SEGURANA

DA INFORMAO
PARA EMPRESAS
Solues simples
Grandes resultados
2

presidente: Abram Szajman

diretor executivo: Antonio Carlos Borges
colaborao: Assessoria Tcnica da FecomercioSP e Srgio Roberto Ricupero,
gerente de Segurana de Informaes Corporativas da Editora Abril

editora

publisher: Luciana Fischer MTB: 55961

editor chefe: Jander Ramon
editora executiva: Selma Panazzo
editor assistente: Andr Rocha

Projeto Grfico

editores de arte: Maria Clara Voegeli e Demian Russo

chefe de arte: Juliana R. Azevedo
designers: ngela Bacon e Cristina Tiemi Sano
produo grfica: Clayton Cerigatto
SEGURANA
DA INFORMAO
PARA EMPRESAS
Solues simples Grandes resultados
Sumrio

1 CUIDADOS NA ESCOLHA
E AQUISIO DE EQUIPAMENTOS 8
a) Equipamentos X adequao s necessidades da empresa 9
b) Fornecedores confiveis, assistncia tcnica e manuteno 10
c) Escolha de softwares de prateleira e customizao 11
d) Inventrio e destinao final dos equipamentos 14

2 CUIDADOS NO GERENCIAMENTO
E GUARDA DE INFORMAES 16
a) Senhas 17
b) E-mail e spam 18
c) Antivrus, firewalls e bloqueios de sites 20
d) Backups e revises peridicas 24

3 ENGENHARIA SOCIAL 26
a) Capacitao da equipe (incluindo a diretoria) e monitoramento 29
b) Contratao de terceiros e colaboradores em geral 33

4 PLANEJAMENTO E OUTROS CUIDADOS 36

a) Consultorias externas e implantao de normas regulamentadoras 39
b) Ateno constante s regras jurdicas 40

5 CONCLUSO 42
6
 7

SEGURANA DA INFORMAO
PARA EMPRESAS
Solues simples - Grandes resultados

O crescente uso da tecnologia nas empresas brasileiras deixou

de ser artigo de luxo, tornou-se uma questo de sobrevivncia
no mercado. E no apenas pelo aspecto da competitividade,
mas tambm para atender s exigncias legais: o empresrio
precisa implementar ferramentas tecnolgicas para cumprir
obrigaes fiscais e trabalhistas, por exemplo.

Neste cenrio, junto com o impulso na demanda por produ-

tos tecnolgicos, aumentou tambm a prtica de ilcitos, tais
como obteno indevida de dados, propagao maliciosa de
vrus e diversos tipos de estelionatos.

Por isso, com o objetivo de, mais uma vez, auxiliar o empres-
rio na busca de melhores prticas para seus negcios, a Feco-
mercioSP apresenta, a seguir, uma relao de dicas e suges-
tes prticas para prevenir ocorrncias indesejveis de crimes
praticados contra empresas por meio de canais tecnolgicos.
1cuidados na
escolha e aquisio
de equipamentos
 9

a) Equipamentos X adequao
s necessidades da empresa

Um dos primeiros passos na busca pela reduo de riscos na

utilizao dos meios tecnolgicos , justamente, a escolha
certa dos equipamentos. Alm da necessidade de aquisio
dos produtos de marcas de renome e de confiabilidade no
mercado, tambm importante que o empresrio tenha plena
conscincia do que sua empresa precisa e aonde quer chegar
com a aquisio de novos equipamentos. preciso ter um
plano. Para comear, o tipo de negcio desenvolvido j pode ser
um bom indicativo das ferramentas necessrias, mas o perfil
dos usurios tambm deve ser considerado. So exemplos de
pontos relevantes no momento da escolha de equipamentos:

tipo do negcio e principais riscos inerentes;

caractersticas tcnicas dos equipamentos e metas da
empresa;
capacidade de memria, velocidade e facilidade no uso;
capacidade de interao com outras mquinas e equipa-
mentos; e,
tempo previsto de obsolescncia.
10

O ideal que a empresa, com base no planejamento estrat-

gico ou metas peridicas pr-definidas, desenvolva tambm
um planejamento tecnolgico. Como as ferramentas no se
justificam por si mesmas, o empresrio deve se perguntar
como a nova tecnologia a ser adquirida pode auxili-lo em
seus objetivos. Com isso em mente, fica mais simples decidir
o que e quanto comprar.

b) Fornecedores confiveis,
assistncia tcnica e manuteno

Uma vez decididos o tipo e a quantidade de equipamentos

a serem adquiridos, o prximo passo definir o fornecedor.
sempre bom lembrar que o empresrio pode ter srios
problemas ao comprar produtos de origem duvidosa, sem
falar naqueles decorrentes da prtica de crimes como pira-
taria, descaminho, contrabando etc. Alm da qualidade de
tais produtos ser evidentemente comprometida, questes
como garantia e assistncia tcnica tambm so prejudi-
cadas. Assim, a aquisio de equipamentos tecnolgicos
para a empresa deve ser vista como investimento na am-
pliao e segurana dos negcios, e no apenas como cus-
tos a serem contabilizados.
 11

Com relao escolha das marcas dos produtos, aconselh-

vel buscar informaes tcnicas completas, bem como a reali-
zao de pesquisa de satisfao de usurios dos equipamen-
tos pretendidos. Neste sentido, a internet uma excelente
fonte de informaes sobre defeitos e vulnerabilidades recor-
rentes nos produtos.

Alm disso, na escolha da marca dos equipamentos, o empre-

srio deve pontuar, os seguintes fatores:

a disponibilidade de assistncia tcnica prxima em-

presa; e,
os custos com peas de reposio da marca ou assistncia tc-
nica dos equipamentos.

C) Escolha de softwares
de prateleira e customizao

Dependendo do tipo de negcio desenvolvido pela empresa, os

softwares comerciais, tambm conhecidos como softwares de
prateleira (Microsoft, por exemplo) j suprem boa parte das
necessidades dirias. Para a aquisio de tais produtos impor-
tante que o empresrio conhea suas principais caractersticas
12

e, acima de tudo, mantenha-se informado a respeito das atuali-

zaes de segurana oferecidas periodicamente pelo fabricante.

Esta medida importante porque, depois que um software

lanado no mercado, o fabricante continua atento s suas
vulnerabilidades. Assim, quando uma vulnerabilidade nova
descoberta, o fabricante imediatamente contata os usurios
e envia, geralmente de forma gratuita, o pacote de atualiza-
es. A empresa que no est devidamente cadastrada junto
ao fabricante (adquiriu um software pirata, por exemplo) ou
no atualiza seu sistema conforme indicao do fornecedor
aumenta potencialmente seus riscos.

Por outro lado, nem sempre os softwares de prateleira so sufi-

cientes: muitas vezes os programas encomendados se transfor-
mam na principal ferramenta do negcio de uma empresa. Por
isso, alm da definio exata das funcionalidades que se espera
do produto customizado, essencial a ateno na contratao
dos profissionais desenvolvedores do programa personalizado.

Assim, a escolha do prestador de servios de desenvolvi-

mento de software para a empresa merece cuidados redo-
brados, atentando-se aos seguintes pontos:
 13

procurar contratar empresa aps prvia e confirmada

indicao de outros parceiros;

conhecer o currculo e confirmar a capacidade dos pro-

fissionais que executaro a atividade;

estabelecer regras de segurana caso os desenvolvedo-

res trabalhem dentro da empresa durante o perodo de de-
senvolvimento;

alocar um profissional da prpria empresa, com conhe-

cimentos tcnicos especficos, para acompanhar todas
as atividades e servios prestados pelos desenvolvedores
do programa;

nunca fornecer senhas da empresa ou dar acesso a da-

dos sensveis para os prestadores de servios. Se necessrio,
estas senhas devem ser manipuladas pelo funcionrio da
empresa que estiver acompanhando os desenvolvedores; e

no permitir cpia dos dados e cadastros pelos prestado-

res de servios. Todas as aes de migrao de dados devem
ser procedidas apenas pelos funcionrios da prpria em-
presa ou, ento, em aes pontuais dos terceiros integral-
mente acompanhadas.
14

d) Inventrio e destinao
final dos equipamentos

Os bens que compem o patrimnio tecnolgico de uma

empresa precisam ser devidamente inventariados, tor-
nando-se possvel o acompanhamento total dos inciden-
tes na vida til dos equipamentos, atualizaes e nvel
de obsolescncia.

Como a tecnologia aperfeioada constantemente, por

questes de segurana, importante que o empresrio
mantenha seus equipamentos em um nvel ideal de atua-
lizao. Por isso, a troca dos equipamentos aps certo tem-
po de uso pode ser a melhor alternativa para a empresa, se
comparada com os custos e riscos com a manuteno e/ou
assistncia tcnica recorrente.

Alguns itens no devem deixar de ser considerados em um

inventrio de ferramentas tecnolgicas:

data de aquisio, com arquivo de notas fiscais e termos

de garantia;
 15

relao cronolgica dos usurios e das atividades para as

quais o equipamento se destina;
identificao dos softwares instalados nas mquinas;
identificao de manipulao por terceiros (assistncia tc-
nica, programadores terceirizados etc.);
identificao de todas as ocasies em que os equipamentos
foram retirados e devolvidos nas dependncias da empresa; e,
data em que o equipamento deixou de ser usando e in-
formaes sobre o descarte ambientalmente correto. Se
houver doao dos equipamentos, importante fazer isso
de forma documentada.

Por fim, encerrada a utilizao de determinado equipamen-

to, nunca demais ressaltar, essencial que se realize a for-
matao completa das mquinas, preferencialmente com
softwares especializados em apagar dados definitivamente,
antes de se proceder destinao final.

Concluda esta providncia, o material pode ser doado a ins-

tituies filantrpicas ou, ainda, a cooperativas de catadores,
que daro a destinao final sustentvel aos materiais.
2cuidados no
gerenciamento
e guarda de
informaes
 17

A) Senhas

Quando se fala em princpios bsicos de segurana da in-

formao, sempre se comea pelo mesmo tema: senhas.
Isto porque, seu compartilhamento ou obteno por meios
indevidos responsvel pela maioria das fraudes mun-
diais realizadas por meios eletrnicos.

As senhas seja de mquinas, cadastros ou sistemas so a

porta de entrada para um banco infinito de informaes alta-
mente relevantes (ora, se no fossem importantes no have-
ria necessidade de senhas, certo?). Exatamente por ter isso em
mente, pessoas mal intencionadas buscam incansavelmente
sua obteno pelos mais diversos meios fraudulentos.

Assim, considerando que o inimigo sempre est atento aos

mnimos deslizes, o gerenciamento das senhas de uma em-
presa merece ateno especial do empresrio. Desde sua
formulao, concesso, at o bloqueio, todas as providn-
cias devem ser muito bem planejadas. Vamos s sugestes:
18

nas regras para a formulao das senhas, exija sempre a va-

riedade por tipos de caracteres letras, nmeros e smbolos;
estabelea e monitore o cumprimento fiel de poltica os-
tensiva de utilizao para funcionrios e colaboradores, com
regras obviamente proibitivas e punitivas relacionadas ao
compartilhamento de senhas com terceiros, ainda que da
prpria empresa; e,
providencie a validade temporal das senhas, que devem ser
obrigatoriamente alteradas em um perodo razoavelmente
curto de tempo (a cada dois meses, por exemplo).

B) E-mail e spam

Se, por um lado, por meio da captao de senhas que gran-

de parte das fraudes se inicia, no se pode negar que, por
outro, por meio dos e-mails que as tentativas de fraude
se propagam.

Como comunicao rpida e barata, o canal de recebimento

de e-mail tem enorme potencial tanto para o bem, quanto
para o mal. Aqui, inevitavelmente, vamos falar dos riscos rela-
cionados ao seu uso.
 19

Por meio de e-mails e spams (e-mails abusivos no solicita-

dos e de cunho comercial) os fraudadores enviam arquivos
para captao de senhas, disseminao de vrus e outros
artifcios para obter informaes sigilosas da empresa.
Voc pode se prevenir com algumas aes simples:

nunca abra anexos de e-mails de pessoas desconhecidas;

analise cuidadosamente a possibilidade de no abrir ane-

xos, se possvel, mesmo de pessoas conhecidas;

nunca efetue ou preencha cadastros de pesquisas enviadas

anexas a e-mails;

delete e-mails supostamente enviados por instituies

bancrias bancos de renome no enviam comunicao
por e-mail;

ao clicar em links enviados por e-mail, confirme na barra de

endereo se voc est sendo direcionado para o local efetiva-
mente desejado (existem muitos links falsos que direcionam
para sites fraudulentos);

crie uma poltica interna de utilizao de e-mails coor-

porativos as regras precisam ser claras, objetivas e com
possibilidade de imposio de penalidades em caso de
inobservncia;
20

utilize ferramentas legais de monitoramento dos e-mails

coorporativos da empresa, com a ampla divulgao desta es-
tratgia aos funcionrios;

instale filtros antispam e atualize-os com regularidade; e,

mantenha os sistemas operacionais sempre atualizados

e originais de seus fabricantes.

C) Antivrus, firewalls
e bloqueios de sites

Hoje em dia, a perda/divulgao de dados e/ou cadastros

de uma empresa pode significar sua falncia total. Por isso,
a proteo dos equipamentos tecnolgicos da empresa
contra ameaas de invaso ou vrus tambm merece ado-
o de medidas preventivas importantes.

No tocante aos antivrus, cujo objetivo principal evitar a

contaminao do computador por malwares (softwares mal
intencionados), pode-se dizer que, atualmente, o mercado
oferece uma gama de solues a baixo custo e que podem ser
interessantes para a empresa.
 21

Exatamente por este motivo, a avaliao de um profissio-

nal da rea de tecnologia importantssima na escolha dos
softwares de proteo em geral, j que, para que a aquisi-
o de uma soluo tecnolgica seja eficaz, preciso defi-
nir quais so os tipos de riscos a que determinada empresa
est sujeita. E os riscos, por sua vez, esto intimamente li-
gados s atividades empresariais exercidas e s modalida-
des de equipamentos utilizados.

Assim, se as atividades da empresa tm estreita relao com o

envio e recebimento de informaes por e-mail, por exemplo, o
antivrus deve ter foco especial neste segmento.

Alm do antivrus, outra forma da empresa ter seu sistema

protegido a utilizao dos firewalls, produtos para blo-
quear acessos no autorizados ao sistema. Para sua aqui-
sio, contudo, tambm aconselhvel que haja a prvia
anlise de um profissional de TI, para que sua implantao
seja estudada em conjunto com a utilizao de todas as
demais ferramentas de segurana da informao existen-
tes na empresa.

Novamente, no se pode deixar de lembrar que todas as

ferramentas de segurana adotadas pela empresa tam-
bm precisam ser atualizadas constantemente, conforme
as indicaes do fabricante.
22

Neste sentido, considerando que o nvel de segurana aumen-

ta na medida em que so ampliadas a variedade e a quali-
dade das solues adotadas, tambm interessante cogitar o
bloqueio, no ambiente de trabalho, de acesso a determinados
sites ou funcionalidades que potencialmente podem trazer
prejuzos. Dentre tais sites podemos citar aqueles que ofere-
cem downloads de programas e contedos, compartilhamen-
to de arquivos, redes sociais em geral e trocas de mensagens,
entre inmeros outros.

Alm disso, se as informaes veiculadas nas mquinas da em-

presa forem de cunho estritamente confidencial (como infor-
maes bancrias e dados cadastrais, por exemplo) pode ser
prudente adotar a estratgia de bloqueio de acesso a e-mails
particulares, bem como a possibilidade de cpia de arquivos das
mquinas em hardwares mveis, como pen drive ou HD externo.

preciso ter cuidado, tambm, com a criao e gerenciamen-

to de redes internas, j que, se, por um lado, facilitam o acesso
a arquivos e informaes de interesse comum, de outro, po-
dem causar estragos coletivos, caso haja a contaminao por
vrus e outras aes criminosas em geral. As redes merecem,
portanto, ateno redobrada de monitoramento e proteo.
 23

Outro ponto que deve ser levado em considerao pelo em-

presrio nos dias de hoje so as solues que ficam resi-
dentes na internet, chamadas de cloud computing. Estas
solues ficam residentes em sistemas profissionais e os
usurios, de modo geral, s necessitam de uma conexo
internet. Assim, esta pode ser mais uma alternativa a ser
avaliada para a estruturao de uma infraestrutura ade-
quada e segura aos negcios das empresas.

Sintetizando:

preveno contra fraudes sinnimo de utilizao de va-

riadas ferramentas, sendo que as minimamente exigidas so
os antivrus, filtros antispam, firewalls e bloqueio de acesso
a certos sites;

as ferramentas adquiridas pela empresa precisam ser

constantemente atualizadas, conforme indicaes dos fabri-
cantes; e,

a anlise das vulnerabilidades da empresa versus as ferra-

mentas adequadas para a proteo desta, deve, preferencial-
mente, ser feita por um profissional de TI.
24

D) Backups e revises peridicas

Independentemente de invases ou ataques, defeitos e fa-

lhas tcnicas nos equipamentos ou softwares adquiridos
sempre podem acontecer. Por isso, a manuteno constan-
te e a verificao das condies dos aparelhos so extre-
mamente importantes para garantir a segurana das in-
formaes. O que, em muitos casos, pode representar at
mesmo a continuidade do negcio.

A substituio de mquinas antigas, a aquisio de equi-

pamentos recentemente lanados e a constante busca
pela modernizao e atualizao de todo o sistema, certa-
mente, auxiliam na diminuio de riscos. E isso indisso-
civel de uma boa poltica de preveno a crimes e fraudes.

Por outro lado, tambm medida fundamental em termos de

segurana que, periodicamente (e, de preferncia, em curto
prazo) seja realizado o backup (cpia de segurana) de todo o
sistema da empresa. Pode parecer exagero, mas as informaes
consolidadas por uma empresa tm valor inestimvel, ainda
 25

que simplesmente perdidas sem favorecimento de um infrator.

Isto porque, em regra, refletem anos e anos de conhecimento e
trabalho acumulado. E, por precauo, tambm no demais
sugerir a realizao de mais de uma cpia de segurana de
tudo, dependendo do grau de relevncia das informaes.

Desta forma, definitivamente no investimento intil a

aquisio de mquinas para arquivos de cpias de todas as
informaes relevantes da empresa.

Pense se todos os seus dados forem perdidos, qual o im-

pacto desta perda sobre o seu negcio?

Em resumo:

a manuteno e a substituio de equipamentos antigos

so importantes;
a utilizao de mquinas de qualidade, evitando-se o uso
de equipamentos sem garantia, o mais indicado; e,
a realizao de backups peridicos essencial.
3engenharia
social
 27

No s os aspectos tcnicos merecem a ateno do empre-

srio que busca aumentar a segurana da informao em
sua empresa. A chamada engenharia social, usada para
cometer fraudes, tambm merece ser seriamente estudada.

Embora o nome assuste um pouco, engenharia social nada

mais do que a utilizao de estratgias para explorar o
lado mais fraco (ou sensvel) do ser humano no intuito de
obter informaes relevantes. o uso de tcnicas para ex-
plorar sentimentos como curiosidade, culpa, solidarieda-
de e medo, para ter acesso aos dados sensveis de pessoas
e empresas. As formas mais corriqueiras so os populares
e-mails de clique aqui e veja as fotos de sua esposa, seu
nome foi includo no Serasa clique aqui para saber o mo-
tivo, atualize os dados de seu token por e-mail etc.

Alm dos conhecidos e-mails de phishing (pescaria de da-

dos), h tambm as fraudes cometidas por telefone (seu
filho foi sequestrado) e envio de mensagens pelo celular
(voc ganhou a promoo do Domingo do Fausto), en-
tre inmeras praticadas amplamente adotadas na busca de
vtimas desavisadas. E o pior: novas armadilhas so inven-
tadas a cada dia, pois, assim que antigas fraudes so desco-
bertas como tal, os criminosos empenham-se na criao de
histrias fraudulentas ainda mais convincentes.
28

Por isso, se o empresrio realmente pretende desenvolver

uma poltica inteligente de segurana da informao, tam-
bm precisa preparar seu contingente humano para prevenir
ataques e, acima de tudo, evitar a consumao de prejuzos.

Para tanto, selecionamos, nos tpicos seguintes, alguns

itens relacionados engenharia social que devem ser ana-
lisadas cuidadosamente nas empresas:
 29

A) Capacitao da equipe (incluindo

a diretoria) e monitoramento

Como dito anteriormente, o principal alvo da aplicao de

tcnicas de engenharia social nos crimes eletrnicos o
conjunto de funcionrios de uma empresa. Quanto menos
preparados forem os empregados, maior a probabilidade
de prejuzos.

Por esta razo, aconselhvel o preparo e treinamento cons-

tante de toda a equipe de colaboradores, incluindo os inte-
grantes da direo da empresa, para atualizao e acom-
panhamento constante das prticas aceitveis. Cursos,
palestras, cartilhas e campanhas peridicas so excelentes
canais para alertar, informar e transformar sua equipe.

Merece cautela especial, tambm, a utilizao das redes

sociais. Pessoas mal intencionadas comumente se aproxi-
mam de funcionrios de certas corporaes apenas para
obter informaes estratgicas para atacar diretamente a
empresa (invaso de sistema, envio de arquivos malicio-
sos, vrus etc.).
30

Por esta razo, muito importante que o empresrio traba-

lhe incansavelmente o alerta aos seus funcionrios sobre a
inadequao da divulgao de informaes no autorizadas
relacionadas empresa nas redes sociais.

Outra estratgia sugerida a formalizao de regras para

uma poltica de utilizao dos equipamentos tecnolgicos:
isto pode ser feito por meio da elaborao de um regula-
mento interno, que dever contemplar, no mnimo, diretri-
zes para os seguintes temas:

fluxo de contedo permitido/proibido por meio dos

e-mails corporativos;

relao e/ou tipo de sites cujo acesso considerado

inadequado;

regras sobre a divulgao de informaes da empresa

em redes sociais;

regras sobre a utilizao de hardwares mveis (pen drive

etc.) e acesso a contas pessoais de e-mail;

regras sobre a formulao de senhas e proibio de seu

compartilhamento;
 31

disposies sobre a guarda e o sigilo de informaes

da empresa;

preceitos sobre permisso/proibio de downloads de ar-

quivos diversos nos computadores da empresa;

alerta para os tipos de fraudes recorrentes praticadas pela

internet (este item precisa de atualizao constante, sendo
o ideal que, assim que o departamento de TI identificar um
tipo novo de fraude, todos os colaboradores sejam comuni-
cados imediatamente); e,

aviso ostensivo sobre o monitoramento do uso das ferra-

mentas tecnolgicas pelo empregador (e-mail corporativo e
acesso internet, entre outros), se for o caso.

Com relao possibilidade de monitoramento eletrnico

de e-mail, cabe aqui um esclarecimento importante. Em-
bora ainda haja certa discusso sobre o tema, o assunto
tem sido pacificado por decises do Poder Judicirio no se-
guinte sentido: se o e-mail/sistema da empresa e h avi-
sos ostensivos de que o equipamento para uso exclusivo
em servio e est sendo supervisionado, o monitoramento
considerado legtimo. E, dependo da gravidade do fato
32

ocasionado pelo uso indevido pelo funcionrio, pode at

mesmo fundamentar uma dispensa por justa causa.

Falando em mau procedimento dos funcionrios, bom lem-

brar que, ao lado da preocupao com os ataques de pessoas
externas, o empresrio, complementarmente, precisa estar
alerta ao cometimento de ilcitos por integrantes de sua
equipe. Nos termos da legislao civil em vigor, o proprie-
trio de uma empresa pode ser responsabilizado pelos atos
praticados pelos empregados e, havendo danos a terceiros, o
empregador poder ser obrigado a repar-los.

Tambm importante frisar que, de acordo com o Estatuto

da Criana e do Adolescente, se o empregado praticar pedo-
filia (armazenar ou divulgar fotos de pornografia infantil, por
exemplo) atravs das ferramentas tecnolgicas fornecidas pelo
empregador, este ltimo poder ser responsabilizado se tiver
conhecimento de tal prtica e no fizer nada para imped-la.

Ou seja, capacitao, cuidado e acompanhamento do uso

das ferramentas tecnolgicas pelos funcionrios tambm
so medidas impositivas altamente relevantes na preven-
o de danos dentro de uma empresa.
 33

B) Contratao de terceiros
e colaboradores em geral

Alm de treinamento e regras para os funcionrios, salu-

tar o estabelecimento de regras e critrios para contrata-
o e prestao de servios por parte de fornecedores em
geral, principalmente aqueles que podem, eventualmente,
ter acesso aos sistemas da empresa.

Primeiramente, para as contrataes iniciais, em especial

aquelas realizadas pela web, preciso buscar indicaes
confiveis de outros clientes do fornecedor e confirmar se
os dados publicados nos sites so verdadeiros (telefone, en-
dereo, tempo de existncia da empresa etc.).

Outro aspecto importante a ser verificado refere-se for-

mao e capacitao tcnica comprovada dos prestadores
de servios profissionais desatualizados ou com conhe-
cimento tcnico limitado podem no s prejudicar todo o
conjunto tecnolgico de uma empresa, como tambm oca-
sionar a perda definitiva de dados importantes.
34

Tambm no podem ser esquecidas as precaues de praxe

no acesso, pelos terceiros, aos dados e sistemas operacionais
da empresa: regras precisam ser definidas no tocante ma-
nipulao e possibilidade de cpias, conforme descrito no ca-
ptulo 1, C, deste trabalho. E, havendo regulamento interno
para utilizao das ferramentas tecnolgicas em uma empre-
sa, todos os colaboradores, inclusive terceiros, devem segui-lo.

Assim, interessante que no contrato escrito de prestao

de servios tecnolgicos por terceiros, seja de assistncia
tcnica, manuteno peridica, fornecimento de equipa-
mentos e desenvolvimento de software, entre outros haja
o estabelecimento prvio e claro de todas as regras bsicas
de segurana adotadas pela empresa e que, se quebradas,
sujeitaro o contratante a uma penalidade que pode ser
multa ou at mesmo a resciso do contrato.

Finalmente, tambm importante enfatizar que a terceiri-

zao de servios na rea de tecnologia da informao deve
seguir rigorosos padres jurdicos para a sua completa con-
figurao. Se houver desvio das finalidades contratuais (ter-
 35

ceirizao da atividade fim da empresa, por exemplo) e, prin-

cipalmente, nas hipteses em que o servio for prestado por
pessoa fsica, com subordinao, habitualidade e mediante
salrio, poder ficar caracterizada uma relao de emprego
(nos termos da Consolidao das Leis do Trabalho), e no de
uma simples prestao de servios terceirizados.

Neste caso, desvirtuada a terceirizao, sero devidas aos

trabalhadores envolvidos todas as verbas trabalhistas de-
correntes da relao de trabalho, independentemente de o
servio ter sido prestado dentro da empresa (na sede, filiais
etc.), fora dela ou por empresa interposta.

Alis, reforando este entendimento, recentemente foi pu-

blicada a Lei 12.551/2011, tambm conhecida como Lei do Te-
letrabalho, que definiu no haver distino, para fins de re-
conhecimento dos direitos trabalhistas, entre trabalhadores
que prestam servio dentro da empresa e aqueles que reali-
zam o servio distncia (em casa ou outros locais), desde
que estejam caracterizados os pressupostos da relao de
emprego (subordinao e habitualidade, por exemplo).
4
planejamento
e outros cuidados
 37

Bem, como visto at aqui, quando se fala em segurana

da informao, obrigatoriamente se considera a tomada e
conjugao de diversas providncias de naturezas variadas.

Desta forma, para organizar a adoo de todas estas me-

didas essencial a elaborao de um planejamento estra-
tgico para todo o sistema tecnolgico, com indicao de
objetivos, metas e aes estruturantes.

Evidentemente, para a elaborao de um plano eficaz e fac-

tvel, o auxlio de profissionais experientes em cada uma
das reas a ser trabalhada impositivo. Assim, contando
sempre com a ajuda de especialistas, interessante que o
empresrio enumere providncias e prioridades que pre-
tende executar, tendo em vista, alm da segregao dos as-
suntos por natureza:
38

os fatores de maior vulnerabilidade de seu sistema;

os pontos frgeis que podem trazer grandes prejuzos fi-
nanceiros e de imagem, entre outros;
as medidas mais fceis e de baixo custo, com resultado
imediato;
as aes dispendiosas, mas com resultados importantes
em curto prazo;
a forma de organizao da documentao de todas
as mudanas e aquisies; e,
as providncias para manuteno e acompanhamento
da nova estrutura.

Este ltimo ponto to importante quando a tomada inicial

de providncias, pois somente o monitoramento e a reviso
constante de todas as ferramentas garantiro a solidez e os
resultados esperados da estrutura montada.

Apresentamos, a seguir, outros pontos que podem auxiliar

o empresrio no planejamento e manuteno com segu-
rana de seu sistema:
 39

A) Consultorias externas
e implantao de Normas
Regulamentadoras

Alm dos acompanhamentos internos a serem regularmen-

te realizados, tambm tem sido adotada por muitas empre-
sas a estratgia de contratao de auditorias/consultorias
externas para a verificao peridica do sistema. A grande
vantagem desta providncia que ao mesmo tempo pode-
-se aferir e confirmar a qualidade tcnica dos profissionais
internos e, por outro lado, tambm se pode obter sugestes
de medidas complementares a serem adotadas.

O acompanhamento por terceiros garante, assim, a atuali-

zao constante do sistema e o acompanhamento da qua-
lidade tcnica dos funcionrios de TI da prpria empresa.

Alm deste tipo de servio, a empresa pode tambm op-

tar pela adoo das normas e padres tcnicos expedidos
pela Associao Brasileira de Normas Tcnicas (ABNT), que
culminaram na certificao da empresa em, por exemplo,
gesto de riscos da informao.
40

Para este assunto especfico, inclusive, existe a Norma ISO

27.005 que trata detalhadamente da gesto de riscos de
segurana da informao, bem como outras da srie ISO
27.000 que podem ser empregadas como orientaes gerais
para a gesto da segurana nas organizaes. H, tambm,
as normas do Payment Card Industry (PCI) e do Data Secu-
rity Standard (DSS). Obtendo estas certificaes, a empresa,
alm de garantir processos internos eficientes, demonstra-
r, publicamente, a parceiros e clientes sua transparncia e
preocupao na gesto da segurana de seus dados.

B) Ateno constante
s regras jurdicas

Ao lado dos aspectos tcnicos e organizacionais da seguran-

a da informao, igualmente importante que o empresrio
esteja atento aos cuidados jurdicos necessrios para execu-
tar as medidas de proteo de seus dados. Alguns pontos a
serem considerados so:
 41

anlise e atualizao dos contratos com clientes,

com ateno ao Cdigo de Defesa do Consumidor (CDC) e
outras leis relacionadas;

anlise e atualizao dos contratos de trabalho dos funcion-

rios e/ou criao/atualizao de regulamento interno relativo ao
uso das ferramentas tecnolgicas da empresa;

anlise e atualizao dos contratos com fornecedores rela-

tivamente s regras de segurana da informao, comparti-
lhamento e divulgao de dados; e,

adoo de medidas jurdicas para prevenir ou combater

eventuais ameaas ou leses ao direito da empresa segu-
rana da informao.
5concluso
 43

No decorrer deste pequeno consolidado de dicas foi pos-

svel perceber que a segurana da informao algo que
merece ateno especial nas empresas, ainda mais em um
mundo em que os negcios, aquisies e transaes circu-
lam cada vez mais pelos meios tecnolgicos e virtuais.

Neste cenrio, para uma empresa se manter sadia e produ-

tiva, imprescindvel que faa, periodicamente, o checkup de
todo o seu sistema operacional, garantindo, assim, a conti-
nuao da produtividade e de novos negcios.

Contudo, para que isso seja possvel, faz-se necessria a

formulao de planejamento estruturado que contemple
medidas de naturezas diferentes que, devidamente con-
jugadas, formaro a armadura de proteo da empresa.
Esta armadura pode, ento, ser confeccionada com base
nos seguintes fatores:
44

avaliao sobre os riscos a que seu negcio est sujeito;

cuidado na aquisio de equipamentos, produtos e servios;

gerenciamento, guarda e proteo adequada de infor-

maes;

gerenciamento dos softwares, de modo geral, em relao

s suas atualizaes;

medidas de preveno contra tcnicas de engenharia social;

planejamento, organizao e acompanhamento contnuo.

preciso entender que a segurana um processo contnuo
e cclico e que deve ser reavaliada periodicamente; e,

ateno aos detalhes jurdicos.

 45

Finalmente, no se pode negar que ataques covardes e

pessoas mal intencionadas, infelizmente, sempre existiro.
Entretanto, se o empresrio estiver devidamente prepara-
do para enfrentar esta realidade, ao invs de desapontar
clientes, parceiros comerciais, ou, simplesmente lamentar
os prejuzos, poder exercer seu papel de protagonista em
segurana da informao e, com medidas simples, passar
a frustrar planos de criminosos.

Enfim, nos dias atuais o empresrio precisa entender

que a sociedade demanda por segurana, urgentemen-
te, em todos os seus aspectos. Seja no mundo real ou no
mundo virtual.
46
47
48

Aqui tem a presena do comercio