Professional Documents
Culture Documents
IMPACTO NA IMPLANTAÇÃO DE
POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO NA NOVO NORDISK
PRODUÇÃO FARMACÊUTICA DO
BRASIL
Montes Claros – MG
Junho / 2005
UNIVERSIDADE ESTADUAL DE MONTES CLAROS
CENTRO DE CIÊNCIAS EXATAS E TECNOLÓGICAS – CCET
CURSO SISTEMAS DE INFORMAÇÃO
DISCIPLINA: PROJETO ORIENTADO PARA CONCLUSÃO DE CURSO II
IMPACTO NA IMPLANTAÇÃO DE
POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO NA NOVO NORDISK
PRODUÇÃO FARMACÊUTICA DO
BRASIL
1i
Índice
CAPÍTULO I .....................................................................................................................1
1. INTRODUÇÃO .........................................................................................................1
1.1. OBJETIVOS ......................................................................................................2
1.1.1. Geral: .............................................................................................................2
1.1.2. Específicos: ....................................................................................................3
2. A informação através dos tempos ...............................................................................4
2.1. O valor da informação ............................................................................................6
2.2. A segurança da Informação ....................................................................................6
2.3. Vulnerabilidades ..................................................................................................11
2.4. Política de Segurança da Informação ....................................................................14
CAPÍTULO III ................................................................................................................15
3. PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA EM TI NA NNPFB..15
3.1. O que é um programa de conscientização de segurança?...................................15
3.2. Objetivo de um programa de conscientização de segurança de TI .....................15
3.3. Benefícios de um programa de conscientização de segurança ...........................16
3.4. Metodologia do programa de conscientização...................................................17
3.5. DEFINIÇÃO DO ESCOPO ..............................................................................18
3.5.1. Informações gerais........................................................................................18
3.5.2. Avaliação das necessidades de conscientização.............................................20
3.5.3. Identificação das Prioridades ........................................................................21
3.6. Desenho do Projeto...........................................................................................24
3.6.1. Definindo objetivos para a Campanha...........................................................25
3.6.2. ABORDAGEM DA CAMPANHA...............................................................25
3.6.2.1. MENSAGEM .......................................................................................26
3.6.2.2. MATERIAIS ........................................................................................27
3.7. Construção .......................................................................................................27
3.7.1. Recursos necessários e seus benefícios .........................................................27
3.7.2. Estabelecendo uma linha de base ..................................................................29
3.7.3. Aprovação do orçamento ..............................................................................29
3.7.4. Definindo fatores de sucesso da campanha....................................................30
3.7.5. Materiais produzidos ....................................................................................30
3.8. EXECUÇÃO DA CAMPANHA 1....................................................................31
3.9. AVALIAÇÃO DA CAMPANHA ....................................................................32
3.10. CONTINUIDADE DO PROGRAMA ..........................................................36
CAPÍTULO IV ................................................................................................................37
CONCLUSÃO.................................................................................................................37
REFERÊNCIAS BIBLIOGRÁFICAS..............................................................................39
ANEXO I......................................................................................................................... vi
ANEXO II ...................................................................................................................... vii
ANEXO III ........................................................................................................................x
ANEXO IV...................................................................................................................... xi
ANEXO V ..................................................................................................................... xiii
ANEXO VI.....................................................................................................................xiv
ii
LISTA DE TABELAS
iii
LISTA DE FIGURAS
iv
LISTA DE ABREVIAÇÕES
v
CAPÍTULO I
1. INTRODUÇÃO
1
nunca alcançará o estado de ”saúde” perfeita. Também nunca se
alcança um estado de ”segurança” perfeita.” (WADLOW,
2000:1)
1.1. OBJETIVOS
1.1.1. Geral:
2
funcionário. A tecnologia é importante, mas de nada adianta se os usuários do sistema não
participarem da segurança.
1.1.2. Específicos:
3
CAPÍTULO II
REFERENCIAL TEÓRICO
4
humana revolucionaram os sistemas de transmissão de saber e das relações humanas,
rompendo violentamente – em termos históricos – com os paradigmas espaço-tempo até
então vigentes (MCLUHAN, 1995). A digitalização do alfabeto no Código Morse1 (1837)
e o telégrafo lançavam a capacidade humana de expressão verbal para espaços muito além
do presencial em um lapso de tempo incomparável em relação às tecnologias anteriores.
Um outro marco na história das comunicações estabeleceu-se com a invenção
do rádio. Mas uma das maiores revoluções veio na década de 70, a televisão. A partir de
então, não só a palavra em forma de som poderia viajar pelo espaço, também a imagem em
movimento. A informação, além de ser falada, pôde ser lida, vista, interpretada pelo
receptor.
Com a evolução dos meios de comunicação, no final do século XX, ocorre o
agrupamento de todas as tecnologias anteriores. Surge uma tecnologia mais eficaz, que
oferece todas as possibilidades já exploradas na imprensa, no rádio, na televisão, operando
uma ultrapassagem: a possibilidade de interação e a velocidade com que tudo ocorre. O
indivíduo não fica somente no papel de receptor passivo, há a possibilidade de escolha, há
decisões a serem tomadas. O volume de informações emitidas é maior, bem como a
rapidez com que chegam aos lares, oportunizando-se situações que as tecnologias
anteriores não possibilitavam, como ler o jornal de qualquer parte do mundo, assistir a uma
entrevista, participar de conferências, ouvir músicas das mais longínquas regiões do
planeta, trocar correspondências, ler, discutir, conversar, tudo em um único aparelho, uma
“máquina comunicacional” chamada computador. Máquina que pode estar conectada a
milhares de outras, formando uma complexa rede. Essa rede é conhecida nos dias atuais
como “Internet”.
1
Conjunto de convenções que rege o tratamento e, especialmente, a formatação de dados num sistema de
comunicação
5
2.1. O valor da informação
A informação é tida no mundo atual como o principal ativo de uma
organização. É através da informação que uma organização irá buscar maximizar o retorno
dos investimentos e as oportunidades de negócio, analisar o mercado e poder se antecipar
aos seus concorrentes.
A definição da Informação pode ser analisada, como uma fonte de poder, pois
no mundo moderno quem possui a informação, possui esse poder.
Sendo então este ativo de grande valia, nos deparamos com um grande
problema: manter este ativo seguro.
6
Diversos algoritmos de compactação foram desenvolvidos desde a Segunda
guerra mundial devido à necessidade de comunicação entre as tropas. Durante a guerra, a
utilidade da compactação não era apenas a de diminuir a quantidade de informação que era
passada através dos rádios, mas também a de ‘esconder’ de alguma forma o conteúdo da
informação para que esta não pudesse ser lida pelo inimigo. Isto é possível, pois um
algoritmo de compactação nada mais é do que um codificador e um decodificador que é
aplicado a um conjunto de dados.
Já nos tempos dos mainframes, as empresas tinham não somente uma
preocupação com o sigilo das informações como também com o próprio equipamento
devido ao seu grande custo. Estes equipamentos ficavam em salas isoladas com baixa
temperatura e pouquíssimas pessoas tinham acesso. Além da preocupação com o ambiente
físico, as empresas também buscavam se assegurar que, em caso de danos das informações
por acidentes ou defeitos nos equipamentos, elas tivessem como recuperar as informações
perdidas. Elas realizavam então cópias das informações (Backup) como medida de
segurança.
7
Os vírus de computador se espalham rapidamente pelas máquinas de uma
empresa através de sua rede. Podemos constatar que a Internet se não for estabelecida uma
política de segurança, poder trazer também desvantagens a uma empresa.
De acordo a 6ª Pesquisa Nacional sobre segurança da informação:
“Os vírus (75%) permanecem como a maior ameaça à segurança
da informação nas empresas. Apesar de 93% das corporações
afirmarem já adotar sistemas de prevenção contra vírus, 48%
sofreram contaminação nos últimos seis meses e apenas 11% das
empresas entrevistadas declaram nunca ter sido infectadas.”
(Modulo, 2000)
2
Tecnologia da Informação
3
Return on investiment (Retorno sobre investimento)
8
segurança da informação. O aumento do uso dos meios eletrônicos para as transações
financeiras contribuiu para reduzir, de forma substancial, o capital em circulação nos
bancos. E hoje, embora a segurança física ainda seja importante, o foco de atenção migrou
para o cliente. Garantir aos correntistas e investidores que suas informações e patrimônio
estão muito bem protegidos e que todas as operações são feitas sem perigo é o que está
levando as instituições financeiras a remodelar a área de segurança e a instituir políticas
específicas. (SECURITY REVIEW, 2005:51)
Tecnologias como firewall4, detector de intrusos, criptografia5 e anti-vírus são
fundamentais para a segurança da informação, mas elas são apenas grandes barreiras a
serem atravessadas pelos chamados hackers6 ou espiões industriais. A tecnologia é um dos
recursos necessários para a segurança da informação, visto que o ser humano é um sistema
de informação e que pode transportar essas informações.
De nada adianta termos a tecnologia a favor da segurança se os usuários dos
sistemas da organização não estiverem conscientes da importância da segurança da
informação e do correto uso destes sistemas.
Técnicas como a “engenharia social”7 já conhecida a vários anos, uma das
principais armas utilizadas na espionagem industrial, vêm reforçar a necessidade de um
plano de treinamento de segurança aos usuários de sistemas.
Um incidente de segurança pode ser definido como qualquer evento adverso,
confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de
redes de computadores.
São exemplos de incidentes de segurança:
• Tentativas de ganhar acesso não autorizado a sistemas ou dados;
• Ataques de negação de serviço (DDoS8);
• Uso ou acesso não autorizado a um sistema;
4
Firewalls são programas especiais que têm por objetivo evitar acessos não autorizados a computadores
(Módulo,2002).
5
Criptografia é a técnica de escrever em cifra ou código, composto de técnicas que permitem tornar
incompreensível uma mensagem transmitida. Somente o destinatário poderá decifrá-la (Módulo,2002).
6
Hackers são também conhecidos como piratas da Internet, que tem como objetivo invadir os computadores
desprotegidos utilizando as mais variadas técnicas para roubar informações (Módulo,2002).
7
Engenharia social – é uma técnica que usa a influência e a persuasão para enganar as pessoas e convencê-
las de que o engenheiro social é alguém que na verdade ele não é. Como o resultado, o engenheiro social
pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia.
8
DDoS (Distributed Denial of Service) constitui um ataque de negação de serviço distribuído, ou seja, um
conjunto de computadores utilizado para tirar de operação um ou mais serviços ou computadores conectados
à Internet.
9
• Modificações em um sistema, sem o conhecimento, instruções ou
consentimento prévio do dono do sistema;
• Desrespeito à política de segurança ou política de uso aceitável de uma
empresa.
São ações como estas realizadas pelos usuários que contribuem para a não
preservação das características da segurança da informação definidas pela norma ISO/IEC
17799:2001.
Segundo a norma ISO/IEC 17799:2001 a segurança da informação é
caracterizada pela preservação de:
9
Termo usado em referência às características de resposta em freqüência de um sistema de comunicação
10
c) Disponibilidade: garantia de que os usuários autorizados obtenham acesso à
informação e aos ativos correspondentes sempre que necessário.
2.3. Vulnerabilidades
Vulnerabilidades são fragilidades ou deficiências presentes ou associadas a
componentes envolvidos nas etapas do ciclo de vida da informação, que são elas:
• Manuseio – Momento em que a informação é criada e manipulada;
• Armazenamento – Quando a informação é armazenada;
• Transporte – Quando a informação é transportada, seja por correio
eletrônico, através de uma rede para ser consultada em uma estação ou por algum tipo de
mídia;
• Descarte – Quando a informação é descartada.
Assim, diariamente são feitos ataques, que basicamente consistem na busca de
vulnerabilidades que, uma vez identificadas, proporcionam ao atacante a oportunidade de
ter seu objetivo alcançado e a empresa a sofrer uma quebra de segurança.
Como visto anteriormente, essas vulnerabilidades podem ter várias origens, de
ordem tecnológica ou não, mas, de uma forma geral, pode-se agir sobre elas para eliminá-
las ou reduzi-las, conforme a equação do negócio a permitir.
11
Por si só, as vulnerabilidades não provocam incidentes, podendo ser
consideradas agentes passivos no processo, precisando de um agente ativo ou condições
favoráveis, que são as ameaças, para que um incidente ocorra.
Sêmola (2003), apresenta uma lista de vulnerabilidades, e as classifica em três
categorias:
Tecnológicas:
• Equipamentos de baixa qualidade
• Criptografia fraca
• Sistema operacional desatualizado
• Configuração imprópria do firewall
• Links não redundantes
• Configuração imprópria do roteador
• Bug nos softwares
• Autorização de acesso lógico inadequado
Físicas:
• Ausência de gerador de energia
• Ausência de normas para senhas
• Ausência de fragmentador de papel
• Mídia de backup mal acondicionada
• Falta de controles físicos de acesso
• Instalação elétrica imprópria
• Cabeamento desestruturado
Humanas:
• Falta de treinamento
• Falta de qualificação
• Ausência de políticas de RH
• Ambiente/clima organizacional ruim
12
cada organização, em função do equilíbrio entre o seu negócio, os recursos disponíveis
para segurança e o nível de risco aceitável para a sua operação.
Por exemplo, se o seu ciclo operacional é muito curto, com pouca margem para
atrasos junto aos seus clientes, vale a pena considerar a necessidade de um sistema de
geradores para casos onde ocorram falhas no fornecimento de energia elétrica. Se a
empresa recebe informações sigilosas de seus clientes, uma criptografia fraca poderá ser
um problema muito sério.
Sêmola (2003) representa essa diversidade de vulnerabilidades na Figura 2.3-1:
13
Ainda segundo Sêmola (2003), em uma Visão Corporativa de Segurança, as
três categorias de vulnerabilidades devem ser associadas e trabalhadas de forma integrada
para se obter um nível adequado de risco a ser administrado, sendo representado por ele
conforme Figura 2.3-2:
14
CAPÍTULO III
METODOLOGIA
15
nível consistente de segurança em toda as partes de uma organização é necessário não ter
nenhum elo fraco na corrente.
De acordo o guia de conscientização de segurança de TI EUROPEAN
SECURITY o objetivo de um Programa de Conscientização de Segurança de TI é elevar o
nível de consciência dos usuários e fazer com que eles entendam:
• O quê significa segurança da informação para a organização;
• Que as informações guardadas nos computadores são um recurso importante
e valioso;
• Como aplicar as ações de segurança em seu ambiente de trabalho;
• Que eles também são responsáveis pela segurança da informação;
• A política de segurança, padronização dos sistemas e princípios da empresa.
16
Tabela 3.1– Benefícios de um programa de conscientização
EXEMPLOS DE BENEFÍCIOS
• Aumento da confiança dos clientes e acionistas na capacidade da organização
em fornecer qualidade de produtos e serviços.
• Garantir a melhor continuidade dos negócios.
• Alta qualidade das informações para tomar decisão e reportar.
• Melhor proteção das informações confidenciais de pessoas não autorizadas,
concorrentes ou ladrões.
• Menor custos à segurança de TI por erros não intencionais.
• Melhoria no astral dos funcionários, pois funcionários gostam de trabalhar para
garantir a segurança e qualidade nas organizações.
• Aderência à legislação da segurança de TI. Exemplo: proteção dos dados
• Diminuição da incidência de vírus.
17
2 - Projeto (juntamente Esta Fase permite refinar a visão e definir um orçamento
com as Fases 3 e 4) financeiro para que possa apresentar a gerência. Também
assegura que um projeto de alto nível está sendo aplicado e
que a campanha seguirá em direção a encontrar os
objetivos da organização, tendo um quadro claro do que
será desenvolvido durante a Fase.
3 – Construção Quando a Fase 3 - Construção começa, a gerência se
compromete com o tempo e recursos necessários para esta
fase. A Fase 3 – Construção, continua a refinar o trabalho
prévio para produzir planos e materiais detalhados para a
implementação da Fase 4 - Execução. A combinação de um
conjunto claro de objetivos com avaliações de sucesso, terá
alocado responsabilidades e identificadas várias decisões
chave que terão que ser feitas. Como nas Fases prévia, a
Fase 3 – Construção, os resultados devem ser levados para
o comitê de gerência para ganhar seu compromisso e apoio
antes de ir em frente com a campanha de execução.
4 – Execução A Fase 4 – Execução deve abordar tudo sobre colocando
uma campanha em ação. É necessário controlar tempos,
custos, e re-planejar se necessário.
18
A NN possui um procedimento chamado “Padronização e Segurança dos
sistemas computadorizados da Novo Nordisk” que visa garantir a integridade, a
disponibilidade e a confidencialidade das informações de suas plataformas e sistemas
computadorizados. A padronização contempla hardware e software, gerenciamento de
sistemas, computadores de mesa, laptops e servidores usados na rede administrativa. Ela
trata a padronização de manuais operacionais, treinamento dos usuários de TI e contratos
globais de compra de recursos de TI. Dentre os padrões da empresa existem especificações
como:
• Computadores
DELL®
IBM®
• IMPRESSORAS
HP®
• Equipamentos de telecomunicação
CISCO®
• Sistema operacional
Windows 2000 Professional
• Aplicativos
SAP
HC PRISM
HC LIMS
A NNPFB
19
para tratamento do diabetes. Reafirmando o interesse e o comprometimento da empresa
com o país, em novembro de 2003, a Novo Nordisk anunciou a intenção de investir mais
de US$ 200 milhões na construção de uma nova fábrica de insulina em Montes Claros -
MG. (NORDISK, 2005)
Após então a incorporação da Biobrás ao grupo Novo Nordisk, a empresa em
Montes Claros passou a ser chamada como Novo Nordisk Produção Farmacêutica do
Brasil (NNPFB).
20
Através desta tabela é possível identificar quais as pessoas que devem ser
abordadas em uma campanha de conscientização, e quais as mensagens que se deseja
comunicar a estas pessoas.
Como a NNPFB estava há pouco tempo inserida ao grupo NN, havia uma
grande necessidade de que todo o quadro de funcionários que fizesse uso de sistemas fosse
treinado em todo o procedimento de segurança em TI.
21
Incidência de Vírus
350
320 323
300 303
250
Nº de Incidentes
238 235
200
166
150
100
50 39
31 33
16
0
MAI JUN JUL AGO SET OUT NOV DEZ JAN FEV
Verde – Tráfego de entrada em Mbps Verde Escuro – Trágego de entrada máxima em 5 min
Figura 3.2 Pico de tráfego de saída para Internet de 2 Mbps (média de 30 min)
22
As conseqüências desse mau uso refletem diretamente na segurança e
continuidade dos negócios da empresa, uma vez que interferem na disponibilidade dos
sistemas.
Tomando os fatos descritos como base para a definição do escopo da campanha
de conscientização, concluiu-se que seriam:
PRIORIDADES:
Campanha 1 (Treinamento)
• Padronização da infra-estrutura de TI
• Código de Conduta em TI
• Responsabilidades do usuário
• Vírus - Como identificá-lo e eliminá-lo
• Engenharia social
Campanha 3 (Treinamento)
• Classificação da Informação
• Cuidados com a Informação de acordo com a sua classificação
• Revisão dos Conceitos da Campanha 1
• Comportamento
23
• Garantindo a segurança dos dados pessoais
• Backup
24
• Equipe de segurança – Responsável pela criação de um treinamento
abordando temas de segurança da informação, como utilizar os sistemas
computadorizados de forma segura e quais as responsabilidades dos
usuários. A campanha deve ser dada continuidade através de outras
atividades a serem desenvolvidas pela equipe de segurança.
• Recurso humano – Orientar a equipe de segurança como abordar os temas
envolvidos no treinamento de forma clara e objetiva.
• Superintendente de operações – Assegurar que a conscientização da
segurança de sistemas computadorizados seja eficazmente mantida e que
todos os funcionários e terceiros com acesso aos sistemas e plataformas da
Novo Nordisk participem de programas de segurança de sistemas
computadorizados.
25
3.6.2.1. MENSAGEM
26
3.6.2.2. MATERIAIS
3.7. Construção
Custos
27
Tabela 3.4 – Estimativas de custos para a campanha
Estimativas de custos
Recursos necessários Valor
Confecção de vídeos R$ 500,00
Confecção de banners e cartazes R$ 780,00
Confecção de convites personalizados R$ 1.328,00
Brindes (canetas e chaveiros) R$ 8.400,00
Confecção de mouse-pads (contendo a política de segurança da R$ 8.120,00
empresa)
Total R$ 19.528,00
Benefícios
28
• Aderência com a legislação de proteção de dados. Por exemplo, as regras de
confidencialidade das informações guardadas.
• Os vírus de computador ficam mais fáceis de evitar: com empregados
alertados, o risco de se executarem jogos de computadores, ou trazer
qualquer outro tipo de software ilegal para a organização é reduzido,
conseqüentemente reduzindo o risco de vírus nos computadores.
29
campanha por unanimidade pelos mesmos e deram a autorização para que fosse dada
continuidade ao projeto, liberando também os recursos financeiros necessários.
30
Foi criada uma espécie de jogos olímpicos de segurança da informação para
realizar a campanha 1. Os jogos são realizados em equipes e divididos em duas etapas,
sendo elas:
• Questionário – Foi criado um questionário abordando as responsabilidades
dos usuários que fazem uso dos sistemas informatizados. (Anexo IV)
• Quebra-cabeça – Foi criado um quebra-cabeça contendo em sua face
princípios de TI, onde sua essência foi extraída do código de conduta. Cada
princípio é trabalhado buscando inter-ligar um ao outro, sendo que caso haja
negligência em algum você vai contra todos os outros e conseqüentemente
interfere na segurança dos sistemas de informação. (Anexo V)
31
3.9. AVALIAÇÃO DA CAMPANHA
Incidência de Vírus
350
320 323
300 303
250
Nº de Incidentes
238 235
200
166
150
100
50 39
31 33
16
0
MAI JUN JUL AGO SET OUT NOV DEZ JAN FEV
32
Incidência de Vírus
350
320 323
300 303
250
Nº de Incidentes
100
85
50 60
31 39 33
16
0
N
L
AI
AI
N
V
AR
T
R
T
EZ
V
O
JU
JU
JA
SE
FE
AB
M
M
AG
D
O
M
N
10
P2P ou Peer-to-Peer é uma tecnologia que possibilita a distribuição de ficheiros (arquivos) em rede e que
tem como característica permitir o acesso de qualquer usuário dessa rede a um nó, ou a outro usuário (peer)
de forma direta, possibilitando a partilha entre os utilizadores (usuários) de: ciclos de processamento das
máquinas, banda de rede, espaço de armazenamento entre outros recursos que em outros sistemas acabavam
sendo desperdiçados. Basicamente pode-se dizer que cada computador é cliente e servidor ao mesmo tempo.
33
ANTES – TRÁFEGO SEMANAL
Verde – Tráfego de entrada em Mbps Verde Escuro – Trágego de entrada máxima em 5 minutos
Figura 3.7 – Pico de tráfego de saída semanal para Internet de 2 Mbps (média de 30 min)
Verde – Tráfego de entrada em Mbps Verde Escuro – Trágego de entrada máxima em 5 minutos
Figura 3.8 – Pico de tráfego de saída semanal para Internet de 700 Kbps
(média de 30 min)
34
ANTES – TRÁFEGO DIÁRIO
Verde – Tráfego de entrada em Mbps Verde Escuro – Trágego de entrada máxima em 5 minutos
Figura 3.9 – Pico de tráfego de saída diário para Internet de 2 Mbps (média 30 min)
Verde – Tráfego de entrada em Mbps Verde Escuro – Trágego de entrada máxima em 5 minutos
Figura 3.10 – Pico de tráfego de saída diário para Internet de 800 Kbps
(média de 30 min)
35
sensibilidade do usuário quanto ao assunto do treinamento. O usuário passa a ser um
agente da segurança, afinal ele sabe que suas atitudes podem influenciar diretamente no
negócio da empresa.
100%
90%
80%
NOTA 10
70%
NOTA 9
60% NOTA 8
50% NOTA 7
40% NOTA 6
NOTA 5
30%
NOTA 4
20%
10%
0%
SATISFAÇAO JOGO SENSIBILIDADE CONTEÚDO
36
CAPÍTULO IV
CONCLUSÃO
A Segurança da Informação está tornando-se um fator prioritário na tomada de
decisões e nos investimentos em tecnologia da informação das empresas e organizações em
geral. Isso pode ser notado pelas informações publicadas pela Módulo Security na sua 9ª
Pesquisa Anual da Modulo (2004), que indicam uma forte preocupação em relação a
segurança da informação dentro das organizações.
Parece inevitável que essa busca pela segurança avance para fora dos limites
das organizações, que passarão a obrigar seus parceiros comerciais a se enquadrarem nos
aspectos de segurança da informação, confirmado por Sêmola (2003), quando diz que:
37
De acordo a avaliação da campanha pode-se constatar que uma campanha bem
trabalhada, seguindo todas as etapas necessárias, e o principal, tendo o apoio da
administração da empresa, é possível reduzir os riscos a segurança da informação da
organização.
Mas é importante ressaltar a necessidade de se ter uma continuidade da
campanha ou todo o trabalho pode cair no esquecimento, e as falhas a segurança
retornarem.
38
REFERÊNCIAS BIBLIOGRÁFICAS
GIRLANI, Silvia. Todos a postos. 1º Edição, São Paulo: Editora SECURITY REVIEW,
2005.
39
MIRANDA, Marcio. Nossos seminários estão em sintonia com o pensamento dos
dirigentes modernos, agosto 2004.
http://www.workshop.com.br/paginas/cursemina.htm. (05/04/2005)
MUNDOENLINEA. El 94% de las empresas que pierden sus datos desaparece, março
2005. http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35.
(03/04/2005).
40
ANEXO I
vi
ANEXO II
OBJETIVO
APLICAÇÃO
RESTRIÇÕES
vii
O uso de arquivos de música, vídeo, ou transmissão de rádio ou TV protegidos
por direitos autorais, só é permitido quando ligado as atividades da NOVO NORDISK e
respeitando os direitos autorais.
É vedado visitar sites com conteúdos ilícitos ou censuráveis, distribuir arquivos
de música e vídeo, material pornográfico e racista, jogos de pirâmide, correntes de
mensagens, etc. através dos equipamentos de TI da NOVO NORDISK.
MONITORAMENTO
viii
VIOLAÇÕES
ix
ANEXO III
DETALHES
O MRTG consiste em um script em Perl que usa SNMP para ler os contadores
de tráfego de seus roteadores e um rápido programa em C que loga os dados do tráfego e
cria gráficos representando o tráfego da conexão de rede monitorada. Estes gráficos são
incluídos em páginas web que podem ser visualizadas de qualquer browser.
Somadas a detalhada visão diária o MRTG também cria representações visuais
do tráfego durante os últimos 7 dias, das últimas 4 semanas e dos últimos 12 meses. Isto é
possível porque o MRTG mantém um log de todos os dados que ele conseguiu do roteador.
Este log é automaticamente consolidado, e com isso ele não cresce com o tempo, mas
ainda contém todos os dados relevantes de todo o tráfego dos últimos 2 anos. Isto tudo é
realizado de uma maneira muito eficiente. Então você pode monitorar mais de 200 links de
rede de qualquer estação UNIX decente.
O MRTG não se limita a monitorar somente tráfego, é possível monitorar
qualquer variável SNMP que você escolher. Você pode até usar um programa externo para
pegar os dados que você deve monitorar via MRTG. As pessoas usam o MRTG, para
monitorar coisas como Carga do Sistema, Sessões Logadas, Disponibilidade de Modens e
muito mais. O MRTG ainda permite a você acumular 2 ou mais fontes de dados em um
único gráfico.
Fonte: http://people.ee.ethz.ch/~oetiker/webtools/mrtg/mrtg.html
x
ANEXO IV
xi
( ) Os usuários, o proprietário da plataforma e o gerente da plataforma são
responsáveis pela proteção atualizada contra vírus nos computadores
A seqüência correta é:
a. FVF
b. VFV
c. VVV
d. VFF
xii
ANEXO V
JOGO QUEBRA-CABEÇA
xiii
ANEXO VI
14