Segurança da Informação Para Arquivos Digitais em Um Órgão ...revistapensar.com.br/tecnologia/pasta_upload/artigos/a126.pdf · Pode-se considerar uma vulnerabilidade o exemplo

Revista Pensar Tecnologia, v.4, n.2, jul. 2015

Segurança da Informação Para Arquivos Digitais em Um Órgão daAdministração Pública.

Information Security for Digital Files into an Organ of Public Administration.

Juliano Faustino Alves1

Cristiano Antônio Rocha Silveira Diniz2

Resumo:Este artigo tem como objetivo apresentar uma análise sobre as práticas utilizadas porfuncionários de determinado órgão público de belo horizonte, quanto aos riscos adisponibilidade,integridade ou confidencialidade dos arquivos digitais desta instituição. Realizou-seuma pesquisa de tipo exploratória com pesquisa de campo, reunindo para explicitar o temafundamentação teórica específica e afim ao objeto de pesquisa.Palavras-chave: Arquivos digitais. Copias de segurança. Risco.Ameaça.Vulnerabilidade.

Abstract:Thispaperaims to present if thecustoms of the officials in specific public agency of BeloHorizonte, threaten the availability, integrity or confidentiality of the digital files of this institution. Acomparison of data between documentary researchwas done, compared with the theoretical basis ofthe present authors and a questionnaire administered to employees of theinstitution, so ananalysiscan be made and illustrated by graphs.Keywords: Digital files. Security copies. Risk. Threat.Vulnerability.

1 INTRODUÇÃO

Constitui-se tema desta pesquisa a segurança da informação para

arquivos digitais em um órgão da administração pública.

A lei nº 8.159, de 8 de janeiro de 1991, dispõe sobre a política nacional de

arquivos públicos, privados, definindo a responsabilidade referente à gestão,

proteção de documentos públicos e sua classificação.

1Graduando do curso Bacharelado em Sistemas de Informação pela Faculdade Inforium de

Tecnologia. [email protected] da Faculdade Inforium de Tecnologia, Pós-graduado em Gestão de Segurança da

Informação [email protected].


Considera-se também a aplicação dessa lei para os arquivos armazenados em

meio digital. Ressalta-se, que existe o risco de perda ou indisponibilidade desses

documentos públicos devido ao desgaste dos equipamentos, ações, naturais ou

humanas (intencionais ou não intencionais).

Os dados armazenados em computadores compartilhados por vários usuários

estão sujeitos a se perderem, pois cada usuário tem um nível de conhecimento

diferente sobre informática e alguns usuários têm mais conhecimento sobre

segurança da informação e utilizam com mais atenção, outros menos.

Caso não existam cópias de segurança, desses arquivos digitais

armazenados nos computadores, no caso da ocorrência de algum incidente, ou dano

físico ao equipamento, os arquivos armazenados, podem se perder

permanentemente.

Segundo Fialho Júnior (2007), as cópias de segurança são instrumentos para

compensar – ou tentar sanar - problemas advindos de hardware, como por exemplo,

uma pane no disco rígido, ou de software, como a invasão do sistema por hackers,

ataques de vírus, perda acidental de arquivos, conflitos no sistema operacional, etc.

Esses arquivos necessitam estar sempre disponíveis para servir como

instrumento de apoio à administração, à cultura, ao desenvolvimento científico e

como elemento de prova de informação, segundo a lei 8.159, de 8 de janeiro de

1991.

Assim, justifica-se a relevância deste tema pela necessidade de se avaliar os

costumes dos usuários de um setor publico, para se verificar, se esses costumes

precisam ser monitorados e os usuários capacitados com informações sobre

segurança da informação, com o objetivo final de induzi-los a práticas que

preservem a integridade dos dados.


Quanto à metodologia do estudo, trata se de uma pesquisa do tipo

exploratória quando se buscou reunir uma base conceitual e teórica para explicitar o

objeto de estudo. Utilizou-se como técnica a pesquisa bibliográfica (fontes

secundárias), em autores tais como Laureano (2005); Nakamura e

Geus(2007);Fialho Junior (2007) ; Ferreira e Araújo (2008).

A pesquisa documental (fontes secundárias) procede a uma análise do que

preconiza a Lei nº 8.159, sobre a política de arquivos públicos e privados.

Realizou-se uma pesquisa de campo utilizando-se um questionário com

questões fechadas, aos funcionários de uma instituição publica, para medir o nível

de conhecimento sobre segurança da informação, como de suas práticas

relacionadas ao ambiente de trabalho, para traçar um perfil dos funcionários em

relação a seus costumes em ambiente de profissional.

O objetivo geral do estudo é verificar se as melhores práticas sobre segurança

da informação condizem com o modo e com os costumes presentes no ambiente de

trabalho dos funcionários de uma determinada instituição pública.

São objetivos específicos: identificar se é cultura dos usuários dos

computadores de uma determinada instituição pública fazer cópias de segurança;

examinar se a interação com os computadores e outros funcionários da instituição,

põe em risco a disponibilidade dos dados armazenados nestes computadores;

identificar vulnerabilidades e ameaças que podem gerar situações de risco que

causem problemas de perda de dados; avaliar se é necessário maior controle sobre

as permissões de acesso ao perfil de administrador dos usuários.

Para compreensão deste tema, este trabalho foi dividido em cinco seções. A

seção 1, esta introdução e indicativa de estudo; a seção 2 apresenta os conceitos

com uma abordagem teórica sobre o tema de segurança da informação, a seção 3detalha os procedimentos metodológicos utilizados na pesquisa de campo; a seção


4 que analisa os resultados obtidos na pesquisa de campo, e a seção 5, discorre

sobre as considerações finais do artigo.


2 ABORDAGEM TEÓRICA SOBRE SEGURANÇA DA INFORMAÇÃO.

Impõe-se a necessidade de se proteger os documentos públicos

independentemente de sua classificação. Os arquivos classificados como

permanentes contêm valor histórico, probatório e informativo que devem ser

preservados para consultas de interesse da sociedade em geral.

A lei nº 8.159 de 8 de janeiro de 1991 no capítulo II, artigo 8,define o seguinte

a respeito das classificações sobre os arquivos :

Art.8º - Os documentos públicos são identificados como correntesintermediários e permanentes.§ 1º - consideram se documentos correntes aqueles em curso ou quemesmo sem movimento constituam objeto de consultas frequentes.§2º - Consideram-se documentos intermediários aqueles que não sendo deuso corrente nos órgãos produtores, por razoes de interesse administrativo,aguardam a sua eliminação, ou recolhimento para guarda permanente.§3º-Consideram-se documentos permanentes os conjuntos de documentosde valor histórico, probatório e informativo que devem ser preservados.(BRASIL, 1991)

Os arquivos classificados como correntes e intermediários são objeto de

trabalho dos funcionários públicos, por isso, necessitam receber proteção para evitar

sua perda. Os arquivos digitais sob a guarda da administração pública precisam

atender a três pilares da segurança da informação: confidencialidade, integridade e

disponibilidade.

A confidencialidade diz que a informação está disponível para aquelesdevidamente autorizados; a integridade diz que a informação não édestruída ou corrompida e o sistema tem um desempenho correto, e adisponibilidade diz que os serviços/recursos do sistema estão disponíveissempre que forem necessários. (CARTILHA DE SEGURANÇA PARAINTERNET, 2005, p. 3).

2.1) Riscos ameaças e vulnerabilidades


Segundo Nakamura (2007) o ataque a um arquivo pode partir de dentro da

organização, tendo como autor os funcionários desta organização. Os funcionários

são os responsáveis pelos incidentes mais graves dentro de suas próprias


organizações. Apesar das pesquisas mostrarem que o número de ataques partindo

da internet já é maior que os ataques internos, os maiores prejuízo ainda são

causados por incidentes internos. A pesquisa do Computer Security Institute

demonstra que no período entre 2001 e 2002, o número de ataques de fora das

redes das instituições aumentou, porém o tipo de ataque que causa maiores perdas

é o que envolve o roubo de propriedade intelectual, que está relacionada a

funcionários internos, concorrentes ou governos estrangeiros.

O risco de ataque (com iminente perda dos dados) é o produto de quando

uma ameaça encontra uma vulnerabilidade. Laureano (2005) assinala que a ameaça

pode ser definida como qualquer ação, acontecimento ou entidade que possa agir

sobre um ativo, processo ou pessoa, através de uma vulnerabilidade,

consequentemente, gerando um determinado impacto. Uma ameaça sozinha não

causa dano, o problema é quando a ameaça se encontra com uma vulnerabilidade.

Este autor define que vulnerabilidade é a parte de qualquer sistema que é

suscetível a um ataque, ou seja, uma condição encontrada em determinados

processos, configurações, etc.

Pode-se considerar uma vulnerabilidade o exemplo em que um funcionário

que possui função de auxiliar administrativo que possui acesso a um usuário

administrador, e com isso, apagar um arquivo de outro usuário em um computador

compartilhado, remover um programa com dados importantes para a instituição, ou

instalar algum programa incompatível com os interesses da organização.

Com base nessas definições, consideram-se como exemplos de ameaça aos

dados da instituição as seguintes situações: funcionários com acesso a informações

e permissões das quais não necessitam para exercer suas atividades de trabalho,

funcionários que compartilham suas senhas de acesso ao computador ou as senhas

de acesso ao e-mail com outros funcionários e funcionários que não realizam cópias

de segurança dos arquivos com os quais trabalham diariamente.


A norma NBR ISO 27002 (2005) define que a segurança da informação é

fundamental tanto para os negócios do setor público como para do privado. O risco é

também sobre o costume de alguns funcionários de compartilhar suas senhas

pessoais de acesso ao computador ou e-mail com colegas de trabalho, esta

atividade pode ser considerada uma potencial ameaça, uma vez que pode ocorrer o

risco de funcionário utilizar o usuário de outro funcionário, e apagar arquivos deste

usuário.

Sobre este ponto de vista, Ferreira e Araújo (2008) afirmam que os

colaboradores devem manter suas senhas como informação confidencial. Não deve

ser permitido compartilhá-las, nem acessar sistemas de outros colaboradores sem

autorização expressa, conforme hierarquia interna de responsabilidades para

autorizações.

Determinados recursos tecnológicos da empresa podem ser acessados

apenas mediante o fornecimento de uma senha válida, ou seja, as senhas

são utilizadas para prevenir acessos não autorizados à informação.

(FERREIRA e ARAUJO, 2008, p. 88)

Outro risco do compartilhamento de senhas seria utilizar um funcionário com

usuário padrão, utilizar o acesso de um usuário administrador para instalar

programas para uso pessoal, de interesse adverso e potencialmente prejudiciais a

instituição, como por exemplo, jogos de computador, programas pirateados, vírus.

O usuário Administrador (ou root) é de extrema importância, pois detém todos

os privilégios em um computador. Ele deve ser usado em situações onde um

usuário normal não tenha privilégios para realizar uma operação. (CARTILHA

DE SEGURANÇA PARA INTERNET, 2005, p. 14)

Esse conceito está de acordo com o conceito defendido pelos autores Ferreira

e Araújo (2008), os quais indicam que se deve ser cauteloso com o nível de acesso

que cada usuário possui sobre as informações da instituição, pois a organização

deve somente disponibilizar recursos tecnológicos aos colaboradores (funcionários


ou terceiros) autorizados, de modo a auxiliá-los no desempenho de suas funções e

na execução dos trabalhos.


Dentro de uma organização, as informações têm vários níveis de acesso, ou

seja, uma informação relevante para o trabalho de um funcionário pode não

ser importante para o trabalho de outro. Já uma informação confidencial, que

pode ser acessada somente pelos gerentes, por exemplo, não pode chegar

aos demais funcionários. (NAKAMURA e GEUS, 2007, p. 362)

Assim um funcionário que trabalha apenas executando os programas já

instalados computador não será necessário utilizar perfil de conta de administrador

do computador, pois este pode fazer alterações que causem dano em seu

funcionamento, como a desinstalação de algum programa importante para a

instituição, ou instalação de programas piratas e jogos eletrônicos. “O uso de

software pirata está diretamente associado à propagação de vírus em ambientes

informatizados”. (FERREIRA e ARAUJO, 2008, p. 92). Assim, a conta com perfil de

administrador deverá somente ser possuída pelo funcionário responsável pela

administração do sistema.

A outra ameaça em potencial aos arquivos digitais armazenados em

determinada instituição pública, é a não criação por parte dos funcionários de cópias

de segurança dos arquivos em que trabalham. Segundo Ferreira e Araújo (2008), o

usuário dos recursos tecnológicos é responsável pela segurança das informações da

organização, que estão sobre sua responsabilidade. Esse ponto de vista entra em

contradição com os costumes dos usuários apresentados pela Cartilha de

Segurança para internet onde está registrado que: a maior parte dos usuários

considera não ser de sua responsabilidade realizar cópias de segurança.

Esse conflito é gerado por que apesar de os usuários serem as pessoas mais

indicadas a produzir as cópias de segurança, justamente por trabalharem com estes

arquivos e possuírem conhecimento de quais são os mais importantes, muitos não

consideram ser de sua responsabilidade esta atividade.

A Cartilha de Segurança para internet (2005) define que as cópias de

segurança dos dados armazenados em um computador são importantes, não só


para se recuperar de eventuais falhas, mas também das consequências de uma

possível infecção por vírus ou de uma invasão. Ainda orienta que a frequência das

realizações de cópia de segurança e a quantidade de dados armazenados nesta


cópia dependem da periodicidade com que o usuário cria sua própria política para a

realização de cópias de segurança. Esse ponto de vista pode ser confirmado por

Fialho Junior (2007) o qual acrescenta que a cópia de segurança é a melhor forma

de prevenção e recuperação das informações, já que os dados podem voltar

fielmente para o disco quando se for necessário.

Com base nessas definições, pode se afirmar que quem deve estabelecer

quais arquivos devem ser copiados, é o proprietário dos arquivos, deste modo,

haverá menos cópias de arquivos desnecessários, pois o mesmo por trabalhar com

seus arquivos diariamente poderá indicar quais arquivos são modificados com mais

frequência e a importância dos mesmos.

Segundo Fialho Junior (2007), a frequência dos backups dependerá

diretamente da relevância que os dados possuem para a empresa em que trabalha,

assim como da quantidade de informações a serem processadas. Essa definição é

complementar à definição sobre os cuidados a serem tomados ao se realizar cópias

de segurança dos arquivos, segundo a Cartilha de Segurança para internet (2005)

que assinala que as cópias de segurança devem conter apenas arquivos confiáveis

do usuário, ou seja, que não contenham vírus.

3 METODOLOGIA DA PESQUISA

Esta seção tem como objetivo detalhar os procedimentos metodológicos

realizados na pesquisa para se verificar a necessidade de se programar uma política

de segurança. Realizou-se uma pesquisa do tipo exploratória com pesquisa de

campo.

Quanto à delimitação do universo da pesquisa, trata-se de funcionários de um

setor de uma administração pública localizada na cidade de Belo Horizonte, no

Hospital João XXIII. Os funcionários possuem em sua maioria formação na área

médica (médicos e enfermeiros) e funcionários da área administrativa.


Realizou–se a pesquisa por amostragem aleatória por acessibilidade. Como

instrumento de pesquisa, utilizou-se de um questionário com questões fechadas,


aplicado pelo próprio autor deste estudo, no ambiente de trabalho da empresa. Para

o tratamento dos dados levantados na pesquisa, teve-se com recurso a estatística

descritiva.

O questionário aplicado teve como objetivo abordar:

-se os costumes praticados pelos funcionários no ambiente de trabalho

condizem com as boas praticas em segurança da informação, e se esses costumes

já vieram como cultura interna do funcionário ou se foi adquirida por algum

documento informando à conduta que deveria ser adotada na instituição,

-o nível de preocupação em relação à perda de arquivos digitais do setor em

que trabalha com relação à prática de se fazer cópias de segurança, diariamente,

semanalmente, mensalmente ou a não execução dessas cópias,

-se os funcionários compartilham suas senhas de usuário de sistema ou correio

eletrônico ou se possuem usuário administrador de sistema.

-a ação dos funcionários ao receber um endereço de internet via correio

eletrônico, ou arquivo anexo via correio eletrônico.

4 APRESENTAÇÃO E ANÁLISE DOS RESULTADOS DA PESQUISA

No tipo de amostragem aleatória por acessibilidade obteve-se 15 questionários

respondidos. O gráfico 1 mostra que todos os funcionários não tiveram nenhum

conhecimento sobre o documento oficial do Departamento de Informática da

Instituição, que contivesse regras de conduta ou informações sobre segurança dos

arquivos digitais.

Gráfico 1 - Quantidade dos funcionários que foram informados da existência de regras de segurançaa serem seguidas para a execução de suas atividades nos computadores da instituição.


Fonte: Dados de pesquisa

O gráfico 2, indica que 80% dos funcionários já possuíram algum contato com

cursos de informática, porém a capacitação em cursos de informática não garante

que os usuários possuam boas práticas em relação a segurança da informação.

Gráfico 2 - Quantidade dos funcionários que possuem alguma capacitação ou curso na área de

informática.

Fonte: Dados de pesquisa

Para avaliar o risco de perda de arquivos pela ausência de criação de cópias

de segurança foi analisado a frequência com que os usuários produzem cópias de

segurança de seus respectivos arquivos de trabalho. O gráfico demonstra que

aproximadamente metade dos funcionários não possui esta prática (gráfico 3).

Gráfico 3- Frequência com que os funcionários costumam fazer cópias de segurança nos arquivos

digitais com que trabalham.


Fonte: Dados de pesquisa.

Com este resultado pode se considerar que 53,3% dos entrevistados

possuem o risco de perda dos arquivos em um eventual incidente, visto que 8 em 15

funcionários não possuem costume de fazer cópia de segurança.

Apesar de os funcionários não possuírem a prática de fazer cópias de

segurança, 60% deles admitiram possuir preocupação com a possibilidade de se

perder os arquivos digitais com que trabalham (gráfico 4).

Gráfico 4- Nível de preocupação dos funcionários com a hipótese de perda dos arquivos

armazenados em seu computador de trabalho.


Outro risco é o compartilhamento de senhas de sistema ou e-mail e a

utilização de um usuário de sistema administrador por um funcionário que não


necessita de permissões especiais. Este risco pode ser considerado baixo, pois a


maior parte dos funcionários respondeu não compartilhar a senha com outros

funcionários (gráfico 5).

Gráfico 5 - porcentagem dos usuários que compartilham a senha de usuário do computador ou

usuário de e-mail com outro(s) funcionário(s).


O risco de utilização indevida do usuário com perfil de administrador do sistema

de também pode ser considerado baixo, pois somente um usuário possui perfil

administrador de sistema e o mesmo possui curso na área de tecnologia da

informação e atua no suporte de informática aos usuários do setor (gráfico 6).

Gráfico 6 - porcentagem dos usuários que possuem perfil de usuário administrador no (s) computador

(es) em que trabalha?


Este resultado indica que os riscos de deleção de arquivos de um funcionário

por outro está minimizada. Visto que quase todos os usuários possuem perfil padrão

e não conseguem acesso as pastas dos outros usuários.


Para analisar os riscos de perda ou alteração dos arquivos caso os usuários

possuíssem perfil de administrador do sistema e compartilhassem suas senhas foi

analisada a questão 7, porém este risco foi considerado baixo. Apesar de 40% ter


respondido perceber alguma alteração, esta pode ter sido causada por atualização

de software por parte do administrador do sistema, visto que todos os outros

funcionários possuem usuários padrão (gráfico 7).

Gráfico 7- Porcentagens dos usuários que perceberam alterações em seu computador

desconhecendo como estas ocorreram.


O risco de alguma pessoa conseguir acesso a algum arquivo de outro usuário

também pode ser considerado baixo, já que a maior parte dos funcionários.

Respondeu bloquear o computador ao se afastar dele (gráfico 8).

Gráfico 8- Porcentagem dos usuários que bloqueiam o computador ao se afastar dele.


O risco de acontecer algum dano aos arquivos da instituição por acesso a

algum endereço de internet que possa infectar o computador por vírus enviado por

correio eletrônico pode ser considerado médio, uma vez que 60% dos usuários

responderam que possuir o costume de verificar os remetentes dos endereços de

internet enviados em anexo a sua caixa de correio eletrônico (gráfico 9).


Gráfico 9- Quantitativo das ações dos usuários ao receber um endereço de site por e-mail.


O risco de acontecer algum dano aos arquivos da instituição por acesso a

algum arquivo anexo enviado via correio eletrônico pode ser considerado baixo, uma

vez que apenas 20% dos usuários responderam não verificar os remetentes dos e-

mails antes de acessá-los.

Gráfico 10- Quantitativo das ações dos usuários ao receber um arquivo anexado por e-mail.


O risco de o software antivírus não ser atualizado pode ser considerado

médio, sendo que 40% dos funcionários atualizam o antivírus periodicamente.

Gráfico 11-Porcentagem dos usuários que atualizam o antivírus do computador.




O risco acerca da infecção por vírus por mídias removíveis como pen-drives e

discos compactos (CD) pode ser considerado alto, pois 93% dos usuários

informaram que não executam o programa antivírus para buscar por ameaças

nessas mídias removíveis antes de acessá-las.

Gráfico 12-Porcentagem dos usuários que realizam varreduras em buscas de vírus em mídias

removíveis.


5 CONSIDERAÇÕES FINAIS

O presente trabalho considerou uma análise da pesquisa de campo deste estudo

com base na pesquisa exploratória realizada. Esta teve como base os costumes em

relação à prática de cópias de segurança, compartilhamento de senhas de usuário, e

conhecimentos na área de informática em relação a segurança da informação de

arquivos digitais.

Assim buscou-se reunir no estudo uma base teórica que permitisse mostrar

quais são as praticas mais recomendáveis para a manutenção de uma boa política

de segurança.

Verificou-se durante a aplicação do questionário que a maioria dos

funcionários desconhece ou não confirma ter recebido informações sobre as regras

de conduta com arquivos digitais públicos.


Encontrou-se um potencial de ameaça aos arquivos digitais públicos. A

maioria dos funcionários não faz cópias de segurança dos arquivos que trabalha,


apesar de se preocupar com a potencialidade de perda dos mesmos, no entanto

muito pouco é feito para evitar este cenário. A pesquisa mostrou que o risco de um

funcionário causar danos nos arquivos digitais de outros funcionários é baixo, pois a

maior parte dos entrevistados não possui acesso de administrador ao sistema, além

de serem poucos os que compartilham suas senhas com outros usuários.

Foram consideradas baixas as possibilidades de infecção por vírus baixados

por e-mail visto que a maioria dos usuários verifica os remetentes dos arquivos, e

não acessa sites ou arquivos enviados por pessoas desconhecidas. O risco de

infecção por mídias removíveis foi considerado alto, pois a maioria dos usuários não

executa escaneamento de vírus ao receber alguma destas mídias.

Este estudo permitiu mostrar que há necessidade da criação por meio das

gerências de uma cultura de cópias de segurança dentro da instituição, onde cada

funcionário deve ficar responsável por criar sua própria rotina de cópias de

segurança, assim tornar segura a disponibilidade, integridade e a confidencialidade

dos arquivos digitais da instituição.

REFERÊNCIAS

BRASIL. Lei Nº 8.159. Presidência da República, 8 de janeiro de 1991. Disponívelem<https://www.planalto.gov.br/ccivil_03/leis/l8159.htm> Acesso em 20 de março de2014.

CERT.br, Cartilha de segurança para internet, Setembro de 2005, Disponível em<http://cartilha.cert.br/sobre/old/cartilha_seguranca_3.0.zip> Acesso em em 22 demaio de 2014.

FERREIRA, Fernando Nicolau Freitas. ARAÚJO, Márcio Tadeu de.Política desegurança da informação – Guia Pratico Para Elaboração e Implementação 2ªEdição Revisada. Rio de janeiro, Editora Científica Moderna Ltda.,2008. ISBN 978-85-7393-771-8 259 pg.


FIALHO Jr., Mozart. Guia Essencial do Backup. São Paulo: Digerati books,Universo dos Livros Editora Ltda. ,2007. ISBN 978-85-60480-23-4. 128 pg.

LAUREANO, Marcos Aurelio Pchek, Gestão de Segurança da Informação, 2005,Disponívelem<http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf>Acessoem 29 de maio de 2014.

NAKAMURA, Emilio Tissato;GEUS,Paulo Lício de. Segurança de redes emAmbientes Cooperativos. São Paulo. Editora Novatec, 2007. 488pg.


APÊNDICE

Ficha para o questionário de segurança da informaçãoQuestionário de Segurança da Informação-Termo de Consentimento Livre eEsclarecido1 - Você está sendo convidado (a) para participar, como voluntário, de uma pesquisa

sobre suas práticas no ambiente de trabalho. No final, ao clicar no botão “Submit”

estará aceitando enviar suas respostas para posterior análise.

2- Sua participação não é obrigatória, e a qualquer momento, você poderá desistir

da participação e retirar seu consentimento.

3- As informações desta pesquisa serão confidenciais, e serão divulgadas apenas

em artigos, ou publicações científicas, não havendo identificação dos participantes,

em momento algum do processo, sendo assegurado o sigilo total sobre suas

informações.

4- As respostas somente serão analisadas em conjunto, impedindo qualquer tipo de

análise individual dos participantes. A pesquisa será feita por tempo indeterminado,

podendo ser finalizada a qualquer momento.

1-Quando começou a trabalhar no local de trabalho atual, foi informado daexistência de regras de segurança a serem seguidas para a execução de suasatividades nos computadores da instituição?1-Sim2-Não 3 - Não sabe informar


2–Possui algum curso na área da computação? (Pode se escolher uma oumais opções)

1-Informática básica (Windows e Office) 2-Graduação/Técnico 3-Outros4-Não possui

3-Com que frequência costuma fazer Back-up nos arquivos digitais em quetrabalha?

(Considere Back-up como: Criar uma cópia completa do(s) arquivo(s) em quetrabalha e salvar esta cópia em pen-drive,CD/DVD ou computador diferente do quevocê utiliza diariamente.)

1- Diariamente 2-Mensalmente 3-Raramente4-Não Faz

4- Quanto se preocupa com a hipótese de perda dos arquivos armazenados noseu computador de trabalho?

1- Preocupa-se muito2 – Preocupa-se3- Não se preocupa 4- Não sabe informar

5-Compartilha sua senha de usuário do computador ou usuário de e-mail comoutro(s) funcionário(s)?

1- Sim 2- Não

6-Possui perfil de usuário administrador no (s) computador (es) em quetrabalha?

1- Sim 2- Não 3- Não sabe informar

7-Alguma vez já surgiu alguma “alteração” em seu computador sem sabercomo a mesma aconteceu? (Considere alteração como: Programas novos

instalados, alteração de página inicial do navegador de internet, surgimento ou

desaparecimento de arquivos)1-Sim2 - Não 3 - Não sabe informar

8 - O que você costuma fazer com o computador quando se afasta dele?1-Bloqueia o computador. 2- Deixa o computador desbloqueado. 3-Desliga o computador ou fazLogoff. 4-não sabe informar

9-Qual é a ação do usuário ao receber um link de site por e-mail?1- Verifica se conhece o remetente e abre. 2- Abre sem conhecer o remetente. 3- Não sabe informar.4 - Não abre

10-Qual é a ação do usuário ao receber um arquivo anexo por e-mail?


1- Verifica se conhece o remetente e abre. 2- Abre sem conhecer o remetente. 3- Não sabeinformar4 - Não abre


11- O antivírus do seu computador é atualizado?1-Sim 2 - Não 3 - Não sabe informar

12-Qual é a ação do usuário ao receber uma mídia como pendrive, cd, etc?1-executa um escaneamento com o programa antivírus antes de acessá-lo2-não executa escaneamento, e abre os arquivos contidos na mídia3-não sabe informar

Documents

Segurança da Informação Para Arquivos Digitais em Um Órgão ...revistapensar.com.br/tecnologia/pasta_upload/artigos/a126.pdf · Pode-se considerar uma vulnerabilidade o exemplo