Revista Pensar Tecnologia, v.4, n.2, jul. 2015
Segurança da Informação Para Arquivos Digitais em Um Órgão daAdministração Pública.
Information Security for Digital Files into an Organ of Public Administration.
Juliano Faustino Alves1
Cristiano Antônio Rocha Silveira Diniz2
Resumo:Este artigo tem como objetivo apresentar uma análise sobre as práticas utilizadas porfuncionários de determinado órgão público de belo horizonte, quanto aos riscos adisponibilidade,integridade ou confidencialidade dos arquivos digitais desta instituição. Realizou-seuma pesquisa de tipo exploratória com pesquisa de campo, reunindo para explicitar o temafundamentação teórica específica e afim ao objeto de pesquisa.Palavras-chave: Arquivos digitais. Copias de segurança. Risco.Ameaça.Vulnerabilidade.
Abstract:Thispaperaims to present if thecustoms of the officials in specific public agency of BeloHorizonte, threaten the availability, integrity or confidentiality of the digital files of this institution. Acomparison of data between documentary researchwas done, compared with the theoretical basis ofthe present authors and a questionnaire administered to employees of theinstitution, so ananalysiscan be made and illustrated by graphs.Keywords: Digital files. Security copies. Risk. Threat.Vulnerability.
1 INTRODUÇÃO
Constitui-se tema desta pesquisa a segurança da informação para
arquivos digitais em um órgão da administração pública.
A lei nº 8.159, de 8 de janeiro de 1991, dispõe sobre a política nacional de
arquivos públicos, privados, definindo a responsabilidade referente à gestão,
proteção de documentos públicos e sua classificação.
1Graduando do curso Bacharelado em Sistemas de Informação pela Faculdade Inforium de
Tecnologia. [email protected] da Faculdade Inforium de Tecnologia, Pós-graduado em Gestão de Segurança da
Informação [email protected].
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
Considera-se também a aplicação dessa lei para os arquivos armazenados em
meio digital. Ressalta-se, que existe o risco de perda ou indisponibilidade desses
documentos públicos devido ao desgaste dos equipamentos, ações, naturais ou
humanas (intencionais ou não intencionais).
Os dados armazenados em computadores compartilhados por vários usuários
estão sujeitos a se perderem, pois cada usuário tem um nível de conhecimento
diferente sobre informática e alguns usuários têm mais conhecimento sobre
segurança da informação e utilizam com mais atenção, outros menos.
Caso não existam cópias de segurança, desses arquivos digitais
armazenados nos computadores, no caso da ocorrência de algum incidente, ou dano
físico ao equipamento, os arquivos armazenados, podem se perder
permanentemente.
Segundo Fialho Júnior (2007), as cópias de segurança são instrumentos para
compensar – ou tentar sanar - problemas advindos de hardware, como por exemplo,
uma pane no disco rígido, ou de software, como a invasão do sistema por hackers,
ataques de vírus, perda acidental de arquivos, conflitos no sistema operacional, etc.
Esses arquivos necessitam estar sempre disponíveis para servir como
instrumento de apoio à administração, à cultura, ao desenvolvimento científico e
como elemento de prova de informação, segundo a lei 8.159, de 8 de janeiro de
1991.
Assim, justifica-se a relevância deste tema pela necessidade de se avaliar os
costumes dos usuários de um setor publico, para se verificar, se esses costumes
precisam ser monitorados e os usuários capacitados com informações sobre
segurança da informação, com o objetivo final de induzi-los a práticas que
preservem a integridade dos dados.
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
Quanto à metodologia do estudo, trata se de uma pesquisa do tipo
exploratória quando se buscou reunir uma base conceitual e teórica para explicitar o
objeto de estudo. Utilizou-se como técnica a pesquisa bibliográfica (fontes
secundárias), em autores tais como Laureano (2005); Nakamura e
Geus(2007);Fialho Junior (2007) ; Ferreira e Araújo (2008).
A pesquisa documental (fontes secundárias) procede a uma análise do que
preconiza a Lei nº 8.159, sobre a política de arquivos públicos e privados.
Realizou-se uma pesquisa de campo utilizando-se um questionário com
questões fechadas, aos funcionários de uma instituição publica, para medir o nível
de conhecimento sobre segurança da informação, como de suas práticas
relacionadas ao ambiente de trabalho, para traçar um perfil dos funcionários em
relação a seus costumes em ambiente de profissional.
O objetivo geral do estudo é verificar se as melhores práticas sobre segurança
da informação condizem com o modo e com os costumes presentes no ambiente de
trabalho dos funcionários de uma determinada instituição pública.
São objetivos específicos: identificar se é cultura dos usuários dos
computadores de uma determinada instituição pública fazer cópias de segurança;
examinar se a interação com os computadores e outros funcionários da instituição,
põe em risco a disponibilidade dos dados armazenados nestes computadores;
identificar vulnerabilidades e ameaças que podem gerar situações de risco que
causem problemas de perda de dados; avaliar se é necessário maior controle sobre
as permissões de acesso ao perfil de administrador dos usuários.
Para compreensão deste tema, este trabalho foi dividido em cinco seções. A
seção 1, esta introdução e indicativa de estudo; a seção 2 apresenta os conceitos
com uma abordagem teórica sobre o tema de segurança da informação, a seção 3detalha os procedimentos metodológicos utilizados na pesquisa de campo; a seção
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
4 que analisa os resultados obtidos na pesquisa de campo, e a seção 5, discorre
sobre as considerações finais do artigo.
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
2 ABORDAGEM TEÓRICA SOBRE SEGURANÇA DA INFORMAÇÃO.
Impõe-se a necessidade de se proteger os documentos públicos
independentemente de sua classificação. Os arquivos classificados como
permanentes contêm valor histórico, probatório e informativo que devem ser
preservados para consultas de interesse da sociedade em geral.
A lei nº 8.159 de 8 de janeiro de 1991 no capítulo II, artigo 8,define o seguinte
a respeito das classificações sobre os arquivos :
Art.8º - Os documentos públicos são identificados como correntesintermediários e permanentes.§ 1º - consideram se documentos correntes aqueles em curso ou quemesmo sem movimento constituam objeto de consultas frequentes.§2º - Consideram-se documentos intermediários aqueles que não sendo deuso corrente nos órgãos produtores, por razoes de interesse administrativo,aguardam a sua eliminação, ou recolhimento para guarda permanente.§3º-Consideram-se documentos permanentes os conjuntos de documentosde valor histórico, probatório e informativo que devem ser preservados.(BRASIL, 1991)
Os arquivos classificados como correntes e intermediários são objeto de
trabalho dos funcionários públicos, por isso, necessitam receber proteção para evitar
sua perda. Os arquivos digitais sob a guarda da administração pública precisam
atender a três pilares da segurança da informação: confidencialidade, integridade e
disponibilidade.
A confidencialidade diz que a informação está disponível para aquelesdevidamente autorizados; a integridade diz que a informação não édestruída ou corrompida e o sistema tem um desempenho correto, e adisponibilidade diz que os serviços/recursos do sistema estão disponíveissempre que forem necessários. (CARTILHA DE SEGURANÇA PARAINTERNET, 2005, p. 3).
2.1) Riscos ameaças e vulnerabilidades
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
Segundo Nakamura (2007) o ataque a um arquivo pode partir de dentro da
organização, tendo como autor os funcionários desta organização. Os funcionários
são os responsáveis pelos incidentes mais graves dentro de suas próprias
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
organizações. Apesar das pesquisas mostrarem que o número de ataques partindo
da internet já é maior que os ataques internos, os maiores prejuízo ainda são
causados por incidentes internos. A pesquisa do Computer Security Institute
demonstra que no período entre 2001 e 2002, o número de ataques de fora das
redes das instituições aumentou, porém o tipo de ataque que causa maiores perdas
é o que envolve o roubo de propriedade intelectual, que está relacionada a
funcionários internos, concorrentes ou governos estrangeiros.
O risco de ataque (com iminente perda dos dados) é o produto de quando
uma ameaça encontra uma vulnerabilidade. Laureano (2005) assinala que a ameaça
pode ser definida como qualquer ação, acontecimento ou entidade que possa agir
sobre um ativo, processo ou pessoa, através de uma vulnerabilidade,
consequentemente, gerando um determinado impacto. Uma ameaça sozinha não
causa dano, o problema é quando a ameaça se encontra com uma vulnerabilidade.
Este autor define que vulnerabilidade é a parte de qualquer sistema que é
suscetível a um ataque, ou seja, uma condição encontrada em determinados
processos, configurações, etc.
Pode-se considerar uma vulnerabilidade o exemplo em que um funcionário
que possui função de auxiliar administrativo que possui acesso a um usuário
administrador, e com isso, apagar um arquivo de outro usuário em um computador
compartilhado, remover um programa com dados importantes para a instituição, ou
instalar algum programa incompatível com os interesses da organização.
Com base nessas definições, consideram-se como exemplos de ameaça aos
dados da instituição as seguintes situações: funcionários com acesso a informações
e permissões das quais não necessitam para exercer suas atividades de trabalho,
funcionários que compartilham suas senhas de acesso ao computador ou as senhas
de acesso ao e-mail com outros funcionários e funcionários que não realizam cópias
de segurança dos arquivos com os quais trabalham diariamente.
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
A norma NBR ISO 27002 (2005) define que a segurança da informação é
fundamental tanto para os negócios do setor público como para do privado. O risco é
também sobre o costume de alguns funcionários de compartilhar suas senhas
pessoais de acesso ao computador ou e-mail com colegas de trabalho, esta
atividade pode ser considerada uma potencial ameaça, uma vez que pode ocorrer o
risco de funcionário utilizar o usuário de outro funcionário, e apagar arquivos deste
usuário.
Sobre este ponto de vista, Ferreira e Araújo (2008) afirmam que os
colaboradores devem manter suas senhas como informação confidencial. Não deve
ser permitido compartilhá-las, nem acessar sistemas de outros colaboradores sem
autorização expressa, conforme hierarquia interna de responsabilidades para
autorizações.
Determinados recursos tecnológicos da empresa podem ser acessados
apenas mediante o fornecimento de uma senha válida, ou seja, as senhas
são utilizadas para prevenir acessos não autorizados à informação.
(FERREIRA e ARAUJO, 2008, p. 88)
Outro risco do compartilhamento de senhas seria utilizar um funcionário com
usuário padrão, utilizar o acesso de um usuário administrador para instalar
programas para uso pessoal, de interesse adverso e potencialmente prejudiciais a
instituição, como por exemplo, jogos de computador, programas pirateados, vírus.
O usuário Administrador (ou root) é de extrema importância, pois detém todos
os privilégios em um computador. Ele deve ser usado em situações onde um
usuário normal não tenha privilégios para realizar uma operação. (CARTILHA
DE SEGURANÇA PARA INTERNET, 2005, p. 14)
Esse conceito está de acordo com o conceito defendido pelos autores Ferreira
e Araújo (2008), os quais indicam que se deve ser cauteloso com o nível de acesso
que cada usuário possui sobre as informações da instituição, pois a organização
deve somente disponibilizar recursos tecnológicos aos colaboradores (funcionários
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
ou terceiros) autorizados, de modo a auxiliá-los no desempenho de suas funções e
na execução dos trabalhos.
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
Dentro de uma organização, as informações têm vários níveis de acesso, ou
seja, uma informação relevante para o trabalho de um funcionário pode não
ser importante para o trabalho de outro. Já uma informação confidencial, que
pode ser acessada somente pelos gerentes, por exemplo, não pode chegar
aos demais funcionários. (NAKAMURA e GEUS, 2007, p. 362)
Assim um funcionário que trabalha apenas executando os programas já
instalados computador não será necessário utilizar perfil de conta de administrador
do computador, pois este pode fazer alterações que causem dano em seu
funcionamento, como a desinstalação de algum programa importante para a
instituição, ou instalação de programas piratas e jogos eletrônicos. “O uso de
software pirata está diretamente associado à propagação de vírus em ambientes
informatizados”. (FERREIRA e ARAUJO, 2008, p. 92). Assim, a conta com perfil de
administrador deverá somente ser possuída pelo funcionário responsável pela
administração do sistema.
A outra ameaça em potencial aos arquivos digitais armazenados em
determinada instituição pública, é a não criação por parte dos funcionários de cópias
de segurança dos arquivos em que trabalham. Segundo Ferreira e Araújo (2008), o
usuário dos recursos tecnológicos é responsável pela segurança das informações da
organização, que estão sobre sua responsabilidade. Esse ponto de vista entra em
contradição com os costumes dos usuários apresentados pela Cartilha de
Segurança para internet onde está registrado que: a maior parte dos usuários
considera não ser de sua responsabilidade realizar cópias de segurança.
Esse conflito é gerado por que apesar de os usuários serem as pessoas mais
indicadas a produzir as cópias de segurança, justamente por trabalharem com estes
arquivos e possuírem conhecimento de quais são os mais importantes, muitos não
consideram ser de sua responsabilidade esta atividade.
A Cartilha de Segurança para internet (2005) define que as cópias de
segurança dos dados armazenados em um computador são importantes, não só
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
para se recuperar de eventuais falhas, mas também das consequências de uma
possível infecção por vírus ou de uma invasão. Ainda orienta que a frequência das
realizações de cópia de segurança e a quantidade de dados armazenados nesta
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
cópia dependem da periodicidade com que o usuário cria sua própria política para a
realização de cópias de segurança. Esse ponto de vista pode ser confirmado por
Fialho Junior (2007) o qual acrescenta que a cópia de segurança é a melhor forma
de prevenção e recuperação das informações, já que os dados podem voltar
fielmente para o disco quando se for necessário.
Com base nessas definições, pode se afirmar que quem deve estabelecer
quais arquivos devem ser copiados, é o proprietário dos arquivos, deste modo,
haverá menos cópias de arquivos desnecessários, pois o mesmo por trabalhar com
seus arquivos diariamente poderá indicar quais arquivos são modificados com mais
frequência e a importância dos mesmos.
Segundo Fialho Junior (2007), a frequência dos backups dependerá
diretamente da relevância que os dados possuem para a empresa em que trabalha,
assim como da quantidade de informações a serem processadas. Essa definição é
complementar à definição sobre os cuidados a serem tomados ao se realizar cópias
de segurança dos arquivos, segundo a Cartilha de Segurança para internet (2005)
que assinala que as cópias de segurança devem conter apenas arquivos confiáveis
do usuário, ou seja, que não contenham vírus.
3 METODOLOGIA DA PESQUISA
Esta seção tem como objetivo detalhar os procedimentos metodológicos
realizados na pesquisa para se verificar a necessidade de se programar uma política
de segurança. Realizou-se uma pesquisa do tipo exploratória com pesquisa de
campo.
Quanto à delimitação do universo da pesquisa, trata-se de funcionários de um
setor de uma administração pública localizada na cidade de Belo Horizonte, no
Hospital João XXIII. Os funcionários possuem em sua maioria formação na área
médica (médicos e enfermeiros) e funcionários da área administrativa.
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
Realizou–se a pesquisa por amostragem aleatória por acessibilidade. Como
instrumento de pesquisa, utilizou-se de um questionário com questões fechadas,
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
aplicado pelo próprio autor deste estudo, no ambiente de trabalho da empresa. Para
o tratamento dos dados levantados na pesquisa, teve-se com recurso a estatística
descritiva.
O questionário aplicado teve como objetivo abordar:
-se os costumes praticados pelos funcionários no ambiente de trabalho
condizem com as boas praticas em segurança da informação, e se esses costumes
já vieram como cultura interna do funcionário ou se foi adquirida por algum
documento informando à conduta que deveria ser adotada na instituição,
-o nível de preocupação em relação à perda de arquivos digitais do setor em
que trabalha com relação à prática de se fazer cópias de segurança, diariamente,
semanalmente, mensalmente ou a não execução dessas cópias,
-se os funcionários compartilham suas senhas de usuário de sistema ou correio
eletrônico ou se possuem usuário administrador de sistema.
-a ação dos funcionários ao receber um endereço de internet via correio
eletrônico, ou arquivo anexo via correio eletrônico.
4 APRESENTAÇÃO E ANÁLISE DOS RESULTADOS DA PESQUISA
No tipo de amostragem aleatória por acessibilidade obteve-se 15 questionários
respondidos. O gráfico 1 mostra que todos os funcionários não tiveram nenhum
conhecimento sobre o documento oficial do Departamento de Informática da
Instituição, que contivesse regras de conduta ou informações sobre segurança dos
arquivos digitais.
Gráfico 1 - Quantidade dos funcionários que foram informados da existência de regras de segurançaa serem seguidas para a execução de suas atividades nos computadores da instituição.
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
Fonte: Dados de pesquisa
O gráfico 2, indica que 80% dos funcionários já possuíram algum contato com
cursos de informática, porém a capacitação em cursos de informática não garante
que os usuários possuam boas práticas em relação a segurança da informação.
Gráfico 2 - Quantidade dos funcionários que possuem alguma capacitação ou curso na área de
informática.
Fonte: Dados de pesquisa
Para avaliar o risco de perda de arquivos pela ausência de criação de cópias
de segurança foi analisado a frequência com que os usuários produzem cópias de
segurança de seus respectivos arquivos de trabalho. O gráfico demonstra que
aproximadamente metade dos funcionários não possui esta prática (gráfico 3).
Gráfico 3- Frequência com que os funcionários costumam fazer cópias de segurança nos arquivos
digitais com que trabalham.
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
Fonte: Dados de pesquisa.
Com este resultado pode se considerar que 53,3% dos entrevistados
possuem o risco de perda dos arquivos em um eventual incidente, visto que 8 em 15
funcionários não possuem costume de fazer cópia de segurança.
Apesar de os funcionários não possuírem a prática de fazer cópias de
segurança, 60% deles admitiram possuir preocupação com a possibilidade de se
perder os arquivos digitais com que trabalham (gráfico 4).
Gráfico 4- Nível de preocupação dos funcionários com a hipótese de perda dos arquivos
armazenados em seu computador de trabalho.
Fonte: Dados de pesquisa.
Outro risco é o compartilhamento de senhas de sistema ou e-mail e a
utilização de um usuário de sistema administrador por um funcionário que não
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
necessita de permissões especiais. Este risco pode ser considerado baixo, pois a
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
maior parte dos funcionários respondeu não compartilhar a senha com outros
funcionários (gráfico 5).
Gráfico 5 - porcentagem dos usuários que compartilham a senha de usuário do computador ou
usuário de e-mail com outro(s) funcionário(s).
Fonte: Dados de pesquisa.
O risco de utilização indevida do usuário com perfil de administrador do sistema
de também pode ser considerado baixo, pois somente um usuário possui perfil
administrador de sistema e o mesmo possui curso na área de tecnologia da
informação e atua no suporte de informática aos usuários do setor (gráfico 6).
Gráfico 6 - porcentagem dos usuários que possuem perfil de usuário administrador no (s) computador
(es) em que trabalha?
Fonte: Dados de pesquisa.
Este resultado indica que os riscos de deleção de arquivos de um funcionário
por outro está minimizada. Visto que quase todos os usuários possuem perfil padrão
e não conseguem acesso as pastas dos outros usuários.
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
Para analisar os riscos de perda ou alteração dos arquivos caso os usuários
possuíssem perfil de administrador do sistema e compartilhassem suas senhas foi
analisada a questão 7, porém este risco foi considerado baixo. Apesar de 40% ter
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
respondido perceber alguma alteração, esta pode ter sido causada por atualização
de software por parte do administrador do sistema, visto que todos os outros
funcionários possuem usuários padrão (gráfico 7).
Gráfico 7- Porcentagens dos usuários que perceberam alterações em seu computador
desconhecendo como estas ocorreram.
Fonte: Dados de pesquisa.
O risco de alguma pessoa conseguir acesso a algum arquivo de outro usuário
também pode ser considerado baixo, já que a maior parte dos funcionários.
Respondeu bloquear o computador ao se afastar dele (gráfico 8).
Gráfico 8- Porcentagem dos usuários que bloqueiam o computador ao se afastar dele.
Fonte: Dados de pesquisa.
O risco de acontecer algum dano aos arquivos da instituição por acesso a
algum endereço de internet que possa infectar o computador por vírus enviado por
correio eletrônico pode ser considerado médio, uma vez que 60% dos usuários
responderam que possuir o costume de verificar os remetentes dos endereços de
internet enviados em anexo a sua caixa de correio eletrônico (gráfico 9).
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
Gráfico 9- Quantitativo das ações dos usuários ao receber um endereço de site por e-mail.
Fonte: Dados de pesquisa.
O risco de acontecer algum dano aos arquivos da instituição por acesso a
algum arquivo anexo enviado via correio eletrônico pode ser considerado baixo, uma
vez que apenas 20% dos usuários responderam não verificar os remetentes dos e-
mails antes de acessá-los.
Gráfico 10- Quantitativo das ações dos usuários ao receber um arquivo anexado por e-mail.
Fonte: Dados de pesquisa.
O risco de o software antivírus não ser atualizado pode ser considerado
médio, sendo que 40% dos funcionários atualizam o antivírus periodicamente.
Gráfico 11-Porcentagem dos usuários que atualizam o antivírus do computador.
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
O risco acerca da infecção por vírus por mídias removíveis como pen-drives e
discos compactos (CD) pode ser considerado alto, pois 93% dos usuários
informaram que não executam o programa antivírus para buscar por ameaças
nessas mídias removíveis antes de acessá-las.
Gráfico 12-Porcentagem dos usuários que realizam varreduras em buscas de vírus em mídias
removíveis.
Fonte: Dados de pesquisa.
5 CONSIDERAÇÕES FINAIS
O presente trabalho considerou uma análise da pesquisa de campo deste estudo
com base na pesquisa exploratória realizada. Esta teve como base os costumes em
relação à prática de cópias de segurança, compartilhamento de senhas de usuário, e
conhecimentos na área de informática em relação a segurança da informação de
arquivos digitais.
Assim buscou-se reunir no estudo uma base teórica que permitisse mostrar
quais são as praticas mais recomendáveis para a manutenção de uma boa política
de segurança.
Verificou-se durante a aplicação do questionário que a maioria dos
funcionários desconhece ou não confirma ter recebido informações sobre as regras
de conduta com arquivos digitais públicos.
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
Encontrou-se um potencial de ameaça aos arquivos digitais públicos. A
maioria dos funcionários não faz cópias de segurança dos arquivos que trabalha,
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
apesar de se preocupar com a potencialidade de perda dos mesmos, no entanto
muito pouco é feito para evitar este cenário. A pesquisa mostrou que o risco de um
funcionário causar danos nos arquivos digitais de outros funcionários é baixo, pois a
maior parte dos entrevistados não possui acesso de administrador ao sistema, além
de serem poucos os que compartilham suas senhas com outros usuários.
Foram consideradas baixas as possibilidades de infecção por vírus baixados
por e-mail visto que a maioria dos usuários verifica os remetentes dos arquivos, e
não acessa sites ou arquivos enviados por pessoas desconhecidas. O risco de
infecção por mídias removíveis foi considerado alto, pois a maioria dos usuários não
executa escaneamento de vírus ao receber alguma destas mídias.
Este estudo permitiu mostrar que há necessidade da criação por meio das
gerências de uma cultura de cópias de segurança dentro da instituição, onde cada
funcionário deve ficar responsável por criar sua própria rotina de cópias de
segurança, assim tornar segura a disponibilidade, integridade e a confidencialidade
dos arquivos digitais da instituição.
REFERÊNCIAS
BRASIL. Lei Nº 8.159. Presidência da República, 8 de janeiro de 1991. Disponívelem<https://www.planalto.gov.br/ccivil_03/leis/l8159.htm> Acesso em 20 de março de2014.
CERT.br, Cartilha de segurança para internet, Setembro de 2005, Disponível em<http://cartilha.cert.br/sobre/old/cartilha_seguranca_3.0.zip> Acesso em em 22 demaio de 2014.
FERREIRA, Fernando Nicolau Freitas. ARAÚJO, Márcio Tadeu de.Política desegurança da informação – Guia Pratico Para Elaboração e Implementação 2ªEdição Revisada. Rio de janeiro, Editora Científica Moderna Ltda.,2008. ISBN 978-85-7393-771-8 259 pg.
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
FIALHO Jr., Mozart. Guia Essencial do Backup. São Paulo: Digerati books,Universo dos Livros Editora Ltda. ,2007. ISBN 978-85-60480-23-4. 128 pg.
LAUREANO, Marcos Aurelio Pchek, Gestão de Segurança da Informação, 2005,Disponívelem<http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf>Acessoem 29 de maio de 2014.
NAKAMURA, Emilio Tissato;GEUS,Paulo Lício de. Segurança de redes emAmbientes Cooperativos. São Paulo. Editora Novatec, 2007. 488pg.
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
APÊNDICE
Ficha para o questionário de segurança da informaçãoQuestionário de Segurança da Informação-Termo de Consentimento Livre eEsclarecido1 - Você está sendo convidado (a) para participar, como voluntário, de uma pesquisa
sobre suas práticas no ambiente de trabalho. No final, ao clicar no botão “Submit”
estará aceitando enviar suas respostas para posterior análise.
2- Sua participação não é obrigatória, e a qualquer momento, você poderá desistir
da participação e retirar seu consentimento.
3- As informações desta pesquisa serão confidenciais, e serão divulgadas apenas
em artigos, ou publicações científicas, não havendo identificação dos participantes,
em momento algum do processo, sendo assegurado o sigilo total sobre suas
informações.
4- As respostas somente serão analisadas em conjunto, impedindo qualquer tipo de
análise individual dos participantes. A pesquisa será feita por tempo indeterminado,
podendo ser finalizada a qualquer momento.
1-Quando começou a trabalhar no local de trabalho atual, foi informado daexistência de regras de segurança a serem seguidas para a execução de suasatividades nos computadores da instituição?1-Sim2-Não 3 - Não sabe informar
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
2–Possui algum curso na área da computação? (Pode se escolher uma oumais opções)
1-Informática básica (Windows e Office) 2-Graduação/Técnico 3-Outros4-Não possui
3-Com que frequência costuma fazer Back-up nos arquivos digitais em quetrabalha?
(Considere Back-up como: Criar uma cópia completa do(s) arquivo(s) em quetrabalha e salvar esta cópia em pen-drive,CD/DVD ou computador diferente do quevocê utiliza diariamente.)
1- Diariamente 2-Mensalmente 3-Raramente4-Não Faz
4- Quanto se preocupa com a hipótese de perda dos arquivos armazenados noseu computador de trabalho?
1- Preocupa-se muito2 – Preocupa-se3- Não se preocupa 4- Não sabe informar
5-Compartilha sua senha de usuário do computador ou usuário de e-mail comoutro(s) funcionário(s)?
1- Sim 2- Não
6-Possui perfil de usuário administrador no (s) computador (es) em quetrabalha?
1- Sim 2- Não 3- Não sabe informar
7-Alguma vez já surgiu alguma “alteração” em seu computador sem sabercomo a mesma aconteceu? (Considere alteração como: Programas novos
instalados, alteração de página inicial do navegador de internet, surgimento ou
desaparecimento de arquivos)1-Sim2 - Não 3 - Não sabe informar
8 - O que você costuma fazer com o computador quando se afasta dele?1-Bloqueia o computador. 2- Deixa o computador desbloqueado. 3-Desliga o computador ou fazLogoff. 4-não sabe informar
9-Qual é a ação do usuário ao receber um link de site por e-mail?1- Verifica se conhece o remetente e abre. 2- Abre sem conhecer o remetente. 3- Não sabe informar.4 - Não abre
10-Qual é a ação do usuário ao receber um arquivo anexo por e-mail?
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
1- Verifica se conhece o remetente e abre. 2- Abre sem conhecer o remetente. 3- Não sabeinformar4 - Não abre
Revista Pensar Tecnologia, v.4, n.2, jul. 2015
11- O antivírus do seu computador é atualizado?1-Sim 2 - Não 3 - Não sabe informar
12-Qual é a ação do usuário ao receber uma mídia como pendrive, cd, etc?1-executa um escaneamento com o programa antivírus antes de acessá-lo2-não executa escaneamento, e abre os arquivos contidos na mídia3-não sabe informar
Top Related