SEGURANÇA DA INFORMAÇÃO U M

M A P E A M E N T O TEÓRICO E A PRÁTICA

NAS EMPRESAS DE

TELECOMUNICAÇÕES DO BRASIL

CAIO JULIO MARTINS VELOSO

 F U N D A Ç Ã O J O Ã O PINHEIRO
G o v e r n o de M i n a s G e r a i s

ATA DA DEFESA PÚBLICA DE DISSERTAÇÃO

MESTRADO EM ADMINISTRAÇÃO PÚBLICA
ÁREA DE CONCENTRAÇÃO: TECNOLOGIAS DA INFORMAÇÃO

Aos 03 (três) dias do mês de abril de 2002, foi realizada a defesa pública da dissertação

intitulada "Segurança da informação um mapeamento teórico e a pratica nas empresas de

telecomunicações do Brasil", elaborada por CAIO JUUO MARTINS VELOSO, como

requisito parcial para obtenção do título de mestre do Programa de Mestrado em

Administração Pública: Tecnologias da Informação, da Escola de Governo da Fundação João

Pinheiro. Após a apresentação do trabalho, o mestrando foi arguido pelos membros da

Comissão Examinadora, composta por Prof. Wagner Meira Júnior (Orientador); Prof.

Marcelo Peixoto Bax, Prof José Marcos Silva Nogueira. A Comissão Examinadora reuniu-se

para deliberar e, considerando que a dissertação atende aos requisitos técnicos e acadêmicos

previstos na legislação do Programa, decidiu, por unanimidade, pela aprovação da mesma.

Este documento expressa o que ocorreu na sessão da defesa e será assinado pelos membros da

Comissão Examinadora.

Belo Horizonte, 03 de abril de 2002

Prof. Wagner Meira Júnior ( U F M G ) -(Orientador)

Prof. Marcelo Peixoto Bax ( U F M G )

Prof. José Marcos Silva Nogueira ( U F M G )

Mod.7003
 O

Segurança da informação
um mapeamento teórico e a
prática nas empresas de
telecomunicações do Brasil

Dissertação apresentada à Escola de Governo - Fundação João

Pinheiro, como requisito parcial para obtenção do título de Mestre
em Administração Pública.

Area de Concentração: Tecnologias da Informação

Orientador: Wagner Meira Júnior

Caio Júlio Martins Veloso

Belo Horizonte
Abril/2002
 F.J.P. - B I B L I O T E C A

*6O002057*
IM A O DANinOUF E S I A fcVl IO>Jb \ A
RESUMO
A maioria dos ataques realizados contra os modernos sistemas de
tratamento de informações têm redundado em sucesso devido à exploração dos
mesmos erros e fragilidades que vêm afetando os sistemas nos últimos trinta
anos.

A importância dos incidentes de segurança de informações revela-se na

medida em que passa a ser mensurável qual o valor que estas informações
possuem para as organizações. Ao mesmo tempo as abordagens convencionais,
que visam garantir a segurança dos sistemas calcadas em medidas padrão de
segurança e de alerta, falham por ignorar a inerente complexidade destes
sistemas.

Reconhecendo três dimensões primárias dos problemas de segurança (o

Homem, as Organizações e a Tecnologia) e o caráter complexo de suas interações,
que ocorrem com alto grau de acoplamento, propõem se uma abordagem para a
análise e interpretação dos incidentes de segurança que ocorrem nas
organizações.

A validação da propriedade desta abordagem é feita pela sua aplicação

no entendimento dos incidentes de segurança de informação, identificados no
âmbito de uma empresa de telecomunicações brasileira. Os casos analisados
referem-se às fraudes ocorridas no sistema de faturamento da empresa em
questão. Ao serem analisados sob a óptica proposta, tais casos revelam suas
causas calcadas em fatores de ordem humana, organizacional e tecnológica.
Entretanto, tais fatores, quando tomados isoladamente, não respondem pelos
incidentes. Os incidentes estudados revelam, quando observados pela abordagem
proposta, ser a culminância de uma seqüência de incidentes menores que
ocorrem pela interação dos fatores de várias ordens.

Como conseqüência, os incidentes não só se mostraram ser de relevada

importância, mas também serem passíveis de ocorrência não só em empresas do
mesmo setor econômico mas em empresas de outros setores e até no seio do
próprio estado.
ABSTRACT
The majority of attacks made upon modern information systems have
been successful due to the exploitation of the same errors and weaknesses that
have affected these systems for the last thirty years.

The importance of information security incidents becomes clear

whenever it is possible to measure the value of information to the organizations.
At same time, the conventional approach for information security, which try to
ensure information security focusing on warnings and safeguards actions, fails
when ignore systems complexity.

By recognizing three primary dimensions (the Human Being, the

Organizations and the Technology) and the complexity of their interactions, which
are usually very significative, this work provides an alternate approach to analyze
and understand the security incidents that occurs in organizations.

In order to validate this approach, we applied it to understand security

incidents identified in a Brazilian telecommunication enterprise. The incidents
analyzed in these cases refers to frauds occurred in the accounting system of this
enterprise. Analyzed according to our point of view, these incidents may be
viewed as caused by human-related, organizational, and technological factors.
However, such factors, when taken in isolation, can't explain completely these
incidents. When observed under our approach, these studied incidents show to
be the final step of a series of minor events that have emerged as a consequence
of previous interactions of these factors.

In summary, these incidents appear to be relevant not only to

organizations of the telecommunications economic sector but to other sectors and
even to the State as a whole.
AGRADECIMENTOS
Este trabalho surge como sendo a culminância dos esforços
desenvolvidos desde o momento em que decidi iniciar este mestrado, passando
pelos necessários para dar conta das várias disciplinas que compuseram este
curso e os empreendidos ao longo deste trabalho de pesquisa.

Várias são, portanto, as pessoas a quem quero manifestar meus

agradecimentos. Agradeço à professora e colega Carla Bronzo Carneiro por ter me
incentivado e apoiado a entrar para o programa de mestrado em administração
pública da Fundação João Pinheiro.

Não posso deixar de manifestar meu agradecimento ás colegas que

trabalham nas secretarias da Escola de Governo da FJP pela atenção e carinho
com que prontamente se disponibilizaram a ajudar a todos nós mestrandos, nas
nossas necessidades dentro deste programa.

Quero manifestar os meus agradecimentos à querida professora Laura

da Veiga, sem cujo voto de confiança e apoio inestimável em vários momentos
desta jornada, este momento jamais viria a se materializar.

Agradeço ainda ao professor Márcio Bunte de Carvalho por ter

analisado e aprovado a proposta que precedeu a este trabalho e> ainda, ao prof.
Eduardo Cerqueira Batitucci e à Rosane Vaz Figueiró por terem me auxiliado na
elaboração do capítulo sobre o Homem.

Agradeço ao meu orientador e amigo Wagner Meira Júnior, sem cuja

experiência e apoio eu não saberia como conduzir este trabalho de forma
conclusiva.

Agradeço aos meus filhos e minha mulher, Leda Maria Lisboa, aos
quais pouco pude prestar maiores cuidados e atenções, ao longo destes meses de
estudos e trabalhos. Agradeço por aceitarem ficar privados, muitas vezes, do
convívio familiar que se espera usufruir nos finais de semana e feriados.

Por fim agradeço a Deus por ter me dado esta oportunidade de

descobrir os caminhos pelos quais desejo trilhar nos anos vindouros, pela ajuda
nos momentos difíceis e por ter me dado poder concluir esta jornada.
SUMÁRIO
RESUMO 2
ABSTRACT 3
AGRADECIMENTOS 4
SUMÁRIO 5
LISTA DE ABREVIATURAS E SIGLAS 7
GLOSSÁRIO 10
INTRODUÇÃO 10
Objetivos 20
Plano de Trabalho 21
Metodologia 21

PARTE 1 - UMA REVISÃO DE CONCEITOS 23

CAPÍTULO 1 VALOR DA INFORMAÇÃO 25
CAPÍTULO 2 CONCEITOS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO 34
2.1 - Um problema antigo e de difícil solução 35
2.2 - Atributos clássicos da informação 36
2.3 - Para onde agora? 37

CAPÍTULO 3 DISCUSSÕES SOBRE AS TAXONOMÍAS DE INCIDENTES DE

SEGURANÇA 39
3.1 - Teoria geral de classificação 3 9

3.2 - As taxonomías de incidentes em sistemas de informação 41

CAPÍTULO 4 UMA ABORDAGEM SISTÊMICA PARA A SEGURANÇA DAS

INFORMAÇÕES 48
4.1 - À constatação prática de um problema complexo 48
4.2 - Um outro paradigma para os problemas de segurança: o Sistema Homem, Organização e Tecnologia 55

4.3 - A complexidade dos Incidentes de Segurança 56

4.4 - O Complexo 58
4.5 - Os problemas inerentes à segurança das informações 61

4.6 - Políticas de Segurança 68

4.7 - Conclusão 73

PARTE 2 - ESTUDOS DE CASOS 75

CAPÍTULO 5 A METODOLOGIA DE ESTUDO DE CASO 77
5.1 - As características do método 77
5.2 - O projeto de estudos de caso 79

CAPÍTULO 6 A EMPRESA 84
6.1 - Introdução 84
6.2 - O Processo de faturamento 86
6.3 - Os casos estudados 92

CAPÍTULO 7 CASO 1 - PRIVILÉGIOS DE ACESSO AOS SISTEMAS CORPORATIVOS

95
7.1 - Introdução 95

7.2 - Privilégios de Acesso a Sistemas Corporativos 95

7.3 - A análise do caso 108
7.4 - Conclusão 116

CAPÍTULO 8 CASO 2 - VULNERABILIDADES LÓGICA E FÍSICA EM CENTRAIS

TELEFÔNICAS 119
8.1-Introdução 119

8.2 - O uso fraudulento de centrais telefônicas 12J

8.3 - À análise do caso 143

8.4 - Conclusões 156

PARTE 3 159
CAPÍTULO 9 CONSIDERAÇÕES, LIMITAÇÕES E SUGESTÕES DE FUTUROS
TRABALHOS 159
CAPÍTULO 10 CONCLUSÃO 168
ANEXO A O PARADIGMA SISTÊMICO 170
ANEXO B O HOMEM 195
ANEXO C A TECNOLOGIA 220
Cl-Hardware 221
C.2 - Software 224
C.3 - Redes de Comunicações 234

ANEXO D A ESTRUTURA E OS PROCESSOS ORGANIZACIONAIS 242

ANEXO E SURVEYS SOBRE SEGURANÇA DE SISTEMAS 249
E.1 - Módulo Security Soiutions - Pesquisa Nacional sobre Segurança da Informação 250
E.2 - 2001 CS í/FBI Computer Crime andSecurify Survey 260
E.3 - ASIS Trends in Proprietary Information Loss 268
E.4 - Sumário dos resultados dos surveys. 271
BIBLIOGRAFIA 275
LISTA DE ABREVIATURAS E SIGLAS
ANATEL Agencia Nacional de Telecomunicações

ANSI American National Standards Institute (instituto Nacional Americano de

Padrões). Desenvolve padrões de transmissão, armazenamento,
linguagem, e protocolos.

API Application Programming Interface (Interfaces de Programas de

Aplicação).

ASIS American Society of Industrial Security

CCITT Comitê Consultatif Internacional de Téléphonie et Télégraphie (Comitê

Consultor Internacional de Telecomunicações). Atual ÏTU, responsável
pelo desenvolvimento de padrões de comunicação.

CDR Call Data Register - Registro de Dados de Chamada.

CERT Computer Emergency Response Team (Equipe de Respostas a Incidentes

em Computadores). Responsável por receber, responder e orientar
administradores de segurança por incidentes em redes de
computadores.

CMM Computer Maturity Model é um conjunto de normas e recomendações de

ordem prática, produzidas pelo SEI, voltadas para a melhoria da
qualidade de softwares.

CPD Centro de Processamento de Dados

CSC Computer Security Center (Centro de Segurança em Computação).

DNS Domain Name Server. É um serviço da internet que traduz o nome de

domínio (domain names] de um recurso em um endereço IP.

DoD Department of Defense (Departamento de Defesa do Governo dos

Estados Unidos da América).

EQN Equipment Number (EQN). É uma referência numérica que identifica, de

forma única, um terminal telefônico catalogado em um índice nas
tabelas de endereços de terminais nas centrais telefônicas de tecnologia
digitai. Os EQNs são definidos como endereços de portas lógicas em
existentes nos circuitos das Unidades de Linhas Digitais ( Digitai Line
Units -DLU ). O EQN de um terminal é constituido de quatro grupos de
digitos: (1) A DLU ou IDT {Integrated Digitai Terminal) (é um elemento
análogo a um armário de modems dentro de uma LAN), (2) número da
bandeja dentro da DLU, (3) número do módulo (que é uma placa de
circuito com vários circuitos ou portas) e (4) o numero do circuito (ou
porta) a que está ligado o terminal. [SIEMENS. Technical Terms
Glossary.

Federai Bureau of Investigastions

File Transfer Protocol - Protocolo de Transferencia de Arquivos.

Government Accounting Office

Identificação e Autenticação.

Abreviatura de Identificação.

Institute of Electrical and Electronic Engineers (Instituto de Engenheiros

Eletrônicos e Eletricistas),

Local Area Network (Rede de Computadores Local). Rede localizada

físicamente, na maioria dos casos, em um predio, com tamanho,
tecnologia de transmissão e topologia diferenciando-a das demais.

National Computer Security Center (Centro Nacional de Segurança em

Computadores).

Personal Identification Number (Número de identificação pessoal).

Software Engineering Institute ê uma instituição ligada à Universidade

de Purdue, e patrocinada pelos Departament of Defense, que visa
promover a melhoria das atividades ligadas ã engenharia de software
nos EUA.

Trusted Computing Base (Base Computacional Confiável).

Uniform Resource Locator identifica o endereço global de documentos e

 outros recursos na Tn remet.

WAN Wide-Area Network (Rede Remota de Computadores). Rede de

computadores que utiliza comunicação de longa distância na área não
abrangida pelas LAN.
GLOSSÁRIO
Esta seção tem como finalidade a definição de termos especificamente para este
trabalho. Alguns dos termos assumem significados mais abrangentes ou mais
completos, outros podem ter definições diferentes fora do ambiente de segurança
em informática e em outras disciplinas.

Acesso

1. Habilidade de se introduzir em área protegida. 2. Tipo específico de

informações entre um sujeito e um objeto que resulta no fluxo de informações de
um para o outro (Livro Laranja). 3. Processo de interação com um sistema ou
conjunto de informações.

Acesso remoto

Comunicação entre computadores e uma estação, um terminal, ou outro

dispositivo de conexão, que estão distantes e feita normalmente através de ligação
telefônica comutada.

Administração de segurança

As regras gerenciais e os controles suplementares estabelecidos para fornecer um

nível mínimo aceitável da proteção para dados.

Ambiente

Reunião de circunstâncias externas, condições e eventos que afetam o

desenvolvimento, operação e manutenção de um sistema (DoDj.

Ambiente de segurança aberta

Ambiente em que uma das seguintes condições é verdadeira: 1. Projetistas de

aplicações (inclusive pessoal de manutenção) não têm credencial suficiente para
garantir que não introduziram programa nocivo. 2. 0.14 controle de configuração
não oferece garantia suficiente de que as aplicações estão protegidas contra a
introdução de lógica maliciosa antes e durante a operação de aplicações do
sistema (DoD).

Ambiente de segurança fechada

Ambiente em que os projetistas de aplicações têm credenciais e autorizações
suficientes para fornecer indicação aceitável de que não introduziram lógica
maliciosa.

Aplicação

O mesmo que aplicativo ou sistema.

Aprovação/ Credenciamento

Autorização oficial concedida a sistema ADP para processar informações restritas

em seu ambiente operacional, baseada em avaliação abrangente do projeto do
hardware do sistema, firmware, e de segurança de software, configuração e
implementação, além de outros controles administrativos, físicos, de pessoal e de
segurança de comunicações.

Ataque {Attack)

O ato ou tentativa de ludibriar os controles de segurança de um sistema. Um

ataque com pode ser ativo, tendo por resultado a alteração de dados; ou passivo,
tendo por resultado a liberação de dados. O ataque sem sucesso pode acontecer
dependendo do nível de vulnerabilidade do sistema, da atividade em si ou da
eficácia das contramedidas aplicadas.

Auditoria

Revisão e exame de registros e das atividades do sistema, para confirmar sua

consistência e veracidade. Procedimento adotado nas auditorias tradicionais.

Auditoria de segurança de sistemas

Avaliação dos controles utilizados para garantir a proteção adequada dos bens de
informações de uma organização contra todas as ameaças ou perigos.
Procedimento que fornece também subsídios para a garantia de confiabilidade
operacional quanto à precisão e sincronicidade de todos os componentes do
sistema computacional.
Autenticação

Processo de estabelecer a legitimidade de uma estação da rede de computadores

ou de um usuário como pré-requisito da permissão de acesso ãs informações
solicitadas.

Autorização

Delegação concedida a uma pessoa ou um sistema automático pela

administração de segurança, permitindo que elas realizem transações ou
procedimentos e possam também repassar esta delegação.

Base computacional confiável ("Trusted Computing Base", TCB)

A totalidade de mecanismos de proteção dentro de um sistema computacional -

abrangendo hardware, software - cuja combinação é responsável por um
ambiente a uma política de segurança confiável.

Chave

Em criptografia, uma seqüência de símbolos usados para codificar ou decodificar

um arquivo. Pode introduzir uma chave em dois formatos: alfanumérico e
condensado (hexadecimal).

Código

1. Programa de computador. 2. (codificar) Criar programa de computador ou

converter dados para um formato próprio para operação de programa.

Comprometimento \Compro mise)

Uma violação da Politica de Segurança de um sistema de tal maneira que

divulgação desautorizada da informação sensível possa ter ocorrido.

Confiabilidade

A qualidade de produzir os mesmos resultados cada vez que o procedimento for

repetido com as mesmas entradas, implicando em rotinas de processamento
livres de defeito.

Confidencial

Um tipo de classificação para informações, que ao serem usadas por pessoa não
autorizada, causara danos a uma organização ou pessoa., l ó

Confidencialidade

Característica de ambientes computacionais em manter a informação

confidencial.

Conttoie de acesso (Access ControQ

Conjunto completo de procedimentos executados por hardware, software e

administradores, para monitorar o acesso, identificar usuários solicitando acesso,
registrar tentativas de acesso e conceder ou impedir acesso com base em regras
preestabelecidas.

Controle de acesso foiométrico

Qualquer meio de controlar acesso para um local através de medidas humanas,

como impressões digitais, impressões de voz ou determinação de padrões de
retina.

Covert Channeís

Covert channeís são canais de comunicação que utilizam entidades que não são
normalmente vistas como objetos de dados para transferir informações de ponto
para outro.

CPD

Centro de Processamento de Dados

Criptografia (ou Cifragem)

Processo de alterar as informações de arquivos ou programas, através de códigos,

chaves específicas, tabela de conversão ou algoritmo. Um dispositivo ou software
converte o texto para formato ilegível para quem não possui conhecimento dos
mecanismos de decodificação.

Defeito

1. Qualquer erro em um sistema ou processo automatizado, que permite o

contorno de medidas de segurança. 2. Erro de autoridade, omissão, ou de
imprudência que permite a passagem por mecanismos de proteção (TSEC -
Orange Book).
Detecção de intrusão {Intrusíon Detectíon)

A detecção de ataque por processos manuais ou através dos sistemas que operam
sobre os registros ou outra informação disponível na rede ou computador.

Disfarce

Ação considerada fraude onde uma pessoa se faz passar por usuário autorizado
para penetrar em sistema computacional.

Disponibilidade {AvaikxbiUty\

Aspecto de segurança que lida com a entrega tempestiva de informações e

serviços aos usuários. Um ataque na disponibilidade procuraria conexões de rede
e promoveria paralisações de sistemas.

Domain Nome

É um nome que identifica um ou mais endereços IP. Como exemplo, o nome de

domínio "abc.com" pode representar uma série de endereços IP. O nome de
domínio é usado nas URLs para identificar uma página web em particular.

Especificação

Identificação das características de determinado recurso de informática, que pode

ser um equipamento, um sistema ou um programa.

Ferramentas

Conjunto de programas de computador com finalidades específica. Por exemplo:

Gerenciamento de senhas; Gerador de caracteres, Gerenciador de Tráfego. Para
funcionarem exigem, na maioria dos casos, vários procedimentos de configuração
(parametrização, customização).

Firewo.il

Um sistema composto de software e hardware, que protege a fronteira entre duas

ou mais LAN.

Fraude

Qualquer exploração de sistema de informações tentando enganar uma

Organização ou pessoas, para tomar ou fazer mau uso dos seus recursos.
Funcionalidade

Comportamento normal de um sistema. Um sistema funcional exige:

confidencialidade, integridade, disponibilidade, autenticação e não repúdio.

Hacker

Estudioso das tecnologias, especialmente da informática, que utiliza boa parte de

seu tempo na aplicação de técnicas sofisticadas para conhecer, utilizar, dominar
ou modificar o funcionamento de programas e equipamentos.

Hacking

Uma tentativa desautorizada em alcançar informações de um sistema. Usado

Freqüentemente para referenciar a um hacker.

Identificação de usuário

É o processo peio qual uma pessoa se identifica no sistema como usuário válido.
Durante o processo de acesso, o usuário pode introduz número ou nome de conta
(identificação) e senha (autenticação), além de reconhecimento de características
biométricas.

Integridade

Exatidão e consistência de uma informação que pode estar submetida a processo

de manipulação por sistemas de informática.. 18

Login

Procedimento inicial de uma sessão em estação de trabalho ou computador em

que o sistema operacional ou aplicação pede ao usuário uma identificação.

Logoff

Terminar sessão de trabalho, iniciada com um login, através de algum

Procedimento simples que informa ao computador o fim da sessão.
Nível de segurança

Combinação de classificação hierárquica e um conjunto de Categorias não

hierárquicas que representam as restrições de acesso ás informações de um
sistema ou recurso computacional, por exemplo as classificações do Livro
Laranja.

Password

Também conhecida como senha, é formada por uma única palavra, ou seqüência
de caracteres, usada para autenticar uma identificação. Deve ser confidencial,
diferentemente da identificação do usuário.

Penetração

Em segurança computacional, uma tentativa bem sucedida e não autorizada de

acesso a sistema computacional.

Politica de Segurança

Conjunto de leis, regras e práticas que regulam como uma organização gerência,
protege e distribui informações restritas (Livro Laranja). Privacidade Direito de
propriedade de informações pessoais ou corporativas e, portanto, o direito de
determinar quem pode ter conhecimento destas informações e em que condições.

Proteção

Qualquer medida projetada para defender informações de ataques.

Risco

A probabilidade de se efetivar uma ocorrência de ataque relacionada com

ambientes computacionais.

Risk Assessment

Avaliação de ameaças, impactos e vulnerabilidades de informações e recursos de

processamento de informações e da probabilidade de sua ocorrência.
Tentativa e Erro

Procedimento em que alguma pessoa utiliza-se da repetição de um determinado

roteiro de teste para achar um resultado que não conhece a priori. Algum
indicador informará qual das repetições representa o resultado desejado.

Texto Claro

Texto ou informação escrita de forma a permitir a qualquer ser humano uma fácil
leitura. Normalmente na linguagem falada pelo próprio homem. É o oposto de um
texto criptografado.

Uso de Senha

O conhecimento da senha associado com uma identificação de usuário é

considerado prova para uso das capacidades associadas com o ID do usuário.

Usuário

Qualquer pessoa que interage diretamente com um sistema computacional.

Vulnerabilidade

Qualquer área não protegida (ponto fraco) que deixa o sistema aberto a ataque
potencial ou outro problema.
 10

"Ym ãtfãck u/texpectedly, causin}> oppomnts to hecome exhuusteÀjusi mmiagfcrfheir tives. You bum iheir suppüesandraze.
ihmrfields, cutiing offth&ir mpply routes. You appear ai cttUctá pktaes and utrihe whesi triey ieast exi^ecl ii, mukitig them have íogo (o lhe rescue."

(I Sun Tzu, The Ari afWar}

Os principaisjundamerHox que os Katados iém, lartto os ff«<*w o-omo os velhos ou vs mistos, são os boas leis e as boas armas,

(Nictoli) MaUüniaveÜi, O Príncipe)

São muitos os sinais de que o conhecimento tornou-se o recurso

económico mais importante para as organizações e para as nações. Os impactos
culturais que este paradigma irão causar na cultura humana só estão começando
a se fazer sentir.

Constitui temática recorrente na mídia a maneira como os vários

setores das sociedades industrializadas têm sido afetados pelas mudanças que o
acentuado desenvolvimento dos canais de distribuição da informação tem
experimentado a partir do último decênio.

Vários autores [Cas99][3VÍCT00][Ban94] têm se debruçado sobre esta

problemática, uma vez que os efeitos decorrentes deste fenômeno não encontram-
se restritos ás áreas do conhecimento afetas às tecnologias da informação, mas
percolam por todo o rol de disciplinas que em seu conjunto conformam os
preceitos a partir dos quais a nossa sociedade concebe seus mecanismos de
manutenção, reprodução e evolução.

Pode-se observar nas orientações apresentadas no "Livro Verde -

Sociedade da Informação'' preparado pelo Ministério da Ciência e Tecnologia
[MCT00] e no Relatório Bangemann [Ban94j que a Sociedade da Informação
apresenta-se como mais que uma expressão de modismo, representando um novo
substrato de ereção da sociedade e da economia nos anos vindouros. Uma vez
que a estrutura e a dinâmica dessas organizações inevitavelmente serão cada vez
mais afetadas pelo barateamento da produção e distribuição da informação, como
conseqüência do aprimoramento da infra-estrutura de comunicações que está
sendo disponibilizada em todo o planeta, percebe-se neste fenômeno elevado
potencial transformador das estruturas de produção.
 11

indo além da percepção das influências que os modernos canais de

veiculação da informação têm tido, um novo paradigma passa a tomar destaque
junto aos agentes sociais e econômicos: o valor intrínseco da própria informação.

As dimensões políticas e econômicas deste fenômeno, apresentadas de

forma mais detida por CASTELLS [Cas99], mostram-se acentuada como
decorrência das contribuições que a infra-estrutura de distribuição de
informações pode proporcionar para que as regiões sejam mais ou menos
atraentes para negócios e empreendimentos. Sua importância aparece analisada
a partir de uma abordagem interessante feita por DRUCKER [Dru99] quando este
faz um paralelo histórico assemelhando-a às estradas de ferro do século XIX e
como estas contribuíram para o sucesso econômico das localidades neste
periodo. Tal como exposto em [SÍ102], o nivel de concorrência que as empresas
passam a defrontar no mercado mundial torna obrigatório um novo padrão de
produtividade e qualidade, configurado pela combinação de ciência, tecnologia
avançada e grandes investimentos. Desta forma, as empresas passaram a
perseguir novos padrões de produtividade, o que implicou na mobilização e o
emprego do conhecimento como fator de transformação. Assim, pela primeira vez
na história da teoria econômica sobre o desenvolvimento, o conhecimento tornou-
se elemento explícito numa relação de causa e efeito.

Trabalhos de autores pertencentes a uma corrente de pensamento atual

[Ban94j[Cas99S[Las99j[Mor00][MCT00] comungam em um consenso de que na
conjuntura que se delineia, onde a economia tende a assumir feições globais, a
informação passa a ser considerada um capital precioso; equiparando-se aos
recursos clássicos de produção e formação de riqueza como população, matérias-
primas e capital financeiro; não só para as empresas mas também para os
interesses dos Estados.

A percepção da informação como o principal recurso para provimento

de uma competitividade efetiva surge como aspecto de relevância fundamental
para o significado que esta assume nessa nova realidade. A importância da
informação para as organizações sempre foi universalmente aceita . Constitui ela, 1

' Vide a importância de estar bem inrormado representou para os governantes e frações dominantes das sociedades, além de
comerciantes, desde a antiguidade.
 12

senão o mais importante, pelo menos um dos recursos cuja gestão e utilização
estão diretamente relacionados com o alcance dos objetivos desejados.

Ao expor o enunciado:

"The annual labour of every nation is the fund which originally supplies it wiih all ihe necessaries and
conveniences of life which it annually consumes, and which consist always either in ike immediate
produce ofthat labour, or in what is purchased wiih that produce from other nations."

Adam Smith [SmtOl] mostrou ter identificado que a riqueza não reside
na posse de "moeda" mas em "bens" os quais podem ser usados ou consumidos e
que sua origem (ou causa) reside no Trabalho.

Ainda mais à frente em sua obra ao enunciar:

"... everybody mast be sensible /about/ how much labour is facilitated and abridged by the
application of proper machinery"

o autor tocou em um ponto que somente após duzentos anos seria

melhor identificado e explicado: a utilização das tecnologias como fator de
multiplicação do trabalho humano.

Em 1987, SOLOW [Sol87] divulga um artigo onde apresenta a hipótese

original na qual o dito "paradoxo do crescimento* poderia ser explicado pela 2

presença do fator tecnologia na equação macroeconômica fundamental, o qual

possuiria a propriedade de multiplicar a participação da trabalho na produção.
Até então, o conhecimento era considerado variável exógena ã teoria econômica.

Após SOLOW vieram outros [Tri99][JS99] que, debruçando~se sobre o

tema, contribuíram para a elaboração de modelos econométricos sofisticados o
suficiente para explicar em quanto o emprego de tecnologias apropriadas pode ser
capaz de multiplicar de forma eficaz o trabalho humano, tornando cada unidade
de "produtos assim gerados mais baratos e por conseguinte serem consumidos
9

por toda a população e implicando, em última instância, no crescimento

econômico de toda a Nação . 3

1
Nota do autor
2
The Grow Paradox.
3
Ém [Man9S] e [JonOO] podem ser obtidas informações mais completas sobre o tema.
 13

Após discorrer sobre o mesmo tema, CASTELLS ¡Cas99¡ afirma que a

longo prazo a produtividade é a fonte da riqueza das nações, sendo que a
tecnologia, em sua acepção mais ampla, é o principal fator de indução ã
produtividade.

De fato, as Organizações e os Estados são os verdadeiros agentes do

crescimento econômico. Ao se comportarem dentro de um contexto histórico em
conformidade com um conjunto de regras de um sistema económico que premia
os mais eficazes, as empresas não buscam a produtividade em si mas são
motivadas pela lucratividade. Motivados, a seu turno, por um conjunto de valores
e interesses mais amplos, os Estados encontram-se voltados para a maximização
de seu poderio, tanto político quanto econômico, como força legitimadora de seu
grau de influência frente aos outros membros da comunidade internacional.

Assim, a competitividade seria, em síntese, o fator determinante da

inovação tecnológica. Ao mesmo tempo, ela determina a posição relativa entre os
concorrentes que buscam, na esfera política e econômica, adquirir maior poder de
barganha nos processos de negociação em que empresas e estados se encontram
dentro de um sistema interdependente [Cas99].

Na prática, as grandes mudanças que delimitaram etapas no processo

de evolução sempre contaram com o suporte da tecnologia, mas calcavam-se em
grande parte no empirismo, gerando um corpo de conhecimento estruturado em
um momento posterior. Agora, o domínio do conhecimento estruturado passa a
anteceder ao investimento, a criação de uma empresa ou a um grande negocio.

À medida em que o movimento de globalização avança, uma

contundente mudança cultural se afirma, e na qual o conhecimento se
transforma em "bem* de incomensurável valor.

As distintas fases da evolução humana sempre se basearam em

profundas mudanças culturais que se expressaram por novos comportamentos e
atitudes dos indivíduos e das sociedades. Como exemplo, as transformações
ocorridas entre os séculos XTV e XVII, marcadas pelo Mercantilismo e o
Renascimento, contaram com tecnologias "inovadoras"' da navegação, dentre
outros inventos rudimentares, mas que somente se potencializaram quando o
 14

advento do tipo movei para impressão, adotado Johann Gutenberg, em 1448,

possibilitou a multiplicação do conhecimento e alavancou um novo padrão de
comportamento na sociedade européia.

A revolução industrial, desencadeada em 1760, na Inglaterra,

viabilizou-se tecnicamente pela máquina a vapor, pelo tear mecânico e outros
instrumentos, mas aconteceu, de fato, em decorrência da mudança cultural,
representada pelo fortalecimento da burguesia, do êxodo rural e do conseqüente
nascimento da mão-de-obra operária.

A segunda revolução industrial, a partir de 1870, nos EUA, Japão,

Franca, Alemanha, Itália, Bélgica e Holanda, foi suportada por novas fontes de
energia, produtos químicos, como o plástico, o aço e, posteriormente pelo
paradigma da linha de montagem adotado inicialmente por Henry Ford.

Porém, a melhoria na qualidade de vida decorrentes dos frutos

produzidos pela sociedade industrial refletiu no crescimento demográfico, e na
necessidade de ampliar a oferta de emprego e, principalmente, na transformação
das sociedades e das nações, que começaram a abandonar o hermetismo,
redescobrindo o comércio exterior como fonte de novos mercados.

Agora, uma das mudanças culturais mais importantes impostas pelo

novo estágio do movimento de globalização é a valorização do conhecimento
revelando-o como elemento catalisador do novo padrão mundial de produtividade
e qualidade.

Aparece, porém, uma nova questão: como pode ser definida a

Tecnologia em última instância, ou melhor dizendo: Como definir Tecnologia?

Adotando o conceito de Tecnologia esposado por CASTELLS [Cas99]:

"... o uso de conhecimentos para especificar as vias de se fazerem as coisas de uma maneira
reproduzível..."

entende-se que não se pode falar de Tecnologia sem recorrer ao conceito

de Conhecimento.

Uma definição mais filosófica do termo Conhecimento pode ser

encontrado em MORIN [Mri86], que o define como o resultado final de três etapas
do entendimento da realidade:
 15

• Tradução de percepções em um sistema de símbolos capaz de

veicular informações percebidas subjetivamente

• Construção de sistemas cognitivos a partir da articulação de um

conjunto de informações jã adquiridas

• Solução do problema cognitivo da adequação da construção de um

modelo racional e simplificado da realidade que se deseja conhecer.

Assim, podemos perceber a informação como eíemento estruturador do

Conhecimento, o qual permite ao seu detentor atuar sobre os elementos
constitutivos da Realidade ou adaptar-se da melhor forma a esta, em função da
consecução de seus objetivos.

O valor do conhecimento reside na sua capacidade de guiar e sustentar

construção de diferenciais vantajosos entre agentes competidores na utilização
mais eficiente dos recursos disponíveis dentro de um ambiente limitado.

Na economia informacionai, a produtividade e a competitividade dos

agentes cada vez mais dependem de sua capacidade de gerar e aplicar
conhecimentos construídos com base em informações (Cas99J.

Uma vez que as evoluções das tecnologias de produção,

armazenamento, recuperação e distribuição de informações permitem a estes
agentes interagirem mais rápido e de forma mais eficaz, a produção do
Conhecimento pelas Organizações e Estados passa a ser cada vez mais dinâmica.
Como corolário deste fenômeno tem-se uma competição cada vez mais acirrada
entre os mesmos.

Voltamos então ao início de nosso raciocínio onde percebe-se a

informação ( por conseguinte o Conhecimento) ganhando lugar de destaque entre
os valores patrimoniais das organizações.

Contudo, para ser entendido como ativo valorãvel, o acervo de

informações de uma organização deve possuir alguns atributos que tornem o
valor deste acervo perceptível aos seus detentores.

Dentre estes atributos, alguns são fundamentais para que estas

informações sejam percebidas como valiosas, devendo inicialmente abranger todo
 16

o portifólío de produtos e serviços produzidos pela organização. Ao mesmo tempo

devem ser confiáveis e precisas ao serem transferidas entre emissor e receptor
por intermédio dos sistemas de informações.

Entendida como instrumento de vantagem competitiva, diferencial de

mercado e de lucratividade, a informação tem sido vista como um recurso
estratégico da organização no apoio ao processo decisório.

Contudo o valor da informação para as organizações encontra-se

atrelado a fatores como a oportunidade, quantidade e qualidade da sua
disponibilização, o que depende do tempo de resposta do sistema e as relações de
custo beneficio e custo efetividade das mesmas.

Um ponto crítico para as organizações tem sido a dificuldade com que

estas se deparam na obtenção de informações fidedignas e na conformação de
rotinas que suportem uma tomada de decisão eficaz. Assim, eficácia destas
decisões manifesta-se no atendimentos dos objetivos da organização, os quais
constituem a expressão dos anseios de seus controladores.

Assim, a sobrevivência organizacional implicaria em um processo de

tomada de decisões orientado para o atendimento das demandas de seus
controladores e clientes, buscando ainda adiantar-se aos movimentos dos
concorrentes ao mesmo tempo em que deve neutralizar as ações dos mesmos.

Neste contexto, o desafio consiste na construção de ferramentas

sistêmicas que os habilitem a tratar complexidades e atender âs atuais demandas
do mercado em que atua. Sistemas de tratamento de informações com estas
características passam a ser nevrálgicos para as organizações e devem portanto
ser revestidos de atributos como segurança, confiabilidade e robustez, para que
sua integridade possa ser assegurada.

Observado este quadro, pode-se entender que constituindo a

informação, entendida sob as mais diversas formas, o " b e m ' mais precioso das
organizações a mesma também passa ser valiosa para outros que então irão
tentar dela apropriarem-se. Mesmo que tais bens* caracterizem-se pela sua
a

imaterialidade, tal atributo não invalida, mas reforça, a necessidade de que tais
 17

^bens" sejam adequadamente guardados para que os mesmos possam preservar

o seu valor.

Os reíatos de incidentes concernentes a acessos não autorizados a

sistemas de informação e sabotagem de sistemas remontam aos anos 60 [Kuo74j.
Entretanto naquela época como não haviam redes de computadores dotadas de
capilaridade e com capacidade de transmissão equivalentes às atuais, a adoção
de medidas de restrição de acesso físico eram suficientes para garantir a
integridade e a confiabilidade dos dados [Kuo74].

Entretanto, com o uso intensivo das redes de computadores e a

liberação do uso da Internet para fins comerciais, o número de incidentes
envolvendo atividades fraudulentas, espionagem, sabotagens e outras atividades
lesivas aos detentores destas informações subiu drasticamente.

À medida que as organizações modernas aumentam sua dependência

dos sistemas automatizados de tratamento de informações, as conseqüências dos
crimes que envolvem tais sistemas tornam-se potencialmente mais graves.
Existem hoje relatos documentados de ataques contra sistemas de controle de
trafego aéreo, sistema financeiro, sistemas militares e empresas privadas dos
mais diversos ramos de negócios [Den98][Nun99]. Os indicadores mais freqüentes
das Nações Unidas indicam que no período de 1998-99 os crimes relacionados a
sistemas de computação custaram as empresas americanas algo em torno de
US$ 216 bilhões JNun99]. Outros estudos [ASI99| indicam que as 1000 maiores
empresas selecionadas pela Fortune em 1999 totalizaram perdas da ordem de
US$ 45 bilhões com furtos de informações privilegiadas.

Devido aos danos potenciais, os crimes relacionados a sistemas de

informação têm atraído nos últimos anos a atenção de governos, organizações
não governamentais jCSIOI], organismos internacionais e a própria Nações
Unidas [Nun99].

Desta forma, torna-se cada vez mais relevante, para as organizações a

proteção dos sistemas de informação contra a negação de serviço a usuários
autorizados, assim como contra a intrusão, e a modificação desautorizada de
dados ou informações, armazenados, em processamento ou em trânsito,
 18

abrangendo, inclusive, a segurança dos recursos humanos, da documentação e

do material, das áreas e instalações das comunicações e computacional, assim
como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a
seu desenvolvimento.

Para as organizações a tecnologia, cada vez mais, torna-se uma variável

critica e os gestores não podem se furtar ã necessidade de encarar o risco
tecnológico sob a mesma óptica com que encaram os riscos de crédito e mercado.
Trata-se de uma questão de continuidade de negócios.

A eventualidade das interrupções do processamento da informação, ou

a degradação nos sistemas de informação fazem parte da rotina dos órgãos
ligados à tecnologia da informação de qualquer empresa, seja ela financeira ou
não. Quando tais eventos são programados, sua ocorrência visa atender a
necessidades ocasionais da própria organização.

Entretanto, paradas e degradações não programadas constituem

eventos que podem ter impactos catastróficos. As falhas de hardware e/ou
sistema operacional, conflitos de aplicações; sabotagem; desastres (incêndio,
inundação e t c ; falha humana; corrupção de dados; vírus etc. Tais eventos
causam maior impacto por apresentarem maior dificuldade de identificação e
recuperação. O seu custo é proporcional ao valor da informação afetada e ao
volume de negócios interrompidos pelo evento. Dependendo da situação, a
recuperação da estrutura operacional pode levar algumas horas e, em alguns
casos, podem afetar não só a própria empresa como também aos seus eventuais
parceiros.

Dada a sensibilidade das tecnologias relacionadas ao tratamento da

informação os riscos que eventos desta natureza acarretam para continuidade de
seus negócios não são desprezíveis. Um estudo feito pela Universidade do Texas
com empresas que sofreram uma perda catastrófica de dados concluiu que 4 3 %
jamais voltaram a operar, 5 1 % faliram em dois anos e apenas 6% sobreviveram.
Entre as empresas vítimas do primeiro atentado a bomba no World Trode Center,
 19

50% das que não possuíam um piano de contingência faliram em menos de 2

anos . 1

Na atualidade, seja nos países centrais, seja no Brasil, se os diretores

ou vice presidentes de sistemas forem questionados sobre a qualidade dos
atributos de segurança dos seus sistemas de informação,, a resposta será a de
que os sistemas são protegidos na medida do necessário.

O Computer Sciences Consortium - CSC conduziu estudos junto a

executivos ligados à administração de sistemas em todo o mundo . Inicialmente o 2

estudo mostrou que os sistemas de informação das organizações ainda

apresentam-se porosos frente aos ataques onde tais sistemas são os alvos.
Entretanto, ainda segundo o relatório do CSC, vários dos dirigentes ligados à
administração dos sistemas de informação não consideram as práticas e políticas
de segurança de sistemas como tendo alta prioridade em suas organizações.

Entretanto o mesmo estudo apresenta um adendo onde as mesmas

questões são submetidas aos mesmos entrevistados após os incidentes de 11 de
setembro de 2001. Neste novo estudo, 4 6 % dos entrevistados responderam não
haver em suas organizações nenhuma politica formal de segurança de
informações; 5 9 % afirmaram não possuir nenhum programa formal de orientação
dos esforços voltados para segurança da informação; e 68% dos entrevistados não
possuíam um plano regular de análise de riscos de seus sistemas.

Ainda segundo os resultados da pesquisa, apesar do crescente número

de assaltos tecnicamente complexos, varias organizações ainda consideram a
segurança da informação como sendo de responsabilidade exclusiva das áreas de
TI ao mesmo tempo em que tais organizações não encontram-se adequadamente
preparadas para suportar os potenciais impactos de um evento desta natureza, e
de grandes proporções, na operação geral de seus negócios.

Contudo, incorre em erro mortal aqueles que, ao pretenderem tratar da

segurança de seus sistemas de informação, tem como foco primário de suas
atenções os "vírus", os hackers e outros tipos de ameaças externas à organização.

1
BANCO HOJE, março de 2 0 0 1 , p. 63)
2
CSCs I4th Annuat Criticai tssues ot Information Systems Study. Agosto ae 20ÜÍ.
 20

Ainda que os agentes externos à organização constituam uma ameaça e que os

"vírus* sejam reais, estudos têm reveiado que vários dos casos de perda de dados
não são decorrentes de "infecção virótica" ou decorrentes de atos de vandalismos
contra computadores . Dcsalcntadoramente, 8 8 % dos casos de perda de dados
1

reportados foram decorrentes de elisões acidentais ou outros erros de uso,

enquanto que somente 3 % dos casos foram considerados como decorrentes da
ação de vírus.

O relatório ainda aponta que em 2 9 % dos casos, os usuários passaram

a adotar procedimentos para evitar perdas acidentais de dados por erro de uso.
Entretanto, 7 1 % dos entrevistados reportaram ter causado perdas de dados mais
de uma vez. Destes últimos, 2 4 % responderam ter causado até 6 episódios de
perda dc dados.

Pode-se imaginar que adotar a rotina de backup diário pode ser a

solução para esta classe de problemas. Entretanto o mesmo relatório indica que
dentre as empresas que realizam rotinas dc backup diariamente, uma fração de
50 a 8 0 % dos usuários não consegue recuperar os dados perdidos totalmente.
Existe a premissa, nos processos de backup, que tanto o hardware quanto o meio
de armazenamento estão operando de forma adequada e que os dados não
encontram-sc corrompidos e que em caso dc necessidade as cópias de segurança
recentes serão capazes de prover a piena recuperação dos dados.
Lamentavelmente isto não se mostra verdadeiro na maioria dos casos.

Mesmo que as rotinas voltadas para a segurança de dados mostrem-se

ainda incipientes c que perdas dc dados ocorram e que os níveis diretivos das
organizações tenham recentemente começado a sc dar conta de quão valiosas são
as informações proprietárias de uma organização, a constatação da relevância
que os "ativos ínformacionais" tem ganho é algo inexorável.

Objetivos
O objetivo deste trabalho consiste em constatar a realidade da
segurança dc informações que se vive nas empresas de telecomunicações

5
Daía Joss in perspective. NetAiert. (online]. 20setembro 1SQ9. vol 2 n" 3 [12/10*2001].
<htip:/^w.bac«rte.com.au/netiaiertAíOfuiTie2_fâsue4.html>
 21

brasileiras e confrontá-las com uma referência teórica que, sendo capaz de

explica-las, possa vir a ser útil no entendimento dos fenômenos de segurança de
informações cm outras organizações.

Plano de Trabalho
Neste trabalho serão explorados, inicialmente, os aspectos relativos ao
valor da informação, buscando dissertar sobre a utilidade da informação para as
organizações. Serã feita uma classificação dos tipos de valor que lhe podem ser
atribuídos, buscando referências que possam sugerir métricas de mensuração
destes valores dando especial atenção ao seu valor econômico.

Entendidos estes conceitos, será desenvolvida uma discussão dos

sistemas taxonómicos existentes, voltados para a classificação dos ataques a que
Sistemas de Informação (SI) podem estar expostos.

Face a estas discussões, será proposta uma abordagem alternativa para

interpretação dos incidentes de segurança de sistemas, baseada nos princípios da
teoria dos sistemas. Esta abordagem alternativa adotará o entendimento onde os
elementos essenciais para a leitura dos incidentes de segurança seriam o
Homem, as Organizações e a Tecnologia.

Por fim, deseja-se aplicar esta abordagem na interpretação de casos de

auditoria de sistemas e confrontá-la com casos práticos a serem vivenciados no
âmbito de uma operadora de telecomunicações atuante no mercado brasileiro.

Metodologia
Será conduzida neste trabalho uma pesquisa exploratória com a
finaüdade de levantar a realidade vivida pelas empresas de telecomunicações
brasileiras no que se refere ã segurança de seus sistemas de informações.

Neste trabalho, a pesquisa envolveu: a) levantamento bibliográfico; b)

entrevistas com pessoas que tiveram experiências práticas com problema da
segurança de sistemas de informações em empresas de auditoria e em empresas
de telecomunicações; e c) análise de casos vivenciados dentro de uma empresa de
telecomunicações brasileira. Através desta pesquisa buscou-se a possibilidade de
se desenvolver um estudo interessante, sobre esta temática.
 22

A pesquisa bibliográfica procura explicar um problema a partir de

referências teóricas publicadas em documentos. Pode ser realizada
independentemente ou, também, como parte da pesquisa descritiva ou
experimental, quando é feita com o intuito de recolher informações e
conhecimentos prévios acerca de um problema para o qual se procura resposta
ou acerca de uma hipótese que sc quer experimentar. Em ambos os casos, busca
conhecer e analisar as contribuições culturais ou científicas existentes sobre um
determinado assunto, tema ou problema.

Buscou-se na pesquisa bibliográfica abranger a bibliografia referente à

segurança de sistema, incluindo publicações avulsas, boletins, jornais, revistas,
livros, pesquisas, monografias e teses em sua maioria disponíveis na internet.

Dada as facilidades possibilitadas pelo exercício profissional, foram

entrevistados, ao longo do período em que se desenvolveu este trabalho, vários
profissionais ligados às áreas gerenciais, operacionais e de auditoria de
operadoras de telecomunicação atuantes no país.

Ao mesmo tempo, foram desenvolvidas atividades voltadas para a

auditoria de sistemas de informação, algumas delas planejadas mas outras
decorrentes de denúncias de fraudes ocorridas nas organizações estudadas.

Para atender este planejamento, foi realizado um levantamento de

referências sobre o tema, o qual segue ao final deste documento. Dada a
atualidade do tema e as suas características, a maior parte das referências
indicadas reside em portais presentes na Internet. Este levantamento buscou ser
exaustivo ao longo do período em que se desenvolveu este trabalho. Desta forma,
buscou-se ter em consideração todos os trabalhos recentes sobre incidentes
relativos a sistemas de informação e seus componentes, isto visou garantir
conhecer as mais atuais linhas dc estudo sobre o assunto, quais autores e
institutos têm se destacado nesta seara e entender, por fim, em que ponto os
estudos sobre o tema conseguiram chegar ao tentar explicar os fenômenos desta
natureza.
 23

PARTE 1 - UMA REVISÃO DE

CONCEITOS
Neste capitulo será apresentada uma revisão dos conceitos e
paradigmas existentes sobre a segurança dos sistemas de informações que
possam contribuir para o desenvolvimento deste trabalho.

Buscando enfocar em que estágio encontram-se estes conceitos e que

metáforas estão sendo modernamente adotadas, inicialmente será feita uma
breve retrospectiva dos refinamentos mais significativos, registrados nos últimos
40 anos, relativos aos vários aspectos da segurança de sistemas, culminando nos
eventos recentes que representam a tônica dos estudos sobre segurança de
sistemas de informação na atualidade.

Os conceitos sobre o que vem a ser Segurança de Sistemas e a

discussão sobre os trabalhos existentes serão feitos na primeira parte. Na
segunda parte serão discutidas as definições e requisitos necessários para um
sistema taxonómico.

A intenção é que ao final deste estudo seja possível eleger os trabalhos

que melhor podem subsidiar a construção nas etapas seguintes do ponto de vista
sob o qual intenta-se observar o problema da segurança de sistemas nos limites
deste trabalho.

Entende-se que a adoção de conceítuações claramente definidas para

aspectos chaves do tema em estudo constitui ""a pedra de canto" tanto para a
elaboração de uma taxonomía efetiva para uma boa classificação de incidentes de
segurança de sistemas quanto para a posterior análise dos vários modelos de
políticas de segurança existentes e a elaboração de uma abordagem capaz de
subsidiar a elaboração de políticas de segurança para as empresas de
telecomunicações que hoje atuam no Brasil.

Esta premissa, j á adotada em outros trabalhos [KST98], revela a

necessidade do desenvolvimento e validação dos princípios norteadores das
políticas de segurança antes do desenvolvimento das mesmas. Partindo deste
 24

entendimento a especificação de políticas de segurança e a compreensão dos

impactos destas sobre todo o sistema de tratamento de informações são
sobremaneira facilitados [KST98]. Em outras palavras, a clara definição e
percepção destes principios é fundamentai para o estudo dos modelos de
segurança informacional adotados, a análise das vulnerabilidades destes
sistemas e o desenvolvimento de mecanismos de segurança. Vale ressaltar que o
1

conceito de segurança só tem sentido quando se tem claro o que pretende-se

proteger, de quem proteger, o nível de proteção desejado e quem pode ter acesso.
Deve-se observar que a dimensão temporal (e obsolescência tecnológica) permeia
os aspectos citados e sua presença deve ser considerada nesta perspectiva, na
sua justa medida, sob pena de se deparar com uma política de segurança que se
mostre impraticável ou se torne anacrônica em pouco tempo. Carecendo deste
entendimento, muitas políticas tornam-se de difícil redação, ambíguas e de difícil
entendimento [Krs98].

1
O conceitos de Mecanismos, aqui, abrange os aspectos procedimentais da organização.
 25

"When eight peopte m a gamge xottie&ftem cart uihe markei xh&re.from a company tike /fifcr.
ihen kmiwledge <x <i factor tfpnrfuciiort much greater thatt ktnd, kibor, and capital."

Ijiumncv PruMik

Apesar de já existir um consenso quanto ao fato de que a informação

possua u m valor para as organizações, tal como outros recursos identificados na
teoria econômica clássica [Man98], a mensuração de seu valor constitui ainda um
problema de difícil solução [MorOO]. As particularidades intrínsecas à natureza da
informação [MriSó] tornam, até o momento, difícil a sua expressão em termos
econômicos. Tais dificuldades deixam os gestores das organizações sem
parâmetros para dimensionar quanto deve ser investido na gestão das tecnologias
da informação e na segurança da informação, uma vez que nestas situações os
modelos de investimentos tradicionais não mostram-se aplicáveis.

Segundo j MorOO j , a informação teria duas finalidades dentro das

organizações: são valiosas para prover o conhecimento dos ambientes interno e
externo às organizações; e para subsidiar as decisões de intervenção nestes
ambientes. Ainda em jMorOOj seria possível derivar uma classificação da
informação em função dos impactos que ela pode causar nas atividades das
organizações: Informação Crítica, Mínima, Potencial e Sem interesse.

; Informação sem interesse ]

; Informação Potencial

I • informação Mínima j \ •

) Informação Crítica • 1
\ Sobrevivência da \
Organização

[ Gestão tia Organização i

Vantagem Competitiva

LiXO

Figura 1
 Para {MorOQj, os esforços empreendidos por uma organização deveriam
priorizar a busca e a manutenção de informações crítica, mínima e potencial. Em
relação ã informação sem interesse, o esforço seria no sentido de evitar o
desperdício de recursos na sua obtenção. Contudo, a classificação de uma dada
informação, em particular, em uma destas classes mostra-se um problema de
difícil resolução prática.

Para minimizar dificuldades na classificação, é imprescindível

compreender o princípio do valor da informação. No contexto de uma
organização, a informação deve atender às necessidades dos diversos níveis
administrativos. Nesse caso, a arquitetura de informação de uma organização
compreende a seguinte tipologia [MorOOj:

• Informações que possibilitam observar as variáveis presentes nos

ambientes externo e interno, com a finalidade de monitorar e avaliar
o desempenho, o planejamento e as decisões estratégicas

• Informações que permitam observar as variáveis relevantes no

ambiente da organização, monitorar e avaliar seus processos, e
elaborar planejamento e subsidiem a tomada de decisão gerencial

• Informações que possibilitam a execução das tarefas rotineiras,

monitorar o desenvolvimento destas atividades operacionais.

Para admitir que a informação possua valor, é preciso definir

parâmetros capazes de quantificá-lo. Usualmente isto é feito com base em juízos
de valor, que, apesar de serem indefinidos, consideram que o valor varia de
acordo com o tempo e a perspectiva.

Sob esta perspectiva, o valor da informação pode ser classificado nos

seguintes tipos [MorOOj:

• Valor de uso: baseia-se na utilização final que se fará com a

informação

• Valor de troca: é aquele que o usuário está preparado para pagar e

variará de acordo com as leis de oferta e demanda, podendo também
ser denominado de valor de mercado
 27

• Valor de propriedade, que reflete o custo substitutivo de um bem

• Valor de restrição que surge no caso de informação secreta ou de

interesse comercial, quando o uso fica restrito apenas a algumas
pessoas.

Dentro das abordagens freqüentemente adotadas não tem sido possível

quantificar o valor da informação em bases monetárias. Por ser a informação,
abstrata e intangívei, o seu valor estará atrelado a um complexo. Os valores de
uso e de troca da informação dependerão de sua utilidade para um certo grupo
de entidades, o que pode levar à estipulação de uma provável equivalência
monetária.

São vários os exemplos a mostrar que uma empresa manifestará

interesse em informações concernentes ao seu ramo de atividade. Dependendo
dos recursos de que disponha, esta empresa irá mobilizar mais ou menos
esforços na busca sistemática de informações relevantes. Tais informações serão
utilizadas na determinação de indicadores de tendência e fundamentarão
decisões sobre os investimentos a serem realizados. Tal aplicação, aos olhos desta
empresa, imprimem valor de uso e de troca a estas informações. Uma vez que, a
partir delas, a empresa poderá obter vantagens competitivas, frente aos seus
concorrentes, estas informações assumirão um valor de restrição, para que se
possa preservar o sigilo da aplicação.

Nos casos de organizações sem fins lucrativos, a busca e a manutenção

de informações pode não implicar na intenção de exploração ou de uso com fins
econômicos. No entanto pode constituir um fator de legitimação de sua existência
como instituição.

Entretanto, no escopo deste trabalho, tem-se a organização decisora

como úominio de estudo e que introduz questões a respeito da determinação do
valor da informação relacionado ao seu papel no processo decisório. Parece ser
intuitivo que a determinação do valor da informação surja como um corolário
natural do uso desta como um insumo da tomada de decisão. Entretanto, ainda
que a informação adquira valor com base em sua significância para a tomada de
 26

decisão, esta mesma informação possui o atributo de agregar valor a outras

atividades relevantes nos processos organizacionais.

A informação usada como insumo que permita aos vários agentes obter
ganhos econômicos, seja na utilização de recursos escassos seja na melhoria dos
processos produtivos, não se enquadraria como subsidio para tomada de decisão.
No entanto possuiria valor ao ser vista como tecnologia, a qual SOLOW [Sol87],
atribuiria a propriedade de multiplicar a participação do trabalho na produção.

A percepção do valor não acontece apenas na demanda por produtos de

consumo, mas atinge todas aquelas instituições e empresas que fornecem algum
tipo de produto ou prestam serviços. Neste universo, podemos incluir o governo, o
setor de educação, as organizações sem fins lucrativos, os sistemas de
informação etc.

Da mesma forma, a informação terá valor econômico para uma

organização, se ela gerar lucros ou for alavancadora de vantagem competitiva.
CRONIN (1990) afirma que, de modo geral, a percepção de valor pode ser
influenciada pelos seguintes fatores:

• Identificação de custos

• Entendimento da cadeia de uso

• incerteza associada ao retorno dos investimentos em informação

• Dificuldade de se estabelecerem relações causais entre os insumos

de informação e produtos específicos

• Tradição de se tratar a informação como uma despesa geral

• Diferentes expectativas e percepções dos usuários

• Fracasso em reconhecer o potencial comercial e o significado da

informação.

Ê importante reconhecer, entretanto, que poucas decisões são tomadas

com informação perfeita, devido a alguma insuficiência de informação e/ ou uma
sobrecarga de informação desnecessária [Sim47j. O valor da informação seria
 29

função do efeito que ela tem sobre o processo decisório. Assim, ela só terá valor,
na medida em que contribua significativamente para uma melhor decisão.

A figura 2 sintetiza estes aspectos, mostrando que uma mesma

informação poderá ter valor diferenciado, dependendo do contexto da
organizações.
O valor da informação depende ck> contexto da organização

Figura 2

Extraída de MORESI [MorWJ

Como conseqüência, o valor da informação poderia ser traduzido em

uma equação que contenha todos os fatores que influenciam a avaliação de valor
da informação [MorOO]. Assim, a função valor da informação teria como
parâmetros o usuário da informação; a utilidade da informação; e os resultados
esperados.

Nos níveis estratégicos das organizações, a informação desejada é a que

contenha um alto valor agregado, para que se possa obter uma visão mais
completa da situação. Já nos níveis gerenciais, a necessidade é de informação de
baixo valor agregado, que possibilite o desempenho das tarefas rotineiras.

A informação, até este ponto foi vista como um insumo para as

organizações. Entretanto, a informação pode assumir ares de produto fornecido
por algum agente ( organizações ou pessoas) a outros. Conceitualmente, Produto
seria qualquer coisa que possa ser oferecida para aquisição ou consumo,
 30

podendo ser tangível ou intangível. Os serviços constituem uma classe de

produtos intangíveis, que proporcionam a satisfação, realização de desejos,
necessidades e resolução de problemas de uma pessoa, de grupo de pessoas ou
de uma organização. No caso da informação como produto, esta "cesta* poderá
compreender elementos tangíveis (documentos, relatórios etc.) e intangíveis
(indexação, recuperação etc.) relacionados ao produto informação.

No contexto deste trabalho, em que se foca a segurança dos sistemas de

informações no âmbito de uma organização, o valor das informações oferecidas
por estes sistemas, pode ser percebida pelos seus usuários, pela qualidade dos
produtos por ele fornecidos. Buscando mensurar este valor pode-se adotar quatro
fatores relevantes qualificados em [MorOO]:

• Qualidade da informação - Qoí

(integridade, Confidencialidade, Disponibilidade)

• Variedade de formas de veiculação da informação

• Custo de aquisição da informação

• Tempestividade e Oportunidade da informação fornecida.

A percepção do valor deste sistema de informação (VoS) residiria

[MorOO] na capacidade deste disponibilizar, â organização, todos estes fatores
simultaneamente. A equação metafórica, apresentada na Figura 3 tenta traduzir
esta percepção de valor.

A função de valor da informação

(Ool, Variedade de Formas de Apresentação)

, Vola — — — —
(Custo, Tempo de Resposta)

Figura 3

Assim, o valor do sistema estaria condicionado ã maximização do

numerador e à minimização do denominador. A tarefa de quantificar o valor
destes produtos não é trivial. Alguns atributos que devem ser considerados são
[MorOO]:

• Exatidão ou Grau de Erro da informação

• integridade da informação
 31

• Conveniência ou Relevância da informação

• Clareza ou a medida de quanto a informação estã livre de

ambigüidades

• Oportunidade ou disponibilidade da informação no momento

necessário

• Tempestividade ou tempo decorrido entre a solicitação e a

disponibilização da informação

• Acessibilidade ou a facilidade com que a informação pode ser obtida.

Neste sentido, a informação tratada e armazenada nestes sistemas deve

atender, necessariamente, às demandas da organização. Ainda, com base na
análise da equação acima, percebe-se que custo e qualidade mostram-se como
fatores interdependentes. Desta forma, optar por cortes nos custos pode levar a
organização a ver comprometida a qualidade de seus sistemas.

Qualidade é um conceito multidimensional que se realiza por meio de

um conjunto de atributos ou características [MorOO]. Mesmo não podendo ser
definida universalmente, pode ser definida para itens em particular. Neste caso,
pelo conjunto de atributos do Sistema de informação. Assim, qualidade dos
sistemas de informação é um conjunto de propriedades a serem atendidas, de
modo que o sistema satisfaça as necessidades de seus usuários [MorOO].

Uma das primeiras tarefas ao avaliar um sistema de informação é a

identificação dos custos a ele relacionados. Tais custos podem ser analisados
quantitativa e qualitativamente. A análise quantitativa avalia os custos relativos à
implantação e à manutenção do sistema de informação. O primeiro refere-se a
todas as despesas relativas ao planejamento, desenvolvimento e implantação de
um sistema de informação. O outro será responsável pela manutenção do
funcionamento do sistema durante todo o seu ciclo de vida. Estes tipos de custos
podem ser identificados como aqueles que não agregam valor ao sistema.

Já a análise qualitativa visa identificar a contribuição proporcionada

por estes sistemas, face aos resultados almejados pela organização. Esta análise
mostra-se essencial para justificar a existência do sistema. Entretanto esta
 32

análise não se mostra completa sem a identificação dos benefícios esperados ou

proporcionados pelos sistemas. A utilidade e a necessidade dos sistemas de
informações organizacionais só serão percebidas se os benefícios decorrentes de
sua existência puderem ser quantificados e considerados relevantes. Caso
contrário, a implantação ou a permanência destes sistemas não se justificará
perante as expectativas da organização.

Ainda em relação aos benefícios, o ideal é que os mesmos possam ser

calculados e que possa ser demonstrada sua contribuição para os objetivos da
organização. Neste caso, se os ganhos proporcionados pela informação adicional
for maior que os custos necessários para obtê-la e mantê-la, a sua obtenção terá
seu custo justificado [Man98].

Entretanto, dificilmente tais beneficios podem ser mensurados. A

dificuldade em avaliá-los é um dilema particularmente surpreendente, uma vez
que existe uma tendência de se procurar ou receber mais informação que o
necessário [MorOO].

Uma vez analisado o valor da informação e do sistema de informação

sob a perspectiva de uma organização, merecem destaque alguns pontos
relevantes. O valor da informação parece ser uma função do contexto da
organização, da finalidade de utilização, do processo decisorio e dos resultados
esperados. No âmbito dos processos organizacionais, a informação não possui a
mesma relevância para todos os níveis, revestindo-se de significância quando
observada por níveis hierárquicos distintos. Os escalões estratégicos necessitarão
de informação de alto valor agregado, mas que se apresenta pouco estruturada,
visando obter uma visão ampla do contexto em que a organização se insere. Nos
níveis operacionais, a informação de baixo valor agregado, porém j á bem
estruturada, é aquela necessária para o desempenho das tarefas rotineiras.

Indo além da informação pura, é importante ressaltar os fatores

relevantes na percepção do valor de um sistema de informação para uma
organização. Em suma este sistema deveria apresentar os seguintes atributos:

• Variedade de produtos e serviços disponibilizados por estes sistemas

• Confiabilidade e Precisão das informações fornecidas

 33

• Oportunidade, quantidade e qualidade na disponibilização da

informação

• Tempo de resposta do sistema

• Suporte proporcionado aos processos rotineiros e aos processos

decisórios que ocorrem dentro da organização

• Apresentar uma relação custo-beneficio que justifique sua adoção e

sua manutenção

Embora o caráter propedêutico deste capítulo, tentou-se aqui expor

algumas idéias que ressaltem tanto o valor da informação para as organizações
tanto quanto dos sistemas de tratamento destas informações no seio das
organizações. Entretanto, por ser incipiente, a análise apresentada peca por não
abordar outros aspectos que seriam relevantes ao considerar com mais
profundidade as interpretações econômicas e psicológicas existentes sobre o
papel da informação como produto {latu sensu] passível de ser consumido e como
insumo na geração da riqueza, não só para as empresas com fins lucrativos, mas
também para as nações.
 34

CAPÍTULO 2
CONCEITOS DE SEGURANÇA DE
SISTEMAS DE INFORMAÇÃO
O primeiro passo no desenvolvimento de um estudo voltado para a
classificação de incidentes de segurança é a definição do que vem a ser
Segurança de Informações. Muitos autores [Amo94] [LBM^94] [Coh95J [BiB96]
[How97] realizaram trabalhos examinando definições alternativas para Segurança
de Informações.

O tema segurança de sistemas de informação m o s t r a s e atualmente

como um fértil campo de estudos. Porém quando observadas as práticas da
maioria das organizações, fica patente que estas não conseguem ir além da
retórica.

Excetuando algumas empresas do sistema bancário, o que se percebe

da leitura dos casos estudados de forma sistemática e dos que são reportados
pela imprensa é que o assunto não tem merecido os cuidados devidos por parte
das organizações.

Uma das causas deste fenómeno parece residir na falta de percepção

por parte dos gestores do valor que os sistemas de informação apresentam para
as organizações. É certo que quando inquiridos sobre o assunto, em geral afirma-
se que a segurança dos sistemas corporativos é algo importante, porém o
discurso dificilmente passa da referencia a supostos projetos de implantação de
ações e políticas de segurança que não se sabe quem está conduzindo ou em que
punto se encontra.

O fator determinante deste descompasso entre os discursos e as

práticas parece residir na dificuldade que aparece no momento de se fazer a
contabilização do valor que a informação, considerada como um ativo da
organização, tem para as mesmas dada a sua inerente intangibilidade.
 35

Como será visto mais adiante, o problema da segurança leva a um

raciocinio: Proteger o que? De quem? E a que custo?

É patente a dificuldade de se justificar investimentos para proteger algo

que não se sabe quanto custa. Para organizações j á mais experientes no trato
com informações sensíveis, a exemplo dc alguns estados nacionais c dc parte dos
bancos, a necessidade de investimentos relativos â classificação e preservação
destas informações são discutidos como sendo prioritários. Por outro lado,
organizações industriais, comerciais e de serviços somente agora começam a se
defrontar com problemas desta natureza.

Viu-se, anteriormente que se não existe, ainda, uma teoria ou sistema

contábil capaz de suportar a contabilização dc ativos de valor intangível, ao
menos no campo da Economia já são conhecidos bons estudos sobre o tema que
entretanto não conhecem grande aplicação no dia a dia das empresas.

Fugindo da óptica econômica para uma mais técnica, é interessante

perceber como autores mais referenciados adotam a metáfora dos sistemas vivos
para tratar o problema da segurança dc sistemas de informação.

2.1 - Um problema antigo e de difícil solução

A proteção e segurança dc bens e pessoas historicamente tem levado â
construção de fortificações c armamentos visando a defesa contra variados tipos
de ataques.

Da mesma forma, informações têm freqüentemente necessitado de

proteção. Desde os planos de guerra, datando de muitos milênios, até as
informações que trafegam usualmente peíos meios dc comunicação atuais, as
informações tem-se mostrado tão vitais quanto os próprios elementos do mundo
reaí sobre os quais ela faz referência.

Em uma acepção mais ampla pode-sc entender que as preocupações

relativas à segurança de informações sensíveis remonta ao momento em que os
grupos humanos puderam perceber que o domínio dc certos conhecimentos pode
estabelecer uma relação de poder diferenciada entre os indivíduos do mesmo
grupo. Em outras palavras, quanto mais valorizados sejam os produtos
 36

resultantes da aplicação destes conhecimentos, para certo grupo social, mais

valorizado será, dentro deste mesmo grupo social, o individuo que o detiver.

Os mecanismos históricos adotados para a proteção da informação

incluíam formas que passavam pela escolta armada dos mensageiros, passando
pela criptografia, podendo ir até a sua memorização por parte de quem a iria
levar, dentre outros.

Apoiado nesta leitura, pode-se entender os esforços desenvolvidos pelos

vários grupos dominantes nas várias sociedades ao longo da história para manter
um certo conjunto de conhecimentos, entendidos como preciosos naquele
momento histórico, longe do conhecimento dos grupos que se desejava dominar.
Não raros são encontrados casos de sociedades herméticas dedicados aos mais
variados assuntos ao longo da história.

Contudo, os maiores esforços para a preservação de segurança e

confidencialidade de informações se deram nos campos da Diplomacia e da
Guerra. Em algumas obras de caráter histórico existem várias menções aos
artifícios desenvolvidos pelos Espartanos, passando pelo conhecido método de
César de criptografia até os elaborados métodos criptográficos de base
matemática em voga na atualidade.

Todos estes fatos têm em comum a preocupação com a segurança e o

sigilo das informações e cada um, ao seu tempo, expressam os conceitos
adotados então para o tratamento da segurança das informações.

2.2 - Atributos clássicos da informação

Tradicionalmente, a segurança das informações tem consistido em
assegurar atributos como: sua Integridade, a sua Confidencialidade, e
Disponibilidade [Amo94].

integridade

O aspecto mais tradicional da segurança dc informações, é a sua

Integridade. Algumas informações que necessitam ser constantes ou que só
devem ser modificadas por um certo grupo de usuários autorizados devem ser
 37

suportadas por um aparato que apresente capacidade de lhe garantir a

manutenção destes atributos.

Confidencialidade

A confidencialidade constitui o segundo atributo de segurança das

informações e refere-se à prevenção de acesso não autorizado a informações
sensíveis.

Desta forma, muitos governos adotam sistemas de classificação das

informações consideradas sensíveis para os mesmos. Um exemplo bem
documentado é o caso do governo americano.

No inicio da década de 1970, tanto os governantes como pesquisadores,

daquele pais, entenderam como sendo necessário expandir a abrangência dos
conceitos sobre disponibilidade de informações visando abranger a informação
que estaria contida nos computadores da época. Níveis de segurança foram então
definidos em um documento denominado Trusted Computer System Evahiation
Críteria ou pelo seu acrônimo TCSEC [DoDS5]DoDS5], visando definir o quais
seriam as propriedades de segurança de um sistema de tratamento de
informações computadorizado e o que seria necessário para manter, estas
informações, seguras.

Disponibilidade

A Disponibilidade constitui o terceiro aspecto da segurança das

informações. A incapacidade de um usuário ou processo autorizado de obter a
informação de que necessita no momento desejado, pode vir a ser um problema
de dimensões relevantes.

2.3 - Para onde agora?

Neste capítulo foram introduzidos alguns conceitos essenciais relativos
à segurança da informação. Foram apresentados os atributos clássicos da
informação que devem ser preservados: integridade, Confiabilidade e
Disponibilidade. Ao mesmo tempo, viu-se que os investimentos em segurança
devem ser precedidos de respostas para as perguntas: O que proteger? De quem
proteger? Quanto custa o que se quer proteger?
 33

No capítulo seguinte, será apresentada uma compilação de vários

estudos sobre segurança dc sistemas de informação. Tal compilação visa
identificar quais as linhas de pesquisas seguidas pelos estudiosos do assunto. Ao
mesmo tempo busca por cm relevância os aspectos analisados nestes estudos
prévios e revelar os pontos capazes de subsidiar os estudos que serão
apresentados no corpo deste trabalho.
 39

CAPÍTULO 3
DISCUSSÕES SOBRE AS TAXONOMÍAS
DE INCIDENTES DE SEGURANÇA
3. i - Teoría geral de classificação
O desenvolvimento de terminologias e principios de classificação
constituem-se em dois pré-requisitos necessários para o estudo sistematizado de
qualquer campo dc estudos [Krs98]. O desenvolvimento de um sistema
taxonómico no campo da segurança de sistemas de informação tem sido
referenciado como sendo um problema de difícil tratamento e que ao mesmo
tempo tem provocado um contínuo interesse por parte de várias organizações
[How97].

Originalmente, os sistemas taxonómicos foram desenvolvidos voltados

exclusivamente para o domínio das ciências biológicas [BRIOlj. A iniciativa
pioneira foi feita por Aristóteles (322-284 AC) centrada principalmente nos
animais. Desde então, até o século XVIíI não houve progressos significativos até a
divulgação dos trabalhos de Carolus Linnacus [BRIOl].

Carolus Linnaeus adotou cm sua taxonomía um sistema de

nomenclatura binomial, na qual todos os organismos vivos são designados por
um nome composto por duas partes, consistindo do nome do gênero e espécie a
que ele pertence, nesta ordem, O mais conhecido nome dentro deste sistema é o
binomial Homo sapiens, que designa o género e especie a que pertence o homem
moderno [BRIOlj.

Modernamente, urna taxonomía é entendida como o estudo dos

princípios gerais dc classificação científica [BRIOl], Um sistema classificatório de
qualquer tipo loma-se inútil se não houver referencia ao propósito para o qual ele
foí criado. Um arranjo baseado em tudo que se saber sobre uma classe particular
de elementos seria o ideal para vários propósitos. À medida que estes elementos
 40

são então agrupados de acordo com características fácilmente observáveis c

descritas torna-se fácil identificação dos mesmos.

Por serem aproximações, cies apoiam-se na observância de um grupo

restrito de características consideradas como as mais significativas para a
distinção dos elementos pertencentes ao universo estudado. Um sistema
taxonómico pode mostrar-se inapropriado, à medida que os estudos no campo de
conhecimento (a que este se afiniza ) evoluem ao longo do tempo.

ísto pode se dar especialmente nos casos em que as caracteristicas

distintivas adotadas para a classificação dos elementos pertencentes àquele
universo são imprecisas e incertas. De toda forma, a classificação mostra-se como
um processo importante e necessário para um estudo sistematizado em qualquer
que seja o campo do conhecimento.

A base para o desenvolvimento de um sistema taxonómico eficaz reside

na identificação de caracteres (ou propriedades) taxonómicos capazes de ser
objetivamente observáveis nos elementos cm questão [Krs98j. Neste contexto, o
conceito de Objetividade implica que uma dada propriedade deve ser identificada
a partir do elemento conhecido c não derivada do sujeito conhecedor [BríOlj.

Assim, caso a propriedade seja deduzívcl c não observável, seu valor

dependerá de critérios subjetivos do observador. Dada esta subjetividade, outros
taxonomistas poderão não ser capazes de obter a mesma classificação para um
mesmo elemento, caso não conheçam estes critérios subjetivos. Propriedades
objetivamente observáveis simplificam o trabalho de classificação propiciando
uma base para a sua utilização em outros trabalhos de classificação [BriOl}.

X*ZB i\s^¡y=¿5iíos ris? LêrTriss Tíâxc-siomia

U m sistema taxonómico deve apoiar-se cm características que devem

satisfazer as seguintes propriedades [Krs98}:

• Ser objetivo:

As características devem ser identificadas a partir do objeto

conhecido c não com base na subjetividade do observador

* Ser determinístico:
 41

Deve estar claro o procedimento de identificação das características

• Ser repetitivo:

Vários observadores, de forma independente, ao identificarem as

características no objeto observado, deverão concordar quanto, ao
resultado observado

• Ser específico:

Os valores das características devem ser únicos e sem ambigüidade.

Caso algumas das características elegidas para o processo de
classificação não tenham estes atributos, o processo de classificação
não pode ser efetivamente repetido sendo, portanto, ineficaz.

Para BISHOP [BÍB96], boa parte dos esforços empreendidos pelas

organizações para sanar as fragilidades de segurança dc seus sistemas tem
redundado em fracassos. Existiria, portanto, a necessidade de que toda a
comunidade fosse capaz dc aprender com os erros cometidos por outros para
evitar cometer os mesmos erros. Entretanto, isto tem sido muito difícil, visto que
boa parte dos incidentes de segurança dc sistemas ocorridos nas organizações
são raramente documentados pela literatura.

Vários autores ao desenvolver seus estudos, recorrem aos casos

documentados pela mídia ou às vulnerabilidades e fragilidades encontradas nos
produtos comerciais e disponíveis em bases dc conhecimento tais como o CERT
como fonte de material para estudos. Isto certamente desvirtua estas análises
uma vez que a fração dc casos estudados acaba por não contemplar os incidentes
que ocorrem no seio das organizações. Como conseqüência estes estudos acabam
por mirar somente os incidentes relacionados aos vírus de computadores e ãs
fragilidades identificadas nos softwares comerciais.

Grande parte deste interesse deve-se ao crescente uso das redes de

computadores por parte das organizações c a inquestionável dependência que
estas organizações passaram a ter frente aos seus sistemas de tratamento de
informações [How97]. Em especial, o disseminado uso da internet tem-se
 42

mostrado, ao mesmo tempo, virtuoso c sinistro. A sua virtude reside em permitir

às pessoas e organizações interagirem de maneiras ate então desconhecidas. O
aspecto sinistro revela-se pelas possibilidades de ataques aos seus sistemas e
pelo alcance dos efeitos decorrentes.

Este último aspecto tem transformado o mundo das redes de

computadores em um cenário onde os fenômenos ligados a segurança dos
sistemas de informação tornam-se um tema apaixonante, pela complexidade que
assumem, provocando um crescente interesse dado o alcance mostrado pelos
efeitos que acarreta [How97],

Os benefícios de ordem prática de um sistema taxonômico desta ordem

seria permitir o registro histórico das vulnerabilidades de uma forma que
administradores e engenheiros dc sistemas pudessem utilizá-lo para antecipar,
detectar e eliminar as possíveis fragilidades existentes nos seus sistemas. Além
disto, esta mesma sistemática permitiria ura monitoramento mais eficiente dos
sistemas com relação a exploração das suas fragilidades [B1B96].

Os ganhos teóricos se mostrariam na medida em que este sistema

viesse permitir a determinação de quais instâncias de uma grande classe de
fragilidades são conhecidas. Isto permitiria orientar esforços para a identificação
de novas fragilidades com base no claro entendimento das condições sob as quais
estas podem surgir, sugerindo desta forma mecanismos para sua eventual
identificação. Ao mesmo tempo seria possível um estudo mais sistematizado das
que já são identificadas permitindo o surgimento dc métodos mas também para
a sua redução c eliminação.

Os requisitos para uma taxonomia de incidentes de segurança

Aplicando os conceitos já expostos ao caso dos incidentes com sistemas,

uma taxonomia é uma seqüência dc procedimentos decisórios que classifica cada
incidente como uma tupla bem definida de propriedades do incidente estudado.
Assim, a unicidade de classificação dc um incidente requereria que distintos
incidentes estivessem associados a tupias distintas com base em suas
propriedades mais significativas. O uso das tupías como sistema de classificação
permitiria a identificação dc classes similares de incidentes com um ancestral
 43

comum [BÍB96]. Tal sistema taxonômico deveria ser capaz de identificar cada
incidente de forma unívoca a uma tupia e que seus procedimentos sejam capazes
de derivar uma tupla correspondente a um único incidente.

Ao analisar alguns estudos clássicos sobre fragilidades, BíSHOP

identifica a falta de níveis de abstração mais altos e as dificuldades encontradas
na definição dos critérios de classificação como sérios problemas apresentados
por estes estudos. Mesmo não sendo conclusivo, o trabalho de BISHOP et ai
proporciona um ponto de partida bem referenciado.

A existência de outros trabalhos sobre taxonomias e classificação em

ciências da computação como em LANDWHER [LBM+94]; COHEN [Coh95];
BISHOP [BÍB96]; HOWARD [How97j, KRSüL [Krs98] c LOUGH [LouOlJ, dentre
outros, surgem como um indicativo da importância que o estudo da classificação
dos incidentes de segurança apresenta.

Contudo, o tema apresenta-se complexo. Em todos os trabalhos citados,

mesmo ressaltando as características desejáveis de um sistema taxonômico
aplicável a eventos dc falhas e fragilidades de sistemas, cada um dos autores não
logrou êxito em apresentar uma sistemática eficaz. Ao seu turno, cada um dos
trabalhos que sc sucedem apresentam as limitações de seus predecessores sem
contudo lograr maiores êxitos.

Esta constatação não pretende, obviamente, desmerecer tais estudos,

mas ressaltar que a solução deste problema não é trivial. Até o presente momento
não foi possível identificar quais características seriam as mais significativas para
uma efetiva classificação desta natureza dc eventos.

Existe contudo concordância, entre estes autores, quanto aos atributos

desejáveis deste almejado sistema classificatório, devendo ser:
• Amplamente aceitável pela comunidade envolvida
• Apropriávei ao escopo a que se destina
• Baseado cm detalhes técnicos claramente identificáveis
• Compreensível por quem irá usá-lo
• Completo, capaz dc abarcar os elementos já identificados e outros que
possam surgir
 44

• Determinístico de forma a que a sua aplicação para um dado evento

redunde sempre nos mesmos resultados
• Exaustivo sendo capaz e esgotar todas as possibilidades de eventos
• As classes definidas devem ser mutualmente exclusivas

• Objetiva tendo como criterio somente atributos primitivos de alguma forma

mensuráveis capazes de serem claramente identificados nos eventos
observados

• Baseada em uma terminologia não ambigua e com uma semântica bem

definida

Um sistema taxonómico deve ter aceitação geral por parte da

comunidade de especialistas e deve ser apropriado ao universo de fenômenos a
que se aplica [How97, Krs98, LouOl]. Além disto, as classificações dos eventos
devem ser feitas com base em sólidos detalhes técnicos e não em critérios
subjetivos [BÍB96, How97, Krs98, LouOl].

Ao mesmo tempo, tal sistema taxonómico deve ser de fácil compreensão

para os estudiosos do assunto e completa dc sorte que qualquer incidente seja
passível de ser alocado em algum ponto da estrutura taxonómica [BÍB96, How97,
Krs98, LouOl].

Baseando-se nos trabalhos de SIMPSON [Sipõl] KRSUL [Krs98],

defende o argumento onde cada característica determinante no processo
classificatório deve ser capaz de ser identificada de forma a evitar ambigüidades.
Para tanto ele recupera o significado do termo fundamentam divisioms da Lógica
Escolástica e da Ontologia. O termo fundamentum divisionis identifica [Krs98J o(sj
critério(s) de seleção para um certo nó em uma "arvore de decisão* de tal sorte
que a resposta para este critério não dê margem para ambigüidades, ou seja, um
"sim" ou "não". Desta forma, as classes devem ser mutuamente exclusivas não
podendo se sobrepor sob pena de ocorrer ambigüidades.

Um sistema taxonómico para incidentes de segurança, para ser

específico, deve poder contar com uma terminologia própria de segurança. Os
termos para tal taxonomía devem possuir significados bem definidos [How97,
LouOlj não sendo aceitável qualquer interpretação dúbia para os mesmos.
 45

Por fim, um sistema taxonómico deve ser de fácil utilização, sendo sua
heurística dc fácil apreensão. Em sua dissertação, LOUGH [LouOi] argumenta
sobre a utilidade da existência de uma ciasse genérica "outros" onde seriam
"classificados" quaisquer novos incidentes que viessem surgir no futuro.
Entretanto, ao serem retomados os princípios elencados por KRSUL [Krs98j
observa-se que esta proposição peca por permitir classificações de caráter
ambíguo.

Ao se recuperar a história da evolução da taxonomía dos seres vivos,

observa-se que em muitos momentos os fundamentam ãiinsionis de diversas
classes foram revistos, permitindo em muitos casos o surgimento de novas
classes para comportar novos indivíduos.

Desta forma, uma sistemática dc classificação dc incidentes de

segurança deve ser conceitualmente elaborada para suportar a expansão que
possa ser necessária para acolher eventos antes inauditos.

«êõ3ttiiâ^5iís ii^E j s o s ^ ñ & c ü c i c s torren tes

Das revisões apresentadas, percebe-sc a falta de pesquisas formais de

caráter mais abrangente no que se refere à segurança das informações. A maioria
dos estudos identificados buscam cuidar dc aspectos isolados do problema, ora
cuidando de aspectos ligados somente a sistemas operacionais, ora voltados
unicamente para vulnerabilidades de software, ora observando somente eventos
relacionados somente à Internet, Contudo tais modelos quando trazidos para o
mundo dos eventos com que se deparam as organizações ou não se aplicam ou
são por demais ineficientes. Desta forma, nenhum deles tem sido capaz de tratar
todo o processo, como por exemplo no que sc refere às motivações c tendências
dos ofensores, ou sobre o pouco cuidado que a maioria das organizações relegam

Neste capítulo busco ti-se apresentar os trabalhos existentes sobre

classificação dc vulnerabilidades e ataques a sistemas. Foram estudados os
trabalhos dc vários autores [BiB96j, [How97j,[Krs98j, [LBM+94J, [LouOlJ, [Síp61].
Sem procurar expor cm profundidade as particularidades de cada um destes
trabalhos, percebe-se a importância e a necessidade dc um método de
 46

classificação para estes eventos. Entretanto, nenhum destes trabalhos logra êxito
ao tentar classificar vulnerabilidades e incidentes dentro dos requisitos exigidos
para esta sistemática. Muitos destes incidentes e vulnerabilidades mostram-se
difíceis dc serem colocados em uma árvore taxonómica, mostrando possuírem
atributos de variadas ciasses, indo mais adiante, nenhum deles consegue propor
um sistema de classificação suficientemente abrangente capaz dc ser aplicado
confortavelmente aos incidentes de segurança observáveis na prática.

Neste ponto cabe lembrar os argumentos expostos por NELSON [Nel97j,

que entende existir uma grande distância entre os temas que são preocupação
dos estudiosos dos problemas teóricos dc segurança no mundo acadêmico e os
estudiosos dedicados aos problemas de ordem prática. Tal distância poderia estar
sendo explicada por DENNING [Den99], para quem o vicio de origem estaria na
tendência de se procurar modelos formais para explicar os problemas afetos à
segurança. Como exposto em [Den99] os modelos matemáticos e outros modelos
formais de caráter determinístico seriam insuficientes para determinar como os
incidentes dc segurança irão se dar.

Entende-se que a dificuldade em se estabelecer tais modelos de caráter

determinístico estaria residindo em um aspecto óbvio mas que não tem sido
tratado da forma adequada nos modelos identificados. É certo que em alguns
episódios, os problemas dc comprometimento das informações encontram-se
relacionados a disfunções identificadas nos componentes de hardware c software
dos sistemas de informações. Entretanto, tais episódios são estatisticamente
inexpressivos quando comparados àqueles causados pela intervenção humana.

A influencia determinante do homem e das organizações sociais nos

episódios de segurança de sistemas é inolvidável. Mesmo que intuitivamente seja
possível predizer as ações de determinadas pessoas em certos contextos, a
formalização desta análise não é algo trivial. Como j á ê bem conhecido pela
ciência corno um todo, criar modelos de caráter determinístico para predizer o
comportamento do indivíduo (c destes dentro de suas organizações) ê algo, por
enquanto, impossível. Alguns modelos estatísticos apoiados em analise baiesiana
são usualmente aplicados para predizer as probabilidades relacionadas às ações
dc indivíduos.
 Al

Entretanto, a segurança de sistemas não se atém às ações de

indivíduos isolados. Ao contrário, os incidentes a eia relacionados mostram que
os indivíduos atuam preferencialmente em pequenos grupos, condicionados pela
cultura organizacional e pelos recursos tecnológicos disponíveis. As imbricadas
relações que se estabelecem nesta situação acabam por extrapolar os limites da
Ciência da Computação, demandando a contribuição de elementos da Psicologia,
da Sociologia e da Teoria das Organizações, para entender e propor explicações
para estes fenômenos.

Nos capítulos seguintes intenta-se apresentar uma abordagem que

explique como estes fatores Homem, Organização c Tecnologia intcrrelacionam-se
para culminar nos incidentes dc segurança empiricamente observáveis. Não está
presente aqui a pretensão de elaborar modelos prescritivos, mas um
instrumentos capaz de explicar as causas que levam à instalação destes
incidentes.

Para tanto, serão explicados em detalhes as premissas subjacentes ao

enfoque ora adotado. Nesta abordagem será adotado o modelo sistêmico para
facultar o entendimento e o tratamento da complexidade inerente a estes
fenómenos.
 43

CAPÍTULO 4
U M A ABORDAGEM SISTÊMICA PARA A
SEGURANÇA DAS INFORMAÇÕES
4.1 - A constatação prática de um problema complexo
Certamente os episódios relacionados à segurança dos sistemas de
informação, até a presente data, nunca produziram casos retumbantes, apesar de
algumas vezes já terem sido temas de filmes. O que dc comum existem em ambos
cenários pode ser expresso nas mesmas questões: que motivos podem levar as
pessoas a tomarem atitudes desta natureza, muitas vezes com o
comprometimento da própria liberdade? Como é que eventos desta natureza
podem ser engendrados e levados a termo?

Segurança ê algo difícil de se obter e manter, principalmente porque as

pessoas não são capazes de manter seus segredos [Bla96]. As pessoas (e não os
computadores) são o elo mais fraco no que se refere à segurança de informações.
A "Engenharia Social* constitui uma estratégia bem conhecida para a obtenção
de informações das pessoas visto serem elas, e não os computadores, a mais
significativa vulnerabilidade dos sistemas de segurança.

Os sistemas informatizados de tratamento de informações são

inerentemente complexos dado o grau de interação que existe entre os seus
subsistemas. Desde os bugs nos microcódigos do hardware, passando pelos
existentes nos sistemas operacionais, protocolos e aplicações diversas que
interagem com variados níveis de acoplamento; até as constantes tentativas dc
penetração sofridas pelos sistemas corporativos atuais, todos estes componentes
fazem com que não exista uma solução trivial para o problema de segurança dos
sistemas computacionais.
 49

Dada esta complexidade, os atributos de segurança dos sistemas

computacionais não deveriam ser pensados a posteriori como é feito
freqüentemente. Mesmo que todas as vulnerabilidades de um sistema não
possam ser identificadas, antes do lançamento do produto no mercado (ou de sua
implantação nas organizações), as características que permitam a evolução da
sua segurança, deveriam ser parte dos requisitos de projeto de qualquer
aplicação que se destinasse a tratar informações sensíveis [BIa96].

Ao mesmo tempo existe a postura comum entre os usuários dos

sistemas, que vêem as medidas de segurança como algo burocrático 1
ou
desnecessário que entrava o andamento do seu trabalho [Bla96]. São freqüentes
os casos de usuários que não observam as medidas de segurança propostas pelos
administradores de segurança das organizações (quando estes existem). O uso de
senhas genéricas ou de fácil dedução; ou o uso de modem ligado diretamente ao
computador pessoal que tornam inütil um firewaU corporativo, constituem
fragilidades que podem ser facilmente exploradas por alguém que queira usufruir
destas informações em prejuízo de outros.

Entretanto, seria pertinente questionar como os aspectos ambientais

influenciariam a segurança das informações? NEEDHAM [Nee97j considera que
as premissas adotadas na elaboração dos protocolos de segurança
experimentaram uma mudança substancial nos últimos vinte anos. Para esse
autor, o aumento da capacidade de armazenamento e processamento
apresentada pelos elementos computacionais permitiram que os algoritmos
criptográficos pudessem ser executados em menor tempo, permitindo que um
maior número dc pessoas passassem a fazer uso dos mesmos. Por outro lado,
esta mesma capacidade tem permitido a um maior número de agentes realizarem
ataques cada vez mais elaborados e mais rapidamente.

Desta forma, ainda segundo NEEDHAM [Nce97], existe hoje a

necessidade de atribuir aos projetos relacionados aos protocolos de segurança,
outras características que levassem cm conta esta abundância de recursos

1
Sentido leigo do termo
 50

computacionais que os modernos equipamentos disponibilizam, e que irão

disponibilizar no futuro próximo.

Nas décadas de 70 c 80, os modelos de segurança de sistemas de

computação baseavam-se no consenso de que sistemas deveriam ser projetados
sobre sólidas fundações, as quais deveriam ser modeladas e analizadas sobre
modelos matemáticos que garantissem a não existencia de vulnerabilidades nos
nestes projetos [Dcn99]. A crença na época era que os modelos matemáticos
formais existentes eram suficientes para garantir estes requisitos.

Posteriormente, COHEN [Coh84] demonstrou que os problemas teóricos

de segurança de sistemas ultrapassavam os problemas de segurança de acesso
com o advento dos códigos maliciosos (malicious cade). Neste trabalho COHEN
havia demonstrado ser impossível criar uma ferramenta anti-viral que pudesse
detectar todos os possíveis vírus de computadores. O problema de proteção dos
distemas contra códigos maliciosos seria resolvido dentro do paradigma "fazendo
e aprendendo" { learn
a
as we ga ).v
Estas conclusões, segundo DENNÍNG,
reforçavam as expectativas acerca das limitações dos modelos matemáticos em
prover a segurança dos sistemas. Para a comunidade, as limitações dos modelos
matemáticos sugeriam que os problemas de segurança eram de alta
complexidade e algumas vezes intratáveis.

Em meados da década de SO, alguns projetos sobre segurança de

sistemas demonstraram estar crescendo cm complexidade à medida que
buscavam tratar os detalhes dos problemas empíricos encontrados. Tais modelos,
com o passar do tempo tornaram se mais e mais complexos, ao tentarem
resguardar os rigores matemáticos necessários [Dcn99j. Estas experiencias
demonstraram que os modelos de segurança levariam a sistemas que não teriam
aplicações práticas. Segundo DENNING [Den99], os limites dos modelos formais
começaram a aparecer nos trabalhos de HARRISON, RUZZO e ULLMAN que
demonstraram os limites de alguns modelos teóricos sobre segurança de acesso
existentes à época. Ao mesmo tempo os modelos existentes nunca haviam sido
testados de fato, visto scrcm vastos e complexos.

À medida que os esforços empreendidos mostravam que os custos

associados ã construção de sistemas, a partir de modelos formais, acabariam por
 51

produzir sistemas comerciais caros, extremamente restritos e obsoletos face às

necessidades do mercado. Em outras palavras, estes sistemas seriam
comercialmente inviáveis [Den99].

A tecnologia, nesta ocasião, mostrava-se cada vez mais dinâmica. Os

clientes, nesta ocasião, j á demandavam produtos com interface gráfica, com
facilidades dc comunicação remota, de preferencia via Internet. Para a grande
maioria destes consumidores, os rigores de segurança não constituíam um
aspecto relevante dos sistemas.

Segundo os relatos apresentados em DENNíNG [Den99], os encontros

mantidos com uma comunidade de hackers (Legion of Doam) a obrigaram a
reconhecer que os modelos de segurança estavam falhando em tratar as ameaças
mais significativas. Enquanto os modelos que estavam em desenvolvimento
buscavam rigores na elaboração de covert channels, os riackers exploravam
vulnerabilidades como senhas fracas ou ausência de senhas de acesso;
parâmetros de configuração mal estabelecidos e erros de implementação dos
sistemas adotados nas organizações. Quando tais medidas mostravam-se
inócuas, estes agentes atuavam sobre as pessoas com artifícios de engenharia
social ["social engincerinef) [Den99J.

Outros relatos apresentados mostram que os modelos apresentam

fraquezas inerentes. Como exemplos DENNÍNG cita a descoberta de uma
fragilidade no protocolo de Needham-Schrõcder de chaves criptográficas por um
estudante de graduação de Purdue e a quebra do sistema criptográfico RSA.
Segundo esta autora, estes estudantes não quebraram o modelo matemático, mas
trabalharam fora dos limites dentro dos quais os protocolos provaram ser
seguros.

Com estes exemplos, a autora busca mostrar que os modelos e métodos

formais não são capazes de garantir segurança. Eles estariam estabelecendo
níveis de segurança dentro dos limites de um modelo o qual c, por natureza, uma
premissa simplista da realidade contra a qual serão confrontados, e guardam as
limitações dos paradigmas correntes no meio cm que foi concebido. Mesmo que
estes sistemas mostrem-se seguros, em conformidade com o modelo adotado, os
 52

ataques mais comuns costumam ser aqueles onde são violadas as premissas
básicas do modelo [Den99j.

Entrctanto, segundo a autora, mesmo em face às limitações dos

modelos matemáticos, os protocolos de segurança atendiam bem ã imensa
maioria dos casos em que eram aplicados. Porém, na década de 90, o Estado
americano passou a perceber que os criminosos e terroristas estavam usando a
encriptação e outros mecanismos de segurança para se evadirem das
investigações legais e da vigilância dos órgãos de inteligência, ao mesmo tempo
cm que empresas eram furtadas mesmo tendo seus dados encriptados.

Estudos então conduzidos pelo FBI mostraram como os criminosos

estavam valendo-se da encriptação e dc outras tecnologias para ocultar seus
crimes. Segundo estes estudos [Den99], os mecanismos legais referentes ao uso
criminoso destas tecnologias mostravam se como sucessos na quase totalidade
dos casos apresentados pela polícia. Parte da razão destes sucessos estava no
fato de serem vulneráveis as soluções criptográficas comerciais, devido ao fato dc
serem construídas a partir de relaxamentos dos modelos formais nos quais se
baseiam.

Dos relatos apresentados, algumas conclusões podem ser apresentadas:

• Os modelos dc segurança tem limites teóricos. Não é possível provar

sempre que um modelo satisfaça certas condições de segurança

• Modelos dc segurança são baseados cm propriedades estritamente

matemáticas e podem levar a sistemas incapazes de serem usados

• A construção de sistemas a partir de modelos de segurança

matematicamente rigorosos mostrou-se dispendioso. A maioria dos
sistemas comerciais não se baseiam em modelos formais

• Modelos dc segurança e métodos formais não garantem segurança, os

sistemas podem ser violados se utilizados fora dos pressupostos
básicos

Destas constatações, DENNING infere que os sistemas comerciais não

serão perfeitamente seguros. Eles sempre apresentarão fraquezas. A partir da
 53

constatação de que a obtenção da segurança c aigo difícil, algumas medidas têm

sido adotadas pela indústria visando tornar mais robustos os seus produtos.

Dentre estas medidas, a mais freqüentes tem sido os patches e as

atualizações de versão. Serviços como o CERT e Bugtrack, dentre outros, emitem
avisos quase que diários sobre estas versões feitas pelos diversos fabricantes.
Tais medidas não solucionam todos os problemas, mas retificam os que são
encontrados.

Outra medida usualmente adotada são os testes realizados por equipes

especializadas. Habitualmente, não só as equipes contratadas, mas também toda
a comunidade de hackers da rede são convidados a descobrir vulnerabilidades
nos sistemas. O caso mais recente se deu com a Oracle, cm dezembro de 2001,
quando a versão 9i, dita inquebrável pela empresa, teve uma grave falha de
segurança identificada em menos de um mês de testes.

Mesmo que a empresa corra o risco dc ver as falhas de seus produtos

publicadas em todas as listas de vulnerabilidades existentes na Web, a
desenvoívedora terá a certeza de que o produto foi testado exaustivamente, a
custo zero.

O método de testes intensivos tem se tornado o método primário de

verificação de confiabilidade dos softwares, uma vez que nem mesmo os modelos
formais de segurança nem os métodos de teste usualmente recomendados pela
engenharia de software tem sido capazes de assegurar a ausência de
vulnerabilidades dos sistemas. Um exemplo foi o Data Encryption Standard -DES.
Após ter sido testado por 20 anos, ele tornou-se algo confiável. Em 1997 a chave
criptográfica de 56 bits foi quebrada, em um desafio promovido pela RSA. Desta
data cm diante, o novo padrão passou a adotar uma chave criptográfica de 168
bits que ainda permanece intacta.

Outra abordagem adotada, prescinde dc adotar um único modelo global

de segurança de sistemas. Ao contrário, a tendência é delimitar vários perímetros
de segurança cada um dotado de dispositivos dc identificação e autorização de
acessos, que vão desde senhas de uso único, firewaüs, sistemas de detecção de
invasão, ferramentas anti-vírus, mecanismos de encriptação, mecanismos de
 54

integridade, assinaturas digitais, smart cards e dispositivos biométricos dos mais

diversos. Mesmo que nenhum deles, isoladamente, resolva todos os problemas de
segurança, eles podem dificultar os episódios de invasão e/ou permitir que as
quebras de segurança possam ser rastreadas.

A segurança de sistemas, ao evoluir não fez descartar os primeiros

esforços empreendidos na busca de modelos e métodos matemáticos formais para
a solução dos problemas de segurança. Entretanto fez mostrar que eles são
limitados em sua efetividade, e que os eventos que se sucedem relativos a
segurança de sistemas são de uma complexidade por hora intratável.

As ameaças relativas à segurança com que hoje se deparam estados e

empresas apontam para grandes desafios que devem ser resolvidos nos anos
vindouros. Os episódios históricos recentes prometem tornar a segurança de
sistemas, enquanto campo de estudos, um sítio onde irão existir grandes
oportunidades de estudos e inovações, o que a tornará um tema intelectualmente
excitante.

Nos capítulos que compõem esta parte do trabalho buscar-se-á uma

abordagem capaz de sugerir respostas a estes e outros questionamentos relativos
aos eventos de segurança de sistemas. Partindo dos fundamentos da Teoria dos
Sistemas (Anexo A) foram identificados os princípios subjacentes à complexidade
sistêmica dos problemas de segurança. Em seguida, sugere-se quais seriam os
elementos constituintes dos sistemas onde os fenômenos relacionados à
segurança da informação se dão. Nos anexos B, C e D são analisadas, para cada
elemento componente, as particularidades relevantes para a elaboração da
abordagem proposta, mtenta-sc, portanto, apresentar o concerto que se
estabelece entre estas entidades.

Mais adiante a mesma abordagem será utilizada, neste trabalho, como

base para a interpretação das situações observadas nos estudos de caso sobre
segurança de sistemas de informação no âmbito das empresas de
telecomunicações.
 I 55
4.2 - Um outro paradigma para os problemas de segurança: o
Sistema Homem, Organização e Tecnologia
O Software Engineering Institute - SEI da Universidade de Carnegie
Meiion vem, desde 1984, desenvolvendo um conjunto de modelos voltados para a
melhoria da qualidade de software com base nos princípios da Total Quality
Management - TQM, tendo como referência as melhores práticas identificadas nas
empresas da indústria de software. Tal modelo, denominado de Capabitity
Maturity Moãel - CMM, é constituído por vários modelos orientados para aspectos
específicos do processo de produção de software. O modelo intitulado People
CapabiHty Maturity Moãel (P-CMM) [SE195J declara que as organizações, para
obter a melhoria continua da qualidade dos produtos e serviços, devem focar,
necessariamente, três componentes interrelacionados: Pessoas, Processos e
Tecnologia.

Mesmo que originariamente o CMM tenha sido desenvolvido visando

exclusivamente a melhoria contínua do processo de desenvolvimento de software,
as empresas envolvidas no desenvolvimento de software indicaram que a
melhoria da gerência do pessoa] técnico envolvido no processo era relevante para
esta qualidade almejada [SEI95J. A partir deste ponto o CMM passou a
recomendar a gerência destes fatores para a melhoria de seus processos.

Em BORAN [Bor99|, este autor tenta introduzir esta abordagem,

buscando observar a segurança da informação além dos componentes
computadores e redes, mas também considerando os aspectos psicológicos e
sociais do problema. Entretanto, este trabalho não aborda a organização
produtiva, onde os fenómenos de geração das informações se dá e para as quais
as informações representam uma posse de alto valor. Ao omitir este fator, o autor
deixa de perceber como a organização, enquanto sistema "vivo", contribui para o
advento dos incidentes de segurança e sofre as conseqüências destes incidentes.

O trabalho recentemente publicado por ANDRESS [And02j intitulado

Surtnving Security: íiow to Intégrate People, Process & Technology tenta introduzir
esta abordagem. Oportunamente, a autora apresenta o conceito de Risco e
trabalha sua mensuração. Entretanto, ao longo de sua obra atém-se mais às
questões tecnologias como Criptografia e Autenticação; segurança de redes e
 56

firewaíls; aplicações e respostas a incidentes. Ao longo de seu trabalho, a autora

não analisa com maior relevância os aspectos de processos organizacionais ou as
influências incutidas peio fator humano. A obra apresenta-se com o caráter mais
prescritivo, não apresentando reflexões que permitam entender o fenômeno da
segurança de sistemas.

Neste trabalho, a proposição não é apresentar um corpo de teoria que

seja plenamente suficiente para a interpretação do problema. Intenta-se, tão
somente, introduzir uma abordagem que contemple a amplitude e a
complexidade do problema da segurança dos sistemas de informação. Tal
complexo seria constituído por três entidades (elementos ou fatores) distintos: o
Homem; a Tecnologia e a Organização.

Adota-se, na proposição desta abordagem, estes três elementos como

"vetores* primários dos problemas relacionados à segurança dos sistemas de
informações, visto estes elementos já terem sido identificados a partir de um
trabalho maduro e com forte embasamento empírico que vem sido desenvolvido
peio SEI há muitos anos.

Na elaboração da abordagem proposta, toma-se esta constatação

empírica como referência de partida. Prescinde-se, entretanto, de quaisquer
considerações tecidas no contexto do CMM e busca-se aprofundar a análise
destes elementos e, posteriormente, apresentar a complexidade decorrente das
inquestionáveis interações destes elementos com base nos principios da teoria
sistêmica.

Neste trabalho, a análise dos aspectos particulares do Homem, das

Organizações e da Tecnologia são tratados nos anexos B, C e D respectivamente.
A s interações destes elementos e a complexidade imanente destas relações são
tratadas no tópico seguinte.

4-3 - Á compítsísidaátr d o s Incidentes* de Seg,usr*«íay«.

À medida em que as redes de computadores são freqüentemente mais
utilizadas para a transferência das informações, os estados, as organizações e as
pessoas tornam-se cada vez mais sensíveis aos riscos de interrupção destas
redes.
 57

Ao mesmo tempo em que as pressões decorrentes da competição entre

as empresas tornam-se mais acirrada, passa a não ser desprezível a possibilidade
de que estas possam valer-se de tal dependência para agredir seus competidores.

O uso cada vez mais difundido das redes de computadores, em especial

da Internet, peias nações industrializadas torna suas economias vulneráveis ãs
mais variadas formas de ataque direcionados ã estas redes e às informações que
por ela fluem ou estão guardadas em seus nós. Tais ataques podem variar da
destruição física, ao roubo de informações podendo chegar até ao colapso, em
grande escala, de sistemas de informações responsáveis pela manutenção de
sistemas vitais.

Um exemplo desta dependência foi a interrupção do fornecimento de

energia elétrica ocorrido no Brasil em 22/01/2002. O blecaute se estendeu por
dez estados do Sul, Sudeste, Centro-Oeste e o Distrito Federal. A falta de energia
atingiu 67 milhões de pessoas. Nesta ocasião a interrupção fez com que o parque
industrial e o sistema de trens e metrôs ficassem paralisados nas regiões
afetadas. O trânsito urbano ficou caótico. Vários bancos e lojas fecharam as
portas com medo de haver uma onda de violência . No Sudeste e Centro-Oeste, a
1

interrupção atingiu 7 4 % dos consumidores,

O pais foi surpreendido em março de 1999 e nessa data por este tipo de
episódio. O então ministro de Minas e Energia, José Jorge, confessou que o
governo não tinha capacidade de avaliar a vulnerabilidade do sistema energético
a este tipo de acidente. A dependência das organizações de seus sistemas e a
sensibilidade das mesmas aos episódios que podem afeta-las mostram-se
evidentes.

Considerando as referências ao moderno ambiente social, tratadas

anteriormente neste trabalho, em que os indivíduos entendem que nenhuma
força moral nem regulamentação social existe para limitar suas ações e desejos
[Dur73, Mer59j e que, segundo BAUM AM jBau97], a legitimidade passa a residir
no poder e na satisfação imediata de seus desejos [Dur73, Mer59j, percebe-se que
esta mesma sociedade passa a conhecer não mais agentes concorrentes mas

1
Jorna) do Brasil, 22/1/2002
 58

potenciais agressores que vão variar desde outras organizações, passando por
ativistas políticos indo até criminosos e terroristas.

Face a esta realidade, as tradicionais estruturas de comando e controle

organizacionais podem não se mostrarem adequadas a tratar estas novas formas
de agressão, que se caracterizam por serem "invisíveis" ou podem mostrar-se
oriundas de novas e não antecipadas fontes. À medida que o porte de tais
organizações cresce, crescem as tensões entre as demandas feitas pelos seus
"clientes* (consumidores e cidadãos) cada vez mais exigentes quanto a
transparência de seus atos e informações e a possibilidade de agressão
representada por esses ofensores.

4.4 - O Complexo
O contexto organizacional no qual se encontram inseridos o
desenvolvimento e o uso das tecnologias da informação cada vez mais tem atraído
a atenção de estudiosos e daqueles que se encontram diretamente envolvidos com
este tema no seu dia a dia. Segundo ORL1KOWSKI jOrR91J, as vertentes de
pesquisas atuais não têm logrado êxito ao propor um corpo coerente de teoria que
explique os fenómenos observáveis nas organizações, decorrentes da interação
dessas tecnologias com a diversidade das culturas organizacionais.

Ao mesmo tempo, o campo de teoria das organizações tem-se

apresentado como um campo fértil nos debates sobre os fundamentos ontológicos
e epistemológicos sobre estas questões [OrR91J. Trabalhos como os de MORGAN e
PERROW {opus ctt.) têm revelado uma diversidade de perspectivas que abordam
as causas das estruturas, a importância das ações e intenções humanas, o papel
dos fatores ambientais, da influência e da dinâmica tecnológica, dentre outros
jÜrR91j. Para ORL1KOWSK1, as tentativas de integração destes diversos aspectos e
a identificação das sinergias decorrentes não tem apresentado resultados
plenamente satisfatórios. Este estado de coisas acaba, não só, por apresentar
dificuldades para o estudo das complexidades organizacionais, mas para a
interpretação dos fenômenos de segurança dos sistemas de informação.

Neste segmento, irão ser introduzidos os problemas resultantes das

interações dos fatores previamente analisados (Homem, Tecnologia e
 59

Organização) e o impacto dos resultados destas interações incidentes sobre o

aspecto de segurança dos sistemas de informações.

Neste contexto, a tentativa será a de analisar algumas das situações

que emergem das interações destes fatores sem contudo propor um modelo
determinístico. Para tanto o foco estará voltado mais para a lógica inerente a
estes processos e as ligações que podem se estabelecer entre estes níveis de
análise, ao invés de tentar esgotar todas as dependências resultantes das
variações combinatoriais possíveis.

A abordagem sistêmica dos fenômenos ligados ã segurança dos

sistemas de informações mostra-se plausível se encarados sob a óptica que se
apresenta. Inicialmente, as organizações devem ser vistas como uma entidade
dotada de um propósito que justifica a sua existência. Tais fenômenos aparecem
como eventos que se sucedem em organizações de variados portes e naturezas.
Tais organizações podem ser vistas como sistemas compostos por três elementos:
o Homem; a própria Organização vista como um sistema autônomo e delimitado;
e a Tecnologia.

Estas entidades encontram-se envolvidas em relações cujos efeitos

propagam-se peia Organização e influenciam-se mutuamente. As interações
combinadas entre estes elementos, e as variações nas condições que ditam como
estas relações se iniciam e evoluem, acabam por levar a eventos muitas vezes
imprevisíveis.

Homem

Freqüentemente os afeitos dos eventos de segurança apresentam

caráter díssociatívo para as organizações afetadas. Entretanto, tais efeitos
 60

acabam por ser mitigados por relações de afinidade, entre estes mesmos
elementos, que ocorrem dentro da organização. As organizações, sendo sistemas
altamente complexos, não se limitam a resistir aos incidentes. Ao absorve-los,
estas os analisam e promovem modificações internas que as tornam mais
adaptadas às influências do ambiente que as envolvem.

Em casos extremos, os incidentes de segurança podem suplantar a

capacidade da organização de absorver os disturbios promovidos e alcançar um
novo estado de equilibrio funcional. Nestas situações, a sobrevivencia da
organização pode vir a ser comprometida, urna vez que estas influências podem
promover desordens intratáveis pelos seus mecanismos de regulação.

As causas, associadas às motivações humanas, às condições

organizacionais e tecnológicas, dos eventos de segurança freqüentemente não são
as mesmas. Desta forma, os eventos de segurança que se sucedem nunca serão
exatamente os mesmos. Ao mesmo tempo, eventos de segurança extremamente
similares podem conhecer fatores causais distintos. Nisto poderia residir a
explicação para a falência dos modelos taxonómicos correntes ao tentar
classificar as falhas e vulnerabilidades dos sistemas de informação.

Buscando entender como se dão tais falhas e vulnerabilidades, foram

identificados os fatores atômicos relevantes para o problema: Homem,
Organização e Tecnologia. Alguns dos aspectos relevantes de cada um desses
fatores são analisados nos anexos B a D. Pode-se agora esboçar uma trama
teórica que combina estas dimensões analisadas e buscar entender as extensões
de suas implicações para o problema. O propósito desta abordagem é permitir o
entendimento mais abrangente de como os problemas de segurança de sistemas
surgem, como eles ganham perenidade no seio das organizações e como eles
acabam por ser usados por agentes ofensores. Em particuíar, intenta-se
apresentar a segurança dos sistemas de informação como sendo produto das
ações humanas condicionadas por um sistema de crenças, valores e normas
sociais (e organizacionais por decorrência), bem como por aspectos inerentes às
tecnologias da informação e à sua dinâmica.
 61

4,5 - Os problemas inerentes à segurança das informações

O provimento de uma segurança adequada aos sistemas de computação
mostra-se algo extremamente diãcü [Àmo94jfBIa9ó)[Coh95]|Den99]. Pelo exame
dos problemas inerentes ã segurança dos sistemas de informação, observa-se
estes extrapolam medidas simplistas como corrigir erros em programas e manter
cópias esporádicas dos arquivos de um computador.

Nas seções seguintes serão discutidas as complexidades inerentes á

segurança dos sistemas de informação considerando: a complexidade do
ambiente organizacional onde são geradas e utilizadas as informações; a
complexidade das tecnologias associadas aos sistemas de informação; e a
complexidade do fator humano.

A complexidade tecnológica

Um dos fatores inerentes à segurança dos sistemas de informação é a

complexidade do ambiente computacional em que as informações são
armazenadas e processadas. A tecnologia da computação, incluindo hardware e
software, cresce em complexidade a cada dia. Não somente cresce a complexidade
dos componentes individuais, mas o crescimento exponencial apresentado por
suas interconexões tornam sua estrutura altamente complexa. Todos os
componentes de um sistema de computação são potencialmente vulneráveis,
incluindo ai os links de comunicação, o sofisticado hardware presente nos
modernos computadores (e equipamentos relacionados), e o conjunto de
softwares associados. O crescimento em tamanho e em complexidade
apresentado por estes componentes excedem em muito a capacidade de qualquer
mecanismo de segurança colocado para monitorar, de forma ideal, mesmo uma
pequena rede. Como resultado, este complexo, ao se expandir, torna-se cada vez
mais sensível, ao mesmo tempo em que as vulnerabilidades crescem na mesma
proporção. Isto ocorre por várias razões.

Primeiramente o crescimento dos mainfram.es e das redes implica que

mais usuários podem ter acesso ao sistema simultaneamente, fazendo crescer as
ameaças dos insiders. Segundo, como o número de hosts e o número de pontos
de conexão cresce, o ofensor externo {outsider) defronta-se com maiores
 62

oportunidades de penetrar o sistema. Finalmente, se um ofensor, seja ele interno

ou externo, consegue penetrar o sistema, mais informação estará exposta a
adulteração. Mesmo uma penetração isolada tem o potencial de ser devastadora,
especialmente em um ambiente altamente conectado. Da mesma forma, desde
que um ambiente computacional apresente alta complexidade e altamente
conectado, um ofensor necessita somente concentrar seus esforços em um
subconjunto de pontos da rede para causar grandes danos ao sistema.

Ao mesmo tempo, novas tecnologias tornam estes insumos mais

baratos, iàzendo-os disponíveis para potenciais ofensores que passam a dispor de
recursos para estudar e explorar potenciais fragilidades inerentes aos sistemas.
Ao mesmo tempo, estes insumos mais baratos permitem às organizações
automatizar mais as suas atividades, multiplicando a participação do trabalho na
produção [Sol87j. Consequentemente, cresce a dependência destas organizações
de sua infra estrutura de sistemas, e por conseguinte os riscos associados. Tais
produtos tornam as organizações vulneráveis uma vez que seus sistemas são
familiares aos potenciais ofensores, os quais conhecem as fraquezas destes
produtos.

Entretanto, no esforço de tornar os componentes de sistemas cada vez

mais baratos, a indústria tem imprimido um ritmo muito rápido de mudança na
tecnologia de computadores e componentes. A velocidade impressa nestes
avanços e em sua utilização, imprime aos mecanismos de segurança uma
necessidade freqüente de se manterem aptos a absorverem estas mudanças sob o
risco de tornarem-se obsoletas muito rapidamente ¡Aíb96],[Den99]. Esta rápida
mudança tecnológica torna-se um entrave aos esforços voltados para a segurança
de sistemas, devido a várias razões.

Primeiramente, a indústria, na ânsia de colocar novos produtos no

mercado, acaba por falhar nos testes que indicariam que implicações de
segurança seus produtos trarão para seus usuários. Por várias vezes,
vulnerabilidades não foram encontradas nestes produtos até que tivessem sido
instalados em várias organizações {Den99j.

Ao mesmo tempo, a ânsia pela busca da produtividade tem levado

muitas organizações a adquirirem, instalarem e integrarem novos produtos à sua
 63

infra-estrutura de sistemas, dedicando pouca ou nenhuma atenção às

implicações que estes terão sobre a segurança (Alb96j. Desta forma esta busca
peia eficiência tem mostrado profundos impactos ao tornar, em muitas situações,
estas organizações vulneráveis a ataques.

As respostas usuais tem sido a instalação de potches após identificadas

as fragilidades, o que tem levado a perdas de performance ou novas fragilidades,
ou após a ocorrência de um ataque [Den99]. Entretanto este método não provê
u m nível adequado de segurança para a maioria das organizações. A descrição de
novas falhas tem sido disponibilizadas na Internet e exploradas muito mais
rápido que a capacidade dos desenvolvedores de criar e disseminar patches.

A complexidade do ambiente organizacional

Os episódios de quebra de segurança ou furto de informações nas

organizações têm sido algo muito difundido peia mídia, nos anos recentes. A
pergunta recorrente para todos que ouvem estas noticias seria: como estas
organizações deixam suas informações tão vulneráveis, sendo que na vida
particular as pessoas usualmente guardam seus segredos a sete chaves?

Para MCCOURT [McC02], a resposta poderia estar em vícios

organizacionais que aí estão presentes há décadas, senão há séculos. Para que a
segurança nas organizações obtenha sucesso, ela deve ser um investimento que
demonstre resultados mensuráveis, maiores que os custos necessários para obte-
la. Este paradigma, do custo efetividade ou do retorno sobre investimentos,
confunde-se, usualmente, com a concepção de organização em nossa cultura,
constituindo, ao mesmo tempo, o único prisma pelo qual os gestores das
organizações conseguem compreendê-las.

O elemento custo é a métrica fundamental na condução das ações e

decisões organizacionais. Estas alocam recursos financeiros baseados no critério
do retorno sobre investimentos - ROL Como j ã citado, investimento em segurança
é algo que, por este critério, não se justificaria. Desta forma os gestores das
organizações não estariam sabendo quanto investir neste tema. A título de
exemplo, em 12 de fevereiro de 2002 o conselheiro da Casa Branca, Richard
Clarke, afirmou diante do senado americano que, mesmo após os incidentes de
 64

11 de setembro de 2001, um survey conduzido unto ás 500 maiores empresas

americanas, demonstrava que, em média, estas empresas estariam gastando
mais com café para seus funcionários do que com segurança de sua infra-
estrutura . 1

Enquanto o ROÍ usualmente é visto como critério de sucesso de uma

atitude empresarial, a medida de sucesso na visão da segurança seria a ausência
de incidentes bem sucedidos de quebra de segurança. Entretanto, os gestores das
organizações dificilmente guiaram-se por esta métrica. Portanto, passa a ser
critico que os gerentes responsáveis peía segurança de sistemas sejam capazes de
prover os uiveis estratégicos com argumentos calcados em métricas baseadas em
custos.

Para que investimentos em segurança mostrem se efetivos, o seu

montante deve ser menor ou no máximo igual ao valor dos ativos que estão sendo
protegidos, ou aos custos dos impactos decorrentes do vazamento de informações
sensíveis ou da paralisação dos serviços providos por estes sistemas. Dependendo
do ramo de atividade a que pertença a empresa, estes prejuízos podem ser
significativos. As organizações deveriam, portanto, estar cientes de que a
segurança tem seu custo e que políticas negligentes acabam por levar estas
organizações a pagarem um alto preço. De fato, o raciocínio, com relação a
investimentos em segurança, deve levar em conta que não se trata de saber a
quanto montam estes investimentos, mas quanto custará não tê-los feito.

 medida que as possíveis perdas passam a ser mais previsíveis, a

questão sobre se a organização deve ou não investir em segurança, passa a ser
algo inquestionável. Neste ponto, as organizações passam a investir montantes
significantes em programas e tecnologias visivelmente atreladas à segurança de
seu patrimônio. Entretanto, até que estes riscos sejam percebidos, as
organizações continuarão se expondo a perdas na medida em que adotam
políticas de segurança subdimensionadas.

Entretanto, no que concerne a segurança da informação, dinheiro

sozinho não constitui uma resposta adequada. Os reais desafios para uma

' Clarke presses privai?, sector to prateei agaimt eyher aitackx[m\v\e]NaíiomlJour»al's Technnlogy DaifyAAf02l7(Xi2. Disponível na
<URL. http .//www.naliünaijouf nal .cam/abouí/íeuhdaiíp
 65

organização consistem em conseguir integrar os cuidados com a segurança das

informações e a sua cultura organizacional. A incorporação destes conceitos
passa pelo compromisso, por parte dos níveis diretivos, com a definição desta
nova cultura em termos concretos. Para isto, não basta que diretores e gerentes
passem a recitar slogans ou pintar cenários, que podem ou não estar sendo
perseguidos na prática diária. Apesar da mudança cultural envolver estas
práticas, só isto tende a ter um impacto muito pouco efetivo na mudança da
cultura vivencíada no dia a dia.

Qualquer que seja a organização, ela tem uma cultura, que se propaga
entre seus membros seja pela tradição oral, pelos costumes ou por normas
formalmente dispostas. Esta cultura moldará a forma como seus membros
entendem a organização e seu papel social. Ao mesmo tempo, ditará como estes
membros devem se comportar dentro, e algumas vezes fora, da organização. A
cultura orientará os processos de tomada de decisão que se dão no seio desta
organização, e influenciará nos resultados alcançados por esta.

Mesmo que nas organizações mais formais o sistema de valores,

políticas, normas e procedimentos estejam formalmente redigidos, em todas elas
a sua cultura será, em última instância, determinada pelas pessoas que
ocuparam e ocupam os cargos diretivos desta organização. Assim a cultura
organizacional surgirá do amálgama dos credos, comportamentos e éticas
individuais destes gestores.

Nas organizações mais complexas, a preocupação dos níveis

estratégicos com a segurança de seus ativos informacionais, se materializarão na
política corporativa de segurança de informações. Tal política, entretanto, para
sair das letras deve ser vivenciada, através dos treinamentos internos e da
cobrança de sua prática diária. A manutenção da atualização desta política, por
meio de documentação formal, vai garantir que as pessoas, que vierem substituir
os responsáveis pela segurança quando estes mudarem de setor ou de empresa,
não olvidem ou relaxem as práticas de segurança estipuladas. Ao mesmo tempo,
estando atualizada e divulgada esta política, s e m possível para os demais
membros manterem- se atualizados com os novos procedimentos de segurança
introduzidos.
 66

Sem o suporte dos gestores de mais alto nível, as práticas de segurança

nunca ganharão o espaço necessário para que eias mostrem-se efetivas. Tal como
em muitos casos documentados na literatura, a segurança passa a ser algo
retórico, parcialmente implantado e sujeita ãs variações das contingências e dos
estilos gerenciais.

A complexidade d o fator humano

Outro fator relacionado ã segurança de sistemas nas organizações são

as pessoas. O ser humano é responsável pelo projeto, configuração e uso dos
sistemas de informações e de seus atributos de segurança. As pessoas
freqüentemente cometem erros de avaliação e implementação de sistemas.
Ademais, não é possível para as pessoas anteciparem-se a todas as possíveis
falhas. Portanto as medidas de segurança, orientadas para o elemento humano,
devem passar necessariamente pela busca da mudança das crenças, valores e
motivações vigentes na organização e que balizam o processo de tomada de
decisão, pelas pessoas dentro da ordem organizacional.

No domínio da segurança da informação, as pessoas podem ser

categorizadas em dois grandes grupos: insiders ou oiãsiders. O insider ê aquela
pessoa que trabalha para uma organização e usualmente tem alguns privilégios
de credibilidade, acesso autorizado aos recursos de computação ai existentes. Já
um ouísideré uma classe de ofensores que, a priori, não tem acesso autorizado às
instalações alvo. Entretanto, ambas categorias representam problemas no âmbito
da segurança de sistemas.

A figura do insider aparece como a maior responsável pelos incidentes

de segurança nas organizações. Tanto em número de incidentes, quanto em
perdas monetárias o insider aparece como a maior ofensor [Den99],[Pos96j. O
insider representa, então, uma ameaça quando, visando ganhos pessoais ou por
vingança, ele explora os recursos informacionais existentes na organização em
que atua iPos96 j , [Den99i ,[Sch99].

Mesmo não sendo de forma proposital, o insider pode introduzir

fragilidades nos sistemas. Por exemplo, mesmo sistemas que são seguros quando
usados de forma apropriada podem tornarem-se vulneráveis quando seus
 67

usuários subvertem os mecanismos de segurança por acidente ou por desleixo,

especialmente se o projeto dos mecanismos de segurança não forem bem
projetados [Sch99]. Outro aspecto relevante no que tange ao comportamento das
pessoas frente ao problema de segurança nas organizações é a dificuldade
existente para que elas consigam preservar os segredos a elas confiados
[Bia9õj,[Den991.

Uma vez que as pessoas responsáveis peia segurança dos sistemas, e

seus administradores, freqüentemente mudam de setor ou de empresa,
inconsistências nas práticas de segurança podem ocorrer. É também difícil para
as pessoas man terem-se atualizadas com os novos procedimentos e salvaguardas
que são freqüentemente desenvolvidas e introduzidas em uma organização com o
intuito de melhorar a segurança. Estes novos procedimentos podem produzir
efeitos não previstos, e desta forma, introduzindo novas fragilidades nos
sistemas.

As conseqüências advindas da ação do outsider podem também

apresentar altos custos para as organizações. O outsider, ou hacker, tem se
tornado uma ameaça cada vez maior, dada a sua proficiência no uso das
tecnologias abertas e de baixo custo. Tais tecnologias, por estarem sendo cada
vez mais adotadas pelas organizações, se por um lado representam grandes
economias para estas, também apresentam-se como ameaças uma vez que suas
fragilidades são bem conhecidas por toda a comunidade hacker mundial [Alb96i.
A internet tem disponibilizado ferramentas de ataques a sistemas, em portais
patrocinados por comunidades de hackers, que permitem ataques a sistemas. À
medida que estas ferramentas tornam-se cada vez mais poderosas e de fácil uso,
os ataques dos ofensores vão se tornando cada vez mais fáceis. Desta forma, à
medida que os ataques vão se tornando cada vez mais sofisticados, os sistemas
alvejados correm o risco de serem devastados, por iniciativas perpetradas por
indivíduos dotados de modesta expertise [Den99]. À medida que as comunidades
de hackers vão se tornando cada vez mais organizadas, e a internet cresce em
capilaridade, os ataques podem ser disparados dos mais diferentes pontos do
planeta, e de vários locais simultaneamente, tornando a identificação destes
pontos de origem extremamente difícil.
 68

Dada a dinâmica deste cenário, as tensões entre as equipes voltadas

para a segurança dos sistemas de informação e os potenciais ofensores dos
sistemas das organizações não parece apresentar urna solução de continuidade.
Consequentemente, torna-se cada vez mais importante que as organizações
tenham atenções voltadas para a contínua evolução de suas politicas de
segurança.

Segundo a literatura disponível, dentre as abordagens adotadas para o

tratamento do problema, o treinamento constante de suas equipes de segurança,
independente de outras medidas tecnológicas, é aquela que tem apresentado os
melhores impactos na melhoria contínua da segurança dos sistemas. Tais
atitudes tem sido adotadas por algumas organizações como parte de programas
mais abrangentes que conscientizem suas equipes de segurança da necessidade
de manter as atenções focadas nos aspectos de segurança. Tais esforços devem
ser continuamente mantidos para que possam manter viva a necessidade da
contínua preocupação em manter a segurança da organização. Estas medidas
tem se mostrado efetivas em organizações nas quais, um grande número de
vulnerabilidades existentes em seus sistemas de informação, tem sido eliminadas
com a adoção de medidas de segurança que envolvem tecnologias de baixo custo,
treinamento continuo, e procedimentos que implementam políticas de segurança
de abrangência corporativa. [Den99]. A combinação destas medidas acabam por
tornar os usuários conscientes da existência de ameaças potenciais e da
necessidade da atenção para a constante melhoria da segurança em toda a
organização.

4.6 - Políticas de Segurança

A informação constitui um patrimônio que possui valor para as
organizações e consequentemente necessita ser apropriadamente protegida. Tal
proteção deve portanto cobrir uma ampia gama de ameaças de forma a assegurar
a continuidade da própria organização e minimizar os danos a estas
organizações.

Parte-se da premissa que os problemas de segurança de sistemas

envolvem processos inerentemente complexos que combinam, de formas
 69

variadas, elementos associados aos três vetores fundamentais identificados

(Pessoas, Aspectos Organizacionais e Tecnológicos). Por conseguinte o provimento
de uma boa segurança de sistemas tem-se mostrado ser jilgo difícil de ser obtido
[Bla96j [Den991„ Nenhuma solução isolada demostrou [Den98j,[Den99] ser capaz
?

de prover uma resposta abrangente para o problema de segurança da informação,

dada a complexidade inerente destes problemas. Uma boa solução, capaz de
tratar estas complexidades acaba por requerer mais de um tipo de medida no
âmbito das organizações.

São várias as propostas feitas na tentativa de se obter um arranjo

orquestrado de medidas a serem adotadas nas organizações visando a segurança
de seus ativos informacionais {informatton asseis ou info/tnatíonal assets). Vários
organismos vem propondo aspectos essenciais a serem adotados O conceito a ser
destacado aqui, diz respeito à necessidade de se introduzir políticas antes da
adoção de qualquer ferramenta que trate de segurança.

A segurança das informações pode ser obtida pela implementação de

uma série de controles, os quais podem apresentar-se na forma de práticas e
procedimentos, estruturas organizacionais e sistemas automatizados. Entretanto,
estes controles necessitam ser definidos para assegurar que a segurança das
informações organizacionais sejam alcançadas, Neste sentido, um conjunto
particular dc principias, objetivos e requerimentos devem ser desenvolvidos pelas
organizações para suportar o uso destes controlas. Tal conjunto de princípios
ganha, no âmbito das o igyn ilações, a denominação particular de Politica de
Segurança [Í8O00].

Algumas normas, com ampla aceitação dentre as várias organizações

fj8í.j',;ii'JÍJT891jpx>D8òj[NS?94], existem com intuito de orientar as medidas e
controles que podem ser adotados na implementação de uma politica de
segurança de informações. Em lodos estes casos, suas ircumendações são
baseadas em consensos de ordem prática comuns às várias organizações
r s í ur fadas, operando em ambientes variados. Uma política de segurança
apresenta-se, portanto, como um conjunto de disposições gerenciais focadas para
a segurança.
 70

Entretanto, um aspecto relevante em todos estes instrumentos de

referência, é que a relevância dos controles adotados pela organização devem ser
determinados sob a luz dos riscos específicos aos quais esta organização
encontra-se exposta. Nesta orientação, antes da adoção de quaisquer controles
ou medidas de segurança, deve ter uma avaliação prévia dos riscos confrontados.

Além das recomendações de implementação de controles, uma politica

de segurança bem alinhada deve apresentar controles bem desenhados que
permitam que as atividades de auditoria de sistemas possam ocorrer visando
avaliar a qualidade intrínseca dos controles adotados pela organização.

Em suma uma Politica de Segurança de Informações deve objetivar o

provimento das atividades de gerenciamento das atividades de segurança de
informações. As atividades de gerenciamento propostas nesta política devem
definir direcionamentos claros quanto aos cuidados e aspectos relevantes desta
política através de toda a organização.

Um dos problemas inerentes ã adoção de políticas de segurança é

dificuldade existente em se justificar estes projetos, com base em argumentos de
ordem econômica. Efetuar a mensuração do valor da informação a ser protegida
constituí ainda um problema de difícil solução JMorOO]. No âmbito do Estado, os
investimentos neste domínio ocorrem muito mais com base em parâmetros
políticos e justificativas de ordem de segurança institucional do que em critérios
estritamente econômicos. Por outro lado, no âmbito das empresas privadas, os
argumentos relevantes para estes investimentos, são aqueles que se apoiam em
valores atrativos para os retornos econômicos que venham a ser apresentados por
estes investimentos. Para o administrador envolvido com este dilema, o
argumento não consiste em demonstrar possíveis ganhos, mas que prováveis
perdas podem ocorrer pela não adoção destas medidas.

A análise do risco a que o sistema de informações está exposto consiste

em um processo de se avaliar e ordenar todas as ameaças e, avaliar as
probabilidades e ocorrência e a gravidade dos impactos causados à organização
caso os mesmos se tornem consumem. Uma vez que a complexidade inerente a
estas situações tem-se mostrado crescente tornam-se cada vez mais difíceis de
determinar os graus de riscos existentes. Na atualidade, a grande cobertura que
 71

os meios de comunicação tém dado a episodios desta natureza, tem servido como
motivador para que os gestores das organizações dediquem recursos e patrocínio
para que estas políticas possam ser implantadas.

O principal propósito de uma Política de Segurança é informar aos

usuários, profissionais e gerentes, as suas obrigações para proteção da tecnologia
e do acesso à informação. A política deve especificar os mecanismos através dos
quais esses requisitos podem ser alcançados, sem contudo descer a detalhes de
quais produtos serão adotados. Outro propósito é oferecer um ponto de referência
a partir do qual se possa adquirir, configurar e auditar sistemas e redes, para que
a política possa alcançar os objetivos propostos. Uma boa política de segurança
deve, ainda, apresentar seguintes características:

• Deve ser implantada através de publicação de instrumentos

administrativos e métodos apropriados de divulgação

• Deve poder ser aplicada com ferramentas apropriadas e prever

sanções onde as soluções técnicas não sejam implementadas

• Deve definir claramente as áreas de responsabilidade para os

usuários, administradores e gerentes de redes.

Outro aspecto importante de uma Política de Segurança é o Plano de

Contingências e Continuidade dos Serviços. É inquestionável que alguns
incidentes de segurança são imprevisíveis até que ocorram [Alb96J[Den99]. Em
função disto, e dada a dependência das organizações modernas em relação ao seu
ambiente computacional, torna-se necessário que estas organizações tenham um
plano de recuperação apôs desastres.

Um plano de recuperação de desastres ou piano de continuidade de

serviços constitui um conjunto de procedimentos definido formalmente para
permitir que os sistemas possam operar, dependendo da extensão do problema,
com um certo grau de degradação, caso ocorra algum evento de segurança não
previsto.

Um plano de contingências inclui a recuperação de desastres e outras

situações emergenciais drásticas, contemplando outras falhas, como
indisponibilidade de linhas de comunicação ou perda de arquivos, que podem ser
 72

igualmente vitais para a organização. Cabe âs organizações analisar suas

atividades e a sua importancia para a continuidade dos seus negócios. Com base
nestas análises, pode então mensurar riscos e impactos e, consequentemente,
planejar as medidas preventivas necessárias e medidas de recuperação e seus
custos. Sem esse planejamento, a instituição torna-se vulnerável.

Usualmente, um planejamento de contingências, compreende as

seguintes etapas:

• Análise de impacto - onde são identificadas as possíveis ameaças e

os respectivos impactos, sobre a organização, decorrentes da
interrupção dos serviços dos sistemas

• Análise das alternativas de recuperação - onde os procedimentos de

recuperação dos serviços computacionais são elaborados

• Teste do plano de contingências - visa avaliar a eficiência do plano

testado, e considerar sua adequação ou a necessidade de
adaptações ou correções.

Entretanto, mesmo tendo um piano de recuperação bem elaborado e

testado, as medidas de prevenção de acidentes constituem aquelas que,
usualmente apresentam os melhores resultados. Isto porque os custos de
recuperação superam em muito os decorrentes da manutenção de medidas
preventivas.

Em geral as medidas preventivas incluem controles simples, e eficazes,

de prevenção de acidentes. Dentre as medidas usualmente adotadas, podem ser
elencadas as seguintes:

• Instalações de detecção e extinção de incêndios

• Manutenção preventiva de equipamentos

• Políticas de backup de dados

• Políticas que contemplam o armazenamento de mídias em cofres e

segregação de ambientes

• Controles de identificação e acesso físico às instalações

 73

• Políticas que contemplam o armazenamento seguro de documentos

não magnéticos

Em instalações que apresentam maior criticidade para suas

organizações, são adotadas soluções de recuperação que incluem a utilização de
vários centros de processamento de dados. Dentro desta diretriz, são possíveis as
seguintes soluções:

• Espelhamento de Sistemas: Esta alternativa aplica o conceito no

qual o processamento de informações da organização ocorre em dois
sistemas idênticos (equipamentos, software e aplicativos replicados)
em localidades diferentes, que espelham-se mutuamente e atuam de
forma redundante. Um dos sistemas atende de fato as demandas
solicitadas, enquanto o outro, operando em paralelo, entende estar
realizando as mesmas operações. Desta forma é possível transferir,
de imediato, o processamento para o sistema auxiliar, caso seja
necessário. Esta constituí a opção mais cara, mas justificada em
sistemas críticos, para os quais uma pequena parada pode acarretar
grande impacto para a organização. Essa solução é usualmente
adotada em instituições bancárias.

• Fragmentação do Processamento: Neste caso a organização tem seu

processamento de informações fragmentado em vários locais
diferentes. A organização utiliza seus diversos centros de
processamento para servirem a exigências locais, ao mesmo tempo
em que estes sistemas apresentam uma capacidade de
processamento ociosa que pode se utilizada para assumir os
processos de outra instalação, com algum grau de degradação, em
uma emergência.

4.7 - Conclusão
Prover uma boa segurança de sistemas é algo difícil de se obter [Bla96]
e a segurança total é impossível [Den99J. Nenhuma solução isolada pode prover
uma resposta abrangente para o problema de segurança da informação, dada a
complexidade inerente destes problemas. Uma boa solução, capaz de tratar estas
 74

complexidades acaba por requerer mais de um tipo de medida no ámbito das

organizações. Extrapolando estes limites, as soluções passam por iniciativas que
demandam ações coordenadas de forma a se mostrarem efetivas [Den99].
Nenhuma medida tecnológica ou atitude individual ou organizacional mostrou-se
capaz de prover o tipo de orquestração de fatores necessários ao provimento de
uma solução coerente para os problemas de segurança de sistemas [Alb96], A o
contrário, o balanço apropriado de ações incidentes sobre os três vetores
fundamentais aqui identificados (Pessoas, Aspectos Organizacionais e
Tecnológicos), pode ser obtido para prover soluções adequadas para a crescente
complexidade dos problemas de segurança identificados.
 75

Na segunda parte deste trabalho serão descritos alguns estudos de caso

onde são feitas análises críticas confrontando as proposições teóricas já
apresentadas neste trabalho com as constatações empíricas verificadas no âmbito
das organizações estudadas.

Inicialmente será feita uma exposição das características da

metodologia e apresentados os fundamentos para a seleção desta técnica de
pesquisa para o estudo.

Como citado no inicio deste trabalho, seu escopo foca dois casos onde
são relatados incidentes e vulnerabilidades identificadas na segurança de
sistemas de informações de uma empresas de telecomunicações atuante no
mercado brasileiro. Os casos que serão apresentados envolvem a participação de
pessoas que devem ter suas identidades respeitadas e envolve ao mesmo tempo
uma empresa que se encontra em atividade. Com o fim de resguardar as suas
identidades, adotaremos nestes estudos as recomendações feitas pela AUDIBRA1
onde a
... em situações que a empresa e o autor não podem ser expostos, poderá
ser utilizado um pseudônimo, sem comprometimento dos agentes envolvidos."

Nesta orientação, certos cuidados foram tomados para manter em sigilo

as identidades tanto das pessoas quanto da própria empresa bem como no que se
refere às informações de caráter sensível levantadas ao longo destes estudos.
Assim nomes de pessoas não serão citados bem como informações que possam
levar â identificação da empresa que será referenciada pelo nome fictício de
TELEKOM.

Entretanto, os dados omitidos não comprometem a qualidade dos casos

apresentadas revelando informações úteis não só para o bom entendimento
daquilo que foi observado mas também para que algumas generalizações possam
ser propostas como resultado das interpretações dos fatos observados.

1
1nstituto dos Auditores Internos do Brasil- AUDIBRA. URL:< http://www.audibra.org.brjindex.htrn>
 76

Ao valer-se dos casos observados nesta empresa do setor de

telecomunicações brasileiro, este trabalho depara-se com uma oportunidade que
apresenta um rico potencial para estudos. Entende-se, aqui, que esta
oportunidade surge como decorrência do fato destas instituições estarem
experimentando uma profunda metamorfose nos seus aspectos exteriores e
intestinais. De fato, vale lembrar que as atuais operadoras privadas do sistema de
telecomunicações surgiram do amálgama de uma constelação de empresas
estatais com culturas regionalizadas e práticas diversas no trato com temas como
mercado, clientes, concorrência e efetividade dentre outros. Deste modo, cada
uma das antigas estatais implementava seus cuidados com a segurança de seus
sistemas de informação.

O interessante destes casos será, então, observar como as atuais

operadoras de telecomunicações estão levando a termo os cuidados relativos aos
seus ativos informacionais, num contexto caracterizado pela instauração de
grande concorrência face a outras operadoras (o que se dará a partir de 2003);
pela presença de exigências várias e ação fiscalizadora da Agência Nacional de
Telecomunicações (ANATEL); e pelas demandas de um público consumidor cada
vez mais exigente e por serem empresas que operam em um segmento
extremamente sujeito a fraudes em todo o mundo [Rse99].
 77

CAPITULO 5
A METODOLOGIA DE ESTUDO DE
CASO
5.1 - As características do método
Metodologia de estudos de caso são geralmente associadas ao campo da
pesquisa sociológica. Por vezes o estudo de caso tem sido criticado como sendo
pobremente fundamentado [Tel97], Apesar destas criticas, em meados da década
de 60 os pesquisadores vieram estar preocupados com as limitações dos métodos
quantitativos. Desde então tem havido um interesse renovado neste método
[Tel97]. Na atualidade alguns estudos bem sucedidos aceleraram sua aceitação
como sendo uma boa metodologia.

Freqüentemente o estudo de caso é criticado como uma metodologia

que possui uma grande dependência de casos únicos o que levaria a uma
incapacidade de prover conclusões generalizadas [Tel97].

Entretanto alguns autores [Ham93, Yin94] argumentam que o pequeno

número de exemplos utilizado não transforma o estudo de caso em uma
metodologia que geraria estudos microscópicos sem valor.

De fato o argumento consiste em que este tipo de estudo deveria definir

parâmetros os quais pudessem ser aplicados em todas as pesquisas dentro de
uma mesma área. Neste sentido, mesmo um estudo de caso único poderia ser
aceitável, contanto que o mesmo atingisse os objetivos propostos [Tel97J.

Em TELLIS [Tel97j tem-se que a literatura tem provido alguns insights

em alguns experimentos onde pode ser percebida singularidade do objeto de
estudo. Esta percepção garante a transformação de explicações caráter local em
explicações de caráter global. Em YIN \Yin89] é apresentado que a aplicação geral
dos resultados derivados destes estudos reside no conjunto de qualidades
metodológicas do caso e o rigor com o qual ele é construído. Um estudo de caso
 78

deve satisfazer três princípios metodológicos [Yin89]; capacidade de descrição,

capacidade de entendimento e capacidade de explanação.

A literatura especializada contém vários exemplos de aplicações de

estudo de caso no Direito, na Medicina e na Administração. Nestas áreas este
método foi primeiramente aplicado na elaboração de trabalhos acadêmicos
[Tel97J. Desde então este tem sido usado em aplicações governamentais para a
avaliação de algumas situações particulares (Tel97J. Um dos grandes apelos deste
método é permitir a percepção de informações importantes que os métodos
quantitativos tendem a obscurecer (Tel97j.

O numero de obras referentes a estudos de caso é limitada se

comparado ao número das que se referem aos métodos experimentais.
Entretanto a inflexibilidade desta última forma de pesquisa torna os estudos de
caso uma alternativa mais interessante em alguns casos [Tel97]. Nestes casos, o
pesquisador é chamado a trabalhar com a situação tal como ela se apresenta em
cada caso particular.

Como exposto em TELLÍS [Tel97J, deve ser ressaltado que a

generalização dos resultados, obtidos em projetos de caso único ou múltiplo, é
feita com base no seu valor teórico e não na população estudada.

As várias situações de uso da metodologia de casos apontadas por YIN

[Yín94], quando compiladas, sugerem uma abordagem de caráter geral para o
projeto de estudos de caso, que podem ser classificados como segue: estudos
explanatórios; estudos explicatórios e estudos descritivos.

Em estudos explanatórios a coleta de dados e os trabalhos de campo

podem ocorrer a priori frente a definição das questões e hipóteses pertinentes à
pesquisa. Nesta situação o arranjo do estudo deve ser feito primeiramente,
usualmente com o uso de um projeto piloto para a determinação os protocolos a
serem utilizados [Tel97].

A seleção dos casos constitui-se em um processo difícil [Tel97]. Existem

recomendações onde a seleção dos casos deve focar situações capazes de oferecer
oportunidades de maximizar o uso do tempo.
 79

Os estudos descritivos usualmente requerem que o pesquisador inicie

com uma teoria descritiva ou estar atento para a possibilidade de que problemas
podem ocorrer durante o projeto. Nestes casos o que deve estar implícito é a
formulação de uma hipótese [Tel97] e as relações de causa e efeito. Como
conseqüência as teorias descritivas devem cobrir todo o escopo do caso em
estudo.

De várias formas, vários cursos acadêmicos tem aplicado estudos de

caso objetivando coordenar diferentes disciplinas de uma forma integrada. Assim,
os estudantes passam a estar atentos às relações existentes entre as variadas
disciplinas de um currículo e começam a pensar em termos de uma abrangente
variedade de problemas e soluções [Tel97J.

A característica essencial dos estudos de caso é a sua capacidade de

levar a um amplo entendimento de sistemas que podem vir a ser estudos (Tel97).

Deve-se ter em mente que estudos de caso não constituem uma

pesquisa baseada em um único exemplo, mas que o caso selecionado deve ter
propriedades que permitam maximizar o que pode vir a ser aprendido em um
curto espaço de tempo [Tel97j.

Um outro ponto crucial nos estudos de caso é a sua unidade de análise.

Usualmente os estudos de caso devem focar em um dos aspectos fundamentais
para o entendimento do sistema estudado. Entretanto as interações entre os
componentes de um sistema devem ser considerados nesta abordagem. Por
último TELLIS [Tel97¡ cita que estudos de caso devem ser vistos como uma
estratégia de pesquisa triangular. Esta triangulação pode ocorrer entre dados,
pessoas, investigadores, teorias e mesmo metodologias [Tel97]. A necessidade
desta triangulação nascer do fato de ser necessária a confirmação para a
validação dos processos.

5.2 - O projeto de estudos de caso

Cinco componentes são identificados por YIN [Yin94j como importantes
para o projeto de estudos de caso:

• As questões em estudo
 80

• Suas proposições, caso venham a ser feitas

• Sua(s) unidade(s) de análise

• Uma congruência lógica que ligue os dados ás proposições

• Um critério para a interpretação dos achados [Tcl97j.

A s preocupações do estudo devem focar as questões "como e "por que"9

[Tel97J. Desta forma o primeiro cuidado é a sua elaboração. Como conseqüência

as proposições do estudo e suas metas, algumas vezes, derivam destas questões
precedentes. Entretanto nem todos os estudos necessitam ter proposições. Um
estudo exploratório, por exemplo, pode vir a ter um propósito explicito que
mensure o seu sucesso [Tei97j,

A unidade de análise podem ser pessoas, processos, grupos ou

organizações ou mesmo nações.

A vinculação entre dados e proposições e os critérios adotados para a

interpretação dos achados é o último aspecto a ser desenvolvido nos estudos de
caso [Yin94|.

Um outro aspecto critico na pesquisa baseada em estudos de caso ê a

validação de sua construção dada à potencial subjetividade do investigador
[Tel97J. Em YIN [Yin94] são apresentadas três proposições que constituem óbices
a este aspecto: o uso de diferentes fontes de evidencias; o estabelecimento de
uma cadeia de evidencias; ter um esboço de relatório de estudo que seja revisto
por pessoas chave. A validade interna torna-se especialmente um problema
quando eia tende a levar a "inferências 37
no âmbito do estudo de caso.

A validade externa é um aspecto de atenção para que os resultados

possam ser generalizados para além do caso em estudo [Tel97]. Entretanto, esta
critica não pode ser direcionada ao aspecto analítico do caso visto ser esta análise
qualitativa em sua essência.

Por outro lado a replicabilídade dos resultados do estudo podem ser

garantida com o desenvolvimento de protocolos para o estudo de caso [Tel97].

Os estudos de caso podem ter tanto um projeto de caso único ou de

iiiúUiplos casos [Tc397j. Casos únicos são úteis quando a intenção é confirmar ou
 81

desafiar uma teoria, ou representar um caso único [Tel97j. Nestas situações onde
a pesquisa se dará sobre um fenômeno que é freqüentemente inacessível os
estudos singulares podem ser usados de forma revelatória [Tel97]. Nestes casos o
projeto do estudo requer cautela de modo a evitar uma representação errônea e
de modo a maximizar o acesso às evidencias.

Estudos de casos múltiplos seguem a lógica da replicação. Uma lógica

de exemplos onde a seleção é feita a partir de uma população em geral pode se
mostrar imprópria em um estudo de caso [Tel97]. Cada estudo individuai deve
consistir em um estudo "completo", no qual fatos são obtidos de várias fontes e
conclusões são delineadas a partir destes fatos.

U m protocolo típico deve ter as seguintes sessões, segundo apresentado

por YÍN [Yin94j:

• Uma descrição ampla do projeto de estudo (objetivos, aspectos

relevantes, tópicos a ser investigados) que possa comunicar os
propósitos e questionamentos do estudo

• Procedimentos de campo (acesso aos sítios de estudo e fontes de

informação)

• Questões especificas do estudo que devem estar em mente quando

do processo de coleta de dados

« Um padrão para guiar o relato do estudo de caso.

Questões do estudo de caso são colocadas no processo de investigação e

devem servir para lembrar quais dados devem ser coletados e suas possíveis
fontes [Tel97]. Isto ê essencial para o planejamento deste relatório â medida que o
caso evolui e para evitar problemas ao seu final.

Seis fontes de informação são identificadas por YIN |Yin94] em estudos

de caso, tal como segue:

• Documentos

• Registros de arquivos

• Entrevistas
 82

• Observação direta

• Observação participativa

• Artefatos físicos.

Documentos podem ser cartas, memorandos, agendas, documentos

administrativos, artigos de jornais ou qualquer outro documento que seja
relevante para a investigação. No interesse da triangulação das evidencias, os
documentos servem para corroborar evidencias obtidas de outras fontes [Tel97],

Documentos de arquivos devem ser fidedignos. É importante proceder

uma avaliação cuidadosa dos registros antes de sua utilização. Uma grande
quantidade de registros não implica que os mesmos sejam confiáveis [Tel97].

As entrevistas podem assumir várias formas [Tel97]. Em uma entrevista

Open-Ended entrevistados são solicitados a comentar sobre determinado evento.
Eles podem propor soluções ou prover insights sobre o mesmo evento. Eles ainda
podem corroborar evidencias obtidas a partir de outras fontes. Deve ser evitada a
dependência de um único informante. Os mesmos dados devem ser buscados em
outras fontes para verificar a sua autenticidade [Tel97].

Uma entrevista focada é freqüentemente utilizada para confirmar dados

coletados de outras fontes. Esta é uma situação onde o entrevistado é
questionado por um curto intervalo de tempo [Tel97J.

Uma entrevista estruturada é similar a um survey e é aplicada para

obter dados em casos como estudos de vizinhança. As questões são detalhadas e
desenvolvidas a priori como no caso dos surveys [Tel97J.

A observação direta ocorre quando uma visita de campo é conduzida

durante o estudo de caso. Pode ser uma atividade de coleta de dados casual ou
formal para registrar ou medir comportamentos ou eventos. Esta técnica é
bastante útil para prover informações adicionais sobre um ponto em estudo
[Tel97j.

A observação participante permite uma participação ativa nos eventos

em estudo. Esta modalidade mostra-se útil em estudos em vizinhanças ou em
grupos. Esta técnica provê oportunidades únicas para a coleta de dados.
 83

Entretanto a participação ativa do observador como parte do grupo pode afetar o

encaminhamento dos eventos o que pode ser prejudicial para o estudo [Tel97j.

Artefatos físicos podem ser qualquer evidencia física que possa ser
coletada durante o estudo como parte de um trabalho de campo [Tel97].

É importante ter em mente que nem todas as fontes são relevantes para
todos os estudos de caso [Yin94¡, mas cada caso pode apresentar diferentes
oportunidades para seu uso.

Um outro aspecto importante ressaltado por TELLIS [Tei97] é o uso de

teses e hipóteses rivais como um meio de adicionar controle de qualidade ao
estudo. Como proposto, isto deve por em relevancia a percepção da seriedade do
estudo.
 84

CAPÍTULO 6
A EMPRESA
6.1 - Introdução
A TELEKOM é uma empresa de capital privado atuando como uma
prestadora de serviços de telecomunicações no mercado brasileiro. Foi
constituída em 1998 a partir da aquisição de algumas empresas estatais
pertencentes ao grupo TELEBRÁS, quando da privatização das operadoras do
grupo em leilão público ocorrido em 1998.

Tal como as suas concorrentes, constituídas de forma similar, a

TELEKOM, desde a sua constituição, vinha lutado para institucionalizar-se como
uma empresa viável frente aos seus controladores e clientes. Ao mesmo tempo ela
enfrentava um momento singular em que tinha sua organização intestinal
marcada pela diversidade cultural herdada das várias operadoras estatais.

Como a grande maioria das organizações de grande porte, a estrutura

organizacional da TELEKOM caracteriza-se por sua hierarquia de comando.
Centrados na matriz estavam o Conselho de Acionistas, o Diretor Presidente, os
Vice-Presidentes e os diretores ligados a assuntos de abrangência corporativa. A
presença da TELEKOM em sua área de concessão era feita pela existência de
cinco regionais onde o diretor superintendente era o executivo de mais alta
hierarquia. A ele estavam subordinadas as diretorias voltadas para assuntos
locais.

As marcantes diferenças de cultura corporativa compunham um

mosaico de práticas e valores organizacionais tão rico quanto complexo de ser
gerido, isso tornava a administração da TELEKOM, como uma corporação única,
uma tarefa titânica. Até o momento em que estes estudos foram concluídos, os
funcionários das suas regionais ainda manifestavam um comportamento muito
mais voltado para os interesses locais que para os interesses corporativos. Mesmo
havendo o esforço para que tais sistemas de crenças locais fossem sendo
substituídos por um único sistema corporativo, pôde ser observada uma
 85

renitência grande na adoção deste novo conceito: a TELEKOM ainda não era
urna, eram várias.

Os serviços prestados peia TELEKOM, tai como outras operadoras no

Brasil, são regulamentados peia ANATEL com base nas cláusulas do contrato de
1

concessão do Serviço Telefônico Fixo e Comutado - STFC, local e longa distancia

nacional, celebrados entre a ANATEL e a TELEKOM. Esta concessão permite à
empresa a exploração do STFC destinado ao uso da população em geral, prestado
em regime publico, na modalidade de serviço Local e Longa Distância Nacional,
para chamadas originadas na área geográfica definida para ela nos Termos do
plano Geral de Outorgas.

Tal como as suas concorrentes, a TELEKOM ao explorar sua concessão

deve prestar um serviço de qualidade adequada a satisfizer condições de
regularidade, eficiência, segurança, atualidade, generalidade, cortesia e
modicidade das tarifas dos serviços que presta. A mesuração da qualidade dos
serviços prestados obedece os parâmetros e indicadores do Plano Geral de Metas
de Qualidade da ANATEL.

Ainda por determinação da ANATEL, as operadoras que desejassem

explorar os serviços de telecomunicações além dos limites de suas áreas de
concessão, pudciíaiii faze-lo a partir de março de 2003 Para tanto elas deveriam
demonstrar, até final de março de ¿003, ter antecipado as metas de
disponibilização de serviços de telefonia púbíiea e privada, em suas áreas,
imnosias peia iiiesmà AMATEL. Tal iniciativa recebeu o nome de "Plano de
Antecipação de Metas do Plano Geral de Metas de Universalização*, ou "Plano de
Antecipação de Metas de Universalização" - PAMU.

O PAMU representou, em 2001, investimentos da ordem de R$ 6 bilhões

por parte dos acionistas da TELEKOM. Caso a TELEKOM não lograsse atingir
estas metas, outras concorrentes poderiam faze-lo e assim teriam permissão para
atuar em sua área de concessão sem que ela pudesse fazer o mesmo. Isto
certamente seria a falência da empresa. Desta forma as pressões sofridas pelos
administradores, para cumprir não só as exigências imediatas de qualidade de

' ANATEL - Agencia Nacional de Telecomunicações é órgão regulador do setor brasileiro de telecomunicações.
 86

serviços exigida peia ANATEL mas também o apertado cronograma do PAMU,

eram muito grandes.

Os trabalhos conduzidos pela auditoria interna deixaram perceber as

pressões a que as alta e média frações da administração da TELEKOM estavam
sendo expostas. Tais pressões tinham origem na necessidade do atendimento do
programa de antecipação de metas e faziam com que boa parte dos cuidados e
controles necessários à correta gestão da segurança de vários processos
organizacionais fossem olvidados. Em todos estes processos organizacionais os
sistemas de tratamento de informações representavam um papel de capital
importância.

6,2 - O Processa de fkturassiestc

Dentre os processos que se desenvolvem dentro da TELEKOM, o
processo de faturamento dos serviços de comunicação de voz e dados foi aquele
onde ocorreram os casos de fraude que serão tratados neste trabalho. A Figura
LI apresenta uma visão geral do processo de faturamento dos serviços de
telecomunicação. Da observação da Figura 1.1 podem ser observadas as etapas de
coleta das medições dos serviços prestados, a valoração dos serviços prestados, a
emissão das faturas e cobrança que constituem o processo de faturamento.

Vários são os itens que compõem uma fatura emitida por uma
operadora de telefonia para seus clientes, O provimento da capacidade de efetuar
chamadas é o serviço básico que uma operadora de telefonia presta aos seus
clientes. Tal serviço é disponibilizado por meio de centrais telefônicas às quais os
terminais dos clientes encontram-se ligados . 1
Estas centrais telefônicas
atualmente podem ser baseadas em duas tecnologias: Digitais e Analógicas.

As centrais analógicas são centrais telefónicas eletro-mecânicas que,

por meio de relês, estabelecem as ligações solicitadas pelos usuários. Por serem
centrais antigas, as mesmas estavam sendo desativadas em todo a TELEKOM
dentro dos planos de modernização da planta de equipamentos. Tais centrais
além de demandarem muita energia não proporcionam mecanismos eficientes de

1
Em TANENBAUM, Andrew Computer Networks 3° ed. item 2 4 encontra-se uma boa explanação sobre os sistemas tte telefonia fixa
comutada (STFC).
 87

controle das chamadas realizadas nem outros serviços adicionais. Nestas centrais
a marcação das chamadas realizadas é feita por um mostrador analógico
semelhante a um odómetro.

Uma vez que fosse necessário medir o tempo de chamada utilizado

pelos terminais controlados por estas centrais, uma camera fotográfica especial
era acoplada em um painel existente no corpo da central e os medidores eram
fotografados. Estas fotos eram reveladas e enviadas para empresas que
realizavam o serviço de leitura das fotos e a digitação dos valores de cada
mostrador aí presente. Terminada a digitação das fotos, os dados coletados eram
gravados em uma fita magnética que era enviada para a TELEKOM. Os dados
presentes nesta fita eram gravados nos discos do computador e em seguida
incorporados aos arquivos que iriam ser tratados pelo sistema de faturamento.

As centrais digitais são computadores construídos para permitir que as

chamadas dos usuários sejam estabelecidas de forma mais eficiente que a obtida
com o uso das centrais analógicas. Tais centrais além de serem menores que as
analógicas, controlam um número maior de terminais com menor consumo de
energia. Os recursos de controle de terminais disponíveis nestas centrais são
mais eficientes já que os registros das chamadas realizadas são feitos de forma
digital e armazenados nas suas unidades de disco. Como decorrência da
tecnologia utilizada, a maioria destas centrais disponibiliza outros serviços
adicionais como secretária eletrônica, serviço de despertador e siga-me" dentre ff

outros.

Na TELEKOM as centrais digitais que estavam ligadas à rede de dados

corporativa eram capazes de se comunicar com o sistema de faturamento. Por
conseguinte podiam transmitir os registros das chamadas dos terminais
controlados por elas para o sistema de faturamento quando necessário.

No caso das centrais digitais ligadas à rede de dados corporativa, as

medições dos usos de serviços feitos pelos assinantes e gravadas na unidade de
disco da central, são transferidos para fita magnética. Como no caso das centrais
analógicas, os dados presentes nesta fita eram gravados nos discos do
computador e em seguida incorporados aos arquivos que iriam ser tratados pelo
sistema de faturamento.
Figura 1.1
 90

No serviço de telefonia fixa comutada, as chamadas locais geram um

tipo de registro ao qual se dava o nome de Serviço Medido. No caso das chamadas
interurbanas e para telefones celulares, um outro tipo de registro com
informações mais completas era gravado. Tal registro é denominado de Cali Data
Register - CDR. Cada central telefônica varia o formato dos registros de chamada
que gera, em função do seu modelo e fabricante.

Na TELEKOM, esta variedade de registros de chamadas eram tratados e

apresentados em uma forma normalizada que permitia que os dados presentes
nestes diferentes registros pudessem, após tratados, ser apresentados de uma
forma única. A partir deste ponto as chamadas realizadas pelos assinantes
podiam ser tratadas para fins de faturamento.

No caso da TELEKOM o sistema de uso corporativo voltado para o

processo de faturamento é o SCEC. O SCEC era um sistema legado de uma das
antigas operadoras do sistema TELEBRÂS, originalmente concebido para atender
às necessidades daquela operadora em particular. O SCEC era composto de dois
módulos:

• O módulo de cadastro dos dados completos dos terminais e clientes a

eles associados

* O módulo encarregado de executar o processo de faturamento da

empresa.

A adoção do SCEC por todas as recém criadas regiões da TELEKOM não

se deu de forma tranqüila. As antigas operadoras estatais possuíam CPDs
próprios e os seus próprios sistemas de cadastro de clientes e de faturamento.
Mesmo fazendo parte do extinto grupo TELEBRÁS estas estatais não
compartilhavam seus dados, processando suas informações de forma totalmente
independente umas das outras. Seus sistemas administrativos eram estranhos
uns aos outros.

Após o leilão de 1998, com a "fusão" das estatais em uma empresa

privada, passou a ser necessário (por questões de custo) que a empresa tivesse
um CPD único. Contudo, dada a multiplicidade de sistemas jã existentes e
 31

urgência para que a empresa operasse de forma regular não permitia que
sistemas de uso corporativo, cujas transações pudessem ser executadas online de
qualquer local, fossem construídos naquele momento.

Dentre os CPDs das estatais adquiridas, o mais bem equipado foi eleito
como sendo o CPD da TELEKOM. A solução paliativa encontrada para contornar
a questão dos sistema foi eleger um dos antigos ambientes de sistemas j á
existentes nas operadoras e replicá-lo para ser utilizado por todas as regionais,
sem integrá-los. Por questões que extrapolam o escopo deste trabalho, como
sistema de controle de clientes, planta de terminais e de faturamento foi eleito o
SCEC.

Tal CPD possuía mainframes que permitiam a criação de ^máquinas

virtuais" estanques umas das outras . Dentro da orientação adotada, foram
1

criadas, nestes computadores corporativos, várias máquinas virtuais para

comportar os dados oriundos das várias operadoras recém adquiridas. Desta
forma, a cada uma das novas regionais da empresa foi destinada uma destas
máquinas e nelas foram implantadas réplicas do ambiente original do SCEC.

Isto feito, para cada um destes bancos replicados do SCEC, foram

migrados os dados de cada uma das regionais da TELEKOM. Ao término dos
trabalhos, não existia, de fato, um único SCEC de uso corporativo em operação.
Existia um CPD único, que atuava como repositório central das "máquinas" de
cada um das regionais. Exceto isto, cada máquina comportava-se de forma
totalmente estanque e independente.

Desta forma o processo de faturamento de cada uma das regionais

acontecia de forma independente e os resultados destes processamentos eram,
em principio, de conhecimento somente das administrações regionais.
Posteriormente estes resultados eram compilados nas regionais e enviados para
conhecimento dos administradores sediados na matriz.

Ao longo do processo de faturamento outros serviços, além das

chamadas telefônicas, também acabavam por compor a fatura. As ligações a

1
Máquina Virtual [Virtual Machine) -
 92

cobrar geradas a partir de terminais de outras operadoras e cobradas na fatura

dos clientes da TELEKOM [Cobilling) constituem um exemplo de outros serviços
que podiam ser faturados. Da mesma forma serviços como doações a entidades
filantrópicas; assinatura de revistas, jornais e TV a cabo eram freqüentemente
cobrados em faturas telefônicas.

Para que a fatura pudesse ser cobrada era necessário que o sistema de
faturamento pudesse vincula-la a um terminal cadastrado no SCEC. Desta
maneira era possível identificar o cliente contra o qual seria emitida a fatura ao
final de cada mês. Algumas vezes algumas inconsistências ou falhas ocorridas no
processamento automático das faturas geravam registros que não podiam, por
variadas razões, ser cobrados dos clientes. Algumas das vezes tais falhas eram
decorrentes de algum erro de operação da central. Outras vezes problemas nas
linhas telefônicas não permitiam que as ligações ocorressem da forma correta.
Isso acabava por gerar registros que não podiam ser valorados. Esses registros
"rejeitados" pelo processo de faturamento, deviam ser posteriormente analisados
para verificar se algum erro, que pudesse comprometer o faturamento dos
serviços prestados pela empresa, estava ocorrendo.

Em outras vezes falhas de cadastro podiam impedir que os registros j á

valorados fossem iançados em uma fatura. Esses casos podiam ocorrer devido a
erros existentes, tanto nos dados cadastrados para cada terminai nas centrais
telefônicas, quanto nos cadastros do sistema de faturamento. Outras falhas como
registros de chamadas, cujo tempo de duração são muito grandes, faziam com
que estes sejam considerados como não faturáveis.

O processo de faturamento terminava quando eram emitidas as faturas

contra estes clientes constando o valor de cada serviço cobrado. O controle do
pagamento destas faturas constitui função da Cobrança.

6.3 - Os casos estudados

Boa parte das fraudes que ocorrem nas organizações não são
divulgadas e poucas são as empresas que falam abertamente sobre as fraudes a
que estiveram sujeitas [Mod00][Mod01J. Em geral seus administradores temem
 93

passar uma imagem de corporação que não possui procedimentos mínimos de

segurança.

Os inquéritos e ações judiciais sobre fraudes e espionagem industriai

raramente chegam ãs delegacias e tribunais sendo que de modo geral, as
empresas preferem resolver seus problemas com discrição para não tornarem-se
ainda mais vulneráveis publicamente.

Nesse tipo de ocorrência, a vítima tende a ficar calada por vergonha ou

porque tem coisas a esconder. Os concorrentes usam mecanismos nada éticos,
como chantagem, e funcionários desleais podem se valer do conhecimento das
fragilidades de seu empregador. Por isso, esses casos não costumam ser
denunciados.

Apesar de ser um aspecto bem documentado de segurança de sistemas,

a questão do ofensor interno {insider) encontra-se relegada na maioria das
organizações. Esta desconsideração não constitui privilégio das organizações
brasileiras. A literatura especializada cita inúmeros casos de empresas
americanas e européias onde as perdas foram consideráveis para as mesmas pelo
pouco cuidado que legavam ao tratarem com a segurança de seu pessoal interno.

Isto em parte decorre da relutância da administração das organizações

em arcar com os custos de segurança. Como comentado anteriormente,
segurança é algo caro e poucos estão dispostos ou podem pagar para tê-la.

Outro fator que contribui para os problemas internos de segurança nas

organizações é o fato de ser desagradável limitar, aos próprios funcionários, o
acesso às dependências da organização.

Entretanto uma grande consideração deve ser dada â ameaça

representada pelo ofensor interno, o qual pode representar um grande risco de
comprometimento dos aspectos fundamentais da segurança da informação:
Confidencialidade, Integridade e Disponibilidade. Segundo artigo publicado pelo
SANS [TerOOj, estima-se que 8 0 % dos ataques sofridos por seus sistemas de
informação tenham suas causas residindo dentro da própria, organização. Ainda
segundo este artigo, as brechas mais sérias que resultaram em perdas
 94

financeiras para as empresas ocorreram como decorrência de acessos não

autorizados de seu pessoal interno.

Constitui entendimento de vários autores que o grande risco

representado pelo ofensor interno está associado ao fato dos mesmos entenderem
muito bem as organizações a que pertencem e em especial como os seus sistemas
de informações trabalham e quais suas deficiências. Como decorrência um
ataque promovido por um ofensor interno tem maiores chances de obter sucesso,
danificando ou apropriando-se de informações críticas. Ao mesmo tempo este
ofensor representa um dos grandes desafios com que se depara a segurança das
organizações, uma vez que o mesmo encontra-se autorizado a acessar os
sistemas.

Os dois estudos de casos que se seguem foram observados de forma

participativa ao longo do ano de 2001. Ambos são casos que se desenrolaram ao
longo de vários meses. E por envolverem solução de fraudes, esses casos, não
podem ser relatados de forma sumária sem comprometer a percepção da
multiplicidade de fatores envolvidos e que permitiram que os mesmos tivessem
ocorrido.

Ambos exploram situações em que foram verificadas fraudes em etapas

distintas do processo de faturamento da TELEKOM. Em ambos os casos foi
constatado que as fraudes identificadas ocorriam devido a uma conjunção de
fatores de naturezas distintas. Isoladamente tais fatores não responderiam pelas
fraudes identificadas nos casos estudados. Entretanto, ao coexistirem estes
fatores acabaram por estabelecer relações complexas que fragilizavam a empresa.

Estas fragilidades uma vez identificadas pelas pessoas, permitiu que

algumas delas (independente do cargo que ocupavam na hierarquia) fizessem uso
das mesmas para obter vantagens em prejuízo da empresa.
 95

Neste estudo de caso será explorada uma situação que teve sua origem
atrelada à falta de políticas na concessão e administração de acessos ao Sistema
de Faturamento e ao Sistema de Cadastro de Clientes da TELEKOM.

Foram identificadas, com esta análise, as vulnerabilidades a que estava

exposto o processo de faturamento da empresa em estudo. Na seqüência dos
fatos serão relatados como formam identificadas as vulnerabilidades do sistema
em estudo e as ações adotadas com vistas a minorá-las ou saná-las
definitivamente, fosse por meio de alterações na seqüência das etapas do
processo de faturamento da empresa, fosse pelo estabelecimento de uma politica
de concessão de acessos ao sistema ou pela redefinição dos perfis de acesso dos
usuários do sistema.

No desenvolvimento deste estudo de caso optou-se por relatar, de inicio,

os fatos observados na seqüência temporal em que os fatos se deram. Em seguida
será feita uma interpretação dos fatos e dados obtidos, os quais serão discutidos
com base nos elementos teóricos que subsidiarão a análise

7.2 - Privilégios de Acesso a Sistemas Corporativos

No inicio de 2001, a vice-presidência financeira da TELEKOM solicitou ã
diretoria de auditoria interna, a condução de um processo para análise dos
controles de faturamento. O vice presidente financeiro informou que o gerente,
responsável pela emissão de faturas de clientes na região 5, havia percebido um
grande número de terminais cujas chamadas não estavam sendo faturadas. Tal
solicitação se fizera necessária dada ã expressiva perda de receita que estava
ocorrendo.
 96

7.2.1 - Estudos Preliminares

Na etapa de estudos preliminares, a auditoria interna constatou que

muitas chamadas não haviam sido faturadas, em virtude da impossibilidade do
SCEC de identificar, em seus registros, o terminal que gerara estas chamadas,
isso ocorria porque os dados cadastrais destes terminais telefônicos, haviam sido
corrompidos por alguém.

Os estudos preliminares mostraram, ainda, que o arquivo de log do

SCEC não permitia identificar as pessoas que poderiam estar corrompendo o
sistema. As informações contidas nos logs estavam incompletas. Com isto não era
possível rastrear as ações dos usuários. Ademais, não estavam registradas as
operações realizadas pelos usuários, mas somente o momento em que eram
estabelecidos e desfeitos os acessos ao sistema.

Para que um usuário pudesse ter acesso ao SCEC, era necessário que
ele se identificasse, por meio de um código de identificação e confirmasse sua
identidade. Tal identificação se dava por meio de uma senha ipassword^. O SCEC
possuía um conceito de privilégios de acesso baseado em uma hierarquia de 5
níveis. Ao ser cadastrado como usuário do SCEC, o funcionário recebia código de
identificação - ID, gerado pelo administrador de segurança da regional onde ele
estava lotado. Ao mesmo tempo era fornecida, ao funcionário, uma senha iniciai
de acesso ao SCEC. A prática adotada, por estes administradores, era usar
sempre a mesma senha de acesso inicial, todas as vezes que algum usuário era
cadastrado.

Estes 5 níveis de privilegio de acesso, eram:

• Nível de privilégios mais baixo (nívei Ej havia sido concebido para

os casos em que os usuários estivessem em férias ou afastados do
serviço. Nele o usuário não tinha permissão para acessar qualquer
transação do sistema

• O nível seguinte (nível D) destinava-se aos usuários comuns do

sistema. Nele o usuário só tinha acesso ás transações classificadas
 97

como "Públicas", as quais não implicavam na exposição de

informações sensíveis

• No nível C o usuário tinha acesso não só às rotinas Públicas, mas

também a algumas rotinas de acesso restrito. Tal acesso era
possível, contanto que houvesse sido concedido por um
administrador de segurança

• O nível B era destinado aos administradores de segurança. Nele

era possível conceder acessos às transações restritas

• O nível A era destinado ao pessoal de TI. Neste nível o usuário

possui atributos para controlar a execução do SCEC no ambiente
de produção. Este nível de acesso só poderia ser concedida pelos
analistas responsáveis pelo SCEC.

Em cada uma das administrações regionais da empresa, havia um

administrador de segurança, que concedia ou revogava os acessos dos usuários
lotados naquela regional. Entretanto, já que não havia uma administração
centralizada das concessões de acesso ao SCEC, cada administração acabava por
adotar uma politica particular, na maioria das vezes sem documentação formal,
para o controle destas permissões. Em termos práticos, a concessão dos acessos
ao sistema se dava com base em uma mensagem de correio eletrônico, emitida
pelo gerente imediato do usuário. Entretanto a revogação dos acessos raramente
era solicitada, já que não havia a obrigatoriedade de se informar, aos
administradores de segurança, o desligamento ou a transferência de um usuário
de uma região para outra.

Nos casos em que os usuários necessitavam de acesso aos sistemas das

várias regionais, era necessário que esta solicitação fosse passada aos analistas
responsáveis pelo sistema, lotados no CPD da empresa. Isto era necessário pois
só eles possuíam privilégios para criar qualquer tipo de usuário, em qualquer um
dos cinco ambientes de produção existentes na empresa. Este tipo de demanda
não havia sido previsto, quando os ambientes de produção do SCEC foram
implantados para cada uma das regionais. Com isso, esta tarefa ( que era da
 ge

alçada dos analistas responsáveis pelo sistema), s o podía ser realizada

manualmente. Estes analistas tinham, então, que repetir o as etapas do
procedimento de cadastramento do usuário, e de concessão dos acessos as
transações do sistema, tantas vezes quantas fossem as regionais onde os acessos
eram solicitados. Ademais, estes analistas eram em número de dois e para eles
convergiam este tipo de solicitação vindo de usuários de toda a empresa.

Como resultado, o atendimento a este tipo de solicitação nunca era

rápido. Nas entrevistas realizadas junto aos analistas e gerentes das áreas,
ficaram evidentes as queixas generalizarlas sobre esta situação. Realizar a mesma
tarefa repetidas vezes era algo enfadonho, demorado e oneroso, considerando a
grande demanda existente na época e o reduzido número de pessoas
responsáveis por realizar esta função.

7.2,2 - Trabalho de Campo

Posta esta situação, sabia-se agora que a concessão dos acessos aos
usuarios se dava de urna forma quase que informal. Ademais, não existia
qualquer controle formal sobre as razões, alegadas pelos solicitantes; para que
este ou aquele nivel de acesso ao sistema fosse ou Un gado a um usuario.

Da mesma fon ria, os logs do sistema, na situação em que estavam, não

serviam como instrumento de controle de acesso ao SCEC. üma vez que estes
logs não iriam permitir a identificação de quera estava agindo de forma
prejudicial à empresa, a opção era realizar o "saneamento* dos acessos ao
sistema, e refazei- os mecanismos de identificação e autorização de acesso ao
SCEC. Para tanto era necessário conhecer o universo de usuarios, seus atuais
privilegios de acesso ao sistema e buscar restringir estes privilegios ao mínimo
necessário para a realização das funções que seus cargos erigiam.

Dentro deste plano, inicialmente foi feita a extração dos registros dos
códigos de acesso dos usuários das tabelas do SCEC e dos registros de
funcionarios da TELEKOívi. Sobre estes conjuntos de dados, seriam feitos os
estudos da situação geral dos códigos de acesso. A analise das permissões de
 99

acesso da população de usuários do SCEC revelou a distribuição percentual que

é apresentada na Tabela 1.1:

Distribuição Percentual dos Níveis de Acesso

MtveS de Acesso
Classes de Usuários Total
A e C D E
Funcionários com acesso somente onde se localizam 0,03 0,39 4,05 27,77 0,78 33,01

Funcionários com acesso onde se localizam e em outras localizações 0,13 0,04 1,13 2,19 0,02 3,51

FuncionáTws com acesso somerrte e m outras íocafeaçóes 0,12 - 0,06 1,96 0,10 2,21

0,28 0,43 5,22 31,91 0.8S 38,74

Não funcionários cem aessso ao SCEC 0,39 2,15 57,07 1,65 61.26

Total d e Usuários do SCEC 0,67 0,38 7,47 89,98 2,55 100,00

Tabela 1.1

O primeiro grupo de análises foi feito sobre as concessões de acessos

nível A. Estes estudos constataram que aproximadamente 1 em cada 150
usuários possuía privilégios, não só para conceder acessos irrestritos a outros
usuários, como também para tirar o SCEC de operação, caso tivessem recursos
para isto. Destes grupo de usuários 6 em cada 10 mantinham contratos
temporários de prestação de serviços com a empresa. Mesmo que neste grupo, a
proporção dos funcionários da empresa fosse de 4 em cada 10 usuários, a análise
das atividades desenvolvidas por estes funcionários dentro da empresa revelava,
em alguns casos, não serem justificáveis os privilégios de acesso ao SCEC que os
mesmos possuíam (Tabela 1.2).

Esses dados mostram que 3 1 % dos usuários com acesso nivel A eram
analistas de sistemas que estavam lotados no CPD, o que a priori parecia ser algo
aceitável. Entretanto, conforme revelado na Tabela 1.1, uma parte destes
analistas eram funcionários não efetivos da empresa. Ainda na Tabela 1.2,
observa-se uma série de outros usuários cujos cargos não justificam tamanha
prioridade de uso do sistema.
 100

Distribuição Percentual dos Acessos de Nível A por Cargo

Cargo %
Anaíísía de Sisiemas 30,91
Assistente A.tend«nent0 Clientes
Operador de Atendimento a CSentes 10,00
Analista de Processos 8,18
TècrvcQ de Teleprocessamento 5,45
Anafeía de Suporte Técnico 4,55
Assistente Comercia) 4,55
Anatista da Gerência Oe Rede 3,64
Procframador 3,64
Analista de Banco de DaxJos 2,73
Analista de Desempenho Operacional 1,82
Especiaíista de Profetas de Atendimento 132
Assistente de Supervisão de Informática 1,80
Analista de Engenharia Comerciai osi
AnaíisJa rie Projetos Atendimento 0.SÍ
Auxiliar Administrativo OSI
Coordenador Sisiemas Tratamento de Ciente 0,91
Líder Serviços a Clientes 031
Supervisor de Desenvolvimento de Sistemas 0,91
Total 190,00
Tabela 1.Z

Voltando à Tabela 1.1, uma análise mais apurada dos usuários, que em
princípio apareciam como funcionários da empresa, considerando a sua situação
funcional, revelou os resultados presentes na tabela 1.3:

Situação dos Funcionários com acesso ao SCEC

Distribuição Percentual
Nível de Acessa
Situação rio Funcionário Total
A B C D E

Ativo 0,69 1,08 12,77 e&,42 1,05 84,01

Desligado 0,04 0,02 0,39 11,14 1,15 12,73

Licença - 0,01 0,33 2,81 0,10 3,24

Licença Remunerada - - 0,01 - 0,01

Total 0,73 1,11 13,48 82,37 2,30 IlíO.Ülí

Tabeia 1.3

Assim, mesmo sendo de 38,74 % a participação total dos funcionários

da empresa (Tabela 1.1) no conjunto total dos acessos ao SCEC, 12,73 % desse
conjunto representavam acessos facultados a pessoas que j ã não pertenciam aos
quadros da empresa. A explicação para isto residia no fato de não haver, até
então, a obrigatoriedade de informar aos administradores de segurança a saída
de um usuário de um local para outro ou da empresa.
 101

De forma similar, foi feito o estudo da situação da vigência dos

contratos de prestação de serviços firmados com a empresa. Os usuários do
SCEC que não eram funcionários da empresa representavam, então, 61,26 % do
total de usuários desse sistema [Tabela 1.1]. Os resultados obtidos estão
apresentadas na Tabela 1.4:

Situação dos Não Funcionários com acesso ao SCEC

Distribuição Percentual
Nível de Acesso
Vencimento do Contrato Total
A B C D E

Sam dala 0,49 0,29 8,14 0,10 9,01

Data vencida 0,03 0,28 11,81 0,76 12,83

A vencer 0,10 2,95 73,21 1,84 78,10

Total 0,63 3,51 93,16 2,70 100,00
Tateia \A

Da análise desta tabela, observa-se que 9 % destes usuários não

possuíam, nos registros de controle de acesso, urna data definida para a
revogação de suas permissões de acesso. Aproximadamente 13 % destes usuários
apresentava a data de revogação j á vencida. Este fato mostra que até então não
existia um controle real sobre estes códigos de acessos. Ainda mais, isto estaria
indicando que estes IDs poderiam ser usados, até por outras pessoas, para
acessar o sistema. Isto caracterizaria fraude.

Ainda com relação aos usuários do SCEC que não eram funcionários da
empresa, foi possível identificar um subgrupo de usuários do tipo "Genérico de
uso do CalíCenter" (Tabela 1.5). Os usuários desta classe nunca eram revogados.
Neste caso, saindo da empresa a pessoa associada a um destes ÍDs, outra era
contratada e a esta era repassado este mesmo ID. É certo que os privilégios de
acesso destes usuários era baixo, entretanto ficava patente a impossibilidade de
identificar qual pessoa havia acessado o sistema uma vez que a identificação
destes IDs nos logs do sistema não tinha nenhum significado. Questionada sobre
estas práticas, as administrações de segurança afirmaram que isto visava reduzir
o trabalho. Como o rodízio de pessoas nos postos de callcenter era muito grande e
como as etapas do cadastramento eram feitas de forma manual, tornava-se
impraticável revogar e criar IDs de usuários sem que isto comprometesse os
serviços deste setor. Junto aos usuários constatou-se que tanto os IDs quanto as
 102

senhas de acesso eram conhecidas por uma parte das pessoas que apresentavam
uma permanência maior neste setor.

Contagem de usuários "Genérico de uso do CeáíCentef

Região Nivel de Acesso Número de Usuários

1 E 16
3 E 2
5 E 2
Tabefe 1.5

Ainda na etapa de levantamentos preliminares, e de posse dessas

informações, algumas questões ainda necessitavam ser melhor explicadas. Os
analistas e administradores regionais, responsáveis pela segurança do sistema,
foram questionados sobre o excessivo número de pessoas com acesso privilegiado
ao SCEC. Eles argumentaram que estavam sendo pressionados para conceder
estes acessos. A justificativa dada, pelos solicitantes na quase totalidade dos
casos, era que os usuários necessitavam responder imediatamente às demandas
que surgiam. A justificativa era que isto se fazia necessário para que o
atendimento das metas do PAMU não fosse comprometido.

Os usuários, da mesma forma, argumentavam que os privilégios eram

necessários para que o serviço não parasse. Todos tinham metas a cumprir e o
que estivesse fora deste raciocínio era secundário. Quando era ventilada a
hipótese de restringir os acessos, todos argumentavam que a empresa iria parar.

Nas visitas realizadas aos postos de trabalho pôde-se constatar, em

alguns casos, que os funcionários usavam uma mesma senha no âmbito de uma
equipe de trabalho. Em outras situações foi possível encontrar casos em que o
código de acesso ao sistema de alguns diretores era de conhecimento exclusivo de
suas secretárias. Estes diretores argumentavam que j á tinham muitas coisas
para memorizar e não iriam memorizar mais uma.

Outra constatação interessante foi encontrar lembretes junto aos

computadores com a identificação e as senhas dos usuários para os diversos
sistemas que utilizavam. Isto, argumentavam, era para não correr o risco de
esquecer a senha que utilizavam e que ficava mais fácil para que outras pessoas
 103

da equipe pudessem continuar o trabalho se aiguém faltasse. Afinai, a empresa

não podia parar.

Outra prática constatada junto aos administradores de segurança dos

sistemas o cadastramento de usuários com uma mesma senha inicial qualquer
que fosse o usuário. Isto, segundo eles, agilizava o trabalho. O argumento ainda
era que esta senha j á era expirada no primeiro acesso ao sistema. Porém foi
constatado que nada impedia que o usuário usasse a mesma senha novamente.
Definida uma senha não existia a obrigatoriedade da troca periódica das senhas.
As equipes de informática trabalhavam sob pressão para atingir as metas e não
sobrava tempo para administrar as concessões de acesso que tinham que ser
feitas repetirias vezes em cada ambiente virtual destinado a cada uma das Filiais.

7.2.3 - Medidas Adotadas

Com base nas constatações e recomendações feitas pela Auditoria

Interna, foram tomadas uma série de ações de curto e médio prazo. Tais medidas
tinham o intuito não só de sanar os pontos identificados, mas visavam a
implementação de políticas e ações voltadas para a melhoria da segurança dos
sistemas de informação da empresa.

Os resultados obtidos nos levantamentos preliminares, mostraram que

a característica mais marcante neste momento era a incapacidade de se
determinar quais pessoas de fato estavam utilizando os sistemas corporativos em
beneficio próprio, isto implicava em prejuízos para a empresa. Esta incapacidade
mostrou-se decorrente da inexistência de uma gestão efetiva das permissões e
rins privilégios de acesso, que as pessoas possuíam aos sistemas corporativos.
Naquele momento, o mais importante era o estabelecimento de uma forma mais
disciplinada dc gestão destes acessos.

Um fator relevante para que estes esforços surtissem os efeitos

desejados era o necessário compromisso dos escalões diretivos da empresa com
estes esforços. Esta disposição foi obtida a partir do momento em que a auditoria
?

interna foi capaz de mensurar as perdas de faturamento decorrentes da

 104

exploração das fragilidades de segurança existentes no sistema, que na época

montavam da ordem de R$ 40 milhões.

O montante perdido em faturamento até aquele momento do ano de

2001 e as fragilidades concernentes ã administração dos acessos ao SCEC foram
apresentados ao Conselho de Acionistas. Motivados pelos prejuízos causados à
empresa esse conselho decidiu cobrar a solução destes problemas do diretor
presidente da TELEKOM, que compartilhou essa cobrança com o resto de seu
staff.

Por conseguinte, a adoção de medidas mais rigorosas na administração

da concessão de privilégios de acesso aos sistemas era, naquele momento, de
interesse:

• do presidente da empresa e do diretor de auditoria e do diretor de TI

(pois o conselho de acionistas não queira perda de faturamento)

• das gerencias de auditoria (esta era a sua função)

• das gerencias de sistemas (porque o diretor de TI "queria").

Não fosse esta motivação, a direção da TELEKOM não teria razões para
alterar a linha de raciocínio identificada nos levantamentos preliminares deste
caso.

De inicio foi criado um grupo composto por pessoas da área de sistemas

e auditoria para discutir os problemas identificados na análise dos acessos,
propor soluções para estes problemas e implementar soluções para os mesmos.

Ao mesmo tempo foi criada uma. gerência de segurança de sistemas,

dentro da estrutura da diretoria de sistemas de informação, voltada para a
análise das vulnerabilidades de sistemas e a implementação de soluções para as
mesmas.

O grupo de discussão de segurança de acesso elaborou, com base nas

experiências bem sucedidas em outras empresas, um plano de ação para a
solução do problema de gerência de acessos. Tal plano foi aprovado pela diretoria
da empresa.
 105

O próximo passo consistia em conduzir uma campanha de

conscientização dos usuários de sistemas da empresa, sobre a necessidade de se
fazer uma crítica dos privilégios de acesso aos sistemas corporativos. Cada
gerência deveria proceder um levantamento de todos os usuários de sistemas ali
existentes. O grande entrave encontrado foi a resistência dos usuários em terem
revistas e limitadas suas prerrogativas de acesso aos sistemas corporativos. Os
velhos argumentos foram novamente levantados. A alegação de que paralisações
iriam ocorrer, dada a incapacidade que as pessoas iriam encontrar para executar
os seus serviços, conjugada com a urgência com que as coisas tinham que
acontecer dentro da empresa, era o argumento levantado enquanto estas ações
estiveram em curso. Em algum tempo as discussões não mais evoluíam e foi
necessária a imposição da necessidade do cumprimento do plano.

As falhas e fragilidades encontradas na administração dos acessos aos

sistemas corporativos exigiam, de imediato, que fosse efetuado o recadastramento
dos usuários do sistema. Esta necessidade implicou na adoção de uma nova
sistemática de solicitação de acessos, a qual foi divulgada para toda a
organização. Foi instituído um Termo de Responsabilidade para que os usuários
pudessem ter acesso aos sistemas corporativos.

Foi feita a revogação de todos os acessos de nível A, B, C, D e E. Tal

medida foi seguida de um novo processo de cadastramento de todos os usuários
do sistema. Neste processo, a delegação dos privilégios de acesso ao sistema
passou a ser feito com base nas necessidades que o cargo ocupado por cada
usuário exigia. As transações classificadas como "públicas" foram reclassificadas.
Desta forma o acesso às mesmas passou a ser função do perfil de acesso do
usuário.

Outras ações foram adotadas neste caso. Estas ações consistiram em:

• Conduzir uma campanha de conscientização dos usuários de

sistemas da empresa sobre a necessidade de se ter segurança de
acesso
 106

• Solicitar que cada administração de segurança regional, fizesse uma

crítica dos privilégios de acesso de seus usuários. Cada gerência,
lotada nestas regionais, deveria proceder um levantamento de todos
os usuários de sistemas ali existentes e suas necessidades de acesso,
em função dos cargos ocupados

• Instituir um Termo de Responsabilidade para que os usuários

pudessem ter acesso aos sistemas corporativos

• Adotar uma nova sistemática de solicitação de acessos, que

garantisse a rastreabiüdade das solicitações efetuadas

• Abolir uso de uma senha genérica no momento do cadastramento

inicial do usuário no sistema

• Criação de um novo aplicativo para controlar, de forma única, a

segurança de acesso aos sistemas.

O Termo de Responsabilidade, constituiu um instrumento de grande

impacto psicológico. Nele os usuários reconheciam estar recebendo privilégios de
acesso aos sistemas corporativos e que as informações existentes nestes sistemas
constituíam patrimônio da TELEKOM. Ao mesmo tempo, reconheciam que o
código de identificação de usuário que estavam recebendo, da empresa, era de
uso exclusivo daquele usuário. O mal uso do mesmo implicava em sanções
disciplinares e legais.

Concomitantemente, a criação de um novo aplicativo, para o controle

centralizado dos acessos aos sistemas, permitiu regular a concessão de acesso às
transações dos sistemas. Ao mesmo tempo passa ser possível monitorar o acesso
destes usuários. Tal aplicativo implementou funções como:

• Controle histórico da criação do usuário

• Manutenção do histórico das transações às quais o usuário possui

acesso

• Controle histórico dos acessos realizados peio usuários às transações

do sistema
 107

* Controle da data de vigência de seus acessos e sua revogação

automática.

Ainda dentro deste novo sistema foi implantada uma rotina que passou
a revogar, automaticamente, os acessos dos usuários ao sistema quando estes
viessem a ser transferidos dentro da própria empresa, ou fossem desligados.

A adoção destas medidas implicou, ao final dos trabalhos, na redução

de 34,93% no número total de usuários do SCEC. Contudo não foi relatado
nenhum caso em que algum usuário tivesse deixado de ter acesso ao SCEC e às
transações necessárias para a execução de suas atividades. Ao mesmo tempo não
foi constatada nenhuma perda de produtividade, ao contrario do que era
argumentado. As reduções percentuais dos acessos constatadas na Região 5
estão sumarizadas na Tabela 1.6.

Evolução da população de usuários

Mive. dos Usuários observada

A - 78,02

B -92,31

C -19,97

D -33,80

E -100,00

Total - 34,93

Tabela 1.6

Os níveis A e B foram drasticamente reduzidos, sem que houvesse

qualquer parada na empresa decorrente desta redução. De fato, comprovou-se
que os privilégios de administrador de sistema não eram necessários a boa parte
dos usuários que os possuíam. O nível E foi extinto, pois mostrou-se
desnecessário durante o processo de recadastramento. A existência do Termo de
Responsabilidade, assinado pelo usuário, permitia conceder privilégios de acesso
mais poderosos aos mesmos.

Os acessos de nível C mostraram a menor redução percentual,

indicando que este nível de acesso era o mais indicado para a maioria dos
usuários para a execução de suas tarefas.
 108

Até o final de 2001, continuavam sendo conduzidos, pela gerencia

corporativa de segurança de sistemas, esforços para o saneamento destas
fragilidades, nas demais regionais da TELEKOM. Em entrevista com o gerente e
os analistas de segurança as dificuldades colocadas pelos usuários dos sistemas,
em todas as regionais, ainda continuavam sendo os maiores empecilhos à
implantação das soluções necessárias para a solução dos problemas
identificados.

7.3 - Â a n á l i s e ãc- ©aso-

Os casos de fraude ocorrem na medida em que os agentes, estando
motivados por fatores de naturezas diversas [Mas70], defrontam-se com uma
oportunidade de auferir algum ganhos e percebem racionalmente, dentro de um
contexto, que a relação entre ganhos e riscos associada a uma determinada ação
lhes é favorável.

O processo de auditoria, solicitado para verificar as perdas de receita

verificadas, poderia ter sido breve se os arquivos de trilhas de auditoria ( logs) do
SCEC se mostrassem úteis. Usualmente os acessos dos usuários a um sistema e
as operações por estes realizadas, são gravadas em arquivos de trilhas de
auditoria (também denominado arquivos de lag) Como citado anteriormente, uma
das utilidades das trilhas de auditoria no monitoramento da segurança de
sistemas, está na capacidade que estas propiciam para a análise das atividades
dos usuários dos sistemas [Bis95].

As deficiências apieseuiaun» a o » registros dos arquivos de toy refletem

erros ocorridos na fase de projeto do SCEC. Tal como anotado em fkxs98J, erros
de lógica no projeto de um sistema usualmente ievam a vulnerabilidades destes
sistemas. No caso do SCEC a vxi ineranii idade consistia no não monitoramento
das ações dos usuários, em pontos críticos do sistema. Identificada esta brecha
usuários maliciosos puderam agir na certeza de não serem idemificados. Tal
certeza diminua o risco percebido nestas ações, melhorando as possibilidades de
ganhos para quem as executasse .
 109

Outra fragilidade de segurança surge da combinação de dois fatos

aparentemente distintos:

• A solução de replicar o sistema de faturamento em várias máquinas

virtuais e estanques

• A falta de uma área, com alçada corporativa, que respondesse pela

elaboração, e manutenção, de um política corporativa de segurança
de sistemas. Dentre outros temas, a politica de segurança deveria
disciplinar os critérios para um controle efetivo da concessão de
acessos aos usuários.

Estes fatores, deram origem a vários problemas funcionais:

• A diretoria de TI ao replicar o sistema de faturamento, para várias

regionais, permitiu que cada região, de forma independente,
continuasse adotando a antiga estrutura de administração de
segurança, que era adotada para uma empresa de abrangência
estadual, para atender um número muito maior de usuários

• A falta de uma diretriz única permitia que cada administrador

regional continuasse a atuar da forma como vinha fazendo antes da
privatização. Contudo a forma como cada administrador atuava,
divergia da íbrma como os outros administradores atuavam

• A ausência de orientações corporativas formais quanto aos critérios

para a concessão dos privilégios de acesso ao sistema permitiam que
cada gerente, ou administrador, pudessem se valer de critérios
subjetivos para solicitar e conceder privilégios de acesso aos usuários

• Nos casos de concessão de acessos em múltiplos regionais, estas

solicitações tinham que ser feitas aos dois analistas responsáveis pelo
sistema. Demandas deste tipo vinham de toda a empresa e como este
procedimento não era automatizado, ele devia ser feito manualmente
tantas vezes quantas fossem as regionais onde os acessos eram
 110

solicitados. Tal situação dava origem a insatisfações tanto por parte

dos analistas quanto por parte dos usuários

* A carência de uma efetiva comunicação, em cada regional, entre a

administração de segurança e o departamento de pessoal; associada
à ausência de uma exigência formal para que os gerentes
comunicassem, ã administração regional de segurança, o
desligamento (ou transferência) do pessoal de seus setores. Como
conseqüência os funcionários transferidos ou demitidos continuavam
mantendo os privilégios de acesso ao sistema.

Sendo grande o número de usuários a serem administrados e não

havendo orientações formais quanto a concessão e revogação de acessos, os
cuidados dos administradores regionais de segurança (e dos analistas
responsáveis pelo sistema) se atinham a conceder os acessos solicitados (muitas
vezes por vias de baixa confiabilidade) no mais breve tempo possível, visto serem
estas solicitações acompanhadas dos argumentos ontíe aquilo era necessário
para não comprometer as metas do PAMU.

Tais constatações vem de encontro ao que foi identificado em [ModOÜ] e

[ModOl]. Nestes surveys, os entrevistados (todos de empresas instaladas no
Brasil) afirmavam que a falta de consciência dos funcionários constituía o
principal obstáculo na implementação da política de segurança em suas
empresas.

As fragilidades apontadas, teriam sua gênese em causas ligadas ao

modelo organizacional instaurado na TELEKOM. Segundo as proposições de
MERTÜN e CROZIER [Mer59][Cro64j tais condições fariam com que estes agentes
perseguissem somente os objetivos relacionados aos seus cargos, o que de fato
ocorria. Com base no proposto por estes autores, poder-se-ia interpretar que as
pressões, a que os administradores (em todos os níveis) estavam submetidos,
estariam levando a maioria destes a tornarem-se defensivos, rígidos e
desinteressados das necessidades expostas pelos administradores das outras
áreas e da empresa como um todo. Temerosos de não atenderem às expectativas
de seus superiores, estes indivíduos estavam tendendo a aderir rigidamente ás
 111

formalidades e crenças (a maioria infundadas) e com isto protegerem-se dos

iscos do não atendimento das solicitações que lhes eram feitas.

Atitudes como o compartilhamento senhas pessoais com colegas ou

lieixa-las com as secretárias, como no caso dos diretores identificados, eram
forçosamente reconhecidas pelos entrevistados como fatores de risco para a
empresa. Entretanto, mesmo reconhecendo os riscos de tais práticas, as pessoas
mostraram-se, até o ponto em que os trabalhos puderam ser observados,
sistematicamente retratarias as mudanças que se faziam necessárias. Foi possível
constatar que muitos dos gerentes ligados às atividades de linha consideravam
exagerados os cuidados propostos com a segurança de acesso. Ao mesmo tempo
argumentava-se que as ações de segurança estavam constituindo um empecilho
ao andamento dos trabalhos. Outro argumento freqüente era que as alterações
propostas iram comprometer as metas do plano de antecipação da ANATEL.

A motivação para a mudança de cultura necessária, teve de ser

construída. Inicialmente pela mensuração dos prejuízos decorrentes da
exploração das fragilidades de segurança existentes no sistema. Em seguida pela
apresentação destes resultados ao Conselho de Acionistas. Motivados pelos
prejuízos, o conselho decidiu cobrar, do diretor presidente. Uma vez que passou a
ser exigida a solução destes problemas, a recém criada gerencia de segurança
corporativa de sistemas passou a ter respaldo para prosseguir em seu trabalho.

A implantação de medidas efetivas na administração da concessão de

privilégios de acesso aos sistemas era, naquele momento, de interesse dos
acionistas. O risco percebido pelos administradores em não patrocinar a solução
dos problemas passou a ser maior que o percebido anteriormente.

Não fosse esta motivação, a administração da TELEKOM não teria

razões para alterar a linha de raciocínio identificada nos levantamentos
preliminares deste caso. Tal linha de raciocínio foi a mesma identificada em
[CSIO1 ] onde os entrevistados diziam perceber o valor das informações
corporativa mas que no entanto não tinham planos imediatos de fazer
investimentos pesados parar garantir a integridade destes acervos.
 112

Antes disto, entretanto, urna vez que as fragilidades apontadas haviam

¡ido identificadas pelos ofensores internos, estes puderam valer-se delas e auferir
)eneficios ao isentar muitas pessoas do pagamento de suas contas telefônicas.

A falta de cuidado dos administradores da empresa com relação ao

-esguardo das informações corporativas, pode ser exemplificado pelos dados
apresentados na Tabela 1.1 que reflete o tipo e número de usuários com acesso
ao sistema SCEC.

Distribuição Percentual dos Níveis de Acesso

Nível de Acesso
Classes de Usuários Total
A B C D E

Funcionários com acesso somente onde se localizam 0,03 0,39 4,05 27,77 0,78 33,01

Funcionáiios com acesso onde se locafczain e em outras localizações 0.13 0,04 1,13 2,19 0,02 3.51

Funcionários com acesso somente em outras localizações 0,12 - 0,05 1,95 0,ÍG 2,21

Total de Funcionários com acesso ao SCEC 0.26 0,43 5,22 31,91 0,89 38,74

Não funcionários com acesso a o SCEC 0,39 - 2,15 57,07 1,86 61,26

Total d e Usuários do SCEC 0,67 0,38 7A7 88,98 2,55 100,00

Tabela 1.1

Da leitura desta tabela vê-se que do total de usuários do SCEC 38,74%

eram funcionários efetivos da empresa, enquanto 61,26% eram funcionários
temporários ou prestadores de serviços. Por outro lado as empresas entrevistadas
em [ASI99], possuíam um corpo funcional onde, em média, 79,6% eram
funcionários efetivos, 9,2% eram funcionários temporários ou de prestadoras de
serviços e 11,2% eram consultores. Vale lembrar que em [ASI99], foram
entrevistadas 97 das 1000 maiores empresas americanas, eleitas pelos critérios
da Fortune. Segundo as observações da ASIS, a existência de funcionários
temporários e contratados em determinadas áreas da empresa poderia estar
gerando riscos desnecessários a estas empresas.

Quando comparados esses dados apresentados em [ASI99], com os

apresentados na Tabela 1.1, tem-se a seguinte tabela comparativa:

Classes de Usuários ASIS TELEKOM

Funcionários efetivos com acesso ao SCEC 73,60 38,74

Funcionários temporários com acesso ao SCEC 20,40 61.26

Totai de Usuários do SCEC 100,00 100,00

Tabela 1.7
 113

1
Entretanto, nem todos os funcionários Tipificados como efetivos,
pertenciam de fato aos quadros da empresa, como mostra a Tabeia 1.3. Dos
funcionários efetivos, 15,99% j á nao pertenciam mais aos quadros da empresa. O
cadastro de usuários do SCEC apresentava uma vulnerabilidade de segurança,
indicando como efetivos funcionários que estavam afastados ou desligados da
empresa.

Situação dos himcionános com acesso ao SCEC

_L>K>iiluui^ão Feiuantua]
Nível d e Acesso
Situação d o Funcionário Total
A B C D E

Atwo 0,69 i,oa 12,77 9B, 42 1,05 84,01

Desligado 0,04 0,02 0,39 11,14 1,1b 12,73

Licença - 0,01 0,33 2.81 0,10 3,24

Licença Remunerada - - - 0,01 - 0,01

Total 0,73 1,11 13,4" «2,37 2,36 10U,Úú

Tabela 1.3

Este erro decorria da nao obrigatoriedade dos gerentes informarem ás

administrações de segurança regional a transferencia ou desligamento de seus
funcionários. O mais confiável seria que um funcionário, ao receber a condição de
desligado ou licenciado da empresa, no sistema de pessoal, automaticamente
fosse impedido de acessar qualquer sistema da empresa.

Considerando, agora, a parcela de funcionários licenciados e desligados

da empresa, a Tabela 1.7 pode ser ampliada da seguinte forma:

ASiS

Funcionários efetivos com ar.essn aa S O E ü 79,60 32,54

'2V:

FunctonáTit» r ê o efetivos com acesso ao SCEC 20,40 67,46

Total d e Usuâf d o SCfct 100,00 100,00

Tabela 1.8

Os tiados da Tabela i .8 mostram que 67,46% dos acessos ao SCEC

pertenciam a funcionários temporários e contratados. Tomando como referencia
os índices apresentados no estudo da ft.SiS (A«Í99J, a TELEKGM apresentava um
total de funcionários, temporários e contratadas, 3 vezes maior que a média do
t;rupo de referencia. Aumentando a acuidade desta analise, observa-se na Tabela
 114

1.2 que parte significante dos usuários com nível máximo de acesso ao SCEC,
ocupavam cargos que a TELEKOM preenchia com funcionários terceirizados.

Distribuição Percentual dos Acessos de Nívei A por Cargo

Cargo %
Analista de Sistemas 30,91
Assistente Atendimento Clientes 15.45
Operador de Atendimento a Clientes 10,00
Anaiista de Processos 8,18
Técnico de Teleprocessamento 5,45
Analista de Suporte Técnico 4,55
Assistente Comercial 4,55
Analista de Gerência De Rede 3,64
Programador 3,64
Analista de Banco de Dados 2.73
Analista de Desempenho Operacional 1,82
Especiaüsta de Projetos de Atendimento 1,82
Assistente de Supervisão de Informática 1,80
Analista de Engenharia Comercial 0.91
Analista de Projetos Atendimento 0,91
Auxiliar Administrativo 0,91
Coordenador Sistemas Tratamento de Cliente 0,91
Líder Serviços a Clientes 0,91
Supervisor de Desenvolvimento de Sistemas 0,91
Total 100,00

Tabela 1.2

Desta fração do corpo funcional, uma parcela era representada por

funcionários do call center da empresa. Vaie iembrar que o calí center tem
atributos para realizar algumas operações tanto no cadastro de clientes quanto
na programação dos débitos a serem faturados nas contas desses clientes.

Segundo a ASIS [ASI99], o uso descontrolado de funcionários

temporários e contratados em áreas criticas da organização, implicaria no
aumento, desnecessário, dos riscos. Quando consideradas as potenciais ameaças
às informações sensíveis das organizações, torna-se importante que as políticas
de segurança devem fazer distinção entre os tipos de funcionários [ASI99J.
Segundo a ASIS, o percentual médio de terceiros, com acesso às áreas críticas,
constatado nas empresas entrevistadas poderia ser uma referência no que tange
às perdas financeiras declaradas por estas empresas.

A literatura consultada é unanime em afirmar não existirem métricas

que indiquem em que níveis a relação entre funcionários efetivos e contratados
poderia representar riscos para as organizações. Entretanto o risco carreado pela
 115

presença de terceirizados reside na menor capacidade de controle que a

organização pode exercer sobre os mesmos.

A ASIS, com base nos resultados apresentados em seu trabalho,

considerou o percentual médio de 20%, de funcionários não efetivos com acesso a
informações sensíveis, como um valor indicativo de risco para as organizações.
Tomando este valor como referência (dado não existirem outras referências), e
considerando os valores apresentados na Tabeia 1.7, a proporção de 67,45% de
funcionários não efetivos (contra 32,54% de efetivos) apresentada pela TELEKOM
indicaria que a mesma estaria extremamente vulnerável às fraudes.

A busca de soluções para os problemas de segurança de sistemas

passava pela criação de uma gerência de segurança de sistemas, a qual deveria
estudar os problemas, propor soluções e cuidar da implantação destas soluções.
Como na maioria dos episódios (de diversas naturezas Jobservados dentro da
TELEKOM, esta gerência, ao ser criada, já nasceu sendo cobrada para dar
soluções imediatas para os problemas que estavam ocorrendo naquele momento.
Em outras palavras: estavam tendo que apagar incêndios.

As ações adotadas pela gerência de segurança de sistemas buscaram:

• Sensibilizar os usuários para perceberem as informações existentes

dentro da TELEKOM, como sendo um património da empresa.

• Regulamentar a solicitação e a concessão de acessos aos sistemas

corporativos de forma uniforme para toda a empresa

• Fazer, com o uso do Termo de Responsabilidade, com que os

usuários estejam conscientes de que estavam lidando com património
da empresa e poderiam ser responsabilizados pelo mau uso destas
prerrogativas

• Revogar os acessos dos usuários ao sistema quando estes viessem a

ser transferidos dentro da própria empresa ou fossem desligados

• Eliminar uso de senhas frágeis forçar a renovação periódica das

senhas de acesso e inibir o reuso de senhas pelos usuários
 116

• Permitir que os processos de criação de usuarios, concessão de

acesso às transações dos sistemas e acesso e uso dos sistemas
pudessem ser auditados.

Com a adoção do recadastramento dos usuarios implementada na

Região 5, pode-se constatar uma queda de 34,93% (conforme apresentado na
Tabela 1.6)no total de usuários do sistema, em relação das permissões de acesso
anteriormente existentes. Outro aspecto a ser observado, foi a notável queda
experimentada pelo total de acessos com nível A (78,02%) e B (92,31%). Estas
quedas se deveram às permissões de acesso não reclamadas por qualquer dos
usuários e, portanto, consideradas desnecessárias.

As fragilidades de segurança associadas â administração de senhas

pelas pessoas ê um tema há muito estudado [MoT79] [Bla96J. Para
BLAKLEY[Bla96] as pessoas (e não os computadores) seriam o elo mais fraco no
que se refere a segurança de informações. O principio adotado pela gerência de
segurança, ao estipular as permissões de acesso em função das reais
necessidades do cargo do funcionário, vai de acordo com o exposto em [Amo94],
onde AMOROSO propõe o princípio do privilégio mínimo" pelo qual o usuário
a

deveria ter acesso somente aos recursos mínimos necessários para o exercício de
suas funções se tais recursos tiverem uma necessidade justificada associada a
esta autorização.

As medidas tomadas para a solução deste problema, com exceção da

construção do aplicativo de controle centralizado de acessos, demandaram
soluções de caráter normativo e disciplinar. Certamente sô isto não bastaria, se
não houvesse o interesse e o compromisso dos níveis mais altos da hierarquia
administrativa. Com a adoção destas medidas de controle foi possível rever e
"sanear* os acessos ao SCEC.

7-4 - C o n c l u s ã o

Neste estudo de caso foi explorada um situação que, em última análise,

teve sua origem atrelada à falta de uma Politica Corporativa de Segurança de
Informações (ou de Segurança de Sistemas de Informações). A inexistência desta
 117

política, na TELEKOM, carreava a ausência de critérios subsidiários como os

necessários para uma correta concessão e administração de acessos aos sistemas
corporativos e para a administração de senhas. Tal ausência de disciplina
corporativa levou às quebras de segurança e fraudes verificadas no Sistema de
Faturamento e no Sistema de Cadastro de Clientes da TELEKOM.

Os casos de fraude ocorrem na medida em que os agentes, estando

motivados por fatores de naturezas diversas [Mas70], defrontam-se com uma
oportunidade de auferir algum ganho e percebem racionalmente, dentro de um
contexto, que a relação entre ganhos e riscos associada a uma determinada ação
lhes é favorável. Neste caso, os ofensores internos estariam auferindo ganhos ao
beneficiar alguém com a isenção do pagamento de suas contas telefônicas. As
fragilidades de acesso ao sistema de faturamento haviam sido identificadas, e
esses agentes, puderam valer-se delas.

A s deficiências de projeto existentes no SCEC, levaram a que seus logs

se tornassem inúteis para os fins aos quais, pelo menos em tese, se destinavam.
Da mesma forma, os mecanismos de controle de acesso mostravam-se precários,
facultando o surgimento de fraudes. Os eventos que se sucederam, levaram à
criação de novos mecanismos de segurança de aplicação corporativa.

A dinâmica tecnológica existente no campo da ciência da computação

leva a que as soluções de segurança implantadas em um sistema não tenham
caráter estático. Ao contrário, tais mecanismos deveriam apresentar mais
flexibilidade que lhes permitam evoluir, à medida que as ameaças vão se
tornando mais complexas [Den99J. Contudo, para que isto possa se dar, é
necessário que tais propriedades sejam contempladas como parte dos requisitos
de projeto, de qualquer aplicação que se destine a tratar informações sensíveis
Tal cuidado não deveria ser adotado a posteriori como é feito freqüentemente
[Bla96].No caso do SCEC, muito esforço foi feito pelas equipes de TI para permitir
a implantação de novos mecanismos de identificação e autorização de usuários.

A estrutura organizacional da TELEKOM, apresenta-se como um

possível fator causal para a indisciplina e descuidados verificados, por parte dos
usuários do SCEC, tanto quanto ao sigilo de suas senhas quanto na concessão
 116

dos privilégios de acesso a este sistema. A TELEKOM, de forma similar a outras

grandes corporações estudadas em [ModOO] e [ModOlJ, tem sua estrutura
organizacional fortemente hierarquizada. Da mesma forma, seus diretores e
gerentes eram submetidos a pressões para o atendimento de metas diversas e
estavam limitados em suas competências. Tais condições estariam levando estes
agentes a buscarem somente os objetivos relacionados aos seus cargos,
tornando-os defensivos, rígidos e desinteressados de outras necessidades da
empresa.

Esta constatação condiz com os resultados apresentados em [ModOO]e

[ModOl], onde o desinteresse por parte dos funcionários, mostrou-se sendo a
maior objeção ã implantação da segurança de informações nas empresas
entrevistadas. Para mudar a cultura da empresa, era necessário mudar o
conjunto de crenças e valores dos dirigentes [Sim47]. Sõ desta forma seria
possível, mudar a cultura da empresa quanto a segurança. A constatação dos
prejuízos causados ã empresa, causados pelas fragilidades de segurança, atuou
como fator de motivação [Mas70] para que o conselho de acionistas passasse a
exigir a solução destes problemas de seu staff.

Não fosse esta motivação, a administração da TELEKOM não teria

razões para mudar o comportamento indiferente, quanto a segurança dos
sistemas, identificado nos levantamentos preliminares deste caso. Do mesmo mal
padecem outra empresas brasileiras [CSI01J onde os executivos dizem perceber o
valor das informações corporativa mas no entanto não investem parar garantir a
integridade destes acervos.
 119

CAPÍTULO 8
CASO 2 - V U L N E R A B I L I D A D E S LÓGICA
E F Í S I C A E M C E N T R A I S T E L E F Ô N I C A S

8.1 - Introdução
Ao longo do ano de 2001, muitas vezes a mídia noticiou o uso de
telefones celulares por organizações criminosas dentro dos presídios brasileiros,
em especial dos presídios localizados nos estados do Rio de Janeiro e de São
Paulo. Um exemplo do poder de utilização dos aparelhos de telefonia celular foi a
rebelião organizada pelo Primeiro Comando da Capitai (PCC), em 18 de fevereiro
de 2001. Na ocasião, detentos de 32 unidades prisionais do estado de São Paulo
participaram do motim considerado, até aquela data, como sendo o maior na
história do Pais . 1

Investigações conduzidas pela delegacia do Departamento de

Investigações sobre Crimes Patrimoniais (DEPATRI) e pelo Grupo de Atuação
Especial Contra o Crime Organizado (GAECO), quebraram, em 31 de maio de
2001, o sistema de telecomunicações do PCC. Operando em São Paulo, este
sistema era composto por oito centrais telefônicas localizadas em Campinas,
Cubatão, Ribeirão Preto e Santo André (Paranapiacaba), em funcionamento 24
horas por dia . Nesse episódio, a polícia apreendeu equipamentos e telefones
a

avaliados em R$ 200 mil. Por meio dessas centrais, presos de penitenciárias e

outros colegas que estavam ã solta podiam tramar resgates, assaltos, sequestros,
dentre outras ações. Tal estrutura permitia aos detentos continuarem falando
livremente pelos celulares. Segundo foi reportado na época, por uma fonte que
havia participado das investigações, o PCC teria a capacidade para reorganizar
novas centrais em 40 dias. O diretor do DEPATRI afirmou, então, acreditar que a

1
0 Estado de São Paulo. 10 de fevereiro tíe 2 0 0 1 . http //www.estadao.com.br/agestado/noticiasra301/Tev/1B/47.mm.
2
0 Estado de São Pauto. 31 de maio de 2 0 0 1 . http://w^.]Vestactoo.corn.br/edit™
 120

rebelião de 18 de fevereiro, havia sido articulada com a ajuda dessas centrais

telefônicas.

A policia descobriu as centrais do PCC ao investigar denúncias de

contas que não estavam sendo pagas e da existência de endereços fantasmas,
fornecidos às companhias telefônicas. Segundo a policia, as contas eram altas,
em torno de R$ 30 mil a R$ 50 mil chegando até R$ 90 mil, e nunca eram pagas.
Os prejuízos das empresas telefônicas eram estimadas em R$ 1 milhão.

O sistema de telefonia montado pelo PCC utilizava principalmente

telefones da empresa Vésper por serem aparelhos que não necessitavam de
cabeamento por utilizarem tecnologia WLL . Tais equipamentos facultavam o uso
1

de correio de voz, chamada em espera, transferencia de chamadas, identificador

de ligação e que até cinco pessoas conversassem ao mesmo tempo.

Por ser uma tecnologia de telefonia celular ( e neste caso a operadora

restringe a operação do terminal a uma determinada estação ) , era possível ao
pessoal do PCC solicitar a assinatura ã operadora, receber o equipamento em um
local (com identidade falsa) e depois deslocã-lo para outro local dentro da área de
cobertura da ERB . Para a Vésper este tipo de utilização era extremamente
2

danosa por várias razões. Cada terminal cedido aos assinantes a um custo de
assinatura de R$ 99,00 custava para a Vésper, nesta ocasião, US$ 300,00. Esses
terminais utilizados pelo PCC sõ retornariam à Vésper, na melhor das hipóteses,
quando apreendido pela polícia. A esta perda somava-se a perda de faturamento
decorrente das faturas não pagas. Pela legislação, a operadora só poderia
bloquear este terminal apôs 30 dias de inadimplência . 3

Entretanto não só a Vésper, mas também operadoras do Sistema de

Telefonia Fixo Comutado - STFC, tem sido vítimas de ações desta natureza. Os
casos relatados pela mídia de uso dos recursos de telecomunicações, por parte do
crime organizado, constitui a fração visível do iceberg das fraudes cometidas
contra as empresas de telecomunicações.

5
Wireless Local Loop (WLL)
2
Estação Rádio Base (ERB)
3
Art 6 7 do Regulamento do Serviço Telefónico Fixo Comutado.
 121

Neste estudo será apresentado um caso em que a interação de fatores

de ordem tecnológica; organizacional e motivacional foram capazes de induzir
fragilidades físicas e lógicas na segurança da infra-estrutura de serviços de
telecomunicações da TELEKOM. Tais fragilidades, ao serem identificadas,
puderam ser explorados por ofensores (insiders e outsiders) dando origem a
fraudes no uso dos sistemas.

8.2 - O uso fraudulento de centrais telefônicas

Nas empresas de telecomunicações, várias são as atividades envolvidas
no processo de emissão e cobrança das faturas relativas aos serviços prestados
aos seus clientes. Dentre elas, para o estudo deste caso, uma apresenta-se com
maior relevância: o Revenue Assurance - RA. O termo Revenue Assurance é
usualmente adotado nas empresas de telecomunicações para designar a
atividade, dentro do processo de faturamento, de análise de registros de
chamadas telefônicas que por alguma razão não puderam ser faturadas.
Constitui, ainda, atividade das gerências de RA descobrir o erro nestas
chamadas, proceder a correção e submeter novamente tal registro ao processo de
faturamento.

8.2.1 - Estudos Preliminares

Na TELEKOM em uma dada ocasião, o gerente de RA da Região 5

apresentou à auditoria interna uma relação de terminais telefônicos que, apesar
de estarem gerando os registros de chamadas de forma correta, não conseguiam
ter suas faturas emitidas e cobradas. Isto vinha ocorrendo porque estes terminais
não existiam nos registros do cadastros de terminais do SCEC. As contas destes
telefones somavam valores vultuosos e implicavam em uma expressiva perda de
receita. E a cada dia, novos terminais apareciam nas mesmas condições.

De posse desta listagem de códigos de acessos, a auditoria interna

submeteu esses números ao cadastro de terminais, para confirmar se, de fato,
tais terminais existiam ou não no sistema. Foi surpreendente constatar, que
todos os terminais testados não haviam sido registrados no sistema.
 122

Na maioria dos casos analisados, constatou-se que as seqüências

inteiras de milhar, centena, dezena e unidade (MCDU), a que esses terminais
pertenciam, nunca haviam sido cadastradas no sistema. Isto eqüivalia a dizer que
essas series de terminais telefônicos nunca houveram sido designados para lugar
algum. Neste caso não deveriam existir ""'facilidades , 13
como cabeamento
telefônico de qualquer especie, onde tais terminais poderiam ser ligados. Como
então, esses terminais poderiam estar gerando chamadas?

Em outros casos, os terminais não castrados no SCEC, e que estavam

gerando CDRs , correspondiam a quebras de seqüência numéricas, dentro de um
2

mesmo prefixo de terminais já cadastrados. Uma cópia da teia S C E C (Figura 2.1),

exemplifica este tipo de quebra de seqüência

SCEC - S ± : ¡ r o n i ¿ j di? " a d e n t r o d e fiqn LpíJnieíil.fjn o Cliente:;

CONSULTA [-:i_)N POR F A I X A DÊ TELEFONE

FaLxa d.e f e i o t o e n d e ^3374¿.30 H 3;¡37'1'j50

EQN Telefone Cat. T\]pu/(.'ondLcao Aí.ual I'

014 0 0 01 14 33374530 il 0 RESIDENCIAL R • 001 B
O &} 4X32
0440 0 0?. 0 0 3337453:> 1 1 0 RES1 [JEN C E A L R B001 B
0440 0 02 01 33374533 1.1 0 K E S J D E N C I A L R B001 B
0 4 4 0 0 02 02 3337 4534 11 0 REE31DENCI A 0 R nooi B
04 4 0 0 02 03 3337 453b 11 0 RESIDENCIAL K BDD1 H
04 4 0 0 0P 04 .33.37 ' I H ê 1 1 D RF.r, IfíENCTfl), HOOl R
04 4 0 0 ü í 05 33374537 1 1 0 RES1 D E N C E A L k B001 B
0 4 4 0 0 02 06 33374538 11 D RESIDENCIAL, R EíOOJ B
0440 0 t/2 07
0 02 oa 3 3 3 7 ^ V>4 0 11 D RV.HIDHNCl A L I>. BÜ01 B
04 4 0 0 02 09 .3337454) 1 I n REsi d e n c i a j . J< B 0 0 1 B
04 4 0 0 0.'' 10 333745 4 / 1 1 0 residencias, R BÜ0L íí
0440 0 02 11
04 40 0 <?.? 12
04 40 0 02 1 3 3337 4545 10 c BOO! B
044 0 0 0? IA 3 3 3 7 41)4 6 1 1 0 RKWIMNC] AL R IS 0 0 ] 3
0440 0 02 1b 45 4 /'
04 4 0 0 11 00 3337 4 5 4 * 11 1) REfílDKNC.l A L R UOOl B
Ü440 íí í f
0440 0 1 L 02 33374550 11 0 RESIDF.KCIAL R B001 B

Figura 2.1

Nota. As inãtíiyões» um Üãíicü iúràiii ieiiaã peiã iuenitficar as quebras de seqüência dos terminais.

Isto era intrigante: Como poderiam existir terminais telefônicos em

operação, gerando contas vultuosas, sem que exislissem para os mesmos
registros anteriores de abertum de ordem de serviço, para a sua instalação ou
qualquer tipo de cabeamento que os integrasse à rede telefônica?

1
facititíes

2
Caí! Data Registsr- CDR.
 123

Neste ponto a análise do caso exigia que as atenções fossem, então,

deslocadas dos terminais telefônicos para as centrais telefônicas a que esses
terminais estavam vinculados. Para que os terminais telefônicos pudessem
realizar e receber ligações era necessário, antes de tudo, que os mesmos
pudessem ser reconhecidos pelas centrais telefônicas, sem o que, os circuitos de
comunicação não poderiam ser estabelecidos.

Buscando ter uma visão mais completa do que estava acontecendo, foi
feita uma consolidação dos registros de chamadas ( ou CDR ) não faturados na 1

Região 5. Essa consolidação permitiu obter os números (ou códigos de acesso)

dos terminais que haviam gerado tais chamadas e os valores consolidados para
cada um destes terminais, até aquela data no ano de 2001.

Obtido o arquivo com os dados sumarizados, foi feita uma classificação

deste conjunto pelo número do terminal. Determinou-se, desta maneira, quais
terminais respondiam pela parcela mais significativa dos valores não faturados.

Identificados os prefixos destes terminais foi possível, ainda dentro do

SCEC, identificar a que centrais telefônicas estes terminais deveriam pertencer.
Observou-se que 216 terminais respondiam peia parcela mais significativa dos
valores não faturados. Todos estes terminais pertenciam a uma mesma estação
telefônica, à qual será dado o nome de B. Os resultados referentes ao estudo
destes 216 terminais seguem sumarizados na Tabela 2.1.

T e r m i n a i s s e m S e r v i ç o d e C h a m a d a e m E s p e r a habilitado 62 28,70%

T e r m i n a i s c o m Serviço d e C h a m a d a e m E s p e r a habilitado 154 71,30%

Total 216 100,00%

T e r m i n a i s c o m Serviço de C h a m a d a ern E s p e r a habütíado, c o m s i g a - m e

1 0,65% 0,46%
habilitado m a s c o m telefone fixo c o m o destino

T e r m i n a i s c o m Serviço d e C h a m a d a e m E s p e r a habilitado, c o m S i g a - m e
33 21,43% 15,28%
habtiitado m a s s e m telefone d e destino

T e r m i n a i s c o m Serviço d e C h a m a d a e m E s p e r a habilitado, c o m S i g a - m e
120 77,92% 55,56%
habilitado e c o m telefone celular c o m o destino

154
TiÀnl úc W í í í i j í i ü í ; , ijíiiüúaâos 216
Tabela 2.1

1
CaH Data Register-CDR.
 124

A estação B possuía centrais telefônicas digitais de tecnologia mais

avançada disponível na empresa. Tais centrais haviam sido adquiridas
recentemente, dentro do plano de modernização da rede do STFC, para a
substituição das antigas centrais telefônicas analógicas. Muitos funcionários
haviam sido recentemente treinados para operar tais equipamentos.

Uma vez que os dados destes terminais não existiam no SCEC, era
necessário conhecer como cada um destes terminais estava configurado nas
centrais a que pertenciam. Para isto a auditoria valeu-se de um sistema
denominado Remote Supervisión System - RSS, ou Sistema de Supervisão
Remota.

O RSS, segundo foi informado pela equipe de analistas responsáveis,

havia sido concebido, em princípio, para ser um sistema capaz de interagir com
as centrais telefônicas. Com isto, ele seria capaz de informar, periodicamente, a
situação de cada uma destas centrais. Esse controle permitia melhorar o
gerenciamento do estado da rede que a empresa disponibilizava para seus
usuários e clientes.

Via RSS foi possível interagir com as centrais telefônicas da estação B e

descobrir as características que os terminais estudados possuíam. Os terminais
estudados possuíam dois atributos em comum e ao mesmo tempo muito
incomuns para terminais que estão em operação. Conforme apresentado na
Tabela 2.1, boa parte dos terminais apresentavam o serviço "Siga-me* ativado na
central e endereçando para telefones celulares. Além disto, apresentavam o
serviço de "Chamada Em Espera* ativo.

A titulo de exemplo apresentamos, na Figura 2.2 a resposta produzida

pelo RSS com referência ao terminal de MCDU 4531 constante da Figura 2.1.
 125

Telekom - RSS
Resultado da Operação
DM> Prefixo MCDV Central Dara c Hora

000 .i 3337 : 4531 E0001 07-05-2001 20:35:30

Consulta D a d a s de Terminal

Terminal: 33374531
.-~í

JEQN: 440- 1 2- 8

I Categoria - Classe
; de Restrição de Bloqueado para VVVDTtDtOPlftOO
j Tráfego Padrão:

j Subcategoria -
'! Classe de Restrição
N a o há categoria para o telefone em questão
; de Tráfego pelo
•j Usuário:

| Tarifação: Cobrança normal

J Bloqueio: Telefone sem restrição de tráfego

: Desligamento: Telefone não desligado

Chamada em espera habilitado

j Services
Síga-me: 972S8933
J Suplementares: Despertador Automático

j Tipo do terminal: Assinante comum j

Figura 2.2

O serviço de "Siga-me" é um serviço, disponível nas centrais telefônicas

de tecnologia digital, que permite que a chamada endereçada a um terminal
telefônico seja desviada para um outro terminal telefônico de qualquer outra
operadora (seja de telefonia fixa ou móvel).

Já o serviço de "Chamada em Espera" é um serviço, também disponível

nas centrais telefônicas de tecnologia digitai, que permite que uma chamada
endereçada a um terminal telefônico entre em estado de espera, caso o terminal
telefônico esteja sendo utilizado naquele momento. Nesta situação o usuário é
 126

avisado que existe uma chamada aguardando. Fora isto, nenhum outro serviço
especial foi identificado como tendo sido ativado para os terminais estudados.
Devido às limitações impostas pela diretoria de auditoria não foi possível avaliar
se os telefones celulares encontrados nestes levantamentos eram telefones prê
pagos ou não.

Esses terminais estudados apesar de terem tido sua existência

comprovada, não estavam sendo controlados pelo SCEC (portanto não iriam ter
suas chamadas cobradas). Nas centrais eles haviam sido criados sem nenhuma
restrição de tráfego local, mas não podiam gerar chamadas longa distância
nacional -DDD, ou longa distância internacional - DDL

Esses resultados mostravam, ainda, que dos 216 terminais estudados

na Região 5, 154 (71,30%) possuíam serviço de "Serviço de Chamada em Espera"
habilitado, o que lhes permitia estabelecer conversação simultânea entre vários
interlocutores. Destes 154 terminais, 120 possuíam, ainda, serviço "Siga-me"
habilitado e direcionado para telefones celulares.

Em resumo, quem estava utilizando destes serviços estava recebendo

chamadas a cobrar, que deveriam ser cobradas em um terminal fantasma. Neste
caso, quem deveria pagar as contas no caso de chamadas longa distancia - DDD
ou DDI, deveria ser a própria TELKKOM. Estes usuários deveriam ter
necessidade de poder realizar reuniões à distancia. Como o "usuário" final deveria
estar usando um telefone celular, o fato deste terminal, na central ter limitações
de DDD e DDI não era significativo, já que este terminal só fazia papel de ponte
onde os custos das chamadas deveriam ser descarregados.

Uma amostra deste universo de 216 terminais, contenao os sete

terminais que mais geravam CDRs, na Região 5, reveia o montante não faturado,
de janeiro a maio de 2001, para cada um destes terminais e os serviços
suplementares a eies vinculados [Quadro 2.1]:
 127

'SFF
Terminal Serviços Suplementares

Chamada em espera Transferencia temporária (siga-me)

33335031 13.436,16 Agenda eletrônica
habtl&ado habilitada e ativado pi92371509

Chamada em espera Transferencia temporária (siga-me)

33331638 9.844,41 Agenda eletrônica
habilitado habilitado e ativado 92387836

Chamada em espera Transferencia temporária (siga-me)

33374652 7.941,36 habilitado Agenda eletrônica
habilitado e ativado 97288933

Chamada em espera Transferencia temporária (siga-me)

33378284 6.324,07 Agenda eletrônica
habilitado habilitado e ativado 92695323

Chamada em espera Transferencia temporária fsjga-me)

33332119 5.671,58 Agenda eletrônica
habilitado habilitado e ativado 92028906

Chamaria em espera Transferencia temporária (siga-me)

33379889 5.795.84 Agenda eletrônica
habilitada habilitado 97067386

Chamads am espera Transferencia temporária (sígs-me)

33374760 5.663,37 Agenda eletrônica
habilitado habituado e ativado 97563998

Quadro Z.1

Uma das dúvidas estava resolvida. Os terminais estudados haviam sido

criados nas centrais da Estação B de forma irregular e não coníorme as
determinações descritas nas normas internas. Tais operações estavam sendo
feitas clandestinamente .

A tecnologia utilizada pelas centrais digitais alocadas na Estação B,

permitia a criação lógica de tais terminais, sem a necessidade de que os mesmos
existissem fisicamente. Obviamente para que o circuito de comunicação pudesse
ser completado, era necessária a existência de um terminal telefônico.
Entretanto, uma vez que o serviço de "Siga-me 57
estava habilitado, era possível
completar o circuito de comunicação.

0 esquema de fraude dava-se desta forma:

• As chamadas eram feitas a cobrar para estes terminais "fantasmas"

• As chamada eram automaticamente encaminhadas para o telefone

celular cadastrado no serviço de "Siga-me"

• Completadas as ligações, os CDRs referentes aos pulsos gerados,

para posterior emissão da fatura e cobrança, eram acumulados nos
arquivos dos equipamentos da centrai
 128

• Uma vez por mês tais arquivos eram automaticamente coletados pelo
sistema de faturamento que conferia a integridade dos CDRs
coletados, consolidava os tempos de chamada e os valores das
chamadas por número do terminal

* Os registros relativos aos números dos terminais eram confrontados

contra os registros de terminais de assinantes para identificar o nome
do assinante e seu endereço para a emissão da fatura.

Assim, não era possível para o SCEC, no momento da elaboração da

fatura, associar os valores a serem cobrados aos respectivos terminais
telefônicos. Estes valores a cobrar eram então lançados em um arquivo de
registros rejeitados para posterior análise pelas gerências de RA de cada região.

Alguém com sólidos conhecimentos dos recursos e características

operacionais da central telefônica da estação B e com pleno acesso ãs instalações
da empresa a havia configurado para reconhecer as chamadas entrantes
endereçadas àqueles terminais e desviã-los para telefones os celulares.

Quis, quid, ubi, quibus auxiliis, car, quomodo, quando?. Usado

modernamente por jornalistas e na criminologia o verso hexámetro de
Quintiliano , que sintetiza a divisão da Retórica. Com as respostas a estas
1

perguntas circunstanciais (Quem? O quê? Onde? Por que meios? Por qué? Como?
Quando? ) , tais investigadores consideram esgotado o assunto. O mesmo
processo teria de ser aplicado neste caso.

Neste ponto dos estudos j ã sabia-se "Como" as fraudes se davam.

Restava saber agora: quem estava agindo; por que meios agia; quando agia e a
mais intrigante: porque agia.

Antes disto, era necessário saber qual a dimensão total dos prejuízos
causados por este tipo de fraude na Região 5 e se tal fenómeno se repetia nas
outras regiões.

1
Retorica
 129

Novamente foi feita uma consolidação dos CDR presentes nos arquivos
do SCEC não faturadas em todas as regiões administrativa da empresa, obtendo
os códigos de acesso dos terminais que haviam gerado chamadas não faturadas e
os valores consolidados para cada um destes terminais até 24/05/2001.

Terminais Não Ativados Terminais Ausentes Total de CDRs Rejeitados

Região %
Quantidade R I mil Quantidade RS mil Quantidade R$mil

5 SB. 7 6 9 4.456,8 36.144 2.282,8 129.913 6.739,6 35,04

1 99.477 2.059,0 290.547 4.621,7 390.024 6.680,7 34,74

2 48.438 1.313,0 219.256 1.434,9 267.694 2.747,9 14,29

4 69.643 631,2 87.024 1.941,1 156.667 2.572,3 13,38

3 24.286 342,3 11.685 149,1 35.970 491,4 2,56

Total 335.612 8.802,3 644656 10.429.6 9 6 0 268 19.231,9 100.00

Tabela 2.2

Conforme apresentado na Tabela 2.2 foi identificado neste levantamento

mais completo a existência de terminais que estavam cadastrados no SCEC mas
destinados a futuros usos ou que j á haviam sido usados no passado para o
atendimento de alguma necessidade de clientes (grandes shows por exemplo) e
terminado o evento foram retirados fisicamente dos locais mais não tiveram seus
registros baixados. Nesta categoria de terminais muitos estavam sendo utilizados
de forma fraudulenta pois os mesmos estavam sendo utilizados e esta utilização
não estava podendo ser cobrada.

No total foi apurado, como apresentado na Tabela 2.2, que o prejuízo

total acumulado de janeiro até maio de 2001 era da ordem de R$ 19 milhões.
Deste trabalho foi possível concluir, ainda, que a Região 5 de fato era a que
apresentava os maiores valores acumulados de perdas decorrentes deste tipo de
fraude. Desta forma era por esta região que os esforços para eliminação destas
fraudes deveria iniciar.

O montante de faturamento perdido até aquele momento e as

fragilidades de segurança, até então, identificadas foram apresentados ao
Conselho de Acionistas. Mais uma vez, para que estes estudos pudessem
prosseguir e para que futuros esforços viessem a surtissem os efeitos necessários
era o primordial contar com o patrocínio dos escalões diretivos da empresa. Mais
 130

uma vez, esta disposição foi obtida a partir do momento em que a auditoria
interna foi capaz de mensurar as perdas de faturamento decorrentes da
exploração das fragilidades de segurança existentes.

Agora era necessário conhecer todo o processo de criação e manutenção

dos registros de terminais tanto nas centrais telefônicas quanto no SCEC e
identificar porque ocorriam estas disparidades de cadastros que levavam a estas
perdas de receita.

Foram então reunidos os representantes das diversas áreas

interessadas neste problema, com pessoal da gerência de sistemas da Região 5,
da segurança patrimonial e da auditoria interna. De início era fundamental
identificar as etapas deste processo e a esperança era que neste grupo fosse
possível mapear todo o processo mesmo que não fosse possível identificá-lo em
seus pormenores. Como resultado obteve-se um macro fluxo do processo, que é
apresentado na Figura 2.3. Além disto era necessário conhecer melhor a
realidade do dia a dia deste processo e das pessoas que estavam envolvidas.

O fato mais marcante foi a constatação, por meio de depoimentos dos

coordenadores e gerentes entrevistados de que em muitos casos os funcionários
da estação B eram coagidos, pelo crime organizado, a praticar fraudes.

Nos seus relatos, o pessoal técnico (encarregado da manutenção das

linhas telefónicas, terminais de uso público e demais insumos da rede de
Telefonia) afirmava ser uma tarefa de alto risco, quando não impossível, intervir
na estrutura de telefonia, implantada nas regiões onde era forte a presença do
crime organizado.

Não eram raros os casos em que os carros de manutenção da empresa

eram recebidos nestas áreas por pessoas fortemente armadas que concediam, ou
não, a permissão para que algo fosse feito fosse nos telefones de uso público ali
Instalados, muito mais nos demais equipamentos da rede telefônica ali instalada.

Mesmo se houvesse a troca de pessoal, como aliás j á havia ocorrido, a

presença do crime organizado estaria aliciando ou coagindo novas pessoas para
atuarem a seu favor. Sabe-se que tal presença havia sido denunciada à justiça.
 131

Entretanto, dada a fluidez com que estas estruturas agem, ficava difícil
desbaratar esta trama agindo somente sobre os fatores internos à organização.

A solução destas fraudes iria exigir uma solução mais elaborada e não
seria resolvida, como de hábito, com a demissão de algumas pessoas. Era
necessário conhecer bem o todo o processo e identificar onde atuar.

8.2.2 - Trabalho de Campo

Em cada uma das etapas identificadas era necessário dar respostas a

outras perguntas circunstanciais: Quem realizava a operação? O qué era feito em
cada operação? Onde era feita a operação? Que meios eram empregados na
realização da operação? Por qué era realizada a operação? Como e Quando era
realizada?.

Para tanto decidiu-se por fazer uma visita a uma estação de grande
porte para verificar como se davam os controles de segurança. Ao chegar nesta
central constatou-se a inexistência de controle de acesso das pessoas que por lá
transitavam. Na portaria do prédio o controle de acesso e de crachás era feita de
forma meramente protocolar, sem o controle efetivo de quem transita pelo local.

Foi possível ter acesso às dependências da Central 215 e na sala de

transmissão sem que nada obstasse esse acesso. Após termos circulado à
vontade, solicitamos uma visita guiada sem que os funcionários do locai nos
questionassem quem éramos e o que fazíamos.

Ao mesmo tempo percebemos também o livre transito de outras

pessoas, supostamente técnicos do fabricante dos equipamentos, as quais não
portavam identificações aparentes e desacompanhados de quaisquer funcionários
da empresa.

Pudemos também constatar que nas centrais visitadas, as portas dos

armários das DLUs não possuíam qualquer tipo de tranca que nos impedisse de
ter acesso aos mesmos. As placas de circuitos para reposição (que nos
 132

permitiriam, se quiséssemos, disponibilizar EQNs 1

para uso posterior), ficam
armazenadas dentro da própria Centrai e em armários simples sem tranca, de
fácil acesso para qualquer pessoa que entre na Central. Questionado sobre o
controle destas placas, o funcionário que conduzia nossa visita nos informou que
não existia um sistema de controle destas placas. Algumas ficavam naqueles
armários para pronto uso e outras estavam em manutenção. Mesmo na
manutenção se uma placa era dada como danificada, não existia um controle de
sua baixa e nem se dava nenhum processo de destruição da mesma.

Posteriormente estivemos com o gerente de suprimentos da Região 5

para a verificação dos procedimentos de aquisição e salvaguarda dos estoques de
placas. Fomos informados que a gerência de suprimentos funcionava, neste caso,
apenas como liquidante do processo de aquisição das centrais telefônicas e suas
peças de reposição. A entrega deste material se dava diretamente na estação onde
seria instalada a central e o pagamento ao fornecedor ocorria mediante aceitação
da engenharia de comutação. A s placas de reserva (e outros materiais) ficam
estocados na própria central, fora do controle da gerência de suprimentos.

Voltando à estação onde estávamos realizando nossos estudos,

entrevistamos no departamento de engenharia de rede, o gerente responsável
pelos procedimentos de carga de dos números dos terminais e respectivos EQNs
no SCEC.

Nesta gerencia, após concluídas as entrevistas foi possível identificar as

etapas do processo de criação de um terminal em uma central telefônica e seu
registro no SCEC, as quais podem ser assim descritas:

• Inicialmente a operadora de telecomunicações, estabelece quantos

terminais telefônicos irá instalar em sua planta. Isto é feito com

1
Equ/pmenf Number (EQN). O EQN é uma referencia numérica que ktentifica, de forma única, um terminal telefônico catalogada em
um índice nas tabelas de endereços de terminais nas centrais telefónicas de tecnologia digital. Os gquipment Numbers (EQNs) são
definidos como endereços de portas lógicas em existentes nos circuitos das Unidades de Linhas Digitais (Digital Une ífnits -DLU J. O
EQN de um termina) é constituído de quatro grupos de dígitos: (1) A DLU ou IDT (integrated Digitai Terminai) (é um elemento
análogo a um armário de modems dentro de uma LAN), (2) número da bandeja dentro da DLU, (3) número do módulo (que é uma
pisca de circuito com vários circuitos ou portas) e (4) o numero do circuito (ou porta) a que está ligado o terminal. [SIEMENS.
Technicai Terms Gtossary. Disponível na <URL: r i t t p : ^ i K a t í o r i . i c n . s i e m e n 5 . c o i T t ^
 133

base em estudos de mercado levando em conta os serviços por ela

ofertados e a estimativa de demanda para os mesmos

* Estabelecido o número de terminais necessário, a operadora recorre

à ANATEL para a locação de uma faixa de números de terminais que
serão oferecidos aos seus clientes

* Autorizada a utilizar uma faixa de números, a operadora estabelece

quais serão utilizados de imediato e quais ficarão para uso posterior

* Dependendo da oportunidade, tanto o fabricante da central

telefônica quanto os técnicos do departamento de engenharia de
comutação podem configurar esta central criando (individualmente
ou em lote) os registros em que vincula um número do terminal a
um EQN. Dado ao grande volume de registros gerados em cada
operação, tal operação usualmente seria feita em lote . 1

* Ao final dessa operação a equipe de engenharia de comutação

entrega, ao departamento de engenharia de rede, um disquete onde
foi gravado um arquivo texto {padrão ASCII) contendo a relação dos
números dos terminais gerados e respectivos EQNs. Tal arquivas é
transferido para um microcomputador de onde ê transferido para os
discos do computador corporativo [moinframe). Ho computador
corporativo uma rotina é disparada manualmente para proceder a
leitura deste arquivo e incorporar os registros lidos nas tabelas do
SCEC.

1
Não foi relevante na ocasião saber se o processo de criação de terminais, nas centrais digitais, poderia ser feito de forma
ínteraperada.
 134

.ALQcacaQ.de posição na Central.

Acas i¡: ís externos
L ;

(Discada íP, ó&ucaào)

Insers placa Cria arquivo com
em slot vazio posição física na Faixa de
na Central Central (EQN-DLU) numeração

Encaminha arquivo
de pare? para
provis onamento na
Centra! Efetua pareamento
Central da posição física com
a faixa de numeração
-a breante Copia arquivo de disponível p/ a Central
(na l a . csrga) pares e encaminha
para cadastro no
SCEC

SCEC
Recebe arquivo de Lê o aftjulvo de
Atualiza o cadastro
pares em formato pares e cria log
w w do SCEC
TXT de leitura
.— , —

Figura 2.3
 135

Nesta descrição estava claro que esta etapa do processo não

apresentava garantias de que os dados contidos nos arquivos existentes nas
centrais telefónicas eram, de fato, os dados que incorporados nas tabelas do
SCEC.

Assim, muitas fragilidades (oram identificadas nesta etapa:

• Os acessos dos funcionarios às centrais telefônicas não era

monitorado e as cópias das chaves das portas de acesso também
não eram controladas. Desta forma não era possível saber quem e
em que horários havia tido acesso a estes sistemas

• As centrais telefônicas, apesar de possuírem os recursos usuais de

identificação de usuários, eram habitualmente acessadas por meio
de um ÍD e uma senha de amplo conhecimento de todo o pessoal
que ali trabalha*?». Desta forma os arquivos de íog gerados por estas
centrais não representavam nada. Qualquer um, dos vários
funcionários envolvidos na operação das centrais, poderia acessar o
sistema e o seu registro se confundiria com os outros. Mesmo
havendo, nos logs, registro dos horários em que algumas operações
eram realizadas, como não havia controle de entrada nas
dependências tais registros se mostravam de pouco valor

• O processo de geração tios registros nas centrais e a posterior carga

no SCEC era feito sem os controles necessários para permita a
rsstrep.bilidade do processo

• A transferência dos arquivos com os registros gerados nas centrais e

posterior carga no SCEC era feito de forma totalmente manual, sem
nenhuma forma de controle sobre as informações que haviam sido
recebidas e gravadas fazendo com que tais informações ficassem
sujeitas a adoir^r^rñe-c^ desvíos e falhas do processamento.

Questionou-se, na época, sobre o porque desta transferência de dados

de forma tão rudimentar e insegura se tais centrais eram intemperadas ]>elo RSS
e portanto os *^gisixos podiam ser Transferidos automaticamente.
 136

Ademais, até onde sabíamos naquele momento, uma vez criados os

terminais, estes deveriam permanecer com bloqueio lógico nas centrais e sua
liberação e ativação de serviços suplementares deveria se dar de forma
automática a partir do momento em que uma ordem de serviço - OS, houvesse
sido gerada no SCEC designando um dado terminal para um cliente

O gerente afirmou ter sido informado que vários fatores contribuíam

para que isto não ocorresse. De início este gerente afirmava que a interoperação
das centrais pelo RSS nem sempre era possível visto que o RSS já estava
trabalhando sobrecarregado. Segundo seu depoimento, muitas vezes um
comando dado pelo RSS só se efetuava horas depois, e que em boa parte dos
casos a interoperação da central para a configuração dos terminais não ocorria
com sucesso sendo necessária a interoperação manual das centrais para a
configuração dos terminais necessários.

Em todas as entrevistas realizadas era comum o entendimento, por

parte dos entrevistados, de que o RSS havia sido concebido para ser um sistema
de supervisão, e que ao longo do tempo havia crescido em complexidade e sua
performance apresentava-se degradada face às múltiplas exigências a que o
mesmo estava sendo submetido. Desta forma obter um volume grande de dados
desta forma não havia sido tentado e os analista não recomendavam tal
procedimento.

Entretanto a capacidade de interagir manualmente com as centrais

telefônicas, proporcionada pelo HSS, permitiu não só conhecer os terminais
clandestinos, como avaliar o quanto cada um estava gerando de perdas para a
empresa e os serviços que eles estavam utilizando. Obviamente as perdas de
faturamento mensuradas e as projeções estimadas eram fundamentais para
motivar a alta administração da empresa a proporcionar o patrocínio necessário
para que as medidas que se fizeram necessárias fossem adotadas.

Em entrevista realizada visita ao grupo de analistas responsáveis pelo

RSS foi relatado ser o RSS um sistema não somente dedicado ã interoperação das
centrais mas que atualmente encontra-se monitorando também outros sistemas
na empresa tais como os sistemas de ar condicionado e uma série grande de
outros tipos de equipamentos. Desta forma, segundo afirmavam os entrevistados,
 137

o RSS encontraria-se sobrecarregado o que estaria tornando o seu desempenho

sofrível.

Foi curioso saber que devido à variedade de tecnologias adotadas pelas

centrais telefônicas interoperadas a comunicação entre o RSS e as mesmas exigia
a adoção de soluções variadas. Em muitos dos casos era necessária a existência
de um micro computador próximo à central para realizar a comunicação com
esta. O surpreendente foi saber que muitas ocasiões ocorriam roubos destes
micro computadores o que deixava a central sem comunicação com o sistema de
supervisão.

Diante do relatado percebia-se a existência de um ambiente

extremamente complexo, com diversas formas de interconexão com centrais
(discada, LPCD, serial, rede corporativa); com diversas portas de acesso nos
equipamentos {X.25, Ethernet, PC gateway, roteador); com diversos softwares de
interconexão em uso além do próprio RSS como softwares proprietários do
fabricante e emuladores de terminal.

Novamente reunidos com representantes da gerência de sistemas da

Região 5, da segurança patrimonial e da auditoria interna, foram discutidos os
pontos identificados, O problema de segurança mostrava-se cada vez mais
complexo. Não bastasse a carência dos procedimentos de segurança de acesso
físico às centrais e da alegada precariedade do processo de interoperação
automática das centrais ainda existia a fragilidade expressa pela possibilidade de
interoperação manual das centrais telefônicas.

Nestes encontros foram feitos relatos onde alguns terminais telefônicos

quando criados nas centrais, estariam sendo deixados desbloqueados, apesar das
orientações já existentes indicarem o oposto. Chamado a dar explicações o
gerente responsável pela venda de serviços suplementares aos clientes ( í.e. Síga-
me, Chamada em Espera, Serviço Despertador), argumentou que este
procedimento fora por ele adotado visando melhorar sua performance no
atendimento de suas metas dentro do programa de antecipação de metas da
ANATEL. Dentro da política adotada pela TELEKOM, o cumprimento destas
metas pelas gerências implicava em prêmios substanciais para seus gerentes.
 138

Mesmo tendo sido alertado para as conseqüências para a segurança

desta atitude contrária às normas da empresa, o mesmo gerente manteve-se
intransigente em sua postura, tendo de ser convencido por meio de outros
argumentos mais contundentes aos quais o mesmo mostrou-se mais sensível.

A próxima questão era: porque da necessidade de interoperação manual

das centrais telefônicas? No ciclo de vida de um terminal, após o mesmo ter sido
criado na central, o mesmo permanece bloqueado até que seja designado para
atender a um cliente. Neste momento o SCEC emite uma ordem de serviço - OS,
para que o mesmo seja instalado no endereço do cliente para o qual ele foi
designado. Esta OS aparece na agenda do posto de serviço encarregado daquela
instalação. Na região que estava sendo estudada, eram vários os postos de serviço
que realizavam instalações telefônicas. Entretanto, por questão de segurança, só
existia um único núcleo (NAT) encarregado de realizar estes desbloqueios de
terminais e que ao mesmo tempo estava encarregado de ativar ou desativar
serviços suplementares.

Operando desta forma, o NAT via-se sobrecarregado uma vez que as

solicitações para bloqueio e desbloqueio de terminais, ativação e desativação de
serviços suplementares em terminais eram constantes e em grande número.
Sempre com o argumento da urgência do cumprimento do cronograma do
programa de antecipação de metas da ANATEL, os funcionários envolvidos com a
instalação de terminais faziam contato das mais diversas formas: por correio
eletrônico; por fax; por telefones; via trunk ; por recados informais dentre outros.
1

Ou seja, as solicitações de serviços encaminhadas ao NAT eram feitas de forma

totalmente indisciplinada, Pudemos constatar, em visita feita a este setor, que
muitas das pessoas que telefonavam ou enviavam fax solicitando serviços não se
identificavam. Como tudo era urgente, e se algo não era atendido as reclamações
eram feitas diretamente aos diretores da regional, a coordenação do NAT passou
a não questionar estes pedidos.

Além disto os operadores eram contatados em seus postos de trabalho

sem que a coordenação do NAT tivesse conhecimento de quais pedidos estavam

1
Trunk é um tipo de telefone movei que se comunica exclusivamente com terminais privativos de uma instalação.
 139

sendo atendidos. Sem o controle da coordenação, qualquer serviço, autorizado ou

não podia ser solicitado ao operador.

Cada posto de trabalho tinha acesso a um certo grupo de centrais, em

função da tecnologia que cada uma disponibilizava para que se fizesse o acesso
remoto às mesmas. Em alguns casos o acesso às centrais se dava por linha
discada e uso de modem convencional; em outros por meio de linha dedicada; em
outros via rede interna da empresa. Era grande também a variedade de
protocolos utilizados, variando conforme a tecnologia da central. Nos casos de
acesso por linha discada estava patente a possibilidade de que tais centrais
poderiam ser ínteroperadas de qualquer microcomputador onde o emulador
estivesse sendo executado, e não somente aquele interno ao NAT.

Aqui, tal como evidenciado junto às centrais, a praxes era o uso de um

usuário genérico e de uma senha genérica, sem a obrigatoriedade de renovação
periódica e amplamente conhecida pelos diversos operadores.

Como eram freqüentes as queixas, por parte do pessoal técnico

envolvido, que o SCEC não estaria conseguindo comunicar-se com o RSS para
comandar automaticamente o desbloqueio de um terminal, por ocasião de
emissão da OS de instalação; ou que o o RSS não estaria logrando êxito em
interoperar a central desejada, os funcionários encarregados dos despachos
destas OS para a instalação dos terminais solicitavam, proativamente, o
desbloqueio destes terminais ao NAT.

Mesmo não tendo sido possível avaliar a veracidade das afirmações

acerca dos problemas de desempenho e de comunicação entre o SCEC e o RSS, e
deste com as centrais telefônicas, o fato é que isto implicava em redundância de
trabalho (em alguns casos) e em um trabalho que (em tese) não deveria estar
sendo feito pelo NAT.

Como em boa parte dos casos o volume de terminais a serem tratados

em uma central era muito grande e dada a alegada sobrecarga de serviços que os
operadores j á eram submetidos, a prática de submeter comandos em lote às
centrais era comum. Para isto era montado um arquivo ASCII, feito em
microcomputador, contendo os comandos a serem submetidos às centrais para
 140

um número grande de terminais. Tal "job* era executado pelo próprio emulador
conectado ã central. Não havia um controle sobre o que de fato estava sendo
comandado nas centrais e se os terminais que estavam tendo sua condição
corretamente alterada.

Em suma, os serviços que eram solicitados ao NAT eram feitos, mas não
existia o mínimo controle sobre a propriedade ou legalidade do que estava sendo
feito ou, ainda, quanto a segurança de acesso aos recursos utilizados.

8.2.3 - Medidas Adotadas

Uma vez que o processo estava levantado, era necessário atuar para
corrigir os pontos identificados e sanar os problemas de fraudes que vinham
ocorrendo.

Dada a complexidade dos problemas identificados, a diretoria da

Regional 5 curvou-se diante da necessidade de contratar uma empresa
especializada em segurança de sistemas para, sob a supervisão da gerência de
segurança corporativa de sistemas e em conjunto com a auditoria interna,
elaborar e implementar as medidas necessárias para sanear os problemas. O
grupo que havia sido constituído para identificar o problema, agora tinha
liberdade e autoridade para implementar as ações necessárias.

De inicio foram tomadas medidas de segurança para o controle de

acesso físico e de solicitações de serviços ao NAT. Foram retirados todos os
telefones deste setor, com exceção dos telefones dos supervisores e do
coordenador. Foi abolido o uso dos trunks e todo o pessoal do NAT foi
concentrado em um mesmo andar do prédio onde se localizavam. As portas de
acesso foram bloqueadas, concentrando o acesso ao local em uma única porta
que passou a ser controlada por porteiro eletrônico.

Foi iniciado um projeto para o controle de acesso a toda a planta

externa (armários, URAs) e também às áreas restritas íntra-prediais (sala de
comutação, sala de transmissão) através de um sistema de buttons eletrônicos. A
intenção era que cada pessoa que necessitasse ter acesso a um desses locais
possua o seu próprio button identificado por um número serial que seria
 141

cadastrado no sistema e associado ao seu nome. A administração do controle de

acesso deverá então monitorar os acessos ã rede externa.

É importante salientar que a solução de controle de acesso físico às

centrais telefônicas não se restringia apenas a este controle através de buttons.
Os produtos do projeto conduzido pela Gerência de Segurança de Sistemas
incluíam uma proposta mais ampla de controle de acesso físico às áreas restritas
das estações.

Quanto ao processo de gestão da carteira de OS as solicitações de

serviço ao NAT passaram a ser permitidas somente por correio eletrônico
corporativo e restritas aos supervisores e coordenadores dos despachos de OS, ao
diretor da região e áreas de segurança.

Em todas as estações da Região 5 foi implementada uma política de

controle de acesso físico mais rigorosa. Em cada uma das estações foi realizado o
treinamento do pessoal envolvido.

Outro item discutido foi a possibilidade das OSs ficarem em estágio de

pendência por um tempo excessivamente longo e, enquanto permanecem neste
estágio, os terminais estão desbloqueados. A solução proposta foi o de se limitar o
tempo de permanência de desbloqueio das OS, por posto.

Foi proposta, ainda, a centralização do processo de faturamento da

empresa para tornar mais fácil a identificação de fraudes que implicassem em
perda de receita.

Contudo, na área de sistemas é que de fato foram empreendidos os

maiores esforços para impedir a ocorrência das fraudes.

A empresa contratada apresentou uma análise dos pontos de

vulnerabilidade encontradas em seus trabalhos e o principal item destacado
refere-se à intercomunicação entre as redes externas e internas da TELEKOM.
Segundo a contratada, foi identificada a possibilidade de acessar não só o
mainframe corporativo, mas também as centrais da por uma porta RAS
desprotegida na rede externa de outra regional da TELEKOM. Uma vez dentro dos
sistemas da regional invadida, não existiam barreiras internas para a navegação
 142

entre os sistemas das outras regionais. Era necessário segregar a rede de

sistemas corporativos da rede de telefonia.

Ao mesmo tempo foi montado um laboratório para testes dos softwares

que seriam utilizados para monitoramento {sniffing) do tráfego de dados nas
centrais. Em uma primeira etapa seria feito o monitoramento do tráfego de dados
da rede de computadores do NAT.

A o mesmo tempo, foi instaurado um programa para a ampliação do

poder de processamento o RSS. Até onde foi possível acompanhar o processo, as
propostas eram:

1. A divisão do RSS dois:

1.1. RSS1 - Supervisão

1.2. RSS2 - Interoperação

2. Dividir centrais entre dois servidores

Com relação ao SCEC foi elaborada uma rotina para:

• Cadastrar e bloquear simultaneamente os terminais inexistentes em

seus registros e que estivessem gerando pulsos

• Bloquear terminais não ativados que estivessem gerando pulsos ou

que estivessem desbloqueados e sem OS aberta para sua instalação

• Bloquear terminais não ativados que estivessem com OS aberta para

sua instalação a mais de 4 dias

• Retirar todos os serviços suplementares dos terminais não ativados

• Antecipar o processo de crítica dos CDRs com os cadastros de

terminais do SCEC em relação a etapa de valoração dos mesmos.
Esta medida permitiria a análise dos CRDs gerados pelas centrais
visando antecipar a identificação de fraudes.

Em 01/06/2001, foi feito, em caráter emergencial, o bloqueio manual e

a retirada do serviço "Siga-me" dos 50 terminais que apresentavam os maiores
déficits e que não constavam dos registros do SCEC. Estes terminais, eram todos
 143

pertencentes ã estação B. Foi feito, ainda, o rodízio de todo o pessoal desta

estação.

Em 18/07/2001, iniciaram-se os testes para implementação da rotina

automática de bloqueio para que os terminais inexistentes no SCEC que geraram
CDRs fossem bloqueados, diariamente, nas centrais e cadastrados no SCEC. Os
terminais "não ativados* também seriam bloqueados nas centrais. Esta rotina
entrou em produção em 25/07/2001.

Em 06/08/2001, a rotina foi executada para identificação dos terminais

irregulares que haviam gerado CDRs no período de 29/06/2001 a 31/07/2001.
Terminada a execução a rotina havia gerado e bloqueado 1.454 terminais para os
quais não haviam registros no SCEC. Ao mesmo tempo foram bloqueados 7.764
terminais não ativados.

Em 10/08/2001, apesar da recomendação da auditoria interna para

que somente um usuário fosse autorizado a desbloquear terminais bloqueados
por esta nova rotina, 53 usuários encontravam-se com esta autorização e foram
cancelados tão logo foi identificada a irregularidade. A partir desta data, somente
um usuário por regional estaria autorizado a efetuar tais desbloqueios.

Ao mesmo tempo a rotina passou a comandar os bloqueios dos

terminais inexistentes e não ativados para terminais de centrais analógicas e não
interoperadas automaticamente e encaminhar para posto de bloqueio manual as
solicitações de bloqueio destes terminais.

Foi criada ainda uma rotina para gerar diariamente um arquivo para
uso das gerências de RA contendo os dados históricos destas classes de terminais
que eventualmente venham a ser desbloqueados. Este arquivo serviria para a
elaboração de relatórios gerenciais para verificação de possíveis fraudes.

8.3 - A análise do caso

Neste estudo foi apresentado um caso em que a combinação de fatores
tecnológicos, organizacionais e humanos (motivacionais), criaram situações
complexas que induziram fragilidades nos acessos físicos e lógicos da rede de
serviços de telecomunicações da TELEKOM. Uma vez que estas fragilidades foram
identificadas pelos ofensores (insiders e outsiders), elas foram utilizadas
 144

implicando, em última instancia, em fraudes no uso dos sistemas de

telecomunicações. Mais uma vez, estas fraudes se traduziram em perdas de
receita para a organização, as quais puderam ser estimadas com aígum grau de
precisão.

Neste caso em particular as perdas eram resultantes da criação e uso

não controlado de terminais telefônicos. Tal uso demandava a mobilização de
recursos, o que gerava custos para a empresa. Posteriormente as receitas
necessárias para cobrir tais custos não eram aferidas. Esses terminais fraudados,
podiam ser classificados em dois grupos distintos: Aqueles cujo processo de
criação se dera de forma regular e estavam "em estoque", no SCEC, aguardando
para serem designados; e outros cujo processo de criação tinha se dado de forma
irregular, não constando nos registros do SCEC.

A existência de recursos tecnológicos capazes de prover serviços de

valor aos seus potenciais usuários sem limitação de acesso, a presença de
pessoas capacitadas para operas* tais recursos e a inexistência de uma política de
segurança efetiva permitia que ofensores pudessem valer-se destes recursos
causando dolo à organização.

Como dito anteriormente, incidentes de segurança são fenômenos

cornpJexos. As interações imprevisíveis entre os diversos fatores vão gerando
fragilidades que culmir.oin, em algum momento, com a emergência destes
fenômenos.

Dado à extensão das críticas necessárias neste caso, esta análise será
realizada visando dois momentos: das vulnerabilidades identificadas e das
medidas adotadas.

|*,3«1 - D*3 vü!nsrabMid5d~=> 5-ie?T:f;fscsdas

Fragilidades dc natureza organizacional (come a falta de uma política de

segurança) e outras relacionadas às pessoas (pelo pouco interesse legado por
estas aos aspectos de segurança de acesso), quando combinadas permitiram que
pessoas com grandes conhecimentos técnicos dos sistemas e com ilimitado
trânsito nas estações pudessem c r i a r e configurar terminais.
 145

Outra combinação de fragilidades de natureza organizacional e de

natureza humana, foi observada na estação de grande porte, referida na
descrição do caso. Lã constatou-se que as medidas de segurança física eram
figurativas. Não haviam controles ou monitoramento dos acessos às
dependências da estação, nem aos pontos críticos das instalações. Uma vez no
prédio da estação, nada obstava o livre acesso às centrais e aos equipamentos.
Ademais, o pessoal que usualmente trabalhava nas instalações possuía cópias
das chaves das portas de acesso, as quais também não eram controladas. Desta
forma não era possível saber quem e em que horários havia tido acesso a estas
dependências. Nesta, como em outras estações, as centrais telefônicas, mesmo
possuindo recursos de identificação e autorização de acesso, eram habitualmente
acessadas com o uso de um 1D e uma senha de amplo conhecimento. Em alguns
casos tais mecanismos de identificação e autorização de acesso eram
inexistentes. Portanto, os arquivos de log nestas centrais, quando existiam, não
podiam contribuir em nada para esses estudos, uma vez que qualquer um dos
funcionários das estações poderia acessar o sistema. Seu registro de acesso,
então, se confundiria com os outros. Outra combinação de fragilidades de
natureza organizacional e de natureza humana, era a falta de controle sobre as
placas de circuito, componentes críticos para configuração das centrais.

Vários fatores de ordem tecnológica, que implicavam em fragilidades de

segurança foram identificados neste caso. Entretanto, ressalta-se o princípio em
que uma falha de segurança raramente pode ser atribuída a um fator
isoladamente.

Um exemplo foi a constatação das vulnerabilidades encontradas na

intercomunicação entre as redes externas e internas da TELEKOM. Neste
episódio foi possível, durante o teste de invasão, identificar a possibilidade de
acessar não só o mainframe corporativo, mas também as centrais da empresa por
uma porta RAS desprotegida na rede externa de outra regional da TELEKOM.
1

Uma vez dentro dos sistemas da regional invadida, não existiam barreiras
internas para a navegação entre os sistemas das outras regionais.

1
Remate Access Services ~ RAS. É um recurso disponível no Windows NT que permite aos usuários estabelecerem um sessão em
uma rede, bayeada no NT, utilizando um modem, uina conexão X.25 ou um imk W A N . O RAS trabalha com vários protocolos de rede
incluindo o TCP/tP, IPX, e Netbeui.
 146

Tal falha de segurança foi possível pela conjunção de vulnerabilidades

de natureza humana e tecnológicas. Após concluídos os testes de invasão, os
administradores de rede, que não sabiam da ocorrência destes testes, foram
entrevistados. Estes informaram que as redes de cada regional, apesar de serem
interligadas, tinham seus próprios administradores. Na ausência de uma política
corporativa de segurança, foi estabelecido um acordo entre estes, de manter uma
forte estrutura de proteção no perímetro de suas redes, para evitar qualquer
invasão externa. Entretanto, para não prejudicar a performance dos links
internos, não foram implantados mecanismos de proteção dentro do perímetro da
rede corporativa. Do ponto de vista do projeto de rede, esta solução certamente
privilegiaria a velocidade de comunicação.

Contudo, bastou que uma das administrações deixasse um acesso

desguarnecido para que fosse possível a quebra da segurança. A identificação de
uma porta RAS, desprovida de mecanismos robustos de identificação e controle
de acesso, cujo endereço ÍP foi identificado, por meio de consultas aos servidores
de DNS na Internet, facultou a invasão do sistema.

A vulnerabilidade de ordem tecnológica estava presente na dificuldade

inerente às tecnologias atuais em prover altas taxas de transmissão de dados, em
presença de dispositivos de segurança.

A vulnerabilidade de ordem humana expressava-se no erro de

julgamento dos administradores de rede ao crerem que um endereço IP da
empresa na Internet não viria a ser testado em uma tentativa de invasão.

A vulnerabilidade de ordem organizacional manifestava-se na ausência

de uma política de segurança corporativa de sistemas que disciplinasse a
configuração das portas de acesso ao sistema» que exigisse a instalação de
mecanismos de identificação de tnvasoes que disciplinasse as contramedidas em
;

episódios desta natureza e que estabelecesse um plano de testes periódicos de

segurança extra e intra-perímetro da rede.

A medida sugerida pela consultoria era a segregação da rede de

sistemas corporativos da rede de telefonia.
 147

Entretanto os fatores de ordem tecnológica mais relevantes, foram as

dificuldades de interação entre o SCEC e o RSS. Tais dificuldades acabaram por
criar uma quebra de continuidade no processo de faturamento. As mesmas
dificuldades de interação criavam uma quebra de continuidade no processo de
criação dos terminais. Em ambos os casos a transferência dos arquivos com os
registros gerados nas centrais e posterior carga no SCEC tinha que ser feito de
forma manual.

Essa quebra de continuidade do processo não seria, por si só, uma

fragilidade de segurança. A supressão deste lapso era feita com a interveniência
humana. A intervenção do fator humano neste processo, elevava o risco de erros
e fraudes neste processo. Entretanto, a fragilidade de ordem organizacional, neste
momento, manifestava-se na inexistência de controles sobre as informações que
haviam sido recebidas (em um momento), e entregues e gravadas no momento
seguinte. A ausência de controles fazia com que tais informações ficassem
sujeitas a adulterações, desvios e perdas. O processo de geração dos registros nas
centrais e a posterior carga no SCEC se dava, portanto, sem os controles
necessários para permitir a rastreabilidade do processo. Desta forma, os
atributos de Integridade, Confidencialidade e Disponibilidade, necessários às
informações, estavam sob risco de serem comprometidos.

Em um momento pretérito, as injunções existentes à época em que

estas empresas eram estatais obrigava-as a adquirirem os equipamentos via
licitação disciplinada pela Lei 8666/93, o que levava à perda de uniformidade na
planta. Em outro momento, a falta de um planejamento na aquisição dos
equipamentos carreava a falta de uniformidade das planta da empresa. Estes
fatores de ordem organizacional fizeram com que essa planta apresentasse uma
grande variedade de protocolos de comunicação adotados pelas diferentes
centrais telefônicas. Este fator, de ordem tecnológica, Levava à existência de um
ambiente extremamente complexo. Conviviam aí diversas formas de ínterconexão
com as centrais (discada, LPCD, serial, rede corporativa); com diversas portas de
acesso nos equipamentos (X.25, Ethernet, PC gateway, roteador); com diversos
softwares de ínterconexão em uso, além do próprio RSS, como softwares
proprietários do fabricante e emuladores de terminal.
 14B

A necessidade de comunicação entre essas centrais e o RSS exigia a

adoção de uma variedade de soluções. Em alguns casos a comunicação entre
uma central e o RSS era prejudicada pela distância geodésica entre os
equipamentos. Em outros casos era necessária a existência de um micro
computador próximo à central para completar o processos de comunicação. Esta
complexidade de ordem tecnológica, fazia com que a interoperação das centrais
pelo RSS nem sempre fosse possível. De inicio as centrais telefônicas, por terem
as suas prioridades voltada para o atendimento dos terminais, postergava o
atendimento das solicitações do RSS o que fazia com que este não pudesse
atender às solicitações feitas pelo SCEC. Com isto o SCEC, por ser um sistema
com algoritmos menos eficientes, sobrecarregava o RSS de solicitações e o levava
a trabalhar sobrecarregado. O não investimento na melhoria do SCEC, com
relação a este aspecto, implicava em um aumento de demanda de serviços
desnecessária. Tal estado decorria de uma decisão de investimentos mal tomada.
Neste ponto fica clara a presença de um fator de ordem organizacional que estava
associado às origens das fragilidades de segurança que estavam ocorrendo.

Como conseqüência, em algumas situações em que vários comandos

eram enviados ao RSS, levava à combinação de fatores de ordem tecnológica:

• Sobrecarga (a que este sistema estava submetido)

• Baixa qualidade do canal de comunicação

• Características do protocolo adotado pela central a ser comandada

• Prioridade das tarefas a serem executadas pelas centrais telefônicas

e a sobrecarga sob a qual algumas são utilizadas.

Esta conjunção de fatores fazia com que tal comando só se efetuasse

após várias tentativas. Em parte dos casos a interoperação automática da
central, para a configuração dos terminais, não ocorria com sucesso. Estes
fatores de ordem tecnológica levavam os usuários a solicitarem a interoperação
manual das centrais para a configuração destes terminais.

O universo de centrais a serem comandadas remotamente, na Região 5,

não era pequeno. O Tabela 2.2 mostra o número total de centrais telefônicas
existentes nesta região e dentre elas quantas eram interoperadas.
 149

Operação QtdeCentrais % QtdeTerminats %

Não Inierope rada 648 36,06 440.895 j 13,49

Interoperatia Via» I 63,34 2.828.022 86,51

Total 1.800 100,00 3.268.917 100,00

Tabela 22

Da leitura do quadro acima observa-se que 86,5% dos terminais

telefônicos da planta da Região 5 eram controlados por centrais digitais
interoperadas pelo RSS. Monitorar e comandar todas estas centrais com os níveis
de sobrecarga de solicitação de serviços então existente estava tornando, aos
olhos dos usuários, sofrível a performance do RSS o que comprometia sua
confiabilidade.

Funcionalmente, o RSS deveria comandar automaticamente o

desbloqueio de um terminal na central telefônica quando fosse necessário fazer a
sua instalação. Entretanto, dada à alegada baixa confiabilidade apresentada por
este sistema (constituindo agora um fator de ordem tecnológica e organizacional),
os usuários passaram a solicitar, preventivamente, o desbloqueio manual destes
terminais que iriam ser instalados. Tal atitude passou a induzir, no o núcleo
encarregado de executar as interoperações manuais das centrais - NAT, uma
sobrecarga de trabalho para a qual este setor não estava preparado.

Esta sobrecarga acabou por gerar fragilidades no processo

administrativo do setor. Idealmente para se ter algum nível de controle sobre as
atividades deste núcleo, estas solicitações deveriam ser disciplinadas. Entretanto,
disciplinar a entrada de serviços neste núcleo, implicava em não atende-las
prontamente. Dada às pressões existentes na empresa para o cumprimento de
metas, os demandantes esperavam ver seus pedidos prontamente atendidos. A
necessidade de atender às demandas existentes acabou por gerar a incapacidade
de manter o controle destes pedidos. Isto j á era uma fragilidade, de ordem
organizacional, na segurança e no controle do processo. Por conta disto os
operadores do NAT passaram a ser contactados diretamente sem que a
coordenação do NAT tivesse conhecimento de quais pedidos estavam sendo
atendidos. Em muitas solicitações de serviços, o solicitante não era identificado,
mas a solicitação era atendida da mesma forma. Esta situação j á podia ser
entendida como uma grave fragilidade de segurança, de ordem organizacional.
 150

Nestes casos solicitações não autorizadas de liberação de terminais poderiam

estar ocorrendo.

Ao mesmo tempo, o NAT possuía postos de trabalho com acesso âs

centrais. Os acessos às centrais variavam em função da tecnologia adotada nas
mesmas, variando de acessos por linha discada e uso de modem convencional;
por meio de linha dedicada; ou via rede interna da empresa. Nos casos de acesso
por linha discada a fragilidade de segurança estava patente dada possibilidade de
sua operação remota de qualquer microcomputador onde o emulador estivesse
sendo executado. O acesso remoto às centrais, tal como o acesso feito via console,
era feito com o uso de um usuário genérico e de uma senha genérica. Em alguns
casos, este artifício de identificação e autorização, sequer existia.

Os dados apresentados no Quadro 2.4, mostram que este estado de

coisas não poderia ser atribuído à falta de recursos das centrais. A fragilidade na
identificação e autorização de acessos às centrais estava ligada a um longo
desinteresse das gerências de engenharia de rede quanto à segurança de acesso a
estas centrais. Uma fragilidade de ordem humana. Tal desinteresse desaguava na
falta de uma política que disciplinasse o uso obrigatório destes recursos, uma
fragilidade de ordem organizacional.

Dentre as fragilidades de segurança de ordem humana identificadas

neste caso, uma chama a atenção: O gerente responsável pela venda de serviços
suplementares da Região 5 exigia que os terminais telefônicos, das seqüências
que suas equipes estavam trabalhando, ao serem criados nas centrais, ficassem
desbloqueados. Com esta atitude ele afrontava as atitudes que estavam sendo
tomadas visando a segurança da empresa. Sua motivação visava somente atender
suas metas e garantir seus prêmios. As perdas que a empresa como um todo
vinha sofrendo, neste caso, não eram relevantes. Somente a perspectiva de
sanções disciplinares constituiu uma motivação forte para que o mesmo aceitasse
trabalhar dentro das normas de segurança.

A mais significativa das fragilidades de segurança de ordem humana

identificadas neste caso, foi a constatação de que e m muitos casos os
funcionários da estação B eram coagidos pelo críme organizado, a manipular os
recursos de telecomunicações da TELEKOM, para atender às suas necessidades.
 151

Pode-se constatar, dos relatos observados, que não era possível obstar, de forma
imediata, o acesso aos recursos de telefonia ao crime organizado sem afetar as
comunidades onde ele estava infiltrado.

8.3.2 - Das medidas adotadas

Adotando a mesma sistemática de análise dos problemas de segurança

pode-se classificar as medidas adotadas para sanar as vulnerabilidades
identificadas segundo três eixos: medidas orientadas para o elemento humano,
medidas de ordem organizacional; medidas de ordem tecnológica.

As medidas orientadas para o elemento humano, passam

necessariamente pela tentativa de mudança das crenças, valores e motivações
vigentes na organização e que balizam o processo de tomada de decisão, pelas
pessoas dentro da ordem organizacional.

Em uma organização, para que a adoção de medidas de segurança

ocorra com sucesso, é necessário angariar o comprometimento das pessoas que
detêm o maior poder de mando. Sem este apoio, qualquer projeto, seja ele de que
natureza for, não logrará êxito. Neste caso, tal como no caso precedente, a
capacidade de mensurar as perdas de faturamento era fundamental para motivar
a alta administração da empresa a proporcionar o patrocínio necessário para que
as medidas que se fizeram necessárias fossem adotadas.

Um lato bem constatado, nos vários surveys analisados, é a dificuldade

em se obter o comprometimento das pessoas dentro de uma organização, para as
questões de segurança. De forma similar, os passos iniciais adotados para a
implantação de uma sistemática de trabalho que privilegiava a segurança, foram
micíalmcntc acempannados cie queixas variadas. O episódio do gerente de venda
de serviços auxiliares, é um bom exemplo.

Suas motivações iniciais estavam voltadas exclusivamente para o

atendimento de suas metas que assegurariam seus prêmios ao final da
campanha do PAMU. Tal postura encontra explicação no isolamento
departamental que as pessoas tendem a exibir em uma organização burocrática.

Entretanto, as normas da organização estacam mudando, de forma a

privilegiar a segurança. Qualquer comportamento não alinhado com esta idéia.
 152

passava a ser desviante. A insistência desse gerente em manter o comportamento

anterior, agora desviante face às novas normas, fez com que fossem acionados os
mecanismos ao alcance da organização para que taí comportamento fosse
corrigido ou punido se necessário.

Na percepção desse gerente, esta atitude da organização ameaçava não

só seus objetivos de ganhos financeiros, que os bônus proporcionariam, mas a
manutenção de seu emprego e outros valores mais básicos ligados à sua própria
manutenção. A relação percebida por ele entre riscos e ganhos nesta situação o
fizeram optar pela manutenção do emprego e contentar-se com bônus menores
do que aqueles almejados num primeiro momento.

Por outro lado, o comportamento desviante observado nos funcionários

de nívei mais técnico, que encontravam-se ameaçados pelo crime organizado, não
era possível de ser mudado com os instrumentos disponíveis pela organização.
Nesta caso, quaisquer que fossem os argumentos ou coações utilizados pela
empresa, estes teriam um peso bem menor em uma relação percebida por eles
entre riscos e ganhos presentes nesta situação. Neste caso, a manutenção da
integridade física calava mais alto que a manutenção do emprego, caso isso fosse
necessário.

As medidas de ordem organizacional estavam relacionadas a adoção de

um novo sistema de valores e normas que explicitasse para os funcionários a
percepção da segurança como elemento necessário ã empresa» e disciplinasse os
comportamentos das pessoas neste sentido. Assim, a ampliação do escopo de
uma política de segurança nascente se fez necessária para comportar, não só os
aspectos de identificação e autorização de acesso lógico, mas os aspectos ligados
a acesso físico, arquitetura e segurança de redes e computadores, dentre outros.

Assim, foram tomadas medidas de segurança para o controle de acesso

físico e de solicitações de serviços ao NAT. Foram retirados todos os telefones
deste setor, com exceção dos telefones dos supervisores e do coordenador. Todo o
pessoal do NAT foi concentrado em um mesmo andar do prédio onde se
localizavam. As porias de acesso foram bloqueadas, concentrando o acesso ao
local em uma única porta que passou a ser controlada por porteiro eletrônico.
Quanto ao processo de gestão da carteira de OS, as solicitações de serviço ao NAT
 153

passaram a ser permitidas somente por correio eletrônico corporativo e restritas

aos supervisores e coordenadores dos despachos de OS, ao diretor da região e
áreas de segurança. O processo de abertura e fechamento de OS de instalação de
terminais tornou-se mais rígido. Foram restringidas as permissões para
desbloqueio de terminais a um usuário por regional.

As medidas de ordem tecnológica são aquelas que visam a forma como

ou os insumos por meio dos quais os recursos ínformacionais são tratados dentro
da organização. Devida a complexidade dos problemas identificados, uma das
medidas passa pela contratação uma empresa especializada em segurança de
sistemas para auxiliar a Gerência de Segurança Corporativa de Sistemas a
elaborar e implementar as medidas necessárias para sanear os problemas.

Outra medida de ordem tecnológica foi a adoção de um sistema de

buttons eletrônicos para o controle de acesso a toda a planta externa (armários,
URAs) e também às áreas restritas intra-prediais (sala de comutação, sala de
transmissão) das estações telefônicas.

Dentre as medidas de ordem tecnológica, talvez as de maior impacto

neste caso tenham sido as referentes ao RSS e ao SCEC. Foi providenciada a
ampliação do parque de máquinas destinadas a suportar o RSS visando
aumentar a sua confiabilidade. Até onde foi possível acompanhar o processo, as
propostas eram: A divisão do RSS dois: R S S l - Supervisão; RSS2 - Interoperação;
ou dividir a administração das centrais entre dois servidores.

Com relação ao SCEC foi elaborada uma rotina para cadastrar

automaticamente os terminais ^fantasmas" que fossem identificados no processo
de tratamento dos CDRs. Além disto, esta rotina passava a bloquear todos os
terminais não ativados que estivessem gerando tráfego, e aqueles para os quais
não existiam OS abertas para sua instalação.

Como resultado das medidas adotadas, ao final de agosto de 2001

haviam sido identificados e bloqueados automaticamente 12.046 terminais
inexistentes que haviam gerado pulsos e bloqueou 91.596 terminais não ativados
[Tabela 2.4], totalizando a regularização de 103.642 terminais que estavam em
condição irregular
 154

Terminais Terminais
Região lotai
Inexistetes NãoAitvados
,(D 1.054 13.842
12.788

2 1.659 24.334 25.993

3 689 15.932 16.621

A t.eet 8.401 10.062

5 6963 30.141 37.104

Talai 12.046 91.596 103.642

í n
Algumas centrais da Região 1 não interoperam para efeito de bloqueio e desbloqueio via RSS.
Tabela 2 4

Em levantamento efetuado posteriormente, as perdas com CDRs não

faturados havia sido reduzido em 84,37 % em relação ao valor levantado em
24/05/2001 [Tabela 2.5J:

Posição em 24Í05Í20S1 Posição em 09/07Í2001 Vari ição

Região
R$mil Rt míl Rlmfl %

5 179,8 4,456,8 (4.277,00) (95,97)

A 32,2 631,2 (599,00) (94,90)

3 73,1 342,3 (269,20) (78,64)

2 307,3 1313,0 (1.005,70) (76,60)

1 783,1 Z059.0 (1.275,90) (61,97)

Total I 1.375,5 8.802,3 |7.426,30)

Tabela 2.5

Contudo, até a data em que foi possível acompanhar este caso o fator
mais grave continuava sendo a complexidade do ambiente. Concomitantemente
os recursos de autenticação e rastreabilidade dos sistemas continuava sendo
muito baixo, muitas vezes nem existindo. A maior parte das senhas das centrais
ainda era corporativa (quando existiam!), e os logs gerados continuavam de difícil
uso.

A especificação completa do ambiente de segurança seria apresentada

em dezembro. Porém, durante o decorrer do projeto ações emergenciais foram
tomadas tal como descrito neste caso. Dentre outras que estavam sendo
contempladas ressaltam-se:

1) Implantação de sniffers em pontos estratégicos da rede com o

objetivo de monitorar o envio de comandos enviados às centrais,
principalmente os de configuração de serviços nos terminais dos
assinantes
 155

2) A correção das vulnerabilidades levantadas através da análise dos

servidores e agentes do RSS. Sobre este item, o grupo de segurança
já estava com o relatório da análise dos servidores Solaris e prestes a
dar início as correções necessárias

3) A reconfiguração dos perfis de acesso dos usuários às centrais. A

grande maioria das senhas usadas até então para interconexão,
além de corporativas, ofereciam um poder para o usuário muito
maior do que ele precisava. Somente uns poucos setores
necessitavam ter acesso aos comandos de configuração das centrais;
outros setores (i.e, NAT) só necessitavam de ter acesso aos comandos
que se referem à configuração dos terminais dos assinantes; e os
demais setores precisavam apenas consultar informações nas
centrais.

Quanto às possibilidades de uso de senhas distintas nas centrais, um

levantamento realizado junto aos fabricantes revelou dados que são apresentados
no Quadro 2.4.

Tecnologia Número máximo de Usuários

SIGMA 12a

S 12 12S

LUC SEM U M / 6 4 PERFIS

TRÓPICO RA 64

TRÓPICO R 4

61 BR 100

EWSD 400

AXE 128 * n

Quadro 2 A

Os resultados deste quadro mostraram que a prática adotada nas

estações de só utilizar uma identificação única para acesso às centrais
telefônicas, era algo que não guardava referência com alguma limitação
tecnológica existente nas mesmas. Tal prática evidenciava haver um
desconhecimento, dos operadores destas instalações, dos recursos de segurança
de acesso que as mesmas disponibilizava.
 156

Da observação dos dados apresentados, concluiu-se serem infundadas,

e injustificáveis, as práticas historicamente adotadas pelas equipes que operavam
esta centrais tais como:

• Senhas únicas de uso geral

• Ausência de renovação temporal de senhas

• Acesso direto de terceiros âs centrais

• Baixa disponibilidade de log - Registro de acesso

Pelas suas características, a administração de segurança destas

centrais fugia ao controle da Gerência Corporativa de Segurança de Sistemas,
que era ligada a Diretoria de TI. A gerência de segurança destas centrais
pertencia, sim. às gerências de Engenharia de Telecomunicações de cada
regional. Da observação dos dados apresentados, concluiu-se serem infundadas,
e injustificáveis, as práticas historicamente adotadas pelas equipes que operavam
esta centrais.

As várias possibilidades de identificação e controle de acesso facultadas

pelas centrais, mesmo que não fossem ideais, ao menos existiam. De fato, esta
situação de insegurança poderia ser explicada por duas hipóteses: ou os
engenheiros responsáveis pela gestão destes recursos jamais houveram sido
informados a existência destes recursos de segurança de acesso destes
equipamentos; ou os engenheiros responsáveis conheciam a existência destes
recursos, e omitiram conhece-los, o que demonstraria que os mesmos jamais
houveram legado maiores cuidados ao aspecto da segurança de acesso a estes
equipamentos.

8.4 - Conclusões
Neste estudo de caso foi explorada um situação que, em última análise,
teve sua origem atrelada à falta de uma Política Corporativa de Segurança de
Informações (ou de Segurança de Sistemas de Informações), associada a
problemas de ordem organizacional; tecnológicas e das motivações humanas. A
conjugação destes fatores, na TELEKOM, proporcionava o "meio de cultura"
propicio para o desenvolvimento das fraudes observadas. Mais uma vez, as
 157

fraudes que vinham ocorrendo, afetavam dois processos vitais da TELEKOM: a

prestação de serviços de telefonia e o processo de faturamento da empresa.

Os casos de fraude ocorrem na medida em que os agentes percebem

racionalmente que a relação entre ganhos e riscos associada a uma determinada
ação lhes é favorável.

Devida à grande complexidade do problema tratado neste caso, a

solução passava, obrigatoriamente, pela a adoção de medidas mais elaboradas e
não seria resolvida, como de hábito, com a demissão de algumas pessoas. Era
necessário conhecer bem o todo o processo e identificar onde atuar.

Também neste caso, a atuação da auditoria interna, serviu não só para

denunciar a existência de vulnerabilidades e fraudes existentes nos sistemas e
que estavam tendo impacto direto sobre a atividade fim da empresa e
comprometendo seu faturamento.

As vulnerabilidades associadas ao elemento humano, neste caso

decorriam de fatores motivacionais associados ãs relações percebidas por estes
agentes entre ganhos e perdas que indicavam, de forma qualitativa, o grau de
risco a que estes encontravam-se expostos, em persistindo nos comportamentos
adotados. Na maioria dos casos, entretanto, esta relação era percebida como
indiferente. Nestes casos, as pessoas exerciam suas atividades sempre com
tendência a se manterem isoladas em seus enclaves burocráticos, atendo-se ao
cumprimento de suas funções.

Em ambas situações, as alterações organizacionais promovidas no

intuito de implantar etapas de uma política corporativa de segurança de sistemas
encontraram manifestações contundentes contrárias a estas mudanças. Tais
manifestações surgem como respostas às

• Necessidades de adaptação a novos procedimentos

• Incertezas iniciais quanto aos impactos, nas tarefas diárias, na

cobrança de resultados, no status funcional decorrentes destas
mudanças
 158

• Percepções individuais de ameaças reais ou não que estas

mudanças implicarão para o indivíduo como para a organização.

Em algumas circunstancias, foi possível mudar a percepção individual

de perdas e ganhos frente as novas normas que estavam sendo implantadas. Em
outros, os argumentos e instrumentos disponíveis não se mostraram suficientes
para promover estas mudanças.

As vulnerabilidades associadas aos fatores de ordem organizacional

foram as mais trabalhadas e as que implicaram em maiores impactos na
melhoria da segurança de sistemas.

A s deficiências funcionais apresentadas nas relações entre o SCEC e o

RSS criavam vulnerabilidades de ordem tecnológica e organizacional que
elevavam o risco de fraude em vários pontos do processo de criação e instalação
de terminais telefônicos. Da mesma forma, os mecanismos de controle de acesso
mostravam-se precários, facultando o surgimento de fraudes. Os eventos que se
sucederam, levaram à criação de novos mecanismos de segurança de aplicação
corporativa.

Novamente problemas de ordem organizacional da TELEKOM,

apresenta-se como um possível fator causal para a indisciplina e descuidados
observados, por parte dos usuários do SCEC. Também neste caso, a TELEKOM,
padecia de vulnerabilidades decorrentes de sua estrutura organizacional
fortemente hierarquizada, e com altos níveis de cobrança, sobre seus diretores e
gerentes submetidos a pressões para o atendimento de metas diversas e estavam
limitados em suas competências. Tais condições estariam levando estes agentes a
buscarem somente os objetivos relacionados aos seus cargos, e ao mesmo tempo
defensivos, rígidos e desinteressados de outras necessidades da empresa.
 159

PARTE 3

CAPÍTULO 9
CONSIDERAÇÕES, LIMITAÇÕES E
SUGESTÕES DE F U T U R O S TRABALHOS
As ameaças relativas à segurança com que hoje se deparam as
organizações apontam para grandes desafios que devem ser resolvidos nos anos
vindouros. À medida que os episódios de segurança se sucedem delineia-se um
cenário que promete tornar a segurança de sistemas, enquanto campo de
estudos, um sítio onde irão existir grandes oportunidades de estudos e inovações,
o que tornará um tema intelectualmente excitante.

O contexto organizacional no qual se encontram inseridos o

desenvolvimento e o uso das tecnologias da informação cada vez mais tem atraído
a atenção de estudiosos e daqueles que se encontram diretamente envolvidos com
este tema no seu dia a dia. As vertentes de pesquisas atuais, conforme
apresentado, não têm logrado êxito ao propor um corpo coerente de teoria que
explique, em amplitude, os fenômenos observáveis nas organizações, decorrentes
da interação dessas tecnologias com a diversidade das culturas organizacionais.
A o mesmo tempo, o campo de teoria das organizações tem-se apresentado como
u m campo fértil nos debates sobre os fundamentos ontológicos e epistemológicos
sobre estas questões.

Neste trabalho foram introduzidas idéias de como os resultados das

interações entre Homem, Tecnologia e Organização, tem atuado como causas dos
incidentes de segurança dos sistemas de informações. Neste contexto, intentou-se
analisar algumas das situações que emergem das interações destes fatores sem
contudo propor um modelo determinístico. Para tanto, o foco deste trabalho
voltou-se para a lógica inerente a estes processos e para as ligações que podem se
estabelecer entre estes níveis de análise, ao invés de tentar esgotar todas as
dependências resultantes das variações combinatoriais possíveis.
 160

Foram analisados alguns aspectos relevantes de cada um destes

elementos para o problema: Homem, Organ^ação c Tecnologia. Em seguida foi
asocçacia uma referenciei teórica que com Dina fustas dimensões analisadas e por
meio da qual buscou-se entender as extensões de suas interações para o
problema da segurança de sistemas. O foco, nesta situação, foi entender como os
problemas de segurança de sistemas surgem, como eles ganham perenidade no
seio das organizações e como cies acabara por ser usados por agentes ofensores.
Em particular, entende-sc ter mostrado que a segurança dos sistemas de
informação surge muito mais ügqdo às ações humanas as quais são
condicionadas por um sistema de crenças,, valore* e normas sociais (e
ergemizacionais por decorrência), bem como por aspectos inerentes ã dinâmica
das orgBinfz^rões. r- à dinâmica 'ia/-- taaao!aí ?a'? da infatmacãa,r

A carência "
í p
**«.t''i^o«= r n o i < ; n n n p ^ o Q sobre a íiitURcão da segurança da
informação nas orgsni^x-õ*"» c patente Por um lado não foi possível identificar
nos levantamento" ^biográficos cs?unos acadêmicos rigorosos sabre o tema. Nos
estudos meramente empíricos, foram identificados os estudos sobre segurança de
sistemas mais referenciados na literatura estudada, os quais foram apresentados.

Tomando mais uma vez as observações feitas por NELSON [Nel97J, onde
esta autora declara existir uma grande distância entre os temas que constituem
as preocupação dos estudiosos dos problemas teóricos de segurança no mundo
acadêmico e os estudiosos dedicados aos problemas de ordem prática.
Independente de quais sejam as explicações possíveis para tal distanciamento, o
fato é que em ambos os casos, os estudos pecam por não conseguirem auferir
ganhos significativos ao miscigenar as conquistas amealhadas por ambas
vertentes no sentido de explicar o porque dos resultados constatados e tentar
propor formas para mitigar os problemas identificados e eventualmente propor
novas soluções para estes problemas.

Aqueles que se aplicam em atacar sistemas de informação o fazem, pela

óbvia razão de que é lá que estão armazenadas informações de valor. Em um
ambiente super competitivo e com padrões de moralidade questionáveis,
informações de caráter confidencial para determinados segmentos de negócios
(como instituições financeiras dentre outras) podem significar, em determinados
 161

momentos, ganhos ou perdas de milhões. Por iniciativa pessoal ou de forma

patrocinada os insiders ou os hired hackers {ou hackers profissionais), assim
motivados, podem adentrar os sistemas onde existem informações críticas e
vende-las a outros. Outros podem, ainda, atuar no sentido de promover a
adulteração ou a destruição de informações sensíveis e desta forma eliminar
evidências de atos ilícitos ou mesmo exaurir a capacidade competitiva de
determinadas empresas, ou a capacidade dc reação do estado.

Os estudos de caso conduzidos na TELEKOM, deram a este trabalho

uma oportunidade com rico potencial para estudos. Esta riqueza decorre do fato
destas instituições estarem experimentando uma profunda metamorfose nos seus
aspectos exteriores e intestinais. Vale lembrar que as atuais operadoras privadas
do sistema dc telecomunicações brasileiro, surgiram do caldeamente de empresas
estatais com culturas regionalizadas e práticas diversas. Deste modo, cada uma
das antigas estatais implementava seus cuidados com a segurança de seus
sistemas de informação. Ambos estudos contemplaram casos de fraudes cujos
efeitos acabavam por incidir sobre o faturamento da empresa. Nas duas situações
verificou-se que os problemas, cm essência, poderiam ser resumidos em
incidentes onde as pessoas estavam manipulando vulnerabilidades ligadas â
forma como a organização administrava seus recursos tecnológicos, para obter
vantagens. Uma vez que a empresa dispunha de recursos tecnológicos capazes de
prover serviços de valor aos seus potenciais usuários, ofensores capacitados a
operar tais recursos face a inexistência de uma política de segurança efetiva,
;

podiam, em ambos os casos, valerem-se destes recursos e por conseqüência

acabavam por causar danos â organização.

Os fatores de ordem organizacional, tal como observado, respondem

pela maior parte dos vícios de segur^ricH de sistemas. Para oue a segurança nas
organizações obtenha sucesso, eía deve ser um investimento que demonstre
resultados mensuráveis, maiores que os custos necessários para obte-la. À
medida que as possíveis perdas passam a ser mais previsíveis, a questão sobre se
a organização deve ou não investir em <$€gu rança, passa a ser algo
inquestionável. Neste ponto, as org;mí::;-sç5:^: passam a investir montantes
significam es em programas e tecnologias visñ/eimente atreladas ã segurança de
 162

seu patrimônio. Entretanto, até que estes riscos sejam percebidos, as

organizações continuarão se expondo a perdas na medida em que adotam
políticas de segurança subdimensionadas.

Entretanto, no que concerne à segurança da informação, dinheiro

sozinho não constitui uma resposta adequada. Os reais desafios para uma
organização estariam em conseguir integrar os cuidados com a segurança das
informações â sua cultura organizacional. A incorporação destes conceitos passa,
portanto, pelo compromisso por parte dos níveis diretivos com a definição desta
nova cultura em termos concretos. Sem o suporte dos gestores de mais alto nível,
as práticas de segurança nunca ganharão o espaço necessário para que elas
mostrem sc efetivas. Tal como em muitos casos documentados na literatura, a
segurança passa a ser algo retórico, parcialmente implantado e sujeita às
variações das contingências e dos estilos gerenciais.

Conforme citado anteriormente, as ações de auditoria interna, voltadas

para a avaliação dos controles de segurança e integridade dos sistemas e das
informações neles contidos, constituem um instrumento essencial não só para
avaliar se as politicas de segurança estejam sendo cumpridas, mas para avaliar
sua eficiência e contribuir para sua evolução. Lamentavelmente, o que foi
observado, é que as ações de auditoria são conduzidas aã hoc, sempre com um
caráter mais investigat.ivo e na busca de fraudes do que com o caráter de avaliar
controles.

Se por um lado, a ausência de técnicas não tem permitido avaliar os

ativos informacionais de uma empresa, a mensuração dos prejuízos causados
pelas fraudes verificadas nos dois casos, constituiu argumento suficiente para
motivar o conselho dc acionistas c os gestores de nível estratégico da empresa a
investir na segurança destes patrimônios. Este fato mostra que mesmo que os
"ativos informacionais" (fnfòrmation Assets) não possam, até o momento, ter seu
valor mensurado diretamente, os prejuízos decorrentes das perdas ou má gestão
destes ~ativos" são mensuráveis.

Outro fator relacionado à segurança de sistemas nas organizações são

as pessoas. O ser humano é responsável pelo projeto, configuração e uso dos
sistemas de informações e de seus atributos de segurança. As pessoas
 163

freqüentemente cometem erros de avaliação e implementação de sistemas.

Ademais, não é possível para as pessoas anteciparem-se a todas as possiveis
falhas. Portanto as medidas de segurança, orientadas para o elemento humano,
devem passar necessariamente pela busca da mudança das crenças, valores e
motivações vigentes na organização e que balizam o processo de tomada de
decisão, pelas pessoas dentro da ordem organizacional.

Um dos fatores correlacionados à segurança dos sistemas de

informação é a complexidade do ambiente computacional em que estes se
apoiam. Todos os componentes de um sistema de computação são
potencialmente vulneráveis, incluindo aí os links de comunicação, os
componentes de hardware e o conjunto de softwares associados. O crescimento
em tamanho e em complexidade apresentado por estes componentes excedem em
muito a capacidade de qualquer mecanismo de segurança colocado para
monitorar, de forma ideal, mesmo uma rede de pequeno porte. Como resultado,
este complexo ao se expandir torna-se cada vez mais sensível, ao mesmo tempo
em que as vulnerabilidades crescem na mesma proporção.

O crescimento das redes implica que mais usuários podem ter acesso
ao sistema simultaneamente, fazendo crescer as ameaças dos insiders. Ao mesmo
tempo, como o número de hosts e o número de pontos de conexão cresce, o
ofensor externo (outside-r) defronta-se com maiores oportunidades de penetrar o
sistema. Finalmente, se um ofensor, seja ele interno ou externo, consegue
penetrar o sistema, mais informação estará exposta a adulteração. Mesmo uma
penetração isolada tem o potencial de ser devastadora, especialmente em um
ambiente altamente conectado. Da mesma forma, desde que um ambiente
computacional apresente alta complexidade e altamente conectado, um ofensor
necessita somente concentrar seus esforços em um subconjunto de pontos da
rede para causar grandes danos ao sistema.

Ao longo de todo este trabalhos afirmou-se mais de uma vez que prover
uma boa segurança de sistemas é vAgo difícil de se obter e que a segurança total é
praticamente impossível. Nenhuma solução isolada pode prover uma resposta
abrangente para o problema de segurança da informação, dada a complexidade
inerente destes problemas. Uma boa solução, capaz de tratar estas
 164

complexidades acaba por requerer mais de um tipo de medida no âmbito das

organizações. Extrapolando estes limites, as soluções passam por iniciativas que
demandam ações coordenadas de forma a se mostrarem efetivas. Nenhuma
medida tecnológica ou atitude individual ou organizacional mostrou-se até o
momento capaz de prover o tipo de orquestração de fatores necessários ao
provimento de uma solução coerente para os problemas de segurança de
sistemas. Ao contrário, somente o balanço apropriado de ações incidentes sobre
os três vetores fundamentais aqui identificados (Homem, Organizações e
Tecnologias), pode ser obtido para prover soluções adequadas para a crescente
complexidade que os problemas de segurança tendem a apresentar.

Ao mesmo tempo, os fatos identificados puderam ser analisados sob a

perspectiva adotada atestando a adequabilidade da abordagem proposta para o
estudo destes casos locais. Estendendo a aplicação desta abordagem aos surveys,
cujo escopo mostram-se mais abrangentes, pudemos observar que esta ainda
assim mostrou-se aplicável. Pode, desta forma propor explicações para os
resultados apresentados nestes estudos.

Entende-se que a proposição de outras alternativas de ação, diferentes

daquelas tomadas para a solução dos casos observados, foge ao escopo deste
trabalho. Aqui o objetivo visou mais a proposição de uma abordagem alternativa
para o entendimento dos problemas de segurança da informação, face a
insuficiência das proposições correntes. Buscando guardar a coerência com os
conceitos de complexidade apresentados, a proposição de cursos de ação
alternativos dependeria de uma análise mais detida da contribuição de cada um
dos "vetores unitários" e dos resultados das suas interações. No curso da
observação dos casos, dada às limitações funcionais do observador, não foi
possível atingir a profundidade de análise necessária para propor ações que
pudessem diferir daquelas tomadas pelos agentes observados.

Entretanto, entende-se ter obtido resultados promissores no sentido de

preencher a lacuna apresentada por NELSONfNel97], quando esta autora afirma
existir uma lacuna entre os esforços académicos e práticos no sentido de tratar e
explicar os problemas de segurança de informações. A abordagem proposta
tentou mostrar que a visão total do problema exige uma perspectiva sistêmica e
 165

multidisciplinar. Mais e mais serão necessários esforços, no campo da Ciência da

Computação, no sentido de se obter algoritmos criptográficos mais robustos e
sistemas operacionais mais flexíveis para suportar a recuperação dos sistemas
apôs tentativas de invasão ou anulação de serviços.

Entretanto, estes esforços visam somente uma faceta do problema. As

possíveis contribuições originadas da Psicologia, da Sociologia, da Teoria das
Organizações e das Ciências da Complexidade irão em muito contribuir para que
os estudiosos possam ter melhores instrumentos para compor este caleidoscópio
que é a segurança de sistemas.

Como todo trabalho, este também apresenta suas limitações. Percebe-se

que este trabalho não explorou o suficiente os aspectos humanos e
organizacionais que podem estar na gênese dos problemas de segurança, com
relação as organizações, é patente que a sua tradição histórica exerce influência
sobre a cultura organizacional. Mas em que medida as tradições históricas de
uma organização catalisam ou inibem a percepção das organizações quanto aos
problemas relacionados à segurança das informações?

Os recentes episódios de segurança envolvendo grupos terroristas

suscitam questões relevantes mas que sequer foram lembradas neste trabalho,
por limitação de escopo: que outras motivações, além das de ordem monetária,
seriam suficientes para fazer com que organizações complexas passassem a atuar
como ofensores dos sistemas de informação?

Ao mesmo tempo, pouco ou quase nada foi extraído do manancial

disponível nas ciências da complexidade para lançar mais luzes no entendimento
deste problema. As influências do meio ambiente apesar de terem sido citadas,
não foram bem estudadas sob a óptica sistêmica. Os mecanismos de homeostase
e crescimento de complexidade subjacentes a este complexo, em nada foram
analisados ou utilizados para melhorar o modelo e explicar os fenômenos
observados. As limitações deste trabalho e questões apresentadas mereceriam um
estudo mais aprofundado para permitir uma melhor compressão desta ordem de
fenômenos.
 166

Entretanto, algumas considerações de ordem mais geral cabem ser

feitas. Os resultados das análises realizadas neste trabalho certamente podem ser
estendidos para outras empresas do setor de telecomunicações brasileiras. Esta
afirmação baseia-se nas condições históricas que deram origem âs mesmas:
inúmeras empresas estatais que foram caldeadas em poucas empresas privadas.
A diversidade de culturas locais que se desenvolveram ao longo de décadas deve,
por meio de fórceps, resultar agora em empresas produtivas e rentáveis com visão
em resultados submetidas a pressões de acionistas e pressões das agencias
reguladoras. Tal como a TELEKOM, as demais empresas estão passando pelos
mesmos fenômenos culturais e enfrentando dificuldades similares quanto ao
problema de segurança dos sistemas de informações.

Com base nestas constatações pode-se estender o raciocínio na

elaboração de alguns cenários plausíveis, no que tange a segurança de sistemas e
informação e controle. Os casos recentemente relatados pela mídia quanto ao uso
criminoso de dispositivos de telecomunicações e os fatos observados na
TELEKOM, permitem dizer que os grupos criminosos já teriam estabelecido fortes
raízes dentro do sistema de telecomunicações brasileira. O aliciamento de pessoal
técnico dentro destas organizações mostra-se algo fácil de ser obtido e difícil de
ser identificado. Outras formas de fraudes presenciadas, mas não exploradas
neste trabalho, ao longo do tempo em que este estudo foi conduzido, permitem
dizer que as fraudes em telecomunicações tem sua origem no próprio pessoal
interno. A adoção de medidas contra o uso de celulares nas penitenciárias e
cadastramento de usuários de celulares pré-pagos, face a capacidade dos
técnicos em prover soluções para contornar estas medidas, parecem mostrarem-
se inócuas dentro de pouco tempo.

Associe-se, em um cenário hipotético, os resultados apresentados nos

surveys analisados neste trabalho, os fatos observados de forma participativa na
TELEKOM, a recente história da formatação do sistema de telecomunicação
brasileira e os eventos reportados pela míâia sobre o uso da telefonia por
organizações como o PCC em São Paulo. Neste cenário, não seria impróprio dizer
que várias empresas, ou até mesmo o próprio estado brasileiro, estariam
vulneráveis, caso grupos criminosos decidissem utilizar esta capacidade
 167

potencialmente disponível ( e provavelmente ainda não percebida), de coagí-los a

fazer, ou deixar de fazer, algo que venha a ser de interesse destes grupos.

Seria pertinente sugerir que trabalhos futuros investigassem se tais

fragilidades se verificam em empresas dos setores de energia elétrica, sistema
financeiro, setor de transporte (como EBCT) dentre outras que estariam
compondo setores mais sensíveis da infra-estrutura nacional.
 168

CAPÍTULO 1 0
CONCLUSÃO
Este trabalho apresentou como contribuição a proposição em que os
problemas de segurança das informações são essencialmente complexos e que o
paradigma sistêmico mostra-se mais apropriado para o entendimento destes
fenômenos.

Tomando como base a teoria sistêmica e buscando considerar as

implicações decorrentes da adoção deste paradigma, este trabalho apresenta,
ainda, uma abordagem onde os elementos Homem, Organização e Tecnologia
seriam os elementos primários (ou vetores unitários) a partir dos quais é possível
obter uma interpretação mais realística e completa dos problemas de segurança
de sistemas. Contudo, mesmo que as contribuições de cada um destes elementos
devam ser analisadas em profundidade, as inter-relações altamente coesas que se
estabelecem entre estas contribuições acabam por ser responsáveis pelas
dificuldades encontradas para o bom entendimento e apropriada solução destes
problemas.

Nos estudos de caso apresentados, a análise dos fenômenos observados

sob a óptica proposta, permitiu entender como cada elemento primário contribuiu
para o advento dos incidentes, e como cada contribuição interagiu com as demais
realimentando a crescente complexidade das situações que precederam os
incidentes. Ao mesmo tempo, foi possível interpretar como as ações adotadas pelo
agentes envolvidos com o saneamento da situação, visaram mitigar a
contribuição de cada elemento e a complexidade inerente aos incidentes
observados.

Entende-se que este trabalho inova ao denunciar a necessidade de se

aplicar o paradigma sistêmico para o estudo dos problemas de segurança da
informação, o que ainda não havia sido claramente apresentado, mesmo que
algumas afirmações apresentadas em estudos anteriores, deixasse transparecer
insinuações neste sentido. Ao mesmo tempo, propõem-se uma abordagem
inovadora onde as contribuições dos elementos Homem, Organização e
 169

Tecnologia e as suas interações complexas acabam por responder pelos

incidentes observados.

Cabe portanto, aos estudiosos e profissionais ligados ao assunto a

responsabilidade de conhecer suas motivações e suas potencialidades. Cabe
conhecer as organizações e o que em sua dinâmica as levam a se verem
vulneráveis diante desses agentes. Cabe entender em que a tecnologia colabora e
ameaça a segurança das informações. Cabe entender este complexo e alertar os
gestores quanto aos riscos e orientar nas soluções a adotar.

Neste contexto, ao qual alguns estudiosos tem dado o nome de mfawar,

nada mais oportuno que lembrar as palavras de Sun Tzu:

"Ifyou know the enemy and know yourself, you need not fear the result
of a hundred battles ... [but, the] supreme excellence consists in breaking the
enemy's resistance without fighting."
 170

ANEXO A
O PARADIGMA SISTÊMICO
Introdução

As deficiencias apresentadas pelos trabalhos correntes têm em comum

o fato de não serem capazes de classificar os incidentes de segurança observados
nas organizações de forma a contemplar os atributos relevantes destes
incidentes. O paradigma básico adotado pela maioria dos autores estudados é a
tentativa de propor sistemas classificatórios para incidentes de segurança de
informações, com a mesma abordagem adotada pela Biologia na taxonomía dos
seres vivos.

Indubitavelmente, esta abordagem aparece intuitivamente como sendo

boa. A observação destes trabalhos trazem subsídios valiosos para o
entendimento desta problemática. Os raciocínios expostos exaurem as
possibilidades deste modelo ao mesmo tempo que possuem o mérito de legar a
outros estudiosos do tema os resultados de seus esforços. Contudo, talvez sejam
os insucessos apresentados os seus maiores contributos. Talvez estes insucessos
estejam a revelar que esta abordagem não seja a mais apropriada. Os fenômenos
relativos à segurança das informações observáveis nas organizações apresentam-
se muito mais fluidos e os modelos até aqui expostos não se apresentam como
um continente adequado para os eventos observáveis. De fato, a cada tentativa
constata-se que a realidade mostra-se bem mais complexa.

De fato, os sistemas de informação apresentam-se como sistemas com

alto grau de complexidade, os quais estabelecem uma grande variedade de
complexas interações com seu ambiente externo e, dentro deste, com vários tipos
de atores. Internamente, as relações que se estabelecem entre os seus variados
subsistemas conferem a estes sistemas um outro nível elevado de complexidade
intestinal.
 171

O objetivo deste tópico reside em analisar alguns fenômenos relevantes

no campo da segurança de informações com base em um arcabouço teórico
identificar se as relações de causas e efeitos aí observáveis podem ou não ser
estendidas a outras organizações. Com vistas neste objetivo fica patente a
necessidade do modelo a ser adotado ser capaz de tratar de forma confortável as
complexidades que estes sistemas apresentam. Em particular interessa saber
como evoluem estas cadeias de causas e efeitos que levam estes sistemas a
estados indesejáveis e que culminam em eventos de quebra de segurança e
perdas para estas organizações.

Neste conjunto de interações, dos subsistemas entre si e do sistema

com o seu ambiente, reside a gênese da complexidade inerente aos sistemas de
informação. Interessa saber quais as propriedades dos motivos que levam os
agentes presentes nestes sistemas a conduzir uma série de relações que levam os
sistemas de informações a estados "patológicos". Ou seja, os estados que
implicam em perdas perceptíveis pela organização como um todo ou por alguns
de seus componentes. Estes estados indesejáveis são de particular interesse para
a segurança da informação.

Uma vez que os SIs e as entidades com as quais eles interagem

estabelecem relações complexas as quais evoluem rápido em complexidade,
variando suas propriedades de momento a momento torna-se difícil definir todos
as possíveis interações e então estabelecer uma taxonomia. De fato não estão
sendo tratados, neste contexto, como espécimes com propriedades individuais
bem definidas e estáveis. Ao contrário depara-se neste contexto com um conjunto
nebuloso de seqüências de eventos que levam os SIs a estados indesejáveis e
muitas vezes de formas inesperadas.

Partindo destas premissas, o intuito é tentar buscar modelos mais

consistentes com o observado nas organizações em outras searas do
conhecimento ainda pouco exploradas quanto aos subsídios para o estudo em
questão. Uma vez que esta classe de problemas apresenta marcadas propriedades
sistêmicas parece ser razoável recuperar os conceitos j á trabalhados nos campos
da Teoria dos Sistemas e na Cibernética com o intuito de entendê-la.
 172

Os Princípios da Teoría Geral dos Sistemas

"As ciencias modernas tem se caracterizado por sua constante

especialização muitas vezes decorrente pelo grande acúmulo de conhecimento e
crescente complexidade de técnicas e de estruturas teóricas aplicáveis nos seus
respectivos campos de estudos. Desta forma, as ciências vêm se dividindo em
inumeráveis novas disciplinas. Como conseqüência, os pesquisadores de cada
área tendem a se encapsular cada vez mais nos domínios dos respectivos campos
de estudos tornando cada vez mais difícil o intercâmbio de conhecimento entre
estes casulos."

O texto extraído do clássico General Systems Theory apresenta a

percepção de BERTALANFFY [Ber68] quanto às dificuldades com que se depara
qualquer estudioso que se aventure a explorar temas que encontrem-se nos
limites de disciplinas científicas já sedimentadas.

No entanto, segundo BERTALANFFY [Ber68], a observação da Natureza

deixa patente o fato de que as Entidades e Fenômenos presentes no Universo são
estudados, em quase sua totalidade, por diversas disciplinas da Ciência Clássica
as quais tendem a isolar estes elementos e fenômenos do Universo observável de
forma que os mesmos apresentem uma complexidade reduzida e possam desta
forma ser melhor entendidos. Contudo, ao serem contemplados de forma
conjunta, os conceitos e experimentos originados destas áreas ^estanques", não
formam em um modelo inteligível.

Com base nesta percepção, o biólogo Ludwig von Bertalanffy, propôs na

década de 1940, o conceito de Teoria dos Sistemas seguido por Ross Ashby, na
década de 1950, com o conceito de Cibernética. Em seus trabalhos, ambos
propõem uma forma de construção do conhecimento contrária ã abordagem
reducionista tentando reviver o conceito de unicidade da ciência. A ênfase no
conceito de que no Universo os Sistemas mantém interações com seu ambiente,
adquirindo, desta maneira, novas propriedades que emergem como resultado
destas interações. Daí resulta a contínua evolução destes Sistemas. Assim, ao
invés de reduzir uma Entidade às propriedades de suas partes, a Teoria dos
Sistemas [Ber68] busca focar no arranjo e nas relações entre estas partes, as
 173

quais apresentam-se conectadas formando um todo. Este seria o conceito de

Holismo.

A Teoria Geral de Sistemas [Ber68] surge, então, como um estudo de

caráter transdisciplinar cujo objeto de estudo são os fenômenos organizacionais
tendo como modelo os níveis mais abstratos e abrangentes de organizações. Estas
organizações são estudadas independente de sua substância, tipo ou escala
temporal e espacial. A investigação recai sobre princípios comuns a todas as
organizações complexas e modelos, usualmente matemáticos, são adotados para
descrevê-los.

Uma particular organização de elementos determina um sistema cujas

propriedades não refletem obrigatoriamente as propriedades de seus elementos
constituintes. Desta forma, os mesmos conceitos e princípios organizacionais
estariam subjacentes aos assuntos das mais variadas disciplinas provendo, desta
forma, uma base para esta unificação.

Os conceitos de Sistemas incluem termos como: Fronteira ( ou Limite

ou Interface) Sistema - Ambiente, Entradas (ou Inputs), Saídas ( ou Outputs),
Processos, Estados, Hierarquia, Finalidade e informação [BerbS].

Desta forma, torna-se necessário estudar não só as partes e processos

de forma isolada [Ber68], mas também compreender os problemas que emergem
do arranjo destas partes. A dinâmica da interação entre as partes destes sistemas
se dá dentro da disciplina que emerge como resultado tanto das características
das partes interagentes, da forma como estas partes se dispõem neste arranjo e
das forças que surgem entre as partes à medida que as interações ocorrem. Isto
faria com que o comportamento das partes fosse diferente quando estudadas
isoladas ou em conjunto [Ber68].

A Teoria Geral dos Sistemas, segundo BERTALANFFY [Ber68], seria a

"Ciência do Todo". Em sua clássica citação *The whole is more that the sum ofits
parts* [Ber68], BERTALANFFY expressa o entendimento de que as características
constitutivas de um sistema não são a priori explicáveis a partir das
características das partes quando isoladas. As características deste "complexo"
apareceriam como "novas" ou "emergentes*. Entretanto, ressalta BERTALANFFY
 174

[Ber68], se uma soma é concebida como sendo composta de forma gradual, deve-
se conceber um Sistema, um arranjo especial de partes com suas inter-relações,
como se este fosse composto instantaneamente e não como o incremento gradual
das partes.

Ao elaborar suas hipóteses BERTALANFFY [Ber68J inicia concebendo

sistemas como um conjunto de elementos e suas interrelações. Nenhuma
hipótese é feita quanto à natureza do sistema, de seus elementos ou quanto às
relações entre os mesmos. Partindo desta definição várias propriedades foram
inferidas [Ber68], algumas sendo expressas em termos bem definidos em vários
campos do conhecimento, outras definidas em termos antropomórficos ou
metafísicos. Assim, BERTALANFFY propõe que o paralelismo das concepções
gerais ou mesmo de "leis" especiais em diferentes campos do conhecimento
decorre como conseqüência do fato de serem os fenômenos entendidos como
pertinentes a "sistemas" sendo que estes "princípios" identificados seriam
aplicáveis a quaisquer sistemas independente de sua natureza e dos elementos
envolvidos.

A Teoria dos Sistemas argumenta que, por mais complexo ou diverso

que seja o mundo que se experimente, nele sempre serão encontrados diferentes
tipos de organização as quais podem ser descritas a partir dos conceitos e
princípios os quais são independentes do dominio específico a partir do qual
sejam observados [Ber68J. Desta premissa seria então possível inferir que, ao
menos em tese, descobertas as "leis" gerais que regem quaisquer sistemas, seria
possível analisar e resolver problemas sistêmicos em qualquer domínio do
conhecimento.

Cibernética

Apesar da abordagem sistêmica considerar, em principio, todos os tipos

de sistemas, na prática a abordagem dos sistemas de alta complexidade, sistema
adaptativos e sistemas auto regulados têm sido o foco da Cibernética. De fato, a
Cibernética e a Teoria dos Sistemas estudam essencialmente os mesmos
problemas: as organizações, independentemente das particularidades dos
substratos que as compõem. Enquanto, a Teoria dos Sistemas foca mais na
estrutura dos sistemas e em seus modelos, a Cibernética foca mais em como os
 175

sistemas são controlados e como eles se comunicam com outros sistemas.

Entretanto como o funcionamento e a estrutura de um sistema não podem ser
entendidos em separado, a distinção entre elas deixa de ser relevante no contexto
deste estudo.

O conceito de Sistema

A definição de Sistema apresentada por BERTALANFFV [Ber68] é "um

grupo de unidades combinadas formando um todo e que operam de forma
coordenada*. Entretanto existem várias outras definições na literatura que
refletem diferentes perspectivas filosóficas. Entretanto todas elas comungam os
mesmos fundamentos:

• A existência de uma variedade de entidades distintas chamadas

Elementos ou Partes

• Estas entidades encontram-se envolvidas em relações cujos efeitos

propagam-se e influenciam as outras entidades e suas relações

• As relações de afinidade e de caráter atrativo (sinérgicas) devem

predominar sobre aquelas de caráter dissociativo de tal forma que a
estabilidade sistêmica seja decorrente do equilíbrio dinâmico destas
relações antagônicas

• Este concerto de entidades e relações são suficientes para gerar uma

nova e distinta entidade em um nível de análise sistêmico mais alto

• Esta nova entidade possui uma finalidade ou propósito que justifica

a sua existência.

Isto posto, pode-se perceber no conceito de sistemas a unificação de

vários conceitos:

• A multiplicidade de elementos e a singularidade do sistema como um

todo

• A dependência da estabilidade do todo frente a atividade inerente às

relações que se estabelece entre as entidades participantes

• A distinção entre o que ê sistema e o que não o é

 176

* A distinção entre o sistema como um todo e o seu ambiente

• A existencia do todo é relevante para a existencia das partes.

Um aspecto notável no conceito de sistemas é a estabilidade do mesmo

enquanto um todo: Um sistema só existe, e tem persistencia temporal, somente
quando as relações que se estabelecem entre a multiplicidade de entidades
distintas participantes deste sistema resultem em um estado de equilíbrio para
este sistema.

Nos sistemas cuja organização apresenta níveis de atividade interna, as

ações e processos antagônicos intervêm na dinâmica das interações e retroações
internas e externas destes mesmos sistemas sendo que em ultima instância
contribuem para a evolução e/ou desagregações destes sistemas [Mri86J.

Para estas ciências, sistemas são vistos como complexas redes

multidimensionais de informação, denominados "Sistemas Adaptativos
Complexos" [Complex Adaptive Systems). Existe a presunção que existem
princípios e leis subjacentes a tipos de sistemas aparentemente díspares:

Complexidade:

Tais sistemas são estruturas complexas dado que vários entes

heterogêneos estabelecem um conjunto de relações de difícil entendimento.

Mutualismo:

Esta variedade de componentes interagem de forma paralela,

cooperativamente ou de forma antagônica, em tempo real , criando múltiplas 1

interações simultâneas entre os vários subsistemas que ai se estabelecem.

Complementaridade:

Estes modos de interação simultâneos levam a subsistemas que

participam em múltiplos processos, tornando incompleta qualquer dimensão
simples de descrição. Tais processos requerem níveis de análise mutuamente
complementares.

Evolutividade

1
Tempo real
 177

Sistemas complexos tendem a evoluir e crescer de forma oportunística,

e não de uma forma otimamente projetada e planejada .

Construtivismo:

Os sistemas complexos tendem a crescer em tamanho e complexidade

de uma forma historicamente encadeada com seus estados pregressos enquanto
desenvolvem, simultaneamente, novos atributos.

Reflexividade:

Os sistemas complexos tendem a apresentar ricos processos de

reaiimentação {feedback) positivos e negativos.

Conceitos Bás?cos da Abordagem Sistêmica

Neste ponto, torna-se importante identificar e distinguir entre o que é o

Sistema em si e o seu ambiente. Sistema e Ambiente são em geral, separados por
um limite bem definido. Assim, para uma célula animal eucarionte a membrana 5

celular exerce este importante papel de limite. Toda matéria, energia e informação
que o sistema passa de si para o ambiente (produtos, saídas ou outputs) de forma
geral é resultado direto ou indireto daquilo que "recebe do" ou "capta no"
ambiente em que se encontra (entradas, insumos ou inputs). O que sai
necessariamente deve ter entrado primeiro (caso contrário o sistema estaria se
desintegrando). Entretanto os produtos sempre são algo diferentes dos insumos:
o sistema não se comporta como um tubo passivo, mas como um processador
seletivo em atividade. A transformação dos insumos em produtos pelo sistema é
usualmente denominado de processamento (ou throvghput *) Assim temos os
elementos básicos de um sistema tal como ele é entendido pela Teoria Sistêmica

Quando visto mais de perto, o ambiente em que um sistema encontra-

se inserido mostra-se consistindo de vários sistemas Interagindo com os
respectivos ambientes. Assim o ambiente de uma célula está repleto de outras
células, bactérias e vírus; o de uma pessoa está repleta de outras pessoas,
animais, plantas, atmosfera, organizações sociais, máquinas c outras entidades
diversas.

1
Eucarionte
 178

Quando vistos de um ângulo mais abrangente, percebe-se que um

conjunto de sistemas que interagem de forma mútua, pode ser visto também
como um sistema. Assim um grupo de pessoas pode formar uma família, uma
organização ou uma cidade. As mútuas interações entre os componentes de um
sistema atuam aglutinando estes componentes em um todo. Assim, do ponto de
vista do todo, as partes são entendidas como sendo subsistemas deste. Com
respeito às partes, o todo é visto como um supersistema.

Quando supersistema é olhado como um todo, as particularidades das

partes passam a não ser relevantes. Novamente a atenção pode se voltar para as
entradas e saídas do sistema sem a preocupação quanto a que subsistema tratou
e de que forma tratou o ínsumo entrante.

Neste modo de ver, o sistema é considerado como uma caixa preta

{black box), que recebe um insumo e produz algum produto , sem que se saiba o 2

que ocorre entre estes dois momentos perceptíveis. Em contraste, se ao

observador for possível ver os processos internos do sistema, este sistema pode
ser visto como uma "white box* (caixa transparente ). Apesar do conceito de caixa 3

preta não ser completamente satisfatório, em muitos casos isto é o melhor que
pode ser obtido. Um exemplo disto ocorre quando um médico, ao examinar um
paciente, percebe nele achados clínicos e laboratoriais que confirmam uma
doença que, mesmo ainda pouco estudada, ou seja de etiologia ou evolução
complexa, é possível de ser tratada dentro de um protocolo bem conhecido.

A metáfora da caixa preta não está restrita a situações onde não é

possível conhecer o que ocorre dentro do sistema. Em muitos casos, esta
observação é possível, entretanto estes aspectos podem não ser relevantes para
os objetivos da observação empreendida. Assim, ao administrador público que
descreve um quadro de epidemia em uma localidade, não é relevante saber os
nomes das pessoas que apresentaram a doença. É suficiente saber o montante de
pessoas que contraíram a enfermidade e estimar os gastos com internações e
medicamentos ou os óbitos ocorridos. Neste caso a abordagem da "caixa preta"

1
Throughput
2
Os produtos, nesta acepção, inciuiem os rejeitos e sobras dos processos e não somente os resultados "nobres".
3
Esta tradução não é literalmente correta, mas entendemos que a semântica fica melhor apresentada.
 179

torna mais simples os estudos necessários para os fins pretendidos, ao invés de

um estudo mais detalhado onde se traçaria a evolução do quadro clínico de cada
habitante da localidade acometida.

Estas visões complementares de um mesmo sistema ilustram um

princípio geral onde os sistemas são estruturados hierarquicamente. Eles
consistem de diferentes níveis. Nos níveis mais altos, tem-se uma percepção mais
abstrata e coerente do Todo, onde não se presta atenção nos detalhes dos
componentes ou partes. Nos níveis mais baixos, entretanto, observa-se a
multiplicidade de partes interagentes, mas sem a percepção de como elas estão
organizadas como um todo.

A abordagem analítica busca os níveis mais detalhados dos sistemas.

Conhecidos precisamente os estados dos órgãos e células de um corpo, seria
possível entender como este corpo funciona. As especialidades médicas estão
calcadas neste paradigma.

A abordagem holística é adotada por diferentes especialidades da

medicina dita "alternativa", as quais argumentam que o mais importante é
entender o indivíduo como um todo. Assim o estado de humor de uma pessoa
afetaria o seu trato digestivo que por sua vez afetaria o seu estado de humor.
Estas interações não são triviais, ou possuem uma relação linear entre causas e
efeitos, mas estariam relacionadas por complexas redes de interdependência, as
quais podem ser entendidas somente pelo seu "propósito" de manter o todo em
um estado tido como saudável, o que muitas vezes é irrelevante para as entidades
nos níveis de uma célula.

No caso mais geral, as relações de causalidade podem se dar no sentido

em que as leis que governam as partes determinam ou causam o comportamento
do todo (os animais respiram porque suas células necessitam realizar trocas
destes gases) ou no sentido em que as leis que regem o todo atuam como
restrições ou causam o comportamento das partes (em especial nas organizações
sociais). Assim, cada nível na hierarquia dos sistemas e subsistemas tem suas
próprias leis, as quais não podem ser derivadas das leis dos níveis inferiores.
Cada lei especifica um tipo particular de organização no nível que lhe é próprio.
 180

Ao mesmo tempo, estas leis influenciam (mas não determinam necessariamente)

os arranjos dos subsistemas ou componentes dos níveis inferiores.

Apesar de cada nível na hierarquia dos sistemas ter suas próprias leis,
estas são freqüentemente similares. Todos os sistemas abertos apresentam
necessariamente uma camada limítrofe (fronteira) [Ber68], entradas, saídas e
processamento intestinal. As células animais possuem membrana citoplasmãtica
e necessitam de "alimentos", "energia'' e informação. Apesar destes insumos no
nível celular diferirem em forma dos mesmos insumos que o corpo absorve,
ambos são funcionalmente idênticos. Em ambos os casos, estes insumos
permitem ao organismo crescer, reparar a si mesmo e reagir às variações nas
condições de seu ambiente, sendo que estas funções apresentam limites tanto no
que se refere aos estímulos como ãs respostas. O mesmo se dã com os
organismos sociais os quais necessitam de insumos (fontes de energia, matérias
primas, capital, trabalho, tecnologia) para se manterem, crescerem e se
repararem.

Desta forma, independente do domínio particular no qual diferentes

sistemas existam, as funções, estruturas e controles são usualmente similares
em todos os casos. Assim a Teoria Geral dos Sistemas e a Cibernética,
apresentando o conceito em que todos estes princípios têm caráter geral sendo
portanto universalmente aplicáveis à organização e comportamento de qualquer
sistema concebível, proporciona um instrumental de grande valor para a
interpretação de sistema de alta complexidade.

Defüimdo Complexidade

O termo Complexidade deriva do termo latino camplexus, o qual

originalmente significa "um conjunto de partes diversas relacionadas" [Mri86]. O
conceito e a percepção da complexidade sistêmica, agora na percepção de MORIN
[Mrí86], só teria sentido na medida em que este sistema é observado e entendido
por um observador. Desta forma, o atributo de complexidade a um sistema não
estaria no próprio sistema, mas na forma como ele é entendido por quem o
observa. Em outras palavras, a complexidade de um sistema ê algo subjetivo.
 181

Para este estudo, como será observado mais adiante, esta assertiva
passa a ter caráter fundamental. O entendimento de um sistema e a percepção de
suas propriedades quando este é observado por um ser humano, está
intrinsecamente ligada aos atributos antropossociais e aos modelos mentais deste
mesmo observador.

O entendimento da complexidade de um sistema começaria pela

percepção de interações de caráter antagônico em seu seio [Mri86j. Uma vez que
o antagonismo existe, de forma ativa ou latente, em um sistema este passa a
desempenhar um papel não só destrutivo mas também construtivo [Mri86j. Se
no entendimento geral da Cibernética, os antagonismos aparecem exercendo o
papel de "ruído* para MORIN fMri86] ele é elevado a componente essencial para o
entendimento do que vem a ser a complexidade sistêmica.

Desta forma, a noção de Complexidade é apresentada como o atributo

sistêmico que surge no seio do próprio sistema como amálgama de interações que
a todo momento estariam variando o seu grau de "relatividade, relacionalidade,
diversidade, alteridade, duplicidade, ambigüidade, incerteza e na união destas
noções que são em relação umas com as outras complementares, concorrentes e
antagônicas." [Mri86].

Complexidade Crescente

A partir do advento da teoria de DARWIN o processo evolutivo tem sido

1

associado ao crescimento da complexidade dos organismos. Entretanto, do ponto

de vista da teoria evolucionária clássica, não existe a priori nenhuma razão que
explique a prevalência dos organismos mais complexos no processo de seleção
natural. Observa-se que a seletividade natural privilegia os organismos com
maior grau de adaptabilidade sendo que esta adaptabilidade pode estar presente
tanto nos organismos mais complexos quanto nos mais simples.

O conceito Law of Requisite Variety postulado por ASHBY [Ash56]

propõem que um sistema de controle suficiente para um sistema deve ser capaz
de executar um conjunto de ações no mínimo tão grande quanto a variedade de
perturbações ambientais (internas ou externas) que devem ser compensadas para

1
Darwin
 182

o restabelecimento do equilíbrio daquele sistema. Os sistemas evolutivos portanto

devem se manter perenes se eles tiverem um grande grau de controle sobre o seu
ambiente, dado que isto torna mais fácil para eles a sobrevivência e a sua
reprodução.

Desta forma, a evolução via seleção natural tenderá a privilegiar e por

conseqüência incrementar os sistemas de controle internos destes organismos.
Uma vez que o ambiente externo como um todo apresenta maior variedade que o
sistema é capaz de controlar, tal controle deverá estar apto a reagir no mínimo às
variações incidentes sobre a sua vizinhança mais direta, imaginado um processo
continuo de variação ambiental, uma lenta e progressiva evolução se dará nos
sistemas de controle internos de um sistema mas nunca será suficiente para dar
respostas ãs infinitas variações que o ambiente possa vir a apresentar.

Entretanto, em um determinado momento o incremento na variedade de

situações tratáveis pelo controle interno do sistema pode cessar ou mesmo
apresentar um decréscimo na variedade de situações tratáveis [Ash5ó]. O sistema
de controle pode assintoticamente buscar um ponto de equilíbrio onde o seu
sistema de controle irá tornar-se simples o suficiente para atender tão somente às
variações e restrições usuais de seu ambiente. Como exemplo, alguns vírus que
parasitam os seres humanos tem seus sistemas regulatórios e adaptativos
ajustados para reagir somente aos limites de variações que o corpo humano pode
apresentar.

Esta linha de raciocínio assume que o ambiente em que o sistema se

acha inserido é estável [ou apresenta variações dentro de um domínio de
variância bem definido) e é dado a priori. Entretanto se o ambiente em que um
sistema A seja constituído por sistemas evolucionários B, X, E, .. os quais seguem
a mesma variação assintótica de variedades controláveis em direção a um mesmo
ponto de equilíbrio. Uma vez que B tem como seu ambiente o sistema A e A tem o
seu próprio ambiente, o incremento de variedade em A irá acarretar uma grande
necessidade no grau de variedade de B, uma vez que ele agora terá de controlar
u m ambiente muito mais complexo. Como resultado, temos que vários sistemas
evolutivos que estejam em interação direta tenderão a crescer em complexidade e
isto com velocidade cada vez mais crescente.
 183

Como exemplo, em nossa sociedade indivíduos e organizações tendem a

obter mais conhecimento e mais recursos, incrementando o seu campo de
atuação, uma vez que isto lhes permitirá tratar melhor possíveis problemas que
possam aparecer em seu ambiente. Entretanto, se os indivíduos atuam de forma
cooperativa ou de forma competitiva cada indivíduo deverá tornar-se mais provido
de conhecimentos e de recursos de forma a compensar os ganhos de
conhecimentos e recursos que seus pares estarão obtendo. O resultado aparece
como uma rápida corrida em busca de mais conhecimentos e melhores recursos,
criando a "explosão de informações" que hoje presenciamos.

O presente argumento não implica que todos os sistemas evolucionários

irão obrigatoriamente crescer em complexidade. Alguns como vírus, bactérias e
insetos, os quais encontraram um ponto de equilíbrio e não são confrontados
com um ambiente que lhes exige demandas complexas irão manter-se em seus
presentes níveis de complexidade. Mas isto não implica em dizer que outros
sistemas em um grande eco sistema não estejam envolvidos em uma disputa de
complexidade adaptativa a qual causa um incremento geral na complexidade
sistêmica observável.

Organização ativa

Segundo MORIN [Mri86j os Sistemas no Universo, como decorrência de

sua complexidade intrínseca, apresentam-se como "sistemas vivos" em que "o
jogo ativo de interações, reações, emergências 1
e imposições; onde os
antagonismos entre as partes, entre as partes e o todo, entre o emergente e o
imerso, o estrutural e o fenomênico se põem em movimento".

Ao adotar o conceito de "Organizações Ativas", MORIN tenta extrapolar

o conceito vigente de Sistemas enfatizando que em todo o Universo os "arranjos"
de forma nenhuma apresentam-se estáticos e em repouso. Assim, o próprio
Universo deve ser entendido como uma Organização Ativa, termo que implica na
recuperação de um outro conceito basilar: a Ação.

O significado do termo Ação para MORIN, não se restringe a aplicação

de um movimento sobre alguma coisa. Implica em uma acepção mais ampla, a

1
Emergência tem neste contexto o significado de porpriedades que surgem das interações entreos constituintes sistêmicos
 184

mescla de Interações, Reações, Transações e Retroações. Neste conjunto residiria

[Mri86] a gênese das organizações ativas fundamentais do Universo: do átomo às
galáxias. Salienta MORIN que o aspecto primordial destes entes não está em
serem organizações, mas sim no fato de serem ativas.

Contudo, a definição de organização ativa não se exaure em afirmar que

estas organizações geram ações e/ou são geradas por ações. Outros conceitos
estariam associados: praxis (ação ou conjunto de ações de caráter organizacional
desenvolvidas de forma regular por esta mesma organização), transformação,
produção e trabalho, [Mri86].

Ao ampliar o conceito de produção, MORIN entende este termo nas

acepções de causar, determinar, ser a origem de, criar. Assim a ação produtiva de
uma Organização abarcaria, então, o caráter genésico das interações em que
estas podem participar e/ou das que ocorrem em seu interior. À conotação
criativa do termo "produção* ele atribui o termo poiesis e considerando assim as
estrelas e os seres vivos como seres poiéticos os quais possuem a capacidade de
produzir sua existência a partir de materiais brutos.

As ações transformadoras capazes de serem executadas por uma

Organização não se restringiriam às de natureza física, química ou energéticas
passíveis de serem realizadas sobre material obtido no meio externo à esta. As
mudanças de forma capazes de serem promovidas por esta Organização variam
de tornar algo com maior grau de organização e algo menos organizado ou tomar
o menos organizado em algo com maior grau de organização. Estas mesmas ações
podem ser autoaplicáveís: as transformações promovidas por uma Organização
podem construir, destruir ou metamorfosear a si mesma em parte ou no todo
[Mri86J.

Por último, obtém a síntese: uma Organização Ativa comporta em sua

própria lógica a transformação e a produção.
 185

As Organizações Vivas e as Organizações Sociais

O conceito de organizações vivas não é algo novo. Partindo de

Descartes 1
em sua concepção mecanicista chegando na concepção filosófica
corrente onde os seres vivos são encarados como entidades autopoiéticas . Nesta 3

concepção a organização viva comporta as capacidades de produzir, reproduzir e

auto-reproduzir [Mri86].

Na mesma linha de raciocínio as sociedades animais podem ser vistas

como organizações onde as interações ocorrem de maneira espontânea entre os
indivíduos mas objetivam um caráter regulador de sua própria sobrevivência
[Mri86J. Contudo, nas sociedades humanas surgem dois fenômenos inauditos: a
Linguagem Ontológica e a Cultura.
3

O advento da linguagem conceituai no seio das sociedades hominídeas

permitiu uma comunicação ilimitada entre os indivíduos membros de uma
mesma sociedade [Mri86j. Como decorrência é possível identificar mesmo nas
sociedades mais arcaicas o surgimento da Cultura [Mri86] exercendo o papel de
memoria generativa depositária das regras de organização social de um
determinado grupo social atuando ainda como fonte reprodutiva dos saberes, dos
modos de criação de artefatos, da utilização dos recursos naturais para
provimento de suas necessidades e das regras de organização social do grupo
[Mri86].

Sendo imaterial, a linguagem só funciona quando usada por um

locutor. Entretanto, quando utilizada ela produz não só palavras mas também
enunciados e sentidos ao mesmo tempo que veicula mensagens provocando ações
no âmbito antropossocial de forma ilimitada. Desta forma ela se torna necessária
à existência da sociedade e ao seu desenvolvimento.

Controle e homeostase

Fundamentalmente, o controle de um sistema inclui dois subsistemas:

0 controlador (ou regulador) R e o controlado C. Ambos interagem de forma que R

1
Decartes
2
Maturana e Varela 1972
3
Ontologia
 186

atua reorientando {de alguma forma) o estado atual Ei de C [o qual é "entendido"

como um estado não desejável) para um novo estado Eo ("entendido* como um
estado desejável ou aceitável) que pode inclusive implicar na destruição de C.

Por outro lado a ação de C consiste em estar informando (propositada

ou despropositadamente) a R o seu estado atual.

Nesta representação, o controlador R atua como um agente autônomo

que responde por suas ações as quais são tomadas com base na percepção de
estado que o mesmo obtêm de C e a representação dos estados aceitáveis de C
que ele tem como referência. Esta comparação gera uma informação que leva R a
atuar em conformidade com a informação recebida (não agir também é uma ação
apropriada). Neste contexto, a ação de C sobre R limita-se a originar uma
informação de seu estado para R.

A idéia de controle aparece no Universo a partir da insurreição de

dispositivos informacionais que operam uma retroação negativa pela detecção e
visando o anulamento de algum erro percebido na produção regular do sistema
[Mri86].

Desta forma, segundo MORIN, as organizações ativas não são capazes

de existir sem regulação (ou controle) que atua como um dispositivo
informacional corretor e que é próprio das organizações vivas. Ao mesmo tempo
MORIN exalta a forma admirável como, de forma espontânea, as organizações
vivas estabelecem a auto regulação.

Nas organizações vivas, como as organizações biológicas e as

organizações sociais, a regulação, ao contrário das máquinas, não atua como
instrumento que vise garantir a operação adequada da organização [Mri86]. Para
eles a regulação atua no sentido da manutenção da sua própria existência, ou
seja, cessada a sua auto regulação imediatamente cessa a sua existência. Um dos
mecanismos de singular importância nos processos de controle e regulação de
um sistema e em particular no caso das organizações ativas é o da
Realimen tação.

Nos processos de transformação, um sistema aberto obtém materiais e

informações do ambiente em que se encontra inserido, os quais atuam como
 187

influências do ambiente neste sistema. Como resultado destas transformações o

sistema ejeta para o ambiente os seus produtos os quais também atuam como
influência do sistema sobre o seu ambiente. Dado uma certa porção de insumo,
os eventos de entrada e saída do sistema referentes àquela porção estão
separados por um intervalo de tempo: o antes e o depois; o passado e o presente.

Neste ciclo, informações acerca dos resultados das transformações

operadas ou de uma ação procedida por este sistema podem adentrar os limites
do mesmo sistema na forma de informação entrante (input data). A este fenômeno
dá-se o nome particular de Realimentação (feedback).

Caso estas informações entrantes facilitem ou acelerem os processos de

transformação na mesma direção dos resultados precedentes, isto será
denominado como Realimentação Positiva [Positive feedback) sendo que seus
efeitos serão acumulativos.

Caso estas informações entrantes levem os processos de transformação

em direção oposta àquela dos resultados precedentes isto será denominado como
Realimentação Negativa [Negative feedback) sendo que seus efeitos irão
estabilizar ou cessar aquele determinado processos que vinha ocorrendo. No
primeiro caso, o sistema conhece um crescimento ou decréscimo exponencial na
sua atividade ao longo do tempo. No segundo caso o sistema tenderá para um
equilíbrio dentro de um certo intervalo de tempo.

A realimentação positiva leva o sistema a um comportamento

divergente: ou ele conhece uma expansão indefinida ou ele irá se desintegrar ou
entra em colapso e cessa sua atividade. Exemplos destas situações divergentes
são bem conhecidas tais como uma proliferação descontrolada de populações,
expansões industriais, capitais investidos a juros compostos que acabam em
grandes depressões econômicas e insolvências, hiperínflação, proliferação de
metástases, reações químicas explosivas, reações de fusão ou fissão nuclear.

Em todos estes exemplos, a realimentação positiva atuando sozinha

fatalmente leva à destruição do sistema. O comportamento "selvagem" 1
[Mri86]
das realimentações positivas devem obrigatoriamente ser contrabalançadas por

1
Neste contexto indica uma seqüência descontrolada que assume proporções caóticas
 188

realimentações de caráter negativo. Este equilíbrio, proporcionado peios

mecanismos de controle do sistema, proporcionam a manutenção do próprio
sistema ao longo do tempo.

A realimentação negativa, ao seu turno, leva o sistema a comportar-se

de forma adaptativa ou orientada para determinados objetivos, sustentando em
níveis equilibrados o seu comportamento e suas propriedades. Nesta situação a
cada variação no sentido de desequilibrar o sistema em uma direção, uma
seqüência de eventos leva esta tendência em sentido contrário. Existindo um
controle estreito o sistema oscilará dinamicamente em tomo de um ponto de
equilíbrio desejado do qual ele não deve se afastar em demasia. Assim o aumento
na temperatura corporal dispara os mecanismos de sudorese.

Homeostase

Foi primeiramente reconhecido por Claude Bernard em 1865 que a

constância do milieu interno era a condição essencial para a manutenção da vida.
Uma pessoa ameaçada por seu ambiente ou agente externo prepara-se para a
ação. Todo o seu corpo mobiliza as reservas de energias e produz adrenalina a
qual o prepara a luta ou para a fuga. Esta mobilização pode ser vista como uma
reação fisiológica muito familiar. Em presença de emoções, perigos ou esforço
físico o coração bate mais rápido e a respiração acelera-se. A face torna-se rubra
ou pálida e o corpo transpira. Estas manifestações fisiológicas refletem os
esforços do organismo para manter o equilíbrio interno.

Este equilíbrio interno do corpo envolve a manutenção de uma taxa

constante no sangue de certas moléculas e íons, os quais são essenciais à
sustentação da vida e à manutenção em níveis aceitáveis os outros parâmetros
como a temperatura. Tudo isto ocorre a despeito das modificações ambientais.

Apesar de j á ter sido reconhecida por Claude Bernard, foi o fisiologista

Walter Carmon, em 1932, que apresentou o termo Homeostase para expressar a
capacidade dos organismos vivos de garantir de forma eficiente o controle do
equilíbrio fisiológico. Desde então este conceito assumiu posição central no
campo da cibernética.
 189

A homeostase é uma das mais marcantes e típicas propriedades dos

sistemas abertos de maior grau de complexidade. Um sistema homeostático (uma
empresa industrial, uma grande organização, uma célula) é um sistema aberto
que mantém sua estrutura e suas funções por meio de uma multiplicidade de
equilíbrios dinâmicos rigorosamente controlados por mecanismos reguladores
independentes. Tal sistema reage a todas as mudanças em seu ambiente ou a
todos os distúrbios aleatórios por meio de uma série de modificações de igual
intensidade mas que se opõem aos distúrbios criados por estas mudanças
naquele organismo. O objetivo último destas modificações é a manutenção do
equilíbrio interno.

Sistemas ecológicos, biológicos e sociais são essencialmente

homeostáticos. Eles se opõem aos desequilíbrios utilizando-se de todos os meios
que estejam â sua disposição. Caso o sistema não tenha sucesso no
restabelecimento do seu equilíbrio, ele entra em um diferente modo de
comportamento, muitas vezes implementando restrições freqüentemente mais
severas na busca deste equilíbrio o qual pode levar à destruição do sistema se os
distúrbios persistirem.

Sistemas complexos devem apresentar homeostase de forma a manter a

estabilidade e sobreviver. Ao mesmo tempo, ela empresta aos sistemas
propriedades especiais. Os sistemas homeostáticos são ultraestãveis: tudo em
sua organização interna, organização estrutural e organização funcional contribui
para a manutenção da organização. O comportamento destes sistemas é a priori
imprevisível, contraintuitivo conforme afirmou Jay Forrester, ou mesmo
contravariante: quando se espera uma determinada reação como resultado de
uma ação precisa, uma ação completamente inesperada ou freqüentemente
contrária à esperada ocorre. As surpresas que nos reservam a interdependência e
a homeostase são muito bem conhecidas dos governantes, militares, físicos,
biólogos, sociólogos dentre outros estudiosos.

Para um sistema de alta complexidade, resistir às variações não é

suficiente; é necessário que ele se adapte às modificações do ambiente que o
envolve. De outra forma, as forças exteriores irão em breve acabar por
desorganizá-lo e destrui-lo. Esta é a situação paradoxal: como manter um
 19D

sistema estável e resistente e ao mesmo tempo torná-lo apto para as mudanças e

para evoluir?

Para MORIN [Mri86] a resistência e a capacidade de evoluir destes

sistemas encontra-se na sua capacidade de se auto produzir, realizando a troca e
a renovação incessante de seus constituintes objetivando a sua reorganização
existencial. Assim, os processos de degradação/desorganização e os de
produção/reorganização seriam as duas faces de uma mesma realidade e
portanto indissociáveis. A degradação programada dos constituintes permite a
produção mais adaptada dos novos constituintes que irão ser repostos.

A homeostase atuaria como u m sistema de regulação informacional por

meio de realimentação negativa. Porém atuaria como uma função genésica para
uma organização que se produz, se regenera, se reorganiza, se aprimora.

Causalidade

Segundo MORIN [Mri86] a óptica sob a qual a ciência clássica vê o

mundo é caracterizada pela premissa onde

" e m toda parte, sempre, nas mesmas condições, as mesmas causas

produzem sempre os mesmos efeitos".

Esta expressão formal denota o princípio da predicabilidade: sendo

conhecido o efeito E l de uma causa C l e se é conhecida uma outra causa C2 que
seja igual a C l , então pode-se prever que C2 terá um efeito E2 igual a E l . Por
outro lado, se forem conhecidos dois efeitos E2 e E l e sabendo que E l foi
causado por C l , então que a causa de E2 (C2) é igual à causa C l . Como corolário
desta expressão temos a assertiva que:

"causas distintas levam a efeitos distintos".

Por estas premissas, se duas situações são inicialmente distintas, elas

permanecerão distintas ao longo de suas evoluções futuras, e deveriam ter sido
distintas durante toda sua evolução prévia. Ou seja:

"quando uma causa varia, ou é trocada por uma causa diferente

daquela em qualquer aspecto, o efeito a ela associado irá variar".
 191

Com relação às definições apresentadas, se o termo "igual" for tomado

com o sentido de "idêntico" tem-se o resultado tautológico em que uma causa é
idêntica a ela mesma e então os seus efeitos devem ser idênticos a si mesmos.
Desta forma, se um dado estado inicial for cambiado por um outro estado que
não seja idêntico ao seu antecessor, então os estados resultantes não serão
idênticos.

Entretanto, na realidade observável o termo 'igual* só pode ser

entendido como "similar": duas causas ou eventos usualmente são diferentes de
algum modo.

A partir do advento da física das partículas e dos posteriores progressos

no campo dos sistemas dinâmicos não lineares mostraram que os sistemas
dinâmicos são usualmente caóticos. Neste sentido, mesmo as diferenças mais
ínfimas que venham a ocorrer nos estados iniciais de um evento podem levar a
diferenças enormes nos estados finais uma vez que, a rigor, as possíveis
similaridades entre os estados iniciais foram perdidas. Nestes casos o princípio
da causalidade torna-se praticamente sem sentido.

Desta forma, pode-se considerar o exemplo de uma mola totalmente

comprimida e mantida suspensa por forças que se equilibram de forma instável.
Quando este conjunto cai, não se pode predizer com exatidão como ele irá cair
nem como ele se comportará após sofrer o impacto da queda. Na verdade pode-se
estimar, com maior ou menor grau de precisão, as probabilidades dos eventos
que se seguirão em função da precisão com que se conhece as condições de
contorno do seu estado inicial. Quanto mais instável for a situação de equilíbrio
inicial deste conjunto mais sensível ele será às variações de sua vizinhança e
maior será o grau de covariancia do comportamento deste conjunto face às
variações do ambiente com o qual ele interage em maior ou menor grau. Uma leve
brisa, uma vibração diferente no seu suporte ou uma irregularidade na superfície
de impacto, irão determinar os diferentes comportamentos da mola ao cair e ao
expandir-se.

Mesmo que macroscopicamente o comportamento desta mola possa

mostrar-se randômico, de fato ela está seguindo o principio da causalidade: a
mais leve diferença nas condições iniciais levam a resultados diferentes. O
 192

princípio da causalidade, na prática, somente tem sentido quando a distinção ou

similaridade das condições de contorno sob as quais o fenômeno se desenvolve
pode ser feita de forma macroscópica, sendo possível ignorar as diferenças
microscópicas.

Entretanto, a causalidade "macroscópica" somente é válida em

determinados casos (por exemplo em situações onde a dinâmica do sistema não é
caótica) e portanto não pode ser tomada como válida em todas as situações.

A partir dos fenômenos observados na mecânica quântica percebeu-se

que estados inicialmente distintos podem levar a resultados idênticos (i.e. a
destruição do sistema) ou que o mesmo estado inicial pode levar a resultados
distintos (criações distintas). Estes fenômenos decorrem de variações nos
processos de evolução dos sistemas observados, bem como nos processos de
auto-organização próprios de tal sistema baseados nos fenômenos de variação e
seleção.

Auto-Organização

A auto organização é um processo de evolução onde os efeitos do

ambiente sobre o sistema são mínimos, ou seja, onde o desenvolvimento de novas
e complexas estruturas tem sua origem primeira no próprio sistema. O fenômeno
da auto organização pode ser entendido com base nos mesmos processos
evolutivos onde a variação e seleção natural são orientados pelas variações
ambientais. O processo de auto organização é normalmente disparado por
processos de variações internas, usualmente denominados "flutuações" ou
"ruídos". O fato destes processos produzirem uma nova configuração sistêmica de
forma ordenada e seletiva tem sido denominado como o princípio da * order from 1

noise" de Heinz von Foerster ou mecanismo da "order through fluctuations* de

Ilya Prigogine.

O incremento de organização em um sistema pode ser mensurado mais

objetivamente como um decréscimo de sua entropia estatística. Segundo MORIN
1

[Mri86] os sistemas fechados e as organizações não ativas só podem evoluir no

sentido do crescimento de sua entropia. Entretanto, em uma organização ativa ou

1
Entropia
 193

"produtora-de-si" [Mri86] o seu trabalho ininterrupto mantém o seu nível de

entropia constante enquanto tal sistema perdurar. Tal equilíbrio entrópico
apareceria como o balanceamento entre a tendência natural de crescimento do
grau de entropia deste sistema e a auto reprodução constante destes mesmo
sistema. Este grau de entropia negativa que o sistema auto organizador conhece
como decorrência dos trabalhos efetuados pelos seus mecanismos auto
reguladores é denominado Neguentropia . Tal conceito foi apresentado
1
por
Schrõdinger [Mri86] e como grandeza assume, nas organizações ativas, um papel
2

antagônico frente à tendência natural dos sistemas de evoluírem para estados de

entropia crescente. Entropia e Neguentropia, embora constituindo o caráter
positivo e negativo de uma mesma grandeza, correspondem a processos
antagônicos do ponto de vista da organização. Entretanto as organizações vivas
[Mri86] só são capazes de produzir neguentropia às custas da obtenção de
energia e de informação do meio em que se encontra. Desta forma o sistema
consegue aumentar o seu grau de organização interna e, simultaneamente,
reduzir o grau de incerteza quanto ao seu estado atual. Segundo MORIN [Mri86] a
organização negentrópica, para se perpetuar, necessita manter e incrementar o
seu nível interno de informações.

Um sistema auto organizante que tenha a capacidade de decrementar o

seu nível de entropia interna deve necessariamente (como conseqüência da
segunda lei da termodinâmica ) 3
exportar (ou dissipar) tal entropia para o
ambiente em que se encontra, tal como notado por VON FOERSTER e por
PRIGOGINE (op. cit). Tal sistema que possua a capacidade de exportar entropia
de forma contínua para o seu ambiente foi denominada por PRIGOGINE de
"Estruturas Dissipativas".

As estruturas auto organizantes são usualmente associadas com

fenômenos mais complexos, de caráter não linear, ao contrário daquelas
imbuídas de processos relativamente simples de difusão de calor. Todos atributos
sistêmicos intrinsecamente associados à não linearidade (comportamento quasi-

1
Neguentropia
2
Schrõdinger 1945
3
Segunda lei da termodinâmica
 194

caótico, sensibilidade às condições de contorno dos estados iniciais e

intermediários dos processos, estruturação dissipativa, dentre outros) podem ser
entendidos pela interação entre os ciclos de retroalimentação positiva e negativa
onde algumas variações tendem a reforçá-los e outras tendem a mitigá-las.
Ambos tipos de retroalimentação atuam como alimentadores do processo de
seleção natural: as retroalimentacões positivas tendem a aumentar o número de
configurações possíveis para o sistema, retroalimentacões negativas tendem a
estabilizar as variações possíveis de configurações. Ambos proporcionam
configurações as quais apresentam vantagens seletivas quando comparadas às
configurações concorrentes pelos mesmos recursos. As interações entre estas
configurações, onde as variações podem ser reforçadas em algumas direções e
reduzidas em outras, podem criar forma intrincados e imprevisíveis (caos), as
quais podem desenvolver-se rapidamente em direção a uma configuração estável
(atrator ). 1

1
Atrator
 195

ANEXO B

"Quando [oj vires pensar mais em si do que em ti, e que em iodas as ações procura o seu interesse próprio,
podes concluir que nele nunca poderás confiar..."

"... as armas com as quais um príncipe defende o seu Estado, ou são suas próprias ou são mercenárias, ou auxiliares ou mistas. As
mercenárias e as auxiliares são inúteis e perigosas e, se alguém tem o seu Estado apoiado nas tropas mercenárias, jamais estará firme e seguro,
porque elas são desunidas, ambiciosas, indisciplinadas fej infiéis..."

{Nicola Macchiavelo Príncipe)

O homem ao nascer não encontra-se geneticamente programado para

agir de uma ou outra forma diante das situações a que pode vir estar exposto. A o
contrário, somente por meio do contato com outros seres humanos é que se torna
possível a sua sobrevivência biológica e sua humanização. Nas relações que este
estabelece com o ambiente social no qual está inserido este homem, em estágio
de formação, interioriza uma concepção de mundo entendendo-a como sendo
uma realidade concreta. À medida que este homem e sua história se produzem e
se modificam, a sociedade a qual ele pertence vai, ao seu turno, se reorganizando
e reproduzindo-se em uma nova sociedade qualitativamente diferente da anterior
[Mri86].

O que leva um homem a agir de determinada forma diante de uma

necessidade ou de um desejo são processos internos que não podem ser
diretamente observados ou medidos e que usualmente são denominados de
motivos.

Para tentar explicar como estes motivos operam e quais os principais

processos envolvidos quando ativam o comportamento, surgiram vários modelos,
que não cabem, serem discutidos neste momento.

Entretanto cabe aqui uma pergunta: Que motivos podem levar um

homem a romper com os limites e valores da sociedade em que se insere e
praticar atos que de alguma forma irão ferir, em maior ou menor grau, as regras
de comportamento vigentes no grupo a que pertence? Que motivos podem
apresentar-se mais fortes que as retaliações que lhe serão impostas pela
sociedade face ao descumprimento de suas normas?
 196

No caso particular dos sistemas de informação, quais são os motivos

que levam uma pessoa, que não mantém nenhuma relação com uma organização,
a "invadir" os computadores das mesmas de forma sistemática?

E quanto as pessoas que projetam e mantém tais sistemas, o que as

leva, em certas oportunidades, a agirem contra a integridade dos mesmos?

Entender o funcionamento psicológico dos indivíduos que se postam

como ofensores de tais sistemas, constitui um dos aspectos cruciais para
compreender os problemas relacionados ã segurança dos sistemas de informação.

Das motivações individuais

Embora não haja concordância quanto a definição de crime,

relembraremos aqui que a sociologia entende por conduta criminosa "um
comportamento desviado das normas de conduta geralmente aceitas pelo grupo e
que, pelo caráter mais grave de sua natureza anti-social, exige tratamento
especial por parte desta mesma sociedade" .

Já para a psicologia social, a criminalidade é entendida como um

fenômeno social. Nesta concepção as suas manifestações estão relacionadas com
a estrutura e com a cultura de uma sociedade (impacto da urbanização e das
condições econômicas sobre o nível da criminalidade), com a política criminal que
inspira o controle judiciário, com variáveis individuais (de sexo, de idade) e com
os meios que possam influenciar a criminalidade em sua natureza e freqüência.

Várias são as explicações propostas pelas diferentes linhas de estudos

no campo da psicologia, para o fenômeno da criminalidade. Neste estudo alguns
modelos teóricos que buscam explicar como se dá o comportamento desviante,
serão apresentados. Isto feito terá sido exposto um conjunto de conceitos que
combinados irão auxiliar a compreensão do fenômeno.

Ao estudar o problema da motivação humana, MASLOW |Mas70] propôs

que os seres humanos nascem com cinco sistemas de necessidades, que se
dispõem de forma hierárquica. Dispondo as necessidades mais primitivas
(necessidades fisiológicas) nos extratos inferiores desta escala, MASLOW quis com
isto evidenciar que estas seriam as necessidades mais fortes ou mais
compulsórias a que o ser humano encontra-se submetido, já que delas dependem
 197

a sua sobrevivência. Desta forma para que outras necessidades mais refinadas
possam manifestar-se as de ordem anterior devem estar satisfeitas. Ainda
segundo a proposta de MASLOW o não atendimento de uma delas tende a
dominar todas as outras.

Em O Suicídio", DURKHEIM [Dur73] buscando compreender o suicídio

fl

anômico 1
tenta inicialmente elaborar uma teoria das necessidades humanas a
partir do postulado onde "qualquer ser vivo só pode ser feliz e, inclusive viver, se
as necessidades que sente estiverem suficientemente de acordo com os meios de
que dispõe". Este equilíbrio aparece de forma automática para os animais e para
determinadas necessidades do homem naturalmente sociáveis tais como a fome,
a sede e o sono dentre outros. Entretanto, ainda segundo DURKHEIM [Dur73], a
maioria dos homens em sociedade são por natureza insaciáveis e suas
necessidades tendem a ser ilimitadas. Se nada as limita estas sempre irão
ultrapassar os recursos disponíveis e desta forma nada poderia sacia-las. Assim,
postula sobre a existência de uma força moral que sendo exterior ao indivíduo
limitaria as suas necessidades. Esta força teria sua gênese na sociedade, a qual
(por diferentes razões ) teria a autoridade e os mecanismos necessários para que
os indivíduos a respeitem e desta forma limitar suas ambições. Para DURKHEIM
toda sociedade cria historicamente "uma autêntica regulamentação que embora
nem sempre tenha uma forma jurídica, não deixa de estabelecer com relativa
precisão o máximo de bem estar que cada classe pode legitimamente ambicionar".
Esta regulamentação social manteria as necessidades, os desejos e as aspirações
dos membros das diversas classes em níveis definidos, possibilitando sua
satisfação e o prazer de existir e viver . 2

Neste mesmo texto, DURKHEIM define uma sociedade anômica como

sendo uma sociedade carecida de ordem normativa e por isso, incapaz de
controlar as forças desintegradoras dos instintos, das ambições e dos interesses
individuais. Assim " numa sociedade anômica, já não se sabe o que é possível e o
que não o é, o que é justo e o que é injusto, quais são as reivindicações e as
esperanças legitimas, quais são as exageradas ... os desejas, não podendo ser

1
ArtômtCG

2
Em "Admiraveí MundoNovo" Aldus Huxley apresenta o quadro de uma sociedade hipotética muito próxima destas premissas.
 198

refreados por uma opinião desorientada j ã nao sabem onde estão os limites que
não devem ultrapassar".

Contrariando as idéias de necessidade ilimitada e insaciáveis de

DURKHEIM, MERTON [Mer59] entende que todos os estímulos potencializadores
de ações humanas são socialmente induzidos, situa o conceito de Anomia na
idéia da ausência de normas e neste sentido privilegia a idéia de "desmoralização"
ou "ruptura da estrutura social" e assevera que o grau de anomia de um sistema
social pode ser medido pela extensão em que há a ausência de consenso sobre as
normas julgadas legitimas acarretando um estado de insegurança e incerteza nas
relações sociais.

Nesta concepção, o termo Anomia passa a significar um estado no qual,

houve a ruptura dos padrões de conduta social que limitam as ações humanas.
Significa também uma situação de pouca coesão social, onde os indivíduos
destituídos de raízes morais não seguem um padrão de moralidade mas apenas
vivem em função de necessidades avulsas sem sentido de continuidade, de grupo
ou obrigação. Ainda citando MERTON [Mer59], "o homem anômico tornou-se
espiritualmente estéril, reage somente diante de si mesmo, não é responsável
para com ninguém ... vive sobre a débil linha da sensação entre nenhum futuro e
nenhum passado*.

Entender o problema do homem como ofensor passa por descobrir que

conjunto de estados psicológicos e tensões sociais induzem certos indivíduos a
optarem por agir de forma desviante.

Na concepção de MERTON, a sociedade se divide em estruturas, uma

cultural e outra social, onde a estrutura social define os objetivos culturais (
valores, interesses, propósitos e fins) propostos aos membros e prescreve os
meios legítimos e socialmente aceitáveis para atingi-los. A estrutura social
significa a estrutura das oportunidades reais que condiciona, de fato, a
possibilidade dos membros da sociedade se orientarem para os objetivos culturais
respeitando as normas institucionalizadas.

Desta forma quando a estrutura cultural e social estão mal integradas,

a primeira exigindo um comportamento que a cultura dificulta, há uma tensão
 199

para o rompimento das normas ou para o seu completo desprezo. Por

conseguinte, uma sociedade onde a procura de êxito, simbolizado por riqueza
financeira, não encontra-se atrelada a quaisquer normas limitadoras de conduta,
haverá a defasagem entre a estrutura cultural e a estrutura social. A estrutura
cultural prescreverá os mesmos objetivos e normas para todos, sendo que a
estrutura social reparte desigualmente as oportunidades legitimas reais. Essas
defasagem, por sua vez provocam a anomia e dão origem ao comportamento
desviante. Eles colocam os membros da sociedade em conflito ou pelo menos em
desequilíbrio, só podendo prosseguir na busca de seus objetivos com o sacrifício
das normas. Segundo MERTON, diante destes conflitos, cinco modos de
adaptação abstratos e típicos surgem como resposta:

• O conformismo, que não é uma solução desviante e é típica das

sociedades estabilizadas

• A Inovação, que consiste no uso de meios e recursos, socialmente

considerados como ilícitos, para a realização dos desejos e implica
num intenso empenho na procura do sucesso, sem a correspondente
interiorização das normas. Esta seria a resposta dos Traficantes, dos
Corruptos e dos Assaltantes dentre outros

• O Ritualismo, que MERTON considera típico de determinados

extratos sociais, em que uma atitude de conformidade absoluta com
as normas institucionalizadas é acompanhada do completo
desinteresse pelos objetivos e da renúncia à procura ilimitada do
sucesso, riqueza e poder. Nestes casos há uma maior interiorização
das normas buscando desta forma superar a ansiedade e a
frustração, reduzindo também o nível de ambição. Nesta classe
estariam aqueles que vivendo na sociedade, cumprem as suas
normas mas dela pouco ou nada participam optando por buscarem o
sucesso em outros possíveis níveis de existência

• A Evasão, onde o conflito entre os objetivos e as normas sociais (um

que o obriga a competir e outra que lhe obsta o acesso legitimo aos
meios) é resolvido pelo abandono dos elementos conflitantes: os fins e
 200

os meios. Esta seria a resposta (consciente ou inconsciente) dos

vadios, dos mendigos, dos drogaditos e demais tipos que estando na
sociedade renunciam aos seus objetivos culturais e às normas
institucionalizadas

• A Rebelião, que implica na rejeição dos objetivos culturais e dos

meios institucionais, acompanhada da procura de uma nova
realidade social com novos valores e novos critérios de sucesso, bem
como novos esquemas de correspondência entre o esforço e o mérito
por u m lado, e as recompensas de outro.

Em seu trabalho intitulado Q Mal Estar da Pós Modernidade" [Bau97]

a

BAUMAM apresenta no capítulo "Os estranhos da era do consumo: Do bem esta à

prisão" algumas informações estatísticas sobre o aumento da criminalidade na
sociedade ocidental:

• Na Inglaterra e País de Gales o número de delitos penais passou de

2,9 milhões em 1991 para 5,5 milhões em 1993

• Nos últimos 3 anos a população carcerária subiu de 40.606 para

51.243

• Os gastos com a polícia subiram de 2,8 bilhões de libras em 1971

para 7,7 bilhões em 1993.

Por outro lado:

• Em 1994 5,6 milhões de pessoas reivindicaram renda suplementar, e

o auxilio desemprego foi recebido por 2.700.000 pessoas, o que
representa a metade do total de solicitações.

Com isto BAUMAM mostra que a população carcerária e de todos os

que obtém sua subsistência do sistema carcerário cresceu na mesma proporção
da população dos excluídos da vida econômica.

Para BAUMAM, neste último século a sociedade ocidental transformou-

se progressivamente numa sociedade altamente capitalista e industrial sofrendo
profundas alterações em seus valores, conceitos e no modo de vida da população.
Os desempregados, que antes constituíam o exército de reserva de mão de obra" e
 201

eram amparados pelo poder público que cuidava de mantê-los fisicamente e

emocionalmente preparados e assumir o emprego quando fosse necessário hoje
são vistos como marginais : estar desempregado tornou-se no estigma
1
dos
incapazes, dos imprevidentes sendo os mesmos difamados como sorvedouros do
dinheiro dos contribuintes, pois o "correto* é estar empregado e cuidar de
preservar a sua "empregabilidade", embora não haja emprego para todos e os
avanços tecnológicos e tendências econômicas não apontem para o crescimento
dos postos de trabalho. Ao contrário, a necessidade hoje ê de racionalização dos
processos e redução de custos. Atitudes estas que implicam na redução da força
de trabalho. A tão propalada "empregabilidade" exige das pessoas
economicamente ativas uma capacidade de adaptação e preparo para diferentes
atividades quase impossível de atender gerando uma enorme incidência de
enfermidades de ordem psicogênicas.

Já não existem empregos seguros e vitalícios com base em méritos.

Tudo tornou-se, em nossa sociedade, efêmero. A antiga lealdade dos empregados
para com as empresas em que trabalhavam, soa hoje como algo patético.

Com a ressurgência ,no inicio da década de 80, do ideário capitalista

liberal seguida do esboroamento do bloco socialista, constata-se na atualidade
uma realidade velada em que, conforme entendia Margareth Thatcher, já não
haveria sociedade política, mas "apenas" indivíduos articulados pelo mercado.
Neste cenários a política estaria transferindo seus poderes para os copos das
grandes corporações e para os tecnocratas que governariam países e suas
economias, desde seus ministérios até seus Bancos Centrais [Bau97J.

Segundo BAUMAM, cada vez mais os Estados exoneram-se da

responsabilidade pela manutenção do sistema político social. Assim o indivíduo
deixa aos poucos de ser cidadão para ser consumidor e as forças políticas vão
sendo substituídas pelas leis de mercado, onde nem sequer conta a igualdade
jurídica, mas o poderio econômico dos indivíduos e das organizações.
Caracteriza-se o que BAUMAM define como "economia política da incerteza": um

1
Marginalidade como sendo vivendo à margem (não pertencentes) da sociedade
 202

conjunto de regras que põem fim às regras e assegura o triunfo dos mais
capacitados e afinados com o modelo.

Nesta sociedade que se delineia, o centro gravitacional do processo de

manutenção da ordem, desloca-se das atividades legisladoras, classificadoras e
organizadoras e os medos relacionados ã precariedade da ordem deixam de se
concentrar no estado. O poder político, as questões sobre quem governa o estado
e de quem faz as leis deixa, aos poucos, de ser crucial. O inimigo interno, com
uma ideologia claramente definida, conspirador e revolucionário j ã não existe.
Aos poucos a responsabilidade pela situação dos indivíduos vai sendo privatizada
e os instrumentos de regulamentação das responsabilidades e os métodos de
coerção do abuso do poder econômico vão se extinguindo. Aos poucos vai se
caracterizando uma sociedade de feições teratológjcas: convivem alta tecnologia e
uma ética onde a sagacidade e a força são os meios de sobrevivência [Bau97].

Para BAUMAM a sociedade passa agora a ser regida pelas práticas do

consumo. Assim, todos os interesses se voltam para o mercado consumidor, e
assim lhes ampliam os poderes de sedução. E sendo o consumo uma atividade
inteiramente individual, "ele também coloca os indivíduos em campos opostos,
em que freqüentemente se atacam". Nem consumidores nem produtores podem
(ou querem) dispensar a sedução do mercado de consumo. Ninguém ousa
declarar guerra ou combater essa tendência do mercado de elevar a um estado
frenético os sonhos e desejos do consumidor, por mais que essa tendência seja
declaradamente prejudicial.

Como a posse dos objetos de desejo do consumidor não é dada aos que
não podem pagar por eles, a estes não resta outra solução para atender aos
desejos, neles incutidos pelo próprio mercado, senão tentar satisfazer estes fins
almejados diretamente, sem primeiro se aparelharem com os meios [entendidos
pela sociedade como legítimos), jã que na verdade (pelas formas
institucionalizadas] nunca terão acesso a estes meios.

A sedução do mercado ao mesmo tempo que iguala, divide, j á que todos

são induzidos aos desejos indiscriminadamente. No entanto, poucos poderão
satisfazer a estes desejos. Aos que é vedada esta satisfação só lhes resta
regalarem-se com o deslumbre de quem pode fazê-lo [Bau97].
 203

"O consumo abundante, lhes é dito, e mostrado, é a marca do sucesso e

a estrada que conduz diretamente ao aplauso público e à fama. ... Eles também
aprendem que possuir e consumir determinados objetos, e adotar certos estilos
de vida, é a condição necessária para a felicidade, talvez até para a dignidade
humana." [Bau97]

Diante desse jogo e da sua natureza, os excluídos não são mais vistos
como um problema social com origens nos modelos econômicos adotados pela
sociedade. Ser excluído passa a ser visto como um problema individual. Mais que
isso, é um crime diante da lei do consumo . Assim o trabalhador agora visto pela
1

sociedade como pertencente à classe dos excluídos a qual é redefinida então

como uma classe de párias, que sentindo-se como párias passam a agir como se
de fato fossem.

Como o estado liberal exime-se deste problema, são extintos os órgãos

que cuidavam destes excluídos, restam agora somente os órgãos destinados aos
fins que o ideário liberal presume função do estado: os órgãos de repressão e
manutenção da ordem.

Para BAUMAM, o aumento da criminalidade não é um obstáculo no

caminho para a sociedade consumista plenamente desenvolvida e universal. Ao
contrário é seu natural acompanhamento. É assim, reconhecidamente, por várias
razões, porém ele propõe que a principal razão entre elas é o fato de que os
"excluídos do jogo" são exatamente a encarnação dos "demônios interiores" ou
seja, dos medos peculiares à vida do consumidor.

Para BAUMAN, o seu isolamento em guetos e sua incriminação, a

severidade dos padecimentos que lhes são impostos são (metaforicamente
falando) todas as maneiras de exorcizar tais demônios interiores e queimá-los em
éfige. As margens incriminadas servem, então, de esgotos para onde os eflúvios
inevitáveis, mas excessivos e venenosos da sedução consumista são canalizados,
de modo que as pessoas que conseguem permanecer no "jogo do consumismo"
não se preocupem com o estado da própria saúde. E sendo este o estímulo
primordial da atual exuberância da indústria da prisão. Desta forma a esperança

1
Novamente Huxley
 204

de que o processo possa ter a marcha abandonada, numa sociedade animada e

dirigida pelo mercado de consumo seria muito remota.

Para BAUM AM, a pena de morte implantada em vários países e a cada

incidente vem ganhando cada vez mais adeptos, é talvez o sintoma mais drástico
do papel mutável da criminalidade e da alterada mensagem simbólica que ele
transmite. "O sangue e não somente o suor tende a ser tirado da parte
encarcerada na classe incapaz de consumir*, o espetáculo da execução é
cinicamente utilizada pelos políticos para aterrorizar uma crescente classe com
menores ganhos.

Cada vez mais, ser pobre é encarado como um crime [Bau97J;

empobrecer é visto como o produto de disposições ou procedimentos levianos ou
"criminosos". Os pobres, longe de fazer j u s aos cuidados e assistência da
sociedade para se levantarem, merecem (neste novo paradigma) ódio e
condenação, como sendo a "própria encarnação do pecado" [Bau97].

Vivemos no mundo das desrregulamentações, das privatizações, da

"escolha" do consumidor e da indiscriminaçâo dos impossibilitados de escolher.
Existiria, segundo BAUMAM, uma tendência universal de caminhar para uma
radical liberdade do mercado, ao progressivo desmantelamento do Estado, assim
como da tendência incriminar a pobreza.

Para BAUMAM gradualmente e inexoravelmente torna-se o axioma, do

discurso público que tudo o que economicamente faz sentido, prescinde de
qualquer outro sentido. Em uma sociedade em que os principais atores já não
são Estados, nem Nações democraticamente controlados, mas conglomerados
financeiros não eleitos, desobrigados e radicalmente desencaixados, a questão da
maior lucratividade e competitividade invalida e torna ilegítima todas as outras
questões, antes que se tenha tempo ou vontade de indagá-las [Bau97].

Percepções Psicológicas da Criminalidade

Outra linha de explicação para o problema da criminalidade reside na

Teoria do Aprendizado Social. Esta teoria parte da assunção básica em que os
mesmos processos de aprendizado produzem comportamentos desviantes ou
conformistas [RogOl]. O processo de aprendizado ocorre em um contexto de uma
 205

estrutura social, interações e situações. A probabilidade da ocorrência de um

comportamento desviante (criminoso) ou conformista surge como função de
variáveis que operam de forma subjacente aos processos de aprendizado social.
Nesta teoria são então apresentas quatro hipóteses, onde o indivíduo está mais
propenso a cometer violações quando:

• Ele (ela) de forma diferenciada estabelece afinidade com outros os

quais cometem, modelam ou suportam violações das normas legais
ou sociais

• O comportamento de violação é reforçado de forma diferenciada em

relação ao comportamento de conformidade com as normas

• O individuo encontra-se mais exposto e observa mais modelos de

comportamento desviantes que os modelos de comportamento de
conformidade

• O indivíduo aprende pelas próprias experiências bem sucedidas que

o induzem no sentido de cometer atos desviantes.

Os mecanismos primários nesta teoria são reforçamento diferencial e a

imitação. Neste caso acredita-se que o mecanismo de aprendizado se dá pela
associação diferencial e são influenciadas por certos grupos de conceitos.

A associação diferencial ocorre primeiramente e provê o ambiente social

no qual a exposição a definições e imitação de modelos ocorre [RogOlJ. As
definições são apreendidas por meio da imitação e da observação. Neste caso
aparece de forma enfática a importância dos grupos com os quais o individuo
mantém relações pessoais, em especial grupos como a família e escola. À medida
que o indivíduo amadurece a sua propensão à conformidade ou ao cometimento
de atos ilícitos ê influenciada por aquilo que viveu e conheceu na infância, na
adolescência e pelos grupos com os quais passa a interagir tais como sua
vizinhança, figuras de destaque social e a mídia de massa [RogOl]. O grau de
associação pode variar em função:

• Da freqüência a que interage com pessoas e grupos

• Da quantidade de tempo gasto nestas relações

 206

• Da prioridade ou seja, a ordem em que estes grupos estiveram

presentes em sua vida

• Da significancia que estas relações tiveram para aquele indivíduo.

As modalidades de associações vividas pelos indivíduos tornam-se

relevantes na medida da extensão em que elas reforçam experiências positivas ou
negativas para aquele indivíduo. Isto se dá peio fato de associarem recompensas
ou punições a um dado comportamento dependendo da extensão em que o
mesmo é socialmente definido como bom, desejável, importante ou aprovado
pelos seus pares [RogOlJ.

Entretanto ressalta-se que a associação diferencial com os pares em

determinado grupo, não implica necessariamente em pressão do grupo sobre o
indivíduo [RogOl]. As pressões grupais denotam expressões de influência explicita
no sentido de que o indivíduo realize determinado ato ou sofra represálias como o
ostracismo ou outras formas de punição [RogOl].

No caso da associação diferencial o grupo ou pessoa com os quais o

indivíduo se relaciona constróem um contexto social no qual os mecanismos de
aprendizagem social operam de forma mais sutil.

O reforço diferencial acontece a partir de fontes internas e externas ao

indivíduo. O reforço pode ocorrer na forma de recompensas tangíveis do exercício
da atividade (i.e. dinheiro) ou de recompensas sociais [aumento do
reconhecimento ou aceitação por parte do grupo). Ao longo do tempo, a imitação
torna-se menos importante e o reforço ou conseqüências das ações passam a
determinar a probabilidade deste comportamento desviante se perpetuar.

Ao seu turno, os conceitos exercem papel fundamental no aprendizado

do comportamento desviante. Neste contexto os conceitos agem como atitude
orientadoras frente a diferentes situações. A exposição do indivíduo a outros
indivíduos que compartilham as mesmas crenças essenciais aparecem como um
componente essencial no processo pelo qual uma pessoa adquire seus próprios
conceitos. Os conceitos podem ser entendidos como "orientações, racionalizações,
definições de situações e outras atitudes que rotulam um ato como sendo certo
 207

ou errado, bom ou mal, desejável ou indesejável, justificável ou injustificável*

[RogOl].

A imitação pode ser definida como a manifestação de comportamentos

modelados, ou que seguem observações sobre, comportamentos similares ao de
outros [RogOl]- A teoria propõe que os modelos são importantes nas fases iniciais
da aquisição do comportamento, mas são menos significativas na manutenção ou
no cessar das formas de comportamento uma vez que eles tenham se estabelecido
[RogOl]. Ainda segundo a teoria, a mídia representaria um papel importante no
processo de imitação. O principal efeito da mídia é o modelamento, a capacidade
de permitir ao indivíduo experimentar ou realizar um ato em sua imaginação, e
banalizar o ato desviante [RogOl].

Entretanto, passa a ser importante entender porque indivíduos

continuam de forma sistemática engajados em atividades desviantes e quais
mecanismos são mobilizados internamente que permitem um prolongado
envolvimento no comportamento desviante.

Em seu trabalho ROGERS [RogOl] toma como referência o modelo da

"Desvinculação Moral* (Moral Disengagement) de BANDURA'.

De acordo com esta tese, usualmente os indivíduos tenderiam a ser

refratários a se envolverem em comportamentos que violariam seus padrões
morais [RogOl]. Desta forma tais ações levariam à auto condenação e à
possibilidade de auto sanção.

Entretanto estes padrões não necessariamente funcionam como

inexoráveis controles internos do comportamento humano. Os sistemas
regulatórios não entrariam em operação a menos que seja ativados. No entanto
existem vários métodos pelos quais os mecanismos de auto sanção podem ser
desativados ou atenuados, fenômeno que seria denominado por "Desvinculação
Moral" {MoralDisengagement) [RogOl].

Neste caso devem existir quatro alternativas significantes pelas quais o

indivíduo neutralizaria os mecanismos de auto regulação:

1
BrafKJura, A. Selective activation and disengagement of moraf control. Journa} of Social Issues. v4& p 27-46
 208

Reconstruindo sua conduta, utilizando-se de artifícios de linguagem

para mudar sua percepção quanto as suas ações. A conduta
repreensível é então mascarada com uma linguagem eufemista e em
alguns casos tais condutas poderiam ser vistas como algo até
respeitável. Em alguns casos sua conduta é posta frente a outros
comportamentos buscando uma comparação paliativa para seu ato

Obscurecendo a sua responsabilidade pessoal como agente, onde o

agente desvincula-se de sua responsabilidade com o ato vendo-o
como conseqüência de pressões sociais e portanto não se vendo na
condição de responsável por seus atos. Neste contexto a auto censura
é reduzida, uma vez que o indivíduo não se vê na condição de agente
de seus atos. A ação pode também ser descrita como tendo sido
compelida pelas circunstâncias e portanto não cabendo qualquer
decisão de caráter pessoal. Decisões de caráter grupai podem
também ser usadas para tornar difusa a responsabilidade individual

Minimizando ou distorcendo os efeitos nocivos dos seus atos. Buscar

ignorar as conseqüências de seus atos ou tornar seletiva sua
percepção dos fatos tenderia a reduzir os sentimentos de culpa

Destituindo suas vitimas de quaisquer valores ou sentimentos. A

auto censura pode ser aliviada pela destituição de quaisquer
atributos de humanidade que a vítima possa ter ou imputando culpa
à vitima. Como resultado tem-se a desumanização, a vitima passa a
ser vista como coisa, não como uma pessoa com sentimentos. Culpar
a vitima ou as circunstâncias permite ao ofensor ver-se na condição
de vitima que estava sendo provocada. A ação do ofensor torna-se
uma ação defensiva. A vitima passa a ser culpada ou acusa de trazer
a ação sobre si.
 209

Perfil dos Invasores de Sistemas

Hackers

A idéía de que todos os aqueles que acessam os sistemas de informação

de forma indevida ou os agridem de forma mais assintosa são criminosos
ardilosos ou são doentes mentais é falsa

Na atualidade a mídia tem se referido aos indivíduos envolvidos em

crimes contra sistemas de informação genericamente como hackers. O termo
hacker originalmente não foi cunhado com a conotação negativa que possui na
atualidade [RogOl]. Entretanto, na atualidade o termo é sinônimo de criminoso
ligado a atividades relacionadas a invasão de sistemas computacionais, algumas
vezes referenciados como cyberpunks.

Apesar da mídia internacional devotar considerável atenção ao

fenômeno dos hackers e ao sensacionalismo dos atos por eles cometidos, existem
poucos estudos empíricos sobre tais indivíduos e por conseguinte muito pouco se
sabe sobre estes tipos [RogOl].

Mesmo que algumas ações de caráter pratico estejam sendo adotadas

por vários governos, no que tange à legislação referente à esta categoria de
crimes, a falta de pesquisas mais profundas sobre os indivíduos envolvidos em
tais incidentes faz com que estas leis tenham caráter meramente punitivo sem
contudo cuidar da reorientação dos mesmos [RogOlJ.

O termo hacker tem evoluído. Existem algumas controvérsias e

confusões sobre o uso de termos como hackers, crackers e phrackers [RogOl].
Usualmente o termo phraker remonta à idéía de pessoas adeptas ao ataque de
sistemas de telefonia. Por outro lado hacker são vistos como aqueles interessados
somente em computadores e redes de computadores. Já os crackers objetivam
causar danos aos referidos sistemas. Entretanto o que se mostra relevante é
entender que motivos levam tais pessoas a agir desta forma e com que propósitos
tais ações são tomadas.

O termo hacker evoluiu através de quatro gerações [RogOl].

A primeira geração consistia de estudantes, programadores e cientistas

sediados no Massachusetts Institute of Technology - MIT e posteriormente no
 210

Stanford Artificial InteUigence Center - SiAC, nos anos 50 e 60. Tais pessoas eram
acadêmicos ou profissionais interessados cm explorar as potencialidades dos
sistemas existentes na época. Para eles a motivação era o desafio intelectual
[RogOij.

A segunda geração dc hackers evoluiu dc uma elite intelectual dos anos

70, onde tais indivíduos tendiam a ser tecnologicamente radicais com idéias
avançadas c organizados cm torno dos potenciais apresentados peia convivência
aos mainjfames c dos computadores pessoais - PCs. Oado as crenças radicais de
tais pessoas eram comuns atividades criminais de menor importância. Tais
motivados pelos desafios intelectuais c pelo desejo de pensar

além dos limites tradicionais [FtogOlj.

A terceira geração incluiu pessoas jovens as quais abraçaram os

computadores pessoais durante a rlécada dc 80. Eles agiam fascinados pelo
potencial de entretenimento que estas máquinas eram capuzes de propiciar.
IN estes casos os alvos eram os códigos dos games, que eram copiados de forma
ilegal e inccn.t1v3.cius por outros que c n co n tr a v a .*n. novcis íormas cc q u obrar" os
códigos de proteção destes sistemas. Ainda aqui as atividades criminais eram de
menor importância [RogOl].

A quarta e corrente geração dc hackers que emergiram na segunda

metade dos anos 90 e princípios de 2000 passaram a estar envolvidos com
atividades cuja motivação não residia na curiosidade ou no desejo de obter
maiores conhecimentos, embora pessoas dessa classe ainda componham tal
comunidade. A motivação agora desloca-se para as possibilidades de ganhos
financeiros, vingança ou outras intenções de caráter doloso [RogOl,
Anonymous97].

Embora no passado os hackers das primeiras gerações, após obterem

sucesso em seus tentames, lograssem vir a ser consultores de empresas ou
cargos assemelhados, o crescente número de episódios e a relevância das perdas
para as organizações fizeram com que atividades desta natureza passassem a ser
vistos como invasão de propriedade e roubo de informações .
 211

Para este estudo interessa saber sobre as pessoas que invadem os

sistemas de informação com fins maliciosos, uma vez que presencia-se na
atualidade o deslocamento da atividade hacker para o comportamento criminoso
o que o torna problemático e que deve ser melhor entendido.

Estudos conduzidos por CHANTLER [Cha96] junto a comunidades de

hackers, levaram-no a concluir que existem vários atributos que podem ser
usados para classificá-los. Estes atributos seriam seu nível de atividade, sua
capacidade de exploração, seus conhecimentos técnicos, suas motivações e
durante quanto tempo ele tem estado envolvido em atividades hackers.
CHANTLER os distinguiu em três grupos: a "elite ',
7
os "neófitos" e os
-perdedores"(íoosers] [Cha96].

Neste estudo os membros da "elite/ eram aqueles capazes de "construir"

seus próprios softwares e ferramentas de ataque. Os mcõfitos eram constituídos
s

pelos indivíduos ainda em estágio de aprendizado e incapazes de confeccionar

suas ferramentas usando as já existentes. Esta classe de hackers era constituída
de indivíduos focados em "quebrar* a segurança dos sistemas (crackers) ou
invadir sistemas de telefonia (phrackers). Já os "perdedores" mostravam pouca
evidência de habilidade intelectual e estavam motivados por desejos de lucros,
vingança, roubo, espionagem e outros comportamentos maliciosos ou predatórios
usualmente voltados para ganhos financeiros [Cha96],

Neste estado o autor conclui que nada havia forçado os hackers a estas
atividades e que todos estavam auto motivados e dedicados a estar na linha de
frente da tecnologia computacional. O estudo conclui ainda que apesar dos
hackers possuírem atributos que poderiam ser capitalizados na indústria de
segurança, a marcante falta de limites éticos mostrava-se problemática. O estudo
ainda alerta para o fato dos hackers mostrarem se como uma ameaça potencial
âs organizações dado ao seu intenso interesse em sistemas e curiosidade acerca
de seu conteúdo.

Apesar das várias criticas, o trabalho de CHANTLER neste ponto lança

algumas luzes em um assunto de que muito se íála mas onde são poucos os
 212

Em suma [Cha96J identifica, em seu estudo, os seguintes aspectos

psicológicos comuns aos indivíduos destas comunidades:

• Percebem-se como inteligentes mas freqüentemente apresentam

baixo desempenho escolar

• Percebem-se freqüentemente deslocados em seu ambiente social,

excêntricos, socialmente ineptos e malentendidos

• Percebem-se como estando sempre em busca de desafios

• Usualmente são homens entre 12 e 28 anos

• Oriundos de famílias desestruturadas.

Com referência às suas motivações, somente uma pequena parcela

declararam motivações maliciosas (vingança, sabotagem ou fraude) [Cha96].

A maioria dos indivíduos entrevistados mostraram-se motivados por

razões positivas [Cha96]:

• O desafio

• O excitamento causado pelo sucesso

• A oportunidade de aprendizado

• Pela satisfação intelectual.

Ao enfatizarem seus valores e atitudes em torno da atividade de

hacking, eles se descrevem como [Cha96]:

• Não se consideram ladroes mas sim, vasculhadores

• Possivelmente obcecados ou viciados em computadores

• "Robin Hoods" defendendo a revelação da verdade

• Advogam a doutrina da liberdade absoluta e irrestrita da informação.

Entretanto os grupos apresentam as seguintes características

psicológicas [Cha96]:

• Código de ética
 213

• Os valores da juventude absorvidos na cultura eletrônica podem ser

de maior importancia que os aspectos da psicología individual.

A cultura do cyberspace caracteriza-se pelas premissas de fronteiras

fluidas, na tradição do compartilhamento de informações e no conceito de
software aberto e compartilhado. Dentro das comunidades hackers, entretanto,
existe uma diferenciação dos padrões éticos em relação aos crimes j á citados. O
propósito é vasculhar e/ou quebrar a segurança dos sistemas, mas muito
dificilmente os grupos hackers mais renomados envolvem-se em sabotagem ou na
difusão de vírus [Cha96],

Jnsiders

Outros estudos tem focado em um particular subgrupo de invasores de

sistemas: os insiders.

Um dos trabalhos mais relevantes sobre o tema foi conduzido por

POST [Pos96]. Estes estudos examinaram as vulnerabilidades de personalidade e
culturais dos especialistas em tecnologia da informação que cometeram crimes
relacionados a sistemas de informação contra seus empregadores.

Neste âmbito existem algumas questões que mostram-se fundamentais:

Existem diferenças psicológicas entre indivíduos que comentem atos de
espionagem e os especialistas em sistemas que agem da mesma forma? Entre os
empregados descontentes que comentem violências nos locais em que trabalham
e especialistas em sistemas descontentes que sabotam os sistemas de
informações?

Ao lançar estas questões, POST busca entender que motivos levam os

indivíduos a agirem desta forma, agora na condição de membros de uma
organização. Inicialmente ele tenta elaborar um raciocínio sobre as motivações
psicológicas para o que em seu trabalho cie denomina como "Traidor".

Segundo POST [Pos96j, o curso dc vida do indivíduo, envolvida nestas

situações, exerce uma influencia importante.

Primeiramente indivíduos que vivenciam a transição da meia idade ou

"Crise da Meia idade" estão em um momento de suas vidas em que fazem uma
 214

reavaliação pessoal, uma reflexão sobre os sucessos e fracassos de suas

existências [Pos96]. Neste momento é freqüente a comparação de sua condição
com a de seus pares. Muitas vezes questionam-se sobre o que deu errado em
suas carreiras, ou se realmente se sentem felizes com sua vida pessoal. Para
POST neste momento os dois fatores externos relevantes são: a realização
profissional e a felicidade conjugal [Pos96].

Entretanto se os fatores exógenos são importantes, muito mais o são os

fatores internos ao indivíduo: Como ele se percebe em relação à situação em que
gostaria de estar? Estaria ele vivendo o seu sonho de glória? Um indivíduo pode
ser considerado quase que em pleno sucesso pelos aspectos externos, porem
internamente sente-se fracassado. A transição da meia idade em particular é um
período de tomada de atitudes, freqüentemente impulsivas, após anos de
descontentamentos impronunciados [Pos96]. Segundo POST os maiores atos de
traição ocorrem relacionados a fatores psicológicos próprios deste período de vida
[Pos96]. Usualmente apôs um revés na carreira, após sentir-se traído por um
sistema ao qual ele havia até então se dedicado, o indivíduo passa a sentir um
desejo de revanche contra tal organização ou sistema [Pos96].

Nestes períodos de vulnerabilidade, um casamento solido ou uma

carreira recompensadora pode ajudar a compensar as frustrações vividas.
Entretanto dificuldades com a carreira conjugadas com conflitos conjugais levam
o indivíduo a um estado de intensa vulnerabilidade [Pos96].

Novamente tão importante quanto os fatores externos de realização

profissional e satisfação conjugal, são os critérios internos do indivíduo. Ê esta
distância, percebida por ele, entre uma realidade frustrante e os sonhos de glória
que está associada à pressão voltada para uma ação restauradora, uma busca de
redenção ou revanche. Este é o estado de ânimo do indivíduo que os ofensores,
seja de uma organização seja de um estado, buscam recrutar [Pos96].

Para POST enquanto o conjunto Dinheiro, Ideologia, Coerção e Ego -

MICE (money, ideology, coercion anã ego) continue sendo válido como fatores
associados a atos de espionagem e traição, o ego seria o fator de importância
transcendente, e mesmo quando a venalidade seja o aparente motivo, isto
 215

freqüentemente revela um ego plenamente satisfeito em se impor sobre o sistema

ou a organização ofendida.

Nesta Era da Informação , populado por jovens que se revelaram

1

milionários da "noite para o dia" e milhares de outros jovens imbuídos de grandes

expectativas de sucesso instantâneo e sem paciência de esperar que seus sonhos
se realizem, o que deve suceder quando os desapontamentos inevitavelmente
ocorrerem à medida que estes sonhos não se materializarem? Se acrescermos a
este cenário um sistema ético fluido, qual o sentido que passa ter o termo
"lealdade"? Qual tipo de ética se estabelece em um sistema onde a todo momento
e de forma desavisada empresas demitem milhares de pessoas ao mais leve sinal
de flutuação econômica e os jovens são induzidos a facilmente mudar de emprego
a cada oportunidade de melhoria salarial? Podem pessoas e organizações
acreditarem uns nos outros? Podem ambos agentes confiar seus respectivos
futuros uns nos outros?

Observando sob a perspectiva da segurança da informação , realmente 2

as organizações detêm suas novas idéias e novos produtos se tais elementos

residem na mente dos indivíduos que as concebem e na experiência daqueles que
operam os sistemas de informação? Não está na capacidade destas mentes o real
potencial a ser explorado pelas organizações?

Neste mundo de ética fluida o indivíduo facilmente se sente compelido a

"trair" a organização em que se encontra caso perceba que a relação entre ganhos
e riscos lhe é visivelmente favorável [Pos96J. Desta forma informações podem
facilmente vazar da organização ou serem ardilmente trabalhadas para
proporcionar ganhos. As motivações, sejam elas de ordem monetária, ideológica,
coercitiva ou meramente egocêntricas, podem ser suficientemente fortes para que
o indivíduo pertença aos quadros de uma organização e, se sinta moralmente
confortável para agir contra os interesses daquela organização. Um empregado
capacitado e insatisfeito pode manipular os sistemas a que tem acesso ou ganhar
acesso privilegiado de forma não autorizada e operar ou mesmo sabotar tais

1
Manoel Castels
2
Existem várias perspectivas para esta realidade
 216

sistemas de forma irrecuperável, principalmente se ele colaborou na criação de

tais sistemas.

Alguns estudos empíricos [CSI01][ASI00][Den98] [Nun99J levam a um

consenso em que os crimes dessa espécie cometidos ã égide da "Special
Opportunity Crimes", qual sejam, os crimes afeitos à oportunidade, perpetrados
por agentes que têm na sua ocupação profissional o uso de computadores e
sistemas, em várias atividades humanas, e em razão dessa ocupação cometem
delitos, invariavelmente, contra as organizações às quais se encontram
vinculados. Esses estudos mostram ser este agente, pessoas inteligentes, gentis,
educados, com idade entre 24 e 33 anos.

Em suma apresentam um perfil muito próximo do hacker clássico com

a exceção, em muitos casos, de não apresentarem dificuldades de socialização.

Conclusão

As pesquisas na área do comportamento "criminoso" na área de

sistemas de informação, tal como relatado nos trabalhos estudados [RogOl,
Cha96, Pos96J, mostram-se bastante esparsas. Dada à ausência de outros
estudos mais significativos e à falta de maiores desenvolvimentos conceituais no
estudo da criminalidade que envolve os sistemas de informação, este capítulo
constitui uma breve apresentação dos conceitos correntes sobre o tema. Os
estudos referenciados são apresentados pelos próprios autores como sendo de
caráter propedêutico sendo que os seus achados ainda requerem a corroboração
de outros estudos de os suportem ou os corrijam.

Contudo, apesar de suas limitações, tais estudos atentam para uma

faceta ainda não revelada pelos primeiros estudiosos das falhas e
vulnerabilidades de sistemas; a presença primordial e inquestionável do homem.

Entretanto, do que foi exposto percebe-se que os indivíduos envolvidos

com os crimes computacionais apresentam motivos definidos e não encontram
seja no aspecto moral, seja no confronto entre ganhos e riscos, quaisquer
impecílios à consumação dos atos que atendam a estes desejos [Pos96].

Os paradigmas de ética e moralidade presentes na atualidade, como

delineados nos trabalhos de BAUMAM, podem ser resumidos em frases de uso
 217

popular como "é cada um por si" ou "a lei do mais forte ou do mais esperto* ou
mesmo "o negócio é levar vantagem em tudo" . 1

De fato, dada a facilidade com que as informações fluem na atualidade,

fica fácil para os indivíduos tomarem conhecimento dos atos ilícitos ou
moralmente condenáveis de Estados, grandes empresas, dos membros da classe
política nacional e internacional, de figuras proeminentes do mundo dos negócios
[Bau97].

Ao tomar conhecimento de tais fatos e perceber que os mesmos

tornaram-se corriqueiros e que tais agentes não sofrem sanções legais, o
indivíduo entende que a ele também seria permitido agir desta forma. Tais
percepções seriam explicadas pela hipótese do reforçamento diferencial e da
imitação [RogOl].

Constata ele então por sua vivência prática que as organizações (Estado
e empresas) cada vez mais não cumprem sua parte nas relações que estes teriam
originalmente para com ele p a u 9 7 ] . Estão relaxados ou inexistem os conceitos
de moralidade e ética por decorrência da adoção pela sociedade ocidental do
modelo capitalista liberal, nos moldes expostos por BAUMAM, estando
estabelecidas a "desmoralização" ou a "ruptura da estrutura social" [Mer59].

O Estado mostra-se comprometido em revogar leis e retirar barreiras

que inibem a ação das grandes empresas dentro do ideário liberal cada vez mais
expõe o indivíduo a ter que se confrontar diretamente com tais organizações
eximíndo-se assim de seu papel de mediador e equalizador das diferenças de
forças que agem no seio da sociedade organizada [Bau97].

As empresas agem comprometidas unicamente em maximizar o retorno

dos seus investimentos descaracterizam os seus empregados como seres
humanos e passam a tratá-los como "coisas" que podem ser compradas no
mercado de trabalho quando necessário e para ele devolve-las quando se tomam
inúteis ou comprometem os índices de retorno financeiro p a u 9 7 ] . A mídia
presta-se sistematicamente a veicular quadros de falência das instituições como

1
Expressão referida peto mídia há algum tempo como "a lei de Gerson"
 218

família e respeito pelos sentimentos ou integridade da pessoa, banalizando a

violência.

Este ambiente, tal como descrito por BAUMAM mostra-se a este

indivíduo como uma situação anêmica em que tudo passa ser permitido. Ele
passa então a entender que de fato nenhuma força moral nem regulamentação
social existe, de forma eficaz, para limitar suas ações e desejos [Dur73, Mer59].
Tendo os recursos necessários para mitigar os possíveis riscos decorrentes de
suas atitudes, tudo passa a ser possível [Bau97]. Para ele já não existem normas
legitimas ou padrões éticos válidos. Para ele, segundo BAUMAM, a legitimidade
passa a residir no poder. Vivendo em uma sociedade destituída de ideologia e
moral, a ética passa a ser a da satisfação imediata de seus desejos e
necessidades, sejam eles de que ordem for [Dur73, Mer59J.

Neste cenário, o indivíduo entende que as leis existem e podem não ser
cumpridas. E que para atender a estes desejos e necessidades todos os artifícios
são lícitos [Bau97].

A invasão dos sistemas de informação para deles obter os recursos ou

"lucros* desejados quaisquer que sejam os danos decorrentes para outras
pessoas, passa a ser algo plausível se os riscos forem aceitáveis. Os cybercrimes
financeiros são aceitáveis visto que as instituições financeiras j á auferem grandes
lucros e depois os prejuízos serão cobertos pelo seguro (Moral Disengagement)
[RogOl]-

"Produzir e disseminar vírus de computadores é uma prova minha

capacidade técnica e quem for afetado, que aprenda a tomar mais cuidado ao
navegar pela Internet, j ã que aqui não existem fronteiras ou leis, e não é lugar
para amadores".

Conjugadas as várias classes de necessidades [Mas59], a prevalência de

uma nova ordem com base na lei do mais forte [Bau97j, a percepção de um
estado de anomia [Dur73, Mer59] e de banalização do comportamento desviante
[RogOl] os indivíduos que apresentam propensão para o cometimento de crimes
[RogOl] irão cometê-los, principalmente no "mundo* dos computadores onde os
indivíduos não tem rosto nem identidade.
 219

Os aspectos psicológicos e sociológicos contribuem em grande parte

para que ocorram os incidentes de segurança de informações. Para a grande
maioria dos incidentes identificados, a presença do ofensor é reconhecidamente
necessária, porém não ê suficiente. São ainda necessárias as presenças dos
fatores Processos Organizacionais e Tecnologia para que o incidente se dê.
 220

ANEXO C
A TECNOLOGÍA
Em seu artigo The Emperor's Old Armor BLAKLEY [Bla96] apresenta a
seguinte afirmação:

The traditional model of computer security ... rests on three fundamental

foundations: management of security policy describing the set of transactions each
user is entitled to perform, integrity of physical systems, its software, and
especially its security-enforcing mechanisms, and secrecy of cryptographic keys
and sensitive data. ...the traditional model of computer security is no longer viable,
and that (sic.) new definitions of the security problem are needed before the
industry can begin to work toward effective security in the new environment

0 paradigma tradicional da segurança de sistemas vê o mundo como

composto por objetos e agentes [Nel97|. Este paradigma, segundo NELSON
[Nel97] captura o conceito onde o controle de acesso a recursos de um sistema é
o aspecto enfatizado mas deixa de considerar os acessos a funcionalidades
específicas do processamento. Em outras palavras, a segurança de sistemas
poderia ser modelada em termos de acesso aos dados. A presença de códigos não
confiáveis é considerada mas não tem sido considerada como relevante, como no
caso da contaminação do sistema por um Cavalo de Tróia . 1

Os conceitos assumidos quando da construção tanto do hardware

quanto do software muitas vezes levam a projetos ou implementações frágeis do
ponto de vista da segurança das informações. Em KRUSL [Kru98] encontra-se
citações onde até 6 3 % dos problemas de segurança ocorridos nesta área são
decorrentes dos conceitos adotados pelos projetistas.

Um pequeno estudo referenciado por BLAKLEY [Bla96] no qual buscou-

se determinar quão difícil seria para um grupo de programadores entender e
seguir uma especificação formal. Os resultados apresentados por este estudo,
segundo o autor, mostraram que alguns grupos de programadores não foram

1
Cavalo de Tróia (Trajan Horse)
 221

capazes de responder às perguntas feitas a eles sobre o que estava especificado. A

questão passa a ser: quão difícil é fazer especificações formais sobre a segurança
dos sistemas?

A experiência junto a várias empresas na especificação e construção de

sistemas vem de encontro a outra afirmação desse autor onde os sistemas
usualmente são construídos sob a premissa onde todos os usuários estariam
autorizados a realizar todas as operações. Feito isto são colocados os mecanismos
de autenticação e controle de acesso visando limitar a ação de determinados
usuários. Nestes casos isto estaria indicando que a segurança seria uma
propriedade imposta ao sistema an invés de ser algo inerente ao mesmo.

Sob a ôntica da segurança de sistemas, três atributos apresentam-se de

capital importância- Disponibilidade; Tntegi Idade e Segurança. Tais atributos
encontram-se fortemente relacionados e portanto devem ser considerados de
forma conjnrsfa

A Disponibilidade refere-se à capacidade dos componentes de hardware

e software de entrarem em operação quando necessário apresentando o
comportamento esperado.

A Integridade refere-se à validada dos dados quando "dentro" de tais

sistemas cobrindo ainda os êtspectos assobiados è garantia de que tais dados
estão corretos e atualizados.

Neste trabalho a contribuição rio foíor Tecnologia para a Segurança dos

Sistemas, será analisada em três aspectos: a contribuição da componente de
hardware, a contribuição da componente de software, e a contribuição decorrente
da interligação em rede destes elementos.

C l - K^-fc—-
Para fins de confiabilidade dos equipamentos, as falhas de hardware
usualmente são medidas com base nos índices de MT8F [Mean Time Setween
Faihtre) e de MTTR (Mean Time Ta Restore), O acompa.nH«mento desses índices c
importante para componentes mtieos os quais podem tornar o sistema
inoperante quando eles falham, como por exemplo o processador de
comunicações de um sistema de grande porte.
 222

A prática mais comum adotada para a segurança de dados é a

duplicação dos dispositivos de armazenamento de dados. Práticas como a
duplicação (ou espel ñamen to) de discos ou a gravação de dados em discos e fitas
são as mais frequentemente adotadas.

Outro dispositivo de segurança usualmente voltado para a manutenção

da disponibilidade dos sistemas nao os UPS {Uninterraptible Power Supply). Tais
sistemas visam garantir que as falhas de energía não venham causar danos
catastróficos ao sistemas. Típicamente tais unidades são compostas por bancos
de baterias associados a unidades geradoras estacionárias movidas a
combustíveis fósseis que são automaticamente acionadas em raso de interrupção
do fornecimento externo de energia.

Outros artifícios voltadas para a segurança de sistemas é o uso de

configurações redundantes. O uso de equipamentos em redundância {backup) é
uma prática comum. Taís sistemas podem estar instalados on-line realizando
tarefas de baixa prioridade ou podem estar armazenados próximos para uma
rápida troca.

Componentes de baixo valor unitário usualmente são adquiridos para

que haja maior disponibilidade de equipamentos para troca rápida. Já os
sistemas maiores tendem a ter alguns de seus elementos críticos duplicados. Em
alguns casos as organizações costumam contratar "centros de contingência" que
são outras instalações de grande porte (próprias para aluguel ou de empresas
outras empresas assemelhadas) que acionadas para executar as suas tarefas
críticas caso todo o sistema entre em colapso por tempo prolongado.

As políticas e práticas de manutenção aplicadas em um parque de

equipamentos constitui um dos procedimentos vitais para a manutenção da
confiabilidade do hardware. A adoção de um plano de inspeções e manutenções
periódicas programadas constitui uma l>oa prática, para garantir a disponibilidade
dos cqu ipamentos.

Os componentes de hardware, para fins didáticos, podem ser divididas

em:

• Componentes Mecânicos
 223

* Componentes Elétricos.

Os componentes mecânicos são dispositivos que requerem movimentos

ou ações tísicas, mesmo dispondo de elementos elétricos para prover a
comunicação com o resto do sistema (i.e. teclados, impressoras, unidades de
disco).

Os componentes de natureza elétrica executam suas tarefas

inteiramente através de circuitos elétricos. Usualmente os circuitos integrados -
Cís (chips) compõem a maior parte dos sistemas.

Estas eoriceitnações primárias são entretanto fundamentais para

entender as naturezas das falhas que ocorrem nos sistemas de informação.

Devido à sua natureza, os componentes eletrônicos tendem a não

quebrar quando em uso normal. Entretanto os materiais de que são formados
tendem a tornarem-se quebradiços com o passar do tempo.

O uso freqüente ou esporádico de tais circuitos não tem nenhum

impacto na durabilidade dos mesmos, diferentemente dos dispositivos mecânicos
os quais requerem inspeções periódicas, lubrificação, limpeza e troca de partes
desgastadas com o uso. Entretanto, vibrações, calor e umidade induzem a
impactos nocivos tanto nos dispositivos mecânicos quanto nos dispositivos
elétricos.

Uma das falhas mais comuns e de maior impacto e m sistemas

computacionais e relacionada às unidades de disco é o disk crash. Normalmente
as cabeças de leitura da unidade de disco flutuam sobre a superfície dos discos
sem contudo tocar o revestimento magnético dos mesmos. Entretanto, choques
físicos sofridos pelo equipauicnlo podem fazer com que as cabeças de leitura
toquem os discos enquanto os mesmos estão em alta rotação. Tais eventos
usualmente causam a perda de dados ou podem comprometer tanto o disco
quanto a cabeça de leitura. Neste caso a substituição da unidade danificada é
inevitável.
 224

C.2 - Software
A resolução 465, sancionada pela Assembléia Nacional da França, que
obriga a adoção de softwares de código aberto por todo o serviço público daquele
país aparece como um caso famoso das preocupações que envolvem a questão da
segurança de informações.

Uma das razões alegadas na época, além das de ordem econômica, foi o
temor do governo francês de poder estar sendo vítima de espionagem j á que os
softwares da Microsoft encontram-se disseminados por todas as repartições
daquele governo e tratando arquivos com informações muitas vezes sigilosas.
Este fato serve para que seja levantada a seguinte questão: quais as razões que
levam pessoas e organizações a perceberem o software como um elemento
inseguro?

Neste segmento, a componente software será analisada considerando

duas vertentes: as ameaças de segurança decorrentes de problemas associados
ao processo àe produção dos aplicativos utilizados nas organizações: e as
ameaças decorrentes da "infecção* dos sistemas por agentes de software, também
denominadas como helmintíases ou molwure. ou simplesmente viroses»

Uma das fragilidades de segurança muitas vezes referenciadas é a

confiabilidade dos softwares em uso nelas organizações. Existe, de fato, uma
dificuldade grande em determinar quanto de verificação é necessário para
garantir que um software executável seja de fato confiável. À medida que o nível
do código baixa até chegar no nível do código de máquina, as fragilidades vão se
tornando mais difíceis de serem identificadas. Assim, no limite, uma falha no
microcódigo de um sistema ê praticamente impossível de s e i detectado.

A premissa da confiabilidade inquestionável dos códigos executáveis é

constante em grande parte das organizações, inclusive de órgãos afetos as
questões de defesa. Companhias como a Microsoft, Intel, CTSCO e TBM (dentre
muitas outras), que deiêtn parcela signífiralívai do parque de software e hardware
instalado constituem um problema sério de segurança dependendo do tipo de
interesses que estejam em jogo no momento, tanto para empresas como para os
 225

governos. Cada uma é potencialmente capaz de monitorar o que está sendo

tratado por seus equipamentos quanto de corromper ou desabílttar os sistemas
de informação onde estejam presentes. Mesmo que os códigos fonte sejam
confiáveis, ainda resta a questão de como garantir a confiabilidade dos
compiladores de forma a certificar que o código executável seja confiável.

Antes de aprofundar nesta seara cabe analisar uma questão

precedente: quais são os custos decorrentes para as organizações da adoção de
software inseguros? Ostensivamei ite, as organizações investem em software dado
que estes tornam suas operações mais rápidas. Entretanto as fragilidades
inerentes em alguns produtos tem anulado os benefícios que estes podem
oferecer, Como conseqüência, muitos custos terminam por decorrer dos softwares
adquiridos.

Outros custos associados aos problemas de software decorrem dos

custos associados à sua manutenção. Em organizações onde produtos com
defeito estão instalados em suas redes, os administradores podem ver boa parte
de seu tempo de trabalho voltada para a instalação de potches de segurança nas
máquinas da companhia.

A baixa produtividade dos softwares, constitui outro componente de

custo. Quando um componente de software mostra-se comprometido no ambiente
de trabalho, os trabalhos acabam sendo prejudicados, Na melhor das hipóteses,
somente uma máquina é afetada. No pior caso toda a rede de computadores da
organização pode ser comprometida

Deve-se notar que podem ser várias as formas pelas quais os softwares
mostram-se inseguros. Métodos de exploração de falhas de segurança em
programas são variados dependendo da aplicação. Até recentemente, segurança
de software era um atributo usualmente de pouca importância tanto para
fornecedores quanto para usuários. Entretanto, ã medida que as organizações
passaram a constatar os custos decorrentes da falta de segurança, tal atributo
passou a ser relevante

Talvez o fator que mais contribua para o problema de segurança dos

software seja a complexidade inerente aos mesmos, e os resultados adversos
 226

decorrentes de suas interações. Na atualidade, quando uma aplicação é projetada

e codificada, não se pode assumir que somente o sistema operacional estará
sendo executado simultaneamente nos computadores e que este estará sempre
disponível para atender às requisições de serviços demandadas por esta
aplicação. Por outro lado, os termos integração e interconectividade têm sido a
tônica nos anos recentes.

À medida que as aplicações vão evoluindo, mais componentes de

software são projetados para integrarem-se mutuamente ou no mínimo poderem
trocar mensagens. Desta forma, a disponibilidade de certos serviços em um
ambiente de computação passa a ser possível somente se outros serviços, não
obrigatoriamente correlacionados, estejam ativos. Isto faz com que os produtos de
software acabem por oferecer, coercitivamente, mais funcionalidades que as
esperadas ou desejadas pelos usuários. Ao mesmo tempo, isto torna a segurança
dos sistemas algo difícil de ser estabelecida.

Os códigos subjacentes às complexas aplicações que surgem como

resultado deste fenômeno, incidente na moderna indústria de software, acabam
por se mostrar extremamente complexos e imensos. O código de uma destas
modernas aplicações, consiste de milhões de linhas de código. Tal complexidade
se mostra muito além do escopo das possibilidades humanas de executar uma
avaliação suficientemente abrangente para garantir a segurança destes produtos.

Neste ponto surge uma dicotomia. Enquanto as equipes de

desenvolvimento encontram-se voltadas para a evolução do produto, dentro de
um número limitado de horas, para não compróme Ler os custos, a comunidade
de ofensores {hackers}, por outro lado, dispõem de um número de horas ilimitado,
e ausência de compromisso com resultados, para identificar e explorar uma única
vulnerabilidade.

Outro fator de relevada importância no problema da segurança dos

softwares é a pressão para que os produtos sejam liberados sem um processo
adequado de testes. Parte deste problema pode ser a "necessidade" de apresentar
os softwares comerciais dentro dos prazos e custos impostos pelos setores de
finanças e marketing. Diante destas pressões, erros normalmente óbvios e fáceis
 227

de se identificar acabam por chegar ao público como conseqüência imediata de

uma atenção inadequada dada ao processo de revisão e teste dos produtos.

No paradigma da OO, cada equipe de desenvolvimento tem sob sua

responsabilidade assegurar que cada um destes componentes funcione
corretamente tanto sozinho quanto em combinação com outros objetos. Em um
subsistema com vários componentes, dada a complexidade resultante das
interoperações possíveis, todo o subsistema deve ser testado e não somente o
novo componente adicionado. Entretanto, corre-se o risco deste tipo teste
apresentar um custo que as empresas não estejam dispostas a pagar. Neste caso,
corre-se o risco serem realizados precariamente de forma a não comprometer os
cronogramas de entrega dos produtos e os orçamentos.

Outra fonte de erros reside no fato dos códigos destes produtos não
serem divulgados. Um dos argumentos dos defensores dos códigos abertos é
dificuldade de certificar que um código fechado ê confiável, era função dos fatos j á
apresentados. Os códigos proprietários, ao serem corrigidos por meio de patches,
podem estar se transformando em um quebra-cabeça de erros e fragilidades
intratável.

A disponibilidade e a confiabilidade dos softwares de uma instalação

influem de forma significativa na confiabilidade geral de um sistema, tanto
quanto na qualidade dos serviços prestados pelo sistema de informações da
organização. Idealmente os softwares deveriam ser isentos de erros de lógica
(bugs). Porém, uma vez que a plena correção dos componentes de software não
tem como ser garantida, devem existir, nestes sistemas, meios de rastrear os
problemas que ocorreram nas transações como forma de promover a correção dos
possíveis danos.

Tempos de resposta inadequado (muitas vezes resultantes da

combinação de erros de configuração de hardware, sistemas operacionais e dos
aplicativos) podem tornar uma aplicação indisponível ou torná-la inaceitável por
parte dos usuários.

Contudo, sob a óptica da segurança de informações, a existência de

registros de transações (log) constitui um importante componente de segurança
 228

dos sistemas. Os registros de transações contém, usualmente, a data, a hora, o

usuário e a transação realizada. A confiabilidade dos registros de transações
decorre da preservação cuidadosa da rastreabilidade de todas as transações
realizadas. De acordo com BISHOP [Bis95], o papel central dos arquivos de log
(ou trilhas de auditoria) no monitoramento da segurança de sistemas, está nos
recursos que este instrumento proporciona para a análise do comportamento do
sistema e das atividades de seus usuários. De acordo com os conceitos expressos
no ITSEC [ITS91], as trilhas de auditoria aparecem como um elemento
fundamental para determinar a existência de quebra de segurança nos sistemas e
revelar formas de uso não autorizadas dos mesmos. Dependendo do sistema as
trilhas de auditoria podem monitorar eventos específicos ou contemplar todas as
atividades de um sistema.

Em particular, no caso dos Sistemas Gerenciadores de Bancos de

Dados (SGBDs), os mecanismos de checkpomls estabelecem pontos rastreáveis ao
longo do período em que o sistema esteve em atividade de tal forma que, em caso
de falha, o processo possa ser reiniciado sem que seja necessário voltar ao seu
inicio. Esta característica passa a ser de especial importância em grandes
sistemas onde ocorrem milhares de transações de dados.

Um interessante trabalho de compilação dos erros mais comuns em

projetos de software que podem levar a vulnerabilidades de sistemas foi
desenvolvido por DU e MATHUR [DuM97]. Sem adentrar o mérito dos erros
estarem intencionalmente (ou não) presentes nos sistemas, neste trabalho os
erros de software são classificados segundo a tupla: Causa, Impacto, Correção
|Dum97].

Dentre as várias causas ressaltam-se:

• Erros de validação, decorrentes da necessidade do sistema de

receber inputs do ambiente com que interage e de outros módulos ou
sistema com os quais estabelece interações. A função da etapa de
validação de entrada de dados é garantir que os inputs recebidos são
exatamente aqueles esperados. Isto inclui atributos como quantidade,
tipo e formato, de tal forma que inputs mal formados não sejam
aceitos. Em sistemas mais críticos, a validação da origem do input e
 229

destino dos outputs tomam conotações relevantes sendo nestes casos

importante validar se os dados têm como origem aquela que é
esperada e se estão sendo enviados para os destinatários autorizados.
Isto passa pela obrigatória validação da identidade tanto do
fornecedor dos inputs quanto dos receptores dos outputs [DuM97]

• Os erros de validação abarcam as situações que permitem que

informações privilegiadas ou operações criticas sejam acessadas sem
a devida identificação da autorização do agente

• Os erros de serialização permitem que o comportamento assíncrono

de diferentes componentes do sistema possam ser explorados e
causem uma violação de segurança

• Os erros de validação de limites são causados pela falha na

verificação dos limites de certos inputs de forma a assegurar
restrições de entrada no sistema. A não validação dos inputs contra
os limites mínimos e máximos esperados para aquela entrada, tais
como tamanho de tabelas e limites para tipos de variáveis dentre
outras, podem levar o sistema a tentar consumir recursos que não
dispõe e que o levam a condições de erro

• Projeto incorreto ou pouco abrangente do sistema e seus módulos

são erros que fazem com que o sistema sò possa ser usado dentro de
limites muito restritos ou obrigam o operador ou usuário a ser
cauteloso.

Com relação ao impacto ressaltam-se:

• Execução não autorizada dos códigos

• Alterações não autorizadas de informações e processos

• Acesso e divulgação não autorizada de informações

• Interrupção dos serviços prestados pelos sistemas que podem

degradar ou interromper as comunicações em uma rede.
 230

A priorização das categorías descritas deu-se em função da severidade

percebida pelos autores [DuM97]. A execução não autorizada de um código
possui [DuM97].

Com relação ao alcance do processo de correção das falhas:

• A correção da falha passa pela retirada de determinado modulo ou

característica do sistema

• A correção da falha passa pela inserção de um código ¡altante

• A correção exige a mudança de posição ou ordem de chamada do

código

• A correção do erro exige a reconstrução do módulo.

De fato, como já citado anteriormente neste trabalho, as várias

fragilidades de segurança diariamente reportadas pelos varios boletins públicos
ou privados (SecuritySearch.Net Vulnerability Report; Boletim da Equipe de
Segurança de Redes da UNICAMP; The SANS Weekly Security News Overview;
CERT® Coordination Center Reports dentre outros) mostram que a confiabilidade
dos softwares em uso pelas organizações deixa muito a desejar. Existe, de fato,
uma dificuldade grande em determinar quanto de verificação ê necessário para
garantir que um software executável seja de fato confiável [BiB96j. Mesmo a
divulgação e adoção de sistemáticas voltadas para a garantia da melhoria dos
softwares produzidos como o Computer Maturity Model - CMM, não tem sido
suficiente para que a cada novo lançamento de um produto de software centenas
de correções [patches] tenham que ser divulgadas para que tais sistemas possam
adquirir algum grau de confiabilidade.

Entretanto à medida em que o nível de complexidade dos códigos

aumenta (a exemplo dos sistemas operacionais como o MS-Windows) e que o
nível do código baixa até chegar no nível do código de máquina, as fragilidades
vão se tornando mais difíceis de serem identificadas. Assim, no limite, uma falha
no microcódigo de um sistema é praticamente impossível de ser detectado.

Usualmente, as vulnerabilidades dos sistemas de computação

encontram-se relacionadas aos erros de lógica no projeto ou codificação do
 231

software e que permitem a existencia de brechas de segurança no sistema que

podem ser descobertas e utilizadas. A complexidade dos aplicativos e dos
sistemas operacionais tem feito crescer os riscos de segurança dos sistemas
[Krs98].

No caso dos sistemas operacionais, milhares de problemas de

segurança são relatados anualmente pelos serviços de alerta para os variados
sistemas operacionais em uso. Tais fragilidades se bem exploradas podem carrear
incidentes de segurança de efeitos significativos. As vulnerabilidades dos
sistemas operacionais são em geral os alvos preferidos nos casos de ataques
visando a interrupção dos serviços (DoS). Tais ataques permitem a obtenção
imediata da reação esperada do sistema e com resultados bastante previsíveis
[Krs98].

As fragilidades de segurança existentes em uma aplicação específica

tipicamente não afetam diretamente a continuidade dos serviços prestados pelos
sistemas. As falhas incidentes nas aplicações, tal como as falhas nos sistemas
operacionais são as de maior velocidade de execução, mas requerem que os
mesmos estejam em uso ao contrário das fragilidades dos sistemas operacionais
[Krs98]. Muitas vezes a fragilidade não se manifesta até que uma condição ocorra
tornando a ocorrência do ataque imprevisível. Entretanto, a surpresa é um
elemento de grande contribuição quando se fala de alcance de um ataque
[NST99], ao mesmo tempo que um alvo específico pode ser melhor atingido com o
uso deste artifício.

Um pequeno estudo referenciado por BLAKLEY [Bla96J no qual buscou-

se determinar quão difícil seria para um grupo de programadores entender e
seguir uma especificação formal. Os resultados apresentados por este estudo,
segundo o autor, mostraram que alguns grupos de programadores não foram
capazes de responder às perguntas feitas a eles sobre o que estava especificado. A
questão passa a ser: quão difícil é fazer especificações formais sobre a segurança
dos sistemas?

Segurança é algo difícil de se obter e manter, principalmente porque as

pessoas não são capazes de manter seus segredos. Ainda segundo BLAKLEY
nenhum projeto de segurança de sistemas seria viável se baseado nos princípios
 232

de Política, Integridade e Segredo visto sem estes atributos impossíveis de serem

alcançados no mundo moderno, ao mesmo tempo em que as políticas não seriam
gerenciáveis. Assim os sistemas iriam apresentar mais e mais falhas até que
sejam reconstruídos sobre novos fundamentos.

A experiência junto a várias empresas na especificação e construção de

sistemas vem de encontro a outra afirmação desse autor onde os sistemas
usualmente são construídos sob a premissa onde todos os usuários estariam
autorizados a realizar todas as operações. Feito isto são colocados os mecanismos
de autenticação e controle de acesso visando limitar a ação de determinados
usuários. Nestes casos isto estaria indicando que a segurança seria uma
propriedade imposta ao sistema ao invés de ser algo inerente ao mesmo.

Segurança é algo fundamentalmente difícil de ser garantido. Os

sis tem as in forma tizados de tratamento de inform ações são inerentemente
complexos dado o grau de interação que existe entre os seus subsistemas. Desde
os bugs nos microcódigos do hardware, passando pelos existentes nos sistemas
operacionais, protocolos e aplicações diversas que interagem com variados níveis
de acoplamento; até as constantes tentativas de penetração sofridas pelos
sistemas corporativos atuais todos estes componentes fazem com que não exista
uma solução trivial para o problema de segurança dos sistemas computacionais.

Dada esta complexidade os atributos de segurança dos sistemas

computacionais não deveriam ser colocados a posteriori como é feito
freqüentemente. Ao contrário, este atributo deveria ser parte dos requisitos de
projeto de qualquer aplicação que se destinasse a tratar informações sensíveis
[Bla96J.
 233

As helmintíases

Quando em 1983 COHEN [CohS4], projetou um pequeno trecho de

código, com capacidade de se copiar e anexar-se em outros aplicativos, para
adquirir privilégios e acesso em um VAX-11/750 UNIX; ele conseguiu obter todos
os direitos de acesso ao sistema em meia hora (média dos casos estudados),
sendo que o tempo máximo gasto foi de uma hora, e o menor tempo gasto foi de 5
minutos, Uma vez que este vírus não induzia degradação apreciável no tempo de
resposta das aplicações infectadas, a maioria dos usuários nunca ficou sabendo
que estes sistemas estavam sob ataque.

Em 1984 um experimento conduzido em um UNÍVAC 1108, mostrou

que viroses podem espalhar por todo um sistema. Outros ataques foram
conduzidos com vírus codificados para diferentes sistemas operacionais (TOPS-
205, VAX/VMS, e VM/3706) mas a divulgação da efetividade dos testes, nesta
época, foram proibidos. Os experimentos de COHEN haviam indicado que os
mecanismos de segurança destes sistemas não haviam sido capazes de inibir a
propagação destes vírus [Coh84]. Entretanto um dos primeiros trabalhos
documentados sobre o que poderia vir a representar os códigos com capacidade
de auto-replícação data de 1974'.

Esta classe de mecanismos de ataque a sistemas, ganha normalmente

na mídia o designação genérica de Cavalo de Tróia (Trojan Horses}. Entretanto o
RFC 1135 denomina genericamente tal tipo de infestação como sendo um
helminüase . O RFC1135 tipifica, de forma sumária, os agentes causadores de
2

ataques desta natureza em dois tipos principais;

Worms - Constitui uma classe de agentes autônomos que se propagam

em uma rede, sem agregarem-se a uma rotina hospedeira. As infeções por worms
são típicas de sistemas operacionais multitarefas preemptivos. O R F C 1135 cita
que os worms somente obtiveram sucesso em ataques contra sistemas baseados
em plataformas SUN workstations e VAXes executando Berkeley UNIX. Embora
worms usualmente não modifiquem outros programas, podem carregar outros

1
KARGER, P. e SCHELL, R. MULTtCS Security Evaluation: Vulnerability Analysis. TecrmicafReporí ESD-TR-74-193. Air Force
Electronic Systems Division. Hanscom Air Force Base. MA(USA): 1974 (Op. c/f).

* Helminttase - Infestação de um organismo, ou doença causada por parasites da classe dos rtetmintos (lombrigas).
 234

códigos que o façam (como vírus, por exemplo). Os worm instalam-se como
rotinas em execução no sistema e usualmente valem-se de vulnerabilidades
existentes em ratinas como sendmaü and fingerd para se propagarem pelas redes.

Vírus, ao seu turno, são rotinas que agregam-se a uma rotina

hospedeira (frosí) para se replicarem e se espalharem em um computador,
infectando programas ou o setor de boot de um disco rígido. Neste caso o virus
usualmente altera trechos específicos do código executável parasitado fazendo
com que a execução deste, regularmente, passe pelo código parasita. Neste
momento ele faz uso de interrupções do SO para se replicar ou causar danos aos
sistemas infectados.

Estes agentes, em certas condições podem receber o nome de Bomba

Lógica. Neste caso particular, o agente mantém-se em estado de latência por
longos períodos de tempo até que sejam ativados. Em geral as condições de
ativação são: uma certa data do calendário; a presença ou ausência de certos
arquivos; ou a identificação de um determinado usuário quando este tem acesso
ao sistema. Uma vez ativado, este agente pode corromper ou destruir informações
ou impedir que o sistema possa prestar os serviços solicitados (DoS), dentre
outros tipos de ataques.

C.3 - Redes de Comunicações

As redes de computadores representam para as organizações, a
possibilidade de fazer com que as informações corporativas possam fluir por toda
a organização de forma imediata, sem atrasos e com confiabilidade a um custo
proporcionalmente muito baixo.

A tendência das organizações em aumentar o número de pontos de

conexão de suas redes, seja internamente, seja com filiais localizadas em pontos
distantes entre si, seja com fornecedores e clientes, faz com que estas redes
tornem-se cada vez mais abertas e, potencialmente, vulneráveis. Algumas
organizações arquitetam suas redes de forma a permitir que seus íuncionáños
possam nelas trabalhar a partir de pontos remotos. À medida em que esta
tendência se acentua, a significância das vulnerabilidades existentes nestas redes
tende a aumentar.
 235

A crescente capilaridade apresentada pelas redes existentes nas

organizações, conjugada com a conexão destas com a Internet, tem elevado em
muito o grau de riscos a que estas organizações passam a estar sujeitas.
Usualmente alguns mecanismos de segurança de redes são adotados para mitigar
ou dirimir os riscos potenciais inerentes ás redes corporativas. Dentre esta
medidas ressaltam-se: Os mecanismos de identificação e autorização de acesso,
os firewalls, os sistemas de detecção de invasão e as DMZs,

Mecanismos de Identificação e Autorização de Acesso

Os mecanismos de identificação e validação são os instrumentos que

facultam o acesso autorizado e controlado dos usuários legitimamente
credenciados para isto. Desta forma os procedimentos de acesso controlado aos
sistemas devem, de alguma forma, ser capazes de:

• Identificar que entidades (sistemas e pessoas) estão lhe solicitando

acesso

• Avaliar se a entidade solicitadora tem permissão de acesso ao

sistema, ou seja, se ela pose ser considerada como usuária ou
usuário do sistema

• Manter controle sobre quais transações este usuário pode ter acesso

• Manter registro das ações tomadas pelo usuário em transações

críticas do sistema.

Considerando estas finalidades, quaisquer outras formas de acesso às

informações ou transações dos sistemas, que não passem por estes mecanismos
ou tentem deles se esquivar, podem ser consideradas como acessos não
autorizados o que caracteriza a invasão do sistema e a quebra de sua segurança.

O controle de acesso pode ser traduzido, então, em termos de funções

de identificação e autenticação de usuários; gerência e monitoramento de
privilégios; limitação e desabilitação de acessos e prevenção de acessos não
autorizados.

A função de identificação e autorização de usuários é usualmente

realizada no processo de logon onde a entidade usuária (homem ou máquina)
 236

informa quem ela diz ser e autentica sua identidade. Na maioria dos sistemas o
número de tentativas erradas de logan é limitado. Estourado este limite é
bloqueada a conta do usuário.

A função de identificação do usuário é feita por meio de um código de

identificação ou ID. Este código de identificação é único para cada usuario do
sistema. A unicidade da identificação do usuario permite um controle das ações
praticadas pelos usuarios por meio de logs de acesso.

A função de autenticação do usuario ocorre quando este apresenta,

para o sistema, alguma informação que ele possui. Esta informação pode ser urna
senha que ele pessoalmente informa; pode estar contida em cartões inteligentes;
ou pode estar presente em algumas características físicas pessoais (o formato da
mão, da retina, impressão digital ou reconhecimento de voz).

Mesmo com os avanços conhecidos nas tecnologias de identificação, as

senhas, dado ao seu baixo custo, continuam sendo o principal recurso de
identificação de usuários. Entretanto, os resultados apresentados em [ModOO],
[ModOl] e [CSI01], mostram que a administração de senhas continua sendo um
dos relevantes fatores de risco existentes nas organizações.

Morris e Thompson publicaram em 1979, o primeiro estudo sobre

vulnerabilidade de senhas [MoT79]. Este estudo demonstrou que muito
freqüentemente a efetividade das tentativas de penetração em sistemas com base
na adivinhação das senhas é maior que aquelas baseadas em decifragem de
senhas criptografadas. Este estudo constatou que uma grande parcela das
senhas usuais pode ser inferida tomando por base os nomes e apelidos dos
usuários e de seus familiares. Outros dados como endereços, números como de
placa de carros e CPFs e outras informações constantes nos registros de
identificação do usuário constituem-se em referências usuais para a elaboração
de senhas por parte das pessoas que utilizam sistemas. Ainda hoje senhas de
fácil adivinhação constituem a maior fragilidade dos sistemas de informação
[BÍK95], visto que elas dificilmente são capazes de manter seus segredos [Bla96].
 237

Excetuando os descasos dos usuários com a guarda de suas senhas

[Bla99], várias técnicas são freqüentemente utilizadas para a obtenção de forma
fraudulenta:

• Cavalo de Tróia (Trojan Horse)

Nesta técnica, u m ofensor coloca, veladamente, um programa em um

determinado equipamento para que ele, em essência, grave tudo o que
for digitado no teclado, em um arquivo específico. Periodicamente esse
arquivo, gerado pelo "Cavalo de Tróia" é examinado pelo invasor que
verifica o que foi digitado pelo(s) usuário(s) naquele teclado. Nessa
leitura, o invasor pode identificar informações que possam ter valor.
Dentre elas, pode ele, identificar o ID do(s) usuãrio(s) e sua(s) senha(s).
muitos dos vírus já identificados implantam-se nos sistemas,
executando funções de monitoramento, além de se reproduzirem e se
espalhar pelas redes.

• Sniffer em Redes

Os Smffers (ou farejadores) são programas que monitoram o tráfego das

redes de computadores. Esses programas geram arquivos onde gravam
todo o tráfego monitorado. Posteriormente este arquivo é lido pela
pessoa que o implantou tendo acesso a toda a informação monitorada.
Com isto muita informação pode ser obtida, inclusive os IDs de
usuários e senhas. A criptografia dos dados constitui o mecanismo de
segurança mais freqüentemente usado para fazer frente a esta
modalidade de furto de informação.

• Engenharia Social

A Engenharia Social faz parte do mundo real. A cultura de certas

profissões, os hábitos criados por muitos anos de determinado tipo de
trabalho são alvos fáceis para técnicas simples utilizadas pelos que
aplicam a Engenharia Social.

• Tentativa e Erro ou Força-Bruta

 238

É o jeito mais simples e mais antigo de desvendar senhas. Programas

como o Cracker 17, agem examinando um determinado arquivo de
possíveis senhas e testa as combinações de senhas candidatas,
confrontando-as com as senhas necessárias a cada identificação de
usuário. Tal método exige grande poder de processamento. O aumento
no número de caracteres usados para a composição da senha provoca
um crescimento exponencial no número de possibilidades a serem
testadas. Entretanto, como o aumento da capacidade de processamento
dos microcomputadores, os tempos necessários à descoberta de senhas
têm diminuído drasticamente. Isto tem obrigado as organizações a
adotarem acessos onde as senhas tenham 8 dígitos, escolhidos a partir
de um conjunto de caracteres alfanuméricos de 36 elementos. A
combinação de tais medidas com outros mecanismos de identificação
tem sido a utilizada para reduzir a possibilidade de uso desta técnica.

Recentemente, sistemas automáticos de verificação de identidade

baseados em características físicas do usuário tem sido adotados em intalaçoes
onde a identificação do usuário é critica. Tais sistemas utilizam a vantagem
inerente às dificuldades de serem forjados. À medida que tais dispositivos têm
apresentado preços mais acessíveis sua utilização tem se difundido cada vez
mais. Os sistemas biométricos mais acessíveis na atualidade têm trabalhado
como a análise de impressões digitais. As impressões digitais são características
individuais que os sistemas biométricos mapeam utilizando de 40 a 60 pontos
para verificar uma identidade. O sistema compara a impressão lida com sua base
de dados de impressões digitais de pessoas autorizadas.

Sistemas de Detecção de Invasão

Os sistemas de detecção de invasão são projetados para identificar

incidentes de ataque à rede. Tais ataques, se consumados, podem vir a
comprometer a integridade, a confidencialidade, ou a disponibilidade das
informações contidas nos sistemas. U m sistema de detecção de invasão deve ser
capaz de identificar os abusos no uso de acessos aos sistemas e conter os
possíveis efeitos danosos, j á nos estágios iniciais do processo. Mesmo que as
possibilidades de um ataque redundar em sucesso sejam expressivas, a
 239

capacidade do sistema em detectar ataques incidentes é algo de grande

importância, bem como a habilidade de conter um ataque e assegurar que os
danos decorrentes sejam mínimos.

Os sistemas de detecção de invasão, entretanto, possuem suas

fragilidades. Em princípio, à medida que o sistema cresce em número de
estações, a simples tarefa de noticiar uma tentativa de invasão que esteja em
andamento vai se mostrando cada vez mais difícil. Por várias vezes os sistemas de
detecção de invasão não são capazes de distinguir entre eventos normais do
sistema e aqueles que são, de fato, episódios de invasão. Ao mesmo tempo, o
grande volume de informações necessárias para monitorar uma grande rede
acabam por frustar as habilidades do sistema em identificar problemas
rapidamente.

Firewalls

Os firewall constituem uma classe de aplicativos instalados nos pontos

de conexão de rede de computadores corporativa com as redes de computadores
externa à organização. Para ser efetivo, o projeto de rede deve direcionar todo o
tráfego para que passe por ele. Em instalações críticas, o firewall pode ser
colocado em pontos específicos da rede interna de forma a segregar o ambiente e
proteger os pontos mais sensíveis. Isto implica, inevitavelmente, em um ponto de
restrição de tráfego, e queda de performance. Caso o Firewall não tenha sido
dimensionado corretamente pode causar o impedimento total do trafego da rede.

Entretanto, vários firewalls têm se mostrado vulneráveis dado serem

alvo de subversão e nesta condição proverem pouca proteção contra ataques de
códigos maliciosos que acabam logrando passar pelo firewall Outra
vulnerabilidade apresentada pelos firewalls é a de não serem capazes de prover
defesas contra insiders. Na melhor das hipóteses, os firewalls provêem proteção
contra ofensores que tentam testar as portas de entrada do sistema. Entretanto,
se mal configurados, os firewalls dão à organização uma falsa sensação de
proteção.

A análise da necessidade, ou não, da instalação de um firewall em

pontos de uma rede deve, em linhas gerais, contemplar as seguintes questões:
 240

• Quais as informações sensíveis existentes na rede corporativa

• Quão crítica são essas informações e qual a necessidade deste ponto

estar conectado ao resto da rede

• Quem é o público ofensor interessado nestas informações e de quais

recursos ofensivos ele dispõe

• Quais serviços serão disponibilizados para os clientes e

funcionários.

As respostas a estas perguntas irão determinar o tipo de tráfego que o

firewatl irá gerenciar.

DMZ

A sigla DMZ é o acrônimo de Zona Desmilitarizada (DeMilitarized Zone}.

A DMZ é uma solução adotada quando torna-se necessário proteger informações
sensíveis da exposição direta a um ambiente de alto risco. A DMZ pode ser
definida como "Uma rede adicionada entre uma rede protegida e uma rede
externa de modo a propiciar uma camada adicional de segurança [YouOl]. Uma
DMZ é algumas vezes denominada de perímetro de rede.

Uma DMZ impede que uma requisição originada de uma rede externa
possa referenciar diretamente um nó em uma rede interna. Isto se faz possível
pelo isolamento do nó que é diretamente acessado pela rede externa dos outros
nós da rede interna. Na maioria das implementações, a rede externa é a Internet
e a DMZ é o web server. Entretanto, esta não é a única configuração possível.

A adoção da DMZ certamente implica na degradação da performance

das comunicações entre as duas redes. Se configurada corretamente a
degradação de performance é usualmente mínima e o grau de proteção obtido é
significativo. O efeito sobre a performance deve ser calculada nos custos totais de
implementação da DMZ.

Um exemplo ilustrativo mostra que a utilização de dois firewalls

apresenta-se como a configuração mais segura. Dois firewalls são utilizados ara
separar a rede externa da rede interna [YouOl]. Usando dois firewalls, um ficará
em frente à DMZ e outro atrás dela. A que ficar em frente à DMZ deve estar entre
 241

a rede externa (provavelmente a Internet) e a DMZ (provavelmente um web

server). O outro firewall deve estar entre a DMZ e a rede interna tal como segue.
10.55.56.2
Internet —> firewaft -> DMZ ~> Firewalt -> Rede Interna
10.55.57.1-

Certamente esta não é a única configuração possível, mas seria a mais

segura [YouOl]. O firewall em frente à DMZ deve somente permitir a passagem do
tráfego mínimo requerido. No caso dos web servers, este trafego estaria
tipicamente restrito ao port 80 do TCP para o HTTP e/ou port 443 do TCP para o
SSL. Entretanto este trafego mínimo vai variar de aplicação para aplicação. As
regras existentes no firewall da borda externa certamente serão diferentes das
apresentarão regras diferentes das regras existentes no firewall da borda interna
e também de outros firewatls existentes na rede interna.

Uma DMZ incrementa sobremaneira a segurança de uma rede.

Qualquer organização que deseje acrescentar uma camada extra de proteção à
sua rede pode valer-se do uso da DMZ. Uma DMZ implica, para um ofensor, na
necessidade de descobrir vulnerabilidades que em conjunto possam permitir
passar pelos dois firewalls da DMZ. Apesar de não ser uma solução definitiva,
esta passa a exigir, do ofensor, uma qualificação muito maior para que este possa
vir a comprometer os dados existentes na rede interna.
 242

ANEXO D
A ESTRUTURA E OS PROCESSOS
ORGANIZACIONAIS
Introdução

O contexto organizacional no qual se encontram inseridos o

desenvolvimento e o uso das tecnologias da informação cada vez mais tem atraído
a atenção de estudiosos e daqueles que se encontram diretamente envolvidos com
este tema no seu dia a dia. Correntemente duas vertentes se destacam na
abordagem deste problema e ambas ressaltam a importância destes estudos para
as organizações. Uma vertente tem voltadas suas atenções para os problemas
relativos ã implementação enquanto outra tem se voltado mais para o estudo dos
impactos organizacionais da adoção destas tecnologias [OrR91]. Entretanto, na
visão de ORLIKOWSKI [OrR91], ambas vertentes estariam falhando ao não
conseguirem apresentar resultados que possam construir um corpo de teoria
coerente capaz de explicar os fenômenos empiricamente observáveis [OrR91].
Usualmente as pesquisas tem abordado o assunto do ponto de vista de
problemas aplicados tais como os relativos à aceitação dos sistemas de
informação por parte dos usuários. Ao mesmo tempo, tais pesquisas têm
prestado pouca atenção aos problemas de natureza organizacional subjacentes a
estes problemas. Como resultado, as pesquisas não têm produzido uma
acumulação de conhecimentos capazes de orientar pesquisadores e técnicos no
entendimento dos fenômenos observados [OrR91].

O foco deste segmento é introduzir uma revisão das bases teóricas que
possam explicar como os aspectos organizacionais acabam por interagir com as
tecnologias da informação, adotadas nestas organizações, e levar a fragilidades
experimentadas na segurança destes sistemas.

Inicialmente serão vistas as razões mais imediatas pelas quais as

organizações adotam seus sistemas de normas e padrões. Em seguida serão
introduzidos os conceitos weberianos da estruturação das organizações nos
 243

moldes burocráticos. Em seguida serão apresentados os conceitos expostos por

Herbert Simon sobre como as decisões são tomadas dentro das organizações.

A necessidade de padronização

Quando de fala de padronização de processos, não se pode deixar de

falar Frederick W. Taylor. Em seus trabalhos pioneiros sobre a eficiência e sobre
a "administração cientifica* TAYLOR [Tayll] enfatizou o termo "máxima
produtividade" no sentido do desenvolvimento de todos as atividades relacionadas
aos postos de trabalho das empresas buscando o seu mais alto estado de
excelência, desta forma a "prosperidade" poderia ser permanente. Ao mesmo
tempo, a máxima "produtividade* de cada empregado, para ele, significava
desenvolver as habilidades naturais de trabalho de cada homem em seu grau
mais elevado.

Para TAYLOR a busca da melhor forma de fazer um trabalho, passava

necessariamente pela padronização da forma de trabalhar de cada trabalhador.
Os processos de trabalho, de cada posto de trabalho, assim definidos levavam à
maior eficiência possível do processo produtivo e ao mesmo tempo à padronização
e especialização do trabalho. Como decorrência o mais importante para o melhor
desempenho das tarefas passa a ser o desenvolvimento de cada indivíduo no
estabelecimento de trabalho de tal forma que ele possa produzir com o máximo de
eficiência o trabalho com a mais alta qualidade [Tayl 1].

Decorrente da aplicação dos conceitos de TAYLOR, a definição de como

a tarefa deve ser feita, deixa de ser de responsabilidade do trabalhador e passa a
ser responsabilidade dos órgãos de planejamento da produção que ficam com o
encargo de definir, dentro do processo produtivo, quais tarefas devem ser feitas,
pelo trabalhador, e como cada tarefa deve ser feita. Segundo TAYLOR [ T a y l l ]
seria de responsabilidade dos engenheiros e administradores estudar de forma
cientifica a melhor maneira de realizar as tarefas e a partir da definição dos
padrões passar para os trabalhadores que tarefas devem ser executadas e como
elas o devem ser. Por conseguinte passa a ser função da gerência cuidar para que
os trabalhos realizados em uma determinada etapa do processo produtivo sejam
executados conforme o estabelecido nos padrões, não sendo pertinente ás suas
funções entender todos os processos da empresa, mas somente aqueles que lhe
 244

são afins. Neste ponto, tanto trabalhadores como gerências perdem a visão de
como todos os processos em uma organização funcionam e se encadeiam, sendo
uma premissa comum a todos que este entendimento caberia aos níveis mais
altos das estruturas de comando da empresa.

O modelo organizacional burocrático

De ordinário, o termo Burocracia é usado para fazer referência a uma
organização especializada e complexa (normalmente as organizações
governamentais) composta por administradores profissionais altamente treinados
e especialistas contratados para realizar serviços e tarefas administrativas.

Uma organização burocrática é tipicamente vista como sendo quebrada

em departamentos especializados, aos quais são atribuídas responsabilidades de
realização de determinadas funções que irão contribuir para que a organização
atinja seus objetivos. Estas funções, usualmente, pertencem a um domínio de
atividades relativamente restrito. Via de regra os departamentos apresentam-se
subdivididos e a cada uma destas divisões são atribuídas responsabilidades mais
especificas que perseguem porções ou aspectos da totalidade das funções que o
departamento, como um todo, deve atingir. Ainda mais uma vez, estas
subdivisões são compostas por múltiplas seções com atribuições funcionais mais
minuciosamente especializadas as quais possuem suas subdivisões até o ponto
limite em que o grau de especialização do trabalho chega no nível do funcionário.

As organizações burocráticas baseiam-se fortemente no princípio de

hierarquia, a qual requer uma clara e inequívoca cadeia de comando por meio da
qual os cargos de maís alta hierarquia supervisionam as atividades dos cargos a
eles subordinados, sendo que isto ocorre ao longo de todas as subdivisões da
organização.

As organizações burocráticas caracterizam-se pela grande atenção a um

preciso e estável delineamento dos níveis de autoridade e jurisdição entre as suas
várias subdivisões e entre os funcionários que as constituem o que se dá
principalmente pela exigência na qual os empregados da empresa operem
estritamente de acordo com procedimentos e regras detalhadas concebidas para
tornar rotineiros os processos de decisão.
 245

Algumas das mais importantes destas regras e procedimentos podem

ser especificadas na forma de leis ou decretos emitidos pelos detentores dos
cargos de níveis "políticos* os quais possuem as atribuições de definir os objetivos
políticos de caráter mais geral para a organização. Nestes níveis mais altos os
cargos burocráticos possuem, tipicamente, considerável poder discricionário para
elaborar suas próprias regras e rotinas. Decorrente de serem estruturadas de
uma forma que abertamente premia a estrita aderência ás regras formais e pune
as ações que se desviem dos procedimentos padronizados de operação, tais
organizações tendem a operar fortemente voltadas para extensivos registros
escritos e formulários padronizados os quais servem primariamente para
documentar que os fatos e as decisões tomadas acerca dos casos individuais,
foram tomados em concordância com os procedimentos aprovados e não
refletindo o julgamento e as preferências pessoais e subjetivas da pessoa imbuída
do cargo burocrático.

A clássica análise social científica da burocracia foi feita pelo sociólogo

Max Weber na obra Wirtschaft und Gesellschaft . 1
Ao estudar o estilo burocrático
profissional entendenda-o como o melhor modelo organizacional para a obtenção
de soluções racionais e eficientes voltadas para o atendimento dos objetivos
coletivos em uma sociedade onde exista uma divisão do trabalho complexa e
especializada. Em seu trabalho, WEBER [Web94] devotou considerável atenção
em mostrar de que forma a gradual evolução dos métodos burocráticos ajudou a
remover os obstáculos existentes ao desenvolvimento econômico e social e ã
estabilidade política inerentes aos sistemas anteriormente existentes.

Embora a importância histórica da organização burocrática para a

organização do Estado moderno [Web94], a difusão de sua adoção pelas
modernas organizações sociais levou outros estudiosos a ver tal modelo com uma
visão mais crítica que aquela adotada por WEBER.

Apesar de suas evidentes vantagens em tratar de forma eficiente as

funções rotineiras da organização, quando inserida em um ambiente estável, os
métodos burocráticos apresentam também as suas deficiências.

* Titulo original da obra em alemão.

 246

Os indivíduos quando passam a pertencer a uma organização

burocraticamente estruturada e que nela ascendem na hierarquia dos cargos com
base em méritos de antigüidade, qualificações educacionais e de desempenho e
encontra-se protegido por um sistema de direitos voltado para prover um alto
grau de segurança de suas conquistas, tendem a se tornar cada vez mais
insulados com relação ãs influências de suas decisões em outros pontos da
organização ou mesmo em relação ao ambiente externo ã organização, desde que
tais ações estejam formalmente aderentes aos procedimentos prescritos.

Sociólogos como MERTON [Mer59] e CROZIER [Cro64] afirmam que as

pressões sofridas pelos burocratas em agirem em conformidade com regras e
procedimentos detalhados, fazem com que estes agentes persigam somente os
objetivos relacionados aos seus cargos. Esta necessidade de regularidade leva o
burocrata a tornar-se defensivo, rígido e completamente irresponsável com as
reais e mutáveis necessidades dos cidadãos, clientes e outras organizações
externas com os quais ele mantenha contato ("Lamento, mas este assunto não é
tratado neste departamento. Eu não posso ajudá-lo")

Como nas grandes organizações, os departamentos usualmente

dependem de permissões de níveis hierárquicos muitas vezes localizados em
áreas geográficas distantes, estas tendem a ser lentas na tomada de decisões
importantes e especialmente incapazes de reconhecer e de responder ás
mudanças nas condições econômicas, sociais e tecnológicas ocorridas no
ambiente com que se relacionam.

Em outras palavras, os indivíduos envolvidos em sistemas burocráticos

freqüentemente tendem, em seu próprio beneficio, a aderir rigidamente ãs
normas internas e formalidades, comportando-se como se o atendimento ás
normas fosse mais importante que os objetivos da organização.

As organizações vistas como sistemas

A teoria geral dos sistemas enfatiza a forma pela qual os sistemas

organizados (antroposociais ou não) respondem adaptativamente de forma a se
ajustarem às mudanças significativas no ambiente em que se inserem de forma a
manter a sua estrutura básica intacta. Os modelos sistêmicos de tomada de
 247

decisão em grupos sociais e organizações enfatizam sua interação com atores

externos à organização e se concentram na identificação estes elementos
particulares no ambiente do grupo ou organização que afetam de forma
significante as respostas de seus tomadores de decisões. Para entender como
uma organização reage âs mudanças em seu ambiente, é necessário entender o
que ela compreende como sendo as ameaças ou oportunidades ás quais ela deve
responder, e de que meios ela j á se valeu ou pode se valer para responder a
mudanças similares.

O processo de decisão organizacional

Em 1947 Herbert Simon [Sim47] propôs um novo paradigma para

explicar como, dentro das organizações, os processos decisórios são conduzidos
pelas pessoas. Para SIMON, a maioria das decisões humanas não seguiriam o
paradigma clássico Busca de Alternativas, Comparação entre Alternativas e
Opção pela melhor alternativa (R-C-O). Caso contrário elas não seriam eficientes,
uma vez que os custos de uma decisão ótima, quase sempre, excedem a utilidade
marginal da pesquisa. A o contrário, muitas das decisões humanas acabam por
envolver a busca por alternativas satisfatórias. Os tomadores de decisão saberiam
a priori as características de uma alternativa aceitável, ao procurá-las. A busca de
alternativas começaria pelas mais familiares (rotinas, comportamentos usuais),
parando na primeira que satisfizer os critérios determinados.

Para SIMON, a maioria dos comportamentos cognitivos humanos não se

baseiam no paradigma Busca e Comparação (R-C). Ao invés, ele sugere que as
pessoas elaboram suas decisões nos seguintes critérios:

• Docilidade ou a habilidade de aprender a partir das experiências,

tentativas e erros

• Memória ou recuperação de ações passadas que funcionaram em

situações similares

• Hábito, e

• Percepção seletiva ou reconhecimento de detalhes que levariam à

uma associação com situações passadas e conduziriam a uma
adaptação de comportamento.
 248

Nas organizações, o papel exercido pelas memórias e hábitos seria

exercido pelos procedimentos e normas internas. Seriam estas, no entender de
SIMON, decisões pré-formatadas baseadas em decisões satisfatórias previamente
definidas e incorporadas à memória organizacional, por meio de instrumentos
formais de comunicação. Pelo uso destes meios os membros da organização
seriam ativados em situações padronizadas, cujas respostas esperadas são
apreendidas por meio de treinamento e experiência dentro da organização. Neste
sentido, as organizações induziriam os membros a seguir os procedimentos pelo
uso de uma variedade de mecanismos cognitivos:

• A identificação dos membros com a missão da organização e a visão

da organização, pelos seus membros, como um grupo social de
referência

• Um processo de recrutamento e seleção de pessoal externo à

organização e o processo de promoção para os cargos de gestão e de
nível estratégico das pessoas internas mais afinadas com as suas
crenças

• A constante revisão das normas e procedimentos internos como

regra de conduta no processo de socialização de seus membros.

Uma vez que o ordenamento normativo da organização se mostre efetivo

ao longo do tempo, a organização será marcada pela persistência organizacional.
Desta forma, o melhor indicador das ações que serão tomadas por uma
organização no futuro, são as suas ações passadas. Entretanto, no âmbito da
segurança, isto passa a constituir uma fragilidade, uma vez que o ofensor saberia
predizer não só as fragilidades de comportamento organizacional que podem vir a
ser exploradas, como também quais seriam as reações da organização a um
determinado evento, e de antemão, elaborar os passos seguintes.
 249

ANEXO E
SURVEYS SOBRE SEGURANÇA DE
SISTEMAS
No presente segmento serão estudados três surveys conduzidos por
diferentes empresas focando o estado da segurança da informação no contexto
brasileiro quanto no contexto americano. Em todos os casos, os autores buscam
estudar os relatados incidentes e vulnerabilidades identificadas na segurança de
sistemas de informações de organizações ligadas a vários segmentos de negócios
atuantes em ambos países. Os estudos no âmbito brasileiro foram conduzidos
pela Módulo, uma das mais respeitadas empresas provedoras de soluções de
segurança em sistemas no Brasil. Os estudos conduzidos junto a empresas
americanas, foram feitos pelo Computer Security Institute -CSI, e pelo Federal
Bureau of Investigations - FBI, e pelo American Society of Industrial Security -
ASIS. Todos este estudos envolvem empresas de variados portes em diversos
segmentos econômicos. Os casos estudados não identificam os entrevistados os
quais devem ter suas identidades respeitadas.

Cabe ressaltar que estes surveys foram conduzidos por empresas

dotadas de uma visão mais empírica. Desta forma os achados não são
confrontados com assertivas propostas em referenciais teóricos. Tais relatórios
restringem-se a apresentar um quadro da situação da segurança das informações
tal como encarada pelas organizações entrevistadas.

Ao realizar a análise destes surveys com base na teoria adotada, o

intuito deste trabalho é avaliar se os referenciais teóricos adotados são suficientes
para abordar os resultados empíricos apresentados, e ao mesmo tempo
apresentar um cenário real mais amplo sobre o tema. Uma vez entendido este
quadro mais abrangente será possível, mais adiante, avaliar se os achados nos
estudos de casos conduzidos dentro de uma empresa específica, divergem ou não
da média dos quadros mais abrangentes.
 250

E . l - Módulo Security Solutions - Pesquisa Nacional sobre

Segurança da Informação
As pesquisas conduzidas pela Modulo nos anos de 2000 [ModOO] e 2001
[ModOl], basearam suas conclusões nas respostas de executivos de grandes
empresas públicas e privadas distribuídas entre os segmentos financeiro,
serviços, informática, indústria, telecomunicações, governo, e-commerce e varejo
no Brasil. No relatório de 2000 não foi declarado o número de empresas
entrevistadas. Em 2001 foram entrevistadas 165 empresas.

Segundo os resultados obtidos nestas pesquisas, dentre os fatores

responsáveis por ameaças e ataques em 2001 [Gráfico MOD 1], 5 3 % dos
entrevistados consideravam os funcionários insatisfeitos como sendo a maior
ameaça à segurança da informação em suas empresas. Já em 2000 os vírus eram
considerados, em 7 5 % das respostas, como a maior ameaça ã segurança da
informação nas empresas.

A divulgação de senhas, apontada em 2000 como a segunda maior

ameaça à segurança (57% das respostas), passou a constar em 30% das
respostas em 2001. deixou de ser taocom 57% de citações. Os hackers,
tradicionalmente os maiores vilões da Internet, aparecem em quinto lugar no
levantamento de 2001 perdendo a relevância que tinham em 2000 (44% das
respostas). Contudo, os funcionários insatisfeitos, que em 2000 eram
considerados a quarta maior ameaça, passaram a serem considerados os agentes
ofensores de maior potencial de dano.

Em 2000 4 1 % das empresas não sabiam afirmar se haviam sido

invadidas. No caso das que declararam já ter sofrido algum tipo de ataque, 76%
delas informou que os ataques aconteceram nos últimos seis meses. Já em 2001,
este percentual caiu para 3 1 % [Gráfico MOD 2].
Principais Fatores de Ameaça aos Sistemas de Informações

Funcionários msatísletos . 4 2
53
45
Acessos indevido? '40
42
Vrus 75
39
Divulgação indevida
36
Hsckgfs 44
33
Uso de notebooks 27
;30
Divulgação de senhas 57
30
Vazamento de informações 33
29
Fraudes, erros e acidentes 31
•27
Falias n9 segurança feíca 30
•27 2000 ,:2C01
ft-ataria '25
Roubo / furto Í24
75"
73
Super poderes de acesso 27
19
Acessos rematas indevidos 29

L h o hformãtJco 25
19
Fraudes eme-rrail 1ft

30 40 50 60 70 80
10 20

Fonte: Survey Módulo Security Solutions S. A.- 2000 e 2C01

Gráfico MOD 1

Constatação de ataques ás empresas brasileiras

40

Já Sofreram

32

31

Não Sabem Deer

41

;29
2000 Ci2001

Mão Sofreram

27

15 20 25 30 35 40 45
0 5 10

Fonte; Survey Módulo Security Solutions S. A.- 2000 e 2001

Gráfico MOD 2
 252

Tal mudança poderia ser associada a três possíveis cenários:

1. As empresas estariam monitorando melhor as invasões em seus

sistemas

2. O número de invasões estaria apresentando tendência de

crescimento

3. A combinação dos dois fatores acima citados.

Último ataque registrado

41
De 6 meses a 1 ano

I 27
De 1 a 6 meses
49

16
Menos de 1 mês
27

i8 2000 : 2001
i
De 1 a 2 anos
10

¡8
Mais de 2 anos
7

10 20 30 40 50 60

Fonle: Survey Módulo Security Solutions S. A.- 2000 e 2001

Gráfico MOD 3

Nos anos de 2000 e 2001, 8 5 % das empresas que disseram ter

experimentado perdas financeiras causadas por invasões, não conseguiram
quantificar tais prejuízos. As que quantificaram suas perdas, apresentaram o
seguinte resultado:
 253

Perdas causadas por invasões

í 8 5

Não soube quantificar

S5

; 13,2
Wtenos de R $ 5 0 TI*
9

M.2
De R $ 5 0 0 mô a R$ 1 mlhão
1

¡0,6 2000 2001

De R$ 50 mu a R$500 mil
2

0
Mais de R$ 1 milhão

10 20 30 40 50 60 70 80 90

Fonte: Survey Módulo Security Solutions S. A - 2000 e 2001

Gráfico MOD 4

Comparando os dados dos anos de 2000 e 2001, os hackers, em 2001,

ultrapassaram os funcionários que, no anos 2000, eram o fator citado como
sendo responsável pelos problemas de segurança [Gráfico MOD 5],

Dentre as formas utilizadas para se ter acesso aos sistemas, a Internet

e a rede interna tem sido, sucessivamente, os pontos onde as empresas
experimentam maior freqüência de ataques. Em 2001 57% das entrevistadas
apontaram a Internet e as redes internas, como sendo o ponto de maior
freqüência de ataques, contra 40% no ano de 2000 [Gráfico MOD 6].
Fatores responsáveis pelos problemas de segurança

.43
Hackers
25

31
Funcionários
33

22
Causa Desconhecida
14

Resladores de Serviços

Concorrentes 2000 . : 2001

Outros
15

Clientes

-Î5 20 25 30 35 40 45 50
0 5 10

Fonte: Survey Módulo Security Solutions S. A.- 2000 e 2001

Gráflco MOD 5

Principais Pontos de Invasão

\*7
Hernet
40

r23

Sistemas aterras
34

Acesso Remoto

2000 . 2 0 0 1

invasão Física
0

Outros
0

30 40 50 60
10 20

Fonte: Survey Módulo Security Solutions S. A - 2000 e 2001

Gráfico MOD 6
 255

Dentre o rol de medidas adotadas para sanar e impedir a recidiva de

problemas, cerca de 5 3 % das empresas entrevistadas, no ano de 2001, preferiram
adotar apenas providências internas para a correção de problemas de segurança,
mantendo, na prática, o mesmo índice do ano anterior. Entretanto, em 2001 o
percentual de entrevistados que não tomou nenhuma atitude caiu de 2 7 % para
8% das respostas avaliadas. Em contraposição, aproximadamente 2 3 % dos
gestores optaram por levar os casos de ataques às instâncias legais. Este
aumento de 14% evidencia a crescente disposição das organizações em não
contemporizar com problemas desta natureza.

Principais medidas de segurança adotadas

Prevenção contra vfrus 93

91
Sistema de backup e r
89
Firewall ? 83
.72
Segurança na sala dos servtíares
69
Froxy Server - 71
55
Softw are de controle d e acesso - 61
62
Cofre arrti-incèndio -- •;; 43'
;6Q
Fragmenladoras de papel - r 41 '
'158
Monitoração de tog
56
58
Flano de contingência - - 41
54
Prevenção contra pirataria -
39
52 2000 G20D1
Capacitação e treinamento : 40
49
Termo de responsabilidade ••
40
Sistema d e criptografia - !4B
35
Contratação de empresas especializadas 36
40
34
Procedimentos formalizados 1

33
Sistema de detecção de intrusos 0

37

0 10 20 30 40 50 60 70 80 90 100

Fonte; Survey Módulo Security Solutions S. A - 2000 e 2001

Gráfico MOD 7

O uso do firewaü como medida preferencial de segurança, pelas

organizações entrevistadas, mostra de ter caído de um patamar de 8 9 % (em
2000), para 8 3 % (em 2001). Esta tendência poderia ser devida à tendência de
estabilização do uso do firewáíl pelas organizações, o que levaria à desaceleração
do ritmo de implantação.
 256

As medidas de segurança mais usadas continuam sendo: firewall (83%)

e prevenção contra vírus (78%). Entretanto o crescente uso de proxy server (71%)
percebido nestes dois anos, poderia ser explicado pelo fato de aproximadamente
7 3 % das organizações entrevistadas, terem declarado j á possuem aplicações na
Cerca de 6 3 % das corporações j á possuem aplicações na Web. Dentre as mais
utilizadas estão banking (10%), vendas (6%) e consultas a banco de dados (6%).

Para evitar prejuízos gerados por problemas de segurança, 8 0 % das

empresas entrevistadas em 2001, pretendem aumentar os investimentos nesta
área; 19% irão manter os mesmos do ano 2000. Apenas 1% dos entrevistados,
manifestou a intenção de diminuir o montante dos investimentos em segurança.

Dentre as empresas que declararam os investimentos planejados para o

ano de 2001, 14% reservam mais de um quinto do orçamento de TI para
segurança da informação. A maior parte das empresas planejava investir em
política de segurança (71%) e na capacitação da equipe técnica (65%).

Principais medidas de segurança adotadas

Fbltica de Segurança 71
79
65
Capacitação de equipe técnica
73
41
Criptografia . 54
;

38
Testes de Irwasaa .52
38
Virtual Private Netw ork 44
35
Anáfee de Riscos 50
34
Sistemas de Detecção de hirusos 41
:30
Contratação de Especialistas 36

Software de Controle de Acesso

29
32
Autoridade Certificadora 29
23
28
Certificados Dgitaís

fcnpternerríação de Firew aM 26
40
Sistemas de gestão de segurança centralizada 19

i 12
Smartcard 14
11 2000 O2001
Bio métrica

Conírafe de Conteúdo

Q 10 20 30 40 50 60 70 80 90

Fonte: Survey Módulo Security Solutions S. A.- 2000 e 2001

Graneo MOD 8
 257

Entretanto, a política de segurança continua a ser o item em que a

maioria das empresas pretende investir, aparecendo com (71%). Esta intenção
sofreu poucas variações do ano de 2000 para 2001, mantendo-se praticamente as
mesmas.

A política de segurança, segundo as respostas colhidas neste estudo,

constitui um ponto de preocupação para as organizações. Dentre as organizações
entrevistadas, um percentual significativo (63% em 2000 e 66% em 2001) j á
contavam com uma política de segurança. Uma parcela menor ( 3 1 % em 2000 e
19% em 2001) a política ainda está sendo desenvolvida. Segundo os
entrevistados, em 2001 9 9 % delas terão política de segurança implementada.

Das organizações entrevistadas, 4 1 % em 2001 e 4 7 % em 2000,

apontavam a falta de consciência dos funcionários como principal obstáculo na
implementação da política de segurança. As empresas de maior porte e as de
capital estrangeiro são as que se preocupam com o assunto há mais tempo.

Quanto ao nível de adesão à política dentro da organização, 2 4 % em

2000 e 2 1 % em 2001, responderam ser alto, revelando que o desafio atual
continua sendo o de aumentar a participação dos funcionários.

A área de informática tem sido a responsável pela segurança das

informações em 5 1 % das empresas (em 2001 contra 5 1 % em 2000), 2 7 % (em
2001 contra 18% em 2000) possuem um departamento específico para
segurança, o Security Office, e 6% (em 2001 contra 7% em 2000) à auditoria. Em
2001, 7% dos entrevistados declararam que suas organizações não possuíam
responsável pela segurança das informações.

Á medida que as organizações vão tomando consciência do valor das

suas informações proprietárias, os investimentos em outros instrumentos de
segurança vem se mostrando crescentes.

Os estudos conduzidos pela Módulo revelam a carência de mecanismos

de controle para a auditoria do manuseio, armazenamento, transporte e descarte
das informações. Parte das organizações que apontaram prejuízos menores,
podem, na realidade, não terem percebido os impactos intangíveis e indiretos que
acabaram ocorrendo, em função da quebra de segurança.
 258

Principais obstáculos para implementação da segurança

41
Conscientização dos
Funcionários
47

32
Falta de Orçamento
28

Í21
Escasses de Pessoal
Especializado
12

: 13
Faita de Apoio
Especializado

13
Falta d e Ferramentas
2000 D 2001
Adequadas

0 5 10 15 20 25 30 35 40 45 50

Fonte: Survey Módulo Security Solutions S. A,- 2000 e 2001

Gráfico MOD 9

Por dois anos consecutivos, a conscientização dos funcionários das

organizações aparece como o principal obstáculo para implementação da
segurança. Segundo os relatórios, os entrevistados declaram ser necessário o
apoio da alta administração das instituições para fortalecer as ações capazes de
garantir a segurança das informações corporativas e, por conseguinte, a
continuidade destas organizações. No entanto, apesar do fator "problemas
internos" ser considerado o principal obstáculo à implantação das políticas de
segurança, faltam também investimentos em capacitação e treinamento, além de
procedimentos de classificação da informação.

A maior parte das empresas entrevistadas, ainda atribui a

responsabilidade da segurança das informações à área de Tecnologia. Entretanto,
começam a aparecer iniciativas voltadas para a implantação do Security Officer
com equipe e orçamento próprios. Desenvolver um Plano de Segurança, organizar
o comitê corporativo e criar a função do Security Officer, segundo a opinião
 259

expressa nos relatórios analisados, constituiriam fatores necessários para a

proteção das informações no ambiente organizacional.
 260

E.2 - 2001 CSI/FBI Computer Crime and Security Survey

O 2001 CSI/FBI Computer Crime and Security Survey faz parte de uma
série de estudos conduzidos anualmente, desde 1996, pelo ComputerSecurity
Institute - CSí. O survey de 2001 conduzido pelo CSI, em parceria com o FBI,
baseou-se em 538 questionários respondidos ( 14% de um total de 3.900
questionários enviados) por profissionais envolvidos com a segurança de sistemas
em suas respectivas empresas. Do total das respostas obtidas, 2 2 % originaram-se
de empresas de alta tecnologia, 17% de instituições financeiras, 17% de órgãos
da administração direta do estado em suas três instâncias, conforme mostra o.
Gráfico CSI 1. O porte da empresas que responderam aos questionários mostrou-
se variado. A variedade de número de funcionários apresentada pelos
respondentes, representada no Gráfico CSI 2, mostra que a pesquisa levou em
conta empresas de vários portes .

Respostas obtidas por setor de atividade

Gtw. Lcl. Comerc. Transp

Ebuc.
3% 2% 2% 1%

Lttidades
3%

Telecom
5%

Gov. Est.
6%

Saúda
7%

Finanças
17%

G w . Fed
9%

Outros
13%

Fonte: Survey CSI/FBI 2001

Gráfico CSt 1
 261

Número de funcionários por empresa respondente

1 -99

1 , 0 0 0 - 5.000
22%

Fonte: Survey CSI/FBI 200)

Gráfico C S I 2

Segundo o CSI ? os resultados apontados pelas suas pesquisas

evidenciam que nem os recursos tecnológicos nem as políticas de segurança,
quando consideradas de forma isolada, oferecem às organizações a defesa contra
os crimes envolvendo o seu "acervo informacionar [CSI01].A adoção de fireu/alls
pelas empresas não tem impedido, segundo este relatório, que as invasões aos
sistemas ocorram. Neste estudo o numero de respondentes que relataram
tentativas de penetração de seus sistemas oriundas de agentes externos â
organização cresceu de 3 8 % em 1998 para 48% em 2001 [Gráfico CSI 3].
 262

Total de incidentes reportados pelo CSI entre 1996 - 2001

800 -i

179

2001 2000 1999 1998 1997 1996

Ano
Origem • Externa • Interna • Total

Fonte: Survey CSi/FBI 2001

Gráfico CSI 3

Uma das explicações possíveis para este crescimento, segundo o CSI,

pode estar na crescente adoção de sistemas de detecção de invasão ( Intrusion
Detection Systems ~ IDS) por parte das empresas de forma geral. Outra
constatação do estudo foi a de que o impedimento do reuso de senhas
(passwords) nas empresas fez com que tal prática caísse de 6 1 % em 1999, para
54% em 2000 e 48% em 2001.

Este survey apresentou ainda os seguintes resultados:

• Em 9 1 % das respostas (com notada participação de empresas de

grande porte e agencias governamentais) foi acusada a identificação
de brechas em seus sistemas de informação

• 64% das empresas que responderam, reconheceram ter

experimentado perdas financeiras decorrentes da exploração de
brechas em seus sistemas

• Entretanto em 35% dos casos as empresas sentiam-se habilitadas a

quantificar as perdas financeiras decorrentes deste tipo de incidente,
 263

reportando, em conjunto, uma perda acumulada em 2001 da ordem

de US$ 377 milhões.

A natureza dos crimes relacionados a sistemas computacionais tem,

segundo o CSI e o FBI [CSI01], mudado seu perfil ao longo dos anos. Esta
mudança tem, segundo o CSI, acompanhado o mesmo ritmo em que a tecnologia
apresenta mudanças. As oportunidades para os crimes tem se mostrado
variadas. Apesar de ainda ser comum a ameaça representada pelos vírus e por
hackers independentes, o perfil do ofensor externo de maior potencial de ataque
aos sistemas computacionais tem se caracterizado pela dominância de
profissionais experientes que são contratados para efetuar furto de informações
(hired hackers) e funcionários insatisfeitos em busca de lucro ou vingança
[Gráfico CSI 4].

Autores dos incidentes reportados pelo CSI entre 1997 - 2001

100 i

Governos Empresas Hackers Competidores Funcionários

Eslrangeiros Estrangeiras Independentes Nacionais Insatisfeitos

B2001 ®20G0 01999 p1998 Q1997

Fonte: Survey CSIVFBl 2001

Gráfico CSI 4

Segundo opiniões relatadas neste estudo, os competidores das

empresas entrevistadas, ou organizações contratadas por elas representam um
risco, para estas organizações, maior que o reportado
 264

Computados os dados obtidos de 1997 a 2001, percebe-se que o insider

ainda continua sendo, quando considerado de forma isolada, a grande fonte de
riscos para as organizações. Segundo o CSI [CSI01], a queda do número de
ataques aos sistemas, originados de dentro das empresas, revela que as medidas
que passaram a ser adotadas, para monitoramento interno dos acessos, atuaram
como fator atenuador desta tendencia.

Entretanto, ainda segundo o CSI [CSI01], o crescimento do número de

ataques originados de fora das empresas, revela que os limites entre as redes
internas das organizações e a Internet tem se mostrado mais indefinidos.
Ademais, o insider estando motivado, e não encontrando condições para atuar
dentro dos limites das organizações, podem passar a subsidiar os agentes
externos com as informações necessárias para que estes possam atuar. O risco
representado pelos ofensores internos, reside no fato dos mesmos possuírem
acesso e conhecimento profundo dos sistemas das organizações. Tal acervo de
conhecimentos é suficiente para comprometer sua operação, adulterar os dados
ali existentes ou mesmo colocar toda a rede fora de operação [CSI01]. Outro fator
de risco, é a possibilidade de que ambos agentes (internos e externos) possam ser
aliciados pelo crime organizado ou por outras organizações interessadas em
espionagem [CSI01].

Segundo os resultados do CSI, as perdas decorrentes do furto de

informações proprietárias e fraudes financeiras mostra uma tendência de
crescimento. Das respostas obtidas, 34 confirmaram um montante de perdas,
devidas ao furto de informações proprietárias, da ordem de US$ 151 milhões.
Essas perdas seriam decorrentes de ações de hired hackers e funcionários
insatisfeitos. Ao mesmo tempo foram reportadas perdas da ordem de US$ 92
milhões devidas a fraudes financeiras perpetradas pelos mesmos tipos de
agentes.

Valor total das perdas reportadas pelo CSI em 2001

Vafores expressos em US$ mif
Ano Total
Roubo de Informações 151.230,00
 265

Fraude financeira 92.936,00

Vírus 45.288,00
Abuso de acesso interno 35.002,00
Penetração Externa 19.067,00
Fraude Telefônica 9.041,00
Roubo de Computadores 8.849,00

Acesso interno não autorizado 6.064,00

Sabotagem de dados 5.183,00

Interrupção de Serviços 4.283,00
Outros 886,00

A cesso interno não Sabotagem de dados hterrupção de Oirfros

autorizado 1.37% Serviços 0,23%
1,60% 1,13%

Fonte: Survey CSWFBI 3001

Gráfico CS( 5

O relatório cita nominalmente a Microsoft como co-responsável pelas

perdas decorrentes de ataques aos sistemas das empresas estudadas. Isto seria
devido às recorrentes falhas de segurança apresentadas pelos produtos desta
empresa que acabam por expor seus clientes a ataques desta natureza. Os
episódios de furto de código fonte de seus produtos por hackers poderia, segundo
o relatório, permitir que as fragilidades encontradas possam ser exploradas para
 266

furto de informações das empresas usuárias; para facultar a penetração das

redes sem que o intruso seja percebido.

A Internet, dentre as formas utilizadas para conexão aos sistemas, tem

sido, de forma crescente, o ponto onde as empresas experimentam maior
freqüência de ataques. Em 2001 7 0 % das entrevistadas apontaram a Internet
como sendo o ponto de maior freqüência de ataques. Ao mesmo tempo o número
de casos de fraudes reportados à justiça aparece em 36% das respostas dadas.
Dentre as várias formas de ataque ou uso abusivo dos sistemas os incidentes
envolvendo vírus apareceram em 9 4 % das respostas.

Forma de conexão utilizada como acesso nos ataques aos sistemas reportados
pelo CSI entre 1997 - 2001

8 0 -,

70
g. 7 0

&
39
•S 60 57
n 54
3 J
K 50 í >
1
47

40 - 38
m

30

20

10

0 < x4
Internet S i s t e m a s Internos Dial-in Externo

• 2001 ^2000 Q1999 n1998 01997 D1996

Fonte: Survey CSI/FBI 2001

Gráfico CSI 6

Ao mesmo tempo dos acessos não autorizados aos sistemas, 5 5 % destes

foram atribuídos ao pessoal interno, enquanto 3 0 % foram atribuídos a pessoas
externas e nos 15% restantes não foi possível identificar a origem do invasor.

O CSI chama a atenção para o fato de que este survey não possui
caráter cientifico, sendo conduzido tendo como foco as pessoas que trabalham
com a segurança das informações nas empresas entrevistadas. As conclusões
 267

relatadas neste trabalho são obtidas a partir das informações fornecidas pelos
profissionais que se dispõem a responder os questionários que lhes são enviados.
Entretanto, os achados deste trabalho são referenciados por reputadas
instituições dedicadas ao estudo dos problemas de segurança de informação . 1

Embora seja bem conhecida a postura das empresas em não permitir o

acesso da imprensa aos detalhes dos incidentes de segurança ocorridos em suas
instalações, este estudo constatou que as organizações tem tomado consciência
da necessidade do monitoramento e controle da segurança de seus sistemas de
informações, face as freqüentes perdas financeiras que estas empresas tem
experimentado. No caso do CSI [CSI01J, as perdas declaradas pelas empresas
montaram valores da ordem de US$ 266 milhões no ano de 1999 ( para 249
respostas) e US$ 377 milhões em 2000 ( para 186 respostas).

1
C E R T - C a r n e g i e Mellon Unjversity. URL< http://www.cert.org/security-improvement/>
Computer Crime. URL:<rtfp:/fcse.stanford.edu/cfasses^^
 268

E.3 - ASIS Trends in Proprietary Information Loss

No ano de 1999 foi conduzido pela American Society of Industrial
Security - ASIS, em conjunto com a PricewaterhouseCoopers, o Trends in
Proprietary Information Loss Survey [ASI99]. Esse survey teve o intuito de avaliar,
junto a empresas de vários setores da economia americana, como foram tratados
os problemas relativos a segurança de sistemas entre a comunidade de
organizações entrevistadas. O estudo foi realizado junto aos conselhos
corporativos e a alta gerência das empresas.

Nesse relatório a ASIS, com base nos dados coletados em estudos

anteriormente realizados, estimava que as perdas de segredos comerciais e
extravasamento de informações proprietárias haviam custado à economia
americana aproximadamente US$ 10 bilhões de dólares.

Segundo a avaliação da ASIS [ASI99], grande parte do valor de mercado

de uma empresa tipicamente americana residir nas suas propriedades
intelectuais - PI. Apesar disto, ainda não havia sido possível formalizar a
valoração destes ativos. Dada esta limitação da teoria contábil, não era possível
demonstrar e manter o controle sobre estes ativos através dos sistemas contábeis
adotados. Uma vez que o valor do acervo de informações de uma organização não
era bem determinado, os mesmos mostravam-se sistematicamente desprotegidos
[ASI99]. Esta situação, segundo a ASIS, estaria contribuindo para o crescente
número de casos de roubo de informações que as organizações vem
apresentando.

Segundo a ASIS, a proteção da informação diferiria significativamente

de outras disciplinas de segurança, embora não possa prescindir da presença das
mesmas. Ela diferiria da segurança de computadores e de redes, pois teria seu
foco na gerência e proteção de bens intangíveis, independente do meio de
armazenamento das informações. Ao mesmo tempo, distingue-se dos serviços
clássicos de segurança física. O desafio estaria, portanto, em melhorar a proteção
do acervo de informações existentes nas organizações por meio de uma
cooperação mais sistemática entre vários segmentos organizacionais. Neste caso,
o foco estaria em poder prevenir e prover respostas adequadas aos ftirtos e
 269

apropriações indevidas dos ativos informacionais de uma organização, fosse por

meio de salva guardas físicas, ou provendo soluções para os desafios que surgem
com o crescimento do uso das redes de computadores e da Internet.

Nesse survey foram enviados questionários para as mil maiores

empresas americanas segundo a Fortune. Foram recebidas 97 respostas sobre as
quais a ASIS/PWC basearam suas conclusões. O conjunto de empresas que
responderam eqüivale a 10% das empresas entrevistadas Deste conjunto
constariam empresas de vários segmentos da economia: 26 do setor de Serviços;
21 de Finanças e Seguros; 20 de Alta Tecnologia, e 30 dos segmentos de
Manufaturas.

Na média, as empresas que responderam possuem 8 0 % de seu pessoal

trabalhando nos EUA. Das empresas que responderam, 4 0 % tiveram (em 1999)
receita bruta menor que US$5 bilhões; 3 3 % tiveram receita bruta entre US$ 6
bilhões e US$ 15 bilhões; e 2 7 % tiveram receita bruta superior a US$15 bilhões.
Do total de funcionários destas empresas, em média, 79,6% eram funcionários
efetivos, 9,2% eram funcionários temporários (ou de prestadoras de serviços) e
11,2% eram consultores. Segundo a ASIS, um dos detalhes que emergem da
análise das respostas era a existência de algumas áreas onde a fixação de
funcionários temporários havia causado riscos evitáveis para as empresas.
Quando considerado os riscos e ameaças às informações sigilosas, a distinção
entre funcionários efetivos e contratados cresce em importância.

Neste estudo, ocorrido em 1999, mesmo reportando incidentes em que

houveram perdas de informações proprietárias, o nível de preocupação dos
entrevistados, com relação às ameaças, mantinha-se baixo. Ao mesmo tempo as
respostas mostravam que as empresas tendiam a não reportar à justiça os
incidentes ocorridos. Inicialmente a maioria das empresas não possuíam, na
época, meios para detectar perdas desta natureza nem procedimentos para
investigar ou documentar incidentes caso eles ocorressem. Ademais, as empresas
tinham receio de, ao reportar estas perdas, sofrer impactos adversos em sua
reputação se tais incidentes se tornassem de conhecimento público.

Das empresas que responderam ao survey, 45% indicaram ter

conhecimento dos incidentes em que haviam ocorrido perdas de informações.
 270

Segundo a ASIS, pelas respostas obtidas, as perdas potenciais decorrentes de

incidentes desta natureza podiam exceder a US$ 4,4 bilhões/ano. Ainda
conforme reporta a ASIS, a extrapolação linear dos dados obtidos para o universo
das mil maiores empresas americanas, pelo critério da Fortune, indicava uma
estimativa de perdas anuais próximas de US$ 45 bilhões/ano.

A ASIS relata, como sendo o fato mais surpreendente revelado pelas

respostas, que as empresas americanas não estariam tomando nenhuma atitude
para avaliar os seus acervos intelectuais e informacionais. Segundo a ASIS, a
ausência de capacidade valorativa dos acervos informacionais tornava difícil para
estas empresas mensurar o valor total deste patrimônio e avaliar os riscos a que
os mesmos estavam expostos. Ao mesmo tempo ficava difícil avaliar quanto estas
empresas deveriam investir para proteger suas informações proprietárias e outras
propriedades intelectuais de valor para elas.

Ao final desse relatório, a ASIS afirma que o furto de informações

sensíveis, ao longo dos meses em que o estudo foi realizado, continuou sendo
uma ameaça para as organizações. Em contraste com os surveys anteriores, esse
survey revelou que, na percepção das empresas entrevistadas, que os
funcionários não efetivos das empresas eram percebidos como um grande fator de
risco para as organizações.
 271

£.4 - Sumário dos resultados dos surveys.

A carência de estudos mais rigorosos sobre a situação da segurança da
informação nas organizações é patente. Por um lado não foi possível identificar
nos levantamentos bibliográficos estudos acadêmicos rigorosos sobre o tema. Nos
estudos meramente empíricos, foram identificados os estudos sobre segurança de
sistemas mais referenciados na literatura estudada, os quais foram apresentados.

Tomando mais uma vez as observações feitas por NELSON [Nel97], onde
este autor declara existir uma grande distância entre os temas que constituem as
preocupação dos estudiosos dos problemas teóricos de segurança no mundo
acadêmico e os estudiosos dedicados aos problemas de ordem prática.
Independente de quais sejam as explicações possíveis para tal distanciamento, o
fato é que em ambos os casos, os estudos pecam por não conseguirem auferir
ganhos significativos ao miscigenar as conquistas amealhadas por ambas
vertentes no sentido de explicar o porque dos resultados constatados e tentar
propor formas para mitigar os problemas identificados e eventualmente propor
novas soluções para estes problemas. Mesmo que os resultados apresentados por
estes surveys não sejam plenamente confiáveis, os mesmos apresentam a virtude
de apresentarem uma ordem de grandeza dos problemas de segurança de
sistemas de maior relevância para as organizações.

Os surveys realizados no Brasil, foram conduzidos pela Módulo, uma

das maiores empresas prestadoras de serviços de segurança de informações
atuantes no mercado nacional e contemplam os períodos de 2000 e 2001. Já o
2001 CSI/FBI Computer Crime and Security Survey baseou-se em 538
questionários respondidos por profissionais de segurança de sistemas em
empresas qualificadas entre as 1000 maiores pelo critério da Fortune. O Trenas
in Proprietary Information Loss Survey, realizado em 1999 foi conduzido pela
American Society of Industrial Security - ASIS, em conjunto com a
PricewaterhouseCoopers.

Nestes surveys os resultados evidenciam que nem os recursos

tecnológicos nem as políticas de segurança, quando consideradas de forma
 272

isolada, oferecem às organizações a defesa contra os crimes envolvendo o seu

a
acervo informacionaT.

De forma unanime, os entrevistados concordam que o valor de mercado

das empresas residem, hoje, nas suas propriedades intelectuais. Entretanto,
dada as dificuldades para mensurar o valor destes ativos, os mesmos mostravam-
se sistematicamente desprotegidos. Esta situação estaria contribuindo para o
crescente número de casos de furto de informações. Ao mesmo tempo fica difícil
avaliar quanto estas empresas deveriam investir para proteger suas informações
proprietárias e outras propriedades intelectuais de valor para elas.

Constatou-se nestes surueys que à medida que as organizações vêm

tomando consciência do valor das suas informações proprietárias, os
investimentos em outros instrumentos de segurança vem se mostrando
crescentes. Contudo existem ainda carências de mecanismos de controle para a
auditoria do manuseio, armazenamento, transporte e descarte das informações.
Estes estudos estimava em U S $ 4 5 bilhões de dólares as perdas de segredos
comerciais e extravasamento de informações proprietárias.

Ao mesmo tempo suspeita-se que parte das organizações que

apontaram pequenos prejuízos com perdas de informações, podem, na realidade,
não terem percebido os impactos intangíveis e indiretos que acabaram ocorrendo,
em função da quebra de segurança.

Por anos consecutivos, a conscientização dos funcionários das

organizações apareceu como o principal obstáculo para implementação da
segurança, ao mesmo tempo, os entrevistados afirmavam ser necessário o apoio
da alta administração das instituições para fortalecer as ações voltadas para
garantir a segurança das informações corporativas e a continuidade de suas
operações.

No entanto, apesar do fator "problemas internos" ser considerado o

principal obstáculo à implantação das políticas de segurança, faltam também
investimentos em capacitação e treinamento, além de procedimentos de
classificação da informação.
 273

A natureza dos crimes relacionados a sistemas computacionais tem,

mudado seu perfil acompanhado o ritmo em que a tecnologia evolui. Apesar de
vírus e por hackers independentes serem preocupações, o ofensor externo de
maior potencial de ataque caracteriza-se pelos profissionais experientes que são
contratados para efetuar furto de informações [hired hackers) e funcionarios
insatisfeitos em busca de lucro ou vingança. Os competidores ou organizações
contratadas por elas representam um risco crescente. A Internet, dentre as
formas utilizadas para conexão aos sistemas, tem sido, de forma crescente, o
ponto onde as empresas experimentam maior freqüência de ataques.

O insider continua sendo, isoladamente, a grande fonte de riscos para

as organizações, mesmo diante da queda dos ataques originados de dentro das
empresas. Isto revela que as medidas adotadas para monitoramento interno dos
acessos, atuaram como fator inibidor desta tendência. Entretanto, a maior parte
dos acessos não autorizados aos sistemas foram atribuídos ao pessoal interno.

O crescimento dos ataques originados de fora das empresas, revela que

os limites entre as redes internas das organizações e a Internet estão mais
nebulosos. Talvez o insider não podendo atuar nos limites das organizações,
podem subsidiar os agentes externos com as informações críticas. O risco
representado pelos insider, deve-se aos acessos e conhecimentos privilegiados
sobre a organização. Outro fator de risco, é a possibilidade de que ambos agentes
(internos e externos) possam ser aliciados pelo crime organizado ou por outras
organizações interessadas em espionagem.

Ao mesmo tempo as empresas tendem a não reportar à justiça os

incidentes ocorridos. As empresas tem receio de, ao reportar estas perdas, sofrer
impactos adversos em sua reputação se tais incidentes se tornassem de
conhecimento público.

A maior parte das empresas entrevistadas, ainda atribui a

responsabilidade da segurança das informações à área de Tecnologia. Entretanto,
começam a aparecer iniciativas voltadas para a implantação do Security Officer
com equipe e orçamento próprios. Desenvolver um Plano de Segurança, organizar
o comitê corporativo e criar a função do Security Officer, segundo a opinião
 274

expressa nos relatórios analisados, constituiriam fatores necessários para a

proteção das informações no ambiente organizacional.

Os produtores de software e hardware passam a ser co-responsáveis

pelos ataques desta natureza. Os furtos de código fonte de produtos por hackers
ou a liberação de produtos vulneráveis permite que as fragilidades encontradas
possam ser exploradas para furto de informações; como canal de penetração das
redes por intrusos.
 275

BIBLIOGRAFIA
[AbJ95]
ABRAMS, Marshall D., JOYCE, Michael V. New Thinking About information
Technology Security. Computers Ss Security, Elsevier Advanced
Technology. Oxford, UK: 1995. vol. 14 n.l pp. 57-68. Disponível via World
Wide Web: <URL:http://www.elsevier.nl/locate/compseo

[ACM97]
ACM Association for Computing Machinery Professional Knowledge Program
DATA AND NETWORK SECURITY Matt Bishop and Peter J. Denning ,
editors, 1997 1997 http: / / ene .gmu.edu / modules/ acmpkp /
[03/06/2001]

[Alb96]
ALBERTS, David S. The Unintended Consequences of Information Age
Technolgies. National Defense University, abril 1996.
Disponível via World Wide Web:
<URL:http://www.ndu.edu/ndu/inss/books/uc/uchoine.ht2nl>.

[Amo94]
AMOROSO. Edward G., Fundamentals of Computer Security Technology.
Upper Saddle, NJ (USA): River: Prentice-Hall PTR. 1994.

[And02]
ANDRESS, Mandy. Surviving Security: How to Integrate People, Process <&
Technology. Indianapolis (USA): Sams Publishing, 2002.

[ArR97]
ARQUILLA. J e RONFELDT. D, Cyber War Is Coming, (1993) 12 Comparative
Strategy 141-165, also in Arquilla and Ronfeldt, In Athena's Camp,
RAND, 1997 available at www.rand.org/publications.

[Ash56]
ASHBY, Ross. (Introduction to Cybernetics, 1956)

[ASI99]
ASIS - American Society for Industrial Security, PriceWaterhouseCoopers.
Trends in Proprietary Information Loss. 1999
[Ban94j
BANGEMANN, Martin et ali. Recommendations to the european council: europe
and the global information society, [online]. Bruxelas: (Dinamarca) maio
1994. Disponível via World Wide Web:
<URL:http://www.ispo.cec.be/infosoc/backg/bangeman.html>
[15 jul. 2000]
 276

BAUMAM, Zygmunt O Mal Estar da Modenidade. Rio de Janeiro. Jorge Zahar

Editores, 1997

BELL LABS. Internet mapping project at Bell Labs (online]. Disponivel via
World Wide Web:
<URL:http://cm.belllabs.com/cm/cs/who/ches/niap/index.html>

BERTALANFFY, Ludwig von. General Systems Theory. Braziller. New York,

1968.

BISHOP, M. e KLEIN, D. Improving System Security via Proactive Password

Checking. Computers and Security 14(3) 233-249 (1995).

BISHOP, Matt. A standard audit trail format [pdf]. University of California at

Davis. Davis, CA (USA), 1995. [02/06/2001].

BISHOP. Matt, BAILEY. Dave, A critical analysis of vulnerability taxonomies

[pdf]. (USA): 1996.

BLAKLEY, B. The Emperor's Old Armor. Proceedings of the New Security

Paradigms Workshop. IEEE Computer Society Press. 1996.

BORAN, Sean. An Overview of Corporate Information Security Combining

Organisational, Physical Ss IT Security, dez. 1999. Disponivel via World
Wide Web:
URL:<http://secinf.net/info/policv/coverstoryl9991213.html>

BOSTON, Terry. The Insider Threat [online]. SANS institute. 24 out 2000.
Disponivel via World Wide Web: <URL:
http://www.sans.org/infosecFAQ/securitybasics/insider threat2.htm>

British Standards Institution A Code of Practice for Information Security

Management [online], (uk):, 22 ago. 2000. Disponivel via World Wide Web:
<URL: http: / /www.nrivacvexehange .org/buscodes/standard/bsi.html>
[01/06/2001]

CARUSO, Carlos. Avaliacúo de riscos em ambientes de informática:

características próprias definem a análise [online]. Rio de Janeiro: Módulo,
ago. 2000. Disponivel via World Wide Web:
 277

<URL. http: / /www.modulo.com.br>

CASTELLS, Manoel. A Sociedade em Rede. São Paulo: Paz e Terra, 1999.

Center for Education and Research in Information Assurance and Security

(CERIAS) [online]. Purdue University, mar. 2001. Disponível via World
Wide Web: <URL: http: / /www.cerias. purdue. edu / >

CHANTLER, Nicolas. Profile of A Computer Hacker. Disponível via World Wide

Web:<URL:http://www.infowar.com/store/bdn_hackprofile.shtml>
[3/ll/2001[

CNET Enterprise Security Newsletter

<cnet_enterprise_may@two.digital.cnetcom>

COHEN, Frederick B. Computer Viruses. Proceedings of the 7th DOD/NBS

Computer Security Conference 240-255 (Sep. 1984)

COHEN, Frederick B. Protection and Security on the Information

Superhighway. John Wiley & Sons, New York, 1995.

Computer Security Institute. 2001 CSI/FBI Computer Crime and Security

Survey. Computer Security Issues and Trends. Vol 7 n. 1 2001.

CROZ1ER, Michel. The bureaucratic phenomenon- Chicago: The Univ. of

Chicago Press, 1964.

DENNING, D. Information Warfare and Security. 1998 Addison - Wesley

DENNING, Dorothy E. The Limits of Formal Security Models. National

Computer Systems Security Aumrd Acceptance Speech, October 18, 1999.

DIEWERT, W.E. e FOX, K.J. Can Measurement Error Explain the Productiwty
Paradox?. University of British Columbia, MS: 1998.

DIFFÍE W., HELLMAN. M., New Directions in Cryptography. IEEE

Transactions on Information Theory IT-22(6) 644-654 (Nov. 1976).

DoD 520Q.2&STD Department of Defense Trusted Computer System Evaluation

Criteria (Orange Book) [online]. Fort Meade (USA): National Computer
Security Center, dez. 1985. Disponível via World Wide Web: <URL:
http: / / www.radium.ncsc.mil/tpep /library/rainbow / index.html>
 278

DRUCKER, Peter F. Beyond the Information Revolution. The Atlantic Monthly.

[online]. 1999, vol. 284, n. 4; [15/09/2000], pg. 47-57. Disponível via
World Wide Web:
<URL:http: / / www, theatlantjc.com / issues / 99oct/991 Odruckerl .htm>

DU, Wenliang., MATHUR, Adityn P. Categorization of Software Errors that led

to Security Breaches. Purdue University. W.Lafayete, USA: 1997.

DURKHEIM, Emüe. O suicídio: estudo de sociologia Trad, de Luz Cary,

Margarida Garrido e J. Vasconcelos Esteves. -, Lisboa: Presença ; São
Paulo: Liv. Martins Fontes, impressão 1973.

EICHIN, Mark W., ROCHLIS, Jon A. With Microscope And Tweezers: An

Analysis Of The Internet Virus Of November 1988 Massachusetts Institute
Of Technology. Cambridge, MA.

Encyclopaedia Britannica - taxonomy http://www.britannica.com

[09/07/2001]

Equipe de Segurança em Sistemas e Redes. [SECURJTY-L] Vulnerabilidade de

segurança. Única mp - Universidade Estadual de Campinas
http: / / www.security.unicamp.br/

FERREIRA, Sueli Mara S. P., KROEFF, Márcia S. Referências bibliográficas de

documentos eletrônicos, [online]. São Paulo: out. 1996. Disponível via
World Wide Web:
<URL:http://www.eca.usp.br/prof/sueli/pesquisa/refelet/intro.htm >
[06 ago. 2000]

GAG. information. Security Management [online}. United States General

Accounting Office (GAO), mai. 1998. Disponível via World Wide Web:.
<URL: http: / /www.gao.gov/ speciaLpubs/infosecguide/ >

GHIRARDATQ, Paolo. Risk, Ambiguity, And The Separation Of Utility And

Beliefs. Division Of The Humanities And Social Sciences. California
Institute Of Technology. Pasadena, California: USA Março 2000

HOWARD, John D. An Analysis Of Security Incidents On The Internet, [online].

 279

Pittsburgh, USA: CERT, 1997. Disponível via World Wide Web:

<URL:http://www.cert.org/research/JHThesis/Start.html> [16/02/2001]

HUMPHRIES, Jeffrey W et al. No Silver Bullet: Inherent Limitations of

Computer Security Technologies (PDF]. Department of Computer Science,
Texas A&M University College Station, TX 77843-3112, USA

IBM Security Library. Disponível via World Wide

Web:<URL:http://www.ibm.com/securitv/library/ >

ICOVE, David., SEGER, Karl., VonSTORCH, William. Computer Crime; A

Crimefighter's Handbook. O'Reilly & Associates Inc., Sebastopol, CA, 1995

International Organization for Standardization, International Electrotechnical

Commission. Information security management — Part 1: Code, of practice
for information security management. Genebra (Suíça): International
Organization for Standardization.

International Society for the System Sciences http://www.isss.org/

[24/09/2001]

ITSEC. information Technology Security Evaluation Criteria (European Orange

Book). June 1991. Disponível via World Wide Web:
URL:<http: / / www.itsec.gov.uk/docs/introgds.htm> e
URL:<ht^://wwwitsec.gpv.iik/docs/formal.htm#ITSEC EC:F/GB/D/NL>

JONES, Charles Irving. Introdução à Teoria do Crescimento Econômico.

Rio de Janeiro: Campus, 2000. Tradução de: Introduction to economic
groufth. ISBN 8535205446 (broch.)

JORGENSON, D.W. e STIROH, K.J. Information Technology and Growth.

American Economic Review. 1999, vol. 88, n°. 2.

KRSUL, Ivan Software Vulnerability Analysis, [online]. West Lafayette,

IN (USA): Purdue University, 1998. Disponível via World Wide Web:
<URL:http://www.cs.purdue.edu/homes/kamarasf/papers/software vul
nerabilities.pdf > [10/06/2001]

KRSUL, Ivan, SPAFFORD, Eugene e TUGLULAR, Tugkan. A New Approach to

 280

the Specification of General Computer Security Policies. COAST Techical

Report. 97-13, COAST Laboratory - Purdue University West Lafayette, IN
47907-1398. May 14, 1998.

KUONG, Javier F. Computer Security, Audinting and Controls. 1" ed. 1974.
Wellesley Hill (USA): Management Adivisory Publications.

LANDWEHR, Carl E., BULL, Alan R., McDERMOTT, John P., CHOI, William
S. A Taxonomy of Computer Security Flaws. ACM Computing Surveys. Vol.
26, No. 3, September, 1994, pp. 211-254.

LASTRES, Helena M. M. Informação e conhecimento na nova ordem mundial.

Revista Ciência da Informação [on linej. Brasília, v. 28, n. 3, 1999.
Disponível via World Wide Web:
<URL:httn://ww.ibict.br/cioriline/280199/28019910.pdf>

LOUGH, Daniel Lowry. A taxonomy of computer attacks with applications to

wireless networks. [online]. Blacksburg, Virginia (USA): Virginia
Polytechnic Institute, 2001. Disponível via World Wide Web:
<URL:http://scholar.lib.vt.edu/theses/available/etd-04252001-
234145/unrestricted/lough.dissertation.pdf> [03/06/2001]

MANKIW, Gregory. Macroeconomia. Rio de Janeiro: Livros Técnicos e

Científicos, 1998.

MAS LOW, Abraham Harold. Motiuation and personality, 2. ed. New York :
Harper & Row, 1970.

MCCOURT, Michael G. Security and Company Culture, [online]. CI News &

Developments, 01/02/2002. Disponível via World Wide Web: <URL:
http://www.nacic.gov/news/2002/feb/cind-2002-02-01.html>.

MCNAMEE, David. A paper delivered first at the KA International Conference

in Paris 1995 and published in English in Internal Auditing (UK) April
1995. Translation by J. D. Almeida Rocha for the Banco de Portugal,
Janeiro 1998 Adaptado para o português do Brasil por Alexandre Carvalho
Dantas, Março 2000

MERTON, Robert King, Social theory and social structure. Glencoe, HI.: Free
 281

Press, 1957, reimp. 1959.

MINISTERIO DA CIENCIA E TECNOLOGÍA. Livro Verde ãa Sociedade da

Informação no Brasil (Soclnfo). organizado por Tadao Takahashi. Brasilia:,
2000.

MO CKAPETR1S, P. RFC 1034 Domain names - concepts and facilities

(November 1987)

Módulo Informática. 6 Pesquisa Nacional sobre Segurança da Informação

a

[online]. Rio de Janeiro: Módulo, jun. 2000. Disponível via World Wide
Web: <URL: http: / /www.modulo.com.br>

Módulo Informática. 7 Pesquisa Nacional sobre Segurança da Informação

a

[online]. Rio de Janeiro: Módulo, jun. 2001. Disponível via World Wide
Web: <URL: http: / / www.modulo.com.br>

MORESI, Eduardo Amadeu Dutra. Delineando o valor do sistema de

informação de uma organização. Revista Ciência da Informação [on line].
Brasilia, v, 29, n. 1, p. 14-24, jan./abr. 2000. Disponível via World Wide
Web: <URL: http://www.ibict.br/cionline/290100/29010002.pdf>

MORIN, Edgar. La Méthode: La connaissance de la Connaissance. 1986

Editions du Seuü.

MORRIS, R. e THOMPSON,K. Password Security: A Case History.

Communications of the ACM 2(11), 594-597 (1979).

MOULTON, Brent R. GDP and the Digital Economy: Keeping Up With the
Changes. Washington, DC: mai. 1999. Bureau of Economic Analysis U.S.
Department of Commerce.

Nações Unidas. International review of criminal policy - United Nations manual

on the prevention and control of computer-related crime. 1999.
Disponível via World Wide Web:
<URL: http: / /wwwifs.univie.ac.at/ ~pr2gq 1_ > [14/03/2001].

NAKATOMI, Taizo. Threats to the information society. OECD Observer,

jan. 2001. Disponível via World Wide Web:
<URL: http://www.oecdobserver.org/news/fullstorv.php/aid/41Q>
 282

NCSC. NCSC-TOOll Trusted Network Interpretation Guideline -

Guidance for Applying the TNI (Red Book) [online]. Fort Meade (USA):
National Computer Security Center (NCSC), ago. 1990. Disponível via
World Wide Web:
<URL:http: / / www.radium.ncsc.mfl/tpep/ubrary/rainbow/NCSC-TG-01 l.html>

NCSC. NCSC-TG-027A Guide to Understanding Information System Security

Officer Responsibilities for Automated Information Systems (Turquoise
Book) [online]. Fort Meade (USA): National Computer Security Center,
mai. 1992. Disponível via World Wide Web:.
< URL:http: / /www.raaium.ncsc.mfl/tpep/Übrary/rainbow/NCSC-TG-027.pdf >

NELSON, Ruth. Integrating Formalism and Pragmatism: Architectural

Security. In 1997 ACM New Security Paradigms Workshop [online].
Langdale, Cumbria (UK): American Computing Machinery. 1998.

NIST. An Introduction to Computer Security: The NIST Handbook [orúine].

National Institute of Standards and Technology (NIST), Out. 1995
Disponível via World Wide Web:
<URL:bttp://csrc.rust,gOT/pupttcations/m^

NIST. Audit Trails. TTL Bulletin, mar. 1997. Disponível via World Wide Web:
<URL:http: / / www.nist.gov/itl/ lab/bulletns/ archives/bu!13 97.htm>

NIST. Automated Tools for Testing Computer System Vulnerability [online].

National institute of Standards and Technology (NIST), dez. 1992
Disponível via World Wide Web:
<URL:htin://csrc.mst.gov/publications/rnstpubs/800-6/800-6.txt>

NIST. C SRC - Computer Security Resource Center [online]. National Institute

of Standards and Technology (NIST), mar. 2001. Disponível via World
Wide Web: <URL:http:/ /csrc.nist.gov/>

NIST. Computer Attacks: What They Are and How to Defend Against Them.
ITL Bulletin [online], mai. 1999- Disponível via World Wide Web:
<URL:http://www.nist.gov/iÜ/lab/bulletns/mav99.htm>

NIST. Federal Information Technology Security Assessment Framework

 283

[online]. National Institute of Standards and Technology (NIST), nov.

2000. Disponível via World Wide Web: <URL:http: / /csrc.nist.gov/>

MST, Generally Accepted Principles and Practices for Securing Information

Technology Systems. NIST Special Publication 800-14 (online]. National
Institute of Standards and Technology (NIST), set. 1996. Disponível via
World Wide Web:
<URL:http: / / csrc.rust.gov/publications/nistpubs/800-14/800- 14.pdf>

MST. Guide for Developing Security Plans for Information Technology

Systems. TTL Bulletin, abr. 1999. Disponível via World Wide Web:
<URL:http: / /vvvgw.nist.gov/itl/lab/bulletns/april99.htm>

MST. Information Technology Security Evaluation Criteria [online]. National

Institute of Standards and Technology (NIST), jun. 1994. Disponível via
World Wide Web: <URL:http: / / csrc.nist.gov/ >

NIST. Management of Risks in Information Systems: Practices of Successful

Organizations. ITL Buüetín. National Institute of Standards and
Technology (NIST), mar. 1998. Disponível via World Wide Web:
<URL:http://www.nistgov/itl/lab/bulletns/archives/mar98.htm>

NJCI. Computer Crime: a Joint Report [online]. State of New Jersey

Commission of Investigation, jun. 2000. Disponível via World Wide Web:
< URL:httn: / / www, cerias. purdue.edu / >

ORLIKOWSKÍ, Wanda J., ROBEY, Daniel. Information Technology and the

Structuring of Organizations, [pdf].

PONTES, Cecilia Carmen Cunha. Gerenciamento estratégico de informação

nas empresas industriais do setor de telecomunicações no Brasil. Revista
Ciência da Informação [on line]. Brasília, v. 28, n. 3, 1999. Disponível via
World Wide Web:
<URL: http://www.ibict.br/cionHne/280199/28019904.pdf>

POST, Jerrold M. The Dangerous Information Systems Insider: Psychological

Perspectives. Disponível via World Wide Web:<UR1.:www.infowar.com>
[03/11/20011
 284

PRIVILEGGI, Fábio., MARCHESE. Carla., CASSONE, Alberto. Risk Attitudes

and the Shift of Liability from the Principal to the Agent. Department of
Public Policy and Public Choice. University of Eastern Piedmont "Amedeo
Avogadro" 1998. Alessandria - Italia. Disponível via World Wide Web:
<URL:http:/ /www.al.unipmnàt>

RAND. Information Warfare: A Two-Edged Sword. RAND Research Review

[online]. The RAND Corporation. Santa Monica (US), v. 19, n. 2, 1995.
Disponível via World Wide Web:
<URL: http://www.rand.org/publications/randreview/issues/
RRR.faU95.r^ber/infor_war.html> [22/07/2001]

REEL, John Steven. The Future of Information Security Technologies [online].

Veridian Corporation, abr. 2000. Disponível via World Wide Web:
<URL; http: / / www, cerias. purdu e. edu / >

REYNOLDS, Joyce K. RFC1135 - The Helminthiasis of the Internet [online],

dezembro 1989. Disponível via World Wide Web: <URL:
http: / / www.vacia.is. tohoku.ac.jp/ -syamane/articles/hacker/rfcl 135.ht
ml>.

RIVEST, R., SHAMIR, A. e ADLEMAN, L. A Method for Obtaining Digital

Signatures and Public Key Cryptosystems. Communications of the ACM
21(2), 120-126 (Feb. 1978).

ROGERS, Marcus K. A social learning theory and moral disengagement

analysis of criminal computer behavior: An exploratory study. University of
Manitoba, Winnipeg, Manitoba August 2001

ROSNAY, J. de. Analytic vs. Systemic Approaches. PriricipiaCybernetica Web

[online]. 1997. Disponível via World Wide Web: <URL: http://www.

ROSSET, Saharon et al. Discovery of Fraud Rules for Telecommunications -

Challenges and Solutions [online]. Amdocs Ltd. San Diego CA (USA):
American Computing Machinery, 1999. [23/06/2001].

SCHNEIER, Bruce. Security Pitfalls in Cryptography, abril 1999. Disponível

via World Wide Web: <URL:http://www.counterpane.com/pitfalls.html>.
 285

[SemOl]
SÉMOLA, Marcos Mano Diretor de Segurança [online], mar. 2001. Disponível
via World Wide Web: <URL: http: / /www.modulo.com.br>

[SemOO]
SÉMOLA, Marcos. Segurança: muito além de tecnologia [online], abr. 2000
Disponível via World Wide Web: <URL:http:/ /www.modido.com.br>

[Sic99]
SICHEL, D.E. Computers and Aggregate Economic Growth. Business
Economics. 1999, vol. 34, n° 2. pp. 18-24.

[SÍ102J SILVA, Ruy Martins Altenfelder. Inteligência como fator estratégico. Gazeta
Mercantil - Notícias de C&T [15/1/2002] citado em Jornal da Ciência (JC
E-Mail) n° 1954 [16/01/2002], SBPC.

[Sim47]
SIMON, Herbert. Administrative Behavior, Macmillan, 1947.

[Sip61]
SIMPSON,G.G. Principies of Animal Taxonomy. London: Oxford University
Press. 1961-

(SmtOlJ
SMITH, Adam. An Inquiry into the Nature and Causes of the Wealth of Nations
[online]. Londres, Inglaterra: The Adam Smith Institute, 2001.
[03/03/2001]. Disponível via World Wide Web:
<URL: http://wv^.adamsmith.org.uk/smim/won-index.htm>

[SEI95]
Software Engineering Institute. People Capability Maturity Model [PDF].
Carnegie Mellon University. Pittsburgh (USA): Software Engineering
Institute, setembro 1995. Citado em 31/08/2002.

[Sol87]
SOLOW, R.M. We'd Better Watch Out. New York Times Book Review. 12
jul.1987, pp.36.

[SRK97]
STEINAUER. Dennis D., RADACK, Shirley M., KATZKE, Stuart W. U.S.
Government Activities to Protect the Information Infrastructure [online].
Gaithersburg, USA: National Institute of Standards and Technology
(NIST), abr. 1997. Disponível via World Wide Web:
<URL: http://csrc.nisLgov/pubücations/secpfubs/otherpubs/usgovH.pdf >

[Tayll]
TAYLOR, Frederick W. The Principles of Scientific Management. New York:
Harper Bros., 1911.
 286

TELLIS, W. Introduction to case study. The Qualitative Report [online]. 1997.

vol.3 n.2. Disponível via World Wide Web:
<URL http://www.nova.edu/ssss/QR/OR3-2/tellisl.html> [16/07/2001]

TIMMERMAN, Brenda. Advanced Topics in Computer System Security.

Disponível via World Wide Web; <URL:
http://www.ecs.csun.edu/~btimmer/ February, 2001> [03/06/2001]

TRIPLETT, J.E. Economic Statistics, the New Economy and the Productivity
Slowdown. Business Economics. 1999, vol. 34, n°. 2. pp. 13-17.

WEBER, Max. Economia e Sociedade: Fundamentos da sociologia

compreensiva tradução de Regis Barbosa e Karen Elsabe Barbosa ;
revisão técnica de Gabriel Cohn. - 3. ed. - Brasília, D.F.: UnB, 1994.

YIN, R. Case study research: Design and methods (2nd ed.). Beverly Hüls, CA:
Sage Publishing. 1994

YOUNG, Scott. Designing a DMZ. (online]. Sans Institute, 26 de março de

2001. Disponível via World Wide Web: <URL: http://www.
http://rr.sans.org/hrewall/DMZ.php>.