algum no autorizado; Sistema de alarme desativado, desligado ou inoperante, em caso de alguma urgncia ou emergncia; Material (softwares de aplicativos) exposto sem estar guardado em lugar seguro. Bem como livros, apostilas etc, que contenham informaes que sirva como um facilitador em trazer palavras de cunho tcnico de modo achar id, passwords, sejam elas default ou no;

Enfeites, como vasos, quadros dentre outros, servindo como mera distrao, fugindo do habitual e tradicional layout de arranjo do ambiente de trabalho, quando surgem, podem ser alvo de suspeita, pois de traz desses enfeites , podem estar guardados, escondidos , implantados sistemas de escuta, gravadores dentre outros pequenos sistemas que podem colher informaes ditas ou vivenciadas naquele ambiente.(paranias e neuroses parte , todo cuidado pouco);

3.5 ASPECTOS DA SEGURANA Deve-se ter em mente que o alicerce que assegura os princpios bsicos da segurana da informao (confidencialidade/integridade/disponibilidade)

51

tange como principais questionamentos quando da ocorrncia de alguma ameaa surgida, trs aspectos:

Segurana Fsica; Segurana Tecnolgica; Segurana Humana.

Sendo esta ltima citada como o fator que se deve dar uma ateno especial. Pois se cobrindo de cuidados perante ela, pode evitar com que as outras duas venham ser evitadas ou diminuir a probabilidade de ocorrncia. Um esboo claro do ciclo de vida das informaes diante os processos decorrentes ao negcio da empresa, transparecendo a ocorrncia de ameaas, perante os trs aspectos citados acima, consequentemente dada com o surgimento das vulnerabilidades, mostrada na FIGURA 3.5.1:

FIGURA 3.5.1 Os trs plos da segurana

52

3.5.1 RISCO DE SEGURANA A existncia da insegurana fato. E a inexistncia da segurana preocupante! A verdade que, medidas de segurana devem realmente ser inseridas como quesito bsico e primordial a toda empresa. Sabendo-se que o risco no literalmente levado a zero. O risco de segurana tender sempre a zero; ou seja, coerente com que j foi mencionado acima, onde 100% seguro no estar, mas ao menos deixar em um nvel baixo de insegurana isso possvel. Abaixo uma frmula que exemplifica bem o que seria esse risco de segurana tendendo a zero, segundo Marcos Smola [4]:
R = Risco V = Vulnerabilidade A = Ameaas I = Impactos M = Medidas de Segurana

R=VxAxI M

3.6 SECURITY OFFICER O papel do Security Officer resumindo ser responsvel pela coordenao dos processos inerentes segurana da informao. Onde este chefe de segurana junto com um plano diretor de segurana tomar os devidos cuidados quanto ao tratamento de dispor e descartar informaes baseando-se nas polticas de segurana impostas e estruturadas conforme as necessidades que cada Organizao tem em particular. Muito importante ressaltar que o Security Officer estar respeitando todas as caractersticas peculiares de cada nvel que ser inserida as condutas de segurana da informao (nvel Executivo, nvel Ttico e nvel Operacional), passando pelas chamadas fases para aplicabilidade de atividades que so: Planejar - Onde se definir os planos de segurana e negcios assim como as polticas a serem seguidas;

53

Analisar Verificam-se vulnerabilidades, ameaas e impactos existentes, que podem comprometer o negcio da empresa. (Analise de Riscos e Testes de invaso); Implementar Fase que materializa as aes tidas como necessrias no diagnstico e organizadas pelo planejamento, fazendo a implementao, por exemplo, dos controles de segurana assim como o treinamento e sensibilizao em segurana por parte dos funcionrios; Coordenar - Nada mais que a fase de gerir tudo o que foi feito com os trs itens citados acima, administrando ou monitorando todas as aes de segurana, percebendo mudanas em mbito fsico, tecnolgico e humano com uma equipe para respostas a incidentes. Vale lembrar tambm que preferencialmente o Security Officer deveria estar sempre no mesmo patamar do nvel Executivo; ou seja, do alto escalo, tomando decises juntamente com a diretoria administrativa e geral da empresa. Mas no o que acontece definitivamente. Aos poucos essa cultura ir ser mais bem compreendida e utilizada ao longo dos tempos (assim espera).

3.7 CONCLUSO

Conseguir compreender os aspectos da gesto de riscos, mediante a segurana das informaes que esto em jogo, mas principalmente aplicar medidas cabveis s necessidades inerentes viso tcnica com a viso de negcio o ponto de alicerce que segura a base de um bom e promissor comeo de gesto da segurana da informao. Como visto nos tpicos deste captulo, percebe-se que a engenharia social realmente um dos problemas desafiadores que se tem quanto segurana da informao. Ocorre muitas outras preocupaes que se deve ter em mente, pois alm do fator humano, tm-se o fator tecnolgico e fsico a serem considerados.

54

O termo ativos foi muito destacado no decorrer do captulo, justamente por ser sinnimo de cuidados especiais perante o que se tem e circula para com os processos da empresa.E somado a esses ativos que se encontram as ameaas e pontos de vulnerabilidades decorrentes a falta de um plano diretor de segurana que priorize aes de proteo eficientes. Vale destacar que, alm de seguir a conformidade com a ISO17799, projetando o retorno sobre os investimentos e subsidiando a criao do framework SGSI, ter um competente Security Office com uma equipe que possa dar respaldo s problemticas que vierem a surgir no decorrer deste fabuloso, mas desafiador mundo da Segurana da Informao vital. Portanto, no prximo captulo ser mesclado estes dois lados da moeda. No o bem contra o mal, o que ser muito bem esclarecido quanto a isso. Mas sim o que o responsvel por essa segurana da informao, poder realizar como medidas cabveis ao tratamento dos riscos existentes quanto a fatores tcnicos, fsicos, mas sobretudo humano, propondo assim algumas solues viveis a organizao, atrelados aos ataques do engenheiro social.

55

4 ENGENHEIRO SOCIAL versus SECURITY OFFICE

A segurana no um produto, mas um processo. Voc no pode simplesmente inclu-la em um sistema aps um fato... Solues perfeitas no so exigidas, mas sistemas que possam ser totalmente invadidos so inaceitveis Bruce Schneier [Segurana.com]

A princpio no se deve pensar que ser tratado o Engenheiro Social como o vilo e o Security Office o mocinho. A idia definitivamente no essa. At porque o prprio Security Office encarna a designao de ser, vamos dizer assim, um engenheiro social. Devido ter que conhecer suas tcnicas, seu modo de agir, enfim o perfil com atitudes e suspeitas de que esteja se deparando com um ataque da engenharia social, caso este suposto engenheiro social esteja realmente aplicando suas habilidades por um propsito malfico. Assim o Security Office pode muito bem ser o engenheiro social do bem; ou seja, utilizar as tcnicas e ferramentas que muita das vezes o engenheiro social mal intencionado utiliza, para detectar, demonstrar e descobrir as fragilidades existentes (ou o chamado elo mais fraco, lembra?) dentro da Organizao e poder assim tomar medidas aplicveis a evitar ou dificultar o que antes era um ponto de vulnerabilidade. Contudo, infelizmente existe no to somente o lado da curiosidade, impetuosidade ou vontade de descobrir o que no pode, mas sim o lado da maldade, do rancor e at mesmo da vingana, que o ser humano carrega consigo transpondo as barreiras do bom senso, da responsabilidade e, sobretudo a do respeito. Fazendo com que tais habilidades sejam utilizadas na arte de enganar pessoas. Para tanto ser abordado algumas medidas que o Security Office e sua equipe de segurana podero implementar como medidas de controle de segurana, assim como treinamentos e sensibilizao. 4.1 SEGURANA ADMINISTRAR RISCOS

56

O Security Office tem que ser o mediador, orientador, questionador, analisador de ameaas, impactos e consequentemente responsvel por um estudo de viabilidade para cada situao e etapas a serem impostas, na esfera das estratgias de anlise dos riscos. Realmente no tarefa fcil elaborar e executar um Plano Diretor de Segurana, mas bastante possvel na medida em que se conhea verdadeiramente os negcios da empresa tendo a liberdade de propor novos planos Diretoria. Sem entrar especificamente em detalhes sobre cada processo, ser apenas mencionado cada um (apenas como uma viso top-dow); sabendo-se da grande importncia que existe para o Security Office de aplicar tais processos, onde para cada um h suas particularidades [4]:

Soluo Corporativa de Segurana da Informao; Plano Diretor de Segurana; Plano de Continuidade de Negcios; Poltica de Segurana da Informao; Anlise de Riscos e Vulnerabilidades; Testes de Invaso; Implementao de Controles de Segurana; Treinamento e Sensibilizao em Segurana; Equipe para Resposta a Incidentes; Administrao e Monitorao de Segurana

Cada caso um caso, em detrimento ao que ser implementado como processo para cada empresa. Entende-se ento que no existe uma soluo padro

57

para ser aplicada em todas as empresas e sim planos personalizados conforme a necessidade de cada uma.

4.2 PROPOSTAS DE UM SECURITY OFFICE

Tendo que preocupar-se com a segurana em diversos aspectos, sendo o tecnolgico muita das vezes o foco de principal ateno a ser lembrado, fica disperso a implementao de controles de segurana principalmente relativo aos outros dois: fsicos e humanos. Aos poucos se percebe que no mais esta sendo to comum essa cultura de esquecer estes outros dois fatores como tambm delimitadores da emergente necessidade de investir maiores esforos quanto aplicabilidade aos mecanismos de controle de segurana a fim de atingir o nvel de risco adequado. Quanto aos riscos inerentes aos fatores humanos, podem-se destacar como exemplo os seguintes controles [4]: Seminrios de sensibilizao; Cursos de capacitao; Campanhas de divulgao da poltica de segurana; Crachs de identificao; Procedimentos especficos para demisso e admisso de funcionrios; Procedimentos especficos para tratamento de recursos terceirizados; Termo de responsabilidade; Termo de confidencialidade; Softwares de auditoria de acessos; Softwares de monitoramento e filtragem de contedo; Dentre outros.

58

Quanto aos riscos inerentes aos fatores fsicos, para um melhor controle e proteo, pode citar [4]: Roletas de controle de acesso fsico; Climatizadores de ambiente; Detectores de fumaa; Acionadores de gua para combate a incndio; Extintores de incndio; Cabeamento estruturado; Salas-cofre; Dispositivos de biometria; Certificados Digitais de Token; Circuitos internos de televiso; Alarmes e sirenes; Dispositivos de proteo fsica de equipamentos; Nobreaks; Dispositivos de armazenamento de mdia magntica; Fragmentadoras de papel; Dentre outros.

4.3 DIFICULTANDO A VIDA DO ENGENHEIRO SOCIAL

A maior prova para se ter certeza de que voc ser a prxima vtima da engenharia social, simplesmente subestimar o praticante desta arte. Mas como ao certo saber quem afinal o engenheiro social naquele dado momento, lugar ou

59

situao? No saber, na primeira instncia. Apenas desconfiara de algum suspeito (a) medida que voc v adquirindo conhecimento das tcnicas padres e revolucionrias da engenharia social. E assim percebendo algumas gafes do engenheiro social, deixara a incerteza para ento capturar o alvo certo. Mas a equipe de segurana, ou o Security Office pode muito bem dificultar literalmente a vida deste audacioso elemento, que no mais ser surpresa e sim presa fcil se aplicado a j mencionada tcnica da engenharia social reversa (para isso dever existir profissionais treinados e preparados para executar tal procedimento) mais alguns mtodos de autenticao que podem ser divididos em trs grupos, devido o grau de segurana que oferecem [4]: O que voc sabe O que voc tem O que voc - O que voc sabe Mtodo baseado na utilizao de senhas. No deixa de ser uma maneira para dificultar a entrada no autorizada, mas definitivamente no o mais eficiente e seguro. Devido por exemplo em no colocar as chamadas senhas fortes, onde se tenha no mnimo seis dgitos com nmeros e letras misturados e que no lembre nada do mundo real como nomes prprios, placas de automvel, datas de nascimento dentre outros.

- O que voc tem Baseado na utilizao de dispositivos fsicos para facilitar de forma mais confivel as autenticaes de acesso. Mtodo aplicado conforme tambm as necessidades do nvel de segurana desejado; alm do oramento disponvel para implementar determinada tecnologia. - Carto com cdigo de barras - Carto magntico

60

- Smartcard - Tokens - dentre outros

- O que voc Geralmente um dos mtodos mais caros. Mas tambm um dos mais eficientes, devido empregar dispositivos fsicos que realizam mtricas biomtricas para identificar pessoas que exercem o direito de acesso a informaes, lugares etc. - Geometria das mos - Geometria da face - Identificao digital - Reconhecimento da voz - Leitura de ris - dentre outros

A idia sem dvida dificultar ao mximo que puder a concretizao dos planos que o engenheiro social tem em mente e deseja por em prtica. Pois como o maior entendido do assunto, Kevin Mitnick havia dito: A verdade que no existe uma tecnologia no mundo que evite o ataque de um engenheiro social [3]. O importante o seguinte: Deve haver a conscientizao, por parte de todos os empregados. Para assim ao menos amenizar as ameaas da engenharia social. E esta conscientizao dever estar sendo combinada s polticas de segurana (personalizada de cada empresa, como dito anteriormente), juntamente com os hbitos das condutas corretas seguimentadas s regras definidas, completando com treinamentos.

61

Funcionrios treinados e conscientes fazem com que aumente de forma considervel o chamado raio de conhecimento que fora abordado no tpico 2.7.1, demonstrando que quanto maior for esse raio, maior ser a resistncia de se cair nas armadilhas do engenheiro social. Algumas autoridades recomendam que 40% do oramento geral para segurana da empresa sejam aplicados no treinamento da conscientizao [3].

4.4 MEDIDAS DE UM PLANO DE TREINAMENTO CONTRA O ENGENHEIRO SOCIAL

Fazer um raio-x das problemticas e deficincias existentes dentro da organizao diagnosticando setores frgeis quanto segurana, percebendo que a estrutura em si est comprometida a qualquer momento de sofrer um ataque da engenharia social sem ter os anti-corpus necessrios a se defender, algo que o Security Office deve ficar atento. Para tanto a estrutura do treinamento que dever ser aplicada a todos os funcionrios dever levar consigo j dois princpios bsicos que poderiam evitar alguns ataques [3]: Verificar a identidade da pessoa que faz a solicitao; ou seja, essa pessoa realmente quem diz ser? Verificar se a pessoa esta autorizada; ou seja, a pessoa tem a necessidade de saber ou tem autorizao para fazer a solicitao?

Um bom e prtico programa de treinamento e conscientizao visando a segurana das informaes contidas tambm aos aspectos do comportamento humano, que o Security Office pode incluir so [3]:

62

Uma descrio do modo como os atacantes usam habilidades da engenharia social para enganar as pessoas;

Os mtodos usados pelos engenheiros sociais para atingir seus objetivos;

Como reconhecer um provvel ataque da engenharia social; O procedimento para o tratamento de uma solicitao suspeita; A quem relatar as tentativas da engenharia social ou os ataques bem sucedidos;

A importncia de questionar todos os que fazem uma solicitao suspeita, independente da posio ou importncia que a pessoa alega ter;

O fato de que os funcionrios no devem confiar implicitamente nas outras pessoas sem uma verificao adequada, embora o seu impulso seja dar aos outros o beneficio da dvida;

A importncia de verificar a identidade e a autoridade de qualquer pessoa que faa uma solicitao de informaes ou ao;

Procedimentos para proteger as informaes confidenciais,entre eles a familiaridade com todo o sistema de classificao de dados;

A localizao das polticas e dos procedimentos de segurana da empresa e a sua importncia para a proteo das informaes e dos sistemas de informaes corporativas;

Um resumo das principais polticas de segurana e uma explicao do seu significado. Por exemplo, cada empregado deve ser instrudo sobre como criar uma senha difcil de adivinhar;

A obrigao de cada empregado de atender s polticas e as conseqncias do seu no-atendimento.

63

A motivao para que o funcionrio aplique de forma mais eficaz tais medidas de segurana das informaes promover, por exemplo, certificados pela concluso e acompanhamento dos programas de treinamento oferecidos pela empresa; brindes ou prmios por estar colaborando significativamente a diminuio dos ataques sofridos, dentre outras maneiras. Seria tambm muito importante fazer com que o funcionrio assinasse algum termo de comprometimento quanto ao seguimento das polticas e princpios de segurana que foram ministrados pelo programa. Geralmente quando as pessoas assinam algo as chances de se esforar para cumprir os procedimentos aumentam.

4.4.1 - EXEMPLOS PARA REFORAR A CONSCIENTIZAO

Apesar de se ter em mente que os planos para o desenvolvimento de um programa de conscientizao partam quase que exclusivamente do departamento de TI, por estar envolvendo tecnologias e estruturas fsicas, no se pode esquecer que envolve tambm principalmente o mais importante de todos: o ser humano. Ento nada mais justo e coerente que desenvolver o plano de conscientizao da segurana das informaes juntamente com o departamento de Recursos Humanos. O programa de conscientizao dever ser criativo, dinmico e convincente. Demonstrar que aquilo que esta sendo posto em prtica realmente necessrio e, sobretudo importante; deixando claro tambm que, importante tanto quanto quem esta participando. Portanto assim como na propaganda tradicional, o humor e a inteligncia ajudam. Fugir da mesmice de divulgaes que nunca mudam; ou seja, que j se tornam bastante familiares, fazendo assim com que comecem a serem ignoradas, colabora a ficar mais enraizadas as mensagens na mente de cada um.

64

Alguns exemplos para reforar a concretizao de um plano constante de conscientizao podem incluir [3]:

O fornecimento de trabalhos, pesquisas, artigos para leitura voltada engenharia social, para todos os funcionrios;

A incluso de itens informativos nas circulares da empresa: por exemplo, artigos, lembretes (de preferncia itens curtos que chamem a ateno) ou quadrinhos;

A colocao de uma foto do Empregado da Segurana do Ms; Psteres afixados nas reas dos empregados; Notas publicadas no quadro de avisos; O fornecimento de lembretes impressos nos envelopes de pagamento;

O envio de lembretes por correio eletrnico; O uso de protees de tela relacionadas com segurana; A transmisso de anncios sobre a segurana por meio dos sistemas de voice mail;

A impresso de etiquetas para o telefone com mensagens tais como A pessoa que esta ligando quem ela diz ser?;

A configurao de mensagens de lembrete que aparecem quando o computador ligado, tais como Criptografe as informaes confidenciais antes de envi-las;

A incluso da conscientizao para a segurana como o itempadro nos relatrios de desempenho dos empregados e nas anlises anuais;

65

A publicao na intranet de lembretes de conscientizao para a segurana, talvez usando quadrinhos ou humor, ou alguma outra maneira que incentive as pessoas a lerem;

O uso de um quadro eletrnico de mensagens na lanchonete, com um lembrete de segurana que seja trocado frequentemente; A distribuio de folhetos ou brochuras; E pense naqueles biscoitos da sorte que so distribudos de graa na lanchonete, contendo cada um deles um lembrete sobre a segurana em vez de uma previso.

Toda precauo e divulgao quanto a segurana so vlidos. Assim como as ameaas so constantes, os lembretes tambm devem ser constantes! 4.5 ENGENHEIRO SOCIAL NA ESCOLHA DOS DADOS A SEREM ATACADOS

Como visto no tpico 2.8(Estrutura diagramtica e objetiva do processo de ataque

do Engenheiro social) com a designao das siglas relativas informao IGD

(Informao Geral Disponvel) e ISE (Informao Sigilosa da Empresa), pode-se para uma melhor compreenso classificar estas informaes de forma a serem uma espcie de padronizao para muitas empresas de mdio e grande porte. Essa categoria e definio da classificao das informaes se v necessrio devido a uma filtragem mais apurada da importncia de cada tipo de informao dentro das empresas. A forma mais detalhada como demonstra a Figura 4.5, seria:

66

CONFIDENCIAL

+
Escala de importncia

ISE

PARTICULAR INTERNA
das informaes

IGD

PBLICA FIGURA 4.5 Classificao das informaes

Esta diviso dever ser realizada pelo Security Office especialmente para definir o tipo de tratamento peculiar existente em cada classificao. O Engenheiro Social buscar a coleta de informaes em todas as categorias, mas geralmente em um grau de dificuldade diretamente proporcional a escala de importncia das informaes, comeando com maior facilidade em PBLICA at maior dificuldade na captura de informaes em CONFIDENCIAL.

Pblica: So as informaes deliberadamente voltadas ao pblico, distribudas livremente sem restries para as pessoas, como forma mesmo de divulgao informativa, como por exemplo, internet, livros, revistas, jornais, artigos dentre ouras formas.

Interna: So as informaes voltadas mais especificamente ao interesse dos prprios funcionrios da empresa. Mas que podem e muito, serem teis ao Engenheiro Social. Como por exemplo se passar por um empregado autorizado, contratado ou como algum fornecedor.Alm tambm, saber exatamente os melhores horrios para se infiltrar na empresa.

Particular: a categoria de informaes de mbito mais pessoal, ou como o prprio nome diz, particular. Onde se cair em mos erradas (Engenheiro Social, por exemplo) prejudicar no to somente a empresa quanto principalmente o prprio funcionrio. Tais itens de dados particulares so caracterizados como, por

67

exemplo, informaes de conta bancria, histrico de salrio, histrico mdico de empregados, benefcios de sade ou qualquer outro tipo de informao pessoal que no deva ser pblico. Confidencial: Tipo de informao mais valorizada pela empresa. Disponvel a um nmero limitado de pessoas, de modo que se no tratada com a devida importncia, comprometer as vezes de forma irreversvel toda uma estrutura de gesto administrativa, de diversos departamentos.Geralmente se classifica em informaes operacionais da empresa e de estratgias de negcios; informaes de marketing e financeiras alm de informaes voltadas aos segredos comerciais da empresa, cdigos fonte proprietrio, especificaes tcnicas ou funcionais [3].

Vale tambm ressaltar alguns fatores que tornam as empresas cada vez mais vulnerveis aos ataques do Engenheiro Social, fazendo com que haja uma reflexo melhor quando se trata de informaes [3]: - Um nmero grande de empregados; - Diversas instalaes; - Informaes sobre o paradeiro dos empregados deixadas nas mensagens de voice-mail; - Informaes de ramal de telefone disponveis; - Falta de treinamento em segurana; - Falta de sistema de classificao de dados; - Nenhum plano ou grupo de resposta aos incidentes de segurana.

68

4.6 SECURITY OFFICE NA DEFESA DA CHECAGEM DE DADOS E PESSOAS Assim como o chamado ombudsman, o Security Office tambm tem que atuar. Pessoa responsvel por criticar, argumentar e questionar fatos e fatores, casos e ocorrncias, sendo s vezes conhecido como o indivduo chato da organizao. Algo interessante seria a empresa contratar uma pessoa desconhecida por todos que nela trabalham a fim de ser basicamente um espio colaborador s exigncias impostas e determinadas, pelo Security Office e sua equipe de segurana. De modo que esse trabalho seria feito periodicamente de tempos em tempos (conforme a necessidade emergente, ou at mesmo pela rotina padro que fora determinada pelo Security Office). Onde claro, se faa cumprir no contrato que este profissional espio, estabelea total acordo de confidencialidade a todas as informaes repassadas, assim como principalmente as descobertas de vulnerabilidades detectadas por ele. Pelo fato agora deste ser tambm um funcionrio da empresa (mesmo sem estar trabalhando com a periodicidade de costume, dos demais empregados) O papel do Security Office no ficaria ofuscado de maneira alguma, com a presena deste espio. Seria apenas mais uma poderosa ferramenta, para ajudar no combate a diminuio de pontos vulnerveis que possam mais tarde se tornar ameaas crnicas resultando em impactos s vezes irreparveis. O surgimento deste novo tipo de profissional poder vir a surgir daqui alguns anos, mediante a verdadeira tnica da insegurana crescente que se alastra cada vez mais, pondo em cheque a estabilidade de qualquer organizao. Seguindo trs critrios de verificao relevantes quanto ajuda na identificao de determinada pessoa que solicita alguma informao, faz com que as possibilidades desta pessoa conseguir enganar ou convencer, sejam menores. Os critrios seriam os seguintes [3]: Verificao da identidade;

69

Verificao do status do empregado; Verificao da necessidade de saber. Onde na verificao da identidade poderia estabelecer os seguintes recursos como fatores dificultantes ao praticante da engenharia social: -Identificador de chamadas, realizando posteriormente tambm uma ligao de retorno; - Realizar um modo de Autorizao, onde se verifica realmente se determinado solicitante tem o consentimento de algum de confiana da empresa; - Utilizar do chamado segredo compartilhado, como por exemplo um cdigo dirio ou uma senha ( isso uma IGD Interna); - Utilizar o e-mail seguro, que uma forma de mensagem assinada digitalmente; - Fazer o reconhecimento pessoal de voz, como por exemplo, j ter falado pessoalmente com essa pessoa, conhecendo a verdadeira voz do outro lado da linha; - Outro recurso a de se apresentar pessoalmente com identificao; ou seja, alm de estar l de corpo presente, tem tambm que mostrar o crach para se identificar (de preferncia com foto). Agora na verificao do status do empregado, algumas outras medidas a parte devem ser levadas em conta. Sempre atente-se quele ex-funcionrio.O empregado demitido tanto quanto perigoso em comparao ao Engenheiro Social. Pois infelizmente pode haver o sentimento de vingana e

descontentamento por parte deste funcionrio demitido, levando informaes importantes da empresa. Alguns mtodos para verificar a autenticidade deste solicitante de informaes, sabendo se ou no ainda um integrante da empresa: - Fazer uma verificao na lista de empregados que esto em atividade, ou verificar naquele ms a relao de empregados demitidos ou admitidos;

70

- Realizar a verificao com o gerente do solicitante; - Verificao do departamento ou grupo de trabalho do solicitante. Por fim a verificao da necessidade de saber; considera algo simples a ser questionado: Porque voc quer saber sobre isso?. Algumas formas que ajudam a diminuir esse gargalo e filtrar a passagem somente daqueles que na verdade so reconhecidos e autorizados, tem como alguns mtodos [4]:

- Consultar a lista de cargos, grupos de trabalho e/ou responsabilidades; - Obter autorizao de um gerente; - Obter a autorizao do proprietrio ou criador das informaes.

Em sntese o Security Office dever saber identificar alguns sinais de ataque do Engenheiro Social, tais como, por exemplo: Recusa em dar um nmero de retorno; Solicitao fora do comum; Alegao de autoridade; nfase na urgncia; Ameaas de conseqncias negativas em caso de no atendimento; Mostra desconforto quando questionado; Nome falso; Cumprimentos ou lisonja; Flerte

71

4.7 CONCLUSO A questo da privacidade estar cada vez menor, ao ponto daqui alguns anos, quase no mais existir, fato. As informaes sejam elas pessoais ou empresariais, esto cada vez mais fceis de serem encontradas e utilizadas. O patamar em que se encontram tais informaes sendo expostas da forma que so, to facilmente divulgadas e compartilhadas, no est definitivamente no mesmo patamar da noo e conscientizao das pessoas fsicas e jurdicas com relao a esta imprivacidade que delas detm. Implementar diversos mecanismos de identificao, autorizao,

armazenamento de dados, sistemas de auditoria, inspeo e checagem, ajudam. E devem ser levados em conta, para que aja maior segurana quanto a exposio involuntria ou no de informaes pessoais e tcnicas; enfim confidenciais. A rdua tarefa de ser este super-homem ou de se ter a super-equipe algo realmente difcil. Adquirir um nvel de profissionais com alta capacidade de bom relacionamento inter-pessoal e ao mesmo tempo bons conhecimentos tcnicos, esta complicado. O investimento no pouco, e muito menos com retorno a curto prazo. Mas compensa na medida em que se valorizem cada vez mais todos os ativos da empresa. O desafio grande e a caminhada para o sossego de obter definitiva segurana das informaes esta muito longe. Principalmente devido o fato citado acima, sobre a falta de privacidade, cada vez maior. Mas quanto segurana corporativa das informaes que nelas incidem, deve sem sombra de dvidas serem encaradas como preciosidades cada vez mais valorizadas por cada funcionrio da organizao. Contudo ter em mente que para se obter profissionais aptos a saberem trabalhar com esta segurana que as informaes merecem ter, assim como fazer com que as pessoas que trabalhem com algum meio tecnolgico principalmente, sejam envolvidas a interagirem participativamente s responsabilidades quanto as

72

condutas ao tratamento das informaes que manipulam, um investimento a ser aplicado e no simplesmente mais uma despesa a ser adicionada ao oramento. Com isso no prximo captulo estar sendo demonstrado duas metodologias, muito teis, justamente como ferramentas ao combate s vulnerabilidades decorrentes das situaes de risco existentes na organizao. Alm de estar colaborando tambm na ajuda de poder ter uma noo do investimento a ser aplicado em medidas para obter-se uma margem de risco cada vez menor, mediante as ameaas segurana das informaes.

73

5 METODOLOGIAS

As trs metodologias que aqui sero demonstradas serviro como respaldo s aplicabilidades propostas, referentes ao estudo de caso (captulo 6). No primeiro momento com um teste de conformidade para diagnosticar como est a segurana das informaes. Em um segundo momento para realizar as anlises de risco, calcular os graus de criticidade e justificativas de investimentos.

5.1 TESTE DE CONFORMIDADE [4]

Este instrumento ir auxiliar a perceber o grau de aderncia da empresa em relao s recomendaes de segurana da informao da norma internacional BS7799 ou de sua verso brasileira, a NBR ISSO/IEC 17799. Pela superficialidade natural deste tipo de teste, poderia-se apelid-lo de ISSO 17799 Gap Analysis Light; ou seja, um diagnstico simples e rpido, baseado em perguntas objetivas com pontuao associada que ir revelar seu ndice de conformidade. Objetivo do teste Permitir a sua percepo quanto ao grau de conformidade que a organizao tem em relao aos controles sugeridos pelo cdigo de conduta de gesto de segurana da informao definidos pela norma ISSO/IEC 17799.

Instrues: - Escolha apenas uma resposta para cada pergunta e contabilize os pontos ao final.

Sua empresa possui:

POLTICA DE SEGURANA Poltica de segurana?

( ) Sim ( ) Sim, porm desatualizada ( )No

74

Algum responsvel pela gesto da poltica de segurana?

( ) Sim ( ) Sim, porm no esta desempenhando esta funo ( ) No SEGURANA ORGANIZACIONAL Infra-estrutura de segurana da informao para gerenciar as aes corporativas?

( ) Sim ( ) Sim, porm desatualizada ( )No Frum de segurana formado pelo corpo diretor, a fim de gerir mudanas estratgicas?

( ) Sim ( ) Sim, mas no esta sendo utilizado atualmente ( ) No Definio clara das atribuies de responsabilidade associadas segurana da informao?

( )Sim ( )Sim, porm desatualizada ( )No Identificao dos riscos no acesso de prestadores de servio?

( )Sim ( )Sim, porm desatualizada ( )No Controle de acesso especfico para prestadores de servio?

( )Sim ( )Sim, porm desatualizado ( )No Requisitos de segurana dos contratos de terceirizao?

( )Sim ( )Sim,porm desatualizados ( )No CLASSIFICAO E CONTROLE DOS ATIVOS DE INFORMAO Inventrio dos ativos fsicos, tecnolgicos e humanos?

( )Sim ( ) Sim, porm desatualizado ( )No Critrios de classificao da informao?

( )Sim ( )Sim, porm desatualizados ( )No SEGURANA EM PESSOAS Critrios de seleo e poltica de pessoal?

( )Sim ( )Sim, porm desatualizados ( )No Acordo de confidencialidade, termos e condies de trabalho?

( )Sim ( )Sim, porm desatualizados ( )No

75

Processos para capacitao e treinamento de usurios?

( )Sim ( )Sim, porm desatualizados ( )No Estrutura para notificar e responder aos incidentes e falhas de segurana?

( )Sim ( )Sim, porm desatualizada ( )No SEGURANA FSICA E DE AMBIENTE Definio de permetros e controles de acesso fsico aos ambientes?

( )Sim ( )Sim, porm desatualizada ( )No Recursos para segurana e manuteno dos equipamentos?

( )Sim ( )Sim, porm desatualizada ( )No Estrutura para fornecimento adequado de energia?

( )Sim ( )Sim, porm desatualizada ( )No Segurana do cabeamento?

( )Sim ( )Sim,porm desatualizada ( )No

GERENCIAMENTO DAS OPERAES E COMUNICAES Procedimentos e responsabilidades operacionais?

( )Sim ( )Sim, porm desatualizado ( )No Controle de mudanas operacionais?

( )Sim ( )Sim, porm desatualizado ( )No Segregao de funes e ambientes?

( )Sim( )Sim,porm desatualizada ( )No Planejamento e aceitao de sistemas?

( )Sim ( )Sim, porm desatualizados ( )No Procedimentos para cpias de segurana?

( )Sim ( )Sim, porm desatualizada ( )No Controles e gerenciamento de Rede?

( ) Sim ( )Sim, porm desatualizado ( )No

76

Mecanismos de segurana e tratamento de mdias?

( )Sim ( )Sim, porm desatualizado ( )No Procedimentos para documentao de sistemas?

( )Sim ( )Sim, porm desatualizado ( )No Mecanismos de segurana do correio eletrnico?

( )Sim ( )Sim, porm desatualizados ( )No CONTROLE DE ACESSO Requisitos do negcio para controle de acesso?

( )Sim ( )Sim, porm desatualizados ( )No Gerenciamento de acessos do usurio?

( )Sim ( )Sim, porm desatualizado ( )No Controle de acesso rede?

( )Sim ( )Sim, porm desatualizada ( )No Controle de acesso ao sistema operacional?

( )Sim ( )Sim, porm desatualizado ( )No Controle de acesso s aplicaes?

( )Sim ( )Sim, porm desatualizada ( )No Monitorao do uso e acesso ao sistema?

( )Sim ( )Sim, porm desatualizado ( )No Critrios para computao mvel e trabalho remoto?

( )Sim ( )Sim, porm desatualizados ( )No DESENVOLVIMENTO E MANUTENO DE SISTEMAS Requisitos de segurana de sistemas?

( )Sim ( )Sim, porm desatualizados ( )No Controles de criptografia?

( )Sim ( )Sim, porm desatualizados ( )No

77

Mecanismos de segurana nos processos de desenvolvimento e suporte?

( )Sim ( )Sim, porm desatualizados ( )No

GESTO DA CONTINUIDADE DO NEGCIO Processo de gesto da continuidade do negcio?

( )Sim ( )Sim, porm desatualizado ( )No

CONFORMIDADE Gesto de conformidades tcnicas e legais?

( )Sim ( )Sim, porm desatualizada ( )No Recursos e critrios para auditoria de sistemas?

( )Sim ( )Sim, porm desatualizados ( )No

Vale lembrar que este questionrio tem como propsito servir como um auxiliador quanto gesto dos controles de segurana a fim de proteger a confidencialidade, integridade e disponibilidade das informaes. A avaliao dos resultados obtidos intitulada quanto aos quesitos do nvel de segurana esperados de acordo com os ndices de conformidade com a norma ISO 17799. Portanto serve sim, como ajuda para ter uma noo de como esta realmente a empresa em relao aos controles de segurana da informao, sua estrutura de gesto na anlise de riscos assim como a preparao do Security Office e sua equipe de segurana [4].

Tabela de pontuao Some os pontos correspondentes s respostas de acordo com a tabela a seguir:
Resposta A: some 2 pontos Resposta B: some 1 ponto Resposta C: no some, nem subtraia pontos.

78

Resultado entre 0-26 Cuidado! A situao no nada boa para a empresa. No esta sendo levado a srio as polticas de segurana vigentes (isso se existir). Caso no exista dever ser pensando imediatamente em ter uma. O desconhecimento dos riscos inerentes a ameaas e vulnerabilidades existentes e a falta de sensibilizao e conscientizao por parte dos funcionrios em geral, executivos e da alta administrao, tambm so pontos negativos. Outro fator a ser levado em considerao que no deve estar ocorrendo um planejamento conjunto e sim aes isoladas, o que enfraquece muito a estrutura de segurana das informaes (mesmo que exista de modo superficial) da organizao. No preciso entrar em estado de desespero total, pois h tempo de se conseguir reverter tal situao. Por exemplo, j comeando com uma anlise de riscos.

Resultado entre 27-53 Ateno!No esta com tantas inconformidades quanto s diretrizes exigidas de segurana da informao. Mas ainda existem deficincias que podem ser superadas e levar a empresa a um ndice melhor do que este que se encontra ou se no for tratadas tais deficincias levar tambm a uma situao muito preocupante. Talvez um dos estgios mais traioeiros, justamente pela tendncia de se achar que esta mais bem do que mal. Dando um estado de comodidade. O que pode estar ocorrendo nesta situao so planos, regras e condutas desatualizadas, defasadas ou inativas. Alm tambm de estar num limite suficientemente aceitvel dos recursos financeiros de administrao. Diante o quadro que se apresenta aconselhvel fazer uma reviso geral das polticas de segurana que regem as informaes. A falta de orientao outro ponto a ser mencionado. O Security Office e sua equipe devem estar fazendo marcao rigorosa para no deixar nenhum setor ou funcionrio fora dos padres exigidos. Novamente deve ser dito que necessrio uma anlise de

79

riscos. Pois a falta do mesmo pode estar acarretando essa desorientao e dificultando a priorizao das atividades.

Resultado entre 54-80 Parabns! algo mais raro de se encontrar, mas existe. A empresa neste caso esta seguindo os princpios primordiais de segurana da informao aplicadas a seu negcio. Percebe-se ai a conscientizao e a certeza de que houve um treinamento por parte da equipe de TI. Se houve tambm a constatao de que a aplicao dos controles de segurana foi baseada na ajuda de uma anlise de riscos integrada sob a gesto de um Security Office, melhor ainda para a credibilidade deste resultado empresa [4].

5.2 METODOLOGIA DE MOSLER

O Mtodo Mosler [38] uma forma do departamento de segurana acompanhar a evoluo dos seus riscos de maneira geral. um mtodo subjetivo e, portanto, s deve ser utilizado quando a empresa no tiver dados histricos, que possam ser matematicamente empregados. Na fase do planejamento, analisa a evoluo dos riscos sob os pontos de vista quantitativo e qualitativo, enfocando as variadas atividades da empresa. Para isto tem que ser empregado para cada tipo de risco e analisado tendo como referncia a interferncia na atividade que se est avaliando. Tem por objetivo servir de base para a identificao, anlise e evoluo dos fatores que podem influir na manifestao e concretizao da ameaa, projetando qual ser o impacto em caso de concretizao, pela classe e dimenso de cada risco. Este mtodo est calcado em quatro fases distintas e uma metodologia cientfica seqencial, ou seja, uma fase depende da outra para que se possa ter uma viso global do risco. So elas:

80

 DEFINIO DO RISCO ANLISE DO RISCO EVOLUO DO RISCO CLASSE DO RISCO

Esta primeira fase tem como objetivo levantar e identificar qual ser o risco a ser analisado, integrado com determinada atividade da empresa. Isto significa, identificar qual o bem e seu respectivo dano.

Anlise do Risco Nesta segunda fase, o Mtodo Mosler, realiza a anlise do risco com base em seis critrios. Estes critrios so voltados para a influncia direta da materializao da ameaa estudada, com uma determinada atividade crucial para a empresa. Como forma de parmetro, cada critrio, ou funo estudada, pode ser pontuado em uma escala que varia de 01 a 05 na pontuao, dependendo de sua gravidade. Os critrios so:

CRITRIO DA FUNO - "F"

Este critrio projeta as conseqncias negativas ou danos que podem alterar a atividade principal da empresa, dentro da seguinte gradao: ESCALA MUITO GRAVEMENTE GRAVEMENTE MEDIANAMENTE LEVEMENTE MUITO LEVEMENTE PONTUAO 05 04 03 02 01

81

CRITRIO DA SUBSTITUIO - "S"

Este critrio avalia qual o impacto da concretizao da ameaa sobre os bens, ou seja, o quanto os bens atingidos podem ser substitudos.

ESCALA MUITO DIFICILMENTE DIFICILMENTE SEM MUITAS DIFICULDADES FACILMENTE MUITO FACILMENTE

PONTUAO 05 04 03 02 01

CRITRIO DA PROFUNDIDADE - "P"

Uma vez materializado o risco, esse critrio mede a perturbao e os efeitos psicolgicos que o risco poder causar para a imagem da empresa.

ESCALA PERTURBAES MUITO GRAVES GRAVES LIMITADAS LEVES MUITO LEVES

PONTUAO 05 04 03 02 01

82

CRITRIO DA EXTENSO -"E"

Este critrio mede o alcance e extenso que o dano causa para a empresa.

ESCALA DE CARTER INTERNACIONAL DE CARTER NACIONAL DE CARTER REGIONAL DE CARTER LOCAL DE CARTER INDIVIDUAL

PONTUAO 05 04 03 02 01

CRITRIO DA AGRESSO - "A"

Este critrio mede a possibilidade do dano ou risco vir a acontecer, tendo em vista as caractersticas conjunturais e fsicas da empresa, cidade e estado onde ela se encontra. Por exemplo, um executivo no Rio de Janeiro possui um nvel de risco e no Nordeste outro, pois as probabilidades de sofrerem agresso so completamente diferentes nos dois estados.

ESCALA MUITO ALTA ALTA NORMAL BAIXA MUITO BAIXA

PONTUAO 05 04 03 02 01

83

CRITRIO DA VULNERABILIDADE - "V"

Tendo em vista o critrio da agresso, o critrio da vulnerabilidade mede quais sero as perdas causadas pela concretizao do risco, no mbito financeiro.

ESCALA MUITO ALTA ALTA NORMAL BAIXA MUITO BAIXA

PONTUAO 05 04 03 02 01

Evoluo do Risco Esta terceira fase tem por objetivo quantificar o risco analisado. Nesta fase valora-se o risco, calculando sua magnitude - C - e quantificando sua probabilidade de ocorrncia - Pb - projetando o tamanho da ameaa. Para tanto, aplica-se a frmula para quantificar o risco estudado:

ER = C X Pb Para que se possa chegar quantificao acima, dois passos devem-se ser realizados: a. O primeiro calcular a magnitude do risco pela frmula C = I + D, sendo I a importncia do sucesso e D os danos causados. Para chegar ao clculo desta frmula utilizam-se os critrios acima descritos, onde:

I = IMPORTNCIA DO SUCESSO = F x S (Funo X Substituio) D = DANOS CAUSADOS = P x E (Profundidade X Extenso)

84

Assim, a magnitude de risco ser:

C = I (F x S) + D (P x E)

B. O segundo passo calcular a probabilidade de ocorrncia - Pb - pela multiplicao das funes da agresso e da vulnerabilidade, onde:

Pb = A x V (AGRESSO X SUBSTITUIO)

Com estes dados pode-se ento calcular a evoluo do risco (ER).

Classe do Risco A quarta fase do Mtodo Mosler simplesmente compara o resultado da quantificao com a tabela abaixo, para chegar-se a uma classe de risco:

VALOR "ER" QUANTIFICAO 2 - 250 251 - 500 501 - 750 751 - 1000 1001 - 1250

CLASSE DE RISCO MUITO BAIXO PEQUENO NORMAL GRANDE ELEVADO

De acordo classe de risco, a empresa e o departamento de segurana podero priorizar as medidas preventivas. Como dissemos anteriormente, o Mtodo Mosler subjetivo, ou seja, depender da opinio pura e simples do departamento de segurana, quando este tiver que valorar cada uma das funes de criticidade da empresa. Podemos citar como exemplo a seguinte situao: Banco comercial,

85

nacional, classificado como mdio varejo, est mudando para uma nova sede e a diretoria deseja saber qual seu grau de risco, tendo em vista:

- Este banco est desenvolvendo um projeto de um novo produto, que ir revolucionar o mercado financeiro e, por conseqncia, considerado de natureza sigilosa. - A mudana para a nova sede tem como objetivo impactar sua imagem corporativa no mercado financeiro, bem como proporcionar um ambiente agradvel para que os funcionrios possam desenvolver os seus trabalhos. - Os funcionrios administrativos trabalham em horrio comercial, geralmente das 08:30hs s 18:30 hs, sendo que o horrio de pico entre 08:00 e 09:00 hs. - O pessoal do CPD (informtica) trabalha 24 horas, em trs turnos de 08 horas. - Por tratar-se de uma sede administrativa de um banco, os funcionrios podem permanecer na edificao aps o horrio convencional, conforme a necessidade do trabalho realizado. - Este banco possui uma equipe altamente qualificada, sendo que seus funcionrios tm mais de 5 anos de empresa. A poltica de remunerao prev a entrega de bnus ao final de cada ano para todos os funcionrios. - A edificao possui 5 pavimentos, o trreo e um subsolo. - Com exceo das salas de reunio e auditrio, o banco possui um ambiente aberto, "open space". - A edificao encontra-se em uma rea de grande movimento, com um muro como barreira perimetral de 2 metros. Esta cercada por edifcios comerciais de grande porte na sua parte lateral direita e retaguarda. - O banco prepara-se para lanar este novo produto, que ir revolucionar o mercado. A concorrncia acirrada e considerada forte no mercado. - O tempo de investimento neste projeto de 36 meses.

86

- O banco j teve um caso de espionagem (roubo de dados de um projeto), que o fez perder o "time" de mercado. - O banco j sofreu ameaas de bomba. - Tendo em vista o exposto acima se solicita avaliar e analisar os riscos, classificando-os.

Obviamente seria necessrio outros dados para que o gerente de segurana pudesse realizar o estudo de forma mais detalhada. Para que se possa ter uma idia clara do emprego do Mtodo de Mosler, elaboramos a tabela abaixo, com a seguinte classificao:

RISCO ESPIONAGEM AMEAA DE BOMBA

F S P E A V

Pb

ER

FXS PXE I + D AXV CXPb 20 12 40 15 20 6 800 90

CLASSE GRANDE MUITO BAIXO

5 4 5 4 4 5 20 3 1 4 3 3 2 3

Pela metodologia de Mosler, o banco em questo, possui um grau de risco para espionagem considerado como grande, devendo o departamento de segurana priorizar ento medidas fortes de controle de acesso. Quanto ao risco de ameaa de bomba foi considerado como muito baixo, portanto, embora exista a possibilidade de ocorrer seu impacto de forma genrica ser muito pequeno. Com esta anlise o departamento de segurana, mesmo sem muito subsdio histrico, pode priorizar os seus investimentos e implantar sistemas. Como j frisamos anteriormente, mais uma vez, a segurana empresarial sai do achismo e pode utilizar um ferramental, embasado em metodologias cientficas empregadas na Europa e Estado Unidos, para sensibilizar sua diretoria.

87

5.3 METODOLOGIA DE WILLIAN T. FINE [38]

Este mtodo tem como objetivo estabelecer prioridade, integrando o grau de risco com a limitao econmica. Por meio dele, o departamento de segurana pode projetar o "time" de implantao, o esforo e a previso de verba, de acordo com o nvel de criticidade de cada risco. Tal sistema de prioridade est alicerado em uma frmula simples, que calcula o perigo de cada situao, e tem como resultado o Grau de Criticidade ou periculosidade, que ser denominado: Grau de Criticidade - GC. Este grau determina a urgncia da tomada de deciso, ou seja, se o risco deve ser tratado com maior ou menor brevidade. A justificativa dos investimentos na segurana dever estar diretamente relacionada ao GC. bvio que se, por exemplo, o investimento em sistemas for alto e o grau de criticidade baixo, deve haver uma forma de balancear o investimento. Com este mtodo obtm-se um parmetro para realizar e justificar o investimento na segurana. O Mtodo Fine baseado, tal como o de Mosler, em grades de probabilidade. Caso a empresa no tenha histrico, o clculo ter como base dados e avaliaes subjetivas. Existem duas frmulas: uma para estimar o grau de criticidade e outra para justificar o investimento:

A) GRAU DE CRITICIDADE GC B) JUSTIFICATIVA DE INVESTIMENTO JI

A) Grau de Criticidade GC

O grau de criticidade calcula-se com base em trs fatores:

88

- Consequncia (C) - So os impactos mais provveis, tanto financeiros como danos pessoais, de ocorrer, em caso do evento vir a concretizar-se. - Exposio ao risco(E) a frequncia que este evento ou perigo costuma manifestar-se na empresa ou em empresas similares.

- Probabilidade (P) - a real chance do evento vir a acontecer, dentro de uma escala.

Para que possam ser mensurados e projetados, os trs fatores possuem uma escala de valores, numrica, que est baseada na experincia e no juzo de Willian T. Fine. A frmula do GC :

GRAU

DE

CRITICIDADE:

CONSEQUNCIA

EXPOSIO

PROBABILIDADE

GC: Cx E x P

Como pode ser verificado a delimitao do GC , ento, resultado da multiplicao dos trs fatores, constituindo uma escala de valores, compreendida entre 0,05 e 10.000. Os valores obtidos so resultado de uma classificao intermediria dos fatores de risco, que decresce de forma linear, assegurando desta forma uma correo no incremento do GC. Alm disso, a fixao destes valores utiliza tambm estatsticas e referncias, histricas e mundiais.

89

O resultado est descrito na Tabela 5.1:

Tabela 5.1
FATOR CLASSIFICAO A) quebra da atividade, fim da empresa, dano superior a um milho de dlares B) dano entre US$ 500 mil e US$ 1 milho CONSEQUNCIA - C C) dano entre US$ 100 mil e US$ 500 mil D) dano entre US$ 1 mil e US$ 100 mil E) dano abaixo de US$ 1 mil F) pequenos danos A) vrias vezes ao dia - frequentemente B) uma vez ao dia C) uma vez por semana ou ms - ocasionalmente EXPOSIO - E D) uma vez ao ms ou ao ano - irregularmente E) raramente - sabe-se que ocorre, mas no com qual frequncia F) remotamente possvel, no se sabe se j ocorreu A) espera-se que acontea B) completamente possvel - 50% de chances C) coincidncia se acontecer PROBABILIDADE - P D) coincidncia remota - sabe-se que j ocorreu E) extremamente remota, porm possvel F) praticamente impossvel de ocorrer, uma chance em um milho. VALOR 100 50 25 15 5 1 10 5 3 2 1 0,5 10 6 3 1 0,5 0,1

A escala de valores, para priorizao dos riscos :

GRAU DE CRITICIDADE - GC GC MAIOR OU IGUAL A 200

PRIORIDADES - AES A TOMAR CORREO IMEDIATA - RISCO TEM QUE SER DIMINUDO URGENTE REQUER

GC ABAIXO DE 200 E MAIOR CORREO OU IGUAL A 85 GC MENOR QUE 85 ATENO

RISCO DEVE SER ELIMINADO

90

Realizado este estudo de priorizao dos riscos e perigos da empresa, parte-se para a justificativa do investimento. B) JUSTIFICATIVA DO INVESTIMENTO

A frmula : JI = ____________GC______________ Fator de Custo X Grau de Correo

Tanto o fator de custo como o grau de correo so, tambm, escala de valores descritas em tabelas, sendo:

FATOR DE CUSTO:
CLASSIFICAO MAIOR QUE US$ 50.000 ENTRE US 25.000 E US$ 50.000 ENTRE US$ 10.000 E US$ 25.000 ENTRE US$ 1.000 E US$ 10.000 ENTRE US$ 100 E US$ 1.000 ENTRE US$ 25 E US$ 100 MENOS QUE US$ 25 VALOR 10 6 4 3 2 1 0,5

GRAU DE CORREO CLASSIFICAO RISCO ELIMINADO - 100% RISCO REDUZIDO - 75% RISCO REDUZIDO ENTRE 50% E 75% RISCO REDUZIDO ENTRE 25% E 50% RISCO REDUZIDO MENOR QUE 25% VALOR 1 2 3 4 6

91

Para utilizar-se a frmula e determinar se o gasto proposto justificado, deve-se aplicar os valores das classificaes correspondentes e obter-se um valor numrico. Este valor numrico denominado "ndice de justificao" do rendimento do investimento proposto. A princpio, o ndice de justificao dever ser superior a 10, para que o investimento seja considerado justificado. bvio que quanto mais alto for este ndice, maior ser o interesse do programa de preveno. Um outro estudioso de riscos, R. Pickers, prope uma variao do mtodo exposto na escala de valorao do ndice de justificao. A tabela que segue abaixo foi estabelecida como padro em 1976, pela Associao Americana de Gerenciamento de Riscos:

ESCALA DE VALORAO DO NDICE DE JUSTIFICAO

FATOR

NDICE

DE

JUSTIFICAO - IJ IJ MENOR QUE 10 IJ ENTRE 10 E 20 IJ MAIOR QUE 20

COMENTRIOS INVESTIMENTO DUVIDOSO INVESTIMENTO NORMALMENTE JUSTIFICADO INVESTIMENTO PLENAMENTE JUSTIFICADO, GRANDE REDUO DE RISCO

A maior parte dos riscos, pelo Grau de Criticidade, ordinariamente atinge um valor compreendido entre 85 e 200, o que significa ateno e atuao urgentes. Por esta razo pode-se considerar que o valor mdio de 100 no GC, uma medida correta de reduo dos riscos, sendo que o grau de diminuio deve ser menor ou igual a 5, para obter-se um coeficiente maior ou igual a 20 na justificativa de investimento. Esta uma ferramenta valiosa para o departamento de segurana, pois possibilita comparar o investimento de segurana com a viso macro da empresa.

92

Exemplo Prtico:

Uma montadora, localizada na regio da grande So Paulo, deseja saber se investimento que vai realizar em segurana, estar sendo bem empregado e qual o seu grau de justificao. A situao a seguinte: Tendo em vista a crise global, em outubro de 1998, e necessitando demitir cerca de 2.500 funcionrios, a empresa tem receio que haja tumulto no interior da fbrica. Se o tumulto ocorrer muitas mquinas consideradas prioritrias podero sofrer danos e causar prejuzos acima de US$ 250.000,00. A empresa prope como forma de evitar prejuzos maiores a realizao de palestras e a elaborao de um programa de sensibilizao, alm da implantao de reforo no esquema de segurana. A estimativa de investimento prevista de US$ 45.000,00.

Resolvendo a questo acima, pelo mtodo T. Fine, tem-se os seguintes dados:

Grau de Criticidade - GC = c x e x p

Pela tabela pode-se verificar que:

Consequncia - c = 25 Exposio - e = 1 Probabilidade - p = 6

GC = 25 x 1 x 6 = 150

GC = 150, o que significa que o risco exige correo URGENTE - REQUER ATENO.

93

A Justificativa de Investimento - JI - pode ser definida:

JI = _______________GC = 150_________________ Fator de Custo x Grau de Correo

(US$ 45 mil = 6) x (Risco reduz em 50% = 3)

JI = 8,33, o que significa que o investimento duvidoso, pela escala de valorao do ndice de justificao.

A resposta do departamento de segurana que o nvel de reduo do risco, frente ao investimento de carter duvidoso, devendo a empresa repensar as medidas de segurana propostas e procurar outras mais efetivas.

94

6 ESTUDO DE CASO
Risco a incerteza inerente a um conjunto de possveis conseqncias (ganhos e perdas), as quais ocorrem como resultado de escolhas e decises exigidas por toda organizao. Risco est relacionado escolha, no ao acaso. Ives P. Mulle

A empresa A organizao pela qual foram realizadas as avaliaes uma instituio de ensino superior. A matriz na cidade de Uberaba, oferece cursos de graduao e ps-graduao, em diversas reas. O foco principal destas avaliaes suscederamse no campus Uberlndia, com a Avaliao prtica na organizao. J para a sede em Uberaba, foi encaminhado outra avaliao com a chamada Segurana da Informao em conformidade ISSO 17799.

O estudo de caso aplicado foi elaborado pensando na essncia de tudo, a segurana da informao. Mas como visto em todo o trabalho realizado at aqui, foi tratado alm dos fatores embasados na segurana das informaes relacionando vulnerabilidades no mbito tecnolgico e fsico, o fator conseqente da tranformao em ameaas, considerado o elo mais fraco existente dentro de qualquer organizao que : o fator humano. Em virtude disso este captulo ter como viso da aplicabilidade ao assunto abordado, 2(duas) anlises que faro compor o estudo de caso em si, relacionando a engenharia social conjuntamente a segurana das informaes. No primeiro momento Segurana da Informao em conformidade ISO17799, faz-se necessrio preenchimento do questionrio mediante a realizao das respostas efetuadas por um Securiy Office, gerente de TI ou responsvel pela rea que envolva a segurana das informaes. Para assim, depois fazer a anlise de como esta a sade da empresa quando se trata do gerenciamento dos ativos, preservando a confidencialidade, integridade e disponibilidade das informaes.

95

Em um segundo momento Avaliao prtica na Organizao, encontrase o estudo realizado na prtica com a anlise por setores, prevalecendo os cuidados inerentes s vulnerabilidades tcnicas e humanas. 6.1 - SEGURANA DA INFORMAO EM CONFORMIDADE ISO17799

O questionrio (como visto no captulo 5) foi encaminhado ao Setor de Suporte e Tecnologia da instituio (campus Uberaba), aos cuidados do encarregado responsvel pela gerncia da segurana das informaes da rea de TI. Onde o mesmo incumbiu-se de responder. De acordo com as respostas colhidas realizou-se a concluso que segue.

6.1.1 RESULTADOS Observou-se que o resultado obtido, de acordo com a somatria dos pontos acumulados, foi de: 30 pontos. O que pode constatar com esse resultado, que se encontra num patamar razovel de aceitao quanto s polticas de segurana da informao. Isso porque se percebe um resultado que realmente esta na faixa dos 27-53, mas um pouco acima do estado crtico que seria de 0-26. Ento por estar numa faixa mediana, mas tendendo mais para a faixa critica, que deve-se ter cuidados ainda maiores. Mediante o questionrio respondido pelo encarregado responsvel pela gerncia da segurana das informaes da rea de TI, o mesmo ressalta, conforme entrevista realizada, que ainda existem pontos importantes a serem resolvidos, como uma melhor orientao junto aos funcionrios, sobretudo ao tratamento das informaes; normas e regras a serem mais rigorosamente exigidas e seguidas e atualizaes de um plano de segurana efetivo. Enfim a necessidade de uma reviso geral a fim de cobrir as deficincias existentes.

96

6.2 AVALIAO PRTICA NA ORGANIZAO

O estudo de caso em particular tem como princpio bsico o objetivo em avaliar de forma especfica os setores observados e as respectivas situaes, dentro da Instituio campus Uberlndia, tendo em vista tambm a realizao de uma anlise geral de todo setor em si; quanto aos fatores relacionados s informaes e os riscos inerentes a sua segurana. Partindo-se da premissa de que as situaes propostas so casos reais de acontecimento, percebidos e diagnosticados durante o perodo de trabalho realizado dentro do campus e dada as circunstncias provenientes ao processo de segurana das informaes que se deve ter na Organizao; foi proposto os referidos quadros de acompanhamento e anlise designados com o nome de cada setor existente na Instituio e suas respectivas situaes de acontecimento real.(as chamadas Definies de Risco). Esses quadros de acompanhamento e anlise por setor, foram elaborados pelo autor deste trabalho, adaptando-os justamente as circunstncias provenientes segurana das informaes da Organizao, com o embasamento respaldado nas metodologias desenvolvidas por Mosler e Willian T.Fine. Como pode-se observar nestes quadros de setores elaborados e suas respectivas Definies de Risco, que 90% destas situaes so frutos de

negligncia, falta de ateno e conscientizao. Ou seja: fator humano. Por isso de acordo com levantamento realizado pela Nona Pesquisa Nacional de Segurana da Informao, tem-se como o segundo maior fator de risco de ameaas segurana da informao o funcionrio insatisfeito, como observado na FIGURA 6.2 Principais ameaas segurana da informao [37].

97

FIGURA 6.2 Principais ameaas segurana da informao

Utilizando o mtodo MOSLER --------------------------------------------------------------------- Objetivo Principal:

Definir a classe de risco que se encontram as informaes da Organizao, em detrimento s situaes propostas, consequentemente o setor como um todo.

98

6.2.1 - APLICAO DA ANLISE DA CLASSE DE RISCO

Setor: Telefonista Definio do Risco (DR) Deixar porta aberta estando ausente de sua sala AR F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V PONTUAO 1 2 3 4 5 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 192 No colher assinatura (identificao necessria) para disponibilizar chave de determinado setor

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 400 Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados.

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 162 Chave principal (referente ao quadro de todas chaves do campus) jogada,exposta ou no bem guardada em lugar seguro.

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) = 600 Chaves de armrios no bem guardados

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 156 Descarte incorreto de material para o lixo

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 315 Entregar informaes via telefone sem fazer a conferncia correta do que se trata

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) = 560

99

Setor: Gerncia Definio do Risco(DR) Deixar porta aberta estando ausente de sua sala AR F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 384 Deixar computador logado; disponvel para ser acessado, sem estar presente

PONTUAO 1 2 3 4 5 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 270 Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados.

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) = 560 Senha e nome de usurio visveis

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 108 Chaves de armrios no bem guardados

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 352 Descarte incorreto de material para o lixo

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) = 560 Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 280

100

Aderir a algum sistema de bate-papo, que no seja da rede da prpria empresa.

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 2 Aceitar a entrada de algum usurio em sua lista de contatos no sistema de batepapo que esta sendo utilizado, sem saber ao certo de quem realmente se trata.

F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V

x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 2 No atualizar Anti-virus

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 2 No atualizar Sistema Operacional

Classe de Risco (CR):MUITO BAIXO Evoluo do Risco (ER) = 2 Acesso a informaes digitais(CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 375 Preencher formulrios ou acessar links recebidos via e-mail, sem ao menos conferir se o e-mail solicitante provm do endereo correto

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 375

101

Setor: D.S.A (Diretoria de Servios Acadmicos) Definio do Risco (DR) Deixar porta aberta estando ausente de sua sala

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) = 625 Deixar computador logado; ou seja, disponvel para ser acessado,sem estar presente

AR F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V

PONTUAO 1 2 3 4 5 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 270 Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados.

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 320 Senha e nome de usurio visveis

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 108 Chaves de armrios no bem guardados

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 270 Descarte incorreto de material para o lixo

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) = 560 Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 280

102

Aderir a algum sistema de bate-papo, que no seja da rede da prpria empresa.

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 2 Aceitar a entrada de algum usurio em sua lista de contatos no sistema de batepapo que esta sendo utilizado, sem saber ao certo de quem realmente se trata.

F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V

x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 2 No atualizar Anti-virus

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 2 No atualizar Sistema Operacional

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 2 Acesso a informaes digitais (CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 250 Preencher formulrios ou acessar links recebidos via e-mail, sem ao menos conferir se o e-mail solicitante provm do endereo correto.

Classe de Risco (CR): MUITO BAIXO

Evoluo do Risco (ER) = 250

103

Setor: Comunicao e Marketing Definio do Risco (DR) Deixar porta aberta estando ausente de sua sala

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) = 625 Deixar computador logado; ou seja, disponvel para ser acessado,sem estar presente

AR F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V

PONTUAO 1 2 3 4 5 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 360 Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados.

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 384 Senha e nome de usurio visveis

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 108 Chaves de armrios no bem guardados

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 360 Descarte incorreto de material para o lixo

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) = 560 Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) = 560

104

Aderir a algum sistema de bate-papo, que no seja da rede da prpria empresa.

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 300 Aceitar a entrada de algum usurio em sua lista de contatos no sistema de batepapo que esta sendo utilizado, sem saber ao certo de quem realmente se trata.

F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V x x x x x x x x x x x x

x x x x x x x x x x x x

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) = 640 No atualizar Anti-virus

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 2 No atualizar Sistema Operacional

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 2 Acesso a informaes digitais (CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia

x x x x x x x x x x x x

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 375 Preencher formulrios ou acessar links recebidos via e-mail, sem ao menos conferir se o e-mail solicitante provm do endereo correto.

Classe de Risco (CR): PEQUENO

Evoluo do Risco (ER) = 375

105

Setor: Multi-Atendimento Definio do Risco (DR) Deixar porta aberta estando ausente de sua sala AR F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 360 Deixar computador logado; ou seja, disponvel para ser acessado,sem estar presente

PONTUAO 1 2 3 4 5 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 270 Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados.

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 240 Senha e nome de usurio visveis

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 162 Chaves de armrios no bem guardados

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 270 Descarte incorreto de material para o lixo

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 330 Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) = 640

106

Aderir a algum sistema de bate-papo, que no seja da rede da prpria empresa.

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 300 Aceitar a entrada de algum usurio em sua lista de contatos no sistema de batepapo que esta sendo utilizado, sem saber ao certo de quem realmente se trata.

F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V x x x x x x x x x x x x

x x x x x x x x x x x x

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) = 640 No atualizar Anti-virus

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 2 No atualizar Sistema Operacional

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 2 Acesso a informaes digitais(CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia

x x x x x x x x x x x x

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 500 Preencher formulrios ou acessar links recebidos via e-mail, sem ao menos conferir se o e-mail solicitante provm do endereo correto

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 500

107

Setor: Secretaria de Cursos Definio do Risco(DR) Deixar porta aberta estando ausente de sua sala

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 352 Deixar computador logado; ou seja, disponvel para ser acessado,sem estar presente

AR F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V

PONTUAO 1 2 3 4 5 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) =420 Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados.

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 448 Senha e nome de usurio visveis

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 264 Chaves de armrios no bem guardados

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) =330 Descarte incorreto de material para o lixo

Classe de Risco (CR):PEQUENO Evoluo do Risco (ER) = 360 Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 432

108

Aderir a algum sistema de bate-papo, que no seja da rede da prpria empresa.

Classe de Risco (CR):MUITO BAIXO Evoluo do Risco (ER) = 2 Aceitar a entrada de algum usurio em sua lista de contatos no sistema de batepapo que esta sendo utilizado, sem saber ao certo de quem realmente se trata.

F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V

x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

Classe de Risco (CR):MUITO BAIXO Evoluo do Risco (ER) = 2 No atualizar Anti-virus

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 2 No atualizar Sistema Operacional

Classe de Risco (CR):MUITO BAIXO Evoluo do Risco (ER) = 2 Acesso a informaes digitais(CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia

Classe de Risco (CR):PEQUENO Evoluo do Risco (ER) = 375 Preencher formulrios ou acessar links recebidos via e-mail, sem ao menos conferir se o e-mail solicitante provm do endereo correto

Classe de Risco (CR):PEQUENO Evoluo do Risco (ER) = 375

109

Setor: Biblioteca Definio do Risco(DR) Deixar porta aberta estando ausente de sua sala AR F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V

Classe de Risco (CR):MUITO BAIXO Evoluo do Risco (ER) = 2 Deixar computador logado; ou seja, disponvel para ser acessado,sem estar presente

PONTUAO 1 2 3 4 5 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

Classe de Risco (CR):MUITO BAIXO Evoluo do Risco (ER) = 2 Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados.

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 90 Senha e nome de usurio visveis

Classe de Risco (CR):PEQUENO Evoluo do Risco (ER) = 264 Chaves de armrios no bem guardados

Classe de Risco (CR):PEQUENO Evoluo do Risco (ER) = 330 Descarte incorreto de material para o lixo

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 360 Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo

Classe de Risco (CR):NORMAL Evoluo do Risco (ER) = 576

110

Aderir a algum sistema de bate-papo, que no seja da rede da prpria empresa.

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 300 Aceitar a entrada de algum usurio em sua lista de contatos no sistema de batepapo que esta sendo utilizado, sem saber ao certo de quem realmente se trata.

F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V x x x x x x x x x x x x

x x x x x x x x x x x x

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 324 No atualizar Anti-virus

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 2 No atualizar Sistema Operacional

Classe de Risco (CR):MUITO BAIXO Evoluo do Risco (ER) = 2 Acesso a informaes digitais(CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia

x x x x x x x x x x x x

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 500 Preencher formulrios ou acessar links recebidos via e-mail, sem ao menos conferir se o e-mail solicitante provm do endereo correto.

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 500

111

Setor: Recepo Definio do Risco (DR) Deixar porta aberta estando ausente de sua sala AR F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V

Classe de Risco (CR):PEQUENO Evoluo do Risco (ER) = 360 Deixar computador logado; ou seja, disponvel para ser acessado,sem estar presente

PONTUAO 1 2 3 4 5 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 270 Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados.

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 320 Senha e nome de usurio visveis

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 216 Chaves de armrios no bem guardados

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 270 Descarte incorreto de material para o lixo

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 330 Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) = 640

112

Aderir a algum sistema de bate-papo, que no seja da rede da prpria empresa.

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 300 Aceitar a entrada de algum usurio em sua lista de contatos no sistema de batepapo que esta sendo utilizado, sem saber ao certo de quem realmente se trata.

F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V x x x x x x x x x x x x

x x x x x x x x x x x x

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) = 640 No atualizar Anti-virus

Classe de Risco (CR): MUITO BAIXO Evoluo do Risco (ER) = 2 No atualizar Sistema Operacional

Classe de Risco (CR):MUITO BAIXO Evoluo do Risco (ER) = 2 Acesso a informaes digitais(CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia

x x x x x x x x x x x x

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) = 625 Preencher formulrios ou acessar links recebidos via e-mail, sem ao menos conferir se o e-mail solicitante provm do endereo correto

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) = 625

113

Setor: Vigilncia Definio do Risco(DR) Deixar carto de acesso de entrada exposto em lugares que facilmente se consegue pegar AR F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V F S P E A V

PONTUAO 1 2 3 4 5 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

Classe de Risco (CR): GRANDE Evoluo do Risco (ER) = 875 Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) =640 Acesso a entrada ao campus sem as devidas credenciais de identificao e coleta de informaes sobre o mesmo

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 288 No pedir de volta as credenciais de identificao quando da sada ao campus

Classe de Risco (CR):PEQUENO Evoluo do Risco (ER) = 288 Deixar porta ou portes com fcil acesso de entrada

Classe de Risco (CR): NORMAL Evoluo do Risco (ER) = 740 Descarte incorreto de material para o lixo

Classe de Risco (CR): PEQUENO Evoluo do Risco (ER) = 288 Chave principal (referente ao quadro de todas chaves do campus) jogada,exposta ou no bem guardada em lugar seguro.

Classe de Risco (CR): GRANDE Evoluo do Risco (ER) = 800

114

6.2.1.1 RESULTADOS importante ressaltar que o objetivo principal foi realizar as anlises por setor de forma especfica, depois dependendo da situao proposta(DR), como um todo. Ao trmino das anlises por setor, ser efetuada a soma dos ER obtidos, referente a classificao dada(MuitoBaixo/Pequeno/Normal/Grande/Elevado). Fazendo assim com que posteriormente consiga-se demonstrar graficamente a mdia de como se encontra o nvel da classe de risco mais predominante naquele setor, alm de outras demonstraes grficas que sero observadas. A anlise de como se encontram os nveis de segurana da informao em qualquer Organizao que seja, tarefa extremamente difcil. Por no haver uma frmula ou receita mgica que sirva como padro a todas, o encarregado, o responsvel, ou a equipe de TI, dever ter o prvio conhecimento e a sensibilidade real de como se porta cada setor com relao ao tratamento das informaes.Por isso a enorme dificuldade em saber o grau de valorizao, importncia, responsabilidade que cada setor tem para como manipular tais informaes advindas sua rotina de trabalho. Entretanto foi realizado alguns testes como forma de tentar descobrir, de maneira at superficial, como esta os hbitos, condutas e o nivel de conscientizao quanto ao tratamento das informaes em cada setor. Realizado durante certo perodo, os testes serviram como uma anlise suscinta para obterse uma idia de como atualmente andam sendo tratadas as informaes que circulam na empresa mediante cada setor responsvel ao cumprimento s suas atividades. Com simulaes, tais como deixar um disquete sobre a mesa em cada setor, onde tal disquete continha um arquivo .bat com nome atrativo ao setor, apenas como forma a saber se determinado usurio executou ou no o arquivo sem as devidas conferncias. Dentre outras simulaes advindas ao que se prope nas Definies de Risco(DR), como visto nos quadros de anlise por setor. Outra observao muito importante a ser destacada quanto s analises realizadas, refere-se a questo de que conforme a Metodologia de Mosler, a

115

chamada Definio de Risco abstm-se em identificar qual o bem e o seu respectivo dano. Mas como foram propostas situaes inerentes ao que se pode acarretar como prejuzos ou seqelas advindas a ocorrncia da situao, valendo-se dos critrios advindos a metolodogia empregada, tambm se v necessrio destacar os critrios considerados pelo autor, para que conseguisse resultados mais concretos, ou seja, mais prximos da realidade que se encontra cada setor e consequentemente a organizao como um todo.Tais critrios seriam: A freqncia com que ocasionado o risco, naquele dado setor; O grau de importncia das informaes de cada setor em particular; Sensibilidade e percepo quanto a maneira com que os responsveis por cada setor tratam as informaes; Conseqncias gerais negativas num todo, que seriam acarretadas.

Fazendo assim com que se una estes fatores juntamente com o que j proposto na metodologia, que diz que na Anlise de Risco os critrios so voltados para a influncia direta da materializao da ameaa estudada, com uma determinada atividade crucial para a empresa. Com a anlise dos grficos referentes s fases que suscederam-se, ser mais bem compreendido os resultados.

116

TELEFONISTA

CLASSES DE RISCO MAIS MARCANTES NO SETOR

42,85% 28,57% 28,57%

0
MuitoBaixo Pequeno Normal Grande

0
Elevado

Classe de Risco - (CR)

MDIA DA EVOLUO DE RISCO NO SETOR

Pequeno

340,71

202

402

602

802

1002

1202

MDIA DE CADA ANLISE DE RISCO NO SETOR

V A

4 3,28 2,42 3,57 4,14 3,71 0 1 2 3 4 5

Anlise de E Risco - (AR) P

S F

AS DEFINIES DE RISCO MAIS AGRAVANTES AO SETOR

400 600

560
Chave principal (referente ao quadro de todas chaves do campus) jogada,exposta ou no bem guardada em lugar seguro Entregar informaes via telefone sem fazer a conferncia correta do que se trata No colher assinatura (identificao necessria) para disponibilizar chave de determinado seto

117

GERNCIA

CLASSES DE RISCO MAIS MARCANTES NO SETOR

53,84% 38,46%

7,69% 0
MuitoBaixo Pequeno Normal Grande

0
Elevado

Classe de Risco - (CR)

MDIA DA EVOLUO DE RISCO NO SETOR

Pequeno

362,66

202

402

602

802

1002

1202

MDIA DE CADA ANLISE DE RISCO NO SETOR

V A

3,45 3,09 2,45 3,09 3,63 3,18 0 1 2 3 4

Anlise de E Risco - (AR) P

S F

AS DEFINIES DE RISCO MAIS AGRAVANTES AO SETOR

384

560

560
Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados Descarte incorreto de material para o lixo Deixar porta aberta estando ausente de sua sala

118

DSA

CLASSES DE RISCO MAIS MARCANTES NO SETOR

45,45% 45,45%

9,09% 0
MuitoBaixo Pequeno Normal Grande

0
Elevado

Classe de Risco - (CR)

MDIA DA EVOLUO DE RISCO NO SETOR

Pequeno

267

202

402

602

802

1002

1202

MDIA DE CADA ANLISE DE RISCO NO SETOR

V A

3,7 3,3 2,5 3,2 3,8 3,2 0 1 2 3 4

Anlise de E Risco - (AR) P

S F

AS DEFINIES DE RISCO MAIS AGRAVANTES AO SETOR

320 625

560
Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados Descarte incorreto de material para o lixo Deixar porta aberta estando ausente de sua sala

119

MULTI - ATENDIMENTO

CLASSES DE RISCO MAIS MARCANTES NO SETOR

63,63%

18,18%

18,18% 0 0
Elevado

MuitoBaixo

Pequeno

Normal

Grande

MDIA DA EVOLUO DE RISCO NO SETOR

Pequeno

382,90

202

402

602

802

1002

1202

MDIA DE CADA ANLISE DE RISCO NO SETOR

V A

3,72 4,36 2,45 3,45 4 3,63 0 1 2 3 4 5

Anlise de E Risco - (AR) P

S F

AS DEFINIES DE RISCO MAIS AGRAVANTES AO SETOR

500

640

500

640

Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo Aceitar a entrada de algum usurio em sua lista de contatos no sistema de bate-papo que esta sendo utilizado, sem saber ao certo de quem realmente se trata Acesso a informaes digitais(CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia
Preencher formulrios ou acessar links recebidos via e-mail, sem ao menos conferir se o email solicitante provm do endereo correto.

120

SECRETARIA DE CURSOS

CLASSES DE RISCO MAIS MARCANTES NO SETOR

81,81%

18,18% 0
MuitoBaixo Pequeno Normal

0
Grande

0
Elevado

Classe de Risco - (CR)

MDIA DA EVOLUO DE RISCO NO SETOR

Pequeno

305,45

202

402

602

802

1002

1202

MDIA DE CADA ANLISE DE RISCO NO SETOR

V A

3,36 3 2,36 2,90 3,54 3,36 0 1 2 3 4

Anlise de E Risco - (AR) P

S F

AS DEFINIES DE RISCO MAIS AGRAVANTES AO SETOR

448

420

432
Deixar computador logado; disponvel para ser acessado,sem estar presente Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados

121

BIBLIOTECA
CLASSES DE RISCO MAIS MARCANTES NO SETOR
66,66%

25,01% 8,34% 0
MuitoBaixo Pequeno Normal Grande

0
Elevado

Classe de Risco - (CR)

MDIA DE CADA ANLISE DE RISCO NO SETOR

V A

3,08 3,58 2,25 3,08 2,91 3,50 0 1 2 3 4

Anlise de E Risco - (AR) P

S F

MDIA DA EVOLUO DE RISCO NO SETOR

Pequeno

300,66

202

402

602

802

1002

1202

AS DEFINIES DE RISCO MAIS AGRAVANTES AO SETOR

576

500

500
Preencher formulrios ou acessar links recebidos via e-mail, sem ao menos conferir se o email solicitante provm do endereo correto Acesso a informaes digitais(CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo

122

RECEPO
CLASSES DE RISCO MAIS MARCANTES NO SETOR
54,54% 36,36%

9,09% 0
MuitoBaixo Pequeno Normal Grande

0
Elevado

MDIA DA EVOLUO DE RISCO NO SETOR

Pequeno

417,81

202

402

602

802

1002

1202

MDIA DE CADA ANLISE DE RISCO NO SETOR

V A

3,72 4,72 2,45 3,45 4,01 3,63 0 1 2 3 4 5

Anlise de E Risco - (AR) P

S F

AS DEFINIES DE RISCO MAIS AGRAVANTES AO SETOR

640

625

640

625

Preencher form ulrios ou acessar links recebidos via e-m ail, sem ao m enos conferir se o e-m ail solicitante provm do endereo correto
Acesso a inform aes digitais(CD,disquete)sem o prvio conhecim ento do que se trata e sobretudo da procedncia
Aceitar a entrada de algum usurio em sua lista de contatos no sistem a de bate-papo que esta sendo utilizado, sem saber ao certo de quem realm ente se trata

Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo.

123

VIGILNCIA

CLASSES DE RISCO MAIS MARCANTES NO SETOR

42,85% 28,57% 28,57

0
MuitoBaixo Pequeno Normal Grande

0
Elevado

Classe de Risco - (CR)

MDIA DA EVOLUO DE RISCO NO SETOR

Normal

559,85

202

402

602

802

1002

1202

MDIA DE CADA ANLISE DE RISCO NO SETOR

V A

4,42 3,71 3 4,42 4,14 4,42 0 1 2 3 4 5

Anlise de E Risco - (AR) P

S F

AS DEFINIES DE RISCO MAIS AGRAVANTES AO SETOR

875

740

800
Deixar porta ou portes com fcil acesso de entrada Chave principal (referente ao quadro de todas chaves do campus) jogada,exposta ou no bem guardada em lugar seguro. Deixar carto de acesso de entrada exposto em lugares que facilmente se consegue pegar

124

COMUNICAO & MARKETING

CLASSES DE RISCO MAIS MARCANTES NO SETOR
63,64%

27,28% 9,08% 0
MuitoBaixo Pequeno Normal Grande

0
Elevado

Classe de Risco - (CR)

MDIA DA EVOLUO DE RISCO NO SETOR

Normal

422,45

202

402

602

802

1002

1202

MDIA DE CADA ANLISE DE RISCO NO SETOR

V A

4 4,18 2,63 3,54 4 3,72 0 1 2 3 4 5

Anlise de E Risco - (AR) P

S F

AS DEFINIES DE RISCO MAIS AGRAVANTES AO SETOR

640

560

625
Descarte incorrreto de material para o lixo

560

Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo Deixar porta aberta estando ausente de sua sala

Aceitar a entrada de algum usurio em sua lista de contatos no sistema de batepapo que esta sendo utilizado, sem saber ao certo de quem realmente se trata.

125

Medir riscos um desafio e tanto. Mas trabalhar com eles algo mais complexo ainda. Pois no se trata de algo estritamente exato, lgico. Inmeros fatores podem desviar por completo a trajetria de raciocnio e planejamento que se propunha. Tudo se constata por estatsticas e probabilidades, que depois de analises muita das vezes minuciosas, observaes, testes e simulaes, fazem com que consiga-se obter um retrato(s vezes meio que embaado), de como a organizao enxerga os riscos, trata-os e administra-os. Como pde-se perceber, nos grficos citados, por mais que quase 100% das classes de risco tenham sido classificadas como pequeno, no significa que a preocupao deva ser mnima. De maneira alguma! At porque pelo simples fato de haver risco, deve-se ficar atento.(j estando acima do patamar muito baixo). Ainda mais quando se tem uma porcentagem significante a considerar que problemas iro surgir facilmente se no tratado com medidas cabveis a cada setor. A mdia da evoluo de risco em toda organizao ficou em torno de 366. Ou seja, classificado como risco pequeno, onde tem que haver melhoras e um cuidado especial com determinadas Definies de Risco. Os resultados poderiam ter sido mais agravantes e ingratos, se no houvesse tido um trabalho de conscientizao tanto quanto superficial, antes de ter realizado este estudo. As anlises para coleta das informaes deste trabalho comearam no incio de 2003 E a tentativa de se reeducar os hbitos e condutas de cada setor, se deram a partir do segundo semestre de 2003. Com a Metodologia de Mosler, conseguiu-se obter uma dimenso mais apurada de como cada setor tem um nvel de risco, preponderante s circunstncias colocadas em pauta. Evidenciando que todos os setores tm graves riscos a serem tratados e consequentemente diminudos. sem dvida uma ferramenta muito til para a anlise da evoluo de riscos em particular a cada organizao. Mesmo valendo-se da questo de que as situaes propostas muitas vezes no esto na devida sintonia quanto a Anlise de Risco(AR), empregada pela metodologia, ocorrendo assim uma certa dificuldade em fazer a anlise e

126

posteriormente designar um valor plausvel ao que realmente merece cada situao. Contudo a ateno quanto as definies de risco mais agravantes ao setor, devem ser destaque na priorizao de medidas a serem tomadas

emergencialmente, fazendo com que diminua o risco; ou seja, tendendo a aproximar-se ao mximo de zero.

Utilizando o mtodo de WILLIAN T. FINE ---------------------------------------

Objetivo Principal:

Definir o Grau de Criticidade da segurana das informaes dentro da organizao, inerentes s situaes de risco propostas a cada setor em particular e consequentemente como um todo, alm de determinar a Justificativa de Investimento.

127

6.2.2 - APLICAO DA ANLISE DO GRAU DE CRITICIDADE

Setor: Telefonista Definio do Risco Deixar porta aberta estando ausente de sua sala Grau de Criticidade (GC):CORREO IMEDIATA - RISCO TEM
QUE SER DIMINUDO

Valor GC = CxExP = 270 No colher assinatura (identificao necessria) para disponibilizar chave de determinado setor Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 25 Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados. Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 18 Chave principal (referente ao quadro de todas chaves do campus) jogada,exposta ou no bem guardada em lugar seguro. Grau de Criticidade (GC): CORREO IMEDIATA
RISCO TEM QUE SER DIMINUDO

Classificao A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F A

FATOR E P x x

x x x

x x

x x x x

Valor GC=CxExP = 5000 Chaves de armrios no bem guardados Grau de Criticidade (GC): CORREO IMEDIATA
RISCO TEM QUE SER DIMINUDO

x x

Valor GC=CxExP = 5000 Descarte incorreto de material para o lixo Grau de Criticidade (GC): CORREO IMEDIATA - RISCO
TEM QUE SER DIMINUDO

Valor GC =CxExP= 500 Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo Grau de Criticidade (GC): CORREO IMEDIATA - RISCO
TEM QUE SER DIMINUDO

Valor GC =CxExP= 900

B C D E F

x x

128

Setor: Gerncia Definio do Risco Deixar porta aberta estando ausente de sua sala Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Valor GC = CxExP = 750 Deixar computador logado; ou seja, disponvel para ser acessado,sem estar presente Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC =CxExP = 150 Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados. Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Classificao A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F

FATOR E P x x

Valor GC =CxExP = 500 Senha e nome de usurio visveis Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 5 Chaves de armrios no bem guardados Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

x x x

x x

Valor GC = CxExP = 5000 Descarte incorreto de material para o lixo Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Valor GC =CxExP = 1500 Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

x x x

Valor GC =CxExP = 300

129

Aderir a algum sistema de bate-papo, que no seja da rede da prpria empresa. Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC =CxExP = 0,05 Aceitar a entrada de algum usurio em sua lista de contatos no sistema de bate-papo que esta sendo utilizado, sem saber ao certo de quem realmente se trata.

A B C D E F A

Grau de Criticidade (GC):RISCO DEVE SER ELIMINADO Valor GC =CxExP = 0,05 No atualizar Anti-virus Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC =CxExP = 0,05 No atualizar Sistema Operacional Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC =CxExP = 0,05 Acesso a informaes digitais(CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

B C D E F A B C D E F A B C D E F A B C D E F A B C D E F

x x x

Valor GC = CxExP = 270 Preencher formulrios recebidos via e-mail enviando para a fonte receptora, sem ao menos conferir se o e-mail solicitante provm do endereo correto Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Valor GC =CxExP = 1500

130

Setor: D.S.A Definio do Risco Deixar porta aberta estando ausente de sua sala Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Valor GC =CxExP = 500 Deixar computador logado; ou seja, disponvel para ser acessado,sem estar presente Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO

Classificao A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F

FATOR C E P x x

Valor GC =CxExP = 100 Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados. Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC =CxExP = 90 Senha e nome de usurio visveis Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC =CxExP = 15 Chaves de armrios no bem guardados Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

x x x

x x x

Valor GC =CxExP = 1500 Descarte incorreto de material para o lixo Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Valor GC =CxExP =1500 Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC =CxExP = 25

131

Aderir a algum sistema de bate-papo, que no seja da rede da prpria empresa. Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC=CxExP = 0,05 Aceitar a entrada de algum usurio em sua lista de contatos no sistema de bate-papo que esta sendo utilizado, sem saber ao certo de quem realmente se trata. Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC=CxExP = 0,05 No atualizar Anti-virus Grau de Criticidade (GC) RISCO DEVE SER ELIMINADO Valor GC =CxExP = 0,05 No atualizar Sistema Operacional Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC=CxExP = 0,05 Acesso a informaes digitais(CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 45 Preencher formulrios recebidos via e-mail enviando para a fonte receptora, sem ao menos conferir se o e-mail solicitante provm do endereo correto Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC =CxExP = 7,5

A B C D E F A

B C D E F A B C D E F A B C D E F A B C D E F A B C D E F

x x x

x x x

132

Setor: Multi-Atendimento Definio do Risco Deixar porta aberta estando ausente de sua sala Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Valor GC =CxExP = 500 Deixar computador logado; ou seja, disponvel para ser acessado,sem estar presente Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC=CxExP =100 Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados. Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC=CxExP = 150 Senha e nome de usurio visveis Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC=CxExP = 15 Chaves de armrios no bem guardados Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Classificao A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F

FATOR C E P x x

x x x

Valor GC=CxExP = 500 Descarte incorreto de material para o lixo Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Valor GC =CxExP =1500 Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

x x

Valor GC =CxExP = 900

133

Aderir a algum sistema de bate-papo, que no seja da rede da prpria empresa. Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC =CxExP = 100 Aceitar a entrada de algum usurio em sua lista de contatos no sistema de bate-papo que esta sendo utilizado, sem saber ao certo de quem realmente se trata. Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

A B C D E F A

x x x

Valor GC =CxExP = 500 No atualizar Anti-virus Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC =CxExP = 0,05 No atualizar Sistema Operacional Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC =CxExP = 0,05 Acesso a informaes digitais(CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

B C D E F A B C D E F A B C D E F A B C D E F A B C D E F

x x x

Valor GC =CxExP = 270 Preencher formulrios recebidos via e-mail enviando para a fonte receptora, sem ao menos conferir se o e-mail solicitante provm do endereo correto Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

x x x

Valor GC=CxExP = 270

134

Setor: Secretaria de Cursos Definio do Risco Deixar porta aberta estando ausente de sua sala Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC = CxExP = 135 Deixar computador logado; ou seja, disponvel para ser acessado. Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC = CxExP = 100 Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados. Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC = CxExP = 150 Senha e nome de usurio visveis Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC = CxExP = 90 Chaves de armrios no bem guardados Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Classificao A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F

FATOR E P

x x

x x x

Valor GC = CxExP = 500 Descarte incorreto de material para o lixo Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Valor GC = CxExP = 1500 Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

x x

Valor GC = CxExP = 900

135

Aderir a algum sistema de bate-papo, que no seja da rede da prpria empresa. Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 0,05 Aceitar a entrada de algum usurio em sua lista de contatos no sistema de bate-papo que esta sendo utilizado, sem saber ao certo de quem realmente se trata. Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 0,05 No atualizar Anti-virus Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 0,05 No atualizar Sistema Operacional Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 0,05 Acesso a informaes digitais(CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC = CxExP = 135 Preencher formulrios recebidos via e-mail enviando para a fonte receptora, sem ao menos conferir se o e-mail solicitante provm do endereo correto Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC = CxExP = 135

A B C D E F A

B C D E F A B C D E F A B C D E F A B C D E F A B C D E F

x x

x x

136

Setor: Biblioteca Definio do Risco Deixar porta aberta estando ausente de sua sala Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 0,05 Deixar computador logado; ou seja, disponvel para ser acessado Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 2,5 Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados. Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 15 Senha e nome de usurio visveis Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 15 Chaves de armrios no bem guardados Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Classificao A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F

FATOR C E P

x x x

x x x

Valor GC = CxExP =500 Descarte incorreto de material para o lixo Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Valor GC = CxExP = 1500 Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Valor GC = CxExP = 1500

137

Aderir a algum sistema de bate-papo, que no seja da rede da prpria empresa. Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC = CxExP = 100 Aceitar a entrada de algum usurio em sua lista de contatos no sistema de bate-papo que esta sendo utilizado, sem saber ao certo de quem realmente se trata. Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

A B C D E F A

x x x

Valor GC = CxExP = 500 No atualizar Anti-virus Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 0,05 No atualizar Sistema Operacional Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 0,05 Acesso a informaes digitais(CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 30 Preencher formulrios recebidos via e-mail enviando para a fonte receptora, sem ao menos conferir se o e-mail solicitante provm do endereo correto Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC = CxExP = 135

B C D E F A B C D E F A B C D E F A B C D E F A B C D E F

x x

138

Setor: Recepo Definio do Risco Deixar porta aberta estando ausente de sua sala Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Valor GC = CxExP = 500 Deixar computador logado; ou seja, disponvel para ser acessado. Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC = CxExP = 100 Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados. Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Classificao A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F

FATOR C E P x x

x x x

Valor GC = CxExP = 300 Senha e nome de usurio visveis Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC = CxExP = 90 Chaves de armrios no bem guardados Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

x x x

Valor GC = CxExP = 500 Descarte incorreto de material para o lixo Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Valor GC = CxExP = 1500 Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

x x

Valor GC = CxExP = 900

139

Aderir a algum sistema de bate-papo, que no seja da rede da prpria empresa. Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC = CxExP = 100 Aceitar a entrada de algum usurio em sua lista de contatos no sistema de bate-papo que esta sendo utilizado, sem saber ao certo de quem realmente se trata. Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

A B C D E F A

x x x

Valor GC = CxExP = 500 No atualizar Anti-virus Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 0,05 No atualizar Sistema Operacional Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 0,05 Acesso a informaes digitais(CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

B C D E F A B C D E F A B C D E F A B C D E F A B C D E F

x x

x x

Valor GC = 1500 Preencher formulrios recebidos via e-mail enviando para a fonte receptora, sem ao menos conferir se o e-mail solicitante provm do endereo correto Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Valor GC = CxExP = 1500

140

Setor: Vigilncia Definio do Risco Deixar carto de acesso de entrada exposto em lugares que facilmente se consegue pegar Grau de Criticidade (GC):CORREO IMEDIATA - RISCO TEM
QUE SER DIMINUDO

Classificao A B C D E F A

FATOR E P

Valor GC = CxExP = 1500 Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo. Grau de Criticidade (GC):CORREO IMEDIATA - RISCO TEM
QUE SER DIMINUDO

Valor GC = CxExP = 300 Acesso a entrada ao campus sem as devidas credenciais de identificao e coleta de informaes sobre o mesmo Grau de Criticidade (GC):CORREO IMEDIATA - RISCO TEM
QUE SER DIMINUDO

B C D E F A B C D E F A B C D E F A B C D E F A B C D E F A

x x

x x x

Valor GC = CxExP = 450 Chave principal (referente ao quadro de todas chaves do campus) jogada,exposta ou no bem guardada em lugar seguro. Grau de Criticidade (GC):CORREO IMEDIATA - RISCO TEM
QUE SER DIMINUDO

x x

Valor GC = CxExP = 5000 No pedir de volta as credenciais de identificao quando da sada ao campus Grau de Criticidade (GC):CORREO URGENTE - REQUER
ATENO

Valor GC = CxExP = 100 Descarte incorreto de material para o lixo Grau de Criticidade (GC):CORREO IMEDIATA - RISCO TEM
QUE SER DIMINUDO

x x x

Valor GC = 1500 Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo Grau de Criticidade (GC):CORREO IMEDIATA - RISCO TEM
QUE SER DIMINUDO

Valor GC = CxExP = 900

B C D E F

x x

141

Deixar porta ou portes com fcil acesso de entrada Grau de Criticidade (GC): CORREO IMEDIATA - RISCO
TEM QUE SER DIMINUDO

Valor GC = CxExP = 1500 Setor: Comunicao e Marketing Definio do Risco Deixar porta aberta estando ausente de sua sala

A B C D E F

Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER

DIMINUDO

Valor GC = CxExP = 1500 Deixar computador logado; ou seja, disponvel para ser acessado. Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC = CxExP = 100 Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados. Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC = CxExP = 150 Senha e nome de usurio visveis Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC = CxExP = 150 Chaves de armrios no bem guardados Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Classificao A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F A B C D E F

FATOR C E P x x

Valor GC = CxExP = 500 Descarte incorreto de material para o lixo Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

Valor GC = CxExP = 1500

142

Entregar informaes via telefone sem fazer a conferncia correta do que se trata, com quem fala ao certo e para qual motivo Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

A B C D E F A B C D E F A x x x

Valor GC = CxExP = 900 Aderir a algum sistema de bate-papo, que no seja da rede da empresa. Grau de Criticidade (GC): CORREO URGENTE - REQUER ATENO Valor GC = CxExP = 100 Aceitar a entrada de algum usurio em sua lista de contatos no sistema de bate-papo que esta sendo utilizado, sem saber ao certo de quem realmente se trata. Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

x x x

Valor GC = CxExP = 500 No atualizar Anti-virus Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 0,05 No atualizar Sistema Operacional Grau de Criticidade (GC): RISCO DEVE SER ELIMINADO Valor GC = CxExP = 0,05 Acesso a informaes digitais(CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

B C D E F A B C D E F A B C D E F A B C D E F A B C D E F

x x

Valor GC = 450 Preencher formulrios recebidos via e-mail enviando para a fonte receptora, sem ao menos conferir se o e-mail solicitante provm do endereo correto Grau de Criticidade (GC): CORREO IMEDIATA - RISCO TEM QUE SER
DIMINUDO

x x

Valor GC = CxExP = 450

143

6.2.2.1 RESULTADOS

TELEFONISTA -----------------------------------------------------------------------------

GRAU DE CRITICIDADE MAIS MARCANTE NO SETOR

71,42%

28,58% 0%
CORREO IMEDIATA CORREO URGENTE RISCO DEVE SER ELIMINADO

Grau de Criticidade - (GC)

MDIA DO GRAU DE CRITICIDADE

1673

0,05 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000

144

GERNCIA ----------------------------------------------------------------------------------

GRAU DE CRITICIDADE MAIS MARCANTE NO SETOR

63,64%

27,28% 9,08%
CORREO IMEDIATA CORREO URGENTE RISCO DEVE SER ELIMINADO

Grau de Criticidade - (GC)

MDIA DO GRAU DE CRITICIDADE

907

0,05 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000

145

DSA --------------------------------------------------------------------------------------------

GRAU DE CRITICIDADE MAIS MARCANTE NO SETOR

54,55%

27,28% 18,17%

CORREO IMEDIATA

CORREO URGENTE

RISCO DEVE SER ELIMINADO

Grau de Criticidade - (GC)

MDIA DO GRAU DE CRITICIDADE

344

0,05 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000

146

MULTI-ATENDIMENTO-----------------------------------------------------------------

GRAU DE CRITICIDADE MAIS MARCANTE NO SETOR

63,64%

27,28% 9,08%
CORREO IMEDIATA CORREO URGENTE RISCO DEVE SER ELIMINADO

Grau de Criticidade - (GC)

MDIA DO GRAU DE CRITICIDADE

437

0,05 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000

147

SECRETARIA DE CURSOS-------------------------------------------------------------

GRAU DE CRITICIDADE MAIS MARCANTE NO SETOR

54,55%

23,28%

18,17%

CORREO IMEDIATA

CORREO URGENTE

RISCO DEVE SER ELIMINADO

Grau de Criticidade - (GC)

MDIA DO GRAU DE CRITICIDADE

332

0,05 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000

148

BIBLIOTECA--------------------------------------------------------------------------------

GRAU DE CRITICIDADE MAIS MARCANTE NO SETOR

45,46% 36,37%

18,17%

CORREO IMEDIATA

CORREO URGENTE

RISCO DEVE SER ELIMINADO

Grau de Criticidade - (GC)

MDIA DO GRAU DE CRITICIDADE

391

0,05 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000

149

RECEPO--------------------------------------------------------------------------------

GRAU DE CRITICIDADE MAIS MARCANTE NO SETOR

72,73%

27,27% 0%
CORREO IMEDIATA CORREO URGENTE RISCO DEVE SER ELIMINADO

Grau de Criticidade - (GC)

MDIA DO GRAU DE CRITICIDADE

681

0,05 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000

150

VIGILNCIA--------------------------------------------------------------------------------

GRAU DE CRITICIDADE MAIS MARCANTE NO SETOR

87,5%

12,5% 0%
CORREO IMEDIATA CORREO URGENTE RISCO DEVE SER ELIMINADO

Grau de Criticidade - (GC)

MDIA DO GRAU DE CRITICIDADE

1407

0,05 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000

151

COMUNICAO E MARKETING ----------------------------------------------------

GRAU DE CRITICIDADE MAIS MARCANTE NO SETOR

63,64%

36,37%

0%
CORREO IMEDIATA CORREO URGENTE RISCO DEVE SER ELIMINADO

Grau de Criticidade - (GC)

MDIA DO GRAU DE CRITICIDADE

573

0,05 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000

152

6.2.3 - APLICAO DA ANLISE DA JUSTIFICATIVA DO INVESTIMENTO

Por questes de viabilidade e melhor anlise em geral, convm-se fazer o clculo da Justificativa de Investimento por setor. Ou seja, no de situao por situao dentro de cada setor, mas sim como um todo. Assim depois de recolher os graus de criticidade (GC) de cada situao (Definio do Risco), faz-se um levantamento da mdia de GC que ocorreu naquele dado setor. Para que este seja o padro escolhido como parte integrante do clculo que ser realizado para definir juntamente com os outros dados necessrios (fator de custo e grau de correo), a Justificativa do Investimento (JI). Setor: Telefonista FATOR DE CUSTO Classificao
MAIOR QUE R$ 50.000 ENTRE R$ 25.000 E R$ 50.000 ENTRE R$ 10.000 E R$ 25.000 ENTRE R$ 1.000 E R$ 10.000 ENTRE R$ 100 E R$ 1.000 ENTRE R$ 25 E R$ 100 MENOS QUE R$ 25

GRAU DE CORREO Classificao

RISCO ELIMINADO - 100% RISCO REDUZIDO - 75% RISCO REDUZIDO ENTRE 50% E 75%

RISCO REDUZIDO ENTRE 25% E 50% RISCO REDUZIDO MENOR QUE 25%

Resultado da Anlise: INVESTIMENTO PLENAMENTE JUSTIFICADO, GRANDE REDUO DE RISCO

Conforme metodologia apresentada no captulo 5, a frmula para se obter o resultado da anlise da justificativa do investimento(JI) :

JI =

GC(grau de criticidade) Fator de custo x Grau de correo

Onde de acordo com os resultados obtidos e o valor referente a cada classificao tem-se: JI = [1673 / (3 x 2)] JI = [1673 / 6] JI = 278,83

153

Setor: Gerncia FATOR DE CUSTO Classificao

MAIOR QUE R$ 50.000 ENTRE US 25.000 E R$ 50.000 ENTRE R$ 10.000 E R$ 25.000 ENTRE R$ 1.000 E R$ 10.000 ENTRE R$ 100 E R$ 1.000 ENTRE R$ 25 E R$ 100 MENOS QUE R$ 25

GRAU DE CORREO Classificao

RISCO ELIMINADO - 100% RISCO REDUZIDO - 75% RISCO REDUZIDO ENTRE 50% E 75%

RISCO REDUZIDO ENTRE 25% E 50% RISCO REDUZIDO MENOR QUE 25%

Resultado da Anlise: INVESTIMENTO PLENAMENTE JUSTIFICADO, GRANDE REDUO DE RISCO

JI = GC(grau de criticidade) Fator de custo x Grau de correo JI = [907 / (3 x 2)] JI = [907 / 6] JI = 151,16

Setor: Multi-Atendimento FATOR DE CUSTO Classificao

MAIOR QUE R$ 50.000 ENTRE US 25.000 E R$ 50.000 ENTRE US$ 10.000 E R$ 25.000 ENTRE US$ 1.000 E R$ 10.000 ENTRE US$ 100 E R$ 1.000 ENTRE US$ 25 E R$ 100 MENOS QUE R$ 25

GRAU DE CORREO Classificao

RISCO ELIMINADO - 100% RISCO REDUZIDO - 75% RISCO REDUZIDO ENTRE 50% E 75%

RISCO REDUZIDO ENTRE 25% E 50% RISCO REDUZIDO MENOR QUE 25%

Resultado da Anlise: INVESTIMENTO PLENAMENTE JUSTIFICADO, GRANDE REDUO DE RISCO

JI = GC(grau de criticidade) Fator de custo x Grau de correo JI = [437 / (3 x 2)] JI = [437 / 6] JI = 72,83

154

Setor: D.S.A FATOR DE CUSTO Classificao

MAIOR QUE R$ 50.000 ENTRE US 25.000 E R$ 50.000 ENTRE US$ 10.000 E R$ 25.000 ENTRE US$ 1.000 E R$ 10.000 ENTRE US$ 100 E R$ 1.000 ENTRE US$ 25 E R$ 100 MENOS QUE R$ 25

GRAU DE CORREO Classificao

RISCO ELIMINADO - 100% RISCO REDUZIDO - 75% RISCO REDUZIDO ENTRE 50% E 75%

RISCO REDUZIDO ENTRE 25% E 50% RISCO REDUZIDO MENOR QUE 25%

Resultado da Anlise: INVESTIMENTO PLENAMENTE JUSTIFICADO, GRANDE REDUO DE RISCO JI = GC(grau de criticidade) Fator de custo x Grau de correo JI = [344 / (3 x 2)] JI = [344 / 6] JI = 57,33

Setor: Secretaria de Cursos FATOR DE CUSTO Classificao

MAIOR QUE R$ 50.000 ENTRE US 25.000 E R$ 50.000 ENTRE US$ 10.000 E R$ 25.000 ENTRE US$ 1.000 E R$ 10.000 ENTRE US$ 100 E R$ 1.000 ENTRE US$ 25 E R$ 100 MENOS QUE R$ 25

GRAU DE CORREO Classificao

RISCO ELIMINADO - 100% RISCO REDUZIDO - 75% RISCO REDUZIDO ENTRE 50% E 75%

RISCO REDUZIDO ENTRE 25% E 50% RISCO REDUZIDO MENOR QUE 25%

Resultado da Anlise: INVESTIMENTO PLENAMENTE JUSTIFICADO, GRANDE REDUO DE RISCO JI = GC(grau de criticidade) Fator de custo x Grau de correo JI = [332 / (3 x 2)] JI = [332 / 6] JI = 55,33

155

Setor: Biblioteca FATOR DE CUSTO Classificao

MAIOR QUE R$ 50.000 ENTRE US 25.000 E R$ 50.000 ENTRE US$ 10.000 E R$ 25.000 ENTRE US$ 1.000 E R$ 10.000 ENTRE US$ 100 E R$ 1.000 ENTRE US$ 25 E R$ 100 MENOS QUE R$ 25

GRAU DE CORREO Classificao

RISCO ELIMINADO - 100% RISCO REDUZIDO - 75% RISCO REDUZIDO ENTRE 50% E 75%

RISCO REDUZIDO ENTRE 25% E 50% RISCO REDUZIDO MENOR QUE 25%

Resultado da Anlise: INVESTIMENTO PLENAMENTE JUSTIFICADO, GRANDE REDUO DE RISCO JI = GC(grau de criticidade) Fator de custo x Grau de correo JI = [391 / (3 x 2)] JI = [391 / 6] JI = 65,16

Setor: Recepo FATOR DE CUSTO Classificao

MAIOR QUE R$ 50.000 ENTRE US 25.000 E R$ 50.000 ENTRE US$ 10.000 E R$ 25.000 ENTRE US$ 1.000 E R$ 10.000 ENTRE US$ 100 E R$ 1.000 ENTRE US$ 25 E R$ 100 MENOS QUE R$ 25

GRAU DE CORREO Classificao

RISCO ELIMINADO - 100% RISCO REDUZIDO - 75% RISCO REDUZIDO ENTRE 50% E 75%

RISCO REDUZIDO ENTRE 25% E 50% RISCO REDUZIDO MENOR QUE 25%

Resultado da Anlise: INVESTIMENTO PLENAMENTE JUSTIFICADO, GRANDE REDUO DE RISCO

JI = GC(grau de criticidade) Fator de custo x Grau de correo JI = [681 / (3 x 2)] JI = [681 / 6] JI = 113,5

156

Setor: Vigilncia FATOR DE CUSTO Classificao

MAIOR QUE R$ 50.000 ENTRE US 25.000 E R$ 50.000 ENTRE US$ 10.000 E R$ 25.000 ENTRE US$ 1.000 E R$ 10.000 ENTRE US$ 100 E R$ 1.000 ENTRE US$ 25 E R$ 100 MENOS QUE R$ 25

GRAU DE CORREO Classificao

RISCO ELIMINADO - 100% RISCO REDUZIDO - 75% RISCO REDUZIDO ENTRE 50% E 75%

RISCO REDUZIDO ENTRE 25% E 50% RISCO REDUZIDO MENOR QUE 25%

Resultado da Anlise: INVESTIMENTO PLENAMENTE JUSTIFICADO, GRANDE REDUO DE RISCO JI = GC(grau de criticidade) Fator de custo x Grau de correo JI = [1407 / (3 x 2)] JI = [1407 / 6] JI = 234,5

Setor: Comunicao e Marketing FATOR DE CUSTO Classificao

MAIOR QUE R$ 50.000 ENTRE US 25.000 E R$ 50.000 ENTRE R$ 10.000 E R$ 25.000 ENTRE R$ 1.000 E R$ 10.000 ENTRE R$ 100 E R$ 1.000 ENTRE R$ 25 E R$ 100 MENOS QUE R$ 25

GRAU DE CORREO Classificao

RISCO ELIMINADO - 100% RISCO REDUZIDO - 75% RISCO REDUZIDO ENTRE 50% E 75%

RISCO REDUZIDO ENTRE 25% E 50% RISCO REDUZIDO MENOR QUE 25%

Resultado da Anlise: INVESTIMENTO PLENAMENTE JUSTIFICADO, GRANDE REDUO DE RISCO

JI = GC(grau de criticidade) Fator de custo x Grau de correo JI = [573 / (3 x 2)] JI = [573 / 6] JI = 95,5

O Resultado da Anlise se d depois dos devidos clculos realizados, conforme apresentado no captulo 5, segundo a metodologia aplicada.

157

6.2.3.1 RESULTADOS Na atual conjuntura que se encontram os setores da organizao, mediante as anlises realizadas sobre o grau de criticidade, o setor de Vigilncia o que se encontra no estado mais crtico, com 87,5%; necessitando de uma correo imediata. Seguido dos setores de Recepo e Telefonista, 72,23% e 71,42% respectivamente; devendo ser tratados tambm de forma urgente. Logo depois com patamares de criticidade considerveis, vem os setores de Multi-Atendimento Comunicao e Marketing e Gerncia, todos com 63,64% ao grau de criticidade mais grave. Por fim encontram-se os setores de D.S.A e Secretaria de cursos com graus de criticidade mais amenos, mas no menos preocupantes, 54,55%. Terminando com o menor ndice de criticidade o setor de Biblioteca, com 45,46%. Um fato bastante interessante a ser destacado, refere-se quanto justificativa de investimento. Para todos os setores o fator de custo algo extremamente pondervel; ou seja, um valor consideravelmente baixo de investimento quanto as medidas provenientes s solues de uma poltica de segurana das informaes efetiva. Isso ocorre devido as Definies de Risco (DR), serem situaes propcias (a maioria delas) a fatores ligados ao elo mais fraco quando se trata de segurana das informaes, que : o fator humano. Portanto consegue-se reduzir e muito os riscos, com os chamados planos de contingncia, devido sobretudo a algo muito simples mas extremamente eficiente, que so os programas de conscientizao, destacados nos captulos anteriores.

158

7 CONCLUSO

As solues atualmente so menores do que as problemticas que surgem relativas aos desafios segurana das informaes. O quadro agravante da falta de instruo e conscientizao por parte dos funcionrios na empresa preocupante. Infelizmente a informao no considerada como fonte preciosa de posse particular. Ou seja, como objeto preponderantemente valioso que cada funcionrio carrega consigo, desde o momento em que se instala na empresa at o presente momento (principalmente). Interligada a esta segurana das informaes a engenharia social contracena com um toque mgico-imperceptvel. Imperceptvel porque na maioria das vezes mal sabe a empresa que sofrera um ataque de engenheria social. Mgico devido os ataques por engenharia social ocorrerem de forma to natural, simples e convincente, que na maioria das vezes s descobre se revelado propositalmente pelo artista (o que quase sempre, claro no ocorre). A arte, cincia, e tcnica conjuntamente podem levar a moldar um tipo de profissional extremamente til ao mercado; mas como tambm pode nascer da mistura de hackers, crackers e mestres articuladores da persuao humana, um individuo perigoso a esta segurana da informao, dificultando a vida dos Security Officers ou responsveis. A dinmica do envolvimento da engenharia social com a segurana da informao, de acordo com o que fora proposto neste trabalho, serve como escopo preliminar aos profissionais da rea de TI. Para que possam estar sempre atentos: ao surgimento de novas tecnologias em mbito de proteo s informaes; aos ambientes em que se encontram tudo aquilo que se traduza em informao agregado a toda estrutura fsica daquele meio; e principalmente ao tratamento humano, em particular a cada funcionrio da organizao, de conscientizao, comprometimento e responsabilidade tcnica e social.

159

Como trabalho futuro, o propsito dar subsdios concretos aos profissionais de TI poderem ser os visionrios de um novo contexto, que a busca pela segurana das informaes. Imbuidos nesta nova ordem que surge e inspirados pela acelerada troca de informaes, a utilizao de ferramentas para anlises de risco, pertinentes ao diagnstico de vulnerabilidades que se tornam ameaas e conhecimentos atualizados sobre as tcnicas de engenharia social, so recursos primordiais aos profissionais desta nova gerao. Para tanto, na esfera iminente deste novo desafio de suprir o exigente mercado que priva cada vez mais de suas informaes, vale ressaltar que este trabalho atingiu o objetivo de estar colaborando como instrumento de compreenso didtico-metodolgico; no contexto das inmeras vulnerabilidades tcnicas e humanas inserida nas Organizaes, agregando-se a futura elaborao de uma ferramenta para melhor gerir a segurana das informaes.

160

REFERNCIA BIBLIOGRFICA

01. THEOBALDO, Carlos Eduardo Pereira. Pequenas veredas em grande serto. Coorjornal, [Rio de Janeiro], n. 235, 06 abr. 2002. Opinio Acadmica. Disponvel em: <http://www.riototal.com.br/coojornal/academicos023.htm>. Acesso em: 21 fev. 2004. 02. MITNICK, KEVIN. O conhecimento que assusta. InformationWeek Brasil, [So Paulo], 2003. Entrevista. Disponvel em: <http://www.informationweek.com.br/iw70/mitnick/>. Acesso em: 27 fev. 2004. 03. MITNICK, Kevin D.; SIMON, William L. A arte de enganar: ataques de hackers: controlando o fator humano na segurana da informao. So Paulo: Pearson Education, 2003. 04. SMOLA, Marcos. Gesto da segurana da informao: uma viso executiva. Rio de Janeiro: Campus, 2003. 05. KONSULTEX Informtica.1993. Disponvel em: <http://www.konsultex.com.br/index.php>. Acesso em: 01 mar. 2004. 06. POR QUE preocupar-se com a segurana. In: KONSULTEX Informtica. 1993. Disponvel em: <http://www.konsultex.com.br/ktex/download/info/seguranca.doc>. Acesso em: 01 mar. 2003 07. LUDASEN, Suzanne. Podemos confiar nas medidas de confiana? Opinio Pblica, Campinas, v. 8, n. 2, p. 304-327,2002. 08. YAMAGISHI, T. Trust and social intelligence: the evolutionary game of mind and society. Tquio: Tokyo University Press, 1998. 09. PUTNAM, Robert D. Making democracy work: civic traditions in modern Italy. Princeton: Princeton University Press, 1993. 10. REDE NACIONAL DE ENSINO E PESQUISAS (RNP). Alerta do cais ALR-02042003: fraudes em internet banking. 2004. Disponvel em: <http://www.rnp.br/cais/alertas/2003/cais-alr-02042003.html>. Acesso em: 29 mar. 2004. 11. NIC BR SECURITY OFFICE (NBSO). A cultura em segurana contra fraudes. 2003. Disponvel em: <http://www.nbso.nic.br/docs/reportagens/2003/2003-05-13.html>. Acesso em: 29 mar. 2004.

161

12. SOUZA, Edney. Ateno: ataque de engenharia social aos usurios do registro.br. In: METARECICLAGEM. Lista do Projeto Metareciclagem. Disponvel em: <http://groups.google.com/groups?q=engenharia+ social&hl=pt&lr=&ie=UTF-8&oe=UTF-8&selm=134oD-2zc29%40gated-at.bofh.it&rnum=1>. Acesso em: 31 mar. 2004. 13. DAHAB, Ricardo. INF712: gerncia de segurana da informao: controle de acesso. Campinas: Instituto de Computao/UNICAMP, 2002. Disponvel em: <http://www.dcc.unicamp.br/~rdahab/cursos/inf712/materialdidatico/aula3 -1.pdf>. Acesso em: 03 abr. 2004. 14. QIS de celebridades. In: SOUZA, Bruno Campello de. Sapiens: informao e conhecimento sobre a superdotao intelectual. Disponvel em: <http://www.vademecum.com.br/sapiens/celebrity.htm>. Acesso em: 13 mar. 2004. 15. ABAGNALE and associates. Coordenao de Frank W. Abagnale. 1999. Disponvel em: <http://www.abagnale.com/index2.asp>. Acesso em: 13 mar. 2004. 16. MAIA, Marco Aurlio. Engenharia social. Disponvel em: <http://geocities.yahoo.com.br/jasonbs_1917/seguranca/leiamais_engsocia l.html>. Acesso em: 12 abr. 2004. 17. FILTRO de contedo: treinamento de segurana na internet para funcionrios. In: SYMANTEC Corporation. 1995. Disponvel em: <http://www.google.com.br/search?q=cache:o7nFGmoEhTAJ:www.syma ntec.com.tw/region/br/enterprisesecurity/content/content_filter3.html+I nforme+os+funcionrios+sobre+os+perigos+de+fazer+download+de+so ftwares+e+protetores+de+tela+gratuitos&hl=pt-BR>. Acesso em: 17 abr. 2004. 18. LINUX Security. 1999. Disponvel em: <http://www.linuxsecurity.com.br/sections.php?op=viewarticle&artid=21v >. Acesso em: 17 abr. 2004. 19. WETWARE. In: AHMAD Anvari: personal personal. 1999. Disponvel em: <http://www.anvari.org/fortune/Jargon_File/29713.html>. Acesso em: 08 abr. 2004. 20. FERNANDES, Jorge Henrique Cabral. Vida artificial. In: ______. Ciberespao: modelos, tecnologias, aplicaes e perspectivas da vida artificial busca por uma humanidade auto-sustentvel. 2003. Disponvel em: <http://www.cic.unb.br/~jhcf/MyBooks/O%20Ciberespaco/VidaArtificial. html>. Acesso em: 08 abr. 2004.

162

21. HEITOR, Manuel; HORTA, Hugo; CONCEIO, Pedro. Engenharia e conhecimento: ensino tcnico e investigao. In: INSTITUTO SUPERIOR TCNICO. Centro de estudos em inovao, tecnologia e polticas de desenvolvimento. 1999. Disponvel em: <http://in3.dem.ist.utl.pt/laboratories/pdf/11_1.pdf>. Acesso em: 06 abr. 2004 22. CASANAS, Alex Delgado Gonalves; MACHADO, Csar de Souza. O impacto da implementao da norma ISO/IEC 17799 Cdigo de prtica para segurana da gesto da informao nas empresas. In: PEREIRA, Lus Filipe Rosado. O e-Government no mundo. 2002. Disponvel em: <http://egov.alentejodigital.pt/Page10549/Seguranca/iso17799-1.pdf>. Acesso em: 08 maio 2004. 23. MAGALHES, Joo. Empresas investem pouco em segurana digital. O Estado, So Paulo, 08 jan. 2004. Tecnologia. Disponvel em: <http://www.estadao.com.br/tecnologia/internet/2004/jan/08/93.htm>. Acesso em: 10 maio 2004. 24. BANNWART, Cludio. Empresa segura, capital garantido. Infoguerra, 30 nov. 2001. Entrevista. Disponvel em: <http://www.infoguerra.com.br/infonews/arc10-2001.html>. Acesso em: 30 jun. 2004. 25. FERREIRA, Aurlio Buarque de Holanda. Dicionrio Aurlio bsico da lngua portuguesa. Rio de Janeiro: Nova Fronteira, [1995]. 687 p. 26. DEFAULT password list. In: PHENOELIT lands of packets. Disponvel em: <http://www.phenoelit.de/dpl/dpl.html>. Acesso em: 20 abr. 2004. 27. O JOGO da segurana; descubra as ameaas e vulnerabilidades em ambiente corporativo. Mdulo Security Magazine, So Paulo, n. 345, 14 jun. 2004. Disponvel em: <http://www.modulo.com.br/arquivoboletins/2k4/msnews_no345.htm>. Acesso em: 02 jul. 2004. 28. ATENO: o BB no envia email sem a sua permisso [mensagem pessoal]. Mensagem recebida por <duvida@terra.com.br> em: 06 jul. 2004. *Disponvel em: <http://www.infoguerra.com.br/infonews/fotos/bbemail.gif> 29. PROMOO Ita frias. *Disponvel em: <http://www.infoguerra.com.br/infonews/fotos/itauemail.gif>. Acesso em: 06 jul. 2004. 30. HSBC: instrues de instalao do internet banking. *Disponvel em: <http://www.infoguerra.com.br/misc/golpes/bancos.htm>. Acesso em: 06 jul. 2004.

163

31. BRADESCO internet banking. *Disponvel em: <http://www.infoguerra.com.br/infonews/fotos/bradescofraude.gif>. Acesso em: 06 jul. 2004. 32. BANNWART, Cludi. Empresa segura, capital garantido Redao Infoguerra. In: COMPUGRAF. So Paulo, 2001. Disponvel em: <http://www.compugraf.com.br/index.asp?nav=71&arg1=258&arg2=28>. Acesso em: 29 jul. 2004. 33. CONHEA a segurana da informao no governo federal brasileiro. Mdulo Security Magazine, So Paulo, n. 328, 09 fev. 2004. Disponvel em: <http://www.modulo.com.br/arquivoboletins/2k4/msnews_no328.htm>. Acesso em: 29 jul. 2004. 34. DEZ questes para avaliar a gesto da segurana na sua organizao. In: FUJITSU. 2003. Disponvel em: <http://pt.fujitsu.com/noticias/leituras/gseguranca/frecumenda/. Acesso em: 29 jul. 2004 35. MARTINEZ, Manuela. Engenharia social a grande ameaa da internet, diz ex-hacker. Folha online, So Paulo, 18 set. 2003. Informtica. Disponvel em: <http://www1.folha.uol.com.br/folha/informatica/ult124u13942.shtml>. Acesso em: 17 abr. 2004.
__________________________________________________________________ * Disponvel tambm em: RODRIGUES, Giordani. Falsos brindes e sites clonados atingem bancos. Infoguerra, So Paulo, 11 jul. 2003. News. Disponvel em: <http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1057976759,19652,>. Acesso em: 11 set. 2004

36. MULLER, Ives P. Metodologia de auditoria com foco em riscos. In: CONGRESSO LATINO AMERICANO DE AUDITORIA INTERNA Y ADMINISTRACIN DE RIESGOS, 8., 2004, Cuba. Anais eletrnicos... Bogot: FBL, 2004. Disponvel em: <http://www.latinbanking.com/memorias_congreso_clain_2004/metodolo gia_auditoria_com.pdf>. Acesso em: 15 set. 2004. 37. MDULO Security Solutions S.A. 9 Pesquisa Nacional de Segurana da Informao. Rio de Janeiro, 2003. Disponvel em: <http://www.modulo.com.br/temp/9aPesquisaNacional_Modulo.zip>. Acesso em: 15 set. 2004. 38. BRASILIANO & Associados - Mtodos para anlise de risco na segurana patrimonial. Disponvel em: <http://www.brasiliano.com.br/download/artigo_299.doc.> Acesso em: 07 out. 2004.

164