UNIVERSIDADE ESTADUAL DE MONTES CLAROS CENTRO DE CINCIAS EXATAS E TECNOLGICAS CCET CURSO SISTEMAS DE INFORMAO DISCIPLINA: PROJETO ORIENTADO

O PARA CONCLUSO DE CURSO II

IMPACTO NA IMPLANTAO DE POLTICA DE SEGURANA DA INFORMAO NA NOVO NORDISK PRODUO FARMACUTICA DO BRASIL

Autor: Valflvio Bernardes Silva Professor Orientador: Guilherme Barbosa Vilela Co-Orientador: Helberth Rocha Amaral

Montes Claros MG Junho / 2005

UNIVERSIDADE ESTADUAL DE MONTES CLAROS CENTRO DE CINCIAS EXATAS E TECNOLGICAS CCET CURSO SISTEMAS DE INFORMAO DISCIPLINA: PROJETO ORIENTADO PARA CONCLUSO DE CURSO II

IMPACTO NA IMPLANTAO DE POLTICA DE SEGURANA DA INFORMAO NA NOVO NORDISK PRODUO FARMACUTICA DO BRASIL
PROJETO ELABORADO PARA CONCLUSO DE CURSO SUBMETIDA A UNIVERSIDADE ESTADUAL DE MONTES CLAROS PARA OBTENO DOS CRDITOS NA DISCIPLINA DE PROJETO ORIENTADO PARA CONCLUSO DE CURSO II

Valflvio Bernardes Silva Montes Claros MG Junho / 2005

1i

ndice
CAPTULO I .....................................................................................................................1 1. INTRODUO .........................................................................................................1 1.1. OBJETIVOS ......................................................................................................2 1.1.1. Geral: .............................................................................................................2 1.1.2. Especficos: ....................................................................................................3 2. A informao atravs dos tempos ...............................................................................4 2.1. O valor da informao ............................................................................................6 2.2. A segurana da Informao ....................................................................................6 2.3. Vulnerabilidades ..................................................................................................11 2.4. Poltica de Segurana da Informao ....................................................................14 CAPTULO III ................................................................................................................15 3. PROGRAMA DE CONSCIENTIZAO DE SEGURANA EM TI NA NNPFB..15 3.1. O que um programa de conscientizao de segurana?...................................15 3.2. Objetivo de um programa de conscientizao de segurana de TI .....................15 3.3. Benefcios de um programa de conscientizao de segurana ...........................16 3.4. Metodologia do programa de conscientizao...................................................17 3.5. DEFINIO DO ESCOPO ..............................................................................18 3.5.1. Informaes gerais........................................................................................18 3.5.2. Avaliao das necessidades de conscientizao.............................................20 3.5.3. Identificao das Prioridades ........................................................................21 3.6. Desenho do Projeto...........................................................................................24 3.6.1. Definindo objetivos para a Campanha...........................................................25 3.6.2. ABORDAGEM DA CAMPANHA...............................................................25 3.6.2.1. MENSAGEM .......................................................................................26 3.6.2.2. MATERIAIS ........................................................................................27 3.7. Construo .......................................................................................................27 3.7.1. Recursos necessrios e seus benefcios .........................................................27 3.7.2. Estabelecendo uma linha de base ..................................................................29 3.7.3. Aprovao do oramento ..............................................................................29 3.7.4. Definindo fatores de sucesso da campanha....................................................30 3.7.5. Materiais produzidos ....................................................................................30 3.8. EXECUO DA CAMPANHA 1....................................................................31 3.9. AVALIAO DA CAMPANHA ....................................................................32 3.10. CONTINUIDADE DO PROGRAMA ..........................................................36 CAPTULO IV ................................................................................................................37 CONCLUSO.................................................................................................................37 REFERNCIAS BIBLIOGRFICAS..............................................................................39 ANEXO I......................................................................................................................... vi ANEXO II ...................................................................................................................... vii ANEXO III ........................................................................................................................x ANEXO IV...................................................................................................................... xi ANEXO V ..................................................................................................................... xiii ANEXO VI.....................................................................................................................xiv

ii

LISTA DE TABELAS

Tabela 3.1 Benefcios de um programa de conscientizao.............................................17 Tabela 3.2 Fases de Programa de Conscientizao de Segurana em TI.........................17 Tabela 3.3 Tabela de avaliao do nvel de conhecimento sobre segurana em TI .........20 Tabela 3.4 Estimativas de custos para a campanha ........................................................28

iii

LISTA DE FIGURAS

Figura 2.2-1 Escrita em tablete de argila..........................................................................6 Figura 2.3-1 Diversidade panormica das vulnerabilidades ...........................................13 Figura 2.3-2 Viso Corporativa Integrada Desejada.......................................................14 Figura 3.1 Nmero de incidentes de vrus no ano de 2004 na Novo Nordisk..................22 Figura 3.2 Pico de trfego de sada para Internet de 2 Mbps (mdia de 30 min)...............22 Figura 3.3 Comit de organizao da Campanha ...........................................................24 Figura 3.4 Atividades detalhadas da campanha..............................................................29 Figura 3.5 Incidentes de vrus antes da Campanha 1......................................................32 Figura 3.6 Incidentes de vrus depois da Campanha 1....................................................33 Figura 3.7 Pico de trfego de sada semanal para Internet de 2 Mbps (mdia de 30 min) .................................................................................................................................34 Figura 3.8 Pico de trfego de sada semanal para Internet de 700 Kbps ........................34 Figura 3.9 Pico de trfego de sada dirio para Internet de 2 Mbps (mdia 30 min)........35 Figura 3.10 Pico de trfego de sada dirio para Internet de 800 Kbps ...........................35 Figura 3.11 Resultado do questionrio de avaliao do treinamento ..............................36

iv

LISTA DE ABREVIAES

DDOS DISTRIBUTED DENIAL OF SERVICE GISP - GLOBAL IT STANDARDISATION PROGRAM GTC GLOBAL TECHNOLOGY COMMITTEE HC PRISM SISTEMA DE PLANEJAMENTO E CONTROLE DE PRODUO HC LIMS SISTEMA DE GESTO DO CONTROLE DE QUALIDADE MRTG (MULTI ROUTER TRAFFIC GRAPHER) FERRAMENTA GRFICA DE MEDIO DE TRFEGO DE ROTEADOR NN NOVO NORDISK NNIT NOVO NORDISK INFORMATION TECHNOLOGY NNPFB NOVO NORDISK PRODUO FARMACUTICA DO BRASIL ROI RETURN ON INVESTIMENT SAP SISTEMA DE GESTO ADMINISTRATIVO E FINANCEIRA TI TECNOLOGIA DA INFORMAO

CAPTULO I 1. INTRODUO
Com o avano da tecnologia e o custo cada vez menor do acesso a Internet, realidade dizer que existem mais usurios conectados a rede, e por esse motivo maior a exposio das organizaes, tornando necessrio que seja investido em tecnologias como equipamentos que garantam a segurana dos negcios, porm mesmo com esses equipamentos ainda no se pode garantir a eficcia da segurana da informao. Muitas organizaes no tomam medidas, bsicas e mnimas, de segurana para enfrentar tais riscos. Deixando de atualizar seus sistemas operacionais com as correes disponibilizadas pelos fornecedores, deixando sem atualizao seus programas anti-vrus e, mostrando irresponsabilidade na navegao pela Internet sem o uso de um firewall corretamente atualizado e configurado e no mantendo procedimentos claros e bem definidos de backups, tornam-se alvos fceis a ataques das mais variadas naturezas e de suas terrveis conseqncias. Aos usurios corporativos e no corporativos, alm destes erros, podemos acrescentar a forma descuidada no trato de mensagens de correio recebidas, tornando-se alvos fceis para ataques diversos, especialmente no mbito das fraudes eletrnicas. Dentro desse contexto, dizer que este trabalho no sobre Segurana da Informao soa contraditrio, mas exatamente isso. A nossa proposta ajudar na discusso e compreenso do Processo de Segurana da Informao, contribuindo para o seu aprimoramento. WADLOW (2000), compara a busca pelo estado de sade perfeita busca pelo estado de segurana perfeita da seguinte forma: Livros de exerccios, dietas ou terapias no so livros sobre sade, mas sobre processos que algum poder seguir em busca de sade. A sade um tipo de estado ideal que nunca se consegue alcanar de maneira completa. Em vez de ser uma condio que possa ser realizada, a sade constitui um termo de comparao. Algum poder ser adequadamente saudvel ou maravilhosamente saudvel ou mais saudvel do que eu, mas 1

nunca alcanar o estado de sade perfeita. Tambm nunca se alcana um estado de segurana perfeita. (WADLOW, 2000:1) Sempre houve a preocupao em adquirir novos equipamentos de segurana, mas no se imaginava que o ser humano um sistema de informao e que pode transportar essas informaes. Devido s falhas humanas, torna-se necessria a implementao de uma poltica de segurana nas organizaes, comeando da alta direo. Como criar, implementar essa poltica e colher bons resultados, o grande problema. O tema Poltica de Segurana da Informao apresenta-se para as empresas e, de maneira geral a todo pblico interessado, como uma forma de preveno a invases de sistemas, de privacidade e de segurana no acesso e na manipulao de informaes. A poltica de segurana define o conjunto de normas, mtodos e procedimentos utilizados para a manuteno da segurana da informao, devendo esta ser definida em documento, cujo contedo dever ser do conhecimento de todos os usurios que fazem uso da informao. Podemos representar a implantao de um sistema de segurana da informao na empresa como a escalada de uma grande montanha, na qual pouco a pouco iremos subindo e passando os nveis em termos de conceitos, ferramentas e conhecimento do ambiente tecnolgico da empresa.

1.1. OBJETIVOS
O objetivo geral e os objetivos especficos, que esclarecero as intenes e potenciais deste projeto, so apresentados a seguir.

1.1.1. Geral:
Avaliar o impacto na implantao de polticas de segurana da informao em uma empresa, mais especificamente a NOVO NORDISK, pois cada empresa por mais que seja de segmentos iguais possui ambientes diferentes, conseqentemente riscos particulares daquele ambiente. Este estudo ser focado no comportamento dos usurios do sistema, pois estudos feitos dizem que a maior vulnerabilidade na segurana de uma empresa o seu

funcionrio. A tecnologia importante, mas de nada adianta se os usurios do sistema no participarem da segurana.

1.1.2. Especficos:
Para atingir o objetivo geral, pode-se definir os seguintes objetivos especficos: Apresentar aspectos do comportamento do usurio antes e depois da implantao da poltica de segurana; Criar campanhas e treinamentos em segurana de informao para os usurios; Criar uma boa estratgia de divulgao da segurana entre os usurios; Avaliar a partir dos resultados obtidos, a metodologia e as aes implementadas no processo de implantao da segurana, utilizando questionrios de avaliao preenchidos pelos usurios e softwares especficos de monitoramento; Aplicar uma poltica em conformidade com leis, regulamentaes e normas como a ISO 17799, COBIT e COSO; Estabelecer um plano de continuidade. Este trabalho est estruturado da seguinte maneira: o Captulo II apresenta o referencial terico com toda a fundamentao dos conceitos bsicos de segurana da informao, buscando justificar o por qu da preocupao com a segurana da informao e o que pode ser feito para a busca da segurana ideal. Em seguida no Captulo III est a metodologia utilizada para se implantar o programa de conscientizao de segurana em TI na NNPFB, apresentando tambm os resultados colhidos com a campanha para que possa verificar se a campanha atingiu os fatores de sucesso determinados na fase de construo. Finalizando, apresentado no captulo IV consideraes finais realando a importncia de um programa de conscientizao para fortalecer o elo mais fraco da corrente da segurana: o fator humano.

CAPTULO II REFERENCIAL TERICO 2. A informao atravs dos tempos

Num processo crescente, o homem desenvolveu a pr-escrita (modelagem), criou a xilografia (rabes), o papel, os caracteres mveis para impresso manual e a impresso mecnica. Assim, os escritos puderam atravessar distncias geogrficas e cronolgicas, foram levados de um lado a outro do planeta e, ao transmitir conhecimentos entre pessoas de sua poca, contriburam para o registro da histria humana.

O jornal, conhecido inicialmente como folhetim, surgiu como veculo de transmisso de informaes dirias. Ele era inicialmente lido em voz alta por um letrado. At hoje tem a responsabilidade de levar a ltima notcia, mantendo atualizada a sociedade. No sculo dezenove, o jornal brasileiro era constitudo basicamente de textos. Mesmo os anncios publicitrios utilizavam-se mais de estruturas textuais verbais, apostando largamente no poder argumentativo das palavras. No sculo vinte, os anncios publicitrios passaram a valer-se cada vez menos de textos verbais e cada vez mais de signos no verbais, smbolos e imagens que possibilitem uma outra forma de leitura. (NEITZEL, 2001:17) A impresso foi, durante muito tempo, a principal tecnologia intelectual de armazenamento e disseminao das idias, mas, ainda no satisfeito, o homem continuou a sonhar com outras formas de comunicao que o aproximassem mais facilmente de outras culturas e divulgassem o saber produzido com maior rapidez e amplitude. A partir do sculo XIX, principalmente em decorrncia do crescente domnio do uso da eletricidade, as experimentaes tecnolgicas voltadas para a mediao dos processos de comunicao

humana revolucionaram os sistemas de transmisso de saber e das relaes humanas, rompendo violentamente em termos histricos com os paradigmas espao-tempo at ento vigentes (MCLUHAN, 1995). A digitalizao do alfabeto no Cdigo Morse1 (1837) e o telgrafo lanavam a capacidade humana de expresso verbal para espaos muito alm do presencial em um lapso de tempo incomparvel em relao s tecnologias anteriores. Um outro marco na histria das comunicaes estabeleceu-se com a inveno do rdio. Mas uma das maiores revolues veio na dcada de 70, a televiso. A partir de ento, no s a palavra em forma de som poderia viajar pelo espao, tambm a imagem em movimento. A informao, alm de ser falada, pde ser lida, vista, interpretada pelo receptor. Com a evoluo dos meios de comunicao, no final do sculo XX, ocorre o agrupamento de todas as tecnologias anteriores. Surge uma tecnologia mais eficaz, que oferece todas as possibilidades j exploradas na imprensa, no rdio, na televiso, operando uma ultrapassagem: a possibilidade de interao e a velocidade com que tudo ocorre. O indivduo no fica somente no papel de receptor passivo, h a possibilidade de escolha, h decises a serem tomadas. O volume de informaes emitidas maior, bem como a rapidez com que chegam aos lares, oportunizando-se situaes que as tecnologias anteriores no possibilitavam, como ler o jornal de qualquer parte do mundo, assistir a uma entrevista, participar de conferncias, ouvir msicas das mais longnquas regies do planeta, trocar correspondncias, ler, discutir, conversar, tudo em um nico aparelho, uma mquina comunicacional chamada computador. Mquina que pode estar conectada a milhares de outras, formando uma complexa rede. Essa rede conhecida nos dias atuais como Internet. A Internet uma extensa rede de computadores interligados, mas independentes. Em menos de duas dcadas, transformou-se em uma rede altamente especializada de comunicaes... (HEIDE; STILBORNE, 2000)

Conjunto de convenes que rege o tratamento e, especialmente, a formatao de dados num sistema de comunicao

2.1.

O valor da informao
A informao tida no mundo atual como o principal ativo de uma

organizao. atravs da informao que uma organizao ir buscar maximizar o retorno dos investimentos e as oportunidades de negcio, analisar o mercado e poder se antecipar aos seus concorrentes. A definio da Informao pode ser analisada, como uma fonte de poder, pois no mundo moderno quem possui a informao, possui esse poder.

Na medida em que os diversos mercados mundiais se aproximam com extrema rapidez, o significado da expresso Informao Poder tem adquirido novas dimenses no ambiente econmico. (Loss Control, 2001) Sendo ento este ativo de grande valia, nos deparamos com um grande problema: manter este ativo seguro.

2.2.

A segurana da Informao
A preocupao com a segurana da informao sempre existiu na humanidade.

Estudos mostraram que alguns monumentos construdos por Khnumhote, arquiteto do fara Amenemhet II foram documentados e tiveram trechos dessas documentaes codificados atravs da substituio de palavras ou trechos do texto escrito em tabletes de argila. Caso esse tablete fosse roubado, o ladro no encontraria o caminho que o levaria ao tesouro morreria de fome, perdido nas catacumbas da pirmide. (Kahn, 1967)

Figura 2.2-1 Escrita em tablete de argila

Diversos algoritmos de compactao foram desenvolvidos desde a Segunda guerra mundial devido necessidade de comunicao entre as tropas. Durante a guerra, a utilidade da compactao no era apenas a de diminuir a quantidade de informao que era passada atravs dos rdios, mas tambm a de esconder de alguma forma o contedo da informao para que esta no pudesse ser lida pelo inimigo. Isto possvel, pois um algoritmo de compactao nada mais do que um codificador e um decodificador que aplicado a um conjunto de dados. J nos tempos dos mainframes, as empresas tinham no somente uma preocupao com o sigilo das informaes como tambm com o prprio equipamento devido ao seu grande custo. Estes equipamentos ficavam em salas isoladas com baixa temperatura e pouqussimas pessoas tinham acesso. Alm da preocupao com o ambiente fsico, as empresas tambm buscavam se assegurar que, em caso de danos das informaes por acidentes ou defeitos nos equipamentos, elas tivessem como recuperar as informaes perdidas. Elas realizavam ento cpias das informaes (Backup) como medida de segurana.

A finalidade do Backup permitir a pronta recuperao de dados em caso de perdas acidentais ou intencionais e, desse modo, necessrio que toda informao fundamental ao funcionamento da organizao tenha a sua cpia de segurana, guardada em local adequadamente protegido. (Loss Control, 2001). A popularizao da Internet aumentou ainda mais os riscos segurana da informao que uma empresa est sujeita. A Internet mais uma ferramenta que as empresas utilizam para que possam expandir os seus negcios, mas ela tambm traz muitos problemas segurana da informao, como por exemplo, a contaminao por vrus de computador. Um vrus biolgico costuma introduzir-se num organismo, apossando-se das clulas e obrigando-as a reproduzir milhares de cpias do vrus original. O vrus do computador, imitando o da natureza, atua de maneira semelhante: trata-se de um pequeno programa (conjunto de instrues) cujo objetivo, alm de instalarse, reproduzir-se e dominar o organismo que o aloja. (Caruso, Steffen, 1991:92)

Os vrus de computador se espalham rapidamente pelas mquinas de uma empresa atravs de sua rede. Podemos constatar que a Internet se no for estabelecida uma poltica de segurana, poder trazer tambm desvantagens a uma empresa. De acordo a 6 Pesquisa Nacional sobre segurana da informao: Os vrus (75%) permanecem como a maior ameaa segurana da informao nas empresas. Apesar de 93% das corporaes afirmarem j adotar sistemas de preveno contra vrus, 48% sofreram contaminao nos ltimos seis meses e apenas 11% das empresas entrevistadas declaram nunca ter sido infectadas. (Modulo, 2000) Segundo um estudo realizado pela Universidade do Texas, apenas 6% das empresas que sofrem um desastre informtico sobrevivem. Os demais 94% desaparecem, mais cedo ou mais tarde. Pesquisas do Gartner Group, ainda que mais moderadas, confirmam essa tendncia ao indicar que duas de cada cinco empresas que enfrentam ataques ou danos em seus sistemas deixam de existir. (MUNDOENLINEA, 2005) As organizaes investem em tecnologia, na maioria das vezes buscando emparelhar com a tecnologia da concorrncia, mas atualmente nossa realidade espelha segurana, para a tomada de deciso das organizaes o que implica em sua sobrevivncia e na minimizao de riscos, como podemos observar abaixo: H algum tempo, era comum o departamento de TI2 usar como argumento para justificar o investimento em tecnologia a necessidade de acompanhar o ritmo da concorrncia. Hoje a tarefa ainda mais rdua. A taxa de retorno dos investimentos (ROI3) passou a ser a mtrica para executivos e empresrios nos processos de tomada de decises. Baseando-se em variveis de reduo de custos, prejuzos, viabilidade de aplicaes e projees, a ferramenta apontada como o caminho mais indicado no momento de decidir por um investimento, principalmente os de grande soma. (Haical, 2001) No setor bancrio a maior preocupao at alguns anos atrs era proteger os grandes volumes de dinheiro que ficavam guardados nos cofres das agncias. Com o avano da tecnologia, a preocupao maior de segurana no setor bancrio passou a ser a
2 3

Tecnologia da Informao Return on investiment (Retorno sobre investimento)

segurana da informao. O aumento do uso dos meios eletrnicos para as transaes financeiras contribuiu para reduzir, de forma substancial, o capital em circulao nos bancos. E hoje, embora a segurana fsica ainda seja importante, o foco de ateno migrou para o cliente. Garantir aos correntistas e investidores que suas informaes e patrimnio esto muito bem protegidos e que todas as operaes so feitas sem perigo o que est levando as instituies financeiras a remodelar a rea de segurana e a instituir polticas especficas. (SECURITY REVIEW, 2005:51) Tecnologias como firewall4, detector de intrusos, criptografia5 e anti-vrus so fundamentais para a segurana da informao, mas elas so apenas grandes barreiras a serem atravessadas pelos chamados hackers6 ou espies industriais. A tecnologia um dos recursos necessrios para a segurana da informao, visto que o ser humano um sistema de informao e que pode transportar essas informaes. De nada adianta termos a tecnologia a favor da segurana se os usurios dos sistemas da organizao no estiverem conscientes da importncia da segurana da informao e do correto uso destes sistemas. Tcnicas como a engenharia social7 j conhecida a vrios anos, uma das principais armas utilizadas na espionagem industrial, vm reforar a necessidade de um plano de treinamento de segurana aos usurios de sistemas. Um incidente de segurana pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado segurana de sistemas de computao ou de redes de computadores. So exemplos de incidentes de segurana: Tentativas de ganhar acesso no autorizado a sistemas ou dados; Ataques de negao de servio (DDoS8); Uso ou acesso no autorizado a um sistema;

Firewalls so programas especiais que tm por objetivo evitar acessos no autorizados a computadores (Mdulo,2002). 5 Criptografia a tcnica de escrever em cifra ou cdigo, composto de tcnicas que permitem tornar incompreensvel uma mensagem transmitida. Somente o destinatrio poder decifr-la (Mdulo,2002). 6 Hackers so tambm conhecidos como piratas da Internet, que tem como objetivo invadir os computadores desprotegidos utilizando as mais variadas tcnicas para roubar informaes (Mdulo,2002). 7 Engenharia social uma tcnica que usa a influncia e a persuaso para enganar as pessoas e convenclas de que o engenheiro social algum que na verdade ele no . Como o resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informaes com ou sem o uso da tecnologia. 8 DDoS (Distributed Denial of Service) constitui um ataque de negao de servio distribudo, ou seja, um conjunto de computadores utilizado para tirar de operao um ou mais servios ou computadores conectados Internet.

Modificaes em um sistema, sem o conhecimento, instrues ou consentimento prvio do dono do sistema; Desrespeito poltica de segurana ou poltica de uso aceitvel de uma empresa.

comum em organizaes usurios realizarem aes que acarretam incidentes de segurana como: Download de msicas, programas piratas ou arquivos de vdeos (alm de desrespeitar os direitos autorais os sistemas podem se tornarem indisponveis Internet); Visitar sites com contedos ilcitos, materiais pornogrficos ou racistas, ou contedos que no fazem parte das atividades da empresa (sites com contedos como estes costumam enviar para o usurio arquivos contaminados com vrus); Usar ou conectar solues de e-mail externo como hotmail, bol, gmail, ou seja os chamados webmail (no tem como garantir que foi realizada, nos arquivos em anexo no e-mail, uma varredura em busca de vrus por parte do provedor de e-mail). So aes como estas realizadas pelos usurios que contribuem para a no preservao das caractersticas da segurana da informao definidas pela norma ISO/IEC 17799:2001. Segundo a norma ISO/IEC 17799:2001 a segurana da informao caracterizada pela preservao de: a) Confidencialidade: garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso b) Integridade: salvaguarda da exatido e completeza da informao e dos mtodos de processamento; devido ao grande trfego que gera na rede e conseqentemente ocupando a largura de banda9 existente para

Termo usado em referncia s caractersticas de resposta em freqncia de um sistema de comunicao

10

c) Disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. Smola (2003) acrescenta a estas propriedades mais dois aspectos que complementariam os elementos na prtica da segurana da informao, definindo da seguinte forma: Autenticao - processo de identificao e reconhecimento formal da identidade dos elementos que entram em comunicao ou fazem parte de uma transao eletrnica que permite o acesso informao e seus ativos por meio de controles de identificao desses elementos. Legalidade caracterstica das informaes que possuem valor legal dentro de um processo de comunicao, onde todos os ativos esto de acordo com as clusulas contratuais pactuadas ou a legislao poltica institucional, nacional ou internacional vigentes.

2.3.

Vulnerabilidades
Vulnerabilidades so fragilidades ou deficincias presentes ou associadas a

componentes envolvidos nas etapas do ciclo de vida da informao, que so elas: Manuseio Momento em que a informao criada e manipulada; Armazenamento Quando a informao armazenada; Transporte Quando a informao transportada, seja por correio eletrnico, atravs de uma rede para ser consultada em uma estao ou por algum tipo de mdia; Descarte Quando a informao descartada. Assim, diariamente so feitos ataques, que basicamente consistem na busca de vulnerabilidades que, uma vez identificadas, proporcionam ao atacante a oportunidade de ter seu objetivo alcanado e a empresa a sofrer uma quebra de segurana. Como visto anteriormente, essas vulnerabilidades podem ter vrias origens, de ordem tecnolgica ou no, mas, de uma forma geral, pode-se agir sobre elas para eliminlas ou reduzi-las, conforme a equao do negcio a permitir.

11

Por si s, as vulnerabilidades no provocam incidentes, podendo ser consideradas agentes passivos no processo, precisando de um agente ativo ou condies favorveis, que so as ameaas, para que um incidente ocorra. Smola (2003), apresenta uma lista de vulnerabilidades, e as classifica em trs categorias: Tecnolgicas: Equipamentos de baixa qualidade Criptografia fraca Sistema operacional desatualizado Configurao imprpria do firewall Links no redundantes Configurao imprpria do roteador Bug nos softwares Autorizao de acesso lgico inadequado

Fsicas: Ausncia de gerador de energia Ausncia de normas para senhas Ausncia de fragmentador de papel Mdia de backup mal acondicionada Falta de controles fsicos de acesso Instalao eltrica imprpria Cabeamento desestruturado Humanas: Falta de treinamento Falta de qualificao Ausncia de polticas de RH Ambiente/clima organizacional ruim A esse conjunto de vulnerabilidades listadas como exemplos, pode-se acrescentar ou retirar algumas, ou considerar maior ou menor a sua influncia dentro de

12

cada organizao, em funo do equilbrio entre o seu negcio, os recursos disponveis para segurana e o nvel de risco aceitvel para a sua operao. Por exemplo, se o seu ciclo operacional muito curto, com pouca margem para atrasos junto aos seus clientes, vale a pena considerar a necessidade de um sistema de geradores para casos onde ocorram falhas no fornecimento de energia eltrica. Se a empresa recebe informaes sigilosas de seus clientes, uma criptografia fraca poder ser um problema muito srio. Smola (2003) representa essa diversidade de vulnerabilidades na Figura 2.3-1:

Figura 2.3-1 Diversidade panormica das vulnerabilidades

13

Ainda segundo Smola (2003), em uma Viso Corporativa de Segurana, as trs categorias de vulnerabilidades devem ser associadas e trabalhadas de forma integrada para se obter um nvel adequado de risco a ser administrado, sendo representado por ele conforme Figura 2.3-2:

Figura 2.3-2 Viso Corporativa Integrada Desejada

2.4.

Poltica de Segurana da Informao

A poltica de segurana atribui direitos e responsabilidades s pessoas que

lidam com os recursos computacionais de uma instituio e com as informaes neles armazenados. Ela tambm define as atribuies de cada um em relao segurana dos recursos com os quais trabalham. Na poltica deve haver o apoio explcito da alta direo da organizao s metas e princpios da segurana da informao. Uma poltica de segurana tambm deve prever o que pode ou no ser feito na rede da instituio e o que ser considerado inaceitvel. Tudo o que descumprir a poltica de segurana considerado um incidente de segurana. Na poltica de segurana tambm so definidas as penalidades s quais esto sujeitos aqueles que no a cumprirem.

14

CAPTULO III METODOLOGIA

3. PROGRAMA DE CONSCIENTIZAO DE SEGURANA EM TI NA NNPFB

3.1. O que um programa de conscientizao de segurana?
Um programa de conscientizao de segurana em TI um conjunto de atividades e materiais associados, planejados para promover e manter uma situao em uma organizao onde os funcionrios tenham um alto nvel de conscincia sobre segurana. A organizao considerada ter um ambiente de segurana positiva quando os funcionrios agem instintivamente e so pr-ativos de um modo que promova boas prticas de segurana de TI. Na realidade, este nvel difcil de atingir e sustentar. As organizaes podem, de qualquer modo, se esforarem para conseguir, to prximo quanto possvel, atingir um nvel aceitvel. Um programa de conscientizao de segurana portanto um processo contnuo que visa mudar o modo como pessoas pensam e agem.

3.2.

Objetivo de um programa de conscientizao de segurana de TI

Um bem sucedido programa de conscientizao de segurana de TI deve mudar

o modo como o usurio de sistema pensa e age, de forma que a segurana de TI torne-se parte das atividades de negcios da empresa. O Programa deve enderear a todas as pessoas que tenham contato com sistemas computadorizados, porque para construir um

15

nvel consistente de segurana em toda as partes de uma organizao necessrio no ter nenhum elo fraco na corrente. De acordo o guia de conscientizao de segurana de TI EUROPEAN SECURITY o objetivo de um Programa de Conscientizao de Segurana de TI elevar o nvel de conscincia dos usurios e fazer com que eles entendam: O qu significa segurana da informao para a organizao; Que as informaes guardadas nos computadores so um recurso importante e valioso; Como aplicar as aes de segurana em seu ambiente de trabalho; Que eles tambm so responsveis pela segurana da informao; A poltica de segurana, padronizao dos sistemas e princpios da empresa. Um programa de conscientizao pode variar de organizao para organizao ou at mesmo de negcio para negcio. Portanto alguns cuidados devem ser tomados para atingir o objetivo do programa, assim como: Estar alinhado com o negcio da direo e levar em conta os planos futuros da empresa; Reconhecer as ameaas e riscos associados ao negcio e conduta da empresa; Levar em considerao a cultura e trabalhar atividades que so comuns na empresa; Estabelecer polticas, prticas e responsabilidades.

3.3. Benefcios de um programa de conscientizao de segurana

Segundo a EUROPEAN SECURITY FORUM (1993), os benefcios de um programa de conscientizao de segurana para a organizao vem de assegurar que incidentes de segurana so reduzidos em nmero e escala, e conseqentemente acabam melhorando as prticas de trabalho. Isto um argumento importante para gerncia entender, pois todo incidente tem um custo, isto , existe um custo para se recuperar de um incidente, e o dinheiro para pagar aquele custo poder afetar a parte financeira da organizao. Quando um programa de conscientizao de segurana bem trabalhado, a segurana ser uma parte integrada aos produtos e servios da organizao. 16

Tabela 3.1 Benefcios de um programa de conscientizao EXEMPLOS DE BENEFCIOS Aumento da confiana dos clientes e acionistas na capacidade da organizao em fornecer qualidade de produtos e servios. Garantir a melhor continuidade dos negcios. Alta qualidade das informaes para tomar deciso e reportar. Melhor proteo das informaes confidenciais de pessoas no autorizadas, concorrentes ou ladres. Menor custos segurana de TI por erros no intencionais. Melhoria no astral dos funcionrios, pois funcionrios gostam de trabalhar para garantir a segurana e qualidade nas organizaes. Aderncia legislao da segurana de TI. Exemplo: proteo dos dados Diminuio da incidncia de vrus.

3.4. Metodologia do programa de conscientizao

A metodologia utilizada no programa de segurana da informao na NNPFB foi baseada no guia de implementao de conscientizao da EUROPEAN SECURITY FORUM (1993). Segundo o guia uma campanha de conscientizao deve ter as fases a seguir:

Tabela 3.2 Fases de Programa de Conscientizao de Segurana em TI Fonte: EUROPEAN SECURITY FORUM (1993) FASE 1 - Escopo DESCRIO Esta Fase permite determinar por onde comear, o qu melhorar ou a redirecionar o programa de conscientizao de segurana. Comea o processo de construir uma viso clara do que se deseja alcanar e as mensagens que se deseja comunicar. No fim da Fase 1 - Escopo, deve-se identificar uma ou mais campanhas de conscientizao de segurana. 17

2 - Projeto (juntamente Esta Fase permite refinar a viso e definir um oramento com as Fases 3 e 4) financeiro para que possa apresentar a gerncia. Tambm assegura que um projeto de alto nvel est sendo aplicado e que a campanha seguir em direo a encontrar os objetivos da organizao, tendo um quadro claro do que ser desenvolvido durante a Fase. 3 Construo Quando a Fase 3 - Construo comea, a gerncia se compromete com o tempo e recursos necessrios para esta fase. A Fase 3 Construo, continua a refinar o trabalho prvio para produzir planos e materiais detalhados para a implementao da Fase 4 - Execuo. A combinao de um conjunto claro de objetivos com avaliaes de sucesso, ter alocado responsabilidades e identificadas vrias decises chave que tero que ser feitas. Como nas Fases prvia, a Fase 3 Construo, os resultados devem ser levados para o comit de gerncia para ganhar seu compromisso e apoio antes de ir em frente com a campanha de execuo. 4 Execuo A Fase 4 Execuo deve abordar tudo sobre colocando uma campanha em ao. necessrio controlar tempos, custos, e re-planejar se necessrio.

3.5. DEFINIO DO ESCOPO

3.5.1. Informaes gerais

A NN uma indstria farmacutica que desenvolve pesquisas e produtos na rea de terapia, como cuidados com o diabetes, hormnio de crescimento, reposio hormonal e controle de hemorragia. Sendo assim, a empresa possui informaes que foram adquiridas atravs de anos de pesquisa. Informaes como frmulas de medicamentos, estratgias de mercado e etc. Essas informaes precisam ser protegidas adequadamente para que seja assegurado o controle contnuo, a integridade, a disponibilidade e a confidencialidade.

18

A NN possui um procedimento chamado Padronizao e Segurana dos sistemas computadorizados da Novo Nordisk que visa garantir a integridade, a disponibilidade e a confidencialidade das informaes de suas plataformas e sistemas computadorizados. A padronizao contempla hardware e software, gerenciamento de sistemas, computadores de mesa, laptops e servidores usados na rede administrativa. Ela trata a padronizao de manuais operacionais, treinamento dos usurios de TI e contratos globais de compra de recursos de TI. Dentre os padres da empresa existem especificaes como: Computadores DELL IBM IMPRESSORAS HP Equipamentos de telecomunicao CISCO Sistema operacional Windows 2000 Professional Aplicativos SAP HC PRISM HC LIMS O procedimento contempla tambm um cdigo de conduta em TI (ANEXO II), cujo objetivo deste cdigo assegurar que os sistemas de TI da Novo Nordisk sejam usados com cuidado e para as atividades relacionadas Novo Nordisk. A empresa permite o uso particular somente a um grau limitado. A NNPFB Presente no Brasil desde o incio da dcada de 1990, a Novo Nordisk consolidou sua presena no pas em 2002, quando comprou o laboratrio Biobrs nico produtor nacional de insulina e lder na Amrica Latina na comercializao de produtos

19

para tratamento do diabetes. Reafirmando o interesse e o comprometimento da empresa com o pas, em novembro de 2003, a Novo Nordisk anunciou a inteno de investir mais de US$ 200 milhes na construo de uma nova fbrica de insulina em Montes Claros MG. (NORDISK, 2005) Aps ento a incorporao da Biobrs ao grupo Novo Nordisk, a empresa em Montes Claros passou a ser chamada como Novo Nordisk Produo Farmacutica do Brasil (NNPFB).

3.5.2. Avaliao das necessidades de conscientizao

A EUROPEAN SECURITY FORUM (1993) sugere em seu manual que seja feita uma tabela de avaliao como na Tabela 3.3, para que se possa ter uma viso de qual o nvel de conhecimento que os usurios tm sobre a poltica de segurana em TI da empresa.

Tabela 3.3 Tabela de avaliao do nvel de conhecimento sobre segurana em TI Fonte: EUROPEAN SECURITY FORUM (1993)

20

Atravs desta tabela possvel identificar quais as pessoas que devem ser abordadas em uma campanha de conscientizao, e quais as mensagens que se deseja comunicar a estas pessoas. Como a NNPFB estava h pouco tempo inserida ao grupo NN, havia uma grande necessidade de que todo o quadro de funcionrios que fizesse uso de sistemas fosse treinado em todo o procedimento de segurana em TI.

3.5.3. Identificao das Prioridades

O objetivo desta atividade que se possam identificar quais as necessidades de conscientizao em comum nos grupos de funcionrios encontradas na avaliao realizada na fase anterior. Atravs da identificao das necessidades possvel estabelecer as prioridades, o nmero de campanhas ideal e os materiais que sero utilizados nas campanhas. Para a definio das prioridades de conscientizao, a NNPFB considerou os incidentes de segurana ocorridos na empresa como variveis da anlise para definio das prioridades. Dentre esses incidentes de segurana avaliados, podem ser citados o aumento de ocorrncia de vrus e a indisponibilidade temporria de links de acesso aos sistemas corporativos da NN.

21

Incidncia de Vrus
350 300 N de Incidentes 250 200 150 100 50 0 MAI 31 39 JUL 33 AGO SET OUT NOV DEZ JAN FEV 166 238 303 320 323

235

16 JUN

Figura 3.1 Nmero de incidentes de vrus no ano de 2004 na Novo Nordisk Em anlise tcnica pelo departamento de Informtica da NNPFB e NNIT, constatou-se que esse aumento de vrus e que a indisponibilidade do link estavam diretamente ligados ao mau uso dos sistemas (acesso a sites de contedos no relacionados s atividades da NN).

Verde Trfego de entrada em Mbps Azul Trfego de sada em Mbps

Verde Escuro Trgego de entrada mxima em 5 min Rosa Trfego de sada maxima em 5 min

Figura 3.2 Pico de trfego de sada para Internet de 2 Mbps (mdia de 30 min) Ferramenta: MRTG (baseada em SNMP)

22

As conseqncias desse mau uso refletem diretamente na segurana e continuidade dos negcios da empresa, uma vez que interferem na disponibilidade dos sistemas. Tomando os fatos descritos como base para a definio do escopo da campanha de conscientizao, concluiu-se que seriam: ESCOPO: Conscientizar os usurios de computador da NNPFB sobre o correto uso dos Sistemas de TI a fim de assegurar a integridade, disponibilidade e confidencialidade das informaes atravs de treinamento contnuo, novos procedimentos e polticas relativas a Segurana em TI da Novo Nordisk. APLICAO: O programa de cosncientizao dever ser aplicado a todos os usurios de sistemas computacionais da empresa, incluindo terceiros, estagirios e parceiros. PRIORIDADES: Campanha 1 (Treinamento) Padronizao da infra-estrutura de TI Cdigo de Conduta em TI Responsabilidades do usurio Vrus - Como identific-lo e elimin-lo Engenharia social Campanha 2 (Site na Intranet) Criao de um espao designado a assuntos da rea de segurana da informao na Intranet, como dicas de segurana, procedimentos e sugestes. Criao de jogos da segurana (QUIZ) Campanha 3 (Treinamento) Classificao da Informao Cuidados com a Informao de acordo com a sua classificao Reviso dos Conceitos da Campanha 1 Comportamento

23

 Garantindo a segurana dos dados pessoais Backup Nesse trabalho somente sero descritas as fases seguintes da Campanha 1.

3.6. Desenho do Projeto

Para a construo do projeto foi criado um comit envolvendo todos os gerentes, o superintendente de operaes, a equipe de segurana da informao, o setor de recursos humanos e o setor de comunicao.

Figura 3.3 Comit de organizao da Campanha Foram realizadas reunies para discutir como seria a campanha e definir as responsabilidades de cada integrante do comit: Gerentes Responsveis por apoiar e enfatizar a importncia da campanha para seus funcionrios e disponibilizar os recursos necessrios. Setor de comunicao Responsvel por divulgar a campanha atravs de cartazes, artigos de jornais e revistas internas, e confeco de convites e brindes personalizados para todos os participantes como forma de motivao pelo treinamento para os participantes do treinamento a ser realizado pela equipe de segurana.

24

Equipe de segurana Responsvel pela criao de um treinamento abordando temas de segurana da informao, como utilizar os sistemas computadorizados de forma segura e quais as responsabilidades dos usurios. A campanha deve ser dada continuidade atravs de outras atividades a serem desenvolvidas pela equipe de segurana. Recurso humano Orientar a equipe de segurana como abordar os temas envolvidos no treinamento de forma clara e objetiva. Superintendente de operaes Assegurar que a conscientizao da segurana de sistemas computadorizados seja eficazmente mantida e que todos os funcionrios e terceiros com acesso aos sistemas e plataformas da Novo Nordisk participem de programas de segurana de sistemas computadorizados.

3.6.1. Definindo objetivos para a Campanha

Essencial para o sucesso de qualquer projeto, a definio dos objetivos e da justificativa da necessidade do projeto tambm se faz necessria no desenho do Projeto de Conscientizao em Segurana da Informao. Ter bem claro o ponto onde se quer chegar, as formas de se mensurar esses objetivos, torna o projeto mais lgico e racional. A Campanha 1 de grande importncia para a NNPFB, visto que ela possibilita uma discusso e compreenso dos Processos de Segurana da Informao, contribuindo para o seu aprimoramento e efetividade na empresa. Os usurios deixam de ser agentes passivos e passam a ser agentes ativos na segurana da informao, no estando mais a defesa da empresa aos olhos somente da equipe de segurana de TI.

3.6.2. ABORDAGEM DA CAMPANHA

Uma vez definido escopo, aplicao e objetivos da campanha, fez-se necessria a definio da abordagem da campanha, ou seja, a forma como a campanha deveria ser executada.

25

3.6.2.1. MENSAGEM
A comunicao de uma campanha de segurana da informao, segundo a EUROPEAN SECURITY FORUM (2003) pode seguir 2 linhas: baseada na nfase do bom comportamento ou na punio do no cumprimento da poltica. Segundo Barbulho (1998) voc deve colocar suas palavras sempre de forma positiva, no usar palavras ou frases que tenham conotaes negativas. A linha escolhida pela Novo Nordisk foi a linha da comunicao positivista, onde enfatiza-se os benefcios ao indivduo e empresa quando o comportamento est adequado poltica da empresa. O passo seguinte foi determinar a conduo dessa abordagem, ou seja, atravs de que metodologia iramos transmitir a mensagem. Segundo a psicloga Cardoso (2005) o treinamento deveria ser abordado de uma forma ldica e efetiva, atravs da aprendizagem pelo ciclo vivencial que se baseia em: 1- Realizar normalmente uma dinmica que voc tenha que construir algo como pipas, ou montar um quebra-cabea ou um jogo em que voc tenha que refletir sobre um tema. 2- Compartilhar sentimentos - verificar com o grupo que tipo de emoes aconteceram na dinmica. 3- Fazer uma analogia do que voc faz na rotina de trabalho do seu dia-a-dia. Por exemplo, se for a construo de uma pipa, deve-se levar o grupo a refletir sobre o que facilitou e o que dificultou o trabalho. Se o que facilitou foi o trabalho em equipe, deve lev-los a refletir no seu trabalho quando tem um trabalho em equipe. 4- Traar um plano de ao a partir do que foi visto verifica-se o que fraco naquele grupo e fazer um plano para modificar o comportamento. Em sntese o CAV (ciclo de aprendizagem vivencial) jogar, compartilhar os sentimentos e processos que ocorreram no jogo, estabelecer relaes entre o jogo e a vida diria, e a partir da elaborar um plano de ao.

26

3.6.2.2. MATERIAIS
Para as atividades da campanha de segurana foi definida a criao de jogos que devem estar relacionados ao contedo e, fundamentalmente, aos objetivos do programa, no sentido de possibilitar o desenvolvimento de determinadas habilidades na rea da segurana. Os jogos devem tambm abordar o contedo conforme citado na Abordagem do Projeto, ou seja, trabalhando o lado positivo. Lembrando sempre que a inteno no de reprimir e sim de treinar o comportamento e demonstrar os benefcios que trar com a mudana do comportamento. Tambm foi definida a criao de vdeos que demonstrassem falhas de segurana humana e aes positivas na segurana que ajudam a detectar as vulnerabilidades e ameaas a segurana da informao.

3.7. Construo
Antes de se comear a desenvolver a campanha foi realizado uma reunio com todos os gerentes da NNPFB, onde foi repassada a eles a necessidade de se haver uma campanha de conscientizao dos usurios de TI e a previso dos custos para campanha. importante, para uma campanha como esta, que tenha o apoio dos gerentes, pois os usurios precisam saber que a empresa leva a srio tal assunto. So os gerentes que podem cobrar a participao dos seus funcionrios e fornecer os recursos necessrios.

3.7.1. Recursos necessrios e seus benefcios

Custos Foram levantadas as estimativas de custos de todos os recursos necessrios para a realizao da campanha e entregues aos gerentes para obter a aprovao e dar continuidade aos trabalhos.

27

Tabela 3.4 Estimativas de custos para a campanha Estimativas de custos Recursos necessrios Confeco de vdeos Confeco de banners e cartazes Confeco de convites personalizados Brindes (canetas e chaveiros) Confeco de mouse-pads (contendo a poltica de segurana da empresa) Total Benefcios A informao a alma de uma organizao, um recurso da organizao que deve ser administrado e protegido. Se as informaes no esto disponveis, esto incorretas ou acessada por algum no autorizado, os negcios podem ser paralisados, talvez severamente, uma organizao pode sofrer aumento de custos, penalidades contratuais, perda de confiana nos negcios ou outras conseqncias. Foram apresentados aos gerentes alguns benefcios de uma campanha de conscientizao, como uma forma de justificar os investimentos. Os benefcios apresentados foram: Garantia de uma melhor continuidade dos negcios: os riscos de rompimento dos negcios no dia-a-dia so reduzidos, informando sobre os planos de contingncia e cpias de segurana das informaes. Aumento da confiana na organizao: se os clientes percebem que os servios e produtos da organizao so confiveis, eles sero mais propensos a visualizar a organizao como um parceiro de negcio, e dispostos a permanecer. Alta qualidade das informaes processadas: uma alta qualidade das informaes processadas fornece uma base para se tomar as melhores decises nos negcios, e resultaro em uma reduo de esforos perdidos para corrigir erros. Melhor proteo das informaes: informaes protegidas so menos provveis de cair nas mos de competidores e de serem usadas inadequadamente. Valor R$ 500,00 R$ 780,00 R$ 1.328,00 R$ 8.400,00 R$ 8.120,00 R$ 19.528,00

28

 Aderncia com a legislao de proteo de dados. Por exemplo, as regras de confidencialidade das informaes guardadas. Os vrus de computador ficam mais fceis de evitar: com empregados alertados, o risco de se executarem jogos de computadores, ou trazer qualquer outro tipo de software ilegal para a organizao reduzido, conseqentemente reduzindo o risco de vrus nos computadores.

3.7.2. Estabelecendo uma linha de base

Foram estabelecidos atividades e os respectivos responsveis do comit para cada uma delas, sendo que cada um destas atividades devia ser cumprido em seus devidos tempos, ou poderia comprometer o sucesso da campanha. A Figura 8 foi extrada diretamente do MS-Project e mostra a relao de todas as tarefas e suas respectivas duraes, datas e responsveis.

Figura 3.4 Atividades detalhadas da campanha

3.7.3. Aprovao do oramento

Na reunio realizada com os gerentes da empresa onde tiveram conhecimento das etapas e contedos da campanha de segurana, houve como resultado a aceitao da

29

campanha por unanimidade pelos mesmos e deram a autorizao para que fosse dada continuidade ao projeto, liberando tambm os recursos financeiros necessrios.

3.7.4. Definindo fatores de sucesso da campanha

Como uma forma de avaliar o sucesso da campanha e de conseguir obter uma concluso deste projeto foram estabelecidos alguns fatores de sucesso: O nmero de incidentes de vrus deve ser reduzido significativamente; Os sistemas que fazem uso do link de Internet devem estar disponveis; A avaliao do treinamento pelo usurio deve ser satisfatria. Foram definidos alguns mtodos para que se conseguisse medir os fatores de sucesso da campanha e chegar a alguma concluso. A Novo Nordisk utiliza como forma de proteo a vrus o anti-vrus VirusScan Enterprise 8.0.0 da McAfee, tal ferramenta configurada a enviar um e-mail (Anexo I) a um grupo especfico de usurio da empresa (equipe de segurana) quando um vrus detectado em uma estao de trabalho, juntamente com a ao tomada. Atravs destes emails informando a deteco do vrus possvel medir o nmero de incidentes de vrus na organizao. Para a medio de trfego do link de Internet foi utilizada a ferramenta MRTG, a mesma utilizada na fase de identificao das prioridades. Os detalhes da ferramenta encontram-se no Anexo III. Atravs desta ferramenta ser possvel realizar uma comparao do estado anterior a Campanha 1 e posterior a ela. A anlise do treinamento dos usurios na Campanha 1 ser feita atravs da avaliao (Anexo VI) respondida pelo prprio ao trmino do treinamento.

3.7.5. Materiais produzidos

Foram confeccionados convites estilizados e personalizados para cada usurio, com o horrio e local do treinamento de cada um. Os materiais produzidos para a campanha obedeceram as recomendaes feitas na fase de desenho do projeto, tentando trabalhar atravs da comunicao positivista e aplicando a aprendizagem pelo ciclo vivencial. 30

Foi criada uma espcie de jogos olmpicos de segurana da informao para realizar a campanha 1. Os jogos so realizados em equipes e divididos em duas etapas, sendo elas: Questionrio Foi criado um questionrio abordando as responsabilidades dos usurios que fazem uso dos sistemas informatizados. (Anexo IV) Quebra-cabea Foi criado um quebra-cabea contendo em sua face princpios de TI, onde sua essncia foi extrada do cdigo de conduta. Cada princpio trabalhado buscando inter-ligar um ao outro, sendo que caso haja negligncia em algum voc vai contra todos os outros e conseqentemente interfere na segurana dos sistemas de informao. (Anexo V) Em ambas as etapas dos jogos os usurios devem relatar a atividade realizada relacionada s atividades do seu dia-a-dia. Tambm foram criados pequenos vdeos que aborda as tcnicas da engenharia social, para que os usurios possam ver exemplos prticos de ameaas que eles podem sofrer no seu dia-a-dia . Outros materiais como mouse-pad contendo o cdigo de conduta em sua face, brindes, banners e cartazes foram confeccionados para serem distribudos durante a campanha 1 como uma forma de apoio e market. (Anexo V)

3.8. EXECUO DA CAMPANHA 1

A campanha foi realizada conforme determinado na linha de base, ou seja, na 8 semana do ano de 21 a 25 de fevereiro. A empresa possua no ms da campanha o nmero de 600 usurios de sistemas, sendo assim os treinamentos foram ministrados em dois locais distintos, onde em cada local era ministrado 3 treinamentos dirios com turmas em torno de 20 usurios. Foi determinado que o treinamento teria uma durao mxima de 2 horas, para que no se tornasse enfadonho e cansativo. Cartazes com dicas de segurana foram afixados em todos os quadros de aviso da fbrica, e colocado em cada estao de trabalho um mouse-pad ergonmico contendo o cdigo de conduta.

31

3.9. AVALIAO DA CAMPANHA

A avaliao da campanha foi feita de acordo mencionada na fase de definio dos fatores de sucesso da campanha. Sendo eles: Incidncia de vrus O fato do nmero de vrus ter aumentado no ms seguinte a Campanha 1, teoricamente pode ser atribudo ao fato da conscientizao dos usurios de passarem o anti-vrus freqentemente na sua estao de trabalho e no aumentou mais devido o usurio estar mais atento quanto ao uso de arquivos externos. Sendo assim diversos arquivos que estavam infectados, porm sem serem utilizados, foram detectados na varredura do anti-vrus. Essa teoria tem fundamento se verificarmos que o nmero de vrus detectado nos meses seguintes diminuiu em 63,82% e 74,46% respectivamente em relao ms anterior a Campanha 1.
Incidncia de Vrus
350 300 N de Incidentes 250 200 150 100 50 0 MAI 31 39 JUL 33 AGO SET OUT NOV DEZ JAN FEV 166 238 303 320 323

235

16 JUN

Figura 3.5 Incidentes de vrus antes da Campanha 1

32

Incidncia de Vrus
350 300 N de Incidentes 250 200 150 100 50 0 31 39 33 166 85 16 238 303 320 323

235 236

60

JU N

JA N FE V M AR AB R

O U

N O

D EZ

JU

SE

Figura 3.6 Incidentes de vrus depois da Campanha 1 Link Internet Ao fazer uma anlise do trfego do link de Internet atravs da ferramenta MRTG (Anexo III) pode-se constatar uma reduo de 60 % do trfego de sada. Em uma anlise mais detalhada pela equipe de informtica foi constatado que o grande trfego de sada era gerado pelos programas P2P10 e outras formas de downloads. Este fator tambm determinante na reduo dos incidentes de vrus, relativamente grande o risco de entrada de arquivos contendo vrus atravs de mquinas externas.

P2P ou Peer-to-Peer uma tecnologia que possibilita a distribuio de ficheiros (arquivos) em rede e que tem como caracterstica permitir o acesso de qualquer usurio dessa rede a um n, ou a outro usurio (peer) de forma direta, possibilitando a partilha entre os utilizadores (usurios) de: ciclos de processamento das mquinas, banda de rede, espao de armazenamento entre outros recursos que em outros sistemas acabavam sendo desperdiados. Basicamente pode-se dizer que cada computador cliente e servidor ao mesmo tempo.

10

AG

AI

AI

33

ANTES TRFEGO SEMANAL

Verde Trfego de entrada em Mbps Azul Trfego de sada em Mbps

Verde Escuro Trgego de entrada mxima em 5 minutos Rosa Trfego de sada mxima em 5 minutos

Figura 3.7 Pico de trfego de sada semanal para Internet de 2 Mbps (mdia de 30 min) DEPOIS TRFEGO SEMANAL

Verde Trfego de entrada em Mbps Azul Trfego de sada em Mbps

Verde Escuro Trgego de entrada mxima em 5 minutos Rosa Trfego de sada mxima em 5 minutos

Figura 3.8 Pico de trfego de sada semanal para Internet de 700 Kbps (mdia de 30 min)

34

ANTES TRFEGO DIRIO

Verde Trfego de entrada em Mbps Azul Trfego de sada em Mbps

Verde Escuro Trgego de entrada mxima em 5 minutos Rosa Trfego de sada mxima em 5 minutos

Figura 3.9 Pico de trfego de sada dirio para Internet de 2 Mbps (mdia 30 min) DEPOIS - TRFEGO DIRIO

Verde Trfego de entrada em Mbps Azul Trfego de sada em Mbps

Verde Escuro Trgego de entrada mxima em 5 minutos Rosa Trfego de sada mxima em 5 minutos

Figura 3.10 Pico de trfego de sada dirio para Internet de 800 Kbps (mdia de 30 min) Avaliao do treinamento (Anexo VI) Foram preenchidas 161 avaliaes do treinamento, onde tal avaliao foi medida em torno de 4 variveis: Satisfao Apresentou uma mdia de 8.71 de aprovao. Jogo do quebra-cabea Apresentou uma mdia de 8.73 de aprovao. Sensibilidade quanto ao assunto Apresentou uma mdia de 9.04 de aprovao. Contedo do treinamento Apresentou uma mdia de 8.96 de aprovao. Em todas as variveis houve uma mdia de aprovao superior a 8.7, superando ento as expectativas do comit de segurana. A varivel mais importante foi 35

sensibilidade do usurio quanto ao assunto do treinamento. O usurio passa a ser um agente da segurana, afinal ele sabe que suas atitudes podem influenciar diretamente no negcio da empresa.

100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% SATISFAAO JOGO SENSIBILIDADE CONTEDO NOTA 10 NOTA 9 NOTA 8 NOTA 7 NOTA 6 NOTA 5 NOTA 4

Figura 3.11 Resultado do questionrio de avaliao do treinamento

3.10. CONTINUIDADE DO PROGRAMA

Segundo Workshop (2004) algumas empresas argumentam que a maioria dos treinamentos tem um efeito muito curto. Durante o evento os participantes mostram-se motivados, querem mudar seu procedimento e tudo parece maravilhoso. Aps alguns dias, os participantes j no se recordam de todo contedo. Em 60 dias, menos de 15% ficaram retidos e muito menos esto sendo aplicados. Para que o programa surta os efeitos desejados, necessria uma constante reciclagem do contedo programtico e continuidade dos trabalhos. As Campanhas 2 e 3 citadas na fase de identificao das prioridades que daro continuidade ao trabalho de conscientizao dos usurios da NNPFB.

36

CAPTULO IV CONCLUSO
A Segurana da Informao est tornando-se um fator prioritrio na tomada de decises e nos investimentos em tecnologia da informao das empresas e organizaes em geral. Isso pode ser notado pelas informaes publicadas pela Mdulo Security na sua 9 Pesquisa Anual da Modulo (2004), que indicam uma forte preocupao em relao a segurana da informao dentro das organizaes. Parece inevitvel que essa busca pela segurana avance para fora dos limites das organizaes, que passaro a obrigar seus parceiros comerciais a se enquadrarem nos aspectos de segurana da informao, confirmado por Smola (2003), quando diz que: A preocupao com a segurana da informao transcender o aspecto tecnolgico e os limites fsicos e lgicos da empresa, indo buscar - e, posteriormente, cobrar - a mesma sintonia e conformidade com os demais parceiros da cadeia produtiva. Smola (2003) Alm disso, no se pode deixar de lembrar, a dependncia da informao, cada vez maior, faz com que incidentes de segurana possam comprometer cada vez mais a capacidade produtiva das empresas, aumentado a percepo dos riscos pela falta de cuidados com estes aspectos. A forma abordada por este trabalho atravs da metodologia proposta pela European Security Frum (2003), obteve um excelente resultado, conforme os resultados analisados na avaliao da campanha 1. De uma forma indireta, buscando trabalhar o comportamento dos usurios dos sistemas, visto que uma das maiores falhas de segurana nas organizaes est o fator humano, conseguiu-se resultados ligados diretamente a segurana. Apesar da empresa NNPFB possuir diversas tecnologias como suporte a segurana da informao, havia problemas como a disponibilidade dos sistemas, e ao se trabalhar o comportamento das pessoas esse problema foi praticamente resolvido.

37

De acordo a avaliao da campanha pode-se constatar que uma campanha bem trabalhada, seguindo todas as etapas necessrias, e o principal, tendo o apoio da administrao da empresa, possvel reduzir os riscos a segurana da informao da organizao. Mas importante ressaltar a necessidade de se ter uma continuidade da campanha ou todo o trabalho pode cair no esquecimento, e as falhas a segurana retornarem.

38

REFERNCIAS BIBLIOGRFICAS
BARBULHO, Euclydes. A caminho do sucesso, dezembro 1998.

http://www.gestaoerh.com.br/visitante/artigos/trde_002.php. (31/01/2005). CARDOSO, Adelaide Vale Pires. <mrap@novonordisk.com>, como abordar a campanha. Mesagem pessoal. 30/01/2005. CARUSO, C.A.A.; STEFFEN, F.D. Segurana em Informtica e de Informaes. 2 edio, So Paulo: Editora SENAC, 1999. GIRLANI, Silvia. Todos a postos. 1 Edio, So Paulo: Editora SECURITY REVIEW, 2005. HAICAL. As mudanas no cotidiano das empresas e dos gestores, janeiro 2004. http://www.modulo.com.br/index.jsp. (05/04/2005). HEIDE, A; STILBORNE, L. Guia do professor para a Internet. Porto Alegre, Editora Artmed, 2000, Captulo 1, p 21-41. INFORMATIO SECURITY FORUM. ISF Report Library. United Kingdom, 1993. http://www.securityforum.org/html/frameset.htm. (12/12/2004). KAHN, David. Histria da criptologia Histria antiga, fevereiro 2004.

http://www.numaboa.com.br/criptologia/historia/antiga.php. (16/02/2005) LOSSCONTROL. A informao e sua importncia, outubro 2003.

http://www.losscontrol.com.br/seguranca.htm. (20/02/2005). MCLUHAN, Marshall. Os Meios de Comunicao como Extenses do Homem. So Paulo: Editora Cultrix, 1995.

39

MIRANDA, Marcio. Nossos seminrios esto em sintonia com o pensamento dos dirigentes modernos, agosto 2004. http://www.workshop.com.br/paginas/cursemina.htm. (05/04/2005) MODULO, Security Solutions, 6 pesquisa nacional sobre segurana da informao, junho 2000. http://www.modulo.com.br/index.jsp. (02/01/2005). MODULO, Security Solutions. 9 pesquisa nacional de segurana da informao, janeiro 2004. http://www.modulo.com.br/pdf/nona_pesquisa_modulo.pdf. (02/01/2005). MUNDOENLINEA. El 94% de las empresas que pierden sus datos desaparece, maro 2005. http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35. (03/04/2005). NEITZEL, Luiz Carlos. Evoluo dos meios de comunicao. In Dissertao de mestrado, UFSC: 2001:17. SEMOLA, M. Gesto da Segurana da Informao - Uma viso executiva. Rio de Janeiro: Editora Campus, 2003. WADLOW, T. Segurana de Redes - Projeto e gerenciamento de redes seguras. Rio de Janeiro: Editora Campus, 2000. 17799, N. I. Tecnologia da informao - Cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro, 2001. (Tech. report, NBR ISO/IEC 17799:2001).

40

ANEXO I

E-mail de alerta de vrus

vi

ANEXO II CDIGO DE CONDUTA DE TI DA NOVO NORDISK

OBJETIVO
O objetivo deste cdigo assegurar que os sistemas de TI da NOVO NORDISK sejam usados com cuidado e para as atividades relacionadas a NOVO NORDISK. O uso particular aceitvel somente em grau limitado e no inclui fornecimento de servios de nenhuma outra entidade comercial ou atividades no relacionadas a NOVO NORDISK.

APLICAO
Este cdigo de conduta se aplica a todos os empregados da NOVO NORDISK que usam os sistemas de TI dessa empresa, com o qual concordam e cujas normas devero observar, incluindo as pessoas que no pertencem ao quadro de funcionrios (consultores, estagirios, etc).

RESTRIES
No permitido o uso dos sistemas de TI da NOVO NORDISK de forma que venha a: Prejudicar o nome da NOVO NORDISK. Afetar o acesso aos sistemas de TI da NOVO NORDISK ou confidencialidade ou integridade dos dados da NOVO NORDISK. Usar indevidamente softwares sob proteo de licena ou informaes protegidas por direitos autorais de cpia. Causar danos infra-estrutura de TI da NOVO NORDISK Causar inconvenincia aos funcionrios, colaboradores ou clientes da Novo Nordisk. vii

O uso de arquivos de msica, vdeo, ou transmisso de rdio ou TV protegidos por direitos autorais, s permitido quando ligado as atividades da NOVO NORDISK e respeitando os direitos autorais. vedado visitar sites com contedos ilcitos ou censurveis, distribuir arquivos de msica e vdeo, material pornogrfico e racista, jogos de pirmide, correntes de mensagens, etc. atravs dos equipamentos de TI da NOVO NORDISK.

E-MAIL
O sistema de e-mail da Novo Nordisk destinado aos negcios da NOVO NORDISK, entretanto, o uso privado permitido em grau limitado. O uso particular do sistema de e-mail deve ser expressamente indicado no campo assunto da mensagem. Para minimizar o risco de ataques de vrus, hackers, etc. no permitido usar ou conectar a nenhum e-mail externo como Hotmail, IG, etc. atravs dos sistemas de TI da NOVO NORDISK. Correspondncias e outros meios de comunicao informatizados da NOVO NORDISK so considerados, na extenso permitida pela lei, de propriedade da empresa. Portanto, a NOVO NORDISK pode descart-los como a qualquer outro tipo de correspondncia enviada da e para a empresa. Qualquer correspondncia enviada dos e para os locais de trabalho da empresa poder ser transcrita e gerar aes judiciais que envolvam a NOVO NORDISK.

MONITORAMENTO
A NOVO NORDISK reserva-se no direito de efetuar, na extenso permitida por lei, contnuo monitoramento para que o uso dos sistemas de TI ocorra adequadamente. A NOVO NORDISK somente tem acesso correspondncias particulares como parte de um monitoramento geral das operaes. O monitoramento tambm possibilitar NOVO NORDISK identificar funcionrios responsveis, em caso provado de violao do cdigo de conduta de TI.

viii

VIOLAES
O uso inadequado dos sistemas de TI da NOVO NORDISK ou violao desse cdigo poder resultar em advertncia verbal ou escrita e suspenso, dependendo da intensidade do dano ou, em casos graves, demisso do emprego e/ou resciso dos contratos de estgio ou de consultoria.

Aplicvel a todos os grupos de funcionrios

ix

ANEXO III

DETALHES
O MRTG consiste em um script em Perl que usa SNMP para ler os contadores de trfego de seus roteadores e um rpido programa em C que loga os dados do trfego e cria grficos representando o trfego da conexo de rede monitorada. Estes grficos so includos em pginas web que podem ser visualizadas de qualquer browser. Somadas a detalhada viso diria o MRTG tambm cria representaes visuais do trfego durante os ltimos 7 dias, das ltimas 4 semanas e dos ltimos 12 meses. Isto possvel porque o MRTG mantm um log de todos os dados que ele conseguiu do roteador. Este log automaticamente consolidado, e com isso ele no cresce com o tempo, mas ainda contm todos os dados relevantes de todo o trfego dos ltimos 2 anos. Isto tudo realizado de uma maneira muito eficiente. Ento voc pode monitorar mais de 200 links de rede de qualquer estao UNIX decente. O MRTG no se limita a monitorar somente trfego, possvel monitorar qualquer varivel SNMP que voc escolher. Voc pode at usar um programa externo para pegar os dados que voc deve monitorar via MRTG. As pessoas usam o MRTG, para monitorar coisas como Carga do Sistema, Sesses Logadas, Disponibilidade de Modens e muito mais. O MRTG ainda permite a voc acumular 2 ou mais fontes de dados em um nico grfico. Fonte: http://people.ee.ethz.ch/~oetiker/webtools/mrtg/mrtg.html

ANEXO IV
QUESTIONRIO DO JOGO DAS RESPONSABILIDADES
1. Qual das responsabilidades abaixo uma responsabilidade do usurio? a. Revisar os privilgios de usurios pelo menos uma vez ao ano b. Aprovar o Cdigo de Conduta c. Solicitar ao gerente do sistema que reveja os privilgios de acesso dos usurios d. Ativar a proteo de tela protegida por senha sempre que deixar o computador ligado 2. Marque a afirmativa errada a. O superintendente de operaes e os gerentes de negcios do site MOC so responsveis pela conscientizao nesse procedimento b. Uma das responsabilidades dos gerentes de MOC garantir que os investimentos ou aquisio de hardware e software estejam de acordo com os padres GISP/GTC c. Todas as empresas de prestao de servio podem acessar os sistemas da Novo Nordisk to logo desejarem. No haver nenhuma implicao de segurana porque elas fazem parte da famlia Novo Nordisk d. Sistemas de controle de acesso devem proteger os sistemas e plataformas de acessos no-autorizados 3. Marque V (Verdadeiro) ou F (Falso) ( ) Cpias de backup das informaes digitais devem ser feitas regularmente. Elas devem ser devidamente protegidas como, por exemplo, armazenadas em um local seguro. A validade (usabilidade) das cpias de backup deve ser verificada regularmente ( ) Os incidentes de segurana devem ser sempre escalados Superintendncia de Operaes

xi

) Os usurios, o proprietrio da plataforma e o gerente da plataforma so

responsveis pela proteo atualizada contra vrus nos computadores A seqncia correta : a. FVF b. VFV c. VVV d. VFF 4. Marque a afirmativa correta a. A senhas no devem ser compartilhadas. Em casos excepcionais quando ela deva ser compartilhada, deve ser aprovado pela superintendncia que se torna responsvel por esse compartilhamento de senha. b. As senhas devem ter um tamanho menor que 6 caracteres usando tanto caracteres alfabticos quanto numricos. c. A conta individual do usurio tem que ser pessoal e consistir de uma nica identificao e de uma senha secreta. A identificao de usurio e sua senha podem ser reutilizadas. d. responsabilidade exclusiva do departamento de informtica minimizar o risco de infeco por cdigos maliciosos como worms, backdoors ou cavalos-de-tria.

xii

ANEXO V
JOGO QUEBRA-CABEA

MOUSE-PAD, BRINDES E CONVITE PERSONALIZADO

xiii

ANEXO VI
QUESTIONRIO DE AVALIAAO DO TREINAMENTO

14