UNIVERSIDADE ESTÁCIO DE SÁ

FACULDADE DE HUMANAS

GRADUAÇÃO EM ADMINISTRAÇÃO

NEIRE ELIONAR ALMEIDA ABRAÃO

MACAÉ, RIO DE JANEIRO

2008

NEIRE ELIONAR ALMEIDA ABRAÃO

SISTEMAS DA INFORMAÇÃO: CONSEQÜÊNCIAS DO ACESSO NÃO

AUTORIZADO DA INFORMAÇÃO

Projeto apresentado à Universidade Estácio de Sá como requisito parcial para a

obtenção de aprovação na Disciplina de Trabalho de Conclusão de Curso.

Tutor: Prof. Dr.JOVENITO.

MACAÉ, RIO DE JANEIRO,

2008

Sistemas da informação: conseqüências do acesso…

Dedico este trabalho a meu esposo,

Adalberto Alves Abraão pelo apoio e

confiança, e por compreender a minha

ausência durante a realização deste

trabalho.

Sistemas da informação: conseqüências do acesso…

Folha de Inicio

Folha de Dedicatória

INTRODUÇÃO......................................................................................................6

1. O problema........................................................................................................7

1.1. Exposição e formulação:.............................................................................7

1.2. Objetivos......................................................................................................7

1.2.1. Geral......................................................................................................7

1.2.2. Específico..............................................................................................7

1.3. Justificativa..................................................................................................8

1.4. Delimitação e alcance.................................................................................8

1.4.1. Espacial.................................................................................................8

1.4.2. Temporal...............................................................................................8

2- Marco teórico.....................................................................................................8

2.1. Revisão bibliográfica...................................................................................8

2.1.1. A evolução da segurança da informação..............................................8

2.1.2. Princípios da segurança da informação................................................9

2.1.3. Política de segurança da informação..................................................10

2.1.4. Por que as políticas de segurança falham?.........................................12

2.1.5. Utilização da senha.............................................................................12

2.1.6. O que fazer com e o que não fazer com a senha................................13

2.2. Pesquisa de campo...................................................................................15

2.2.1. Perguntas............................................................................................15

2.2.2 Tratamento de dados...........................................................................16

2.3. Marco conceitual.......................................................................................17

2.4. Marco operacional.....................................................................................17

2.5. Hipóteses...................................................................................................18

2.5.1. Hipótese de pesquisa..........................................................................18

3. Metodologia.....................................................................................................18

3.1. Descrição do lugar de estudo....................................................................18

3.2. Tipo e Método de Estudo..........................................................................19

3.2.1. Tipo e método:.....................................................................................19

3.3. Fonte de dados:.........................................................................................19

3.4. População e amostra.................................................................................19

3.5. Técnica de coleta de dados:......................................................................19

3.6. Técnica de análise de dados:....................................................................19

4. Conclusão........................................................................................................20

Referências bibliográficas...................................................................................21

Anexos................................................................................................................21

INTRODUÇÃO

Desde a inserção do computador, na década de 40, como dispositivo

auxiliar nas mais variadas atividades, até os dias atuais, temos observado uma

evolução nos modelos computacionais e tecnologias usadas para manipular,

armazenar e apresentar informações. Temos testemunhado uma migração de

grandes centros de processamento de dados para ambientes de computação

distribuída.

Serão analisadas as possibilidades e as formas que os usuários que

detenham tais informações devem agir a curto, médio e longo prazo.

Pretendemos mostrar a importância da segurança da informação, suas opções e

riscos com sua divulgação e o quanto o sigilo é primordial para a sobrevivência

da empresa.

O interesse pelo tema é fruto de nossa experiência profissional, junto a

empresas que buscam através da tecnologia da informação, a forma mais

segura do manuseio de suas informações para obter o máximo retorno com o

menor risco possível.

A segurança da informação, muitas vezes presumida na responsabilidade

da área de TI, torna-se mais complexa à medida que a organização possua

fatores de riscos e áreas de vulnerabilidade inerentes em aspectos globais.

Com o crescimento da globalização, o acesso à informação está mais

fácil. O reflexo deste novo panorama traduz-se em episódios cada vez mais

freqüentes de saques eletrônicos indevidos, clonagens de cartões de crédito,

acessam a bases de dados confidenciais, dentre inúmeras outras ameaças.

A segurança da informação vem sendo tema de grande debate neste

novo milênio. As organizações estão buscando soluções práticas e efetivas, que

possam trazer otimização de suas atividades, mas ao mesmo tempo segurança

em operar seus mecanismos de trabalho. Existem técnicas de como escapar ou

evitar os ataques mais comuns à informação, fazendo um paralelo entre os

problemas, sintomas, prevenções e soluções.

O presente trabalho chama a atenção do usuário da informação para o

manuseio seguro da sua senha de acesso, pois é ele o responsável pela

segurança das informações reservadas da empresa, que podem levar ao

crescimento ou ao declínio da organização, seja ela de grande, médio ou

pequeno porte.

1. O problema

1.1. Exposição e formulação:

Buscar soluções práticas e efetivas, que possam trazer otimização das

atividades, mas ao mesmo tempo segurança em operar os mecanismos de

trabalho. Existem técnicas de como escapar ou evitar os ataques mais comuns à

informação, fazendo um paralelo entre os problemas, sintomas, prevenções e

soluções.

Chamar a atenção do usuário da informação para o manuseio seguro da

senha de acesso, definindo as conseqüências do acesso não autorizado da

informação.

1.2. Objetivos

1.2.1. Geral

O objetivo geral consiste em buscar com o fruto da experiência

profissional através da tecnologia da informação, a forma mais segura do

manuseio de suas informações para obter o máximo retorno com o menor risco

possível.

1.2.2. Específico

Coletar dados para formatação de uma ferramenta confiável para tomada

de decisões por parte dos funcionários e das empresas.

1.3. Justificativa

A importância em manter as informações pessoais em sigilo, não

permitindo assim que pessoas não autorizadas acessem suas informações

pessoais, sejam invadindo seu computador, acessando sua conta bancaria ou

até mesmo invadindo seu espaço no ambiente de trabalho.

Assim, este trabalho irá proporcionar uma discussão sobre a

necessidade do detentor da informação, seja ela para uso próprio ou para

benefício de uma comunidade globalizada, utilizar de forma adequada sua

senha de acesso.

1.4. Delimitação e alcance

1.4.1. Espacial

A pesquisa será realizada na cidade de Macaé com os empregados das

empresas contratadas prestadoras de serviço para a Petrobras e empregados

da própria estatal.

1.4.2. Temporal

A pesquisa será desenvolvida com os funcionários da área administrativa

no mês de maio de 2008.

2- Marco teórico

2.1. Revisão bibliográfica

2.1.1. A evolução da segurança da informação

A evolução faz parte da vida do homem e é o maior resultado desta

evolução. No meio tecnológico, talvez a maior evolução já ocorrida seja a

Internet. Desde o seu advento, incentivou a mudança de paradigmas e

possibilitou uma explosão de conectividade e acessibilidade, onde influencia

consideravelmente a forma como as empresas gerem seus negócios.

Sêmola (2003, p.3), cita a mudança e o crescimento da tecnologia da

informação “os computadores tomam conta dos ambientes de escritório,

quebram o paradigma e acesso local à informação, e chegam a qualquer lugar

do mundo através dos – cada vez mais portáteis – notebooks e da rede mundial

de computadores: a Internet”.

Como na Internet, a segurança da informação também evoluiu. Saiu do

nível puramente técnico e restrito à área da TI, onde se preocupava em ter um

sistema de antivírus, um firewall bem configurado, para um nível de gestão, que

além de pensar em tecnologia, precisa investir e desenvolver também os

processos e pessoas.

Gabbay (2003, p.14) na sua tese, expõe claramente a evolução da segurança da

informação, dizendo que:

Os aspectos relativos à implantação de uma eficiente Política de

Segurança de Informação vêm evoluindo significativamente ao longo dos anos.

Os procedimentos de segurança da informação têm se alterado bastante desde

seus dias inicias, quando a segurança física, junto comum conjunto de back-up,

compunha os controles de segurança de informação, sendo que atualmente a

segurança de informação é composta de políticas, padrões, programas de

conscientização, estratégias de segurança, etc.

2.1.2. Princípios da segurança da informação

A segurança da informação é um conjunto de software, hardware,

procedimentos e padrões implementados para proteger as informações das

ameaças que possam explorar as vulnerabilidades do ambiente e impactar no

seu negócio da organização.

A norma NBR ISO/IEC 17799 (2005, p.ix) define segurança da informação

como “é a proteção da informação de vários tipos de ameaças para garantir a

continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

sobre os investimentos e as oportunidades de negócio”.

Os princípios da segurança da informação são:

Confidencialidade: garantia de que a informação é acessível somente por

pessoas autorizadas a terem acesso;

Integridade: a informação é alterada somente pelas pessoas autorizadas;

Disponibilidade: garantia de que as pessoas autorizadas obtenham acesso à

informação e aos ativos correspondentes sempre que necessário.

Esclarecendo melhor, quando se fala em investir em segurança da

informação, é o mesmo que investir para que as informações permaneçam

confidenciais, integras e disponíveis para a pessoa certa na hora certa.

2.1.3. Política de segurança da informação

A Política de Segurança da Informação visa a redução dos riscos, dos

efeitos ou custos relacionados a um incidente de Segurança da Informação.

Estabelece as regras básicas sobre as quais a organização deve operar e

proteger seus Sistemas de Informação, as responsabilidades de cada usuário e

as penalidades aplicáveis ao seu não cumprimento. O desenvolvimento de uma

Política de Segurança da Informação deve ser guiado através de muitos fatores,

sendo o mais importante, a Análise de Risco. (THEADIM, 2006)

A política de segurança é a formalização de todos os aspectos

considerados relevantes por uma organização para a proteção, controle e

monitoramento de seus recursos computacionais e, conseqüentemente, das

informações manipuladas. Ela deve contemplar, de forma genérica, todos os

aspectos importantes para a proteção lógica e física das informações e dos

recursos computacionais.

Gabby (2003, p.41) coloca que:

A política de segurança da empresa deve definir itens como:

responsabilidades do uso dos recursos computacionais;

preparar o Plano de Continuidade de Negócio;

elaborar as normas de uso de e-mail e de uso da Internet;

distinguir entre informação pública e privada;

gerenciar acesso e contas de usuários;

prever o combate a ameaça aos sistemas de informação como

fogo, enchente,etc.,

definir a política de privacidade do site da empresa na internet, se

houver.

O autor não comentou sobre a importância dos itens acima em relação à

realidade das empresas. Cada empresa deve elaborar uma política de

segurança baseada na sua realidade, ou seja, na sua cultura e em seus

processos de negócio. Um exemplo pode ser a política da Internet, nada de

adianta uma política se a empresa não utiliza esse recurso. O autor não

comentou sobre a importância e diferença entre o plano de continuidade de

negócio-PCN e da política de segurança.

Segundo Sêmola (2003, p.34) a política de segurança da informação deve

ser elaborada considerando:

Com extrema particularização e detalhamento as características de cada

processo de negócio, perímetro e infra-estrutura, materializando-a através de

diretrizes, normas, procedimentos e instruções que irão oficializar o

posicionamento da empresa ao redor do tema e, ainda, apontar as melhores

práticas para o manuseio, armazenamento, transporte e descarte de informação

na faixa de risco apontada como ideal.

O PCN objetiva garantir a continuidade da empresa quando da ocorrência

de algum incidente de segurança. Este plano é independente da política de

segurança, tendo inclusive uma estrutura de recursos dedicada à gestão do

plano, como pessoas e orçamento, quando necessário.

A norma NBR ISO/IEC 17799 (2005, p.104) coloca que:

Convém que os planos sejam desenvolvidos e implementados para a

manutenção ou recuperação das operações e para assegurar a disponibilidade

da informação no nível requerido e na escala de tempo requerida, após a

ocorrência de interrupções ou falhas dos processos críticos do negócio.

Segundo Gabby (2003, p.42) “as estratégias de segurança de

Informações críticas repousam primeiramente na conduta apropriada dos

funcionários, e de forma secundária, no uso de soluções tecnológicas”. O autor

não abordou o fator “processos” dentro do contexto da segurança. Entende-se

que a gestão da segurança da informação é baseada no trinômio – pessoas,

processos e tecnologia – onde somados resultam em ações efetivas para a

proteção da informação. Ter pessoas conscientizadas e orientadas, processos

definidos e testados, tecnologias de proteção.

2.1.4. Por que as políticas de segurança falham?

Nenhum bem material pode ser 100% protegido contra roubo, uso não

autorizado, acidentes ou danos. Isso também é verdade para os bens de

conhecimento, ou seja, informações. Se um invasor for suficientemente

experiente, paciente e determinado, nenhum sistema de proteção, por mais

avançado que seja, será impenetrável, pois não há solução que funcione para

sempre. Entre o desenvolvimento de uma política de segurança e sua prática,

existe um grande caminho: treinamento, conscientização, divulgação,

implementação das modificações dos recursos tecnológicos e etc... Esse é um

processo demorado, onde os resultados da política geralmente levam algum

tempo para serem notados. Nesse intervalo de tempo, a política deve ser

testada e melhorada, até que seja alcançado o ponto ideal entre a segurança e o

impacto no trabalho e no rendimento das pessoas. Esse balanço é o fator

decisivo para o sucesso ou fracasso da política. (idem)

O desenvolvimento da política deve levar em consideração o impacto que

esta poderá causar no dia-a-dia dos funcionários. Caso venha a causar uma

queda no rendimento, a política deve ser reavaliada e, se for o caso, reescrita.

Vale ressaltar que na Política de Segurança o fator humano é o mais importante

de todos, pois como mencionado anteriormente, as pessoas representam o elo

principal no processo de Segurança das Informações. Se uma política impacta

significativamente no trabalho das pessoas, a tendência natural é que seja

deixada de lado. Esse é o principal elemento no fracasso de uma Política de

Segurança. (ibidem)

2.1.5. Utilização da senha

Todavia não se pode esquecer que todo novo controle de segurança traz

consigo novas vulnerabilidades, que neste caso está associada à

disponibilidade. Imagine por um instante um executivo em viagem sendo

requisitado a acessar e aprovar um documento em caráter emergencial através

de um sistema informatizado, mas impossibilitado de se autenticar

pessoalmente. Neste caso, sem haver outra pessoa igualmente autorizada,

como contingência, o processo estaria parado até que houvesse a autenticação

forte do usuário. Este tipo de problema não inviabiliza o método, mas revela a

necessidade de se projetar cenários e buscar alternativas para adequá-los ao

requerimento do nível de segurança.

Voltando, portanto a realidade da senha... se é mesmo com ela que ainda

teremos que conviver por algum tempo, que ao menos seja forte o bastante para

nos fornecer proteção. E apesar de tê-la chamado de velha anteriormente, o

usuário precisa mesmo é mantê-la jovem, compatível com o bem protegido e

ainda atualizado em relação ao poder da computação. Na prática, com a

evolução da microinformática e o aumento exponencial do poder de

processamento dos computadores, antiga senha forte de 6 caracteres

numéricos, por exemplo, é hoje considerada brincadeira de criança para os mais

novos softwares quebradores de senha.

Baseados neste contexto destacam-se algumas dicas conhecidas do que

se deve e não se deve fazer com a senha. (SANTANA, 2006)

2.1.6. O que fazer com e o que não fazer com a senha

Os usuários de Internet e de outros meios eletrônicos devem saber que a

alteração periódica de senhas é um requisito de segurança dos tempos

modernos. O problema é lembrar todos esses números e letras. Para que essa

tarefa não se torne um desafio intransponível, confira as ferramentas que podem

ajudá-lo nessa tarefa.

Usar software de gerenciamento de senhas

O software de gerenciamento de senhas oferece uma variedade de funções

úteis: automatização de logons para sites da Web, captura de senhas existentes

ou geração de senhas fortes aleatórias e armazenamento de senhas com os

respectivos nomes de usuário em um arquivo protegido e criptografado.

O KeePass, por exemplo, é um gerenciador de senhas grátis disponível para

download. Seu código aberto está disponível para Windows, Linux, OS X e

dispositivos móveis. Você pode usá-lo até com um cartão de memória USB.

Como ele mantém todas as suas senhas online e offline em um banco de dados

protegido, você só precisa se lembrar de uma senha principal.

Os recursos de gerenciamento de senhas também estão incorporados em

vários pacotes de utilitários e proteção de software, como o Norton Confidential

da Symantec, que armazena e criptografa senhas.

Não confie em navegador

A maioria das novas versões dos principais navegadores, como Firefox,

Internet Explorer, Safari e Opera, oferece modos de armazenar seu nome de

usuário ou senhas para diversos sites. Embora o uso deste recurso possa

poupar tempo e energia, esteja ciente das desvantagens: ele não é seguro e

também não é particularmente confiável.

Quase todos os navegadores admitiram falhas de segurança que podem

deixar suas senhas vulneráveis a ataques de hackers e phishing. Além disso,

qualquer outro usuário com acesso a sua máquina terá acesso automático a

todas as suas senhas e sites da Web – portanto isso não é uma boa opção para

computadores compartilhados.

Não usar a mesma senha para tudo

Adotar um sistema para gerar senhas memorizáveis.

Lembrar senhas fortes pode ser tão simples quanto chegar a um

algoritmo padrão para criá-las. Primeiro, crie uma senha base, talvez usando

uma combinação das iniciais do nome da mãe e a data em que se formou na

faculdade. Em seguida, adicione uma variação do nome do site da Web em que

você fará logon. Por exemplo, chegar à senha base "lsf051088", adicionar as

primeiras duas e as últimas duas letras do site (faok para Facebook.com),

indicam os especialistas da HP.

Misture letras em maiúsculo e minúsculo além de números e caracteres

especiais.

Utilize caracteres alfanuméricos com pontuação quando suportado pelo

sistema

Utilize mais letras em maiúsculo do que apenas na primeira posição.

Use pelo menos seis caracteres, aumentando preferencialmente para 8.

Não utilize nenhuma variação da senha de seu login de rede.

Não usar o nome, apelido ou suas iniciais como base para criação da

senha.

Não utilize nenhuma palavra de dicionário, mesmo que em outra língua,

acrônimos e abreviações.

Não utilize nenhuma outra informação sobre você que possa ser

facilmente obtida (SÊMOLA, 2006).

2.2. Pesquisa de campo

2.2.1. Perguntas

UNIVERSIDADE ESTÁCIO DE SÁCURSO: ADMINISTRAÇÃO

PESQUISA PARA TRABALHO DE CONCLUSÃO DE CURSO - TCCI

Titulo: Conseqüência do acesso não autorizado da informação

ALUNA: NEIRE ELIONAR ALMEIDA ABRAÃO

QUESTIONÁRIO APLICADO AOS FUNCIONÁRIOS TERCERIZADOS E PRÓPRIOS DA

PETROBRAS

1-Você revela ou já revelou sua senha do cartão bancário para outra pessoa?

( ) Sim ( )Não

2-Você conhece a forma correta para criar uma senha?

( ) Sim ( )Não

3-Você possui a mesma senha há mais de seis meses?

( ) Sim ( )Não

4-No seu ambiente de trabalho as pessoas têm o hábito de emprestar a sua

senha pessoal para outras pessoas?

( ) Sim ( )Não ( ) as vezes

5-Cria senha com nomes de familiares ou datas comemorativas?

( ) Sim ( )Não ( ) as vezes

6-Quando digita senha em lugares públicos observa quem está ao lado?

( ) Sim ( )Não ( ) as vezes

7-Costuma utilizar uma única senha para todos os acessos eletrônicos?

( ) Sim ( )Não

8-No seu setor de trabalho alguém já disponibilizou a senha pessoal para você?

( ) Sim ( )Não

9-Quando utiliza a internet, em casa ou no trabalho, se preocupa em observar o

antivírus?

( ) Sim ( )Não ( ) as vezes

10-Você costuma anotar sua senha em algum lugar?

( ) Sim ( )Não ( ) apenas memoriza

2.2.2 Tratamento de dados

Resultado do questionário aplicado na Petrobrás com funcionários

próprios e terceirizado.

Os números descriminados em cada questão representam o total de

respostas obtidas em cada questão, com um total de pesquisas respondidas de

50 questionários.

Questão Sim Não Às vezes

1 38% 62% -

2 66% 34% -

3 54% 46% -

4 4% 80% 16%

5 50% 18% 32%

6 54% 32% 14%

7 42% 58% -

8 38% 62% 0%

9 32% 44% 24%

10 30% 30% 60%

Gráfico dos dados

2.3. Marco conceitual

Existindo a conscientização dos usuários da informação, com o manuseio

adequado da senha de acesso aos sistemas, é necessário ter resultados que

possibilitem avaliar a segurança e confiabilidade dos funcionários da empresa

Manchester para com a prestação de serviços.

2.4. Marco operacional

Palavras-chave: senha, informação, segurança, resultados.

2.4.1 Senha: É uma palavra ou uma ação secreta previamente convencionada

entre duas partes como forma de reconhecimento. Em sistemas de computação,

senhas são amplamente utilizadas para autenticar usuários e permitir-lhes o

acesso a informações personalizadas armazenadas no sistema.

2.4.2 Informação: É o resultado do processamento, manipulação e organização

de dados de tal forma que represente uma modificação (quantitativa ou

qualitativa) no conhecimento do sistema (pessoa, animal ou máquina) que a

recebe. Enquanto conceito carrega uma diversidade de significados, do uso

cotidiano ao técnico. Genericamente, o conceito de informação está intimamente

ligado às noções de restrição, comunicação, controle, dados, forma, instrução,

conhecimento, significado, estimulo, padrão, percepção e representação de

conhecimento.

2.4.3. Segurança: É a condição de estar protegido de perigo ou perda. A

segurança tem que ser comparada e contrastada com outros conceitos

relacionados: Segurança, continuidade, confiabilidade. A diferença chave entre a

segurança e a confiabilidade é que a segurança deve fazer exame no cliente das

ações dos agentes maliciosos ativos que tentam causar a destruição.A

segurança, como bem comum, é divulgada e assegurada através de um

conjunto de convenções sociais, denominadas medidas de segurança.

2.4.4. Resultados: Ação ou efeito de resultar. É o que resultou ou resulta de

alguma coisa; conseqüência, efeito, produto; fim, termo. Ou seja, ganho e lucro

de algo realizado.

2.5. Hipóteses

2.5.1. Hipótese de pesquisa

A segurança da informação conta com uma série de financiamentos, que

tem aumentado nos últimos anos de forma considerável, através de cursos,

treinamentos, palestras, enquetes e distribuição de panfletos educativos. Mesmo

com todo esse investimento observamos um sistema vulnerável a hackers.

3. Metodologia

3.1. Descrição do lugar de estudo

O estudo do presente trabalho será as Unidades da Petrobras na

Imbetiba bairro da cidade de Macaé. Lugar onde a utilização de senhas para o

acesso as informações é de responsabilidade dos funcionários e de extrema

importância e segurança para a empresa.

3.2. Tipo e Método de Estudo

3.2.1. Tipo e método:

Na pesquisa será utilizado o Método Funcionalista, onde é mais baseado

na interpretação de fatos do que na coleta de dados para investigação. O

enfoque funcionalista leva a admitir que toda a atividade humana sociocultural é

funcional e indispensável para a existência e permanência da sociedade. O

método funcionalista estuda a sociedade tomando como referência a função,

como um sistema organizado de atividades.

3.3. Fonte de dados:

A fonte de dados serão referências bibliográficas sobre o assunto e os

funcionários terceirizados e funcionários próprios da Petrobras, lotados no

município de Macaé no Rio de Janeiro.

3.4. População e amostra

A população a ser levada em consideração são os funcionários lotados na

Imbetiba (Petrobras) da cidade de Macaé, no estado Rio Janeiro.

3.5. Técnica de coleta de dados:

Será utilizada como Técnica de coleta de dados, o questionário com

questões fechadas. A escolha desta técnica foi devido ao nível de confiabilidade,

além de ser simples, já que os entrevistados não disponibilizam de muito tempo

livre para participar da pesquisa.

3.6. Técnica de análise de dados:

Terá como base a pesquisa e no final será realizada a tabulação das

respostas dadas ao questionário com resultados quantitativos e comentários de

forma científica dos dados.

4. Conclusão

A conscientização das pessoas seja no trabalho ou mesmo em sua vida

pessoal fortalece a idéia de focar investimentos em novas tecnologias de

proteção, além de serem caras, não trazem o mesmo resultado do que um

trabalho direcionado na conscientização e no treinamento constante. As

ameaças como vazamento de informações, acessos não autorizados e

funcionários insatisfeitos, surgem de dentro da organização. Divulgar e orientar

os funcionários sobre as suas responsabilidades e procedimentos em relação à

segurança da informação, somados aos processos de controle, podem reduzir

os incidentes de segurança e conseqüentemente melhorar o nível da segurança

da organização. Já nas medidas de segurança implementadas, back-up e

antivírus, demonstra que os fornecedores de soluções de anti-spam, Intrusion

Detection System, anti-spyware, etc., têm um mercado para ser explorado.

Percebe-se que os funcionários de TI sabem da importância em ter um

processo de concessão e cancelamento de acesso eficiente, de forma que evite

que outros funcionários ou terceiros possam utilizar um (username) de

funcionário que não está mais na empresa. Entretanto os demais funcionários

pesquisados não têm esta mesma visão, no caso das senhas, as médias

demonstram que a política de senhas da organização ainda precisa ser revisada

e melhorada. Outro ponto muito importante é a revisão dos direitos de acessos.

Acredita-se que um processo de revisão periódica dos direitos de acesso é muito

importante para reduzir a possibilidade de funcionários, intencionalmente ou não,

acessarem sistemas e ou serviços indevidos, ou seja, não relacionados às suas

atividades para que foi contratado.

Este projeto possibilitou entender, que independente do tamanho ou

segmento da empresa, a informação é um dos ativos mais importantes e

conseqüentemente a segurança deste ativo também. As iniciativas em

segurança da informação variam de empresa para empresa e de pessoa para

pessoa. Os investimentos em segurança dependem em como o gestor da

informação protege este bem e como transforma as necessidades de segurança

em uma linguagem de negócio. É comum que as empresas tenham em suas

infra-estruturas soluções de antivírus e backup, dando a impressão que os

principais riscos são vírus e indisponibilidade das informações. Entretanto não é

somente isso. Um processo de análise de risco efetivo pode ajudar

consideravelmente no conhecimento das vulnerabilidades e ameaças,

identificando o nível de risco e com isso, auxiliar em um plano diretor de

segurança. Este plano é o principal documento da segurança da informação,

aonde mostra como está a segurança da informação na organização.

Por mais, pensar no trinômio – pessoas, processos e tecnologia – ajuda

ao gestor de segurança, a arquitetar um plano de trabalho que possa abranger

os três pilares em um equilíbrio razoável. Contudo, defende-se que o

direcionamento de atividades no sentido de melhorar a conscientização do

funcionário sobre o assunto segurança da informação pode trazer grandes

resultados, sem grandes investimentos. Com o passar do tempo as tecnologias

mudam, mas o funcionário bem treinado e conscientizado permanece.

Referências bibliográficas

Santana Alexander, Portugal André. Segurança da Informação.Petrobras. 1.

ed. Bacia de Campos, 2002.

GABBAY, M. S. Fatores influenciadores na implementação de ações de gestão

de segurança da informação: um estudo com executivos e gerentes de

tecnologia da informação em empresas do Rio Grande do Norte. Tese

(mestrado) – Universidade Federal do Rio Grande do Norte, 2003.

SÊMOLA, M. 2003: Gestão da Segurança da Informação. 1.Ed. Rio de

Janeiro:Campus, 2003.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. NBR ISO/IEC

17799:2005: Tecnologia da informação - código de prática para a gestão da

segurança da informação, 2005.

Sêmola, Marcos. Coluna Firewall – IDGNow®. Disponível em:

<www.semola.com.br> Acesso em: 29 abril. 2008.

Anexos