Instituto de Educação Tecnológica Pós-graduação



Baixar 43,4 Kb.
Encontro13.07.2017
Tamanho43,4 Kb.
Instituto de Educação Tecnológica

Pós-graduação

Gestão Avançada de Projetos / 12ª turma

16 de Setembro de 2013

AS INFORMAÇÕES ESTÃO SEGURAS EM EMPRESAS DE PEQUENO E MÉDIO PORTE

UMA PESQUISA EXPLORATÓRIA EM BELO HORIZONTE - MG


Paolo Bordoni Caldeira

Prof. João Carlos Araújo da Silva Neto



Gerente de TI

paolobordoni@gmail.com


RESUMO
O objetivo central deste artigo é analisar como os profissionais da área de TI e os empresários entenderiam por segurança da informação e suas ações para garanti-la, estes foram procurados para que então pudessem dar sua contribuição e compartilhar suas experiências profissionais. O trabalho que foi desenvolvido não tinha como enfoque principal a parte técnica específicas de segurança, mas sim na parte gerencial e estratégica, portanto este trabalho é voltado para estudantes e profissionais que planejam reestruturar a organização de forma mais segura. As entrevistas, realizadas através de uma pesquisa exploratória, permitiram responder aos questionamentos e abordar de forma mais abrangente o tema proposto; com isto os objetivos da investigação científica puderam ser alcançados graças aos dados coletados com os entrevistados, empresas e profissionais da área de tecnologia. Foi possível concluir, portanto que tem muito a se fazer para que empresas de pequeno e médio porte possam chegar a um nível aceitável de segurança.
Palavras-chaves: PME, Segurança da Informação, Ameaças Virtuais.


1 Introdução
Nos últimos anos nunca ouvimos falar tanto sobre segurança da informação e tivemos notícias sobre exposição de dados sigilosos. Um exemplo que poderíamos citar seria o site WikiLeaks e os ataques realizados pelo grupo de hackers intitulados Anonymous contra os serviços online do governo brasileiro e contra as instituições bancárias brasileiras, mas este trabalho não tem a pretensão de abortar a segurança destas grandes corporações e sim das empresas pequenas e médias corporações como escritórios de advocacia, contabilidade e transportadores, fornecedores em geral que detém de alguma formar informações relevantes de grandes corporações de maior porte.
Logo o problema é: As empresas de pequeno e médio porte estão conscientes do seu papel de manter seguras as informações?
2 Revisão da Literatura
Todos os sistemas estão sujeitos a falhas, até mesmo os sistemas de informação baseados em computador; a falha pode ocorrer em qualquer um dos elementos: do hardware ao processamento. Existem os sistemas tolerantes a falhas, ou seja, pode haver um mau funcionamento em um dos elementos que o sistema continua a funcionar isto porque ele trabalha em duplicidade, um sistema fazendo o gerenciamento do outro.
Segundo Laudon e Laudon (1999), os sistemas de informação baseados em computador já é uma realidade nas organizações, sendo uma solução organizacional e administrativa que tem como objetivo de adaptar as contingências do ambiente.
Os Sistemas de Informação baseado em computador se tornaram vitais para a sobrevivência das organizações. O acesso e a disponibilidade da informação em tempo real são essenciais para que a organização tome suas decisões as mais rápidas possíveis procurando estar sempre à frente de seu concorrente, e sem os sistemas de informações baseados em computador alguns processos poderiam se tornar extremamente demorados e custosos para a organização.
O processo da Globalização, intensificado com velocidade com as informações circulam na Internet, fez com as empresas começassem a se preocupar mais com a obtenção e qualidade das informações que entram na organização de modo as tornarem mais competitivas. Porém não existe competitividade com custos altos, logo se tornou necessário baixar custos na obtenção das informações sem perder sua qualidade.
Sêmola (2003), apesar das condições mercadológicas, culturais e econômicas, a informação sempre foi a base e o elemento mais importante na gestão do negócio.
Verificando a evolução do ambiente corporativo, vemos uma dependência muita grande nos equipamentos tecnológico: computadores, notebooks, tablets, smartphones. Ter a informação em tempo hábil e compartilhá-la de forma simples e ágil viraram práticas de gestão das empresas e empreendedores modernos, Sêmola (2003).
As informações permeiam todas as etapas de todos os processos da organização, auxiliando os gestores nas tomadas de decisões. É importante salientar que quando nos referíamos as informações não é somente as que apresentam no ambiente lógico, mas também as que estão disponíveis fisicamente. Os equipamentos tecnológicos disponíveis no mercado podem facilmente mudar o meio em que a informação se encontra transformando-a ao bel prazer da pessoa que queria obtê-la. Informações podem facilmente ser passadas de ambientes lógicos para físicos com impressão e o inverso pode ser facilmente conseguido com um simples smartphone com uma câmera fotográfica.
A complexidade em promover a segurança da informação está no simples fato que o meio em que a informação está disponível é extremamente volátil, não bastando somente equipamentos tecnológicos para prevenir roubos, fraudes, acessos indevidos às informações sigilosas ou estratégicas, é necessário montar um comitê multidisciplinar de segurança, criar e promover processos, treinar pessoas, testar sistemas, promover teste de segurança implantar segurança física.
Sêmola (2003), diz que independente de qual seja o meio, físico ou lógico, em a informação se apresente ela terá 4 etapas, sendo:


  • Manuseio: é momento que a informação é manipulada seja ao digitar e abrir o documento no computador ou abrir e folear os papeis de um manual.

  • Armazenamento: é o momento em que a informação é guardada seja em uma datacenter, ou seja, dentro de um armário.

  • Transporte: é o momento em que a informação é transportada seja pelos protocolos do TCP/IP seja pelos correios ou carros da empresa.

  • Descarte: é o momento que a informação é eliminada seja ela “deletada” seja ela posta dentro do lixo da sala.

Na gestão de segurança da informação são classificadas 6 tipos de barreiras de segurança de acordo com seu papel, segundo Sêmola:




  • Desencorajar: é primeira barreira que tem por objetivo desencorajar a ameaça.

  • Dificultar: são mecanismos que servem, caso aconteça à ameaça, dificulte que tenha êxito no na obtenção do ativo.

  • Discriminar: são mecanismos que identificam os acessos e separem os devidos dos indevidos.

  • Detectar: são mecanismos que detectam as situações de risco.

  • Deter: são mecanismos que detém a ameaça.

  • Diagnosticar: são ferramentas e métodos que permite levantar e analisar os riscos.

Quando nos referimos à informação e passamos a analisar as ameaças nos deparamos em um ambiente extremamente hostil, pois as ameaças podem surgir de qualquer lugar:



  • Pessoas.

  • Ambiente físico.

  • Processos.

  • Ambiente Lógico.

  • Equipamentos.

Apesar da complexidade do assunto, segurança da informação, todos os autores usados neste trabalho concordam, o fator humano é o elo fraco da segurança da informação e é por este motivo que o método de engenharia social pode ser um eficiente método para recolher informação.


“Software malicioso, normalmente conhecido como malware, é um software que entra no sistema operacional sem o consentimento ou conhecimento do usuário”. (DIÓGENES; MAUSER, 2010, p. 13).
Dentre as categorias de malware temos:


  • Vírus: Segundo Diógenes e Mauser (2010), é um programa que é anexado por ele mesmo para disseminar. O vírus executa duas tarefas, primeiro ele replica e depois ele executa o código malicioso.

  • Worms: O worm ao contrário do vírus ele não precisa ser anexado a um arquivo para contaminar outros computadores e também não precisa ser acionado pelo usuário como o vírus para acionar o código malicioso.

  • Cavalo de Troia: São programas que estão no computador mascarados por outro programa, abrindo conexões para que o atacante acesse o computador da vítima.

  • Botnet: Segundo DIOGENES (2010), “é o termo genérico para o conjunto de software “robotizados”, apelidados de bots”.

  • Bomba Lógica: São softwares criado para serem executados em um determinado tempo ou evento.

  • Spyware e Adware: são softwares que coletam informações do usuário e violam sua privacidade.

Dentre os ataques à rede podemos destacar:




  • SYN Flood – Segundo Diógenes e Mauser (2010), este ataque aproveita de uma vulnerabilidade no processo de TCP Handshake, em a conexão não é estabelecida por completo e a sessão e o ataque inunda a vítima com pacotes SYN, causando a parada do equipamento.




  • Man in the Middle – este método o atacante desvia os pacotes de dados da(s) vítima(s) para ele, se colocando literalmente entre as conexões.




  • ARP Poisoning – Diógenes e Mauser (2010) trata este ataque como um dos mais devastadores para rede local, caso não sejam tomadas as devidas medidas para mitigá-la. Este é um processo utilizado para que o seja usado o Man in the Middle, pois envenenando a tabela ARP o atacante pode se colocar no lugar do Gateway ou desviar todo tráfego da rede para um dispositivo inexistente fazendo que ela pare.




  • DOS e DDOS - o ataque de negação de serviços, Denial of Service e Distributed Denial of Service respectivamente, para Diógenes e Mauser (2010), é o ataque mais temido, pois o atacante consegue indisponibilizar os serviços do alvo, deixando-o fora do ar.


Rainbow Table – esta técnica consiste em gerar uma tabela de senhas criptografas para que sejam comparadas com hash conseguido por um analisador de pacotes ou através de ataque de man in the middle.
3 Método DE PESQUISA
A metodológica usada para o artigo foi "Pesquisa Exploratória"; uma vez que o problema de pesquisa se trata de um tema específico no mercado nacional, e ainda é um tema que passa por uma fase transição. A pesquisa também tem características de uma pesquisa descritiva onde houve a necessidade de descrever situações vividas pelas empresas pesquisadas.
4 Resultados e Discussão
Esta é uma discussão bem interessante, pois profissionais de TI consideram que os acordos são sempre voltados aos ambientes internos, entre setores. É um equívoco tratar como acordos os documentos que descrevem as entregas dos fornecedores, pois estas devem estar contidas nos contratos. Este entendimento muito provavelmente vem do conceito da ITIL. Os profissionais de TI que conheciam o framework o consideram bem sistematizado neste requisito, pois torna o processo mais flexível não exigindo que o SLA siga o rito do contrato jurídico, por se tratar de um processo interno.
Por outro lado profissionais de gestão, de um modo geral, que não conhecem a ITIL entendem que existe SLA tanto interno quanto externo, que todos são de alguma forma contratos e que se trata de um documento com validade jurídica.
Já os profissionais do departamento jurídico afirmam que não há jurisprudência que confere ao SLA valor jurídico, a menos que o contrato assim explicite. O que possui valor jurídico é sempre o contrato e em caso de não conformidade sempre valerá o contrato e não o SLA, salvo exceções explicitas nas cláusulas do contrato.
5 Conclusão
Durante muito tempo a área de Tecnologia e Informação foi rotulada, por muitas empresas, como uma área de escoamento de recursos financeiro, devido ao fato que o retorno, muitas vezes intangíveis, era a médio e longo prazo. Como o avanço da Revolução Digital este paradigma ficou no passado, porém outros rótulos veem se formando em torno dos profissionais de TI e do setor.
Depois de quebrar o paradigma de área “improdutiva” e passar a ser considerada uma área essencial para o alcance dos objetivos organizacionais e a manutenção da competitividade; a área de TI passou a ser considerada uma área de elevados custos para ser mantida, então como ela era essencial para o funcionamento da organização e precisava reduzir seus custos, a saída foi apelar para funcionários despreparados que possuíam conhecimentos operacionais e muitas vezes básicos; e as empresas terceirizadas que na maioria das vezes não estavam inseridas na missão e nos objetivos da organização.
As empresas de Belo Horizonte refletem as características do mercado mineiro: fechado e conservador. Muitas vezes tradições familiares prevalecem a evolução do mercado, com isto empresas de tecnologia mesmo que tenham know how para acompanhar o movimento tecnológico, não existe a consciência de que é necessário começar a preparar a organização para garantir a integridade das informações, ou por falta de conhecimento, ou por falta de visão em investir em segurança.
Conclui-se, que das empresas entrevistadas, segurança da informação é um assunto tratado com diversas perspectivas e prioridades. Dos empresários entrevistados, a maioria não entendem os riscos para o negócio e adoptam somente práticas, procedimentos e ferramentas básicas para prevenir e promover o mínimo de segurança.
As empresas possuem uma preocupação muito grande primeira em ter uma meio de voltar os dados em caso de perda, assim o primeiro ponto abordado pela maioria foi o backup como procedimento primário e segundo vem a preocupação de prevenir o acesso à informação por meio externo. Somente a Phoenix, que tem a preocupação em manter e desenvolver procedimentos que garantam a continuidade do negócio e foi somente ela que trata a área de TI como uma área estratégica enquanto todas as outras tratam como suporte.
Das áreas de atuação das outras empresas, além da Phoenix, tinha um escritório de advocacia, um de contabilidade, um comercio e um clube de futebol. Destes nenhum conseguiria manter a continuidade do negócio sem a presença do setor de TI e o tratamento da área somente como área de suporte é mesmo que dizer que o setor financeiro tem como função fazer pagamentos, sem ter atitudes estratégicas para o negócio.
Seguindo a linha de raciocínio que o elo fraco na gestão de segurança é o fator humano e que nas empresas entrevistadas este fator não faz parte de decisões quando adoptado algum método de segurança e que só foi possível ver o uso de estratégias tecnológicas é possível concluir que as empresas de pequeno e médio porte são o elo fraco dentro da cadeia de gestão de segurança da tecnologia da informação. Sabendo deste fato e que a informação é volátil e que pode estar disponível em vários lugares ao mesmo tempo, nos remete a um ambiente interessante. Um projeto de segurança de uma grande empresa pode ter sérias falhas de segurança se não for levado em consideração quais informações estarão de posse de seus parceiros e quais os níveis de segurança de estes possuem.
De todas as empresas entrevistas todas elas possuem rede wireless visível e nunca alteraram o SSID, os rádios usado são rádios domésticos que fecham conexão em WPA/ WPA2, permitindo que o atacante gerasse uma Rainbow Table e acessasse a rede local pela radio. Dentro da rede ele poderia executar o método Man In The Middle para redirecionar os pacotes para seu computador e então obter informações como senhas. O ataque de Man in The Middle também seria possível executá-lo associado com técnicas de Engenharia Social se passando por fornecedores ou possíveis clientes, tendo acesso as redes cabeadas ou wireless. Isto se dá porque nenhuma das empresas possuem redes separadas de visitantes e permitem que visitantes acessem a redes corporativa para usufruir da internet. Podemos concluir que todas as empresas entrevistadas possuem redes locais vulneráveis.

Novamente somente a empresa Phoenix sabia o real valor da informação dentro de sua organização e conseguia contabilizar isto, ao ponto de definir que era mais prudente tirar de dentro as organização a gestão destas informações críticas e deixá-las para gestão de uma equipe qualificada, esta estratégia vai além do valor dado a sua informação esta vinculada a continuidade do negócio. As demais empresas não tem mensurado o valor da informação e acreditam estar promovendo continuidade TI através de simples estratégias de backup e não promovem continuidade de negócio. Não existe continuidade de TI sem continuidade de negócio e esta falsa sensação trazem grandes prejuízos a estas empresas quando um incidente ocorre.


Alguns dos entrevistados conheciam os ataques e as possibilidades na teoria, somente a empresa Phoenix possuía um comitê de segurança desenvolvido, as demais deixavam por conta da área de TI ou não possuíam, assim concluo que a Phoenix que estava preparada para responder de forma efetiva a alguma ameaças as demais tinham respostas somente reativas.
Concluo que empresas de menor porte não estão preparadas para garantir a segurança de sua informação e de parceiros maiores, mas isto nem tanto pela tecnologia adotada, mas pela postura empresarial e consciência do delas diante da informação.
É importante que empresas de menor porte comecem a conscientizar informações sigilosas e importante de suas clientes também trafegam em suas organizações e segurança da informação vai além de equipamentos eletrônicos e computadores. É importante conhecer o bem digital e seu valor principalmente para aqueles que não tem acesso e quanto estes agentes estão dispostos a investir para ter esta informação, para só assim definir os procedimentos de segurança.
Referências
CEBRIÁN, Juan Luis. A rede: como nossas vidas são transformadas pelos novos meios de comunicação. São Paulo: Summus, 1999.
DIÓGENES, Yuri e MAUSER, Daniel, Certificação Security+: Da Prática para o Exame SYO-301. Rio de Janeiro: Ed. Novaterra, 2011.
LAUDON, Kenneth C. e LAUDON, Jane Price. Gerenciando Sistemas de Informação. Rio de Janeiro: Ed. LTC, 1999.
MITNICK, Kevin D. e SIMON, Willian L. A Arte de Enganar. São Paulo: Ed. Makron Books, 2005.
SÊMOLA, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro: Ed. Campus, 2003.
AUTORIZAÇÃO PARA PUBLICAÇÃO

X

AUTORIZO A PUBLICAÇÃO DO ARTIGO TÉCNICO NA INTERNET, JORNAIS E REVISTAS TÉCNICAS DO IETEC.


NÃO AUTORIZO A PUBLICAÇÃO OU DIVULGAÇÃO DO ARTIGO TÉCNICO



CURSO:

Gestão Avançada de Projetos

SEMESTRE/ANO:

06/2013

TURMA:

12a.

TÍTULO DO ARTIGO: SLA – ACORDO OU CONTRATO







Paolo Bordoni Caldeira

















BELO HORIZONTE, 10 Out. 2012


©bemvin.org 2016
enviar mensagem

    Página principal