Embed Size (px)
Citation preview
FACULDADE DE INFORMÁTICA E ADMINISTRAÇÃO PAULISTA
CENTRO DE PÓS-GRADUAÇÃO
CURSO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
ANTÔNIO EVERARDO NUNES DA SILVA
FELIPE NASCIMENTO SOUZA
O VAZAMENTO DE INFORMAÇÕES CORPORATIVAS
São Paulo
2007
2
ANTÔNIO EVERARDO NUNES DA SILVA
FELIPE NASCIMENTO SOUZA
O VAZAMENTO DE INFORMAÇÕES CORPORATIVAS
Monografia de Conclusão de Curso apresentada como exigência parcial para obtenção do título de pós-graduação Lato Sensu em Gestão de Segurança da Informação Orientador: Prof. Sérgio Alexandre Simões
São Paulo
2007
3
ANTÔNIO EVERARDO NUNES DA SILVA
FELIPE NASCIMENTO SOUZA
O VAZAMENTO DE INFORMAÇÕES CORPORATIVAS
Monografia de Conclusão de Curso apresentada como exigência parcial para obtenção do título de pós-graduação Lato Sensu em Gestão de Segurança da Informação
Aprovada em: __ / __ / ____
BANCA EXAMINADORA
___________________________________________________________________ Sérgio Alexandre Simões
Orientador
___________________________________________________________________ Prof.(a) [Titulação e Nome]
___________________________________________________________________ Prof.(a) [Titulação e Nome]
4
Dedicamos às nossas esposas e filhas que são nossas
eternas musas inspiradoras, pois tiveram a paciência e
compreensão em aceitar a divisão do nosso tempo na
consecução deste trabalho. A vocês todo o nosso carinho
e eterno agradecimento.
5
AGRADECIMENTOS
A toda equipe de professores da turma 5 LF do curso de
Gestão de Segurança da Informação da FIAP, pelo
profissionalismo, dedicação e empenho na transferência
de valorosos conhecimentos que serão úteis em nossa
carreira profissional.
À professora Aldilene pela paciência e presteza no
atendimento de nossas cruciais dúvidas sobre a
metodologia necessária para realização deste projeto.
Ao nosso orientador, professor Sérgio Alexandre Simões,
pela indicação deste importante tema e também por suas
valorosas orientações para a realização deste trabalho.
6
RESUMO
O presente trabalho trata do tema o vazamento de informações corporativas, problema este que tem permeado de notícias os principais veículos de comunicação e com isto tem se consolidado como uma das principais ameaças à segurança da informação nas organizações. O objetivo deste estudo é destacar a importância do tema considerando que muitas das informações estratégicas e confidenciais das empresas simplesmente vazam por falta de um tratamento profissional dispensado ao assunto. Este trabalho foi estruturado em três partes. A primeira parte aborda a contextualização do tema visando demonstrar a relação entre o desenvolvimento da economia, a evolução da tecnologia e as implicações advindas para o cotidiano das empresas. A segunda parte trata mais especificamente dos fatores que mantêm relação com o vazamento de informações nas organizações. Por fim, a terceira parte busca apresentar alternativas para mitigar este problema nas organizações. Buscando respaldar este estudo foi realizada ainda uma pesquisa constituída de duas etapas. A primeira etapa da pesquisa é composta de questões fechadas onde se buscou justificar as principais afirmações e conclusões apresentadas no decorrer do presente estudo. Por outro lado, já na segunda etapa se buscou identificar as cinco ações prioritárias para mitigar a ocorrência deste tipo de problema nas empresas. Considerando a afirmação de vários autores de que em segurança da informação praticamente não existe nada totalmente seguro, evitar a ocorrência do vazamento de informações em sua plenitude é pouco provável. Porém é fato que muito ainda se pode realizar nas empresas para mitigar este risco. É importante destacar que muitas das ações para inibir ou até mesmo, em certos casos, evitar o vazamento de informações são decorrentes de melhorias nos processos de tratamento das informações sensíveis nas empresas e também da necessidade de programas de conscientização constantes, pois por mais automatizados que estejam os processos, sempre existirá o elemento humano, ou seja, pessoas usando, manipulando e até mesmo vazando as informações corporativas.
Palavras-chave: Engenharia Social; Políticas de Segurança da Informação;
Processos de Conscientização; Vazamento de Informações.
7
ABSTRACT
The following project is about corporate information leak. This problem has been in the news in the most important means of communication, and it has become one of the main threats to the information security in organizations. The objective of this study is to highlight its importance, considering that many of a company’s strategic and classified information simply leak because of not having a more professional way of dealing with it. This project was structured in three parts. The first approaches a contextualization of this topic, and also shows the connection between the economy’s development, the technology evolution and their implications in a company’s day by day. The second part is about the factors that connected to information leak in the companies. And the third presents alternatives to solve this problem in organizations. A research was also made in two steps. The first one is made of closed-ended questions, and we tried to justify the main affirmations and conclusions presented in this study. On the second step we tried to identify the five prioritary actions to reduce these types of problems in companies. According to many book writers, there is nothing completely safe in information security, and completely avoiding information leak from happening is quite unlikely. However, there is too much that can be done to reduce this risk in companies. It is important to highlight that the actions taken to prevent these problems from happening are the causes of improvements on the processes of classified information dealing, and also of the need of constant programs to make employees aware of the implications. Even though most of the processes are automatized, there will always be the human factor, which means that people will use and manipulate and even leak corporate information.
Key-words: Social Engineering; Information Security Policies; Security Awareness
Processes; Leak of Information.
8
- SUMÁRIO
1. INTRODUÇÃO ....................................................................................9
2.1. A globalização da economia ...................................................................14
2.2. A sociedade digital..................................................................................16
2.3. A segurança da informação e o cenário atual.........................................18
3. O VAZAMENTO DE INFORMAÇÕES...............................................22
3.1. O elemento humano ...............................................................................27
3.2. A engenharia social ................................................................................29
3.3. A concorrência e a espionagem..............................................................32
3.4. A tecnologia ............................................................................................35
4. A PROTEÇÃO DAS INFORMAÇÕES...............................................40
4.1. A análise de riscos..................................................................................40
4.2. As políticas de segurança da informação ...............................................44
4.3. Os processos de conscientização...........................................................50
4.4. Os controles de auditoria e o monitoramento .........................................53
5. A PESQUISA ....................................................................................59
5.1. Principais conclusões - parte 01 da pesquisa.........................................61
5.2. Principais conclusões - parte 02 da pesquisa.........................................64
CONCLUSÃO .......................................................................................70
REFERÊNCIAS.....................................................................................72
APÊNDICE A ........................................................................................77
APÊNDICE B ........................................................................................79
-
9
1. INTRODUÇÃO
A presente pesquisa se configura como Trabalho de Conclusão de Curso de MBA
em Gestão de Segurança da Informação da Faculdade de Informática e
Administração Paulista e apresenta suas justificativas para a escolha do tema, bem
como a sua delimitação.
O escopo da pesquisa trata do tema o vazamento de informações corporativas, de
tal forma que possibilite destacar que este problema é atualmente uma das maiores
ameaças à segurança da informação dentro das empresas. Muito embora exista a
percepção de que isto somente ocorre com os outros, o problema está muito mais
perto de nós do que se imagina. Visando analisar o tema do vazamento de
informações corporativas, circunscrito à área de Segurança da Informação, a
presente pesquisa foi estruturada em três partes descritas a seguir de forma
sumariada.
A primeira parte aborda a contextualização do problema de vazamento de
informação, visando com isto situar o tema e também demonstrar a relação entre o
desenvolvimento da economia, a evolução da tecnologia e as implicações advindas
para o cotidiano das empresas. Nesta etapa são relatados vários casos de
vazamento de informações corporativos divulgados na mídia.
A segunda delas procura indicar quais são as principais variáveis e ameaças
envolvidas no vazamento de informações, baseadas na opinião de especialistas da
área de segurança da informação e em pesquisas de mercado que fundamentam e
respaldam este presente estudo.
Finalmente, na terceira e última parte, tendo por base os assuntos discutidos
anteriormente, procuramos identificar alguns processos e controles que possam ser
aplicados nas empresas visando à mitigação do risco de vazamento de informação
10
corporativo. Optamos por mesclar soluções já utilizadas em larga escala nas
empresas com outras que ainda estão se estabelecendo dentro do mundo
empresarial.
Segundo Fontes (2005, p. 1), em seu livro Segurança da Informação – O usuário faz
a diferença, “a informação tem valor para organização e sem a informação, a
organização não realiza seu negócio”, acreditamos nesta afirmação. Dessa forma,
torna-se crucial para as empresas proteger e zelar por suas informações
estratégicas para garantir sua competitividade e mesmo sobrevivência. O vazamento
de informações corporativas é uma realidade nos dias atuais, o noticiário está
repleto de manchetes sobre o tema, uma simples pesquisa no site Google pode
comprovar esta afirmação.
Diante deste fato, acreditamos que este estudo possa contribuir no esclarecimento
de algumas questões sobre este tema bem como permitir uma melhor compreensão
dos elementos motivadores e das causas para a ocorrência do vazamento de
informações corporativas, despertando assim uma maior atenção para o problema.
Esperamos também que este trabalho possa trazer contribuições para que as
empresas possam reduzir este tipo de risco, mediante a adoção de mecanismos de
controles que possibilitem mitigá-lo, uma vez que, eliminá-lo por completo é
praticamente impossível, considerando todos os elementos envolvidos.
A pesquisa foi realizada a partir do seguinte problema central: Por que ocorre o
vazamento de informações corporativas nas empresas? A partir deste problema a
pesquisa apresenta a seguinte hipótese de trabalho: O vazamento de informações
corporativas nas empresas ocorre essencialmente pelo fator humano no processo de
controles destas informações, seja por negligência ou intencionalmente.
Para fundamentar as nossas conclusões, além da leitura e estudo de livros, textos e
artigos relacionados ao assunto, aplicamos um questionário sobre o tema a
profissionais das áreas de Segurança da Informação e Auditoria de Sistemas.
11
2. A CONTEXTUALIZAÇÃO
O problema do vazamento de informações corporativas tem se tornado uma das
principais ameaças à segurança da informação para as empresas, contudo, para
entender melhor este fenômeno é necessário contextualizá-lo uma vez que isto
envolve as profundas mudanças econômicas ocorridas nas últimas décadas
caracterizadas, sobretudo, pelo fenômeno da globalização que ensejou a
necessidade de reestruturação por parte das empresas bem como a revolução
tecnológica, notadamente, aquela que surgiu com o advento da Internet que
propiciou o aparecimento da sociedade digital. Vivemos então a era da informação,
e esta informação tornou-se um ativo de valor inestimável para as empresas e que
precisa, portanto, ser protegida das diversas ameaças, dentre as quais, a ameaça do
vazamento de informações corporativas.
O contexto atual é marcado por uma economia baseada no conhecimento, quem
tem o conhecimento possui o poder. Saímos de uma economia baseada na indústria
para uma economia baseada na informação e quem souber analisar e interpretar
estas informações compreenderá melhor o seu ambiente e estará mais apto a
enfrentá-lo. Sobre este tema Brasiliano (2002, p. 19) afirma que há duas décadas o
mundo sofreu profundas mudanças e que estas provocaram rupturas com os antigos
equilíbrios. O autor ainda complementa que o final do século combinou uma série de
alterações de caráter político, econômico, social e tecnológico a tal ponto de
podermos afirmar que estamos vivendo uma quarta era, impulsionada pela
tecnologia.
12
Ainda sobre este tema Pinheiro (2007, p. XXIX) afirma que:
A revolução da informação, iniciada em 1957, com a criação do primeiro mainframe, determinaram o início da digitalização da sociedade. Vivemos assim em uma sociedade globalizada, caracterizada por uma total interdependência de forma interativa e em uma rede mundial.
Pinheiro (2007, p. 3) complementa ainda que “Toda mudança tecnológica é uma
mudança social, comportamental, portanto jurídica”, de tal forma que isto implicará
também em mudanças no ordenamento jurídico vigente.
Julgamos também ser importante analisar as profundas mudanças e as
transformações políticas, sociais e econômicas que afetaram a vida das empresas,
ocorridas nas últimas décadas, notadamente a partir da década de 80, caracterizada
principalmente pelo fenômeno da globalização da economia. Acrescente-se ainda a
este cenário a ocorrência de um aprofundamento nas descobertas técnicas e
científicas nas últimas décadas do século XX, a propagada revolução tecnológica.
As inovações ocorridas nos campos da informática, telemática, de novos materiais e
da biotecnologia impulsionaram a transformação do padrão de organização da
produção e do trabalho, afetando assim diretamente os processos das empresas e,
por conseguinte, a vida das pessoas no ambiente de trabalho e também no
ambiente doméstico.
Segundo Srour (2003, p. 17) alguns tradicionalistas afirmam que os valores e
costumes também se degeneraram, a permissividade se espraiou e as pessoas
deixaram então de ter caráter. Contudo, tais afirmações vêm se repetindo ao longo
dos séculos em constância interminável. É necessário também destacar duas
implicações decorrentes do fenômeno de globalização da economia, são eles: (1) o
13
sentimento de pertencer ou como diriam outros, o vestir a camisa da empresa, foram
valores que sofreram profundas transformações e o (2) o próprio processo de
terceirização das atividades meio praticado pelas empresas, visando com isto
alcançar uma maior produtividade e também mais eficiência para fazer face ao um
mercado altamente exigente e competitivo. Acreditamos que estes fatores possam
ter contribuído para uma maior incidência dos problemas de vazamento de
informações corporativas nas empresas, uma vez que, quando o emprego e a
sobrevivência das pessoas encontram-se ameaçadas, os valores morais são
relegados a um plano secundário, prevalecendo assim na maioria das vezes os
instintos mais básicos do ser humano como, por exemplo, o instinto de
sobrevivência.
Ainda sobre este assunto Srour (2003, p. 17) comenta que nas economias
monetárias, os desvios de conduta sempre ocorreram incentivados principalmente
por interesses egoístas. Srour complementa ainda este assunto com duas
observações. A primeira delas, diz respeito ao próprio enfraquecimento do controle
social exercido pelas agências ideológicas tradicionais, tais como: a família, a
comunidade local, a escola e a própria igreja, principalmente nas grandes
metrópoles, nas quais a atomização dos agentes sociais virou regra. A segunda
observação e não menos importante refere-se à explosão e a diversificação da
mídia, uma vez que, sua dependência da publicidade paga pelos grandes
anunciantes diminuiu, tendo hoje uma maior relação de independência e, portanto,
pode exercer o seu papel de denunciar e apurar os fatos com maior isenção e ainda
acrescentamos um terceiro fator que seria a tecnologia, pois entendemos ser cada
vez mais comum o manuseio de informações de forma descentralizada por parte das
14
pessoas, e assim com certeza a alteração ou a cópia destas informações torna-se
muito mais fácil.
2.1. A globalização da economia
O processo de globalização da economia, apesar da maioria das pessoas ter esta
percepção, não é um fenômeno recente, este processo se iniciou nos séculos XV e
XVI, com a expansão marítimo-comercial européia e continuou nos séculos
seguintes. Entretanto, existe uma diferença notória entre aquele que ocorreu no
passado e este atual, sendo que a diferença fundamental é justamente a velocidade
e também a abrangência deste processo, muito maior hoje que no passado. Alie-se
a isto também a própria derrocada do Sistema Econômico Socialista real. Temos
assim um mundo capitalista e globalizado impulsionado pela necessidade de
surgimento de um mercado mundial único que quebra as barreiras de distância entre
as nações, e que, mediante um processo ágil de transferência de capital em todo o
mundo, internacionaliza, de forma ampliada, toda a atividade econômica.
Contudo, o nosso foco não é o aprofundamento das características deste fenômeno,
mas suas implicações na vida das empresas, uma vez que, o seu concorrente
deixou de ser a empresa do lado e passou a ser qualquer empresa em qualquer um
dos continentes, ou seja, a competição entre as empresas passou a ser em escala
mundial requerendo também das pessoas um melhor nível de capacitação, inclusive,
quanto ao conhecimento de outros idiomas e culturas. Sobre este assunto Brasiliano
(2002, p. 27) acrescenta que a globalização se constitui em uma peça essencial
para explicar os fenômenos e processos mundiais no início deste novo milênio. A
15
transição é total, pois segundo ele, envolve ao mesmo tempo, não somente o
domínio econômico mais também o estratégico, o político e também o tecnológico.
Neste cenário os agentes dinâmicos da globalização não são os governos, nem os
seus representantes, mas sim as empresas transacionais e os conglomerados, que
efetivamente dominam uma grande parte da produção, também do comércio e ainda
da tecnologia e por fim das próprias finanças internacionais.
No mundo globalizado a competitividade entre as empresas passa a ser questão de
sobrevivência e assim exigem delas uma postura empreendedora e com visão
estratégica de inovação constante. Todavia, como o poder das empresas (quanto ao
domínio de tecnologias, de capital financeiro, de mercados, de distribuição, dentre
outros) é desigual, isto desencadeia também relações desiguais entre elas e o
mercado. Sob este prisma, a globalização pode ser entendida como uma nova etapa
do capitalismo e que veio estabelecer o atual movimento de reordenação das
relações internacionais estando, sobretudo, caracterizado pela existência de um
acelerado desenvolvimento tecnológico, pela microeletrônica, robótica, engenharia
genética e informática implicando assim no surgimento da sociedade da informação,
fenômeno este que teve a sua origem na expansão dos veículos surgidos na
primeira metade do século XX, conceitos estes defendidos por Alvin Tofler como
sendo a terceira onda ou sociedade da informação.
16
2.2. A sociedade digital
Vivemos em uma era em que as empresas para poderem sobreviver lastreiam suas
atividades na informação. Isto representou uma migração do centro de gravidade
operacional ocorrido dentro das mesmas, o que resultou em uma transição do centro
de gravidade passando de trabalhadores manuais para trabalhadores intelectuais, e
assim o crescimento empresarial não está mais baseado em músculos, mas sim na
mente das pessoas segundo Drucker (1999 apud BRASILIANO, 2002).
Ainda sobre este tema, Brasiliano (2002, p. 28) afirma que migramos da era
industrial na qual a capacidade de produção era o fator primordial de competitividade
para um novo cenário, onde o conhecimento passa a ser o fator determinante da
capacidade de inovação das organizações, definindo assim a posição competitiva
das mesmas. Assim o conhecimento torna-se o principal fator diferenciador e
decisivo para o sucesso das organizações.
Segundo Pinheiro (2007, p. 13) há de se ressaltar que a informática surgiu da idéia
de beneficiar e facilitar a vida do homem em suas atividades do cotidiano e
principalmente em seus afazeres repetitivos. O computador é assim o dispositivo
que permite o tratamento de dados e, por conseguinte, das informações. A autora
ainda afirma que a necessidade de instrumentos que auxiliassem o homem a
processar suas informações remonta de seus primórdios. Podemos ilustrar esta
afirmação, por exemplo, com o caso dos antigos pastores que faziam uso de pedras
para contabilizar seus rebanhos. Um outro exemplo desta realidade fora o ábaco,
utilizado pelos mercadores em épocas remotas das civilizações mais antigas.
17
Avançando um pouco no tempo temos a invenção do primeiro computador pessoal
com mouse e interface gráfica pela Xerox, a invenção da linguagem HTML
propiciando assim a Tim Bernes Lee o desenvolvimento do projeto World Wide Web.
Dentro deste processo evolutivo temos finalmente o surgimento da Internet que
transformou o mundo em uma verdadeira aldeia global, na medida em que, propiciou
não somente o encurtamento das distâncias como também a transmissão de texto,
voz e de imagem, a denominada multicomunicação.
Sobre este assunto Dawel (2005, p. 54) afirma que com o advento da Internet surgiu
uma nova era caracterizada, sobretudo, por estruturas administrativas mais enxutas,
pelo surgimento de empresas, por negócios e pelo advento do dinheiro eletrônico,
onde as cifras astronômicas circulam em fios e ondas de satélite ao redor do planeta
e ainda pela globalização das empresas, dos negócios e ainda pela concorrência até
mesmo na questão do emprego. Despontou assim um novo e importante ativo que
passa a fazer parte do valor das empresas e este ativo é o capital intelectual. Nesta
nova era a informação vale dinheiro, portanto, empresa deverá proteger não só os
seus ativos reais, mas principalmente o seu capital intelectual e as suas informações
críticas e estratégicas.
Complementarmente a este assunto, Fontes (2006) afirma que a informação
independente de seu formato, é um ativo importante da organização. Dessa forma, é
extremamente necessário que os ambientes e os equipamentos utilizados para o
seu processamento, armazenamento e sua transmissão sejam protegidos. Ele ainda
afirma que sem a informação, a organização não realiza seu negócio, sendo,
18
portanto, prudente e recomendável buscar formas e meios de proteção para este
importante ativo das empresas.
2.3. A segurança da informação e o cenário atual
O vazamento de dados corporativos tem causado prejuízos da ordem de US$ 1,82
milhão por ano, segundo a pesquisa Datagate: The Next Inevitable Corporate
Disaster, realizada pela McAfee (apud TIINSIDE, 2007), na qual foram consultados
1,4 mil profissionais de TI de empresas nos Estados Unidos, Reino Unido, França,
Alemanha e Austrália. É bom destacar também que esses números estão crescendo
e de forma muito rápida, adverte Cláudio Bannwart (2007), especialista em
segurança digital da Compugraf, quando ressalta que o vazamento de informações
pode ocorrer em um simples clique no botão enviar de um e-mail, em uma conversa
pelo instant messaging, no acesso a servidores de webmail, pela utilização de
dispositivos móveis, PDAs, celulares, pen drives e até mesmo nos casos de roubo
de notebooks.
Segundo ainda Bannwart (2007) o momento é bastante preocupante considerando
que as empresas têm enfrentado diversos problemas dessa natureza. A mídia já tem
realizado um importante papel ao alertar o mercado, contudo, as empresas muito
pouco tem feito para proteger suas informações. Barros (2005, p. 20) da mesma
forma informa que na Califórnia (EUA), diversas empresas relataram que os dados
de vários consumidores foram roubados. Uma das vantagens dessa divulgação junto
à mídia é que, assim é possível analisar cada caso sob o aspecto de segurança,
19
identificar as prováveis causas e dessa forma tentar melhorar os processos internos
nas empresas para assim poder mitigar este risco.
Segue também algumas outras notícias extraídas do livro de Edison Fontes visando
ilustrar o atual cenário da insegurança da informação.
� Eli Lilly deixa vazar 600 e-mails de pacientes (Washington) – o laboratório
farmacêutico Eli Lilly desculpou-se publicamente pelo vazamento do endereço
eletrônico de mais de 600 pacientes com depressão, bulimia ou distúrbio
compulsivo-obsessivo cadastrados no site da empresa [...]. O problema surgiu
quando um funcionário da Lilly aparentemente sem treinamento enviou um e-mail
rotineiro para os clientes, incluindo o endereço de todos no campo Para:
relevando assim o endereço de cada destinatário aos demais [...] a empresa
concordou em fazer revisões de segurança e conformidade em seu programa de
privacidade [...] (FONTES, p. 7).
� Fator pagará multa por uso de informação privilegiada (Rio de Janeiro) – pela
primeira vez na história financeira do país, uma empresa gestora de fundos de
investimentos, a Fator Administração de Recursos, foi punida por uso de
informação privilegiada - insider information – [...]. Este caso refere-se ao
processo de privatização da Companhia Paranaense de Eletricidade (Copel), em
2001 [...] (FONTES, p. 8).
Complementando o assunto vejamos também algumas outras notícias veiculadas na
Internet sobre o mesmo tema.
� Coca-Cola: secretaria é condenada a 8 anos por roubo de segredo - a ex-
secretária da Coca-Cola acusada de roubar segredos da gigante dos
refrigerantes e tentar vendê-los à rival Pepsi por US$ 1,5 milhão foi condenada a
20
oito anos de prisão. A sentença foi determinada nesta quarta-feira. [...] as provas
mostram que ela queria ferir a Coca-Cola. Ela achava que estava sendo tratada
de forma injusta pela empresa, afirmou o juiz Owen Forrester, da corte federal de
Atlanta (PORTAL TERRA, 23.05.2007).
� Informações sigilosas são vendidas em CDs na Santa Efigênia em SP – na rua é
possível conseguir até dados de declarações da Receita Federal. Além de
produtos eletrônicos e CDs com cópias ilegais de músicas, jogos e programas de
computador (PORTAL GLOBO.COM, 24.04.2007).
� Estudo diz que 45% dos funcionários roubam informações quando mudam de
emprego – a maior parte dos pesquisados diz que a propriedade intelectual de
suas empresas é utilizada pela concorrência - quase metade dos profissionais de
diversos setores admitiram que já levaram informações com eles – desde
documentos e listas até, propostas de vendas e contratos – quando mudam de
trabalho [...] (PORTAL IT WEB, 11.05.2007).
Ainda sobre este tema Edgar D’Andréa (PORTAL EXAME, 20.07.2007) afirma que
os escândalos financeiros e éticos que envolveram diversas corporações nos últimos
anos tiveram a sua origem na manipulação de informações e exploração de
vulnerabilidades nos sistemas de controle interno por membros da alta
administração. O desfecho foi tenebroso implicando no desaparecimento ou falência
dessas corporações, prejudicando milhares de pessoas, como investidores,
acionistas minoritários, parceiros de negócio e também os próprios colaboradores.
É compreensível a atitude das empresas em tentar esconder ou minimizar os
problemas decorrentes do vazamento de informações para preservar a imagem e a
21
reputação da empresa. Sobre este tema podemos citar ainda Benjamin Franklin
(apud ECCLES, p. 72) que certa vez disse: “É preciso muitos atos bons para
conquistar uma boa reputação, e apenas um ruim para perdê-la”, justificando assim
esta postura defensiva e conservadora. Por outro lado segundo Dawel (2005, p. 31):
“É nessa hora que é preciso tomar medicação contra o FUD”. O fator FUD, acrônimo
de fear (medo), uncentainty (incerteza) e doubt (dúvida), referem-se às pessoas
que agem baseadas nesses sentimentos e norteiam suas ações por eles. Assim
sendo, quando um vazamento de informações ou uma fraude ocorre, o instinto de
sobrevivência dos empresários será adotar uma postura de esconder ou minimizar o
incidente, não cabe aqui julgar se esta postura é certa ou errada, mas simplesmente
evidenciar que esta tem sido a prática mais usual.
22
3. O VAZAMENTO DE INFORMAÇÕES
A definição do Dicionário Houaiss (PORTAL UOL, 18.10.2007) da língua portuguesa
para o termo vazar informação é: “chegar (uma informação sigilosa) ao
conhecimento de outras pessoas, por denúncia, engano, indiscrição ou negligência”.
Tendo-se em mente a definição acima e conforme foi evidenciado no capítulo
anterior, o vazamento de informações corporativas é uma realidade irrefutável no
cotidiano das empresas sendo atualmente uma das maiores preocupações e
ameaças à segurança da informação no ambiente corporativo. Segundo a 9ª
Pesquisa Nacional de Segurança da Informação realizada pela empresa Módulo
Security Solutions publicada em 2003, conforme figura 1, destaca que 78% dos
entrevistados acreditam que os problemas com segurança da informação vão
aumentar, além disto, na mesma pesquisa é apontado também como uma das 05
principais ameaças à segurança das informações nas empresas. As principais
ameaças identificadas foram: vírus (66%), funcionários insatisfeitos (53%),
divulgação de senhas (51%) acessos indevidos (49%) e vazamento de informações
(47%).
23
Figura 1 – PRINCIPAIS AMEAÇAS À SEGURANÇA DA INFORMAÇÃO 9ª Pesquisa Nacional de Segurança da Informação Fonte: MÓDULO SECURITY SOLUTIONS (2003, p. 9) Observação: o total é superior a 100% devido à pergunta aceitar múltiplas respostas.
Segundo D’Andréa (2007) dentro do contexto das organizações, as ameaças de
roubo ou de uso indevido da informação poderão ter a sua origem interna ou então
externa. Entretanto, segundo ainda o autor os resultados das pesquisas sobre
segurança demonstram de forma consistente que a variedade das ameaças
originadas no ambiente interno é bem maior do que aquelas advindas do ambiente
externo. Segundo uma pesquisa global de segurança realizada pela
PricewaterhouseCoopers em 2006, 54% das organizações brasileiras informaram
que os incidentes de segurança tiveram origem de dentro da própria organização.
Dentro deste contexto não podemos deixar de destacar que além do vazamento de
informações proposital, ou seja, aquele praticado com intenção ou dolo existe
também o causado por descuido, negligência ou falha humana e que este último
ocorre com muito mais freqüência. Sobre este assunto Edison Fontes comenta com
muita propriedade em um recente artigo publicado no portal IT Web (13.04.2007) do
qual ele é colunista: “Meu pessoal é confiável! Não terei problemas de vazamento de
24
informação”. O autor acredita ainda que a primeira parte desta afirmação possa ser
verdadeira, contudo, adverte que o vazamento de informações não ocorre somente
ou exclusivamente através da má conduta das pessoas, muito pelo contrário, a
grande maioria, 70% ou mais dos problemas ocorrem por situações de erro. Dessa
forma, complementa o autor, mesmo aqueles funcionários confiáveis podem ter
vazado informações importantes sem ter se dado conta disto, alguém pode, por
exemplo, ter deixado informações confidenciais em cima da mesa ou então ter
jogado no cesto do lixo sem antes destruí-las de forma segura.
Segundo Mitnick (2003) “Roubar dados é muito mais fácil do que protegê-los”. No
final dos anos 90, após invadir as redes de grandes companhias americanas, Mitnick
foi preso pelo FBI. “Garantir segurança é muito desafiador. Para entrar, basta
descobrir uma única falha. E ela sempre existe. Não há como ter uma empresa
100% segura”, afirma Mitnick. O problema de vazamento de informações
corporativas deve ser analisado sob diversos aspectos não apenas aquele
ocasionado por condutas de má fé, mas também, e principalmente aqueles
decorrentes de erro ou falha humana, pois são as pessoas que lidam com as
informações nas empresas e errar é inerente à natureza humana, porém quando se
fala em vazamento de informações o assunto deve ser tratado de forma profissional
visto que, às vezes, o dito popular errar é humano e perdoar é divino nem sempre é
uma justificativa razoável e aceitável para consertar um grande estrago que afete a
imagem e a reputação da empresa.
Complementarmente a este assunto, na pesquisa Segurança Global 2006 realizada
pela consultoria Deloitte, constatou-se também que a era do hacker solitário, aquele
25
sujeito quase inconseqüente que se orgulhava de invadir ou derrubar sistemas de
provedores de sites de empresas ou espalhar vírus pelo maior número possível de
computadores, sempre para atrair o máximo de publicidade ao seu ato rebelde, está
passando por uma transição sensível. A principal ameaça que hoje bate às portas
dos sites corporativos trafega na sutileza e esperteza de verdadeiras organizações
criminosas, altamente especializadas no roubo de informações confidenciais.
Segundo a mesma pesquisa, a sofisticação dos ataques direcionados aos sistemas
que lidam com dados sigilosos de clientes e das próprias instituições que os mantém
é a principal tendência negativa indicada pela pesquisa. O roubo de identidade via
Internet, é apontado como um dos crimes emergentes do século XXI. Tipicamente
associado a fraudes com cartões de crédito ou extravios de correspondências, esse
tipo de delito acontece agora predominantemente na web.
Muito embora este assunto tenha se tornado presente nos principais noticiários é
interessante se questionar por que estas falhas de segurança permanecem
constantes em tantas empresas? Segundo César e Onaga (2007) basicamente isto
acontece por quatro motivos. O primeiro deles é que cobrir todos os aspectos para
garantir a proteção de todas as informações de uma organização não é apenas uma
tarefa complexa, é acima de tudo impossível. Existem frentes demais para se
guarnecer. A tecnologia sem dúvida é uma das mais importantes. Contudo,
informações confidenciais podem cair em ouvidos errados numa simples conversa
de elevador, em um simples telefonema dentro de um táxi ou mesmo durante um
happy hour onde quase sempre uns drinks a mais são tomados. O segundo motivo
é que se o arsenal tecnológico utilizado pela empresa, tais como: antivírus, firewall,
26
filtro de spam, detectores de intrusos evolui, o mesmo pode se dizer para os
programas usados pelos hackers. O terceiro motivo é o custo dessas proteções.
Uma boa proteção requer investimentos substanciais e o limite é a própria
imaginação dos próprios executivos. Pode-se, por exemplo, instalar leitores
biométricos nos computadores ou até proibir que celulares com câmeras sejam
utilizados nas dependências da empresa, a exemplo, daquilo já é praticado por
algumas empresas. O problema é que este tipo de controle tem também o seu
preço. O quarto e último motivo é que os cuidados básicos de segurança ainda não
fazem parte da rotina da maioria das organizações, e em muitos casos os problemas
somente são resolvidos pontualmente à medida que surge um incidente de
segurança. Segundo os autores a única maneira de lidar com essas quatro questões
simultaneamente é adotar uma ampla Política de Segurança da Informação. Tão
importante ou mais que ter uma política de segurança é colocá-la em prática, sob a
responsabilidade de um departamento específico.
Compreendemos assim que quando se fala em vazamento de informações
corporativas muitas são as variáveis e as ameaças a serem consideradas, tais
como: funcionários insatisfeitos, ex-funcionários, erro humano, as ações de crackers,
a espionagem, a engenharia social e também a tecnologia, além disto, surgem a
cada dia novas ameaças à segurança da informação. Por outro lado, a capacidade
de realizar negócios de uma empresa com mais agilidade, mais comodidade e mais
interatividade é uma premissa inquestionável dos dias atuais, sendo, portanto, o
grande desafio, buscar o equilíbrio entre segurança e uma maior agilidade para os
negócios.
27
3.1. O elemento humano
Sempre que uma informação necessita ser manuseada por uma pessoa, ela está
potencialmente em risco. Assim sendo, quando as empresas permitem o acesso
mais abrangente e mais profundo às informações, os riscos de segurança aumentam
de forma exponencial, não é a toa que tanto se afirma que as pessoas representam
o elo fraco da segurança da informação, quer seja por ações de desvio de conduta,
quer seja por ingenuidade, descuido ou mesmo por negligência, isto é um fato
irrefutável. Corroborando esta afirmação Marcelo e Pereira (2005, p. 8) enfatizam:
Em qualquer instituição, por mais segura que seja, tem sempre um fator que pode desequilibrá-la: o homem. A história de que um segredo deixa de ser segredo quando alguém sabe é uma das máximas que temos dentro da segurança da informação. Os grandes engenheiros sociais sabem disto e se aproveitam das fraquezas ou gostos pessoais de seus alvos para tentar se aproximar e conseguir a informação.
Quanto a este assunto, Mitnick (2003, p. 3) se pronunciou afirmando que uma
empresa pode ter adquirido as melhores tecnologias de segurança que o dinheiro
possa comprar, pode ainda ter treinado o seu pessoal tão bem que eles trancam
todos os segredos antes de ir embora e pode também ter contratado guardas para o
prédio na melhor empresa de segurança que existe. Mesmo assim essa empresa
ainda estará vulnerável.
Complementando este assunto foi publicada no portal Terra uma notícia que
corrobora também esta tese. Segundo esta notícia as pessoas são o ponto fraco da
segurança de computadores, dizem os especialistas. O maior ponto fraco na
segurança dos computadores não está no hardware ou no software, mas nas
28
pessoas que usam as máquinas [...]. A segurança é mais um problema humano do
que técnico, resumiu Dan Kaminisky, da Dox Para Research, na maior conferência
da indústria de informática, a DefCon, que terminou no domingo em Las Vegas.
Gerentes de redes presentes na conferência contaram que funcionários
freqüentemente deixam senhas em papéis colados nas máquinas ou debaixo dos
teclados e que compartilham códigos de acesso secretos com colegas, brincou
Smith (PORTAL TERRA, 08.08.2006).
Compreende-se então porque o cientista mais respeitado do mundo no século XX,
Albert Einstein (apud MITNICK, 2003, p. 3) corroborou esta tese quando afirmou
que: “Apenas duas coisas são infinitas: o universo e a estupidez humana, e eu não
tenho certeza se isso é verdadeiro sobre o primeiro”. Sobre este mesmo assunto
Edison Fontes (2006) na introdução do seu livro Segurança da Informação – O
usuário faz a diferença, afirma que quando o usuário conhece os motivos da
segurança da informação, ele tende a seguir os procedimentos e as ações para
efetivar a proteção das informações, justificando assim a necessidade constante dos
processos de conscientização para alertar as pessoas sobre a importância das
questões da segurança da informação.
Por outro lado, segundo uma pesquisa realizada pela Deloitte com 150 organizações
em um setor com alto grau de dependência tecnológica, no caso as instituições
financeiras, foram constatadas que 49% das organizações pesquisadas reportaram
ameaças geradas a partir do ambiente interno. Não é sem motivo que 96% da
amostra indicam apreensão com a possibilidade de má conduta de funcionários
envolvendo sistemas de informação e que 80% já contam com sistemas de
29
monitoramento para coibir essas práticas. A conclusão quanto a este quesito é de
que a forma tradicional de segurança, focada apenas em componentes técnicos e de
infra-estrutura, não é mais suficiente nos dias atuais.
Ainda sobre este tema Dawel (2005, p. 24) comenta que segundo dados divulgados
por analistas de mercado em uma conferência sobre segurança, 84% dos incidentes
de segurança vêm de dentro da empresa, e apenas 16% são de origem externa.
Esta informação foi também comprovada por uma outra pesquisa divulgada pelo
FBI, que aponta 80% dos incidentes como internos à organização. Segundo artigo
de Fábio Von Tein publicado na revista Security Review em 2005, diversos fatos
corroboraram tais estatísticas como, por exemplo, o caso do roubo de informações
de cartão de crédito de mais de 200 mil pessoas ocorrido na CARDSYSTEMS
(EUA), ou no banco Sumitomo, em Londres, onde ladrões instalaram um software
espião nos servidores do banco, além do caso da Apple, que está processando dois
ex-funcionários por roubo de informações sigilosas.
3.2. A engenharia social Quem é você? – perguntou uma morena maravilhosa quando me deitei a seu lado nas areias de Miami Beach. Qualquer um que eu queira ser – respondi. E, de fato, era.
Frank Willian Abagnale (2003)
Primeiramente para aqueles que não estão familiarizados com o tema Engenharia
Social torna-se necessário conceituá-lo. Segundo o SANS Institute, “Engenharia
Social é a arte de utilizar o comportamento humano para quebrar a segurança sem
que a vítima sequer perceba que foi manipulada”. Um outro conceito nos é
apresentado por Fontes (2006, p. 120) que diz que a engenharia social é o conjunto
30
de procedimentos e as ações que são utilizados para se adquirir informações de
uma organização ou de uma pessoa por meio de contatos falsos sem o uso da força,
do arrombamento físico ou então de qualquer brutalidade. Em outras palavras é a
velha e famosa conversa de malandro!
Sobre este assunto Fontes (2006, p. 120) ainda complementa que quando você
acessa um ambiente computacional, é necessário fazer a identificação e a
autenticação e que cada vez mais estes procedimentos irão se tornar mais
sofisticados e para respaldar esta afirmação podemos citar o exemplo da biometria
que cada vez mais está sendo utilizada como forma de autenticação segura. Sendo
assim, quando alguém quiser invadir ou então acessar informações de uma
empresa, será muito mais fácil ir pelo caminho da engenharia social. Segundo
Marcelo e Pereira (2005, p. 4) o engenheiro social sabe explorar algumas das
facetas do ser humano, tais como vaidade, humildade, egocentrismo fazendo uso de
técnicas de galanteio social, visando com isto obter informações a respeito de
alguém ou de uma empresa.
Segundo um estudo realizado pelo instituto Gartner publicado na Internet
(FOLHAONLINE, 03.11.2004) aponta a engenharia social como sendo a ameaça
hacker da próxima década. Segundo o instituto, esta será a principal arma a ser
utilizada para burlar a segurança dos sistemas de tecnologia da informação. O
Gartner define a engenharia social como sendo a manipulação de pessoas, e isto
inclui a possibilidade dos criminosos perpetuarem ações para convencer os usuários
a clicar em links ou então abrir arquivos anexados, mesmo contra a vontade deles.
31
Quando se fala de engenharia social, não podemos deixar de citar Kevin Mitnick, um
verdadeiro mestre na arte de enganar. Em seu livro Mitnick (2003, p. 3) comenta que
ao testemunhar no Congresso Americano, explicou que poderia conseguir senhas e
outras informações sigilosas nas empresas fingindo ser outra pessoa ou então
simplesmente solicitando essas informações. Complementando ainda este assunto
Mitnick (2003, p. 3) acrescenta que todos que acreditem que os produtos de
segurança sozinhos serão suficientes para garantir segurança estarão fadados a
sofrer da ilusão da segurança. Desta forma, a segurança da informação não é um
problema que pode ser solucionado apenas pela tecnologia – ela é um problema
que envolve muito mais as pessoas bem como a própria direção das empresas.
Esse é o caso de viver em um mundo de fantasia: mais cedo ou mais tarde eles
serão vítimas de um incidente de segurança. Assim podemos indagar qual é a maior
ameaça à segurança dos bens da sua empresa? E a resposta será: o engenheiro
social, um mágico inescrupuloso que faz você olhar a sua mão esquerda enquanto
com a outra mão rouba os seus segredos mais bem guardados. O pior com relação
a isto é que este indivíduo é sempre tão amistoso, cordial, desembaraçado e
prestativo que você com certeza ficará muito feliz em tê-lo encontrado.
Em um artigo publicado na revista Security Review, Balista (2005, p. 54) afirma que
atualmente o foco da segurança nas empresas passou a ser a educação dos seus
funcionários e que o maior foco de atenção deve ser ensinar formas de se proteger
contra a engenharia social. Toda a infra-estrutura de segurança das companhias
pode ficar comprometida sob ataques de engenharia social, sentencia. Não adianta
manter somente as ferramentas devidamente atualizadas se o usuário tem por
hábito deixar relatórios com dados críticos impressos sobre a mesa ou se não existe
32
nenhuma preocupação por parte da empresa quanto ao zelo e a necessidade de
proteção de suas informações críticas, afinal a segurança da informação deve ser
uma preocupação de todos.
3.3. A concorrência e a espionagem Aquele que conhece o inimigo e a si mesmo, ainda que enfrente cem batalhas, jamais correrá perigo. Aquele que não conhece o inimigo, mas conhece a si mesmo, às vezes, ganha, às vezes, perde. Aquele que não conhece nem ao inimigo nem a si mesmo está fadado ao fracasso e correrá perigo em todas as batalhas.
Sun Tzu (2005, p. 45)
Segundo um artigo de publicado na revista Exame que relata que dois dias antes do
Natal de 2005, o engenheiro XXXX XXXXX XXXXX pediu demissão da subsidiária
brasileira da Kromberg & Schubert, empresa alemã do setor de autopeças, para
assumir uma posição numa concorrente mundial da companhia, a também alemã
Leoni. Meses depois, um dos novos colegas de XXXX, incomodado com o sucesso
repentino do novo funcionário, tomou uma atitude incomum. Enviou e-mails
anônimos à diretoria da Kromberg levantando a suspeita de que XXXX tivesse
roubado informações estratégicas da empresa. As mensagens incluíam a planta da
fábrica da Kromberg e até mesmo esquemas de montagem de produtos e projetos
de peças ainda não lançadas no país. Os responsáveis pelo furto nem sequer se
deram ao trabalho de mudar o nome dos arquivos, que começavam com a sigla
KSBR (iniciais de Kromberg & Schubert do Brasil), seguida de números [...]. Este
relato trata de um caso típico de furto de segredos industriais, mas com uma
diferença fundamental: o criminoso não precisou de habilidade para cometer o delito.
Bastava a ele o acesso a um computador equipado com um gravador de CDs e uma
senha para a rede da empresa, ou seja, neste caso foi a própria vítima quem
33
colocou a disposição do autor as ferramentas para a prática do furto (CESAR;
ONAGA, 2007).
Um outro caso interessante sobre espionagem é o do americano Robert Philip
Hanssen, um pacato e exemplar funcionário do FBI - Federal Bureau of
Investigation, que lá trabalhou durante 25 anos e que foi preso em flagrante em
fevereiro de 2001 sob a acusação de ter agido como espião russo durante pelo
menos 15 anos. Durante este período ele repassou à União Soviética e também
para a Rússia importantes segredos de segurança, além de desvendar a identidade
de alguns agentes duplos. Robert Hanssen era um especialista em vigilância
eletrônica e contra-inteligência. Segundo depoimentos dele prestados ao FBI,
afirmou ter entregado aos russos mais de 6.000 páginas de documentos secretos.
Para executar este trabalho ele utilizava-se de sofisticados meios de comunicação e
de criptografia. Em troca de seus serviços ele teria recebido mais de US$ 600 mil em
dinheiro e diamantes. Os depoimentos atestam que os disquetes de computador,
bem como os documentos impressos entregues por Hanssen aos seus contatos
russos comprometeram numerosas fontes humanas de informação assim como, a
segurança dos Estados Unidos, incluindo algumas estratégias nucleares e de
inteligência do país (MATOS, 2007).
O estrago causado por Hanssen foi tamanho que muitos atribuem ser ele o
responsável indireto pelo desleixo da vigilância da espionagem dos EUA nos meses
que antecederam aos atentados de 11 de setembro de 2001, tamanha foi à
perplexidade que se abateu sobre órgãos de inteligência e de contra-espionagem
americanos.
34
Os dois casos de espionagem apresentados anteriormente ilustram bem o atual
cenário com o qual as empresas convivem diariamente. Entretanto muitas pessoas
de negócios lêem estas notícias e histórias e pensam que isto somente acontece
com o seu vizinho e esquecem de que os vizinhos pensam a mesma coisa até que
um belo dia infelizmente o problema bate a sua porta. Sun Tzu (apud BRASILIANO,
2002, p. 35-36) já contemplava a necessidade de se tomar a iniciativa para combater
o inimigo seja ele quem for. Estes ensinamentos constam do livro A Arte da Guerra
que reúne as idéias e preceitos defendidos por Sun Tzu há 25 séculos atrás.
Ainda hoje este preceito é totalmente válido principalmente em setores altamente
competitivos. Sun Tzu (apud BRASILIANO, 2002, p. 36) afirmou ainda que o que
possibilitava a um soberano inteligente e ao bom general atacar, vencer e conquistar
coisas além do alcance de homens comuns é a previsão. Esta previsão, contudo,
somente poderia ser alcançada por intermédio de outros homens que detém as
informações do inimigo, ou seja, os espiões e apenas por intermédio deles.
Atualmente, segundo ainda Brasiliano (2002, p. 38) quando a competição entre as
empresas ganhou uma dimensão global, as concorrências comerciais dentre elas
são encaradas como verdadeiras guerras onde os competidores não costumam mais
se preocupar muito com as regras, tornando assim necessário a monitoração da
concorrência. O autor ainda considera muito importante a existência de um
monitoramento da concorrência sendo isto imprescindível para o planejamento
estratégico das empresas, notadamente em mercados de hiper-competitividade. O
fato é que os grandes líderes atuais sabem disso, e que não se pode operar no
vácuo. Contudo, existe uma linha muito tênue entre a inteligência competitiva e a
35
espionagem, e o que se observa na maioria dos casos é que se usa o segundo
conceito como se o primeiro fosse. Portanto é necessário ter a plena consciência
deste fenômeno e adotar ações para se proteger, dessa forma, os espiões do
inimigo poderão ser convertidos.
3.4. A tecnologia O Big Brother não são os outros: somos nós! Câmeras em todo lugar, registros nossos em toda parte nos forçam a rever as formas tradicionais de agir e de se expor. Somos ao mesmo tempo vítimas e algozes de nossa curiosidade insaciável.
Mário Rosa (2006, p. 350)
Vivenciamos a era da revolução tecnológica onde a capacidade inventiva do homem
parece não ter fim e o céu para ser o limite. Praticamente todo dia surge uma nova
notícia sobre um novo produto, um novo sistema, uma nova tecnologia capaz de
revolucionar a vida das pessoas e das empresas. Conforme afirma Rosa (2006, p.
74) a nova tecnologia não é em si uma nova teoria, mas sim uma nova prática.
Dessa forma, devemos rever e mudar nossas práticas e repensar nossas atitudes
para poder conviver neste admirável novo cenário. Rosa (2006, p. 54) também
complementa afirmando que existe uma relação direta entre ética, moral e tecnologia
e que, muito embora, esta relação possa parecer evidente, existem ainda muitos
líderes e também muitas organizações que simplesmente ainda não se aperceberam
desta interação tão profunda e também tão fundamental. O autor ainda enfatiza que
não estamos vivendo uma revolução qualquer, mas sim uma revolução que se auto-
proclama a Revolução Tecnológica.
36
Vejamos a seguir algumas informações extraídas do livro de Mário Rosa (2006) – A
Reputação na velocidade do pensamento, notícias estas que servem para ilustrar o
atual cenário tecnológico dentro do qual estamos inseridos.
� Dois séculos por dia – é o volume de programação que as 31.750 emissoras de
TV e as 51.120 emissoras de rádio do planeta transmitiram durante um período
de 24 horas, em 2005 (CIA World Factbook).
� 2 milhões de kg – é o peso sobre nossas cabeças o tempo todo, na forma de
artefatos que giram hoje em torno da Terra. Lançados pelo homem nos últimos
cinqüenta anos. Apenas satélites de comunicação geo-estacionários, aqueles
que transmitem sinais de televisão, são 162, com peso entre 1 a 4 toneladas
cada um (United States Space Command/Nasa; Boeing Co. BBC).
� 7 milhões de olhos – é a estimativa de quantas câmeras de circuito fechado
vigiam os espaços públicos no mundo. Nesta conta não estão incluídos os
espaços privados (Estimativa baseada em The Growth of CCTV: a global
perspective on the international diffusion of video surveillance in public accessible
space/Clive Norris, Mike McCahill e Davil Wood/Surveillance & Society).
É inegável que a tecnologia traz consigo muitos benefícios como uma maior
produtividade, facilidade e comodidade, quer seja para a vida das pessoas, quer
seja para o cotidiano das empresas e isto é salutar e imprescindível nos dias atuais,
onde a impressão que se tem é que os dias estão cada vez mais curtos face ao
volume de tarefas que temos que realizar no limitado espaço de 24 horas. Por outro
lado, é inegável também que estas novas tecnologias trazem consigo alguns efeitos
colaterais muitas vezes indesejáveis. Um bom exemplo disto foi o caso do gravador
de CD que por ocasião do seu surgimento permitiu assim ser possível a gravação de
37
nossas músicas prediletas, contudo, o tão alardeado gravador de CD possibilitou
também o surgimento de uma nova indústria, a indústria da pirataria de músicas
implicando em enormes prejuízos para indústria fonográfica e uma guerra que
parece sem fim. Um outro exemplo emblemático disto foi o caso do gravador de
DVD, que de forma análoga ao gravador de CD propiciou também o surgimento de
uma nova indústria, no caso a indústria do filme pirata que tantos prejuízos têm
ocasionado para a indústria do cinema e do entretenimento.
Quando discutimos este assunto não podemos nos furtar de apresentar e comentar
a respeito de algumas notícias que corroboram esta realidade. Vejamos, por
exemplo, o caso de uma notícia publicada no portal IT Web que descreve uma
pesquisa realizada com gestores de TI mostrando que o uso de drives USB,
propagado dentro da rotina corporativa, é considerado uma ameaça de segurança
maior que o malware. Já em um outro estudo realizado pela Centennial Software
mostrou que 38,4% dos gestores de TI consideram os dispositivos portáteis de
armazenamento como principal preocupação de segurança. Em 2006, 25,7% dos
entrevistados já identificavam esta ameaça. Segundo esta pesquisa que consultou
370 profissionais de TI e que, segundo Bill Piwonka, vice-presidente de
gerenciamento de produtos da Centennial Software, destaca a facilidade com que é
possível baixar informações em tais dispositivos e sugere políticas de segurança
rígidas de controle para prevenir a transferência de dados sensíveis e com isto evitar
maiores problemas.
A referida pesquisa ressalta ainda que os referidos pen drives muitas vezes são
perdidos, implicando assim na necessidade de uso de criptografia nestes
38
dispositivos. A pesquisa ainda constatou que 80% dos entrevistados admitiram a
não existência em suas organizações de medidas efetivas de combate ao uso não-
autorizado de dispositivos portáteis, e que 43,2% citaram total ausência de controle.
O surpreendente nesta pesquisa é que apenas 8,6% proíbem o uso de tais
aparelhos apesar de todas as notícias sobre o vazamento de informações
divulgadas na mídia, como se o problema estivesse distante de nós e que isto não
pudesse nos atingir, o que não corresponde à realidade.
Uma outra preocupação bastante pertinente é quanto ao uso de notebooks
considerando que o roubo deste tipo de dispositivo tem ocasionado muitos
transtornos para as empresas, expondo dados e informações dos clientes,
comprometendo assim o sigilo destas informações e, por conseguinte, a imagem da
empresa a quem o cliente tanto confiou à tutela de suas informações e dados. Um
exemplo disto foi o caso de uma informação publicada no site de notícias do
Estadão que relatou o caso do roubo do Notebook da Boeing que expôs os dados de
382 mil pessoas. Dentre os dados que foram expostos constavam nomes, endereços
e números do seguro social das pessoas, sendo que estes dados não estavam
criptografados [...]. Este micro havia sido roubado do carro de um dos funcionários
da Boeing [...]. Com esta perda, o número de pessoas cujos dados foram expostos
[...] ultrapassa a casa dos 100 milhões segundo o site da Privacy Rights
Clearinghouse, uma organização de defesa da privacidade nos EUA [...] (O
ESTADAO.COM.BR, 18.12.2006).
Segundo uma pesquisa realizada pela Trend Micro e publicada no site de notícias do
IT Inside (27.09.2007) a respeito do comportamento de funcionários corporativos
39
móveis foi constatado que já é bastante elevado o índice de vazamento de dados
por este tipo de usuário. Segundo a referida pesquisa no Japão os usuários, tanto os
móveis quanto de desktops, são mais propensos do que os de outros paises a
fornecer informações confidenciais para colegas ou mesmo parceiros de negócios
através de mensagens instantâneas ou por webmail. Por outro lado, já nos EUA 58%
dos entrevistados que possuem esta modalidade de acesso à internet fora da rede
corporativa admitiram o envio de informações confidenciais por webmail [...]. de
acordo com o estudo que analisou 1,6 mil usuários os comportamentos de riscos são
preocupantes porque as ameaças da web são mais predominantes hoje, da mesma
forma que também apresentam um vetor de crescimento mais rápido.
Entendemos assim que o problema das novas tecnologias é bastante preocupante
sob o ponto de vista da segurança da informação, principalmente quando estamos
focados em prevenir a ocorrência do vazamento de informações corporativas.
Todavia, isto não significa que os profissionais de segurança da informação devam
ser contrários a inovação tecnológica até porque a tecnologia é também uma forte
aliada na resolução de problemas inerentes a segurança da informação. Contudo, é
fato inegável que devemos sempre ser cautelosos com as novas tecnologias, pois
prudência e caldo de galinha não fazem mal a ninguém.
40
4. A PROTEÇÃO DAS INFORMAÇÕES
4.1. A análise de riscos
Quando se fala de proteção das informações é necessário à identificação das
principais ameaças e dos correspondentes riscos que possam de alguma forma
contribuir ou mesmo facilitar que informações restritas, confidenciais ou estratégicas
venham sair de dentro da corporação de forma não autorizada.
D´Andrea (2000, p. 51) define risco como sendo “qualquer evento que possa causar
impacto na capacidade de a instituição atingir seus objetivos de negócio” e
complementa ainda que “o risco pode ser classificado e tratado como uma
oportunidade, uma incerteza ou uma ameaça”.
Segundo ainda o referido autor (D’ANDREA, 2000, p. 51) as classificações de risco
podem ser definidas da seguinte forma:
O risco como oportunidade está centrado no investimento e tem base em iniciativas estratégicas. Ele está relacionado à estratégia de crescimento da instituição e ao retorno dos investimentos. [...] O risco como incerteza, refere-se à preocupação com a eficiência operacional [...]. O risco como ameaça, refere-se à ocorrência de potenciais efeitos negativos, como perda financeira, fraude, roubo, abalo de imagem ou reputação, falhas da tecnologia ou aspectos legais.
Por estarmos tratando do tema vazamento de informações corporativas, a
classificação de risco mais adequada é de risco como ameaça, pois como já foi
41
apresentado, nos dias de hoje a informação é um ativo importantíssimo para as
empresas e estas devem ser protegidas da forma mais adequada.
Beal (2006, p. 12) define análise de risco como “uso sistemático de informação
(dados históricos, análise teórica, opiniões fundamentadas, preocupações dos
stakeholders) para identificar fontes e estimar o risco”, além disso, a autora ainda
define a avaliação de risco por “processo de comparação do risco estimado com
determinado critério de risco para determinar sua relevância”.
Quanto às várias metodologias existentes para a realização de uma análise e
avaliação do risco, Beal (2006, p. 24) as agrupa em dois grupos: quantitativas e
qualitativas:
Os métodos quantitativos de avaliação do risco são particularmente úteis quando se tenta buscar um equilíbrio ente os custos de implementação de medidas de segurança e o possível custo da não implementação dessa segurança [...]. Os métodos quantitativos são aconselháveis sempre que estiver sendo cogitada a adoção de uma medida de proteção de alto custo para a organização. Os métodos qualitativos trabalham com a descrição literal dos riscos para avaliá-los. Vários métodos de avaliação qualitativa do risco utilizam questionários e matrizes de risco. [...] O uso de métodos qualitativos podem beneficiar a organização que não dispõe de recursos financeiros, tecnológicos e de pessoal para realizar uma avaliação de risco muito sofisticada.
Seja qual for a escolha que a instituição realizar quanto ao método de análise de
risco, segundo D´Andrea (2000, p. 52) o fundamental é a implementação de um
ambiente de controle para o efetivo gerenciamento dos riscos. Ele afirma ainda que
para que os procedimentos de controles possam ser planejados, implementados e
monitorados é importante haver entre outros aspectos o comprometimento da alta
administração, envolvimento das áreas de negócio, tecnologia, controles internos,
42
compliance, segurança de informações e auditoria, além do monitoramento dos
processos de gerenciamento dos riscos.
A norma ISO/IEC 17799 (2006, p. 6) recomenda que sejam adotadas as seguintes
práticas quanto às análises e avaliações de riscos:
� Sejam realizadas periodicamente, para contemplar as mudanças nos requisitos
de segurança da informação e na situação de risco;
� Tenham um escopo claramente definido para ser eficaz;
� Antes de considerar o tratamento de um risco, a organização defina critérios para
determinar se os riscos podem ser ou não aceitos.
Baseado no capítulo anterior pode-se afirmar que as principais ameaças para que o
risco de vazamento de informação corporativa se concretize concentram-se
principalmente nos seguintes elementos: o fator humano, a engenharia social, a
espionagem e a tecnologia, sendo assim, torna-se necessário que a empresa
desenvolva um estudo do risco (risk assessment), que é definido segundo Beal
(2006, p. 12) como sendo o “processo global de análise e avaliação do risco”.
Por não ser o tema central deste estudo, não iremos nos aprofundar no
desenvolvimento da análise e avaliação do risco, porém queremos registrar alguns
aspectos que entendemos devem fazer parte destes processos ao se tratar do risco
de vazamento de informação.
43
Primeiramente é necessário que se faça a classificação dos processos de negócio
da empresa, para se identificar em quais deles existem informações que devem ser
protegidas de forma especial.
Em segundo lugar é importante identificar quais são as ameaças para estas
informações, por exemplo, sendo a informação “relatórios impressos de
movimentação de fundos de investimento de clientes” podemos ter como ameaças
os colaboradores da empresa não autorizados a ter acesso a este relatório, sendo
possível que uma dessas pessoas repasse esta informação para a concorrência.
Em seguida, devem-se identificar quais as vulnerabilidades que possam ser
exploradas pelas ameaças, fazendo com que estas alcancem o objetivo que é
acessar a informação. Em continuidade ao exemplo anterior, a impressão dos
relatórios de movimentação de clientes em um local de grande circulação na
empresa caracteriza-se como uma vulnerabilidade.
Por fim, avalia-se a probabilidade de impacto caso a vulnerabilidade identificada
venha a ser explorada. Baseado nestas informações inicia-se a fase de tratamento
do risco, onde em primeiro lugar, conforme a norma ISO/IEC 17799 (2006, p. 6)
recomenda, a organização deve definir os critérios para determinar se o risco pode
ser ou não aceito. A mesma norma explica que o risco pode ser aceito, se por
exemplo, o mesmo for avaliado como baixo ou se o custo do tratamento não for
economicamente viável para a organização.
44
Entretanto, uma vez que o risco não seja aceito, é fundamental que este seja tratado
estabelecendo-se controles e processos com os seguintes objetivos:
� Evitar que o risco se concretize através da exploração da vulnerabilidade;
� Transferir o risco para um terceiro, como por exemplo, uma companhia
seguradora;
� Reter, reduzir ou mitigar o impacto de um risco caso ele venha a se concretizar.
No exemplo tratado, é possível evitar a concretização do risco simplesmente
alterando-se o local de instalação da impressora, colocando-a em um lugar de
circulação restrita.
4.2. As políticas de segurança da informação
Sem dúvida o primeiro passo efetivo para se disciplinar a segurança da informação
dentro das organizações é a criação de uma Política de Segurança. A importância
do papel de uma Política de Segurança da Informação pode ser evidenciada pela
recente notícia publicada no Portal IT WEB em que segundo Sanchez (2007)
constata que a ameaça de demissão tem gerado adesão à Política de Segurança.
As ameaças de demissão estão entre os argumentos mais contundentes para que
os funcionários respeitem as Políticas de Segurança Corporativa. No Brasil, 56% dos
gerentes de TI acreditam que o acesso o material impróprio na Internet resulte na
perda de emprego, e que 44% dos demais colaboradores têm a mesma opinião.
Este é o resultado da pesquisa Web@Work realizada pela empresa de segurança
Websense.
45
A pesquisa comentada no parágrafo anterior demonstra claramente a importância de
uma Política de Segurança da Informação dentro dos ambientes corporativos.
Corroborando esta percepção Sêmola (2003, p. 105) afirma que uma Política de
Segurança tem um papel fundamental e, guardadas as devidas proporções, em
muito se assemelha à constituição federal de um país, pois é a política que dita as
regras fundamentais relativas à segurança da informação dentro das empresas.
Segundo ainda o autor a política assume uma grande abrangência e, por conta
disso, é subdivida em quatro grandes blocos: diretrizes, normas, procedimentos e
instruções, focando respectivamente às camadas estratégica, tática e operacional de
empresa.
Há de se ressaltar também que para o êxito do processo na implementação da
Política de Segurança da Informação é imprescindível contar com o apoio do corpo
diretivo da empresa e, sobretudo, com o exemplo quanto ao cumprimento da
política, sendo esta talvez a forma ideal de se legitimar a política de segurança da
informação dentro de uma empresa, pois sem este apoio a política pode perder a
sua credibilidade, e isto, é o que de pior pode acontecer para o processo de
implementação da política de segurança em uma organização. Sêmola (2003, p.
105) corrobora esta afirmação quando afirma que é notória a necessidade do
envolvimento da alta direção, refletida pelo caráter oficial com que a política é
disseminada junto ao quadro de colaboradores.
Sobre este assunto Fontes (2000, p. 107) afirma que nas organizações o processo
de segurança envolve aspectos técnicos, humanos e organizacionais e ainda que
quanto aos dois últimos, é primordial a existência de uma Política de Segurança e de
46
proteção da Informação. O autor ainda comenta que esta política deverá explicitar
junto aos colaboradores que a acessam e usam informações, qual é a filosofia da
empresa sobre este recurso, devendo ainda considerar as características
operacionais e culturais da organização, assim como o relacionamento vigente entre
as pessoas na organização.
Complementarmente a este tema Pinheiro (2007, p. 134-135) se manifesta
afirmando que a Política de Segurança da Informação é um documento jurídico no
modelo de diretriz e que define todas as regras, todos os padrões e também os
procedimentos obrigatórios para proteção dos ativos e atividades da empresa. A
autora ainda complementa comentando que todos os colaboradores são os
responsáveis pelo cumprimento da Política de Segurança da Informação da empresa
e para tanto é necessário haver uma ciência formal do documento quer seja de
forma convencional no caso de uma assinatura física ou então de forma eletrônica.
Ela ainda acrescenta que é necessária a existência de uma etapa de divulgação e
conscientização de toda Política de Segurança da Informação dentro da empresa,
tanto para se evitar a ocorrência de incidentes bem como para a proteção da própria
empresa na medida em que isto comprovará que a mesma cumpriu o seu papel ao
capacitar os seus colaboradores para o correto uso do ativo da informação.
Considerando que neste trabalho o objetivo é tratar do tema vazamento de
informações corporativas, é que, entendemos ser plenamente possível fazer uso da
Política de Segurança da Informação como elemento de inibição ou mesmo
preventivo para inibir o vazamento de informação, tão recorrente atualmente no
cotidiano das empresas. Entendemos ainda que alguns elementos são importantes e
47
que merecem ser destacados para que a Política de Segurança da Informação
possa exercer este papel, são eles:
1) Defina-se na Política de Segurança o que vem a ser Vazamento de Informações
– desta forma a compreensão deste conceito fica mais clara para todos os
colaboradores.
2) Existência de uma Política de Classificação da Informação - pois nem tudo na
empresa é confidencial e se vazar não trará conseqüências sérias ao negócio.
Por outro lado é necessário também que todos compreendam e saibam que
aquilo que é confidencial deve ser tratado como tal.
3) Existência de uma Política de Sanções Disciplinares – permitindo assim que
todas saibam das penalidades e sanções aplicáveis. Outro ponto importante é
que haja a adoção de critérios de proporcionalidade na aplicação das sanções
para se evitar os excessos ou os subjetivismos que possam advir.
4) Existência de um Comitê de Segurança da Informação ou Comitê de Ética - é
necessário que a empresa possua um colegiado composto por representantes de
diversas áreas da empresa para julgar os incidentes de segurança possibilitando
assim uma maior legitimidade quanto às decisões tomadas.
Há de se destacar também que no próprio Código Penal Brasileiro já existe a
previsibilidade para este tipo de crime, de tal forma que, aqueles que
deliberadamente praticam o vazamento de informações poderão responder a
processo, obviamente se comprovado for pela empresa. O Código Penal Brasileiro
em seus artigos 153 e 154, conforme figura 02, já prevê os crimes por Divulgação de
Segredo e Violação do Segredo Profissional. Assim entendemos que o que falta às
48
empresas é discutir o assunto, conscientizar os seus colaboradores e também
contemplar isto nas suas respectivas Políticas de Segurança.
Figura 02 – Código Penal Brasileiro Artigos 153 e 154 Fonte: AMPERJ – Associação do Ministério Público do Estado do Rio de Janeiro
Entendemos assim que se todos os colaboradores da empresa tiverem o pleno
conhecimento de que o vazamento de informações deliberado e intencional é crime
e, ainda que, a empresa na qual trabalham trata da segurança da informação de
forma profissional, treinando e orientando as pessoas e punindo as transgressões,
com certeza isto será um grande fator inibidor para este tipo de crime e com certeza
quem tiver intenção de agir desta forma pensará duas vezes antes de fazê-lo.
Corroborando as nossas conclusões Fontes (2000, p. 107) afirma que existem
algumas características que toda política deve possuir e caso não as possua com
certeza será possível se profetizar que terá vida curta ou mesmo cairá no descrédito.
49
Dentre as características apontadas pelo autor para o sucesso de uma Política de
Segurança da Informação podemos citar:
� Ser verdadeira – a política deve expressar o pensamento da empresa e possuir
coerência com as ações da organização.
� Ter o patrocínio da direção – o documento que formalizará a política de
segurança da empresa deve ser assinado pela alta direção, respaldando assim
junto a toda a organização a sua importância.
� Não ser um manual – a política não deve ser um mero manual de procedimentos.
Deve estabelecer as diretrizes e os desejos da alta direção, definindo as regras
estruturais e também os controles básicos para o acesso e uso da informação.
� Não ser um documento técnico – uma Política de Segurança da Informação não
deve conter definições técnicas.
� Ser simples - o grande desafio de uma política é que ela seja compreendida por
todos os colaboradores, independente do nível hierárquico, pois deve ser
obedecida por todos e para tanto precisa ser compreendida.
Acreditamos ainda que para o pleno sucesso de uma Política de Segurança da
Informação para que ela ganhe vida e torne-se efetiva é necessário fazer uso dos
processos de conscientização sendo este o assunto a ser tratado no capítulo
seguinte.
50
4.3. Os processos de conscientização
Segundo a 10ª da Pesquisa Nacional de Segurança da Informação realizada pela
consultoria Módulo Technology for Risk Management realizada em 2006,
abrangendo empresas privadas, públicas e de economia mista, identificou-se que o
principal problema da segurança continua sendo a falta de conscientização dos
executivos e usuários, conforme o figura 3. Este resultado já havia sido constatado
também na pesquisa realizada anteriormente.
Figura 3 – PRINCIPAIS OBSTÁCULOS PARA A SEGURANÇA DA INFORMAÇÃO 10ª Pesquisa Nacional de Segurança da Informação Fonte: MÓDULO TECHNOLOGY FOR RISK MANAGEMENT (2006, p. 7)
Sem dúvida a falta de conscientização em muito tem contribuído para o problema do
vazamento das informações corporativas, na medida em que, o assunto não é
tratado de maneira profissional, prevalecendo assim aquela crença de que o
problema não irá ocorrer na sua empresa até que um belo dia ele inevitavelmente
ocorre. Sobre este assunto Vaitsman (2001 apud BRASILIANO, 2002) afirma que
cerca de 10% dos faturamentos anuais das empresas são desperdiçados por conta
51
da perda de conhecimentos dos processos, dos métodos e das fórmulas de seus
próprios produtos, sem que, a alta gestão se dê conta disto.
Assim sendo, é muito importante a implementação de processos e ações voltadas
para o processo de conscientização dos usuários, mas sobretudo também, a
sensibilização do corpo diretivo, pois sem este importante apoio é muito difícil se
obter êxito nesta tarefa. Há de se destacar também que este processo é uma missão
árdua, pois estamos falando de mudança de comportamento das pessoas, e isto,
convenhamos não se muda por decreto, é um processo demorado e de longo prazo.
Sobre este assunto Ramos (2006, p. 247) informa que conscientizar pessoas sobre
a importância da Segurança da Informação muitas vezes parece uma tarefa inglória,
e que é muito comum ouvir de Security Officers que muito pouco acontece depois de
uma campanha. E ele ainda indaga por que isto é tão difícil? Simplesmente porque
estamos falando da mudança do comportamento das pessoas.
Sobre este assunto Fontes (2000, p. 115) cita a seguinte frase: “Nós não temos
cultura de segurança”. Sem dúvida esta é uma das frases mais ouvidas quando se
busca implantar um programa de proteção da informação. O autor ainda destaca que
alguém já disse, “a cultura é como o amor, deve ser conquistada”, e complementa
que o esforço de manter os usuários conscientizados deve ser constante, bem como
a tarefa de criar uma cultura de segurança da informação na empresa também deve
ser perpétua. Lembre-se de que todos os dias surgem novas ameaças e por isto
este processo deve ser contínuo.
52
Assim sendo, o importante é buscar a criatividade e formas variadas para se
disseminar a cultura dentro das empresas. Dentre estas iniciativas podemos citar:
� Realizar periodicamente palestras de conscientização.
� Os novos colaboradores devem ser treinados nas questões da Segurança da
Informação nos seus processos de integração.
� Enviar lembretes ou avisos importantes de Segurança da Informação com textos
curtos por e-mails.
� Divulgar notícias vinculadas na mídia sobre incidentes de Segurança da
Informação ocorridos com outras empresas visando sensibilizar os usuários
sobre o tema.
� Afixar nos locais de grande circulação cartazes e mensagens importantes sobre
Segurança da Informação.
� Criar a figura do agente da segurança do mês visando destacar os bons
exemplos e com isto incentivar a participação dos demais.
� Criar na Intranet da empresa um banner da área de Segurança da Informação,
no qual possam ser disponibilizadas informações da área.
� Criar os Alertas de Segurança da Informação para os casos dos e-mails
indesejados e com isto combater o Phishing Scam, pois muitas ações de
engenharia social fazem uso deste recurso atualmente.
� Incluir lembretes e mensagens nos envelopes de pagamento dos colaboradores.
� Fazer uso de proteção de tela com mensagens relacionadas à Segurança da
Informação.
� Incluir no jornalzinho da empresa temas e artigos sobre a Segurança da
Informação.
53
� Distribuir etiquetas nos computadores com mensagens de segurança da
informação.
� Criar vídeos e filmes sobre o tema.
� Aplicar questionários para validar o nível de conhecimento e fixação dos
conceitos da Segurança da Informação.
Contudo, o mais importante quanto às iniciativas e ações de conscientização é que
elas sejam periódicas e constantes até porque as ameaças também o são.
4.4. Os controles de auditoria e o monitoramento
Para complementar o capítulo sobre proteção das informações, entendemos ser
necessário abordar os aspectos de auditoria e monitoramento que devem fazer parte
do processo de salvaguarda das informações sensíveis da corporação.
Nos últimos anos, a auditoria interna tem tido um papel de destaque tanto nas
empresas brasileiras bem como naquelas situadas no exterior, pois as instituições
principalmente aquelas que têm aberto o seu capital na Bolsa de Valores vêm sendo
pressionadas a serem mais transparentes quanto à forma de sua administração
financeira e de seus controles internos.
A Lei Sarbanes-Oxley elaborada pela SEC – Securities and Exchange
Commission, a Resolução nº 2554 do Banco Central do Brasil dentre outras, são
exemplos de normas que têm sido exigidas por órgãos reguladores e/ou
fiscalizadores do mercado. De forma a atender estas normatizações as empresas
54
vêm utilizando suas áreas de auditoria interna como o carro chefe nos processos de
implementação e validação dos controles requeridos por estes regulamentos e
normas. Dentro deste contexto, podemos afirmar que a auditoria interna reveste-se
de um papel determinante no mapeamento de controles que possam minimizar as
situações de vazamento de informações corporativas.
Dias (2000, p. 12) relata os vários itens de abordagem de um auditor de TI em seu
trabalho de auditoria: segurança física e lógica, planejamento de contingências,
operações do centro de processamento de dados (CPD), políticas, padrões e
procedimentos, além de controles sobre banco de dados, redes de comunicação e
de microcomputadores e controles sobre aplicativos (desenvolvimento de sistemas,
entrada, processamento e saída de dados). Alguns itens desta lista podem ser
facilmente utilizados de forma a auxiliar as empresas, na preservação da
confidencialidade de suas informações corporativas.
As auditorias de segurança lógica podem demonstrar situações nas quais os
colaboradores acessam informações confidencias ou protegidas de forma não
autorizada, relatórios com dados sensíveis que são disponibilizados em áreas de
acesso comum na rede da empresa, dentre outras situações. Dias (2000, p. 98),
relaciona ainda os itens que podem ser verificados neste tipo de auditoria, dos quais
cinco deles são citados abaixo:
�������� Conceder acesso, aos usuários, apenas aos recursos realmente necessários
para a execução de suas tarefas.
�������� Restringir e monitorar acesso a recursos críticos.
�������� Utilizar softwares de controle de acesso lógico.
55
�������� Utilizar criptografia.
�������� Revisar periodicamente as listas de controle de acesso.
Outro tipo de trabalho de auditoria é o de segurança física, onde se torna possível
verificar acessos a ambientes de acesso restrito como o CPD, áreas estratégicas
como de desenvolvimento de produtos e marketing, ou mesmo acessos de pessoas
estranhas às dependências da empresa. Muitos são os relatos de roubo de
informações devido ao acesso físico de pessoas em locais não autorizados. Dias
(2000, p. 103) dentro de sua experiência na área de auditoria, recomenda a
verificação de vários itens quanto à segurança física, dos quais listamos os
seguintes:
� Instituir formas de identificação capazes de distinguir um funcionário de um
visitante e categorias diferentes de funcionários se for o caso.
� Controlar a entrada e saída de visitantes, registrando data, horários e local da
visita e, dependendo do grau de segurança, acompanhá-lo até o local de destino.
� Utilizar mecanismos de controle de acesso físico, tais como fechaduras, câmeras
de vídeo e alarme.
� Proteger fisicamente os backups.
� Restringir o acesso a computadores e impressoras que manipulam dados
confidenciais.
A auditoria em ambiente de microcomputadores ou também conhecido como
ambiente de baixa plataforma, é um outro trabalho de auditoria que auxilia a
identificação e prevenção de possíveis fontes de vazamento de informações. Dias
56
(2000, p. 178), também sugere itens de verificação durante a auditoria deste tipo de
ambiente, dos quais destacamos os seguintes:
� Permitir a carga de novos softwares apenas ao administrador do sistema ou
pessoas por ele autorizadas.
� Verificar periodicamente o conteúdo dos discos rígidos dos microcomputadores e
eliminar os softwares que não corresponderem aos registros de inventário.
� Utilizar sempre senhas ou outros mecanismos de identificação e autenticação de
usuários.
� Manter atualizados os antivírus em todos os micros da instituição.
Existem vários outros tipos de trabalhos que podem ser realizados pelas auditorias
de TI que certamente atenderão as necessidades de identificação, controle e planos
de ação no combate aos focos de vazamento de informação nas instituições.
Adicionalmente ao trabalho da auditoria interna, pode ser associada à atividade de
monitoramento que poderá ser realizada pela própria equipe de auditoria, pela área
de segurança da informação ou ainda por alguma área criada especialmente para
esta finalidade.
O tema monitoramento é sempre bastante polêmico, pois existe uma linha muito
tênue entre a privacidade do funcionário e o direito legal da empresa em fiscalizar e
monitorar as atividades dos seus colaboradores dentro do ambiente organizacional.
O fato é que grande parte dos funcionários das empresas utilizam os recursos
corporativos a eles disponibilizados, como se estes fossem para o seu uso pessoal e
exclusivo, tendo isto em mente, acabam expondo a empresa a riscos pelo mau uso
57
do acesso à Internet, do correio eletrônico, de celulares, pen drives, além de outros
canais ou dispositivos.
Este fato é corroborado pela pesquisa realizada neste trabalho que demonstra que
92% dos entrevistados entendem que os recursos como àqueles citados
anteriormente tem contribuído para o vazamento de informações corporativas.
Blum (apud VIOTTO, 2007) declara que grande parte dos delitos digitais cometidos
por colaboradores nas empresas ocorre porque estes acreditam que não serão
descobertos ou tem a expectativa de privacidade, o advogado complementa que as
empresas podem e devem monitorar seus colaboradores, porém isto não deve ser
feito indiscriminadamente, além da necessidade de deixar claro, preferencialmente
por escrito que o empregado estará sujeito ao monitoramento.
O monitoramento mais comum, de acordo com Viotto (2007) é aquele feito com o
uso de software de filtro de palavras-chave (para e-mail e internet) e com o uso de
câmeras (ambientes físicos), além do bloqueio das portas USB e inspeção física das
máquinas dos empregados.
A pesquisa realizada demonstra consonância com Viotto, pois 92% dos
entrevistados são a favor do monitoramento de e-mail e das mensagens
instantâneas, recursos estes largamente utilizados pelos colaboradores no ambiente
corporativo, além disto, 94% entendem também que o monitoramento das estações
de trabalho pode reduzir o risco de vazamento de informações. A pesquisa também
comprova que o controle de mídias removíveis, monitoramento de internet e e-mail
58
estão entre os itens com maior percentual de escolha entre entrevistados quando
questionados a escolher propostas para mitigação do vazamento corporativo de
informações.
59
5. A PESQUISA
Visando respaldar algumas das hipóteses apresentadas ao longo deste trabalho é
que realizamos uma pesquisa. A metodologia adotada para a correspondente coleta
e obtenção dos dados da amostra foi a distribuição de questionários presenciais
bem como alguns foram enviados por e-mail. Foram distribuídos ao todos 40
questionários dos quais 36 foram respondidos entre os meses de setembro e
outubro de 2007. O universo da amostra contou com a participação de funcionários
de diversas áreas e também de consultores. A composição da amostra está assim
constituída: 10 profissionais da área de Tecnologia da Informação, 6 profissionais da
área de Segurança da Informação, 7 Consultores de Segurança da Informação, 9
profissionais da área de Auditoria e 4 profissionais das áreas de Risco &
Compliance. A seguir são demonstrados, conforme dados constantes da tabela 1,
participação % das áreas envolvidas na pesquisa.
Tabela 1 – Participação (%) das áreas envolvidas na pesquisa
Tabela - feita pelos autores
60
Vale ainda destacar que dentro do segmento da área de tecnologia da informação
foram ouvidos profissionais das áreas de Tecnologia, Desenvolvimento de Sistemas,
Suporte/Produção e de Governança de TI. Observação equivalente vale para o caso
do segmento de auditoria onde foram ouvidos profissionais das áreas de Inspetoria e
de Auditoria de Sistemas.
Vale salientar ainda que o questionário para a realização da pesquisa foi dividido em
duas partes, sendo que na primeira delas foram apresentadas 10 indagações sobre
os prováveis motivos para a ocorrência do problema de vazamento de informações
nas empresas, e que o propósito da 1ª fase era validar ou não as afirmações sobre
algumas das premissas apresentadas ao longo deste presente estudo. A segunda
parte do questionário por sua vez foi composta de 15 proposições ou planos de ação
para mitigar o risco de ocorrência do vazamento de informações. Destaque-se que o
objetivo primordial desta 2ª fase era identificar quais as 05 ações prioritárias para
mitigar o risco de ocorrência do problema do vazamento de informações corporativas
nas organizações, além disto, buscávamos também validar se as proposições
apresentadas seriam ou não aceitas como medidas viáveis para mitigar este risco.
Há de se ressaltar também que em Segurança da Informação nada é 100% seguro
pelo menos é isto que a maioria dos autores pesquisados afirmam, por conseguinte,
a eliminação total do risco de ocorrência de vazamento de informações nas
empresas é praticamente impossível de se conseguir, uma vez que, dentre as
razões para que o problema exista estão às ações de má fé ou condutas ilícitas que
em nosso modo de pensar são, a priori, impossíveis de se prever ou evitar,
destaque-se que a própria pesquisa comprovou isto.
61
A seguir são apresentadas as principais conclusões de cada uma das partes do
questionário de forma isolada de tal forma que se possa obter uma melhor análise e
compreensão deste problema que tanto tem comprometido a segurança da
informação nas empresas e que carece de uma maior atenção considerando as
últimas pesquisas realizadas sobre o assunto.
5.1. Principais conclusões - parte 01 da pesquisa
� Quando indagado se os programas de conscientização podem contribuir para
mitigar o risco de ocorrência do vazamento de informações 36 dos entrevistados
responderam “sim”. Portanto, 100% dos entrevistados concordaram com a
medida.
� Quando perguntado na pesquisa se a adoção de soluções ou produtos, tais
como: criptografia, antispywares dentre outras, poderiam mitigar o problema de
vazamento de informações, 97% responderam que “sim” e apenas 3%
responderam “não”. Isto demonstra que existe uma aceitação favorável quanto à
adoção de produtos ou softwares para mitigar o problema.
� Uma outra questão abordada foi quanto aos casos dos colaboradores que lidam
com informações confidenciais, onde indagamos se as estações de trabalho
destes colaboradores deveriam ser monitoradas por meio de softwares
específicos. Os números apurados revelaram que 94% responderam “sim” e
apenas 6% responderam “não”. O resultado também corrobora a mesma
conclusão do item anterior no diz respeito à adoção de produtos para auxiliar no
combate ao problema do vazamento de informações.
62
� Quando indagado se nas empresas que possuem um Código de Ética e uma
Política de Segurança da Informação o problema do Vazamento de Informações
Corporativas tende a ser inibido, a conclusão foi que 78% acreditam que “sim” e
22% acreditam que “não”. Isto comprova que a existência de um Código de Ética
e também de uma Política de Segurança da Informação podem inibir as ações
ilícitas é uma forma de controle social ainda bem aceita.
� Contudo a pergunta mais polêmica foi quanto ao principal motivo para a
ocorrência do Vazamento de Informações nas empresas e o resultado foi: 42%
acreditam que o problema ocorre por erro humano ou negligência enquanto 58%
acreditam que isto ocorre por problemas de desvios de conduta ou por ações de
espionagem. Poderíamos até dizer que houve um equilíbrio considerando que os
números não foram tão díspares.
Vejamos na página seguinte, conforme o quadro 1, constante da página seguinte os
resultados das demais questões apuradas através da fase 01 da pesquisa.
63
Quadro 1 – 1ª Parte do questionário utilizado na pesquisa sobre vazamento de informações
64
5.2. Principais conclusões - parte 02 da pesquisa
� Dentre as 15 proposições apresentadas para mitigar o risco de ocorrência do
problema de vazamento de informações nas empresas, as duas principais
medidas prioritárias indicadas pela pesquisa obtiveram 13% respectivamente
cada uma. As ações escolhidas foram: Utilizar soluções de criptografia para
proteção das informações confidenciais e Controlar o uso de mídias
removíveis. Podemos então aferir que tivemos uma escolha de ordem
tecnológica e uma outra focada em processo, no caso o processo de
monitoramento e controle.
� A terceira alternativa mais votada com 12% dos votos foi: Realizar Campanhas
de Conscientização. O resultado obtido somente comprova aquilo já é apontado
por outras pesquisas realizadas sobre o tema e destaca a importância dos
processos de conscientização como uma ferramenta eficiente para o tratamento
também do problema de vazamento de informações nas empresas.
� Em quarto, quinto e sexto lugares respectivamente, obtivemos novamente um
empate técnico de 03 medidas ou ações, todas elas com 9% dos votos. As
alternativas indicadas foram: Adotar uma política de sanção disciplinar rígida,
Monitorar o uso da Internet e proibir o uso do Webmail pessoal dentro do
ambiente corporativo e Adotar processos para o descarte de informações
confidenciais.
� Há ainda que se destacar que a proposta de fiscalizar e controlar o uso de salas
para reuniões não obteve nenhum voto como ação prioritária. Considerando que
a premissa básica da pesquisa era identificar apenas as 05 ações prioritárias
dentre as 15 indicadas. Assim sendo, entendemos que este item como
65
importante, porém, comparativamente as demais ele foi preterido, justificando
assim este resultado.
Considerando que o vazamento de informações pode ocorrer por diversos motivos
desde um simples documento esquecido sobre a mesa ou uma impressora, ou
mesmo uma simples conversa em local inadequado, é que compreendemos que
para tratar deste problema é necessário um conjunto de ações e não apenas uma ou
outra medida isolada. Acreditamos então que a adoção de apenas uma medida não
é satisfatória considerando a complexidade deste tema. Vale destacar também que é
de vital importância averiguar a cultura da empresa, pois determinadas ações ou
soluções poderão ser eficazes para uma determinada empresa, porém poderão ser
ineficazes para outras.
Um detalhe curioso sobre o tema vazamento de informações é que, muitas vezes,
pequenas ações podem reduzir consideravelmente a propensão de ocorrência deste
risco. Como exemplo disto, podemos citar algumas ações, tais como: guardar
documentos confidenciais nas gavetas, trancar os armários e as gavetas quando
estiver ausente, evitar tratar de assuntos confidenciais em locais públicos ou utilizar
o viva-voz de forma indiscriminada, evitar o repasse de assuntos sensíveis por e-
mail, são alguns exemplos.
Complementando a análise da pesquisa apresentamos a seguir, conforme quadro 2,
as demais propostas constantes da etapa 02 da pesquisa visando com isto permitir
uma visão geral de todas as ações indicadas.
66
Quadro 2 – 2ª Parte do questionário utilizado na pesquisa sobre vazamento de informações
Nas próximas páginas são apresentados através dos gráficos os resultados da 2ª
fase da pesquisa. A figura 4 apresenta as proposições em ordem decrescente de
importância enquanto que na figura 5 é demonstrada a participação % de cada
alternativa apresentada para mitigar o problema de vazamento de informações
corporativas nas organizações.
67
Figura 4 – Propostas para mitigar o vazamento de informações nas empresas
68
Figura 5 - (%) de cada proposta para mitigar o risco de vazamento de informações corporativas
A conclusão final da pesquisa é que muitos dos pontos de vista apresentados neste
presente trabalho tiveram amparo e respaldo por parte das respostas dos
questionários, são exemplos disto: a premissa de que a terceirização pode contribuir
para o vazamento de informações, o caso das novas tecnologias contribuindo para o
69
aumento do risco de vazamento de informações, a necessidade de monitoramento, a
importância dos processos e das campanhas de conscientização, a importância do
elemento humano para o êxito das ações de proteção do ativo da informação, dentre
outros.
Pode-se, portanto, afirmar que o problema de vazamento de informações
corporativas não pode ser tratado com uma única solução, medida ou produto, pois
existem muitos fatores a serem considerados no equacionamento do problema. A
cultura da empresa, o apoio do corpo diretivo, a forma com que a segurança da
informação é tratada dentro da empresa são elementos que definiram quais as
melhores ações a serem adotadas.
Finalizando, podemos inferir que a pesquisa identificou o mix: Tecnologia –
representada por produtos/soluções; Controles e Monitoramento – para o caso de
uso de mídias removíveis, e por fim os Processos de Conscientização, com sendo
os elementos primordiais ou itens obrigatórios para o tratamento do problema do
vazamento de informações dentro dos ambientes corporativos. Podemos também
afirmar que os itens propostos no capítulo 4 para proteção das informações
corporativas foram também respaldados pela pesquisa, à exceção, do tópico análise
de riscos que não fez parte da pesquisa.
70
CONCLUSÃO
Façamos agora uma revisão final. Apresentamos neste estudo três capítulos com o
objetivo de discutir o problema de vazamento de informações corporativas e
identificar processos e controles que possam ser implementados nas empresas de
forma a minimizar ou até mesmo prevenir este risco.
Inicialmente foi verificado que as mudanças ocorridas na economia e na tecnologia
foram fatores determinantes para que as empresas passassem a considerar a
informação como o seu bem mais precioso e como conseqüência tivesse que adotar
processos e controles para proteger seus principais dados, contudo, a percepção
que se tem deste fato ainda é muito incipiente e muito pouco tem sido realizado no
sentido de proteger adequadamente as informações as pesquisas demonstram esta
realidade. Foi demonstrado também, que com o aumento do uso da tecnologia, se
tornou bastante difícil para empresa manter a segurança e privacidade interna das
suas informações confidenciais.
Posteriormente o estudo demonstrou quais são as principais ameaças que
favorecem o vazamento de informação corporativa, onde de acordo com a nossa
hipótese inicial verificamos que o fator humano está presente em todos os itens
apresentados como a engenharia social, concorrência e espionagem e também no
uso da tecnologia, afinal são as pessoas que fazem uso das mesmas.
Por fim, foram apresentadas quatro sugestões de atividades ou controles com o
objetivo de mitigar o vazamento de informações nas empresas, sendo elas: o
processo de análise de risco, implementação de políticas de segurança, o processo
de conscientização dos colaboradores e as atividades de auditoria e monitoramento.
É importante destacar que este estudo não teve a pretensão de trazer soluções
definitivas ou pré-formatadas para serem aplicadas nas empresas, mas sim
71
apresentar sugestões de soluções que deverão ser adaptadas e aprimoradas dentro
do ambiente operacional de cada empresa.
Este estudo serve como trabalho preliminar para que outros profissionais da área de
Segurança da Informação possam se aprofundar na aplicação prática das
recomendações para os processos e controles visando com isto garantir um maior
nível de proteção para as informações críticas e estratégicas dentro das empresas.
72
REFERÊNCIAS
ABAGNALE, Frank William. Prenda-me se for capaz. Editora Record. Ed. 2003. ALVES, Gustavo Alberto. Segurança da informação: uma visão inovadora da gestão. Ciência Moderna, 2006. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 17799:2005: tecnologia da informação: técnicas de segurança: código de prática para gestão da segurança da informação. 2. ed. Rio de Janeiro: ABNT, 2006. BALISTA, Pedro. Revista Security Review. Rio de Janeiro, RJ, ano II, n. 8, p. 54, edição mai. / jun. 2006. BARROS, Augusto Paes. Revista Security Review. Rio de Janeiro, RJ, ano I, n. 3, p. 20-21, edição jul. / ago. 2005. BASTOS, Alberto. Sua empresa está segura? Portal EXAME. Blog da Edição. jul. 2007. Disponível em: http://portalexame.abril.com.br/blogs/blogdaedicao/897.shtml Acesso em: 03 out. 2007. BEAL, Adriana. Segurança da informação. 1. ed. Atlas, 2006. CARMONA, Tadeu. Segredos da espionagem digital. Digerati, 2005. CÉSAR, Ricardo; ONAGA, Marcelo. Cercadas por hackers. Portal EXAME. jul. 2007. Disponível em: http://portalexame.abril.com.br/revista/exame/edicoes/0897/tecnologia/m0133377.html Acesso em: 12 jul. 2007. Coca-Cola: secretaria é condenada a 8 anos por roubo de segredo. Portal Terra. mai. 2007. Disponível em: http://br.invertia.com/noticias/noticia.aspx?idNoticia=200705231732_RED_35438262&idtel Acesso em: 23 mai. 2007.
73
CÓDIGO PENAL BRASILEIRO. Seção IV – Dos crimes contra a inviolabilidade dos segredos. AMPERJ – Associação do Ministério Público do Estado do Rio de Janeiro. Disponível em: http://www.amperj.org.br/store/legislacao/codigos/cp_DL2848.pdf Acesso em: 08 out. 2007. D’ANDREA, Edgar Roberto Pacheco. et al. Segurança em banco eletrônico. PricewaterhouseCoopers. São Paulo: Câmara Brasileira do Livro, 2000. D’ANDREA, Edgar. Incidentes de segurança têm origem na própria organização. Portal EXAME. Blog da Edição. jul. 2007. Disponível em: http://portalexame.abril.com.br/blogs/blogdaedicao/897.shtml Acesso em: 03 out. 2007. D’ANDREA, Edgar. Segurança da informação: uma visão estratégica para as organizações. Portal EXAME. Blog da Edição. jul. 2007. Disponível em: http://portalexame.abril.com.br/blogs/blogdaedicao/897.shtml Acesso em: 03 out. 2007. DAWEL, George. A segurança da informação nas empresas: as informações de sua empresa estão seguras? 1. ed. Ciência Moderna, 2004. ECCLES, Robert G.; NEWQUIST, Scott C.; SCHATZ, Roland. A reputação e seus riscos. Revista Harvard Business Review. HBR. v 85, n. 2, p. 72, fev. 2007. Eli Lilly deixa vazar 600 e-mails de pacientes. O ESTADO DE S. PAULO digital. Washington. jul. 2001. Disponível em: http://www.estadao.com.br/arquivo/mundo/2001/not20010705p25471.htm Acesso em: 04 ago. 2007. Engenharia social será a arma hacker da próxima década, diz Gartner. Folhaonline. nov. 2004. Disponível em: http://www1.folha.uol.com.br/folha/informatica/ult124u17317.shtml Acesso em: 03 set. 2007. Estudo aponta alto índice de vazamento de dados por usuários móveis. Portal TI Inside. Disponível em: http://www.tiinside.com.br/Filtro.asp?C=265&ID=78585 Acesso em: 15 out. 2007.
74
Estudo diz que 45% dos funcionários roubam informações quando mudam de emprego. Portal IT Web. mai. 2007. Disponível em: http://www.itweb.com.br/noticias/index.asp?cod=21205# Acesso em: 11 mai. 2007. Fator pagará multa por uso de informação privilegiada. O ESTADO DE S. PAULO digital. Rio de Janeiro. nov. 2004. Disponível em: http://www.estadao.com.br/arquivo/economia/2004/not20041104p23472.htm Acesso em: 18 jul. 2007. FERREIRA, Fernando Nicolau Freitas. Segurança da informação. 1. ed. Ciência Moderna, 2003. FERREIRA, Fernando Nicolau Freitas; TADEU, Márcio. Política de segurança da informação: guia prático para elaboração e implementação. 1. ed. São Paulo: Ciência Moderna, 2006. FILHO, Braga; ROCHA, João. Dados de sua empresa estão seguros? Duvido! 1. ed. Brasport, 2004. FONTES, Edison Luiz Gonçalves. Segurança da informação: o usuário faz a diferença. 1. ed. São Paulo: Saraiva, 2006. FONTES, Edison Luiz Gonçalves. Vivendo a segurança da informação. Sicurezza, 2000. FONTES, Edison Luiz Gonçalves. Meia verdade em segurança da informação. Portal IT Web. abr. 2007. Disponível em: http://www.itweb.com.br/blogs/blog.asp?cod=58&arquivo=04/2007 Acesso em: 01 set. 2007. GALLO, Clayton. Fatos reais geram um interessante suspense. UOL. Almanaque Virtual. Seção Cultura em Movimento. Jul. 2007. Disponível em: http://almanaquevirtual.uol.com.br/ler.php?id=9320&tipo=2&cot=1 Acesso em: 03 out. 2007. GREENEMEIER, Larry. Alvo difícil. InformationWeek Brasil: tecnologia da informação impulsionando a inovação empresarial, Rio de Janeiro, RJ, ano 9, edição 186 p. 42-47, ago. 2007.
75
Informações sigilosas são vendidas em CDs na Santa Efigênia em SP. Portal de notícias da Globo. abr. 2007. São Paulo. Disponível em: http://g1.globo.com/Noticias/SaoPaulo/0,,MUL26277-5605,00.html Acesso em: 01 out. 2007. MARCELO, Antônio; PEREIRA, Marcos. A arte de hackear pessoas. 1. ed. Brasport, 2005. MATOS, Albano. O exemplar agente do FBI era espião de Moscovo. Diário de Notícias. Lisboa mai. Seção Artes 2007. Disponível em: http://dn.sapo.pt/2007/05/10/artes/o_exemplar_agente_fbi_espiao_moscovo.html Acesso em: 03 out. 2007 MITNICK, Kevin D.; SIMON, William L.. A arte de enganar. 1. ed. Makron Books, 2003. Notebook da Boeing é roubado e expõe dados de 382 mil. O ESTADO DE S. PAULO digital. Seção Vida Digital. dez. 2006. Disponível em: http://www.estadao.com.br/arquivo/tecnologia/2006/not20061218p71988.htm Acesso em: 10 ago. 2007. PEIXOTO, Mário César Pintaudi. Engenharia social e segurança da informação na gestão corporativa. 1. ed. Brasport, 2006. Pessoas são o ponto fraco da segurança de computadores, dizem os especialistas. Portal de Notícias do Terra. Disponível em: http://tecnologia.terra.com.br/interna/0,,OI1090811-EI4805,00.html Acesso em: 14 ago. 2007. Pen drives tornam-se principal preocupação de segurança. Portal IT Web. mai. 2007. Disponível em: http://www.itweb.com.br/noticias/index.asp?cod=21166 Acesso em: 01 out. 2007. PINHEIRO, Patrícia Peck. Direito digital. 2. ed. São Paulo: Saraiva, 2007. PRESCOT, Roberta. Trate bem seus funcionários. InformationWeek Brasil: tecnologia da informação impulsionando a inovação empresarial, Rio de Janeiro, RJ, ano 9, edição 186, p. 30-34, ago. 2007.
76
RAMOS, Anderson et al. Guia oficial para formação de gestores em segurança da informação. 1. ed. Zouk, 2006. ROSA, Mário. A reputação na velocidade do pensamento: imagem e ética na era digital. 1. ed. São Paulo. Geração Editorial, 2006. SANCHEZ, Lígia. Ameaça de demissão gera adesão à política de segurança. Portal IT Web. set. 2007. Disponível em: http://www.itweb.com.br/noticias/index.asp?cod=42197 Acesso em: 23 set. 2007. SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. 1. ed. São Paulo: Campus, 2002. SILVA, Pedro Tavares; CARVALHO, Hugo; TORRES, Catarina Botelho. Segurança dos sistemas de informação: gestão estratégica da segurança empresarial. 1. ed. ISBN, 2003. SROUR, Robert Henry. Ética empresarial: a gestão da reputação. 5. ed. Rio de Janeiro: Editora Campus/Elsevier, 2003. TINELLO, Maurício Ricardo. A arte da fraude: quando nada é o que parece. 1. ed. Sicurezza, 2006. TZU, Sun. A arte da guerra: os trezes capítulos originais. [adaptação Nikko Bushidô]. São Paulo: Sapienza, 2005. Vazamento de dados corporativos causa prejuízos de US$ 1,82 milhão por ano. Compugraf. Seção: Notícias. Jul. 2007. Disponível em: http://www.compugraf.com.br/detnews.aspx?cod=28 Acesso em: 09 set. 2007. VIOTTO, Jordana. O olho que tudo vê. InformationWeek Brasil: tecnologia da informação impulsionando a inovação empresarial, Rio de Janeiro, RJ, ano 9, edição 186, p. 20-23, ago. 2007.
77
APÊNDICE A
1ª Parte - Questionário sobre Vazamento de Informações Corporativas
1) Em decorrência do processo de globalização da economia muitas empresas
terceirizaram atividades para ganhar mais produtividade e eficiência. Pode-se afirmar
que isto tem contribuído para o problema do vazamento de informações corporativas?
a. ( ) sim
b. ( ) não
2) As novas tecnologias trazem facilidade e comodidade para a vida das pessoas e das
empresas. Contudo, alguns dispositivos, tais como: o gravador de CD, DVD, Pen Drives,
iPod, Celulares com câmeras, representam também uma ameaça à segurança da
informação nas empresas. É correto afirmar que isto tem contribuído para o vazamento
de informações nas empresas?
a. ( ) sim
b. ( ) não
3) Pode-se afirmar que nas empresas com elevado turnover existem maiores chances de
ocorrência de vazamento de informações corporativas?
a. ( ) sim
b. ( ) não
4) O uso do e-mail e do instant messaging tem sido cada vez mais disseminado nas
empresas. Contudo, as pesquisas constatam que isto representa uma séria ameaça à
segurança da informação. As empresas devem monitorar o uso destes recursos
utilizados por seus colaboradores?
a. ( ) sim
b. ( ) não
5) As estatísticas demonstram que o problema de vazamento de informações ocorre por
ações intencionais ou não intencionais. Desta forma, é correto afirmar os programas de
conscientização podem contribuir para mitigar este problema?
a. ( ) sim
b. ( ) não
6) As empresas que possuem um Código de Ética e uma Política de Segurança da
Informação reduzem os problemas com o vazamento de informações ou isto independe?
a. ( ) sim
b. ( ) não (independe)
78
7) Ter uma Política de Sanções Disciplinares extremamente rígida e um Termo de
Responsabilidade Funcional pode inibir o vazamento de informações corporativas nas
empresas?
a. ( ) sim
b. ( ) não
8) O monitoramento das estações de trabalho através de softwares específicos dos
colaboradores que tratam de informações confidenciais pode reduzir o risco de
vazamento de informações?
a. ( ) sim
b. ( ) não
9) Adotar soluções do tipo criptografia, antispywares (proteção contra softwares espiões)
dentre outras, podem reduzir o risco de vazamento de informações?
a. ( ) sim
b. ( ) não
10) Em sua opinião qual o principal motivo do vazamento de informações nas empresas?
a. ( ) As ações de negligência e/ou de erro humano
b. ( ) Os desvios de conduta, espionagem.
79
APÊNDICE B
2ª Parte - Questionário sobre Vazamento de Informações Corporativas
Dentre as ações abaixo indicadas escolha as 05 que julgue prioritárias para reduzir o risco
de vazamento de informações corporativas:
1. ( ) Monitorar as estações de trabalho através de softwares específicos destinados a esta
finalidade.
2. ( ) Proibir o uso de celulares nas áreas que tratam de informações altamente
confidenciais.
3. ( ) Adotar uma Política de Sanções Disciplinares rígida.
4. ( ) Realizar campanhas de conscientização.
5. ( ) Aplicar testes apropriados (psicológicos) nos processos de seleção de candidatos
para identificar os desvios de conduta.
6. ( ) Adotar um Código de Ética.
7. ( ) Monitorar os e-mails dos funcionários.
8. ( ) Usar soluções de criptografia para proteção das informações confidenciais da
empresa e soluções contra softwares espiões – antispywares.
9. ( ) Ter uma Política de Mesa Limpa x Tela Limpa.
10. ( ) Treinar os funcionários contra as ações de Engenharia Social (informações passadas
por telefone, fax, etc.).
11. ( ) Controlar o uso de impressoras e treinar as pessoas para se evitar deixar
documentos confidencias nas mesmas por esquecimento.
12. ( ) Controlar o uso de mídias removíveis, tais como: gravadores de Cds, Dvds, Pen
drives, dentre outros.
13. ( ) Fiscalizar e controlar o uso das salas de reuniões para evitar a exposição de
informações confidenciais fiquem expostas.
14. ( ) Adotar processos para o descarte de informações confidenciais (fragmentadoras,
coleta seletiva do lixo, dentre outras).
15. ( ) Monitorar o uso da Internet e proibir o uso do Webmail pessoal dentro do ambiente
corporativo.
