docsegurança da informação – uma questão não apenas tecnológica
download 
Denúncia Transcrição
segurança da informação – uma questão não apenas tecnológica
Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações Paulo Cesar Cardoso Rocha SEGURANÇA DA INFORMAÇÃO – UMA QUESTÃO NÃO APENAS TECNOLÓGICA Priscila Solís Barreto Professora Orientadora Brasília, dezembro 2008 SEGURANÇA DA INFORMAÇÃO – UMA QUESTÃO NÃO APENAS TECNOLÓGICA Paulo Cesar Cardoso Rocha Monografia de especialização submetida e aprovada pela Universidade de Brasília como parte do requisito parcial para obtenção do certificado de Especialista em Gestão da Segurança da Informação e Comunicações. Profa. Dra. Priscila Solís Barreto Universidade de Brasília Prof. Dr. Jorge Fernandes Universidade de Brasília Prof. Dr. Pedro Berger Universidade de Brasília Brasília, dezembro 2008 AGRADECIMENTOS Agradeço à minha esposa Adriana e às minhas filhas Catarina e Heloísa, pela paciência em meus momentos de ausência. “Quem tem conhecimento adequado tem o poder que, antes, a terra, os meios de produção e o capital conferiram às classes dominantes.” Jayme Teixeira Filho RESUMO O foco deste trabalho, ao abordar a área de segurança da informação, é discutir razões para o comportamento desapropriado dos funcionários e apresentar soluções para mitigar as vulnerabilidades organizacionais em razão do comportamento humano. De forma específica, busca-se listar e exemplificar condutas comportamentais que tornam o sistema de segurança vulnerável; abordando a padronização de condutas para mitigar o risco. Desta forma, este trabalho pretende salientar a importância do componente comportamental nos processos de Aprendizagem Organizacional nas instituições públicas, assim como a preponderância da mudança comportamental. Os resultados obtidos sugerem um modelo para a formulação de políticas de segurança da informação baseadas em moldes afeitos ao domínio das ciências sociais e construídas com ênfase na observação dos sistemas de informação e no contexto em que se inserem. Palavras – Chave: Segurança da informação; políticas de segurança da informação; componente comportamental. ABSTRACT The focus of this work within the information security area is to discuss reasons for the inappropriate behavior of officials and to present organizational solutions to mitigate organizational vulnerabilities due to human behavior. Specifically, it lists and exemplifies behaviors that make the security system vulnerable; addressing the standardization of conducts to mitigate risk. Thus, this paper intends to stress the importance of behavioral processes of organizational learning in public institutions, as well as the preponderance of behavioral change. The results suggest a model for the formulation of information security policies based on social sciences and constructed with emphasis on observation of information systems and in the context in which they operate. Keywords: Information Security; information security policies; behavioral component. SUMÁRIO RESUMO __________________________________________________________ v ABSTRACT _______________________________________________________ vii 1. INTRODUÇÃO ____________________________________________________9 1.1 Problema de Pesquisa ____________________________________________10 1.2 Hipótese _______________________________________________________10 1.3 Objetivos de Pesquisa ____________________________________________15 1.4 Justificativa_____________________________________________________16 1.5 Metodologia ____________________________________________________18 2. CONCEITOS SOBRE SEGURANÇA DA INFORMAÇÃO __________________21 2.1Segurança ______________________________________________________21 2.2 Informação _____________________________________________________22 2.3 Segurança da Informação _________________________________________24 2.4 O comportamento do usuário _______________________________________26 2.5 Engenharia Social _______________________________________________28 2.6 Cultura organizacional ____________________________________________29 2.7 Resumo do Capítulo______________________________________________32 3. ESTUDO DE CASO _______________________________________________34 3.1 Petrobrás ______________________________________________________35 3.2 INSS __________________________________________________________38 3.3 DETRAN_______________________________________________________41 3.4 Fórum Central de Porto Alegre______________________________________44 3.5 Medidas Necessárias para a melhoria da SI ___________________________48 3.6 Resumo do Capítulo______________________________________________55 4. CONCLUSÕES __________________________________________________56 REFERÊNCIAS BIBLIOGRÁFICAS _____________________________________60 9 1. INTRODUÇÃO Ao se abordar Segurança da Informação, logo se imagina um arsenal de equipamentos e sistemas, todos concebidos para proibir a invasão daquele estereótipo de hacker mal-intencionado que deseja roubar informações da sua organização. Contudo, observa-se na mídia em geral um número razoável de incidentes de segurança que, em princípio, não teriam sido ocasionados por questões tecnológicas e nem por hackers mal-intencionados. Em razão disso, esse trabalho elegeu quatro cases de incidentes de segurança da informação ocorridos na Administração Pública que, a priori, não teriam sido ocasionados por questões tecnológicas. Dessa forma, esse estudo contempla um tema recorrente, mas que se apresenta atual, por ensejar a análise de casos reais de quebra de segurança da informação e propor medidas, buscando focalizar a discussão em questões não tecnológicas relacionadas à Segurança da Informação, apresentando uma visão integrada de cultura organizacional, comportamentos, relações de poder e tecnologia como uma abordagem viável de Segurança da Informação para as organizações. Uma abordagem acerca da Segurança da Informação focando questões não tecnológicas torna-se relevante na medida em que outros fatores poderiam também estar envolvidos na análise de incidentes de segurança. Quando se pensam os problemas relacionados à segurança da informação de uma maneira completa, 10 integrada aos negócios e à realidade das organizações, é necessário considerar, além dos aspectos tecnológicos, esses outros aspectos também. É importante ressaltar que, em qualquer sistema de segurança, a “corrente” costuma romper-se em seu elo mais fraco. Sendo assim, eleva-se a importância de um equilíbrio de forças entre os todos os fatores que poderão impactar na Segurança da Informação. 1.1 Problema de pesquisa Nos dias atuais, mesmo com razoáveis investimentos em tecnologia, as organizações continuam vulneráveis, pois empregados despreparados, desinformados e mal intencionados, a ausência de políticas claras, normas e procedimentos bem definidos, ou a inadequação dos mesmos, e instalações impróprias tornam-se a porta de saída para informações estratégicas. A pesquisa busca problematizar a seguinte questão: Por que as organizações sofrem incidentes de segurança da informação mesmo investindo em Tecnologia? 1.2 Hipótese Dentro desse contexto, o presente trabalho levanta a seguinte hipótese: a tecnologia não é o único fator determinante para as falhas na Segurança da Informação. Então, para orientar a análise dos cases reais neste trabalho são listados onze fatores que podem impactar na Gestão da Segurança da Informação. 11 Esses fatores estão relacionados com os objetivos de controle e controles listados nas Normas ABNT NBR ISO 27002:2005 e 27001:2006: a) Política de Segurança A Política de Segurança da Informação proporciona uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentos relevante. A Política necessita ser clara, alinhada com os objetivos do negócio, demonstrar apoio e comprometimento com a segurança da informação e abranger toda a organização. b) Organização da Segurança da Informação A Segurança da Informação necessita de uma estrutura de gerenciamento para iniciar e controlar a implementação da Segurança da Informação dentro da organização. c) Gestão de Ativos Os ativos indispensáveis à Segurança da Informação necessitam ser inventariados e ter um proprietário responsável. A Gestão de Ativos inclui a Classificação da Informação, pois, a informação possui vários níveis de sensibilidade e criticidade, sendo assim, alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. d) Recursos Humanos A organização necessita assegurar que os funcionários, terceirizados e fornecedores entendam suas responsabilidades e 12 estejam de acordo com os seus papéis. Alguns cuidados precisam ser tomados durante a seleção, no dia-a-dia e na desmobilização. e) Segurança Física e do Ambiente Os ambientes que contém informações sensíveis da organização, ou que processam as mesmas, precisam estar devidamente protegidos contra acessos não autorizados. Devem conter barreiras de segurança, controles de acessos e possuir perímetros seguros. f) Gerenciamento das operações e comunicações Os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações precisam estar definidos. Isso inclui a segregação de funções e áreas; o monitoramento e análise crítica de serviços terceirizados; o planejamento e aceitação dos sistemas; a proteção contra códigos maliciosos e códigos móveis; a geração de cópias de segurança; o gerenciamento da segurança em redes; o manuseio, controle e proteção das mídias; a troca de informações entre organizações e internamente; e o monitoramento, o registro e a auditoria. g) Controle de Acesso A organização necessita controlar o acesso à informação, aos recursos de processamento das informações e aos processos de negócio. Isso inclui a política de controle de acesso; o registro dos usuários; o gerenciamento de privilégios; a concessão de senhas; a análise crítica dos direitos de acesso; a seleção e uso adequado de senhas; o controle de acesso à rede; o controle de acesso ao 13 sistema operacional, o controle de acesso à aplicação e à informação; e o controle do uso da computação móvel e dos recursos de trabalho remoto. h) Aquisição, desenvolvimento e manutenção de Sistemas de Informação Esse fator inclui os requisitos de segurança dos sistemas operacionais, da infra-estrutura, das aplicações de negócios, dos produtos de prateleira, dos serviços e das aplicações desenvolvidas pelos usuários; o processamento correto nas aplicações; o uso dos controles criptográficos; o acesso aos arquivos de sistema e aos programas de código fonte; a segurança e controle dos ambientes de projeto e de suporte; e a gestão das vulnerabilidades técnicas. i) Gestão de Incidentes de Segurança da Informação Esse fator inclui o estabelecimento de procedimentos formais de registro e escalonamento dos incidentes; e a definição de responsabilidades e procedimentos para o manuseio efetivo de eventos de segurança e fragilidades, incluindo um processo de melhoria contínua. j) Gestão da Continuidade do Negócio A Gestão da Continuidade de Negócios tem por objetivo não permitir a interrupção das atividades do negócio; proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo real hábil, se for o caso; minimizar um impacto sobre a organização; e recuperar perdas de 14 ativos de informação a um nível aceitável através da combinação de ações de prevenção e recuperação. k) Conformidade A Conformidade tem por objetivo evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentos ou obrigações contratuais e de qualquer requisito de segurança da informação; garantir a conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação; e maximizar a eficácia e minimizar a interferência no processo de auditoria dos sistemas de informação. Observa-se dentre os fatores listados acima, que há dentre eles alguns fatores que não estão diretamente relacionados com a parte tecnológica. Os demais fatores estão ligados aos aspectos tecnológicos, alguns com maior ênfase e outros com menor. Poderíamos listar como fatores não relacionados aos aspectos tecnológicos os fatores: política de segurança, organização da Segurança da Informação, gestão de ativos, recursos humanos, segurança física e do ambiente, e conformidade. Na verdade, em determinado grau, todos os fatores estão relacionados uns com os outros, pois fazem parte de um modelo de gestão de um sistema de segurança da informação. A discriminação dos fatores em tecnológicos ou não é puramente didática para demonstrar, através dos casos práticos, que fatores não tecnológicos também são determinantes para as falhas na Segurança da Informação. 15 1.3 Objetivos de Pesquisa 1.3.1 Objetivo Geral Analisar cases reais de vazamento ou perda de informações, identificar os prováveis fatores ocasionadores das falhas de segurança e relacioná-los com os grupos apresentados na seção 1.2. A análise dos referidos cases permitirá a apresentação de recomendações para mitigar as vulnerabilidades organizacionais em razão da classificação dos fatores. A partir da análise de casos de alguns órgãos da Administração Pública, pretende-se ressignificar a discussão em torno da Segurança da Informação, incorporando elementos não tecnológicos à análise, de forma a extrair recomendações amplas e contribuir para a formulação de políticas de segurança da informação dentro de uma visão integrada de cultura organizacional, comportamentos, relações de poder e tecnologia. Não se pretende, aqui, criar um manual ou fórmula a ser seguida, pois algumas particularidades sempre deverão ser respeitadas; mas evidenciar que medidas básicas de segurança devem independentemente de tamanho ou missão. aplicar-se a todos os órgãos, 16 1.3.2 Objetivos Específicos • Analisar cases reais em que fatores não tecnológicos ocasionaram quebras de segurança da informação; • Identificar os fatores não tecnológicos que devem ser considerados na análise de situações de quebra de segurança da informação; • Apresentar recomendações de condutas que visem à mitigação dos riscos, com base em um conjunto de fatores pré-definidos. 1.4 Justificativa A motivação inicial deste trabalho partiu da observação e reflexão em torno do contexto organizacional do Banco Central do Brasil, instituição que foi alvo de ação criminosa, trazendo à tona questões de segurança - especialmente, segurança da informação (QUADRILHA, 2008). O Banco Central do Brasil, autarquia federal vinculada ao Ministério da Fazenda, tem, segundo seu Regimento Interno (BANCO CENTRAL, 2008), por finalidade, dentre outras, a formulação, a execução, o acompanhamento e o controle das políticas monetária, cambial, de crédito e de relações financeiras com o exterior; disciplinar a fiscalização do Sistema Financeiro Nacional; a gestão do Sistema de Pagamento Brasileiro e dos serviços do Meio Circulante. É indiscutível a relevância dos ativos que devem ser protegidos, de forma a garantir totalmente a 17 disponibilidade, integridade e confidencialidade das informações organizacionais dessa entidade. Chamou a atenção o assalto ocorrido ao Banco Central, em agosto de 2005, evento que expôs, em escala internacional, a vulnerabilidade da instituição nas questões de segurança. Apesar dos assaltantes do Banco Central terem como objetivo ativos monetários, para que uma operação daquela natureza pudesse ter êxito, presume-se que muitas informações foram necessárias para a fase de planejamento da ação criminosa. O êxito da ação nos faz presumir que essas informações não estavam protegidas devidamente. Não seria possível um crime dessa natureza sem informações detalhadas sobre as rotinas de segurança, os sistemas de alarmes existentes, a localização precisa da caixa-forte e dos bens existentes em seu interior. Dessa forma, pode-se dizer que, antes do crime patrimonial ser consumado, o que ocorreu foi roubo de informações valiosas para o planejamento do crime. Provavelmente, nesse aspecto, a realidade vivida pelo Banco Central não difere dos demais órgãos da Administração Pública. Se considerar-se que as vulnerabilidades e falhas relacionadas à segurança da informação podem replicar-se por quase todos os órgãos, de uma maneira ou de outra, com poucas variações, então, pelo mesmo raciocínio, as medidas necessárias poderão ser muito semelhantes. A consideração em torno dos riscos para uma organização, diante de uma eventual vulnerabilidade na Segurança da Informação, levou à reflexão sobre os fatores envolvidos nessa temática e à definição do objeto desta pesquisa – a preocupação com segurança da informação para além das questões tecnológicas. 18 1.5 Metodologia 1.5.1 Pesquisa Bibliográfica Escolheu-se para a realização deste trabalho uma pesquisa bibliográfica que permitiu um aprofundamento sobre os conceitos envolvidos no tema, a descrição de casos e suas respectivas análises e a apresentação de medidas para mitigar as vulnerabilidades organizacionais, em razão de questões não tecnológicas. A pesquisa está fundamentada em trabalhos científicos, em documentos técnicos e internet, além de outros trabalhos apresentados em congressos ou revistas especializadas, o que denota a relevância atribuída ao estudo do tema. Para tanto, procedeu-se a uma aprofundada coleta de artigos e trabalhos nas áreas tanto da segurança da informação quanto da formulação e implementação de políticas de caráter público e organizacional. Restringiu-se esta pesquisa ao universo conceitual espelhado no referencial teórico e na análise de cases ocorridos dentro da Administração Pública, não sendo implementado nenhuma pesquisa exploratória, tratando os dados dentro de uma premissa de realidade e atualidade. Não fizeram parte do objeto desta pesquisa os demais processos envolvidos no sistema de informação e nem outras variáveis, pois estas seriam uma ampliação do foco em questão, o que nos remeteria a outros tipos de estudos, que não estariam no bojo dos objetivos deste, pelo menos a princípio. 19 1.5.2 Coleta de cases A coleta de cases foi escolhida em razão da existência de inúmeros incidentes de segurança da informação que ocorrem na Administração Pública em geral, onde informações são roubadas ou perdidas, que se tornam cases de sucesso, pela ampla divulgação na mídia, mas em nada são aproveitados para a criação de experiências ou de dados estatísticos para os demais órgãos. Foram selecionados quatro cases, todos de ampla divulgação na mídia. Dentre os quatro cases, dois são da esfera estadual e dois da federal; três do Poder Executivo e um do Judiciário; e, três da administração direta e um da indireta (nesse caso uma sociedade de economia mista). Dessa forma, buscou-se, também, mesclar o universo de cada case. 1.5.3 Estrutura do trabalho Este trabalho está estruturado da seguinte forma: • No capítulo 2 serão apresentados conceitos que fundamentarão a análise dos outros capítulos. • No capítulo 3 serão apresentadas as descrições de quatro cases de incidentes de segurança, na Administração Pública, suas respectivas análises relacionadas com os fatores comportamentais, normativos e físicos, e a apresentação de aspectos genéricos necessários à melhoria da Segurança da Informação. 20 • No capítulo 4 são apresentadas as conclusões e considerações finais a partir da análise realizada. 21 2. CONCEITOS SOBRE SEGURANÇA DA INFORMAÇÃO Neste capítulo serão abordados os conceitos de segurança, segurança organizacional, informação, segurança da informação, comportamento do usuário, engenharia social, cultura organizacional e, por fim, será feita uma relação entre os conceitos de cultura organizacional com a gestão da segurança da informação. Todos esses conceitos têm por objetivo levar o leitor a um melhor esclarecimento a respeito desses temas e facilitar o entendimento de como esses conceitos são necessários para a compreensão de ocorrências de falhas de segurança da informação nas organizações. 2.1 Segurança De acordo com HOUAISS (2001, p. 2536), segurança é o estado, qualidade ou condição de uma pessoa ou coisa que está livre de perigos, de incertezas, assegurada de danos e riscos eventuais, afastada de todo mal. 2.1.1 Segurança Organizacional De acordo com o Regulamento do Sistema de Segurança do Banco Central do Brasil (BANCO CENTRAL, 2006): 22 “Art. 2º O Sistema de Segurança do Banco Central é o conjunto integrado de recursos aplicados para a prevenção, detecção, controle e correção de situações que possam comprometer o desempenho de suas funções.” E o Art. 3º do mesmo Regulamento afirma que: Art. 3º O Sistema de Segurança do Banco Central abrange todas as áreas de atuação do Banco Central, contemplando os seguintes campos: I - segurança das pessoas; II - integridade das instalações; III - continuidade das atividades; IV - segurança das informações; V - segurança de bens e valores; VI - segurança de dignitários. De acordo com o Regulamento do Sistema de Segurança do Banco Central do Brasil, pode-se notar que a segurança organizacional é um conjunto integrado de recursos de segurança inter-relacionadas entre si que contemplem todas as áreas de atuação do Banco. A Segurança das Informações é apenas um desses campos de atuação da Segurança Organizacional e necessita estar integrada aos demais para seu perfeito funcionamento. 2.2 Informação A informação sempre foi de grande relevância para a tomada de decisão e, portanto, para qualquer ato de gestão. Mas, hoje, o volume de informação disponível conheceu um crescimento exponencial. Atualmente não há falta de informação, mas sim excesso de dados. Uma conseqüência desta realidade é a exigência de organizar essa mesma quantidade de dados. E é para isso que existem os Sistemas de Informação. 23 De acordo com FILHO (2008), Doutor em Ciência da Computação, “informação” compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de utilidade ao ser humano. Trata-se de tudo aquilo que permite a aquisição de conhecimento. Nesse sentido, a informação digital é um dos principais, senão o mais importante, produto da era atual. Ela pode ser manipulada e visualizada de diversas maneiras. Assim, à medida que a informação digital circula pelos mais variados ambientes, percorrendo diversos fluxos de trabalho, ela pode ser armazenada para os mais variados fins, possibilitando-a ser lida, modificada ou até mesmo apagada. OLIVEIRA (2001) afirma que a informação é um recurso vital para a empresa e integra, quando devidamente estruturada, os diversos subsistemas e, portanto, as funções das várias unidades organizacionais da empresa. Segundo WEBSTER (1995/1999), todos os observadores têm conhecimento de um crescimento maciço do fluxo de informação que está ultrapassando fronteiras, das facilidades de telecomunicações, das comunicações entre computadores de todos os níveis, de trocas entre mercados de ações e segmentos corporativistas, do acesso às bases de informação internacional e das mensagens de telex. KUMAR (1997, p. 21) acredita que “a informação designa hoje a sociedade pós-industrial. É o que a gera e sustenta”. Para o autor, a sociedade pós-industrial poderia ser caracterizada por uma sociedade de serviços, que oferece oportunidades de emprego para profissionais liberais e de nível técnico. Existe um considerável crescimento da distribuição global da informação de massa sendo veiculada. As organizações precisam saber usar a informação e tirar o melhor proveito dela para se colocarem em posição competitiva, acompanhando os 24 novos tempos, mudando suas características gerenciais e estratégicas e com elas todo o seu capital intelectual. A informação deve ser tratada como qualquer outro produto que esteja disponível para consumo. Ela deve ser desejada, para ser necessária. Para ser necessária, deve ser útil. E como tudo que é útil, precisa ser protegida. 2.3 Segurança da Informação De acordo com PROMON (2005), o conceito de segurança da informação vai muito além; pressupõe a identificação das diversas vulnerabilidades e a gestão dos riscos associados aos diversos ativos da informação de uma corporação, independentemente de sua forma ou meio em que são compartilhados ou armazenados, digital ou impresso. O objetivo da segurança é garantir a confidencialidade, a integridade e a disponibilidade desses ativos de informação de uma corporação. SÊMOLA (2003) define segurança da informação como sendo “uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade”. Segundo FONTES (2006), Segurança da Informação é o conjunto de orientações, normas, procedimentos, políticas e demais ações que tem por objetivo proteger o recurso informação, possibilitando que o negócio da organização seja realizado e sua missão seja alcançada. Ainda segundo FONTES (2006), proteger a informação significa garantir: 25 1. Disponibilidade: a informação deve estar acessível para o funcionamento da organização. 2. Integridade: a informação deve estar correta, ser verdadeira e não estar corrompida. 3. Confidencialidade: a informação deve ser acessada exclusivamente por aqueles que estão autorizados e necessitam dela. 4. Legalidade: a informação deve estar dentro das normas que regulam a sociedade e a organização. 5. Auditabilidade: o acesso e o uso da informação devem ser registrados, possibilitando a identificação de quem fez o acesso e o que foi feito. 6. Não repúdio de autoria: o usuário que gerou ou alterou a informação não pode negar o fato, pois existem mecanismos que garantem sua autoria. FILHO (2008) afirma que, Segurança da informação compreende um conjunto de medidas que visam a proteger e preservar informações e sistemas de informações, assegurando-lhes integridade, disponibilidade, não repúdio, autenticidade e confidencialidade. Esses elementos constituem os cinco pilares da segurança da informação e, portanto, são essenciais para assegurar a integridade e confiabilidade em sistemas de informações. Nesse sentido, esses pilares, juntamente com mecanismos de proteção, têm por objetivo prover suporte à restauração de sistemas informações, adicionando-lhes capacidades de detecção, reação e proteção. Os componentes criptográficos da segurança da informação tratam da confidencialidade, integridade, não repúdio e autenticidade. Vale, no entanto, ressaltar que o uso desses pilares é feito em conformidade com as necessidades específicas de cada organização. Assim, o uso desses pilares pode ser determinado pela suscetibilidade das informações ou sistemas de informações, pelo nível de ameaças ou por quaisquer outras decisões de gestão de riscos. Perceba que esses pilares são essenciais no mundo atual, onde se tem ambientes de natureza pública e privada conectados a nível global. Dessa forma, torna-se necessário dispor de uma estratégia, levando em conta os pilares acima mencionados, a fim de compor uma arquitetura de segurança que venha unificar os propósitos dos cinco pilares. Neste 26 contexto, as organizações e, mais amplamente, os países incluem em suas metas: • Forte uso de criptografia; • Incentivo à educação em questões de segurança; • Disponibilidade de tecnologia da informação com suporte à segurança; • Infra-estrutura de gestão de segurança; • Disponibilidade de mecanismos de monitoramento de ataques, capacidade de alerta e ações coordenadas. Portanto, os princípios básicos da segurança são a confidencialidade, integridade e disponibilidade das informações. Os benefícios evidentes são reduzir os riscos com vazamentos, fraudes, erros, uso indevido, sabotagens, roubo de informações e diversos outros problemas que possam comprometer estes princípios básicos. Enfim, pode-se afirmar que Segurança da Informação é um importante instrumento para proteger as organizações contra ameaças às informações que a elas pertençam ou que estejam sob sua responsabilidade. E uma política de segurança é um conjunto de diretrizes, normas e orientações de procedimentos que visam a conscientizar e orientar os funcionários, clientes, parceiros, colaboradores e fornecedores para o uso seguro dos ativos da organização. 2.4 O comportamento do usuário O uso de senhas, como forma mais comum de controlar o acesso de usuários a sistemas e informações privilegiadas, tem gerado inúmeros problemas, em função da dificuldade que a maioria das pessoas encontra para memorizar códigos. Não há suficiente material literário que forneça procedimentos claros, passo a passo, que auxiliem na geração e recordação de senhas. Desta forma, os usuários são 27 obrigados a conviver com um dilema entre a segurança e a conveniência, e acabam por compartilhar senhas ou anotá-las em locais de fácil acesso. (BROWN e colaboradores, 2004) Conforme afirma MITNICK (2005), as organizações que continuam a usar apenas senhas estáticas precisam fornecer treinamento e lembretes ou incentivos freqüentes para encorajar práticas seguras de senha. A política efetiva de senha exige que os usuários utilizem senhas seguras com pelo menos um numeral e um símbolo ou letras maiúsculas e minúsculas e que elas sejam alteradas periodicamente. Outra etapa requer certificar-se de que os funcionários não terão dificuldade em memorizar a senha, anotando-a e colocando-a em seu monitor ou escondendo-a embaixo do teclado ou numa gaveta da mesa de trabalho — lugares onde qualquer ladrão de dados experiente sabe que deve procurar primeiro. A boa prática de senha também requer que nunca se use a mesma senha ou senhas parecidas em mais de um sistema (MITINICK, 2005, p. 78). SASSE e colaboradores (2001) ao abordar segurança da informação, referem-se ao usuário humano como sendo o elo mais fraco de um processo de segurança. De acordo com MITNICK (2002): Quando os empregados de confiança são enganados, influenciados ou manipulados para revelar informações sigilosas ou para executar ações que criem um buraco na segurança para que o atacante se infiltre, nenhuma tecnologia do mundo pode proteger uma organização. De acordo com REZENDE e ABREU (2000), as organizações devem procurar dar mais atenção ao ser humano, pois é ele que faz com que as engrenagens empresariais funcionem perfeitas e harmonicamente, buscando um relacionamento cooperativo e satisfatório. Dessa forma, seria importante destacar que o elo mais 28 fraco de um processo de segurança é a pessoa (ou grupos de pessoas), que por sua vez, é a responsável por garantir a fidelidade da informação. Sob esta perspectiva, o usuário é vítima de alguém mal intencionado, mas será parte de um comportamento social avesso aos controles tecnológicos. Ou seja, é uma ilusão imaginar que o uso de produtos de segurança padrão, da tecnologia da informação, torna as organizações imunes aos ataques. As presentes definições nos conduzem ao entendimento do usuário como peça estratégica participante do processo interativo com sistemas de informação. Pode dizer que o usuário é todo aquele que produz, acessa, classifica, manuseia, transporta, transmite ou guarda informações organizacionais que possam ser alvo de ameaças. 2.5 Engenharia Social A Engenharia Social usa a influência, a manipulação e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que, na verdade, ele não é. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia. Para NBSO (2004), engenharia social consiste basicamente no uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. 29 A Engenharia Social é definida como “um tipo de intrusão que se apóia fortemente na interação humana e que freqüentemente envolve enganar outra pessoa para quebrar os procedimentos de segurança normais”. (What is social engineering?, 2006) De acordo com JONHSON (2005), os ataques de engenharia social são muito freqüentes porque funcionam bem. É mais difícil tentar quebrar um algoritmo de segurança inventado por um doutor em matemática do que conseguir que um funcionário de uma empresa diga qual é a sua forma de acesso ao sistema. A Engenharia Social é uma enorme ameaça a Segurança da Informação Organizacional, pois suas técnicas podem levar servidores inocentes e despreparados a fornecerem informações estratégicas e sensíveis a terceiros malintencionados. 2.6 Cultura organizacional FLEURY e FISCHER (1996) entendem cultura organizacional como conjunto de concepções, normas e valores, tomados por certos, que permanecem submersos à vida organizacional. Para criar e manter a cultura, este conjunto deve ser afirmado e comunicado aos membros da organização de forma concreta, através de ritos, mitos, estórias, gestos e artefatos. SCHEIN (1992) apud FLEURY e FISCHER (1996, p.15-44) define a cultura organizacional como um conjunto de premissas básicas criadas por um grupo ao aprender a lidar com problemas de adaptação externa e de integração interna, e que 30 foram suficientemente adequados e passaram a ser válidos e transmitidos aos novos membros da organização como formas corretas de perceber, pensar e sentir. Afirmam FLEURY e FISCHER (1996, p. 22) que a cultura organizacional é concebida como um conjunto de valores e pressupostos básicos expressos em elementos simbólicos, que em sua capacidade de ordenar, atribuir significações, construir a identidade organizacional, tanto agem como elemento de comunicação e consenso, como ocultam e instrumentalizam as relações de dominação. De acordo com FREITAS (1991), (...) cultura organizacional é o modelo dos pressupostos básicos, que determinado grupo tem inventado, descoberto ou desenvolvido no processo de aprendizagem para lidar com os problemas de adaptação externa e integração interna. Uma vez que os pressupostos tenham funcionado bem o suficiente para serem considerados válidos, são ensinados aos demais membros como a maneira correta para se proceder, se pensar e sentir-se em relação àqueles problemas. SCHEIN (1992) entende a cultura organizacional como propriedade de uma unidade social estável e coesa, formada por pessoas que compartilham uma visão de mundo em função de terem vivenciado e encontrado soluções em conjunto para os problemas de integração interna e adaptação externa, e que tenham admitido novos membros para os quais transmitiram sua forma de pensar. MORGAN (1996) considera que a cultura organizacional pode ser entendida como um processo de construção e compartilhamento da realidade organizacional, por meio do qual eventos, expressões e manifestações culturais são significados pelos empregados. De acordo com CHIAVENATO (2000) apud RIBEIRO, a cultura organizacional conglomera aspectos formais, facilmente perceptíveis, relacionados com as políticas, diretrizes, procedimentos, objetivos, estruturas e tecnologias existentes, e aspectos informais, relacionados com as percepções, sentimentos, atitudes, valores, interações informais e normas grupais, caracterizados por um “iceberg”, aos quais 31 estão associados à parte visível, observável, os aspectos formais, orientados para aspectos operacionais e de tarefas, enquanto os segundos, invisíveis ou ocultos, estão relacionados com as questões afetivas, emocionais, orientados para aspectos sociais e psicológicos, por vezes difíceis de interpretar e compreender, transformar ou mudar. Segundo os conceitos apresentados sobre cultura organizacional, podemos entender que a cultura da organização é um dos principais ativos de qualquer organização, pois compreende o conjunto de concepções, valores, normas ou premissas da organização. A cultura conduz a forma de cada membro da organização pensar, agir ou sentir. 2.6.1 Cultura organizacional relacionada com a Gestão da Segurança da Informação WEBSTER (1995/1999, p. 6) aponta cinco definições para sociedade da informação, de acordo com os seguintes critérios: tecnológico, econômico, ocupacional, espacial e cultural. A definição mais comum da sociedade da informação tem ênfase na notável inovação tecnológica. O processamento, armazenamento e transmissão da informação levaram à aplicação da Tecnologia da Informação - Tl - a todos os âmbitos da sociedade. Estamos em uma nova era, na qual os computadores estão mais eficazes, mais potentes, mais baratos, mais poderosos e com amplas aplicabilidades. 32 No entanto, de acordo com PROMON (2005, p. 4), os critérios da segurança da informação vão além da segurança lógica, permeando a importância da segurança física, cujo objetivo é a prevenção de acesso não autorizado a equipamentos e instalações, dano ou interferência às informações da organização. A estratégia organizacional é também uma forma de inserir a cultura organizacional nas atitudes dos administradores. A cultura organizacional, como propriedade de uma unidade social formada por pessoas, deve conjuntamente buscar formas mais seguras que venham inibir condutas comportamentais que tornam o sistema de segurança vulnerável. SÊMOLA (2003, p. 17) alerta para o problema de que a equipe de segurança poderia estar não apenas voltada para aspectos tecnológicos da segurança, mas também deveria focar nos aspectos físico e humano. A cultura organizacional é parte estratégica para o gestor que pretende tornar sua organização mais segura. A segurança depende do usuário, mas para que esse usuário torne-se peça colaboradora dos sistemas de segurança, a organização necessita incutir valores de segurança na cultura organizacional, pois assim o usuário pode tornar-se um colaborador inocente, comportando-se e agindo de forma segura. Os conceitos básicos de segurança precisam estar intrínsecos na cultura organizacional para que isso seja possível. 2.7 Resumo do Capítulo É difícil compreender segurança da informação sem antes conhecer o contexto na qual ela está inserida na segurança da organização como um todo e, 33 também, não podemos entender suas dificuldades sem conhecer os agentes adversos que a ameaçam e compreender que o agente colaborador principal nesse cenário é o próprio usuário, que por sua vez esta inserido dentro de uma cultura organizacional, que irá ajudar ou prejudicar as ações de segurança à medida que essa cultura possui ou não conceitos básicos de segurança. Sendo assim, os conceitos de segurança, segurança organizacional, informação, segurança da informação, comportamento do usuário, engenharia social e cultura organizacional foram abordados de forma ordenada nesse capítulo para nos conduzir a um melhor esclarecimento a respeito desses temas e ao melhor entendimento de como esses conceitos estão relacionados e são necessários para a compreensão de ocorrências de falhas de segurança da informação que serão abordadas em quatro cases ocorridos em organizações da Administração Pública no próximo tópico. 34 3. ESTUDO DE CASO Este capítulo apresenta quatro cases de incidentes de segurança da informação na Administração Pública. Serão descritos os incidentes ocorridos na Petrobrás, no Instituto Nacional de Seguridade Social - INSS, no Departamento Estadual de Trânsito de São Paulo - Detran/SP e no Fórum Central de Porto Alegre, nessa ordem. Em seguida, em cada case, será feita uma análise relacionando cada um dos cases a seis dos fatores apresentados no item 1.2 desse trabalho: Política de Segurança, Organização da Segurança da Informação, Gestão de Ativos, Recursos Humanos, Segurança Física e do Ambiente e Conformidade. Esse seis fatores foram escolhidos, dentre onze, por não estarem diretamente relacionados com a parte tecnológica da informação. Há de se lembra que, na verdade, em determinado grau, todos os fatores estão relacionados uns com os outros, pois fazem parte de um modelo de gestão de um sistema de segurança da informação. A discriminação dos fatores em tecnológicos ou não é puramente didática para demonstrar, através dos casos práticos, que fatores com pouca ênfase em tecnologia também são determinantes para as falhas na Segurança da Informação Por último, serão apresentadas medidas básicas que podem servir a maioria das organizações da Administração Pública na redução de vulnerabilidades que impactam na Segurança da Informação. 35 3.1 Petrobrás 3.1.1 Descrição Em fevereiro de 2008, a estatal brasileira Petrobrás anunciou que foi vítima de furto de dados sobre pesquisas. Inicialmente, analistas, policiais e imprensa falavam em crime de espionagem industrial, pois se tratava de informações estratégicas sobre pesquisas que incluiriam a descoberta de petróleo e gás (XAVIER e ALVES, 2008). O episódio ganhou evidência pois se especulava que, entre as informações roubadas, havia dados sigilosos sobre o campo de Tupi, na Bacia de Santos, na chamada área pré-sal. Segundo a Petrobrás, a bacia, anunciada em novembro de 2007, tem uma reserva estimada entre 5 e 8 bilhões de barris de petróleo, e é considerada uma das maiores descobertas de petróleo do mundo dos últimos sete anos (XAVIER e ALVES, 2008). Segundo comentou, na ocasião, o geólogo Giuseppe Bacoccolli, professor da Universidade Federal do Rio de Janeiro - UFRJ, “esse tipo de espionagem é bastante comum e, agora que as reservas do Brasil começaram a ficar importantes, isso deve se popularizar por aqui também”. Ademais, lembrou também que, “fora do país, é comum revistas especializadas trazerem ofertas de dados geológicos não oficiais sobre áreas potenciais de petróleo. Esses relatórios custam no mercado entre US$ 100 mil e US$ 1 milhão” (XAVIER e ALVES, 2008). As informações sigilosas estavam contidas em quatro notebooks, dois pentes de memória e dois HDs da estatal e encontravam-se sob responsabilidade de uma 36 empresa especializada em transportar equipamentos e materiais para o setor petrolífero. Os notebooks estavam no interior de um contêiner da empresa terceirizada prestadora de serviços (XAVIER e ALVES, 2008). Durante as investigações, o superintendente da Polícia Federal no Rio de Janeiro, delegado Valdinho Jacinto Caetano, declarou que o sistema de segurança era bastante falho, pois muita gente tinha acesso aos materiais e que a segurança era própria para um escritório, mas não para informações importantes. Foi detectado, ainda, que uma mesma chave era usada para abrir o cadeado de vários contêineres, o que tornava o sistema ainda mais inseguro (GAIER e SAVARESE, 2008). Após as investigações, a Polícia Federal chegou ao nome de quatro vigilantes do terminal portuário Bric Log. Parte dos equipamentos foi encontrada com os vigilantes, outra parte havia sido destruída. Os vigilantes não tinham conhecimento do tipo de material que haviam roubado, e já estariam praticando pequenos furtos, desde setembro do ano anterior, que não eram percebidos pela estatal. Alguns dos equipamentos foram usados nos computadores deles mesmos, outros foram repassados para parentes ou vendidos por 1.500 reais. A elucidação das investigações garantiu que o furto foi crime comum e não espionagem industrial (BREJÕES, 2008). Em nota divulgada pelo Ministro Tarso Genro, então ministro da Justiça, antes da elucidação do caso, ele informa que “independentemente da motivação do crime, as investigações revestiam-se de importância, em função da possível fragilidade do sistema de segurança para o transporte de informações reservadas, que o episódio evidenciou” (TARSO, 2008). 37 3.1.2 Análise No caso do roubo de equipamentos ocorrido na Petrobrás, contendo informações sigilosas, pode-se observar que tais informações estavam sendo transportadas por empresa terceirizada da mesma forma como se transporta equipamentos comuns. Esse fato ocasionou a quebra da confidencialidade da informação sigilosa, pois houve o acesso aos equipamentos por pessoas que não possuíam credenciais de acesso às informações neles contidas. Os processos e procedimentos de segurança eram falhos ou inseguros, uma vez que não havia um controle rígido dos cadeados e das pessoas que acessavam os equipamentos, mesmo para uma área de escritórios; sendo assim, outro princípio, o da auditabilidade, também ficou prejudicado, uma vez que, sem o controle de acesso, não foi possível identificar, de imediato, quem teve acesso e o que foi feito. Pode-se observar, também, baixo controle patrimonial, uma vez que pequenos furtos eram realizados sem terem sido detectados, ou alguma providência tomada. Apesar do crime ter sido cometido por vigilante terceirizado que não tinha o conhecimento do valor dos dados contidos nos equipamentos, é consenso que a espionagem industrial no setor petrolífero não é algo raro, o que elevava, notadamente, os riscos dos dados serem alvos de ladrões especializados. Sendo assim, medidas rigorosas de segurança deveriam ser determinadas pelas autoridades responsáveis pela informação. Embora a Petrobrás seja reconhecida internacionalmente como uma empresa de ponta no mercado petrolífero, o caso em questão evidencia a fragilidade dos sistemas de segurança da organização, pela inexistência de medidas cautelares no 38 transporte de dados sigilosos, pela terceirização do transporte, e pelas medidas de segurança física na guarda dos equipamentos que contêm dados sensíveis. Nesse caso, como em muitos outros que podem existir na Administração Pública, aspectos tecnológicos não foram responsáveis pela proteção das informações e nem pela garantia da segurança. Os equipamentos desaparecerem pela inexistência de normas rígidas e de controles que deveriam existir no transporte de notebooks contendo informações estratégias. Preponderando a falta de controle na segurança física e do ambiente como o responsável pela falha de segurança. Ademais, problemas na Política de Segurança podem, também, terem sido responsáveis, uma vez que os controle de acesso não eram rigorosos. A ausência desses controles pode, também, decorrer da inexistência de normas básicas de segurança na cultura organizacional e do baixo envolvimento da alta administração da organização. Não se observou, também, pelas informações acessadas, a existência de Classificação para os dados sigilosos que estavam sendo transportados. 3.2 INSS 3.2.1 Descrição Em 27 de dezembro de 2005, um incêndio destruiu seis dos dez andares do prédio do Instituto Nacional de Seguro Social (INSS), no Setor de Autarquias Sul, em Brasília (LAUDO, 2006). 39 Segundo o ministro da Previdência e Assistência Social, na ocasião, Nelson Machado, as maiores perdas no incêndio foram as informações do sistema central e processos físicos – informações de receita previdenciária, dívidas de empresas, processos de fraudes e autos de infração (CABRAL, 2005). O presidente da Comissão de Fiscalização e Controle da Câmara dos Deputados, deputado Alexandre Cardoso (PSB-RJ), estimou, naquela época, que a União teria perdido de 5 a 10 bilhões de reais em processos contra devedores da Previdência Social (FUTEMA, 2005). De acordo com o parlamentar, os processos que podem ter sido queimados no incêndio envolviam recursos da ordem de 60 bilhões de reais. Parte deles ainda poderia ser recuperada, mas o total considerado irrecuperável podia chegar a 10 bilhões de reais - o que correspondia a mais de metade do orçamento do Ministério do Desenvolvimento Social e Combate à Fome para 2006, que era de cerca de 19 bilhões de reais (FUTEMA, 2005). Ademais, Cardoso alertou ainda que a reorganização dos processos recuperáveis demandaria muito tempo. “Esses processos foram montados em dez anos, a partir de documentos e petições. Imagine o desafio de reorganizar 50 mil processos contra a vontade do autuado!” (FUTEMA, 2005). Na ocasião, a Polícia Federal chegou a levantar a hipótese de incêndio criminoso. No entanto, perícia realizada pelo Corpo de Bombeiros do Distrito Federal concluiu que a causa do incêndio havia sido um curto-circuito em uma impressora. O laudo constatou que o prédio apresentava falhas na estrutura contra incêndio e que a indicação de saída de emergência e o corrimão da escada de emergência não eram contínuos. Ademais, o laudo demonstrou que existia uma sobrecarga no 40 sistema elétrico do prédio, que a quantidade de extintores não era condizente com a quantidade de salas do edifício e que havia deficiência na rede elétrica (LAUDO, 2006). 3.2.2 Análise O caso do INSS exemplifica que nem sempre as informações são roubadas, mas que podem ser perdidas por descaso e descuido em sua armazenagem. A perda dos dados ocasionada com o incêndio fez com que a informação deixasse de estar acessível (disponibilidade da informação) para que dívidas de empresas fossem cobradas, processos de fraudes fossem concluídos e autos de infração executados. Uma edificação onde informações estratégicas são armazenadas deve possuir sistemas elétricos e de ar-condicionados modernos, pois é comum equipamentos de ar-condicionados e sistemas elétricos antigos e não supervisionados causarem incêndios. Ademais, esse tipo de edificação deve possuir brigadas treinadas, sistemas de alarmes contra-incêndio, rotas de fugas e, principalmente, sistema de sprinklers. Esse último provavelmente teria evitado que o fogo se alastrasse pelo restante dos andares, ocasionando os prejuízos ocorridos. Apesar das investigações terem concluído que o caso não se tratou de um incêndio criminoso, o mesmo poderia ter ocorrido em razão da existência de inúmeros processos de dívidas previdenciárias, processos de fraudes e autos de infração. Sendo assim, instalações apropriadas deveriam ser providenciadas pelas autoridades responsáveis pelas informações. 41 Não é difícil encontrar órgãos do governo ocupando áreas físicas provisoriamente, por longos períodos, com elevado número de servidores e de equipamentos por metro quadrado, sobrecarregando redes tecnológicas e elétricas, em instalações antigas e sem sistema central de ar-condicionado. No caso do INSS, à semelhança do caso da Petrobrás, o Fator Tecnológico não foi o responsável pela perda das informações. As informações se perderam porque estavam sendo utilizadas em uma edificação inapropriada para conter informações estratégicas e valiosas. Preponderando, nesse caso, o Fator Segurança Física e do Ambiente como o responsável pela falha de segurança. Ademais desse Fator, a Política de Segurança pode, também, estar envolvida, uma vez que a ausência políticas claras e adequadas sobre o uso e manutenção das instalações para podem ocasionar a ausência de ações corretivas e preventivas. 3.3 DETRAN 3.3.1 Descrição O diretor da Divisão de Controle do Interior do Departamento Estadual de Trânsito (Detran) de São Paulo, delegado Adriano Rodrigues Alves Caleiro, declarou, em agosto de 2008, que sua senha foi usada indevidamente por algum dos 50 funcionários da Circunscrição Regional de Trânsito (Ciretran) de Osasco, na grande São Paulo, onde trabalhava antes de ir para o Detran. Como diretor de divisão, ele tinha a missão de fiscalizar 334 Ciretrans do Estado. Caleiro afirmou que a quantidade de trabalho obrigava os responsáveis pelas Ciretrans de cidades com 42 mais de 500 mil habitantes a compartilharem sua senha com funcionários do órgão, pois era impossível dar conta sozinho de todo o trabalho, que só podia ser efetuado com o uso da senha pessoal para acessar o sistema da Companhia de Processamento de Dados do Estado (Prodesp). (SENHA, 2008) O sistema admitia a transferência de pontos das carteiras de habilitação de motoristas infratores para a de inocentes. Foi exatamente nesse processo que ocorreu a fraude, cujo esquema envolvia o pagamento a pessoas que se dispunham a emprestar suas carteiras para receber os pontos, ou somente computava-se esses pontos na Carteira Nacional de Habilitação de alguma vítima inocente. A fraude teria contado com a participação de funcionários da Ciretran de Osasco, na Grande São Paulo, de despachantes e de auto-escolas (SENHA, 2008). 3.3.2 Análise No caso relatado do Detran, observa-se que a má distribuição das funções e responsabilidades, agregadas ao baixo índice de consciência dos servidores e à ausência de uma política para credenciamento de acesso ao sistema da Prodesp, fizeram com que um diretor do órgão fosse obrigado a compartilhar, sem nenhum controle, sua senha com 50 funcionários de sua repartição, não autorizados a acessar o sistema ou a executar tarefas no mesmo, caracterizando a quebra da confidencialidade. Ademais, a partir do momento que o acesso às informações passou a ser usado para fraudar o sistema, observa-se a quebra da integridade dos dados existentes nos bancos de dados da entidade. 43 Nesse caso, o uso de senhas como forma de controlar o acesso a informações privilegiadas de nada valeu, pois não se observou que a senha deveria ser pessoal e intransferível, permitindo a ação de fraudes ao sistema e dificultando as investigações (auditabilidade) para identificar os responsáveis (quebra do princípio do não-repúdio). NORMAN (1990), ressalta a dificuldade que a maioria das pessoas encontra diante da necessidade de recordar códigos secretos ou senhas. Apesar disso, na Era da Informação em que vivemos, manipulamos uma quantidade de informações cada vez maior. Por essa razão, a demanda por segurança digital tem crescido em função das sérias preocupações a respeito do uso não-autorizado de informações sigilosas e das respectivas conseqüências. Na verdade, o uso de senhas, como forma mais comum de controlar o acesso a informações privilegiadas, envolve dois mundos muito diferentes - tecnológico e humano - que precisam conviver um com o outro e cuja interação tem gerado inúmeros problemas. No caso do Detran, a semelhança dos casos da Petrobrás e do INSS, o Fator Tecnológico não foi o responsável pela falha de segurança das informações. As informações roubadas contribuíram com a fraude pois um diretor da instituição, servidor que deveria possuir plena consciência de sua responsabilidade como gestor e responsável pelo controle de acesso às informações estratégicas contidas nos bancos de dados, compartilhou sua senha com demais servidores, sem ao menos ter qualquer controle sobre isso. Preponderando, nesse caso, o Fator Recursos Humanos como o responsável pela falha de segurança. Ademais desse Fator, o Fator Política de Segurança pode, também, estar envolvido, uma vez que a estrutura hierárquica da instituição pode ter contribuído para o excesso de trabalho e pela má distribuição das responsabilidades dentro dos cargos. O uso de senhas de forma 44 compartilhada demonstra, também, uma falha básica de segurança na cultura da organização. 3.4 Fórum Central de Porto Alegre 3.4.1 Descrição A polícia do Rio Grande do Sul investigou o desaparecimento, de dentro do Fórum Central de Porto Alegre, de 170 caixas com 966 processos judiciais, ocorrido em 28 de outubro de 2005. O material, originário do cartório da 10ª Vara Cível, havia sido colocado no corredor do prédio no dia 10 de outubro do mesmo ano, para que fosse transportado para o Arquivo Judicial, em outro endereço. As 170 caixas acabaram não sendo recolhidas e permaneceram no local por dezoito dias, quando, então, desapareceram. Segundo o responsável pela 1ª Delegacia de Polícia, delegado Leandro Cantarelli Lisardo, um homem disfarçou-se de funcionário da empresa terceirizada que faz o transporte dos processos e desapareceu com os documentos (DESAPARECIMENTO, 2006). O desaparecimento dos processos chegou ao conhecimento da Ordem dos Advogados do Brasil (OAB) por engano. A entidade recebeu uma cópia da sindicância instaurada pela 10ª Vara Cível, que estava sendo encaminhada à polícia para a investigação do caso (DESAPARECIMENTO, 2006). O presidente em exercício da OAB, Bráulio Pinto, informou que o Tribunal de Justiça encaminhou um ofício, com o resultado da sindicância interna que averiguou 45 o caso, como resposta a um pedido de informações da Ordem. “Ficamos preocupados, pois o fato pode gerar prejuízos para as partes envolvidas nos processos, já que algumas partes podem ser restauradas, outras não” (POLÍCIA, 2006). A juíza Maria Cláudia Cachapuz, do Departamento de Comunicação do Fórum, ressaltou que o fato inusitado foi o volume de processos roubados. “Foi a primeira vez que aconteceu nessa quantidade”, afirmou a magistrada. Garantiu também que não houve dano para a Justiça, pois os processos haviam sido julgados e estavam sendo enviados para o arquivo definitivo (POLÍCIA, 2006). Segundo o delegado Lisardo, não havia indícios de furto do material. Teria havido, talvez, o recolhimento equivocado dos processos. Lisardo informou que não foi possível identificar o responsável pelo recolhimento das caixas, em função do grande fluxo de público que passa pelo local de onde desapareceram os documentos. Outra dificuldade apontada foi o fato de que as diversas entidades, que retiram no fórum material para reciclagem, não têm como identificar os funcionários que lá estiveram em outubro de 2005 (PROCESSOS, 2006). Dessa forma, a reciclagem teria sido o provável destino das 170 caixas com quase 1 mil processos que desapareceram. O inquérito da Polícia Civil, concluído e remetido à justiça, indicou que os documentos foram recolhidos por engano (PROCESSOS, 2006). 46 3.4.2 Análise O desaparecimento dos processos judiciais no Fórum Central de Porto Alegre reporta para alguns descuidos ocorridos. Primeiramente, o corredor de um órgão não deveria ser utilizado para a acomodação de processos, mesmo que por tempo limitado. A permanência desses processos no corredor do prédio por 18 dias é demasiadamente prolongada, e, mesmo assim, os processos permaneceram nesse local “somente” por 18 dias porque os mesmos foram roubados. Caso os processos não houvessem desaparecido, não se saberia qual seria o tempo de permanência dos mesmos no corredor do prédio. Em seguida, pode-se notar a falta de registros de saída de materiais e de processos do edifício, deixando claro a inexistência de qualquer controle e implicando nos princípios da auditabilidade e do não repúdio. Segundo ressaltou a juíza Maria Cláudia Cachapuz, o fato somente chamou a atenção por causa do volume de processos que desapareceram. As palavras da magistrada levam à dedução que o roubo de processos, em quantidades menores, já havia ocorrido anteriormente. Por fim, nota-se, também, outra falha de segurança da informação quando do envio da cópia da sindicância instaurada internamente para destinatário errado. O envio de dados a destinatário diferente do autorizado implica na quebra do princípio da confidencialidade, pois permite o acesso aos dados por pessoal até então não autorizado. 47 No caso em questão, apesar das informações perdidas estarem sendo enviadas para arquivo, isso não significa que as informações não possuíam mais valor ou que não pudessem causar danos à Administração Pública ou a terceiros. Com o desaparecimento dos processos, todas as informações neles contidas deixam de estar acessíveis para consultas necessárias (disponibilidade). Cabe à autoridade responsável providenciar espaço adequado, verificar os procedimentos de guarda e destruição de dados e checar os controles empregados no acesso às informações. No caso do Fórum Central de Porto Alegre, a semelhança dos casos anteriores, o Fator Tecnológico também não foi o responsável pela perda das informações. Ao permitir que processos judiciais permaneçam acomodados no corredor do fórum, por qualquer que seja o período, o responsável facilita o extravio dos mesmos, quer de forma intencional ou acidental. Preponderando, nesse caso, o Fator Recursos Humanos como o responsável pela falha de segurança, uma vez que se nota a baixa preocupação dos responsáveis com o transporte dos processos. Ademais do Fator Recursos Humanos, os Fatores Políticas de Segurança e Segurança Física e do Ambiente podem, também, terem contribuído para o desaparecimento dos processos, uma vez que políticas sobre o armazenamento e transporte de processos podem não ser claras (ou mesmo não existirem) e podem inexistir salas para o armazenamento temporário dos processos até o envio para o arquivo definitivo. Sendo que para certificar-se sobre essas últimas possibilidades seria necessária providenciar uma análise mais aprofundada acerca da política de segurança e das instalações da organização. 48 3.5 Medidas necessárias para a melhoria da Segurança da Informação Os quatros cases apresentados no tópico anterior podem servir de exemplo para qualquer órgão da Administração Pública, pois em nenhum dos casos as falhas apresentadas são específicas ou exclusivas daqueles órgãos. Retomando a reflexão inicial que motivou a definição do objeto deste trabalho, pode-se aferir que o Banco Central do Brasil, como entidade integrante da Administração Pública também não está livre de sofrer incidentes de segurança da informação como os aqui apresentados. Isso foi demonstrado, por exemplo, com o episódio ocorrido em agosto de 2005, quando o Banco Central foi alvo do crime organizado, que levou de sua caixa forte, em Fortaleza, mais de 164 milhões de reais. Com base nos cases apresentados, sugerimos algumas medidas básicas que podem reduzir as vulnerabilidades de Segurança da Informação em qualquer organização da Administração Pública. 3.5.1 Política A Política de Segurança da Informação deve ser o primeiro passo para a organização avançar no processo de melhoria. Ela define as regras principais, orienta os integrantes da organização sobre o que pensam os dirigentes e serve de base para a criação de normas secundárias que também serão necessárias. Cabe 49 lembrar que a Política de Segurança da Informação necessita estar em sintonia ou inserida nas políticas de segurança em geral. Não se pode imaginar que seja possível trabalhar a segurança da informação de forma independente, sem se preocupar com as outras áreas da segurança. A segurança das instalações, das pessoas e os outros segmentos fazem parte de um conjunto que deve funcionar de forma integrada. A Política de Segurança deverá ser comunicada oficialmente a todos os colaboradores da organização, visando a garantir que todas as pessoas tenham consciência da mesma e a pratiquem na organização. Ou seja, responsabilidades de segurança de informações devem ser atribuídas na fase de recrutamento dos recursos humanos da organização, incluídas nos contratos e monitorados durante a vigência destes contratos. Normas específicas devem ser produzidas a partir da Política. Elas devem tecer detalhes, responsabilidades e procedimentos necessários para o atingimento da Política. Serão produzidas quantas normas forem necessárias de forma que todas as áreas, processos e atividades sejam cobertas pelas normas. Nos cases apresentados, não se pode afirmar que as organizações estudadas não possuíam Política de Segurança da Informação. No entanto, alguns comportamentos e ações demonstram que, caso exista na organização Política de Segurança da Informação, elas não são fielmente seguidas. Isso se pode ver mais claramente no caso do Detran, pois o não compartilhamento de senhas é um item básico de qualquer política de segurança. 50 3.5.2 Investimento Qualquer organização que espere resultados satisfatórios, em qualquer área, necessita investir recursos para a obtenção desses resultados. Em questões de segurança, ou mais especificamente em questões de segurança da informação, isso se faz muito verdadeiro. Esses investimentos necessitam vir de diversas maneiras. No planejamento orçamentário é necessário alocar recursos específicos para a Segurança da Informação. Para a implementação de projetos, colocação de controles, realização de treinamentos e campanhas, modernização de áreas, são necessários contratações que requerem recursos financeiros. Na estrutura formal da organização, necessita-se definir cargos e funções para tratar as questões de segurança da informação. Muitos órgãos delegam concomitantemente essas funções para áreas de TI ou para suas áreas patrimoniais. Nesses casos, o acúmulo de atividades distintas das de segurança acabam deixando as questões de segurança para prioridades inferiores. Sendo assim, é imprescindível a criação de setores específicos para o tratamento das questões de segurança. As unidades ou setores criados especificamente para tratamento das questões de segurança da informação necessitam ter, em sua composição, servidores de carreira do órgão, que sejam comprometidos com a missão da instituição. Dessa forma, é recomendado o cuidado com a terceirização em áreas específicas de segurança. A terceirização vulnerabiliza a segurança uma vez que o comprometimento e envolvimento do servidor terceirizado é, em geral, mais baixo. A 51 rotatividade alta e os salários, muitas vezes, baixos, tornam os terceirizados mais suscetíveis aos recrutamentos. Os investimentos nas estruturas físicas é também uma questão mitigadora das vulnerabilidades. Não se trata de questões apenas de conforto ou estética. A colocação de sistemas modernos de controles de acesso reduz os riscos de pessoas não identificadas acessarem áreas sensíveis. Instalações modernas, com sistemas de proteção contra-incêndios, redes elétricas novas e sistemas centrais de arcondicionado reduzem os riscos de incêndio e, por conseqüência, os riscos de perdas de dados. Nos cases apresentados, não se pode afirmar que as organizações estudadas não investem em Segurança da Informação. No entanto, acontecimentos demonstram que, caso a organização invista em Política de Segurança da Informação, esses investimentos não foram suficientes para evitar prejuízos quanto à perda de informações. Isso se pode ver mais claramente no caso do INSS, onde a má condição das instalações permitiu que as informações fossem queimadas em um incêndio. 3.5.3 Treinamentos O momento mais importante para os treinamentos de segurança é no ato de ingresso do novo servidor na organização. Servidores antigos, geralmente, são mais resistentes ao aprendizado das questões de segurança. Por essa razão, os treinamentos em início de carreira costumam ser mais eficientes, e, sem dúvida, preparam os novos servidores para lidarem com as informações desde o princípio. 52 Os treinamentos devem ser divididos em níveis básico, intermediário e avançado para cada caso, geralmente conforme o risco. Os treinamentos básicos deverão ser obrigatórios para todos na organização, assim que ocorrer, ou mesmo antes, o ingresso dos servidores na organização. Os treinamentos intermediários poderão ser obrigatórios somente para aqueles servidores que trabalham em áreas mais sensíveis e precisam lidar com dados sigilosos com bastante freqüência. Já os treinamentos em níveis avançados deverão ser destinados aos servidores com perfil gerencial que trabalham nas áreas estratégicas de segurança e necessitam manterse sempre atualizados para implementarem as políticas, checarem os controles e servirem como multiplicadores na organização. Um programa permanente de treinamento necessita ser desenvolvido para que, de forma periódica, o servidor volte novamente às aulas de treinamento e reciclagem. Da mesma forma que Políticas e Investimentos, os Treinamentos são imprescindíveis. Vale lembrar que as pessoas costumam ser “o elo mais fraco da corrente” nas organizações. Nos cases apresentados, não se pode afirmar que as organizações estudadas não realizam treinamentos sobre Segurança da Informação. No entanto, alguns comportamentos e ações demonstram que, caso esses treinamentos ocorram na organização, eles têm sido insuficientes. Isso se pode ver mais claramente nos casos do Detran e do Fórum do Porto Alegre, pois o compartilhamento de senhas e o descaso com os processos judiciais são falhas básicas em um sistema de segurança. 53 3.5.4 Campanhas de Conscientização Mesmo após os treinamentos requeridos para cada caso, é necessário que o servidor continue recebendo doses de informações a respeito de como proceder em relação às questões de segurança. As campanhas permanentes suprem essas necessidades, uma vez que deverão abordar questões vistas nos treinamentos básicos com freqüências periódicas, evitando que os servidores esqueçam suas parcelas de contribuição para o Sistema de Segurança. Campanhas específicas para públicos específicos também precisam ser planejadas. Por exemplo, campanhas para pessoas que trabalham nas áreas de tecnologia, nas áreas de arquivos e protocolos, campanhas para estagiários, mensageiros e entregadores e assim por diante. Dos públicos específicos, sem dúvida alguma, a alta administração torna-se alvo especial das campanhas de conscientização, pois seu envolvimento é pré-requisitos para o sucesso das Políticas de Segurança. Faz-se necessário, também, criar regras de forma a restringir as atitudes dos servidores àquelas aceitáveis dentro dos padrões mínimos de segurança, minimizando, assim, vulnerabilidades organizacionais. Isto significa que se deve buscar um modelo organizacional que se enquadre no nível de segurança exigido para a informação manuseada. Ou seja, deve haver um processo de educação e aculturação dos usuários que seja essencial para a segurança da informação. A educação é, basicamente, o processo de instrução continuada, voltado à formação de consciência crítica capaz de vista comportamental e de segurança. tomar decisões adequadas sob o ponto de 54 Nos cases apresentados, não se pode afirmar que as organizações estudadas não realizam campanhas de conscientização sobre Segurança da Informação. No entanto, alguns comportamentos e ações, observados nos cases, demonstram que, caso as campanhas existam na organização, elas não são efetivas o suficiente. Isso se pode ver mais claramente nos casos do Detran e do Fórum de Porto Alegre, pois, como já citado anteriormente, o compartilhamento de senhas e o descaso com os processos judiciais são falhas básicas em um sistema de segurança. 3.5.5 Controle Após a formulação de políticas, a alocação de investimentos, a implantação de programas de treinamentos e de campanhas de conscientização, faz-se necessário o controle e avaliação dos métodos empregados de forma sistemática e periódica. Pesquisas de opinião para averiguar os níveis de envolvimento dos servidores e a percepção desses em relação às questões de segurança auxiliam a verificação da efetividade das políticas e dos programas empregados. Algumas organizações contratam empresas especializadas para testar a penetrabilidade dos sistemas tecnológicos e os níveis de maturidade dos servidores. Os resultados da avaliação possibilitam à organização rever os padrões adotados, as políticas e normas internas, redirecionar os investimentos, os programas de treinamento e as campanhas de conscientização, buscando sempre os níveis ótimos de segurança da informação. 55 Nos cases apresentados, não se pode afirmar que as organizações estudadas não realizam controles e avaliações dos métodos empregados de forma sistemática e periódica, acerca da Segurança da Informação. No entanto, o fato ocorrido no caso da Petrobrás demonstra que, caso a organização realize controle sistemático dos processos que envolvam a guarda de informações estratégicas, para esse caso em questão, o controle não foi efetivo, pois não detectou as vulnerabilidades existentes previamente. 3.6 Resumo do Capítulo Nesse capítulo foram apresentados quatro cases de incidentes de segurança da informação na Administração Pública que foram analisados sob a ótica de fatores não tecnológicos, fatores esses listados no item 1.2. Em seguida foram apresentadas recomendações para serem aplicadas nas organizações com vistas à mitigação de vulnerabilidades. 56 4. CONCLUSÕES O presente trabalho teve por finalidade demonstrar que o Fator Tecnológico não é o único fator determinante nas questões relacionadas com a Segurança da Informação. Fatores como Políticas de Segurança, Gestão de Ativos, Recursos Humanos e Segurança Física e do Ambiente também impactam nas questões de segurança. Para isso foram apresentados os conceitos de segurança, segurança organizacional, informação, segurança da informação, comportamento do usuário, engenharia social e cultura organizacional com objetivo de levar o leitor a um melhor esclarecimento a respeito desses conceitos e facilitar o entendimento de como eles são necessários para a compreensão de ocorrências de falhas de segurança da informação nas organizações. Em seguida, quatro cases de incidentes de segurança da informação foram descritos e analisados sob a ótica de fatores não tecnológicos. Por último, foram apresentadas medidas básicas que podem servir a maioria das organizações da Administração Pública na redução de vulnerabilidades que impactam na Segurança da Informação. Dessa forma, a análise dos casos apresentados neste trabalho induz à conclusão que a hipótese de que a tecnologia não é o único fator determinante para a falha na segurança da informação é válida. Outras razões, dentre muitas, implicam em incidentes de segurança: - transporte inadequado de informações; - terceirização de serviços estratégicos; - inexistência de controle de acesso a áreas e instalações; 57 - edificações antigas ou inadequadas arquitetonicamente; - sobrecarga na infra-estrutura elétrica; - ausência de estudos e análises de riscos; - ausência de sistemas de alarmes e brigada contra-incêndio e redes de sprinklers; - ausência de políticas sobre o uso de senhas ou a sua inobservância; - má distribuição de funções e responsabilidades; - inexistência de campanhas de conscientização dos usuários; - inexistência de política para acesso a informações sigilosas; - armazenamento de processos em espaços inapropriados sem o devido controle; - envio de documentos e processos para destinatários diversos; - ausência de normas e políticas claras de segurança da informação; e - baixo envolvimento da alta administração. Os cases relatados no presente trabalho tiveram unicamente por propósito exemplificar eventos de quebra de segurança da informação ocasionados por questões não tecnológicas. Não se pretendeu, aqui, diminuir a importância das medidas de segurança necessárias aos sistemas tecnológicos, mas tão somente buscar um consenso sobre a importância do equilíbrio entre as ações e investimentos em medidas tecnológicas, comportamentais, normativas e físicas. 58 Do ponto de vista da segurança da informação, é inútil um sistema tecnológico impenetrável, se é que existe algum, se as instalações não forem adequadas, se os controles de acesso às áreas sensíveis não forem rigorosos, se os usuários continuam a dar pouca importância ao uso da senha impessoal e intransferível. Da mesma forma, nenhuma medida mitigatória para as vulnerabilidades serão eficazes se não houver o envolvimento da alta administração nas soluções. Pode-se concluir que um modelo ideal para a segurança da informação nas organizações deve integrar Tecnologia, Pessoas, Normativos e Instalações. O resultado seria um ponto de equilíbrio variável de uma organização para outra, mas que caracterizaria a importância dada a cada um dos pilares. A trabalho revela também o conflito existente entre aquilo que as organizações vêm fazendo para aprimorar sua segurança e o que, de fato, elas deveriam fazer. Muitas organizações investem em tecnologia mas não dão a devida importância para outros fatores. Durante a realização desse estudo, percebeu-se, ao consultar os diversos autores que abordam a temática, quão importante é o aprofundamento do assunto como forma de identificar possibilidades de melhoria na segurança da informação dentro das organizações. Por se tratar de tema de tamanha complexidade, com tão significativo nível de influência sobre determinados fenômenos institucionais, o trabalho de segurança da informação como uma questão não apenas tecnológica constitui-se num produto inacabado, que requer ainda muitos estudos. 59 Assim sendo, o presente trabalho sugere que sejam implementadas e avaliadas as recomendações aqui citadas e, a partir da monitoração dos resultados, possam ser aplicados estudos futuros no intuito de mensurar objetivamente as mudanças obtidas e possibilitar a reformulação de políticas na área de Segurança da Informação, no que tange os fatores comportamental, normativo e físico. Outra possibilidade é a realização de pesquisas estatísticas dentro da administração pública para avaliar o grau de importância dada aos fatores aqui enfatizados. Isso poderia ocorrer com o levantamento dos investimentos realizados ou através de entrevistas com os diversos gestores de cada organização. 60 REFERÊNCIAS BIBLIOGRÁFICAS ABNT NBR ISO/IEC 17799:2005 – Tecnologia da Informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. ABNT NBR ISO/IEC 27001:2006 – Tecnologia da Informação – Técnicas de Segurança – Sistemas de gestão de segurança da informação – Requisitos. Rio de Janeiro: ABNT, 2006. BATES, M. J. The invisible substrate of information science. Journal of the American Society for Information Science, v. 50, n. 12, 1999. Disponível em: <http://www.gseis.ucla.edu/faculty/bates/substrate.html>. Acesso em: 18 ago. 2008. BROWN, A.S.; BRACKEN, E., ZOCCOLI, S. e Douglas, K. Generating and remembering passwords. Applied Cognitive Psychology, 2004. BANCO CENTRAL. Regimento Interno – 2ª edição – 3ª atualização – Portaria 43.003, de 31/01/2008, publicada no Diário Oficial da União de 01/02/2008, com ato de retificação 11/02/2008, e republicada em 08/04/2008 (Seção 1, páginas 48 e 49). 2008. Disponível em: <http://www.bc/Adm/rh/Recursos%20Humanos/Regimento%20Interno.htm> BANCO CENTRAL. Regulamento do Sistema de Segurança do Banco Central do Brasil – Portaria 36.055, de 23 de agosto. 2006. Disponível somente através do Sisbacen (Sistema de Informações do Banco Central do Brasil). BREJÕES, Prefeitura Municipal de. Diário Oficial, nº 107 – ANO III, 28 fevereiro. 2008. Disponível em: <http://www.brejoes.ba.gov.br>. Acesso em: agosto de 2008. CABRAL, Maria Clara. Incêndio no INSS destrói autos de infração. Redação Terra, Brasília, 27 de dezembro. 2005. Disponível em: <http://noticias.terra.com.br/brasil/interna/0,,OI810789-EI306,00.html>. Acesso em: agosto de 2008. DESAPARECIMENTO de processos no Foro Central de Porto Alegre. Da Agência Estado, São Paulo, 4 de maio. 2006. Disponível em: <http://www.agenciaestado.com.br/institucional/institucional_p.htm>. Acesso em: set.2008. FILHO, Antonio Mendes da Silva. Segurança da Informação: Sobre a Necessidade de Proteção de Sistemas de Informações. 2008.Disponível em: <http://www.espacoacademico.com.br/042/42amsf.htm> FLEURY, Maria Tereza Leme; FISCHER, Rosa Maria. Cultura e poder nas organizações. 2.ed. São Paulo, Atlas, 1996. O desvendar a cultura de uma organização: uma discussão metodológica. 61 FONTES, Edison. Segurança da Informação: o usuário faz a diferença. 1a edição. São Paulo: Saraiva, 2006. FREITAS, Maria Ester de. Cultura organizacional: grandes temas em debate. Revista de Administração de Empresas, São Paulo, v.31, n.3, p.73-82, jul./set. 1991. FUTEMA, Fabiana. Incêndio destruiu processos administrativos e logísticos do INSS, diz deputado. Da Folha Online, São Paulo, 29 de dezembro. 2005. Disponível em: <http://www1.folha.uol.com.br/folha/cotidiano/ult95u116752.shtml>. Acesso em: agosto de 2008. GAIER, Rodrigo Viga e SAVARESE, Maurício. Roubo de dados da Petrobrás foi espionagem, diz PF. Reuters/Brasil Online, Rio de Janeiro, 19 de fevereiro. 2008. Disponível em: < http://oglobo.globo.com/>. Acesso em: agosto de 2008. HOUAISS, Antonio e VILLAR, Mauro de Salles. Dicionário Houaiss da língua portuguesa. Rio de Janeiro: Editora Objetiva, 2001. JOHNSON, R. J. The weakest link. Obtido em 10 de 11 de 2007, de Prescient Consulting, Inc.: <http://prescientconsulting.com/content/view/43/30>. 2005 KUMAR, Krishan. Da sociedade pós-industrial à pós-moderna: novas teorias sobre o mundo contemporâneo. Rio de Janeiro: J. Zahar,1997. LAUDO aponta que incêndio no prédio do INSS foi acidental. Folha de São Paulo com Agência Brasil, São Paulo, 14 de janeiro. 2006. MORGAN, G. Imagens da organização. São Paulo, SP: Atlas. 1996. MITNICK, Kevin D., 1963 - A arte de invadir: as verdadeiras histórias por trás das ações de hackers, intrusos e criminosos eletrônicos / Kevin D. Mitnick e William L Simon - São Paulo: Pearson Prentice Hall, 2005. MITNICK, Kevin D., 1963 - A arte de enganar: ataques de hackers: controlando o fator humana na segurança da informação / Kevin D. Mitnick e William L Simon - São Paulo: Pearson Prentice Hall, 2002. NBSO, Brasil. Estatísticas dos incidentes reportados ao NBSO. 2004. Disponível em <http://www.nbso.nic.br>. Acesso em: set. 2008. NORMAN, Donald A. The Design of Everyday Things. New York: Doubeday, 1990 OLIVEIRA, D.P.R. Sistemas organização e métodos: uma abordagem gerencial. 12.ed. São Paulo: Atlas, 2001. POLÍCIA vai investigar sumiço de processos. Jornal do Comércio, São Paulo, 5 de maio. 2006. Disponível em: <http://www.mp.rs.gov.br/imprensa/clipping_fonte/id9.htm>. Acesso: set.2008. PROCESSOS desaparecidos do Fórum Central foram reciclados. O Sul, Rio Grande do Sul, 19 de outubro. 2006. Disponível em: <http://www.mp.rs.gov.br/imprensa/clipping_fonte/id9.htm>. Acesso: set.2008. 62 PROMON, Business & Tecnology review. Segurança da Informação – Um diferencial determinante na competitividade das corporações. Rio de Janeiro, 2005. Disponível em: <http://www.promon.com.br/portugues/noticias/download/Seguranca_4Web.pdf>. Acesso em: set.2008. QUADRILHA escava túnel e faz assalto milionário no Banco Central no CE. Folha Online, São Paulo, 8 de agosto. 2008. Disponível em: http://www.folha.uol.com.br/ REZENDE, Denis Alcides e ABREU, Aline França. Tecnologia da Informação Aplicada a Sistemas de Informação Empresariais. São Paulo: Atlas, 2000. RIBEIRO, Olivério de Paiva. Cultura organizacional: educação, ciência e tecnologia. Disponível em: <http://www.ipv.pt/millenium/Millenium32/13.pdf> Pg. 3. Acesso em: set.2008. SASSE, M.A., BROSTOFF, S. E WEIRICH, D. Transforming the "weakest link" — a human/computer interaction approach to usable and effective security. BT Technology Journal, 2001. SÊMOLA, Marcos. Gestão da Segurança da Informação: Uma visão Executiva. Rio de Janeiro: Campus, 2003. SCHEIN, E.H. Organizational Culture and Leadership. San Francisco: Jossey-Bass Publishers, 1992. SENHA de delegado “limpava” pontos. Esquema usava código de diretor do Ciretran de Osasco para transferir autuações para carteira de ‘inocentes’. O Estado de São Paulo, São Paulo, 7 de agosto. 2008. TARSO: Roubo na Petrobrás aponta fragilidade em segurança para transporte de informações. Redação Santafé Idéias, Brasília, 18 de fevereiro. 2008. Disponível em:<http://ultimosegundo.ig.com.br>. Acesso em: ago 2008. XAVIER, Heberth e ALVES, RafaeL. Roubo misterioso assusta Petrobrás. Jornal Estado de Minas, Belo Horizonte, 15 de fevereiro. 2008. Disponível em: http://www.em.com.br/. Acesso em: agosto de 2008. WEBSTER, F. Theories of Information Society (4.ª ed.). London: Routledge. 1995/1999). What is social engineering? - a definition from Whatis.com. (10 de 2006). Obtido em 10 de 08 de 2008, de Information Security: Covering today'ssecurity topics: <http://searchsecurity.techtarget.com/sDefinition/0,,sid1 4_gci531120,00.html>
