Untitled Document

Segurana de Informaes

Introduo

Na era do conhecimento, onde a informao considerada um dos principais patrimnios de grande parte das organizaes, ela deve ser tratada como tal, devendo ser protegida nos seus aspectos de disponibilidade, integridade e confidencialidade. Isto porque a segurana de informaes um elemento chave dentro desse conceito.

A segurana de informaes no deve ser vista como guardar num cofre todas as informaes disponveis, mas elaborar polticas de proteo das informaes a fim de se evitarem maiores riscos e vulnerabilidades.

A segurana de informao tem deixado de ser tratada como um assunto tcnico da rea de informtica, e vem sendo considerada uma real necessidade nas empresas e nas instituies, visto que a informao o bem ativo mais valioso de uma empresa. A segurana passa a ser um requisito estratgico, que interfere na capacidade das organizaes de realizarem negcios e no valor de seus produtos no mercado.

Uma boa Poltica de Segurana da Informao deve ser composta por regras claras, praticveis e sintonizadas com a cultura e o ambiente tecnolgico da empresa. Deve no apenas proteger no s as informaes confidenciais, mas tambm motivar as pessoas que as manuseiam, mediante a conscientizao e envolvimento de todos. Garantir a segurana coorporativa um grande desafio, que passa por todas as pessoas envolvidas, direta e indiretamente.

Segurana , portanto, a proteo de informaes, sistemas, recursos e servios contra desastres, erros e manipulao no-autorizada, de forma a reduzir a probabilidade e o impacto de incidentes de segurana.

Conforme a Poltica de Segurana da Informao, os conceitos podem ser definidos como:

Recursos de Informao - so todos os meios usados para obteno, gerao, armazenamento e transporte das informaes. Inclui: os recursos do ambiente de tecnologia da informao (instalaes e equipamentos de informtica e telecomunicaes, sistemas operacionais, aplicativos e sistemas de informao usados nesses equipamentos) e outros recursos convencionais (arquivos, papel, microfilme, mapas etc...). Sistema de Informao - um conjunto de processos e recursos do ambiente de tecnologia da informao organizados para prover, de modo sistemtico, informaes para a Companhia. rgo Proprietrio da Informao - o rgo da empresa responsvel pelas informaes de uma determinada rea de atividade da Companhia. Proprietrio da Informao - empregado, designado pelo rgo Proprietrio da Informao, para responder perante a Companhia pela classificao das informaes e definio das suas necessidades de segurana. Comit de Segurana de Informaes - o comit constitudo pela Diretoria Executiva da empresa com a finalidade de implantar e garantir o cumprimento da Poltica de Segurana de Informaes no mbito da Companhia. Gerente de Segurana de Informaes do rgo - empregado designado pelo rgo da Companhia, como responsvel pelo cumprimento da Poltica de Segurana de Informaes no mbito do rgo, servindo de interface entre gerentes, proprietrios, usurios, custodiantes, Gerncia de Tecnologia da Informao do rgo e o Comit de Segurana de Informaes.

Objetivos da Segurana

Quando se pensa em segurana de informaes, a primeira idia que nos vem mente a proteo da mesma, no importando onde ela esteja. Um sistema computacional considerado seguro se houver uma garantia de que capaz de atuar exatamente como esperado. Porm, segurana um conceito que vai muito alm disso. expectativa de todos que a informao armazenada em um sistema computacional permanea l, sem que pessoas no autorizadas tenham acesso a seu contedo.

Ou seja, expectativa de qualquer usurio que as informaes estejam em local adequado, disponveis no momento desejado, que sejam confiveis, corretas e permaneam protegidas contra acessos indesejados. Essas expectativas correspondem aos objetivos da segurana.

Destacam-se entre os objetivos da segurana:

Confidencialidade ou privacidade proteger as informaes contra acesso de qualquer pessoa no autorizada pelo gestor da informao. Este objetivo envolve medidas como controle de acesso e criptografia. Integridade dos dados evitar que dados sejam apagados, ou alterados sem a permisso do gestor da informao. Legalidade - Estado legal da informao, em conformidade com os preceitos da legislao em vigor. Disponibilidade garantir o provimento do servio de informtica, sob demanda, sempre que necessrio aos usurios autorizados. As medidas relacionadas a esse objetivo podem ser duplicao de equipamentos/sistemas. Um bom exemplo de ataque contra disponibilidade a sobrecarga provocada por usurios ao enviar enormes quantidades de solicitao de conexo com o intuito de provocar pane nos sistemas. Consistncia certificar-se de que o sistema atua de acordo com a expectativa dos usurios. Isolamento ou uso legtimo controlar o acesso ao sistema. Garantir que somente usurios autorizados possuam acesso ao sistema. Auditoria proteger os sistemas contra erros e atos cometidos por usurios autorizados. Para identificar autores e aes, so utilizadas trilhas de auditorias e, que registram o que foi executado no sistema, por quem e quando. Confiabilidade garantir que, mesmo em condies adversas, o sistema atuar conforme esperado.

Antes de implementar um programa de segurana de informaes, aconselhvel responder s seguintes questes:

a) o que proteger?

b) contra que ou quem?

c) quais as ameaas mais provveis?

d) qual a importncia de cada recurso?

e) qual o grau de proteo desejado?

f) quanto tempo, recursos humanos e financeiros se pretende gastar para atingir

os objetivos de segurana desejados?

g) quais as expectativas dos usurios e clientes em relao segurana de informaes?

h) quais as conseqncias para a instituio se seus sistemas e informaes forem violados ou roubados?

Tendo a resposta a essas perguntas, definida a poltica de segurana de informaes e analisadas as ameaas, fazendo-se uma anlise de riscos. A tecnologia de segurana a ser implantada deve atender aos requisitos da poltica. Por fim, para administrar os sistemas, necessrio implantar uma gerncia de segurana.

Segurana de Informao a conjugao de uma estratgia e de ferramentas especficas que atendam as necessidades corporativas para a manuteno de um ambiente saudvel. Considerada um item vivo, a poltica de segurana nunca est acabada e deve ser desenvolvida e atualizada durante toda a vida da empresa.

Anlise de Riscos

As medidas de segurana no podem assegurar 100% de proteo, e a empresa deve analisar a relao custo/benefcio de todas. A empresa precisa achar

o nvel de risco que estar disposta a correr:

O processo da anlise de risco deve, no mnimo, proporcionar as seguintes informaes:

a) pontos vulnerveis do ambiente;

b) ameaas potenciais ao ambiente;

c) incidentes de segurana causado pela ao de cada ameaa;

d) impacto negativo para o negcio a partir de cada incidente de segurana;e) medidas de proteo adequadas para impedir ou diminuir o impacto de cada incidente.

Podemos considerar que a Anlise de Risco pea fundamental para obteno da qualidade de um Programa de Segurana, pois ajudar a identificar todos os pontos crticos e falhos de proteo em todos os processos, configuraes, documentos, enfim, tudo que possa ser valioso para a atividade da Organizao.

Essa atividade fornecer diretrizes para a identificao das medidas de segurana necessrias para que o ambiente computacional da empresa possa atingir o nvel de segurana desejado.

Citam-se entre os aspectos a considerar na anlise de risco:

Ativos so os elementos que manipulam direta ou indiretamente, uma informao, inclusive a prpria informao dentro de uma Organizao, e isso que devem ser protegidos contra ameaas para que o negcio funcione corretamente. Uma alterao, destruio, erro ou indisponibilidade de algum dos ativos podem comprometer os sistemas e, em decorrncia, o bom funcionamento das atividades de uma empresa. Portanto, um dos passos da Anlise de Risco o de identificar todas as coisas que podem ser afetadas por um problema de segurana e que, neste caso, precisam ser protegidas.

Uma das definies de risco que ele poder ser entendido como tudo aquilo que pode afetar os negcios e impedir que os objetivos sejam alcanados. Um risco existe quando uma ameaa, com potencial para causar algum dano, apresenta alto ndice de probabilidade de ocorrncia no ambiente computacional e um baixo nvel de proteo.

Como todos os ativos da empresa esto sujeitos a vulnerabilidades em maior ou menor escala, podendo significar riscos para a empresa, resultam muitas vezes de falhas nos seus controles. Logo, pode-se dizer que os riscos surgem em decorrncia da presena de fraquezas e, por conseguinte, vulnerabilidades.

Por outro lado, as ameaas exploram as vulnerabilidades existentes que decorrem de falhas de configurao ou inexistncia de medidas de proteo adequadas. Neste caso, os danos causados pela ao das mesmas causam impactos negativos no negcio, aumentando ainda mais os riscos.

O Gerenciamento de Riscos um processo contnuo, que no termina com a implementao de uma medida de segurana. Atravs de monitorao constante, possvel identificar quais reas foram bem sucedidas e quais precisam de revises e ajustes.

Vulnerabilidades

No ambiente da segurana podem-se considerar vulnerabilidades como falhas ou fraquezas que, se exploradas, ensejam na perda ou no vazamento de alguma informao. As vulnerabilidades podem ser encontradas no modo de agir das pessoas (por exemplo, aquelas que emprestam suas senhas a outros usurios), nos equipamentos (facilidade de se abrir um servidor, para ali colocar um equipamento de acompanhamento de teclado, ou falhas nos equipamentos de rede que podem ser exploradas), ou nos sistemas ou softwares (erros que permitem a execuo remota de aplicativos com privilgios de administrador ou presena de software malicioso, por exemplo). Pelas razes abordadas fundamental identificar as vulnerabilidades que podem contribuir para a ocorrncia de incidentes de segurana, que um aspecto importante na identificao de medidas preventivas.

Os riscos no podem ser determinados sem o conhecimento de at que ponto onde um sistema vulnervel, ao das ameaas. Em um processo de anlise de segurana, devem-se identificar os processos crticos vulnerveis e saber se os riscos a ele associados so aceitveis ou no. O nvel de vulnerabilidade decai medida em que so emplementados controles e medidas de proteo adequadas, diminuindo tambm os riscos para o negcio. Pode-se dizer que os riscos esto ligados ao nvel de vulnerabilidade que o ambiente possui, pois para se determinar os riscos, as vulnerabilidades precisam ser identificadas.

Tipos de Vulnerabilidades

Mencionam-se outras vulnerabilidades, tambm presentes em muitos ambientes, e que muitas empresas no atentam para determinadas situaes:

a) senhas fracas;

b) falhas de implementao de segurana;

c) deficincia na Poltica de Segurana;

d) manuseio inadequado de informaes confidenciais/crticas.

As principais vulnerabilidades encontradas costumam ser relativas a erros, acidentes ou desconhecimento dos usurios que, impensadamente alteram configuraes de equipamentos, divulgam contas e senhas de acesso, deixam sesses abertas na sua ausncia, utilizam senhas frgeis facilmente descobertas (como o prprio nome ou palavras comuns) ou mesmo contaminam seus arquivos e programas com vrus de computadores (BASTOS, 1998).

Polticas de Segurana

Apesar de a maioria dos executivos das Empresas estarem conscientes da necessidade da criao e cumprimento de uma Poltica de Segurana da Informao, faz-se necessrio um esforo grande para que as Unidades de Segurana possam lanar mo dos recursos necessrios para esta criao e manuteno. Portanto, cumpre identificar as solues existentes voltadas a esta necessidade.

Uma Poltica de Segurana da Informao, deve prover controles nos ambientes corporativos, quais sejam:

a) Software de deteco de vrus e cavalos de tria;

b) Software de controle de acesso lgico;

c) mecanismos de controle de acesso fsico.

A Poltica de Segurana da Informao, deve envolver os seguintes agentes:

a) Gestor da Informao -o indivduo responsvel para fazer decises em nome da organizao no que diz respeito ao uso, identificao, classificao, e proteo de um recurso especfico da informao.

b) Custodiante -agente responsvel pelo processamento, organizao e guarda da informao.

c) Usurio -alguma pessoa que interage diretamente com o sistema computadorizado. Um usurio autorizado com poderes de adicionar ou atualizar a informao. Em alguns ambientes, o usurio pode ser o proprietrio da informao.

Classificao de Informaes

Todo tipo de documento de uma corporao, deve exibir de maneira clara, o respectivo grau de acessibilidade ou seja seu grau de sigilo, o que requer classificar todas as informaes segundo o seu grau de criticidade e mbito de acesso:

a) informaes Confidenciais: s podem ser disseminadas para empregados previamente nomeados;

b) informaes Corporativas: sua divulgao restringe-se ao mbito da Empresa.

c) informaes Pblicas: podem ser disseminadas dentro e fora da Empresa.

A poltica de segurana precisa contemplar as seguintes facetas:

Poltica de acessos externos Instituio

a) definio de Convnios para acesso s bases corporativas;

b) criptografia;

c) certificao;

d) log de acessos;

e) configurao de Firewall

Poltica de uso da Intranet

a) padro de WBB Site;

b) padro de Gerenciamento de Rede;

c) padro de distribuio de verses de softwares;

d) modelo de identificao de pirataria;

e) padro de atualizao de anti-vrus.

Poltica de uso da Internet

a) acesso de Empregados ao Provedor Corporativo;

b) padronizao de WEB Site Institucional;

c) padronizao de WEB Site Comercial;

d) criptografia;

e) certificao;

f) configurao do Firewall;

g) roteamento;

h) eventos mnimos a serem logados nos Sistemas Corporativos;

i) trilhas de auditoria;

j) poltica de Backup.

Poltica de Acesso fsico

a) controle de acesso fsico;

b) definio de ambientes fsicos de alta criticidade;

c) monitorao de ambientes.

Poltica de Acesso Lgico

a) poltica de senhas e de identificao de usurio;

b) definio de perfis de acesso aos ambientes e aplicativos;

c) Log de Eventos Mnimos nas transaes:

* Dia e hora do acesso; * Endereo eletrnico de quem acessou; * Aes executadas.

Uma poltica de segurana tambm significa delegar responsabilidades para funcionrios, que passam a responder por seus atos (se colaboram para a disseminao de um vrus, por exemplo). A importncia da conscientizao da equipe de profissionais consenso entre os especialistas em segurana.

Controle de Acesso Fsico

A segurana fsica pode ser abordada de duas formas: segurana de acesso, que trata das medidas de proteo contra acesso fsico no-autorizado; e segurana ambiental, que trata da preveno de danos por causas naturais.

Os controles de acesso fsico tm como objetivo proteger equipamentos e informaes contra usurios no autorizados, prevenindo o acesso a esses recursos. Apenas as pessoas expressamente autorizadas pela gerncia podem ter acesso fsico aos sistemas de computadores.

Os recursos a serem protegidos pelos controles de acesso fsico so os equipamentos, a documentao e suprimentos. A proteo fsica desses recursos constitui-se em uma barreira adicional e anterior s medidas de segurana de acesso lgico. Pode-se dizer que os controles de acesso fsico protegem os recursos lgicos.

Controle de Acesso Lgico

Dentre os controles de acesso lgico, podemos destacar:

a capacidade de garantir que um usurio de fato quem ele diz ser. uma das funes de segurana mais importantes que um sistema operacional deve fornecer.

A Senha de acesso o mtodo mais utilizado, pelas empresas para a autenticao de usurios. Para garantir o seu uso adequado, deve ser definida uma poltica de senhas, em que sejam criadas regras para a criao, troca e uso das mesmas. As regras definidas devem ser divulgadas entre todos os funcionrios e colaboradores da organizao. Um usurio, com uma senha fraca, pode ser considerado uma grande vulnerabilidade, colocando em risco a segurana de todos os sistemas, tornando-os fceis de quebrar ou descobrir.

Principais Ameaas de Segurana

Em polticas de segurana citam-se as principais ameaas que devem ser consideradas pela poltica de segurana da Informao:

Integridade

a) ameaas de ambiente (fogo, enchente, tempestade ...);

b) erros humanos;

c) fraudes;

d) erro de processamento.

Indisponibilidade

Falhas em sistemas ou nos diversos ambientes computacionais

Divulgao da Informao

a) divulgao de informaes premeditada;

b) divulgao de informaes acidental.

Alteraes no autorizadas

a) alterao premeditada;

b) alterao acidental.

Origens das Ameaas

consenso na rea de segurana que as ameaas podem ter duas origens: interna e externa.

Ameaas internas

Esto presentes no dia-a-dia das organizaes independente de estarem conectados ou no a Internet. Sua existncia prejudicial para os negcios da empresa, cada qual com seu grau de periculosidade, podendo ser desde um procedimento inadequado de um funcionrio, at uma ao internacional, com o intuito de interromper a execuo de um processamento em determinado sistema.

Alguns exemplos de ameaas internas:

a) contaminao por vrus de computador atravs de um simples disquete;

b) incndios;

c) funcionrios mal treinados;

d) divulgao das senhas dos funcionrios;

e) lixo informtico;

f) falta de definio clara de responsabilidades;

g) falta de Procedimentos de Contingncia;

h) uso indevido dos servios de Internet em nome da empresa;

i) funcionrios de empresas terceirizadas no familiarizado com a Poltica de Segurana da empresa.

Fraudes cometidas por funcionrios

A fraude pode ser entendida, segundo Moreira (2001, p. 48), como qualquer tipo de explorao em um sistema com o objetivo de enganar a empresa atravs de alguma forma ou recurso. Apesar de ser possvel na maioria dos casos detectar as fraudes, o sistema computacional da empresa precisa estar precavido a ponto de poder rastrear todas as operaes efetuadas pelo fraudador.

Entre as fraudes podemos citar:

a) roubo de senhas;

b) uso indevido de conta e senha com grande nvel de acesso na rede interna da empresa;

c) decodificao seguida de alterao de programas executveis;

d) acesso alterao de dados direto em banco de dados.

As empresas treinam seus empregados para conseguirem melhores resultados, mas se esquecem de trein-los para resguardar o seu mais valioso produto: a informao.

Roubo de informaes

O roubo de informaes, ocorre no somente quando os computadores so roubados fisicamente, mas tambm quando so subtradas as informaes que eles contm. Pode acontecer todos os dias, sendo necessrio por parte da empresa trabalhar a conscientizao dos funcionrios com o intuito de evitar a conivncia com aes como esta. Os meios podem ser:

a) e-mail;

b) relatrios;

c) cpia de dados em algum tipo de dispositivo de armazenamento (disquete, cd-rom, etc.).

Erros Humanos

O fator humano, segundo muitas pesquisas, tem se mostrado uma das fontes mais comuns de incidentes de segurana, sendo que, em geral, a falta de treinamento e de suporte, omisses por parte dos funcionrios acabam por se tornar a principal causa. O fator humano objeto de constante preocupao por parte dos profissionais que projetam sistemas de segurana. Muitas vezes funcionrios com acesso autorizado, porm desatentos e com pouco treinamento, podem tornar-se causa potencial de incidentes segurana (MOREIRA, 2001, p. 49).

E-mail

Existem vrios riscos quando o assunto e-mail. Desde falsificao at contaminao por vrus. Apesar de ser um meio eficiente de se trocar informaes, ultimamente tm surgido diversas formas de burl-lo e torn-lo um meio de propagar vrus pela Internet. O e-mailem uma organizao deve ser utilizado para propsitos comerciais, mas comumentemente utilizado para propsitos particulares, para fazerem spam, e outros fins que no o de negcios. Um outro aspecto que deve ser avaliado o uso de Certificao Digital nos emails da empresa. Dessa forma, evita-se o no repdio, garantindo a integridade no s da mensagem, mas dos arquivos anexos. Existem empresas que monitoram o contedo dos e-mails enviados pelos seus funcionrios para fins de auditoria e/ou investigao.

As empresas treinam seus empregados para conseguirem melhores vendas e resultados, mas esquecem de trein-los para resguardar o seu mais valioso produto: a informao .

Vrus

Um vrus de computador um programa pequeno desenvolvido para alterar a forma como um computador opera, sem a permisso ou o conhecimento do seu usurio. Um vrus precisa atender a dois critrios. Primeiro, ele dever executar a si prprio, freqentemente inserindo alguma verso do seu prprio cdigo no caminho de execuo de outro programa. Segundo, ele deve se disseminar. Por exemplo, ele pode se copiar em outros arquivos executveis ou em discos que o usurio acessa. Os vrus podem invadir tanto computadores como servidores de rede.

Algumas formas mais comuns para se infectar um sistema com vrus, nos dias de hoje

a) anexos de mensagens recebidas via e-mail;

b) arquivos infectados armazenados em Servidores FTP;

c) arquivos recebidos via ICQ, Messenger, etc;

d) disquetes;

e) newsgroup.

Treinamento inadequado

O treinamento um fator importante em qualquer atividade, assim como a Segurana da Informao, pois envolve o comprometimento e a mudana no comportamento em muitas situaes por parte dos funcionrios. O comprometimento est relacionado com a participao e conscientizao de todos os colaboradores da empresa, na implantao e continuidade das normas de segurana da corporao . Dessa forma, estagirios, temporrios, terceiros, ou seja, do Office-boy ao presidente, todos devem estar comprometidos e participando deste processo.

Pirataria

Existem alguns tipos de pirataria, que se podem considerar como uma ameaa interna, dentre elas:

Pirataria de software - a pirataria de software uma prtica ilcita, caracterizada pela reproduo e/ou uso indevido de programas de computadores legalmente protegidos, sem a autorizao expressa do titular da obra e, conseqentemente, sem a devida licena de uso. Sabe-se que cada pacote de software vendido com uma nica licena de usurio s pode ser usado em uma mquina; copi-lo para outra mquina, mesmo que para o mesmo usurio, constitui pirataria. Alguns softwares, entretanto, possuem clusulas no seu contrato de licena que permitem que cpias sejam feitas, desde que seguidas algumas normas, como por exemplo, a sua utilizao por um nmero limitado de usurios (como geralmente acontece com programas para redes locais). Desta forma, ao adquirir um programa de computador, o usurio no se torna proprietrio da obra. Ele est apenas recebendo uma licena de uso, que uma permisso para o uso, de forma no exclusiva. Mesmo tendo adquirido uma cpia original, o usurio no possui o direito de comercializar, a no ser que tenha autorizao expressa do titular da obra. Em certos casos, ao comprar um software, o usurio pode fazer uma cpia de backup, para fins de segurana e para seu prprio uso. Esta cpia s poder ser efetuada com uma permisso especfica do detentor dos direitos autorais. Pirataria Coorporativa - ocorre quando h execuo de cpias no-autorizadas de softwares computadores dentro de organizaes. Esta uma das formas de pirataria mais difundidas, sendo responsvel por mais da metade das perdas sofridas. Ela acontece quando so feitas cpias adicionadas de software pelos empregados, para uso sem a aquisio de novas licenas o que, mesmo em pequenas quantidades, pode significar multas vultuosas, desgaste da imagem da empresa, entre outros. Pirataria Individual representa o compartilhamento de softwares com amigos e/ou colegas de trabalho. Tambm um problema significativo, especialmente porque os usurios individuais, que fazem cpias no-autorizadas, no acreditam que possam ser detectados, pois o nmero de pessoas que praticam esta contraveno muito grande. Porm, a lei vale para todas as modalidades de transgresso, inclusive para a pirataria individual.

Ameaas externas

Representam todos os ataques oriundos de fora do ambiente da Organizao com o objetivo de explorar as vulnerabilidades de um determinado sistema computacional para uma finalidade qualquer. Elas representam um alto grau de participao nas pesquisas sobre ataques a sistemas computacionais. Com a prtica do comrcio eletrnico, estes nmeros vem aumentando a cada dia, assim como as formas de ataques (MOREIRA, 2001, p. 60).

Invasores

So pessoas que se aventuram a utilizar seus conhecimentos com ferramentas e tcnicas para burlarem esquemas de segurana computacional.

Alguns tipos comuns de invasores:

Hacker um indivduo que sempre quer saber mais, investiga extensivamente os sistemas para detectar ms configuraes, bugs e buracos nas configuraes que permitem ganhar acesso aos sistemas. Ao contrrio do cracker,o hacker, depois de entrar no sistema, no altera a informao, pois esta atitude vai contra a tica dos hackers. S entram no sistema para o explorar e para se divertir, utilizar recursos (grandes computadores com enorme capacidade de processamento), ou como ponto de passagem. Cracker definido por alguns como um hacker mal intencionado, porque invade computadores e web sites, no por divertimento, mas por interesses prprios para desviar a conexo para outra pgina (concorrente, por exemplo), tirar algum servio do ar. Phreacker tem bons conhecimentos de telefonia e consegue inclusive fazer chamadas internacionais sem pagar, o que lhe permite desenvolver seus ataques a partir de um servidor de outro pas. Enquanto as companhias telefnicas aprimoram suas defesas, os phreackers buscam novas possibilidades de fraud-las. Lammer Indivduo que se utiliza de programas para invadir web sites.

Outro ponto a ser destacado so os motivos pelas quais pessoas mal intencionadas praticam atos de cunho maldosos. Eis alguns dos motivos dessas causas:

Ganhos Financeiros alguns funcionrios com certo conhecimento do processo, ou com um certo grau de poder, obtm acesso a sistemas financeiros da empresa para desviar dinheiro (atravs de transferncia eletrnica, por exemplo). Geralmente, esses funcionrios ganham menos do que outros que possuem o mesmo tempo de empresa. Vingana importante motivao para entradas no-autorizadas em sistemas e redes a vingana de funcionrios. O risco de atividades no-autorizadas envolvendo o uso de computadores, aumenta substancialmente quando surgem funcionrios dispensados, demitidos, rebaixados, preteridos em promoes, mal pagos ou tratados de forma injusta. O no-cancelamento do acesso remoto a sistemas e a outros recursos computacionais acaba criando um canal conveniente para os motivados por vingana. Os estudos de caso sugerem que a vingana a causa mais provvel de ocasionar problemas ou danos a sistemas do que a maioria dos outros motivos. Anarquia os anarquistas penetram nos sistemas simplesmente para produzir a discrdia e a segregao. Esses intrusos so motivados pela emoo provocada pelo desenvolvimento de atividades no-autorizadas. Idealismo alguns intrusos atacam sistemas por razes idealistas. Eles se vem como heris protegendo o mundo de operaes clandestinas de coleta de dados por parte do governo. Outros afirmam que esto encontrando pontos vulnerveis para tornar as redes e os sistemas mais seguros. Outros vem a informtica como uma atividade aberta que no deveria ser restrita por medidas de controle de segurana. Espionagem Industrial ocorre quando pessoas ou organizaes se dedicam a atividades ilegais contra outra empresa. Vrios casos de crimes envolvendo o mau uso do computador mostram que um ou mais funcionrios de uma empresa tentaram violar os recursos de informtica de outra empresa para obter uma vantagem competitiva ou para roubar softwares a serem comercializados, projetos, etc.

Auditoria

Consiste em um servio de apoio da Empresa, cuja natureza a de um controle que implica examinar e avaliar a adequao e eficincia de outros controles.

O objetivo da auditoria consiste em apoiar os membros da empresa no desempenho de suas atividades. Para tanto a auditoria lhes proporciona anlises, avaliaes, recomendaes, assessoria e informao concernente s atividades revisadas.

A auditoria interna responsvel pela reviso independente dos processos de gesto ou direo, compreendendo o seu alcance a todas as partes que integram a empresa vale dizer, inclui as atividades tcnicas, comerciais, financeiras, contbeis e de sistemas de informao e gesto. Sua misso de subministrar um servio de valorao construtiva da totalidade das atividades da empresa. Para isso escolhe as operaes e atividades que sero submetidas auditoria e que podero beneficiar-se com a reviso que esta fizer.

O objetivo da auditoria avaliar se a Empresa est operando dentro dos padres desejados pela poltica de segurana da informao. A auditoria responde pela Direo da Empresa nas diversas reas estratgicas.

Concluso

Constata-se que a Segurana de Informaes o elemento chave dentro da organizao: envolve aspectos tcnicos, humanos e organizacionais, sendo fundamental a definio e existncia de uma Poltica para efetiva proteo das informaes. O objetivo da segurana da informao proteger a empresa contra riscos, apoiada em um Plano de Cultura de Segurana e uma estrutura de Planejamento de Segurana, onde se podem identificar as vulnerabilidades e aes pr-ativas para a proteo das informaes.

A pesquisa evidenciou que, na era do conhecimento, a informao considerada um dos principais patrimnios de grande parte das organizaes, devendo ser tratada como tal, e protegida nos seus aspectos de disponibilidade, integridade, confidencialidade e autenticidade. Segurana responsabilidade e dever de todos e, como tal, deve ser de conhecimento de cada profissional da empresa o cumprimento e conscientizao de medidas de proteo dos recursos da informao, pois se trata de questo de alta prioridade.

Percebe-se que a tarefa de implementao das principais prticas de segurana da informao na corporao no uma tarefa fcil, mesmo quando se trata de uma empresa de pequeno porte. Envolve fatores objetivos e subjetivos que, ao se somarem, representam um caso diferenciado, impossvel de ser traduzida em uma frmula. Todavia, o ato de uma conscientizao ampla da necessidade da adoo das prticas de segurana j um grande passo tomado pela organizao. Sempre lembrando que o melhor caminho no a implantao compulsria, e sim a disseminao da cultura entre cada um dos ambientes da empresa. Afinal, nem todos os colaboradores e funcionrios entendem a necessidade de mecanismos de controle e de gerenciamento da segurana da informao.

Esse foi o objetivo principal deste trabalho: demonstrar que a Segurana da informao deve ser a mobilizao de interesses comuns, coletivos e difusos em prol da defesa e fortalecimento do patrimnio intangvel a informao -, um dos bens mais valiosos de qualquer organizao.