Escolar Documentos
Profissional Documentos
Cultura Documentos
INFORMAÇÃO
PESSOAS REPRESENTAM O MAIOR DESAFIO
OLIVEIRA MG
2015
CARLOS ALBERTO SILVA
ESPECIALISTA EM GESTÃO DA
SEGURANÇA DA INFORMAÇÃO
OLIVEIRA MG
2015
LISTA DE ABREVIATURAS E SIGLAS
BYOD - Bring Your Own Device - Traga Seu Próprio Dispositivo.
ERP - Enterprise Resource Planning - Planejamento de Recursos
Empresariais.
SGBD - Sistema Gerenciador de Banco de Dados.
TI - Tecnologia da Informação.
SUMÁRIO
APRESENTAÇÃO
CAPÍTULO 1 INTRODUÇÃO
1.1. A EVOLUÇÃO DOS MEIOS DE COMUNICAÇÃO E
INFORMAÇÃO
1.2. AS PESSOAS E A SEGURANÇA DA INFORMAÇÃO
1.3. OBJETIVOS
CAPÍTULO 2 DADO E INFORMAÇÃO
2.1. DADO
2.2. INFORMAÇÃO
2.3. BANCO DE DADOS
2.4. BACKUP
2.5. SISTEMA GERENCIADOR DE BANCO DE DADOS
2.6. SISTEMAS DE INFORMAÇÃO
CAPÍTULO 3 VALOR DA INFORMAÇÃO
3.1. PESSOAS
3.2. ORGANIZAÇÕES
3.3. ENTIDADES VIRTUAIS
CAPÍTULO 4 SEGURANÇA DA INFORMAÇÃO
4.1. SEGURANÇA DE DADOS E INFORMAÇÃO
4.2. RECURSOS FÍSICOS
4.3. RECURSOS LÓGICOS
4.4. RECURSOS HUMANOS
4.5. DESCARTE DE DOCUMENTOS IMPRESSOS
4.6. COMUNICAÇÃO
CAPÍTULO 5 SEGURANÇA DA INFORMAÇÃO EM SISTEMAS
5.1. SEGURANÇA DA INFORMAÇÃO EM REDES
5.2. SEGURANÇA DA INFORMAÇÃO EM BANCOS DE DADOS
5.3. SEGURANÇA DA INFORMAÇÃO EM SOFTWARES
CAPÍTULO 6 O ELO MAIS FRACO
DA SEGURANÇA DA INFORMAÇÃO
6.1. FALTA DE ATENÇÃO
6.1.1. E-MAILS
6.1.2. COMPRAS ONLINE
6.1.3. REDES SOCIAIS
6.1.4. SERVIÇOS PRESTADOS NA INTERNET
6.1.5. CARTÕES BANCÁRIOS
6.2. COPIAR E COLAR
6.3. SUPEREXPOSIÇÃO NA INTERNET
6.4. EDUCAÇÃO DIGITAL
6.5. ENGENHARIA SOCIAL
CAPÍTULO 7 INFORMAÇÕES PESSOAIS
7.1. IDENTIDADE FALSA EM AMBIENTES VIRTUAIS
7.2. USO CORRETO DE SENHAS
7.2.1. SEGURANÇA
7.2.2. ALTERAÇÃO
7.2.3. MEMORIZAÇÃO
7.2.4. COMPARTILHAMENTO
7.3. USO DE DISPOSITIVOS MÓVEIS
CAPÍTULO 8 INFORMAÇÕES CORPORATIVAS
8.1. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
8.2. PLANO DE CONTINUIDADE DE TI
8.3. TERMO DE CONDUTA DIGITAL
8.4. BYOD
CAPÍTULO 9 CONSIDERAÇÕES FINAIS
9.1. VALOR DA INFORMAÇÃO
9.2. SEGURANÇA DA INFORMAÇÃO
9.3. O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
REFERÊNCIAS
APRESENTAÇÃO
Nunca se falou como se fala atualmente em segurança da informação.
Este tema é debatido cada vez mais, principalmente em ambientes
corporativos, nos quais gestores buscam constantemente formas de proteção
ao maior ativo de uma organização, a informação. Mas, o tema vem
ganhando espaço em outros ambientes também, cenário em que as pessoas se
preocupam com a proteção de seus dados pessoais.
A proteção da informação é algo que precisa ser praticado por todas as
pessoas e quanto a ambientes organizacionais, esta envolve todos os
departamentos. É importante destacar que a proteção a dados não é apenas
responsabilidade de profissionais de TI, que não se pode ter segurança da
informação quando as atenções estão voltadas apenas para ferramentas
tecnológicas de proteção a dados e que o uso adequado de informações é
dever de cada ser humano.
Informações organizacionais possuem alto valor para os negócios, pois
quando não há proteção desta, processos organizacionais podem ser
interrompidos e destruir empresas.
Quanto à informações pessoais, estas também apresenta alto valor para
cada ser humano, uma vez que pessoas dependem de seus dados pessoais
para realizar atividades diárias, ou ainda, informações pessoais apresentam
valor sentimental para cada pessoa.
Este livro apresenta as principais formas de proteção a dados e qual é o
maior desafio da segurança da informação, assim como os métodos para
vencer tal desafio, o que pode dar alto nível de proteção a dados pessoais e
corporativos.
CAPÍTULO 1 INTRODUÇÃO
A informação representa a base de todo desenvolvimento e avanço
realizado por pessoas, organizações, cidades, estados e nações. Sem
informação o ser humano e as organizações não conseguem realizar nada e
não chegam a lugar algum. É por meio da informação que as pessoas se
qualificam, as organizações se desenvolvem, os cientistas avançam em suas
pesquisas, cidades, estados e países conseguem obter progresso para a
população, dentre outras situações.
Da mesma maneira que é possível conseguir grandes avanços por meio
da informação, o uso indevido desta permite também a causa de grandes
prejuízos para as pessoas e entidades em geral. É por meio do uso indevido
da informação que organizações vão à falência, famílias são destruídas,
empresas, políticos e pessoas arranham suas imagens, profissionais ficam
desempregados, empresas sofrem prejuízos, crianças e adolescentes
desenvolvem traumas, ETC.
Através do que foi exposto anteriormente, pode-se notar que a
informação possui um valor inestimável para todos e por tal motivo, precisa
ser protegida.
No cenário atual, a segurança da informação é um assunto que vem
ganhando espaço. Com a evolução tecnológica ocorrida nos últimos anos, o
número de informações geradas todos os dias é enorme e este número só
tende a crescer. A TI (Tecnologia da Informação) está presente na vida de
qualquer pessoa hoje em dia e as ações pessoais e corporativas geram
milhões de dados a cada minuto.
Os dados, representados muitas vezes por textos, imagens, áudios ou
vídeos, que quando relacionados e organizados se tornam informações,
gerados por pessoas e organizações, muitas vezes precisam ser armazenados
e tal armazenamento deve ser realizado de forma adequada. Grande parte
destes dados e informações representa algo muito valioso não só para o
mundo corporativo, mas também para a vida de qualquer indivíduo.
Desta forma, as informações que estão armazenadas em vários
dispositivos eletrônicos ou qualquer outro meio devem estar seguras,
objetivando garantir que somente pessoas e entidades autorizadas tenham
acesso aos dados, que as informações tenham integridade e que estejam
disponíveis sempre que for preciso.
Visando a estes objetivos, existem atualmente diversos mecanismos
que foram desenvolvidos para proteger informações. Estes mecanismos vão
desde recursos físicos a recursos lógicos, que muitas vezes proporcionam alto
grau de segurança aos dados. No entanto, todos os mecanismos
desenvolvidos para garantir a segurança da informação são operados por
seres humanos. Além disso, muitas informações confidenciais são acessadas
também por pessoas, que nem sempre conseguem garantir tal segurança.
Assim, pessoas podem cometer falhas ao utilizar componentes que garantem
a segurança da informação, ou podem por algum meio e talvez, por algum
descuido levar a público informações sensíveis.
Informações confidenciais ou secretas podem vir a público no caso de
alguma falha cometida por alguma pessoa ao operar algum sistema de
informação, ou algum mecanismo de segurança da informação.
Como exemplo, suponha uma situação onde uma pessoa sai de casa e
por algum motivo, esta pessoa se esquece de trancar a porta. Já que a porta
está aberta, outra pessoa pode entrar e roubar seus bens pessoais. Sendo
assim, não ocorreu uma falha de segurança, mas sim, uma falha humana.
O mesmo pode ocorrer com sistemas de informação, onde tais sistemas
são utilizados por seres humanos e por alguma falha humana as informações
podem se tornarem públicas ou serem acessadas por pessoas ou entidades não
autorizadas.
Para exemplificar, imagine um ambiente bancário, onde um funcionário
precisa sair por algum momento e se esquece de bloquear o sistema que
utiliza. Este funcionário possui credenciais que dão acesso a informações
sigilosas dos clientes e como o sistema está desbloqueado, outra pessoa pode
realizar alterações nos dados e causar prejuízos financeiros a alguém.
Como no exemplo anterior, não houve uma falha de segurança por
parte do sistema de informação. Neste exemplo a falha detectada é humana,
uma vez que o funcionário deveria ter bloqueado o sistema ao sair e não o
fez.
Informações podem vir a público não só por uma falha humana, mas
por um usuário mal intencionado. Ou seja, ao acessar dados sigilosos de
alguém, ou de alguma empresa, o usuário os divulga para outra pessoa ou
organização que não está autorizada a acessar tais dados. Isto pode ocorrer
por diversos motivos, dentre os quais estão ganhos financeiros, promoções
profissionais, vinganças, entre outros.
Pode ser ainda que informações sigilosas se tornem públicas por meio
de simples conversas. Ou seja, uma pessoa que possui acesso a informações
secretas pode acabar revelando para alguém tais informações por meio de
uma conversa informal, técnica de obtenção de informação sensível
conhecida como engenharia social.
O vazamento de informações sigilosas por meio de conversas pode
ocorrer por diversos motivos. Pode ser que o usuário que possui acesso a tais
informações não saiba o exato valor da informação, pode ser também que
este mesmo usuário confie na pessoa com quem está conversando e por isso
acredita que não haverá problemas ao lhe entregar as informações, dentre
outras situações.
1.3. OBJETIVOS
Este livro tem como objetivo apresentar o que é informação e seus
diferentes valores, o que representa a segurança da informação e os pilares
que compõem a mesma, as possíveis formas de proteção a dados e qual é o
maior desafio para garantir a segurança da informação.
CAPÍTULO 2 DADO E INFORMAÇÃO
2.1. DADO
Dado representa um elemento que quando não relacionado a outros
dados não possui valor algum. Ou seja, quando se tem apenas um dado, não é
possível realizar nenhuma ação ou desenvolvimento por meio deste dado.
Além disso, quando se tem um conjunto de dados, que não estão dentro de
um contexto, também não existe a possibilidade de se chegar a valor algum.
Como exemplo, imagine uma situação na qual alguém está andando em um
supermercado e visualiza o número 30 em um produto. Este número está em
um produto, não possui nenhuma indicação e não há nenhum elemento
próximo ao mesmo que possa ser relacionado a este número. Esta pessoa
então pode ter inúmeras dúvidas:
1) Este número representa o peso do produto?
2) O número representa o custo do produto?
3) O número 30 se trata da quantidade de algum componente que há
no produto?
Assim, pode-se concluir que este número não possui valor algum,
representa apenas um dado, uma vez que por meio deste não é possível obter
nenhuma resposta, não é possível realizar alguma ação, não se consegue
relacioná-lo a outro dado e gera muitas dúvidas.
Pode-se entender então, que dado representa um elemento, que não
possui valor algum, se não for relacionado a outros dados. Ou seja, se não
estiver dentro de um contexto.
2.2. INFORMAÇÃO
Informação é representada por um conjunto de dados relacionados e
organizados, sujeitos a alterações, que permite passar algum valor e por meio
desta desenvolver algo, ou alcançar algum objetivo.
Imagine uma situação na qual a empresa X possui 3000 funcionários,
dentre os quais existem 10 pessoas com o nome Carolina. O presidente desta
organização decide chamar Rogério, o diretor de operações da empresa e diz
a ele que é necessário marcar uma reunião entre eles e Carolina.
Neste caso, o presidente transmite ao diretor de operações uma
informação, a de que é necessário marcar uma reunião entre eles e outra
pessoa, mas há um dado solto nesta informação. Quem é Carolina?
O diretor de operações pode ter as seguintes dúvidas:
1) Carolina é uma das funcionárias da empresa?
2) Se Carolina é uma das funcionárias, de qual departamento?
3) Se Carolina não é uma das funcionárias, quem é Carolina?
Verifica-se neste contexto, que há um dado que não possui valor algum,
uma vez que não se relaciona com nenhum outro dado. Assim, se o
Presidente da empresa disser a seu diretor de operações: “Precisamos realizar
uma reunião entre nós e a diretora financeira, Carolina.”, trata-se neste caso
de uma informação completa, onde não possui nenhum dado souto,
desorganizado, ou não relacionado a outros.
Diante do que foi exposto, conclui-se que informação é um elemento
válido, composto por diversos dados, organizados e relacionados, que juntos
transmitem algum valor, permitem uma tomada de decisão, obtenção de
conhecimento, desenvolvimento de algo, realização de uma ação, ou avanço
em alguma pesquisa.
2.4. BACKUP
O backup é a cópia dos dados de uma base de dados, com o objetivo de
garantir a segurança de todos os dados armazenados em um banco. A cópia
de uma base de dados pode ser realizada totalmente, ou se pode realizar
cópias somente dos dados mais críticos para a organização.
É recomendável que a base de dados cópia seja armazenada em local
diferente de onde está armazenada a base de dados original. É importante
ainda que de acordo com os índices de riscos, exista uma distância mínima
entre o local onde está a base de dados original e o local onde se encontra a
cópia da mesma.
A periodicidade da realização de backups varia de acordo com cada
organização. O estabelecimento do período da realização de cópias de
segurança em cada empresa deve levar em conta o valor das informações
armazenadas, os riscos existentes, o número de transações realizadas por dia
ou hora, a estrutura do ambiente de TI, entre outros fatores que podem
influenciar diretamente no desempenho da empresa e na recuperação dos
dados.
Por exemplo, em instituições financeiras o backup é realizado
constantemente, praticamente a cada minuto. Ou seja, qualquer transação
realizada é gravada no banco de dados original e imediatamente é gravada na
base de dados cópia também, técnica que é conhecida como replicação de
dados. Além disso, estas organizações possuem diversas bases de dados
cópia, com o objetivo de estabelecer um alto nível de segurança aos dados.
3.1. PESSOAS
Quando se diz que toda informação possui algum valor, isto ocorre
porque o conjunto de dados que compõem cada informação possibilita a
realização de alguma ação. Nem sempre o valor que tem uma informação é o
mesmo para duas ou mais pessoas.
Suponha uma situação onde ocorre uma conversa entre um especialista
em segurança da informação e uma médica. Estas duas pessoas, Marcos e
Laura, Marcos representa o especialista em segurança da informação e Laura
representa a médica, relatam um ao outro as experiências e desafios de cada
profissão.
Marcos conta para Laura, que um de seus maiores desafios é manter a
segurança dos dados da empresa onde ele trabalha. Assim, fala para Laura
quais são as ações necessárias para obter tal segurança e o que cada pessoa
deve realizar para diminuir os riscos da organização, relacionados à
segurança da informação.
“Cada usuário deve bloquear o sistema ao sair de seu local de trabalho,
para que dados não sejam alterados por alguma pessoa de forma indevida. No
entanto, alguns funcionários se esquecem disso e eu preciso monitorar cada
usuário constantemente.”, diz Marcos.
Ao ouvir o que Marcos diz, Laura entende como é o trabalho de Marcos
e sua preocupação. Porém, por não trabalhar com segurança da informação e
não conhecer a fundo todos os mecanismos, desafios e principais
conseqüências na falta desta, para Laura a Segurança da informação pode não
parecer algo tão importante assim.
Laura também fala sobre sua profissão para Marcos e conta como é
cada dia, suas experiências e desafios.
“É muito triste ver a situação da saúde em alguns hospitais. Muitos
pacientes não têm dinheiro nem para comprar o medicamento que lhes foi
receitado. Sem falar na falta de leitos, de atendimento, pessoas em macas
pelos corredores, entre outras situações. Quase sempre vejo isso acontecendo
e em vários momentos, infelizmente não posso fazer nada.”, diz Laura.
Ao ouvi-la, Marcos também a entende, mas não tem a exata noção de
como é viver esta situação. Ou seja, a informação de que muitos hospitais
funcionam em situação precária, que muitos pacientes não são atendidos
como deveria e que muitas vezes os médicos e outros funcionários não
possuem condições de fazer algo, não representa talvez a real situação, uma
vez que Marcos pode nunca ter vivenciado situações parecidas.
Além disso, pode ser que Marcos não saiba o quão importante é o
atendimento rápido em algumas situações, quais são as conseqüências se
algum medicamento faltar a um paciente, dentre outras informações.
Verifica-se nos dois exemplos dados anteriormente, que o valor da
informação em algumas situações é completamente diferente de uma pessoa
para outra.
Para Marcos, garantir a segurança dos dados na empresa onde trabalha
é um desafio que ele precisa enfrentar todos os dias, pois se uma informação
secreta vier a público pode causar um grande prejuízo financeiro. Desta
forma, o valor não só de uma informação, mas de todos os dados da empresa
onde Marcos trabalha, para ele é muito importante.
Para Laura, seu grande desafio é prestar um trabalho de qualidade a
seus pacientes, porque se forem mal atendidos, dependendo da situação, o
paciente pode sofrer sérias complicações de saúde.
Voltando ao exemplo, quando Marcos vai ao médico, ele pode não
entender o quão importante é a prescrição correta de um medicamento e
ainda, para Marcos, se ele deixar de tomar um comprimido ou outro, não irá
fazer diferença alguma em seu tratamento.
O mesmo ocorre com Laura, ao utilizar um sistema de informação que
exige autenticação de usuário. Laura pode imaginar que não há nenhum
problema em passar sua senha para algum amigo, ou até mesmo não sair do
sistema quando não irá utilizá-lo mais.
O valor da informação para as pessoas pode variar por diversas razões.
Este valor é variável de acordo com o conhecimento que cada pessoa possui,
com as experiências e vivências de cada um, ou com a profissão que exerce
ou já exercida por cada pessoa.
Em outras situações o valor da informação é invariável. Para qualquer
pessoa o valor de uma informação pode ser o mesmo independentemente de
qualquer razão. É o que ocorre quando se trata de valores financeiros ou
dados pessoais.
Imagine uma situação hipotética na qual uma propaganda informa que
o preço de um produto é R$115,90 (cento e quinze reais e noventa centavos),
somente amanhã, dia de uma grande promoção de uma loja.
A informação passada por esta propaganda representa o mesmo para
qualquer pessoa, por isso o valor desta informação é invariável.
Outra situação onde o valor da informação é invariável se trata de
dados familiares. Ou seja, quando alguém diz que é filho de alguma pessoa
ou irmão de outra, para qualquer pessoa que recebe uma informação desta
natureza, seu valor é invariável.
3.2. ORGANIZAÇÕES
Assim como para as pessoas, o valor da informação para as
organizações pode ser variável em algumas situações e invariável em outras,
isto depende do contexto em que a informação se encontra.
O valor da informação pode se tornar alto para uma empresa, se ocorrer
a descoberta de algo, que possibilite a redução de custos de fabricação, por
exemplo, o que traz como conseqüência a maximização dos lucros.
Como exemplo, suponha uma situação em que uma empresa produtora
de etanol descobre uma nova tecnologia, que pode ser utilizada na produção
do produto e que tal tecnologia reduz os custos de fabricação. Esta
informação para a empresa se torna muito valiosa e certamente sua equipe irá
em busca de novos conhecimentos para utilizar esta tecnologia.
No mundo dos negócios qualquer informação pode ser válida para as
organizações, por isso muitas empresas investem constantemente em seus
colaboradores, com o objetivo de torná-los cada vez mais capacitados e desta
maneira, reduzir custos e maximizar os lucros.
Neste ambiente altamente competitivo as organizações estão
diariamente em busca das mais diversas informações possíveis e tentam
muitas vezes atender seus clientes da melhor forma que podem.
Isto pode ocorrer em uma loja de calçados, por exemplo, onde a
empresa busca informações para melhorar a forma de realizar a abordagem
ao cliente, suas propagandas, seus meios de pagamento, a pós-venda e a
relação com o cliente em geral.
Muitas empresas vão além. É o caso de organizações que não se
preocupam apenas com seus clientes, estas empresas procuram informações
de como podem melhorar a relação com seus colaboradores. Estas
organizações entendem que o colaborador precisa estar satisfeito em seu
ambiente de trabalho, gostar do que faz, ser valorizado pelo trabalho que
realiza e que a organização irá ajudá-lo sempre que for necessário.
Mas assim como para estas organizações a satisfação do cliente e do
colaborador é fundamental para a maximização dos lucros, esta informação
pode não ter valor algum para outras empresas. Pode ser que outras empresas
entendam que devem apenas prestar seu atendimento aos clientes, de maneira
comum, sem buscar informações sobre a satisfação de seus clientes,
funcionários e fornecedores.
Entende-se então que o valor da informação no mundo dos negócios é
relativo e varia de acordo com a cultura organizacional. Se o grupo diretivo
compreende que a relação da organização com seus clientes, colaboradores e
até com a comunidade na qual está inserida, precisa ser aprimorada sempre,
qualquer informação pode ter um valor alto para esta. No entanto, aquela
organização que não está atenta às mudanças ocorridas todos os dias, muitas
informações não possuem valor algum para a mesma e informações
consideradas por muitos como valiosíssimas podem passar despercebidas aos
olhos de alguns administradores.
Organizações que se preocupam com seus clientes, colaboradores e
comunidade, geralmente valorizam muito qualquer informação e estão
constantemente focadas em manter também a segurança de suas informações.
Estas organizações buscam conhecimentos, novas técnicas e diferentes
estratégias de negócios para atrair mais clientes, por isso conhecem os riscos
a que seus dados estão expostos.
Empresas como estas realizam também diversos treinamentos para seus
colaboradores, com o intuito de deixar claro para todos, o quão importante é a
segurança da informação e entendem que esta segurança deve ser realizada
por meio de barreiras físicas e lógicas, mas que para garantir tal proteção
efetivamente o foco principal deve estar em seus colaboradores. São os
colaboradores, incluindo funcionários, fornecedores e parceiros, que muitas
vezes podem levar informações estratégicas, de clientes e outras a público,
resultando em grandes prejuízos.
Um colaborador de uma organização pode tornar pública uma
informação por diversos fatores, sendo que muitas vezes isto não ocorre de
forma intencional, mas sim, por algum descuido ao utilizar um sistema de
informação.
Porém, uma informação organizacional pode vir a público por meio de
um funcionário insatisfeito com o local de trabalho, ou algum funcionário
que foi desligado da empresa. Desta forma, é importante estabelecer uma boa
política de segurança da informação, com o objetivo de evitar o vazamento de
informações críticas.
Muitas organizações entendem também que o treinamento dado a seus
colaboradores não deve abordar apenas a importância da segurança da
informação, mas a utilização correta do sistema de informação adotado por
cada empresa. A operação correta deste sistema é um dos grandes fatores que
evitam o vazamento de dados, ou outro incidente.
Colaboradores que fazem uso de um sistema de informação de maneira
inadequada podem liberar o acesso a dados para pessoas não autorizadas, ou
apagar dados sigilosos sem querer.
Os dados organizacionais devem estar muito bem protegidos, porque a
competitividade existente atualmente exige que cada organização crie novas
estratégias a todo o momento, o que pode elevar o valor das informações para
concorrentes.
Outra situação que se pode notar que o valor da informação é variável
para diferentes organizações é o que ocorre em relação às redes televisivas.
Com o avanço da internet, muitas organizações deste meio começaram
a enxergar que o foco não deve estar apenas nas atrações que podem ser
exibidas na televisão, mas também na interação com o público por meio da
internet.
Algumas redes televisivas estão cada vez mais interagindo com o
público através de seus sites, portais e até mesmo por aplicativos para uso em
dispositivos móveis.
A informação de que a internet se for bem utilizada pode se tornar uma
grande aliada e que por meio de diversas tecnologias a interação com o
público pode se tornar maior quando se trata de redes televisivas, pode ser
valiosa para algumas organizações e para outras não. Para outras
organizações de televisão basta apenas desenvolver um site, mas não é
necessário interagir muito com seu público pela internet.
Embora pode-se considerar que o valor da informação é relativo para os
negócios, existem casos onde o valor da informação representa o mesmo para
qualquer organização.
É o que ocorre quando a economia de algum país não vai bem. O valor
da informação de que a economia do país está em queda, pode representar o
mesmo para todas as organizações que estão instaladas neste país, ou que se
relacionam com o mesmo.
Geralmente toda organização sabe que em situações como esta,
diversos setores podem ser afetados e consequentemente pode haver queda
em seus lucros. Assim, muitas vão em busca de novas estratégias para manter
os clientes atuais e tentar atrair novos clientes também.
O valor da informação é variável tanto para pessoas quanto para
organizações e se torna alto ou baixo de acordo com o contexto de cada
situação. Além disso, em vários momentos o valor da informação pode ser
invariável também para todos, onde todos sabem exatamente o que uma
determinada informação representa e o valor que a mesma traz.
4.6. COMUNICAÇÃO
A comunicação se relaciona com a segurança da informação
principalmente em ambientes organizacionais. A forma como cada um se
comunica é muito importante para que auxilie na tomada de decisão. Por
outro lado, quando a comunicação não é realizada de maneira eficaz, as
informações podem sair do contexto em que estão, gerando alguns problemas
ou mal entendidos.
Imagine, por exemplo, uma situação hipotética na qual o porta voz de
uma empresa se comunique com a imprensa sobre algo que está ocorrendo na
mesma, mas as informações passadas por ele são interpretadas de outra
maneira pelos jornalistas, que divulgam uma notícia que não condiz com a
realidade. Dependendo da notícia e até que os fatos sejam esclarecidos, a
empresa poderá enfrentar diversos problemas.
Pode-se entender então que a comunicação está intimamente ligada à
informação, uma vez que esta também possui valor, é gerada por alguém,
apresenta diversos dados, permite a tomada de decisões e é passível de
manipulação.
Desta maneira, a comunicação se sustenta nos mesmos pilares da
segurança da informação, onde a mesma deve ser realizada com integridade,
confidencialidade e disponibilidade.
Por integridade entende-se que a comunicação deve ser realizada de
maneira correta e completa, evitando fragmentação de informações ou dados.
Ou seja, o comunicador deve passar para o receptor todos os dados e
informações necessárias para a finalidade a qual se destina, de acordo com
solicitações que lhe foram realizadas.
Por confidencialidade entende-se que o comunicador deve realizar a
comunicação somente com quem tem autorização para receber uma dada
informação. Ou seja, a comunicação não deve ser realizada com quem, ou
perto de alguém que não está autorizado a receber algum tipo de informação.
Por disponibilidade entende-se que os canais de comunicação devem
sempre estar disponíveis para quem os precisa utilizar e obter informações.
Ou seja, aquele que está em busca de alguma informação deve ter a sua
disposição um canal de comunicação que permita ao mesmo se comunicar
sobre algo com quem é o responsável por tal assunto.
A comunicação representa a transmissão de informações e esta é uma
ação praticada por todas as pessoas todos os dias, seja em âmbito pessoal,
profissional, ou acadêmico.
Na vida pessoal as pessoas fazem uso da comunicação para fazer
compras, tomar um ônibus, ir ao médico, chegar a um lugar desconhecido,
dentre outras ações. Enquanto na vida profissional, as pessoas fazem uso da
comunicação para treinar e serem treinadas, tomar decisões, discutir
estratégias, realizar vendas, desenvolver novos negócios e outras ações. Já no
âmbito acadêmico cada pessoa faz uso da comunicação para transmitir e
obter conhecimentos, esclarecer dúvidas, ou realizar trabalhos e provas.
CAPÍTULO 5 SEGURANÇA DA INFORMAÇÃO EM
SISTEMAS
A segurança da informação em sistemas envolve redes de
computadores, sistemas de informação e bancos de dados. Em cada um destes
elementos várias técnicas podem ser aplicadas e diversas ferramentas podem
ser utilizadas visando garantir proteção aos dados.
A proteção em redes envolve diversos softwares que quando
configurados corretamente evitam o acesso de intrusos, impedindo que dados
sejam alterados, excluídos, ou roubados. A segurança em bancos de dados
envolve regras que podem ser estabelecidas por meio do SGBD, que também
podem impedir o acesso a informações por quem não está autorizado a tal
acesso. A segurança em sistemas de informação envolve a definição de regras
de processos no próprio sistema, interligando estas regras as regras de
negócio de uma organização, além de instalação de atualizações.
6.1.1. E-MAILS
Ao receber um e-mail de alguém, o primeiro passo que cada usuário
deve dar é averiguar se realmente aquele e-mail é realmente de quem diz ser.
O fato do nome do remetente ser igual ao nome de alguém conhecido, ou
nome de alguém que há na lista de contatos, nem sempre se trata da mesma
pessoa.
O e-mail pode ter sido enviado por alguém mal intencionado, visando
obter informações sigilosas, por meio da resposta que um usuário pode dar ao
e-mail recebido. Pode ser ainda, que o e-mail contenha algum arquivo em
anexo, ou um link, acompanhado de uma mensagem que induza o clique em
um destes elementos, com o intuito de instalar vírus, ou colher informações
secretas.
Outra maneira de se proteger é não clicar em anexos ou links presentes
em e-mails de pessoas desconhecidas. O clique em arquivos em anexos, ou
links apresentados por e-mails só deve ocorrer quando se tem a certeza de que
o remetente é realmente quem diz ser. Além disso, sempre que possível, é
interessante entrar em contato com o remetente por outro canal de
comunicação, objetivando verificar se o mesmo foi quem enviou o arquivo
em anexo ou o link presente em um e-mail.
Apesar de todos os meios para dar proteção a uma informação ao
receber um e-mail, muitas pessoas não dão valor a estas práticas de segurança
e clicam em qualquer link ou anexo presente em e-mails, mesmo quando não
se conhece o remetente.
E-mails recebidos de pessoas mal intencionadas geralmente são muito
bem escritos, visando passar a impressão de que realmente o assunto tratado é
verdadeiro. Estes e-mails geralmente apresentam informações que levam as
pessoas a clicar em links ou arquivos em anexos, que poderão resultar na
instalação de vírus ou outros programas, que comprometem a segurança de
dados disponíveis em algum dispositivo eletrônico.
Por meio de alguns e-mails também criminosos se passam por
empresas, nas quais o indivíduo é cliente, informando que no momento a
empresa em questão está realizando um novo cadastro das informações
pessoais de seus clientes, em virtude da implantação de um novo sistema de
informação. Assim, solicita ao usuário que responda o e-mail, que deve
conter diversas informações secretas, visando utilizar tais informações para a
prática de diversos crimes, como compras utilizando o nome da vítima, ou
outros.
Existem situações ainda que e-mails são enviados para as pessoas, com
informações que passam a impressão de se tratar do provedor de e-mails.
Desta forma, informam que houve um problema no serviço de e-mails,
solicitando uma resposta contendo dados pessoais, entre os quais estão o
endereço de e-mail e senha de acesso.
A vítima acreditando que realmente o e-mail recebido foi enviado por
seu provedor de e-mails, informa sua senha de acesso ao criminoso.
Com os dados de acesso em mãos, o criminoso acessa a conta de e-mail
da vítima, com o objetivo de colher informações secretas e realizar
chantagens posteriormente.
Suponha uma situação na qual uma pessoa, Adriano, acessa sua conta
de e-mail e dentre os e-mails recebidos, há um e-mail que apresenta como
remetente o nome da empresa provedora do e-mail que Adriano utiliza. O
assunto da mensagem apresenta o título “PROBLEMAS TÉCNICOS” e
Adriano decide abrir a mensagem para verificar o que se trata.
Ao abrir tal e-mail, o mesmo apresenta a seguinte mensagem:
“Olá, tudo bem? Sou Diane, trabalho na equipe técnica da empresa X,
que é seu provedor de e-mail. Venho lhe informar que estamos passando por
alguns problemas em nosso sistema, motivo pelo qual temos que tomar
algumas ações para que os serviços prestados por nossa empresa continuem
operando normalmente. Uma destas ações é o recadastramento de todos os
nossos clientes, visando dar maior segurança a todos os dados. Sendo assim,
peço que clique no link abaixo para fazer seu recadastramento, onde você
precisa apenas informar seu nome completo, nome de usuário e senha de
acesso.”.
Adriano, nome dado à pessoa deste exemplo, acreditando que se trata
realmente de uma mensagem enviada por seu provedor de e-mails, clica no
link abaixo, conforme solicitado pela mensagem.
Ao clicar no link, Adriano é direcionado a uma página parecida com o
site de seu provedor de e-mails, a qual apresenta um formulário onde ele deve
informar seu nome completo, nome de usuário e senha de acesso à conta de
e-mail.
Adriano então preenche o formulário e clica no botão enviar.
Ao clicar no botão enviar, a vítima envia suas credenciais de acesso ao
e-mail para um criminoso, que pode utilizar estes dados para realizar diversos
crimes. E a vítima terá que passar por muitos problemas para esclarecer os
crimes que podem ser praticados pelo criminoso em seu nome.
Outra ação que usuários geralmente costumam praticar e resulta em não
proteção a dados se relaciona a envios de e-mail para o destinatário incorreto.
Ao enviar um e-mail, as pessoas geralmente selecionam o contato incorreto,
apresentam informações confidenciais e enviam dados para a pessoa ou
organização errada.
Em âmbito pessoal, isto pode ter como conseqüência danos a reputação
de alguém, perda de emprego, ou outros prejuízos.
Em relação à ambientes corporativos, o envio de e-mail para a pessoa
errada pode arranhar a imagem de uma organização, perder clientes, cancelar
negócios, dentre outros danos.
Imagine uma situação hipotética, na qual um funcionário de uma
empresa precise enviar um e-mail para todos os clientes, informando que no
momento a empresa está realizando uma grande promoção, oferecendo
diversos descontos para vários produtos, mas, o funcionário responsável por
enviar a mensagem sobre a promoção, acaba adicionando como um dos
destinatários o contato de e-mail de um concorrente, sendo que nenhum dos
destinatários está como cópia oculta.
O concorrente desta empresa ao receber o e-mail sobre a promoção,
consegue visualizar o contato de todos os clientes da empresa concorrente e
pode oferecer a estes clientes uma oferta ainda melhor.
Uma situação como esta pode resultar em grandes perdas financeiras a
uma empresa e demissão do funcionário responsável pelo envio do e-mail
para a pessoa errada.
7.2.1. SEGURANÇA
A segurança das senhas é um elemento fundamental para que os
sistemas de informação sejam protegidos adequadamente. Ao tratar sobre
segurança de senhas, entende-se que a senha precisa ser forte o suficiente
para impedir que alguém a descubra futuramente. Ou seja, a senha precisa ser
atribuída com base em algo visando que dificilmente outra pessoa possa
imaginar. Além disso, uma senha forte deve sempre incluir letras,
(maiúsculas e minúsculas), números, caracteres especiais, que totalizem no
mínimo oito caracteres.
É importante salientar também que senhas não devem ser atribuídas
com base em datas de aniversários ou comemorativas, data de criação do
perfil, nome de parentes, nomes de animais de estimação, ou outros dados
que possam facilitar a ação de criminosos.
7.2.2. ALTERAÇÃO
As senhas de todos os sistemas de informação que uma pessoa faz uso
precisam ser alteradas constantemente. Em ambientes corporativos em que há
uma boa gestão de senhas isto ocorre regularmente e é alterações são
acompanhadas por gestores de TI ou segurança da informação. Normalmente
a alteração ocorre a cada 2 ou 3 meses, e existem sistemas ainda, que não
permitem ao usuário atribuir uma das 3 últimas senhas utilizadas.
As pessoas precisam se conscientizar sobre a importância da alteração
de senhas e realizar alterações eficazes, por exemplo, não atribuir a penúltima
senha novamente, não mudar apenas uma letra ou número, ou alterar apenas
as letras ou números de uma senha. Ou seja, a alteração precisa ser realizada
completamente e não se deve atribuir uma nova senha utilizando uma das que
já foram atribuídas recentemente.
7.2.3. MEMORIZAÇÃO
A memorização de senhas é outro elemento chave para a segurança de
dados. Com o número cada vez mais crescente de sistemas que pessoas fazem
uso, se torna difícil a memorização de todas as senhas.
No entanto, vale ressaltar que anotar as senhas em uma folha de papel,
ou atribuir uma única senha para todos os sistemas de informação não
representam boas ações para se proteger dados. A folha de papel em que
todas as senhas são anotadas por alguém pode ser encontrada por outra
pessoa, que pode fazer uso de vários sistemas em nome deste alguém. Da
mesma forma, atribuir uma única senha a todos os sistemas pode ocasionar
um grande problema, pois se uma das senhas for descoberta por alguém,
todos os sistemas estarão desprotegidos.
Neste sentido, entende-se que é preciso desenvolver um padrão para a
atribuição de senhas. Ou seja, a atribuição de senhas é determinada pelo
padrão desenvolvido, o que possibilita a cada usuário a memorização apenas
de uma única informação, o padrão de atribuição de senhas. Assim, ao
utilizar algum sistema de informação, basta se lembrar do padrão utilizado e
formar a senha.
Por exemplo, um padrão pode ser desenvolvido pelas vogais do nome
do sistema de informação utilizado, sendo que a segunda vogal é maiúscula,
seguido de exclamação e número do ano contado em ordem decrescente de
acordo com o número de vogais, partindo do ano atual.
Desta forma, se uma pessoa cria uma conta no Facebook no ano de
2015, sua senha será formada por: “aeoo” (vogais da palavra Facebook), “!”
(caracter que dá mais segurança a senha atribuída) e “2011” (número de ano
decorrente da contagem em ordem decrescente em relação ao número de
vogais e ano atual). A senha completa fica da seguinte forma: “aeoo!2011”.
7.2.4. COMPARTILHAMENTO
Uma das ações que muitos usuários realizam e nunca deve ser realizada
é o compartilhamento de senhas. É preciso que as pessoas tenham em mente
que senha segura é aquela que somente quem a atribuiu sabe.
Quando uma pessoa passa uma de suas senhas para outro alguém, esta
pessoa não só permite que este alguém faça uso de um sistema informacional
em seu nome, mas também possibilita a este alguém refletir com base na
senha passada como podem ser formadas as outras senhas desta pessoa.