A SEGURANÇA DA INFORMAÇÃO NA REDE BANCÁRIA NO A Segurança da... · Informação com estudo...
41
5 A SEGURANÇA DA INFORMAÇÃO NA REDE BANCÁRIA NO MUNICÍPIO DE ROLIM DE MOURA / RO 1 . JONATHAN SOUZA DO CARMO 2 RESUMO: A segurança da informação é uma questão que está presente no cotidiano de cada pessoa, principalmente quando direcionado as redes bancárias. Além de primordial, a segurança da informação atua para evitar vazamentos e invasões da informação, ou anda investigar os prejuízos que podem decorrer da falta da mesma. O objetivo do presente artigo foi analisar a participação dos colaboradores quanto à proteção adequada das informações e dos sistemas contra o acesso não autorizado de indivíduos que não sejam os devidos titulares da conta. A pesquisa teve a preocupação de levantar os procedimentos utilizados pelos colaboradores, relacionando os mecanismos, e verificar como os colaboradores protegem e se comportam diante do assunto segurança da informação. A segurança da informação, além de necessária, é essencial para redes bancárias, pois propicia melhor conforto ao cliente, oferecendo garantias para vida do mesmo. Utilizou-se como metodologia para esta pesquisa, o tipo exploratório e descritivo, método dedutivo, e abordagem qualitativa. Como técnicas de coletas de dados foram utilizadas a pesquisa bibliográfica, entrevista semiestruturada e questionário com perguntas abertas e fechadas. A pesquisa foi realizada em 03 bancos no município de Rolim de Moura/RO, totalizando 09 participantes. Diante dos resultados adquiridos nesta pesquisa, a questão que chamou mais atenção, foi o fato de 100% dos pesquisados afirmarem que não existe uma política de segurança praticável e eficaz publicada e comunicada a todos, mas que estão conscientes dos critérios necessários para manter o compromisso perante a empresa e a sociedade no que se refere à segurança da informação. PALAVRAS-CHAVE: Segurança da informação; redes bancárias; procedimentos de segurança. INTRODUÇÃO O crescente uso da tecnologia nas redes bancárias brasileiras deixou de ser artigo de luxo, tornando-se uma questão de sobrevivência no mercado e segurança aos clientes. Com o avanço da tecnologia e o custo cada vez menor do acesso à internet, existem mais usuários conectados à rede, e por esse motivo é maior a exposição das organizações, tornando necessário investimento em tecnologias 1 Artigo apresentado a Universidade Federal de Rondônia, Campus Professor Francisco Gonçalves Quiles como requisito parcial de obtenção de grau de Bacharel em Administração sob a orientação do Prof. Me Adriano Camiloto da Silva. 2 Acadêmico do 8º período do Curso de Administração. E-mail: [email protected]
Transcript of A SEGURANÇA DA INFORMAÇÃO NA REDE BANCÁRIA NO A Segurança da... · Informação com estudo...
5
A SEGURANÇA DA INFORMAÇÃO NA REDE BANCÁRIA NO
MUNICÍPIO DE ROLIM DE MOURA / RO1.
JONATHAN SOUZA DO CARMO2
RESUMO: A segurança da informação é uma questão que está presente no cotidiano de cada pessoa, principalmente quando direcionado as redes bancárias. Além de primordial, a segurança da informação atua para evitar vazamentos e invasões da informação, ou anda investigar os prejuízos que podem decorrer da falta da mesma. O objetivo do presente artigo foi analisar a participação dos colaboradores quanto à proteção adequada das informações e dos sistemas contra o acesso não autorizado de indivíduos que não sejam os devidos titulares da conta. A pesquisa teve a preocupação de levantar os procedimentos utilizados pelos colaboradores, relacionando os mecanismos, e verificar como os colaboradores protegem e se comportam diante do assunto segurança da informação. A segurança da informação, além de necessária, é essencial para redes bancárias, pois propicia melhor conforto ao cliente, oferecendo garantias para vida do mesmo. Utilizou-se como metodologia para esta pesquisa, o tipo exploratório e descritivo, método dedutivo, e abordagem qualitativa. Como técnicas de coletas de dados foram utilizadas a pesquisa bibliográfica, entrevista semiestruturada e questionário com perguntas abertas e fechadas. A pesquisa foi realizada em 03 bancos no município de Rolim de Moura/RO, totalizando 09 participantes. Diante dos resultados adquiridos nesta pesquisa, a questão que chamou mais atenção, foi o fato de 100% dos pesquisados afirmarem que não existe uma política de segurança praticável e eficaz publicada e comunicada a todos, mas que estão conscientes dos critérios necessários para manter o compromisso perante a empresa e a sociedade no que se refere à segurança da informação.
PALAVRAS-CHAVE: Segurança da informação; redes bancárias; procedimentos de segurança.
INTRODUÇÃO
O crescente uso da tecnologia nas redes bancárias brasileiras deixou de ser
artigo de luxo, tornando-se uma questão de sobrevivência no mercado e segurança
aos clientes. Com o avanço da tecnologia e o custo cada vez menor do acesso à
internet, existem mais usuários conectados à rede, e por esse motivo é maior a
exposição das organizações, tornando necessário investimento em tecnologias
1 Artigo apresentado a Universidade Federal de Rondônia, Campus Professor Francisco Gonçalves
Quiles como requisito parcial de obtenção de grau de Bacharel em Administração sob a orientação do Prof. Me Adriano Camiloto da Silva. 2 Acadêmico do 8º período do Curso de Administração. E-mail: [email protected]
6
como equipamentos que garantam a segurança dos negócios. Porém, mesmo com
esses equipamentos ainda não é eficaz a segurança da informação. Com as
invasões de hacker3 e a espionagem industrial se tornou cada vez mais fácil enviar
as informações ou mesmo torná-las indisponível.
Em todas as fases da evolução corporativa, as transações de toda a cadeia
de produção passando por fornecedores, fabricantes, distribuidores e consumidores,
sempre tiverem na informação uma base fundamental de relacionamento e
coexistência. Sejam para troca de mercadorias, segredo estratégico, regras de
mercado, dados operacionais ou simplesmente pesquisas, as informações, aliada à
crescente complexidade do mercado, à forte concorrência e a velocidade imposta
pela modernização das relações corporativas, elevou seu posto na pirâmide
estratégica do executivo, tornando-se fator vital para seu sucesso ou fracasso. É ao
lado destas variáveis de mercado que a tecnologia, por meio de instrumentos e
soluções sofisticadas, preparadas para atender qualquer demanda do mercado, se
transformou na principal mola propulsora desta nova fase da informação dentro das
corporações, sob o nome de Tecnologia da Informação (TI).
Estas são algumas das partes de um cenário que transformou a informação
na principal moeda corrente do mundo corporativo, das transações de automação
bancária ao mercado financeiro, do controle de estoque ao comércio eletrônico. No
entanto, da mesma forma que esta mudança de paradigma apresenta constantes
oportunidades, acaba também por ser tornar um ambiente muitas vezes hostilizado,
altamente visado por ações ilícitas e invariavelmente desprovido de instrumentos
para combater e lidar com estas ocorrências.
Esta pesquisa se delimitou na área de Administração de Sistemas de
Informação com estudo sobre segurança da informação na rede bancária
localizadas no município de Rolim de Moura – Rondônia, com alguns colaboradores,
entre eles, gerentes administrativos e gerais de 03 bancos situados no município.
Sendo a informação um ativo de extrema importância nos negócios, esta
3 Programador com gênio para dominar e alterar programas e equipamentos de computação e
teleprocessamento.
7
deve ser protegida de maneira que não ocorra a possibilidade de acessos não
autorizados, alterações indevidas ou sua indisponibilidade. Segurança da
informação deve ser implantada em todas as áreas da organização, pois, são
encontradas em diversos meios como: impresso ou escrito em papel, armazenado
eletronicamente, enviado pelo correio ou através de meios eletrônicos.
Sêmola (2003) define segurança da informação como uma área do
conhecimento dedicada à proteção da informação contra acessos não autorizados,
alterações indevidas ou sua indisponibilidade. Manter a vantagem competitiva
sustentável é fundamental para os bancos, não só na competição com seus
parceiros, nacionais e internacionais, mas também para se manterem no mercado
financeiro.
A determinação pela velocidade da implantação e dos processos de
integração disponibiliza uma prestação de serviços de qualidade numa permanente
sintonia, baseados em clientes segmentados, podendo servir como diferencial.
Partindo desse pressuposto, os aspectos supramencionados em relação à qualidade
da segurança da informação nas redes bancárias levam ao seguinte
questionamento: como os colaboradores se comportam como agentes integrantes
da segurança da informação?
Estabeleceu-se, desta forma, como objetivo geral da pesquisa, a
preocupação em se analisar a participação dos colaboradores quanto à proteção
adequada das informações e dos sistemas contra acesso, modificação, destruição e
divulgações não autorizadas. O compromisso de todos os funcionários, estagiários,
aprendizes, doravante denominados colaboradores, e dos prestadores de serviços,
no cumprimento das diretrizes, é fundamental para a efetiva implementação da
política de segurança da informação na rede bancária do município de Rolim de
Moura – RO e de qualquer outra rede bancária.
Toda e qualquer iniciativa relacionada à definição de normas ou
procedimentos, bem como contratação de empresas, aquisição de produtos e
serviços inerentes à segurança da informação, é de fundamental importância para a
8
realização dos procedimentos operacionais. Assim, há a efetivação e a
implementação de uma política corporativa que visa atender aos critérios de sigilo
bancário e a guarda de dados pessoais de clientes e usuários das redes.
Os objetivos específicos desta pesquisa resumiram-se em examinar os
procedimentos informados aos colaboradores para a segurança da informação;
assim como relacionar os mecanismos de segurança da informação utilizados pelos
bancos e verificar como os colaboradores protegem e comportam-se perante a
segurança da informação nas organizações em estudo.
A informação é um dos elementos de negócio mais importantes para as
organizações bancárias. Manter a sua confidencialidade, integridade e
disponibilidade é fator crítico para o sucesso de toda empresa. O direcionamento de
um programa efetivo de proteção dos ativos da informação, sendo a base para o
estabelecimento de todos os padrões e procedimentos de segurança são muito
importantes por sua abrangência ser sobre todas as dependências e ambientes da
organização. A partir da existência de mecanismos, podem-se estabelecer os
procedimentos operacionais, as instruções de trabalho junto ao colaborador e os
padrões de segurança, compondo, assim, um vasto campo consistente de
segurança da informação.
A proteção e privacidade de dados dos clientes são de relevante
importância, refletem os valores das redes bancárias e reafirmam o seu
compromisso com a melhoria contínua da eficácia do processo de proteção de
dados, dá-se, uma contribuição no que se refere à exatidão das informações, onde
as mesmas são consignadas de maneira precisa e completa, dotadas de grau de
detalhamento necessário, que reflete a transparência das operações no setor e
aumenta sua competitividade quanto à segurança da informação retratada frente aos
concorrentes.
É de suma importância para o campo acadêmico o conhecimento dessa
ferramenta como sendo parceira inerente para aplicações de projetos e avaliações e
no perfeito entendimento do sistema de informações operando com objetivos pré-
9
definidos, sendo necessário compreender que as informações surgem a partir de
dados organizados e processados, proporcionando valor às atividades e se bem
projetados, permite ainda aos seus usuários gerar conhecimento.
Neste contexto, pressupõe-se que informação representa um diferencial
competitivo de grande importância estratégica para as organizações. Em uma
sociedade na qual as tecnologias da informação são rapidamente difundidas, as
organizações precisam se estruturar para lidar com questões como integridade,
disponibilidade, confidencialidade e valor deste importante ativo.
1 FUNDAMENTAÇÃO TEÓRICA
1.1 INFORMACÃO
A Informação assume uma importância crescente fundamental peça para as
empresas na descoberta e introdução de novas tecnologias, exploração das
oportunidades de investimento e ainda na planificação de toda a atividade industrial.
Compreende qualquer conteúdo que possa ser armazenado ou transferido de algum
modo, servindo a determinado propósito e sendo de utilidade ao ser humano. Trata-
se de tudo aquilo que permite a aquisição de conhecimento, podendo ser
manipulada e visualizada de diversas maneiras e à medida que a informação circula
pelos mais variados ambientes, percorrendo diversos fluxos de trabalho, ela pode
ser armazenada para os mais variados fins, possibilitando ser lida, modificada ou até
mesmo apagada.
Sêmola (2003, p. 45) define informação como:
conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos (isto é, baseados em trocas de mensagens) ou transacionais (isto é, processos em que sejam realizadas operações que envolvam, por exemplo, a transferência de valores monetários).
10
Neste contexto nota-se que a segurança da informação se refere à proteção
existente sobre as informações de uma determinada empresa ou pessoa, isto é,
aplica-se tanto as informações corporativas quanto às pessoais e em virtude disso a
segurança da informação está relacionada com a proteção de um conjunto de
dados, no sentido de preservar o valor que possuem para um indivíduo ou uma
organização.
1.2 SEGURANÇA DA INFORMACÃO
A segurança da informação consiste em garantir que a informação existente
em qualquer formato esteja protegida contra o acesso por pessoas não autorizadas
(confidencialidade), esteja sempre disponível quando necessária (disponibilidade),
confiável (integridade) e autêntica (autenticidade). A internet,4 por exemplo, tornou-
se instrumento indispensável de pesquisa e estudos. Baseada nesta premissa, o
ambiente da internet já faz parte das fontes de informação estudadas por
pesquisadores de todo o mundo, conforme afirma Tomael et al. (2001, p. 3): “[...] a
internet representa uma verdadeira revolução nos métodos de geração,
armazenagem, processamento e transmissão da informação”.
A importância da informação disponibilizada na internet fez com que
houvesse a necessidade de assegurar a sua preservação e integridade, pelo que
sugere o conceito de segurança da informação. Beal (2005, p.71) define a
segurança da informação como “o processo de proteger a informação das ameaças
para garantir a sua integridade, disponibilidade e confidencialidade”. Estes conceitos
são vistos como suporte para a segurança da informação.
Percebe-se que para garantir a segurança das informações deve ser feita
uma análise de risco que identifique todos os riscos que ameacem as informações,
apontando soluções que eliminem, minimizem ou transfiram os riscos. Nota-se
4 Rede Mundial de Computadores. Rede telemática internacional que une computadores particulares,
organizações pesquisa, instituições de cultura, institutos militares, bibliotecas, corporações de todos os tamanhos.
11
também que as ameaças são ações de origem humana, que quando são exploradas
podem gerar vulnerabilidade e produzir ataques, que por sua vez, causam incidentes
que comprometem as informações, provocando perda de confidencialidade,
disponibilidade e integridade e que a informação vem assumindo, cada vez mais,
uma posição estratégica para as organizações, sendo o seu principal patrimônio.
Neste sentido, o controle de acesso às informações é um requisito fundamental nos
sistemas das organizações, visto que a grande maioria da informação de uma
organização está armazenada e é trocada entre os seus mais variados sistemas.
É muito importante que mecanismos de informação sejam projetados para
prevenir acessos não autorizados. Segundo Araújo (2005, p.5) “o fator humano é o
principal desafio para se ter uma boa e segura conduta de segurança da
informação”. Com o aumento das tecnologias e da flexibilidade de acesso a qualquer
tipo de informação, cabe aos indivíduos demonstrar alguma preocupação quanto à
segurança e às ameaças de que passam a ser alvo por parte de alguns indivíduos
mal intencionados.
1.3 A EVOLUÇÃO DA SEGURANÇA DA INFORMAÇÃO
A evolução faz parte do cotidiano e do meio tecnológico e a internet é uma
das evoluções mais importantes. Desde o seu advento, o incentivo a mudança de
paradigmas cresceu e isso possibilitou uma explosão de conectividade e
acessibilidade, onde influenciam consideravelmente a forma como as empresas
gerem seus negócios.
Sêmola (2003) cita que a mudança e o crescimento da TI como os
computadores, tomaram conta dos ambientes de escritório, e quebram o paradigma
e acesso local à informação, chegando a qualquer lugar do mundo através dos cada
vez mais portáteis notebooks e da rede mundial de computadores. Como na internet,
a segurança da informação também evoluiu, saiu do nível puramente técnico e
restrito à área da TI, onde se preocupava em ter um sistema de antivírus e um
12
firewall 5bem configurado, para um nível de gestão, que além de pensar em
tecnologia, precisa investir e desenvolver também os processos e pessoas.
Gabbay (2003, p.14) na sua dissertação, expõe claramente a evolução da
segurança da informação, dizendo que:
os aspectos relativos à implantação de uma eficiente política de segurança de Informação vêm evoluindo significativamente ao longo dos anos. Os procedimentos de segurança da informação têm se alterado bastante desde seus dias inicias, quando a segurança física, junto comum conjunto de back-up, compunha os controles de segurança de informação, sendo que atualmente a segurança de informação é composta de políticas, padrões, programas de conscientização, estratégias de segurança, etc.
A proposta de uma abordagem para as políticas de segurança da
informação centrada nos pontos de vista do usuário deve, necessariamente, evitar
os conceitos de origem majoritariamente positivista que ora dominam este campo e
que lhe dão o caráter essencialmente tecnológico que o caracteriza, ao deixarem em
segundo plano o elemento social. Assim, a adoção de um modelo interpretativo deve
se caracterizar pela desconstrução de boa parte (se não de todos) dos conceitos
atualmente na área da segurança da informação e sua posterior reapresentação
como componentes de um modelo orientado à visão do homem no contexto
informacional em que se insere.
1.4 PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO
A segurança da informação busca reduzir no máximo possível os riscos de
vazamentos de informações, fraudes em arquivos, banco de dados, erros humanos
e operacionais, uso indevido do sistema por falta de treinamento, sabotagens,
paralisações de rede ou serviços, roubo de informações ou qualquer outra ameaça
que possa prejudicar a instituição ou equipamentos da mesma.
A norma da NBR ISO/IEC 17799 (ABNT 2005, p. 09) define segurança da
informação como “a proteção da informação de vários tipos de ameaças para
5 Dispositivo que tem por objetivo aplicar política da segurança a um determinado ponto de rede.
13
garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o
retorno sobre os investimentos e as oportunidades de negócio”. Segundo esta
norma, os princípios da segurança da informação são:
a) confidencialidade: garantia de que a informação é acessível somente por
pessoas autorizadas a terem acesso;
b) integridade: a informação é alterada somente pelas pessoas autorizadas;
c) disponibilidade: garantia de que as pessoas autorizadas obtenham acesso
à informação e aos ativos correspondentes sempre que necessário.
Percebe-se que quando se fala em investir em segurança da informação, se
deve investir então para que as informações permaneçam confidenciais, íntegras e
disponíveis para a pessoa certa na hora certa.
1.5 AMEAÇAS À SEGURANÇA DA INFORMAÇÃO
As vulnerabilidades são deficiências de diversas origens, as quais muitas
vezes, não são identificadas a tempo ou não são devidamente tratadas de modo a
evitar um ataque (NAKAMURA, 2002, p. 29). Partindo desse pressuposto as
vulnerabilidades são entendidas como uma fraqueza que podem ser explorado por
ameaças. Diante dessa afirmação é preciso entender as organizações como
sistemas. Os recursos de que a organização dispõe são elementos desse sistema
que serão processados e transformados em produtos ou serviços.
As ameaças à segurança da informação sempre vão existir, porém as
vulnerabilidades podem ser tratadas. Um fator preocupante em relação às ameaças
está na falta de consciência dos executivos de TI. Desde um faxineiro mal
intencionado com acesso a sala do gerente depois do expediente até um aplicativo
adquirido, o qual não foi devidamente testado, são ameaças que as organizações se
deparam no cotidiano.
Sêmola (2003, p.47) conceitua ameaça como sendo:
14
agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio de exploração de vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, consequentemente, causando impactos aos negócios de uma organização.
Gabbay (2003, p.23) cita que “as ameaças existem tanto no ambiente
externo quanto no ambiente interno, sendo fundamental entendê-las para que seja
possível propor medidas de segurança voltadas a eliminar a causa do problema”.
Com isso um processo de análise de risco efetivo pode ajudar consideravelmente no
conhecimento das vulnerabilidades e ameaças, identificando o nível de risco e com
isso, auxiliar em um plano diretor de segurança.
1.6 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Uma política de segurança é um conjunto de regras e práticas que regulam
como uma organização gerência protege e distribui suas informações e recursos
(ARAUJO, 2005). Na afirmação o autor observa que as políticas de segurança
devem fornecer claramente todas as orientações necessárias para a condução
segura dos negócios da organização. É importante então, que elas sejam
estruturadas de forma a proteger os ativos de informação.
A política de segurança é a formalização de todos os aspectos considerados
relevantes por uma organização para a proteção, controle e monitoramento de seus
recursos computacionais e consequentemente das informações manipuladas. Ela
deve contemplar, de forma genérica, todos os aspectos importantes para a proteção
lógica e física das informações se dos recursos computacionais.
Gabbay (2003, p.41) coloca que a política de segurança da empresa deve
definir itens como:
a) Responsabilidades do uso dos recursos computacionais; b) Preparar o Plano de Continuidade de Negócio; c) Elaborar as normas de uso de e-mail e de uso da Internet; d) Distinguir entre informação pública e privada; e) Gerenciar acesso e contas de usuários; f) Prever o combate a ameaça aos sistemas de informação como fogo,
enchente, etc.,
15
g) Definir a política de privacidade do site da empresa na internet se houver.
Nota-se que cada empresa deve elaborar uma política de segurança
baseada na sua realidade, ou seja, na sua cultura e em seus processos de negócio.
Um exemplo pode ser a política da internet. De nada adianta uma política se a
empresa não utiliza esse recurso.
Para Sêmola (2003, p.34) a política de segurança da informação deve ser
elaborada considerando:
com extrema particularização e detalhamento as características de cada processo de negócio, perímetro e infraestrutura, materializando-a através de diretrizes, normas, procedimentos e instruções que irão oficializar o posicionamento da empresa ao redor do tema e, ainda, apontar as melhores práticas para o manuseio, armazenamento, transporte e descarte de informação na faixa de risco apontada como ideal.
Objetiva garantir a continuidade da empresa quando da ocorrência de algum
incidente de segurança. Este plano é independente da política de segurança, tendo
inclusive uma estrutura de recursos dedicada à gestão do plano, como pessoas e
orçamento, quando necessário.
A norma da NBR ISO/IEC 17799 (ABNT 2005, p.104) coloca que:
convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.
Para Gabbay (2003, p.42) “as estratégias de segurança de informações
críticas repousam primeiramente na conduta apropriada dos funcionários, e de forma
secundária, no uso de soluções tecnológicas”. O autor não abordou o fator
“processos” dentro do contexto da segurança. Entende-se que a gestão da
segurança da informação é baseada no trinômio pessoas, processos e tecnologia
onde somados resultam em ações efetivas para a proteção da informação. Ter
pessoas conscientizadas e orientadas, processos definidos e testados, tecnologias
de proteção como sistemas de detecção de intrusos, firewall, etc., é o cenário
16
pretendido por qualquer gestor de segurança. O autor não comentou a importância
de um comitê de segurança que pode apoiar o gestor de segurança.
Conforme Sêmola (2003, p.97) “é fator crítico de sucesso iniciar a
organização de um grupo, convencionalmente chamado de comitê corporativo de
segurança”. O comitê de segurança heterogêneo, composto por gestores das
diversas áreas como jurídico, recursos humanos, auditoria interna, por exemplo,
pode agregar valor considerável às ações do gestor de segurança. Desde a criação
de políticas e diretrizes até a aprovação e orientação sobre os investimentos na
mitigação dos riscos de TI.
O autor poderia considerar a construção de uma sistemática de análise de
risco, definindo os níveis de risco que a empresa ou o gestor de TI pode aceitar
controlar ou transferir, como um seguro, por exemplo. Além de uma periodicidade
definida, a composição de um comitê de riscos pode ajudar no direcionamento dos
investimentos dos controles.
1.7 A SEGURANÇA LÓGICA, FÍSICA E O CONTROLE DE ACESSO
A segurança em tecnologia da informação pode ser compreendida por dois
principais aspectos: segurança lógica e segurança física. A segurança física
desempenha um papel tão importante quanto à segurança lógica, porque é a base
para a proteção de qualquer investimento feito por uma organização. Investir em
diferentes aspectos da segurança sem observar suas devidas prioridades pode
ocasionar uma perda de todos os recursos investidos em virtude de uma falha nos
sistemas mais vulneráveis (FERREIRA; ARAÚJO, 2006).
A segurança lógica, em Carneiro (2002) refere-se à segurança da utilização
do software, proteção dos dados, dos processos dos programas e acesso autorizado
dos utilizadores. Isso mostra que sem a segurança lógica, toda a informação de uma
organização fica exposta aos vários tipos de ataques, e que, por isso, deverá ser
criado um conjunto de medidas que impede o acesso indevido a informações, seja
17
local ou remotamente. Para garantir a segurança lógica, Mamede (2006) destaca
vários aspectos a serem levados em consideração nomeadamente: autenticação e
controle de acesso: firewall, detecção de intrusões, antivírus, filtragem de conteúdo,
criptografia, assinaturas digitais, certificados digitais, redes locais virtuais, redes
privadas virtuais, os quais possa se fazer referência.
Pessoas mal-intencionadas com acesso às áreas críticas como um Data
Center6 podem causar grandes danos à informação e consequentemente à
continuidade do negócio da organização. De acordo com NBR ISO/IEC 17799 (ABNT
2005, p.32) o objetivo da segurança física é “prevenir o acesso não autorizado,
danos e interferências com as instalações e informações da organização”.
Talvez por se tratar de um produto tangível, a segurança física é mais bem
entendida pelo alto escalão. É mais fácil para o gestor de segurança justificar um
investimento como, por exemplo, a compra de portas corta-fogo, de um sistema de
detecção e extinção de incêndio do que propor a aquisição de um sistema de
detecção de intrusos, no qual é um equipamento com software. No entanto, vale
ressaltar, que uma análise de risco auxilia na identificação de vulnerabilidades do
ambiente e consequentemente na priorização dos investimentos.
Referente ao controle de acesso, a norma da NBR ISO/IEC 17799 (ABNT
2005, p.65) coloca que o objetivo é “controlar acesso à informação” e “convém que o
acesso à informação, recursos de processamento das informações e processos de
negócio sejam controlados com base nos requisitos de negócio e segurança da
informação”.
As modernas tecnologias de colaboração podem auxiliar as iniciativas de
gestão do controle de acesso, no entanto, Turban, MacLean e Wetherbe (2004)
colocam que o aprendizado das empresas depende menos da tecnologia e mais das
questões pessoais e organizacionais de predisposição de aprendizado. Verifica-se
que para a definição eficaz do sistema de segurança da informação é necessária à
6 Local onde são concentrados os equipamentos de processamento e armazenamento de dados.
18
compreensão da importância da informação na sua atividade fim e nos processos
relacionados à sua gestão de como lidar com mecanismos de identificação e
autenticação por exemplo.
Porém, esse processo de usuário e senha em alguns casos não funciona
muito bem, justamente pelo fato das pessoas utilizarem senhas fracas. São
consideradas senhas fracas, aquelas que possam ser descobertas através de
tentativas. Alguns exemplos de senhas fracas são as que possuem até cinco
caracteres, com letras repetidas, ou palavras de dicionário de qualquer idioma. O
que os especialistas recomendam em relação à senha forte é que possua no mínimo
6 caracteres, alguns recomendam 8, composta por letras, números e caracteres
especiais, letras maiúsculas e minúsculas e que seja trocada periodicamente, por
exemplo trimestralmente. (COMITÊ GESTOR DA INTERNET NO BRASIL, 2006).
Tradicionalmente, existem três princípios ligados à identificação e
autenticação: algo que você sabe, algo que você é e algo que você tem. O uso de
pelo menos dois desses princípios fortalecem a autenticação, reduzindo
drasticamente a probabilidade de a senha ser descoberta. (COMITÊ GESTOR DA
INTERNET NO BRASIL, 2006).
“A informação representa a inteligência competitiva dos negócios e é
reconhecida como ativo crítico para a continuidade operacional da empresa.”
(PEIXOTO, 2006, p.37). Por mais, a concessão dos direitos de acesso, apesar de
não ser abordada pelo autor, é de extrema importância. Um processo de concessão
dos direitos de acesso com regras estabelecidas e claras evitam que sejam
liberados acessos indevidos aos funcionários. Manter os registros das autorizações
de acesso para possibilitar a rastreabilidade das concessões, também é parte
importante do processo.
1.8 ENGENHARIA SOCIAL VOLTADA A SEGURANÇA DA INFORMAÇÃO
Erickson (2003) argumenta que os ataques na internet são normalmente
19
praticados por crackers7, que são hackers mal intencionados. Ainda existe uma
confusão em relação a esses dois termos, pois o termo hacker está associado ao
indivíduo que possui um elevadíssimo grau de desconhecimento em assuntos
relacionados à computação, como por exemplo, linguagens de programação, redes
de computadores entre outros conhecimentos e utilizam todo o seu conhecimento
para melhorar softwares8 de forma legal ao contrário dos crackers que têm como
objetivo trazer danos, roubar informações, dinheiro e etc.
A ideia de hacker pode invocar imagens estilizadas de vandalismo
eletrônico, espionagem, cabelo tingido e piercing9. A maioria das pessoas associa
hackear com violação de lei, portanto insinuam que todos aqueles que se dedicam a
atividades hackers são criminosos. É verdade que existem pessoas, que utilizam
técnicas hackers para quebrar a lei, mas hacker não está muito relacionado a isso.
Na verdade, hacker está mais relacionado a seguir a lei do que quebrá-la.
(ERICKSON, 2003, p.1).
Pode-se definir engenharia social como a arte de manipular pessoas a fim
de contornar dispositivos de segurança ou construir métodos e estratégias para
ludibriar pessoas, utilizando informações cedidas por elas de maneira a ganhar a
confiança delas para obter informações (SILVA, 2008). Peixoto (2006, p. 36) salienta
que, “A engenharia social, propriamente dita, está inserida como um dos desafios
(se não o maior deles) mais complexos no âmbito das vulnerabilidades encontradas
na gestão da segurança da informação”.
O termo engenharia social ficou mais conhecido a partir de 1990, através de
um famoso hacker chamado Kevin Mitnick. Esse termo designa para as práticas
utilizadas a fim de se obter informações sigilosas ou importantes de empresas,
pessoas e sistema de informação, explorando a confiança das pessoas para
enganá-las (PEIXOTO, 2006).
7 Especialista em penetrar sistemas da segurança ou descodificar programas e códigos da informação.
8 Conjunto de programas, processos e regras relacionados ao funcionamento de conjuntos de tratamento da
informação. 9 Perfuração na pele para utilização de tachas e enfeites.
20
Dentre as várias formas de furto de informação da engenharia social,
destaca-se a observação de Mitnick (2003) onde ao invés de ficar se descabelando
para encontrar uma falha no sistema, muitas vezes o hacker pode simplesmente
largar no banheiro um disquete infectado ou algum dispositivo que criei curiosidade,
como o logotipo da empresa e uma etiqueta bem sugestiva: “Informações
Confidenciais. Histórico Salarial 2003”, por exemplo. É provável que alguém por
curiosidade que o encontre, rapidamente o insira na máquina.
O termo “engenharia” foi atribuído a essa prática porque é construída sobre
informações e táticas de acesso às informações sigilosas de forma indevida. Já o
termo “social” foi atribuído porque utiliza pessoas que vivem e trabalham em grupos
organizados. Essas práticas simplesmente ganharam esse novo termo, pois são
antigas, utilizadas geralmente por detetives a fim de obterem informações e também
por magistrados com o objetivo de comprovar se um declarante fala a verdade.
(SANTOS, 2004).
1.9 A SEGURANÇA DA INFORMAÇÃO VOLTADA AS REDES BANCÁRIAS
No setor bancário todo ano, o sistema financeiro precisa reavaliar as suas
estratégias tecnológicas. Há muito, o Brasil está na ponta dessa evolução,
otimizando processos, implementando novos sistemas e integrando o cliente
(SÊMOLA, 2003). Percebe-se que o que se espera nesta etapa do processo, é que
as empresas possam assimilar as novas regras de segurança, transformando-as em
parte integrante da sua cultura, incorporando-as às atividades de seu cotidiano com
naturalidade.
Para Sêmola (2003) os esforços e investimentos em segurança continuam
sendo subestimados pelas empresas. Contudo, é importante mudar este cenário, de
forma que estejam atentas para a necessidade de uma política de segurança
corporativa que contenha diretrizes e orientações claras, objetivas e adequadas para
minimizar os riscos e reduzir o impacto sobre seu negócio. Diante disso, pressupõe-
se que desta maneira, atingindo a maturidade, terão um processo importante como a
21
segurança da informação bancária, implantado com eficiência e com a certeza de
estarem prontas para uma próxima evolução.
Seguindo essa tendência, milhões de reais estão armazenados nas
memórias dos computadores. Sêmola (2003) expõe que os princípios básicos da
segurança são a confidencialidade, integridade e disponibilidade das informações.
Quando aplicados, permitem reduzir os riscos como vazamentos, fraudes, erros,
sabotagens, uso indevido, roubo de informações e diversos outros fatores que
possam comprometer estes princípios. Mas os benefícios não param por aí.
Consegue-se maior produtividade dos usuários através de um ambiente mais
organizado e maior controle sobre os recursos de informática.
Apesar de toda polêmica em torno do assunto e do número cada vez maior
de adesões corporativas, poucos compreendem e conhecem a infraestrutura
necessária para se ter a solução implantada adequadamente e que permita extrair
os melhores resultados. É preciso ter cautela e consciência de que a tecnologia
interfere no comportamento das pessoas e, em se tratando de uma atividade crítica -
pois manipulam valores virtualmente - a segurança passa a ser um assunto pontual
e determinante para o sucesso da empreitada.
Neste contexto Sêmola (2003) acrescenta dizendo que o risco também é
crítico no ambiente de intranets10. O modelo atual para segurança das redes tem
assumido que o "inimigo" está do lado de fora da empresa enquanto que dentro,
todos são confiáveis. Esta ideia tem feito com que os administradores de rede
utilizem uma estratégia de segurança que restringe o acesso para qualquer usuário
externo e por outro lado, libera de forma irrestrita o acesso aos servidores para a
totalidade dos usuários internos. Esta estratégia, embora simples, não é adequada
já que sabemos que a maior parte dos problemas ocorre em função de ameaças
internas.
Para Peixoto (2006) um dos principais problemas que a segurança da
10
Rede de computadores privadas que utiliza tecnologia usada na internet.
22
informação deve tratar é a segurança em pessoas. A cooperação dos usurários é
essencial para a eficácia da segurança. Eles exercem um forte impacto sobre a
confidencialidade, integridade e a disponibilidade da informação, pois, por exemplo,
o usuário que não mantiver a confidencialidade da senha, não evitar o registro da
mesma em papeis que não estão guardados em locais seguros, não utilizar senhas
de qualidade ou ainda que compartilhe senhas individuais, compromete a segurança
da informação. A prevenção é um trabalho diário, sem resultados imediatos e muitas
vezes mal percepcionado pelos colaboradores, por isso, todo o esforço é pouco na
execução desse objetivo.
Sêmola (2003) norteia que nos processos que suportam a atividade das
instituições de crédito, a função da segurança da informação está presente em
diferentes níveis: proteção das pessoas, proteção dos bens, salvaguarda da
informação e na percepção adquirida pelos clientes sobre o nível de segurança. Este
último fator, de consciencialização, é determinante nas relações diárias
colaborador/cliente, constituindo-se como elemento diferenciador na percepção dos
valores da instituição ligados à confiança, reconhecimento e solidez. Diante desse
pressuposto percebe-se que a cultura de prevenção pode ser a chave de sucesso
para a proteção de pessoas e envolve todos os colaboradores.
2 PROCEDIMENTOS METODOLÓGICOS
Para realização desta pesquisa foi utilizado os critérios exploratório e
descritivo, com abordagem qualitativa e método dedutivo.
Para Thums (2000, p. 117) a pesquisa exploratória compreende aqueles que
visam a oferecer maior familiaridade com o problema de pesquisa ou com a
construção de hipóteses. Compreende um planejamento mais flexível. Geralmente
envolve levantamentos bibliográficos, entrevistas com pessoas que conhecem o
problema e a análise de exemplos.
A pesquisa descritiva trata-se de uma ferramenta importante para a
23
realização de um estudo, pois, para Köche (1997) na pesquisa descritiva não há
manipulação de variáveis, nem a busca da relação causal, mas procura-se, a partir
de dados presentes na realidade, tal como se apresentam verificar a relação
existente entre variáveis importantes de um dado objeto de investigação, para
melhor explicá-lo.
Para Gil (2006), a pesquisa tem um caráter pragmático, é um “processo
formal e sistemático de desenvolvimento do método científico. O objetivo
fundamental da pesquisa é descobrir respostas para problemas mediante o emprego
de procedimentos científicos”. Ressalta que a pesquisa qualitativa considera que há
uma relação dinâmica entre o mundo real e o sujeito, isto é, um vínculo indissociável
entre o mundo objetivo e a subjetividade do sujeito que não pode ser traduzido em
números.
No que tange o método dedutivo Lima (2002, p.50) ressalta que “parte de
uma situação abrangente para a particularidade, numa relação descendente, onde
realizados a partir das teorias e leis de ocorrências dos fenômenos gerais para as
constatações particulares”. Deste modo, o método dedutivo estabelece várias
estruturas lógicas através do levantamento de dados e/ou hipóteses dentre outras
conclusões de forma assertivas.
As técnicas de coletas de dados utilizadas foram: a pesquisa bibliográfica,
entrevista semi-estruturada ou despadronizada e questionário com perguntas
abertas e fechadas buscando obter possíveis respostas ao problema pesquisado.
Este estudo caracteriza-se pelo levantamento bibliográfico como procedimento
metodológico inicial. Do ponto de vista dos procedimentos técnicos segundo Gil
(2006), pode ser pesquisa bibliográfica: “quando elaborada a partir de material já
publicado, constituído principalmente de livros, artigos de periódicos e atualmente
com material disponibilizado na internet”.
Para Manzini (1990, p. 154), a entrevista semi-estruturada está focalizada
em um assunto sobre o qual confeccionamos um roteiro com perguntas principais,
complementadas por outras questões inerentes às circunstâncias momentâneas à
24
entrevista. Para o autor, esse tipo de entrevista pode fazer emergir informações de
forma livre e as respostas não estão condicionadas a um padrão de alternativas.
Outro instrumento utilizado neste estudo foi o questionário onde se obtém
respostas mais rápidas e mais precisas, possibilitando mais uniformidade na
avaliação, em virtude da natureza impessoal do instrumento e obtém respostas que
materialmente seriam inacessíveis. Marconi e Lakatos (2003, p. 201) definem
questionário como sendo “um instrumento de coleta de dados, constituído por uma
série ordenada de perguntas, que devem ser respondidas por escrito e sem a
presença do entrevistador”.
A pesquisa bibliográfica foi realizada por meio de livros, revistas
especializadas, sites, artigos, dissertações e teses com o objetivo de analisar a
participação dos meios de segurança quanto à proteção adequada das informações
e dos sistemas contra acesso, modificação, destruição e divulgações não
autorizadas, fazendo o apontamento adequado de alguns autores e seus
esclarecimentos para uma melhor compreensão do estudo.
As entrevistas (APÊNDICE A) foram compostas por 10 perguntas,
elaboradas pelo próprio acadêmico e que abrange os conceitos estabelecidos nos
objetivos da pesquisa, e os questionários (APÊNDICE B) foram compostos por 19
perguntas abertas e fechadas, aplicados em 3 instituições financeiras do município
de Rolim de Moura-RO nos meses de outubro e novembro de 2013. Vale ressaltar
que o questionário e a entrevista foram adaptados do artigo de Duarte (2002), com o
título: Segurança Informática: o caso das escolas secundárias da cidade da Praia.
A seleção das instituições financeiras ocorreu de forma não probabilística
utilizando o critério de acessibilidade e conveniência do pesquisador. Para Mattar
(1996) as técnicas de amostragem não probabilísticas são utilizadas quando não se
conhece a probabilidade de um elemento da população ser escolhido para participar
da amostra. Em alguns estudos descritivos ou exploratórios pode não ser necessária
a preocupação em conhecer esta probabilidade. Principalmente quando não é
objetivo do estudo fazer generalização dos resultados das análises estatísticas da
25
amostra para a população de onde a amostra foi retirada.
Para a entrevista e o questionário, os sujeitos da pesquisa foram compostos
por colaboradores das instituições financeiras que exercem as suas atividades
profissionais com grande dependência da tecnologia da informação, entre eles:
gerentes gerais, gerentes administrativos e escriturários da rede bancária situada no
município de Rolim de Moura-RO, totalizando 09 participantes, divididos
igualitariamente em 03 bancos (B1, B2 e B3).
A pesquisa foi realizada no município de Rolim de Moura-RO, junto aos
bancos B1, B2 e B3, onde o banco B1 é a principal instituição financeira pública
federal a mais tempo instalado no município; o banco B2 a principal instituição
financeira privada a mais tempo instalada no município; e o banco B3 é a única
instituição financeira federal de fomento e promoção do desenvolvimento da região
amazônica. Os resultados apresentados foram organizados utilizando o programa
Excel para a tabulação dos dados dos questionários. Os questionários foram
respondidos por 01 escriturário, 01 gerente administrativo e 01 gerente geral, de
cada uma das 03 instituições bancárias.
O projeto foi estruturado conforme Manual do Artigo Científico do Curso de
Administração, elaborado por Silva, Torres Neto e Quintino (2010), onde apresenta
os passos e processos para projeção de uma pesquisa, esclarecendo os pontos
necessários para se criar um texto sucinto, com abordagens de extrema qualidade.
3 ANÁLISE DO RESULTADO
De acordo aos dados coletados mediante a aplicação do questionário, foram
adquiridos como resultado do público pesquisado que os informadores têm faixa
etária entre 18 a 42 anos, sendo 89% do sexo masculino, 67% com ensino superior
completo, sendo destes 77% formados em administração.
Quanto à segurança física, em análise as respostas apresentadas, no
26
quesito definição dos requisitos de segurança para localização dos equipamentos
45% responderam que a empresa não tem definido estes procedimentos, e com
relação a monitorações das condições ambientais de segurança, 67% afirmam que a
empresa não recebe tais providencias. É importante lembrar, que a segurança física
desempenha um papel tão importante quanto à segurança lógica, pois é à base da
proteção do investimento feito por uma instituição. Sem o devido funcionamento,
declarar perda de recursos por falha no sistema, pode acorrer a qualquer momento,
instantaneamente.
Gráfico 01: Segurança Física
Fonte: o autor (2014)
Quanto ao controle adicional para minimizar riscos, 78% afirmaram que
existem controles como: extintores, senhas, alarmes, guardas e detectores de
fumaças e 89% responderam que a empresa utiliza e oferece devida manutenção
para equipamentos de segurança para casos de emergência. É muito importante
que a empresa receba tais benefícios, pois isto é uma extensão da segurança.
Não há como garantir que um sistema funcione, se a estrutura não recebe
as devidas manutenções periódicas. O bom desempenho da segurança da
informação dependera dos agentes físicos que irão respaldar e garantir que a
informação esteja em perfeito estado e com bons recursos de funcionamento.
Quanto à segurança lógica, 89% afirmaram existir requisitos de segurança,
0
1
2
3
Sim Não Não sei Sim Não Não sei Sim Não Não sei
Requisitos de segurança Monitorização Controle Adicional
Fre
qu
ênci
a
Alternativas
Segurança Física
Banco 1
Banco 2
Banco 3
27
como senhas de acesso que devem ser modificadas a cada 30 dias, códigos, a
própria hierarquia de cargos ocupados, que determina a autorização de acessos, e o
cartão funcional de serviços. A respeito dos softwares não licenciados, 55% não
souberam responder a pergunta e 100% relatam existir proteção nas aplicações
para impedir acessos não autorizados. A segurança lógica é um quesito muito
importante, pois é a extensão e/ou complemento da segurança física, onde a
utilização de software respalda os cuidados criados pela segurança física. Este tipo
de segurança busca organizar a informação de modo a impedir a invasão de dados.
Gráfico 02: Segurança Lógica
Fonte: o autor (2014)
É importante destacar que a política da instituição quanto à segurança da
informação é à base de orientação para os colaboradores, porém, a disponibilização
de dispositivos é o que garante o bom funcionamento do sistema. Levam-se em
consideração todos os requisitos, as políticas e diretrizes, e não menos importante,
os softwares e aplicações que não permitem o acesso direto a dados confidenciais.
Este fator confirma ainda a afirmação feita por Gabbay (2003) onde destaca que as
estratégias de segurança de informações dependem primeiramente da conduta
apropriada dos funcionários, e segundo, no uso de soluções tecnológicas.
Vale destacar ainda, que os clientes apostam nesses dispositivos para
segurança, neste caso, financeiramente necessário, para proteger seus
investimentos. Por ser uma obrigação exclusiva da rede bancária, a mesma,
0
1
2
3
Sim Não Não sei Sim Não Não sei Sim Não
Requisitos de segurança Softwares não licenciados Proteção nas
aplicações
Fre
qu
ênci
a
Alernativas
Segurança Lógica
Banco 1
Banco 2
Banco 3
28
juntamente com sua equipe, deve estar sempre atenta a seguir, assumir e praticar
todos os requisitos necessários, buscando sempre inovar e estar à frente de
elementos mal intencionados. Sem tais requisitos, classificados como segurança
lógica, toda e qualquer informação da instituição fica exposta a ataques. Por isso a
necessidade da segurança lógica, complementada pela segurança física. Ambas,
tem o intuito de impedir o acesso indevido a informação.
Sobre os programas de formação relacionados às questões de segurança,
55% afirmaram receber treinamentos e quanto às campanhas de sensibilização 45%
apresentaram que a empresa oferece tais serviços. Este fator confirma a teoria de
se estabelecer políticas e diretrizes, e fazer estas explícitas a todos os
colaboradores, sejam por meio de anúncios e campanhas, seja por meio de
formação, enfim, o que for mais alcançável para um resultado positivo.
A comunicação empresarial exerce grande potencial para o
desenvolvimento, equilíbrio, e expansão das empresas. Também confirma o
contexto aplicado por Peixoto (2006) que evidencia um dos principais problemas da
segurança da informação, a segurança em pessoas. Para se exigir a participação
dos colaboradores e para manter o equilíbrio dos recursos da segurança da
informação, é preciso que a empresa se comprometa em oferecer formação
adequada para alimentar o conhecimento do indivíduo, assim como orienta-lo no
percurso a ser realizado para manter as diretrizes estabelecidas.
Os principais ataques acontecem, geralmente, de dentro da própria
instituição, e as campanhas de sensibilização são primordiais para alertar os efeitos
e consequências da violação das regras. A Segurança da Informação se inicia,
verdadeiramente em uma empresa, a partir do momento que é definido uma política
clara sobre a proteção da informação. Seu propósito fundamental é fornecer
orientação e apoio às ações de gestão da segurança de uma organização.
Ao se tratar de segurança da informação, logo se trata dos recursos,
dispositivos e processos utilizados pelas instituições para garantir o objetivo da
organização em manter a segurança de seus clientes. Senhas, controle de acesso,
29
equipamentos de segurança, hierarquia de responsabilidades, são alguns dos
variados processos implementados pelas instituições. Estes recursos possibilitam a
restrição das informações dentro e fora da empresa, controlando a acessibilidade
dos dados dos clientes e da própria instituição. Na questão relacionada aos
processos de segurança definidos para acessar informações, foram expressos no
gráfico 03:
Gráfico 03: Processos de segurança para acessar informações
Fonte: o autor (2014)
Observa-se que com base em tais respostas, todos os bancos apresentam
os processos de segurança necessários para melhor atender aos seus clientes. É
importante salientar a responsabilidade que tais colaboradores assumem em
garantir que estes requisitos sejam seguidos e praticados. Porém, os sucessos de
tais processos dependem de uma peça fundamental, o homem. O comprometimento
do colaborador em usar as ferramentas de modo a prosseguir com a atividade
necessária para Este ponto vem ainda confirmar o pressuposto apresentado por
Araújo (2005) sobre o fator humano ser o principal desafio para uma boa conduta de
segurança da informação.
Quanto à política de segurança, 100% afirmam não existir uma política
aprovada pela gerência, publicada e comunidade a todos os funcionários, e 55%
0 1 2 3
Password
Manuseio/utilização dos equipamentos
Controle de acesso
Definição de responsabilidades
Não há um processo específico
Frequência
Alt
ern
ati
va
s
Processos de Segurança
Banco 3
Banco 2
Banco 1
30
dizem não haver uma revisão periódica das políticas de segurança. Este é um ponto
que pode comprometer seriamente a segurança da informação e pode ainda
apresentar um início de ameaça à instituição.
Por mais que a consciência do colaborador esteja em pleno acordo com o
sigilo e boa conduta para segurança, é de extrema importância que se estabeleça
tais comunicações. As ameaças existem tanto no ambiente externo, quanto e
principalmente no ambiente interno. Por isso, é fundamental uma análise de risco e
estabelecimento de políticas explícitas de comum acordo e compreensão de todos
os colaboradores.
Referente às entrevistas realizadas, verificou-se que os 09 participantes tem
consciência do conceito de segurança da informação, e principalmente das diretrizes
estabelecidas pelas redes bancárias de maneira abrangente e geral com relação à
política corporativa de segurança da informação. Observa-se que as politicas de
segurança da informação e suas revisões não estão estabelecidas de forma clara e
específicas as normas internas da empresa.
Mesmo consciente das políticas que tomam as empresas de maneira geral,
a empresa precisa determinar as coordenadas internas para que os colaboradores
possam cooperar com o sistema. Seguem as regras estabelecidas, para sigilo total
da informação, e complementam suas atividades apostando nos elementos de
segurança da informação, como chaves de segurança, token11, biometria, como uma
extensão no trabalho já realizado por todos os colaboradores da instituição.
Uma resposta que se destacou no quesito definição do processo de
segurança da informação, disponibilizado pelo gerente do Banco 2, diz respeito aos
passos seguidos pelos colaboradores, resumidamente apresentados como: análise
da segurança; definição/atualização de regras de segurança; implementação e
divulgação das regras de segurança, administração da segurança e auditoria, todas
voltadas essencialmente para um diagnóstico periódico e sequencial da segurança
11
Dispositivo eletrônico gerador de senha, sem conexão física com computador.
31
da informação, contando com o apoio da equipe.
O escriturário do banco 03, também explanou sobre o processo de
segurança da instituição. Destacou que as formas com que trabalham, conta com
um comitê executivo de segurança da informação, gestor da informação, gestor de
área de acesso restrito, administrador de recursos de informática, e o gerente que é
responsável pela proteção da informática. Observa-se que essas instituições tem
preocupação em estabelecer as políticas de forma que os colaboradores tenham
acesso e consciência das responsabilidades e que estas, estão em constante
reavaliação.
Quanto à infraestrutura a qual a instituição adotou para tratar da segurança
da informação, 67% dos entrevistados, responderam que funciona hierarquicamente
ou por meio de um organograma funcional, transferindo responsabilidades para cada
agente dependendo de seu cargo. O escriturário do banco 1 ressalta que a empresa
está com projetos de uso da biometria e distribuição de dispositivos do tipo token
para assinatura digital, garantia acesso restrito as dados. Sobre o interesse em
procurar como funciona a segurança da informação em outras instituições, 67% dos
entrevistados, responderam que não se interessaram em pesquisar sobre isso.
O gerente administrativo do banco 2, ressalta que não procurou se informar
adequadamente sobre a SI em outras redes bancárias, mas que pela experiência
adquirida pelos anos de trabalho no ramo bancário, praticamente todas as
instituições adotam o mesmo sistema, porém, a forma de acesso pelo cliente é
diferenciada, sendo uns mais acessíveis e outros não, mas, de forma geral, todos
buscam garantir segurança. O entrevista no banco 1 relata que todas as instituições
seguem as regras estipuladas pelo Banco Central (BACEN). Sendo assim, todos os
bancos têm seus aspetos primários de segurança da informação.
Outro ponto observado foi com relação à descrição da maneira como os
elementos de segurança podem ajudar na segurança, ou seja, a forma como os
entrevistados visualizam os elementos da segurança da informação, onde
destacaram a agilidade dos elementos e o principal objetivo destes em garantir a
32
segurança de seu cliente. Pode se observar que todas as instituições seguem uma
mesma linha de objetivo e processo da segurança da informação, estabelecendo
regras rígidas aos colaboradores, de sigilo e cuidado adequado a cada cliente da
instituição.
No que se diferi em levantar o comportamento dos colaboradores como
agentes integrantes da segurança da informação, pode-se assim afirmar, que estes
buscam colocar em prática todas as diretrizes, respeitando a hierarquia, sistema
normativo, treinamentos, mantendo senhas com números e letras, não acessando
informações relevantes de lugares inapropriados, e nem repassando informações
que não estejam legalmente autorizadas pelo titula, orientando também os clientes
quanto ao uso de canais alternativos e outros dispositivos de segurança.
Os entrevistados foram questionados também quanto as centrais de
atendimento para dúvidas, críticas e sugestões quanto à gestão da informação. As
respostas obtidas foram que estas funcionam como meio de solução de problemas
específicos, que é um ótimo canal de buscar informação e seguro, pois as
informações não são passadas a terceiros, e seus atendimentos objetivam ocorrer
de forma rápida e precisa em horários que vão além do atendimento oferecido pelas
agências. Mesmo sendo uma alternativa pouco visada, a central de atendimento
trata de um complemento dos serviços bancários, onde pode oferecer serviços
adicionais em horários flexíveis, oferecendo as opções de reclamações e sugestões.
Quanto aos canais de segurança, o entrevistado do banco 01 destaca
também as centrais de atendimento como, internet banking, mobile banking, e os
caixas eletrônicos. Além deste, mais 05 entrevistados apresentaram como canal de
segurança, a internet. Mesmo contendo algumas ameaças, a internet ainda é o meio
mais fácil, rápido e ágil de trabalhar com negócios e informações. Vale ressaltar que
os entrevistados salientaram que nestes casos, a necessidade de apresentação de
no mínimo duas (02) senhas de acesso (alfanumérica), confirmação de dados de
posse pessoal e intransferível, podendo acessar suas informações, com os
elementos corretos que facilitam o sigilo de seus dados.
33
CONSIDERAÇÕES FINAIS
Esta pesquisa buscou analisar a participação dos colaboradores quanto à
proteção adequada da informação. Tal objetivo levou a examinar os procedimentos
utilizados pelas redes bancárias para a segurança da informação, assim como
verificar se os colaboradores assumiram o compromisso de seguir todas as políticas
necessárias para junto com os dispositivos oferecidos pelas instituições, garantir a
segurança da informação nas redes bancárias.
A realização da pesquisa, assim como a aplicação do questionário e
entrevista, contribuiu no conhecimento acadêmico para aplicações e avaliações no
sistema da informação, e com a sociedade em si, onde o levantamento de dados
sobre a segurança da informação apresentou os requisitos básicos mais frequentes
nas redes bancárias, e o conhecimento dos colaboradores quanto à importância de
seguir tais passos para garantir o sucesso empresarial através da segurança
desejada e exigida pelos clientes.
A não utilização de forma correta e eficaz da segurança da informação
acarretará em vazamentos de informações, utilizadas por indivíduos mal
intencionados, na qual ao usufruir desses dados, podem comprometer o financeiro
dos clientes. Logo, isso destruirá a rede bancária, pois, a partir do momento que seja
permitido o acesso não autorizado a dados pessoais de um grupo de clientes, a
empresa perde sua confiabilidade perante o mercado, sendo destruída por seu
próprio descuidado ou não seguimento da segurança da informação.
Quanto as dificuldades encontradas em implementar a segurança da
informação, pode-se levantar os requisitos relacionados a política da segurança da
informação, ou seja, estabelecer regras e normas que os colaboradores possam se
comprometer em seguir e permanecer sempre na mesma linha de integridade. Por
mais que por meio da ética e da moral já se tenha uma base dos quesitos
obrigatórios da segurança da informação, as normas internas da empresa também
são levadas em consideração, e com base nas informações adquiridas pela
34
pesquisa, observou-se que o maior obstáculo está relacionado à peça fundamental
de qualquer organização: o ser humano.
Observando os resultados, pode-se assim afirmar que as instituições
bancárias do município de Rolim de Moura/RO, apresentaram comprometimento
com os procedimentos para a segurança da informação, utilizando os mecanismos
necessários oferecidos pela organização e seu comportamento perante a segurança
da informação nas instituições em estudo, é de grande dedicação e
comprometimento.
Os pontos fortes da pesquisa, é que pode-se analisar de forma geral e
específica a preocupação e objetivos de toda rede bancária em buscar garantir total
proteção das informações de seus clientes, onde estas estão em constante busca
para assegurar a segurança dos dados de seus clientes.
Os pontos fracos consistem na não conscientização adequada e frequente
dos portadores de conta em redes bancárias de manter sigilo de suas informações,
a troca constante de senha, a utilização de todos os dispositivos oferecidos pela
rede bancária, e principalmente, para os usuários de internet banking, a
conscientização de utilização de antivírus que dificultem acesso de crackers. Essa
indicações partem dos colaboradores que atendem diariamente os clientes, e estes
devem estar atentos a estes detalhes.
Algumas sugestões para melhoria, é que as políticas da segurança da
informação estejam mais explícitas e acessíveis aos colaboradores, de forma que os
bancos em pesquisa que apresentaram frequência alta de não implantação de
políticas possam receber práticas eficazes, aprovada pela gerência e que sejam
publicadas e comunicadas a todos os colaboradores.
As sugestões para trabalhos futuros que utilizarem como base esta pesquisa
é que abranjam para outras instituições, com intuito de se criar campanhas de
sensibilização para todas as redes bancárias, e aprofundar os estudos nos
35
dispositivos de segurança já utilizados e quais podem complementar o avanço da
tecnologia para a segurança da informação.
É importante levar em consideração que não foi estendida a pesquisa para
todas as redes bancárias, porém, podendo estimar que aos elementos básicos de
segurança da informação são os mesmo em todas as instituições, diga-se que em
algumas, os dispositivos e procedimentos de segurança da informação se
encontram mais avançados.
Por fim, considerou-se que a pesquisa atingiu seu objetivo, na qual a mesma
apresentou a análise da participação dos colaboradores, a fim de verificar se os
mesmos seguem as políticas e diretrizes estabelecidas pela instituição quanto à
proteção adequada das informações e dos sistemas contra acesso, modificação,
destruição e divulgações não autorizadas.
REFERÊNCIAS
1 ARAUJO, Eduardo. A Vulnerabilidade Humana na Segurança da Informação. 2005.
2 ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT.NBR ISO/IEC 17799:2005: Tecnologia da informação - código de prática para a gestão da segurança da informação, 2005.
3 BEAL, Adriana, Segurança da Informação: Princípios e Melhores Práticas para a Proteção dos Ativos de Informação nas Organizações. 1. Ed. 2005
4 CARNEIRO, Alberto. Introdução à Segurança dos Sistemas de Informação. Lisboa/Porto/Coimbra: FCA – Editora de Informática, Lda. 2002.
5 COMITÊ GESTOR DA INTERNET NO BRASIL, Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança. São Paulo 2006. Disponível em: <http:cartilha.cert.br/dowonload/cartilha-segurança-internet.pdf> Acesso em 23 de abril de 2013.
6 DUARTE, R. Pesquisa qualitativa: reflexões sobre o trabalho de campo. Caderno de Pesquisa, n. 115, p. 139-154, março/2002
36
7 ERICKSON, Jon. Pirateando: A arte da exploração. San Francisco: Digerati Books, 2003.
8 FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Marcio Tadeu. Política de segurança da informação: Guia prático para embalagem e implementação. Rio de Janeiro: Ciência Moderna, 2006.
9 GABBAY, M. Fatores Influenciadores na Implementação de Ações de Gestão de Segurança da Informação: um estudo com executivos e gerentes de tecnologia da informação em empresas do Rio Grande do Norte. Dissertação (mestrado) - Universidade Federal do Rio Grande do Norte, 2003.
10 GIL, Antonio Carlos, 1946. Como elaborar projetos de pesquisa. 4 ed. São Paulo: Atlas, 2006.
11 KÖCHE, José Carlos. Fundamentos de metodologia científica: teoria da ciência e prática da pesquisa. 14. Ed. Petrópolis: Vozes, 1997
12 LIMA, Teófilo Lourenço de. Manual básico para elaboração de monografia. 3 ed. Canoas: Ulbra, 2002
13 MAMEDE, Henrique São. Segurança Informática nas Organizações. Lisboa/Porto/Coimbra: FCA – Editora de Informática, Lda. 2006
14 MARCONI, Marina de Andrade; LAKATOS, Eva Maria. Fundamentos de metodologia científica. 5.ed. São Paulo: Atlas, 2003.
15 MATTAR, F. Pesquisa de marketing. Ed. Atlas. 1996
16 MITNICK, Kevin D.: SIMON, William L.; A Arte de Enganar: Ataques de hackers: Controlando o Fator Humano na Segurança da Informação. São Paulo: Pearson Education, 2003.
17 NAKAMURA, Emílio Tissato; GEUS, Paulo Lúcio. Segurança de redes em ambientes cooperativos. SP: Berkeley, 2002.
18 PEIXOTO, Marcio C. P. Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006.
19 SANTOS, Luciano A. L. O impacto da engenharia social na segurança da informação. 2004. Monografia – Universidade Tiradentes, Aracaju, 2004. Disponível em:<http://thehell.org/thehell/apostilas/O%20impacto%20da%20engenharia%20soci
37
al%20na%20seguran%E7a%20da%20informa%E7ao.pdf>. Acesso em: 14 junho. 2013.
20 SÊMOLA, M. 2003: Gestão da Segurança da Informação. 1. Ed. Rio de Janeiro: Campus, 2003.
21 SILVA, Adriano Camiloto da; NETO, Diogo Gonzaga Torres; QUINTINO, Simone Marçal. Manual do artigo científico do curso de administração. Universidade Federal de Rondônia – Campus Cacoal. Cacoal-RO:2010.
22 SILVA, Elaine M. da. Cuidado com a engenharia social: Saiba dos cuidados necessários para não cair nas armadilhas dos engenheiros sociais. 2008. Disponível em: http://www.baixaki.com.br. Acesso em 13 de junho de 2013.
23 THUMS, Jorge. Acesso à realidade: Técnicas de pesquisa e construção do conhecimento. 2 ed. Porto alegre: Ulbra, 2000.
24 TOMAÉL, M. I. et al. Avaliação de fontes de informação na internet; critérios de qualidade. Informação & Sociedade; estudos, João Pessoa, v. 11, n. 2, p. 13-35, 2001.
25 TURBAN, E., MCLEAN, E., WETHERBE, J. Tecnologia da Informação para Gestão. Transformado os negócios da economia digital. 3. Ed.Porto Alegre. Editora Bookman, 2004.
38
ANEXO
39
ANEXO A: TERMO DE CONSENTIMENTO LIVRE E ESCLARECIDO
Você está sendo convidado (a) a participar, como voluntário (a), da pesquisa sobre A segurança da informação nas redes bancárias no município de Rolim de Moura / RO, no caso de você concordar em participar, favor assinar ao final do documento. Sua participação não é obrigatória, e, a qualquer momento, você poderá desistir de participar e retirar seu consentimento. Sua recusa não trará nenhum prejuízo em sua relação com o pesquisador (a) ou com a instituição.
Você receberá uma cópia deste termo onde consta o telefone e endereço do pesquisador (a) principal, podendo tirar dúvidas do projeto e de sua participação. UNIVERSIDADE: Fundação Universidade de Rondônia – UNIR, Campus Cacoal-RO PESQUISADOR (A) RESPONSÁVEL: Jonathan Souza do Carmo ORIENTADOR: Me. Adriano Camiloto da Silva ENDEREÇO: AV.: Maceió, nº 5787 Rolim de Moura/RO TELEFONE: (69) 8454-9580 (69) 3442-3364 OBJETIVOS:
- Descrever a importância da segurança da informação para o setor bancário; - Examinar os procedimentos informados aos colaboradores para a segurança
da informação; - Explicar os mecanismos de segurança da informação utilizados pelos bancos; - Verificar como os colaboradores protegem e/ou comportam-se perante a
segurança da informação nas organizações em estudo. PROCEDIMENTOS DO ESTUDO: (se concordar em participar da pesquisa, você terá que responder a uma entrevista semiestruturada e a um questionário sobre A segurança da informação nas redes bancárias, contendo 20 questões referentes às característica sem relação à qualidade da segurança da informação nas redes bancárias. Os dados coletados serão tabulados e analisados para fechamento do artigo de conclusão de curso pela Fundação Universidade de Rondônia – UNIR. RISCOS E DESCONFORTOS: a pesquisa não oferece nenhum risco ou prejuízo ao participante. BENEFÍCIOS: Análise da participação dos colaboradores quanto à proteção adequada das informações e dos sistemas contra acesso, modificação, destruição e divulgações não autorizadas. CUSTO/REEMBOLSO PARA O PARTICIPANTE: Não haverá nenhum gasto ou pagamento com sua participação. CONFIDENCIALIDADE DA PESQUISA: Garantia de sigilo que assegure a sua privacidade quanto aos dados confidenciais envolvidos na pesquisa. Os dados e o seu nome não serão divulgados.
Assinatura do Participante: _______________________________
40
APÊNDICE
41
Esta pesquisa refere-se ao trabalho de conclusão de curso para obtenção do
título de Bacharel em Administração, com o tema “A segurança da informação
nas redes bancárias no município de Rolim de Moura / RO” com intuito de
analisar a participação dos colaboradores quanto à proteção adequada das
informações e dos sistemas contra acesso, modificação, destruição e
divulgações não autorizadas. Vale ressaltar que a entrevista foi adaptada do
artigo de Duarte (2002), com o título: Segurança Informática: o caso das escolas
secundárias da cidade da Praia.
APÊNDICE A: ENTREVISTA
1. O que é segurança da informação para você colaborador?
2. De que forma é definido o processo de segurança da informação na
instituição financeira a qual trabalha?
3. A instituição a qual trabalha definiu uma infraestrutura formal e com
responsabilidades específicas, para tratar da Segurança da Informação de
forma adequada? De que forma ela está estruturada ou como você acredita
que ela está estruturada?
4. A instituição a qual trabalha possui elementos de segurança à informação
(chaves de segurança, tokens, etc.)?
5. Descrever de que maneira esses elementos pode ajudar na segurança da
informação na sua instituição financeira.
6. A organização possui uma Política Corporativa de Segurança da Informação?
Quais são suas diretrizes?
7. Fale sobre os canais de segurança para acesso as informações dos clientes e
usuários e para os clientes e usuários da instituição a qual trabalha.
8. Já procurou saber sobre a segurança da informação em outras instituições,
de que forma elas trabalham?
42
9. Fale sobre as centrais de segurança para dúvidas, críticas e sugestões
quanto à gestão da informação Se houver.
10. De forma você pratica a segurança da informação?
Desde já grato pela participação! Atenciosamente: Jonathan Souza do Carmo
Contato: (69) 3442-3364 e (69) 8454-9580
TERMO DE CONSENTIMENTO Eu __________________________________________________, declaro que de livre e espontânea vontade participei da pesquisa. Assinatura do participante____________________________________________ Local/data: ________________________________________________________ Caso não queira identificar-se marque o campo seguinte: ( ) O pesquisador responsável por este Artigo é JONATHAN SOUZA DO CARMO do curso de Bacharel em Administração com trabalho de conclusão de curso sobre o tema SEGURANÇA DA INFORMAÇÃO EM REDES BANCÁRIAS DO MUNICÍPIO DE ROLIM DE MOURA/RO, sob orientação do Prof. Me Adriano Camiloto. Esta pesquisa é de caráter sigiloso. Não serão divulgados nomes de participantes.
43
Esta pesquisa refere-se ao trabalho de conclusão de curso para obtenção do
título de Bacharel em Administração, com o tema “A segurança da informação
nas redes bancárias no município de Rolim de Moura / RO” com intuito de
analisar a participação dos colaboradores quanto à proteção adequada das
informações e dos sistemas contra acesso, modificação, destruição e
divulgações não autorizadas. Vale ressaltar que o questionário foi adaptado do
artigo de Duarte (2002), com o título: Segurança Informática: o caso das escolas
secundárias da cidade da Praia.
APÊNDICE B - QUESTIONÁRIO
Perfil 01 - Idade ( ) 18 a 22 anos ( ) 23 a 27 anos ( ) 28 a 32 anos ( ) 33 a 37 anos ( ) 38 a 42 anos ( ) 43 a 47 anos ( ) 48 a 52 anos ( ) 53 a 57 anos ( ) acima de 58 anos 02 - Sexo ( ) Masculino ( ) Feminino 03 - Escolaridade: ( ) Ensino Fundamental ( ) completo ( ) incompleto ( ) Ensino Médio ( ) completo ( ) incompleto ( ) Ensino Superior ( ) completo ( ) incompleto ( ) Outros _________________________ 04 - Caso seu grau de escolaridade seja de superior completo ou incompleto, indique a área de formação: ( ) Administração ( ) Economia ( ) Direito
( ) Contabilidade ( ) Sistema de informação ( ) Outros:_____________________
44
05 – Quanto tempo tem de instituição? ( ) menos de 01 ano ( ) de 01 a 03 anos ( ) de 03 a 05 anos ( ) mais que 05 anos 06 - Qual cargo ocupa? ( ) Escriturário ( ) Gerente administrativo ( ) Gerente Geral Segurança Física
07- Estão definidos os requisitos de segurança para a localização dos equipamentos
críticos (calor, umidade)? ( ) Sim, quais? ______________________________________________________ ( ) Não ( ) Não sei
08 - Existem monitorizarão das condições ambientais para todos os equipamentos da organização (proteger os equipamentos do calor, umidade, poeira)? ( ) Sim, quais? ______________________________________________________ ( ) Não ( ) Não sei 09 - Há um controle adicional de segurança nos locais onde estão os equipamentos críticos (controles que possam minimizar os riscos tais como roubo, inundação, incêndio)? ( ) Sim, quais? ______________________________________________________ ( ) Não ( ) Não sei 10 - É realizado manutenção e atualizações dos componentes de segurança nos equipamentos? ( ) Sim. Com que frequência? ________________ ( ) Não ( ) Não sei 11 - Existem equipamentos para casos de emergência? ( ) Sim, quais? ______________________________________________________ ( ) Não ( ) Não sei Segurança Lógica 12 - Existem requisitos de segurança para a utilização dos sistemas? ( ) Sim, quais? ______________________________________________________ ( ) Não ( ) Não sei
45
13 - Há softwares não licenciados? ( ) Sim ( ) Não ( ) Não sei 14 - Existe alguma proteção nas aplicações para impedir o acesso não autorizado? ( ) Sim ( ) Não ( ) Não sei 15 - Existem programas de formação relacionadas com questões de segurança? ( ) Sim, quais? ______________________________________________________ ( ) Não ( ) Não sei 16 - Existe alguma campanha de sensibilização? ( ) Sim ( ) Não ( ) Não sei 17 – Indique os processos de segurança definidos para acessar as informações são: ( ) password (senha); ( ) manuseio/utilização dos equipamentos; ( ) Controle de acesso; ( ) definição de responsabilidades. ( ) Não há um processo específico Política de segurança 18 - Existe uma política de segurança (praticável e eficaz) aprovada pela gerência, publicada e comunicada a todos os funcionários? ( ) Sim, qual? _______________________________________________________ ( ) Não 19 – Há revisões periódicas das políticas de segurança? ( ) Sim ( ) Não ( ) Não sei
Desde já grato pela participação!
Atenciosamente: Jonathan Souza do Carmo Contato: (69) 3442-3364 e (69) 8454-9580
TERMO DE CONSENTIMENTO Eu __________________________________________________, declaro que de livre e espontânea vontade participei da pesquisa. Assinatura do participante____________________________________________ Local/data: ________________________________________________________ Caso não queira identificar-se marque o campo seguinte: ( ) O pesquisador responsável por este Artigo é JONATHAN SOUZA DO CARMO do curso de Bacharel em Administração com trabalho de conclusão de curso sobre o tema SEGURANÇA DA INFORMAÇÃO EM REDES BANCÁRIAS DO MUNICÍPIO DE ROLIM DE MOURA/RO, sob orientação do Prof. Me Adriano Camiloto. Esta pesquisa é de caráter sigiloso. Não serão divulgados nomes de participantes.
