CENTRO DE ENSINO SUPERIOR DO CEARA€¦ · Trabalho de conclusão de curso (Monografia) como...
56
CENTRO DE ENSINO SUPERIOR DO CEARÁ FACULDADE CEARENSE CURSO DE ADMINISTRAÇÃO DE EMPRESAS SILLAS DA COSTA ROMÃO SEGURANÇA DE INFORMAÇÃO UM ESTUDO DE CASO DESCRITIVO COM AS PRINCIPAIS DEFESAS E AMEAÇAS EM UMA EMPRESA DE TECNOLOGIA NA CIDADE DE FORTALEZA CEARÁ - FORTALEZA 2013
Transcript of CENTRO DE ENSINO SUPERIOR DO CEARA€¦ · Trabalho de conclusão de curso (Monografia) como...
CENTRO DE ENSINO SUPERIOR DO CEARÁ FACULDADE CEARENSE
CURSO DE ADMINISTRAÇÃO DE EMPRESAS
SILLAS DA COSTA ROMÃO
SEGURANÇA DE INFORMAÇÃO
UM ESTUDO DE CASO DESCRITIVO COM AS PRINCIPAIS DEFESAS E
AMEAÇAS EM UMA EMPRESA DE TECNOLOGIA NA CIDADE DE FORTALEZA
CEARÁ - FORTALEZA 2013
SILLAS DA COSTA ROMÃO
SEGURANÇA DE INFORMAÇÃO
UM ESTUDO DE CASO DESCRITIVO COM AS PRINCIPAIS DEFESAS E
AMEAÇAS EM UMA EMPRESA DE TECNOLOGIA NA CIDADE DE FORTALEZA
Projeto de pesquisa apresentado a Faculdade Cearense FAC, baseado na Tecnologia da Informação (TI) para elaboração da monografia de conclusão do curso de Administração.
CEARÁ - FORTALEZA 2013
SILLAS DA COSTA ROMÃO
SEGURANÇA DE INFORMAÇÃO
UM ESTUDO DE CASO DESCRITIVO COM AS PRINCIPAIS DEFESAS E
AMEAÇAS EM UMA EMPRESA DE TECNOLOGIA NA CIDADE DE FORTALEZA
Trabalho de conclusão de curso (Monografia) como pré-requisito para obtenção do título de bacharelado em Administração, outorgado pela Faculdade Cearense (FAC), tendo sido aprovado pela Banca Examinadora composta pelos professores. Data de aprovação ____/____/____.
BANCA EXAMINADORA
_________________________________________ Profº. Especialista Rosiberto Bezerra Leandro
_________________________________________ Profª. Especialista Liduina Maria Paula Medeiros
_________________________________________ Profº. Mestre Ricardo Alves Moreira
“Aos meus parentes principalmente minha mãe, e aos amigos que me fortaleceram em momentos difíceis quando me sentia desestimulado em conciliar a vida acadêmica com a profissional.
AGRADECIMENTOS
Aos meus pais principalmente, pois sem eles não estaria presente neste
mundo, a Deus por sempre me colocar no caminho certo.
A minha família que sempre esteve comigo em momentos que não eram
muito felizes, mas que juntos sempre conseguimos vencer e tirar uma lição do que
sofremos.
A minha namorada Áylla Cristina que a todo o momento nunca me deixou
duvidar da minha capacidade de conquista e força para concluir qualquer trabalho
que possa surgir a minha frente.
Ao meu professor Ricardo Moreira, meu orientador, que por sua atenção,
e dedicação não só consegui concluir o TCC, mas consegui enfrentar o mundo dos
negócios criando coragem e garra para empreender em um projeto só meu e a
Faculdade Cearense que me apoiou com todos os seus funcionários, fazendo com
que o curso de Administração tenha cada vez reconhecimento.
A coordenadora do curso Phryné Benayon, que fez com que todos os
alunos do curso de Administração conseguissem alcançar seu sonho de se tornar
um bacharel no curso.
Aos meus colegas de turma que depois de tantos anos juntos ficamos
cada vez mais unidos, sorrindo, brincando e principalmente trocando tantas
experiências; agradeço especialmente aos meus amigos como Milton, Jarbas,
Rógisla, Meyri, Wallace, Guilherme, Kelly, Lorena, Eudênio, Flávio, Brenna, Erivânia,
Lucile, Daniel, Júnior, Gutemberg, Patrícia, Renato, Fagner, Elaine e Cícero, por
permanecerem presentes em todas as etapas de minha vida.
RESUMO
Esta pesquisa de conclusão de curso descreve os cuidados que as empresas precisam ter para com as suas informações, especificando os tipos de invasões, definindo quem e como qualquer computador ou servidor pode ser invadido, tornando um risco para sua empresa e para seus usuários. Logo, estudou-se uma abordagem exploratória e qualitativa por meio de entrevistas não estruturadas, mas com profundidade na intenção de explorar cada resposta dada ao pesquisador, não perdendo a espontaneidade da entrevista. Foram escolhidos como corpus de pesquisa uma empresa de informática na cidade de Fortaleza e 5 (cinco) clientes dessa mesma empresa. A partir da análise dessas entrevistas foi possível perceber a evolução que as empresas de informática em Fortaleza estão sofrendo, tendo consciência do quão grave e perigoso são essas informações caírem nas mãos de outras empresas, concorrentes etc. Por sua vez ao olhar seus clientes, faz-se necessário perceber que os mesmos não sabem como e quando podem acontecer as invasões, além disso não sabem como se precaver dessas ameaças, forçando assim que os profissionais passem a seus clientes de forma clara e concisa as informações para que não haja divergência de opiniões. Concluiu-se principalmente que existe uma forte demanda a ser quantificada pelo setor e que a empresa estudada se encontra completamente competitiva com qualquer empresa dentro e fora do estado do Ceará. Palavras Chaves: Segurança de Informação. Internet. Invasões de computadores.
ABSTRACT
This conclusion research describes the the importance of companies be aware within their information, specifically those related to access to confidential ones, defining whom and how some computers or servitors can be accessed, becoming a risk to the comapy and their users. In this conclusion study has been discovered, through an qualitative no-structured and deep interview, seeking for a deep and complete answer given to the author, so this interview had no direct answers. One IT company situated at Fortaleza and five costumers from this company had been selected. From these interview analysis were possible note concerns from companies, and how aware there companies must be in order to protect their costumers data, mainly from competitors. Once that the companies have noted the importance of IT security, they started to aware their costumer that is an important issue, because no one knows when some invasions can occur. So, IT companies must be ready to clarify costumers' claims about security. In conclusion, because of this quantify demand, companies has perceived the importance of invest in IT security in and outside Ceara state. Key-words: IT security, Internet, Bugs e Malwares.
LISTA DE ILUSTRAÇÕES
FIGURA1 – Prejuízos causados elos principais vírus .................................. 23
FIGURA2 – Ciclo dos Worms ....................................................................... 24
FIGURA3 – Etapas de um Botnet ................................................................ 25
FIGURA4 – Segurança da informação ......................................................... 31
FIGURA5 – Bytes de memória ..................................................................... 32
FIGURA6 – Visão conceitual de política de segurança ................................ 35
FIGURA7 – Política de segurança e seus relacionamentos ........................ 37
FIGURA8 – Organograma da empresa ....................................................... 47
FIGURA9 – Servidores ................................................................................ 50
GRAFICO1 – Funcionários graduados ........................................................ 49
GRAFICO2 – Língua estrangeira ................................................................ 49
LISTA DE TABELAS
TABELA1 – Tabela universo 1 – Empresa de informática ........................... 45
TABELA2 – Tabela universo 2 – Possíveis clientes .................................... 45
TABELA3 – Tabela grau de formação ......................................................... 48
LISTA DE ABREVIATURAS ESIGLAS
FAC – Faculdades Cearenses TCC –Trabalho de Conclusão de Curso TI – Tecnologia da Informação EUA – Estados Unidos da América ALASI – Academia Latino America Segurança de Informação SIG – Sistema de Informação Gerenciável DOS – Disk Operating System DDOS – Distributed Denial of Service UCE – Unsoliated Commercial E-mail SPAM – Stupid pointles Annoying Messages DVD – Digital Versatile Disc CD ROM – Compact Disc Read Only Memory MS – Microsoft ABNT – Associação Brasileira de Normas Tecnicas ISO – International Organization for Standardization IEC – International commission Electronics NBR – Normas Brasileiras FGV – Fundação Getulio Vargas MHZ – MegaHertz SP1 – Service Pack 1 RAM – Random Access Memory DIMM – Dual Inline Memory Module GB – Giga Byte HD – Hard Disk IP –Internet Protocol NBSO –Grupo de Resposta a Incidentes de Segurança para a Internet
Brasileira
SUMÁRIO
1 INTRODUÇÃO .......................................................................................... 13
1.1 Contextualização .................................................................................... 13
1.2 Justificativa ............................................................................................. 14
1.3 Problematização ..................................................................................... 15
1.4 Problema ................................................................................................ 16
1.5 Objetivo Geral ........................................................................................ 16
1.6 Objetivo Específico ................................................................................. 16
1.7 Metodologia ............................................................................................ 16
2 AS FREQUENTES AMEAÇAS DA INTERNET ........................................ 17
2.1 Diferenças entre HACKRES e CRACKRES .......................................... 18
2.1.1 Os principais tipos de HACKRES ........................................................ 20
2.2 Os principais tipos de Invasão ................................................................ 21
2.2.1 Negação de serviço (Denial of service – DOS) ................................... 21
2.2.2 SPAM .................................................................................................. 21
2.2.3 Códigos Maliciosos ............................................................................. 22
2.2.3.1 Vírus ................................................................................................. 22
2.2.3.2 Worms .............................................................................................. 24
2.2.3.3 Bots e Botnets .................................................................................. 25
2.2.3.4 Spyware ........................................................................................... 26
2.2.3.5 Backdoor .......................................................................................... 26
2.2.3.6 Cavalo de Tróia (Trojan) ................................................................... 27
2.2.3.7 Rootkit .............................................................................................. 28
2.2.3.8 Keyloggres ....................................................................................... 29
3 AS TÉCNICAS DISPONIVEIS DE PROTEÇÃO DE SISTEMAS .............. 29
3.1 Segurança física ..................................................................................... 31
3.2 Segurança da informação ...................................................................... 32
3.3 Políticas de segurança da informação ................................................... 33
3.3.1 Conceitos e definições ........................................................................ 34
3.3.2 Importância da Segurança .................................................................. 37
3.3.3 Políticas de senhas ............................................................................ 38
3.3.4 Políticas de Firewall............................................................................. 39
4 METODOLOGIA ....................................................................................... 41
4.1 Tipo de pesquisa .................................................................................... 41
4.2 Instrumento de Investigação .................................................................. 43
4.3 A amostra: Destinos entrevistados ......................................................... 44
4.4 Contato com a amostragem ................................................................... 45
4.5 Os entrevistados .................................................................................... 45
4.6 Pré-Teste e o Teste ................................................................................ 46
5 ANÁLISE DE RESULTADOS ................................................................... 46
5.1Estrutura da empresa .............................................................................. 46
5.2 Conhecimento dos funcionários ............................................................. 48
5.3 Segurança de informação ...................................................................... 50
5.3.1Configuração do Servidor ..................................................................... 51
5.4 Acessibilidade do cliente ........................................................................ 52
6 CONSIDERAÇÕES FINAIS ...................................................................... 52
7 REFERENCIAS BIBLIOGRÁFICAS ......................................................... 55
13
1 INTRODUÇÃO
1.1 Contextualização
A Tecnologia da informação (TI), uma das principais ferramentas no setor
empresarial, vem ultrapassando a barreira operacional e assumindo um papel mais
estratégico dentro das organizações, independente de ser uma empresa pública ou
privada. Nesse novo mundo corporativo, os recursos e os equipamentos auxiliam as
empresas em muitas tomadas de decisões, mas essas decisões assumidas
erroneamente podem prejudicar consideravelmente a „saúde‟ das empresas.
Com a Internet se ampliando a cada ano, surgem novos usuários e cada
vez mais conectados, empresas cada vez mais forte no mercado tecnológico, tudo
isso gerou uma preocupação às empresas: fazer com que certas informações
fossem protegidas de invasores em seus servidores e/ou fraudes em seus sistemas.
Empresas mal estruturadas se tornam alvo fácil para invasões, mesmo
com tantos recursos disponíveis e com tantas informações sobre o assunto, muitos
empresários não dão o devido valor a esses novos recursos.
A prova dessas invasões está a todo o momento sendo divulgadas nas
mídias e nas redes sociais, vê-se o caso da atriz Carolina Dickman que sofreu com
uma de suas imagens íntimas sendo exposta, resultando em muitas polêmicas e que
de certa forma a vida particular da “vítima” fica devassada. Por conta desse infeliz
episódio foi criada uma lei contra esses abusos. O mais recente dessa invasão foi o
caso da espionagem dos Estados Unidos da America (EUA) no qual tornou o Brasil
um alvo para seus espiões.
Para as empresas que desejam se destacar no mercado, não basta ter
colaboradores competentes, é necessário que a equipe de tecnologia tenha ciência
da grande importância que essa área representa, pois estando alinhada com o
projeto e com o objetivo da empresa com certeza conseguirá alcançar os resultados
esperados.
Para as empresas conseguirem alcançar seus objetivos, existem longos
caminhos a serem percorridos, com os quais na prática não se deve pensar apenas
nos resultados a serem alcançados, mas em como chegar e principalmente como se
proteger de ameaças tecnológicas que surgirão.
14
A área da tecnologia sofre constantes transformações, evoluindo a cada
novo dia, hardwares, computadores, celulares, todos evoluem, cada vez menores e
o principal sem perder ou até aumentando seu desempenho, tornando uma área que
o profissional da informática busque sempre atualizações e estudo.
Não foram apenas os hardwares que sofreram alterações, os softwares
seguiram a mesma velocidade, tornando os usuários mais necessitados dessas
novas tecnologias, coagindo assim consumidores a adquirirem ainda mais esses
novos produtos e assim exporem as suas vidas. Dessa forma os usuários foram se
sujeitando a invasões e esses novos invasores foram roubando suas informações de
forma rápida e ilegal.
As empresas também sofrem essas invasões, tornando-se tão expostas
como as pessoas, no entanto com um nível de dificuldade maior de serem invadidas
ou roubadas. Existem diversas formas de proteção, as empresas estão utilizando e
habilitando diretrizes de segurança: como firewalls, bloqueando o uso de pen drives,
armazenamento de informações em vários servidores, dentre outros.
De acordo com a Academia Latino Americana de Segurança de
Informação (ALASI, 2006) que realizou um estudo pela Universidade do Texas,
somente 6% das empresas que sofrem invasões por falha na segurança de
informação sobrevivem. Os 94% restante das outras empresas simplesmente
desaparecem.
1.1 Justificativa
O estudo a ser desenvolvido propõe estabelecer e identificar as
possíveis ameaças com as quais as organizações se tornam vulneráveis, trazendo
as informações necessárias que cada setor de TI deverá filtrar, construindo ações e
implementando-as para que seus sistemas e as informações não sejam violados e
invadidos por usuários que não possuam a autoridade de visualizá-los.
Contudo o tema a ser exposto será a Segurança de Informação - um
estudo de caso descritivo com as principais defesas e ameaças em uma empresa de
tecnologia da cidade de Fortaleza, trazendo os tipos de invasões, as principais
ameaças, e principalmente as medidas de proteção que cada organização deverá
utilizar.
15
1.2 Problematização
Muito se fala sobre segurança da informação, mas até que ponto há
uma preocupação e um interesse em fazermos bons investimentos?
E qual a diferença de investimento e gasto? Será que é claro a
verdadeira importância da segurança da informação?
Parecem perguntas simples, mas não é. A maioria das empresas
acreditam que investir em TI é apenas mais um gasto necessário e não um grande
recurso que poderá ter um retorno muito lucrativo.
Faltam executivos que realmente conheçam os cenários de riscos
como: infraestrutura, planos de continuidade de negócios, fraudes e legislação. Qual
gestor de empresa gosta de investir? Acontece que esse não investimento pode
custar muito caro, podendo ser surpreendido por um incidente, um sinistro ou
simplesmente porque não foram tomadas as decisões corretas, tornando a empresa
vulnerável a qualquer evento do ambiente externo.
Um dos principais empecilhos que fazem com que o número de
invasões nas empresas cresça, é o baixo investimento no setor, por se tratar de um
investimento de grande valor, as empresas decidem adiar o investimento
acreditando que seu sistema não irá ser invadido, ou confiando que seu servidor
esteja seguro impedindo acesso de indivíduos desconhecidos, porém, todo cuidado
é pouco, pois a internet está cada vez mais integrada na vida de cada usuário e
empresa, pois todas as transações bancárias, vendas, notas fiscais e atendimento,
são feitas na rede e a não proteção dessas informações a tornam completamente
acessíveis a qualquer usuário mal-intencionado.
SÊMOLA (2003, p.17), sinaliza a questão da segurança com uma
pergunta:
“Não estaria à equipe de segurança voltada apenas para os aspectos
tecnológicos da segurança e consequentemente, esquecendo-se dos
aspectos físicos e humanos? De que adianta possuir duas trancas na porta
social, se a outra, que permite acesso ao mesmo ambiente, só possui uma?”.
O investimento tem que ser bem planejado, pois, comprar os melhores
softwares, os melhores hardwares, os melhores servidores, e não investir no capital
16
intelectual, a segurança de informação se tornará falha, pois é através desse capital
que serão criadas as políticas e as diretrizes de segurança, as quais serão avaliadas
e redimensionadas de acordo com a demanda, fortalecendo seus equipamentos e
sistemas.
1.3 Problema
Buscando a excelência nos processos de segurança de informação é
necessário saber: Como identificar quais as principais ameaças e quais são os
principais meios de defesa que uma empresa de tecnologia deve utilizar para que os
riscos diminuam e sua rede se torne mais segura?
1.4 Objetivo Geral
Identificar as novas técnicas que a TI dispõe atualmente para tornar sua
empresa menos vulnerável, integrando a tecnologia e o usuário.
1.5 Objetivos específicos
Para sustentar o objetivo geral citado acima, foram identificados alguns
objetivos específicos, a serem comentados:
a) Analisar possíveis ameaças que uma empresa não preparada pode
sofrer.
b) Identificar os benefícios que a TI pode oferecer avaliando não só a
tecnologia, mas seus resultados.
c) Identificar quais as principais defesas que uma rede de informações
pode possuir.
1.6 Metodologia
Para entender este presente trabalho, essa pesquisa está estruturada em
seis capítulos, iniciando com a introdução no qual apresentou a contextualização do
problema, a justificativa do tema, a pergunta de partida, os objetivos da pesquisa e o
sumário da metodologia.
17
No segundo capítulo, nomeado de FREQUENTES AMEÇAS DA
INTERNET, apresenta os riscos em que as organizações estão sujeitas. São
abordados os possíveis atacantes, os métodos, as técnicas e ferramentas utilizadas
por eles, mostrando que as preocupações com a segurança devem ser tratadas com
o máximo de cuidado e atenção para que as organizações não sejam afetadas.
No terceiro capítulo, denominado de AS TÉCNICAS DISPONÍVEIS DE
PROTEÇÃO DE SISTEMA serão comentadas as novas técnicas utilizadas nas
empresas e as formas de proteção das redes de computadores.
No quarto capítulo será abordada a METODOLOGIA, que seguirá de uma
análise exploratória, qualitativa focada em um estudo de caso, por meio de uma
entrevista não estruturada, favorecendo ao entrevistado a dar respostas mais
espontâneas, concomitantemente, oportunizando a explorar mais as
ideias/respostas desse entrevistado.
No quinto capítulo - ANÁLISE DOS RESULTADOS – debruça-se em
cima de todos os pontos que foram analisados através das entrevistas dos
responsáveis pela empresa e seus clientes.
Posteriormente, são apresentadas as CONSIDERAÇÕES FINAIS, que
mostra a compreensão do assunto estudado diante dos resultados atingidos,
identificando quais as falhas e os pontos fortes da empresa, para que esta possa
assim tornar a organização segura e pronta para guardar qualquer tipo de
informação.
Por fim as REFERÊNCIAS BIBLIOGRÁFICAS com as indicações dos
autores utilizados como fonte de pesquisa para a realização desse trabalho.
2 AS FREQUENTES AMEÇAS DA INTERNET
A vulnerabilidade em relação à tecnologia da informação é definida como
uma falha no projeto ou uma falha na configuração do sistema operacional, que
quando explorada por um atacante, pode resultar em uma violação de segurança
CERT.BR (2012).
Existem também as vulnerabilidades causadas pelo usuário que ao se
conectar a Internet, podem abrir portas para os invasores conectarem no
computador, através de e-mails, instalação de programas não confiáveis, vírus,
spywares, cavalos de troia e outros que serão abordados mais a frente.
18
Nos década de 90, a única utilidade que se tinha da Internet era de
acessar sites e de alguns bate-papos, mas com o aumento da oferta de
computadores e da Internet os usuários foram se tornando mais conectados a essa
nova ferramenta, utilizando e explorando cada vez mais a modernidade.
Foi criado o Sistema de Informação Gerenciável - SIG para facilitar as
organizações nas suas rotinas: redes sociais para entretenimento; ferramentas de
comunicação mais dinâmicas e presentes, reduzindo os custos e assim tornando os
setores mais produtivos.
Com o grande aumento de acesso à Internet e os computadores se
tornando cada vez mais necessários nas grandes corporações - as empresas
começaram a sofrer algumas invasões cibernéticas prejudicando sua segurança e
principalmente suas informações sigilosas.
Esses usuários que invadiram tais computadores usam métodos, técnicas
e ferramentas desenvolvidas com o único objetivo de invadir de suas máquinas e
roubar as informações sigilosas de cada empresa.
Nesse capítulo apresenta os riscos que as organizações estão sujeitas.
2.1 Diferenças entre Hackres e Crackres
O termo utilizado para nomear o responsável pelo ataque de um sistema
computacional é hacker. Esses ataques possuem objetivos diversos e diferentes e o
sucesso ou não depende do grau de segurança dos alvos e da consequente
capacidade dos hackers de atacar. Assim se entende que os sistemas bem
protegidos são mais difíceis de serem atacados.
Os hackers utilizam seus conhecimentos para invadir sistemas, não para
causar problemas, mas para desafiar suas habilidades. Invadem os sistemas,
modificam ou capturam arquivos para provar sua capacidade e depois dividem e
compartilham suas conquistas com seus colegas. Sem a intenção de prejudicar,
apenas de demonstrar poder, diferente dos crackers.
Segundo NAKAMURA E GEUS (2007), hacker são indivíduos que se
utilizam de seus conhecimentos para invadir sistemas, não com o objetivo de causar
prejuízos, mas sim para testar o seu conhecimento; entram em sistemas, alteram
arquivos e em seguida compartilham suas façanhas com seus colegas.
19
Os hackers são programadores e buscam apenas seu autoconhecimento,
sem prejudicar usuário algum, promovem-se entre amigos e grupos de informática,
muitos desses programadores são contratados por grandes empresas de software
para testar as suas vulnerabilidades, diferente dos crackers.
Os crackers invadem os sistemas com a intenção de causar danos às
vitimas, roubando informações. O termo é usado para aqueles que decifram códigos
e destroem proteções de software.
Segundo NAKAMURA E GEUS (2007), crackers são elementos que
invadem sistemas principalmente para roubar informações e causar danos as suas
vítimas, esse termo cracker também é utilizado para aqueles que decifram códigos e
destroem proteções dos softwares.
A principal diferença entre os dois é justamente a intenção de invasão,
ambos são grandes programadores, mas seus objetivos são bem diferentes.
Porém, com o grande avanço e a facilidade que as informações estão
disponíveis nas redes, as definições acima não são mais usadas, a imprensa
mundial começou a determinar que qualquer ataque, a qualquer sistema de
informação seja atribuído aos hackers, mudando totalmente o conceito e os crackers
foi atribuída a um software que rouba senhas, ou decifra mensagens cifradas, sendo
assim houve então uma nova definição para os hackers.
Segundo NAKAMURA E GEUS (2007, p. 67) afirma “Individuo obsessivo, de
classe média, de cor branca, do sexo masculino, entre 12 a 28 anos, com pouca
habilidade social e possível história de abuso físico e ou social”.
Os vários tipos de invasores podem causar desde simples transtornos até
grandes prejuízos, pois até mesmo a segurança do país pode ser colocada em risco,
dependendo da situação.
As invasões aos sistemas podem ser executadas por meio de exploração
de técnicas que podem ter como base a engenharia social ou invasões técnicas.
Esses ataques encontram deficiências na concepção, implementação do programa,
configuração ou no gerenciamento dos serviços e sistemas, e não mudará enquanto
a preocupação for os produtos e não a segurança.
Os ataques exploram pequenas falhas existentes em qualquer dos níveis
conectados à proteção da informação. Para tanto foram criadas nomenclaturas para
20
identificar quem são e habituar-se aos seus métodos e ou ferramentas mais
utilizados para promover esses ataques.
2.1.1 Os principais tipos de Hackers
Com o grande aumento do número de invasões houve uma necessidade
de classificar esses invasores, para tanto a mídia e os próprios hackers criaram a
classificação no intuito de identificar e medir seus conhecimentos no qual
definiremos abaixo:
Script kiddies: É a primeira fase de um hacker, são os iniciantes nas
redes, são novos, não sabem bem o que fazem, porém são responsáveis por grande
parte das invasões que acontecem, estão preocupados apenas com a fama que
podem conseguir.
Cyberpunks: São indivíduos mais velhos, que usam a internet como
uma forma de protestar contras algumas empresas, alteram informações, divulgam
algo contra a política da empresa, alguns sites os intitulam como “pichadores
virtuais”.
Insiders: São funcionários que estão insatisfeitos com o atual cargo,
que usa desse privilégio para conseguir benefícios próprios.
Coders: São programadores que têm como maior preocupação sua
publicação de seus trabalhos através de livros, palestras.
White Hat: São profissionais que buscam principalmente proteger as
empresas no qual são contratados, intitulado como “chapéu branco” em conotação
aos filmes do velho oeste, sinalizando que são os “profissionais bonzinhos”.
Black Hat: Em oposto ao White Hat, os “chapéus pretos” são
programadores que usam seus conhecimentos para quebrar a segurança dos
sistemas, usando de forma ilegal e ferindo a ética, promovendo programas
maliciosos e criminosos.
Gray Hat: São os programadores que não sabem em qual classificação
se enquadram, pois trabalham protegendo e ao mesmo tempo prejudicando os
sistemas das empresas.
Cyberterroristas: Mais novo na classificação; programadores que
desenvolvem software malicioso com alvos determinados, podendo atingir empresas
21
financeiras, religiosas e ou governamentais. Esses indivíduos estão sendo
acompanhados de perto pela polícia dos Estados Unidos, procurando garantir assim
a segurança dos americanos.
2.2 Os Principais tipos de Invasões
O programador para ter acesso às máquinas e/ou às redes disponíveis na
Internet, precisam criar algumas técnicas e ou programas para atingir essas
informações.
Esses invasores podem causar pequenos ou grandes prejuízos à rede
que foi invadida, qualquer informação que esteja conectada a Internet pode ser
roubada através dos principais mecanismos abaixo:
2.2.1 Negação de Serviço (Denial of Service - DoS)
Segundo CERT.BR (2012) o sistema Distributed Denial of Service - DDoS
consiste em um ataque de negação de serviço distribuído, ele tenta tirar de
operação um computador uma rede ou um serviço, cortando qualquer comunicação
ou usando toda a banda disponível no computador, tornando o acesso à máquina
cada vez mais lento.
CERT.BR (2012) ainda afirma que esse serviço não busca invadir o
sistema, mas sim criar uma sobrecarga no computador, rede ou serviço,
prejudicando todos os usuários que se utilizam dos equipamentos, tornando cada
equipamento que foi contaminado em um computador escravo.
2.2.2 SPAM
Segundo a CERT.BR (2012), o termo Spam é usado para toda
mensagem não solicitada, enviada em massa. Quando essas mensagens são de
conteúdo comercial recebe então uma denominação UCE (do inglês,
Unsolicited Commercial E-mail). O Spam pode ser entendido não apenas com as
mensagens eletrônicas, mas como os panfletos que são entregues no trânsito, as
cartas que chegam pelo correio e até as ligações de venda de algum produto. A
22
diferença dos meios de comunicação acima e o Spam vem do custo de divulgação,
pois os panfletos, telefones e cartas precisam de um valor a ser investido para
promoção, já no Spam, basta ter um e-mail e a Internet a sua disposição, podendo
alcançar uma quantidade ainda maior de usuários.
Principais problemas causados pelo uso de Spam pelos usuários:
Consumo alto de banda: o grande volume de envio e recebimento de
Spam faz com que seja aumentado a capacidade dos links dos servidores das
empresas.
Classificação errada das mensagens: com a utilização de alguns
programas de filtragem existe a possibilidade de o mesmo enviar mensagens
importantes para a lixeira, perdendo essas informações.
Não recebimento de e-mails: caso o volume de Spam recebido for alto
e a quantidade de mensagens na caixa postal for limitada, pode ocorrer de
superlotar e consequentemente ficar sem receber novos e-mails.
2.2.3 Códigos Maliciosos (MALWARE)
A palavra Malware é a combinação de maliciosos e software, segundo a
CERT.BR (2012) códigos maliciosos são programas desenvolvidos para causar
algum dano ou atividades que possam prejudicar um serviço e ou computador.
Os programas maliciosos podem invadir sua rede através de:
Mídias removíveis como (CD-ROM, DVD, disquete, pen drivers).
Compartilhamento de arquivos em rede.
Páginas de Web infectadas.
Execução de programas de empresas desconhecidos.
Os principais tipos de códigos maliciosos que afetam as redes
prejudicando o desempenho das máquinas e ou servidores são:
2.2.3.1 Vírus
Segundo a CERT.BR (2012), os vírus são códigos ou programas criados
para danificar qualquer informação tanto do software como do hardware, essa
23
infecção só ocorre quando o usuário do computador executa o arquivo infectado,
através de cd‟s, disquetes e atualmente os pen drives.
No decorrer dos anos, as perdas financeiras sofridas por causa desses
programas maliciosos são enormes, independentes de ser um órgão público ou
privado, se existir uma falha de segurança esses vírus invadem e roubam o que for
de interesse.
Abaixo uma tabela com nomes e os valores dos principais vírus que
afetaram financeiramente os Estados Unidos.
Figura 1 – Prejuízos causados por vírus
Ano Vírus Prejuízos (em milhões de dólares)
1999 Melissa $ 1200
2000 I Love You $ 8.750
2001 Nimda $ 635
2001 CodeRed (Variações) $ 2620
2001 Sircam $ 1150
2002 Klez $ 9000
Fonte: Computer Economics e mi2g
De acordo com NAKAMURA E GEUS (2007) existem quatro tipos de
vírus:
Vírus de setor de boot: são vírus que modificam os setores de boot dos
discos flexíveis, quando o computador é iniciado, logo ele se espalha através desses
discos. Como não se espalham nas redes pode ser combatido com um antivírus.
Vírus de arquivos executáveis: precisa do usuário para espalhar o
vírus. Após o executável rodar, contamina todos os arquivos contidos no disco.
Vírus de Macro: esses macros são conjunto de comandos que são
armazenados em alguns programas ou aplicativos utilizados para automatizar
algumas tarefas repetitivas. Os vírus de macro são programas que infectam e se
espalham por meio de linguagem de macroexistentes, principalmente em
documentos do MS Office, facilitando a sua propagação, pois qualquer usuário
compartilha documentos principalmente por e-mails.
24
Vírus de Scripts: escrito na linguagem script, os vírus podem ser
executados automaticamente pelos softwares de leitura de e-mails e navegadores
dependendo de sua configuração.
2.2.3.2 WORMS
Segundo NAKAMURA E GEUS (2007) Worms, são bem parecidos com
os vírus à única diferença é que não precisa de uma intervenção do usuário, assim o
mesmo é executado automaticamente.
CERT.BR (2012) complementa afirmando que Worm é um programa de
propagação automática através de redes, enviando várias cópias de si mesmo de
computador para computador. Ao contrário do vírus, o worm não armazena cópias
de si mesmo em outros programas ou arquivos e não necessita ser explicitamente
executado para se propagar. Sua infecção se dá pela da identificação de
vulnerabilidades existentes ou falhas na configuração de softwares instalados em
computadores.
A seguir um ciclo de como acontece à propagação dos Worms:
Figura 2– Ciclo dos Worms.
Fonte: do autor
25
2.2.3.3 Bot e Botnets
A CERT.BR (2012) é um programa que dispõe de ferramentas que se
comunica com o invasor, tolerando que o mesmo possa ser controlado
remotamente. Existe um processo de infecção e propagação idêntica ao do worm,
ou seja, é capaz de se infiltrar automaticamente, explorando essas vulnerabilidades
existentes nos programas instalados em computadores.
Um computador infectado com o bot transforma-se no que a mídia chama
de computador zumbi (zombie computer), sendo manipulado pelo invasor e sem o
conhecimento do usuário. Tendo acesso a todos os seus arquivos e transformando o
seu computador em um servidor de e-mails (spam zombie) enviando inúmeros
spams.
Essa rede de computadores chamada de Botnets possuem milhares de
máquinas zumbis, essas máquinas fortalecerão ainda mais os danos a esses
equipamentos, pois quanto maior a rede se torna mais forte ela fica.
Seus principais tipos de ataques são: ataques de negação de serviço,
propagação de códigos maliciosos (inclusive do próprio bot), coleta de informações
de um grande número de computadores, envio de spam e camuflagem da identidade
do atacante (com o uso de proxies instalados nos zumbis).
Figura 3 – Etapas de uma Botnets.
Fonte: Adaptado do autor
26
2,2.3.4 Spyware
Spyware é um programa que foi projetado para monitorar e enviar as
atividades de um dado sistema para terceiros, segundo a CERT.BR (2012).
O Spyware pode ser tratado de uma forma autêntica desde que o
proprietário utilize a ferramenta para analisar e monitorar o usuário e, que observe
se o mesmo está usando de forma abusiva ou não autorizado o equipamento,
executando ações maliciosas e principalmente ferindo a integridade e a segurança
da rede.
Segundo CERT.BR (2012) Os três Spywares mais conhecidos:
Keylogger: é responsável por gravar todas as teclas digitadas pelo
usuário fornecendo total acesso a seus dados.
Screenlogger: Parecido com o Keylogger, captura as teclas e a tela de
em que o mouse clica, tirando uma foto da página na qual o usuário navega.
Adware: Projetado especificamente para apresentar propaganda, pode
ser usado de forma maliciosa, apresenta uma página de prêmios ou de sorteios na
qual exibe um formulário que ao preencher as informações serão enviadas para o
invasor, e pode ser usada de forma legítima em empresas quando incorporada em
forma de patrocínio na criação de programas livres ou serviços.
2.2.3.5 Backdoor
CERT.BR (2012) afirma que Backdoor é um programa que permite o
retorno de um invasor a um computador infectado, este poderá ser incluído em
ações de outros códigos maliciosos que identificam as vulnerabilidades existentes se
instalando e invadindo os sistemas.
Backdoor também é chamada de “porta dos fundos” pois através de uma
falha de segurança de um sistema operacional ou um programa executável pode
invadir o computador dando controle total para o invasor.
Algumas empresas de software e hardware utilizam o Backdoor
declarando que seja para necessidades administrativas, essa atitude se torna uma
ameaça à segurança de um computador e de sua rede em que está conectado,
27
comprometendo a integridade do usuário e facilitando o acesso de invasores
remotamente.
2.2.3.6 Cavalo de Troia (TROJAN)
Segundo NAKAMURA E GEUS (2007) Cavalo de troia foi desenvolvido
para aparentar que está fazendo alguma tarefa útil, no entanto realiza atividades
prejudiciais ao computador e ao usuário.
A CERT.BR (2012) complementa afirmando que o Cavalo de troia é um
programa que, além de executar as atividades para as quais fora aparentemente
projetado, executa em paralelo outras funções, neste caso mal intencionadas, e sem
o conhecimento do proprietário. Pode ser instalado por invasores que, após
ultrapassarem as ferramentas de defesas do computador, modificam os programas
já existentes para que, além de continuarem a desempenhar as funções originais,
executem, em paralelo, ações mal intencionadas, ou seja, invasão a outras
máquinas, dando acesso para outras possíveis invasões.
O Cavalo de troia é um software malicioso que se utiliza da lenda do
cavalo de madeira usado pelos gregos contra os troianos, estratégia totalmente
ofensiva dos gregos que atravessaram as muralhas da cidade, sendo empurrados
pelos próprios troianos sem imaginar que dentro daquela estátua, em forma de
cavalo, existiam muitos soldados gregos, no calar da noite esses soldados saíram
de seu esconderijo e atacaram de surpresa os soldados troianos, ocasionando uma
guerra com muitos mortos, em paralelo criando a lenda de seu cavalo e
imortalizando seus guerreiros.
Há diferentes tipos de Cavalos de troia e dividem-se de acordo com o que
são projetados. Alguns destes tipos são:
Trojan Downloader: instala outros códigos maliciosos, obtidos
de sites na Internet.
Trojan Dropper: instala outros códigos maliciosos, embutidos no próprio
código do trojan.
Trojan Backdoor: inclui Backdoors, possibilitando o acesso remoto do
atacante ao computador.
28
Trojan DoS: instala ferramentas de negação de serviço e a utiliza para
desferir ataques.
Trojan Destrutivo: altera/apaga arquivos e diretórios, formata o disco
rígido e pode deixar o computador fora de operação.
Trojan Clicker: redireciona a navegação do usuário
para sites específicos, com o objetivo de aumentar a quantidade de acessos a
estes sites ou apresentar propagandas.
Trojan Proxy: instala um servidor de proxy, possibilitando que o
computador seja utilizado para navegação anônima e para envio de spam.
Trojan Spy: instala programas spyware e a utiliza para coletar
informações sensíveis, como senhas e números de cartão de crédito, e enviá-las ao
atacante.
Trojan Banker ou Bancos: coleta dados bancários do usuário, através
da instalação de programas spyware que são ativados quando sites de Internet
Banking são acessados. É similar ao Trojan Spy, porém com objetivos mais
específicos.
2.2.3.7 Rootkit
Um conjunto de programas que o invasor utiliza para invadir a rede ou
computadores, por isso o nome Rootkit.
Segundo CERT.BR (2012) Rootkit é um software com vários programas e
técnicas que autoriza esconder a presença de invasores ou de vários outros códigos
maliciosos de um computador já infectado.
O nome rootkit apesar de seu nome, não fornece as ferramentas de
acessos de administrador, mas somente para mantê-lo. Assim o invasor terá
controle ao computador infectado, não sendo necessário fazer todos os
procedimentos anteriores de invasão. Os rootkits são programas para
permanecerem ocultos, por isso os antivírus terão bastantes dificuldades em
encontrá-los, assim o mais sensato será evitá-los.
29
2.2.3.8. Keyloggers
É um software que captura e armazena todas as teclas que são digitadas,
apropria-se das principais informações como: senhas bancárias, números de cartões
de crédito e outros.
Instalado em computador sem o conhecimento do usuário, o software
captura essas informações e as envia a um cracker (atualmente chamado Hacker)
que depois as utiliza para fraudes. Existem softwares apropriados para se defender
deste tipo de ameaça.
Os programas do tipo Keylogger podem ser usados de maneira não
fraudulenta, por exemplo, alguns fabricantes que queiram monitorar o que seus
funcionários fazem ou quando o proprio usuário instala esse programa em busca de
gravar todas as informações e caso tenha uma queda de energia e o editor de texto
usado não salvá-lo o mesmo pode ser usado para recuperar esses dados, porém em
vários casos as pessoas utilizam o programa de forma mal intencionado.
Segundo CERT.BR (2012), as instituiçoes financeiras (bancos) criaram os
teclados virtuais para caixas eletrônicos e ou Internet Banking1 para evitar os
keyloggers de capturar informações de conta e senhas de usuários, forçando os
clientes a não usarem os teclados das máquinas.
3 AS TÉCNICAS DISPONÍVEIS DE PROTEÇÃO DE SISTEMAS
A segurança da informação surge da valorização da informação e da
necessidade de permitir que apenas pessoas autorizadas tenham acesso a ela,
garantindo a proteção das informações da empresa, em todos os setores da
organização.Para entender o tema segurança de informação primeiramente é
necessário conceituá-la e para isso vários pesquisadores foram explorados para
trazer ao leitor o maior entendimento sobre cada informação, buscando a sua melhor
interpretação.
Segundo BEAL (2005, p.1), “segurança da informação pode ser entendida
como processo de proteger informações das ameaças da integridade,
disponibilidade e confidencialidade”.
1 Internet Banking: banco que disponibiliza acesso a movimentação ao cliente (banco on line).
30
A esse respeito, FONTES (2006) afirma que a segurança de informação é
um conjunto de regras, normas, procedimentos, políticas e demais ações que têm
como seu objetivo se proteger, possibilitando que o objetivo da organização seja
concretizado e a sua missão seja alcançada.
Seguindo essa linha de raciocínio, entende-se que todo dado é a pequena
parte da informação, que ainda será analisada de uma forma global.
A ABNT (2003) afirma que qualquer informação torna-se patrimônio da
empresa e que como qualquer ativo tem seu valor e deverá ser tratada com a sua
devida seriedade e responsabilidade, tendo a mesma importância de segurança que
outros equipamentos devendo ser devidamente protegida.
A ABNT (2003) complementa afirmando que um computador se torna
seguro quando os três requisitos básicos abaixo se relacionam:
a) Confidencialidade: Garantia de que a informação é acessível somente
por acesso autorizado.
Desta forma a confidencialidade é a segurança do asilo das informações
entregues pessoalmente em confiança e proteção contra a sua manifestação não
autorizada. Exemplo: Alguém entra sem autorização em um computador e rouba as
informações do seu email, conta bancaria e ou sistema.
b) Integridade: Salvaguarda da exatidão e completeza da informação e
dos métodos de processamento.
Significa ter a disposição informações confiáveis, dispostas em formato
acertado com o de sua utilização, garantindo que toda a informação não seja
modificada de forma não autorizada. Se a informação é alterada de forma errada ou
falsificada perde sua eficácia e confiabilidade, tornando as deciões vulneráveis que a
partir dela são tomadas, e tirando toda a credibilidade de quem as forneceu.
Exemplo: Alguém sem autorização consegue os dados da empresa e fornece para
alguém já modificadas.
c) Disponibilidade: Garantia de que os usuários autorizados obtenham
acesso à informação a aos ativos correspondentes sempre que necessário.
Existe uma grande necessidade de disponibilizar serviços confiáveis se
tornanado prioridade, pois a falha de qualquer serviço gera custos, e com isso falha
em todo o processo Exemplo: Um site de vendas que lança uma promoção e que
31
pelo grande número de acesso, sobrecarrega o servidor tornando-se indisponível,
para os usuários.
Figura 4 – Segurança da Informação
Fonte: Segurança de redes - Nakamura e Geus
3.1 Segurança Física
Quando se comenta de segurança, automaticamente a palavra “proteção”
é lembrada, mas como sentir-se protegido com tantas novas ameaças que surgem?
Segundo FONTES (2006) a segurança física das empresas, possui como
principal objetivo garantir o seguimento da rotina, assegurando a integridade dos
ativos da empresa, manter a integridade e a confidencialidade de todas as
informações presentes.
O controle da segurança física precisa estar diretamente ligado ao
controle de acessos das pessoas e principalmente de suas invasões que a empresa
possa sofrer, pois é através dela que as organizações controlam quem realmente
está autorizado a acessar certas informações, minimizando causas como roubos,
acidentes e o mau uso da tecnologia, concedendo acesso apenas aos responsáveis
da área.
32
De acordo com LEMOS (2001) um dos pontos principais da segurança
física que deve ser levado com maior importância é o controle de acesso, pois o
autor afirma que nem todas as pessoas devem ou precisam ter acesso a todas as
áreas e ou setores da organização.
Um dos principais assuntos abordado por LEMOS (2001) é o acesso
físico de usuários aos terminais e outros dispositivos que estejam ligados à rede e
que não são de sua autoridade, pois esses acessos não fiscalizados tornam todas
as informações vulneráveis. Outro ponto bastante questionado são os notebooks,
armários e servidores que estejam de fácil acesso, pois mesmo o setor de TI,
realizando todas as diretrizes de segurança, backups atualizados e firewall ativo o
acesso de usuários sem permissão a essas informações corre grande risco de
roubo.
3.2 Segurança da Informação
A segurança da informação compreende toda proteção existente, que
envolva qualquer pessoa física ou jurídica, podendo estabelecer assim uma
sensação de segurança ao usuário, ao reunir controles e processos que têm como
finalidade a preservação de todos os dados e informações, sejam armazenados em
trânsito, ou em qualquer meio existente.
Após a criação da informática, foi identificado que era necessário um
equipamento que armazenasse as informações e que principalmente fosse de fácil
locomoção, pois, até então, os computadores que existiam eram muito grandes e
pesados, desde então inúmeros tipos de dispositivos foram criados.
Figura 5 – Bytes de memória
Fonte: gumorais.com
33
Com a evolução da tecnologia o transporte e o armazenamento de
informações trouxeram agilidade e grande produtividade para as empresas, porém
com essa facilidade o roubo e o mau uso desses dados se tornaram cada vez mais
frequentes, com esses resultados a segurança das informações se tornou
imprescindível para as empresas.
Com tantas ameaças que envolvem as empresas, os usuários
responsáveis pela segurança dessas informações estão procurando unificar seus
equipamentos, ao buscar maiores e melhores ferramentas de proteção, que se
tomam ações preventivas para que possíveis invasões deixem de ocorrer, afinal a
sorte não deve ser levada tão a sério.
Segundo MOREIRA (2001) mesmo aplicando todas as diretrizes, a
segurança não pode assegurar completamente sua proteção, pois a empresa antes
de tudo deve analisar o custo/beneficio de todos os setores. Cada empresa deve
avaliar seu nível de risco e acesso, considerando suas principais áreas de
importância seguidas de suas prioridades.
Mesmo com todos os cuidados que possam existir, não há 100% de garantias
de que as empresas não corram riscos. As organizações precisam compreender que
a segurança da informação vai além dos aspectos físicos e técnicos, cada
organização precisa estabelecer um grau de atenção e cuidado para que sua
integridade e proteção dos seus dados não sejam violadas.
Sendo assim, é necessário que toda informação seja analisada e
examinada de uma forma bastante criteriosa, não bastando fazer de uma forma
simples, mas com uma visão holística, envolvendo todos os setores e usuários,
tornando capazes de identificar o que é de grande importância e principalmente de
grande valor para a organização.
3.3 Políticas de Segurança da Informação
Como foi visto nos capítulos anteriores a informação é muito importante,
principalmente para o funcionamento das organizações, consequentemente
necessita ser protegida e pode ser exposta em diversas formas: impressa, escrita
em papel, falada, armazenada em arquivos de som, imagem, vídeo, texto, entre
outros.
34
“Uma política de segurança é um conjunto de diretivas, normas,
procedimentos e instruções que comanda as atuações de trabalho e define os
critérios de segurança para que sejam adotados em nível local ou institucional
com o objetivo de estabelecer, padronizar e normalizar a segurança tanto no
escopo humano como no tecnológico. A partir desses princípios, é possível
fazer da segurança das informações um esforço comum, desde que possam
contar com um arsenal informativo documentado e normalizado dedicado a
padronização do método de operação de cada um dos indivíduos envolvidos
na gestão da segurança da informação.” (ALASI, 2006, modulo 3, p.3).
Desse modo a política de segurança é um conjunto de regras e normas
que precisam ser seguidas pelos usuários com seu principal objetivo de padronizar
toda a segurança das organizações.
Os aspectos técnicos de implementação dos mecanismos de segurança
devem ficar de fora do documento que define a política de segurança, uma vez que
deve ser resumido de fácil leitura e compreensão, pois essa implementação deve
variar ao longo do tempo.
O objetivo da política de segurança é apontar, orientar e apoiar a
segurança da informação. De acordo com a NBR ISO/IEC 17799 (2001, p.4)
“Convém que a direção estabeleça uma política clara e demonstre apoio e
comprometimento com a segurança da informação através da emissão e
manutenção de uma política de segurança da informação para toda a organização”.
Portanto, toda nova política de segurança só deve ser implantada se a
direção da empresa aprovar todo o conteúdo nela explicada, para que os demais
usuários não possam usar o equipamento de modo malicioso.
Cada empresa tem sua cultura, com diferentes estilos, tamanho e
estrutura de organização, por isso segundo ALASI (2006), cada empresa possui um
projeto adaptável de planejamento, que deverá ser bem trabalhado antes da
execução, devendo, portanto, desenvolver uma política de segurança que se molde
a essas peculiaridades.
3.3.1 Conceitos e definições
35
Conforme CAMPOS (2007), não existe uma regra certa para criar o
documento físico da política de segurança. É possível ter um único documento com
todas as diretrizes, normas e procedimentos, ou um documento com as diretrizes,
diversos outros com as normas e vários outros com os demais procedimentos. O
fato principal é que não pode deixar de existir um documento que controle a versão
e com revisão para garantir o que realmente seja confiável e relevante.
Toda regra tem por necessidade ser redigida e interpretada de forma que
todas as suas determinações sejam obrigatórias, assim não dará margem ao acaso.
A visão conceitual de uma política de segurança baseada no padrão estabelecido
por CAMPOS (2007) é apresentada na figura a seguir
.Figura 6: Visão conceitual de política de segurança.
Fonte: adaptado de Campos (2007)
Alguns conceitos e definições são importantes e devem ser aplicados no
que se refere à Política de Segurança:
Ativo de informação: é muito utilizado no texto da norma ISO 27001.
Por Ativo entende-se qualquer componente que sustenta um ou mais processos de
negócio de uma unidade ou área de negócio. Composto por todos os dados e
informações geradas e manipuladas durante a execução dos sistemas e processos;
Ativo de processamento: compreende todos os elementos de hardware
e software necessários para a execução dos sistemas e processos, os adquiridos e
produzidos internamente;
36
Controle de acesso: composto dos processos de autenticação,
autorização e auditoria. Restrições ao acesso às informações de um sistema
exercido pela gerência da segurança da informação. A autenticação identifica quem
acessa ao sistema, a autorização determina o que um usuário autenticado pode
fazer, e a auditoria diz o que o usuário fez;
Custodia: consiste na responsabilidade de guardar um ativo para
terceiros. A custódia não permite automaticamente o acesso ao ativo, nem o direito
de conceder acesso aos outros;
Direito de acesso: dependente do cargo e do privilégio de ter acesso a
um ativo;
Ferramentas: equipamentos, programas, procedimentos, normas e
demais recursos através dos quais se aplica a política de Segurança da Informação;
Incidente de segurança: qualquer evento ou ocorrência que promova
uma ou mais ações que comprometa ou que seja uma ameaça á integridade,
autenticidade, ou disponibilidade de qualquer ativo;
Política de segurança: conjunto de diretrizes destinadas a definir a
proteção adequada dos ativos produzidos pelos Sistemas de Informação;
Proteção de ativos: processo pelo qual os ativos devem receber
classificação quanto ao grau de sensibilidade. O meio de registro de um ativo de
fraude ou uso não apropriado de ativo.
De acordo com DIAS (2000) cada política de segurança deve buscar
ultrapassar a linha de proteção do sistema de informação. As regras de cada
instituição somando com a segurança da empresa, o objetivo da organização e a
estratégia do setor da informática devem seguir um fluxo, no final desse fluxo deve
estar não só o plano estratégico, mas todos os projetos da empresa interligados.
37
Figura 7: Política de segurança e seus relacionamentos
Fonte: adaptado de Dias (2000)
3.3.2 A importância da segurança
Para NAKAMURA E GEUS (2007, p. 171) a política de segurança tem
sua grande importância devendo ser analisada com grande critério:
(...) é a base para todas as questões relacionadas à proteção da informação,
desempenhando um papel importante em todas as organizações. A
necessidade de estabelecer uma politica de segurança é um fato realçado
unanimemente em recomendações proveniente tanto no meio militar (...),
como no meio técnico (...), e mais recentemente no meio empresarial (...);
Sendo assim a política de segurança tem um grande papel a desenvolver
nas empresas, tentando trazer junto à organização uma maior facilidade,
simplificando os processos e assim gerenciando todos os envolvidos principalmente
todos os recursos que estão disponíveis.
De acordo com CAMPOS (2007), a política de segurança de informação
irá beneficiar consideravelmente no aumento de produtividade, pois como a
implantação das políticas irá trazer organização para a empresa, os funcionários não
irão buscar orientações de como se comportar, executando maiores atividades e
entendendo como funciona o fluxo e a rotina de cada empresa.
38
3.3.3 Política de Senhas
Procurando atender as regras da política de segurança, foi desenvolvida
uma ferramenta que pudesse identificar e ao mesmo tempo bloquear alguns
acessos para as pessoas que não tenham autorizações, assim esses usuários não
poderiam editar, consultar ou até mesmo roubar certas informações que a empresa
disponibiliza.
A ferramenta que fora desenvolvida se chama a autenticação, cada
usuário só poderá ter disponibilidade à devida informação se o mesmo possuir esse
acesso.
Segundo a CERT.BR (2012,) as contas chamadas de “usuário, “login”,
“username”, corresponde à identificação de cada usuário ao computador, sistema ou
rede; com essas contas é possível separar suas configurações e controlar todos os
acessos e suas permissões.
A CERT.BR (2012), complementa que a política de senhas se divide em 3
grupos:
a. Aquilo que o usuário é: ou seja, algo que seja do usuário como
identificações biométricas, impressões digitais, reconhecimento de
voz ou reconhecimento de retina.
b. Aquilo que apenas o usuário possui: neste caso algo em que o
usuário tenha consigo como cartão de senhas, token.
c. Aquilo que apenas o usuário sabe: Neste caso as senhas e ou
perguntas de segurança que são cadastradas.
Quando essa senha é de conhecimento de outro usuário o mesmo poderá
se passar pelo responsável da senha e com isso poderá usa-la como:
a. Acessar e-mails, enviar spam contendo códigos maliciosos, furtar
seus contatos e principalmente renomear a senha e assim não
poder mais acessa-la;
b. Acesso ao computador e assim obter outras informações como
senha cartões de crédito e débito;
39
c. Acessar redes sociais e se aproveitar da confiança que sua rede
amigos possui para realizar boatos e ou enviar códigos maliciosos e
etc.
Alguns cuidados ao usar suas contas e senhas:
Certifique-se de não estar sendo observado ao digitar as suas
senhas;
Não forneça as suas senhas para outra pessoa, em hipótese
alguma;
Certifique-se de fechar a sua sessão ao acessar sites que
requeiram o uso de senhas. Use a opção de sair, pois isto evita
que suas informações sejam mantidas no navegador;
Elabore boas senhas;
Altere as suas senhas sempre que julgar necessário;
Mantenha a segurança do seu computador etc.
3.3.4 Política de Firewall
“A definição de firewall nada mais é do que um roteador no qual são
aplicadas regras aos pacotes que trafegam na rede. O firewall tem como objetivo
filtrar pacotes, bloquear portas específicas, sites da Internet e endereço IP2.”
(FIREWALL).
Conforme FREIRE (2004) existe uma grande necessidade de tornar o
ambiente de rede seguro, a importância é vital para todas as áreas interligadas da
empresa que utilizam a rede, por sua segurança influenciar diretamente na
produtividade, credibilidade e faturamento dessas empresas. Essa incessante
necessidade pode ser resolvida com a utilização devida de equipamentos e regras
definidas, assim administrar bem o uso desses equipamentos.
Com a utilização da Internet, as empresas se estruturaram de forma a abrir
suas portas para o mundo. E é justamente essa abertura e superexposição
2 IP - Internet Protocol ou Protocolo de internet é o meio em que as máquinas usam para se
comunicarem na Internet.
40
ao mundo exterior que faz com que a Internet, veículo de difusão de
informações utilizado também para promover negócios, seja usada para
finalidades obscuras como espionagem industrial, roubo de informações,
chantagens e outros tipos de crimes cometidos contra o patrimônio dessas
corporações. (FREIRE,2004).
De acordo com a NBSO (2003), firewall é uma peça importante na
implementação de uma política de segurança de rede, podendo travar os ataques
a vulnerabilidades não conhecidas publicamente, uma vez que ainda não existem
processos para correções. Essa proteção acontece apenas quando os ataques
são externos ao firewall, limita-se aos ataques que partem dentro da rede por ele
protegida. O uso exclusivo do firewall não deve ser a única defesa, e sim um
dentre os diversos mecanismos e procedimentos que aumentam a segurança de
uma rede.
De acordo com FREIRE (2004), uma política de segurança boa, é
perfeitamente aplicada aos procedimentos de configuração de um sistema de
firewall. Gerencia de riscos, procedimentos e ações de política necessitam ser
tomadas com prioridade para proteção do patrimônio da corporação.
Firewalls agem como um portal de segurança, provendo segurança para os
componentes dentro do perímetro protegido por este portal, controlando
quem, ou o que é permitido entrar neste ambiente restrito, ao mesmo tempo
em que exerce o controle do que é permitido sair deste mesmo perímetro.
Trata-se de um trabalho semelhante ao de um guarda que protege a porta
principal de um castelo, controlando e autenticando quem pode ou não ter
acesso às dependências da fortaleza. (FREIRE, 2004).
É função de um firewall bem configurado o controle baseado em filtros de
tráfego, evitando acesso não autorizado de visitantes indesejáveis, permitindo
acesso restrito. Para compor uma resposta eficaz de defesa, as implementações de
segurança de firewall devem trabalhar juntamente ao roteador.
Assim FREIRE (2004), avalia que a base para uma política de segurança
correta deve conter alguns filtros contra os serviços mais perigosos e explorados por
invasores na tentativa de execução de um ataque para o comprometimento de
ambientes. A política de segurança precisa estar sincronizada com os serviços que
41
são mais explorados para tentativas de invasão. O bloqueio de portas e protocolos
de entrada é a melhor regra aplicável a sistemas de firewall, bloqueadas é altamente
aconselhável à monitoração para detecção de tentativas de invasão.
4 METODOLOGIA
O presente trabalho adotou o método qualitativo, pois desta forma poderia
analisar todas as variáveis precedentes ao estudo do caso, tornando essa pesquisa
a mais real possível.
Segundo GODOY (1995, p. 58):
A pesquisa qualitativa não procura enumerar e ou medir os eventos
estudados, nem emprega instrumental estatístico na analise dos dados. Parte
das questões ou focos de interesses amplos, vão se definindo à medida que
o estudo se desenvolve. Envolve a obtenção de dados descritivos sobre
pessoas, lugares e processos interativos pelo contato direto com o
pesquisador com a situação estudada, procurando compreender os
fenômenos segundo a perspectiva dos sujeitos, ou seja, dos participantes da
situação em estudo.
Segunda MALHOTA (2001), mesmo quando as naturezas qualitativas e
quantitativas não são mutuamente excludentes, o método qualitativo permite o
entendimento não só dos dados óticos dos números brutos, mas sob uma
perspectiva além do que eles representam.
Segundo VIEIRA e ZOUAIN (2006), a versão qualitativa garante a riqueza
de dados, permitindo ser mais explorada, vendo esse dado na sua totalidade, bem
como facilita a exploração de contradições e paradoxos.
4.1 Tipo de Pesquisa
Para PRODANOV e FREITAS (2013 apud DEMO, 2000, p. 20) a
“Pesquisa é entendida tanto como procedimento de fabricação do conhecimento,
quanto como procedimento de aprendizagem (princípio científico e educativo), sendo
parte integrante de todo processo reconstrutivo de conhecimento.”.
42
Já PRODANOV e FREITAS (2013 apud MINAYO, 2011, p. 17), vendo por
um ângulo mais filosófico, consideram a pesquisa como:
[...] atividade básica da Ciência na sua indagação e construção da realidade.
É a pesquisa que alimenta a atividade de ensino e a atualiza frente à
realidade do mundo. Portanto, embora seja uma prática teórica, a pesquisa
vincula pensamento e ação.
Segundo LAKATOS E MARCONI (2007, p.157), a pesquisa pode ser
definida como “um procedimento formal com método de pensamento reflexivo que
requer um tratamento científico e se constitui no caminho para se conhecer a
realidade ou para descobrir verdades parciais.”.
Pesquisa, no entanto é um conjunto de ações que tem como proposta
inicial encontrar suas devidas soluções para o determinado assunto a ser estudado.
A pesquisa exploratória tem como característica principal a flexibilidade e
a engenhosidade, assim com essa flexibilidade o pesquisador tem uma maior
liberdade de estudo, podendo focar não apenas o tema, mas como todo o conteúdo
que lhe achar interessante na pesquisa, do contrário outra metodologia poderia
tornar a pesquisa engessada.
Segundo HAIR JR (2005), nessa metodologia o pesquisador deve estar
atento, pois na medida em que avança com o trabalho podem surgir novas ideias,
devendo então mudar a direção do trabalho, até que se esgotem todas as
possibilidades ou encontre uma ideia mais adequada ao tema.
Nesse caso a metodologia da pesquisa exploratória tornou-se a mais
adequada, para ser seguida junto a este trabalho.
Segundo PRODANOV e FREITAS (2013), afirma que a pesquisa
exploratória tem como finalidade proporcionar maiores informações sobre o assunto
a ser investigado, possibilitando sua definição e seu delineamento.
Quanto aos procedimentos técnicos, ou seja, os meios, pelo qual foi feito
a coleta das informações, trata-se de uma pesquisa bibliográfica e de campo.
Bibliográfica, pois para que seja feito o embasamento teórico e a metodologia foram
realizadas pesquisas sobre o tema que, segundo VERGARA (2009), a pesquisa
bibliográfica é um estudo sistematizado desenvolvido com base em material
43
publicado em revistas, livros, jornais, rede eletrônica, ou seja, material acessível
para todos os públicos.
Este trabalho foi realizado em 2 (duas) etapas: A primeira etapa foi
realizado uma pesquisa bibliográfica, analisando todo o conteúdo de autores e
meios eletrônicos, baseando no tema e seus objetivos principal e secundário. A
segunda etapa em um estudo de caso. A pesquisa de campo foi realizada em uma
empresa de serviços de informática na cidade de Fortaleza, no qual foram utilizados
todos os procedimentos e as regras estabelecidas pelo pesquisador ao utilizar o
instrumento de pesquisa, analisando e procurando possíveis problemas que possam
acontecer, prevenindo dos riscos e advertindo das novas soluções que o mercado
de informática oferece.
As técnicas de coletas de dados que foram utilizados foram entrevistas
não estruturadas, realizadas com o proprietário da empresa, o responsável pelo
datacenter, o programador e alguns possíveis clientes da empresa, além disso,
houve uma pesquisa de documentação com registros em arquivos e com
observação.
PRODANOV e FREITAS (2013) apud GIL (2010, p. 37) definem que o
estudo de caso “consiste no estudo profundo e exaustivo de um ou mais objetos, de
maneira que permita seu amplo e detalhado conhecimento.”.
De acordo com YIN (2001, p. 32) explica que:
O estudo de caso é uma forma de fazer pesquisa social e empírica que
investiga um fenômeno dentro do seu contexto de vida real, especialmente
quando os limites entre fenômeno e o contexto não estão claramente
definidos e na situação em que múltiplas fontes de evidencias são usadas.
4.2 Instrumento de investigação
Para conclusão deste trabalho, o levantamento das informações
necessárias ocorreu através de uma entrevista não estruturada realizada com o
proprietário da empresa, o responsável pelo datacenter e seu programador e 5
(cinco) possíveis clientes, cedidos pelo próprio empresário deste que nenhum dado
da empresa ou cliente fossem divulgados.
44
Como estratégia inicial, consistia primeiramente em ir a campo e aplicar a
entrevista, foi feita um seleção de perguntas aleatórias e subjetivas, com o intuito de
deixar o entrevistado mais confortável possível em responder às perguntas, assim a
conversa iria se tornar bem agradável e o entrevistado menos resistentes às
respostas.
4.3 A amostra: Entrevistados
Parte-se do ponto de vista que as entrevistas seriam realizadas não
apenas com a empresa de informática, mas com os seus clientes; verificou-se que a
pesquisa teria 2 (dois) focos, mostrar ao prestador de serviço o porquê de sua
empresa estar sempre segura e mostrar ao cliente que os dados que forem
colocados nessa empresa, estariam seguros. Deste modo como se trata de dois
componentes diferentes, a amostra terá 2 (dois) universos diferentes.
No universo da empresa de informática, foram feitas várias visitas e
reuniões com seus representantes, buscando entender seus programas mais
utilizados, seus produtos, preços e suas tarefas, enfim suas rotinas.
No segundo universo, o do cliente foi perguntado ao proprietário da
empresa se poderiam fornecer alguns contatos de possíveis clientes que estavam
resistentes a contratar esses serviços, assim foi fornecido 5 (cinco) contatos
aleatórios, com os quais foram trabalhados mostrando a importância de ter os dados
guardados em uma empresa especialista em datacenter.
Como já comentad,o a entrevista a ser utilizada fora a entrevista não
estruturada e em profundidade que de acordo com o autor sua finalidade é:
(...) obter de uma pessoa dados relevantes para a pesquisa. A sua principal
vantagem, como o nome indica, reside na possibilidade de se obterem
informações pormenorizadas e aprofundadas sobre valores, experiências,
sentimentos, motivações, idéias, posições, comportamentos, etc. dos
entrevistados (SOUSA, 2003, p.236.).
Essa entrevista é uma técnica flexível à liberdade de adaptação do roteiro
e as perguntas de acordo com a entrevista. Segundo HAIR JR (2005), as entrevistas
não estruturadas são desenvolvidas de uma forma aleatória sem uma sequência
45
certa de perguntas, desse modo o pesquisador e o entrevistado se envolvem em um
diálogo livre, aberto esclarecendo questões fora de qualquer roteiro, desde modo o
pesquisador tem a oportunidade de explorar questões que são levantadas no
decorrer da conversa.
4.4 Contato com a amostragem
Para estabelecer um contato com a empresa escolhida a ser pesquisada,
foram feitas abordagens diferentes, a primeira por troca de email em que já havia um
contato pessoal na empresa, facilitando assim as futuras conversas com os
colaboradores, e a segunda abordagem - o funcionário foi em cada colaborador
explicar a situação da pesquisa no qual o diretor da empresa entendeu que era uma
boa iniciativa comprando a ideia de sua empresa ser analisada, desde que nenhum
dado de identificação da mesma e de seus clientes fossem divulgados.
4.5 Os entrevistados
Abaixo seguem as tabelas 1 e 2 com os clientes e funcionários
entrevistados para a pesquisa
Tabela 1 – Tabela universo 1 – Empresa de informática
Tabela 2 – Tabela universo 2 – Possíveis Clientes
Nomenclatura Nome
Entrevistado4 Cliente 1
Entrevistado5 Cliente 2
Entrevistado6 Cliente 3
Entrevistado7 Cliente 4
Entrevistado8 Cliente 5
Fonte: Do autor
Nomenclatura Cargo
Entrevistado1 Proprietário da empresa
Entrevistado2 Programador
Entrevistado3 Responsável pelo Datacenter
Fonte: Do autor
46
4.6 Pré-teste e o Teste
Antes de haver o deslocamento até a empresa e os clientes, foram
realizadas duas entrevistas pré-teste uma em 22 de Outubro de 2013, com a gerente
financeira e a outra em 25 de Outubro de 2013 com um estudante de uma faculdade
de Fortaleza, o principal objetivo desses pré-testes era verificar a aplicabilidade do
mesmo.
Contudo o pré-teste foi um grande sucesso, já que o tempo decorrido foi o
previsto, as perguntas e as respostas foram claras, sendo o objetivo alcançado.
Nos dias 1 e 5 de novembro de 2013; como marcado, foi realizado os
testes - o primeiro com a empresa no horário pela manhã e o segundo com os
clientes no horário da tarde, ambos os testes foram realizados com gravações no
aparelho de mp3.
Como esperado as respostas não se limitaram apenas ao roteiro
estabelecido, foram exploradas perguntas e respostas bem como a entrevista não
estruturada definiu.
Para aplicar tanto o pré-teste como o teste foram seguidas as
recomendações de SOUSA (2003), o entrevistador deve ser paciente, afável quanto
bastante e acima de tudo deve praticar a escuta ativa, isto é, tem de seguir com
muita atenção o entrevistado, inclusive para poder intervir caso seja oportuno.
5 ANALISE DE RESULTADOS
Os resultados aqui relatados foram baseados nos registros anotados das
visitas realizadas a empresa, as respostas das entrevistas e as referências
bibliográficas estudadas.
Parao bom entendimento da análise de resultado, esta fora dividida em 4
(quatro) tópicos, que são: Estrutura da empresa, Conhecimento dos Funcionários, a
Segurança das Informações e a Acessibilidade do Cliente.
5.1 Estrutura da Empresa
47
Sobre a estrutura foi analisado todo o organograma oferecido pela
empresa, além de estrutura física e seus equipamentos.
O organograma da empresa está bem definido e organizado, cada
funcionário obedece a seu cargo hierárquico, por se tratar de uma empresa pequena
e familiar com menos de 10 (dez) funcionários, a comunicação é rápida e seus
funcionários são bem integrados. Atualmente trabalha com um diretor, um gerente
comercial e um financeiro, uma recepcionista, além de dois programadores e um
técnico responsável pelo datacenter e dois estagiários.
Figura 8 - Organograma da empresa
Fonte: Do autor
48
Cada setor está sinalizado, tornando fácil a locomoção de funcionários,
clientes ou visitantes na empresa. Possui equipamentos novos e modernos, uma
rede de dados estruturada, Internet com link dedicado e servidores funcionando com
capacidade em 55%, ou seja, os equipamentos que estão funcionando atualmente
têm total autonomia para atender os seus clientes e até prospectar novos.
5.2 Conhecimento dos Funcionários
Nesse tópico será abordada a questão do grau de escolaridade de todos
os funcionários da empresa.
Tabela 3 – Grau de formação
Funcionários Formação Setor
Diretor Superior Completo Tecnologia da Informação
Gerente comercial Superior Completo Tecnologia da Informação
Gerente Financeiro Superior Completo Administração
Programador 1 Superior Completo Tecnologia da Informação
Programador 2 Superior Completo Tecnologia da Informação
Recepcionista Superior Incompleto Administração
Estagiário 1 Superior Incompleto Administração
Estagiário 2 Superior Incompleto Tecnologia da Informação
Fonte: do autor
A empresa possui cerca de 62,% dos funcionários com grau de
escolaridade superior completo, 38,% estão cursando uma faculdade e trabalhando
na área em que atua, facilitando seu crescimento profissional e ampliando sua rede
de contatos.
49
Gráfico 1 - Funcionários Graduados
Fonte: do autor
No registro das entrevistas foi apontado que a empresa oferece uma
política de cursos a seus funcionários, no qual desembolsa 50% de seu investimento
e o funcionário com o restante, levando cada colaborador permanecer sempre
atualizado com as mudanças e as inovações que o mercado da tecnologia possa
desenvolver.
No quesito língua estrangeira foi detectado nas entrevistas que apenas
25% dos funcionários possuem conhecimento de outra língua estrangeira, ponto
importante a ser melhorado já que grande parte dos estudos em outras plataformas
de programações, livros e estudos na área de informática são em inglês.
Gráfico 2 – Língua Estrangeira
Fonte: do autor
50
5.3 Segurança da Informação
Em atendimento a pesquisa esse tópico será abordado o quanto a
empresa pesquisada está apta para realmente oferecer os serviços para seus
clientes, analisando todo o seu equipamento e suas diretivas de seguranças quanto
aos invasores.
Figuro 9 – Servidores
Fonte: adaptada pelo autor
Um dos grandes pontos a ser analisado nesse tópico primeiramente é o
que seria um servidor?
Um servidor é um computador mais potente que um desktop comum, ele
é desenvolvido especificamente para transmitir informações e fornecer produtos de
software a outros computadores os quais estejam conectados por uma rede. Os
servidores foram criados para serem capazes de trabalhar com um número bem
maior de aplicativos, aumentando assim a produtividade e reduzir a compra de
vários desktops potentes.
Em visita a empresa, foi liberado o acesso ao datacenter e ao servidor da
empresa com a presença do encarregado é neste equipamento que é armazenado
todas as informações de todos os clientes ativos que a empresa possui, trata-se de
um servidor compartilhado, ou seja, todas as informações de todos os clientes ficam
armazenadas em um equipamento e cada cliente possui uma quantidade X de
51
espaço contrato, e são nesses espaços que os clientes guardam suas informações,
como backup de e-mails, fotos, vídeos, banco de dados, sites, comercio eletrônico e
etc.
5.3.1 Configuração do Servidor
De acordo com o que foi fornecido pelo responsável da área, o servidor
trata-se de um Servidor Dell em Rack Power Edge R720, com a seguinte
configuração:
Processador: Processador Intel® Xeon ® da família de produtos E5
Sistema operacional: Microsoft Windows Server 2008 R2 SP1, x64
Memória RAM: Até 768 GB (24 slots DIMM): DDR3 de 2 GB/4 GB/8
GB/16 GB/32 GB até 1600 MHz
A rede de computadores da empresa encontra-se toda em domínio, ou
seja, foi feito um grupo de computadores que só quem pode ter acesso às
informações são os computadores que estejam cadastrados, dificultando assim a
entrada de computadores que não estejam autenticados junto ao datacenter da
empresa.
As diretivas de segurança estão ativas, cada usuário tem acesso apenas
às informações que são de sua responsabilidade, protegendo as informações da
empresa, seu servidor usa um sistema separado de seus clientes, justamente para
proteção dos dados dos mesmos, para que se algum dia o servidor da empresa for
invadido, as configurações dos clientes não sejam roubadas.
Além disso, existe uma política de backup que é feita a cada 2 (duas)
horas, é utilizada uma ferramenta chamado “espelhamento do HD” em que todos os
dados que estão no HD principal são transferidos para outros HDs; essas
informações são armazenadas por um período de 7 (sete) dias, após ultrapassado
os 7 (sete) dias então é reescrito uma nova informação em cima do backup
desatualizado.
Na questão do antivírus, o software utilizado é o Macfee fornecido pelo
próprio revendedor do servidor, protegendo o computador 24 (vinte e quatro) horas,
atualizado e online sempre.
52
Além de contar com uma rede elétrica ligada 24 (vinte e quatro) horas,
com um auxilio de um gerador à gasolina, pois caso tenha uma queda de energia os
geradores e os nobreaks entram em funcionamento automaticamente, sustentando
os equipamentos por até 48 (quarenta e oito) horas sem reabastecimento.
5.4 Acessibilidade do Cliente
Foram feitas cinco entrevistas com os possíveis clientes escolhidos
aleatoriamente pelo diretor da empresa, onde em contato com esses clientes todos
aceitaram a pesquisa de forma amigável, onde para não termos resistências perante
a aplicação da entrevista o proprietário da empresa, avisou sobre o que estava
sendo feito tranqüilizando cada cliente.
Dentre os clientes entrevistados foram apresentados, principalmente,
certa insegurança e desconhecimento, perante alguns serviços fornecidos pela
empresa, onde o principal produto a ser comercializado não estava sendo bem
trabalhada pela equipe do comercial, essa resposta foi repetida por todos os
clientes, onde já ouviram falar sobre o produto, mas não tinham expertise sobre
como funcionava.
Com relação à empresa ser bem vista pelos seus clientes, no ano de
2013, foi verificado que o único modo de divulgação da empresa estava sendo boca
a boca e ou contato telefônico além de seu próprio site, porém o diretor comentou
que em 2014, devido à copa do mundo de futebol estará investimento muito em
propaganda, para que seus clientes possam contratar seus serviços, já que vai ser
um ano de grandes investimentos.
6 CONSIDERAÇÕES FINAIS
De acordo com LAUDON e LAUDON (2007) para toda identificação de
um problema, primeiramente deve-se descobrir qual é o problema, para que assim
seja solucionado, deve haver um consenso sobre sua existência.
Identificar problemas em uma empresa não é tão simples quanto parece,
é necessário um estudo minucioso e detalhado de todos os setores, de todas as
pessoas envolvidas no intuito de encontrar o problema e ou o gargalo, não é a toa
53
que mais empresas de consultorias são abertas a cada dia, solucionar problemas é
apenas uma etapa de uma longa jornada de estudo e trabalho.
Baseando-se no tema da pesquisa foram identificados os seguintes
pontos na empresa estudada:
Estrutural
Há uma grande preocupação com a segurança das informações, foram
analisadas as principais defesas que estão sendo praticada, uma empresa bem
organizada, integra, com poucos setores, mas não deixando a desejar na parte
criativa e documental.
Segurança
No quesito segurança, um ponto que pode ser melhorado e que é de
grande importância para as empresas é o espelhamento do HD em outro local fora
da sede da empresa, onde caso aconteça algum sinistro na sede atual, haverá uma
cópia de segurança em outra sede. Afinal seguindo a regra de backup quem tem um
backup não tem nenhum.
Um ponto o qual pode ser melhorado e que a empresa não trabalha é o
sistema em nuvem, tecnologia nova que pode ser acessada em qualquer lugar do
mundo, tendo apenas um browser (navegador de páginas de Internet) e uma
Internet de alta velocidade (banda larga), claro que essas informações só poderiam
ser acessadas por pessoas autorizadas. Dessa forma a empresa sempre teria uma
cópia de seus arquivos, não armazenado em um disco físico que poderia ser
extraviado ou danificado, mas em um sistema de armazenamento que não seria fácil
de acontecer um sinistro. Outra questão que pode ser analisada de forma bem mais
criteriosa seria uma política de segurança e de senhas mais reforçadas, fazendo
com que alguns arquivos sejam acessados realmente por pessoas autorizadas e
aumentando a segurança de suas senhas, pois a senha evidentemente é de uso
pessoal e intransferível.
Integração de Clientes
Como foi verificado que os clientes não têm conhecimento dos produtos
que a empresa trabalha é sugerido que a mesma implante um programa de
54
workshop, no qual seus clientes iriam até a empresa e assim poderiam ter um maior
conhecimento de seus produtos, mostrando para eles, quais as suas reais
necessidades, além de fazer com que seus clientes possam trocar experiências,
enriquecendo os dois lados.
Publicidade
Outro ponto a ser melhorado, mas que já foi comentado pelo diretor da
empresa é um investimento em publicidade mais agressivo, tornando a empresa
mais conhecida, visível aos olhos de seus clientes foco, classes A, B e uma parcela
da C.
Diante do estudado, ressalta-se que o objetivo geral da pesquisa desse
trabalho foi alcançado, foi mostrado á empresa que não é apenas necessário a sua
preocupação com a segurança, mas principalmente com as informações que nela
resguarda informações essas que como estudados precisam ter total privacidade e
confiabilidade junto aos clientes.
55
REFERÊNCIAS BIBLIOGRÁFICAS
ABNT. NBR ISSO/IEC 17799: Tecnologia da Informação – Código de prática a
gestão da segurança da informação. Rio de janeiro: ABNT, 2003
ABNT NBR11515: Critérios de Segurança Física Relativos ao Armazenamento de
Dados – Procedimentos. Rio de Janeiro: Abnt, 2001.
ALASI, Academia Latino Americana de Segurança de Informação. Introdução a
Segurança de Informação, Curso básico de Segurança de Informação módulo
1-8 - São Paulo –– Edição Microsoft TechNet, Revisão 1.1. 2006. (Apostila)
BEAL, Adriana. Segurança da Informação, Princípios e melhores Práticas para
Proteção dos Ativos de Informação nas Organizações. São Paulo: Editora Atlas S.A.,
2005
CAMPOS, André. Sistemas de Segurança da Informação. 2.ed.Florianópolis :
Visual Books, 2007.
CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil - Comitê Gestor da Internet no Brasil – 4 edição, São Paulo,
2012.
DIAS, Claudia. Segurança e auditoria da tecnologia da informação. Rio de
Janeiro: Axcel Books do Brasil, 2000.
FIREWALL – Conceito e principais tipos. Disponível em:
<http://www.jcvirtual.com.br/index.php/2011-12-29-12-54-04/130-firewall-conceito-e-
principais-tipos>. Acesso: 01 de Dezembro de 2013.
FONTES, Edison. Segurança da Informação: o usuário faz a diferença - São
Paulo: Saraiva, 2006
FREIRE, Alexandre. Sistema de Firewall e defesa de perímetros. Disponível
em: http://www.magicweb.com.br/afreire/publicacoes.htm>. Acesso em: 01 Dez
2013.
GODOY, Arilda Schmidt. Artigo de Pesquisa qualitativa: tipos fundamentais.
Revista de Administração de Empresas. São Paulo. V.35, p. 20-29.
HAIR JR, Joseph. [ET.al]. Fundamentos de métodos de pesquisa em
administração. Porto Alegre: Bookmam, 2005.
LAKATOS, E.M.;MARCONI, M. DE A. Fundamentos da Tecnologia
Cientifica.6.ed.5.reimp. São Paulo: Atlas; 2007
56
LAUDON, Kenneth C & LAUDON, Jane Price. Sistema de Informações
Gerenciais. 7. Ed. São Paulo. Pearson Prentice Hall. 2007
LEMOS, Aline Morais. Política de Segurança da Informação, Universidade Estácio
de Sá, Rio de Janeiro, 2001.
MALHOTRA, N.K. Pesquisa de marketing: uma orientação aplicada. 3ª Ed. Porto
Alegre: Bookman, 2001.
MOREIRA, Stringasci Nilton. Segurança Mínima: uma visão corporativa da
segurança de informações. Rio de Janeiro: Axcel Books, 2001.
NAKAMURA, Emilio Tissato, GEUS, Paulo Lício de. Segurança de redes em
ambientes cooperativos. São Paulo: Novatec, 2007.
NBR/ISO/IEC 17799. Tecnologia da Informação – Código de prática para a gestão
da segurança da informação. Rio de Janeiro: Associação Brasileira de Normas
Técnicas, 2001. 56p
NBSO. Práticas de segurança para administradores de redes Internet. São
Paulo, 2003. Disponível em: <http://www.cert.br/docs/seg-adm-redes/seg-adm-
redes.html>. Acesso em: 12 Jun. 2013.
PRODANOV, C.C; ERNANI, C.F. Metodologia do trabalho cientifico: Métodos e
Técnicas da pesquisa e do trabalho acadêmico. 2ª Ed. Novo Hamburgo, RS:
Feevale, 2013.
SÊMOLA, M. Gestão da Segurança da Informação – Uma visão executiva. 3. Ed.
Rio de Janeiro: Elsevier, 2003. 160p.
SOUSA, Jorge Pedro. Elementos de Teoria e Pesquisa da Comunicação e dos
Medias. 1 ed. Portugal: Edições Universidade Fernando Pessoa, 2003.
VERGARA, Sylvia Constant: Gestão de Pessoas; São Paulo: Atlas, 2009.
VIEIRA, M.M; ZOUAIN, D.M. Pesquisa Qualitativa em administração. 2ª Ed. Rio
de Janeiro, RJ. Editora FGV, 2006.
YIN, R.K. Estudo de caso: planejamento e métodos. Tradução: Daniel Grassi. 2.
Ed. Posto Alegre: Bookman, 2001
