Professional Documents
Culture Documents
So Paulo
2009
Orientador:
Lorenzo
So Paulo
2009
Prof.
Carlos
Alberto
Di
Autorizo a reproduo e divulgao total ou parcial deste trabalho, por qualquer meio
convencional ou eletrnico, para fins de estudo e pesquisa, desde que citada a fonte.
Agradecimentos
Agradeo primeiramente a Deus, por estar sempre presente.
Aos meus pais Eloi e Elisabete e a minha irm Paula pela compreenso,
apoio, pacincia e incentivo para eu no desistir.
Ao professor Carlos Alberto Di Lorenzo orientador, professor e amigo que me
ajudou durante o desenvolvimento deste trabalho.
Aos colegas e amigos que me apoiaram e incentivaram sempre que eu estava
perdendo as foras e me realocaram em meu caminho.
Aprovado em:
Banca Examinadora
Prof. Dr. ___________________________ Instituio: ________________________________
Julgamento_____________________ Assinatura: ___________________________
Prof. Dr. ___________________________ Instituio: ________________________________
Julgamento_____________________ Assinatura: ___________________________
Prof. Dr. ___________________________ Instituio: ________________________________
Julgamento_____________________ Assinatura: ___________________________
Resumo
SCARDUELLI, G. M. I. Segurana da Informao nas empresas, problemas
frequentes. 2009. 44 f. Monografia Faculdade de Tecnologia da Zona Leste, So
Paulo, 2009
A segurana da informao um aspecto muito importante e que preocupa a
maioria das organizaes existentes. Uma falha, um descuido e a falta de
conhecimento podem gerar prejuzos altssimos as organizaes. Atualmente as leis
que a defendem so fracas, porm a formas de preveno de que incidentes
ocorram dentro das organizaes. nesse contexto que o presente trabalho est
estruturado, apresentando sinteticamente e de forma introdutria, um apanhado
sobre os principais conceitos relacionados a Segurana da Informao e Direito
Digital para, a partir da, estudar os processos para implantao de normas de
segurana com a finalidade de proteger a informao dentro das organizaes.
Palavras-chave: segurana da informao, direito digital.
Abstract
SCARDUELLI, G. M. I. Enterprise Information security, frequent problems. 2009.
44 f. Monografia Faculdade de Tecnologia da Zona Leste, So Paulo, 2009
Information security is very important and concern to the majority of existing
organizations. A failure, the carelessness and the lack of knowledge can lead high
losses. Currently information security laws are weak, but there are many ways to
prevent incidents. This work is structured in this context, presenting an introductory
and summarized overview of the main concepts related to the Information Security
and Justice Digital. From there, it studies the process for implementation of security
rules in order to protect the information within organizations.
Keywords: Information security, Justice Digital
LISTA DE FIGURAS
Figura 1: Oito setores da segurana da informao.................................................19
Figura 2: Crescimento de cdigos maliciosos desde 2002 a 2008...........................22
Figura 3: Firewal.......................................................................................................27
Figura 4: Criptografia de chave pblica....................................................................28
SUMRIO
1.0 INTRODUO ....................................................................................................12
2.0 DIREITO E A SEGURANA DA INFORMAO ................................................13
2.1 Direito Digital .......................................................................................................13
2.2 Direito da Informtica ..........................................................................................13
2.3 Ambiente corporativo: Internet, e-mail e direitos .................................................13
2.3 Informao ..........................................................................................................17
2.4 Segurana da Informao ...................................................................................17
2.5 Setores da Segurana da Informao.................................................................19
2.5.1 Setor de segurana da informao administrativa e organizativa ....................20
2.5.2 Setor de segurana do pessoal........................................................................20
2.5.3 Setor de segurana fsica.................................................................................21
2.5.4 Setor de segurana do software.......................................................................21
2.5.5 Setor de segurana das telecomunicaes......................................................22
2.5.6 Setor de segurana das instalaes ................................................................23
2.5.7 Setor de segurana das operaes..................................................................23
2.5.8 Setor de segurana da informao ..................................................................24
2.6 Engenharia social................................................................................................24
2.7 Riscos a Segurana da Informao: Ameaas e Vulnerabilidades .....................25
2.7.1 Risco ................................................................................................................25
2.7.2 Ameaas ..........................................................................................................25
2.7.3 Vulnerabilidades...............................................................................................25
2.8 Princpios e mecanismo por trs da segurana...................................................26
2.8.1 Autenticao de usurio ...................................................................................26
2.8.2 Autorizao de uso...........................................................................................26
2.8.3 Controle de Acesso ..........................................................................................27
2.8.4 Criptografia.......................................................................................................27
2.9 Incidentes de Segurana.....................................................................................28
2.10 Polticas de Segurana......................................................................................29
2.10.1 Poltica de Uso Aceitvel................................................................................29
3.0 O CASO FICT TELECOMUNICAES ..............................................................31
3.1 Fict Telecomunicaes........................................................................................31
3.2 O Caso ................................................................................................................32
3.3 Anlise.................................................................................................................32
4.0 CONCLUSO......................................................................................................34
REFERNCIAS.........................................................................................................36
ANEXOS ...................................................................................................................38
12
1.0 INTRODUO
Cada vez mais o trabalho de Segurana da Informao exige um maior
preparo a fim de evitar riscos no uso das prprias medidas de proteo da empresa.
A falta de informao geralmente o que leva as pessoas a cometerem
condutas inadequadas. Se a empresa orienta-se seus funcionrios devidamente os
incidentes como sair de sua estao de trabalho deixando o computador ligado e
habilitado para uso atravs de sua identificao, passar sua senha e identificao de
acesso a outro colega, utilizar a internet para fins pessoais, deixar documentos
confidenciais soltos esquecidos na impressora, portar dados sigilosos em
dispositivos mveis como um pen-drive ou notebook, entre outros incidentes que
bastaria uma boa orientao e a criao de um cdigo de tica para preveni-los.
O extravio das informaes gera um custo enorme, muitas empresas esto
sujeitas a encar-lo, seja por descuido ou aes furtivas. Muitos eventos podem ser
poupados apenas supervisando de maneira clara e sem invadir a privacidade de
seus clientes internos.
Desta forma, fica clara a necessidade da criao de um cdigo de tica
abrangendo tambm a Tecnologia de Informao e o uso de normas e processos
para preveno e medidas a serem tomadas aps incidentes.
13
14
15
Artigo 421 CC: "A liberdade de contratar ser exercida em razo e nos limites da funo social do
contrato".
16
Artigo 932, CC: "So tambm responsveis pela reparao civil: III o empregador ou comitente,
por seus empregados, serviais ou prepostos, no exerccio do trabalho que lhes competir, ou em
razo dele".
17
2.3 Informao
A informao tornou-se um patrimnio tanto de uma empresa quanto da
prpria pessoa que a possui. Segundo Patrcia Peck Pinheiro (2009, trilha 6),
A informao recebe o titulo de ativo intangvel, ou seja, o uso indevido ou
divulgao no autorizada pode gerar danos e envolver ilcitos que vo desde quebra
de sigilo profissional, a vazamento de informao confidencial de uma instituio ou
exposio da vida intima ou privacidade de uma pessoa.
18
1994/Cost%20of%20a%20Lost%20Laptop%20White%20Paper%20Final%202.pdf;jsessionid=B47156
92FE8C7BD3B031D7628ADB52FF.node5COMS >, acessado em 28 de setembro de 2009.
19
20
21
22
23
24
25
2.7.1 Risco
O risco medido atravs da probabilidade de que uma ameaa pode
acontecer e o dano que pode ser gerado empresa.
2.7.2 Ameaas
A ameaa de segurana a inteno da parte de algum em causar dano a
um individuo ou uma organizao. Podem ser realizadas por pessoas na prpria
organizao como funcionrios, fornecedores e visitantes, como por pessoas
externas. Os tipos de danos so ilimitados. Entre eles podem ser: sabotagem de
hardware ou software, o roubo de informaes, ataques a infra-estrutura, entre
outros.
2.7.3 Vulnerabilidades
A vulnerabilidade qualquer fraqueza em computadores ou rede, seja em
hardware ou software, que deixa uma abertura para que seja realizado ataques.
Pode ser resultado de uma imperfeio, implantao ou configurao. Entre elas
podem ser: m configurao do sistema operacional o qual permite ao usurio total
direito administrativo sobre a mquina, um sistema de banco de dados com defeitos
nas prioridades de acesso, uma falha em um programa que permite acesso aos
dados do usurio, entre outros.
26
27
Figura 3: Firewal
Fonte: Peter Gregory (p.42, 2003)
Na figura acima Gregory demonstra um firewall como uma parede que entre
as redes internas e as externas como a Internet e Extranet.
2.8.4 Criptografia
Criptografia segundo Peter Gregory (2003, p.48), refers to the process of
transforming data into a secret code that can be read only by someone (or
something) that has possession of a secret key., ou seja, refere-se ao processo de
transformar dados em um cdigo secreto que pode ser lido somente por algum ou
algo que possui a uma senha secreta.
28
29
uma
concordncia
expressa
com
os
seus
termos.
30
esses usurios que seja independente da AUP qual esto sujeitos os seus usurios
internos. importante que os usurios externos tomem conhecimento dessa poltica
e saibam que o uso dos recursos est condicionado ao seu cumprimento.
31
32
3.2 O Caso
Durante a manuteno do computador da diretora de relacionamentos
humanos da empresa, o tcnico na hora de realizar o backup dos arquivos da
mquina, (cpia de segurana dos arquivos presentes no computador) os
disponibilizou no ambiente de rede corporativo separado ao RH, porm, no havia
critrios de segurana, sendo assim, todos os funcionrios possuam acesso. Neste
evento foi revelado um arquivo com informaes de todos os funcionrios inclusive
do presidente da empresa, contendo nome, telefone, endereo e salrio. Dentre os
problemas agravados nessa situao, a constatao de salrios diferentes para um
mesmo cargo, no qual, a empresa teve que igualar todos ao maior salrio da grade.
Tambm foi averiguada a quebra de sigilo funcionrio-empresa. Isto gerou
grandes processos de funcionrio atacando a Fict Telecomunicaes.
Na poca a empresa no possua uma regra de conduta relacionada a rea
de tecnologia, sendo assim, cada funcionrio poderia fazer o que bem entendesse
que no seria localizado. Neste caso, somente o tcnico fora localizado e
penalizado, pelo fato deste ter sido o nico usurio presente e comprovado. J o
funcionrio que vasculhou a pasta disponibilizada ao RH e espalhou o arquivo para
os demais funcionrios da empresa no fora localizado.
3.3 Anlise
33
34
4.0 CONCLUSO
O desenvolvimento de uma poltica de segurana bem detalhada em conjunto
com um cdigo de tica, pode evitar muitos inconvenientes. Caso ocorra algum
incidente possvel tomar uma ao a fim de punir os responsveis e prevenir novos
incidentes.
A Segurana da Informao uma ferramenta essencial para alcance do
sucesso nos negcios de toda organizao. Gerir ativos, informaes, recursos e
usurios, de forma confivel e ntegra, estruturada e sustentvel o grande desafio
dos profissionais dessa rea em suas organizaes.
Em Segurana da informao, chama-se Engenharia Social todas as prticas
utilizadas para obter acesso a informaes importantes ou sigilosas em
organizaes ou sistemas por meio da enganao ou explorao da confiana das
pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra
personalidade, fingir que um profissional de determinada rea, etc. uma forma
de entrar em organizaes que no necessita da fora bruta ou de erros em
mquinas. Explora as falhas de segurana das prprias pessoas que, quando no
treinados para esses ataques, podem ser facilmente manipuladas.
Esta Engenharia Social, compreende a inaptido dos indivduos manterem-se
atualizados com diversas questes pertinentes a tecnologia da informatica, alm de
no estarem conscientes do valor da informatica que eles possuem e, portanto, no
terem preocupao em proteger essa informao conscientemente. importante
salientar que, a engenharia social aplicada em diversos setores da segurana da
informao independente de sistemas computacionais, software e ou plataforma
utilizada, o elemento mais vulnervel de qualquer sistema de segurana da
informao o ser humano, o qual possui traos comportamentais e psicolgicos
que o torna suscetvel a ataques de engenharia social.
muito comum hoje em dia, ocorrer incidentes entre funcionrios dentro das
empresas, sejam elas grandes ou pequenas, gerando assim um desfoque em todo o
processo de produo, por isso, muito importante que dentro desta empresa, seja
criado um cdigo de tica, para que quando ocorra algum problema, este ser
resolvido conforme est registrado no cdigo.
Esses incidentes muitas vezes, ocorrem por descuido dos prprios
funcionrios, e isto acaba interferindo na produo da empresa, fazendo assim com
35
que o rendimento de produtividade seja reduzido. Isto gera tambm conflitos internos
entre os funcionrios, pois para que aja uma boa produtividade, muito importante
que estes estejam unidos, fazendo assim, cada um o seu trabalho.
Algumas vezes ouvimos histrias de funcionrios que deixaram documentos
importantssimos, e estes por sua vez, foram extraviados, colocando em risco a
produtividade da empresa, gerando assim um custo muito alto para a empresa.
36
REFERNCIAS
CERT.BR, Centro de Estudos, Resposta e Tratamentos de Incidentes de Segurana
no Brasil, Cartilha de Segurana para Internet <http://cartilha.cert.br> , acessado em
20 de setembro de 2009.
CERT.BR, Centro de Estudos, Resposta e Tratamentos de Incidentes de Segurana
no Brasil, Prticas de Segurana para Administradores de Redes Internet
<http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.html#subsec2.1> , acessado
em 21 de setembro de 2009.
CIBERNARIUM,<http://www.cibernarium.tamk.fi/tietoturva2_pr/yrityksen_tietoturva_2
.htm>, acessado em 28 de setembro de 2009.
DARPA, <http://www.darpa.mil/Docs/Internet_Development_200807180909255.pdf>,
acessado em 20 Setembro de 2009
FALCO, Felipe Hack de Barros, O monitoramento do e-mail corporativo e a
restrio privacidade do empregado, < http://jus2.uol.com.br/doutrina/texto.asp?id=
12881 >, acessado em 5 de outubro de 2009.
GREGORY, Peter. Enterprise Information Security, Information Security for nontechnical decision makes, 2003.
PINHEIRO, Patrcia Peck. Tudo o que voc precisa ouvir sobre direito digital no diaa-dia (Audiolivro), 2009.
37
SILVEIRA NETO, Antonio. A privacidade do trabalhador no meio informtico. (online) apud Junior, Eugnio Hainzenreder. O poder diretivo do empregador frente
intimidade e vida privada do empregado na relao de emprego: conflitos
decorrentes da utilizao dos meios informticos no trabalho in Questes
Controvertidas de Direito do Trabalho e outros estudos / Gilberto Strmer, org. Porto
Alegre: Livraria do Advogado, 2006.
SYMANTEC,<http://www.symantec.com/pt/br/business/theme.jsp?themeid=threatrep
ort>, acessado em 1 de outubro de 2009.
TJPE,disponvel
em:
<http://www.tjpe.gov.br/Boletim/N41/dicadahora01.htm>,
38
ANEXOS
ANEXO 1 Artigo 5 da Constituio Federal Brasileira
Art. 5 Todos so iguais perante a lei, sem distino de qualquer natureza,
garantindo-se aos brasileiros e aos estrangeiros residentes no Pas a inviolabilidade
do direito vida, liberdade, igualdade, segurana e propriedade, nos termos
seguintes:
I - homens e mulheres so iguais em direitos e obrigaes, nos termos desta
Constituio;
II - ningum ser obrigado a fazer ou deixar de fazer alguma coisa seno em virtude
de lei;
III - ningum ser submetido a tortura nem a tratamento desumano ou degradante;
IV - livre a manifestao do pensamento, sendo vedado o anonimato;
V - assegurado o direito de resposta, proporcional ao agravo, alm da indenizao
por dano material, moral ou imagem;
VI - inviolvel a liberdade de conscincia e de crena, sendo assegurado o livre
exerccio dos cultos religiosos e garantida, na forma da lei, a proteo aos locais de
culto e a suas liturgias;
VII - assegurada, nos termos da lei, a prestao de assistncia religiosa nas
entidades civis e militares de internao coletiva;
VIII - ningum ser privado de direitos por motivo de crena religiosa ou de
convico filosfica ou poltica, salvo se as invocar para eximir-se de obrigao legal
a todos imposta e recusar-se a cumprir prestao alternativa, fixada em lei;
IX - livre a expresso da atividade intelectual, artstica, cientfica e de
comunicao, independentemente de censura ou licena;
X - so inviolveis a intimidade, a vida privada, a honra e a imagem das pessoas,
assegurado o direito a indenizao pelo dano material ou moral decorrente de sua
violao;
XI - a casa asilo inviolvel do indivduo, ningum nela podendo penetrar sem
consentimento do morador, salvo em caso de flagrante delito ou desastre, ou para
prestar socorro, ou, durante o dia, por determinao judicial;
XII - inviolvel o sigilo da correspondncia e das comunicaes telegrficas, de
dados e das comunicaes telefnicas, salvo, no ltimo caso, por ordem judicial, nas
39
40
41
42
43
44