O ELO MAIS FRACO DA SEGURANÇA DA

INFORMAÇÃO
PESSOAS REPRESENTAM O MAIOR DESAFIO

CARLOS ALBERTO SILVA

OLIVEIRA MG
2015
 CARLOS ALBERTO SILVA

ESPECIALISTA EM GESTÃO DA
SEGURANÇA DA INFORMAÇÃO

O ELO MAIS FRACO DA SEGURANÇA DA

INFORMAÇÃO
PESSOAS REPRESENTAM O MAIOR DESAFIO

OLIVEIRA MG
2015
 LISTA DE ABREVIATURAS E SIGLAS
BYOD - Bring Your Own Device - Traga Seu Próprio Dispositivo.
ERP - Enterprise Resource Planning - Planejamento de Recursos
Empresariais.
SGBD - Sistema Gerenciador de Banco de Dados.
TI - Tecnologia da Informação.
 SUMÁRIO
APRESENTAÇÃO
CAPÍTULO 1 INTRODUÇÃO
1.1. A EVOLUÇÃO DOS MEIOS DE COMUNICAÇÃO E
INFORMAÇÃO
1.2. AS PESSOAS E A SEGURANÇA DA INFORMAÇÃO
1.3. OBJETIVOS
CAPÍTULO 2 DADO E INFORMAÇÃO
2.1. DADO
2.2. INFORMAÇÃO
2.3. BANCO DE DADOS
2.4. BACKUP
2.5. SISTEMA GERENCIADOR DE BANCO DE DADOS
2.6. SISTEMAS DE INFORMAÇÃO
CAPÍTULO 3 VALOR DA INFORMAÇÃO
3.1. PESSOAS
3.2. ORGANIZAÇÕES
3.3. ENTIDADES VIRTUAIS
CAPÍTULO 4 SEGURANÇA DA INFORMAÇÃO
4.1. SEGURANÇA DE DADOS E INFORMAÇÃO
4.2. RECURSOS FÍSICOS
4.3. RECURSOS LÓGICOS
4.4. RECURSOS HUMANOS
4.5. DESCARTE DE DOCUMENTOS IMPRESSOS
4.6. COMUNICAÇÃO
CAPÍTULO 5 SEGURANÇA DA INFORMAÇÃO EM SISTEMAS
5.1. SEGURANÇA DA INFORMAÇÃO EM REDES
5.2. SEGURANÇA DA INFORMAÇÃO EM BANCOS DE DADOS
5.3. SEGURANÇA DA INFORMAÇÃO EM SOFTWARES
CAPÍTULO 6 O ELO MAIS FRACO
DA SEGURANÇA DA INFORMAÇÃO
6.1. FALTA DE ATENÇÃO
6.1.1. E-MAILS
6.1.2. COMPRAS ONLINE
6.1.3. REDES SOCIAIS
6.1.4. SERVIÇOS PRESTADOS NA INTERNET
 6.1.5. CARTÕES BANCÁRIOS
6.2. COPIAR E COLAR
6.3. SUPEREXPOSIÇÃO NA INTERNET
6.4. EDUCAÇÃO DIGITAL
6.5. ENGENHARIA SOCIAL
CAPÍTULO 7 INFORMAÇÕES PESSOAIS
7.1. IDENTIDADE FALSA EM AMBIENTES VIRTUAIS
7.2. USO CORRETO DE SENHAS
7.2.1. SEGURANÇA
7.2.2. ALTERAÇÃO
7.2.3. MEMORIZAÇÃO
7.2.4. COMPARTILHAMENTO
7.3. USO DE DISPOSITIVOS MÓVEIS
CAPÍTULO 8 INFORMAÇÕES CORPORATIVAS
8.1. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
8.2. PLANO DE CONTINUIDADE DE TI
8.3. TERMO DE CONDUTA DIGITAL
8.4. BYOD
CAPÍTULO 9 CONSIDERAÇÕES FINAIS
9.1. VALOR DA INFORMAÇÃO
9.2. SEGURANÇA DA INFORMAÇÃO
9.3. O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
REFERÊNCIAS
 APRESENTAÇÃO
Nunca se falou como se fala atualmente em segurança da informação.
Este tema é debatido cada vez mais, principalmente em ambientes
corporativos, nos quais gestores buscam constantemente formas de proteção
ao maior ativo de uma organização, a informação. Mas, o tema vem
ganhando espaço em outros ambientes também, cenário em que as pessoas se
preocupam com a proteção de seus dados pessoais.
A proteção da informação é algo que precisa ser praticado por todas as
pessoas e quanto a ambientes organizacionais, esta envolve todos os
departamentos. É importante destacar que a proteção a dados não é apenas
responsabilidade de profissionais de TI, que não se pode ter segurança da
informação quando as atenções estão voltadas apenas para ferramentas
tecnológicas de proteção a dados e que o uso adequado de informações é
dever de cada ser humano.
Informações organizacionais possuem alto valor para os negócios, pois
quando não há proteção desta, processos organizacionais podem ser
interrompidos e destruir empresas.
Quanto à informações pessoais, estas também apresenta alto valor para
cada ser humano, uma vez que pessoas dependem de seus dados pessoais
para realizar atividades diárias, ou ainda, informações pessoais apresentam
valor sentimental para cada pessoa.
Este livro apresenta as principais formas de proteção a dados e qual é o
maior desafio da segurança da informação, assim como os métodos para
vencer tal desafio, o que pode dar alto nível de proteção a dados pessoais e
corporativos.
 CAPÍTULO 1 INTRODUÇÃO
A informação representa a base de todo desenvolvimento e avanço
realizado por pessoas, organizações, cidades, estados e nações. Sem
informação o ser humano e as organizações não conseguem realizar nada e
não chegam a lugar algum. É por meio da informação que as pessoas se
qualificam, as organizações se desenvolvem, os cientistas avançam em suas
pesquisas, cidades, estados e países conseguem obter progresso para a
população, dentre outras situações.
Da mesma maneira que é possível conseguir grandes avanços por meio
da informação, o uso indevido desta permite também a causa de grandes
prejuízos para as pessoas e entidades em geral. É por meio do uso indevido
da informação que organizações vão à falência, famílias são destruídas,
empresas, políticos e pessoas arranham suas imagens, profissionais ficam
desempregados, empresas sofrem prejuízos, crianças e adolescentes
desenvolvem traumas, ETC.
Através do que foi exposto anteriormente, pode-se notar que a
informação possui um valor inestimável para todos e por tal motivo, precisa
ser protegida.
No cenário atual, a segurança da informação é um assunto que vem
ganhando espaço. Com a evolução tecnológica ocorrida nos últimos anos, o
número de informações geradas todos os dias é enorme e este número só
tende a crescer. A TI (Tecnologia da Informação) está presente na vida de
qualquer pessoa hoje em dia e as ações pessoais e corporativas geram
milhões de dados a cada minuto.
Os dados, representados muitas vezes por textos, imagens, áudios ou
vídeos, que quando relacionados e organizados se tornam informações,
gerados por pessoas e organizações, muitas vezes precisam ser armazenados
e tal armazenamento deve ser realizado de forma adequada. Grande parte
destes dados e informações representa algo muito valioso não só para o
mundo corporativo, mas também para a vida de qualquer indivíduo.
Desta forma, as informações que estão armazenadas em vários
dispositivos eletrônicos ou qualquer outro meio devem estar seguras,
objetivando garantir que somente pessoas e entidades autorizadas tenham
acesso aos dados, que as informações tenham integridade e que estejam
disponíveis sempre que for preciso.
Visando a estes objetivos, existem atualmente diversos mecanismos
que foram desenvolvidos para proteger informações. Estes mecanismos vão
desde recursos físicos a recursos lógicos, que muitas vezes proporcionam alto
grau de segurança aos dados. No entanto, todos os mecanismos
desenvolvidos para garantir a segurança da informação são operados por
seres humanos. Além disso, muitas informações confidenciais são acessadas
também por pessoas, que nem sempre conseguem garantir tal segurança.
Assim, pessoas podem cometer falhas ao utilizar componentes que garantem
a segurança da informação, ou podem por algum meio e talvez, por algum
descuido levar a público informações sensíveis.
Informações confidenciais ou secretas podem vir a público no caso de
alguma falha cometida por alguma pessoa ao operar algum sistema de
informação, ou algum mecanismo de segurança da informação.
Como exemplo, suponha uma situação onde uma pessoa sai de casa e
por algum motivo, esta pessoa se esquece de trancar a porta. Já que a porta
está aberta, outra pessoa pode entrar e roubar seus bens pessoais. Sendo
assim, não ocorreu uma falha de segurança, mas sim, uma falha humana.
O mesmo pode ocorrer com sistemas de informação, onde tais sistemas
são utilizados por seres humanos e por alguma falha humana as informações
podem se tornarem públicas ou serem acessadas por pessoas ou entidades não
autorizadas.
Para exemplificar, imagine um ambiente bancário, onde um funcionário
precisa sair por algum momento e se esquece de bloquear o sistema que
utiliza. Este funcionário possui credenciais que dão acesso a informações
sigilosas dos clientes e como o sistema está desbloqueado, outra pessoa pode
realizar alterações nos dados e causar prejuízos financeiros a alguém.
Como no exemplo anterior, não houve uma falha de segurança por
parte do sistema de informação. Neste exemplo a falha detectada é humana,
uma vez que o funcionário deveria ter bloqueado o sistema ao sair e não o
fez.
Informações podem vir a público não só por uma falha humana, mas
por um usuário mal intencionado. Ou seja, ao acessar dados sigilosos de
alguém, ou de alguma empresa, o usuário os divulga para outra pessoa ou
organização que não está autorizada a acessar tais dados. Isto pode ocorrer
por diversos motivos, dentre os quais estão ganhos financeiros, promoções
profissionais, vinganças, entre outros.
Pode ser ainda que informações sigilosas se tornem públicas por meio
de simples conversas. Ou seja, uma pessoa que possui acesso a informações
secretas pode acabar revelando para alguém tais informações por meio de
uma conversa informal, técnica de obtenção de informação sensível
conhecida como engenharia social.
O vazamento de informações sigilosas por meio de conversas pode
ocorrer por diversos motivos. Pode ser que o usuário que possui acesso a tais
informações não saiba o exato valor da informação, pode ser também que
este mesmo usuário confie na pessoa com quem está conversando e por isso
acredita que não haverá problemas ao lhe entregar as informações, dentre
outras situações.

1.1. A EVOLUÇÃO DOS MEIOS DE COMUNICAÇÃO E

INFORMAÇÃO
A evolução dos meios de informação e comunicação ocorreu nos
últimos anos de maneira surpreendente. Hoje em dia não existem barreiras
para se comunicar com ninguém, em qualquer lugar do mundo, a qualquer
hora e o acesso a qualquer informação também se tornou extremamente fácil.
Há 20 ou 25 anos atrás não era nada fácil se comunicar com alguém,
tão pouco obter qualquer informação de forma rápida. As mudanças
começaram ocorrer por volta dos anos 90, com a popularização da internet,
que permitiu aos usuários de tecnologias acessarem diversas informações. A
partir daí, a tecnologia foi se desenvolvendo cada vez mais e as formas de
comunicação e acesso a informações se tornaram mais fáceis e diversas com
o decorrer do tempo.
Desta maneira, os meios de se armazenar, manipular, organizar,
transmitir e acessar informações evoluíram muito e o papel é um dos meios
cada vez menos utilizado pelas pessoas e organizações.
O armazenamento de informações atualmente ocorre por meio de
dispositivos eletrônicos, onde são integrados a diversos sistemas de
informação, que possuem como objetivos organizar, relacionar e transformar
milhões de dados em informação para o usuário, além de transmitir e
disponibilizar tais dados em qualquer lugar do planeta e a qualquer hora.
Os sistemas de informação são responsáveis também por garantir a
segurança da informação, de forma que a mesma esteja sempre íntegra,
confiável e disponível para pessoas e / ou entidades autorizadas. No entanto,
a segurança da informação não deve ser realizada somente por sistemas de
informação.
1.2. AS PESSOAS E A SEGURANÇA DA INFORMAÇÃO
A segurança da informação tem como principais objetivos garantir que
os dados de qualquer pessoa ou organização sejam armazenados de forma
segura, evitando que pessoas ou entidades não autorizadas tenham acesso aos
mesmos, ou que ocorram perdas ou corrupções de tais dados.
Porém, conforme dito anteriormente, a segurança não deve ser realizada
somente por sistemas de informação. Existem vários elementos que são
responsáveis por tal segurança, sendo que um destes principais elementos é o
ser humano. Pode-se dizer que o ser humano é o maior responsável por
garantir a segurança da informação e o maior produtor de dados, que por
meio dos sistemas de informação se tornam informações.
Apesar dos altos riscos que pessoas e organizações estão expostas com
a falta de tal segurança, há muito que se realizar neste sentido. Reportagens
todos os dias revela esta falta de interesse ao tema por parte das organizações,
executivos, ou usuários comuns.
Sem falar nas ações de usuários que compartilham senhas, divulgam
informações sigilosas em redes sociais, fazem uso da mesma senha em todos
os serviços que utilizam, acessam páginas não confiáveis, passam dados
pessoais via telefone, entre outras.

1.3. OBJETIVOS
Este livro tem como objetivo apresentar o que é informação e seus
diferentes valores, o que representa a segurança da informação e os pilares
que compõem a mesma, as possíveis formas de proteção a dados e qual é o
maior desafio para garantir a segurança da informação.
 CAPÍTULO 2 DADO E INFORMAÇÃO
2.1. DADO
Dado representa um elemento que quando não relacionado a outros
dados não possui valor algum. Ou seja, quando se tem apenas um dado, não é
possível realizar nenhuma ação ou desenvolvimento por meio deste dado.
Além disso, quando se tem um conjunto de dados, que não estão dentro de
um contexto, também não existe a possibilidade de se chegar a valor algum.
Como exemplo, imagine uma situação na qual alguém está andando em um
supermercado e visualiza o número 30 em um produto. Este número está em
um produto, não possui nenhuma indicação e não há nenhum elemento
próximo ao mesmo que possa ser relacionado a este número. Esta pessoa
então pode ter inúmeras dúvidas:
1) Este número representa o peso do produto?
2) O número representa o custo do produto?
3) O número 30 se trata da quantidade de algum componente que há
no produto?
Assim, pode-se concluir que este número não possui valor algum,
representa apenas um dado, uma vez que por meio deste não é possível obter
nenhuma resposta, não é possível realizar alguma ação, não se consegue
relacioná-lo a outro dado e gera muitas dúvidas.
Pode-se entender então, que dado representa um elemento, que não
possui valor algum, se não for relacionado a outros dados. Ou seja, se não
estiver dentro de um contexto.

2.2. INFORMAÇÃO
Informação é representada por um conjunto de dados relacionados e
organizados, sujeitos a alterações, que permite passar algum valor e por meio
desta desenvolver algo, ou alcançar algum objetivo.
Imagine uma situação na qual a empresa X possui 3000 funcionários,
dentre os quais existem 10 pessoas com o nome Carolina. O presidente desta
organização decide chamar Rogério, o diretor de operações da empresa e diz
a ele que é necessário marcar uma reunião entre eles e Carolina.
Neste caso, o presidente transmite ao diretor de operações uma
informação, a de que é necessário marcar uma reunião entre eles e outra
pessoa, mas há um dado solto nesta informação. Quem é Carolina?
O diretor de operações pode ter as seguintes dúvidas:
1) Carolina é uma das funcionárias da empresa?
2) Se Carolina é uma das funcionárias, de qual departamento?
3) Se Carolina não é uma das funcionárias, quem é Carolina?
Verifica-se neste contexto, que há um dado que não possui valor algum,
uma vez que não se relaciona com nenhum outro dado. Assim, se o
Presidente da empresa disser a seu diretor de operações: “Precisamos realizar
uma reunião entre nós e a diretora financeira, Carolina.”, trata-se neste caso
de uma informação completa, onde não possui nenhum dado souto,
desorganizado, ou não relacionado a outros.
Diante do que foi exposto, conclui-se que informação é um elemento
válido, composto por diversos dados, organizados e relacionados, que juntos
transmitem algum valor, permitem uma tomada de decisão, obtenção de
conhecimento, desenvolvimento de algo, realização de uma ação, ou avanço
em alguma pesquisa.

2.3. BANCO DE DADOS

Um banco de dados é representado por um conjunto de arquivos, que
possuem milhares ou milhões de dados, sobre pessoas, organizações, entre
outros. Bancos de dados são conhecidos também como bases de dados, nas
quais organizações em geral armazenam suas informações. Ou seja, nestas
bases de dados são armazenados dados sobre clientes, compras, estoque,
vendas e outros, que são organizados e relacionados, possibilitando assim a
geração de informações.
Pode-se considerar que a base de dados de uma empresa representa o
seu coração. Se a base de dados por algum motivo for apagada, isto pode
levar a empresa à falência.
Imagine uma situação na qual um grupo de pessoas investiu em estudos
e no desenvolvimento de técnicas muito avançadas para a prestação de algum
serviço ao consumidor, sendo que ao concluir os estudos e o
desenvolvimento de tais técnicas, uma empresa é fundada para a prestação do
serviço.
Neste exemplo, esta empresa possui todos os dados sobre os estudos
realizados e as técnicas desenvolvidas em sua base de dados, além de outros
registros comuns em qualquer empresa, como dados sobre clientes,
fornecedores, entre outros.
Depois de vários anos, um desastre natural ocorre e toda a base de
dados da empresa neste exemplo é perdida. Desta forma, se não houver uma
cópia deste banco de dados, a empresa terá que enfrentar diversos problemas
para que talvez consiga retomar a prestação de seu serviço aos seus clientes.
Outra situação que se pode imaginar, se trata de dados bancários. Se um
banco perder sua base de dados de forma que não seja possível recuperar
nada, a organização pode acabar falindo, além de ter que enfrentar várias
ações judiciais, que certamente serão movidas por seus clientes.
Um banco de dados representa o motor de qualquer organização, por
isso faz-se necessário a realização de cópias da base de dados
constantemente, com o objetivo de assegurar que em caso de perda de dados
por alguma situação imprevisível, exista a possibilidade de recuperar todos os
dados, ou grande parte dos mesmos.
No entanto, para a tranqüilidade de todos os consumidores, instituições
financeiras e organizações de médio a grande porte possuem alguma política
de realização de cópia de suas bases de dados, conhecida também como
backup.

2.4. BACKUP
O backup é a cópia dos dados de uma base de dados, com o objetivo de
garantir a segurança de todos os dados armazenados em um banco. A cópia
de uma base de dados pode ser realizada totalmente, ou se pode realizar
cópias somente dos dados mais críticos para a organização.
É recomendável que a base de dados cópia seja armazenada em local
diferente de onde está armazenada a base de dados original. É importante
ainda que de acordo com os índices de riscos, exista uma distância mínima
entre o local onde está a base de dados original e o local onde se encontra a
cópia da mesma.
A periodicidade da realização de backups varia de acordo com cada
organização. O estabelecimento do período da realização de cópias de
segurança em cada empresa deve levar em conta o valor das informações
armazenadas, os riscos existentes, o número de transações realizadas por dia
ou hora, a estrutura do ambiente de TI, entre outros fatores que podem
influenciar diretamente no desempenho da empresa e na recuperação dos
dados.
 Por exemplo, em instituições financeiras o backup é realizado
constantemente, praticamente a cada minuto. Ou seja, qualquer transação
realizada é gravada no banco de dados original e imediatamente é gravada na
base de dados cópia também, técnica que é conhecida como replicação de
dados. Além disso, estas organizações possuem diversas bases de dados
cópia, com o objetivo de estabelecer um alto nível de segurança aos dados.

2.5. SISTEMA GERENCIADOR DE BANCO DE DADOS

Um SGBD (Sistema Gerenciador de Banco de Dados) representa um
software que é utilizado para gerenciar uma base de dados completamente,
desde sua criação. Por meio de um SGBD é possível estabelecer diversas
regras e fazer uso de várias ferramentas, com o intuito de gerar diversas
informações e proporcionar um nível adequado de segurança aos dados
armazenados.
Softwares como estes permitem ao gestor de TI estabelecer o horário
em que o backup será realizado, a periodicidade de backups, o horário em
que os dados podem ser acessados, o nível de criticidade de cada informação
e quem está autorizado a acessar cada nível, dentre outras regras.
Para exemplificar tais regras, imagine uma situação em que uma loja de
roupas, com matriz em São Paulo e filial no Rio de Janeiro, possui uma única
base de dados para registrar todas as transações realizadas nas duas lojas,
base esta que se localiza na loja matriz, em São Paulo. A empresa possui
ainda outra base de dados, localizada na loja filial, no Rio de Janeiro, que
armazena uma cópia da base de dados principal.
Com base nas informações dadas por este exemplo, o gestor de TI desta
empresa pode estabelecer diversas regras para as bases de dados, por meio do
SGBD. Dentre as regras estabelecidas, é possível determinar em qual horário
o backup será realizado e horário de acesso aos dados.
Supondo que em dias comuns as duas lojas funcionem das 8 às 18
horas e que, em dias promocionais o horário de atendimento da empresa pode
ser elevado, o gestor de TI pode estabelecer que a cópia de segurança dos
dados seja realizada às 22 horas, de segunda a sábado e que o SGBD bloqueie
qualquer acesso aos dados de zero às 6 horas, em todos os dias, visando neste
caso que ninguém tenha acesso aos dados da empresa no caso da ocorrência
de algum assalto a uma das lojas à noite.
Desta maneira, o gestor de TI diminui os riscos de perda de dados
consideravelmente, uma vez que cópias de dados são realizadas todos os dias
em que a empresa atende. Além disso, ao estabelecer que os dados não
podem ser acessados das 0 às 6 horas, o gestor de TI da empresa reduz o risco
de uma possível invasão e alteração ou exclusão dos dados.

2.6. SISTEMAS DE INFORMAÇÃO

Um sistema de informação é todo programa que permite ao usuário
obter, manipular, transmitir, apagar e gerar informações. Desta forma, um
sistema de informação pode ser um navegador Web, um editor de textos, um
editor de planilhas, um programa gerenciador de uma organização, um site,
entre outros.
Um banco de dados sempre está conectado a um sistema de
informação, mas nem sempre um sistema de informação está conectado a um
banco de dados. É o que ocorre em programas editores de textos e planilhas.
Estes programas permitem ao usuário gravar informações, porém
informações gravadas por estes programas são armazenadas em arquivos.
Quando um usuário utiliza um navegador de internet, pode-se afirmar
que este faz uso de dois sistemas de informação ao mesmo tempo. Ou seja,
um destes sistemas é representado pelo navegador Web que permite ao
usuário acessar diversos sites e visualizar as informações contidas em cada
um. Da mesma maneira, um site representa um sistema de informação
também, que apresenta suas informações em um navegador Web.
Um site, que é um sistema de informação, nem sempre está conectado a
um banco de dados. Em alguns casos as informações contidas em um site são
armazenadas em um conjunto de arquivos, que são exibidas de acordo com a
página acessada pelo usuário. Sites que não possuem um banco de dados
geralmente não permitem muitas formas de interação com o usuário e se
apresentam de forma pouco dinâmica.
Em outras situações, um site pode estar conectado a um banco de
dados, que armazena todas as informações contidas no mesmo. Estes sites
costumam ser muito dinâmicos e possuem diversas formas de interação, o
que permite a cada usuário se comunicar com alguma organização em tempo
real, transmitir, alterar, buscar e apagar informações.
Isto geralmente ocorre em lojas online, onde informações sobre
características dos produtos, preços, marcas, formas de pagamento, clientes e
compras realizadas são armazenadas em um banco de dados e exibidas em
alguma página quando solicitadas por um usuário.
Os sistemas de gestão empresarial conhecidos por muitos como ERP
(Enterprise Resource Planning), geralmente integram todas as áreas de uma
empresa e auxiliam na realização de todos os processos. Estes sistemas são
conectados a um banco de dados que armazenam todos os dados sobre uma
empresa, como informações sobre clientes, fornecedores, produtos ou
serviços, além de processos organizacionais realizados como compras
efetuadas, serviços prestados, produtos vendidos, entre outras informações.
Um sistema de gestão empresarial, classificado como um sistema de
informação, além de armazenar informações em um banco de dados,
apresenta diversas ferramentas que visam facilitar o desenvolvimento dos
processos corporativos. Por meio de um sistema de gestão empresarial é
possível gerir diversos recursos como estoque, vendas, compras, planos
estratégicos, entre outros.
 CAPÍTULO 3 VALOR DA INFORMAÇÃO
O valor da informação, seja esta qual for, é algo muito difícil de ser
medido. Em algumas situações o valor da informação é invariável, mas na
maioria das vezes o valor da informação se torna invariável, sendo alto ou
baixo para quem a recebe. Ou seja, o valor da informação para uma pessoa,
organização ou entidade virtual varia de acordo com o contexto, com
experiências adquiridas, com conhecimentos obtidos e com a decisão que se
pode tomar ao receber ou perder a mesma.

3.1. PESSOAS
Quando se diz que toda informação possui algum valor, isto ocorre
porque o conjunto de dados que compõem cada informação possibilita a
realização de alguma ação. Nem sempre o valor que tem uma informação é o
mesmo para duas ou mais pessoas.
Suponha uma situação onde ocorre uma conversa entre um especialista
em segurança da informação e uma médica. Estas duas pessoas, Marcos e
Laura, Marcos representa o especialista em segurança da informação e Laura
representa a médica, relatam um ao outro as experiências e desafios de cada
profissão.
Marcos conta para Laura, que um de seus maiores desafios é manter a
segurança dos dados da empresa onde ele trabalha. Assim, fala para Laura
quais são as ações necessárias para obter tal segurança e o que cada pessoa
deve realizar para diminuir os riscos da organização, relacionados à
segurança da informação.
“Cada usuário deve bloquear o sistema ao sair de seu local de trabalho,
para que dados não sejam alterados por alguma pessoa de forma indevida. No
entanto, alguns funcionários se esquecem disso e eu preciso monitorar cada
usuário constantemente.”, diz Marcos.
Ao ouvir o que Marcos diz, Laura entende como é o trabalho de Marcos
e sua preocupação. Porém, por não trabalhar com segurança da informação e
não conhecer a fundo todos os mecanismos, desafios e principais
conseqüências na falta desta, para Laura a Segurança da informação pode não
parecer algo tão importante assim.
Laura também fala sobre sua profissão para Marcos e conta como é
cada dia, suas experiências e desafios.
 “É muito triste ver a situação da saúde em alguns hospitais. Muitos
pacientes não têm dinheiro nem para comprar o medicamento que lhes foi
receitado. Sem falar na falta de leitos, de atendimento, pessoas em macas
pelos corredores, entre outras situações. Quase sempre vejo isso acontecendo
e em vários momentos, infelizmente não posso fazer nada.”, diz Laura.
Ao ouvi-la, Marcos também a entende, mas não tem a exata noção de
como é viver esta situação. Ou seja, a informação de que muitos hospitais
funcionam em situação precária, que muitos pacientes não são atendidos
como deveria e que muitas vezes os médicos e outros funcionários não
possuem condições de fazer algo, não representa talvez a real situação, uma
vez que Marcos pode nunca ter vivenciado situações parecidas.
Além disso, pode ser que Marcos não saiba o quão importante é o
atendimento rápido em algumas situações, quais são as conseqüências se
algum medicamento faltar a um paciente, dentre outras informações.
Verifica-se nos dois exemplos dados anteriormente, que o valor da
informação em algumas situações é completamente diferente de uma pessoa
para outra.
Para Marcos, garantir a segurança dos dados na empresa onde trabalha
é um desafio que ele precisa enfrentar todos os dias, pois se uma informação
secreta vier a público pode causar um grande prejuízo financeiro. Desta
forma, o valor não só de uma informação, mas de todos os dados da empresa
onde Marcos trabalha, para ele é muito importante.
Para Laura, seu grande desafio é prestar um trabalho de qualidade a
seus pacientes, porque se forem mal atendidos, dependendo da situação, o
paciente pode sofrer sérias complicações de saúde.
Voltando ao exemplo, quando Marcos vai ao médico, ele pode não
entender o quão importante é a prescrição correta de um medicamento e
ainda, para Marcos, se ele deixar de tomar um comprimido ou outro, não irá
fazer diferença alguma em seu tratamento.
O mesmo ocorre com Laura, ao utilizar um sistema de informação que
exige autenticação de usuário. Laura pode imaginar que não há nenhum
problema em passar sua senha para algum amigo, ou até mesmo não sair do
sistema quando não irá utilizá-lo mais.
O valor da informação para as pessoas pode variar por diversas razões.
Este valor é variável de acordo com o conhecimento que cada pessoa possui,
com as experiências e vivências de cada um, ou com a profissão que exerce
ou já exercida por cada pessoa.
 Em outras situações o valor da informação é invariável. Para qualquer
pessoa o valor de uma informação pode ser o mesmo independentemente de
qualquer razão. É o que ocorre quando se trata de valores financeiros ou
dados pessoais.
Imagine uma situação hipotética na qual uma propaganda informa que
o preço de um produto é R$115,90 (cento e quinze reais e noventa centavos),
somente amanhã, dia de uma grande promoção de uma loja.
A informação passada por esta propaganda representa o mesmo para
qualquer pessoa, por isso o valor desta informação é invariável.
Outra situação onde o valor da informação é invariável se trata de
dados familiares. Ou seja, quando alguém diz que é filho de alguma pessoa
ou irmão de outra, para qualquer pessoa que recebe uma informação desta
natureza, seu valor é invariável.

3.2. ORGANIZAÇÕES
Assim como para as pessoas, o valor da informação para as
organizações pode ser variável em algumas situações e invariável em outras,
isto depende do contexto em que a informação se encontra.
O valor da informação pode se tornar alto para uma empresa, se ocorrer
a descoberta de algo, que possibilite a redução de custos de fabricação, por
exemplo, o que traz como conseqüência a maximização dos lucros.
Como exemplo, suponha uma situação em que uma empresa produtora
de etanol descobre uma nova tecnologia, que pode ser utilizada na produção
do produto e que tal tecnologia reduz os custos de fabricação. Esta
informação para a empresa se torna muito valiosa e certamente sua equipe irá
em busca de novos conhecimentos para utilizar esta tecnologia.
No mundo dos negócios qualquer informação pode ser válida para as
organizações, por isso muitas empresas investem constantemente em seus
colaboradores, com o objetivo de torná-los cada vez mais capacitados e desta
maneira, reduzir custos e maximizar os lucros.
Neste ambiente altamente competitivo as organizações estão
diariamente em busca das mais diversas informações possíveis e tentam
muitas vezes atender seus clientes da melhor forma que podem.
Isto pode ocorrer em uma loja de calçados, por exemplo, onde a
empresa busca informações para melhorar a forma de realizar a abordagem
ao cliente, suas propagandas, seus meios de pagamento, a pós-venda e a
relação com o cliente em geral.
Muitas empresas vão além. É o caso de organizações que não se
preocupam apenas com seus clientes, estas empresas procuram informações
de como podem melhorar a relação com seus colaboradores. Estas
organizações entendem que o colaborador precisa estar satisfeito em seu
ambiente de trabalho, gostar do que faz, ser valorizado pelo trabalho que
realiza e que a organização irá ajudá-lo sempre que for necessário.
Mas assim como para estas organizações a satisfação do cliente e do
colaborador é fundamental para a maximização dos lucros, esta informação
pode não ter valor algum para outras empresas. Pode ser que outras empresas
entendam que devem apenas prestar seu atendimento aos clientes, de maneira
comum, sem buscar informações sobre a satisfação de seus clientes,
funcionários e fornecedores.
Entende-se então que o valor da informação no mundo dos negócios é
relativo e varia de acordo com a cultura organizacional. Se o grupo diretivo
compreende que a relação da organização com seus clientes, colaboradores e
até com a comunidade na qual está inserida, precisa ser aprimorada sempre,
qualquer informação pode ter um valor alto para esta. No entanto, aquela
organização que não está atenta às mudanças ocorridas todos os dias, muitas
informações não possuem valor algum para a mesma e informações
consideradas por muitos como valiosíssimas podem passar despercebidas aos
olhos de alguns administradores.
Organizações que se preocupam com seus clientes, colaboradores e
comunidade, geralmente valorizam muito qualquer informação e estão
constantemente focadas em manter também a segurança de suas informações.
Estas organizações buscam conhecimentos, novas técnicas e diferentes
estratégias de negócios para atrair mais clientes, por isso conhecem os riscos
a que seus dados estão expostos.
Empresas como estas realizam também diversos treinamentos para seus
colaboradores, com o intuito de deixar claro para todos, o quão importante é a
segurança da informação e entendem que esta segurança deve ser realizada
por meio de barreiras físicas e lógicas, mas que para garantir tal proteção
efetivamente o foco principal deve estar em seus colaboradores. São os
colaboradores, incluindo funcionários, fornecedores e parceiros, que muitas
vezes podem levar informações estratégicas, de clientes e outras a público,
resultando em grandes prejuízos.
Um colaborador de uma organização pode tornar pública uma
informação por diversos fatores, sendo que muitas vezes isto não ocorre de
forma intencional, mas sim, por algum descuido ao utilizar um sistema de
informação.
Porém, uma informação organizacional pode vir a público por meio de
um funcionário insatisfeito com o local de trabalho, ou algum funcionário
que foi desligado da empresa. Desta forma, é importante estabelecer uma boa
política de segurança da informação, com o objetivo de evitar o vazamento de
informações críticas.
Muitas organizações entendem também que o treinamento dado a seus
colaboradores não deve abordar apenas a importância da segurança da
informação, mas a utilização correta do sistema de informação adotado por
cada empresa. A operação correta deste sistema é um dos grandes fatores que
evitam o vazamento de dados, ou outro incidente.
Colaboradores que fazem uso de um sistema de informação de maneira
inadequada podem liberar o acesso a dados para pessoas não autorizadas, ou
apagar dados sigilosos sem querer.
Os dados organizacionais devem estar muito bem protegidos, porque a
competitividade existente atualmente exige que cada organização crie novas
estratégias a todo o momento, o que pode elevar o valor das informações para
concorrentes.
Outra situação que se pode notar que o valor da informação é variável
para diferentes organizações é o que ocorre em relação às redes televisivas.
Com o avanço da internet, muitas organizações deste meio começaram
a enxergar que o foco não deve estar apenas nas atrações que podem ser
exibidas na televisão, mas também na interação com o público por meio da
internet.
Algumas redes televisivas estão cada vez mais interagindo com o
público através de seus sites, portais e até mesmo por aplicativos para uso em
dispositivos móveis.
A informação de que a internet se for bem utilizada pode se tornar uma
grande aliada e que por meio de diversas tecnologias a interação com o
público pode se tornar maior quando se trata de redes televisivas, pode ser
valiosa para algumas organizações e para outras não. Para outras
organizações de televisão basta apenas desenvolver um site, mas não é
necessário interagir muito com seu público pela internet.
Embora pode-se considerar que o valor da informação é relativo para os
negócios, existem casos onde o valor da informação representa o mesmo para
qualquer organização.
É o que ocorre quando a economia de algum país não vai bem. O valor
da informação de que a economia do país está em queda, pode representar o
mesmo para todas as organizações que estão instaladas neste país, ou que se
relacionam com o mesmo.
Geralmente toda organização sabe que em situações como esta,
diversos setores podem ser afetados e consequentemente pode haver queda
em seus lucros. Assim, muitas vão em busca de novas estratégias para manter
os clientes atuais e tentar atrair novos clientes também.
O valor da informação é variável tanto para pessoas quanto para
organizações e se torna alto ou baixo de acordo com o contexto de cada
situação. Além disso, em vários momentos o valor da informação pode ser
invariável também para todos, onde todos sabem exatamente o que uma
determinada informação representa e o valor que a mesma traz.

3.3. ENTIDADES VIRTUAIS

Entidade virtual representa qualquer perfil eletrônico criado em um
sistema de informação, que geralmente se apresenta na internet, que exige
autenticação de usuário e é utilizado por alguma pessoa ou grupo de pessoas.
Sendo assim, uma entidade virtual pode ser estabelecida em redes sociais,
plataformas de estudo a distância, lojas virtuais, plataformas de vagas de
emprego, entre outros ambientes.
O valor da informação para uma entidade virtual em nenhum momento
não é o mesmo para organizações ou pessoas. O valor da informação no caso
das entidades virtuais em qualquer momento e situação é muito alto e pode
ter conseqüências devastadoras se uma entidade virtual for utilizada por
alguém não autorizado, ou ainda se informações disponíveis em uma entidade
virtual forem utilizadas por outra pessoa com a finalidade de praticar crimes.
É o que ocorre no caso de usuários de redes sociais. Toda empresa que
presta um serviço de rede social na internet, exige de cada pessoa um nome
de usuário e uma senha. Ou seja, o nome e a senha de cada usuário são suas
credenciais de acesso e tais credenciais devem estar sempre bem seguras.
O valor destes dados é muito alto para qualquer pessoa, pois se outra
pessoa utiliza as credenciais de alguém, no mundo virtual, trata-se da mesma
pessoa e não de outra.
Se tratando de entidades virtuais o valor da informação também é alto
em relação às informações disponíveis em cada entidade. Ou seja, se uma
entidade virtual for invadida, o invasor pode utilizar diversas informações
nela contidas para realizar compras, assaltos, seqüestros, ou outros crimes.
Pode-se entender ainda que quando se trata de entidades virtuais, o
valor da informação é alto principalmente em relação às credenciais de
acesso. É por meio do acesso autorizado ou não, que uma informação
importante pode vir a público, que a imagem de uma pessoa pode ser
arranhada, ou ainda que uma pessoa pode sofrer conseqüências por uma ação
praticada em seu nome por outra pessoa.
Entende-se então que o valor da informação no caso de uma entidade
virtual não só se relaciona com as informações contidas dentro de um perfil,
mas o valor da informação se relaciona diretamente com o uso de credenciais
de acesso a um sistema. Por isso, este valor se torna alto, pois por meio das
credenciais de acesso de uma pessoa, outra pode se passar por ela, assumir
sua personalidade, realizar diversas ações em seu nome e responsabilizá-la
por algo que não cometeu.
 CAPÍTULO 4 SEGURANÇA DA INFORMAÇÃO
A segurança da informação é a proteção que se atribui a dados, sejam
estes pessoais ou organizacionais. Apresenta como principais objetivos
garantir que os dados tenham confidencialidade, integridade e
disponibilidade. Assim, por meio da confidencialidade a segurança da
informação visa garantir que somente pessoas, organizações, ou até mesmo
entidades virtuais autorizadas tenham acesso aos dados. Quanto à integridade
da informação, o objetivo é garantir que nenhuma informação seja
fragmentada. Ou seja, por meio da integridade objetiva-se garantir que toda
informação esteja completa. E ao se tratar da disponibilidade, a segurança da
informação tem por objetivo assegurar que as informações estejam sempre
disponíveis quando preciso para aqueles que as possui acesso.
Em organizações que não possuem segurança da informação, o
andamento dos processos organizacionais se torna extremamente difícil.
Suponha uma situação hipotética na qual uma organização possui inúmeros
funcionários e diversos negócios, mas a segurança da informação não
representa algo importante para seus gestores. Cada pessoa não tem seu
trabalho definido exatamente; as informações sobre a organização podem ser
consultadas por quem quiser; Por não haver controle sobre os dados, em
vários momentos as informações estão fragmentadas; e em diversos
momentos, quando uma informação é necessária para a tomada de alguma
decisão, a mesma não está disponível. Certamente o desenvolvimento dos
processos organizacionais em uma organização como esta seria muito
complicado, com alto risco dos negócios irem à falência.
Isto pode ocorrer não só em organizações, mas na vida pessoal de cada
um também, ao utilizar algum serviço na internet, por exemplo, que não
possui uma política de segurança da informação sobre os dados da
organização prestadora do serviço, ou em relação aos dados pessoais de seus
usuários.

4.1. SEGURANÇA DE DADOS E INFORMAÇÃO

A segurança de dados e informação geralmente está relacionada com os
meios digitais, já que o armazenamento de dados que geram diversas
informações ocorre muitas vezes por meio de dispositivos eletrônicos,
situação criada pela evolução dos meios tecnológicos, onde o uso de papéis é
cada vez menos comum.
No entanto, a segurança de dados e informação não visa apenas aplicar
barreiras lógicas a estes dispositivos eletrônicos. A segurança de dados, que
geralmente é referida como segurança da informação, vai muito além de
barreiras lógicas. Esta envolve sistemas de informação, dispositivos
eletrônicos, pessoas, instalações elétricas e hidráulicas, barreiras físicas,
descarte de documentos impressos, comunicação, construção civil e outros
elementos.
A segurança de dados envolve diversos elementos, que em conjunto
funcionam como uma equipe e permitem garantir que os dados sejam
armazenados de forma adequada e protegida. Cada elemento citado
anteriormente tem sua importância e pode ser comparado a um pilar em uma
construção de um edifício. Ou seja, se um pilar é desenvolvido de maneira
inadequada e tem a possibilidade de gerar defeitos futuramente, a falta deste
pilar pode comprometer toda a obra realizada.
Não existem grandes possibilidades de desenvolver e aplicar uma boa
política de segurança aos dados em lugares que apresentam goteiras,
instalações elétricas e hidráulicas precárias, pessoas que não possuem
processos definidos, sistemas de informação não confiáveis, hardwares em
péssimo estado de conservação, entre outras situações.
Estes elementos se relacionam com a segurança da informação tanto em
ambientes corporativos, quanto em ambientes domésticos. Assim como, por
exemplo, uma instalação inadequada pode causar um grande incêndio em
uma organização e destruir diversos dados, o mesmo pode ocorrer em um
ambiente doméstico.
Para que se construa um ambiente no qual a segurança aos dados seja
garantida é preciso muitas ações e envolvimento de todos que fazem parte
deste ambiente. Primeiramente deve-se realizar um planejamento detalhado,
no qual várias questões devem ser respondidas de forma clara, tais como:

Quais são as informações críticas, que no caso de um vazamento podem

causar danos irreparáveis?
Esta pergunta visa obter uma classificação das informações. Ou seja, ao
responder a esta pergunta deve-se classificar os dados com a finalidade de
identificar quais são as informações críticas, as informações de nível
intermediário, as informações que não precisam de muita segurança e aquelas
que não necessitam ser protegidas. Geralmente estas informações que não
precisam de proteção são chamadas de informações públicas em ambientes
organizacionais. Ao realizar esta classificação da informação é possível
identificar onde é que a proteção aos dados deve ser mais alta, para quais
dados a proteção pode ser de nível intermediário, dados que precisam de
proteção baixa e dados que não há necessidade de serem protegidos.

Como pode ser classificada cada informação, estabelecendo assim

níveis de acesso para cada usuário?
Esta questão permite definir quem tem acesso a que. Ou seja, ao
responder esta pergunta é possível identificar quais dados podem ser
acessados por cada pessoa. Geralmente em organizações as informações são
classificadas por níveis de criticidade e são relacionadas a níveis
hierárquicos. Ou seja, pessoas que ocupam cargos de direção possuem
autorização de acesso às informações críticas e pessoas que trabalham no
nível operacional possuem acesso restrito a dados. Em ambientes domésticos
também é possível realizar esta definição, como exemplo, estabelecer quais
são os sites e aplicativos que os filhos podem acessar e utilizar.

Como devem ser realizadas as instalações, incluindo redes de

computadores, instalações elétricas e hidráulicas?
O ideal é que esta questão seja levantada antes mesmo de se iniciar uma
construção. Ou seja, esta questão deve ser respondida e a maneira como serão
realizadas todas as instalações deve ser definida no processo de planejamento
da construção, seja de uma casa, um edifício, ou qualquer outro ambiente.
Uma instalação bem planejada e realizada pode evitar inúmeros problemas,
dentre os quais incluem danos a dispositivos móveis ou ação de espiões. É
preciso que nesta fase de planejamento, principalmente em organizações,
eletricistas, arquitetos, profissionais de TI e outros responsáveis estejam bem
envolvidos com o projeto e atentos a todos os detalhes.

Como classificar e descartar documentos em papel?

O objetivo desta pergunta é possibilitar que sejam definidas quais são
as informações importantes, ou seja, quais são as informações críticas
disponíveis em documentos impressos. Além disso, esta pergunta tem como
finalidade também a definição de como deve ser realizado o descarte de
documentos. Ou seja, ao identificar as informações críticas, faz-se necessário
tomar alguns cuidados ao descartar tais informações. Esta questão é útil em
ambientes organizacionais, uma vez que é possível evitar que, por exemplo,
informações estratégicas de uma empresa sejam encontradas por alguém no
lixo. Quanto aos ambientes domésticos, esta pergunta permite que as pessoas
definam formas mais adequadas para descartar documentos sigilosos, como
exemplo, extratos bancários.

Quais são os sistemas de informação que garantem maior desempenho

e podem apresentar menos vulnerabilidades?
Esta questão deve ser levantada principalmente em ambientes
organizacionais. A finalidade desta questão é que gestores, grupo diretivo e
principais responsáveis pela TI de uma organização definam quais são os
programas menos vulneráveis e quais devem ser adotados pela empresa.
Existem situações nas quais a organização decide desenvolver seu próprio
sistema de gerenciamento dos recursos organizacionais, enquanto outras
decidem adotar sistemas de informação já disponíveis no mercado. Em
ambientes domésticos esta questão também pode ser levantada, com o
objetivo de identificar qual é o melhor sistema operacional, o melhor
antivírus, ou outros aplicativos.

Quais dispositivos eletrônicos devem ser utilizados?

Esta questão pode ser levantada em ambientes organizacionais e
domésticos e visa à definição de quais dispositivos eletrônicos podem ser
utilizados para garantir maior segurança da informação, evitando danos a
dados e ação de criminosos. Esta definição vai desde componentes de rede,
passando por câmeras de segurança, computadores e servidores, até trancas
eletrônicas, ou outros mecanismos.

Qual é a melhor maneira de se dar treinamento aos usuários sobre a

segurança da informação e o uso correto de sistemas de informação?
Esta questão visa definir como demonstrar a qualquer pessoa a
importância da segurança da informação e o uso correto de sistemas de
informação, incluindo aplicativos para dispositivos móveis, redes sociais,
sistemas gerenciadores de recursos de uma organização, entre outros. Assim,
ao responder esta pergunta deve-se definir processos, que podem ser
palestras, discussões em grupo, ou outros meios, para desenvolver nas
pessoas maior conscientização sobre os riscos que dados corporativos e
pessoais estão expostos e maneiras de mitigar tais riscos.

No caso de organizações, quais são os direitos e deveres de cada um e

quem é responsável por cada processo organizacional?
Esta questão tem por finalidade a definição dos processos
organizacionais e quais são as pessoas responsáveis por cada um destes. Em
ambientes organizacionais onde esta questão é respondida corretamente cada
pessoa sabe seus direitos e deveres e a gestão da comunicação e dos dados da
empresa ocorre de forma mais eficaz. Todos conseguem tomar decisões de
maneira adequada e rápida, já que sabem o que deve ser feito, ou quando não
possível, sabem com quem deve se comunicar e relatar o que está havendo.
Nestes ambientes cada funcionário sabe quais são suas responsabilidades em
relação a segurança dos dados corporativos e quais são os sistemas de
informação e dispositivos móveis que cada um pode utilizar dentro da
empresa. Isto pode evitar em diversos momentos que uma pessoa seja
responsabilizada por algo que não fez.

Em relação aos ambientes corporativos, ao levantar estas questões

todos devem estar envolvidos e o apoio ao desenvolvimento de uma política
de segurança da informação deve vir principalmente da equipe diretiva. Ou
seja, a equipe diretiva deve liderar em todos os sentidos, o processo de
planejamento, desenvolvimento, implantação e manutenção de uma política
de segurança da informação, de forma que tal política seja estabelecida de
acordo com as regras do negócio e as estratégias organizacionais.
No caso de ambientes domésticos estas questões também podem ser
levantadas e as pessoas presentes em cada ambiente podem desenvolver
maior conscientização sobre como utilizar de melhor forma seus dados,
garantindo a segurança da informação e evitando problemas que podem
desenvolver traumas, causar prejuízos financeiros, destruir famílias, entre
outros.
É muito importante também que em ambientes domésticos os pais
acompanhem e eduquem bem seus filhos, visando que crianças e
adolescentes utilizem de maneira adequada a internet e sistemas de
informação. Os pais devem ser presentes na vida de seus filhos, observar
quais são as páginas acessadas por eles quando estão utilizando a internet e
passar confiança. Desta forma, é possível combater diversos crimes virtuais,
uma vez que os filhos têm liberdade para conversar com seus pais e
esclarecer qualquer dúvida.
Mas, ocorre que em muitos lares o diálogo dentro do ambiente familiar
não existe, os pais são muito ausentes e os filhos vivem na internet,
acessando redes sociais e outras páginas, que seus pais desconhecem o
conteúdo exibido por estas.
Situações como estas podem criar um ambiente perfeito para um
criminoso agir, sem que os pais de uma criança ou algum adolescente se
dêem conta do que ocorre quando seus filhos estão trancados no quarto
utilizando um smartphone, um tablet ou um computador.

4.2. RECURSOS FÍSICOS

Existem inúmeras maneiras de se dar proteção aos dados através de
recursos físicos. O tipo de mecanismo pode variar de acordo com o ambiente
e alguns só são utilizados em organizações. Estes recursos são utilizados para
garantir que dados não sejam danificados. Ou seja, barreiras físicas existem
para evitar que danos a dispositivos eletrônicos sejam causados.
Para garantir a segurança da informação em qualquer lugar, seja em
uma organização ou em um ambiente doméstico, faz-se necessário que as
instalações hidráulicas estejam funcionando corretamente, a fim de garantir
que vazamentos de água não irão ocorrer no ambiente em que os dispositivos
eletrônicos estão dispostos.
As instalações elétricas de qualquer ambiente são muito importantes
também e assim como as instalações hidráulicas, precisam ser monitoradas
constantemente com o objetivo de verificar possíveis problemas. Instalações
elétricas adequadas são necessárias para evitar ocorrência de curtos-circuitos,
ou quedas de energia. Quedas de energia elétrica podem causar corrupção de
dados e a inutilização de informações.
Existem organizações que utilizam outras fontes de energia elétrica,
como geradores, com a finalidade de evitar que o fornecimento de energia
não seja interrompido caso ocorra algum problema com a rede elétrica.
Organizações que fazem uso de geradores geralmente não podem interromper
seus processos em nenhum momento, precisam estar em atividade vinte e
quatro horas por dia e sete dias por semana.
Contudo, há várias organizações em que os processos organizacionais
não são intensos, sendo que suas atividades podem ser interrompidas por
algum momento. Apesar disso, estas organizações também podem sofrer
danos com uma queda de energia, mas fazem uso de outros equipamentos,
chamados nobreaks, aparelhos onde se pode conectar dispositivos eletrônicos
e os mantêm em funcionamento por meio de uma bateria no caso de uma
queda de energia. Assim, quando ocorre uma queda de energia elétrica é
possível finalizar os processos em andamento e desligar todos os dispositivos
antes que a energia seja interrompida totalmente.
As instalações e a disposição dos equipamentos de rede de forma
adequada é outro meio físico de fundamental importância para a segurança da
informação, uma vez que evita que pessoas conectem algum dispositivo a
algum componente de rede e acesse informações confidenciais. Isto é muito
válido principalmente em organizações, já que normalmente ambientes
organizacionais possuem várias salas e são freqüentados por diversas
pessoas. Assim, se os componentes da rede de uma empresa, por exemplo,
não forem dispostos de forma adequada, qualquer pessoa pode conectar seu
dispositivo eletrônico a rede e acessar informações sem estar autorizada para
tal ação.
Componentes de rede de uma organização devem estar expostos de
forma camuflada, a fim de garantir que ninguém terá acesso a estes
componentes e somente a equipe de TI de uma empresa deve saber onde está
cada componente de rede.
Existem ainda ambientes em que a segurança da informação precisa ser
extremamente alta, os quais possuem portas eletrônicas, paredes de aço,
câmeras e outros mecanismos. Nestes ambientes o acesso de pessoas é muito
restrito e as poucas pessoas que possuem acesso precisam se identificar com
a digital. Lugares como estes se armazenam informações secretas, geralmente
são informações estratégicas e somente gestores possuem acesso a tais dados.

4.3. RECURSOS LÓGICOS

A segurança da informação por meio de recursos lógicos deve ser
monitorada constantemente, sendo que em alguns casos esta monitoria
precisa ocorrer vinte e quatro horas por dia, sete dias por semana. A
segurança da informação não envolve somente computadores e grandes
ambientes de TI onde são armazenados todos os dados de uma organização.
A proteção a dados por meio de recursos lógicos vai muito além, esta deve
estar presente em qualquer dispositivo, como computadores, servidores,
tablets, smartphones, notebooks, ultrabooks, ou outros meios que permitem
manipular, armazenar, transmitir, gerenciar e apagar dados. Ocorre que em
cada um destes dispositivos existem inúmeros sistemas que diferem de um
dispositivo para outro, resultando em variações desde sistemas operacionais
até aplicativos para jogos, músicas, redes sociais e outros. Sendo assim,
gestores de segurança da informação se vêem diante de ambientes muito
complexos e precisam usar diversos mecanismos visando dar proteção a
dados.
Um dos recursos lógicos que podem ser utilizados é o estabelecimento
de uma boa política de senhas. Geralmente em ambientes corporativos
existem softwares que conseguem realizar uma boa gestão de senhas de
acesso para os usuários. Estes programas possuem configurações que
possibilitam ao gestor da segurança da informação definir a periodicidade de
troca de senhas e quantas tentativas cada usuário possui para acessar um
sistema de informação. Além disso, estes programas não aceitam senhas
fracas, que geralmente solicitam ao usuário que informe uma senha contendo
no mínimo oito caracteres, três letras, um caracter especial e números. Alguns
destes programas não permitem ainda que o usuário atribua uma senha que
seja igual às três últimas senhas atribuídas por ele.
Outro recurso lógico que pode ser utilizado em ambientes corporativos
é o bloqueio de contas de usuário para funcionários inativos. Ou seja, pode
ser configurado que um sistema de informação bloqueie a conta de algum
funcionário inativo por mais de 30 dias, evitando assim que outra pessoa faça
uso de algum sistema em seu nome.
A realização de atualizações de sistemas constantemente também é um
excelente recurso para se dar proteção a dados, que deve ocorrer desde
sistemas operacionais, passando por aplicativos e antivírus. As atualizações
de sistemas geralmente corrigem várias vulnerabilidades identificadas em
versões anteriores e dão maior proteção a informações.
Muitas organizações definem também o tipo de conteúdo que seus
colaboradores ou funcionários podem acessar na internet e estabelecem
configurações que bloqueiam o acesso a diversos sites, evitando que pessoas
visualizem conteúdos que não são adequados com as políticas
organizacionais. Assim, é possível definir que funcionários acessem somente
páginas governamentais e judiciárias por exemplo.
Em ambientes domésticos os pais também podem realizar
configurações semelhantes no uso de meios eletrônicos para seus filhos,
evitando que os mesmos acessem páginas que possuem conteúdos sobre
drogas, alcoolismo, pedofilia, pornografia, armas, ou outros assuntos.
Em alguns ambientes corporativos é possível também a realização de
auditoria de e-mails, o que traz maior segurança aos dados organizacionais,
permitindo a averiguação de possíveis incidentes e melhor gerenciamento da
comunicação.
Existem ainda diversos sistemas destinados diretamente à garantia da
segurança da informação, como antivírus, que evitam a instalação de
softwares maliciosos em ambientes corporativos e domiciliares e firewalls,
que são aplicativos destinados a proteção de dados na rede.

4.4. RECURSOS HUMANOS

Um dos elementos fundamentais, talvez o mais importante quando se
trata sobre segurança da informação é o ser humano. São as pessoas que estão
diretamente envolvidas com processos que se relacionam com a informação,
sendo que a segurança desta tem cada indivíduo como peça chave.
É importante ressaltar que o ser humano só pode atuar como peça chave
na segurança de dados e informação quando o mesmo tem consciência da
importância dos dados e os riscos a que os dados estão expostos. Ou seja,
para que as pessoas contribuam com a segurança da informação,
primeiramente elas precisam entender qual é o valor da informação, quais são
as possíveis conseqüências se uma informação vier a público, ou se uma
informação for mal utilizada por alguém.
Em ambientes domiciliares o uso de computadores e dispositivos
móveis deve ser utilizado de maneira correta por todos.
Os adultos precisam estar atentos à forma como fazem uso de suas
credenciais de acesso a diversos serviços disponíveis na internet, de forma a
garantir que ninguém poderá fazer uso de seus dados de acesso, evitando que
pessoas mal intencionadas se passem por outra ao acessar uma rede social, ou
ao utilizar algum serviço bancário. É importante também que em ambientes
domésticos o armazenamento de informações críticas seja realizado de forma
segura, cópias dos dados sejam realizadas constantemente em outro
dispositivo e ao levar algum dispositivo eletrônico para manutenção, que
procure profissionais confiáveis.
Além disso, ao fazer uso de redes sociais faz-se necessário tomar
cuidado com a exposição na internet, visando evitar que criminosos tenham
informações sobre a rotina da casa, ou outros dados que podem facilitar a
ação de bandidos.
A educação dada às crianças constitui outro elemento essencial, de
forma que os pais passem para as crianças a importância da segurança de
dados e do uso correto dos serviços que estão disponíveis no mundo virtual.
Em relação aos ambientes corporativos, as pessoas estão também
diretamente interligadas a segurança da informação, uma vez que todos os
processos organizacionais passam pelas mãos de funcionários.
Cada organização deve desenvolver em seu colaborador a consciência
do quão importante é a proteção dos dados para os negócios. Assim, faz-se
necessário dar treinamentos constantemente sobre o uso correto dos sistemas
de informação adotados pela empresa e sobre o uso consciente da internet no
ambiente de trabalho ou externo.
É importante também que sempre que possível cada organização
promova eventos que apresentem aos funcionários a importância dos dados,
os riscos a que tais dados estão expostos e qual é a melhor forma de
manipular as informações organizacionais.
Informações corporativas geralmente vêem a público por funcionários
descuidados, ou funcionários mal intencionados. Os funcionários mal
intencionados podem estar dentro de uma organização, ou podem já terem
sido desligados, o que representa forte ameaça à segurança dos dados, uma
vez que este conhece todos os processos e sistemas da empresa.
Aqueles funcionários mal intencionados que estão dentro de uma
organização, podem levar a público informações importantes por diversos
motivos, pode ocorrer por ganhos financeiros, por insatisfação com a
organização, por vingança a um colega de trabalho, entre outros.
Em qualquer ambiente existem pessoas com diferentes perfis, pessoas
determinadas, brilhantes, tímidas, inescrupulosas, por isso é importante que a
proteção de dados esteja extremamente voltada para aqueles que possuem
acesso direto ou indireto com processos organizacionais de alguma
instituição.

4.5. DESCARTE DE DOCUMENTOS IMPRESSOS

O descarte de documentos deve ser realizado por todos de maneira
adequada quando nos mesmos existem informações confidenciais. Muitos
espiões sabem que dados importantes podem ser encontrados no lixo e
utilizar destas informações para aplicar golpes.
Como exemplo, quando uma pessoa descarta documentos bancários de
forma incorreta no lixo, outra pessoa pode encontrar estes documentos e
utilizar os dados para se passar por algum funcionário do banco em que esta
pessoa possui conta, através de uma ligação e obter dados mais secretos
ainda, como senhas.
Muitas vezes as pessoas acabam confirmando os dados e passando
outros mais, por imaginarem que realmente a pessoa que está ao telefone é
um funcionário do banco no qual possui uma conta. Uma vez que o
criminoso possui tantos dados pessoais sobre a vítima, a mesma não suspeita
que se trata de um golpe.
Informações importantes também podem ser encontradas no lixo sobre
alguma organização. Documentos sobre o crescimento, ações de expansão,
estratégias de marketing, negócios em andamento ou realizados de uma
empresa podem ser encontrados por algum criminoso que se aproveita dos
dados que tem em mãos para a prática de diversos crimes.
Como exemplo, uma pessoa pode encontrar documentos no lixo sobre
algum negócio em andamento e passar estes dados para algum concorrente da
empresa titular dos documentos. Ou seja, estes dados podem ser vendidos ao
concorrente da organização que jogou os documentos no lixo. Desta forma, a
organização concorrente pode de alguma maneira dificultar a realização do
negócio, ou até mesmo impedir a concretização deste.
Existem outras situações nas quais documentos importantes de uma
organização podem ser encontrados no lixo por um de seus concorrentes
diretamente, concorrente este que quer ganhar a todo custo, não importa se é
por meios legais ou não.
A concorrência acirrada que existe atualmente no mundo dos negócios
faz que atitudes desonestas como estas sejam tomadas por pessoas ou
organizações que pretendem conquistar clientes através da aplicação de
golpes a seus concorrentes.

4.6. COMUNICAÇÃO
A comunicação se relaciona com a segurança da informação
principalmente em ambientes organizacionais. A forma como cada um se
comunica é muito importante para que auxilie na tomada de decisão. Por
outro lado, quando a comunicação não é realizada de maneira eficaz, as
informações podem sair do contexto em que estão, gerando alguns problemas
ou mal entendidos.
Imagine, por exemplo, uma situação hipotética na qual o porta voz de
uma empresa se comunique com a imprensa sobre algo que está ocorrendo na
mesma, mas as informações passadas por ele são interpretadas de outra
maneira pelos jornalistas, que divulgam uma notícia que não condiz com a
realidade. Dependendo da notícia e até que os fatos sejam esclarecidos, a
empresa poderá enfrentar diversos problemas.
Pode-se entender então que a comunicação está intimamente ligada à
informação, uma vez que esta também possui valor, é gerada por alguém,
apresenta diversos dados, permite a tomada de decisões e é passível de
manipulação.
Desta maneira, a comunicação se sustenta nos mesmos pilares da
segurança da informação, onde a mesma deve ser realizada com integridade,
confidencialidade e disponibilidade.
Por integridade entende-se que a comunicação deve ser realizada de
maneira correta e completa, evitando fragmentação de informações ou dados.
Ou seja, o comunicador deve passar para o receptor todos os dados e
informações necessárias para a finalidade a qual se destina, de acordo com
solicitações que lhe foram realizadas.
Por confidencialidade entende-se que o comunicador deve realizar a
comunicação somente com quem tem autorização para receber uma dada
informação. Ou seja, a comunicação não deve ser realizada com quem, ou
perto de alguém que não está autorizado a receber algum tipo de informação.
Por disponibilidade entende-se que os canais de comunicação devem
sempre estar disponíveis para quem os precisa utilizar e obter informações.
Ou seja, aquele que está em busca de alguma informação deve ter a sua
disposição um canal de comunicação que permita ao mesmo se comunicar
sobre algo com quem é o responsável por tal assunto.
A comunicação representa a transmissão de informações e esta é uma
ação praticada por todas as pessoas todos os dias, seja em âmbito pessoal,
profissional, ou acadêmico.
Na vida pessoal as pessoas fazem uso da comunicação para fazer
compras, tomar um ônibus, ir ao médico, chegar a um lugar desconhecido,
dentre outras ações. Enquanto na vida profissional, as pessoas fazem uso da
comunicação para treinar e serem treinadas, tomar decisões, discutir
estratégias, realizar vendas, desenvolver novos negócios e outras ações. Já no
âmbito acadêmico cada pessoa faz uso da comunicação para transmitir e
obter conhecimentos, esclarecer dúvidas, ou realizar trabalhos e provas.
 CAPÍTULO 5 SEGURANÇA DA INFORMAÇÃO EM
SISTEMAS
A segurança da informação em sistemas envolve redes de
computadores, sistemas de informação e bancos de dados. Em cada um destes
elementos várias técnicas podem ser aplicadas e diversas ferramentas podem
ser utilizadas visando garantir proteção aos dados.
A proteção em redes envolve diversos softwares que quando
configurados corretamente evitam o acesso de intrusos, impedindo que dados
sejam alterados, excluídos, ou roubados. A segurança em bancos de dados
envolve regras que podem ser estabelecidas por meio do SGBD, que também
podem impedir o acesso a informações por quem não está autorizado a tal
acesso. A segurança em sistemas de informação envolve a definição de regras
de processos no próprio sistema, interligando estas regras as regras de
negócio de uma organização, além de instalação de atualizações.

5.1. SEGURANÇA DA INFORMAÇÃO EM REDES

Os dispositivos eletrônicos estão todos interligados, estão todos em
rede e isto ocorre em qualquer ambiente. Smartphones, tablets,
computadores, servidores, notebooks, ou outros dispositivos não permitem ao
usuário realizar muitas ações se estes não estiverem conectados a uma rede.
Um dos grandes benefícios que o uso de redes de computadores traz é a
rapidez na obtenção ou transmissão de informações. As redes de
computadores permitem a todos se comunicarem de maneira extremamente
rápida, o que possibilita qualquer pessoa saber o que ocorre em qualquer
lugar do mundo em tempo real. São as redes de computadores que eliminam
distâncias e promovem interação entre pessoas que estão muito distantes
geograficamente.
É por meio de redes que as pessoas se comunicam e manipulam
informações, transmitindo, alterando, recebendo, ou apagando dados. Mas
assim como em qualquer outro ambiente, muitos ataques ocorrem pelas redes
informatizadas, onde pessoas realizam tais ataques com o intuito de praticar
crimes. Por isso a proteção da informação em redes se faz necessária, visando
desenvolver mecanismos que barrem ações de criminosos.
As redes podem ser divididas de duas maneiras: redes internas e redes
externas. As redes externas são representadas pelo conjunto de dispositivos e
sistemas conectados a internet. Desta forma, a internet é uma rede onde
diversas informações são trafegadas diariamente, que permite a comunicação
entre pessoas, mesmo quando estas estão muito distantes geograficamente.
Enquanto as redes internas são representadas por um conjunto de
computadores ou dispositivos eletrônicos que estão interligados por algum
meio e normalmente estão dispostas em um espaço delimitado.
Como exemplo, uma casa que possui acesso à internet via Wi-Fi, ou
seja, sem fio, todos os dispositivos que estão conectados a internet estão
também conectados a uma rede interna, uma rede estabelecida entre o
dispositivo eletrônico que permite o acesso a internet e todos os outros
dispositivos eletrônicos conectados ao mesmo.
Estes dispositivos eletrônicos que possibilitam o acesso à internet sem
fio, são conhecidos também por aparelhos roteadores e realizam o
compartilhamento de acesso a internet entre vários dispositivos eletrônicos, e
estabelecem uma rede interna onde todos os dispositivos conectados a
internet por meio de um roteador possuem a possibilidade de se
comunicarem.
Como exemplo, imagine que a internet é um jogo de futebol, um
roteador representa o portão de entrada de um estádio que dá acesso a um
jogo e as pessoas que estão nas torcidas representam os dispositivos
eletrônicos conectados a internet. Ou seja, assim como existe comunicação
entre dispositivos eletrônicos em uma rede sem fio, existe também
comunicação entre os membros das torcidas. Da mesma maneira que todas as
pessoas utilizando seus dispositivos eletrônicos conectados a um roteador
possuem um objetivo comum, que é o acesso a internet, as pessoas que
passam pelo portão de acesso a um jogo de futebol também tem um objetivo
comum, que é assistir a um jogo. E ao mesmo tempo em que o acesso à
internet só é possível por meio de um roteador, o acesso a um jogo só é
possível por meio do portão de entrada de um estádio.
É possível também relacionar este exemplo com a segurança da
informação em redes sem fio domiciliares. Ou seja, uma rede sem fio emite
sinal de acesso a internet dentro de um ambiente domiciliar e nos seus
arredores. Sendo assim, da mesma maneira que pessoas podem invadir um
estádio onde um jogo de futebol está sendo realizado para praticar crimes,
como o furto de objetos pessoais das torcidas, se a segurança não for
realizada adequadamente, um intruso, que pode ser até mesmo algum
vizinho, pode conectar a internet sem fio de alguém e uma vez que está
conectado, capturar informações sigilosas como dados bancários, fotos
íntimas, ou outras informações, se a rede não utilizar mecanismos de proteção
a dados.
Apesar de que uma pessoa em ambiente externo pode acessar redes sem
fio e cometer crimes, felizmente redes sem fio possuem mecanismos que
garantem a segurança aos dados trafegados por estas redes e impedem o
acesso não autorizado a dados armazenados nos dispositivos eletrônicos
conectados a rede.
Em ambientes domésticos também podem haver redes desenvolvidas
por meio de cabos, mas atualmente isto não é comum. A evolução dos
dispositivos móveis e o baixo custo de diversos dispositivos eletrônicos
permitiram aos consumidores o desenvolvimento de redes sem fio em
qualquer lugar, sendo que estas estão presentes não só em ambientes
domiciliares, mas também em lojas, supermercados, restaurantes, estádios de
futebol, organizações, ou outros, de maneira super simples, já que aparelhos
roteadores estabelecem redes sem mesmo que um usuário tenha algum
conhecimento sobre TI.
Isto facilitou muito o uso da internet em diversos lugares através de
dispositivos móveis, porém o uso de redes sem fio em qualquer ambiente
tornam os dados pessoais cada vez mais vulneráveis. Nem todos os ambientes
que possuem redes sem fio estabelecem mecanismos de segurança em suas
redes, o que pode facilitar a ação de bandidos.
A promoção da segurança da informação em redes situada em
ambientes organizacionais pode ser mais complexa, uma vez que envolve
muitas pessoas, diversos dispositivos, vários sistemas de informação e
inúmeras conexões.
Em ambientes organizacionais não só os funcionários podem estar
envolvidos com a rede, mas também todas as outras pessoas que freqüentam
um destes ambientes, o que pode representar muitas vezes uma ameaça à
segurança dos dados de uma empresa. Os gestores de TI devem estar
preparados para enfrentar este tipo de ambiente e desenvolver mecanismos na
rede que possam evitar o acesso a informações por pessoas não autorizadas.
Mas a proteção da informação em redes desenvolvida por gestores de
TI em ambientes organizacionais não para por aí. Existem ainda organizações
que além de possuir diversas tecnologias e redes, possuem também lojas
virtuais, o que pode tornar os dados sobre uma organização mais vulneráveis
ainda, se não houver uma boa política de segurança da informação
estabelecida e seguida por todos os profissionais.
Todavia, existem diversos mecanismos que podem ser utilizados em
redes informatizadas para trazer maior segurança aos dados armazenados nos
dispositivos eletrônicos conectados a alguma rede.
Um dos mecanismos considerados de fundamental importância quando
se refere a segurança da informação em redes é o uso de softwares antivírus.
Não há como ter segurança em qualquer dispositivo eletrônico conectado a
uma rede se este não tiver instalado em seu sistema operacional um bom
antivírus.
Existem diversos softwares antivírus disponíveis no mercado, entre os
quais há alguns pagos e outros de uso gratuito. A principal função destes
programas é detectar e eliminar vírus em uma rede ou em algum sistema.
Um vírus é um programa que tem como finalidades infectar arquivos
em um dispositivo eletrônico, alterar as funcionalidades de sistemas
instalados em algum dispositivo e roubar, alterar, ou apagar dados trafegados
ou armazenados em um meio eletrônico. Geralmente estes programas são
projetados para funcionar de maneira escondida e se espalham rapidamente
por uma rede interna, pela internet, ou por meio de conexão a dispositivos
móveis. Estes programas recebem este nome por se multiplicarem
rapidamente, característica encontrada também nos vírus biológicos. Ou seja,
um vírus instalado em um computador pode passar para um smartphone se os
dois dispositivos estiverem conectados a mesma rede, pode ser também que
um vírus passe de um computador para um cartão de memória, ou um pen
drive e pode ser ainda que um vírus seja transmitido por envio de e-mails. Da
mesma forma, um dispositivo móvel infectado pode transmitir o vírus para
outro computador e assim por diante.
Como exemplo, um vírus instalado em um computador pode ter como
função a captura de dados digitados num teclado, coletando dados sigilosos
como senhas. Um vírus pode também tornar lento o desempenho de algum
sistema de informação, fazendo com que um usuário realize suas tarefas de
maneira devagar.
Desta forma, um vírus pode se espalhar por alguma rede e contaminar
todos os dispositivos eletrônicos conectados a mesma, por isso o uso de
programas antivírus é tão importante, já que estes programas podem detectar
um vírus em uma rede de computadores e eliminá-lo, impedindo que pessoas
mal intencionadas instalem programas maliciosos em algum dispositivo e
comprometam a segurança de informações confidenciais.
 No caso das redes sem fio, além do uso de antivírus, existem outros
recursos que podem ser utilizados para trazer mais proteção a informações
sigilosas.
Quando um consumidor compra um aparelho roteador, por um
navegador é possível acessar as configurações do roteador e fazer alterações,
que permitem ao usuário estabelecer mecanismos de segurança a seus dados.
Geralmente o acesso a tais configurações é realizado por um nome de usuário
e uma senha que já são estabelecidos pelo fabricante.
Estas credenciais de acesso às configurações de um roteador são muito
fáceis de serem descobertas, uma vez que seguem um padrão e qualquer
pessoa pode ter acesso a estas informações. Normalmente um fabricante
estabelece como nome de usuário e senha a palavra “admin”, nome de
usuário em branco e senha “admin”, nome de usuário e senha em branco, ou
nome de usuário “admin” e senha “1234”.
Assim, uma das primeiras alterações de configuração que devem ser
realizadas em um roteador é a troca das credenciais de acesso às
configurações do aparelho, estabelecendo um nome de usuário e uma senha
forte, por exemplo, uma senha que tenha letras maiúsculas e minúsculas,
caracteres especiais e números. Esta alteração é fundamental para garantir a
segurança de informações ao conectar um aparelho roteador a internet.
É importante destacar que nas configurações de um aparelho roteador é
possível estabelecer dois nomes de usuário e duas senhas. Ou seja, duas
credenciais de acesso, uma que dá acesso às configurações do aparelho e
outra que permite a conexão de um dispositivo eletrônico, um computador ou
um smartphone a um roteador e o acesso à internet.
Quando um aparelho roteador está ligado à energia elétrica, seu nome
de rede sem fio é exibido para as pessoas que estão próximas ao mesmo na
lista de redes sem fio disponíveis em cada dispositivo. Todo roteador possui
um nome de rede que o identifica, mas geralmente não possui senha para a
conexão ao mesmo. Sendo assim, depois de estabelecer as credenciais de
acesso às configurações do aparelho é importante a definição de uma senha
de conexão a rede sem fio estabelecida pelo roteador.
Outra maneira de se dar proteção à rede sem fio é colocar o aparelho
roteador no centro do ambiente no qual o mesmo está instalado, seja em uma
organização, ou em um ambiente domiciliar, visando diminuir a intensidade
do sinal de acesso sem fio, nos arredores do ambiente, desta maneira evitando
que estranhos visualizem a rede e realizem tentativas de invasão.
 É importante também que o uso de aparelhos roteadores seja realizado
somente quando necessário. Ou seja, um roteador só deve estar ligado a rede
elétrica quando pessoas precisam utilizar a internet por meio de acesso sem
fio. No caso de organizações roteadores devem estar conectados a rede
elétrica somente durante o período de atendimento. Assim, roteadores devem
ser desligados ao término de cada dia de trabalho, ou quando não estão em
uso em ambientes domésticos.
Além disso, em cada rede sem fio é possível escolher o protocolo a ser
utilizado, sendo que o mais recomendável atualmente é o uso do WPa2,
tecnologia que fornece um bom índice de segurança a dados em redes sem
fio.
Além dos mecanismos já citados, existem outros meios para se dar
proteção aos dados em rede através do uso de firewalls, que se dividem em
softwares e equipamentos, os quais possuem o objetivo de monitorar o fluxo
de dados em uma rede, o que proporciona maior segurança de informações.

5.2. SEGURANÇA DA INFORMAÇÃO EM BANCOS DE

DADOS
A segurança da informação em bancos de dados apresenta como
objetivo principal garantir que os dados estão seguros, ou que no caso de
algum desastre, alguma falha humana, uma invasão de redes, ou algum outro
dano, os dados sejam passíveis de serem recuperados, garantindo a
continuidade do negócio e dos processos organizacionais.
Para garantir tal segurança é necessário que se estabeleça uma boa
política de backup (cópia de segurança), mecanismo que permite a
recuperação dos dados. O backup pode ser realizado parcial ou totalmente,
uma vez por semana ou diariamente, mas isto só é definido de acordo com as
regras de negócios de uma organização, com os riscos a que os dados estão
expostos e com o valor dos dados contidos em uma base de dados.
A periodicidade da realização de backups pode variar entre um banco e
um supermercado. Enquanto o banco realiza diversas transações financeiras,
as quais envolvem pequenos e grandes valores, um supermercado também
realiza transações financeiras, mas os valores são bem mais baixos. Ou seja,
no caso de um desastre natural, por exemplo, a perda de dados em um banco
pode causar prejuízos financeiros bem maiores que em um supermercado.
O intervalo entre uma realização de backup e outra pode ser variável
também em uma mesma empresa em relação a cada tipo de informação. Ou
seja, o período de realização de backups pode ser menor para informações
críticas, enquanto que aquelas informações consideradas não muito críticas
para uma organização, o backup pode ser realizado em períodos maiores.
Entende-se então que ao definir uma política de realização de backups
em uma organização, diversas questões devem ser levantadas e suas respostas
devem ser dadas de forma clara, visando garantir um alto nível de segurança
aos dados. É preciso também que toda a cúpula de uma organização esteja
envolvida, juntamente com o departamento de TI. Dentre as questões que
podem ser levantadas estão:

Onde o backup será armazenado?

O primeiro passo é definir onde é que a cópia de segurança de todos os
dados de uma organização deve ser armazenada. Para responder a esta
questão deve-se levar em conta a distância geográfica entre a base de dados
original e a base de dados cópia, qual é a probabilidade de desastres naturais
e instalações existentes em ambos os ambientes de armazenamento das bases
de dados.

Qual será a periodicidade da realização de backups?

Para responder a esta questão é preciso que a organização realize antes
de qualquer coisa uma classificação de seus dados, visando identificar os
dados críticos, dados de níveis médio de criticidade, dados de criticidade
baixa e dados que não possuem nenhuma criticidade. Desta maneira, a
realização de cópias de segurança não precisa ser de toda a base. O intervalo
entre a realização de um backup e outra pode ser variável de acordo com os
níveis de classificação de cada dado. A realização de backups pode ser mais
intensa em relação aos dados críticos, pode ser não muito intensa em relação
aos dados de criticidade em nível intermediário, pode ser raramente para
dados de nível baixo de criticidade e pode não haver cópias de segurança para
dados que não possuem nenhuma criticidade.

Como a cópia de segurança será realizada?

Esta questão é levantada para que se defina de que maneira a realização
de backups será realizada, se irá ocorrer de forma automática, ou se alguém
realizará a cópia de segurança de forma manual. Pode-se programar o SGBD
para realizar backups de maneira automática, estabelecendo datas e horários,
sem intervenção humana. Isto é muito útil, mas é bom lembrar que falhas de
hardwares e softwares existem, o que podem evitar a não realização de um
backup programado. Por outro lado, quando o backup é realizado de maneira
manual, seres humanos também podem cometer falhas e aquele profissional
responsável pela realização de cópias de segurança de uma empresa pode
acabar se esquecendo de tal ação.

É importante salientar ainda que haja uma equipe ou um profissional

responsável para averiguar se as cópias de segurança realizadas em uma
organização estão funcionando corretamente.
Os SGBDs permitem aos gestores de TI, ou gestores de segurança da
informação em um ambiente organizacional a realização de restauração do
backup realizado. Ou seja, quando um backup é restaurado suas informações
podem ser utilizadas da mesma forma como são utilizadas na base original.
Tal restauração permite verificar se a cópia de segurança funciona
corretamente, pois existem situações, onde a cópia de segurança pode ser
corrompida e talvez, quando sua utilização for necessária, os dados não
estarão disponíveis.
A proteção da informação relacionada a bancos de dados também
envolve outros mecanismos, sendo que sua garantia não se dá apenas por
meio da realização de cópias de segurança. Conforme dito anteriormente, um
dos pilares da segurança da informação se relaciona com a disponibilidade.
Assim, a segurança da informação em bancos de dados visa garantir que os
dados estejam disponíveis não só no caso da perda de dados. Esta visa
também garantir um bom desempenho do SGBD, para que o mesmo atenda
as requisições de informações realizadas por cada usuário em tempo
plausível.
Desta forma, cada organização deve definir qual SGBD deve ser
adotado, com o intuito de trazer maior desempenho na manipulação de
informações organizacionais. Outro pilar da segurança da informação se
relaciona com a confidencialidade. Assim, por meio de um SGBD é possível
estabelecer níveis de dados e usuários e relacionar tais níveis, visando
garantir que somente um dado ou uma informação será acessada por quem
está autorizado.
Existem inúmeras ferramentas disponíveis nos SGBDs, que dão um alto
nível de segurança a dados, quando são bem utilizadas por seus gestores.
Existe, por exemplo, a possibilidade da realização de backups
automaticamente, através de configurações prévias em um SGBD, quase que
em tempo real. Esta técnica é conhecida como replicação de dados e se torna
muito útil no caso de backups sobre informações que possuem alto nível de
criticidade.
No entanto, não há como ter segurança da informação em bancos de
dados geridos por equipes que não possuem uma boa política de realização de
cópias de segurança. Organizações que não possuem processos
organizacionais alinhados com os processos de TI, inviabilizam uma boa
política de segurança da informação, principalmente quando esta está
relacionada a bases de dados de uma organização.
A base de dados em qualquer organização representa o coração dos
negócios. É na base de dados que estão registrados todos os negócios
planejados ou em execução, todas as estratégias de mercado, todas as vendas
realizadas ou serviços prestados, informações de todos os clientes, parceiros,
fornecedores e funcionários, além de outros dados, que se forem perdidos e,
sua recuperação não for possível, qualquer organização pode sofrer
conseqüências devastadoras e culminar em uma falência.
Faz-se necessário destacar também que a segurança em banco de dados
não visa apenas assegurar as informações organizacionais. Esta visa também
proteger os dados sigilosos de fornecedores, parceiros e clientes, objetivando
evitar que possíveis invasores capturem estas informações e façam uso
indevido das mesmas. Informações desta natureza se forem capturadas por
criminosos, qualquer organização poderá sofrer várias ações judiciais, como
exemplo, solicitação de pagamentos de indenizações.

5.3. SEGURANÇA DA INFORMAÇÃO EM SOFTWARES

A segurança da informação relacionada a softwares ou sistemas de
informação é muito ampla e abrange diversos sistemas, que possuem
mecanismos e funcionalidades diferentes. Esta pode ser relacionada com
navegadores de internet, aplicativos de jogos, sistemas voltados para
escritórios, entre outros.
É importante salientar que em qualquer um destes sistemas, ou
programas, existem mecanismos que permitem ao usuário manipular
informações de maneira segura. Nem sempre tais mecanismos impedem
totalmente um dano a alguma informação, mas proporcionam aos usuários
um alto nível de segurança.
Por exemplo, na fase de desenvolvimento de um sistema de
informação, seja este um programa para gerenciar os recursos de uma
empresa, um sistema para uso de redes sociais, ou outros, seus
desenvolvedores podem implementar funcionalidades ao mesmo, que
poderão dar mais segurança ao usuário, através de emissão de alertas,, caixas
de seleção, opções predefinidas, ou outros mecanismos, que permitem
manipulação de dados de maneira segura.
Existem vários sistemas de informação que apresentam estes
mecanismos a seus usuários, visando maior segurança aos dados
manipulados.
Um exemplo real é o alerta que programas editores de texto emitem
para o usuário, quando o programa é encerrado, solicitando ao mesmo que
escolha se deseja salvar as informações em um documento ou não. Existem
também alertas em navegadores, que informam ao usuário, quando o mesmo
deseja fechar o sistema, que existem várias abas abertas e, que se a ação for
concluída, todas as abas serão fechadas, o que pode resultar em perda de
dados.
Mas a proteção da informação quando relacionada a sistemas de
informação não visa apenas à emissão de alertas. Esta pode estar relacionada
a atualizações de software e credenciais de acesso.
Quando um sistema de informação é desenvolvido, geralmente o
mesmo apresenta algumas vulnerabilidades, que são corrigidas e detectadas
ao longo do tempo, por meio de suas novas versões lançadas ao mercado.
Logo, a atualização de softwares é extremamente necessária, uma vez que tal
ação pode corrigir possíveis vulnerabilidades detectadas anteriormente. Além
disso, manter as versões de sistemas de informação atualizadas é importante
para garantir maior segurança a dados, uma vez que outros mecanismos de
segurança podem ter sido implementados, mecanismos estes que podem não
existir em versões antigas.
 CAPÍTULO 6 O ELO MAIS FRACO
DA SEGURANÇA DA INFORMAÇÃO
Conforme já dito, a segurança da informação envolve diversos
elementos, os quais devem ser agrupados e estabelecidos adequadamente,
visando garantir proteção a dados, de acordo com os princípios básicos da
segurança de qualquer informação, que são confidencialidade, integridade e
disponibilidade.
Estes mecanismos de segurança foram explicitados nos capítulos
anteriores, que envolvem recursos físicos e lógicos, descarte de documentos
impressos e comunicação. Todos estes elementos que dão segurança a dados
são muito importantes, mas neste contexto, há um elemento, ou recurso que
se destaca em relação a qualquer meio de proteção a dados, que são as
pessoas.
Todos os dias qualquer pessoa precisa transmitir, obter, manipular,
descartar, ou gerar informações e, os mecanismos que armazenam ou que
permitem o tráfego de dados também são manipulados por pessoas. Logo, a
segurança da informação somente se torna possível, quando o ser humano faz
uso desta corretamente, aplicando todos os meios existentes para se dar
proteção a dados.
É importante destacar que com a evolução tecnológica ocorrida nos
últimos anos, o desafio de se garantir segurança a dados se torna ainda maior,
quando se trata do ser humano, pois envolve uma mudança cultural, já que a
maior parte das informações manipuladas por alguém está em meios
eletrônicos.
A informação em papel está exposta a riscos, mas os riscos a que uma
informação está exposta em papel geralmente possuem níveis muito baixo se
comparada a meios digitais. Uma informação em meios digitais geralmente
está em rede e existem inúmeras maneiras que podem tornar um dado ou
informação vulnerável.
Esta mudança cultural envolve tanto o convívio social quanto o
convívio profissional e, não há como não se envolver com este ambiente
tecnológico.

6.1. FALTA DE ATENÇÃO

Uma das ações mais praticadas pelas pessoas, que promove a perda da
segurança da informação, se relaciona com a falta de atenção por parte de
usuários de meios tecnológicos. A falta de atenção ao utilizar tecnologias
ocorre em diversos ambientes, dentre os quais estão e-mails, lojas virtuais, ou
outros.

6.1.1. E-MAILS
Ao receber um e-mail de alguém, o primeiro passo que cada usuário
deve dar é averiguar se realmente aquele e-mail é realmente de quem diz ser.
O fato do nome do remetente ser igual ao nome de alguém conhecido, ou
nome de alguém que há na lista de contatos, nem sempre se trata da mesma
pessoa.
O e-mail pode ter sido enviado por alguém mal intencionado, visando
obter informações sigilosas, por meio da resposta que um usuário pode dar ao
e-mail recebido. Pode ser ainda, que o e-mail contenha algum arquivo em
anexo, ou um link, acompanhado de uma mensagem que induza o clique em
um destes elementos, com o intuito de instalar vírus, ou colher informações
secretas.
Outra maneira de se proteger é não clicar em anexos ou links presentes
em e-mails de pessoas desconhecidas. O clique em arquivos em anexos, ou
links apresentados por e-mails só deve ocorrer quando se tem a certeza de que
o remetente é realmente quem diz ser. Além disso, sempre que possível, é
interessante entrar em contato com o remetente por outro canal de
comunicação, objetivando verificar se o mesmo foi quem enviou o arquivo
em anexo ou o link presente em um e-mail.
Apesar de todos os meios para dar proteção a uma informação ao
receber um e-mail, muitas pessoas não dão valor a estas práticas de segurança
e clicam em qualquer link ou anexo presente em e-mails, mesmo quando não
se conhece o remetente.
E-mails recebidos de pessoas mal intencionadas geralmente são muito
bem escritos, visando passar a impressão de que realmente o assunto tratado é
verdadeiro. Estes e-mails geralmente apresentam informações que levam as
pessoas a clicar em links ou arquivos em anexos, que poderão resultar na
instalação de vírus ou outros programas, que comprometem a segurança de
dados disponíveis em algum dispositivo eletrônico.
Por meio de alguns e-mails também criminosos se passam por
empresas, nas quais o indivíduo é cliente, informando que no momento a
empresa em questão está realizando um novo cadastro das informações
pessoais de seus clientes, em virtude da implantação de um novo sistema de
informação. Assim, solicita ao usuário que responda o e-mail, que deve
conter diversas informações secretas, visando utilizar tais informações para a
prática de diversos crimes, como compras utilizando o nome da vítima, ou
outros.
Existem situações ainda que e-mails são enviados para as pessoas, com
informações que passam a impressão de se tratar do provedor de e-mails.
Desta forma, informam que houve um problema no serviço de e-mails,
solicitando uma resposta contendo dados pessoais, entre os quais estão o
endereço de e-mail e senha de acesso.
A vítima acreditando que realmente o e-mail recebido foi enviado por
seu provedor de e-mails, informa sua senha de acesso ao criminoso.
Com os dados de acesso em mãos, o criminoso acessa a conta de e-mail
da vítima, com o objetivo de colher informações secretas e realizar
chantagens posteriormente.
Suponha uma situação na qual uma pessoa, Adriano, acessa sua conta
de e-mail e dentre os e-mails recebidos, há um e-mail que apresenta como
remetente o nome da empresa provedora do e-mail que Adriano utiliza. O
assunto da mensagem apresenta o título “PROBLEMAS TÉCNICOS” e
Adriano decide abrir a mensagem para verificar o que se trata.
Ao abrir tal e-mail, o mesmo apresenta a seguinte mensagem:
“Olá, tudo bem? Sou Diane, trabalho na equipe técnica da empresa X,
que é seu provedor de e-mail. Venho lhe informar que estamos passando por
alguns problemas em nosso sistema, motivo pelo qual temos que tomar
algumas ações para que os serviços prestados por nossa empresa continuem
operando normalmente. Uma destas ações é o recadastramento de todos os
nossos clientes, visando dar maior segurança a todos os dados. Sendo assim,
peço que clique no link abaixo para fazer seu recadastramento, onde você
precisa apenas informar seu nome completo, nome de usuário e senha de
acesso.”.
Adriano, nome dado à pessoa deste exemplo, acreditando que se trata
realmente de uma mensagem enviada por seu provedor de e-mails, clica no
link abaixo, conforme solicitado pela mensagem.
Ao clicar no link, Adriano é direcionado a uma página parecida com o
site de seu provedor de e-mails, a qual apresenta um formulário onde ele deve
informar seu nome completo, nome de usuário e senha de acesso à conta de
e-mail.
Adriano então preenche o formulário e clica no botão enviar.
Ao clicar no botão enviar, a vítima envia suas credenciais de acesso ao
e-mail para um criminoso, que pode utilizar estes dados para realizar diversos
crimes. E a vítima terá que passar por muitos problemas para esclarecer os
crimes que podem ser praticados pelo criminoso em seu nome.
Outra ação que usuários geralmente costumam praticar e resulta em não
proteção a dados se relaciona a envios de e-mail para o destinatário incorreto.
Ao enviar um e-mail, as pessoas geralmente selecionam o contato incorreto,
apresentam informações confidenciais e enviam dados para a pessoa ou
organização errada.
Em âmbito pessoal, isto pode ter como conseqüência danos a reputação
de alguém, perda de emprego, ou outros prejuízos.
Em relação à ambientes corporativos, o envio de e-mail para a pessoa
errada pode arranhar a imagem de uma organização, perder clientes, cancelar
negócios, dentre outros danos.
Imagine uma situação hipotética, na qual um funcionário de uma
empresa precise enviar um e-mail para todos os clientes, informando que no
momento a empresa está realizando uma grande promoção, oferecendo
diversos descontos para vários produtos, mas, o funcionário responsável por
enviar a mensagem sobre a promoção, acaba adicionando como um dos
destinatários o contato de e-mail de um concorrente, sendo que nenhum dos
destinatários está como cópia oculta.
O concorrente desta empresa ao receber o e-mail sobre a promoção,
consegue visualizar o contato de todos os clientes da empresa concorrente e
pode oferecer a estes clientes uma oferta ainda melhor.
Uma situação como esta pode resultar em grandes perdas financeiras a
uma empresa e demissão do funcionário responsável pelo envio do e-mail
para a pessoa errada.

6.1.2. COMPRAS ONLINE

Usuários de tecnologia devem tomar muito cuidado com a realização de
compras online. Existem criminosos que desenvolvem páginas idênticas a de
lojas virtuais, com o intuito de enganar suas vítimas. Estes sites possuem
exatamente as mesmas características de uma loja online autêntica, nos quais
são apresentados diversos produtos, características, preços, promoções e
carrinho de compras, o que leva o consumidor a acreditar que realmente está
em uma loja virtual confiável e autêntica.
Ao acessar um destes sites, a vítima geralmente não desconfia que se
trata de uma página falsa e ao concluir uma compra, informa por meio de
formulários disponíveis diversas informações sigilosas ao criminoso.
Além de pagar por um produto que não irá receber, a vítima
disponibiliza suas informações para um bandido, que pode utilizar seus dados
para realizar outros crimes.
Ao realizar uma compra em loja virtual, o primeiro passo que deve ser
dado é se certificar de que a loja é confiável. É muito importante realizar
compras somente em lojas virtuais conhecidas e que prestam atendimento de
qualidade.
O segundo passo é ter um navegador atualizado. Navegadores que não
são atualizados constantemente podem conter vulnerabilidades, que impedem
a segurança aos dados informados na loja virtual.
O terceiro passo que cada usuário deve seguir é verificar na barra de
endereços do navegador, quando for preencher dados pessoais, se o endereço
eletrônico inicia com “https”. Isto permite mais segurança aos dados
informados.
Por último, pesquise bem sobre preços, sobre a loja em que deseja
realizar compras e desconfie de lojas virtuais com preço de produtos muito
baixo. É muito importante comparar preços do mesmo produto em lojas
online diferentes. Algumas lojas online são desenvolvidas apenas para aplicar
golpe aos consumidores, nas quais produtos são apresentados com preços
geralmente muito baixos, o que permite atrair inúmeras pessoas. Ao realizar
uma compra, geralmente clientes não recebem o produto, ou quando
recebem, o produto comprado apresenta defeitos.

6.1.3. REDES SOCIAIS

Um dos ambientes virtuais que pode se tornar muito perigoso se for mal
utilizado se trata das redes sociais. Várias pessoas clicam em qualquer link ao
navegar por uma rede social, o que acaba instalando pragas virtuais em suas
máquinas, ou dispositivos eletrônicos.
Estes links geralmente apresentam frases chamativas, que em vários
momentos atraem inúmeras vítimas. Estas frases podem apresentar
informações falsas como: “Cantor sertanejo morre por causa de acidente
grave.”, “Avião bate em prédio em são Paulo.”, ou “Ator se separa de sua
mulher após três anos de casados.”.
São informações que muitas vezes despertam a curiosidade da vítima, o
que faz com que a mesma clique no link para ler a notícia. Ao clicar em links
como estes, a vítima não consegue visualizar a notícia que pretendia ler, o
que ocorre é a instalação de algum sistema malicioso no dispositivo em que
está conectada.
Cada usuário deve desconfiar de links que apresentam frases como
estas e nunca clicar em tais links. Caso deseja verificar se a notícia é
verdadeira, acesse algum site que apresenta notícias, ou faça uma pesquisa
em páginas de buscas.

6.1.4. SERVIÇOS PRESTADOS NA INTERNET

A falta de atenção por parte das pessoas pode ocorrer ainda muitas
vezes ao utilizar serviços disponíveis na internet, que pedem a seus usuários
que informem suas credenciais de acesso, nome de usuário e senha. Estes
sistemas permitem identificar uma pessoa e qualquer ação realizada em um
destes sistemas está vinculada à pessoa que é o titular da conta.
Logo, ao fazer uso destes serviços, os quais incluem redes sociais,
provedores de e-mails, plataformas de estudo a distância, contas bancárias
online, ou outros, cada usuário precisa estar atento ao se afastar de algum
meio eletrônico que permitiu o acesso a um destes sistemas.
Quando se está em um destes sistemas e não deseja mais utilizá-lo, o
mesmo deve ser encerrado, visando garantir que nenhuma outra pessoa irá
fazer uso de algum serviço disponível na internet em nome de outra.
Existem inúmeras pessoas que acessam contas de e-mails ou redes
sociais em qualquer lugar e não se preocupam em encerrar o sistema ao sair.
Assim, outra pessoa mal intencionada pode utilizar a conta de alguém em
uma rede social para enviar mensagens, publicar fotos, fazer amizades com
outras pessoas, sem que a vítima saiba o que está ocorrendo.
Imagine uma situação hipotética na qual uma pessoa, identificada neste
exemplo por Mateus, está em um laboratório de informática de alguma
universidade, em um momento de intervalo das aulas, acessando seu perfil no
Facebook. Ao término do intervalo, Mateus sai do laboratório de informática
com muita pressa, porque não quer perder a próxima aula, mas se esquece de
encerrar sua conta no Facebook, ou fechar o navegador na máquina em que
estava acessando a rede social.
Após algum tempo, outro indivíduo mal intencionado, que pode ser
identificado por Renato, chega ao laboratório e visualiza que alguém deixou
sua conta no Facebook aberta, neste caso se trata do perfil no Facebook de
Mateus. Renato então, pelo simples prazer de prejudicar alguém, decide
publicar uma foto pornográfica no perfil de Mateus, como se fosse Mateus
quem a publicou.
Em uma situação como esta, Mateus, nome dado à vítima deste
exemplo, teria que enfrentar inúmeros problemas para talvez provar que
quem publicou tal foto não foi ele, além de ter sua imagem arranhada.

6.1.5. CARTÕES BANCÁRIOS

Outro problema que ocorre constantemente em relação à segurança de
dados se trata das informações presentes em cartões bancários. As pessoas
utilizam estes cartões em diversos lugares para realizar compras, mas muitas
vezes não estão nem um pouco preocupadas em relação à segurança dos
dados presentes em tais cartões. Os dados são passados em qualquer lugar e
para qualquer pessoa, o que pode facilitar a ocorrência de fraudes.
Existem inúmeras tecnologias capazes de copiar tais dados, que
permitem que bandidos realizem compras usando o nome de outra pessoa.
Pode ser ainda que um usuário passe os dados para um vendedor por telefone,
de forma que este vendedor pode utilizar os dados informados sobre o cartão
para o cometimento de fraudes também.
Suponha uma situação na qual uma pessoa deseja comprar um Produto
por telefone, sendo que o pagamento será realizado por meio de um cartão de
crédito. Esta pessoa já viu o produto que deseja comprar no site da loja ou na
própria loja física e apenas irá informar ao vendedor o produto e suas
características, os dados de seus documentos pessoais e os dados sobre o
cartão, visando efetivar a compra.
Após a realização da compra, o vendedor possui todos os dados
pessoais e bancários de uma pessoa, dados estes que podem ser utilizados
para a prática de crimes. Por exemplo, o vendedor pode utilizar os dados do
consumidor para realizar diversas compras em seu nome, em vários
estabelecimentos comerciais.
A vítima somente irá perceber a fraude quando receber a fatura de seu
cartão de crédito. Em uma situação como esta, torna-se muito difícil provar
quem é o criminoso que realizou compras em seu nome, ou ainda, que as
compras realizadas não foram pela vítima.
Conclui-se que consumidores devem tomar cuidado ao realizar compras
com cartões bancários. Nunca se sabe quem tem acesso aos dados de
consumidores e nem quais são as intenções dos funcionários de um
estabelecimento comercial. Uma pessoa pode ser funcionária de uma loja ou
um supermercado com a única intenção de cometer fraudes eletrônicas.
Existem pessoas ainda que entregam o cartão para o funcionário que
está lhe atendendo em algum estabelecimento comercial, funcionário este que
se for mal intencionado pode copiar os dados do cartão de seu cliente.
Portanto, é muito importante lembrar que um cartão bancário representa seu
dinheiro, por isso não se deve passar estes cartões para terceiros.

6.2. COPIAR E COLAR

Com a evolução de meios tecnológicos e a disponibilidade crescente de
informações na internet, qualquer pessoa tem acesso a diversas informações a
qualquer tempo e em qualquer lugar. Neste contexto, uma das ações mais
praticadas por usuários de tecnologias é a prática de copiar e colar. Ou seja,
informações podem ser copiadas de qualquer lugar e coladas em outro, de
maneira extremamente simples. No entanto, esta prática pode ocasionar dois
problemas: um destes é a violação de direitos autorais e o outro se trata de
perda da segurança da informação, uma vez que textos ou partes de textos
que foram copiadas e coladas podem não ter autenticidade e integridade.
A falta de autenticidade ocorre porque não se pode muitas vezes
averiguar se um texto desenvolvido por uma pessoa foi escrito por ela
mesma. Ou seja, pode ser que o texto apresente apenas trechos de textos de
outros autores, no qual os mesmos não são mencionados. Além disso, a
junção de partes de textos pode gerar enganos e disponibilizar uma
informação que está incorreta.
A perda de integridade da informação acontece porque um texto pode
estar fragmentado, onde existe apenas partes de um documento que foi
copiado e colado.
Suponha uma situação na qual um diretor de uma organização solicita
que alguém desenvolva um relatório sobre um determinado assunto, porém o
responsável por desenvolver o relatório solicitado pelo diretor não sabe ao
certo o que escrever e decide buscar informações na internet sobre o assunto.
Então, o relatório é desenvolvido através da ação de copiar e colar, onde
várias informações presentes foram retiradas da internet, que podem não se
relacionar com o atual quadro da organização.
Ao receber o relatório, o diretor pode tomar diversas decisões com base
no mesmo, o que pode resultar em graves conseqüências, uma vez que as
decisões tomadas foram baseadas em informações que não estão em
conformidade com a organização, ou com o mercado no momento.
Existem situações ainda em que alunos realizam trabalhos acadêmicos
não com base em seus conhecimentos adquiridos durante o curso realizado,
mas desenvolvem trabalhos apenas com informações de terceiros, como se o
trabalho tivesse sido desenvolvido por tais alunos.
Trabalhos acadêmicos em situação como esta apresenta somente textos
de outros autores, o que torna inviável a aprovação do aluno, já que seus
conhecimentos não foram empregados no desenvolvimento do trabalho.
Práticas como estas não só acabam com a proteção da informação, mas
também destroem a segurança de conhecimentos, além de violar direitos
autorais.

6.3. SUPEREXPOSIÇÃO NA INTERNET

A internet sem dúvida alguma facilita a vida de todas as pessoas, uma
vez que diversos serviços são prestados por este meio, consequentemente
consumidores possuem maior praticidade ao utilizar tais serviços, visto que
tal utilização pode ocorrer em qualquer lugar e a qualquer hora, além de ter
mais rapidez na realização de algumas ações.
Contudo, a internet se não for bem utilizada, pode causar inúmeros
problemas, que são muitas vezes ocasionados pela superexposição em
diversos sites e redes sociais. A superexposição está presente nas mais
variadas formas, encontra-se em vídeos, fotos e textos ou mensagens
postadas em redes sociais. Nem sempre a pessoa exposta na internet se
encontra em tal situação por ações praticadas por ela mesma. Em vários
casos, a pessoa é exposta na internet por outra, o que pode causar muitos
transtornos.
As pessoas se expõem em vídeos publicados em sites como o Youtube,
em diversas redes sociais e permitem que pessoas mal intencionadas
pratiquem diversos crimes por meio das informações que estão disponíveis na
internet todos os dias.
 A ação da superexposição não quebra apenas a segurança da
informação, mas quebra a segurança física de cada um. Com base nas
informações expostas na internet, criminosos podem praticar assaltos,
seqüestros, estupros, assassinatos, dentre outros crimes.
Uma ação de qualquer pessoa pode se tornar vídeo e ser publicado
posteriormente na internet, o que destrói a intimidade das pessoas. Além
disso, várias pessoas expõem sua vida em redes sociais de maneira excessiva,
informando tudo sobre sua vida, permitindo a qualquer um saber onde uma
pessoa mora, quem são seus parentes, quais são seus melhores amigos, qual é
seu emprego, se estuda e em caso afirmativo, onde é, o que gosta de fazer
quando tem tempo livre, em alguns casos, o que não gosta também, ou outras
informações.
Existem ainda situações mais graves, onde a pessoa expõe na internet
todas as ações de seu dia. As pessoas escrevem frases como: “Estou levando
meu filho para a escola.”, “Cheguei agora no trabalho.”, “Hoje vou almoçar
com minha sogra.”, “Tenho reunião mais tarde e já estou cansado.”, “Que
bom! Feriadão, todos vão viajar e vou ficar sozinho.”, dentre outras frases,
que revelam a vida inteira de uma pessoa para quem quiser saber.
Mas não para por aí. Existem situações nas quais pessoas publicam
mensagens ou textos que revelam exatamente sua personalidade. São
postagens que revelam pessoas egoístas, racistas, preconceituosas, que não
gostam de fazer nada, preferem não ajudar os outros, ou outros traços.
Existem também aqueles que revelam todas as informações, mas apenas
informações boas. Ou seja, se faz parecer nas redes sociais um ser humano
perfeito.
É possível entender que existem basicamente dois motivos que levam
as pessoas a se exporem de maneira excessiva na internet: um destes é a falta
de segurança. São pessoas inseguras que precisam se mostrar para não se
sentirem sozinhas, uma vez que possuem medo da solidão. O outro motivo
que leva as pessoas a superexposição se trata da falta de educação digital,
onde todos foram obrigados a conviver com diversas tecnologias e se
relacionarem por meio destas, sendo que não foram educados para o uso
adequado dos meios digitais.
As redes sociais e a internet ajudam muito em diversos momentos, mas
é preciso que as pessoas saibam utilizar a tecnologia existente. As pessoas ao
utilizar meios tecnológicos para se relacionarem não param para pensar sobre
como deve agir. São poucos aqueles que pensam o que devem postar, quando
devem postar, quais são as informações que podem estar disponíveis para
todos, com quem se devem relacionar, dentre outras informações.
A superexposição de alguém na internet pode gerar graves
conseqüências, como destruição da reputação, de famílias, perda de emprego,
aparecimento de doenças como a depressão, ou ainda levar vítimas a morte.
O ser humano, principalmente na fase da adolescência possui muitas
dúvidas, o que gera insegurança em vários sentidos. Em um relacionamento a
dois, por exemplo, uma pessoa pode simplesmente passar sua senha para seu
parceiro, como prova de que não tem nada a esconder e que confia totalmente
naquela pessoa. Pode ser ainda, que permita a filmagem de momentos
especiais, íntimos e únicos, onde a vítima demonstra para seu parceiro que
acredita nele.
Existem ainda aquelas pessoas que para se sentir bem, precisam se
mostrar nas redes sociais, publicando diversas fotos e comemorando sempre
que alguém comenta ou visualiza suas postagens. Uma pessoa assim
geralmente contabiliza o número de quantos viram sua postagem, quantos
comentaram, visando chamar a atenção de todos.
Suponha uma situação na qual uma pessoa está namorando outra e
constantemente realiza vídeos de seus momentos íntimos. No entanto, após
algum tempo o relacionamento acaba, o que resulta em diversos conflitos,
pois um dos dois, por exemplo, o homem, não aceita o fim do
relacionamento. Este homem então ameaça sua ex-namorada, dizendo que se
não retomarem o relacionamento, ele irá publicar um vídeo íntimo dos dois
na internet.
Tempos depois, a ex-namorada continua não aceitando reatar o namoro
e seu parceiro cumpre a ameaça, expondo vídeos íntimos dos dois em uma
rede social.
Uma situação como esta pode causar diversos transtornos. A vítima
pode não ter vontade de sair de casa, por se sentir envergonhada; Pode não
querer ir estudar, por não querer ouvir o que os outros vão dizer sobre ela; a
empresa onde a vítima trabalha pode a demitir, por não aceitar esta prática
por parte de seus funcionários; dentre outros problemas.
Mas há casos em que a vítima nem sempre sabe que está sendo filmada
e tem sua intimidade logo depois divulgada na internet. É o que pode ocorrer
no caso de pessoas serem filmadas em um momento a dois, sem que
percebam, por estarem sob efeito de drogas ou álcool.
Imagine outra situação hipotética onde uma pessoa, do sexo feminino,
vai a uma festa e acaba se envolvendo com um homem. A pessoa do sexo
feminino acaba tomando muita bebida alcoólica e depois de algum tempo tem
um momento íntimo com o homem com quem se envolve na festa. O homem
que é uma pessoa inescrupulosa, aproveitando da situação em que a mulher
se encontra alcoolizada, filma e tira várias fotos do momento íntimo entre os
dois e depois torna o vídeo e as fotos públicos na internet.
A vítima neste caso só percebe o que houve no outro dia, quando já está
sóbria e visualiza o que os outros estão comentando sobre ela nas redes
sociais ou nas ruas.
Ações ocorridas e praticadas por pessoas inescrupulosas conforme nos
dois exemplos hipotéticos dados anteriormente, são muito difíceis de levar a
uma punição. O criminoso pode alegar que não foi ele quem divulgou os
momentos íntimos, sendo que alguém roubou seu dispositivo eletrônico no
qual o material publicado estava e realizou a publicação. Isto dificulta muito
o trabalho de investigação, exigindo que investigadores trabalhem muito para
talvez chegar aos reais culpados.
A superexposição em certos momentos atrapalha também a vida
profissional de uma pessoa. Dependendo da companhia, seu grupo diretivo
pode não gostar de alguma postagem realizada por um funcionário, alegando
que a prática não está em conformidade com a política de conduta da
empresa, levando o funcionário a punições ou até mesmo a sua demissão.
Suponha uma situação na qual uma organização está passando por
diversos cortes, o que leva a mesma demitir centenas de pessoas e um de seus
diretores sai de viagem a negócios.
Durante a viagem, o diretor desta empresa, que pode ser identificado
por Luciano neste exemplo, decide em seu momento de lazer ir a uma festa
que está ocorrendo na cidade onde ele está realizando negócios para a
organização em que ele trabalha.
Ao chegar à festa, Luciano encontra um velho amigo, que fica muito
satisfeito de estar com ele e acaba postando uma foto dos dois em uma rede
social.
A foto postada pelo amigo de Luciano é vista por vários funcionários
da empresa, inclusive por aqueles que foram demitidos. Isto gera diversos
comentários, nos quais estão dizeres como: “Olha só nosso diretor! Enquanto
somos prejudicados, ele está se divertindo por conta da empresa.”.
Em situações como esta do exemplo anterior, podem ocorrer alguns
transtornos e até levar o diretor, conforme exemplo dado, a prestar
esclarecimentos sobre o ocorrido.
O diretor citado no exemplo estava em um momento de lazer, no qual
tem liberdade para ir a onde quiser. No entanto, diante da situação pela qual a
empresa enfrenta, certamente gera comentários e questionamentos.
Ao se expor na internet de maneira excessiva não só a segurança de
dados é prejudicada. É o que ocorre em casos de pessoas que viajam a lazer e
conta tudo em suas redes sociais. A pessoa sai de viagem e conta para todos
que sua casa não tem ninguém, facilitando a ação de criminosos.
Dentre as frases postadas podem-se encontrar dizeres como: “Feriadão!
Vou viajar com a família.”, “Demorou, mas chegou o fim de semana. Neste
sábado vou viajar e ficar de boa!”, “O dia está lindo! Acho que vou pra praia
neste domingo.”, dentre outras. Isto diz claramente para bandidos a seguinte
frase: minha casa está vazia, pode ficar a vontade.
Por exemplo, imagine uma situação onde em um sábado de manhã,
uma família está se arrumando para sair de viagem e um dos integrantes posta
uma foto da família na internet, dizendo: “Indo para o Rio de Janeiro.”.
Assim, um criminoso que pode conhecer alguém desta família e saber
onde é a residência da mesma, ao ver esta postagem pode promover um
assalto a esta residência, já que está vazia.
Informações de momentos de lazer ou que revelem que não há ninguém
em uma residência devem ser postadas somente após o evento e nunca
durante a realização do mesmo, visando garantir que criminosos não irão se
valer destas informações para a prática de crimes.
A falta de proteção a dados e a superexposição pode ocorrer ainda por
meio da troca de mensagens em redes sociais, situação na qual pessoas
muitas vezes passam informações sigilosas para desconhecidos e expõem
suas vidas para pessoas de má índole, que podem utilizar destas informações
para fins ilegais. Nem todas as pessoas que querem conhecer outras na
internet estão mal intencionadas, no entanto é bom não passar informações
confidenciais para quem não se conhece realmente.
Casos iguais aos que são apresentados nos exemplos hipotéticos sobre
superexposição não são incomuns, ocorrem constantemente e basta realizar
uma busca na internet que qualquer pessoa pode encontrar situações
semelhantes. Além disso, os jornais nas redes televisivas noticiam estas
situações com muita freqüência, alertando toda a população sobre os riscos a
que uma pessoa pode se expor ao fazer uso da internet de forma inadequada,
além de orientações sobre o uso correto de meios tecnológicos.
 As pessoas devem entender que não se pode postar tudo que deseja na
internet e necessitam tomar muito cuidado com suas ações no mundo real,
pois câmeras estão espalhadas em qualquer lugar e não se pode afirmar que o
que foi realizado ninguém ficará sabendo. Faz-se necessário aprender ainda
que nem todas as informações pessoais devem estar a disposição de todos em
redes sociais, ambiente em que criminosos estão a todo momento em busca
de informações sensíveis para praticarem seus crimes.
Criminosos estão em busca de informações nas redes sociais todos os
dias, visando obter dados de onde uma pessoa está, quem são seus parentes,
quais são os lugares que costuma freqüentar, qual é seu emprego, onde
estuda, estado civil e outros dados.
Existem mecanismos de proteção a informações disponíveis em redes
sociais como o Facebook, onde permitem que ao postar algo, se escolha
quem deve visualizar o que será postado, como exemplo, se todos podem
visualizar ou somente os amigos de quem fez a postagem. Ocorre que aqueles
usuários que possuem conhecimentos sobre os meios de proteção não os
utiliza, ou ainda, inúmeras pessoas não têm a mínima idéia da existência dos
meios de proteção a informações sensíveis em redes sociais.

6.4. EDUCAÇÃO DIGITAL

O ser humano se adapta a diversas situações e consegue ser criativo e
desenvolver inúmeras coisas em diferentes cenários, visando muitas vezes
ganhos financeiros e melhor qualidade de vida. No entanto, para cada novo
ambiente é necessário um processo de adaptação, adequação e educação, para
que as ações sejam realizadas da melhor maneira possível, objetivando evitar
qualquer tipo de dano.
O mesmo ocorre no mundo digital, onde tecnologias diferentes surgem
todos os dias, que permitem estabelecer relações sociais, por meio do mundo
virtual, exigindo do ser humano uma adaptação aos novos meios para que o
mesmo não venha a sofrer danos por causa de algum uso inadequado de um
meio tecnológico.
Entretanto, geralmente tais tecnologias fazem parte da vida de cada um,
sem passar por um processo educacional, o qual poderia orientar sobre quais
são as melhores práticas de uso, os riscos que o uso inadequado pode expor
alguém e maneiras de proteção.
É o que ocorre no mundo das crianças, que estão a cada dia mais
conectadas. Elas preferem ficar brincando com jogos disponíveis na internet
ou navegando em redes sociais, em vez de brincar de bola, ou outros meios
com seus amigos. Várias crianças ficam por muito tempo trancadas no quarto
utilizando tablets, smartphones, ou computadores, sem que seus pais saibam
o que elas estão fazendo, o que estão jogando, assistindo, ou com quem
podem estar conversando.
Em ambientes assim, a criança pode estar expondo informações
secretas a criminosos, que além de roubarem informações sigilosas,
pretendem por meio dos dados obtidos praticarem outros crimes.
É notável que a maneira de brincar, se relacionar e outras ações mudou
com os avanços tecnológicos e todos estão reféns de alguma tecnologia para
a realização de suas atividades diárias. Todos precisam da internet, que é um
mundo sem fronteiras, todavia, faz-se necessário haver um processo
educacional para a sua utilização.
Os pais precisam ser presentes na vida de seus filhos e acompanhar
tudo que ocorre com eles no mundo virtual. Orientações devem ser dadas
sobre o uso correto de redes sociais, visando evitar a postagem de algo
inadequado, ou informações sigilosas. Deve-se ensinar quais são os meios de
proteção que cada tecnologia disponibiliza e como aplicar tais meios. É
importante também passar qual é a importância da segurança de dados,
alertando sobre problemas que podem ocorrer quando se faz uso inadequado
de meios digitais, sobre os reflexos que uma informação pode trazer
futuramente, já que muitas ações realizadas atualmente estão armazenadas em
grandes bancos de dados, e que, um ato inadequado pode trazer
conseqüências catastróficas depois de algum tempo.
O que é importante destacar no processo educacional de meios digitais
é que palavras ditas, ou seja, dados gerados pela boca de cada ser humano
podem trazer graves conseqüências. É o caso, por exemplo, de ofensas
verbais a outra pessoa. Enquanto que no mundo virtual, os dados gerados têm
um agravante maior, visto que não são lançados ao vento, mas são
armazenados em vários bancos de dados, podendo ser acessados a qualquer
hora por quem quiser. A situação se torna pior ainda ao refletir que um dado
gerado e lançado ao vento, um dia pode ser esquecido. No mundo digital isto
dificilmente pode ocorrer.
Algo sigiloso divulgado e compartilhado em uma rede social, por
exemplo, por meio de textos, vídeos ou fotos, nunca será esquecido, sendo
que se torna público não só no momento próximo do ocorrido, mas pode
voltar a público a qualquer momento.
Imagine por exemplo, uma situação em que alguém divulga uma foto
nua de outra pessoa em uma rede social. Todos vão comentar e compartilhar
esta imagem, expondo a pessoa a inúmeras pessoas, sendo que esta foto pode
cair no esquecimento depois de algum tempo, mas pode voltar a público
quando menos se esperar. Ou seja, marca a vida de uma pessoa para sempre.
Além de envolver o uso correto de redes sociais no processo
educacional, o mesmo deve abordar assuntos como o uso de e-mails,
credenciais de acesso, dispositivos móveis, redes sem fio, ou outras
tecnologias, com a finalidade de deixar claro quais são os meios de proteção
a dados e quais são as atitudes que cada indivíduo deve tomar para se
proteger.
Ocorre que o tema segurança de dados precisa ainda de uma ampla
divulgação para toda a sociedade, permitindo assim que as pessoas tenham
maior conscientização sobre a importância deste tema não só em suas vidas
pessoais, mas também no processo educacional e profissionalizante.
Muitos pais simplesmente dão um dispositivo móvel a seus filhos, sem
nenhuma orientação sobre o uso correto, a única recomendação passada é que
não percam o dispositivo. Além disso, por se tratar de uma mudança cultural,
existem pais que gostariam de orientar seus filhos, mas não sabem como
fazer. Estes pais talvez saibam dos riscos a que seus filhos estão expostos, por
lerem jornais ou assistir televisão, entretanto, possuem dificuldades quando
se trata da educação digital de seus filhos.
A educação digital dada a menores é em vários momentos
responsabilidade dos pais, pois são os pais que podem ser penalizados no
caso de alguma ação judicial em virtude de uma ação inadequada de um
menor, Mas o processo de educação digital não deve ser apenas
responsabilidade dos pais. A educação digital deve ser dada em conjunto
pelos pais e por educadores. Os educadores precisam ser treinados para
passar e aplicar este tema em sala de aula, almejando a formação de pessoas
mais conscientes sobre o uso correto de tecnologias e a importância da
segurança a dados.
A tecnologia facilita a vida de todas as pessoas somente se for utilizada
de maneira adequada. As pessoas precisam se educar e educarem aqueles que
estão sob sua responsabilidade, pois o maior desafio da segurança da
informação é o ser humano. Proteções físicas e lógicas existem muitas, mas o
maior responsável por garantir a proteção da informação é o usuário, que
necessita ser educado para o mundo virtual.
Entende-se que a educação digital não deve ser dada apenas para
crianças e adolescentes, pois profissionais também precisam ser treinados no
que diz respeito à segurança do maior ativo de uma organização, a
informação. Além disso, se faz necessário que autoridades promovam
campanhas sobre a segurança de dados, visto que a população mundial está
cada vez mais conectada e muitas relações, sejam estas pessoais ou
profissionais ocorrem em ambientes virtuais, nos quais todos devem estar
preparados para lidar.

6.5. ENGENHARIA SOCIAL

A obtenção de informações confidenciais, secretas, ou sigilosas não se
dá apenas por meios tecnológicos. Os bandidos estão por toda parte e no
mundo digital em que todos vivem, eles também estão neste ambiente para
colher informações de suas vítimas, esperando praticar diversos crimes por
meio dos dados colhidos.
As empresas responsáveis por disponibilizarem diversos serviços na
internet para a população mundial, vem investindo em tecnologias avançadas
para barrar criminosos e evitar a não proteção da informação, mas nem
sempre o investimento de milhões ou bilhões em tecnologia é suficiente para
evitar o furto de dados corporativos ou pessoais.
A tecnologia de ponta não é suficiente para impedir o roubo de
informações, visto que dados eletrônicos ou não eletrônicos podem ser
passados para outra pessoa de forma muito simples, por apenas uma
conversa.
O roubo de informações sigilosas por meio de conversas representa um
método, chamado engenharia social, situação na qual uma pessoa manipula
outras para obter informações. Ou seja, o criminoso se vale da ação de
enganar suas vítimas, criando um estado de confiança entre eles e por meio
disso obtêm informações confidenciais.
A conversa que permite obter dados pode ocorrer em vários ambientes.
Pode acontecer diretamente, de forma presencial, ou ocorre por meio de
ambientes virtuais, e-mails ou redes sociais.
O criminoso que se utiliza da técnica de engenharia social para roubar
informações inicia o processo se aproximando das pessoas, se faz muito
agradável e se torna amigo de todos. Ou seja, o engenheiro social produz um
teatro, no qual todos acreditam nele e por isso se tornam vítimas.
Especialmente em ambientes corporativos, o engenheiro social conhece
e se relaciona bem com quase todos, objetivando passar a impressão de que é
uma pessoa confiável. Ele observa o comportamento de cada um, quem
possui acesso às informações organizacionais mais importantes e quem
dentre estes, pode ser mais vulnerável a passar dados secretos para ele.
O engenheiro social é acima de tudo um grande observador do
comportamento humano e dos ambientes em que freqüenta. Ele sabe se portar
em qualquer lugar, sem levantar qualquer suspeita.
Para atacar organizações e obter informações, o engenheiro social pode
freqüentar a própria organização que representa seu alvo, ou simplesmente
pode ir a eventos promovidos por uma empresa, como palestras, festas, ou
outros, com o intuito de se encontrar com aquele que pode lhe passar
informações confidenciais, em um momento mais descontraído. Ou seja, o
engenheiro social se aproveita do momento em que funcionários de uma
organização estão mais propensos a passar dados organizacionais.
Dentro de uma organização, o engenheiro social procura abordar sua
vítima em um momento de descontração também, situação na qual a vítima
se encontra menos em estado de defesa e pode vir a revelar dados valiosos.
Um destes momentos é a hora de um café, ou horário de almoço.
A engenharia social praticada por quadrilhas especializadas em
espionagem pode ainda utilizar outros meios para conseguir informações,
como exemplo, quando o alvo é um executivo, o engenheiro social de uma
quadrilha pode ser do sexo feminino, visando estreitar a relação entre a
criminosa e o alvo, que consequentemente consegue obter informações
facilmente.
Suponha por exemplo uma situação na qual uma organização,
prestadora de serviços, possui diversos funcionários e o atendimento aos seus
clientes ocorre na própria organização, ambiente onde circulam muitas
pessoas diariamente. Esta organização ainda possui uma lanchonete, lugar
onde funcionários e clientes freqüentam constantemente.
Rogério, nome dado à vítima deste exemplo, é o diretor de TI da
empresa, por isso sabe quais são todos os meios de proteção a dados e possui
acesso a todas as informações organizacionais.
Uma quadrilha especializada em espionar organizações tem como alvo
Rogério, pois sabem que ele é o diretor de TI, que é uma pessoa muito
comunicativa e agradável com todos que o rodeiam. Desta forma, a quadrilha
já possui a organização alvo e seu provável informante e precisa iniciar o
processo de obtenção de dados.
Os espiões então determinam que quem irá abordar Rogério e iniciar o
processo de engenharia social é uma mulher, com 30 anos de idade
aproximadamente, bonita, educada e que se veste muito bem, a qual se
identifica por Paula neste exemplo.
Paula então começa a observar todo o ambiente e até se passa por um
dos clientes da empresa, contratando algum tipo de serviço. Ela também
começa a freqüentar a lanchonete com o intuito de se encontrar com Rogério.
Depois de algum tempo, Paula consegue se encontrar com Rogério e
começa a conversar com ele. Ela conta para ele que foi a empresa porque
contratou um dos serviços oferecidos pela mesma, que gostou muito do
atendimento que recebeu e pergunta a ele como é seu trabalho.
Rogério fala sobre sua profissão, conversa sobre outros assuntos e ao
final do lanche que os dois estavam fazendo, eles trocam telefones.
Paula e Rogério passam a se encontrar frequentemente, tanto na
empresa quanto em momentos de lazer, o que permite a Paula criar um
cenário perfeito para conseguir informações valiosas.
Paula diz ainda para Rogério que também trabalha com tecnologia e
com o passar do tempo consegue obter diversos dados valiosos para a
organização em que Rogério trabalha.
Em uma situação conforme exemplificada, a organização poderia sofrer
vários danos e Rogério teria que enfrentar inúmeros problemas, além de
prestar esclarecimentos a seus superiores.
E talvez não haja nem como punir a pessoa que obteve informações,
pois tudo que ela disse a sua vítima é falso. Seu endereço, trabalho, familiares
e outras informações, que apenas faziam parte do cenário criado pela
quadrilha.
Pode ser ainda que situações parecidas a que foi explicitada no exemplo
anterior tenham início pela internet, onde criminosos fazem uso de redes
sociais ou e-mails para atrair suas vítimas.
É o que ocorre quando espiões desejam obter dados pessoais de
alguém. O processo de engenharia é iniciado pela internet, no qual o
criminoso vai se aproximando de seu alvo lentamente, se passando por uma
pessoa confiável e conhecendo sua vítima pouco a pouco.
O processo se inicia por uma rede social, ambiente em que o criminoso
envia um convite de amizade para a vítima e se o pedido for aceito, ele
começa trocar várias mensagens com ela.
Este criminoso se faz parecer para seu alvo como se fosse tudo real. Em
seu perfil, o criminoso publica fotos, informa seu local de trabalho e adiciona
pessoas como seus parentes, pessoas estas que podem ser membros da
quadrilha de espionagem da qual o bandido faz parte.
Como no exemplo anterior, o processo de engenharia social se dá entre
um homem e uma mulher, quando a vítima é mulher o criminoso é homem e
vice-versa.
Durante algum tempo o espião fica trocando apenas mensagens por
uma rede social com seu informante. Depois de algum tempo, o criminoso
vai ganhando a confiança da vítima e consegue marcar um encontro. Os dois
podem até iniciar um relacionamento amoroso e é aí, que o problema se
instala.
Neste relacionamento o criminoso pode inventar que está passando por
um mau momento financeiro, que foi demitido de seu trabalho, que não
encontra outro emprego apesar de participar de várias entrevistas e que
precisa de dinheiro para pagar suas contas.
A vítima que se encontra apaixonada pelo criminoso não percebe que
há algo errado e começa a lhe emprestar dinheiro, cada vez mais e quando se
dá conta do que está havendo já é muito tarde.
O espião ainda pode se infiltrar em ambientes acadêmicos, se passando
por um aluno, nos quais o conhecimento é algo que ele deseja obter, mas não
é o conhecimento passado para todos. O que o criminoso visa obter é aquele
conhecimento que foi adquirido com muito esforço, por um grupo de
pesquisadores, durante vários anos e que talvez esteja prestes a ser publicado.
O bandido pode começar amizades com vários membros desta equipe e
ir se aproximando vagarosamente de cada um, obtendo pequenas informações
e após algum tempo conseguir dados valiosos sobre um estudo que levou
anos para ser concluído.
As pessoas precisam estar atentas a diversos cenários e não confiar
totalmente em alguém que se conhece a pouco tempo, ou ainda em quem se
conhece a mais tempo, mas não se tem a certeza de quais são suas reais
intenções. Pessoas muito prestativas, agradáveis, que conhecem todos e
conversam sobre qualquer assunto, podem ser verdadeiros bandidos, que
envolvem suas vítimas objetivando obter dados confidenciais e praticar
golpes.
Estes espiões estão à procura de pessoas que possuem uma boa
condição de vida, que ocupam bons cargos e possuem um patrimônio alto;
executivos de grandes organizações e pessoas chave do departamento de Ti;
ou pesquisadores e professores que participam de alguma equipe de pesquisa,
que vem se desenvolvendo a longo tempo.
 CAPÍTULO 7 INFORMAÇÕES PESSOAIS
Embora talvez se possa afirmar que as pessoas estão principalmente nos
últimos dois anos mais preocupadas com a segurança da informação, ainda
falta muito para que todos tenham consciência do tema e promovam ações
eficazes para garantir tal segurança aos dados. Grande parte da população
mundial faz uso de meios tecnológicos todos os dias, acessando redes sociais,
divulgando mensagens, vídeos e imagens na internet, enviando , recebendo e
respondendo a e-mails, realizando compras online, utilizando dispositivos
móveis por meio de redes sem fio em estabelecimentos públicos, acessando
bancos online, ou outras inúmeras ações. Em qualquer uma destas ações as
pessoas estão expostas a diversos riscos, os quais podem ser mitigados por
meio do uso de diversos mecanismos de segurança da informação,
disponíveis em ferramentas tecnológicas.
Mas ocorre que grande parte dos usuários de tecnologia não fazem uso
de ferramentas de segurança a dados, ou quando fazem, sua maneira se dá de
forma inadequada. Estes fatos criam um ambiente perfeito para criminosos
colocarem suas ações em prática e vitimar diversas pessoas.

7.1. IDENTIDADE FALSA EM AMBIENTES VIRTUAIS

A identidade falsa em ambientes virtuais pode causar inúmeros danos,
como prejuízos financeiros, perda de emprego, ou outros. Por isso, as
credenciais de acesso a um sistema de informação devem pertencer somente a
seu usuário.
Para exemplificar tal importância, as redes sociais são ótimos
ambientes para se relacionar com diversas pessoas, os quais permitem a cada
usuário estar mais próximo de seus familiares e amigos. Porém, estes
ambientes somente são úteis quando as pessoas os utilizam de maneira
adequada.
Assim como em qualquer ambiente, nas redes sociais existem pessoas
que possuem somente boas intenções, mas existem muitos que fazem uso
destes recursos para a prática de diversos crimes.
Existem ainda situações em que pessoas podem se passar por outras e
enganar outros usuários por uma simples diversão, ou para ações ma
intencionadas. Em qualquer um dos dois casos citados existem riscos, os
quais podem gerar conseqüências graves.
 Imagine uma situação hipotética na qual duas pessoas são irmãs,
Fernanda e Bianca, possuem um perfil no Facebook, são quase da mesma
idade e estudam em uma mesma escola.
As irmãs possuem ainda as credenciais do Facebook umas das outras e
trocam de personalidade constantemente na rede social.
Fernanda se passa por Bianca e troca diversas mensagens com os
amigos da irmã, às vezes publica algo e até comenta algumas publicações
realizadas por algum dos amigos de Bianca, de maneira que não leva
ninguém a suspeitar que esteja havendo uma troca de personalidades.
Bianca também faz o mesmo e as irmãs se divertem com esta situação,
onde tem a possibilidade de trocarem de personalidade, mesmo que seja de
forma virtual.
Porém, seguindo este exemplo, imagine ainda que em um dia, Fernanda
está utilizando o perfil de Bianca e por algum motivo acaba ofendendo uma
das amigas de sua irmã em uma troca de mensagens.
A amiga de Bianca ofendida por sua irmã decide mover uma ação
contra ela, Bianca, pedindo uma indenização por danos morais.
Em uma situação como esta, Bianca, uma das irmãs no exemplo dado,
teria que passar por um momento muito complicado. Além de perder a
amiga, sem que ela mesma tenha a ofendido, teria que enfrentar uma ação
judicial.
E ainda que Bianca não quisesse sofrer as conseqüências pela ação de
sua irmã, seria difícil provar que ela não ofendeu sua amiga, mas que na
verdade, quem a ofendeu foi sua irmã, Fernanda, se passando por Bianca.
Primeiramente, se Bianca não estivesse utilizando nenhuma tecnologia
no momento em que foi registrada a ofensa a sua amiga, ela teria que
apresentar testemunhas e talvez outros elementos que pudessem atestar os
fatos. Por outro lado, se no momento em que a ofensa foi registrada, Bianca
estivesse utilizando algum meio eletrônico, provar a inocência de Bianca
poderia se tornar mais difícil ainda, uma vez que ela poderia estar utilizando
sua conta na rede social.
Por meio deste exemplo, é possível entender o quão valiosos são os
dados de acesso a qualquer serviço prestado no mundo virtual e, suas
possíveis conseqüências quando as credenciais de acesso de alguém são
utilizadas por outra pessoa, mesmo que esta tenha autorizado o uso.
Suponha outra situação na qual uma pessoa que se chama Roberto,
acaba de perder o emprego e decide cadastrar seu currículo em um site que
disponibiliza vagas de emprego para seus usuários.
Após realizar seu cadastro, Roberto consegue visualizar várias vagas de
emprego que se encaixam no seu perfil e decide se candidatar a algumas das
vagas visualizadas.
Depois de alguns dias, Roberto acessa o site de vagas de emprego
novamente e verifica que uma empresa o convidou para uma entrevista. A
empresa diz que seu perfil atende as expectativas da vaga de emprego
disponível e o solicita que agende um dia para uma entrevista, por meio do
site de vagas de emprego.
Então Roberto acessa um formulário onde é possível escolher local,
data e hora para a entrevista, no qual os dados são preenchidos e o
agendamento é realizado.
Depois que a entrevista é agendada, Roberto visualiza que se for
preciso é possível alterar o agendamento, desde que seja realizado com dois
dias de antecedência.
Quando Roberto realizou seu cadastro no site de vagas de emprego, ele
anotou em uma folha de papel seu nome de usuário e senha, que dão acesso a
seu perfil. Ou seja, seu nome de usuário e senha representam suas credenciais
de acesso ao site de vagas de emprego. Mas, depois que o agendamento da
entrevista foi realizado, Roberto perdeu esta folha, o que possibilitou que
alguém mal intencionado a encontrasse e acessasse seu perfil. Esta pessoa
alterou vários dados no perfil de Roberto, dentre os quais, foram alterados os
dados de agendamento da entrevista de emprego que Roberto havia realizado.
Desta forma, Roberto perde a entrevista e a possível vaga de trabalho,
uma vez que não compareceu no local, data e hora agendados na plataforma.
Neste exemplo, Roberto teria perdido sua entrevista de emprego e não
teria como se explicar para a empresa que o selecionou, uma vez que outra
pessoa fez uso de seu nome na plataforma de vagas de emprego, se passou
por ele e alterou o agendamento.
É notável que a identidade falsa no mundo virtual, assim como no
mundo real pode trazer vários danos para uma pessoa, o que foi possível
perceber nos dois exemplos dados anteriormente.
Assim como nos exemplos dados, uma pessoa teria que enfrentar uma
ação judicial e outra teria perdido talvez uma oportunidade de emprego, um
usuário ao ter sua identidade virtual utilizada por outra pessoa mal
intencionada pode sofrer diversas outras conseqüências, como ser acusado de
um crime que não cometeu, ser responsabilizado por alguma ação no trabalho
que não realizou, entre outras.
É nítida a importância das pessoas em relação à segurança da
informação, uma vez que nos dois exemplos de identidade falsa, os serviços
oferecidos pela internet possuem mecanismos de segurança a dados, porém
em um dos exemplos as credenciais de acesso foram utilizadas de maneira
inadequada, enquanto que no outro exemplo, o usuário fez uso incorreto de
suas credenciais de acesso a um sistema de informação.
Faz-se necessário ressaltar que a troca de personalidades no mundo
virtual nem sempre é danosa. Muitas vezes este tipo de ação ajuda esclarecer
crimes e punir os responsáveis.
É o que ocorre quando alguma criança possui perfil em alguma rede
social e um pedófilo inicia uma troca de mensagem com a mesma. Se a
criança for bem educada no mundo virtual, certamente seus pais
acompanham suas ações em redes sociais e outros ambientes na internet, o
que permite descobrir situações de risco.
Suponha uma situação na qual uma criança, que se chama Marina,
navegando em uma rede social, recebe uma mensagem de alguém e assim
inicia uma conversa com esta pessoa. No entanto, a pessoa que iniciou a
conversa com a criança é um pedófilo, que introduz o bate papo de maneira
natural, fazendo se passar por outra criança, objetivando criar mais confiança
entre ele e a vítima.
O pedófilo diz “Oi, tudo bem? Sou Júlia, estudo na mesma escola que
você e gostaria de me tornar sua amiga.”.
Marina então diz, que está tudo bem e que elas podem combinar de se
encontrarem em algum lugar depois para conversar melhor.
Para ganhar confiança, o pedófilo continua: “Eu já te vi lá, você não se
lembra de mim? Estudo perto da sua sala.”.
Marina responde ao pedófilo que não se lembra, mas que talvez elas
possam conversar amanhã na escola. “Não, não me lembro, mas amanhã
talvez a gente se encontra.”.
O pedófilo continua a conversa, falando sobre coisas que ele gosta de
fazer, o que lhe permite ganhar mais confiança de Marina e obter mais
informações sobre ela.
Depois de algum tempo o pedófilo imaginando que a criança se sente
segura para revelar qualquer coisa para ele, pergunta para Marina se ela está
em casa sozinha.
A mãe de Marina que está acompanhando a conversa da filha percebe
que há algo estranho e pede a ela que a deixe assumir a conversa em seu
lugar, explica para Marina que quem está conversando com ela parece não ser
quem diz ser e pede que Marina vá estudar.
Marina então concorda com sua mãe e a permite assumir a conversa.
A mãe de Marina se passando por ela diz ao pedófilo que não está
sozinha, mas que se ele quiser os dois podem se encontrar em algum lugar.
Após algum tempo os dois, mãe da criança e pedófilo marcam um encontro.
Ao marcar o encontro com o pedófilo, a mãe de Marina salvou toda a
conversa e ligou para a polícia relatando os fatos. Assim, Mãe e polícia vão
ao local do encontro e pegam o pedófilo que é preso em flagrante.
Neste caso, conforme descrito pelo exemplo, no qual a mãe assume a
personalidade da filha, identifica o criminoso, liga para a polícia e documenta
tudo para que o criminoso seja punido, o uso de credenciais de acesso de
outra pessoa é válido. Ou seja, houve uma troca de personalidades no mundo
virtual, mas isto ocorreu para a resolução de um problema e levar um
criminoso a punição.
Entretanto, o uso de credenciais de acesso é algo que deve ser realizado
com muito cuidado, pois se outra pessoa sabe quais são as credenciais de
acesso a algum serviço disponível na internet de alguém, esta pode utilizar o
nome deste alguém para realizar diversas ações criminosas.

7.2. USO CORRETO DE SENHAS

A tecnologia está a cada dia mais avançada e tal avanço disponibiliza
para os usuários diversos serviços que podem facilitar suas ações diárias.
Estes serviços muitas vezes armazenam informações sensíveis de seus
usuários e precisam criar mecanismos de segurança para proteger estes dados.
Dentre estes mecanismos de segurança, um que é largamente utilizado é o
uso de credenciais de acesso, onde cada usuário precisa ter um nome
identificador e uma senha. Ou seja, estas credenciais de acesso permitem a
um sistema de informação que disponibiliza algum serviço verificar se
alguém é realmente quem diz ser, visando evitar que alguém utilize o serviço
em nome de outra.
Dentre as senhas utilizadas estão senha para contas de e-mail, redes
sociais, cartões bancários, acesso a conta bancária online, plataformas de
estudo a distância, sites de vagas de emprego, bloqueio de dispositivos
móveis, sistemas de informação no local de trabalho, acesso a rede sem fio,
ou outros perfis de acesso.
Entretanto, muitas pessoas não estão nem um pouco preocupadas com
suas credenciais de acesso, talvez por não entenderem a importância do
mecanismo, por não ter conhecimento dos riscos a que podem estar expostas,
ou simplesmente por considerarem que a segurança de dados é algo não tão
importante assim e que qualquer senha é o bastante para se proteger.
Neste contexto, existe ainda outro problema. Por ser inúmeros os
sistemas de informação que pessoas fazem uso atualmente, por quase todos
estes sistemas solicitarem a seus usuários credenciais de acesso e por serem
inúmeras as senhas utilizadas por cada pessoa, torna-se difícil para cada
indivíduo memorizar um número grande de senhas.
Isto gera um grande risco a segurança de dados, porque um número alto
de pessoas anotam suas senhas em uma folha de papel, visando recorrerem a
ela sempre que alguma senha de um serviço, por exemplo, uma rede social,
for esquecida.
Isto é muito arriscado, pois além de existir a possibilidade de uma
pessoa se esquecer de onde guardou o papel com todas as senhas anotadas, o
indivíduo pode perder este documento que talvez será encontrado por alguém
de má índole, sendo que este alguém pode utilizar todos os serviços
relacionados às senhas anotadas, se passando pela pessoa que perdeu a folha
de papel.
Ocorre que os problemas não param por aí. Existem pessoas que diante
deste cenário em que precisam memorizar várias senhas, decidem por atribuir
uma única senha a inúmeros sistemas de informação. Sendo assim, se a senha
for descoberta por alguém, quem descobriu pode utilizar todos os perfis de
usuário da pessoa em seu nome facilmente, incluindo redes sociais, contas de
e-mail, contas bancárias, ou outros.
Tem aqueles também que simplesmente não atribuem qualquer tipo de
senha, quando fazem uso de sistemas de informação nos quais o uso de
credenciais de acesso é facultativo.
Pode haver ainda situações em que usuários atribuem senhas muito
fracas a sistemas de informação em que tal atribuição é permitida. Dentre
estas senhas estão algumas semelhantes a: “123456”, “brasil”, “facebook”, o
próprio nome, datas de aniversário, ou datas importantes como o dia de
casamento, ou início de algum relacionamento.
O compartilhamento de senhas é outro fator que influencia na
segurança de dados. Vários usuários passam suas senhas para aqueles em que
tem mais confiança. As senhas são passadas para irmãos, pais, namorados ou
namoradas, colegas de trabalho muito próximos, ou outras pessoas.
Mas a falta de proteção de dados em relação ao mal uso de senhas não
se relaciona apenas com a memorização, o compartilhamento e com a falta de
atribuição. Muitas vezes as pessoas não realizam uma boa gestão de suas
senhas. Ou seja, ao criar um perfil virtual, por exemplo, uma conta em uma
rede social, várias pessoas não se preocupam em realizar a troca de senha
periodicamente. Neste sentido, pode ser que a senha seja atribuída e nunca
seja alterada. Existem pessoas que passam 2, 3, ou 4 anos sem trocar suas
senhas, ou ainda, existem aqueles que nunca se atentaram em relação a isto,
por isso, nunca realizou alteração de suas senhas nos sistemas dos quais faz
uso.
As situações descritas anteriormente colocam em risco dados pessoais,
como documentos, fotos e vídeos, dados acadêmicos como trabalhos, provas
e estudos, ou dados corporativos, onde podem ser encontradas informações
estratégicas, sobre negócios em andamento, ou de projetos futuros de uma
organização.

7.2.1. SEGURANÇA
A segurança das senhas é um elemento fundamental para que os
sistemas de informação sejam protegidos adequadamente. Ao tratar sobre
segurança de senhas, entende-se que a senha precisa ser forte o suficiente
para impedir que alguém a descubra futuramente. Ou seja, a senha precisa ser
atribuída com base em algo visando que dificilmente outra pessoa possa
imaginar. Além disso, uma senha forte deve sempre incluir letras,
(maiúsculas e minúsculas), números, caracteres especiais, que totalizem no
mínimo oito caracteres.
É importante salientar também que senhas não devem ser atribuídas
com base em datas de aniversários ou comemorativas, data de criação do
perfil, nome de parentes, nomes de animais de estimação, ou outros dados
que possam facilitar a ação de criminosos.

7.2.2. ALTERAÇÃO
As senhas de todos os sistemas de informação que uma pessoa faz uso
precisam ser alteradas constantemente. Em ambientes corporativos em que há
uma boa gestão de senhas isto ocorre regularmente e é alterações são
acompanhadas por gestores de TI ou segurança da informação. Normalmente
a alteração ocorre a cada 2 ou 3 meses, e existem sistemas ainda, que não
permitem ao usuário atribuir uma das 3 últimas senhas utilizadas.
As pessoas precisam se conscientizar sobre a importância da alteração
de senhas e realizar alterações eficazes, por exemplo, não atribuir a penúltima
senha novamente, não mudar apenas uma letra ou número, ou alterar apenas
as letras ou números de uma senha. Ou seja, a alteração precisa ser realizada
completamente e não se deve atribuir uma nova senha utilizando uma das que
já foram atribuídas recentemente.

7.2.3. MEMORIZAÇÃO
A memorização de senhas é outro elemento chave para a segurança de
dados. Com o número cada vez mais crescente de sistemas que pessoas fazem
uso, se torna difícil a memorização de todas as senhas.
No entanto, vale ressaltar que anotar as senhas em uma folha de papel,
ou atribuir uma única senha para todos os sistemas de informação não
representam boas ações para se proteger dados. A folha de papel em que
todas as senhas são anotadas por alguém pode ser encontrada por outra
pessoa, que pode fazer uso de vários sistemas em nome deste alguém. Da
mesma forma, atribuir uma única senha a todos os sistemas pode ocasionar
um grande problema, pois se uma das senhas for descoberta por alguém,
todos os sistemas estarão desprotegidos.
Neste sentido, entende-se que é preciso desenvolver um padrão para a
atribuição de senhas. Ou seja, a atribuição de senhas é determinada pelo
padrão desenvolvido, o que possibilita a cada usuário a memorização apenas
de uma única informação, o padrão de atribuição de senhas. Assim, ao
utilizar algum sistema de informação, basta se lembrar do padrão utilizado e
formar a senha.
Por exemplo, um padrão pode ser desenvolvido pelas vogais do nome
do sistema de informação utilizado, sendo que a segunda vogal é maiúscula,
seguido de exclamação e número do ano contado em ordem decrescente de
acordo com o número de vogais, partindo do ano atual.
Desta forma, se uma pessoa cria uma conta no Facebook no ano de
2015, sua senha será formada por: “aeoo” (vogais da palavra Facebook), “!”
(caracter que dá mais segurança a senha atribuída) e “2011” (número de ano
decorrente da contagem em ordem decrescente em relação ao número de
vogais e ano atual). A senha completa fica da seguinte forma: “aeoo!2011”.

7.2.4. COMPARTILHAMENTO
Uma das ações que muitos usuários realizam e nunca deve ser realizada
é o compartilhamento de senhas. É preciso que as pessoas tenham em mente
que senha segura é aquela que somente quem a atribuiu sabe.
Quando uma pessoa passa uma de suas senhas para outro alguém, esta
pessoa não só permite que este alguém faça uso de um sistema informacional
em seu nome, mas também possibilita a este alguém refletir com base na
senha passada como podem ser formadas as outras senhas desta pessoa.

7.3. USO DE DISPOSITIVOS MÓVEIS

O uso de meios tecnológicos está cada vez mais constante pelas
pessoas, que vem se tornando reféns de dispositivos móveis, já que estes
dispositivos facilitam muito a vida de todos em suas ações diárias.
Atualmente qualquer pessoa tem um tablet ou um smartphone. Isto se dá não
só pelo barateamento de tais produtos, mas também pela variedade de
tecnologias que cada um destes dispositivos possuem.
Dispositivos como estes são lançados no mercado regularmente e a
cada novo lançamento novas tecnologias são apresentadas, o que possibilita o
aumento do consumo. O consumidor ao ver uma nova tecnologia apresentada
em um novo lançamento imediatamente deseja ter tal tecnologia a sua
disposição, por isso o consumo de tablets e smartphones vem se tornando
cada vez mais alto e ganhando espaço no mercado, fazendo com que usuários
deixem de lado seus computadores de mesa.
Neste contexto, a segurança da informação se volta cada vez mais para
estes dispositivos e para a conscientização das pessoas em relação ao uso
correto dos mesmos. Tablets e smartphones são utilizados a todo o momento
para transações bancárias, contatos em redes sociais, compras online, ou seja,
para a utilização de qualquer serviço disponível na internet, onde dados são
enviados, recebidos, ou armazenados, sendo que estes dados devem ser
protegidos adequadamente.
Por outro lado, já que o uso de dispositivos móveis vem ganhando
espaço, criminosos estão atentos a isto também e direcionam cada vez mais
seus ataques a estes dispositivos, a fim de colher informações sensíveis.
Logo, cada usuário deve estar atento às formas de proteção a
dispositivos móveis e aplicar todas sempre que possível, visando evitar que
informações presentes em um smartphone, por exemplo, sejam capturadas
por alguém mal intencionado.
Ao fazer uso de um dispositivo móvel, como medida de proteção a
dados a ser tomada pelos usuários é estabelecer uma senha de bloqueio e
desbloqueio do aparelho. Esta senha pode evitar que se o dispositivo for
encontrado por outra pessoa, a mesma não irá conseguir utilizar este
dispositivo e nem acessar informações sigilosas.
Seja em casa, no trabalho, em uma universidade ou escola, ou qualquer
outro ambiente, ao fazer uso de um smartphone ou tablet, não se deve se
afastar do mesmo. É importante ter em mente que informações secretas
podem ser acessadas por meio destes aparelhos, em caso de alguém encontrar
estes dispositivos em qualquer lugar.
É importante também que ao acessar a internet sem fio por um
smartphone, por exemplo, o usuário sempre utilize redes sem fio confiáveis.
Não se deve fazer uso de redes sem fio em estabelecimentos públicos, onde
não há proteção e todos têm acesso à rede. Cada usuário deve ter
conhecimento de que ao conectar em uma rede sem fio desprotegida, seu
aparelho estará em rede com diversos usuários e qualquer pessoa possui livre
acesso ao mesmo. Ou seja, dados de seu aparelho podem ser coletados
facilmente por outro alguém.
Vale ressaltar ainda que mesmo que a rede sem fio seja protegida,
nomes iguais à rede sem fio com proteção podem ser estabelecidos, levando
aos usuários se conectarem a uma rede sem fio vulnerável, que não faz parte
do estabelecimento e que foi desenvolvida por criminosos.
Por exemplo, se alguém está hospedado em um hotel, que neste
exemplo pode ser identificado por Hotel X, pode ser que este alguém deseje
utilizar a rede sem fio do hotel em que está hospedado. Para facilitar a
identificação da rede para seus hóspedes, o hotel estabeleceu como nome da
rede sem fio, o mesmo nome do hotel, ou seja, Hotel X.
No entanto, um grupo de espiões, visando obter informações pessoais
dos clientes hospedados no Hotel X, decidem instalar um roteador para rede
sem fio, nos arredores do Hotel X e atribuir o mesmo nome da rede sem fio
deste hotel.
Desta forma, o grupo de espiões espera que os clientes deste hotel se
confundam ao se conectarem a internet e assim, em vez de se conectarem a
rede sem fio do hotel, os clientes vão se conectar na rede sem fio dos espiões.
 Situação como a descrita pelo exemplo é mais comum que se imagine,
o que permite a criminosos roubar dados pessoais de diversas pessoas, ou até
mesmo instalar vírus em dispositivos móveis alheios com o intuito de obter
algum tipo de vantagem de maneira ilícita.
Além dos cuidados citados anteriormente que cada usuário deve tomar
ao utilizar algum dispositivo móvel, a fim de obter maior proteção a dados
pessoais, é importante destacar que é preciso também tomar os mesmos
cuidados necessários quando se utiliza computadores. Ou seja, não se deve
clicar em qualquer link e abrir anexos suspeitos presentes em e-mails, deve-se
realizar compras online somente em lojas virtuais confiáveis, instalar
antivírus em todos os dispositivos, dentre outras ações que podem ser
tomadas por usuários, que dão um alto nível de proteção a dados sensíveis.
 CAPÍTULO 8 INFORMAÇÕES CORPORATIVAS
O momento em que todos vivem é conhecido como era da informação,
onde todos são obrigados a buscar mais e mais informações, profissionais são
obrigados a aprender todos os dias, organizações precisam reinventar o que
fazem e lançar algo novo constantemente, universidades e escolas precisam
buscar novas formas de ensino, vendedores precisam aprender novos meios
de atrair mais clientes, diretores necessitam traçar novas estratégias de
negócios a todo o momento, gerentes devem buscar novas maneiras de treinar
seus funcionários de maneira mais eficaz, enfim, ninguém consegue
sobreviver sem obter informações.
A informação, algo que é tão necessário para todas as pessoas sem
exceção, geralmente é gerada, transmitida, recebida e manipulada por meios
tecnológicos, que mudam a cada instante, já que o mercado digital
disponibiliza para usuários novas tecnologias constantemente.
Neste cenário tão competitivo, onde todos são obrigados a dar o melhor
de si e buscar novos conhecimentos todos os dias, organizações precisam
aplicar proteções a seus dados e investir em tecnologias de ponta, objetivando
obter alto nível de proteção a aquela que representa o maior ativo de um
ambiente corporativo, a informação.
Para aplicar proteção a seus dados as organizações investem altamente
em tecnologia de segurança e em treinamento de seus funcionários
constantemente, além de desenvolverem políticas de segurança da
informação, termos de uso de tecnologia corporativa e pessoal e planos de
continuidade de negócio.
Mas, o número de organizações que realizam as ações descritas
anteriormente com o intuito de dar proteção à informação, ainda é pequeno.
Muitos gestores não entendem a importância de se proteger dados e que
dados de uma organização são imprescindíveis para o sucesso dos negócios.
Em vários ambientes corporativos não é possível identificar nenhuma prática
de segurança a dados, ou quando se identifica alguma preocupação em
relação a este tema, ações tomadas por empresas são superficiais e pouco
eficazes.
Entende-se que para haver segurança a dados de uma organização é
preciso uma mudança de cultura. Primeiramente a cultura organizacional
precisa ser alterada, no sentido de que desde a cúpula de uma empresa ao
chão de fábrica todos entendam a importância da segurança da informação e
quais são as ações que cada um deve tomar para que a proteção a dados seja
efetiva. É necessário o envolvimento de toda a empresa e ações a serem
tomadas neste sentido devem ser iniciadas pela equipe de alto escalão,
alinhando as estratégias de negócios com as estratégias de TI e proteção à
informação.
Para implantar a segurança da informação em uma organização de
maneira efetiva também se faz necessário dar treinamentos intensos a todos
os funcionários, com o intuito de que cada um saiba utilizar os sistemas de
informação adotados de maneira correta, diminuindo assim o índice de
incidentes em relação ao mal uso de meios tecnológicos.
O departamento de recursos humanos se torna um elemento chave neste
processo, pois a segurança da informação passa também pela ética de cada
ser humano. Assim, o processo de contratação deve ser realizado com muito
cuidado, deve-se checar todas as informações passadas por candidatos a uma
vaga de emprego e sempre que possível averiguar características
comportamentais do profissional em empregos anteriores.
A proteção da informação organizacional assim como a segurança de
dados pessoais, envolve diversos elementos e para que esta seja implantada
em ambientes corporativos elementos fundamentais precisam ser tratados
anteriormente, o que se faz necessário desenvolver uma política de segurança
da informação que atenda os objetivos de uma organização; um plano de
continuidade de TI para evitar que processos organizacionais sejam
interrompidos; um termo de conduta digital, visando deixar bem explicitado
para todos quais são seus direitos e deveres não só dentro do ambiente
organizacional, mas em ambientes externos também; e realizar discussões
sobre como se pode dar o uso de tecnologias corporativas e pessoais, se
ambas devem ser integradas e neste sentido, quais podem ser os meios de
proteção a dados corporativos.

8.1. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Não há como ter alto nível de proteção a dados organizacionais, se não
houver uma política de segurança da informação bem desenvolvida, onde
regras são claras para todos. Este é o primeiro passo que uma organização
deve dar quando gestores decidem implantar segurança da informação em
uma organização.
A política de segurança da informação é um documento desenvolvido
por alguma organização, na qual diversas diretrizes são estabelecidas a fim de
garantir segurança aos dados organizacionais. Este documento deve explicitar
claramente quais são as ações que cada funcionário deve tomar na realização
de seu trabalho diariamente, ser aprovado pela equipe diretiva e cada agente
que se relaciona com a organização ser informado sobre suas
responsabilidades e direitos. Estes agentes que precisam ter conhecimento
sobre a política de segurança da informação de uma empresa, são
funcionários, parceiros, fornecedores, ou qualquer outro agente que tenha
relação direta ou indireta com o ambiente corporativo.
Ao desenvolver este documento, diversas questões devem ser
levantadas e a primeira a ser respondida é: o que é segurança da informação?
Esta questão visa trazer de forma clara uma definição do tema, a fim de
explicitar para todos o que a segurança da informação envolve e a sua
importância para os processos organizacionais.
É importante destacar neste ponto do documento quais são os pilares da
proteção da informação, explicitar principais riscos a que dados corporativos
estão expostos e possíveis conseqüências que a organização pode sofrer no
caso de vazamento de informações confidenciais.
A segunda questão a ser levantada no processo de desenvolvimento de
uma política de segurança da informação é: quais são os meios de controle a
serem aplicados para dar proteção a dados? Faz-se necessário definir os
meios de proteção a informação, os quais envolvem meios físicos, estrutura
de rede, segurança lógica, cultura organizacional e formas de treinamentos.
Estes controles devem ser de fácil entendimento para aquele a quem se
destina, com o objetivo de evitar dúvidas, o que pode resultar em uso
incorreto de informações corporativas, conseqüências para a organização ou
para o próprio colaborador, se diretrizes não estiverem bem claras.
Por exemplo, a política de segurança da informação pode estabelecer
regras como:
1) O acesso à sala de TI da organização deve ser restrito e o mesmo
deve ocorrer por meio de identificação digital. Além disso, a
autorização deve ser dada apenas para pessoas vinculadas ao
departamento de Ti;
2) A cópia de segurança de dados (backup) deve ocorrer todos os dias,
em relação aos dados de vendas. O backup de dados de outros
departamentos deve ocorrer uma vez por semana apenas, sendo que
ambas as cópias de segurança precisam ser efetuadas em horário não
 comercial e serem restauradas, visando averiguar se irão funcionar
corretamente no caso da ocorrência de algum incidente;
3) As senhas de todos os usuários devem ser alteradas a cada dois
meses, não devem aceitar o uso de alguma das três últimas senhas
atribuídas e cada senha deve conter no mínimo dez caracteres,
incluindo letras maiúsculas e minúsculas, caracter especial e números.
Outra questão que deve ser levantada no processo de planejamento é:
quais são as responsabilidades gerais e específicas de cada agente envolvido
na organização? Deve-se definir quais são as responsabilidades e direitos de
todos e responsabilidades específicas de cada departamento ou cargo de
acordo com processos organizacionais envolvidos.
Depois que todas as questões forem levantadas e regras forem
estabelecidas para cada elemento que permite proteger a informação
corporativa, faz se necessário indicar a documentação geral, e a
documentação específica de cada processo organizacional, que servirá como
um guia para cada agente emvolvido no ambiente corporativo. Além disso,
todas as regras definidas na política de segurança da informação devem ser
explicitadas para toda a organização.
Após a implantação da política de segurança da informação em uma
organização, incluindo etapas como planejamento, desenvolvimento e
publicação, a política de proteção da informação terá que passar regularmente
por revisões e alterações, sendo que seus efeitos somente serão percebidos
após algum tempo.
É importante salientar que uma política de segurança da informação
deve ter como base os três pilares da segurança da informação. Ou seja, o
acesso a cada norma deve ser realizado somente por quem está autorizado,
cada norma deve ser clara e não deixar lacunas no entendimento de quem irá
lê-la e cada diretriz deve estar disponível sempre que necessário para aquele
que precisa da orientação que se encontra disponível na mesma.
Assim como em qualquer outro processo, seja organizacional ou
pessoal, a política de segurança da informação só irá obter sucesso se na fase
de planejamento seus responsáveis estiverem realmente envolvidos, se após o
planejamento todas as normas forem aplicadas adequadamente e se alterações
e revisões ocorrerem de maneira regular. Entende-se então que o sucesso da
implantação de uma política de segurança da informação em um ambiente
corporativo depende do comprometimento de todos, ou seja, ações realizadas
por seres humanos.
8.2. PLANO DE CONTINUIDADE DE TI
O papel é um dos meios de armazenamento de informações que está
cada vez mais em desuso, situação decorrente da evolução de meios digitais.
A informação, em sua maioria é manipulada por meios digitais e apenas
quando não há outro meio, é que as pessoas normalmente fazem uso de papel.
Em ambientes organizacionais este cenário se torna ainda mais notável,
não há processos organizacionais em andamento se não houver meios
tecnológicos para executá-los. Qualquer negócio realizado em um ambiente
corporativo passa por elementos de TI, ou seja, todos os processos
organizacionais passam pelo departamento de TI. Uma boa gestão de TI
resulta em uma boa gestão de processos organizacionais, o que permite
alcançar sucesso nos negócios.
Quando o departamento de TI em uma organização sofre algum grande
impacto, este é imediatamente sentido por toda a organização e pode ser que
vários processos organizacionais sejam interrompidos. Entende-se então que
processos corporativos estão intimamente envolvidos com processos de
gestão de TI, sendo que estratégias de TI devem sempre estar relacionadas às
estratégias de negócios de uma empresa.
O plano de continuidade de TI é um documento que visa garantir que
processos de TI sejam retomados dentro de prazos estabelecidos, a fim de
assegurar a continuidade de negócios e retomada de processos
organizacionais em tempo aceitável em um ambiente corporativo. Desta
forma, toda organização deve ter um plano de continuidade de TI atrelado aos
processos de gestão organizacional, que possa reduzir riscos, ou garantir
retomada rápida de processos de TI em caso da ocorrência de algum impacto.
O plano de continuidade de TI passa principalmente pela gestão da
segurança da informação, uma vez que a interrupção de processos de TI
causa a indisponibilidade de dados, o que pode parar diversos processos
organizacionais. Este plano envolve ainda a gestão de riscos, que tem como
intuito identificar os riscos existentes e maneiras de mitigá-los.
Ao desenvolver um plano de continuidade de TI, o primeiro passo é
identificar a quais riscos o departamento de TI em uma organização está
exposto. Esta identificação não deve ser realizada apenas por grupo diretivo e
departamento de TI, se faz necessário envolver pessoas de todas as áreas.
Pessoas de outros departamentos podem apresentar visões diferentes sobre a
segurança da informação e riscos a que dados de cada departamento estão
expostos, o que pode ampliar o conhecimento de todos sobre os riscos
existentes.
Depois que o processo de identificação de riscos for realizado, o
próximo passo é classificar cada risco de acordo com o impacto que a
organização pode sofrer. Assim, quanto maior o dano, mais alto é o nível de
classificação do risco.
Esta classificação permite ao departamento de TI identificar quais são
os riscos que mais precisam de uma tomada de decisão. Ou seja, permite
identificar riscos cujos processos de mitigação dos mesmos devem iniciar
rapidamente, caso não exista a possibilidade de eliminação.
Riscos em TI representam probabilidades de ocorrência de algum
evento, que se forem efetivados trarão um dano direto para o departamento de
TI de uma organização, ou pode ainda ocasionar danos em todos os
departamentos de um ambiente corporativo.
O plano de continuidade de TI também deve prever ocorrências de
eventos que podem tornar os serviços de TI indisponíveis, situação na qual
estratégias de retomada da disponibilidade dos mesmos devem ser traçadas,
com o intuito de reduzir o tempo de interrupção dos processos
organizacionais.
Este plano é um documento que guia a equipe de TI em uma
organização, o qual deve ser publicado para todos envolvidos nesta equipe.
Além disso, assim como na política de segurança da informação, este
documento precisa passar por revisões e caso necessário, alterações
regularmente, com o objetivo de identificar novos riscos e definir estratégias
de eliminação ou mitigação dos mesmos.

8.3. TERMO DE CONDUTA DIGITAL

O termo de conduta digital é um documento que deve ser assinado por
cada funcionário no momento da contratação e visa deixar claro para aquele
que é contratado por uma empresa quais são suas obrigações e direitos, com o
intuito de explicitar regras em relação à segurança da informação, o uso de
meios tecnológicos corporativos e o uso de tecnologias pessoais, incluindo
dispositivos móveis.
Além de deixar claro para todos os funcionários normas internas de
uma organização, o termo de conduta digital é uma ferramenta de proteção da
informação, a qual permite que a organização aplique sanções a quem
descumpra as regras acordadas no momento da contratação. Cada funcionário
ao ser contratado deve assinar este documento, de maneira que se o
contratado descumprir alguma das diretrizes explicitadas no termo de conduta
digital, o mesmo poderá ser demitido por justa causa, sofrer algum tipo de
advertência, ou até mesmo ser punido judicialmente em caso de cometimento
de crimes relacionados à informática.
A organização pode estabelecer inúmeras diretrizes em um termo de
conduta digital, orientando cada agente envolvido na organização sobre suas
ações de trabalho, o que pode reduzir o número de incidentes em relação ao
uso inadequado de dados organizacionais.
Este documento não serve apenas como uma ferramenta para a
organização proteger suas informações. Este representa também uma
ferramenta muito útil para cada colaborador, que pode recorrer à mesma
sempre que for necessário, com o intuito de realizar de maneira mais correta
seu trabalho e si orientar sobre o uso de tecnologias corporativas e pessoais
no ambiente organizacional.
Cada organização que possui um termo de conduta digital estabelece
diferentes diretrizes, que podem ser variáveis de acordo com o mercado de
atuação, com a proteção a dados que se deseja, ou com as regras e estratégias
de negócios e de TI.
Um termo de conduta digital pode estabelecer diretrizes semelhantes a:
1) Cada funcionário pode utilizar dispositivos móveis pessoais para
acessar qualquer site apenas no refeitório da organização, em
horário de almoço ou intervalos para lanches, sendo que o uso de
tais meios tecnológicos será monitorado e é proibido em qualquer
outra dependência do ambiente corporativo;
2) É proibido a publicação de qualquer documento organizacional
em redes sociais ou qualquer outro site;
3) O uso de e-mails corporativos será monitorado por gestores de
TI da organização constantemente, com o intuito de garantir maior
proteção aos dados organizacionais. Desta maneira, o uso indevido
de informações por meio deste recurso por qualquer pessoa pode
acarretar em sanções administrativas;
4) Dados organizacionais devem ser mantidos apenas no ambiente
corporativo e em dispositivos eletrônicos ou qualquer outro meio de
armazenamento de dados fornecidos pela organização, sendo que o
uso de dados organizacionais em dispositivos pessoais não é
 permitido;
5) Ninguém está autorizado a abrir anexos ou clicar em links de e-
mails desconhecidos, recebidos em e-mails corporativos, uma vez
que tal ação pode contaminar com algum vírus a rede de TI da
organização;
6) É proibido fazer imagens ou vídeos de qualquer dependência da
organização, ou situação vivenciada no ambiente de trabalho, ou
ainda lançar dados como estes na internet;
7) Cada funcionário deve tomar cuidado com o que publica em suas
redes sociais, incluindo fotos, vídeos ou mensagens,
independentemente de estar dentro do ambiente corporativo ou não,
que podem vir a arranhar a imagem da organização, sendo que
aquele que o fizer, está sujeito a sanções organizacionais;
8) Cada funcionário deve fazer uso de uma conta de e-mail
corporativo para tratar de assuntos relacionados à processos
organizacionais, sendo que é vedado o uso de contas de e-mail
pessoal para tratar de tais assuntos, ou o uso de conta de e-mail
corporativo para tratar de assuntos pessoais;
9) O uso de credenciais de acesso a sistemas de informação
adotados pela organização é exclusivo de cada colaborador. Desta
maneira, cada pessoa no ambiente organizacional tem total
responsabilidade sobre suas credenciais de acessos corporativos e é
vedado passar senhas e nomes de usuário para outro colega de
trabalho, ou qualquer outra pessoa;
10)Ao fazer uso de qualquer um dos sistemas de informação
adotados pela organização no ambiente de trabalho, se for preciso se
afastar por algum tempo deste ambiente, cada usuário deve encerrar
todos os sistemas em uso, a fim de evitar que qualquer outra pessoa
faça uso destes sistemas em seu nome, o que pode acarretar em
prejuízos financeiros ou outros danos para a organização, além de
punições a quem não encerrou estes sistemas.
Por meio dos termos exemplificados é possível entender de maneira
clara que termos de conduta digital são muito importantes para orientar o
comportamento de profissionais não só dentro de um ambiente corporativo,
mas também em qualquer outro lugar, em relação ao uso adequado de
informações pessoais e organizacionais e de tecnologias.
8.4. BYOD
O número de pessoas que fazem uso de dispositivos móveis aumenta a
todo instante e tal uso é cada vez mais constante por parte destes usuários.
Pessoas que fazem uso de tecnologias móveis muitas vezes não conseguem
ficar sem utilizar estas tecnologias por um só momento e estão a todo tempo
se comunicando por meio destes aparelhos. Além da comunicação, estes
dispositivos eletrônicos facilitam a vida de todos, uma vez que ações
praticadas em um computador de mesa puderam ser transferidas para os
mesmos, o que permite aos usuários fazer compras em lojas virtuais, estudar,
trabalhar, ou inúmeras outras atividades em qualquer lugar.
Desta maneira, o uso destes dispositivos em ambientes organizacionais
muitas vezes se torna inevitável, Daí o termo BYOD (Bring Your Own
Device), que vem do inglês e significa, traga seu próprio dispositivo, termo
que representa o uso de dispositivos móveis pessoais dentro de ambientes
corporativos, sendo que processos organizacionais passam pelos mesmos.
Este cenário traz um grande desafio para a proteção de dados
organizacionais, uma vez que sistemas de informação adotados por uma
organização estão instalados em dispositivos pessoais, informações
corporativas trafegam por estes aparelhos e dados organizacionais também
podem ser armazenados ou reproduzidos por meio dos mesmos.
Uma ferramenta de estrema importância neste sentido é o
desenvolvimento de uma política de segurança da informação, que aborda
este cenário. Desta maneira, diretrizes podem ser estabelecidas e
comunicadas para todos, sobre o uso adequado de dispositivos móveis
pessoais em ambiente corporativo. Além disso, na política de segurança da
informação podem ser definidas formas de controle que uma organização
pode adotar para monitorar o uso destes aparelhos.
Ao tratar deste assunto em uma política de segurança da informação,
em sua fase de planejamento diversas questões devem ser levantadas para que
se crie soluções de segurança organizacional e pessoal, o que pode diminuir
riscos e prejuízos para ambas as partes.
Dentre estas questões estão:
1) O funcionário poderá usar os sistemas de informação adotados pela
organização, que estão instalados em seu dispositivo pessoal, para fins
organizacionais quando não estiver no ambiente corporativo ou fora do
horário de trabalho?
 2) De quem é a responsabilidade sobre a manutenção do aparelho?
3) Quais ações a organização deve tomar para garantir a segurança dos
dados pessoais de seu funcionário?
4) Quais são os deveres do funcionário em relação ao uso de dados
organizacionais em seu dispositivo?
5) Como monitorar processos organizacionais realizados em
dispositivos pessoais de funcionários sem invadir sua privacidade?
6) De quem é a responsabilidade por instalar mecanismos de proteção
a dados no aparelho, tais como antivírus ou atualizações de sistemas?
7) Todos os departamentos da companhia precisam fazer uso destes
dispositivos, ou tal uso deve se dar apenas a determinadas áreas
organizacionais?
As organizações devem definir locais, dias e horários em que seus
funcionários podem fazer uso de seus dispositivos móveis, por meio de
sistemas de informação adotados pela companhia, com fins profissionais. Isto
é importante tanto para o empregador quanto para o colaborador, o que pode
evitar futuramente conflitos entre funcionários e organizações sobre direitos
trabalhistas.
A responsabilidade de manutenção de dispositivos móveis de
funcionários deve ser acordada entre gestores e colaboradores, assegurando
responsabilidades de ambas as partes. Por exemplo, uma organização pode
estabelecer que a manutenção de dispositivos móveis de seus funcionários
será responsabilidade da mesma, sempre que o aparelho estiver no ambiente
corporativo, ou apresentar defeitos no momento de utilização para processos
organizacionais.
Cada organização deve implementar mecanismos de segurança a dados
em sua rede informatizada, com o intuito de não só dar proteção aos dados
organizacionais, mas também proteger os dados que se encontram em
dispositivos móveis de seus funcionários.
Organizações precisam orientar seus colaboradores sobre o uso
adequado de dados corporativos em seus dispositivos móveis, a fim de
garantir a segurança da informação. Como exemplo de orientações, uma
organização pode dar treinamentos a seus funcionários, sobre o uso de
aplicativos móveis adotados pela mesma.
Cada organização deve realizar uma análise sobre quais são os
departamentos em que o uso de dispositivos móveis é produtivo, o que pode
permitir uma delimitação de uso destes aparelhos.
 Outra ferramenta que pode ser muito útil para o uso de dispositivos
móveis em ambientes corporativos é a adoção da computação em nuvem. Na
computação em nuvem todos os processos organizacionais são realizados e
dados são armazenados na nuvem, ou seja, no ambiente virtual contratado por
uma organização.
Desta maneira, funcionários podem utilizar seus dispositivos móveis
para fins profissionais de maneira mais flexível, o que acarreta em maior
produtividade, enquanto organizações eliminam o risco de perda de dados
organizacionais, se um funcionário perde seu dispositivo ou o tem roubado,
uma vez que todos os dados estão na nuvem.
A computação em nuvem viabilizando o BYOD se torna algo muito
interessante para ambientes corporativos e colaboradores, mas é importante
que toda organização estabeleça diretrizes de uso, com o intuito de proteger
dados organizacionais e direitos de seus funcionários.
 CAPÍTULO 9 CONSIDERAÇÕES FINAIS
As tecnologias de informação e comunicação evoluíram de maneira
extremamente rápida nos últimos anos e continuam em evolução hoje em dia,
situação em que companhias apresentam novos meios de se comunicar e
manipular informações todos os dias. São tecnologias inovadoras, que
apresentam um mundo infinito de oportunidades aos usuários e facilitam
diversas ações diárias, proporcionando rapidez e mobilidade tecnológica.
Diante deste cenário, os desafios de gestores de TI e profissionais de
segurança da informação se tornam cada vez maiores, o que obriga a todos
estes profissionais buscar informações e novos conhecimentos de maneira
incessante, com o objetivo de se dar proteção a dados e garantir a
continuidade de processos tecnológicos.
Aliás, o tema segurança da informação é algo que vem ganhando
espaço a cada dia, se torna um grande desafio para profissionais desta área e
carece de conscientização por parte de todos os usuários sobre o mesmo.

9.1. VALOR DA INFORMAÇÃO

O valor da informação é relativo em algumas ocasiões e em outras não.
Este valor pode ser variável de acordo com as circunstâncias. Por exemplo, se
uma organização, empresa ou instituição acadêmica investe muito dinheiro e
tempo no desenvolvimento de estudos sobre técnicas que podem trazer algo
de grande importância para as pessoas ou algum grupo de pessoas, para esta
organização detentora do projeto, o valor das informações obtidas com base
nos estudos realizados é muito alto. Neste contexto, pode-se entender ainda
que não se trata do valor de informações, mas do valor de conhecimentos
obtidos ao longo de um grande período.
O valor da informação ainda é variável de acordo com experiências e
vivências de cada pessoa. Aquilo que representa algo de grande importância
para alguém, pode não representar algo tão valioso assim para outra pessoa.
Neste sentido, entende-se que o valor de informações muitas vezes se
relaciona com conhecimentos obtidos. Ou seja, se uma pessoa conhece sobre
alguma informação, entende sua importância, conhece os riscos a que a
mesma está exposta e quais seriam as prováveis conseqüências na perda ou
vazamento desta informação, para este alguém o valor da informação pode
ser alto.
 Entretanto, o valor da informação se torna invariável quando uma
informação representa o mesmo para qualquer pessoa ou organização. É o
caso de valores em dinheiro, onde uma quantia é a mesma para qualquer
pessoa e todos entendem a importância deste valor.

9.2. SEGURANÇA DA INFORMAÇÃO

A segurança da informação é algo que atualmente tem levantado
inúmeros debates sobre o tema, que possuem como intuito encontrar novas
maneiras de proteção a todo o momento. A proteção a dados passa por
diversas áreas e a manipulação de informações de maneira adequada não visa
apenas assegurar que dados estão protegidos. A segurança da informação
possui como objetivo também evitar crimes.
Entende-se que a segurança da informação não é apenas uma área de
TI, mesmo que esta apresenta inúmeras ferramentas de proteção a dados.
Quando se trata de proteção a dados em ambientes organizacionais, esta
proteção deve envolver todos os departamentos e deve ter total
comprometimento do grupo diretivo. Contudo, compreende-se de forma geral
que a segurança da informação passa por três áreas principais. A tecnologia,
o direito e a psicologia.
A tecnologia tem papel fundamental na segurança de dados, pois
existem inúmeros recursos de sistemas de informação e redes que trazem alto
nível de proteção a dados quando são bem aplicados.
O direito também possui atuação no mesmo nível da tecnologia, visto
que por meio deste é possível aplicar sanções a quem faz uso indevido de
informações, ou ainda, orientar as pessoas sobre boas práticas em relação ao
uso correto de meios tecnológicos.
Mas, o maior desafio da proteção a dados reside nas pessoas, por isso a
psicologia tem grande importância quando se trata deste tema. A psicologia
pode ajudar a entender características humanas que podem colocar
informações secretas em situação de risco, além de orientar como mitigar
estes riscos que podem vir em virtude de comportamento humano.

9.3. O ELO MAIS FRACO DA SEGURANÇA DA

INFORMAÇÃO
Apesar de a tecnologia disponibilizar inúmeras ferramentas para
proteção a dados e da importância que o direito tem quando se relaciona a
manipulação de dados de forma segura, o maior desafio se trata das pessoas.
É preciso que este tema seja difundido não somente para profissionais
de TI. A segurança da informação é um tema que precisa ser do
conhecimento de todos, cada pessoa deve entender a sua importância,
manipular tecnologias de que faz uso de forma adequada e se conscientizar
sobre este assunto.
Neste sentido, trata-se de mudança cultural, assim desenvolvimento e
mudanças de hábitos que podem ajudar muito no que se refere à proteção a
dados pessoais e corporativos.
 REFERÊNCIAS
CABRINI, R. Invasão de privacidade. Disponível em:
<https://www.youtube.com/watch?v=GPZ-_yTWFrI>. Acesso em: 25 set.
2015.

FANTÁSTICO. Pedófilo é preso após conversar com mãe de vítima sem

saber. Disponível em:
<http://g1.globo.com/fantastico/noticia/2014/02/pedofilo-e-preso-apos-
conversar-com-mae-de-vitima-sem-saber.html>. Acesso em: 10 set. 2015.

MOREDSON, E. Proteção do conhecimento - As ameaças da Engenharia

Social. Disponível em: <https://www.youtube.com/watch?
v=gvBCx3AJX28>. Acesso em: 22 set. 2015.

PINHEIRO, P. P. O uso inadequado das redes sociais e conseqüências.

Disponível em: <https://www.youtube.com/watch?v=NBVfGGOmSzA>.
Acesso em 21 set. 2015.