segurança sistemas informação
TRANSCRIPT
UNIVERSIDADE ESTADUAL DE MONTES CLAROS
CENTRO DE CIÊNCIAS EXATAS E TECNOLÓGICAS – CCET
CURSO SISTEMAS DE INFORMAÇÃO
DISCIPLINA: PROJETO ORIENTADO PARA CONCLUSÃO DE CURSO II
IMPACTO NA IMPLANTAÇÃO DE
POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO NA NOVO NORDISK
PRODUÇÃO FARMACÊUTICA DO
BRASIL
Autor: Valflávio Bernardes Silva
Professor Orientador: Guilherme Barbosa Vilela
Co-Orientador: Helberth Rocha Amaral
Montes Claros – MG
Junho / 2005
1
UNIVERSIDADE ESTADUAL DE MONTES CLAROS
CENTRO DE CIÊNCIAS EXATAS E TECNOLÓGICAS – CCET
CURSO SISTEMAS DE INFORMAÇÃO
DISCIPLINA: PROJETO ORIENTADO PARA CONCLUSÃO DE CURSO II
IMPACTO NA IMPLANTAÇÃO DE
POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO NA NOVO NORDISK
PRODUÇÃO FARMACÊUTICA DO
BRASIL
PROJETO ELABORADO PARA CONCLUSÃO DE CURSO
SUBMETIDA A UNIVERSIDADE ESTADUAL DE MONTES
CLAROS PARA OBTENÇÃO DOS CRÉDITOS NA DISCIPLINA
DE PROJETO ORIENTADO PARA CONCLUSÃO DE CURSO II
Valflávio Bernardes Silva
Montes Claros – MG
Junho / 2005
i
ii
Índice
CAPÍTULO I .....................................................................................................................1 1. INTRODUÇÃO .........................................................................................................1
1.1. OBJETIVOS ......................................................................................................2 1.1.1. Geral: .............................................................................................................2 1.1.2. Específicos: ....................................................................................................3
2. A informação através dos tempos ...............................................................................4 2.1. O valor da informação ............................................................................................6 2.2. A segurança da Informação ....................................................................................6 2.3. Vulnerabilidades ..................................................................................................11 2.4. Política de Segurança da Informação ....................................................................14 CAPÍTULO III ................................................................................................................15 3. PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA EM TI NA NNPFB..15
3.1. O que é um programa de conscientização de segurança?...................................15 3.2. Objetivo de um programa de conscientização de segurança de TI .....................15 3.3. Benefícios de um programa de conscientização de segurança ...........................16 3.4. Metodologia do programa de conscientização...................................................17 3.5. DEFINIÇÃO DO ESCOPO..............................................................................18 3.5.1. Informações gerais........................................................................................18 3.5.2. Avaliação das necessidades de conscientização.............................................20 3.5.3. Identificação das Prioridades ........................................................................21 3.6. Desenho do Projeto...........................................................................................24 3.6.1. Definindo objetivos para a Campanha...........................................................25 3.6.2. ABORDAGEM DA CAMPANHA...............................................................25
3.6.2.1. MENSAGEM .......................................................................................26 3.6.2.2. MATERIAIS ........................................................................................27
3.7. Construção .......................................................................................................27 3.7.1. Recursos necessários e seus benefícios .........................................................27 3.7.2. Estabelecendo uma linha de base ..................................................................29 3.7.3. Aprovação do orçamento ..............................................................................29 3.7.4. Definindo fatores de sucesso da campanha....................................................30 3.7.5. Materiais produzidos ....................................................................................30 3.8. EXECUÇÃO DA CAMPANHA 1....................................................................31 3.9. AVALIAÇÃO DA CAMPANHA ....................................................................32 3.10. CONTINUIDADE DO PROGRAMA ..........................................................36
CAPÍTULO IV ................................................................................................................37 CONCLUSÃO.................................................................................................................37 REFERÊNCIAS BIBLIOGRÁFICAS..............................................................................39 ANEXO I......................................................................................................................... vi ANEXO II ...................................................................................................................... vii ANEXO III ........................................................................................................................x ANEXO IV...................................................................................................................... xi ANEXO V ..................................................................................................................... xiii ANEXO VI.....................................................................................................................xiv
iii
LISTA DE TABELAS
Tabela 3.1– Benefícios de um programa de conscientização.............................................17 Tabela 3.2 – Fases de Programa de Conscientização de Segurança em TI.........................17 Tabela 3.3 – Tabela de avaliação do nível de conhecimento sobre segurança em TI .........20 Tabela 3.4 – Estimativas de custos para a campanha ........................................................28
iv
LISTA DE FIGURAS
Figura 2.2-1 – Escrita em tablete de argila..........................................................................6 Figura 2.3-1 – Diversidade panorâmica das vulnerabilidades ...........................................13 Figura 2.3-2 – Visão Corporativa Integrada Desejada.......................................................14 Figura 3.1 – Número de incidentes de vírus no ano de 2004 na Novo Nordisk..................22 Figura 3.2 Pico de tráfego de saída para Internet de 2 Mbps (média de 30 min)...............22 Figura 3.3 – Comitê de organização da Campanha ...........................................................24 Figura 3.4 – Atividades detalhadas da campanha..............................................................29 Figura 3.5 – Incidentes de vírus antes da Campanha 1......................................................32 Figura 3.6 – Incidentes de vírus depois da Campanha 1....................................................33 Figura 3.7 – Pico de tráfego de saída semanal para Internet de 2 Mbps (média de 30 min)
.................................................................................................................................34 Figura 3.8 – Pico de tráfego de saída semanal para Internet de 700 Kbps ........................34 Figura 3.9 – Pico de tráfego de saída diário para Internet de 2 Mbps (média 30 min)........35 Figura 3.10 – Pico de tráfego de saída diário para Internet de 800 Kbps ...........................35 Figura 3.11 – Resultado do questionário de avaliação do treinamento ..............................36
v
LISTA DE ABREVIAÇÕES
DDOS – DISTRIBUTED DENIAL OF SERVICE
GISP - GLOBAL IT STANDARDISATION PROGRAM
GTC – GLOBAL TECHNOLOGY COMMITTEE
HC PRISM – SISTEMA DE PLANEJAMENTO E CONTROLE DE PRODUÇÃO
HC LIMS – SISTEMA DE GESTÃO DO CONTROLE DE QUALIDADE
MRTG (MULTI ROUTER TRAFFIC GRAPHER) – FERRAMENTA GRÁFICA DE
MEDIÇÃO DE TRÁFEGO DE ROTEADOR
NN – NOVO NORDISK
NNIT – NOVO NORDISK INFORMATION TECHNOLOGY
NNPFB – NOVO NORDISK PRODUÇÃO FARMACÊUTICA DO BRASIL
ROI – RETURN ON INVESTIMENT
SAP – SISTEMA DE GESTÃO ADMINISTRATIVO E FINANCEIRA
TI – TECNOLOGIA DA INFORMAÇÃO
1
CAPÍTULO I
1. INTRODUÇÃO
Com o avanço da tecnologia e o custo cada vez menor do acesso a Internet, é
realidade dizer que existem mais usuários conectados a rede, e por esse motivo é maior a
exposição das organizações, tornando necessário que seja investido em tecnologias como
equipamentos que garantam a segurança dos negócios, porém mesmo com esses
equipamentos ainda não se pode garantir a eficácia da segurança da informação.
Muitas organizações não tomam medidas, básicas e mínimas, de segurança para
enfrentar tais riscos. Deixando de atualizar seus sistemas operacionais com as correções
disponibilizadas pelos fornecedores, deixando sem atualização seus programas anti-vírus e,
mostrando irresponsabilidade na navegação pela Internet sem o uso de um firewall
corretamente atualizado e configurado e não mantendo procedimentos claros e bem
definidos de backups, tornam-se alvos fáceis a ataques das mais variadas naturezas e de
suas terríveis conseqüências.
Aos usuários corporativos e não corporativos, além destes erros, podemos
acrescentar a forma descuidada no trato de mensagens de correio recebidas, tornando-se
alvos fáceis para ataques diversos, especialmente no âmbito das fraudes eletrônicas.
Dentro desse contexto, dizer que este trabalho não é sobre Segurança da
Informação soa contraditório, mas é exatamente isso. A nossa proposta é ajudar na
discussão e compreensão do Processo de Segurança da Informação, contribuindo para o
seu aprimoramento. WADLOW (2000), compara a busca pelo estado de saúde perfeita à
busca pelo estado de segurança perfeita da seguinte forma:
“Livros de exercícios, dietas ou terapias não são livros sobre
”saúde”, mas sobre processos que alguém poderá seguir em
busca de ”saúde”. A ”saúde” é um tipo de estado ideal que nunca
se consegue alcançar de maneira completa. Em vez de ser uma
condição que possa ser realizada, a ”saúde” constitui um termo
de comparação. Alguém poderá ser adequadamente saudável ou
maravilhosamente saudável ou mais saudável do que eu, mas
2
nunca alcançará o estado de ”saúde” perfeita. Também nunca se
alcança um estado de ”segurança” perfeita.” (WADLOW,
2000:1)
Sempre houve a preocupação em adquirir novos equipamentos de segurança,
mas não se imaginava que o ser humano é um sistema de informação e que pode
transportar essas informações. Devido às falhas humanas, torna-se necessária a
implementação de uma política de segurança nas organizações, começando da alta direção.
Como criar, implementar essa política e colher bons resultados, é o grande problema.
O tema Política de Segurança da Informação apresenta-se para as empresas e,
de maneira geral a todo público interessado, como uma forma de prevenção a invasões de
sistemas, de privacidade e de segurança no acesso e na manipulação de informações.
A política de segurança define o conjunto de normas, métodos e procedimentos
utilizados para a manutenção da segurança da informação, devendo esta ser definida em
documento, cujo conteúdo deverá ser do conhecimento de todos os usuários que fazem uso
da informação.
Podemos representar a implantação de um sistema de segurança da informação
na empresa como a escalada de uma grande montanha, na qual pouco a pouco iremos
subindo e passando os níveis em termos de conceitos, ferramentas e
conhecimento do ambiente tecnológico da empresa.
1.1. OBJETIVOS
O objetivo geral e os objetivos específicos, que esclarecerão as intenções e
potenciais deste projeto, são apresentados a seguir.
1.1.1. Geral:
Avaliar o impacto na implantação de políticas de segurança da informação em
uma empresa, mais especificamente a NOVO NORDISK, pois cada empresa por mais que
seja de segmentos iguais possui ambientes diferentes, conseqüentemente riscos particulares
daquele ambiente. Este estudo será focado no comportamento dos usuários do sistema, pois
estudos feitos dizem que a maior vulnerabilidade na segurança de uma empresa é o seu
3
funcionário. A tecnologia é importante, mas de nada adianta se os usuários do sistema não
participarem da segurança.
1.1.2. Específicos:
Para atingir o objetivo geral, pode-se definir os seguintes objetivos específicos:
• Apresentar aspectos do comportamento do usuário antes e depois da
implantação da política de segurança;
• Criar campanhas e treinamentos em segurança de informação para os
usuários;
• Criar uma boa estratégia de divulgação da segurança entre os usuários;
• Avaliar a partir dos resultados obtidos, a metodologia e as ações
implementadas no processo de implantação da segurança, utilizando questionários de
avaliação preenchidos pelos usuários e softwares específicos de monitoramento;
• Aplicar uma política em conformidade com leis, regulamentações e normas
como a ISO 17799, COBIT e COSO;
• Estabelecer um plano de continuidade.
Este trabalho está estruturado da seguinte maneira: o Capítulo II apresenta o
referencial teórico com toda a fundamentação dos conceitos básicos de segurança da
informação, buscando justificar o por quê da preocupação com a segurança da informação
e o que pode ser feito para a busca da segurança “ideal”. Em seguida no Capítulo III está a
metodologia utilizada para se implantar o programa de conscientização de segurança em TI
na NNPFB, apresentando também os resultados colhidos com a campanha para que possa
verificar se a campanha atingiu os fatores de sucesso determinados na fase de construção.
Finalizando, é apresentado no capítulo IV considerações finais realçando a importância de
um programa de conscientização para fortalecer o elo mais fraco da corrente da segurança:
o fator humano.
4
CAPÍTULO II
REFERENCIAL TEÓRICO
2. A informação através dos tempos
Num processo crescente, o homem desenvolveu a pré-escrita (modelagem),
criou a xilografia (árabes), o papel, os caracteres móveis para impressão manual e a
impressão mecânica. Assim, os escritos puderam atravessar distâncias geográficas e
cronológicas, foram levados de um lado a outro do planeta e, ao transmitir conhecimentos
entre pessoas de sua época, contribuíram para o registro da história humana.
“O jornal, conhecido inicialmente como folhetim, surgiu como
veículo de transmissão de informações diárias. Ele era
inicialmente lido em voz alta por um letrado. Até hoje tem a
responsabilidade de levar a última notícia, mantendo atualizada a
sociedade. No século dezenove, o jornal brasileiro era constituído
basicamente de textos. Mesmo os anúncios publicitários
utilizavam-se mais de estruturas textuais verbais, apostando
largamente no poder argumentativo das palavras. No século vinte,
os anúncios publicitários passaram a valer-se cada vez menos de
textos verbais e cada vez mais de signos não verbais, símbolos e
imagens que possibilitem uma outra forma de leitura”.
(NEITZEL, 2001:17)
A impressão foi, durante muito tempo, a principal tecnologia intelectual de
armazenamento e disseminação das idéias, mas, ainda não satisfeito, o homem continuou a
sonhar com outras formas de comunicação que o aproximassem mais facilmente de outras
culturas e divulgassem o saber produzido com maior rapidez e amplitude. A partir do
século XIX, principalmente em decorrência do crescente domínio do uso da eletricidade, as
experimentações tecnológicas voltadas para a mediação dos processos de comunicação
5
humana revolucionaram os sistemas de transmissão de saber e das relações humanas,
rompendo violentamente – em termos históricos – com os paradigmas espaço-tempo até
então vigentes (MCLUHAN, 1995). A digitalização do alfabeto no Código Morse1 (1837)
e o telégrafo lançavam a capacidade humana de expressão verbal para espaços muito além
do presencial em um lapso de tempo incomparável em relação às tecnologias anteriores.
Um outro marco na história das comunicações estabeleceu-se com a invenção
do rádio. Mas uma das maiores revoluções veio na década de 70, a televisão. A partir de
então, não só a palavra em forma de som poderia viajar pelo espaço, também a imagem em
movimento. A informação, além de ser falada, pôde ser lida, vista, interpretada pelo
receptor.
Com a evolução dos meios de comunicação, no final do século XX, ocorre o
agrupamento de todas as tecnologias anteriores. Surge uma tecnologia mais eficaz, que
oferece todas as possibilidades já exploradas na imprensa, no rádio, na televisão, operando
uma ultrapassagem: a possibilidade de interação e a velocidade com que tudo ocorre. O
indivíduo não fica somente no papel de receptor passivo, há a possibilidade de escolha, há
decisões a serem tomadas. O volume de informações emitidas é maior, bem como a
rapidez com que chegam aos lares, oportunizando-se situações que as tecnologias
anteriores não possibilitavam, como ler o jornal de qualquer parte do mundo, assistir a uma
entrevista, participar de conferências, ouvir músicas das mais longínquas regiões do
planeta, trocar correspondências, ler, discutir, conversar, tudo em um único aparelho, uma
“máquina comunicacional” chamada computador. Máquina que pode estar conectada a
milhares de outras, formando uma complexa rede. Essa rede é conhecida nos dias atuais
como “Internet”.
“A Internet é uma extensa rede de computadores interligados, mas
independentes. Em menos de duas décadas, transformou-se em
uma rede altamente especializada de comunicações...” (HEIDE;
STILBORNE, 2000)
1 Conjunto de convenções que rege o tratamento e, especialmente, a formatação de dados num sistema de comunicação
6
2.1. O valor da informação
A informação é tida no mundo atual como o principal ativo de uma
organização. É através da informação que uma organização irá buscar maximizar o retorno
dos investimentos e as oportunidades de negócio, analisar o mercado e poder se antecipar
aos seus concorrentes.
A definição da Informação pode ser analisada, como uma fonte de poder, pois
no mundo moderno quem possui a informação, possui esse poder.
“Na medida em que os diversos mercados mundiais se aproximam
com extrema rapidez, o significado da expressão “Informação é
Poder” tem adquirido novas dimensões no ambiente econômico”.
(Loss Control, 2001)
Sendo então este ativo de grande valia, nos deparamos com um grande
problema: manter este ativo seguro.
2.2. A segurança da Informação
A preocupação com a segurança da informação sempre existiu na humanidade.
Estudos mostraram que alguns monumentos construídos por Khnumhote, arquiteto do
faraó Amenemhet II foram documentados e tiveram trechos dessas documentações
“codificados” através da substituição de palavras ou trechos do texto escrito em tabletes de
argila. Caso esse tablete fosse roubado, o ladrão não encontraria o caminho que o levaria
ao tesouro – morreria de fome, perdido nas catacumbas da pirâmide. (Kahn, 1967)
Figura 2.2-1 – Escrita em tablete de argila
7
Diversos algoritmos de compactação foram desenvolvidos desde a Segunda
guerra mundial devido à necessidade de comunicação entre as tropas. Durante a guerra, a
utilidade da compactação não era apenas a de diminuir a quantidade de informação que era
passada através dos rádios, mas também a de ‘esconder’ de alguma forma o conteúdo da
informação para que esta não pudesse ser lida pelo inimigo. Isto é possível, pois um
algoritmo de compactação nada mais é do que um codificador e um decodificador que é
aplicado a um conjunto de dados.
Já nos tempos dos mainframes, as empresas tinham não somente uma
preocupação com o sigilo das informações como também com o próprio equipamento
devido ao seu grande custo. Estes equipamentos ficavam em salas isoladas com baixa
temperatura e pouquíssimas pessoas tinham acesso. Além da preocupação com o ambiente
físico, as empresas também buscavam se assegurar que, em caso de danos das informações
por acidentes ou defeitos nos equipamentos, elas tivessem como recuperar as informações
perdidas. Elas realizavam então cópias das informações (Backup) como medida de
segurança.
A finalidade do Backup é permitir a pronta recuperação de dados
em caso de perdas acidentais ou intencionais e, desse modo, é
necessário que toda informação fundamental ao funcionamento da
organização tenha a sua cópia de segurança, guardada em local
adequadamente protegido. (Loss Control, 2001).
A popularização da Internet aumentou ainda mais os riscos à segurança da
informação que uma empresa está sujeita. A Internet é mais uma ferramenta que as
empresas utilizam para que possam expandir os seus negócios, mas ela também traz muitos
problemas à segurança da informação, como por exemplo, a contaminação por vírus de
computador.
“Um vírus biológico costuma introduzir-se num organismo,
apossando-se das células e obrigando-as a reproduzir milhares de
cópias do vírus original. O vírus do computador, imitando o da
natureza, atua de maneira semelhante: trata-se de um pequeno
programa (conjunto de instruções) cujo objetivo, além de instalar-
se, é reproduzir-se e dominar o organismo que o aloja.” (Caruso, Steffen, 1991:92)
8
Os vírus de computador se espalham rapidamente pelas máquinas de uma
empresa através de sua rede. Podemos constatar que a Internet se não for estabelecida uma
política de segurança, poder trazer também desvantagens a uma empresa.
De acordo a 6ª Pesquisa Nacional sobre segurança da informação:
“Os vírus (75%) permanecem como a maior ameaça à segurança
da informação nas empresas. Apesar de 93% das corporações
afirmarem já adotar sistemas de prevenção contra vírus, 48%
sofreram contaminação nos últimos seis meses e apenas 11% das
empresas entrevistadas declaram nunca ter sido infectadas.”
(Modulo, 2000)
Segundo um estudo realizado pela Universidade do Texas, apenas 6% das
empresas que sofrem um desastre informático sobrevivem. Os demais 94% desaparecem,
mais cedo ou mais tarde. Pesquisas do Gartner Group, ainda que mais moderadas,
confirmam essa tendência ao indicar que duas de cada cinco empresas que enfrentam
ataques ou danos em seus sistemas deixam de existir. (MUNDOENLINEA, 2005)
As organizações investem em tecnologia, na maioria das vezes buscando
emparelhar com a tecnologia da concorrência, mas atualmente nossa realidade espelha
segurança, para a tomada de decisão das organizações o que implica em sua sobrevivência
e na minimização de riscos, como podemos observar abaixo:
“Há algum tempo, era comum o departamento de TI2 usar como
argumento para justificar o investimento em tecnologia a
necessidade de acompanhar o ritmo da concorrência. Hoje a
tarefa é ainda mais árdua. A taxa de retorno dos investimentos
(ROI3) passou a ser a métrica para executivos e empresários nos
processos de tomada de decisões. Baseando-se em variáveis de
redução de custos, prejuízos, viabilidade de aplicações e
projeções, a ferramenta é apontada como o caminho mais
indicado no momento de decidir por um investimento,
principalmente os de grande soma”. (Haical, 2001)
No setor bancário a maior preocupação até alguns anos atrás era proteger os
grandes volumes de dinheiro que ficavam guardados nos cofres das agências. Com o
avanço da tecnologia, a preocupação maior de segurança no setor bancário passou a ser a
2 Tecnologia da Informação 3 Return on investiment (Retorno sobre investimento)
9
segurança da informação. O aumento do uso dos meios eletrônicos para as transações
financeiras contribuiu para reduzir, de forma substancial, o capital em circulação nos
bancos. E hoje, embora a segurança física ainda seja importante, o foco de atenção migrou
para o cliente. Garantir aos correntistas e investidores que suas informações e patrimônio
estão muito bem protegidos e que todas as operações são feitas sem perigo é o que está
levando as instituições financeiras a remodelar a área de segurança e a instituir políticas
específicas. (SECURITY REVIEW, 2005:51)
Tecnologias como firewall4, detector de intrusos, criptografia5 e anti-vírus são
fundamentais para a segurança da informação, mas elas são apenas grandes barreiras a
serem atravessadas pelos chamados hackers6 ou espiões industriais. A tecnologia é um dos
recursos necessários para a segurança da informação, visto que o ser humano é um sistema
de informação e que pode transportar essas informações.
De nada adianta termos a tecnologia a favor da segurança se os usuários dos
sistemas da organização não estiverem conscientes da importância da segurança da
informação e do correto uso destes sistemas.
Técnicas como a “engenharia social”7 já conhecida a vários anos, uma das
principais armas utilizadas na espionagem industrial, vêm reforçar a necessidade de um
plano de treinamento de segurança aos usuários de sistemas.
Um incidente de segurança pode ser definido como qualquer evento adverso,
confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de
redes de computadores.
São exemplos de incidentes de segurança:
• Tentativas de ganhar acesso não autorizado a sistemas ou dados;
• Ataques de negação de serviço (DDoS8);
• Uso ou acesso não autorizado a um sistema;
4 Firewalls são programas especiais que têm por objetivo evitar acessos não autorizados a computadores (Módulo,2002). 5 Criptografia é a técnica de escrever em cifra ou código, composto de técnicas que permitem tornar incompreensível uma mensagem transmitida. Somente o destinatário poderá decifrá-la (Módulo,2002). 6 Hackers são também conhecidos como piratas da Internet, que tem como objetivo invadir os computadores desprotegidos utilizando as mais variadas técnicas para roubar informações (Módulo,2002). 7 Engenharia social – é uma técnica que usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é. Como o resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia. 8 DDoS (Distributed Denial of Service) constitui um ataque de negação de serviço distribuído, ou seja, um conjunto de computadores utilizado para tirar de operação um ou mais serviços ou computadores conectados à Internet.
10
• Modificações em um sistema, sem o conhecimento, instruções ou
consentimento prévio do dono do sistema;
• Desrespeito à política de segurança ou política de uso aceitável de uma
empresa.
É comum em organizações usuários realizarem ações que acarretam incidentes
de segurança como:
• Download de músicas, programas piratas ou arquivos de vídeos (além de
desrespeitar os direitos autorais os sistemas podem se tornarem
indisponíveis devido ao grande tráfego que gera na rede e
conseqüentemente ocupando a “largura de banda”9 existente para
Internet);
• Visitar sites com conteúdos ilícitos, materiais pornográficos ou racistas,
ou conteúdos que não fazem parte das atividades da empresa (sites com
conteúdos como estes costumam enviar para o usuário arquivos
contaminados com vírus);
• Usar ou conectar soluções de e-mail externo como hotmail, bol, gmail, ou
seja os chamados webmail (não tem como garantir que foi realizada, nos
arquivos em anexo no e-mail, uma varredura em busca de vírus por parte
do provedor de e-mail).
São ações como estas realizadas pelos usuários que contribuem para a não
preservação das características da segurança da informação definidas pela norma ISO/IEC
17799:2001.
Segundo a norma ISO/IEC 17799:2001 a segurança da informação é
caracterizada pela preservação de:
a) Confidencialidade: garantia de que a informação é acessível somente por
pessoas autorizadas a terem acesso
b) Integridade: salvaguarda da exatidão e completeza da informação e dos
métodos de processamento;
9 Termo usado em referência às características de resposta em freqüência de um sistema de comunicação
11
c) Disponibilidade: garantia de que os usuários autorizados obtenham acesso à
informação e aos ativos correspondentes sempre que necessário.
Sêmola (2003) acrescenta a estas propriedades mais dois aspectos que
complementariam os elementos na prática da segurança da informação, definindo da
seguinte forma:
Autenticação - processo de identificação e reconhecimento formal da
identidade dos elementos que entram em comunicação ou fazem parte de uma transação
eletrônica que permite o acesso à informação e seus ativos por meio de controles de
identificação desses elementos.
Legalidade – característica das informações que possuem valor legal dentro de
um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas
contratuais pactuadas ou a legislação política institucional, nacional ou internacional
vigentes.
2.3. Vulnerabilidades
Vulnerabilidades são fragilidades ou deficiências presentes ou associadas a
componentes envolvidos nas etapas do ciclo de vida da informação, que são elas:
• Manuseio – Momento em que a informação é criada e manipulada;
• Armazenamento – Quando a informação é armazenada;
• Transporte – Quando a informação é transportada, seja por correio
eletrônico, através de uma rede para ser consultada em uma estação ou por algum tipo de
mídia;
• Descarte – Quando a informação é descartada.
Assim, diariamente são feitos ataques, que basicamente consistem na busca de
vulnerabilidades que, uma vez identificadas, proporcionam ao atacante a oportunidade de
ter seu objetivo alcançado e a empresa a sofrer uma quebra de segurança.
Como visto anteriormente, essas vulnerabilidades podem ter várias origens, de
ordem tecnológica ou não, mas, de uma forma geral, pode-se agir sobre elas para eliminá-
las ou reduzi-las, conforme a equação do negócio a permitir.
12
Por si só, as vulnerabilidades não provocam incidentes, podendo ser
consideradas agentes passivos no processo, precisando de um agente ativo ou condições
favoráveis, que são as ameaças, para que um incidente ocorra.
Sêmola (2003), apresenta uma lista de vulnerabilidades, e as classifica em três
categorias:
Tecnológicas:
• Equipamentos de baixa qualidade
• Criptografia fraca
• Sistema operacional desatualizado
• Configuração imprópria do firewall
• Links não redundantes
• Configuração imprópria do roteador
• Bug nos softwares
• Autorização de acesso lógico inadequado
Físicas:
• Ausência de gerador de energia
• Ausência de normas para senhas
• Ausência de fragmentador de papel
• Mídia de backup mal acondicionada
• Falta de controles físicos de acesso
• Instalação elétrica imprópria
• Cabeamento desestruturado
Humanas:
• Falta de treinamento
• Falta de qualificação
• Ausência de políticas de RH
• Ambiente/clima organizacional ruim
A esse conjunto de vulnerabilidades listadas como exemplos, pode-se
acrescentar ou retirar algumas, ou considerar maior ou menor a sua influência dentro de
13
cada organização, em função do equilíbrio entre o seu negócio, os recursos disponíveis
para segurança e o nível de risco aceitável para a sua operação.
Por exemplo, se o seu ciclo operacional é muito curto, com pouca margem para
atrasos junto aos seus clientes, vale a pena considerar a necessidade de um sistema de
geradores para casos onde ocorram falhas no fornecimento de energia elétrica. Se a
empresa recebe informações sigilosas de seus clientes, uma criptografia fraca poderá ser
um problema muito sério.
Sêmola (2003) representa essa diversidade de vulnerabilidades na Figura 2.3-1:
Figura 2.3-1 – Diversidade panorâmica das vulnerabilidades
14
Ainda segundo Sêmola (2003), em uma Visão Corporativa de Segurança, as
três categorias de vulnerabilidades devem ser associadas e trabalhadas de forma integrada
para se obter um nível adequado de risco a ser administrado, sendo representado por ele
conforme Figura 2.3-2:
Figura 2.3-2 – Visão Corporativa Integrada Desejada
2.4. Política de Segurança da Informação
A política de segurança atribui direitos e responsabilidades às pessoas que
lidam com os recursos computacionais de uma instituição e com as informações neles
armazenados. Ela também define as atribuições de cada um em relação à segurança dos
recursos com os quais trabalham.
Na política deve haver o apoio explícito da alta direção da organização às metas
e princípios da segurança da informação.
Uma política de segurança também deve prever o que pode ou não ser feito na
rede da instituição e o que será considerado inaceitável. Tudo o que descumprir a política
de segurança é considerado um incidente de segurança.
Na política de segurança também são definidas as penalidades às quais estão
sujeitos aqueles que não a cumprirem.
15
CAPÍTULO III
METODOLOGIA
3. PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA EM TI NA NNPFB
3.1. O que é um programa de conscientização de segurança?
Um programa de conscientização de segurança em TI é um conjunto de
atividades e materiais associados, planejados para promover e manter uma situação em
uma organização onde os funcionários tenham um alto nível de consciência sobre
segurança.
A organização é considerada ter um ambiente de segurança positiva quando os
funcionários agem instintivamente e são pró-ativos de um modo que promova boas práticas
de segurança de TI.
Na realidade, este nível é difícil de atingir e sustentar. As organizações podem,
de qualquer modo, se esforçarem para conseguir, tão próximo quanto possível, atingir um
nível aceitável.
Um programa de conscientização de segurança é portanto um processo contínuo
que visa mudar o modo como pessoas pensam e agem.
3.2. Objetivo de um programa de conscientização de segurança de TI
Um bem sucedido programa de conscientização de segurança de TI deve mudar
o modo como o usuário de sistema pensa e age, de forma que a segurança de TI torne-se
parte das atividades de negócios da empresa. O Programa deve endereçar a todas as
pessoas que tenham contato com sistemas computadorizados, porque para construir um
16
nível consistente de segurança em toda as partes de uma organização é necessário não ter
nenhum elo fraco na corrente.
De acordo o guia de conscientização de segurança de TI EUROPEAN
SECURITY o objetivo de um Programa de Conscientização de Segurança de TI é elevar o
nível de consciência dos usuários e fazer com que eles entendam:
• O quê significa segurança da informação para a organização;
• Que as informações guardadas nos computadores são um recurso importante
e valioso;
• Como aplicar as ações de segurança em seu ambiente de trabalho;
• Que eles também são responsáveis pela segurança da informação;
• A política de segurança, padronização dos sistemas e princípios da empresa.
Um programa de conscientização pode variar de organização para organização
ou até mesmo de negócio para negócio. Portanto alguns cuidados devem ser tomados para
atingir o objetivo do programa, assim como:
• Estar alinhado com o negócio da direção e levar em conta os planos futuros
da empresa;
• Reconhecer as ameaças e riscos associados ao negócio e conduta da
empresa;
• Levar em consideração a cultura e trabalhar atividades que são comuns na
empresa;
• Estabelecer políticas, práticas e responsabilidades.
3.3. Benefícios de um programa de conscientização de segurança
Segundo a EUROPEAN SECURITY FORUM (1993), os benefícios de um
programa de conscientização de segurança para a organização vem de assegurar que
incidentes de segurança são reduzidos em número e escala, e conseqüentemente acabam
melhorando as práticas de trabalho. Isto é um argumento importante para gerência
entender, pois todo incidente tem um custo, isto é, existe um custo para se recuperar de um
incidente, e o dinheiro para pagar aquele custo poderá afetar a parte financeira da
organização. Quando um programa de conscientização de segurança é bem trabalhado, a
segurança será uma parte integrada aos produtos e serviços da organização.
17
Tabela 3.1– Benefícios de um programa de conscientização
EXEMPLOS DE BENEFÍCIOS
• Aumento da confiança dos clientes e acionistas na capacidade da organização
em fornecer qualidade de produtos e serviços.
• Garantir a melhor continuidade dos negócios.
• Alta qualidade das informações para tomar decisão e reportar.
• Melhor proteção das informações confidenciais de pessoas não autorizadas,
concorrentes ou ladrões.
• Menor custos à segurança de TI por erros não intencionais.
• Melhoria no astral dos funcionários, pois funcionários gostam de trabalhar para
garantir a segurança e qualidade nas organizações.
• Aderência à legislação da segurança de TI. Exemplo: proteção dos dados
• Diminuição da incidência de vírus.
3.4. Metodologia do programa de conscientização
A metodologia utilizada no programa de segurança da informação na NNPFB
foi baseada no guia de implementação de conscientização da EUROPEAN SECURITY
FORUM (1993). Segundo o guia uma campanha de conscientização deve ter as fases a
seguir:
Tabela 3.2 – Fases de Programa de Conscientização de Segurança em TI
Fonte: EUROPEAN SECURITY FORUM (1993)
FASE DESCRIÇÃO
1 - Escopo Esta Fase permite determinar por onde começar, o quê
melhorar ou a redirecionar o programa de conscientização
de segurança. Começa o processo de construir uma visão
clara do que se deseja alcançar e as mensagens que se
deseja comunicar. No fim da Fase 1 - Escopo, deve-se
identificar uma ou mais campanhas de conscientização de
segurança.
18
2 - Projeto (juntamente
com as Fases 3 e 4)
Esta Fase permite refinar a visão e definir um orçamento
financeiro para que possa apresentar a gerência. Também
assegura que um projeto de alto nível está sendo aplicado e
que a campanha seguirá em direção a encontrar os
objetivos da organização, tendo um quadro claro do que
será desenvolvido durante a Fase.
3 – Construção Quando a Fase 3 - Construção começa, a gerência se
compromete com o tempo e recursos necessários para esta
fase. A Fase 3 – Construção, continua a refinar o trabalho
prévio para produzir planos e materiais detalhados para a
implementação da Fase 4 - Execução. A combinação de um
conjunto claro de objetivos com avaliações de sucesso, terá
alocado responsabilidades e identificadas várias decisões
chave que terão que ser feitas. Como nas Fases prévia, a
Fase 3 – Construção, os resultados devem ser levados para
o comitê de gerência para ganhar seu compromisso e apoio
antes de ir em frente com a campanha de execução.
4 – Execução A Fase 4 – Execução deve abordar tudo sobre colocando
uma campanha em ação. É necessário controlar tempos,
custos, e re-planejar se necessário.
3.5. DEFINIÇÃO DO ESCOPO
3.5.1. Informações gerais
A NN é uma indústria farmacêutica que desenvolve pesquisas e produtos na
área de terapia, como cuidados com o diabetes, hormônio de crescimento, reposição
hormonal e controle de hemorragia. Sendo assim, a empresa possui informações que foram
adquiridas através de anos de pesquisa. Informações como fórmulas de medicamentos,
estratégias de mercado e etc. Essas informações precisam ser protegidas adequadamente
para que seja assegurado o controle contínuo, a integridade, a disponibilidade e a
confidencialidade.
19
A NN possui um procedimento chamado “Padronização e Segurança dos
sistemas computadorizados da Novo Nordisk” que visa garantir a integridade, a
disponibilidade e a confidencialidade das informações de suas plataformas e sistemas
computadorizados. A padronização contempla hardware e software, gerenciamento de
sistemas, computadores de mesa, laptops e servidores usados na rede administrativa. Ela
trata a padronização de manuais operacionais, treinamento dos usuários de TI e contratos
globais de compra de recursos de TI. Dentre os padrões da empresa existem especificações
como:
• Computadores
� DELL®
� IBM®
• IMPRESSORAS
� HP®
• Equipamentos de telecomunicação
� CISCO®
• Sistema operacional
� Windows 2000 Professional
• Aplicativos
� SAP
� HC PRISM
� HC LIMS
O procedimento contempla também um código de conduta em TI (ANEXO II),
cujo objetivo deste código é assegurar que os sistemas de TI da Novo Nordisk sejam
usados com cuidado e para as atividades relacionadas à Novo Nordisk. A empresa permite
o uso particular somente a um grau limitado.
A NNPFB
Presente no Brasil desde o início da década de 1990, a Novo Nordisk
consolidou sua presença no país em 2002, quando comprou o laboratório Biobrás – único
produtor nacional de insulina e líder na América Latina na comercialização de produtos
20
para tratamento do diabetes. Reafirmando o interesse e o comprometimento da empresa
com o país, em novembro de 2003, a Novo Nordisk anunciou a intenção de investir mais
de US$ 200 milhões na construção de uma nova fábrica de insulina em Montes Claros -
MG. (NORDISK, 2005)
Após então a incorporação da Biobrás ao grupo Novo Nordisk, a empresa em
Montes Claros passou a ser chamada como Novo Nordisk Produção Farmacêutica do
Brasil (NNPFB).
3.5.2. Avaliação das necessidades de conscientização
A EUROPEAN SECURITY FORUM (1993) sugere em seu manual que seja
feita uma tabela de avaliação como na Tabela 3.3, para que se possa ter uma visão de qual
o nível de conhecimento que os usuários têm sobre a política de segurança em TI da
empresa.
Tabela 3.3 – Tabela de avaliação do nível de conhecimento sobre segurança em TI
Fonte: EUROPEAN SECURITY FORUM (1993)
21
Através desta tabela é possível identificar quais as pessoas que devem ser
abordadas em uma campanha de conscientização, e quais as mensagens que se deseja
comunicar a estas pessoas.
Como a NNPFB estava há pouco tempo inserida ao grupo NN, havia uma
grande necessidade de que todo o quadro de funcionários que fizesse uso de sistemas fosse
treinado em todo o procedimento de segurança em TI.
3.5.3. Identificação das Prioridades
O objetivo desta atividade é que se possam identificar quais as necessidades de
conscientização em comum nos grupos de funcionários encontradas na avaliação realizada
na fase anterior. Através da identificação das necessidades é possível estabelecer as
prioridades, o número de campanhas ideal e os materiais que serão utilizados nas
campanhas.
Para a definição das prioridades de conscientização, a NNPFB considerou os
incidentes de segurança ocorridos na empresa como variáveis da análise para definição das
prioridades. Dentre esses incidentes de segurança avaliados, podem ser citados o aumento
de ocorrência de vírus e a indisponibilidade temporária de links de acesso aos sistemas
corporativos da NN.
22
Incidência de Vírus
3116
39 33
238
166
303320 323
235
0
50
100
150
200
250
300
350
MAI JUN JUL AGO SET OUT NOV DEZ JAN FEV
Nº
de
In
cid
en
tes
Figura 3.1 – Número de incidentes de vírus no ano de 2004 na Novo Nordisk
Em análise técnica pelo departamento de Informática da NNPFB e NNIT,
constatou-se que esse aumento de vírus e que a indisponibilidade do link estavam
diretamente ligados ao mau uso dos sistemas (acesso a sites de conteúdos não relacionados
às atividades da NN).
Figura 3.2 Pico de tráfego de saída para Internet de 2 Mbps (média de 30 min)
Ferramenta: MRTG (baseada em SNMP)
Verde – Tráfego de entrada em Mbps Verde Escuro – Trágego de entrada máxima em 5 min Azul – Tráfego de saída em Mbps Rosa – Tráfego de saída maxima em 5 min
23
As conseqüências desse mau uso refletem diretamente na segurança e
continuidade dos negócios da empresa, uma vez que interferem na disponibilidade dos
sistemas.
Tomando os fatos descritos como base para a definição do escopo da campanha
de conscientização, concluiu-se que seriam:
ESCOPO: Conscientizar os usuários de computador da NNPFB sobre o correto
uso dos Sistemas de TI a fim de assegurar a integridade, disponibilidade e
confidencialidade das informações através de treinamento contínuo, novos procedimentos
e políticas relativas a Segurança em TI da Novo Nordisk.
APLICAÇÃO: O programa de cosncientização deverá ser aplicado a todos os
usuários de sistemas computacionais da empresa, incluindo terceiros, estagiários e
parceiros.
PRIORIDADES:
Campanha 1 (Treinamento)
• Padronização da infra-estrutura de TI
• Código de Conduta em TI
• Responsabilidades do usuário
• Vírus - Como identificá-lo e eliminá-lo
• Engenharia social
Campanha 2 (Site na Intranet)
• Criação de um espaço designado a assuntos da área de segurança da
informação na Intranet, como dicas de segurança, procedimentos e
sugestões.
• Criação de jogos da segurança (QUIZ)
Campanha 3 (Treinamento)
• Classificação da Informação
• Cuidados com a Informação de acordo com a sua classificação
• Revisão dos Conceitos da Campanha 1
• Comportamento
24
• Garantindo a segurança dos dados pessoais
• Backup
Nesse trabalho somente serão descritas as fases seguintes da Campanha 1.
3.6. Desenho do Projeto
Para a construção do projeto foi criado um comitê envolvendo todos os
gerentes, o superintendente de operações, a equipe de segurança da informação, o setor de
recursos humanos e o setor de comunicação.
Figura 3.3 – Comitê de organização da Campanha
Foram realizadas reuniões para discutir como seria a campanha e definir as
responsabilidades de cada integrante do comitê:
• Gerentes – Responsáveis por apoiar e enfatizar a importância da campanha
para seus funcionários e disponibilizar os recursos necessários.
• Setor de comunicação – Responsável por divulgar a campanha através de
cartazes, artigos de jornais e revistas internas, e confecção de convites e
brindes personalizados para todos os participantes como forma de
motivação pelo treinamento para os participantes do treinamento a ser
realizado pela equipe de segurança.
25
• Equipe de segurança – Responsável pela criação de um treinamento
abordando temas de segurança da informação, como utilizar os sistemas
computadorizados de forma segura e quais as responsabilidades dos
usuários. A campanha deve ser dada continuidade através de outras
atividades a serem desenvolvidas pela equipe de segurança.
• Recurso humano – Orientar a equipe de segurança como abordar os temas
envolvidos no treinamento de forma clara e objetiva.
• Superintendente de operações – Assegurar que a conscientização da
segurança de sistemas computadorizados seja eficazmente mantida e que
todos os funcionários e terceiros com acesso aos sistemas e plataformas da
Novo Nordisk participem de programas de segurança de sistemas
computadorizados.
3.6.1. Definindo objetivos para a Campanha
Essencial para o sucesso de qualquer projeto, a definição dos objetivos e da
justificativa da necessidade do projeto também se faz necessária no desenho do Projeto de
Conscientização em Segurança da Informação. Ter bem claro o ponto onde se quer chegar,
as formas de se mensurar esses objetivos, torna o projeto mais “lógico e racional”.
A Campanha 1 é de grande importância para a NNPFB, visto que ela possibilita
uma discussão e compreensão dos Processos de Segurança da Informação, contribuindo
para o seu aprimoramento e efetividade na empresa. Os usuários deixam de ser agentes
passivos e passam a ser agentes ativos na segurança da informação, não estando mais a
defesa da empresa aos olhos somente da equipe de segurança de TI.
3.6.2. ABORDAGEM DA CAMPANHA
Uma vez definido escopo, aplicação e objetivos da campanha, fez-se necessária
a definição da abordagem da campanha, ou seja, a forma como a campanha deveria ser
executada.
26
3.6.2.1. MENSAGEM
A comunicação de uma campanha de segurança da informação, segundo a
EUROPEAN SECURITY FORUM (2003) pode seguir 2 linhas: baseada na ênfase do bom
comportamento ou na punição do não cumprimento da política.
Segundo Barbulho (1998) você deve colocar suas palavras sempre de forma
positiva, não usar palavras ou frases que tenham conotações negativas.
A linha escolhida pela Novo Nordisk foi a linha da comunicação positivista,
onde enfatiza-se os benefícios ao indivíduo e à empresa quando o comportamento está
adequado à política da empresa.
O passo seguinte foi determinar a condução dessa abordagem, ou seja, através
de que metodologia iríamos transmitir a mensagem.
Segundo a psicóloga Cardoso (2005) o treinamento deveria ser abordado de
uma forma lúdica e efetiva, através da aprendizagem pelo ciclo vivencial que se baseia em:
1- Realizar normalmente uma dinâmica que você tenha que construir algo
como pipas, ou montar um quebra-cabeça ou um jogo em que você tenha
que refletir sobre um tema.
2- Compartilhar sentimentos - verificar com o grupo que tipo de emoções
aconteceram na dinâmica.
3- Fazer uma analogia do que você faz na rotina de trabalho do seu dia-a-dia.
Por exemplo, se for a construção de uma pipa, deve-se levar o grupo a
refletir sobre o que facilitou e o que dificultou o trabalho. Se o que facilitou
foi o trabalho em equipe, deve levá-los a refletir no seu trabalho quando tem
um trabalho em equipe.
4- Traçar um plano de ação – a partir do que foi visto verifica-se o que é fraco
naquele grupo e fazer um plano para modificar o comportamento.
Em síntese o CAV (ciclo de aprendizagem vivencial) é jogar, compartilhar os
sentimentos e processos que ocorreram no jogo, estabelecer relações entre o jogo e a vida
diária, e a partir daí elaborar um plano de ação.
27
3.6.2.2. MATERIAIS
Para as atividades da campanha de segurança foi definida a criação de jogos
que devem estar relacionados ao conteúdo e, fundamentalmente, aos objetivos do
programa, no sentido de possibilitar o desenvolvimento de determinadas habilidades na
área da segurança. Os jogos devem também abordar o conteúdo conforme citado na
Abordagem do Projeto, ou seja, trabalhando o lado positivo. Lembrando sempre que a
intenção não é de reprimir e sim de treinar o comportamento e demonstrar os benefícios
que trará com a mudança do comportamento.
Também foi definida a criação de vídeos que demonstrassem falhas de
segurança humana e ações positivas na segurança que ajudam a detectar as
vulnerabilidades e ameaças a segurança da informação.
3.7. Construção
Antes de se começar a desenvolver a campanha foi realizado uma reunião com
todos os gerentes da NNPFB, onde foi repassada a eles a necessidade de se haver uma
campanha de conscientização dos usuários de TI e a previsão dos custos para campanha. É
importante, para uma campanha como esta, que tenha o apoio dos gerentes, pois os
usuários precisam saber que a empresa leva a sério tal assunto. São os gerentes que podem
cobrar a participação dos seus funcionários e fornecer os recursos necessários.
3.7.1. Recursos necessários e seus benefícios
Custos
Foram levantadas as estimativas de custos de todos os recursos necessários para
a realização da campanha e entregues aos gerentes para obter a aprovação e dar continuidade aos trabalhos.
28
Tabela 3.4 – Estimativas de custos para a campanha
Estimativas de custos Recursos necessários Valor
Confecção de vídeos R$ 500,00 Confecção de banners e cartazes R$ 780,00 Confecção de convites personalizados R$ 1.328,00 Brindes (canetas e chaveiros) R$ 8.400,00 Confecção de mouse-pads (contendo a política de segurança da empresa)
R$ 8.120,00
Total R$ 19.528,00
Benefícios
A informação é a alma de uma organização, é um recurso da organização que
deve ser administrado e protegido. Se as informações não estão disponíveis, estão
incorretas ou é acessada por alguém não autorizado, os negócios podem ser paralisados,
talvez severamente, uma organização pode sofrer aumento de custos, penalidades
contratuais, perda de confiança nos negócios ou outras conseqüências.
Foram apresentados aos gerentes alguns benefícios de uma campanha de
conscientização, como uma forma de justificar os investimentos. Os benefícios
apresentados foram:
• Garantia de uma melhor continuidade dos negócios: os riscos de
rompimento dos negócios no dia-a-dia são reduzidos, informando sobre os
planos de contingência e cópias de segurança das informações.
• Aumento da confiança na organização: se os clientes percebem que os
serviços e produtos da organização são confiáveis, eles serão mais
propensos a visualizar a organização como um parceiro de negócio, e
dispostos a permanecer.
• Alta qualidade das informações processadas: uma alta qualidade das
informações processadas fornece uma base para se tomar as melhores
decisões nos negócios, e resultarão em uma redução de esforços perdidos
para corrigir erros.
• Melhor proteção das informações: informações protegidas são menos
prováveis de cair nas mãos de competidores e de serem usadas
inadequadamente.
29
• Aderência com a legislação de proteção de dados. Por exemplo, as regras de
confidencialidade das informações guardadas.
• Os vírus de computador ficam mais fáceis de evitar: com empregados
alertados, o risco de se executarem jogos de computadores, ou trazer
qualquer outro tipo de software ilegal para a organização é reduzido,
conseqüentemente reduzindo o risco de vírus nos computadores.
3.7.2. Estabelecendo uma linha de base
Foram estabelecidos atividades e os respectivos responsáveis do comitê para
cada uma delas, sendo que cada um destas atividades devia ser cumprido em seus devidos
tempos, ou poderia comprometer o sucesso da campanha.
A Figura 8 foi extraída diretamente do MS-Project e mostra a relação de todas as tarefas e suas respectivas durações, datas e responsáveis.
Figura 3.4 – Atividades detalhadas da campanha
3.7.3. Aprovação do orçamento
Na reunião realizada com os gerentes da empresa onde tiveram conhecimento
das etapas e conteúdos da campanha de segurança, houve como resultado a aceitação da
30
campanha por unanimidade pelos mesmos e deram a autorização para que fosse dada
continuidade ao projeto, liberando também os recursos financeiros necessários.
3.7.4. Definindo fatores de sucesso da campanha
Como uma forma de avaliar o sucesso da campanha e de conseguir obter uma
conclusão deste projeto foram estabelecidos alguns fatores de sucesso:
• O número de incidentes de vírus deve ser reduzido significativamente;
• Os sistemas que fazem uso do link de Internet devem estar disponíveis;
• A avaliação do treinamento pelo usuário deve ser satisfatória.
Foram definidos alguns métodos para que se conseguisse medir os fatores de
sucesso da campanha e chegar a alguma conclusão.
A Novo Nordisk utiliza como forma de proteção a vírus o anti-vírus VirusScan
Enterprise 8.0.0 da McAfee®, tal ferramenta é configurada a enviar um e-mail (Anexo I) a
um grupo específico de usuário da empresa (equipe de segurança) quando um vírus é
detectado em uma estação de trabalho, juntamente com a ação tomada. Através destes e-
mails informando a detecção do vírus é possível medir o número de incidentes de vírus na
organização.
Para a medição de tráfego do link de Internet foi utilizada a ferramenta MRTG,
a mesma utilizada na fase de identificação das prioridades. Os detalhes da ferramenta
encontram-se no Anexo III. Através desta ferramenta será possível realizar uma
comparação do estado anterior a Campanha 1 e posterior a ela.
A análise do treinamento dos usuários na Campanha 1 será feita através da
avaliação (Anexo VI) respondida pelo próprio ao término do treinamento.
3.7.5. Materiais produzidos
Foram confeccionados convites estilizados e personalizados para cada usuário,
com o horário e local do treinamento de cada um.
Os materiais produzidos para a campanha obedeceram as recomendações feitas
na fase de desenho do projeto, tentando trabalhar através da comunicação positivista e
aplicando a aprendizagem pelo ciclo vivencial.
31
Foi criada uma espécie de jogos olímpicos de segurança da informação para
realizar a campanha 1. Os jogos são realizados em equipes e divididos em duas etapas,
sendo elas:
• Questionário – Foi criado um questionário abordando as responsabilidades
dos usuários que fazem uso dos sistemas informatizados. (Anexo IV)
• Quebra-cabeça – Foi criado um quebra-cabeça contendo em sua face
princípios de TI, onde sua essência foi extraída do código de conduta. Cada
princípio é trabalhado buscando inter-ligar um ao outro, sendo que caso haja
negligência em algum você vai contra todos os outros e conseqüentemente
interfere na segurança dos sistemas de informação. (Anexo V)
Em ambas as etapas dos jogos os usuários devem relatar a atividade realizada
relacionada às atividades do seu dia-a-dia.
Também foram criados pequenos vídeos que aborda as técnicas da engenharia
social, para que os usuários possam ver exemplos práticos de ameaças que eles podem
sofrer no seu dia-a-dia .
Outros materiais como mouse-pad contendo o código de conduta em sua face,
brindes, banners e cartazes foram confeccionados para serem distribuídos durante a
campanha 1 como uma forma de apoio e market. (Anexo V)
3.8. EXECUÇÃO DA CAMPANHA 1
A campanha foi realizada conforme determinado na linha de base, ou seja, na 8º
semana do ano de 21 a 25 de fevereiro. A empresa possuía no mês da campanha o número
de 600 usuários de sistemas, sendo assim os treinamentos foram ministrados em dois locais
distintos, onde em cada local era ministrado 3 treinamentos diários com turmas em torno
de 20 usuários. Foi determinado que o treinamento teria uma duração máxima de 2 horas,
para que não se tornasse enfadonho e cansativo.
Cartazes com dicas de segurança foram afixados em todos os quadros de aviso
da fábrica, e colocado em cada estação de trabalho um mouse-pad ergonômico contendo o
código de conduta.
32
3.9. AVALIAÇÃO DA CAMPANHA
A avaliação da campanha foi feita de acordo à mencionada na fase de definição
dos fatores de sucesso da campanha. Sendo eles:
Incidência de vírus – O fato do número de vírus ter aumentado no mês seguinte
a Campanha 1, teoricamente pode ser atribuído ao fato da conscientização dos usuários de
passarem o anti-vírus freqüentemente na sua estação de trabalho e não aumentou mais
devido o usuário estar mais atento quanto ao uso de arquivos externos. Sendo assim
diversos arquivos que estavam infectados, porém sem serem utilizados, foram detectados
na varredura do anti-vírus. Essa teoria tem fundamento se verificarmos que o número de
vírus detectado nos meses seguintes diminuiu em 63,82% e 74,46% respectivamente em
relação mês anterior a Campanha 1.
Incidência de Vírus
3116
39 33
238
166
303320 323
235
0
50
100
150
200
250
300
350
MAI JUN JUL AGO SET OUT NOV DEZ JAN FEV
Nº
de
In
cid
en
tes
Figura 3.5 – Incidentes de vírus antes da Campanha 1
33
Incidência de Vírus
3116
39 33
238
166
303320 323
235 236
8560
0
50
100
150
200
250
300
350
MAI
JUN
JUL
AGOSET
OUTNOV
DEZJA
NFEV
MAR
ABRM
AI
Nº
de
In
cid
en
tes
Figura 3.6 – Incidentes de vírus depois da Campanha 1
Link Internet – Ao fazer uma análise do tráfego do link de Internet através da
ferramenta MRTG (Anexo III) pode-se constatar uma redução de 60 % do tráfego de saída.
Em uma análise mais detalhada pela equipe de informática foi constatado que o grande
tráfego de saída era gerado pelos programas P2P10 e outras formas de downloads. Este
fator também é determinante na redução dos incidentes de vírus, é relativamente grande o
risco de entrada de arquivos contendo vírus através de máquinas externas.
10 P2P ou Peer-to-Peer é uma tecnologia que possibilita a distribuição de ficheiros (arquivos) em rede e que tem como característica permitir o acesso de qualquer usuário dessa rede a um nó, ou a outro usuário (peer) de forma direta, possibilitando a partilha entre os utilizadores (usuários) de: ciclos de processamento das máquinas, banda de rede, espaço de armazenamento entre outros recursos que em outros sistemas acabavam sendo desperdiçados. Basicamente pode-se dizer que cada computador é cliente e servidor ao mesmo tempo.
34
ANTES – TRÁFEGO SEMANAL
Figura 3.7 – Pico de tráfego de saída semanal para Internet de 2 Mbps (média de 30 min)
DEPOIS – TRÁFEGO SEMANAL
Figura 3.8 – Pico de tráfego de saída semanal para Internet de 700 Kbps
(média de 30 min)
Verde – Tráfego de entrada em Mbps Verde Escuro – Trágego de entrada máxima em 5 minutos Azul – Tráfego de saída em Mbps Rosa – Tráfego de saída máxima em 5 minutos
Verde – Tráfego de entrada em Mbps Verde Escuro – Trágego de entrada máxima em 5 minutos Azul – Tráfego de saída em Mbps Rosa – Tráfego de saída máxima em 5 minutos
35
ANTES – TRÁFEGO DIÁRIO
Figura 3.9 – Pico de tráfego de saída diário para Internet de 2 Mbps (média 30 min)
DEPOIS - TRÁFEGO DIÁRIO
Figura 3.10 – Pico de tráfego de saída diário para Internet de 800 Kbps
(média de 30 min)
Avaliação do treinamento (Anexo VI) – Foram preenchidas 161 avaliações do
treinamento, onde tal avaliação foi medida em torno de 4 variáveis:
• Satisfação – Apresentou uma média de 8.71 de aprovação.
• Jogo do quebra-cabeça – Apresentou uma média de 8.73 de aprovação.
• Sensibilidade quanto ao assunto – Apresentou uma média de 9.04 de
aprovação.
• Conteúdo do treinamento – Apresentou uma média de 8.96 de aprovação.
Em todas as variáveis houve uma média de aprovação superior a 8.7, superando
então as expectativas do comitê de segurança. A variável mais importante foi à
Verde – Tráfego de entrada em Mbps Verde Escuro – Trágego de entrada máxima em 5 minutos Azul – Tráfego de saída em Mbps Rosa – Tráfego de saída máxima em 5 minutos
Verde – Tráfego de entrada em Mbps Verde Escuro – Trágego de entrada máxima em 5 minutos Azul – Tráfego de saída em Mbps Rosa – Tráfego de saída máxima em 5 minutos
36
sensibilidade do usuário quanto ao assunto do treinamento. O usuário passa a ser um
agente da segurança, afinal ele sabe que suas atitudes podem influenciar diretamente no
negócio da empresa.
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
SATISFAÇAO JOGO SENSIBILIDADE CONTEÚDO
NOTA 10
NOTA 9
NOTA 8
NOTA 7
NOTA 6
NOTA 5
NOTA 4
Figura 3.11 – Resultado do questionário de avaliação do treinamento
3.10. CONTINUIDADE DO PROGRAMA
Segundo Workshop (2004) algumas empresas argumentam que a maioria dos
treinamentos tem um efeito muito curto. Durante o evento os participantes mostram-se
motivados, querem mudar seu procedimento e tudo parece maravilhoso. Após alguns dias,
os participantes já não se recordam de todo conteúdo. Em 60 dias, menos de 15% ficaram
retidos e muito menos estão sendo aplicados.”
Para que o programa surta os efeitos desejados, é necessária uma constante
reciclagem do conteúdo programático e continuidade dos trabalhos. As Campanhas 2 e 3
citadas na fase de identificação das prioridades é que darão continuidade ao trabalho de
conscientização dos usuários da NNPFB.
37
CAPÍTULO IV
CONCLUSÃO
A Segurança da Informação está tornando-se um fator prioritário na tomada de
decisões e nos investimentos em tecnologia da informação das empresas e organizações em
geral. Isso pode ser notado pelas informações publicadas pela Módulo Security na sua 9ª
Pesquisa Anual da Modulo (2004), que indicam uma forte preocupação em relação a
segurança da informação dentro das organizações.
Parece inevitável que essa busca pela segurança avance para fora dos limites
das organizações, que passarão a obrigar seus parceiros comerciais a se enquadrarem nos
aspectos de segurança da informação, confirmado por Sêmola (2003), quando diz que:
“A preocupação com a segurança da informação transcenderá o
aspecto tecnológico e os limites físicos e lógicos da empresa, indo
buscar - e, posteriormente, cobrar - a mesma sintonia e
conformidade com os demais parceiros da cadeia produtiva”.
Sêmola (2003)
Além disso, não se pode deixar de lembrar, a dependência da informação, cada
vez maior, faz com que incidentes de segurança possam comprometer cada vez mais a
capacidade produtiva das empresas, aumentado a percepção dos riscos pela falta de
cuidados com estes aspectos.
A forma abordada por este trabalho através da metodologia proposta pela
European Security Fórum (2003), obteve um excelente resultado, conforme os resultados
analisados na avaliação da campanha 1. De uma forma indireta, buscando trabalhar o
comportamento dos usuários dos sistemas, visto que uma das maiores falhas de segurança
nas organizações está o fator humano, conseguiu-se resultados ligados diretamente a
segurança. Apesar da empresa NNPFB possuir diversas tecnologias como suporte a
segurança da informação, havia problemas como a disponibilidade dos sistemas, e ao se
trabalhar o comportamento das pessoas esse problema foi praticamente resolvido.
38
De acordo a avaliação da campanha pode-se constatar que uma campanha bem
trabalhada, seguindo todas as etapas necessárias, e o principal, tendo o apoio da
administração da empresa, é possível reduzir os riscos a segurança da informação da
organização.
Mas é importante ressaltar a necessidade de se ter uma continuidade da
campanha ou todo o trabalho pode cair no esquecimento, e as falhas a segurança
retornarem.
39
REFERÊNCIAS BIBLIOGRÁFICAS
BARBULHO, Euclydes. A caminho do sucesso, dezembro 1998.
http://www.gestaoerh.com.br/visitante/artigos/trde_002.php. (31/01/2005).
CARDOSO, Adelaide Vale Pires. <[email protected]>, como abordar a campanha.
Mesagem pessoal. 30/01/2005.
CARUSO, C.A.A.; STEFFEN, F.D. Segurança em Informática e de Informações. 2ª
edição, São Paulo: Editora SENAC, 1999.
GIRLANI, Silvia. Todos a postos. 1º Edição, São Paulo: Editora SECURITY REVIEW,
2005.
HAICAL. As mudanças no cotidiano das empresas e dos gestores, janeiro 2004.
http://www.modulo.com.br/index.jsp. (05/04/2005).
HEIDE, A; STILBORNE, L. Guia do professor para a Internet. Porto Alegre, Editora
Artmed, 2000, Capítulo 1, p 21-41.
INFORMATIO SECURITY FORUM. ISF Report Library. United Kingdom, 1993.
http://www.securityforum.org/html/frameset.htm. (12/12/2004).
KAHN, David. História da criptologia – História antiga, fevereiro 2004.
http://www.numaboa.com.br/criptologia/historia/antiga.php. (16/02/2005)
LOSSCONTROL. A informação e sua importância, outubro 2003.
http://www.losscontrol.com.br/seguranca.htm. (20/02/2005).
MCLUHAN, Marshall. Os Meios de Comunicação como Extensões do Homem. São
Paulo: Editora Cultrix, 1995.
40
MIRANDA, Marcio. Nossos seminários estão em sintonia com o pensamento dos
dirigentes modernos, agosto 2004.
http://www.workshop.com.br/paginas/cursemina.htm. (05/04/2005)
MODULO, Security Solutions, 6ª pesquisa nacional sobre segurança da informação, junho
2000. http://www.modulo.com.br/index.jsp. (02/01/2005).
MODULO, Security Solutions. 9ª pesquisa nacional de segurança da informação, janeiro
2004. http://www.modulo.com.br/pdf/nona_pesquisa_modulo.pdf. (02/01/2005).
MUNDOENLINEA. El 94% de las empresas que pierden sus datos desaparece, março
2005. http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35.
(03/04/2005).
NEITZEL, Luiz Carlos. Evolução dos meios de comunicação. In Dissertação de mestrado,
UFSC: 2001:17.
SEMOLA, M. Gestão da Segurança da Informação - Uma visão executiva. Rio de Janeiro:
Editora Campus, 2003.
WADLOW, T. Segurança de Redes - Projeto e gerenciamento de redes seguras. Rio de
Janeiro: Editora Campus, 2000.
17799, N. I. Tecnologia da informação - Código de prática para a gestão da segurança da
informação. Rio de Janeiro, 2001. (Tech. report, NBR ISO/IEC 17799:2001).
vi
ANEXO I
E-mail de alerta de vírus
vii
ANEXO II
CÓDIGO DE CONDUTA DE TI DA NOVO NORDISK
OBJETIVO
O objetivo deste código é assegurar que os sistemas de TI da NOVO
NORDISK sejam usados com cuidado e para as atividades relacionadas a NOVO
NORDISK.
O uso particular é aceitável somente em grau limitado e não inclui fornecimento
de serviços de nenhuma outra entidade comercial ou atividades não relacionadas a NOVO
NORDISK.
APLICAÇÃO
Este código de conduta se aplica a todos os empregados da NOVO NORDISK
que usam os sistemas de TI dessa empresa, com o qual concordam e cujas normas deverão
observar, incluindo as pessoas que não pertencem ao quadro de funcionários (consultores,
estagiários, etc).
RESTRIÇÕES
Não é permitido o uso dos sistemas de TI da NOVO NORDISK de forma que
venha a:
• Prejudicar o nome da NOVO NORDISK.
• Afetar o acesso aos sistemas de TI da NOVO NORDISK ou
confidencialidade ou integridade dos dados da NOVO NORDISK.
• Usar indevidamente softwares sob proteção de licença ou informações
protegidas por direitos autorais de cópia.
• Causar danos à infra-estrutura de TI da NOVO NORDISK
• Causar inconveniência aos funcionários, colaboradores ou clientes da Novo
Nordisk.
viii
O uso de arquivos de música, vídeo, ou transmissão de rádio ou TV protegidos
por direitos autorais, só é permitido quando ligado as atividades da NOVO NORDISK e
respeitando os direitos autorais.
É vedado visitar sites com conteúdos ilícitos ou censuráveis, distribuir arquivos
de música e vídeo, material pornográfico e racista, jogos de pirâmide, correntes de
mensagens, etc. através dos equipamentos de TI da NOVO NORDISK.
O sistema de e-mail da Novo Nordisk é destinado aos negócios da NOVO
NORDISK, entretanto, o uso privado é permitido em grau limitado.
O uso particular do sistema de e-mail deve ser expressamente indicado no
campo “assunto” da mensagem.
Para minimizar o risco de ataques de vírus, hackers, etc. não é permitido usar
ou conectar a nenhum e-mail externo como Hotmail, IG, etc. através dos sistemas de TI da
NOVO NORDISK.
Correspondências e outros meios de comunicação informatizados da NOVO
NORDISK são considerados, na extensão permitida pela lei, de propriedade da empresa.
Portanto, a NOVO NORDISK pode descartá-los como a qualquer outro tipo de
correspondência enviada da e para a empresa. Qualquer correspondência enviada dos e
para os locais de trabalho da empresa poderá ser transcrita e gerar ações judiciais que
envolvam a NOVO NORDISK.
MONITORAMENTO
A NOVO NORDISK reserva-se no direito de efetuar, na extensão permitida por
lei, contínuo monitoramento para que o uso dos sistemas de TI ocorra adequadamente. A
NOVO NORDISK somente tem acesso à correspondências particulares como parte de um
monitoramento geral das operações.
O monitoramento também possibilitará à NOVO NORDISK identificar
funcionários responsáveis, em caso provado de violação do código de conduta de TI.
ix
VIOLAÇÕES
O uso inadequado dos sistemas de TI da NOVO NORDISK ou violação desse
código poderá resultar em advertência verbal ou escrita e suspensão, dependendo da
intensidade do dano ou, em casos graves, demissão do emprego e/ou rescisão dos contratos
de estágio ou de consultoria.
Aplicável a todos os grupos de funcionários
x
ANEXO III
DETALHES
O MRTG consiste em um script em Perl que usa SNMP para ler os contadores
de tráfego de seus roteadores e um rápido programa em C que loga os dados do tráfego e
cria gráficos representando o tráfego da conexão de rede monitorada. Estes gráficos são
incluídos em páginas web que podem ser visualizadas de qualquer browser.
Somadas a detalhada visão diária o MRTG também cria representações visuais
do tráfego durante os últimos 7 dias, das últimas 4 semanas e dos últimos 12 meses. Isto é
possível porque o MRTG mantém um log de todos os dados que ele conseguiu do roteador.
Este log é automaticamente consolidado, e com isso ele não cresce com o tempo, mas
ainda contém todos os dados relevantes de todo o tráfego dos últimos 2 anos. Isto tudo é
realizado de uma maneira muito eficiente. Então você pode monitorar mais de 200 links de
rede de qualquer estação UNIX decente.
O MRTG não se limita a monitorar somente tráfego, é possível monitorar
qualquer variável SNMP que você escolher. Você pode até usar um programa externo para
pegar os dados que você deve monitorar via MRTG. As pessoas usam o MRTG, para
monitorar coisas como Carga do Sistema, Sessões Logadas, Disponibilidade de Modens e
muito mais. O MRTG ainda permite a você acumular 2 ou mais fontes de dados em um
único gráfico.
Fonte: http://people.ee.ethz.ch/~oetiker/webtools/mrtg/mrtg.html
xi
ANEXO IV
QUESTIONÁRIO DO JOGO DAS RESPONSABILIDADES
1. Qual das responsabilidades abaixo é uma responsabilidade do usuário?
a. Revisar os privilégios de usuários pelo menos uma vez ao ano
b. Aprovar o Código de Conduta
c. Solicitar ao gerente do sistema que reveja os privilégios de acesso dos
usuários
d. Ativar a proteção de tela protegida por senha sempre que deixar o
computador ligado
2. Marque a afirmativa errada
a. O superintendente de operações e os gerentes de negócios do site MOC são
responsáveis pela conscientização nesse procedimento
b. Uma das responsabilidades dos gerentes de MOC é garantir que os
investimentos ou aquisição de hardware e software estejam de acordo com
os padrões GISP/GTC
c. Todas as empresas de prestação de serviço podem acessar os sistemas da
Novo Nordisk tão logo desejarem. Não haverá nenhuma implicação de
segurança porque elas fazem parte da família Novo Nordisk
d. Sistemas de controle de acesso devem proteger os sistemas e plataformas de
acessos não-autorizados
3. Marque V (Verdadeiro) ou F (Falso)
( ) Cópias de backup das informações digitais devem ser feitas regularmente.
Elas devem ser devidamente protegidas como, por exemplo, armazenadas em
um local seguro. A validade (usabilidade) das cópias de backup deve ser
verificada regularmente
( ) Os incidentes de segurança devem ser sempre escalados à Superintendência
de Operações
xii
( ) Os usuários, o proprietário da plataforma e o gerente da plataforma são
responsáveis pela proteção atualizada contra vírus nos computadores
A seqüência correta é:
a. FVF
b. VFV
c. VVV
d. VFF
4. Marque a afirmativa correta
a. A senhas não devem ser compartilhadas. Em casos excepcionais quando ela
deva ser compartilhada, deve ser aprovado pela superintendência que se
torna responsável por esse compartilhamento de senha.
b. As senhas devem ter um tamanho menor que 6 caracteres usando tanto
caracteres alfabéticos quanto numéricos.
c. A conta individual do usuário tem que ser pessoal e consistir de uma única
identificação e de uma senha secreta. A identificação de usuário e sua senha
podem ser reutilizadas.
d. É responsabilidade exclusiva do departamento de informática minimizar o
risco de infecção por códigos maliciosos como worms, backdoors ou
cavalos-de-tróia.
xiii
ANEXO V
JOGO QUEBRA-CABEÇA
MOUSE-PAD, BRINDES E CONVITE PERSONALIZADO
14
ANEXO VI
QUESTIONÁRIO DE AVALIAÇAO DO TREINAMENTO