Universidade de Brasília
Instituto de Ciências Exatas
Departamento de Ciência da Computação
Curso de Especialização em Gestão da Segurança da
Informação e Comunicações
Paulo Cesar Cardoso Rocha
SEGURANÇA DA INFORMAÇÃO – UMA QUESTÃO
NÃO APENAS TECNOLÓGICA
Priscila Solís Barreto
Professora Orientadora
Brasília, dezembro 2008
SEGURANÇA DA INFORMAÇÃO – UMA QUESTÃO NÃO
APENAS TECNOLÓGICA
Paulo Cesar Cardoso Rocha
Monografia de especialização submetida e aprovada pela Universidade de Brasília
como parte do requisito parcial para obtenção do certificado de Especialista em
Gestão da Segurança da Informação e Comunicações.
Profa. Dra. Priscila Solís Barreto
Universidade de Brasília
Prof. Dr. Jorge Fernandes
Universidade de Brasília
Prof. Dr. Pedro Berger
Universidade de Brasília
Brasília, dezembro 2008
AGRADECIMENTOS
Agradeço à minha esposa Adriana e às minhas filhas
Catarina e Heloísa, pela paciência em meus momentos de
ausência.
“Quem tem conhecimento adequado tem o poder que, antes, a terra, os meios de
produção e o capital conferiram às classes dominantes.”
Jayme Teixeira Filho
RESUMO
O foco deste trabalho, ao abordar a área de segurança da informação, é
discutir razões para o comportamento desapropriado dos funcionários e apresentar
soluções para mitigar as vulnerabilidades organizacionais em razão do
comportamento humano. De forma específica, busca-se listar e exemplificar
condutas comportamentais que tornam o sistema de segurança vulnerável;
abordando a padronização de condutas para mitigar o risco. Desta forma, este
trabalho pretende salientar a importância do componente comportamental nos
processos de Aprendizagem Organizacional nas instituições públicas, assim como a
preponderância da mudança comportamental. Os resultados obtidos sugerem um
modelo para a formulação de políticas de segurança da informação baseadas em
moldes afeitos ao domínio das ciências sociais e construídas com ênfase na
observação dos sistemas de informação e no contexto em que se inserem.
Palavras – Chave: Segurança da informação; políticas de segurança da informação;
componente comportamental.
ABSTRACT
The focus of this work within the information security area is to discuss
reasons for the inappropriate behavior of officials and to present organizational
solutions to mitigate organizational vulnerabilities due to human behavior.
Specifically, it lists and exemplifies behaviors that make the security system
vulnerable; addressing the standardization of conducts to mitigate risk. Thus, this
paper intends to stress the importance of behavioral processes of organizational
learning in public institutions, as well as the preponderance of behavioral change.
The results suggest a model for the formulation of information security policies based
on social sciences and constructed with emphasis on observation of information
systems and in the context in which they operate.
Keywords: Information Security; information security policies; behavioral component.
SUMÁRIO
RESUMO __________________________________________________________ v
ABSTRACT _______________________________________________________ vii
1. INTRODUÇÃO ____________________________________________________9
1.1 Problema de Pesquisa ____________________________________________10
1.2 Hipótese _______________________________________________________10
1.3 Objetivos de Pesquisa ____________________________________________15
1.4 Justificativa_____________________________________________________16
1.5 Metodologia ____________________________________________________18
2. CONCEITOS SOBRE SEGURANÇA DA INFORMAÇÃO __________________21
2.1Segurança ______________________________________________________21
2.2 Informação _____________________________________________________22
2.3 Segurança da Informação _________________________________________24
2.4 O comportamento do usuário _______________________________________26
2.5 Engenharia Social _______________________________________________28
2.6 Cultura organizacional ____________________________________________29
2.7 Resumo do Capítulo______________________________________________32
3. ESTUDO DE CASO _______________________________________________34
3.1 Petrobrás ______________________________________________________35
3.2 INSS __________________________________________________________38
3.3 DETRAN_______________________________________________________41
3.4 Fórum Central de Porto Alegre______________________________________44
3.5 Medidas Necessárias para a melhoria da SI ___________________________48
3.6 Resumo do Capítulo______________________________________________55
4. CONCLUSÕES __________________________________________________56
REFERÊNCIAS BIBLIOGRÁFICAS _____________________________________60
9
1. INTRODUÇÃO
Ao se abordar Segurança da Informação, logo se imagina um arsenal de
equipamentos e sistemas, todos concebidos para proibir a invasão daquele
estereótipo de hacker mal-intencionado que deseja roubar informações da sua
organização.
Contudo, observa-se na mídia em geral um número razoável de
incidentes de segurança que, em princípio, não teriam sido ocasionados por
questões tecnológicas e nem por hackers mal-intencionados.
Em razão disso, esse trabalho elegeu quatro cases de incidentes de
segurança da informação ocorridos na Administração Pública que, a priori, não
teriam sido ocasionados por questões tecnológicas.
Dessa forma, esse estudo contempla um tema recorrente, mas que se
apresenta atual, por ensejar a análise de casos reais de quebra de segurança da
informação e propor medidas, buscando focalizar a discussão em questões não
tecnológicas relacionadas à Segurança da Informação, apresentando uma visão
integrada de cultura organizacional, comportamentos, relações de poder e
tecnologia como uma abordagem viável de Segurança da Informação para as
organizações.
Uma abordagem acerca da Segurança da Informação focando questões não
tecnológicas torna-se relevante na medida em que outros fatores poderiam também
estar envolvidos na análise de incidentes de segurança. Quando se pensam os
problemas relacionados à segurança da informação de uma maneira completa,
10
integrada aos negócios e à realidade das organizações, é necessário considerar,
além dos aspectos tecnológicos, esses outros aspectos também.
É importante ressaltar que, em qualquer sistema de segurança, a “corrente”
costuma romper-se em seu elo mais fraco. Sendo assim, eleva-se a importância de
um equilíbrio de forças entre os todos os fatores que poderão impactar na
Segurança da Informação.
1.1 Problema de pesquisa
Nos dias atuais, mesmo com razoáveis investimentos em tecnologia, as
organizações
continuam
vulneráveis,
pois
empregados
despreparados,
desinformados e mal intencionados, a ausência de políticas claras, normas e
procedimentos bem definidos, ou a inadequação dos mesmos, e instalações
impróprias tornam-se a porta de saída para informações estratégicas.
A pesquisa busca problematizar a seguinte questão: Por que as organizações
sofrem incidentes de segurança da informação mesmo investindo em Tecnologia?
1.2 Hipótese
Dentro desse contexto, o presente trabalho levanta a seguinte hipótese: a
tecnologia não é o único fator determinante para as falhas na Segurança da
Informação. Então, para orientar a análise dos cases reais neste trabalho são
listados onze fatores que podem impactar na Gestão da Segurança da Informação.
11
Esses fatores estão relacionados com os objetivos de controle e controles listados
nas Normas ABNT NBR ISO 27002:2005 e 27001:2006:
a)
Política de Segurança
A Política de Segurança da Informação proporciona uma orientação
e apoio da direção para a segurança da informação de acordo com
os requisitos do negócio e com as leis e regulamentos relevante. A
Política necessita ser clara, alinhada com os objetivos do negócio,
demonstrar apoio e comprometimento com a segurança da
informação e abranger toda a organização.
b)
Organização da Segurança da Informação
A Segurança da Informação necessita de uma estrutura de
gerenciamento para iniciar e controlar a implementação da
Segurança da Informação dentro da organização.
c)
Gestão de Ativos
Os ativos indispensáveis à Segurança da Informação necessitam
ser inventariados e ter um proprietário responsável. A Gestão de
Ativos inclui a Classificação da Informação, pois, a informação
possui vários níveis de sensibilidade e criticidade, sendo assim,
alguns itens podem necessitar um nível adicional de proteção ou
tratamento especial.
d)
Recursos Humanos
A
organização
necessita
assegurar
que
os
funcionários,
terceirizados e fornecedores entendam suas responsabilidades e
12
estejam de acordo com os seus papéis. Alguns cuidados precisam
ser tomados durante a seleção, no dia-a-dia e na desmobilização.
e)
Segurança Física e do Ambiente
Os ambientes que contém informações sensíveis da organização,
ou que processam as mesmas, precisam estar devidamente
protegidos contra acessos não autorizados. Devem conter barreiras
de segurança, controles de acessos e possuir perímetros seguros.
f)
Gerenciamento das operações e comunicações
Os procedimentos e responsabilidades pela gestão e operação de
todos os recursos de processamento das informações precisam
estar definidos. Isso inclui a segregação de funções e áreas; o
monitoramento e análise crítica de serviços terceirizados; o
planejamento e aceitação dos sistemas; a proteção contra códigos
maliciosos e códigos móveis; a geração de cópias de segurança; o
gerenciamento da segurança em redes; o manuseio, controle e
proteção das mídias; a troca de informações entre organizações e
internamente; e o monitoramento, o registro e a auditoria.
g)
Controle de Acesso
A organização necessita controlar o acesso à informação, aos
recursos de processamento das informações e aos processos de
negócio. Isso inclui a política de controle de acesso; o registro dos
usuários; o gerenciamento de privilégios; a concessão de senhas; a
análise crítica dos direitos de acesso; a seleção e uso adequado de
senhas; o controle de acesso à rede; o controle de acesso ao
13
sistema operacional, o controle de acesso à aplicação e à
informação; e o controle do uso da computação móvel e dos
recursos de trabalho remoto.
h)
Aquisição,
desenvolvimento
e
manutenção
de
Sistemas
de
Informação
Esse fator inclui os requisitos de segurança dos sistemas
operacionais, da infra-estrutura, das aplicações de negócios, dos
produtos de prateleira, dos serviços e das aplicações desenvolvidas
pelos usuários; o processamento correto nas aplicações; o uso dos
controles criptográficos; o acesso aos arquivos de sistema e aos
programas de código fonte; a segurança e controle dos ambientes
de projeto e de suporte; e a gestão das vulnerabilidades técnicas.
i)
Gestão de Incidentes de Segurança da Informação
Esse fator inclui o estabelecimento de procedimentos formais de
registro e escalonamento dos incidentes; e a definição de
responsabilidades e procedimentos para o manuseio efetivo de
eventos de segurança e fragilidades, incluindo um processo de
melhoria contínua.
j)
Gestão da Continuidade do Negócio
A Gestão da Continuidade de Negócios tem por objetivo não permitir
a interrupção das atividades do negócio; proteger os processos
críticos contra efeitos de falhas ou desastres significativos e
assegurar a sua retomada em tempo real hábil, se for o caso;
minimizar um impacto sobre a organização; e recuperar perdas de
14
ativos de informação a um nível aceitável através da combinação de
ações de prevenção e recuperação.
k)
Conformidade
A Conformidade tem por objetivo evitar a violação de qualquer lei
criminal ou civil, estatutos, regulamentos ou obrigações contratuais e
de qualquer requisito de segurança da informação; garantir a
conformidade
dos
sistemas
com
as
políticas
e
normas
organizacionais de segurança da informação; e maximizar a eficácia
e minimizar a interferência no processo de auditoria dos sistemas de
informação.
Observa-se dentre os fatores listados acima, que há dentre eles alguns
fatores que não estão diretamente relacionados com a parte tecnológica. Os demais
fatores estão ligados aos aspectos tecnológicos, alguns com maior ênfase e outros
com menor.
Poderíamos listar como fatores não relacionados aos aspectos tecnológicos
os fatores: política de segurança, organização da Segurança da Informação, gestão
de ativos, recursos humanos, segurança física e do ambiente, e conformidade.
Na verdade, em determinado grau, todos os fatores estão relacionados uns
com os outros, pois fazem parte de um modelo de gestão de um sistema de
segurança da informação. A discriminação dos fatores em tecnológicos ou não é
puramente didática para demonstrar, através dos casos práticos, que fatores não
tecnológicos também são determinantes para as falhas na Segurança da
Informação.
15
1.3 Objetivos de Pesquisa
1.3.1 Objetivo Geral
Analisar cases reais de vazamento ou perda de informações, identificar os
prováveis fatores ocasionadores das falhas de segurança e relacioná-los com os
grupos apresentados na seção 1.2. A análise dos referidos cases permitirá a
apresentação de recomendações para mitigar as vulnerabilidades organizacionais
em razão da classificação dos fatores.
A partir da análise de casos de alguns órgãos da Administração Pública,
pretende-se ressignificar a discussão em torno da Segurança da Informação,
incorporando
elementos
não
tecnológicos
à
análise,
de
forma
a
extrair
recomendações amplas e contribuir para a formulação de políticas de segurança da
informação
dentro
de
uma
visão
integrada
de
cultura
organizacional,
comportamentos, relações de poder e tecnologia.
Não se pretende, aqui, criar um manual ou fórmula a ser seguida, pois
algumas particularidades sempre deverão ser respeitadas; mas evidenciar que
medidas
básicas
de
segurança
devem
independentemente de tamanho ou missão.
aplicar-se
a
todos
os
órgãos,
16
1.3.2 Objetivos Específicos
•
Analisar cases reais em que fatores não tecnológicos ocasionaram quebras
de segurança da informação;
•
Identificar os fatores não tecnológicos que devem ser considerados na análise
de situações de quebra de segurança da informação;
•
Apresentar recomendações de condutas que visem à mitigação dos riscos,
com base em um conjunto de fatores pré-definidos.
1.4 Justificativa
A motivação inicial deste trabalho partiu da observação e reflexão em torno do
contexto organizacional do Banco Central do Brasil, instituição que foi alvo de ação
criminosa, trazendo à tona questões de segurança - especialmente, segurança da
informação (QUADRILHA, 2008).
O Banco Central do Brasil, autarquia federal vinculada ao Ministério da
Fazenda, tem, segundo seu Regimento Interno (BANCO CENTRAL, 2008), por
finalidade, dentre outras, a formulação, a execução, o acompanhamento e o controle
das políticas monetária, cambial, de crédito e de relações financeiras com o exterior;
disciplinar a fiscalização do Sistema Financeiro Nacional; a gestão do Sistema de
Pagamento Brasileiro e dos serviços do Meio Circulante. É indiscutível a relevância
dos ativos que devem ser protegidos, de forma a garantir totalmente a
17
disponibilidade, integridade e confidencialidade das informações organizacionais
dessa entidade.
Chamou a atenção o assalto ocorrido ao Banco Central, em agosto de 2005,
evento que expôs, em escala internacional, a vulnerabilidade da instituição nas
questões de segurança. Apesar dos assaltantes do Banco Central terem como
objetivo ativos monetários, para que uma operação daquela natureza pudesse ter
êxito, presume-se que muitas informações foram necessárias para a fase de
planejamento da ação criminosa. O êxito da ação nos faz presumir que essas
informações não estavam protegidas devidamente. Não seria possível um crime
dessa natureza sem informações detalhadas sobre as rotinas de segurança, os
sistemas de alarmes existentes, a localização precisa da caixa-forte e dos bens
existentes em seu interior. Dessa forma, pode-se dizer que, antes do crime
patrimonial ser consumado, o que ocorreu foi roubo de informações valiosas para o
planejamento do crime.
Provavelmente, nesse aspecto, a realidade vivida pelo Banco Central não
difere dos demais órgãos da Administração Pública. Se considerar-se que as
vulnerabilidades e falhas relacionadas à segurança da informação podem replicar-se
por quase todos os órgãos, de uma maneira ou de outra, com poucas variações,
então, pelo mesmo raciocínio, as medidas necessárias poderão ser muito
semelhantes.
A consideração em torno dos riscos para uma organização, diante de uma
eventual vulnerabilidade na Segurança da Informação, levou à reflexão sobre os
fatores envolvidos nessa temática e à definição do objeto desta pesquisa – a
preocupação com segurança da informação para além das questões tecnológicas.
18
1.5 Metodologia
1.5.1 Pesquisa Bibliográfica
Escolheu-se para a realização deste trabalho uma pesquisa bibliográfica que
permitiu um aprofundamento sobre os conceitos envolvidos no tema, a descrição de
casos e suas respectivas análises e a apresentação de medidas para mitigar as
vulnerabilidades organizacionais, em razão de questões não tecnológicas.
A pesquisa está fundamentada em trabalhos científicos, em documentos
técnicos e internet, além de outros trabalhos apresentados em congressos ou
revistas especializadas, o que denota a relevância atribuída ao estudo do tema.
Para tanto, procedeu-se a uma aprofundada coleta de artigos e trabalhos nas
áreas tanto da segurança da informação quanto da formulação e implementação de
políticas de caráter público e organizacional.
Restringiu-se esta pesquisa ao universo conceitual espelhado no referencial
teórico e na análise de cases ocorridos dentro da Administração Pública, não sendo
implementado nenhuma pesquisa exploratória, tratando os dados dentro de uma
premissa de realidade e atualidade.
Não fizeram parte do objeto desta pesquisa os demais processos envolvidos
no sistema de informação e nem outras variáveis, pois estas seriam uma ampliação
do foco em questão, o que nos remeteria a outros tipos de estudos, que não
estariam no bojo dos objetivos deste, pelo menos a princípio.
19
1.5.2 Coleta de cases
A coleta de cases foi escolhida em razão da existência de inúmeros
incidentes de segurança da informação que ocorrem na Administração Pública em
geral, onde informações são roubadas ou perdidas, que se tornam cases de
sucesso, pela ampla divulgação na mídia, mas em nada são aproveitados para a
criação de experiências ou de dados estatísticos para os demais órgãos.
Foram selecionados quatro cases, todos de ampla divulgação na mídia.
Dentre os quatro cases, dois são da esfera estadual e dois da federal; três do Poder
Executivo e um do Judiciário; e, três da administração direta e um da indireta (nesse
caso uma sociedade de economia mista). Dessa forma, buscou-se, também, mesclar
o universo de cada case.
1.5.3 Estrutura do trabalho
Este trabalho está estruturado da seguinte forma:
•
No capítulo 2 serão apresentados conceitos que fundamentarão a análise dos
outros capítulos.
•
No capítulo 3 serão apresentadas as descrições de quatro cases de
incidentes de segurança, na Administração Pública, suas respectivas análises
relacionadas com os fatores comportamentais, normativos e físicos, e a
apresentação de aspectos genéricos necessários à melhoria da Segurança da
Informação.
20
•
No capítulo 4 são apresentadas as conclusões e considerações finais a partir
da análise realizada.
21
2. CONCEITOS SOBRE SEGURANÇA DA INFORMAÇÃO
Neste capítulo serão abordados os conceitos de segurança, segurança
organizacional, informação, segurança da informação, comportamento do usuário,
engenharia social, cultura organizacional e, por fim, será feita uma relação entre os
conceitos de cultura organizacional com a gestão da segurança da informação.
Todos esses conceitos têm por objetivo levar o leitor a um melhor esclarecimento a
respeito desses temas e facilitar o entendimento de como esses conceitos são
necessários para a compreensão de ocorrências de falhas de segurança da
informação nas organizações.
2.1 Segurança
De acordo com HOUAISS (2001, p. 2536), segurança é o estado, qualidade
ou condição de uma pessoa ou coisa que está livre de perigos, de incertezas,
assegurada de danos e riscos eventuais, afastada de todo mal.
2.1.1 Segurança Organizacional
De acordo com o Regulamento do Sistema de Segurança do Banco Central
do Brasil (BANCO CENTRAL, 2006):
22
“Art. 2º O Sistema de Segurança do Banco Central é o conjunto integrado de
recursos aplicados para a prevenção, detecção, controle e correção de situações
que possam comprometer o desempenho de suas funções.”
E o Art. 3º do mesmo Regulamento afirma que:
Art. 3º O Sistema de Segurança do Banco Central abrange todas as áreas
de atuação do Banco Central, contemplando os seguintes campos:
I - segurança das pessoas;
II - integridade das instalações;
III - continuidade das atividades;
IV - segurança das informações;
V - segurança de bens e valores;
VI - segurança de dignitários.
De acordo com o Regulamento do Sistema de Segurança do Banco Central
do Brasil, pode-se notar que a segurança organizacional é um conjunto integrado de
recursos de segurança inter-relacionadas entre si que contemplem todas as áreas
de atuação do Banco. A Segurança das Informações é apenas um desses campos
de atuação da Segurança Organizacional e necessita estar integrada aos demais
para seu perfeito funcionamento.
2.2 Informação
A informação sempre foi de grande relevância para a tomada de decisão e,
portanto, para qualquer ato de gestão. Mas, hoje, o volume de informação disponível
conheceu um crescimento exponencial. Atualmente não há falta de informação, mas
sim excesso de dados. Uma conseqüência desta realidade é a exigência de
organizar essa mesma quantidade de dados. E é para isso que existem os Sistemas
de Informação.
23
De acordo com FILHO (2008), Doutor em Ciência da Computação,
“informação” compreende qualquer conteúdo que possa ser armazenado ou
transferido de algum modo, servindo a determinado propósito e sendo de utilidade
ao ser humano. Trata-se de tudo aquilo que permite a aquisição de conhecimento.
Nesse sentido, a informação digital é um dos principais, senão o mais importante,
produto da era atual. Ela pode ser manipulada e visualizada de diversas maneiras.
Assim, à medida que a informação digital circula pelos mais variados ambientes,
percorrendo diversos fluxos de trabalho, ela pode ser armazenada para os mais
variados fins, possibilitando-a ser lida, modificada ou até mesmo apagada.
OLIVEIRA (2001) afirma que a informação é um recurso vital para a empresa
e integra, quando devidamente estruturada, os diversos subsistemas e, portanto, as
funções das várias unidades organizacionais da empresa.
Segundo WEBSTER (1995/1999), todos os observadores têm conhecimento
de um crescimento maciço do fluxo de informação que está ultrapassando fronteiras,
das facilidades de telecomunicações, das comunicações entre computadores de
todos os níveis, de trocas entre mercados de ações e segmentos corporativistas, do
acesso às bases de informação internacional e das mensagens de telex.
KUMAR (1997, p. 21) acredita que “a informação designa hoje a sociedade
pós-industrial. É o que a gera e sustenta”. Para o autor, a sociedade pós-industrial
poderia
ser
caracterizada
por
uma
sociedade
de
serviços,
que
oferece
oportunidades de emprego para profissionais liberais e de nível técnico.
Existe um considerável crescimento da distribuição global da informação de
massa sendo veiculada. As organizações precisam saber usar a informação e tirar o
melhor proveito dela para se colocarem em posição competitiva, acompanhando os
24
novos tempos, mudando suas características gerenciais e estratégicas e com elas
todo o seu capital intelectual.
A informação deve ser tratada como qualquer outro produto que esteja
disponível para consumo. Ela deve ser desejada, para ser necessária. Para ser
necessária, deve ser útil. E como tudo que é útil, precisa ser protegida.
2.3 Segurança da Informação
De acordo com PROMON (2005), o conceito de segurança da informação vai
muito além; pressupõe a identificação das diversas vulnerabilidades e a gestão dos
riscos associados aos diversos ativos da informação de uma corporação,
independentemente de sua forma ou meio em que são compartilhados ou
armazenados, digital ou impresso. O objetivo da segurança é garantir a
confidencialidade, a integridade e a disponibilidade desses ativos de informação de
uma corporação.
SÊMOLA (2003) define segurança da informação como sendo “uma área do
conhecimento dedicada à proteção de ativos da informação contra acessos não
autorizados, alterações indevidas ou sua indisponibilidade”.
Segundo FONTES (2006),
Segurança da Informação é o conjunto de orientações, normas,
procedimentos, políticas e demais ações que tem por objetivo proteger o
recurso informação, possibilitando que o negócio da organização seja
realizado e sua missão seja alcançada.
Ainda segundo FONTES (2006), proteger a informação significa garantir:
25
1. Disponibilidade:
a
informação
deve
estar
acessível
para
o
funcionamento da organização.
2. Integridade: a informação deve estar correta, ser verdadeira e não
estar corrompida.
3. Confidencialidade: a informação deve ser acessada exclusivamente
por aqueles que estão autorizados e necessitam dela.
4. Legalidade: a informação deve estar dentro das normas que regulam a
sociedade e a organização.
5. Auditabilidade: o acesso e o uso da informação devem ser
registrados, possibilitando a identificação de quem fez o acesso e o
que foi feito.
6. Não repúdio de autoria: o usuário que gerou ou alterou a informação
não pode negar o fato, pois existem mecanismos que garantem sua
autoria.
FILHO (2008) afirma que,
Segurança da informação compreende um conjunto de medidas que visam
a proteger e preservar informações e sistemas de informações,
assegurando-lhes integridade, disponibilidade, não repúdio, autenticidade e
confidencialidade. Esses elementos constituem os cinco pilares da
segurança da informação e, portanto, são essenciais para assegurar a
integridade e confiabilidade em sistemas de informações. Nesse sentido,
esses pilares, juntamente com mecanismos de proteção, têm por objetivo
prover suporte à restauração de sistemas informações, adicionando-lhes
capacidades de detecção, reação e proteção. Os componentes
criptográficos da segurança da informação tratam da confidencialidade,
integridade, não repúdio e autenticidade. Vale, no entanto, ressaltar que o
uso desses pilares é feito em conformidade com as necessidades
específicas de cada organização. Assim, o uso desses pilares pode ser
determinado pela suscetibilidade das informações ou sistemas de
informações, pelo nível de ameaças ou por quaisquer outras decisões de
gestão de riscos. Perceba que esses pilares são essenciais no mundo atual,
onde se tem ambientes de natureza pública e privada conectados a nível
global. Dessa forma, torna-se necessário dispor de uma estratégia, levando
em conta os pilares acima mencionados, a fim de compor uma arquitetura
de segurança que venha unificar os propósitos dos cinco pilares. Neste
26
contexto, as organizações e, mais amplamente, os países incluem em suas
metas:
• Forte uso de criptografia;
• Incentivo à educação em questões de segurança;
• Disponibilidade de tecnologia da informação com suporte à
segurança;
• Infra-estrutura de gestão de segurança;
• Disponibilidade de mecanismos de monitoramento de ataques,
capacidade de alerta e ações coordenadas.
Portanto, os princípios básicos da segurança são a confidencialidade,
integridade e disponibilidade das informações. Os benefícios evidentes são reduzir
os riscos com vazamentos, fraudes, erros, uso indevido, sabotagens, roubo de
informações e diversos outros problemas que possam comprometer estes princípios
básicos.
Enfim, pode-se afirmar que Segurança da Informação é um importante
instrumento para proteger as organizações contra ameaças às informações que a
elas pertençam ou que estejam sob sua responsabilidade. E uma política de
segurança é um conjunto de diretrizes, normas e orientações de procedimentos que
visam a conscientizar e orientar os funcionários, clientes, parceiros, colaboradores e
fornecedores para o uso seguro dos ativos da organização.
2.4 O comportamento do usuário
O uso de senhas, como forma mais comum de controlar o acesso de usuários
a sistemas e informações privilegiadas, tem gerado inúmeros problemas, em função
da dificuldade que a maioria das pessoas encontra para memorizar códigos. Não há
suficiente material literário que forneça procedimentos claros, passo a passo, que
auxiliem na geração e recordação de senhas. Desta forma, os usuários são
27
obrigados a conviver com um dilema entre a segurança e a conveniência, e acabam
por compartilhar senhas ou anotá-las em locais de fácil acesso. (BROWN e
colaboradores, 2004)
Conforme afirma MITNICK (2005),
as organizações que continuam a usar apenas senhas estáticas precisam
fornecer treinamento e lembretes ou incentivos freqüentes para encorajar
práticas seguras de senha. A política efetiva de senha exige que os
usuários utilizem senhas seguras com pelo menos um numeral e um
símbolo ou letras maiúsculas e minúsculas e que elas sejam alteradas
periodicamente.
Outra etapa requer certificar-se de que os funcionários não terão dificuldade
em memorizar a senha, anotando-a e colocando-a em seu monitor ou escondendo-a
embaixo do teclado ou numa gaveta da mesa de trabalho — lugares onde qualquer
ladrão de dados experiente sabe que deve procurar primeiro. A boa prática de senha
também requer que nunca se use a mesma senha ou senhas parecidas em mais de
um sistema (MITINICK, 2005, p. 78).
SASSE e colaboradores (2001) ao abordar
segurança da informação,
referem-se ao usuário humano como sendo o elo mais fraco de um processo de
segurança.
De acordo com MITNICK (2002):
Quando os empregados de confiança são enganados, influenciados ou
manipulados para revelar informações sigilosas ou para executar ações que
criem um buraco na segurança para que o atacante se infiltre, nenhuma
tecnologia do mundo pode proteger uma organização.
De acordo com REZENDE e ABREU (2000), as organizações devem procurar
dar mais atenção ao ser humano, pois é ele que faz com que as engrenagens
empresariais funcionem perfeitas e harmonicamente, buscando um relacionamento
cooperativo e satisfatório. Dessa forma, seria importante destacar que o elo mais
28
fraco de um processo de segurança é a pessoa (ou grupos de pessoas), que por sua
vez, é a responsável por garantir a fidelidade da informação.
Sob esta perspectiva, o usuário é vítima de alguém mal intencionado, mas
será parte de um comportamento social avesso aos controles tecnológicos.
Ou seja, é uma ilusão imaginar que o uso de produtos de segurança padrão,
da tecnologia da informação, torna as organizações imunes aos ataques.
As presentes definições nos conduzem ao entendimento do usuário como
peça estratégica participante do processo interativo com sistemas de informação.
Pode dizer que o usuário é todo aquele que produz, acessa, classifica, manuseia,
transporta, transmite ou guarda informações organizacionais que possam ser alvo de
ameaças.
2.5 Engenharia Social
A Engenharia Social usa a influência, a manipulação e a persuasão para
enganar as pessoas e convencê-las de que o engenheiro social é alguém que, na
verdade, ele não é. Como resultado, o engenheiro social pode aproveitar-se das
pessoas para obter as informações com ou sem o uso da tecnologia.
Para NBSO (2004), engenharia social consiste basicamente no uso da
persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para
obter informações que podem ser utilizadas para ter acesso não autorizado a
computadores ou informações.
29
A Engenharia Social é definida como “um tipo de intrusão que se apóia
fortemente na interação humana e que freqüentemente envolve enganar outra
pessoa para quebrar os procedimentos de segurança normais”. (What is social
engineering?, 2006)
De acordo com JONHSON (2005), os ataques de engenharia social são muito
freqüentes porque funcionam bem. É mais difícil tentar quebrar um algoritmo de
segurança inventado por um doutor em matemática do que conseguir que um
funcionário de uma empresa diga qual é a sua forma de acesso ao sistema.
A Engenharia Social é uma enorme ameaça a Segurança da Informação
Organizacional,
pois
suas
técnicas
podem
levar
servidores
inocentes
e
despreparados a fornecerem informações estratégicas e sensíveis a terceiros malintencionados.
2.6 Cultura organizacional
FLEURY e FISCHER (1996) entendem cultura organizacional como conjunto
de concepções, normas e valores, tomados por certos, que permanecem submersos
à vida organizacional. Para criar e manter a cultura, este conjunto deve ser afirmado
e comunicado aos membros da organização de forma concreta, através de ritos,
mitos, estórias, gestos e artefatos.
SCHEIN (1992) apud FLEURY e FISCHER (1996, p.15-44) define a cultura
organizacional como um conjunto de premissas básicas criadas por um grupo ao
aprender a lidar com problemas de adaptação externa e de integração interna, e que
30
foram suficientemente adequados e passaram a ser válidos e transmitidos aos novos
membros da organização como formas corretas de perceber, pensar e sentir.
Afirmam FLEURY e FISCHER (1996, p. 22) que
a cultura organizacional é concebida como um conjunto de valores e
pressupostos básicos expressos em elementos simbólicos, que em sua
capacidade de ordenar, atribuir significações, construir a identidade
organizacional, tanto agem como elemento de comunicação e consenso,
como ocultam e instrumentalizam as relações de dominação.
De acordo com FREITAS (1991),
(...) cultura organizacional é o modelo dos pressupostos básicos, que
determinado grupo tem inventado, descoberto ou desenvolvido no processo
de aprendizagem para lidar com os problemas de adaptação externa e
integração interna. Uma vez que os pressupostos tenham funcionado bem o
suficiente para serem considerados válidos, são ensinados aos demais
membros como a maneira correta para se proceder, se pensar e sentir-se
em relação àqueles problemas.
SCHEIN (1992) entende a cultura organizacional como propriedade de uma
unidade social estável e coesa, formada por pessoas que compartilham uma visão
de mundo em função de terem vivenciado e encontrado soluções em conjunto para
os problemas de integração interna e adaptação externa, e que tenham admitido
novos membros para os quais transmitiram sua forma de pensar.
MORGAN (1996) considera que a cultura organizacional pode ser entendida
como um processo de construção e compartilhamento da realidade organizacional,
por meio do qual eventos, expressões e manifestações culturais são significados
pelos empregados.
De acordo com CHIAVENATO (2000) apud RIBEIRO, a cultura organizacional
conglomera aspectos formais, facilmente perceptíveis, relacionados com as políticas,
diretrizes, procedimentos, objetivos, estruturas e tecnologias existentes, e aspectos
informais, relacionados com as percepções, sentimentos, atitudes, valores,
interações informais e normas grupais, caracterizados por um “iceberg”, aos quais
31
estão associados à parte visível, observável, os aspectos formais, orientados para
aspectos operacionais e de tarefas, enquanto os segundos, invisíveis ou ocultos,
estão relacionados com as questões afetivas, emocionais, orientados para aspectos
sociais e psicológicos, por vezes difíceis de interpretar e compreender, transformar
ou mudar.
Segundo os conceitos apresentados sobre cultura organizacional, podemos
entender que a cultura da organização é um dos principais ativos de qualquer
organização, pois compreende o conjunto de concepções, valores, normas ou
premissas da organização. A cultura conduz a forma de cada membro da
organização pensar, agir ou sentir.
2.6.1 Cultura organizacional relacionada com a Gestão da
Segurança da Informação
WEBSTER (1995/1999, p. 6) aponta cinco definições para sociedade da
informação, de acordo com os seguintes critérios: tecnológico, econômico,
ocupacional, espacial e cultural. A definição mais comum da sociedade da
informação tem ênfase na notável inovação tecnológica. O processamento,
armazenamento e transmissão da informação levaram à aplicação da Tecnologia da
Informação - Tl - a todos os âmbitos da sociedade. Estamos em uma nova era, na
qual os computadores estão mais eficazes, mais potentes, mais baratos, mais
poderosos e com amplas aplicabilidades.
32
No entanto, de acordo com PROMON (2005, p. 4), os critérios da segurança
da informação vão além da segurança lógica, permeando a importância da
segurança física, cujo objetivo é a prevenção de acesso não autorizado a
equipamentos e instalações, dano ou interferência às informações da organização. A
estratégia organizacional é também uma forma de inserir a cultura organizacional
nas atitudes dos administradores.
A cultura organizacional, como propriedade de uma unidade social formada
por pessoas, deve conjuntamente buscar formas mais seguras que venham inibir
condutas comportamentais que tornam o sistema de segurança vulnerável. SÊMOLA
(2003, p. 17) alerta para o problema de que a equipe de segurança poderia estar
não apenas voltada para aspectos tecnológicos da segurança, mas também deveria
focar nos aspectos físico e humano.
A cultura organizacional é parte estratégica para o gestor que pretende tornar
sua organização mais segura. A segurança depende do usuário, mas para que esse
usuário torne-se peça colaboradora dos sistemas de segurança, a organização
necessita incutir valores de segurança na cultura organizacional, pois assim o
usuário pode tornar-se um colaborador inocente, comportando-se e agindo de forma
segura. Os conceitos básicos de segurança precisam estar intrínsecos na cultura
organizacional para que isso seja possível.
2.7 Resumo do Capítulo
É difícil compreender segurança da informação sem antes conhecer o
contexto na qual ela está inserida na segurança da organização como um todo e,
33
também, não podemos entender suas dificuldades sem conhecer os agentes
adversos que a ameaçam e compreender que o agente colaborador principal nesse
cenário é o próprio usuário, que por sua vez esta inserido dentro de uma cultura
organizacional, que irá ajudar ou prejudicar as ações de segurança à medida que
essa cultura possui ou não conceitos básicos de segurança.
Sendo assim, os conceitos de segurança, segurança organizacional,
informação, segurança da informação, comportamento do usuário, engenharia social
e cultura organizacional foram abordados de forma ordenada nesse capítulo para
nos conduzir a um melhor esclarecimento a respeito desses temas e ao melhor
entendimento de como esses conceitos estão relacionados e são necessários para a
compreensão de ocorrências de falhas de segurança da informação que serão
abordadas em quatro cases ocorridos em organizações da Administração Pública no
próximo tópico.
34
3. ESTUDO DE CASO
Este capítulo apresenta quatro cases de incidentes de segurança da
informação na Administração Pública. Serão descritos os incidentes ocorridos na
Petrobrás, no Instituto Nacional de Seguridade Social - INSS, no Departamento
Estadual de Trânsito de São Paulo - Detran/SP e no Fórum Central de Porto Alegre,
nessa ordem.
Em seguida, em cada case, será feita uma análise relacionando cada um dos
cases a seis dos fatores apresentados no item 1.2 desse trabalho: Política de
Segurança, Organização da Segurança da Informação, Gestão de Ativos, Recursos
Humanos, Segurança Física e do Ambiente e Conformidade.
Esse seis fatores foram escolhidos, dentre onze, por não estarem diretamente
relacionados com a parte tecnológica da informação. Há de se lembra que, na
verdade, em determinado grau, todos os fatores estão relacionados uns com os
outros, pois fazem parte de um modelo de gestão de um sistema de segurança da
informação. A discriminação dos fatores em tecnológicos ou não é puramente
didática para demonstrar, através dos casos práticos, que fatores com pouca ênfase
em tecnologia também são determinantes para as falhas na Segurança da
Informação
Por último, serão apresentadas medidas básicas que podem servir a maioria
das organizações da Administração Pública na redução de vulnerabilidades que
impactam na Segurança da Informação.
35
3.1 Petrobrás
3.1.1 Descrição
Em fevereiro de 2008, a estatal brasileira Petrobrás anunciou que foi vítima de
furto de dados sobre pesquisas. Inicialmente, analistas, policiais e imprensa falavam
em crime de espionagem industrial, pois se tratava de informações estratégicas
sobre pesquisas que incluiriam a descoberta de petróleo e gás (XAVIER e ALVES,
2008).
O episódio ganhou evidência pois se especulava que, entre as informações
roubadas, havia dados sigilosos sobre o campo de Tupi, na Bacia de Santos, na
chamada área pré-sal. Segundo a Petrobrás, a bacia, anunciada em novembro de
2007, tem uma reserva estimada entre 5 e 8 bilhões de barris de petróleo, e é
considerada uma das maiores descobertas de petróleo do mundo dos últimos sete
anos (XAVIER e ALVES, 2008).
Segundo comentou, na ocasião, o geólogo Giuseppe Bacoccolli, professor da
Universidade Federal do Rio de Janeiro - UFRJ, “esse tipo de espionagem é
bastante comum e, agora que as reservas do Brasil começaram a ficar importantes,
isso deve se popularizar por aqui também”. Ademais, lembrou também que, “fora do
país, é comum revistas especializadas trazerem ofertas de dados geológicos não
oficiais sobre áreas potenciais de petróleo. Esses relatórios custam no mercado
entre US$ 100 mil e US$ 1 milhão” (XAVIER e ALVES, 2008).
As informações sigilosas estavam contidas em quatro notebooks, dois pentes
de memória e dois HDs da estatal e encontravam-se sob responsabilidade de uma
36
empresa especializada em transportar equipamentos e materiais para o setor
petrolífero. Os notebooks estavam no interior de um contêiner da empresa
terceirizada prestadora de serviços (XAVIER e ALVES, 2008).
Durante as investigações, o superintendente da Polícia Federal no Rio de
Janeiro, delegado Valdinho Jacinto Caetano, declarou que o sistema de segurança
era bastante falho, pois muita gente tinha acesso aos materiais e que a segurança
era própria para um escritório, mas não para informações importantes. Foi
detectado, ainda, que uma mesma chave era usada para abrir o cadeado de vários
contêineres, o que tornava o sistema ainda mais inseguro (GAIER e SAVARESE,
2008).
Após as investigações, a Polícia Federal chegou ao nome de quatro vigilantes
do terminal portuário Bric Log. Parte dos equipamentos foi encontrada com os
vigilantes, outra parte havia sido destruída. Os vigilantes não tinham conhecimento
do tipo de material que haviam roubado, e já estariam praticando pequenos furtos,
desde setembro do ano anterior, que não eram percebidos pela estatal. Alguns dos
equipamentos foram usados nos computadores deles mesmos, outros foram
repassados para parentes ou vendidos por 1.500 reais. A elucidação das
investigações garantiu que o furto foi crime comum e não espionagem industrial
(BREJÕES, 2008).
Em nota divulgada pelo Ministro Tarso Genro, então ministro da Justiça, antes
da elucidação do caso, ele informa que “independentemente da motivação do crime,
as investigações revestiam-se de importância, em função da possível fragilidade do
sistema de segurança para o transporte de informações reservadas, que o episódio
evidenciou” (TARSO, 2008).
37
3.1.2 Análise
No caso do roubo de equipamentos ocorrido na Petrobrás, contendo
informações sigilosas, pode-se observar que tais informações estavam sendo
transportadas por empresa terceirizada da mesma forma como se transporta
equipamentos comuns. Esse fato ocasionou a quebra da confidencialidade da
informação sigilosa, pois houve o acesso aos equipamentos por pessoas que não
possuíam credenciais de acesso às informações neles contidas. Os processos e
procedimentos de segurança eram falhos ou inseguros, uma vez que não havia um
controle rígido dos cadeados e das pessoas que acessavam os equipamentos,
mesmo para uma área de escritórios; sendo assim, outro princípio, o da
auditabilidade, também ficou prejudicado, uma vez que, sem o controle de acesso,
não foi possível identificar, de imediato, quem teve acesso e o que foi feito. Pode-se
observar, também, baixo controle patrimonial, uma vez que pequenos furtos eram
realizados sem terem sido detectados, ou alguma providência tomada.
Apesar do crime ter sido cometido por vigilante terceirizado que não tinha o
conhecimento do valor dos dados contidos nos equipamentos, é consenso que a
espionagem industrial no setor petrolífero não é algo raro, o que elevava,
notadamente, os riscos dos dados serem alvos de ladrões especializados. Sendo
assim, medidas rigorosas de segurança deveriam ser determinadas pelas
autoridades responsáveis pela informação.
Embora a Petrobrás seja reconhecida internacionalmente como uma empresa
de ponta no mercado petrolífero, o caso em questão evidencia a fragilidade dos
sistemas de segurança da organização, pela inexistência de medidas cautelares no
38
transporte de dados sigilosos, pela terceirização do transporte, e pelas medidas de
segurança física na guarda dos equipamentos que contêm dados sensíveis.
Nesse caso, como em muitos outros que podem existir na Administração
Pública, aspectos tecnológicos não foram responsáveis pela proteção das
informações e nem pela garantia da segurança. Os equipamentos desaparecerem
pela inexistência de normas rígidas e de controles que deveriam existir no transporte
de notebooks contendo informações estratégias. Preponderando a falta de controle
na segurança física e do ambiente como o responsável pela falha de segurança.
Ademais, problemas na Política de Segurança podem, também, terem sido
responsáveis, uma vez que os controle de acesso não eram rigorosos. A ausência
desses controles pode, também, decorrer da inexistência de normas básicas de
segurança na cultura organizacional e do baixo envolvimento da alta administração
da organização. Não se observou, também, pelas informações acessadas, a
existência de Classificação para os dados sigilosos que estavam sendo
transportados.
3.2 INSS
3.2.1 Descrição
Em 27 de dezembro de 2005, um incêndio destruiu seis dos dez andares do
prédio do Instituto Nacional de Seguro Social (INSS), no Setor de Autarquias Sul, em
Brasília (LAUDO, 2006).
39
Segundo o ministro da Previdência e Assistência Social, na ocasião, Nelson
Machado, as maiores perdas no incêndio foram as informações do sistema central e
processos físicos – informações de receita previdenciária, dívidas de empresas,
processos de fraudes e autos de infração (CABRAL, 2005).
O presidente da Comissão de Fiscalização e Controle da Câmara dos
Deputados, deputado Alexandre Cardoso (PSB-RJ), estimou, naquela época, que a
União teria perdido de 5 a 10 bilhões de reais em processos contra devedores da
Previdência Social (FUTEMA, 2005).
De acordo com o parlamentar, os processos que podem ter sido queimados
no incêndio envolviam recursos da ordem de 60 bilhões de reais. Parte deles ainda
poderia ser recuperada, mas o total considerado irrecuperável podia chegar a 10
bilhões de reais - o que correspondia a mais de metade do orçamento do Ministério
do Desenvolvimento Social e Combate à Fome para 2006, que era de cerca de 19
bilhões de reais (FUTEMA, 2005).
Ademais, Cardoso alertou ainda que a reorganização dos processos
recuperáveis demandaria muito tempo. “Esses processos foram montados em dez
anos, a partir de documentos e petições. Imagine o desafio de reorganizar 50 mil
processos contra a vontade do autuado!” (FUTEMA, 2005).
Na ocasião, a Polícia Federal chegou a levantar a hipótese de incêndio
criminoso. No entanto, perícia realizada pelo Corpo de Bombeiros do Distrito Federal
concluiu que a causa do incêndio havia sido um curto-circuito em uma impressora. O
laudo constatou que o prédio apresentava falhas na estrutura contra incêndio e que
a indicação de saída de emergência e o corrimão da escada de emergência não
eram contínuos. Ademais, o laudo demonstrou que existia uma sobrecarga no
40
sistema elétrico do prédio, que a quantidade de extintores não era condizente com a
quantidade de salas do edifício e que havia deficiência na rede elétrica (LAUDO,
2006).
3.2.2 Análise
O caso do INSS exemplifica que nem sempre as informações são roubadas,
mas que podem ser perdidas por descaso e descuido em sua armazenagem. A
perda dos dados ocasionada com o incêndio fez com que a informação deixasse de
estar acessível (disponibilidade da informação) para que dívidas de empresas
fossem cobradas, processos de fraudes fossem concluídos e autos de infração
executados.
Uma edificação onde informações estratégicas são armazenadas deve
possuir sistemas elétricos e de ar-condicionados modernos, pois é comum
equipamentos
de
ar-condicionados
e
sistemas
elétricos
antigos
e
não
supervisionados causarem incêndios. Ademais, esse tipo de edificação deve possuir
brigadas treinadas, sistemas de alarmes contra-incêndio, rotas de fugas e,
principalmente, sistema de sprinklers. Esse último provavelmente teria evitado que o
fogo se alastrasse pelo restante dos andares, ocasionando os prejuízos ocorridos.
Apesar das investigações terem concluído que o caso não se tratou de um
incêndio criminoso, o mesmo poderia ter ocorrido em razão da existência de
inúmeros processos de dívidas previdenciárias, processos de fraudes e autos de
infração. Sendo assim, instalações apropriadas deveriam ser providenciadas pelas
autoridades responsáveis pelas informações.
41
Não é difícil encontrar órgãos do governo ocupando áreas físicas
provisoriamente, por longos períodos, com elevado número de servidores e de
equipamentos por metro quadrado, sobrecarregando redes tecnológicas e elétricas,
em instalações antigas e sem sistema central de ar-condicionado.
No caso do INSS, à semelhança do caso da Petrobrás, o Fator Tecnológico
não foi o responsável pela perda das informações. As informações se perderam
porque estavam sendo utilizadas em uma edificação inapropriada para conter
informações estratégicas e valiosas. Preponderando, nesse caso, o Fator Segurança
Física e do Ambiente como o responsável pela falha de segurança. Ademais desse
Fator, a Política de Segurança pode, também, estar envolvida, uma vez que a
ausência políticas claras e adequadas sobre o uso e manutenção das instalações
para podem ocasionar a ausência de ações corretivas e preventivas.
3.3 DETRAN
3.3.1 Descrição
O diretor da Divisão de Controle do Interior do Departamento Estadual de
Trânsito (Detran) de São Paulo, delegado Adriano Rodrigues Alves Caleiro,
declarou, em agosto de 2008, que sua senha foi usada indevidamente por algum
dos 50 funcionários da Circunscrição Regional de Trânsito (Ciretran) de Osasco, na
grande São Paulo, onde trabalhava antes de ir para o Detran. Como diretor de
divisão, ele tinha a missão de fiscalizar 334 Ciretrans do Estado. Caleiro afirmou que
a quantidade de trabalho obrigava os responsáveis pelas Ciretrans de cidades com
42
mais de 500 mil habitantes a compartilharem sua senha com funcionários do órgão,
pois era impossível dar conta sozinho de todo o trabalho, que só podia ser efetuado
com o uso da senha pessoal para acessar o sistema da Companhia de
Processamento de Dados do Estado (Prodesp). (SENHA, 2008)
O sistema admitia a transferência de pontos das carteiras de habilitação de
motoristas infratores para a de inocentes. Foi exatamente nesse processo que
ocorreu a fraude, cujo esquema envolvia o pagamento a pessoas que se dispunham
a emprestar suas carteiras para receber os pontos, ou somente computava-se esses
pontos na Carteira Nacional de Habilitação de alguma vítima inocente. A fraude teria
contado com a participação de funcionários da Ciretran de Osasco, na Grande São
Paulo, de despachantes e de auto-escolas (SENHA, 2008).
3.3.2 Análise
No caso relatado do Detran, observa-se que a má distribuição das funções e
responsabilidades, agregadas ao baixo índice de consciência dos servidores e à
ausência de uma política para credenciamento de acesso ao sistema da Prodesp,
fizeram com que um diretor do órgão fosse obrigado a compartilhar, sem nenhum
controle, sua senha com 50 funcionários de sua repartição, não autorizados a
acessar o sistema ou a executar tarefas no mesmo, caracterizando a quebra da
confidencialidade.
Ademais, a partir do momento que o acesso às informações passou a ser
usado para fraudar o sistema, observa-se a quebra da integridade dos dados
existentes nos bancos de dados da entidade.
43
Nesse caso, o uso de senhas como forma de controlar o acesso a
informações privilegiadas de nada valeu, pois não se observou que a senha deveria
ser pessoal e intransferível, permitindo a ação de fraudes ao sistema e dificultando
as investigações (auditabilidade) para identificar os responsáveis (quebra do
princípio do não-repúdio).
NORMAN (1990), ressalta a dificuldade que a maioria das pessoas encontra
diante da necessidade de recordar códigos secretos ou senhas. Apesar disso, na
Era da Informação em que vivemos, manipulamos uma quantidade de informações
cada vez maior. Por essa razão, a demanda por segurança digital tem crescido em
função das sérias preocupações a respeito do uso não-autorizado de informações
sigilosas e das respectivas conseqüências. Na verdade, o uso de senhas, como
forma mais comum de controlar o acesso a informações privilegiadas, envolve dois
mundos muito diferentes - tecnológico e humano - que precisam conviver um com o
outro e cuja interação tem gerado inúmeros problemas.
No caso do Detran, a semelhança dos casos da Petrobrás e do INSS, o Fator
Tecnológico não foi o responsável pela falha de segurança das informações. As
informações roubadas contribuíram com a fraude pois um diretor da instituição,
servidor que deveria possuir plena consciência de sua responsabilidade como gestor
e responsável pelo controle de acesso às informações estratégicas contidas nos
bancos de dados, compartilhou sua senha com demais servidores, sem ao menos
ter qualquer controle sobre isso. Preponderando, nesse caso, o Fator Recursos
Humanos como o responsável pela falha de segurança. Ademais desse Fator, o
Fator Política de Segurança pode, também, estar envolvido, uma vez que a estrutura
hierárquica da instituição pode ter contribuído para o excesso de trabalho e pela má
distribuição das responsabilidades dentro dos cargos. O uso de senhas de forma
44
compartilhada demonstra, também, uma falha básica de segurança na cultura da
organização.
3.4 Fórum Central de Porto Alegre
3.4.1 Descrição
A polícia do Rio Grande do Sul investigou o desaparecimento, de dentro do
Fórum Central de Porto Alegre, de 170 caixas com 966 processos judiciais, ocorrido
em 28 de outubro de 2005. O material, originário do cartório da 10ª Vara Cível, havia
sido colocado no corredor do prédio no dia 10 de outubro do mesmo ano, para que
fosse transportado para o Arquivo Judicial, em outro endereço. As 170 caixas
acabaram não sendo recolhidas e permaneceram no local por dezoito dias, quando,
então, desapareceram. Segundo o responsável pela 1ª Delegacia de Polícia,
delegado Leandro Cantarelli Lisardo, um homem disfarçou-se de funcionário da
empresa terceirizada que faz o transporte dos processos e desapareceu com os
documentos (DESAPARECIMENTO, 2006).
O desaparecimento dos processos chegou ao conhecimento da Ordem dos
Advogados do Brasil (OAB) por engano. A entidade recebeu uma cópia da
sindicância instaurada pela 10ª Vara Cível, que estava sendo encaminhada à polícia
para a investigação do caso (DESAPARECIMENTO, 2006).
O presidente em exercício da OAB, Bráulio Pinto, informou que o Tribunal de
Justiça encaminhou um ofício, com o resultado da sindicância interna que averiguou
45
o caso, como resposta a um pedido de informações da Ordem. “Ficamos
preocupados, pois o fato pode gerar prejuízos para as partes envolvidas nos
processos, já que algumas partes podem ser restauradas, outras não” (POLÍCIA,
2006).
A juíza Maria Cláudia Cachapuz, do Departamento de Comunicação do
Fórum, ressaltou que o fato inusitado foi o volume de processos roubados. “Foi a
primeira vez que aconteceu nessa quantidade”, afirmou a magistrada. Garantiu
também que não houve dano para a Justiça, pois os processos haviam sido julgados
e estavam sendo enviados para o arquivo definitivo (POLÍCIA, 2006).
Segundo o delegado Lisardo, não havia indícios de furto do material. Teria
havido, talvez, o recolhimento equivocado dos processos. Lisardo informou que não
foi possível identificar o responsável pelo recolhimento das caixas, em função do
grande fluxo de público que passa pelo local de onde desapareceram os
documentos. Outra dificuldade apontada foi o fato de que as diversas entidades, que
retiram no fórum material para reciclagem, não têm como identificar os funcionários
que lá estiveram em outubro de 2005 (PROCESSOS, 2006).
Dessa forma, a reciclagem teria sido o provável destino das 170 caixas com
quase 1 mil processos que desapareceram. O inquérito da Polícia Civil, concluído e
remetido à justiça, indicou que os documentos foram recolhidos por engano
(PROCESSOS, 2006).
46
3.4.2 Análise
O desaparecimento dos processos judiciais no Fórum Central de Porto Alegre
reporta para alguns descuidos ocorridos.
Primeiramente, o corredor de um órgão não deveria ser utilizado para a
acomodação de processos, mesmo que por tempo limitado. A permanência desses
processos no corredor do prédio por 18 dias é demasiadamente prolongada, e,
mesmo assim, os processos permaneceram nesse local “somente” por 18 dias
porque os mesmos foram roubados. Caso os processos não houvessem
desaparecido, não se saberia qual seria o tempo de permanência dos mesmos no
corredor do prédio.
Em seguida, pode-se notar a falta de registros de saída de materiais e de
processos do edifício, deixando claro a inexistência de qualquer controle e
implicando nos princípios da auditabilidade e do não repúdio.
Segundo ressaltou a juíza Maria Cláudia Cachapuz, o fato somente chamou a
atenção por causa do volume de processos que desapareceram. As palavras da
magistrada levam à dedução que o roubo de processos, em quantidades menores,
já havia ocorrido anteriormente.
Por fim, nota-se, também, outra falha de segurança da informação quando do
envio da cópia da sindicância instaurada internamente para destinatário errado. O
envio de dados a destinatário diferente do autorizado implica na quebra do princípio
da confidencialidade, pois permite o acesso aos dados por pessoal até então não
autorizado.
47
No caso em questão, apesar das informações perdidas estarem sendo
enviadas para arquivo, isso não significa que as informações não possuíam mais
valor ou que não pudessem causar danos à Administração Pública ou a terceiros.
Com o desaparecimento dos processos, todas as informações neles contidas
deixam de estar acessíveis para consultas necessárias (disponibilidade).
Cabe à autoridade responsável providenciar espaço adequado, verificar os
procedimentos de guarda e destruição de dados e checar os controles empregados
no acesso às informações.
No caso do Fórum Central de Porto Alegre, a semelhança dos casos
anteriores, o Fator Tecnológico também não foi o responsável pela perda das
informações. Ao permitir que processos judiciais permaneçam acomodados no
corredor do fórum, por qualquer que seja o período, o responsável facilita o extravio
dos mesmos, quer de forma intencional ou acidental. Preponderando, nesse caso, o
Fator Recursos Humanos como o responsável pela falha de segurança, uma vez
que se nota a baixa preocupação dos responsáveis com o transporte dos processos.
Ademais do Fator Recursos Humanos, os Fatores Políticas de Segurança e
Segurança Física e do Ambiente podem, também, terem contribuído para o
desaparecimento dos processos, uma vez que políticas sobre o armazenamento e
transporte de processos podem não ser claras (ou mesmo não existirem) e podem
inexistir salas para o armazenamento temporário dos processos até o envio para o
arquivo definitivo. Sendo que para certificar-se sobre essas últimas possibilidades
seria necessária providenciar uma análise mais aprofundada acerca da política de
segurança e das instalações da organização.
48
3.5 Medidas necessárias para a melhoria da Segurança da
Informação
Os quatros cases apresentados no tópico anterior podem servir de exemplo
para qualquer órgão da Administração Pública, pois em nenhum dos casos as falhas
apresentadas são específicas ou exclusivas daqueles órgãos.
Retomando a reflexão inicial que motivou a definição do objeto deste trabalho,
pode-se aferir que o Banco Central do Brasil, como entidade integrante da
Administração Pública também não está livre de sofrer incidentes de segurança da
informação como os aqui apresentados. Isso foi demonstrado, por exemplo, com o
episódio ocorrido em agosto de 2005, quando o Banco Central foi alvo do crime
organizado, que levou de sua caixa forte, em Fortaleza, mais de 164 milhões de
reais.
Com base nos cases apresentados, sugerimos algumas medidas básicas que
podem reduzir as vulnerabilidades de Segurança da Informação em qualquer
organização da Administração Pública.
3.5.1 Política
A Política de Segurança da Informação deve ser o primeiro passo para a
organização avançar no processo de melhoria. Ela define as regras principais,
orienta os integrantes da organização sobre o que pensam os dirigentes e serve de
base para a criação de normas secundárias que também serão necessárias. Cabe
49
lembrar que a Política de Segurança da Informação necessita estar em sintonia ou
inserida nas políticas de segurança em geral. Não se pode imaginar que seja
possível trabalhar a segurança da informação de forma independente, sem se
preocupar com as outras áreas da segurança. A segurança das instalações, das
pessoas e os outros segmentos fazem parte de um conjunto que deve funcionar de
forma integrada.
A Política de Segurança deverá ser comunicada oficialmente a todos os
colaboradores da organização, visando a garantir que todas as pessoas tenham
consciência da mesma e a pratiquem na organização. Ou seja, responsabilidades de
segurança de informações devem ser atribuídas na fase de recrutamento dos
recursos humanos da organização, incluídas nos contratos e monitorados durante a
vigência destes contratos.
Normas específicas devem ser produzidas a partir da Política. Elas devem
tecer detalhes, responsabilidades e procedimentos necessários para o atingimento
da Política. Serão produzidas quantas normas forem necessárias de forma que
todas as áreas, processos e atividades sejam cobertas pelas normas.
Nos cases apresentados, não se pode afirmar que as organizações
estudadas não possuíam Política de Segurança da Informação. No entanto, alguns
comportamentos e ações demonstram que, caso exista na organização Política de
Segurança da Informação, elas não são fielmente seguidas. Isso se pode ver mais
claramente no caso do Detran, pois o não compartilhamento de senhas é um item
básico de qualquer política de segurança.
50
3.5.2 Investimento
Qualquer organização que espere resultados satisfatórios, em qualquer área,
necessita investir recursos para a obtenção desses resultados. Em questões de
segurança, ou mais especificamente em questões de segurança da informação, isso
se faz muito verdadeiro. Esses investimentos necessitam vir de diversas maneiras.
No planejamento orçamentário é necessário alocar recursos específicos para
a Segurança da Informação. Para a implementação de projetos, colocação de
controles, realização de treinamentos e campanhas, modernização de áreas, são
necessários contratações que requerem recursos financeiros.
Na estrutura formal da organização, necessita-se definir cargos e funções
para tratar as questões de segurança da informação. Muitos órgãos delegam
concomitantemente essas funções para áreas de TI ou para suas áreas patrimoniais.
Nesses casos, o acúmulo de atividades distintas das de segurança acabam
deixando as questões de segurança para prioridades inferiores. Sendo assim, é
imprescindível a criação de setores específicos para o tratamento das questões de
segurança.
As unidades ou setores criados especificamente para tratamento das
questões de segurança da informação necessitam ter, em sua composição,
servidores de carreira do órgão, que sejam comprometidos com a missão da
instituição. Dessa forma, é recomendado o cuidado com a terceirização em áreas
específicas de segurança. A terceirização vulnerabiliza a segurança uma vez que o
comprometimento e envolvimento do servidor terceirizado é, em geral, mais baixo. A
51
rotatividade alta e os salários, muitas vezes, baixos, tornam os terceirizados mais
suscetíveis aos recrutamentos.
Os investimentos nas estruturas físicas é também uma questão mitigadora
das vulnerabilidades. Não se trata de questões apenas de conforto ou estética. A
colocação de sistemas modernos de controles de acesso reduz os riscos de pessoas
não identificadas acessarem áreas sensíveis. Instalações modernas, com sistemas
de proteção contra-incêndios, redes elétricas novas e sistemas centrais de arcondicionado reduzem os riscos de incêndio e, por conseqüência, os riscos de
perdas de dados.
Nos cases apresentados, não se pode afirmar que as organizações
estudadas não investem em Segurança da Informação. No entanto, acontecimentos
demonstram que, caso a organização invista em Política de Segurança da
Informação, esses investimentos não foram suficientes para evitar prejuízos quanto
à perda de informações. Isso se pode ver mais claramente no caso do INSS, onde a
má condição das instalações permitiu que as informações fossem queimadas em um
incêndio.
3.5.3 Treinamentos
O momento mais importante para os treinamentos de segurança é no ato de
ingresso do novo servidor na organização. Servidores antigos, geralmente, são mais
resistentes ao aprendizado das questões de segurança. Por essa razão, os
treinamentos em início de carreira costumam ser mais eficientes, e, sem dúvida,
preparam os novos servidores para lidarem com as informações desde o princípio.
52
Os treinamentos devem ser divididos em níveis básico, intermediário e
avançado para cada caso, geralmente conforme o risco. Os treinamentos básicos
deverão ser obrigatórios para todos na organização, assim que ocorrer, ou mesmo
antes, o ingresso dos servidores na organização. Os treinamentos intermediários
poderão ser obrigatórios somente para aqueles servidores que trabalham em áreas
mais sensíveis e precisam lidar com dados sigilosos com bastante freqüência. Já os
treinamentos em níveis avançados deverão ser destinados aos servidores com perfil
gerencial que trabalham nas áreas estratégicas de segurança e necessitam manterse sempre atualizados para implementarem as políticas, checarem os controles e
servirem como multiplicadores na organização.
Um programa permanente de treinamento necessita ser desenvolvido para
que, de forma periódica, o servidor volte novamente às aulas de treinamento e
reciclagem.
Da mesma forma que Políticas e Investimentos, os Treinamentos são
imprescindíveis. Vale lembrar que as pessoas costumam ser “o elo mais fraco da
corrente” nas organizações.
Nos cases apresentados, não se pode afirmar que as organizações
estudadas não realizam treinamentos sobre Segurança da Informação. No entanto,
alguns comportamentos e ações demonstram que, caso esses treinamentos ocorram
na organização, eles têm sido insuficientes. Isso se pode ver mais claramente nos
casos do Detran e do Fórum do Porto Alegre, pois o compartilhamento de senhas e
o descaso com os processos judiciais são falhas básicas em um sistema de
segurança.
53
3.5.4 Campanhas de Conscientização
Mesmo após os treinamentos requeridos para cada caso, é necessário que o
servidor continue recebendo doses de informações a respeito de como proceder em
relação às questões de segurança. As campanhas permanentes suprem essas
necessidades, uma vez que deverão abordar questões vistas nos treinamentos
básicos com freqüências periódicas, evitando que os servidores esqueçam suas
parcelas de contribuição para o Sistema de Segurança.
Campanhas específicas para públicos específicos também precisam ser
planejadas. Por exemplo, campanhas para pessoas que trabalham nas áreas de
tecnologia, nas áreas de arquivos e protocolos, campanhas para estagiários,
mensageiros e entregadores e assim por diante. Dos públicos específicos, sem
dúvida alguma, a alta administração torna-se alvo especial das campanhas de
conscientização, pois seu envolvimento é pré-requisitos para o sucesso das Políticas
de Segurança.
Faz-se necessário, também, criar regras de forma a restringir as atitudes dos
servidores àquelas aceitáveis dentro dos padrões mínimos de segurança,
minimizando, assim, vulnerabilidades organizacionais. Isto significa que se deve
buscar um modelo organizacional que se enquadre no nível de segurança exigido
para a informação manuseada. Ou seja, deve haver um processo de educação e
aculturação dos usuários que seja essencial para a segurança da informação. A
educação é, basicamente, o processo de instrução continuada, voltado à formação
de
consciência
crítica
capaz de
vista comportamental e de segurança.
tomar decisões adequadas sob o ponto de
54
Nos cases apresentados, não se pode afirmar que as organizações
estudadas não realizam campanhas de conscientização sobre Segurança da
Informação. No entanto, alguns comportamentos e ações, observados nos cases,
demonstram que, caso as campanhas existam na organização, elas não são efetivas
o suficiente. Isso se pode ver mais claramente nos casos do Detran e do Fórum de
Porto Alegre, pois, como já citado anteriormente, o compartilhamento de senhas e o
descaso com os processos judiciais são falhas básicas em um sistema de
segurança.
3.5.5 Controle
Após a formulação de políticas, a alocação de investimentos, a implantação
de programas de treinamentos e de campanhas de conscientização, faz-se
necessário o controle e avaliação dos métodos empregados de forma sistemática e
periódica.
Pesquisas de opinião para averiguar os níveis de envolvimento dos servidores
e a percepção desses em relação às questões de segurança auxiliam a verificação
da efetividade das políticas e dos programas empregados. Algumas organizações
contratam empresas especializadas para testar a penetrabilidade dos sistemas
tecnológicos e os níveis de maturidade dos servidores.
Os resultados da avaliação possibilitam à organização rever os padrões
adotados, as políticas e normas internas, redirecionar os investimentos, os
programas de treinamento e as campanhas de conscientização, buscando sempre
os níveis ótimos de segurança da informação.
55
Nos cases apresentados, não se pode afirmar que as organizações
estudadas não realizam controles e avaliações dos métodos empregados de forma
sistemática e periódica, acerca da Segurança da Informação. No entanto, o fato
ocorrido no caso da Petrobrás demonstra que, caso a organização realize controle
sistemático dos processos que envolvam a guarda de informações estratégicas, para
esse caso em questão, o controle não foi efetivo, pois não detectou as
vulnerabilidades existentes previamente.
3.6 Resumo do Capítulo
Nesse capítulo foram apresentados quatro cases de incidentes de segurança
da informação na Administração Pública que foram analisados sob a ótica de fatores
não tecnológicos, fatores esses listados no item 1.2. Em seguida foram
apresentadas recomendações para serem aplicadas nas organizações com vistas à
mitigação de vulnerabilidades.
56
4. CONCLUSÕES
O presente trabalho teve por finalidade demonstrar que o Fator Tecnológico
não é o único fator determinante nas questões relacionadas com a Segurança da
Informação. Fatores como Políticas de Segurança, Gestão de Ativos, Recursos
Humanos e Segurança Física e do Ambiente também impactam nas questões de
segurança.
Para isso foram apresentados os conceitos de segurança, segurança
organizacional, informação, segurança da informação, comportamento do usuário,
engenharia social e cultura organizacional com objetivo de levar o leitor a um melhor
esclarecimento a respeito desses conceitos e facilitar o entendimento de como eles
são necessários para a compreensão de ocorrências de falhas de segurança da
informação nas organizações. Em seguida, quatro cases de incidentes de segurança
da informação foram descritos e analisados sob a ótica de fatores não tecnológicos.
Por último, foram apresentadas medidas básicas que podem servir a maioria das
organizações da Administração Pública na redução de vulnerabilidades que
impactam na Segurança da Informação.
Dessa forma, a análise dos casos apresentados neste trabalho induz à
conclusão que a hipótese de que a tecnologia não é o único fator determinante para
a falha na segurança da informação é válida. Outras razões, dentre muitas, implicam
em incidentes de segurança:
-
transporte inadequado de informações;
-
terceirização de serviços estratégicos;
-
inexistência de controle de acesso a áreas e instalações;
57
-
edificações antigas ou inadequadas arquitetonicamente;
-
sobrecarga na infra-estrutura elétrica;
-
ausência de estudos e análises de riscos;
-
ausência de sistemas de alarmes e brigada contra-incêndio e redes de
sprinklers;
-
ausência de políticas sobre o uso de senhas ou a sua inobservância;
-
má distribuição de funções e responsabilidades;
-
inexistência de campanhas de conscientização dos usuários;
-
inexistência de política para acesso a informações sigilosas;
-
armazenamento de processos em espaços inapropriados sem o devido
controle;
-
envio de documentos e processos para destinatários diversos;
-
ausência de normas e políticas claras de segurança da informação; e
-
baixo envolvimento da alta administração.
Os cases relatados no presente trabalho tiveram unicamente por propósito
exemplificar eventos de quebra de segurança da informação ocasionados por
questões não tecnológicas.
Não se pretendeu, aqui, diminuir a importância das medidas de segurança
necessárias aos sistemas tecnológicos, mas tão somente buscar um consenso sobre
a importância do equilíbrio entre as ações e investimentos em medidas tecnológicas,
comportamentais, normativas e físicas.
58
Do ponto de vista da segurança da informação, é inútil um sistema
tecnológico impenetrável, se é que existe algum, se as instalações não forem
adequadas, se os controles de acesso às áreas sensíveis não forem rigorosos, se os
usuários continuam a dar pouca importância ao uso da senha impessoal e
intransferível.
Da
mesma
forma,
nenhuma
medida
mitigatória
para
as
vulnerabilidades serão eficazes se não houver o envolvimento da alta administração
nas soluções.
Pode-se concluir que um modelo ideal para a segurança da informação nas
organizações deve integrar Tecnologia, Pessoas, Normativos e Instalações. O
resultado seria um ponto de equilíbrio variável de uma organização para outra, mas
que caracterizaria a importância dada a cada um dos pilares.
A trabalho revela também o conflito existente entre aquilo que as
organizações vêm fazendo para aprimorar sua segurança e o que, de fato, elas
deveriam fazer. Muitas organizações investem em tecnologia mas não dão a devida
importância para outros fatores.
Durante a realização desse estudo, percebeu-se, ao consultar os diversos
autores que abordam a temática, quão importante é o aprofundamento do assunto
como forma de identificar possibilidades de melhoria na segurança da informação
dentro das organizações.
Por se tratar de tema de tamanha complexidade, com tão significativo nível de
influência sobre determinados fenômenos institucionais, o trabalho de segurança da
informação como uma questão não apenas tecnológica constitui-se num produto
inacabado, que requer ainda muitos estudos.
59
Assim sendo, o presente trabalho sugere que sejam implementadas e
avaliadas as recomendações aqui citadas e, a partir da monitoração dos resultados,
possam ser aplicados estudos futuros no intuito de mensurar objetivamente as
mudanças obtidas e possibilitar a reformulação de políticas na área de Segurança
da Informação, no que tange os fatores comportamental, normativo e físico.
Outra possibilidade é a realização de pesquisas estatísticas dentro da
administração pública para avaliar o grau de importância dada aos fatores aqui
enfatizados. Isso poderia ocorrer com o levantamento dos investimentos realizados
ou através de entrevistas com os diversos gestores de cada organização.
60
REFERÊNCIAS BIBLIOGRÁFICAS
ABNT NBR ISO/IEC 17799:2005 – Tecnologia da Informação – Técnicas de
Segurança – Código de prática para a gestão da segurança da informação. Rio de
Janeiro: ABNT, 2005.
ABNT NBR ISO/IEC 27001:2006 – Tecnologia da Informação – Técnicas de
Segurança – Sistemas de gestão de segurança da informação – Requisitos. Rio de
Janeiro: ABNT, 2006.
BATES, M. J. The invisible substrate of information science. Journal of the American
Society for Information Science, v. 50, n. 12, 1999. Disponível em:
<http://www.gseis.ucla.edu/faculty/bates/substrate.html>. Acesso em: 18 ago. 2008.
BROWN, A.S.; BRACKEN, E., ZOCCOLI, S. e Douglas, K. Generating and
remembering passwords. Applied Cognitive Psychology, 2004.
BANCO CENTRAL. Regimento Interno – 2ª edição – 3ª atualização – Portaria
43.003, de 31/01/2008, publicada no Diário Oficial da União de 01/02/2008, com ato
de retificação 11/02/2008, e republicada em 08/04/2008 (Seção 1, páginas 48 e 49).
2008. Disponível em:
<http://www.bc/Adm/rh/Recursos%20Humanos/Regimento%20Interno.htm>
BANCO CENTRAL. Regulamento do Sistema de Segurança do Banco Central do
Brasil – Portaria 36.055, de 23 de agosto. 2006. Disponível somente através do
Sisbacen (Sistema de Informações do Banco Central do Brasil).
BREJÕES, Prefeitura Municipal de. Diário Oficial, nº 107 – ANO III, 28 fevereiro.
2008. Disponível em: <http://www.brejoes.ba.gov.br>. Acesso em: agosto de 2008.
CABRAL, Maria Clara. Incêndio no INSS destrói autos de infração. Redação Terra,
Brasília, 27 de dezembro. 2005. Disponível em:
<http://noticias.terra.com.br/brasil/interna/0,,OI810789-EI306,00.html>. Acesso em:
agosto de 2008.
DESAPARECIMENTO de processos no Foro Central de Porto Alegre. Da Agência
Estado, São Paulo, 4 de maio. 2006. Disponível em:
<http://www.agenciaestado.com.br/institucional/institucional_p.htm>. Acesso em:
set.2008.
FILHO, Antonio Mendes da Silva. Segurança da Informação: Sobre a Necessidade
de Proteção de Sistemas de Informações. 2008.Disponível em:
<http://www.espacoacademico.com.br/042/42amsf.htm>
FLEURY, Maria Tereza Leme; FISCHER, Rosa Maria. Cultura e poder nas
organizações. 2.ed. São Paulo, Atlas, 1996. O desvendar a cultura de uma
organização: uma discussão metodológica.
61
FONTES, Edison. Segurança da Informação: o usuário faz a diferença. 1a edição.
São Paulo: Saraiva, 2006.
FREITAS, Maria Ester de. Cultura organizacional: grandes temas em debate.
Revista de Administração de Empresas, São Paulo, v.31, n.3, p.73-82, jul./set. 1991.
FUTEMA, Fabiana. Incêndio destruiu processos administrativos e logísticos do INSS,
diz deputado. Da Folha Online, São Paulo, 29 de dezembro. 2005. Disponível em:
<http://www1.folha.uol.com.br/folha/cotidiano/ult95u116752.shtml>. Acesso em:
agosto de 2008.
GAIER, Rodrigo Viga e SAVARESE, Maurício. Roubo de dados da Petrobrás foi
espionagem, diz PF. Reuters/Brasil Online, Rio de Janeiro, 19 de fevereiro. 2008.
Disponível em: < http://oglobo.globo.com/>. Acesso em: agosto de 2008.
HOUAISS, Antonio e VILLAR, Mauro de Salles. Dicionário Houaiss da língua
portuguesa. Rio de Janeiro: Editora Objetiva, 2001.
JOHNSON, R. J. The weakest link. Obtido em 10 de 11 de 2007, de Prescient
Consulting, Inc.: <http://prescientconsulting.com/content/view/43/30>. 2005
KUMAR, Krishan. Da sociedade pós-industrial à pós-moderna: novas teorias sobre o
mundo contemporâneo. Rio de Janeiro: J. Zahar,1997.
LAUDO aponta que incêndio no prédio do INSS foi acidental. Folha de São Paulo
com Agência Brasil, São Paulo, 14 de janeiro. 2006.
MORGAN, G. Imagens da organização. São Paulo, SP: Atlas. 1996.
MITNICK, Kevin D., 1963 - A arte de invadir: as verdadeiras histórias por trás das
ações de hackers, intrusos e criminosos eletrônicos / Kevin D. Mitnick e William L
Simon - São Paulo: Pearson Prentice Hall, 2005.
MITNICK, Kevin D., 1963 - A arte de enganar: ataques de hackers: controlando o
fator humana na segurança da informação / Kevin D. Mitnick e William L Simon - São
Paulo: Pearson Prentice Hall, 2002.
NBSO, Brasil. Estatísticas dos incidentes reportados ao NBSO. 2004. Disponível em
<http://www.nbso.nic.br>. Acesso em: set. 2008.
NORMAN, Donald A. The Design of Everyday Things. New York: Doubeday, 1990
OLIVEIRA, D.P.R. Sistemas organização e métodos: uma abordagem gerencial.
12.ed. São Paulo: Atlas, 2001.
POLÍCIA vai investigar sumiço de processos. Jornal do Comércio, São Paulo, 5 de
maio. 2006. Disponível em:
<http://www.mp.rs.gov.br/imprensa/clipping_fonte/id9.htm>. Acesso: set.2008.
PROCESSOS desaparecidos do Fórum Central foram reciclados. O Sul, Rio Grande
do Sul, 19 de outubro. 2006. Disponível em:
<http://www.mp.rs.gov.br/imprensa/clipping_fonte/id9.htm>. Acesso: set.2008.
62
PROMON, Business & Tecnology review. Segurança da Informação – Um diferencial
determinante na competitividade das corporações. Rio de Janeiro, 2005. Disponível
em:
<http://www.promon.com.br/portugues/noticias/download/Seguranca_4Web.pdf>.
Acesso em: set.2008.
QUADRILHA escava túnel e faz assalto milionário no Banco Central no CE. Folha
Online, São Paulo, 8 de agosto. 2008. Disponível em: http://www.folha.uol.com.br/
REZENDE, Denis Alcides e ABREU, Aline França. Tecnologia da Informação
Aplicada a Sistemas de Informação Empresariais. São Paulo: Atlas, 2000.
RIBEIRO, Olivério de Paiva. Cultura organizacional: educação, ciência e tecnologia.
Disponível em: <http://www.ipv.pt/millenium/Millenium32/13.pdf> Pg. 3. Acesso em:
set.2008.
SASSE, M.A., BROSTOFF, S. E WEIRICH, D. Transforming the "weakest link" — a
human/computer interaction approach to usable and effective security. BT
Technology Journal, 2001.
SÊMOLA, Marcos. Gestão da Segurança da Informação: Uma visão Executiva. Rio
de Janeiro: Campus, 2003.
SCHEIN, E.H. Organizational Culture and Leadership. San Francisco: Jossey-Bass
Publishers, 1992.
SENHA de delegado “limpava” pontos. Esquema usava código de diretor do Ciretran
de Osasco para transferir autuações para carteira de ‘inocentes’. O Estado de São
Paulo, São Paulo, 7 de agosto. 2008.
TARSO: Roubo na Petrobrás aponta fragilidade em segurança para transporte de
informações. Redação Santafé Idéias, Brasília, 18 de fevereiro. 2008. Disponível
em:<http://ultimosegundo.ig.com.br>. Acesso em: ago 2008.
XAVIER, Heberth e ALVES, RafaeL. Roubo misterioso assusta Petrobrás. Jornal
Estado de Minas, Belo Horizonte, 15 de fevereiro. 2008. Disponível em:
http://www.em.com.br/. Acesso em: agosto de 2008.
WEBSTER, F. Theories of Information Society (4.ª ed.). London: Routledge.
1995/1999).
What is social engineering? - a definition from Whatis.com. (10 de 2006). Obtido em
10 de 08 de 2008, de Information Security: Covering today'ssecurity topics:
<http://searchsecurity.techtarget.com/sDefinition/0,,sid1 4_gci531120,00.html>