Você está na página 1de 83

Outros trabalhos em:

www.ProjetodeRedes.com.br

UNIVERSIDADE TIRADENTES

LUCIANO ALVES LUNGUINHO SANTOS

O IMPACTO DA ENGENHARIA SOCIAL NA


SEGURANA DA INFORMAO

Aracaju
2004
m.br/pdfFactory

LUCIANO ALVES LUNGUINHO SANTOS

O IMPACTO DA ENGENHARIA SOCIAL NA


SEGURANA DA INFORMAO

Monografia apresentada
UniversidadeTiradentes,
como
pr-requisito
de
concluso do curso de PsGraduao em redes de
computadores.

MARIO VASCONCELOS

Aracaju
2004

LUCIANO ALVES LUNGUINHO SANTOS

O IMPACTO DA ENGENHARIA SOCIAL NA SEGURANA DA


INFORMAO

Monografia
apresentada

Universidade Tiradentes, como prrequisito de concluso do curso de


Ps-Graduao
em
redes
de
computadores.
APROVADA EM :___/___/____
BANCA EXAMINADORA

______________________________
Orientador(a)
UNIT

______________________________
Examinador(a)
UNIT

______________________________
Examinador(a)
UNIT

minha esposa, por seu auxlio


e pacincia e aos meus filhos,
simplesmente por existirem e,
atravs de seus sorrisos,
contriburem
para
meu
crescimento.

AGRADECIMENTOS

Para a concluso deste trabalho foi fundamental a colaborao de:

Minha filha Jssica cuidando de seu irmo Gustavo para que eu pudesse
estudar, da minha esposa Ivnia que me motivou em meus momentos de fraqueza,
dos gerentes de informtica e de recursos humanos das empresas que formam o
ambiente de pesquisa que, apesar de no poder citar seus nomes aqui por questes
de segurana, agradeo sua ateno e presteza, alm dos usurios que
forneceram as informaes que formam a base deste trabalho.

Professor Ronaldo Linhares, que me orientou na fase inicial de construo


deste projeto, ao professor Domingos que, na matria de segurana em redes,
abordou com competncia a norma NBR ISSO 17799 e os demais assuntos que
esto contidos neste trabalho, dos professores Exson, Hugo, Marco Simes e Othon
que contriburam excelentemente com o meu aprendizado e, conseqentemente,
com o meu desenvolvimento profissional e do professor Mrio Vasconcelos que
ampliou a minha viso deste trabalho ao mesmo tempo em que me motivou durante
todo o processo de desenvolvimento do mesmo, sempre com ateno e simpatia.

Agradeo a todos que contriburam direta ou indiretamente durante todo o


projeto, desde as aulas iniciais do curso at as ltimas linhas desta monografia.

"Mentes grandes discutem idias; mentes medianas


discutem eventos; mentes pequenas discutem
pessoas".
Blaise Pascal
fsico, matemtico e filsofo
FRA, 1623-1662....

RESUMO

O principal objetivo deste trabalho criar uma metodologia para diagnosticar


a conscincia dos usurios quanto ao risco de ataques de engenharia social no
ambiente corporativo e saber qual o nvel de conscientizao de seus colaboradores
quanto a confidencialidade, integridade e disponibilidade da informao. Para isso
dividimos o trabalho em basicamente trs etapas: A pesquisa, a tabulao e anlise
dos dados

e a proposta de solues.

Antes de abordarmos a metodologia,

iniciamos com um nivelamento de conceitos, definindo o que vem a ser informao e


engenharia social, como ela funciona e qual o papel do usurio na segurana da
informao.

Visando uma abordagem sistmica, a pesquisa foi feita com os

usurios, com o setor de recursos humanos e com a rea responsvel pela


tecnologia da informao, com questionrios criados para abordar os principais
pontos da engenharia social como por exemplo a confidencialidade de senhas.
Aplicamos os questionrios em empresas com modelos administrativos distintos,
sendo uma da administrao pblica e a outra, uma empresa privada. Aps a
tabulao dos dados, analisamos os principais pontos, cruzando respostas dos trs
questionrios, analisando de acordo com o tipo da empresa, se o usurio da rea
gerencial, operacional ou um usurio temporrio, como por exemplo um
terceirizado ou um estagirio. Finalmente, utilizando como base os questionamentos
elencados na metodologia e o resultado da anlise, elaboramos uma proposta com
sugestes de implementao de controles e aes para minimizar os riscos de
ataques de engenharia social. Para isso utilizamos controles que achamos mais
relevantes no tratamento dos riscos de ataques de engenharia social existentes na

norma ISO/IEC 17799 - Cdigo de Prtica para Gesto da segurana da Informao


nas Empresas.

LISTAS

LISTAS DE FIGURAS

Fig. 1.

A empresa possui poltica de segurana da informao? .......................... 50

Fig. 2.

Os usurios conhecem as informaes vitais para a empresa?................. 52

Fig. 3.

Tabela Informaes confidenciais / vitais x comunicao interna .............. 53

Fig. 4.

Freqncia de alterao de senhas dos usurios com acesso informaes

confidenciais...................................................................................................... 55
Fig. 5.

Quantos usurios divulgam as senhas ....................................................... 55

Fig. 6.

Sistemas com usurios que divulgam/anotam suas senhas em locais de

fcil acesso........................................................................................................ 56

LISTAS DE TABELAS

Tab 1.

Quantidade de questionrios por empresa................................................. 33

Tab 2.

Distribuio dos usurios por funo Pblica .......................................... 34

Tab 3.

Distribuio dos usurios por funo - Privada .......................................... 35

Tab 4.

Usurios e Computadores .......................................................................... 36

Tab 5.

Faixa Etria ................................................................................................ 36

Tab 6.

Sexo ........................................................................................................... 36

Tab 7.

Funo........................................................................................................ 37

Tab 8.

Tempo de empresa..................................................................................... 37

Tab 9.

Possui outro emprego................................................................................. 37

Tab 10.

Senha aberta .......................................................................................... 37

Tab 11.

Senha de terceiros.................................................................................. 38

Tab 12.

Anota Senha ........................................................................................... 38

Tab 13.

Cede em caso de trabalhos rpidos ....................................................... 38

Tab 14.

Freqncia de alterao de senhas........................................................ 38

Tab 15.

Informaes por telefone ........................................................................ 39

Tab 16.

Outras respostas - Informaes por telefone.......................................... 39

Tab 17.

Poltica de comunicao interna ............................................................. 39

Tab 18.

Classificao de informaes ................................................................. 40

Tab 19.

Comunicao Externa............................................................................. 40

Tab 20.

Divulgao de informaes..................................................................... 40

Tab 21.

Informaes vitais................................................................................... 40

Tab 22.

Poltica de segurana da informao...................................................... 40

Tab 23.

Papel na mesa ........................................................................................ 41

Tab 24.

Poltica de mesa limpa............................................................................ 41

Tab 25.

Bloqueio de estaes de trabalho........................................................... 41

Tab 26.

informaes confidenciais....................................................................... 41

Tab 27.

Conscincia da importncia da informao ............................................ 41

Tab 28.

Acesso informao por pessoas externas ........................................... 42

Tab 29.

Acesso por tipo de informao................................................................ 42

Tab 30.

Sistemas utilizados ................................................................................. 42

Tab 31.

Novos contratados - RH.......................................................................... 43

Tab 32.

Termo de confidencialidade - RH............................................................ 43

Tab 33.

Orienta utilizao de e-mail, Internet ou telefone - RH ................................. 43

www.divertire.com.br/pdfFactory

Tab 34.

Orienta utilizao de e-mail, Internet ou telefone /outros - RH ..................... 43

Tab 35.

Checa currculos- RH.............................................................................. 43

Tab 36.

Checa currculos/outros - RH.................................................................. 44

Tab 37.

Recm contratados - RH ........................................................................ 44

Tab 38.

Recm contratados/Outros RH ............................................................ 44

Tab 39.

Funcionrios Transferidos - RH .............................................................. 44

Tab 40.

Recm contratados - RH ........................................................................ 44

Tab 41.

Demitidos - RH........................................................................................ 44

Tab 42.

Demitidos/Outros - RH............................................................................ 45

Tab 43.

Acesso fsico dos Demitidos - RH........................................................... 45

Tab 44.

Acesso fsico dos Demitidos/Outros - RH ............................................... 45

Tab 45.

Poltica de segurana aos terceiros - RH................................................ 45

Tab 46.

Termos de responsabilidade aos terceiros - RH .................................... 45

Tab 47.

Terceiros recm contratados- RH ........................................................... 46

Tab 48.

Observaes - RH .................................................................................. 46

Tab 49.

Funcionrios novos TI.......................................................................... 46

Tab 50.

Funcionrios Transferidos TI ............................................................... 46

Tab 51.

Demisso de Funcionrios TI .............................................................. 46

Tab 52.

Poltica de senhas TI ........................................................................... 47

Tab 53.

Expirao de senhas da rede TI ........................................................... 47

Tab 54.

Poltica de senhas dos demais sistemas TI ......................................... 47

Tab 55.

Senhas compartilhadas TI ................................................................... 47

Tab 56.

Identificao de terceiros TI................................................................. 47

Tab 57.

Controle de Atendimento de terceiros TI ............................................. 48

Tab 58.

Poltica de Segurana TI...................................................................... 48

Tab 59.

Restries de Acesso TI ...................................................................... 48

Tab 60.

Quais restries de acesso TI.............................................................. 48

Tab 61.

Proteo de Equipamentos TI.............................................................. 48

Tab 62.

Descarte d Mdias removveis TI.......................................................... 48

Tab 63.

Criptografia TI ...................................................................................... 49

Tab 64.

Antivrus corporativo TI ........................................................................ 49

Tab 65.

Senha para computao mvel TI ....................................................... 49

Tab 66.

Orientaes aos usurios de computao mvel TI ............................ 49

Tab 67.

Acesso remoto TI................................................................................. 49

Tab 68.

Controles para acesso remoto TI......................................................... 49

SUMRIO
RESUMO .......................................................................................................... 7
1. INTRODUO .......................................................................................... 16
1.1. JUSTIFICATIVA ................................................................................... 19
1.2. OBJETIVOS ......................................................................................... 20
1.2.1. OBJETIVO GERAL ....................................................................... 20
1.2.2. OBJETIVOS ESPECFICOS......................................................... 20
2. ENGENHARIA SOCIAL ............................................................................ 21
2.1. CONCEITO DE INFORMAO ........................................................... 21
2.2. DEFINIO DE ENGENHARIA SOCIAL ............................................. 22
2.3. COMO FUNCIONA A ENGENHARIA SOCIAL .................................... 24
2.4. A SEGURANA E O USURIO........................................................... 26
2.5. EXEMPLOS DE ATAQUES ................................................................. 26
3. METODOLOGIA ....................................................................................... 28
4. ESTUDO DE CASO .................................................................................. 33
4.1. CARACTERIZAO DAS INSTITUIES ESTUDADAS ................... 33
4.1.1. APLICAO DOS QUESTIONRIOS .......................................... 33
4.1.2. EMPRESA PBLICA .................................................................... 34
4.1.3. EMPRESA PRIVADA.................................................................... 35
4.2. PESQUISA APLICADA ........................................................................ 36
4.2.1. TABULAO DO QUESTIONRIO DOS USURIOS ................. 36
4.2.2. SOBRE O FUNCIONRIO............................................................ 36
4.2.3. SOBRE SENHAS.......................................................................... 37
4.2.4. SOBRE DIVULGAO DE INFORMAES ............................... 39
4.2.5. SOBRE A EMPRESA ................................................................... 39

4.2.6. SOBRE ACESSO INFORMAO ............................................. 41


4.2.7. SOBRE OS SISTEMAS UTILIZADOS .......................................... 42
4.3. TABULAO DO QUESTIONRIO DO RH ........................................ 43
4.3.1. SOBRE A CONTRATAO DE FUNCIONRIOS ....................... 43
4.3.2. SOBRE A DEMISSO DE FUNCIONRIOS................................ 44
4.3.3. SOBRE A CONTRATAO DE TERCEIROS.............................. 45
4.4. TABULAO DO QUESTIONRIO DA TI .......................................... 46
4.4.1. SOBRE A CONTRATAO/DEMISSO DE FUNCIONRIOS ... 46
4.4.2. SOBRE SENHAS.......................................................................... 47
4.4.3. SOBRE TERCEIROS/PRESTADORES DE SERVIO ................ 47
4.4.4. SOBRE SEGURANA DA INFORMAO................................... 48
4.4.5. SOBRE COMPUTAO MVEL E TRABALHO REMOTO ......... 49
4.5. ANLISE DA PESQUISA..................................................................... 50
4.5.1. SOBRE POLTICA DE SEGURANA DA INFORMAO ........... 50
4.5.2. SOBRE INFORMAES VITAIS/CONFIDENCIAIS .................... 51
4.5.3. SOBRE TERMO DE RESPONSABILIDADE ................................ 53
4.5.4. SOBRE SENHAS......................................................................... 54
4.5.5. SOBRE ACESSO S INFORMAES ....................................... 57
4.5.6. COMPUTAO MVEL E ACESSO REMOTO........................... 58
4.5.7. PROCESSOS DO RH................................................................... 58
4.5.8. PROCESSOS DA TI ..................................................................... 59
4.6. SOLUES PROPOSTAS .................................................................. 61
4.6.1. CONTROLES SUGERIDOS ......................................................... 61
4.6.2. IMPLANTAO DE UMA POLTICA DE SEGURANA............... 62
4.6.3. NA ADMISSO E DEMISSO DE FUNCIONRIOS ................... 62

4.6.4. POLTICA DE SENHAS FORTES ................................................ 63


4.6.5. TREINAMENTO DOS USURIOS ............................................... 64
4.6.6. CONTROLE NO ACESSO DE TERCEIROS ................................ 65
4.6.7. RESTRIES DE ACESSO A E-MAIL E INTERNET .................. 65
4.6.8. SEGURANA FSICA AOS EQUIPAMENTOS VITAIS ................ 66
4.6.9. DESCARTE DE MDIAS REMOVVEIS ........................................ 66
4.6.10. CRIPTOGRAFIA ....................................................................... 67
4.6.11. COMPUTAO MVEL E ACESSO REMOTO ....................... 67
4.6.12. CONTROLES GERAIS ............................................................. 68
4.6.13. FRUM DE SEGURANA ....................................................... 69
5. CONCLUSO ........................................................................................... 70
6. ANEXOS ................................................................................................... 72
6.1. ANEXO I QUESTIONRIO APLICADO AOS USURIOS ................ 72
6.2. ANEXO-II QUESTIONRIO APLICADO AO RH.................................. 74
6.3. ANEXO-III QUESTIONRIO APLICADO INFORMTICA ................ 76
6.4. ANEXO III CRONOGRAMA .............................................................. 79
7. GLOSSRIO ............................................................................................. 80
8. REFERENCIAS BIBLIOGRFICAS ......................................................... 82

16

1. INTRODUO

Homo homini lupus:

O homem o lobo do homem. Das palavras do

dramaturgo Plauto, resgatadas pelos filsofos Francis Bacon e Thomas


Hobbes, temos o mote para uma das maiores preocupaes em termos de
segurana: como prevenir as pessoas contra as prprias pessoas. [7]

Os fatores humanos sempre ficam, naturalmente, em segundo plano,


quando existem diversos aparatos tecnolgicos de ltima gerao para garantir a
segurana. Porm, deixar as pessoas desinformadas sobre as questes de
segurana pode expor uma organizao a riscos desnecessrios, uma vez que os
invasores utilizam a habilidade de enganar os usurios, alinhada inclinao
natural das pessoas de confiar uma nas outras e de querer ajudar, para persuadi-las
a abrir-lhes a porta de entrada, quebrando a segurana da informao atravs da
explorao de falhas ou, pior ainda, do prprio nome e senha do usurio.

Por
comportamento

sermos
natural

humanos,
em

seres

situaes

imperfeitos,
de

riscos,

modificamos
fazendo

com

nosso
que,

inconscientemente, tomemos decises baseados em confiana e no grau de


criticidade da situao, permitindo assim que o engenheiro social possa explorar de
maneira eficaz nossas falhas para burlar a segurana da informao.[7]

Um dos principais problemas que a segurana da informao deve tratar


a segurana em pessoas. A cooperao dos usurios essencial para a eficcia
da segurana. Eles exercem um forte impacto sobre a confidencialidade, a

17

integridade e a disponibilidade da informao, pois, por exemplo, o usurio que no


mantiver a confidencialidade da senha, no evitar o registro da mesma em papis
que no esto guardados em locais seguros, no utilizar senhas de qualidade ou
ainda que compartilha senhas individuais, compromete a segurana da informao.

Chamamos de Engenharia social a habilidade de enganar um ou mais


usurios para quebrar a segurana da informao. Ela um perigo real e sutil e
fundamental que as organizaes assegurem-se que seus usurios sejam atuantes
defensores da sua informao e que no sejam facilmente ludibriados por pessoas
mal intencionadas e no autorizadas, abrindo assim o caminho para o acesso a
informao. Por esses e outros motivos, antes de qualquer coisa, todos os usurios
devem saber o que a informao para sua empresa, qual a sua importncia e por
que a segurana da informao fundamental.

A segurana da informao pode ser caracterizada pela preservao de


trs fatores [14]:

Confidencialidade: Garantia de que a informao acessvel


somente por pessoas autorizadas a terem acesso;

Integridade: Exatido, completeza da informao e dos mtodos de


processamento;

Disponibilidade: Garantia de que os usurios autorizados obtenham


acesso informao e aos ativos correspondentes sempre que
necessrio.

18

A informao de uma empresa o seu principal patrimnio. O cdigo de


prtica para a gesto da segurana da informao diz que:

A informao um ativo que, como qualquer outro, importante para os


negcios, tem um valor para a organizao. A segurana da informao
protege a informao de diversos tipos de ameaas para garantir a
continuidade dos negcios, minimizar os danos ao negcio e maximizar o
retorno dos investimentos e as oportunidades de negcios.
(NBR ISO/IEC 17799:2001, pg. 2).

Este trabalho visa avaliar a conscincia que os usurios possuem sobre a


segurana da informao, sugerindo aes para evitar problemas com a engenharia
social e orientar a implementao de controles de segurana em pessoas no
ambiente estudado.

19

1.1. JUSTIFICATIVA

A informao de uma empresa o seu principal patrimnio, fundamental


para o seu funcionamento, garantindo a competitividade no mercado. Por conta
disso, concorrentes, utilizando-se da engenharia social, podem vir a obter
informaes confidenciais sobre a estratgia, metas e planejamento.

Com base nisso propomos s empresas que tenham o interesse de


avaliar a segurana da informao, no que diz respeito engenharia social, seguir a
metodologia utilizada aqui como base para implementao de controles que
minimizem as falhas no acesso informao, aumentando a segurana nas pessoas
e conscientizando seus usurios da importncia da informao da empresa,
tornando-os um agente da segurana da informao, cumprindo o seu papel e
suas obrigaes de, por exemplo, manter a sua senha segura.

A sociedade que possuir pessoas que tenham o devido cuidado com a


informao ser uma sociedade mais segura, pois ser muito mais difcil utilizar a
engenharia social para conseguir burlar a segurana da informao, seja ela de uma
empresa, da conta bancria de um usurio ou de um projeto comunitrio importante,
evitando assim golpes que venham a lesar algum desta comunidade.

Este projeto tem o intuito de, baseando-se em um estudo de caso real,


criar uma orientao dos passos para tratar o problema da engenharia social,
prevenindo que pessoas no autorizadas utilizem os usurios desinformados e
desatentos para conseguir acesso a informaes importantes.

20

1.2. OBJETIVOS

1.2.1.

OBJETIVO GERAL

Desenvolver um procedimento que nos permita, atravs da aplicao


de questionrios, conhecer as falhas que podem ser utilizadas pela
engenharia social para quebrar a segurana da informao em instituies
com caractersticas diferentes, propondo solues para estas falhas.

1.2.2.

OBJETIVOS ESPECFICOS

Avaliar a conscincia dos usurios sobre a importncia da informao


que eles tm acesso e sobre o problema da engenharia social, atravs de
pesquisa aplicada ;

Propor melhorias nos processos que envolvem o RH e a engenharia


social;

Sugerir a implementao de controles e aes para minimizar os riscos


de ataque de engenharia social;

Servir como modelo na preveno do problema de engenharia social,


desenvolvendo um procedimento para avaliao da conscincia dos usurios
sobre o referido problema.

21

2. ENGENHARIA SOCIAL

Antes de entendermos como a engenharia social funciona, fundamental que


conheamos seu conceito, bem como o conceito de informao.

2.1. CONCEITO DE INFORMAO


Podemos dizer que Informao um processo que visa o conhecimento, ou,
mais simplesmente, Informao tudo o que reduz a incerteza. Um instrumento de
compreenso do mundo e da ao sobre ele" [10].

Toda informao est associada a um dado ou valor representando o suporte


lgico para a mesma. o uso que ser feito deste dado e dos conceitos a ele
relacionados, que o torna til ou no.

A informao desempenha um papel estratgico dentro das organizaes,


tornando-se uma necessidade crescente e indispensvel para qualquer setor da
atividade humana. Justamente por isso, surge a preocupao em garantir a sua
segurana e proteg-la de acessos indevidos. Sendo assim, seja qual for a forma
que a informao apresentada (impressa, escrita, falada, entre outras) faz-se
necessrio que ela seja sempre protegida adequadamente.

22

Independente do meio em que a informao circula, ela sempre destinada


a pessoas, que a priori podem e devem acessa-las. exatamente este o alvo da
engenharia social.

2.2. DEFINIO DE ENGENHARIA SOCIAL


A arte de trapacear, construir mtodos e estratgias de enganar em cima de
informaes cedidas por pessoas ou ganhar a confiana para obter informaes,
so aes antigas, oriundas dos tempos mais remotos, ganharam um novo termo:
Engenharia Social.

Engenharia por que constri, em cima de informaes, tticas de acesso a


sistemas e informaes sigilosas, de forma indevida. Social por que se utiliza de
pessoas que trabalham e vivem em grupos organizados.

Podemos dizer que a engenharia social um tipo de ataque utilizado por


hackers, onde a principal arma utilizada a habilidade de lhe dar com pessoas,
induzindo-as a fornecer informaes, executar programas e muitas vezes, fornecer
senhas de acesso.

A segurana compreende trs componentes pessoas, processos e


tecnologia , e o resultado final deve ser a preservao da confiana.
MCCARTTHY e CAMPBELL (2003, p. 44), citando MacLean, a vicepresidente snior e diretora de proteo da informao do Bank of Amrica.

A engenharia social visa explorar as pessoas no intuito de ocasionar a


perda, a indisponibilidade ou a violao da informao. Ela vai diretamente para o
elo mais fraco de qualquer sistema de segurana: pessoas. O chamado engenheiro

23

social utiliza a sua criatividade, poder de persuaso e habilidade, para envolver a


vtima em uma situao onde, muitas vezes, ela nem percebe que abriu as portas
para um invasor.

O ataque do engenheiro social pode ocorrer atravs de um bom papo,


numa mesa de bar, ao telefone ou, em casos mais sofisticados, atravs da seduo.
O sucesso deste ataque esta no fato de o usurio abordado nem seque se dar
conta do que acabou de acontecer. Ou seja, o engenheiro social, alm de obter a
informao que deseja ainda mantm as portas abertas com o seu informante.

Os alvos principais so os usurios detentores de privilgios equivalentes


aos dos chefes como, por exemplo, auxiliares e secretrios, que muitas vezes tm
acesso ao correio eletrnico, aos sistemas gerenciais e sabem at a senha utilizada
pelo seu superior.

Geralmente as pessoas so o ponto mais suscetvel em um esquema de


segurana. Um trabalhador malicioso, descuidado ou alheio poltica de
informao de uma organizao pode comprometer at a melhor
segurana. (COMMER 1988, p. 525)

A falta de conscincia das tcnicas de engenharia social utilizadas e o


excesso de autoconfiana das pessoas (por no se considerarem ingnuas e
acharem que no podem ser manipuladas) so os principais fatores que favorecem
ao sucesso da Engenharia Social.

24

2.3. COMO FUNCIONA A ENGENHARIA SOCIAL


Muitos so os meios e tcnicas para se obter acesso indevido
informao, esteja ela em formato eletrnico, em papel ou em outros formatos. A
engenharia social muito utilizada para o levantamento de informaes preliminares
que possam tornar a tentativa de invaso mais eficiente.

Um ataque de engenharia social pode ser feito atravs email, telefone,


fax, Chat e at, em ltimo caso, pessoalmente. A ingenuidade ou a confiana de um
usurio utilizada pelos engenheiros sociais para se conseguir informaes, que
muitas vezes parecem sem importncia, mas que nas mos erradas podem causar
bastante estrago.

Uma das tticas fundamentais de engenharia social obter acesso a


informaes que os funcionrios da empresa tratam como inofensivas e utiliz-las
para ganhar a confiana de outros usurios e conseguir as informaes que ele
realmente deseja.[8]

Muitos acreditam que os engenheiros sociais utilizam ataques com


mentiras elaboradas bastante complexas, porm, muitos ataques so diretos,
rpidos e muito simples, onde eles simplesmente pedem a informao desejada.
Os grupos de atacantes no se restringem a pessoas externas
empresa, pois, visto que a motivao, a habilidade e a oportunidade so essenciais
a um atacante que deseja ter acesso informao de uma empresa, (ex)
funcionrios e (ex) contratados so os mais perigosos grupos de atacantes, pois
eles so capacitados pelas empresas para dominarem as habilidades e, muitas

25

vezes eles se sentem frustrados, o que pode ser um motivo para idealizarem um
ataque. Sendo eles conhecidos e se transmitem confiana a outros funcionrios, ou
pior, se ainda fazem parte do quadro funcional da empresa, eles possuem a
oportunidade necessria para um ataque [3].

Geralmente as pessoas so o ponto mais suscetvel em um esquema de


segurana. Um trabalhador malicioso, descuidado ou alheio poltica de
informao de uma organizao pode comprometer at a melhor
segurana. (COMMER 1988, p. 525).

As tcnicas mais costumeiras, que podem ser usadas de maneira individual


ou combinadas, so: [7]

Contatos telefnicos, simulando atendimento de suporte ou uma ao


de emergncia;

Contato atravs de e-mail, atuando como estudante com interesse em


pesquisa sobre determinado assunto ou como pessoa com interesse
especfico em assunto de conhecimento da vtima;

Contato atravs de ferramentas de Instant Messaging (Yahoo


Messenger, MS Messenger, Mirabilis ICQ, etc), simulando pessoa com
afinidades com a vtima;

Obteno de informaes vazadas por parte da administrao de rede


e funcionrios em geral em listas de discusso ou comunidades
virtuais na Internet, o que motivaria tambm um contato posterior mais
estruturado;

Uso de telefone pblico, para dificultar deteco;

Varredura do lixo informtico, para obteno de informaes adicionais


para tentativas posteriores de contato;

Disfarce de equipe de manuteno;

26

Visita em pessoa, como estudante, estagirio ou pessoa com disfarce


de ingenuidade.

2.4. A SEGURANA E O USURIO


indiscutvel que todos os usurios desejam segurana, porm quando
eles tm que interagir com ela e tomar decises baseando-se em procedimentos de
segurana, a maioria acha que ela atrapalha. comum que usurios nem pensem
duas vezes para contornar os procedimentos de segurana em determinadas
situaes, como por exemplo quando se aproxima um prazo para entrega de um
trabalho importante. Eles podem desativar um firewall ou at mesmo fornecer uma
senha, pois o trabalho precisa ser feito.[12]

Os engenheiros sociais sabem que esta maneira de agir dos usurios e


exploram este comportamento criando este tipo de situao para que a segurana
seja quebrada.

2.5. EXEMPLOS DE ATAQUES


A engenharia social tambm pode ser utilizada como ttica no terrorismo
fsico. O mundo presenciou os ataques Nova York (World Trade Center) e
Washington D.C. em setembro de 2001 que imputaram tristeza e medo em nossos
coraes, aumentando temporariamente os nveis de nossa conscincia de
segurana, e nos colocando em alerta quanto ao do terrorismo no mundo.
Porm, a conscincia deste perigo deve permanecer conosco, visto, por exemplo,

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

27

que os terroristas utilizam identidades falsas, assumem os papeis de alunos e


vizinhos, misturando-se multido enquanto conspiram contra as pessoas e
escondem suas verdadeiras crenas e intenes.

Esto cada vez mais comuns notcias de tentativas de fraude utilizando


diversos meios de comunicao, onde a Internet o mais popular, sendo registrado
pelo NIC BR Security Office (NBSO), grupo brasileiro de resposta a incidentes de
segurana, 1.358 incidentes envolvendo fraudes pela Internet somente nos ltimos 6
meses [15]. Um dos principais alvos dos fraudadores o internet banking. Eles
utilizam, alm de outras tcnicas, a engenharia social para, por exemplo, tentar se
passar por funcionrios de confiana do banco, como um gerente ou o administrador
do site, ou ainda, enviam um link por e-mail que aponta para o site clonado de um
banco, na tentativa de fazer o usurio digitar seus dados, inclusive a sua senha.

Alm das fraudes, os vrus, spywares e outros malwares, utilizam a


engenharia social tentando diversos truques para persuadir as pessoas a abri-los.
Os Cavalos de Tria, por exemplo, necessitam da interveno de um usurio para
que possam atingir seus objetivos.

Alm dos ataques que utilizam

tecnologias como Internet, e-mails e

programas de Chats, muitas informaes so conseguidas em documentos


impressos, at mesmo no lixo, e em entrevistas para emprego, onde os engenheiros
sociais, por exemplo, fingem interesse em uma vaga e participam da seleo
somente para levantar informaes para um concorrente.

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

28

3. METODOLOGIA

Para entender como as empresas tratam do assunto engenharia social,


desenvolvemos um procedimento para aplicao de uma pesquisa descritiva com
questes relativas Segurana da Informao. A idia central desta pesquisa
consiste em identificar como o ambiente estudado trata suas informaes e qual o
nvel de conscientizao de seus colaboradores quanto a confidencialidade,
integridade e disponibilidade da informao.

Para tal, foram elaborados 03 (trs) instrumentais de pesquisas (vide anexos


I,II e III), sendo o Questionrio I direcionado a todos os colaboradores do escopo,
com acesso a computadores, abrangendo todos os cargos, o Questionrio II
destinado ao setor de Recursos Humanos e o Questionrio III, destinado ao setor de
Informtica.

Em todos os questionrios foram abordadas questes direcionadas a senhas,


tipos de informaes que circulam pela empresa, existncia de uma poltica de
comunicao interna e externa, poltica de segurana, dentre outras questes
relevantes para identificao dos pontos mais crticos que refletem o nvel de
conscientizao dos usurios, quanto Segurana da Informao.

O primeiro passo a pesquisa aplicada, que visa conhecer como est a


conscincia dos funcionrios. Esta pesquisa tem o intuito de levantar se os usurios
tm conscincia do valor da informao, se eles sabem quais podem ser
disseminadas e quais no podem ser discutidas fora do ambiente seguro, que o

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

29

seu grupo de trabalho, se existe uma cultura de divulgao de aes de segurana


como poltica de utilizao de senhas, de e-mails, termos de confidencialidade e
responsabilidade, entre outros.

O Questionrio do ANEXO I foi elaborado visando permitir identificar se


os usurios tm conscincia da engenharia social e de seus riscos, se suas senhas
so realmente individuais, se confiam em todas as informaes que chegam por email, se existe uma poltica de segurana conhecida na empresa, quais os sistemas
utilizados, se trabalham em outras empresas atuantes na mesma rea da empresa
pesquisada, entre outros.

Em paralelo com a pesquisa dos usurios, os processos que envolvem o


setor de recursos humanos e de tecnologia da informao com a engenharia social,
tais como de admisso e demisso, devem ser re-avaliados visando identificar
oportunidades de melhorias e a integrao dos processos de ambos os setores,
como por exemplo no caso da demisso de um funcionrio, onde o setor de TI deve
ser informado imediatamente para cancelamento de todos os acessos rede e aos
sistemas. Foi com esse intuito que os questionrios dos

ANEXO II e III foram

elaborados: Padronizar o levantamento das informaes no setor de recursos


humanos e de informtica.

Aps a tabulao dos dados, deve-se analisar a pesquisa, levantando os


pontos fortes e fracos em relao conscincia da importncia da segurana da
informao. Visando facilitar esta anlise, sugerimos caracterizar em trs grupos
identificados aqui como:

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

30

1. Gerencial: Composto pelos principais lderes da organizao. Estes


usurios detm acesso s principais informaes da empresa. So
conhecedores das estratgias utilizadas para alcanar as metas da
instituio, dos e projetos existentes e dos indicadores de desempenho
estratgicos.

2. Operacional: So os tcnicos que possuem conhecimentos especficos


dos processos de cada rea e tm acesso aos sistemas que fornecem a
informao para tomadas de deciso. Esto includos os agentes
administrativos, os oficiais administrativo, os auxiliares de Gabinete entre
outros.

3. Temporrio: So usurios prestadores de servios e estagirios que, em


sua maioria, acabam saindo da empresa com informaes importantes.
A Anlise da pesquisa deve cruzar as informaes colhidas nos trs
questionrios, buscando responder os questionamentos abaixo:

1. A empresa possui uma poltica de segurana da informao


amplamente divulgada aos seus usurios?
2. Das pessoas que acessam informaes confidenciais, quantas sabem
se a empresa possui poltica de comunicao interna?
3. Quantos usurios sabem quais as informaes vitais para a empresa,
por grupo?

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

31

4. Se os funcionrios assinam algum termo de responsabilidade e/ou de


confidencialidade sobre as informaes da empresa?
5. Das pessoas que acessam informaes confidenciais, quantas sabem
se a empresa possui responsvel pela comunicao externa e interna?
6. Das pessoas que acessam informaes confidenciais, quantas sabem
se a empresa orienta quanto a divulgao de informaes?
7. Qual a freqncia de alterao de senhas das pessoas que acessam
informaes confidenciais?
8. Quantos usurios divulgam suas senhas?
9. Quantos usurios permitem que outros utilizem suas senhas?
10. Quantos usurios anotam suas senhas em locais que podem no ser
seguros?
11. Quais sistemas tm usurios que divulgam ou anotam suas senhas?
12.Os usurios bloqueiam seus computadores ao sair e fazem a poltica
de mesa limpa?
13. O setor de RH contribui para a segurana da informao?
14. Existe restrio quanto a utilizao de e-mail, Internet e telefone?
15. Quais os principais controles utilizados pelo setor de informtica para
minimizar os riscos de acessos indevidos informao?
16. Os setores de RH e informtica trabalham integrados para garantir a
segurana da informao?
17. Existe controle de acesso aos prestadores de servio/Terceirizados?

Esses questionamentos formam a base para o dimensionamento do


impacto da engenharia social na segurana da informao, avaliando a conscincia

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

32

dos usurios sobre a importncia da informao que eles tm acesso e sobre o


problema da engenharia social.

Finalmente, elabora-se uma proposta contendo melhorias nos processos


que envolvem o RH, a Tecnologia da Informao e a engenharia social, com
sugestes de implementao de controles e aes para minimizar os riscos de
ataque de engenharia social;

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

33

4. ESTUDO DE CASO

4.1. CARACTERIZAO DAS INSTITUIES ESTUDADAS


Por questes de segurana e privacidade, os nomes das empresas, bem
como outras informaes sigilosas sero preservadas, evitando assim que estas
sejam utilizadas indevidamente em possveis ataques. As empresas sero
identificadas aqui como Pblica e Privada.

4.1.1.

APLICAO DOS QUESTIONRIOS

Ao todo foram respondidos 91 questionrios, sendo 47 da empresa


Pblica e 44 da empresa Privada, conforme quadro abaixo:

EMPRESA
PBLICA

EMPRESA
PRIVADA

QUESTIONRIO I
45
42
(Funcionrios)
QUESTIONRIO II
01
01
(Recursos humanos)
QUESTIONRIO III
01
01
(Informtica)
TOTAL
47
44
* Percentual em relao ao total de questionrios

TOTAL

% EMPRESA
PBLICA*

% EMPRESA
PRIVADA*

87

51,72 %

48,27 %

50 %

50%

50%

50%

91

48,36%

51,64 %

Tab 1. Quantidade de questionrios por empresa

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

34

4.1.2.

EMPRESA PBLICA

Trata-se de um rgo integrante da Administrao Estadual Direta, tendo


como propsito fomentar a poltica governamental para o desenvolvimento
econmico do estado de Sergipe.

Atualmente possui 67 funcionrios, incluindo estagirios e terceirizados,


dos quais foram entrevistados todos os usurios que fazem parte do escopo, num
total de 45 (quarenta e cinco), sendo que:
- 53,33% possuem mais de 40 anos;
- 31,11% no possui mais do que 1 (um) ano de trabalho na empresa;
- 28,89% trabalha nela h mais de 10 anos;
- 22,22% possui outro emprego, dos quais 8,89% na mesma rea em
que trabalha na empresa;
- 62,22% do sexo feminino;

Os usurios do escopo esto distribudos por funo, de acordo com a


figura abaixo:
Funo

Quantidade.

Gerencial

12

26,67%

Operacional

22

48,89%

Terceirizado

15,56%

Sem resposta

8,89%

TOTAL.

45

100%

Tab 2. Distribuio dos usurios por funo Pblica

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

35

4.1.3.

EMPRESA PRIVADA

Trata-se de uma instituio que tem o propsito de atuar na rea de


sade em todo estado de Sergipe, destacando-se tambm em aes para o
desenvolvimento de programas sociais.

Atualmente possui 142 funcionrios, incluindo estagirios e terceirizados,


dos quais foram entrevistados 42 (Quarenta e dois) usurios, sendo que somente
2,38% tem menos de 21 anos e 47,62% do sexo feminino, distribudos por funo,
de acordo com a tabela abaixo:

Funo

Quantidade.

Gerencial

14,29%

Operacional

24

57,14%

Terceirizado

11,90%

Sem resposta

16,67%

TOTAL.

42

100%

Tab 3. Distribuio dos usurios por funo - Privada

O escopo do projeto compreende todos os usurios de informtica da


empresa Pblica, e uma amostra de usurios da empresa Privada de maneira que
todas as reas foram abrangidas. Qualquer funcionrio deste universo que tiver
acesso rede e s informaes contidas em seus principais sistemas foi
entrevistado e faz parte deste projeto.

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

36

Atualmente as empresas estudadas possuem a seguinte estrutura:


Empresa

N de

N de

Funcionrios por

Computadores

Funcionrios

Mquina

Pblica

24

67

2,79

Privada

104

142

1,36

TOTAL

128

209

1,6

Tab 4. Usurios e Computadores

4.2. PESQUISA APLICADA


4.2.1.

TABULAO DO QUESTIONRIO DOS USURIOS

A seguir demonstramos a tabulao do questionrio aplicado a todos os


usurios de informtica do ambiente estudado, estratificado por tipo de empresa,

4.2.2.

SOBRE O FUNCIONRIO

1.Faixa etria
Faixa etria
At 20 Anos
De 21 a 30 anos
De 31 a 40 anos
Acima de 40 anos
No Respondeu
TOTAL

Publica
2,22%
22,22%
22,22%
53,33%
0,00%
100%
Tab 5. Faixa Etria

Privada
2,38%
45,24%
45,24%
7,14%
0,00%
100%

TOTAL
2,30%
33,33%
33,33%
31,03%
0,00%
100%

2.Sexo
Sexo
Publica
Privada
TOTAL
Masculino
28,89%
35,71% 32,18%
Feminino
62,22%
47,62% 55,17%
No respondeu
8,89%
16,67% 12,64%
TOTAL
100%
100%
100%
Tab 6. Sexo

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

37

3.Funo
Funo na Empresa
Gerencial
Operacional
Terceirizado
No Respondeu
TOTAL

Publica
26,67%
49%
16%
8,89%
100%
Tab 7. Funo

Privada
14,29%
57,14%
11,90%
16,67%
100%

TOTAL
20,69%
52,87%
13,79%
12,64%
100%

4.Trabalha na empresa a
Anos de Trabalho na empresa
Publica
Menos de 1 ano
31,11%
De 1 a 5 anos
22,22%
De 6 a 10 anos
6,67%
Acima de 10 Anos
28,89%
No respondeu
11,11%
TOTAL
100%
Tab 8. Tempo de empresa

Privada
28,57%
50,00%
4,76%
11,90%
4,76%
100%

TOTAL
29,89%
35,63%
5,75%
20,69%
8,05%
100%

5.Possui outro emprego?


Possui outro Emprego
Publica
Sim, na mesma rea em que trabalho na
8,89%
EMPRESA
Sim, em outra rea
13,33%
No
51,11%
No respondeu
26,67%
TOTAL
100%
Tab 9. Possui outro emprego

4.2.3.

Privada

TOTAL

0,00%

4,60%

9,52%
69,05%
21,43%
100%

11,49%
59,77%
24,14%
100%

SOBRE SENHAS

6.Algum, alm de voc, sabe a(s) sua(s) senha(s) utilizada(s) para acessar informaes da
empresa?
Algum mais sabe sua senha
Sim
No
No respondeu
TOTAL

Publica
11,11%
84,44%
4,44%
100%
Tab 10. Senha aberta

Privada
4,76%
90,48%
4,76%
100%

TOTAL
8,05%
87,36%
4,60%
100%

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

38

7.Voc utiliza a senha de algum outro funcionrio para acesso a informaes da empresa?
Sabe a senha de outro usurio
Publica
Privada
Sim
15,56%
11,90%
No
73,33%
85,71%
No respondeu
11,11%
2,38%
TOTAL
100%
100%
Tab 11. Senha de terceiros

TOTAL
13,79%
79,31%
6,90%
100%

8.Voc anota as suas senhas em algum local prximo ao computador, na agenda, ou local
similar?

Anota Senha
Publica Privada
Sim
6,67%
7,14%
No
82,22% 92,86%
No respondeu
11,11% 0,00%
TOTAL
100%
100%
Tab 12. Anota Senha

TOTAL
6,90%
87,36%
5,75%
100%

9.Voc deixa outras pessoas utilizarem sua senha para algum trabalho rpido?
Trabalho Rpido
Publica Privada TOTAL
Sim
33,33% 30,95% 32,18%
No
57,78% 66,67% 62,07%
No respondeu
8,89%
2,38%
5,75%
TOTAL
100%
100%
100%
Tab 13. Cede em caso de trabalhos rpidos

10.Com que freqncia voc altera (s) sua(s) senha(s):


Freqncia que Altera Senhas
Publica
Privada
Mensalmente
2,22%
0,00%
Trimestralmente
6,67%
2,38%
Semestralmente
4,44%
2,38%
Somente quando o sistema solicita alterao
64,44%
35,71%
Sempre utilizo a mesma senha
20,00%
59,52%
no respondeu
2,22%
0,00%
TOTAL
100%
100%
Tab 14. Freqncia de alterao de senhas

TOTAL
1,15%
4,60%
3,45%
50,57%
39,08%
1,15%
100%

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

39

4.2.4.

SOBRE DIVULGAO DE INFORMAES

11.Como voc procede para fornecer informaes, que voc tem acesso, solicitadas por
telefone ou e-mail?
Fornece informaes por telefone
Publica
No respondeu
2,22%
Forneo a informao, pois no h nada
4,44%
confidencial em minha rea
Forneo a informao, aps identificar o
33,33%
solicitante
Solicito autorizao ao meu superior para
57,78%
liberar a informao
Outros
6,67%
TOTAL
100%
Tab 15. Informaes por telefone

Privada
2,38%

TOTAL
2,30%

4,76%

4,60%

47,62%

40,23%

33,33%

45,98%

14,29%
100%

10,34%
100%

Fornece Informaes por telefone - outros


Empresa
Depende do tipo de informao solicitada
Pblica
No forneo
NO ESPECIFICOU
Minha prtica fornecer informaes por escrito
e no por telefone, autorizado pelo Gestor
S dou informaes aos gestores da empresa
Depende de quem seja o solicitante, qual
informao solicitada e se foi liberado pelo
Privada
coordenador
Forneo somente quando a informao no for
confidencial
S forneo a partir de quando ele pede somente
para confirmar os dados
Depende da informao
Tab 16. Outras respostas - Informaes por telefone

4.2.5.

SOBRE A EMPRESA

12.A Empresa possui poltica de comunicao interna?


Poltica de Comunicao Interna
Publica
Privada
Sim
64,44%
73,81%
No
24,44%
9,52%
No respondeu
11,11%
16,67%
TOTAL
100%
100%
Tab 17. Poltica de comunicao interna

TOTAL
68,97%
17,24%
13,79%
100%

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

40

13.As informaes so classificadas na Empresa (confidencial, secreta, pblica etc....)


As informaes so classificadas
Publica
Privada
Sim
37,78%
40,48%
No
42,22%
40,48%
No respondeu
20,00%
19,05%
TOTAL
100%
100%
Tab 18. Classificao de informaes

TOTAL
39,08%
41,38%
19,54%
100%

14.A Empresa possui um responsvel pela comunicao externa?


H um responsvel pela
Publica Privada
comunicao Externa
Sim
55,56% 66,67%
No
24,44% 21,43%
No respondeu
20,00% 11,90%
TOTAL
100%
100%
Tab 19. Comunicao Externa

TOTAL
60,92%
22,99%
16,09%
100%

15.A Empresa possui alguma orientao quanto divulgao de informao?


Orientado quanto divulgao de informaes
Publica
Sim
42,22%
No
37,78%
No respondeu
20,00%
TOTAL
100%
Tab 20. Divulgao de informaes

Privada
71,43%
19,05%
9,52%
100%

TOTAL
56,32%
28,74%
14,94%
100%

16.Voc sabe quais as informaes so vitais para o negcio da empresa?


Sabe quais so as informaes Vitais
Publica
para a empresa
Sim
40,00%
No
44,44%
No respondeu
15,56%
TOTAL
100%
Tab 21. Informaes vitais

Privada

TOTAL

59,52%
28,57%
11,90%
100%

49,43%
36,78%
13,79%
100%

17.A empresa possui poltica de segurana da informao?


Existe uma poltica
Publica Privada TOTAL
segurana
Sim
42,22% 40,48% 41,38%
No
42,22% 35,71% 39,08%
No respondeu
15,56% 23,81% 19,54%
TOTAL
100%
100%
100%
Tab 22. Poltica de segurana da informao

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

41

4.2.6.

SOBRE ACESSO INFORMAO

18.Neste momento existe algum papel sobre sua mesa com informaes sobre a empresa?
H papel na mesa com
Publica
Privada
informaes da empresa
Sim
46,67%
40,48%
No
44,44%
50,00%
No respondeu
8,89%
9,52%
TOTAL
100%
100%
Tab 23. Papel na mesa

TOTAL
43,68%
47,13%
9,20%
100%

19.Ao sair voc costuma deixar suas mesa limpa, sem papis?
Mesa_Limpa/Empresa Publica Privada
Sim
77,78% 69,05%
No
20,00% 30,95%
No respondeu
2,22%
0,00%
TOTAL
100%
100%
Tab 24. Poltica de mesa limpa

TOTAL
73,56%
25,29%
1,15%
100%

20.Ao sair voc costuma deixar seu computador bloqueado ou efetuar o LogOff?
Bloqueia Equipamento
Publica
Privada
TOTAL
Sim
86,67%
71,43%
No
8,89%
23,81%
No respondeu
4,44%
4,76%
TOTAL
100%
100%
Tab 25. Bloqueio de estaes de trabalho

79,31%
16,09%
4,60%
100%

21.O seu setor possui informaes consideradas confidenciais?


Setor com Informaes
Publica Privada TOTAL
Confidenciais
Sim
75,56% 71,43% 73,56%
No
22,22% 23,81% 22,99%
No respondeu
2,22%
4,76%
3,45%
TOTAL
100%
100%
100%
Tab 26. informaes confidenciais

22.Na sua opinio, todos os funcionrios do seu setor sabem a importncia das informaes da
empresa?
Sabem a Importncia das Informaes
Publica Privada TOTAL
Sim
62,22% 78,57% 70,11%
No
31,11% 16,67% 24,14%
No respondeu
6,67%
4,76%
5,75%
TOTAL
100%
100%
100%
Tab 27. Conscincia da importncia da informao

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

42

23.Na sua opinio, seria difcil pessoas externas conseguirem informaes importantes na
empresa?
difcil pessoas Externas conseguirem
Publica Privada TOTAL
informaes
Sim
53,33% 45,24% 49,43%
No
33,33% 47,62% 40,23%
No respondeu
13,33%
7,14% 10,34%
TOTAL
100%
100%
100%
Tab 28. Acesso informao por pessoas externas

24.Quais os tipos de informaes que voc tem acesso?


Tipo de informaes que tem acesso
Publica Privada TOTAL
Informaes operacionais
66,67% 92,86% 79,31%
Informaes Gerenciais
31,11% 47,62% 39,08%
Informaes Confidenciais da Empresa
28,89% 30,95% 29,89%
Informaes imprescindveis continuidade
22,22% 23,81% 22,99%
do negcio da Empresa
No tenho acesso a nenhuma informao
22,22%
4,76% 13,79%
importante
No respondeu
2,22%
0,00%
1,15%
TOTAL
100%
100%
100%
Tab 29. Acesso por tipo de informao

4.2.7.

SOBRE OS SISTEMAS UTILIZADOS

25.Dos sistemas abaixo, quais voc utiliza?


Sistemas que utiliza
Publica Privada TOTAL
No respondeu
22,22% 16,67% 19,54%
Sistema de ponto
22,22% 50,00% 35,63%
Sistema Financeiro/Contbil
22,22% 19,05% 20,69%
Sistema de patrimnio
2,22%
4,76%
3,45%
Folha de pagamento
17,78% 14,29% 16,09%
Sistema oramentrio
17,78%
4,76% 11,49%
Sistema com informaes gerenciais
8,89% 28,57% 18,39%
Outros
35,56% 11,90% 24,14%
TOTAL
100%
100%
100%
Tab 30. Sistemas utilizados

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

43

4.3. TABULAO DO QUESTIONRIO DO RH


4.3.1.

SOBRE A CONTRATAO DE FUNCIONRIOS

1. A poltica de segurana da informao divulgada aos novos contratados?


Empresa

Resposta

Publica
No
Privada
Sim
Tab 31. Novos contratados - RH

2. Os funcionrios assinam algum termo de responsabilidade e/ou de confidencialidade


sobre as informaes da empresa?
Empresa

Resposta

Publica
No
Privada
No
Tab 32. Termo de confidencialidade - RH

3. Existe alguma orientao de restrio quanto utilizao de e-mail, Internet ou


telefone?
Empresa

Resposta
Sim, atravs do servidor da redes e da central
Publica
telefnica;
Privada
Outros
Tab 33. Orienta utilizao de e-mail, Internet ou telefone - RH
4. Em caso de outros, qual?
Empresa

Resposta

Publica

Divulgao da melhor forma de utilizar as


ferramentas Intranet, e-mail e Internet por
parte da assessoria de informtica.
Tab 34. Orienta utilizao de e-mail, Internet ou telefone /outros - RH
Privada

5. As informaes (geralmente contidas no currculo) dos candidatos, fornecidas no


processo de seleo, so checadas antes da contratao?
Empresa
Publica
Privada

Resposta
Outros
Sim

Tab 35. Checa currculos- RH

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

44

6. Em caso de outros, qual?


Empresa
Publica

Resposta
Contrato ou decreto so feitos pela secretaria
de estado da administrao.

Privada
Tab 36. Checa currculos/outros - RH

7. Os funcionrios recm contratados ...


Empresa
Publica

Privada

Resposta
So encaminhados diretamente TI para
cadastro na rede e demais sistemas.
Aguardam o processo de criao de e-mail
aps um documento ser enviado do RH para o
setor de TI informando quais sistemas o
mesmo ter acesso.

Tab 37. Recm contratados - RH

8. Em caso de outros, qual?


Empresa
Publica
Privada

Resposta
So encaminhados diretamente ao setor de TI
para alterao do cadastro na rede e nos
demais sistemas;

Tab 38. Recm contratados/Outros RH

9. Os funcionrios que so transferidos de funo...


Empresa
Publica
Privada

Resposta
So encaminhados diretamente ao setor de TI
para alterao do cadastro na rede e nos
demais sistemas

Tab 39. Funcionrios Transferidos - RH

10. Em caso de outros, qual?


Empresa

Resposta

Publica
Privada
Tab 40. Recm contratados - RH

4.3.2.

SOBRE A DEMISSO DE FUNCIONRIOS

11. O acesso aos sistemas e rede dos funcionrios demitidos ...


Empresa
Publica
Privada

Resposta
Outros
So bloqueados antes da demisso
Tab 41. Demitidos - RH

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

45

12. Em caso de outros, qual?


Empresa
Publica
Privada

Resposta
So bloqueados aps a demisso

Tab 42. Demitidos/Outros - RH

13. O acesso dos funcionrios demitidos s instalaes da empresa...


Empresa

Resposta

Publica
No mais permitido
Privada
restrito recepo
Tab 43. Acesso fsico dos Demitidos - RH

14. Em caso de outros, qual?


Empresa

Resposta

Publica
Privada
Tab 44. Acesso fsico dos Demitidos/Outros - RH

4.3.3.

SOBRE A CONTRATAO DE TERCEIROS

15. A poltica de segurana da informao divulgada sempre na contratao de


terceirizados?
Empresa
Publica

Resposta
No existe poltica de
informao na empresa
Sim

segurana

da

Privada
Tab 45. Poltica de segurana aos terceiros - RH

16. Os terceirizados assinam algum termo de responsabilidade e/ou de confidencialidade


sobre as informaes da empresa?
Empresa

Resposta

Publica
No
Privada
No
Tab 46. Termos de responsabilidade aos terceiros - RH

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

46

17. Os terceirizados recm contratados ...


Empresa
Publica

Privada

Resposta
So encaminhados diretamente ao setor de TI
para cadastro na rede e nos demais sistemas
Aguardam o processo de criao de e-mail e
senhas aps um documento interno ser
enviado do RH para o setor de TI informando
quais sistemas o mesmo ter acesso

Tab 47. Terceiros recm contratados- RH

18. Observaes:
Empresa

Resposta
-

Publica
Privada

Tab 48. Observaes - RH

4.4. TABULAO DO QUESTIONRIO DA TI


4.4.1.

SOBRE A CONTRATAO/DEMISSO DE FUNCIONRIOS

1. O cadastro de senha de funcionrios novos...


Empresa

Resposta

Publica
Basta o usurio comparecer TI e solicitar
Privada
Com solicitao por e-mail do Gerente da rea
Tab 49. Funcionrios novos TI

2. Os funcionrios que so transferidos de funo...


Empresa
Publica
Privada

Resposta
Solicitam a transferncia diretamente informtica
So transferidos mediante solicitao por e-mail do Gerente da rea
Tab 50. Funcionrios Transferidos TI

3. No processo de Demisso de funcionrios, a informtica...


Empresa
Publica
Privada

Resposta
no houve demisso ainda
A informtica faz backup da informao da mquina do usurio antes da
demisso.
Tab 51. Demisso de Funcionrios TI

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

47

4.4.2.

SOBRE SENHAS

4. Existe uma poltica para utilizao de senhas fortes?


Empresa
Publica
Privada

Resposta
No
No
Tab 52. Poltica de senhas TI

5. As senhas de acesso rede expiram automaticamente em um determinado


perodo de tempo?
Empresa Resposta
Publica
Sim
Privada
Sim
Tab 53. Expirao de senhas da rede TI

6. As senhas dos sistemas corporativos so mudadas com que freqncia?


Empresa Resposta
Publica
Nunca
Privada
Esporadicamente em manutenes do sistema
Tab 54. Poltica de senhas dos demais sistemas TI

7. permitida a utilizao de senhas compartilhadas (uma senha nica para


usurios de um setor por exemplo)?
Empresa
Publica
Privada

4.4.3.

Resposta
No
No
Tab 55. Senhas compartilhadas TI

SOBRE TERCEIROS/PRESTADORES DE SERVIO

8. Existe algum mecanismo para identificao dos terceiros, prestadores de


servio e funcionrios, (Crach com foto, Uniforme, etc)?
Empresa
Publica
Privada

Resposta
Sim
Sim
Tab 56. Identificao de terceiros TI

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

48

9. O atendimento de prestadores de servio e terceiros controlado por algum


tipo de ordem de servio com a logomarca da empresa em que ele trabalha?
Empresa
Publica
Privada
Tab 57.

4.4.4.

Resposta
No
No
Controle de Atendimento de terceiros TI

SOBRE SEGURANA DA INFORMAO

10. Existe uma poltica de segurana da informao na empresa?


Empresa
Publica
Privada

Resposta
Em fase de desenvolvimento
Em fase de desenvolvimento
Tab 58. Poltica de Segurana TI

11. Existem restries de acesso Internet e e-mail?


Empresa
Publica
Privada

Resposta
Sim
Sim
Tab 59. Restries de Acesso TI

12. Em caso de sim, quais?


Empresa
Publica

Resposta
Sites pornogrficos
Nem todas as mquinas acessam a internet. Existe uma black list
Privada
com os sites proibidos;
Tab 60. Quais restries de acesso TI

13. Os Principais equipamentos de informtica (Switches,Servidorer,


Roteadores,...) esto realmente protegidos de acesso no autorizado?
Empresa Resposta
Publica
Parcialmente
Privada
Parcialmente
Tab 61. Proteo de Equipamentos TI

14. Existe cuidado com o descarte de mdia removvel (Documentos impressos,


fitas magnticas, CDR, CDRW entre outros)?
Empresa Resposta
Publica
No
Privada
Sim
Tab 62. Descarte d Mdias removveis TI

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

49

15. Utilizam criptografia na comunicao que envolva informaes da empresa?


Empresa
Publica
Privada

Resposta
No
No
Tab 63. Criptografia TI

16. Existe antivrus corporativo com atualizao automtica das estaes?


Empresa
Publica
Privada

4.4.5.

Resposta
Sim
Sim
Tab 64. Antivrus corporativo TI

SOBRE COMPUTAO MVEL E TRABALHO REMOTO

17. Os computadores mveis possuem validao de senha antes do acesso ao


sistema operacional?
Empresa Resposta
Publica
No
Privada
Sim
Tab 65. Senha para computao mvel TI

18. Os usurios da computao mvel so orientados quanto aos cuidados


especiais que devem ter com, por exemplo, atualizao de antivrus, acesso no
autorizado e divulgao de informaes ali armazenadas?
Empresa Resposta
Publica
No
Privada
No
Tab 66. Orientaes aos usurios de computao mvel TI

19. Existe acesso remoto aos sistemas da empresa?


Empresa
Publica
Privada

Resposta
No
Sim, aos funcionrios da empresa
Tab 67. Acesso remoto TI

20. Se sim, quais os controles utilizados para estes acessos?


Empresa Resposta
Publica
Privada
Orientao aos usurios e anlise de logs de acesso
Tab 68. Controles para acesso remoto TI

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

50

4.5. ANLISE DA PESQUISA


A anlise da pesquisa foi feita com o intuito de responder a todos os
questionamentos levantados na descrio da metodologia, caracterizada de acordo
com as informaes dos questionrios, destacando os pontos fortes e fracos,
quando existirem, e ainda comparando por tipo de empresa (Pblica e privada).

4.5.1.

SOBRE POLTICA DE SEGURANA DA INFORMAO

Em ambas as empresas existem polticas de segurana da informao


sendo desenvolvida, porm ainda no est muito claro para os usurios o que esta
poltica, pois, em mdia, somente 41,38% dos usurios afirmam a existncia da
mesma.

No respondeu
100%

15,56%

23,81%

80%
42,22%
60%

No
Sim

35,71%

40%
20%
0%

42,22%

Publica

40,48%

Privada

Fig. 1.A empresa possui poltica de segurana da informao?

A questo de existir uma poltica de segurana em desenvolvimento


demonstra conscincia da sua necessidade, porm, a falta desta poltica atualmente
uma das principais falhas no combate aos ataques que utilizam a engenharia
social.

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

51

Desta forma, as duas empresas devem Priorizar a finalizao da poltica


de segurana da informao e garantir a sua divulgao para todos os usurios,
atravs de aes como uma campanha de lanamento,

distribuio de folders,

informativos, palestras, auditorias internas e outros meios de divulgao e


conscientizao.

O comprometimento da alta direo fundamental para a implantao da


poltica de segurana da informao. Ela deve estar envolvida em todo o processo e
motivar os funcionrios.

4.5.2.

SOBRE INFORMAES VITAIS/CONFIDENCIAIS

Para a segurana da informao fundamental que os usurios


conheam, entre as informaes que ele tem acesso, quais so confidenciais e
vitais para a continuidade do seu negcio, evitando assim que elas sejam divulgadas
ou violadas inadvertidamente.

Na empresa privada 59,52% dos usurios afirmam conhecer as


informaes consideradas vitais para a empresa, enquanto que na empresa pblica,
o percentual cai para 40%. Esta conscincia deve ser trabalhada, de maneira que
cada usurio saiba quais informaes, dentre as que ele tem acesso, so
fundamentais para a empresa.

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

52

100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%

1
15,56%

1
11,90%
1

28,57%
No respondeu

44,44%

No

4
40,00%

Publica

Sim

59,52%

Privada

Fig. 2. Os usurios conhecem as informaes vitais para a empresa?

Tanto na empresa Privada quanto na empresa pblica h

um

responsvel pela comunicao interna e externa. Ele deve ter uma viso sistmica
do impacto causado ao se divulgar uma informao, principalmente uma informao
considerada vital e, alm disso, deve orientar a forma como as informaes so
repassadas, de maneira padronizada, tornando este padro conhecido por todos da
empresa.

Dos 87 (oitenta e sete) entrevistados, 86,21% afirmam acessar


informaes vitais ou informaes confidenciais. Desse universo, 18,67% no
possuem conhecimento quanto existncia de um responsvel pela comunicao
interna, sendo que na empresa publica so 26,32% do seu escopo, enquanto que na
empresa privada este percentual cai para 10,81%, conforme demonstrado no quadro
abaixo.

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

53
H um responsvel pela comunicao
interna?
Sim
No
No respondeu
TOTAL

Publica
63,16%
26,32%
10,53%
100%

Privada
72,97%
10,81%
16,22%
100%

TOTAL
68,00%
18,67%
13,33%
100%

Fig. 3.Tabela Informaes confidenciais / vitais x comunicao interna

Dos usurios que acessam informaes confidenciais, menos da metade


(47,06%) na empresa pblica afirma que a empresa orienta quanto divulgao de
informaes e na empresa Privada este percentual sobre para 73,33%.

4.5.3.

SOBRE TERMO DE RESPONSABILIDADE

Quando um usurio assina um termo responsabilizando-se pela


informao, ele ser um defensor da segurana desta informao e pensar duas
vezes antes de quebrar qualquer procedimento de segurana que ele saiba que
existe.

Em ambas as empresas, nem funcionrios nem terceiros assinam


nenhum termo ou acordo de responsabilidade / confidencialidade.

Em mdia, nas duas empresas, 73,56% dos usurios tm acesso a


informaes consideradas confidenciais, dos quais menos da metade (45,31%)
afirma saber que as informaes so classificadas dentro da empresa e pouco mais
da metade deles (aproximadamente 60%) sabem da existncia de um responsvel
pela comunicao externa/Interna e das orientaes sobre divulgao da
informao.

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

54

Dos usurios que acessam informaes confidencias, em ambas as


empresas, metade s altera a senha quando o sistema solicita e, praticamente, a
outra metade (40,63%) sempre utiliza a mesma senha.

4.5.4.

SOBRE SENHAS

As senhas so comumente utilizadas para validar a identificao dos


usurios e conceder acesso aos sistemas de informao. Para os engenheiros
sociais conseguir uma senha de acesso com um usurio o prmio que ele mais
deseja, pois, desta forma ter acesso s mesmas informaes que o usurio e o
dono da senha ser responsabilizado por quaisquer problemas que venham a
ocorrer.

Os usurios que tm acesso informaes confidenciais e vitais para a


empresa devem ter um cuidado especial, pois so os principais alvos dos ataques
contra a segurana da informao. O grfico da Fig. 4 mostra que, dos usurios que
acessam informaes confidencias, em ambas as empresas, metade s altera a
senha quando o sistema solicita e, praticamente, a outra metade (40,63%) sempre
utiliza a mesma senha.

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

55

Mensalmente
1,56%

Sempre utilizo a
mesma senha
40,63%

Trimestralmente
6,25%
Semestralmente
1,56%
Somente quando o
sistema solicita
alterao
50,00%

Fig. 4.Freqncia de alterao de senhas dos usurios com acesso


informaes confidenciais

Em ambas as empresas, a grande maioria dos usurios afirma no


divulgar as suas senhas, conforme Fig. 5.

100%

4,44%

4,76%

80%
60%

84,44%

90,48%

40%

No respondeu
No Divulga senha
Divulga senha

20%
11,11%
0%

Publica

4,76%
Privada

Fig. 5.Quantos usurios divulgam as senhas

Em mdia, 87,36% dos usurios entrevistados tm suas senhas


individuais, no permitindo que outros usurios a conheam. Na divulgao de

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

56

senhas, chama a ateno o fato de que 20% dos gerentes da empresa Pblica tm
sua senha conhecida por outros funcionrios e que 32,18% dos usurios deixa que
outros utilizem a sua senha para realizar algum trabalho rpido.

Somente 6,90% afirmam anotar suas senhas em algum local prximo ao


computador, na agenda ou similar.

Na empresa Pblica, 15,56% afirma que sabe a senha de outros usurios,


contra 11,90% da empresa Privada.

Dentre usurios que afirmam divulgar e/ou anotar senhas em locais que
podem no ser seguros, levantamos quais sistemas de ambas as empresas tem ao
menos um funcionrio que realiza esta prtica, conforme Fig. 6:

Sistemas que tm usurios que Sistemas que tm usurios que anotam


Empresa
divulgam senhas
- Sistema Financeiro/Contbil
PBLICA - Sistema Oramentrio
- Outros sistemas corporativos

suas senhas
- Sistema Financeiro/Contbil
- Sistema Oramentrio
- Outros sistemas corporativos
- Sistema de ponto

- Sistema de ponto

- Folha de Pagamento

- Folha de Pagamento

- Sistema com informaes gerenciais

PRIVADA

- Outros sistemas corporativos

Fig. 6. Sistemas com usurios que divulgam/anotam suas senhas em locais de fcil acesso

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

57

Vemos que os principais sistemas

como por exemplo, folha de

pagamento , Financeiro/Contbil e alguns sistemas coorporativos, possuem ao


menos uma senha compartilhada com mais de um usurio.

4.5.5.

SOBRE ACESSO S INFORMAES

Por mais que uma empresa invista em tecnologia para garantir a


segurana da informao, fundamental que os seus usurios participem
ativamente com aes, muitas vezes simples, como manter a mesa sem
documentos expostos e no deixar um sistema conectado com a sua senha ao sair.

O bloqueio dos computadores feito pela grande maioria dos usurios,


86,67% na empresa Pblica e 71,31% na Privada. O mesmo ocorre com a poltica
de mesa limpa, onde 77,78% dos usurios da empresa Pblica e 69,05% da
Privada, afirmam ter o costume de deixar a mesa limpa, sem papeis, evitando assim
que informaes, muitas vezes sigilosas, fiquem expostas.

Praticamente metade dos usurios da empresa Privada (47,62%) acha que


no seria difcil que pessoas externas consigam informaes importantes da
empresa. Na empresa pblica, este percentual cai para 33,33%.

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

58

4.5.6.

COMPUTAO MVEL E ACESSO REMOTO

Somente a empresa privada afirma utilizar validao de senha antes do


acesso ao sistema operacional e nenhuma das duas empresas orienta os usurios
da computao mvel quanto aos cuidados como, por exemplo, a atualizao de
antivrus e acesso de pessoas no autorizadas, incluindo parentes e amigos.

Somente a empresa privada faz acesso remoto aos seus sistemas e j realiza
a orientao aos usurios e analisa os logs de acesso.

4.5.7.

PROCESSOS DO RH

necessrio, em ambas as empresas, uma ao de procedimentar os


principais processos que envolvem riscos segurana da informao, como por
exemplo todos os processos onde h uma interao com o setor responsvel pela
tecnologia da informao, como no caso de contratao, demisso e transferncia
de funcionrios e terceiros onde, temos falhas como:

1. Na empresa Pblica, basta que o usurio comparea rea de TI


informando que um novo funcionrio para que seja criada uma senha de acesso
rede e aos sistemas;

2. Na empresa Privada, a TI libera o acesso com uma requisio do


gerente da rea, enquanto que o RH informa que necessrio um documento do

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

59

RH para a TI, informando quais sistemas o funcionrio novo, transferido ou


Terceirizado ir acessar.

Alm do termo de responsabilidade, o RH deve solicitar a assinatura de


termos como o de utilizao de e-mail e Internet, de confidencialidade de senhas e,
principalmente realizar treinamentos da poltica de segurana, assim que o
funcionrio admitido.

Aes como estas permitiro uma maior contribuio do setor de RH em


ambas as empresas, minimizando os riscos de falhas na segurana da informao.

4.5.8.

PROCESSOS DA TI

A rea de TI deve ter uma atuao decisiva no processo de segurana da


informao. Vrios controles podem ser implementados para minimizar os riscos
sobre a segurana da informao e abaixo citamos os controles existentes no
ambiente estudado:

Controle de senhas: A expirao automtica de senhas de aceso rede,


em um perodo pr-definido, que j utilizado em ambas as empresas. Porm,
deve-se atentar para situaes como as dos sistemas corporativos, que, na empresa
Pblica, nunca mudam as senhas e, na empresa privada, mudam somente
esporadicamente nas manutenes dos sistemas.

Controle sobre prestadores de servios e terceiros: Apesar dos


prestadores de servios e terceiros possurem mecanismos de identificao como

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

60

crachs com fotos, senhas, ou uniformes, no existe um controle sobre os servios


executados, atravs de uma ordem de servio, por exemplo.

Controle no acesso Internet: Existe algum controle de acesso Internet,


como por exemplo uma lista de usurios com acesso negado (Black list) ou o
bloqueio a sites pornogrficos.

Controle de segurana dos equipamentos: Em ambas as empresas existe


um controle parcial sobre o acesso no autorizado. necessrio realizar um
levantamento mais detalhado de quais so os equipamentos que no esto
protegidos .
Antivrus: Em ambas as empresas existe um antivrus coorporativo
implementado.

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

61

4.6. SOLUES PROPOSTAS

Como vimos, existem diversas tcnicas que podem ser utilizadas em


ataques de engenharia social e todas elas usam a boa f e a ingenuidade das
pessoas, conquistando sua confiana para conseguir quebrar a segurana.

Ainda nos dias de hoje,

a viso de segurana da informao est

atrelada apenas a tecnologia, esquecendo que por trs de cada mquina h pelo
menos uma pessoa. Implantar controles de segurana exige uma estrutura complexa
de pessoas, meios e processos, interagindo de maneira a preservar a
confidencialidade, integridade e disponibilidade das informaes.

Mitnick (2003, p. 4) diz que A segurana no um produto, ela um


processo. Para ele, a grande maioria das empresas investe em ferramentas que
ajudam somente na proteo dos intrusos amadores, que em sua maioria so
crianas (script kiddies) que s causam aborrecimento. Elas no esto realmente
protegidas contra os atacantes sofisticados, com alvos bem definidos e motivados
pelo ganho financeiro.

4.6.1.

CONTROLES SUGERIDOS

Para minimizar os riscos da segurana da informao, baseados na


anlise da pesquisa aplicada, sugerimos alguns controles que podem ser
implementados tanto na empresa Pblica quanto na Privada, so eles:

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

62

4.6.2.

IMPLANTAO DE UMA POLTICA DE SEGURANA

A finalizao da poltica de segurana fundamental e prioritrio para as


duas empresas estudadas. Ela deve ser elaborada com a participao do RH e da
TI, baseando-se nas melhores prticas da norma NBR ISO 17799, divulgando para
todos os funcionrios na contratao (atravs do RH) e em meio eletrnico com por
e-mail e na intranet (gerenciado pela TI). Ela deve abordar questes como a
privacidade, direitos de acesso, responsabilidades e deve refletir os objetivos do
negcio alm de estar de acordo com a cultura organizacional de cada empresa.

importante frisar que deve ser avaliado o custo da implantao de tal


poltica, para que no seja superior ao valor da informao que se est protegendo,
levando-se em conta fatores, como por exemplo a imagem da empresa em caso de
uma falha na segurana da informao.

4.6.3.

NA ADMISSO E DEMISSO DE FUNCIONRIOS

Em nenhuma das empresas existe um procedimento padro e seguro


para contratar, demitir ou transferir usurios. Convm que os usurios assinem
termos de responsabilidade e/ou acordos de confidencialidade ou no divulgao no
incio da sua contratao ou antes do acesso s instalaes de processamento da
informao [13]. As responsabilidades e direitos legais dos usurios devem ser
claros e formais, sendo recomendado que sejam inseridos dentro dos termos e
condies de trabalho;

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

63

O RH deve checar as informaes contidas nos currculos e os


certificados dos cursos apresentados pelos candidatos pr-selecionados para uma
contratao, para confirmar a veracidade das informaes. No caso da empresa
Pblica, deve-se avaliar se o funcionrio est apto a exercer a funo que lhe
assiste e tomar as providencias cabveis como transferncia de funo ou
treinamento.

A rea de TI deve criar, transferir ou bloquear um usurio, somente com


uma autorizao do responsvel pela contratao, em geral do RH, por escrito, com
todas as informaes necessrias, como nome completo, setor de destino, funo,
entre outros. At que o novo acesso seja liberado, o futuro usurio no deve utilizar
senha de nenhum outro funcionrio.

No caso da demisso, o responsvel pelo bloqueio de senhas no setor de


TI deve ser comunicado antes do usurio que ser demitido, para que as devidas
providncias de segurana sejam tomadas, de acordo com a prtica da empresa,
seja ela bloquear o usurio, fazer backup dos dados, alterar o acesso para somente
leitura, etc.

4.6.4.

POLTICA DE SENHAS FORTES

Nenhuma das empresas utiliza uma poltica de senhas fortes e nem


orienta seus usurios neste sentido. Esta poltica deve estar inserida na poltica de
segurana da informao e conter pelo menos as condies a seguir:

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

64

- As senhas devem ser nicas e individuais, permitindo a identificao de


cada usurio e responsabilizandoo por suas aes, .

- Os usurios devem estar cientes, formalmente, que devem manter a


confidencialidade de sua(a) senha(s), atravs de um documento escrito sobre seus
direitos de acesso;

- As senhas devem expirar automaticamente em um perodo pr-definido,


solicitando que o usurio altere-a de maneira que ele no possa repetir senhas
antigas e seja obrigado a misturar, no mnimo, letras e nmeros;

- As senhas dos sistemas coorporativos devem ser alteradas com uma


determinada freqncia.

4.6.5.

TREINAMENTO DOS USURIOS

Visando assegurar que os usurios esto cientes das ameaas e


transform-los em defensores da segurana da informao, eles devem ser
treinados nos procedimentos de segurana e no uso correto das instalaes da
empresa. Isso inclui os prestadores de servio e terceiros.

Como j foi dito neste trabalho, no importa o valor que uma empresa
invista em tecnologia para a segurana da informao, pois a cooperao dos
usurios autorizados fundamental para eficcia da segurana

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

65

4.6.6.

CONTROLE NO ACESSO DE TERCEIROS

Para o controle de acesso de terceiros e/ou prestadores de servio, devese verificar o tipo de acesso (Lgico ou fsico), as razes para acesso, questes
relativas a confidencialidade das informaes (conforme controle sugerido na
contratao, demisso e transferncia de funcionrios e terceiros).

Para o acesso fsico interno,

deve-se verificar a utilizao de uma

identificao que permita rpida confirmao de identidade como um crach com


foto e se possvel o uso de um uniforme e a execuo de um servio deve ser
acompanhada por um documento com a logomarca da empresa (Ordem de servio),
contendo no mnimo o motivo da interveno, a data, a hora e o nome do tcnico;

Deve estar claro, e em contrato, a questo sobre definio de


responsabilidade (Em caso de acidentes) e, antes de qualquer acesso s
instalaes, os tcnicos devem ser treinados nos procedimentos de segurana;

4.6.7.

RESTRIES DE ACESSO A E-MAIL E INTERNET

Existem pequenas medidas de restries de acesso Internet, em ambas


empresas, que utilizam a tecnologia, mas no existe nenhum termo de uso de e-mail
e Internet para orientao e conscientizao dos usurios.

A criao de um termo que regulamenta o uso do e-mail e Internet


fundamental e deve ser includa na poltica de segurana da informao. Ele deve

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

66

incluir proteo de anexos, orientao de quando no se deve utiliz-los,


responsabilidade sobre o uso indevido, uso de criptografia em mesagens com
informaes da empresa, entre outros. Alm disso, a TI deve monitorar os acessos
Internet e bloquear os acessos a sites que no agregam valor ao negcio.

4.6.8.

SEGURANA FSICA AOS EQUIPAMENTOS VITAIS

Em ambas as empresas os principais equipamentos que podem por em


risco a segurana da informao (Servidores, switchs,

entre outros) s esto

parcialmente protegidos do acesso a pessoas no autorizadas.

Deve-se realizar um levantamento de todos os equipamentos crticos e


definir a melhor maneira para proteg-los, verificando inclusive a necessidade de
Implementao de mecanismos de segurana fsica como por exemplo circuitos
fechados de TV e fechaduras eletrnicas.

4.6.9.

DESCARTE DE MDIAS REMOVVEIS

Informaes importantes podem ser divulgadas atravs da eliminao de


mdias de maneira descuidada. A empresa privada afirma ter um cuidado com o
descarte de mdias removveis, mas no informa quais. Sugerimos a utilizao de
um triturador de papel em reas com informaes consideradas confidenciais como
a T.I. e o RH, alm de um controle sobre as mdias removveis, desabilitando este
recurso nas mquinas que no devem utiliz-lo, alm da orientao aos usurios na
utilizao das mesmas.

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

67

Pode-se criar uma coleta de descarte seguro, de maneira que todas as


mdias removveis a serem inutilizadas sejam encaminhadas para um responsvel
pelo descarte seguro das mesmas.

4.6.10.

CRIPTOGRAFIA

No existe cultura de utilizao da criptografia em nenhuma das empresas.


Sugerimos que esta cultura seja inserida em ambas as empresas de forma
gradativa, iniciando com um grupo de usurios, sugerimos a T.I., e em seguida seja
expandido para outros usurios, como os que utilizam notebook, os do RH e os
demais usurios que trocam informaes confidenciais das empresas.

4.6.11.

COMPUTAO MVEL E ACESSO REMOTO

Cuidados especiais so necessrios para a utilizao de computao


mvel. Convm que os usurios sejam formalmente alertados dos riscos para a
segurana da informao com a computao mvel.

Alguns controles podem ser implementados como precauo para


diminuir estes riscos, como a orientao de que o usurio sempre mantenha o
equipamento longe de acesso de pessoas no autorizadas como parentes e
visinhos, atualize seu antivrus freqentemente, utilizao de senha na inicializao

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

68

do equipamento, cuidados contra roubo dos equipamentos e o uso freqente da


criptografia em arquivos com informaes da empresa;

Para a empresa privada que utiliza acesso remoto, o acesso remoto deve
ser autorizado e controlado o desenvolvimento de polticas, procedimentos e normas
especficas, que abordem questes como por exemplo, qual trabalho permitido, as
horas de trabalho e o acesso de pessoas no autorizadas ao equipamento de onde
se faz o acesso remoto.

4.6.12.

CONTROLES GERAIS

Para minimizar os riscos de roubo e exposio de informaes, ambas


instituies, devem adotar a poltica de mesa limpa em toda a instituio,
principalmente na empresa pblica, onde o percentual de usurios que tem esse
costume menor.

Sugerimos que seja feito uma sensibilizao para que os

usurios mantenham vista somente os papeis que esto sendo utilizados no


momento, bloqueiem

os terminais quando no estiverem em uso, informaes

impressas devem ser retiradas imediatamente da impressora e, ao sarem da


empresa, mantenham os micros desligados e os papeis com informaes
confidenciais em gavetas adequadas, preferencialmente com fechadura.

Todos os usurios devem estar cientes, formalmente, que equipamentos,


informaes ou softwares so de propriedade da empresa e no devem ser retirados
da mesma sem autorizao.

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

69

4.6.13.

FRUM DE SEGURANA

O processo de segurana da informao responsabilidade de todos os


usurios da direo da empresa, porm, natural que, ao menos nas empresas
estudadas, os setores de RH e TI liderem a implantao dos controles citados.

Desta forma, com base na norma NBR ISO 17788, sugerimos que seja
criado um frum de gesto da segurana da informao, multifuncional onde os
setores mais relevantes na empresa estejam representados. Seu principal objetivo
de garantir uma implantao adequada, realizando anlises crticas e monitorao
necessrias para que a segurana seja parte de todo e qualquer processo na
empresa.

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

70

5. CONCLUSO

O procedimento proposto neste trabalho nos permitiu realizar um


levantamento da atual conscincia dos usurios, quanto importncia da
informao acessada pelos mesmos, de maneira que o impacto da engenharia
social na segurana da informao pde ser avaliado com base na anlise dos
questionrios aplicados.

Alinhado anlise da conscincia dos usurios, foram analisados os


processos das reas de recursos humanos e de tecnologia da informao, no que
diz respeito engenharia social. Toda a anlise foi realizada em duas empresas
com caractersticas diferentes, permitindo assim que o procedimento criado possa
ser utilizado em vrios tipos de empresas, independente de suas caractersticas.

Aps a anlise da pesquisa, utilizamos a norma NBR ISO 17799, Cdigo


de Prtica para Gesto da segurana da Informao, como base para propor um
leque de controles que visam minimizar as falhas de segurana da informao e os
riscos de ataques bem sucedidos de engenharia social, aumentando a segurana
nas pessoas e conscientizando seus usurios da importncia da informao da
empresa para que eles cumpram seu papel de agentes da segurana da informao.

Porm este trabalho limita-se apenas ao diagnstico do problema. As


aes necessrias implantao dos controles so de responsabilidade de cada
empresa que, aps este trabalho, j esto com os seus pontos crticos na segurana

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

71

da informao identificados e, para cada um deles, existe aqui um ou mais controles


que visam eliminar as falhas existentes.

Muitas empresas investem nas melhores tecnologias de segurana e,


muitas vezes esquecem de tratar o elo mais fraco na segurana da informao: o
fator humano. Desta forma, a metodologia utilizada neste trabalho permite que
empresas implementem controles que minimizem o risco de ataques de engenharia
social com um baixo custo.

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

72

6. ANEXOS
6.1.ANEXO I
USURIOS

QUESTIONRIO

APLICADO

AOS

PESQUISA SOBRE A SEGURANA DA INFORMAO


ARACAJU, ____ / ____ DE 2004
SOBRE O FUNCIONRIO
2.Sexo
3.Funo
1.Faixa etria
a) [ ]Masculino a) [ ]Gerencial (Chefe de diviso, Chefe de Gabinete, Diretoria, etc...)
a) [ ]At 20 anos
b) [ ]De 21 a 30 anos b) [ ]Feminino b) [ ]Operacional (Agente administrativo, Oficial administrativo,
Auxiliar de Gabinete, etc...)
c) [ ]De 31 a 40 anos
c) [ ]Terceirizados (Prestadores de Servios, estagirios, etc...)
d) [ ]Acima de 40
5.Possui outro emprego?
4.Trabalha na EMPRESA a
a) [ ]Sim, na mesma rea em que trabalho na EMPRESA
a) [ ]Menos de 1 ano
b) [ ]Sim, em outra rea
b) [ ]De 1 a 5 anos
c) [ ]No
c) [ ]De 6 a 10 anos
d) [ ]Acima de 10 anos

SOBRE SENHAS
6.Algum, alm de voc, sabe a(s) sua(s) senha(s) utilizada(s) para acessar informaes da
EMPRESA? [ ] Sim [ ] No
7.Voc utiliza a senha de algum outro funcionrio para acesso informaes da EMPRESA?
[ ] Sim [ ] No
8.Voc anota as suas senhas em algum local prximo ao computador, na agenda, ou local similar?
[ ] Sim [ ] No
9.Voc deixa outras pessoas utilizarem sua senha para algum trabalho rpido? [ ] Sim [ ] No
10.Com que freqncia voc altera (s) sua(s) senha(s):
a) [ ]Mensalmente
b) [ ]Trimestralmente
c) [ ]Semestralmente
d) [ ]Somente quando o sistema solicita alterao
e) [ ]Sempre utilizo mesma senha

SOBRE DIVULGAO DE INFORMAES


11.Como voc procede para fornecer informaes, que voc tem acesso, solicitadas por telefone ou email?
a) [ ]Forneo a informao, pois no h nada confidencial em minha rea.
b) [ ]Forneo a informao aps identificar o solicitante
c) [ ]Solicito autorizao a meu superior para liberar a informao;
d) [ ]Outros:
_________________________________________________________________________________

SOBRE A EMPRESA
12. A EMPRESA possui poltica de comunicao interna?[ ] Sim [ ] No
13. As informaes so classificadas na EMPRESA (confidencial, secreta, pblica etc.) [ ] Sim [ ] No
14. A EMPRESA possui um responsvel pela comunicao externa?[ ] Sim [ ] No
15. A EMPRESA possui alguma orientao quanto divulgao de informao?[ ] Sim [ ] No
16. Voc sabe quais as informaes so vitais para o negcio da EMPRESA?[ ] Sim [ ] No
17. A EMPRESA possui poltica de segurana da informao?[ ] Sim [ ] No

SOBRE ACESSO INFORMAO


18. Neste momento existe algum papel sobre sua mesa com informaes sobre a EMPRESA?
[ ] Sim [ ] No

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

73

19. Ao sair voc costuma deixar suas mesa limpa, sem papis?
[ ] Sim [ ] No
20. Ao sair voc costuma deixar seu computador bloqueado ou efetuar o LogOff?
[ ] Sim [ ] No
21. O seu setor possui informaes consideradas confidenciais?
[ ] Sim [ ] No
22. Na sua opinio, todos os funcionrios do seu setor sabem a importncia das informaes da
EMPRESA?
[ ] Sim [ ] No
23. Na sua opinio, seria difcil pessoas externas conseguirem informaes importantes na
EMPRESA?
[ ] Sim [ ] No
24.Quais os tipos de informaes que voc tem acesso?
a) [ ]Informaes operacionais
b) [ ]Informaes gerenciais
c) [ ]Informaes confidenciais
d) [ ]Informaes imprescindveis continuidade do negcio
e) [ ]No tenho acesso a nenhuma informao importante

SOBRE OS SISTEMAS UTILIZADOS


25.Dos sistemas abaixo, quais voc utiliza?
a) [ ]Sistema de Ponto
b) [ ]Sistema Financeiro e/ou Contbil
c) [ ]Sistema de Patrimnio
d) [ ]Folha de Pagamento

e) [ ]Sistema oramentrio
f) [ ]Sistemas com informaes gerenciais
g) [ ]Outros__________________________________
_____________________________________________

OBSERVAES
26. Qualquer observao sobre alguma resposta, favor informar o n da questo e a Observao:

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

74

6.2.ANEXO-II QUESTIONRIO APLICADO AO RH


PESQUISA SOBRE A SEGURANA DA INFORMAO APLICADA AO RH
ARACAJU, ____ / ____ DE 2004
SOBRE A CONTRATAO DE FUNCIONRIOS
1. A poltica de segurana da informao divulgada aos novos contratados?
a) [ ]Sim
b) [ ]No
c) [ ]No existe poltica de segurana da informao na empresa
2. Os funcionrios assinam algum termo de responsabilidade e/ou de confidencialidade sobre as
informaes da empresa?
a) [ ]Sim
b) [ ]No
3. Existe alguma orientao de restrio quanto utilizao de e-mail, Internet ou telefone?
a) [ ]Sim, por escrito e assinada;
b) [ ]Sim, atravs do Servidor da rede e da central telefnica
c) [ ]No existe
d) [ ]Outros
4. Em caso de outros, qual?

5. As informaes (geralmente contidas no currculo) dos candidatos, fornecidas no processo de


seleo, so checadas antes da contratao?
a) [ ]Sim
b) [ ]No
c) [ ]Outros
6. Em caso de outros, qual?

7. Os funcionrios recm contratados ...


a) [ ]Acessam os sistemas e a rede utilizando as senhas de outros funcionrios at que as suas sejam
criadas;
b) [ ]So encaminhados diretamente ao setor de TI para cadastro na rede e nos demais sistemas;
c) [ ]Aguardam o processo de criao de e-mail e senhas aps um documento interno ser enviado do RH
para o setor de TI informando quais sistemas o mesmo ter acesso;
d) [ ]Tm seus nomes e funes informados ao setor de TI, via e-mail ou fax, para providencias de senhas;
e) [ ]Outros
8. Em caso de outros, qual?

9. Os funcionrios que so transferidos de funo...


a) [ ]Acessam os sistemas e a rede utilizando as senhas de outros funcionrios at que seu novo acesso
seja liberado;
b) [ ]So encaminhados diretamente ao setor de TI para alterao do cadastro na rede e nos demais
sistemas;
c) [ ]Aguardam o processo de alterao de acesso, aps um documento interno ser enviado do RH para o
setor de TI solicitando a transferncia;
d) [ ]Tm seus nomes e funes (novas e antigas) informados ao setor de TI, via e-mail ou fax, para
providencias de bloqueio e liberao de acesso.
e) [ ]Outros
10.Em caso de outros, qual?

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

75

SOBRE A DEMISSO DE FUNCIONRIOS


11.O acesso aos sistemas e rede dos funcionrios demitidos ...
a) [ ]So bloqueados antes da demisso;
b) [ ]So bloqueados aps o funcionrio remover seus arquivos pessoais da rede;
c) [ ]Nunca so bloqueados;
d) [ ]Outros
12.Em caso de outros, qual?

13. O acesso dos funcionrios demitidos s instalaes da empresa...


a) [ ]Continua o mesmo sem restries;
b) [ ] restrito recepo;
c) [ ]No mais permitido
d) [ ]Outros
14.Em caso de outros, qual?

SOBRE A CONTRATAO DE TERCEIROS


15.A poltica de segurana da informao divulgada sempre na contratao de terceirizados?
a) [ ]Sim
b) [ ]No
c) [ ]No existe poltica de segurana da informao na empresa
16.Os terceirizados assinam algum termo de responsabilidade e/ou de confidencialidade sobre as
informaes da empresa?
a) [ ]Sim
b) [ ]No
17.Os terceirizados recm contratados ...
a) [ ]Acessam os sistemas e a rede utilizando as senhas de outros funcionrios at que as suas sejam
criadas;
b) [ ]So encaminhados diretamente ao setor de TI para cadastro na rede e nos demais sistemas;
c) [ ]Aguardam o processo de criao de e-mail e senhas aps um documento interno ser enviado do RH
para o setor de TI informando quais sistemas o mesmo ter acesso;
d) [ ]Tm seus nomes e funes informados ao setor de TI, via e-mail ou fax, para providencias de senhas;
e) [ ]Outros

OBSERVAES
18. Qualquer observao sobre alguma resposta, favor informar o n da questo e a Observao:

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

76

6.3.ANEXO-III QUESTIONRIO APLICADO INFORMTICA


PESQUISA SOBRE A SEGURANA DA INFORMAO APLICADA TI
ARACAJU, ____ / ____ DE 2004
SOBRE A CONTRATAO/DEMISSO DE FUNCIONRIOS
1. O cadastro de senha de funcionrios novos...
a) [ ]Basta que o usurio comparea sala da informtica solicitando a criao da senha;
b) [ ] realizado mediante solicitao por e-mail do Gerente da rea;
c) [ ]Somente aps um documento interno ser enviado do RH para o setor de TI informando quais sistemas o
mesmo ter acesso;
d) [ ]Outros
2. Em caso de outros, qual?

3. Os funcionrios que so transferidos de funo...


a) [ ]Solicitam a transferncia diretamente informtica;
b) [ ]So transferidos mediante solicitao por e-mail do Gerente da rea;
c) [ ]Aguardam o processo de alterao de acesso, aps um documento interno ser enviado do RH para o setor de
TI solicitando a transferncia;
d) [ ]Outros
4. Em caso de outros, qual?

5.
a) [
b) [
c) [
d) [

No processo de Demisso de funcionrios, a informtica...


]Bloqueia os acessos rede e dos sistemas corporativos antes da demisso;
]Os acessos so bloqueados aps o funcionrio remover seus arquivos pessoais da rede;
]Os acessos nunca so bloqueados;
]Outros

6. Em caso de outros, qual?

SOBRE SENHAS
7. Existe uma poltica para utilizao de senhas fortes?
[ ] Sim, ainda no divulgada;
[ ] Sim, em pleno funcionamento
[ ] No

8. As senhas de acesso rede expiram automaticamente em um determinado perodo de tempo?


[ ] Sim [ ] No

9.
a) [
b) [
c) [
d) [
e) [

As senhas dos sistemas corporativos so mudadas com que freqncia?


]Mensalmente
]Trimestralmente
]Semestralmente
]Esporadicamente em manutenes do sistema
]Nunca

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

77

10. permitida a utilizao de senhas compartilhadas (uma senha nica para usurios de um
setor por exemplo)?
[ ] Sim [ ] No

SOBRE TERCEIROS/PRESTADORES DE SERVIO


11. Existe algum mecanismo para identificao dos terceiros, prestadores de servio e
funcionrios, (Crach com foto, Uniforme, etc)?
a) [ ] Sim;
b) [ ] No;
12. O atendimento de prestadores de servio e terceiros controlado por algum tipo de ordem de
servio com a logomarca da empresa em que ele trabalha??
a) [ ] Sim;
b) [ ] No;
SOBRE SEGURANA DA INFORMAO
13.
a) [
b) [
c) [

Existe uma poltica de segurana da informao na empresa?


]Sim
]No
]Em fase de desenvolvimento

14. Existem restries de acesso Internet e e-mail?


a) [ ]Sim
b) [ ]No
15. Em caso de sim, quais?

16. Os Principais equipamentos de informtIca (Switches,Servidorer, Roteadores,...) esto


realmente protegidos de acesso no autorizado?
a) [ ]Sim;
b) [ ]Parcialmente;
c) [ ]No;

17. Existe cuidado com o descarte de mdia removvel (Documentos impressos, fitas magnticas,
CDR, CDRW entre outros)?
a) [ ]Sim;
b) [ ]No;

18. Utilizam criptografia na comunicao que envolva informaes da empresa?


a) [ ]Sim;
b) [ ]No;

19. Existe antivrus corporativo com atualizao automtica das estaes?


a) [ ]Sim;
b) [ ]No;

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

78

SOBRE COMPUTAO MVEL E TRABALHO REMOTO


20. Os computadores mveis possuem validao de senha antes do acesso ao sistema
operacional?

a) [ ]Sim;
b) [ ]No;
c) [ ]No h computadores mveis

21. Os usurios da computao mvel so orientados quanto aos cuidados especiais que devem
ter com, por exemplo, atualizao de antivrus, acesso no autorizado e divulgao de
informaes ali armazenadas?
a) [ ]Sim;
b) [ ]No;
c) [ ]No h usurios de computao mvel

22. Existe acesso remoto aos sistemas da empresa?


a) [ ]Sim, aos funcionrios;
b) [ ]Sim, para terceiros;
c) [ ]No;

23. Se sim, quais os controles utilizados para estes acessos?


a) [
b) [
c) [
d) [
e) [

]Alteraes de senhas com maior freqncia;


]Orientao aos usurios;
]Definio de horrios para acesso;
]Anlise de logs de acesso;
]Nenhum

OBSERVAES

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory
Nov

Dez

Jan

Fev

Mar

Abr

Mai

Jun

Jul

Ago

Set

Out

Nov

Dez

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

* Incio do projeto: Nov de 2003.

Levantamento bibliogrfico
Elaborao do Projeto
Elaborao dos Questionrios
Aplicao dos questionrios
Estudo dos Processos do RH
Avaliao da Pesquisa
Criao dos Controles e Aes
Elaborao do Relatrio Final
Apresentao

Atividade

6.4.ANEXO III CRONOGRAMA

Jan

Fev

Mar

Abr

Mai

Jun

Jul

7. GLOSSRIO

Biometria
Sistema de identificao de usurios que utiliza caractersticas fsicas, como por exemplo
a impresso digital, a ris, a voz entre outros.
Cavalos de Tria
Programas que so aparentemente inofensivos, mas que, ao serem executados, iniciam
de forma escondida, ataques ao sistema.[16]
Engenheiro social
Geralmente Hackers que tentam ganhar a confiana dos usurios no intuito de conseguir
informaes teis em seus ataques. Tentam se passar por um usurio autorizado e
ganhar o acesso ilcito aos sistemas. [16]
Hackers
Pessoa que tenta acessar sistemas sem autorizao, usando tcnicas prprias ou no, no
intuito de ter acesso a determinado ambiente para proveito prprio ou de terceiros. [16]
internet banking
a Home Page de um banco. O site onde so oferecidos basicamente os mesmos
servios de uma agencia bancria. Atravs do site de um banco um cliente pode realizar
transferncias bancrias, pagamentos, etc.
Malware
Os vrus, trojans, worms , entre outros, so batizados a genericamente de Malwares;
Poltica de Segurana
O conjunto das leis, diretrizes, regras, e das prticas que regulam como uma organizao
controla, protege, e distribui a sua informao.[16]
Procedimentar:
Padronizar uma ao ou um processo em documento oficial.
Script kiddies
So, em geral, adolescentes que utilizam ferramentas e receitas prontas para ataques
virtuais. Atacam somente pela curiosidade e muitas vezes no esto interessados em
pegar informaes, mas sim por a prova seus conhecimentos.

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

Smart cards
Carto semelhantes aos cartes de crditos e que geralmente so utilizados na
identificao do usurio para controle de acesso, convnios mdicos e tambm como
dinheiro eletrnico.
Spywares
Spyware geralmente includo na instalao de algum outro software gratuito. Tem o
objetivo de coletar informaes sem o conhecimento do usurio, e envi-las para
anunciantes ou para o desenvolvedor do software. Ele pode coletar e transmitir
informaes sobre teclas pressionadas, hbitos de navegao na Web, senhas,
endereos de e-mail entre outros.
TI
Sigla que significa Tecnologia da informao. Aqui citado como sendo o setor
responsvel em manter a tecnologia utilizada na empresa de maneira a garantir que a
informao esteja disponvel e segura para todos que possuem acesso mesma.
Corresponde ao ento setor de informtica.
Usurio
Pessoa que opera um microcommputador, que tem acesso informaes da empresa
atravs e que faz parte do escopo deste projeto.

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

8. REFERENCIAS BIBLIOGRFICAS
[1] NORMA ISO/IEC 17799. Cdigo de Prtica para Gesto da segurana da
Informao nas Empresas. ABNT Associao Brasileira de Normas Tcnicas. 01 de
dezembro de 2000.
[2] LIMA, MAYKA DE SOUZA. Metodologia para Desenvolvimento de Polticas de
Segurana. Aracaju,2001. 152p. Monografia de Graduao de curso de Cincia da
Computao. UNIT- Universidade Tiradentes, 2001.

[3] WADLOW, Thomas A. Segurana de Redes : Projeto e gerenciamento de redes


seguras. Traduo : Fbio Freitas da Silva. Rio de Janeiro : Campus, 2000. 269 p.
[4] COMER, Douglas E. Interligao em redes com TCP/IP: Princpios, protocolos e
arquitetura. Traduo : ARX Publicaes. Rio de Janeiro : Campus, 1998. 672 p.
[5] MCCARTTHY, Mary pat; CAMPBELL, Stuart. Transformao na Segurana
Eletrnica: Estratgia e gesto da Defesa Digital. Traduo: Celso Roberto Paschoa.
So Paulo: Pearson Education do brasil, 2003. 184 p.
[6]Agencia

Folha

Entrevista

com

Kevin

Mitnick.

Disponvel

em:

<

http://www1.folha.uol.com.br/folha/informatica/ult124u13942.shtml>. Acesso em: 08 de


novembro de 2003.
[7] MODULO SECURITY SOLUTIONS. Ameaa alm do firewal: Por que as empresas
devem se preparar contra a Engenharia social. Disponvel em: <www.modulo.com.br>.
Acesso em: 08 de novembro de 2003.

[8] MITNICK, Kevin D.; SIMON, William L. A. A arte de Enganar: Ataque de Hackers:
Controlando o Fator Humano na Segurana da Informao. Traduo : Ktia Aparecida
Roque. So Paulo: Pearson Education do brasil, 2003. 278 p.

[9] CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em informtica e de


informao. So Paulo: Administrao regional do SENAC , 1999. 367 p.

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

[10] ZORRINHO, C. (1995)-Gesto da Informao. Condio para Vencer. Iapmei


pg.15.

[11]. Computarword. O Brasil ainda investe pouco em segurana da informao.


Disponvel em: <http://idgnow.terra.com.br/idgnow/corporate/2002/04/0033>. Acesso em:
24 de abril de 2004.

[12] SCHNEIER, Bruce. Segurana .com: Segredos e mentiras sobre a proteo na vida
digital. Rio de janeiro: Campus, 2001. 403 p.

[13] NORMA NBR ISO/IEC 17799. Cdigo de Prtica para Gesto da segurana da
Informao nas Empresas: itens 6.1.3 e 6.1.4. ABNT Associao Brasileira de Normas
Tcnicas. 01 de dezembro de 2000.

[14] NORMA ISO/IEC 17799. Cdigo de Prtica para Gesto da segurana da


Informao nas Empresas: itens 2.1

ABNT Associao Brasileira de Normas

Tcnicas. 01 de dezembro de 2000.


[15] MODULO SECURITY SOLUTIONS. Ferramenta gratuita ajuda usurios no
combate

fraudes

de

internet.

Disponvel

em:

http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=7&objid=3139&pagenumber=0&idi
om=0. Acesso em: 27 de julho de 2004.

[16]

MODULO

SECURITY

SOLUTIONS.

Glossrio.

Disponvel

em:

http://www.modulo.com.br/pt/page_i.jsp?page=50&tipoid=12&pagecounter=0. Acesso em:


27 de julho de 2004.

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory

PDF criado com verso de teste do pdfFactory Pro. Para comprar, acesse www.divertire.com.br/pdfFactory