UNIT – UNIVERSIDADE TIRADENTES
PROEAD – PRÓ-REITORIA ADJUNTA DE ENSINO A DISTÂNCIA
COORDENAÇÃO ADJUNTA DO CURSO DE GESTÃO EM TECNOLOGIA DA INFORMAÇÃO (TI) – EAD
Orientador: Prof. Anderson Barroso
Ameaças à Segurança da Informação:
Os Riscos Humanos como Fator Prevenção.
Cleone Francisco Santos
Deverton Santana Silva
João Paulo Hora Gouvêa
Resumo
A Segurança da Informação está relacionada com a proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Os atributos de confidencialidade, integridade e disponibilidade são características básicas, não estando esta segurança restrita somente aos sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. Seu conceito se aplica a todos os aspectos de proteção de informações e dados. A Análise de Riscos identifica as ameaças mais prováveis de ocorrência, observando as vulnerabilidades encontradas na organização e possibilitando a tomada de decisões definitivas. O presente artigo tem o objetivo de conhecer os riscos principais, assumindo a postura de eliminá-los, minimizá-los, compartilhá-los ou assumi-los. Conhecer e entender esses riscos é fator de prevenção, decisivo no processo de segurança da informação. Todo o investimento inserido na proteção das informações de uma companhia poderá ser prejudicado se o bem mais importante não for desenvolvido – os profissionais que ali trabalham.
Palavras-chaves: Conscientização. Gestão da Segurança. Riscos Humanos.
Abstract
The Security of the Information is related to the protection of all data in order to preserve the value they hold for an individual or an organization. The attributes of confidentiality, integrity and availability are basic characteristics and are not restricted only to the security computer systems, electronic information systems or storage. His concept applies to all aspects of protection of information and data. The Risk Analysis identifies the threats most likely to occur, noting the vulnerabilities found in the organization and allowing the taking of final decisions. This article aims to know the main risks, assuming the posture of eliminate them, minimize them, share them or took them. Knowing and understanding these risks is a factor of prevention, decisive in the process of information security. All the added investment in information protection, a company may be prejudiced if the most important is not developed - the professionals who work there.
Keywords: Awareness. Security Management. Human Risk.
_______________________________________________________________
Tel.: (79) 8111-0410; cleonessantos@yahoo.com.br
Tel.: (79) 9965-9279; deverton_sistemas@yahoo.com.br
Tel.: (79) 9916-8274; jphg2006@yahoo.com.br; jpgouvea@yahoo.com.br
INTRODUÇÃO
O presente trabalho tem por objetivo realizar uma análise bibliográfica e referencial, a partir do conceito da Segurança da Informação, observando sua utilização e os principais riscos encontrados, enfatizando o mais freqüente e suas conseqüências para as informações que devem ser protegidas. Partindo-se do pressuposto que um estudo teórico-metodológico é fundamental no auxilio do desenvolvimento de ações decisivas. É necessário ratificar que a partir do conceito e dos motivos que norteiam suas causas, pode-se encontrar a solução para os entraves ocorrentes, proporcionando o conhecimento do risco como fator preventivo.
Segurança da Informação está relacionada com a proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos de confidencialidade, integridade e disponibilidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si.
O conceito de Segurança da Informação é padronizado pela norma ISO/IEC 17799:2005, sendo influenciada pelo padrão inglês, British Standard, BS 7799. As normas ISO/IEC 27000 foram reservadas para abordar os padrões desta denominação aqui conceituada. A ISO/IEC 27000:2005 continua sendo considerada, para fins cronológicos, como 17799:2005.
A Informação compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de utilizado pelo ser humano, é tudo aquilo que permite a aquisição de conhecimento. Neste sentido, a informação digital é um dos principais, ou o mais importante, produto da atualidade, podendo ser manipulada e visualizada de diversas formas. Assim, à medida que circula pelos mais variados ambientes, percorrendo diversos lugares, ela pode ser armazenada para os variados fins, possibilitando ser lida, modificada e/ou apagada. A primeira medida para impedir o vazamento de informações é deixar o colaborador, ou profissional, ao lado da empresa ou instituição, ou seja, prevenindo o risco humano que é o principal entrave encontrado no Sistema da Informação.
1 SEGURANÇA DA INFORMAÇÃO: SOBRE A NECESSIDADE DE PROTEÇÃO DE SISTEMAS DE INFORMAÇÕES
A tecnologia evoluiu em sua capacidade de armazenamento de informações, o que possibilita a todos um acesso cada vez maior. Portanto, o computador, esta máquina complexa disponibiliza a ampliação do conhecimento em virtude das várias formas de utilização e finalidades. É importante ressaltar que sua utilização completa implica no seu conhecimento estrutural e histórico, o que facilita a compreensão de sua complexidade, valorizando e respeitando o seu desenvolvimento. A utilização desta ferramenta auxilia na produção de informações importantes, as quais necessitam de sigilo e segurança, objetivando o correto uso do conteúdo adquirido.
A partir da afirmação da tecnologia da informação no mundo, há uma necessidade de oferecer suporte à colaboração de múltiplas organizações e comunidades que muitas vezes têm interesses incomuns. O controle do acesso às informações é um requisito fundamental nos sistemas atuais. É oportuno ratificar que a grande maioria das informações disponíveis encontra-se armazenadas e são trocadas entre os mais variados sistemas automatizados.
Inúmeras vezes, decisões e ações desenvolvidas decorrem das informações manipuladas pelos sistemas, assim sendo toda e qualquer informação deve ser completa, precisando estar disponível, uma vez que poderá ser armazenada, recuperada, manipulada ou processada se assim for preciso, bem como poder ser trocada de forma segura e confiável. É necessário salientar que a informação constitui uma mercadoria de suma importância para as organizações dos diversos segmentos, por isso a Segurança da Informação tem sido uma questão de elevada prioridade nas organizações e no mundo.
Segurança da informação compreende um conjunto de medidas que visam proteger e preservar informações e sistemas de informações importantes, assegurando a integridade, a disponibilidade, a autenticidade, a privacidade e a confidencialidade dessas informações.
Neste sentido, os mecanismos de proteção têm por objetivo criar um suporte à restauração de sistemas de informações, adicionando capacidades de detecção, reação e, principalmente, proteção. O uso desses elementos é feito de acordo com as necessidades específicas de cada organização, ou instituição. Assim, sua utilização pode ser determinada pela suscetibilidade das informações ou sistemas de informações, pelo nível de ameaças ou por quaisquer outras decisões de gestão de riscos.
As organizações e, mais amplamente, os países incluem em suas metas o forte uso de criptografia como proteção, além do incentivo à educação em questões de segurança, a disponibilidade de tecnologia da informação com suporte a segurança, a infra-estrutura de gestão de segurança e a disponibilidade de mecanismos de monitoramento e capacidade de alerta a possíveis ameaças.
As formas correntes de implementação de mecanismos de segurança em sistemas de informação, como a criptografia, que é utilizada como prevenção ou solução para falhas em segurança, na ampla maioria dos casos, são notadamente técnicas, e tendem a sê–lo em grau cada vez maior, haja vista o fato de as iniciativas apresentadas se basearem em atualizações e sofisticações da tecnologia. (MARCIANO; MARQUES, p. 93, 2006)
Atualmente, em uma época a qual o conhecimento e a informação são fatores de suma importância para qualquer organização ou trabalho, a Segurança da Informação é um pré-requisito que serve como subsídio para todo e qualquer sistema de informações, há uma relação de dependência entre a segurança da informação e os seus elementos.
A confidencialidade e a privacidade oferecem suporte à prevenção de revelação não autorizada de informações, bem como mantêm dados ocultos a usuários não autorizados e desconhecidos, não dando privilégio de acesso. A integridade previne a modificação não autorizada das informações. A disponibilidade dá apoio à construção de um acesso confiável e disponível as informações. E a autenticidade compreende o que poderia ser denominado de responsabilidade final, buscando fazer a verificação da identidade de uma pessoa ou agente externo de um sistema, com a finalidade de assegurar a integridade de origem.
Os elementos referidos anteriormente visam promover os sistemas de informações contra os mais variados tipos de ameaças como, por exemplo, em casos de espionagem, fraude, modificação de informações ou até mesmo em casos de modificação de informações ou usurpação das informações.
É imprescindível ressaltar que as ameaças podem ser de diversas naturezas, elas são geralmente classificadas como ameaças passivas, ativas, maliciosas e não maliciosas. Para lidar com estes males, torna-se necessário a definição de políticas e mecanismos de segurança que visam a prevenção, evitando que invasores indesejáveis violem os mecanismos de segurança, além da recuperação dos danos causados por diversos problemas do sistema.
Algumas questões de natureza operacional surgem em decorrência da necessidade de prover suporte à segurança de sistemas de informações, são questões de teor financeiro, cognitivo, metafórico e legal.
2 ANÁLISE DE RISCOS
A Análise de Riscos é um processo fundamental na organização, uma vez que identifica as ameaças mais prováveis de ocorrência, verificando a fragilidade e a vulnerabilidade encontradas, possibilitando a tomada de providências eficazes contra os danos sofridos. O relacionamento entre processos e ativos é fator de sucesso no processo de Segurança da Informação. A metodologia utilizada pode ser dividida em três partes: reconhecimento, análise e classificação. O reconhecimento coleta todas as informações sobre o ativo, enquanto que a análise possibilita a identificação o relacionamento existente, e a classificação, como o próprio nome sugere, verifica e classifica o tipo de ameaça.
O objetivo geral é a recuperação de danos, garantindo a proteção dos ativos frente a determinadas ameaças. Uma ameaça em potencial afeta diretamente os ativos que estão mais expostos e esta exposição é medida pelo grau de vulnerabilidade. Desta forma, a análise de riscos verifica cada área funcional da organização, devendo ser analisada para determinar o risco em potencial e o impacto causado pelas ameaças.
A Análise de Riscos é a verificação dos pontos críticos que possam vir a apresentar entraves críticos durante a execução de um determinado objetivo. Podendo pontuar os principais métodos de análise de riscos como análise preliminar, análise da falha humana e a análise das falhas e efeitos, e assim, será dedicação maior atenção a análise da falha humana, com a finalidade de prevenir os riscos, conforme objetivo deste artigo.
A Análise Preliminar de Risco pode ser considerada como um estudo realizado superficialmente durante a fase de concepção ou desenvolvimento inicial de um novo projeto ou sistema, tendo a finalidade de determinar os possíveis riscos que poderão ocorrer na fase operacional. Pode ser interpretada, portanto, como uma análise inicial qualitativa, desenvolvida na fase de projeto, de planejamento e desenvolvimento de qualquer processo, ou de qualquer produto, tendo importância relevante na investigação de sistemas novos de alta inovação e/ou pouco conhecidos. Esta fase “preliminar” oferece os resultados de uma experiência analisando os riscos e verificando se o projeto, ou produto, contém alguma irregularidade ou deficiência.
Apesar das características básicas da análise inicial, trata-se de uma ferramenta essencial de revisão geral de segurança, revelando aspectos despercebidos, não é uma técnica específica, mas um tipo de protocolo, atitude profunda de análise dos riscos aos sistemas. Além disso, geralmente, precede da aplicação de outras técnicas mais detalhadas de análise, uma vez que seu objetivo principal é determinar os riscos e as medidas preventivas antes da fase operacional.
No momento em que é aplicada, a fase preliminar, expõe ainda outros detalhes do projeto, mas a falta de informações, quanto aos procedimentos, poderá ser prejudicial e os riscos serão ainda maiores. Os princípios e a metodologia a ser usada consistem em proceder uma revisão geral dos aspectos de segurança de forma sistematizada, descrevendo e detalhando todos os riscos, além de fazer sua caracterização.
A partir da descrição dos riscos são identificadas as causas, ou agentes, bem como os efeitos e suas conseqüências, permitindo a busca e elaboração de ações e medidas eficazes para a correção das possíveis falhas detectadas, como também permitir a elaboração de métodos preventivos para possíveis problemas futuros e a priorização dessas ações determina o risco, auxiliando mas rapidamente na aquisição da solução.
A Análise de Riscos tem sua importância maior no que se refere a construção de medidas de controle e prevenção de riscos, oferecendo revisões em tempo hábil, permitindo maior segurança ao sistema e as informações, definindo a responsabilidade em relação ao controle.
a) Revisão de problemas conhecidos: consiste na busca de analogia ou similaridade com outros sistemas, para determinação de riscos que poderão estar presentes no sistema que está sendo desenvolvido, tomando como base a experiência passada.
b) Revisão da missão a que se destina: atentar para os objetivos, exigências de desempenho, principais funções e procedimentos, ambientes onde se darão as operações, etc. Enfim, consiste em estabelecer os limites de atuação e delimitar o sistema que a missão irá abranger: a que se destina, o que e quem envolve e como será desenvolvida.
c) Determinação dos riscos principais: identificar os riscos potenciais com potencialidade para causar lesões diretas e imediatas, perda de função (valor), danos à equipamentos e perda de materiais.
d) Determinação dos riscos iniciais e contribuintes: elaborar séries de riscos, determinando para cada risco principal detectado, os riscos iniciais e contribuintes associados.
e) Revisão dos meios de eliminação ou controle de riscos: elaborar um “brainstorming” para levantamento dos meios passíveis de eliminação e controle de riscos, a fim de estabelecer as melhores opções, desde que compatíveis com as exigências do sistema.
f) Analisar os métodos de restrição de danos: pesquisar os métodos possíveis que sejam mais eficientes para restrição geral, ou seja, para a limitação dos danos gerados caso ocorra perda de controle sobre os riscos.
g)Indicação de quem será responsável pela execução das ações corretivas e/ou preventivas: Indicar claramente os responsáveis pela execução de ações preventivas e/ou corretivas, designando também, para cada unidade, as atividades a desenvolver. (WIKIPÉDIA, 2008)
A análise de riscos e sua fase preliminar não é uma operação completa e perfeita, necessitando ser complementada mediante a outras técnicas mais apuradas, e assim gerando desenvolvimento na proteção aos riscos, que também evoluem. As experiências adquiridas por meio de análise conduzem a um amplo númeor de informações, determinantes, sobre os riscos que acometem os sistemas operacionais.
Segundo diversos especialistas cerca de 70% dos acidentes são causados por falha humana. As tecnologias atuais ganharam riscos que são afetados pelas ações realizadas por pessoas em situações normais, do cotidiano, de manutenção e de emergência.
Embora pareça que o ser humano seja o culpado por toda a “falha”, sendo o último envolvido na ação, esta “falha” começa mesmo no projeto de construção de um sistema tecnológico, problema é que estas falhas de projeto e construção são numerosas e geralmente, erroneamente, entendidos como falhas do usuário. O que ocorre são certos componentes do sistema – como complexidade e perigos – colocarem o usuário em situações, nas quais não é possível realizar com sucesso algumas ações, como projetado, diminuinado os riscos. Os erros dos operadores em algumas tecnologias são forçados pela própria tecnologia e suas condições, além do conhecimento que se tem da própria tecnologia. Assim, o risco sempre terá e será um fator humano, esta contribuição humana para o risco pode ser entendida, avaliada e quantificada aplicando-se técnicas da análise preliminar de riscos, por exemplo.
O risco humano é definido, então, como a probabilidade de que um conjunto de ações sejam executadas com sucesso em um tempo estabelecido ou em uma determinada oportunidade, ou seja, nunca será 100%, ou perfeito sem nenhum risco ou fatalidade, mas o conhecimento e o entendimento auxiliam na prevenção dos danos.
Neste momento, a análise preliminar dos riscos é fundamental para se prevenir problemas na proteção dos sistemas de informação. O executor precisa ter conhecimento sobre os métodos e as ações estabelecidas para análise inicial, bem como sobre a tecnologia utilizada, caso contrário todas as ameaças que acometerá o sistema, serão classificadas como falha humana, e pode-se dizer que realmente é. São os operadores os principais responsáveis pelos riscos, porque estão diretamente envolvidos, mas será a preparação e a capacitação em relação a análise tecnológica sobre o projeto que determinará o responsável.
3 FATOR HUMANO: PRINCIPAL RISCO A SEGURANÇA DA INFORMAÇÃO
Partindo do princípio de que não existe zero por cento de risco, por mais que todas as portas estejam protegidas e que os processos sejam bem-estruturados, há normas e código de ética, dando origem ao “elo” mais fraco da segurança – as pessoas. Não há maior vulnerabilidade que o funcionário insatisfeito, ou seja, todo o imenso investimento para proteger as informações cruciais pode ser prejudicial se a companhia descuidar do que ela tem de mais importante – os profissionais que ali trabalham.
Especialistas em segurança assinalam que o descontentamento do colaborador pode levá-lo a cometer infrações. A desmotivação somada à identificação de alguma irregularidade na segurança representa um motivo para causar um entrave. Um funcionário que tem metas inatingíveis trabalha em uma estrutura de opressão, não se sente confortável, não tem perspectivas de desenvolvimento na carreira, não está capacitado ou habilitado ao trabalho propriamente dito, cria um ambiente propício para executar uma falha.
Então, a primeira medida para impedir o vazamento de informações é deixar o colaborador do lado da empresa. Segundo Prescott (2007), não há uma fórmula pronta. O contrate certo, a implantação de programas de engajamento, os quais fazem com que as pessoas sintam que vale a pena trabalhar na empresa, melhoram o conhecimento, as habilidades e as atitudes dos funcionários.
CONCLUSÃO
A partir de uma pesquisa sistematizada e organizada, pôde-se concluir que a Segurança da informação é um fenômeno social, no qual os usuários, incluindo os gestores, dos sistemas de informação têm razoável conhecimento acerca do uso destes sistemas, incluindo os ônus decorrentes expressos por meio de regras, bem como sobre os papéis que devem desempenhar no exercício deste uso.
A correta gestão ou governança da segurança da informação é atingida com o compromisso de todos os usuários quanto à aplicação das normas e procedimentos estabelecidos. De fato, o termo "governança" tem sido usado cada vez mais para indicar as atividades de planejamento, implementação e avaliação das atividades voltadas à segurança.
Investir no bem-estar para combater a fraude. As informações extremamente importantes são de conhecimento restrito, como a composição de produtos, etc. Para garantir o sigilo a outros dados é realizada campanha de conscientização com os funcionários. A tendência é que cada vez mais o ato de restringir o ambiente, por causa das vulnerabilidades, agravadas, por exemplo, pela popularização dos celulares que permitem sincronização e conta com uma série de interfaces, o risco aumente. As companhias têm de adequar suas políticas, normas, controles internos e monitoração à medida que surgem novos dispositivos.
É importante ratificar que fechar as portas, no entanto, implica em andar na direção contrária do mercado, que pede por mais interação. O desafio para as companhias é balancear os benefícios que os recursos oferecem frente aos riscos que eles agregam ao ambiente corporativo. O balanceamento deve levar em conta o perfil de atividade do departamento dentro da organização. Hoje, não existe uma política única para toda a instituição, cada empresa apresenta características diferenciadas e exige políticas diversas de acordo com o seu perfil. Os riscos diminuirão ou serão erradicados quando a prevenção estiver presente no bom relacionamento com os seus funcionários.
REFERÊNCIAS BIBLIOGRÁFICAS
MARCIANO e MARQUES, João Luiz and Mamede Lima. O enfoque social da segurança da informação. Ci. Inf., Dezembro de 2006, vol.35, no.3, p.89-98. ISSN 0100-1965
WIKIPÉDIA, A Enciclopédia Livre. Análise de Risco. Jun. 2008. GNU Free Documentation License. Disponível em: . Acessado em 05 de julho de 2008, às 10’20h.
PRESCOTT, Roberta. Fator Humano: um dos Pilares da Segurança da Informação. Set. 2007. Revista Eletrônica It Web. Disponível em: . Acessado em 02 de julho de 2008, às 20’40h.
SÊMOLA, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. 1ª edição. 160 p. São Paulo: Editora Campus, 2003.
MAGAZINE, B2B. Comportamento de Risco. Nov. 2006. Fernando Ferreira Auditoria e Segurança de Sistemas de Informação. Disponível em: . Acessado em 10 de julho de 2008, às 17’35h.
INSIDE, TI. Conscientização é a chave para o uso seguro dos serviços on-line. Nov. 2006. Fernando Ferreira Auditoria e Segurança de Sistemas de Informação. Disponível em: . Acessado em 10 de julho de 2008, às 17’50h.
_ NBR 14724: informação e documentação: trabalhos acadêmicos: apresentação / 2002
_ NBR 6023: informação e documentação: referências: elaboração / 2002
_ Apresentação de trabalhos acadêmicos, dissertações e teses: NBR 14724/2002 / 2002
_ Metodologia do trabalho científico: abordagens para a construção de trabalhos acadêmicos - 5. ed., rev. e ampl. Manual de artigos científicos / 2004
_ Metodologia do trabalho científico: procedimentos básicos, pesquisa bibliográfica, projeto e relatório... - 6. ed., rev. e amp., 7. reimpr. / 2006
GONÇALVES, Hortência de Abreu. Manual de Artigos Científicos. São Paulo: Avercamp, 2004.