Política de Segurança da Informação

Adriana Smicaluk, Marcos Vinicius Wille, Edson Marcondes , Adriano Slisinski, Orlei José Pombeiro

Grupo de Pesquisas em Informática, Bacharelado em Sistemas de Informação, Sociedade Paranaense de Ensino e Informática - Faculdades SPEI

Fone(0XX41)3321-3131, Fax (0XX41)3321-3142 adrianasmicaluk@yahoo.com.br, medhemp@ig.com.br, guitarristadanight@pop.com.br, adrianosli@yahoo.com.br,

orlei@spei.br

Resumo – Alguns fatores levam empresas do todo mundo a implementação de uma Política de Segurança da informação robusta e que minimize as chances de ocorrências de perdas ou exposição de suas informações. Esses fatores, muitas vezes de alto grau de periculosidade, obrigam essas empresas à implementação de ferramentas de segurança que apenas minimizam os riscos, mas não descartam totalmente a vulnerabilidade e a exposição de suas informações sigilosas. Contudo, se a empresa não implementar políticas que orientem e influenciem seus usuários a uma utilização séria e consciente das ferramentas de tecnologia de informação, a sua informação continuará exposta. Este artigo nos mostra as influências negativas que afetam as empresas pelo não cumprimento de uma política de segurança da informação, além disso, pesquisas irão nos revelar os níveis de conhecimento de usuários com relação a alguns fatores vitais para a segurança e sigilo da informação das empresas. Palavras-chave: Política de segurança da informação, influências negativas da segurança da informação. Introdução Com a revolução da tecnologia, a informação tornou-se o "ativo" mais valioso das empresas, e a segurança dessa informação, um fator primordial. Apesar da conscientização da maioria das empresas quanto a necessidade de criação e cumprimento de uma política de segurança da informação, é necessário um esforço grande para que a sua implementação a aplicação.

Atualmente centenas de empresas sofrem diariamente constantes ameaças a suas bases de dados e redes de computadores e quando uma dessas ameaças obtém sucesso no ataque, pode representar um prejuízo altíssimo, levando muitas vezes ao fechamento da empresa atacada. Um exemplo muito visto atualmente é a disseminação de vírus e os ataques de hacker's pela Internet a várias corporações, o que tem levado as empresas á investir alto em softwares como antivírus, firewall e filtros de e-mail para conter essas pragas virtuais.

A segurança da informação pode ser ameaçada de várias formas. Acidentes naturais, como fogo, enchentes, descargas elétricas, entre outros, podem comprometer a integridade ou ainda levar a perda total das informações. Um mal gerenciamento das permissões de acesso a informação podem prejudicar a disponibilidade e levar a ocorrência de fraudes na informação. A informação também pode ser corrompida através de invasões lógicas a estrutura da organização, por hacker’s e cracker’s, que além de quebrar a privacidade dos sistemas podem contaminar as máquinas com vírus, cavalos de tróia, spam’s, spyware’s, etc...

A integridade e a disponibilidade das informações também podem ser prejudicadas por erros

humanos, e isso ocorre quando não há treinamento adequado aos funcionários, ou ainda quando o mesmo está desmotivado em relação a organização onde trabalha. A falta desses treinamentos, facilita por exemplo a engenharia social, onde os funcionários são enganados por telefone ou e-mail’s, e são induzidos a práticas que prejudicam a informação.

Nesse sentido, deve haver um bom planejamento, para uma possível evolução tecnológica, que alie o custo benefício a satisfação dos colaboradores, cujas rotinas de trabalho sofreram grave mudança de acordo com a política adotada pela empresa. De outra forma possivelmente haverá resistência a política de segurança da informação implantada na organização, por parte tanto dos funcionários que terão seus processos “engessados”, dificultando o trabalho, quanto da alta organização que terá um alto custo com a implantação, porém não obterá os resultados pretendidos. Estudo de Caso Segundo Edison Fontes, diretor da Gtech Brasil e autor de livros sobre segurança, “proteger a informação é uma obrigação de toda a organização, independente do seu tamanho. O que será diferente será o volume dos recursos envolvidos. Instituir um processo de segurança e da informação é uma responsabilidade dos executivos da organização. É uma responsabilidade perante os acionistas. Proteger a informação não é uma questão técnica. É uma questão de negócio da organização. A organização deve agir de forma profissional e proteger a informação de forma compatível com a sua criticidade para a realização dos negócios da organização”[1]. Sendo a segurança um aspecto muito amplo e complexo, devemos sempre lembrar da velha história de

que "a segurança é uma corrente. E correntes se quebram no elo mais fraco". Muitas e muitas vezes o elo mais fraco é um usuário despreparado, desenformado, desinteressado ou mau intencionado[2]. Metodologia

Foi realizada pesquisa via e-mail com 17 colaboradores de uma multinacional, sendo 4 mulheres e 13 homens, dos quais, 94% são graduados ou estão concluindo o ensino superior, com idade entre 21 e 45 anos, distribuídos desde estagiários até gerentes. Todos os entrevistados utilizam um computador diariamente em sues ambientes de trabalho, 59% são funcionários contratados e os outros 41% não possuem vínculo empregatício com a empresa, ou seja, estagiários e terceirizados.

A pesquisa em questão, possuía 16 questões, sendo 15 questões objetivas e 1 discursiva, abrangendo na sua maioria, a política de segurança. Resultados

Em relação ao tema abordado, política de segurança da informação, 94% dos entrevistados informaram que sabem o que é e 88% conhecem a política de segurança da organização onde trabalham, porém apenas 82% seguem as instruções mencionadas na política de segurança.

Quanto ao recebimento e consequentemente, acesso de e-mail's que possuem remetente desconhecido, 18% informaram que mesmo desconhecendo a origem acessam esses e-mail's, contra 82% que os rejeitam. Uma pequena, porém significativa parte dos entrevis tados, cerca de 12% abrem e-mail’s que possuem anexos com extensão de arquivos desconhecidos sem o real conhecimento do arquivo ou programa que o utiliza e 88% dos entrevistados rejeitam tais e-mail's.

Em se tratando da participação em correntes de e-mail, onde muitas vezes podem estar incumbidas de vírus, 29% dos entrevistados participam ou já participou de correntes de e-mail, fazendo com que sua produtividade seja prejudicada e que ocorra um aumento considerável no tráfego de e-mail’s do servidor da empresa onde trabalham. Já a grande maioria, cerca de 82% acessa e-mail particular/pessoal no computador da empresa onde trabalha, deste percentual 65% lê de 1 a 7 e-mail's por dia e 18% lê mais de 7 e-mail's particulares diariamente.

Quando questionados sobre treinamento ou o recebimento de informações sobre direitos e deveres em relação ao acesso e utilização da informação e da infra -estrutura da organização, 76% informam estar cientes e ter recebido as devidas orientações.

A totalidade dos funcionários participantes da pesquisa acredita que a política de segurança é importante e acha viável a aplicação da mesma na empresa em que trabalha, e que nunca repassou informações sigilosas a terceiros, porém 12% dos entrevistados conhecem pessoas que já o fizeram.

A respeito do investimento da empresa em infra -

estrutura, pessoal capacitado e treinamento quanto a utilização das ferramentas, a maioria desconhece o custo que representa para a organização. Quanto aos itens considerados essenciais para a segurança da informação de uma empresa, foi solicitado aos entrevistados que considerassem grau de importância de 1 a 5, sendo 1 o item menos relevante e o mais importante, conforme demonstram as figuras 1, 2, 3, 4 e 5.

141%

212%

347%

40%

50%

Figura 3: Treinamento

16%

218%

318%

412%

546%

Figura 2: Análise de Tráfego

129%

212%

324%

429%

56%

Figura 1: Criptografia

Discussão e Conclusões

Os estudos mostraram que existem atualmente muitas ameaças que atingem diretamente as empresas e suas informações como as ameaças naturais causadas por enchentes e incêndios, e até mesmo ameaças criadas ou causadas por pessoas mau intencionadas, como vírus e hacker's, o que obriga essas empresas a implementação de uma Política de Segurança para proteger seus dados de possíveis falhas e ataques. Todas as ameaças citadas anteriormente, além das discussões obtidas em sala nos mostraram que na maioria das vezes, as informações das empresas entram em risco não somente através dessas ameaças, mas sim através dos seus próprios usuários, que desenformados, despreparados ou até mesmo mau intencionados acabam sendo a principal fonte de disseminação de vírus e de comprometimento de informações das empresas o que as leva, na maioria das vezes, ao fechamento. E para que isso não ocorra seria necessário, além das ferramentas de proteção, um foco maior no usuário, dando a ele treinamento, informações e o conscientizando para que não cometa erros que possam comprometer todas as informações da empresa.

Referências [1] Edison Fontes; A difícil opção pela proteção da

informação; http://www.firewalls.com.br/artigos.php, 2005.

[2] Bastos, Eri Ramos; Política de Segurança – Usuário Final; www.linuxman.pro.br/policy/

16%

224%

312%4

34%

524%

Figura 4: Certificação Digital

118%

223%

323%

424%

512%

Figura 5: Antivírus