a conscientização dos funcionários com relação a segurança da informação
DESCRIPTION
Tese de Conclusão de Curso - Faculdade Cenecista de Sete LagoasTrabalho voltado para a conscientização dos funcionários em relação a segurança da informação.TRANSCRIPT
1
FACULDADE CENECISTA DE SETE LAGOAS SISTEMAS DE INFORMAÇÃO
A CONSCIENTIZAÇÃO DOS FUNCIONÁRIOS DA IVECO COM RELAÇÃO A SEGURANÇA DA INFORMAÇÃO
FELIPE BARBOSA ABREU
SETE LAGOAS 2009
2
FELIPE BARBOSA ABREU
A CONSCIENTIZAÇÃO DOS FUNCIONÁRIOS DA IVECO COM RELAÇÃO A SEGURANÇA DA INFORMAÇÃO
Trabalho apresentado ao Curso de Sistemas de Informação , da Faculdade Cenecista de Sete Lagoas, como requisito parcial para a conclusão da disciplina Estágio Supervisionado e Pesquisa II, orientado pelo professor Jorge Dantas.
.
SETE LAGOAS 2009
3
Dedico este trabalho, primeiramente aos meus professores e amigos,
aos meus pais pela dedicação e esforços que a mim foram dados, e a
todos que direta ou indiretamente contribuíram com muita paciência
para que esse objetivo em minha vida fosse alcançado.
4
AGRADECIMENTOS
Na realização deste trabalho, agradeço a Deus, fonte maior de inspiração, de coragem e fé. A meus
pais e irmã, que me fazem acreditar e sonhar sempre, me dando força e perseverança para concluir
esse ideal.
5
RESUMO
O presente estudo objetiva conceituar o processo de segurança da informação, sua
importância, seus elementos, riscos e ameaça, assim como a participação humana nesse processo e
sua necessária conscientização. Para tanto o presente trabalho foi estruturado em três etapas:
conceito de segurança da informação e sua importância, seus elementos, e finalmente, o elo humano.
Percebeu-se que é uma área em constante mutação, o que faz com que os usuários, para que
utilizem adequadamente e com segurança, tenham que estar também, em constante aprendizado
sobre suas novas tecnologias e, conseqüentemente, sua segurança. Para que isso aconteça o
treinamento é fundamental. Realizou-se primeiramente, através de um questionário, uma pesquisa de
conhecimentos dos funcionários do setor Logística da IVECO sobre o tema Segurança da
Informação. Em seguida, promoveu-se uma palestra sobre o assunto com o objetivo de catalizar a
conscientização deles e buscar torná-los multiplicadores deste objetivo, dentro da empresa. Após
essa palestra, foram colhidas outras respostas de um novo questionário com o objetivo de colher
impressões sobre o trabalho realizado.
Palavras-Chave: Segurança da Informação, participação humana, treinamento, conscientização.
6
SUMÁRIO
1. INTRODUÇÃO
08
2. REFERENCIAL TEÓRICO
09
2.1. Conceito e importância da Segurança da Informação
09
2.2. Elementos que garantem a Segurança da Informação
12
2.3. O Elemento Humano 3. A EMPRESA 3.1. Dados Gerais 3.2 Histórico 3.2.1. Organograma 3.3. Análise 3.3.1. Do Setor 3.4. Problema Detectado 4. PROPOSTA DO ESTAGIÁRIO 4.1. Objetivo Geral 4.2. Objetivos Específicos
15
18
18
18
20
20
20
21
22
22
22
7
5. CRONOGRAMA 6. DESENVOLVIMENTOS DAS ATIVIDADES 6.1 Definição de Estratégia 6.2. Aplicação de Questionário para análise do nível de conhecimento dos usuários sobre Segurança da Informação
6.3. Apresentar palestra para os usuários definindo a importância da segurança da informação e seus conceitos 6.4. Divulgar os conceitos abordados na palestra através da
comunicação interna e aplicar novo questionário de satisfação e conhecimento para os usuário 7. CONSIDERAÇÕES FINAIS
8. REFERÊNCIAS 9. ANEXOS 10. APÊNDICE
23
24
24
24
29
31
36
37
39
46
8
1 INTRODUÇÃO
O mundo de T.I. nas empresas depois que se implantou a comunicação entre
os computadores cresceu, evoluiu e está em constante transformação. Desconhecer
a importância da informática, hoje, é alienar-se dos processos de informação e
conhecimento dos tempos atuais. É imprescindível dominar essa tecnologia para
progredir nesse mundo globalizado em constante mutação.
Nesse aspecto a evolução é diária e dinâmica, e estar por dentro de toda
essa mudança, faz com que a atualização dos profissionais da área estejam em
constante aprendizado. E assim como se evoluem equipamentos, softwares,
hardwares, crescem também os meios com que as pessoas buscam adquirir
informações e dados de programas, arquivos etc. Vem dessa busca por adquirir
esses dados a necessidade de se garantir princípios de segurança das informações.
Estudar a segurança da informação é, então, conhecer não só como se
processa a aquisição da informação, mas também como protegê-la, torná-la
confiável, segura.
Depara-se então com um leque gigantesco de informações possíveis para
este estudo, pois a segurança da informação, assim como a aquisição da mesma, é
um campo vasto.
Delimitar-se-á neste estudo a segurança da informação onde se busque
enfocar a conscientização do usuário, ou seja, o lado humano, do cliente, de quem
faz uso das tecnologias de informação e para responder quais são as atitudes
adequadas para se comunicar com segurança e garantir que informações não sejam
modificadas, evitando causar danos às mesmas.
O trabalho foi desenvolvido em 7 capítulos, sendo que o primeiro capítulo foi
abordado a introdução do trabalho, expondo alguns aspectos de T.I., sua
importância e como assegurá-la; o segundo capítulo traz os conceitos sobre a
Segurança da Informação nas organizações; o terceiro capítulo apresenta a
empresa onde o estágio foi realizado; o quarto apresenta a proposta de estágio, o
quinto capítulo referencia-se o cronograma de atividades do estágio;
consequentemente o sexto capítulo descreve cada uma das atividades realizadas.
Finalizando, o sétimo capítulo traz as considerações finais.
9
2. REFERENCIAL TEÓRICO
2.1. Conceito e importância da Segurança da Informação
Hoje, a segurança é o maior desafio. Pois, o acesso em qualquer lugar
depende de nossa capacidade para criação e compartilhamento de informações,
sem medo de que elas sejam corrompidas, exploradas ou roubadas.
A resposta está na confiança - na criação de sistemas e processos que sejam sempre seguros para que pessoas e organizações possam ter um alto grau de segurança em relação à tecnologia que utilizam a fim de proteger suas identidades, informações e privacidade. Este é um imperativo que transcende qualquer empresa individualmente. O sucesso exigirá muito trabalho e cooperação entre empresas, governos, e organizações no mundo inteiro. (GATES 2007,p.2)
Num mundo em que a cada dia mais a informação move organizações,
controla o sucesso de vários setores é de fundamental importância que estas
informações sejam mantidas em segurança, ou seja, é necessário que exista um
sistema de segurança da informação para que as mesmas não sejam utilizadas
inadequadamente ou mesmo de forma ilegal.
Podemos definir Segurança da Informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. De forma mais ampla, podemos também considerá-la como a prática de gestão de riscos de incidentes que impliquem no comprometimento dos três principais conceitos da segurança: confidencialidade, integridade e disponibilidade da informação. Desta forma, estaríamos falando da definição de regras que incidiriam sobre todos os momentos do ciclo de vida da informação: manuseio, armazenamento, transporte e descarte, viabilizando a identificação e o controle de ameaças e vulnerabilidades. SÊMOLA (2003, p. 43)
Dias (2000, p.42-44), além dos três itens já citados como os princípios da
segurança da informação aponta outros que julga necessários para que seja
eficiente a segurança da informação. Vamos a eles e suas respectivas
características:
10
O primeiro é a confidencialidade ou privacidade que segundo a autora é
proteger a informação de modo que somente que tem autorização possa
utilizá-la.
O segundo item é a integridade dos dados que envolve não só arquivos do
computador, mas também programas, documentos, etc. e está relacionado a
assegurar que os dados não sejam modificados, alterados por pessoas que
não tenham autorização para fazê-lo.
O terceiro é a disponibilidade que consiste em assegurar a garantia de que
serviços prestados por um sistema são acessíveis, sob demanda, aos
usuários ou processos autorizados. Nesse aspecto Dias aprofunda o conceito
citado por Campos.
O próximo item citado por Dias (2000) será a consistência, ou seja, o sistema
funciona de acordo com o esperado pelo usuário? Para que isso aconteça o
software ou hardware tem que ser projetado dentro das necessidades pretendidas
pelo usuário. Isolamento ou uso legítimo é o próximo item citado pela referida
autora, que significa regular o acesso ao sistema. Auditoria vem a ser o item
seguinte e pretende proteger os sistemas contra erros e atos maliciosos cometidos
por usuários autorizados, através de trilhas e logs que registram quem e quando
cometeu o erro ou o ato malicioso. O ultimo item será a confiabilidade que pretende
garantir que o sistema funcione corretamente independente das situações adversas
ou não.
Para garantir a segurança da informação é necessário determinar os pontos
fracos passiveis de ataque a cada um dos princípios citados anteriormente. Parte
importante desta segurança da informação é conhecer todos os processos que
envolvem cada um dos mesmos.
Para entender o que vem a ser um incidente de segurança da informação,
primeiro é necessário saber o que é um ativo de informação, o que são as
vulnerabilidades e as ameaças, sempre do ponto de vista de segurança da
informação, segundo Campos ( 2007, p. 21).
O ativo da informação, termo que se originou na área financeira, é todo
elemento que compõe os processos que manipulam e processam a informação, o
meio em que ela é armazenada, os equipamentos em que ela é manuseada,
transportada e descartada.
11
Campos (2007, p. 22) afirma que há diversas formas e categorizá-las de
várias maneiras. Vejamos como ele faz essa afirmação:
Assim como a informação em si é abstrata e não existe sem as
tecnologias, pessoas, ambientes, da mesma maneira, os processos são
estruturas conceituais que regulam o comportamento das pessoas em
relação a essas tecnologias e ambiente. CAMPOS (2007, p. 22)
Pelo motivo de ser essencial para a gestão de negócios, a informação,
portanto, pode ser tratada como um bem ou ativo de grande valor para a empresa.
As fraquezas que existem nos ativos da informação, que podem ser
exploradas intencionalmente ou não, são as vulnerabilidades para a informação,
exemplo, um computador é vulnerável a exploração de seus arquivos através de um
vírus, as pessoas podem ser exploradas entregando informações confidenciais.
As ameaças são agentes externos ou ativos da informação que usam a
vulnerabilidade a seu favor, para ter acesso as informações quebrando as regras de
confidencialidade, integridade ou disponibilidade.
As ameaças segundo Campos (2007, p.25) são ainda definidas como “Um
incidente de Segurança da Informação é a ocorrência de um evento que possa
causar interrupções ou prejuízos aos processos do negócio, em conseqüência da
violação de um dos princípios de Segurança da Informação”.
Ao se tratar de Segurança da Informação, as probabilidades são as falhas
que podem vir a acontecer, é a relação entre o grau de ameaça e o grau de
vulnerabilidade, o que pode existir probabilidade de alto grau, como um vírus de
computador, e probabilidade de baixo grau, como um armário sem tranca para
guardar backups.
Já o impacto pode ser definido como os prejuízos gerados para a organização
e seus negócios como perda financeira, desgaste de imagem, perda de recursos
entre outros.
Dependendo da estratégia de negócio, um mesmo incidente pode causar
impacto diferente entre as organizações.
Para Campos (2007, p.28) controle também é um aspecto a ser
considerado: “Um controle é todo e qualquer mecanismo utilizado para diminuir a
fraqueza ou a vulnerabilidade de um ativo, seja esse ativo uma tecnologia, uma
12
pessoa, um processo ou um ambiente”. Portanto controle é o mecanismo utilizado
para diminuir as vulnerabilidades dos ativos da informação, seja ele qual for
Mas como determinar o que seja correto ou não. Tradicionalmente a
legislação tem a função de definir papeis aceitáveis ou não de acordo com cada
área. Sendo assim é bom que se conheça a legislação brasileira sobre o assunto.
Dias (2000, p.46) identificou a legislação brasileira sobre a segurança da informação
até o ano de 2000. A partir dessa época com certeza outras foram incluídas devido à
evolução das informações e dos próprios equipamentos. Mas se tornou um ciclo de
problemas, pois quanto mais evoluem as medidas de segurança, mais evoluem
também os meios de burlá-las.
Para entender se a imensidão do problema Wadlow (2000, p.2) a esclarece:
A segurança deverá ser proporcional ao valor do que se está protegendo. Parte desse valor é realmente um valor; outra parte é o trabalho necessário para restabelecê-lo; uma outra parte mais sutil é o trabalho que permitirá confiar em sua rede novamente.
Desta forma fica claro que a segurança das informações é complexa e
depende de vários fatores. No próximo capitulo tratar-se-á dos elementos que
garantem a segurança..
2.2. Elementos que garantem a Segurança da Informação
A segurança é um processo. Pode-se aplicar o processo seguidamente à rede e à empresa que a mantêm e, dessa maneira, melhorar a segurança dos sistemas. Se não iniciar ou interromper a aplicação do processo, sua segurança será cada vez pior, à medida que surgirem novas ameaças e técnicas. (WADLOW 2000, p.4)
No ambiente de informática os recursos mais comuns são os hardwares, os
softwares, os dados, as pessoas, as documentações e os suprimentos. Todos
podem sofrer riscos ou ameaças. Esses recursos podem conter informações
públicas ou de uso irrestrito, podem conter informações e/ ou dados internos ou de
uso interno de uma instituição, podem ser confidenciais ou mesmo secretas. E
podem estar em um programa aplicativo (aqueles que são projetados para atender a
13
necessidades especificas de um determinado usuário), pode se tratar de um serviço
(utilizados pelos aplicativos, como por exemplo os serviços prestados por um
SISTEMA GERENCIADOR DE BANCO DE DADOS), pode estar num sistema
operacional, que é aquele que por exemplo, gerencia o comando da impressora e
arquivos, ou pode se tratar de hardware que é o processador e a memória do
sistema operacional.
Um risco a qualquer dos recursos significa uma possibilidade desse recurso
sofrer uma ameaça devido a uma determinada vulnerabilidade que pode ocasionar
impactos nos mesmos. Ao se analisar os riscos, se pretende, a partir dos dados
obtidos, criar estratégias de segurança mais rigorosa de modo a minimizá-los.
Para se tratar os riscos é necessário que primeiro uma equipe, composta de
pessoas de inteira confiança, analisem todo o sistema e definam qual o tratamento
será adequado ao risco. Pode-se responder ao risco de quatro formas, segundo
Campos (2007, p. 85): evitando-o, transferindo-o, reduzindo-o ou aceitando-o.
Definido esses aspectos cria o sistema de segurança da informação que é composto
pelas seguintes etapas:
Planejamento da implementação que deve prever os controles
aos processos, às pessoas, às tecnologias e aos ambientes.
Implementação de controle nos processos deve fazer a análise e
desenho dos processos, depois modelar os fluxos de informações e, por fim,
a estruturação dos fluxos de informação. Na implementação de controles de
pessoas é preciso determinar as competências em segurança, em seguida
fazer a campanha de conscientização, para depois o treinamento em
segurança. Na implementação de controle das tecnologias deve-se implantar
firewall, antivírus corporativo e anti-spam, nessa ordem. Para o controle dos
ambientes, primeiro definir áreas críticas, monitorar com câmeras e vídeos e
depois controlar o acesso biométrico.
Controlar a implementação é cumprir o que foi planejado,
analisando o projeto, verificando as diferenças entre o planejado e o
efetivamente realizado, fazendo quando necessário alterações.
Encerrar a implementação é necessário para que se informe as
dificuldades encontradas, os resultados obtidos.
Ao monitorar o sistema é fundamental que se registre todos os passos dados,
ou seja, monitorar os controles, reavaliar os sistemas, realizar auditorias e reavaliar
14
os riscos, assim é possível melhorar o sistema de segurança da informação. Como?
Implementar melhorias identificadas, tomar ações preventivas e corretivas e
comunicar seus resultados, e por fim, garantir o atendimento dos objetivos
propostos.
As ameaças podem ser a qualquer um dos recursos e de formas variadas.
Dias (2000, p. 58) aponta uma tabela de ameaças que, ainda hoje, contem dados
reais. Ela determina como ameaças fundamentais em um ambiente informatizado o
vazamento de informações, a violação de integridade, à indisponibilidade de
serviços de informática, o acesso e uso não autorizado e outros tipo o
mascaramento, o desvio de controles, a violação autorizada e as ameaças
autorizadas. Wadlow (2000, p. 33) alerta “Se não souber o que e por que está
defendendo, não será possível defendê-lo”. Podemos verificar na tabela 1 na sessão
ANEXO, na página 39.
Os tipos principais de ameaças programadas são os vírus que são pequenos
programas projetados para se replicarem e se espalharem de um computador a
outro, atacando programas ou o setor de boot de um disco rígido. ( DIAS 2000, p.
63). Eles podem ser de setor de boot, parasitas, camuflados, polimórficos e de
macro. Os worms que se propagam de um computador para outro, podem rodar
independentemente de uma máquina para outra e poder-se-á ter pedaços de si
mesmo rodando em várias máquinas. As bactérias são programas que geram cópias
de si mesmo com o intuito de sobrecarregar um sistema de computador. A bomba
lógica é uma ameaça programada, camuflada em programas, e quando ativadas
executam funções que alteram o comportamento do software hospedeiro. E
finalmente o Cavalo de Tróia que é um vírus na forma citada acima.
Para então se prevenir e mesmo resolver os problemas gerados pelos riscos
e ameaças é preciso que se estabeleça um sistema de gestão de segurança da
informação (SGSI) que promoverá ações de segurança, uma filosofia de trabalho,
sustentável e de cunho prático. Essa gestão se encarregará de analisar todo o
sistema envolvido e a partir dela criará uma estrutura de trabalho segura. Segundo
Campos (2007, p. 31) esse sistema de segurança se torna um ciclo, devido a sua
estrutura estar constantemente em movimento, repetindo ações, inovando e
avançando da seguinte maneira: primeiro planejando, depois implementado,
monitorando as ações, melhorando-as, tornando a planejar e assim sucessivamente.
15
2.3. O Elemento Humano
A arte de trapacear, construir métodos e estratégias de enganar em cima de informações cedidas por pessoas ou ganhar a confiança para obter informações, são ações antigas, oriundas dos tempos mais remotos, ganharam um novo termo Engenharia Social. ( ROSA 2009,p.2)
Rosa (2009) é um dos autores que aponta como o elo mais fraco da
segurança da informação o elo humano, e por isso aconselha que se trate da
segurança de pessoas. Isso porque a cooperação dos usuários é essencial para a
eficácia da segurança (Rosa2009). Afinal são pessoas que organizam os trabalhos,
inserem dados, retiram informações. E através do seu trabalho demonstra que as
empresas que realizam testes de penetração de segurança relatam que tentativas
de invadir computadores utilizando-se da Engenharia Social tem 100% de êxito. Ou
seja, é através do elo mais fraco que se consegue penetrar nos sistemas
Wadlow (2000, p.21) garante que o sistema de informação pode ser atacado
desde que o interessado nessa atitude tenha habilidade, motivação e oportunidade.
Então para que isso não aconteça existe uma estratégia de defesa simples que
diminui consideravelmente as possibilidades do ataque. São elas:
Não proporcione recursos de acesso público e sem autorização, que possam
ser controlados pelos aproveitadores. Examine periodicamente os recursos de acesso público para assegurar que
não foram comprometidos. Elimine características de sua presença na Internet que possam ser
particularmente atraentes a esse tipo de atacante. Mantenha-se atualizado com as metodologias de ataque. Colecione scripts de
exploração, sempre que possível, e verifique se o seu sistema não se encontra vulnerável. (Wadlow 2000, p.23)
Mas por que essas medidas são necessárias? A engenharia social utiliza-se
de contatos telefônicos, simular emergências, contatos através de e-mail,
demonstrar interesse em pesquisas, contato através de ferramentas de Instant
Messaging, simular afinidades, pesquisar para obter informações vazadas pela
administração ou por funcionários, se utiliza de telefone público, para dificultar sua
16
detecção, faz varredura de lixo informático, se disfarça de equipe de manutenção e
até mesmo visita a pessoa aproveitando de disfarce de ingenuidade. “O sucesso no
ataque de engenharia social ocorre geralmente quando os alvos são as pessoas
ingênuas ou aquelas que simplesmente desconhecem as melhores práticas de
segurança” ( FERREIRA,2009,p.1).
Erasmo Borja Sobrinho (2007, p. 46-47) em seu artigo “A chave da segurança
está no treinamento” comenta que na maioria das vezes quem está autorizado não
está preparado para lidar com a segurança e que acaba se tornando um elo fraco e
aconselha:
Sem treinamento, o usuário pode não saber que algumas condutas são consideradas inadequadas, com relação a um código de ética que se estabelece no uso da internet. Com isso, causam problemas que acabam trazendo prejuízos para a instituição onde ele trabalha. Um simples e-mail respondido com letras maiúsculas pode ofender o destinatário, por exemplo (SOBRINHO 2007, p.46-47)
Velloso e Lopes (2007, p.86-88) aponta dois grandes grupos de ameaças: por
pessoas e por softwares. Sendo que para a primeira bastaria manter os diálogos
anonimamente para resolver a maioria dos problemas, no entanto, muitas pessoas
não sabem como fazê-lo. As crianças por exemplo, sofrem ataques a partir destes
contactos, destas informações que fornecem sem sequer perceber que estão
possibilitando este acesso.
Um exemplo repassado à pais na internet fala do trabalho de um policial em
Santa Catarina, que tem entrado na rede para conversar com crianças e
adolescentes. Quando recebe as informações fornecidas por elas procura-os e
localizando-os, informa aos responsáveis o que está acontecendo. Por que está
fazendo este trabalho? Por que crianças, adolescentes e jovens tem sido
seqüestrados, violentados em função das informações que eles mesmos fornecem
aos desconhecidos da internet (Disponível em
http://www.clicrbs.com.br/jsc/sc/impressa/4,784,2695175,13382).
Outra ameaça citada pelos autores é a por softwares como vírus, os worms
(que são programas que enviam cópias de si mesmos para outros computadores),
os bots (que é um tipo de worm que invade, estabelece comunicação, e passa o
17
controle para outro computador), o trojan que realizam ações como instalar vírus ou
abrir portas ao invasor, e, por fim, os spywares que monitoram as atividades de um
sistema e enviam a outro.
Velloso e Lopes em Protegendo inocentes (2007) orientam quanto às várias
dicas para tratar desses problemas, algumas aplicadas no uso do cotidiano da
internet: não clicar em links recebidos por e-mails, examinar os arquivos recebidos,
atenção ao navegar na internet, evitar sites suspeitos, evitar links que abrem
automaticamente, atualizar e usar constantemente o antivírus e se necessário
reinstalar o sistema operacional, não fornecer informações pessoais na rede, ter e-
mails diferentes para trabalho, uso pessoal, etc., evite clicar compulsivamente, etc.
O chamado monitoramento eletrônico corresponde justamente à consecução dos meios disponíveis de vigilância com emprego de recursos tecnológicos. Este procedimento é plenamente viável quanto às mensagens eletronicamente transmitidas. Basicamente pode-se distinguir o monitoramento eletrônico em duas modalidades de controle. A vigilância pelo controle formal concretiza-se em programas que analisam aspectos externos da mensagem, tais como o destinatário, o titulo da mensagem e o registro das páginas visitadas. (ATHENIENSE, 2007, p. 71)
É perceptível que existem meios de como monitorar os recursos tecnológicos
com segurança, no entanto, como disse Erasmo Borja Sobrinho, é preciso ter
treinamento constante, para saber como fazê-lo. Atheniense apresenta medidas
previstas na legislação brasileira trabalhista sobre como o empregador e empregado
podem estabelecer os limites desse monitoramento e treinamento, de modo que a
empresa não seja prejudicada, mas é preciso que também o trabalhador seja
respeitado em seus direitos. Esse monitoramento começa na seleção do profissional
que tem que ter a qualificação necessária para exercer as funções com segurança e
passa por todo um trabalho sistematizado em que o não conhecimento, a não
informação pode prejudicar a segurança.
Após o que se apresentou neste estudo fica claro que o elo fraco, só é fraco
quando desconhece o que faz.
18
3. A EMPRESA
3.1. Dados Gerais
Razão Social: Iveco Latin América LTDA
Nome Fantasia: Iveco Divisão Veículos
Endereço: Rodovia MG 238, KM 73,5 – Jardim Primavera – CEP 35701-482
CNPJ: 01.844.555/0005-06
Forma Jurídica: LTDA
Inscrição Estadual: 6727174170154
Inscrição Municipal: Isento
Números de Empregados: 1.181’
Segmento Social: Fabricação e Comercialização de Veículos Leves, Médios
e Pesados
Principais Produtos e Serviços: Iveco Stralis / Iveco Daily
Principais Clientes: Transportadoras, Agricultores, Organizações Estaduais
Objetivos Sociais/Benefício: Compromisso, Confiabilidade, Desempenho,
Espírito de Equipe 3.2. Histórico
A Iveco nasceu em 1975, quando cinco empresas (Fiat Veicoli Industriali,
Lancia e OM, da Itália; Unic, da França; e Magirus Deutz, da Alemanha) se juntaram
para formar a Industrial Vehicles Corporation.
Desde então, a Iveco só cresceu. Em 1986, comprou duas importantes
fabricantes européias: a Astra alemã, que produz caminhões especiais para
trabalhos fora de estrada, e toda a operação da FordTruck na Europa.
Em 1991, a Iveco expandiu-se ainda mais, ao adquirir a montadora inglesa
Seddon Atkison e a grande fábrica espanhola Pegaso.
Em 2001, a Iveco adquiriu as operações de ônibus da Renault e criou o
Irisbus, hoje a maior montadora de ônibus da Europa.
A Iveco é parte do Grupo Fiat, o maior grupo industrial da Itália e o décimo
maior grupo automotivo do mundo, cujo faturamento anual é de 70 bilhões de
dólares. A Iveco sozinha fatura o equivalente a 12 bilhões de dólares por ano e
opera em escala global. São 33 fábricas em 19 países como Itália, Alemanha,
19
França, Espanha, Áustria, República Tcheca, Hungria, Sérvia, China, Austrália,
Etiópia, Turquia, Líbia, entre outros. Na América do Sul, a Iveco possui três fábricas:
no Brasil, na Argentina e na Venezuela.
Em base produtiva mundial emprega mais de 26.000 pessoas e fabrica,
anualmente, cerca de 295.000 veículos, vendidos em mais de 100 países. Isso
significa que a Iveco vende por ano, em todo o mundo, duas vezes mais caminhões
que todo o mercado brasileiro.
E para prestar serviço aos seus milhares de clientes, a Iveco opera cerca de
1.200 concessionárias e com mais de 4.500 pontos de atendimento.
A Iveco atua no Brasil desde 1997 e é dedicada à produção e comercialização
de caminhões e ônibus. Em 2008, a empresa registrou seu melhor ano de vendas no
mercado brasileiro, com 12.000 unidades comercializadas. O crescimento nas
vendas foi de 90%, fazendo da empresa a montadora de caminhões que mais
cresceu no país no período. Em 2007 a empresa havia crescido outros 120%.
Num período de 14 meses a Iveco lançou quatro novos produtos no mercado:
a família Daily (caminhões leves) e a linha de pesados Stralis, em outubro de 2007,
o pesado off-road Trakker em outubro de 2008 e , finalmente, em dezembro de
2008, o Iveco Tector, o semi-pesado mais moderno do País. Trata-se do mais
arrojado plano de lançamento de novos produtos e, com ele, a Iveco foi bi-campeâ
do Caminhão do Ano Autodata, em 2007 com o Iveco Stralis e em 2008 com o Iveco
Daily 70C16.
A Iveco possui moderna fábrica em Sete Lagoas (MG), onde são produzidas
todas as linhas de produtos. Trata-se da mais nova e mais moderna fábrica de
caminhões do Brasil, e funciona como um centro de produção integrado, com linha
de montagem de carroçaria, cabine de pintura de última geração e montagem final.
Os índices de qualidade obtidos em Sete Lagoas equivalem-se ou superam aqueles
registrados nas fábricas da Iveco na Europa.
Em Junho de 2008, foi inaugurado o Centro de Desenvolvimento do Produto,
que reuni mais de 100 engenheiros que têm a responsabilidade de desenvolver os
futuros produtos da Iveco para o mercado brasileiro. A empresa vai lançar duas
novas famílias de veículos por ano no Brasil. Ainda no complexo de Sete Lagoas
funciona a fábrica de motores diesel da FPT Powetrain, do Grupo Fiat.
20
3.2.1. Organograma
Anexo 2.
3.3. Análise
3.3.1. Da Área
A Logística Iveco Latin América Sete Lagoas que atualmente conta com 44
colaboradores ativos, a logística é dividida em 4 sub-setores:
Métodos de Logística – responsável pelo desenvolvimento de novos sistemas
a serem utilizados na fábrica e processos para desenvolvimento de novos
sistemas (Projetos), análise em conjunto com a T.I. e a Empresa Global Value
dos sistemas utilizados com a finalidade de detectar falhas ou anomalias
buscando solução, liberação de acesso a alguns sistemas utilizados, e
implantação de outros, como por exemplo o sistema NFE.
Gemap – Gestão de Materiais, responsável pela gestão e desenvolvimento
dos inventários da fábrica e também gestão de materiais em poder de
terceiros, gestão de materiais utilizados na produção, controle de estoque de
materiais e entrada e saída de materiais na fábrica.
Exportação CKD e Peças e Acessórios – Responsável pela expedição CKD
(Completely Knocked Down), ou exportação de componentes desmontados,
envio de materiais do tipo para a Venezuela sendo responsável por todo o
processo desde a definição de quantidade para envio, documentação para
exportação, notas fiscais até a chegada do material ao cliente. Responsável
pelo envio de peças ao (PA) peças e acessórios, que são peças enviadas a
concessionárias devido a algum problema existente e tem que ser supridas.
Gestão do Produto – Responsável pela estrutura do veículo; o material
desenvolvido pela engenharia passa por um processo de estruturação no
veículo, trabalho feito em conjunto pelo setor de Compras que desenvolve o
fornecedor para o material passando para o Aviamento que é parte do setor
Gestão do Produto, que entra em contato com o fornecedor solicitando os
protótipos do material, realiza os testes, desenvolve o desenho do material no
sistema. Também responsável por modificações/alterações do material, onde
uma equipe da Gestão do Produto chamada Gestão de Modificações atua no
processo, desde a fase interna até a entrega do novo material na fábrica.
21
3.4. Problema Detectado
A Logística é um setor que tem contato relevante com informações
importantes para os processos internos da fábrica, ela se torna um setor
imprescindível para o sucesso dos produtos Iveco, trabalha em conjunto com a T.I.
revisando os sistemas existentes e criando novos, sendo assim de extrema
necessidade que todos os 44 colaboradores sejam conscientes das informações que
acessam e fazem uso e saibam como é importante a segurança da informação para
os processos que envolvem a Iveco.
22
4. PROPOSTA DO ESTAGIÁRIO
A proposta é fazer um trabalho de conscientização dos usuários em relação a
segurança da informação aplicando palestra sobre o tema e estimulando cada um a
utilizar os processos de segurança básicos exigidas pela Empresa.
4.1. Objetivo Geral
Possibilitar que a informação gerada na Iveco e é manipulada pelos
colaboradores seja tratada com segurança e que os 3 pilares básicos da segurança
da informação não sejam quebrados.
4.2. Objetivos Específicos
Mostrar aos usuários Iveco a importância da informação e como é importante
assegurá-la.
Conscientizar o usuário da forma correta de agir para que a informação não
sofra danos gerando prejuízos consequentemente.
23
5. CRONOGRAMA
CRONOGRAMA DE IMPLANTAÇÃO DE ESTÁGIO Nº
DATA: 24/09/2009
Itens Atividades
Agosto Setembro Outubro Novembro
1
Definição de Estratégia
2
Aplicação de questionário para análise do nível de conhecimento dos usuários sobre segurança da informação.
3
Apresentar palestra para os usuários definindo a importância da segurança da informação e seus conceitos.
4
Divulgar os conceitos abordados na palestra através da comunicação interna e aplicar novo questionário de satisfação e conhecimento para os usuários.
LEGENDA
TAREFAS
EXECUTADAS
24
6. DESENVOLVIMENTO DAS ATIVIDADES
6.1. Definição de Estratégia
Em reunião feita no dia 30 de Setembro de 2009, tendo como participantes o
IT responsável por Infraestrutura e Segurança da Informação Luis Gustavo
Terozendi e Abreu e o estagiário Felipe Barbosa Abreu, foi definido que o trabalho
de conscientização terá início, no setor da Logística da Fábrica e após o
desenvolvimento deste trabalho no setor, estender para toda a Fábrica de acordo
com a necessidade de cada um.
Na mesma reunião foi definido que o programa de conscientização será
desenvolvido em 3 passos sendo um conseqüente do outro, o primeiro passo é a
aplicação de um questionário de conhecimento sobre o assunto para os
colaboradores, o segundo a apresentação de uma palestra de conscientização para
os usuários que deverá ser apresentada de acordo com os dados levantados da
primeira atividade, e finalizando o trabalho a aplicação de um questionário de
satisfação e conhecimento dos usuários do setor sobre o tema e sua importância, e
um trabalho em conjunto com a comunicação interna para divulgar os conceitos
abordados na palestra.
6.2. Aplicação de Questionário para análise do nível de conhecimento dos usuários sobre Segurança da Informação
O primeiro passo executado pelo estagiário na Iveco foi a aplicação de um
questionário (Apêndice 1), contendo 7 questões de múltipla escolha com o objetivo
de analisar o nível de conhecimento dos usuários da Logística sobre o tema
Segurança da Informação e construir a palestra para o passo seguinte das
atividades do estágio. As perguntas foram elaboradas pelo estagiário Felipe Barbosa
Abreu.
O questionário foi distribuído para os 44 colaboradores do setor escolhido
para realizar o estágio no dia 9 de Outubro com prazo de coleta para 1 semana, foi
recolhido no dia 16 de Outubro e levantado o percentual de respostas.
Abaixo segue os quadros com os percentuais de cada uma das 7 questões
respondidas pelos usuários durante a atividade.
25
A primeira pergunta consistia em definir o tempo de cada um na empresa, e
como pode ser observado, a maioria dos entrevistados, 52,3%, tem de 1 a 3 anos
de trabalho na Iveco, com estes dados podemos relatar que o grau de rotatividade
do setor em renovar os seus empregados é constante, pois apenas a minoria tem
mais de 5 anos de empresa (Quadro 1).
Quadro 1: Primeira questão do questionário de atividade do estágio
Fonte: O Estagiário.
A segunda questão tinha como base buscar a informação de cargo exercido
na empresa separando os entrevistados como estagiários, prestadores de serviço
(terceiros), e funcionários. No quadro podemos observar que o percentual de
estagiários e prestadores de serviço no setor, juntos são comparados a quantidade
de funcionários Iveco que exercem suas funções, 50,1 %, tendo assim um alto grau
de terceiros que manuseiam informações importantes da Iveco (Quadro 2).
26
Quadro 2: Segunda questão do questionário de atividade do estágio
Fonte: O Estagiário.
A terceira questão do questionário foi elaborada para definir o grau de
conhecimento e consciência dos usuários em relação as informações acessadas,
onde a maioria dos entrevistados tiveram um retorno positivo, 90,9%, porém ainda
foi relatado uma pequena quantidade a ser conscientizada sobre as informações
(Quadro 3).
Quadro 3: Terceira questão do questionário de atividade do estágio
Fonte: O Estagiário.
27
O objetivo da quarta questão foi levantar o percentual referente aos acessos e
manuseio da informaçõe geradas na empresa e as responsabilidades do usuário,
onde 86,3% respondeu ter consciência (Quadro 4).
Quadro 4: Quarta questão do questionário de atividade do estágio
Fonte: O Estagiário
Podemos observar que ainda há uma minoria que não tem consciência de
suas responsabilidades em relação a segurança das informações manuseadas.
A quinta questão foi elaborada para definir o conhecimentos dos usuários
entrevistados sobre os conceitos que abordam a segurança da informação, onde foi
notado que a maioria dos usuários entrevistados sabem de alguma forma algum
conceito de segurança da informação, tendo com aspecto negativo, um alto nível de
entrevistados que responderam não saber o significado, 25%, este lado negativo
mostra que a empresa não da treinamento e informação adequada aos seus
usuários sobre a segurança da informação. (Quadro 5).
28
Quadro 5: Quinta questão do questionário de atividade do estágio
Fonte: O Estagiário
A sexta questão do questionário foi elaborada como consequente da quinta
questão, buscando o conhecimento dos entrevistados sobre os conceitos de política
de segunça, neste percentual fica claro que apesar da maioria saber o significado de
Segurança da Informação, este aspecto cai quando falamos em Políticas de
Segurança da Informação(Quadro 6).
Quadro 6: Sexta questão do questionário de atividade do estágio
Fonte: O Estagiário
Finalizando o primeiro passo do estágio para a conscientização dos usuários
foi aplicado uma última questão que buscava o conhecimento do setor em relação
29
aos conceitos de Engenharia Social, onde o resultado levantado foi negativo, 68%,
e mostrou que a maioria não tem conhecimento sobre essa estratégia quanto a
segurança da informação e seus efeitos (Quadro 7).
Quadro 7: Sétima questão do questionário de atividade do estágio
Fonte: O Estagiário
Após o levantamento do percentual de respostas obtidas pelo estagiário, será
apresentada uma palestra de conscientizacão para os colaboradores do setor com o
objetivo de passar o conhecimento necessário aos mesmos para protegerem as
informações na maneira correta, na palestra serão abordados conceitos de
segurança da informação, responsabilidades dos usuários e engenharia social.
6.3. Apresentar palestra para os usuários definindo a importância da segurança da informação e seus conceitos
No dia 23 de outubro de 2009 às 14:00 hs foi apresentada um palestra de
conscientizacão (Apêndice 2), tendo como ouvintes 20 colaboradores da logística,
setor que foi definido para a aplicação do trabalho. A palestra foi realizada no
auditório Iveco Latin América Sete Lagoas e teve como palestrante o estagiário
Felipe Barbosa Abreu sendo supervisionado pelo IT de Segurança da Informação e
Infraestrutura Luis Gustavo Terozendi e Abreu. A palestra abordou os conceitos de
segurança da informação e responsabilidades do usuário para tal questão. A
apresentação teve início com a evolução dos sistemas, contando a história desde a
30
década de 60/70, quando as informações era centralizadas e as redes privadas,
passando pela década de 80, quando ocorre a evolução da capacidade de
processamento e armazenamento dos computadores, e quando surgem as redes de
computadores. Tendo sequência, mencionando-se a década de 90, com o aumento
do uso das redes locais, a internet e as aplicações colaborativas. Após ser
apresentado os conceitos de evolução dos sistemas de informação, o enfoque da
palestra foi voltado para a Empresa, a Tecnologia e a Informação, mostrando a
evolução da tecnologia e como as pequenas e grandes empresas passavam a
necessitar destas tecnologias e simultaneamente como a informação tornava-se
uma ferramenta fundamental para os negócios da empresa. Dando continuidade,
reforçando a importância da informação para a empresa, independente da forma de
armazenamento e processamento e quão importante é a sua proteção, com o tema
voltado para a proteção, o assunto abordado foi a segurança da informação e seus
conceitos, sendo o mais simples e prático possível sem entrar em termos técnicos,
passando para os usuários, definindo o que é e para que serve a segurança da
informação. Após os conceitos de segurança, o tema abordado foi o usuário e suas
responsabilidades com o manuseio da informação, como é importante para cada um
saber os valores, as políticas de segurança e os códigos de ética da empresa e
como a participação deles é importante para que não acarrete em um proteção
inadequada. Ainda em relação aos usuários e suas responsabilidades foi falado os
aspectos que contribuem para a proteção inadequada, as vulnerabilidades humanas,
como a ambição, paixão, entusiasmo, medo, e o que estas vulnerabilidades são
exploradas pela Engenharia Social, explicando que a Engenharia Social é uma
prática utilizada para a obtenção da informação das empresas, por meio de
persuasão e exploração dos usuários, e que a falta de treinamento dos usuários em
relação as normas, políticas e códigos de ética da empresa influenciam na prática da
Engenharia Social. Ainda foi explicado as técnicas usadas na Engenharia Social
para a obtenção das informações. A palestra foi finalizada dando um enfoque maior
nos usuários, como é importante o treinamentos, a conscientização e a divulgação
interna das políticas e processos voltados para a segurança da informação. A
apresentação teve um tempo de 25 minutos sendo aberto mais 5 minutos para
dúvidas e esclarecimentos de algum termo não entendido no decorrer da
apresentação. Após este tempo foi distribuído um questionário de satisfação aos 20
colaboradores no qual foi respondido no mesmo instante.
31
6.4. Divulgar os conceitos abordados na palestra através da comunicação
interna e aplicar novo questionário de satisfação e conhecimento para os usuários
Após a apresentação da palestra que abordou os conceitos de segurança da
informação, responsabilidades dos usuários e engenharia social, cada palestrante
respondeu um questionário de satisfação (Apêndice 3), contendo 6 perguntas com a
finalidade de medir o grau de satisfação de cada um sobre os temas abordados pelo
palestrante e se foi garantido o retorno esperado pelo estagiário. Abaixo segue os
quadros com os percentuais das respostas obtidas.
A primeira questão foi definida pelo estagiário com a intenção de medir a
clareza e transparência durante a palestra e os temas abordados, pode ser
observado que o grau de satisfação dos ouvintes foi positivo para 80% (Quadro 8).
Quadro 8: Primeira questão do questionário de satisfação de atividade de estágio
Fonte: O Estagiário
A segunda questão teve como objetivo definir a visão dos usuários da Iveco
sobre a comunicação interna e os treinamentos aplicados, podemos obsevar que a
maioria teve aspecto negativo, 60% (Quadro 9).
32
Quadro 9: Segunda questão do questionário de satisfação de atividade do estágio
Fonte: O Autor
Na terceira questão do questionário do terceiro passo da atividade foi relatado
o percentual dos usuários que exercem as suas responsabilidades para garantir a
segurança da informação, onde foi observado que a grande maioria, 85%, tem
consciência de como é importante a prática destas responsabilidades (Quadro 10).
Quadro 10: Terceira questão do questionário de satisfação de atividade do estágio
Fonte: O Estagiário
A quarta questão teve como objetivo levantar a opinião sobre os treinamentos
dados durante o processo de admissão na empresa, se deixam claro as normas e
33
políticas da empresa entre outros, no percentual podemos notar que o aspecto dos
entrevistados dos usuários foi negativo, cerca de 65% (Quadro 11).
Quadro11: Quarta questão do questionário de satisfação de atividade do estágio
Fonte: O Estagiário
A quinta questão do questionário foi definida para levantar a opinião dos
colaboradores referente a comunicação interna e os conceitos de segurança da
informação, mais uma vez tivemos um aspecto negativo dos colaboradores, 65%,
podendo ser trabalhado este fator dentro da fábrica (Quadro 12).
Quadro 12: Quinta questão do questionário de satisfação de atividade do estágio
Fonte: O Estagiário
34
Para finalizar o questionário foi aplicado uma última questão sobre a opinião
dos colaboradores que participaram da palestra para a melhor comunicação entre a
Iveco e seus colaboradores, onde 60% dos entrevistados responderam e opinaram
(Quadro 13).
Quadro 13: Sexta questão do questionário de satisfação de atividade do estágio
Fonte: O Estagiário
Referente as sugestões dadas pelos usuários, as que obtiveram maior
destaque foram a participação da comunicação interna no trabalho de
conscientização dos usuários, disponibilização de normas, procedimentos e políticas
na intarnet e treinamento específico voltado para as responsabilidades do usuário na
empresa e conceitos de segurança de informação durante o processo de admissão.
Em relação a divulgação dos conceitos abordados na intranet, foi apresentado
a equipe da Comunicação Interna o resultado da pesquisa feita com os usuários e
as sugestões divulgadas por eles para a melhoria do relacionamento entre as partes,
foi definido junto com a equipe de T.I. um trabalho em conjunto entre a
Comunicação, a Segurança do Trabalho, responsável pelos treinamentos
admissionais e a equipe de T.I. para a criação de um processo que envolva estes
conceitos abordados durante o trabalho de estágio e buscar sempre a melhoria das
condições internas de trabalho.
35
Foi programado em conjunto com a Comunicação interna a divulgação dos
resultados do trabalho de conscientização através de um tema interativo na intranet,
onde todos os colaboradores da fábrica tem acesso, até os que não estão
diretamentes ligados ao setor administrativo, como o chão de fábrica, pois a
empresa utiliza Totens (Quiosques de Informação), para divulgar os trabalhos
internamente.
36
7. CONSIDERAÇÕES FINAIS
Esse trabalho pretendia conceituar a segurança da informação identificando
os elementos necessários para a conscientização do usuário e determinar como
atingir essa conscientização enfocando o elo humano como destaque.
Através deste objetivo percebemos que a segurança da informação é
composta de um sistema de programas e ações que visam garantir a acessibilidade,
a disponibilidade e a integridade das informações utilizadas pelo usuário.
A necessidade deste processo de segurança se dá devido aos riscos e
ameaças que o sistema de informação pode sofrer, sendo que o fator humano é de
vital importância nesses sistemas, e que o maior problema enfrentado pelos
usuários é justamente o não saber como lidar com riscos e ameaças. O que pode
ser solucionado com o treinamento sobre a segurança da informação.
Sendo assim, é necessário investir na divulgação das medidas básicas de
segurança para proteger o usuário do sistema de informação.
A aplicação deste trabalho foi de extrema importância, pois possibilitou buscar
dos usuários, o conhecimento e o treinamento divulgado pela empresa sobre seus
deveres, políticas e serem seguidas, responsabilidades, normas e procedimentos. O
resultado final teve um aspecto negativo pois revela a falta de conscientização dos
usuários sobre segurança da informação, por outro lado foi gratificante trabalhar este
tema numa empresa expressivamente marcante no mercado e de grande porte, este
monitoramento e a melhoria no processo de treinamento, divulgação de normas,
políticas e procedimentos internos, e também maior participação do setor de
Comunicação Interna, que é um ponto focal para a conscientização, pois as pessoas
são movidas pelo conhecimento, e também pela falta dele, sendo assim a
comunicação e a divulgação de fatores que contribuam para uma segurança
aprimorada deve ser feito corretamente, estes fatores trarão uma melhoria para a
segurança da informação com relação aos seus usuários, pois possibilitará que cada
um saiba agir de forma correta diante com as informações que envolvem a empresa.
37
8. REFERÊNCIA
ATHENIENSE, Alexandre. O monitoramento eletrônico e as relações trabalhistas.
Revista Fonte, n° 7 dezembro de 2007.
CAMPOS, André. Sistema de Segurança da Informação: Controlando os riscos.
Florianópolis: Visual Books, 2007.
DIAS, Claudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro:
Axcel Books do Brasil Editora, 2000.
FERREIRA, Fernando. O elo mais fraco da segurança: o fator humano.
Disponível em:
<http://www.fernandoferreira.com/noticias.asp?autonum=354>
GATES, Bill. Segurança no mundo conectado.
Disponível em:
<http://www.microsft.com/brasil/corpinfo/execmall/2007/02-06secureaccess.mspx>
ROSA, Agnaldo Fernandes. [email protected] Engenharia social – Explorando o elo mais fraco.
Disponível em:
<http://securityone.com.br/artigos/resenha_engenharia_social.pdf>
SÊMOLA, Marcos. Gestão da segurança da informação: visão executiva da
segurança da informação. Rio de Janeiro: Elsevier, 2003. 8ª ed.
SOBRINHO, Erasmo Borja. A chave da segurança está no treinamento. Revista Fonte, n° 7 dezembro de 2007.
VELLOSO, Mário A. L e LOPES, Paulo C. Protegendo os inocentes. Revista Fonte,
n° 7 dezembro de 2007.
38
WADLOW, Thomas A. Segurança de redes: projeto e gerenciamento de redes
seguras. Rio de Janeiro: Campus, 2000.
39
9. ANEXOS
ANEXO 1: Ameaças e objetivos de segurança (Fonte: IT Audit Course do National Audit Office). Ameaça Recurso Confidencialidade Integridade Disponibilidade
Desastres
naturais
Instalação física Durante o desastre, os
controles de acesso físico
podem ser aquecidos e
alguns recursos com
informações confidenciais
podem ser violados com
facilidade.
Serviços não disponíveis e
dados perdidos.
Falhas de
fornecimento
de energia.
Hardware Hardware danificado e
serviços não disponíveis.
Roubo Recursos
portáteis,valiosos.
Os recursos roubados
podem conter informações
confidenciais.
Serviços não disponíveis
podem deixar de funcionar,
danificar ou apagar dados
importantes.
Vírus Micros Dados
corrompidos
Computadores infectados
podem deixar de funcionar,
danificar ou apagar dados
importantes.
Hackers Redes As pesquisas mais recentes sugerem que a maioria das tentativas de acesso
não autorizado é feita por pessoal interno, ao invés de hackers. O motivo mais
comum que leva os hackers a atuarem é o simples fato de conseguirem
acessar informações teoricamente protegidas, mas também podem decidir
modificar ou destruir os dados acessados.
Ameaças
programadas
Qualquer software Códigos não autorizados
podem revelar informações
sensitivas como senhas.
As funções
nesses
programas
podem
manipular
dados.
Os programas podem ser
projetados para destruir
dados ou negar acesso a
usuários autorizados.
Falha de
hardware
Qualquer hardware O equipamento pode ser
descartado ou enviado
para manutenção sem o
cuidado de se apagar
informação confidencial
nele contida.
Dados
corrompidos
pela falha de
hardware.
Serviços não disponíveis.
Falha de
software
Qualquer software Dados
corrompidos
pela falha de
software
Serviços não disponíveis.
40
Erro humano Qualquer sistema Inadvertidamente podem
ser reveladas informações
confidenciais, como por
exemplo, imprimir dados
em impressora com
acesso público.
Entrada de
dados
incorretos.
Acidentalmente dados podem
ser destruídos, sistemas
podem se tornar indisponíveis
por erro de configuração, etc.
41
Anexo 2: Organograma Iveco Latin America
42
43
Anexo 3: Carta de Aceite.
44
Anexo 3: Declaração de Conclusão de Estágio Supervisionado e Pesquisa
45
46
10. APÊNDICE Apêndice 1: Questionário sobre Segurança da Informação.
47
Apêndice 2: Palestra realizada pelo estagiário Felipe Barbosa Abreu.
48
49
50
51
52
53
54
Apêndice 3: Questionário Grau de Satisfação dos Usuários.