Insiders: Um Fator Ativo na Segurana da Informao

Gliner Dias Alencar1, Anderson A. L. Queiroz1, Ruy Jos G. Barretto de Queiroz1

1

Centro de Informtica Universidade Federal de Pernambuco (UFPE)

Av. Jornalista Anibal Fernandes, s/n 50.740-560 Recife PE Brazil
{gda2,aalq,ruy}@cin.ufpe.br

Abstract. To achieve reliable levels of safety, the focus of many companies has
been to invest primarily in technology and processes, forgetting the human
resources that necessarily work with these technologies and will be part of the
processes. Thinking about this gap, particularly in people as internal threats
(insiders), the present study analyzed through theoretical and field research,
aspects of information security at 34 public and private companies in Greater
Recife where, in general, it was established that information security has a
low level of maturity and active participation of insiders, these points that the
paper proposes improvements.
Resumo. Para atingir nveis confiveis de segurana, o foco de muitas
empresas tem sido investir primariamente em tecnologia e processos,
esquecendo-se dos recursos humanos que necessariamente trabalharo com
estas tecnologias e faro parte dos processos. Pensando nesta lacuna
existente, especificamente nas pessoas como ameaas internas (insiders), o
presente trabalho analisou, por meio de estudos tericos e pesquisa de campo,
os aspectos de segurana da informao em 34 empresas pblicas e privadas
do Grande Recife onde, de uma forma geral, constatou-se que a segurana da
informao tem um baixo nvel de maturidade e existe uma participao ativa
de insiders, pontos estes que o trabalho prope melhorias.

1. Introduo
Ao analisar a varivel humana na Tecnologia da Informao e Comunicao (TIC), um
dos pontos da trade essencial (processos tecnologias e pessoas) para a efetividade da
segurana da informao, segundo Gualberto et al. (2012), percebe-se que as pessoas
podem se tornar uma ameaa segurana da informao (SI) por diversos motivos e
meios. Desde pessoas que facilitam a ao, sem nem mesmo saber que esto auxiliando
o ato, quelas que agem propositadamente e com finalidades especficas. Dentro do
subgrupo de pessoas que agem de forma proposital, existem as que no tm ligao
direta com o alvo do ataque, normalmente caracterizadas como hackers, e aquelas que
tm algum tipo de conhecimento interno do alvo do ataque, os insiders, definidos como
atuais, ex-empregados ou contratados (diretos ou indiretos) que tm ou tiveram acesso
autorizado ao sistema e s redes da organizao, assim como, conhecimento das
polticas internas, procedimentos e tecnologia utilizada, empregando tais conhecimentos
e privilgios como facilitadores para realizar ataques ou auxiliar invasores externos,
sendo categorizados como uma ameaa interna.
A quantidade de pessoas envolvidas nos processos internos unida falta de uma
correta poltica de gerenciamento e manuseio das informaes so aspectos que
facilitam a ao dos insiders. Casos relacionados perda de informaes, roubos de

dados, engenharia social e sabotagem de TIC envolvendo insiders esto cada vez mais
frequentes no noticirio nacional e internacional. Entre os exemplos relacionados a este
tipo de notcia tem-se o caso do funcionrio do setor de informtica do Bank of America
que foi processado pela justia americana por ter instalado um software malicioso nos
caixas eletrnicos do banco, o qual permitia que o empregado realizasse saques
fraudulentos sem deixar nenhum registro, como descreve Rohr (2010). Segundo a
Imperva (2009), um programador chins que trabalhava na Ellery Systems nos EUA,
transferia cdigos fontes proprietrios a uma empresa concorrente chinesa. A
concorrncia e a perda de cdigos causaram a falncia da Ellery Systems. Incidente
parcialmente responsvel pela criao da Lei de Espionagem Econmica em 1996.
Considerando que os fatos anteriormente mencionados so exemplos de
situaes frequentes no ambiente coorporativo, nota-se o quanto a varivel pessoa pode
ser danosa para a instituio, uma vez que a maioria dos incidentes, quer direta ou
indiretamente, envolve a participao humana, gerando prejuzos muitas vezes
incalculveis, como ressalta Greitzer et al. (2008). Alm da relevncia social,
importante destacar a escassez de estudos que investiguem esta temtica. Neste
contexto, acredita-se ser relevante para a rea de SI realizar estudos na tentativa de
identificar as origens e comportamentos dos insiders e, tambm, verificar que atitudes
as empresas adotam para lidar com tal ameaa.
Acredita-se tambm que a segurana dever ser constituda em camadas, como
cita Maccarthy (2010), dessa forma, qualquer melhoria implantada contribuir para se
ter um ambiente mais seguro. Com este pensamento, espera-se que o melhor
entendimento das ameaas internas modifique o ambiente corporativo como um todo,
provendo dificuldades para que as vulnerabilidades sejam exploradas, o que diminuir
os riscos e aumentar o patamar de segurana do ambiente, bem como se tem a
expectativa que aes como a citada elevem o nvel de maturidade da rea de SI.
Visando compreender melhor e encontrar solues para o problema exposto, foi
realizada uma pesquisa com o intuito de analisar a viso tcnica e estratgica da rea de
segurana da informao, especialmente os fatores relacionados s ameaas internas,
nos ambientes corporativos de empresas com sede ou escritrio na capital
pernambucana, Recife, ou cidades circunvizinhas, tratadas no trabalho como Grande
Recife. Para tal, foi construdo um questionrio adequando, principalmente, o estudo
de Gabbay (2003) realizado com empresas do Rio Grande do Norte, da pesquisa
realizada pela Modulo (2006), com representao nacional, e da pesquisa realizada pelo
Ecrime (2010), com entidades norte-americanas, assim como comparando-os.

2. Coleta e Tratamento dos Dados

Para a coleta dos dados foi utilizada a pesquisa de campo. Como caractersticas comuns
utilizadas para delimitar a amostra utilizada, as empresas deveriam ter sede ou escritrio
no Grande Recife, com, no mnimo, quinze funcionrios e ser da rea de TIC ou ter uma
rea especfica de TIC. O questionrio utilizado foi composto por 43 questes divididas
em seis categorias: Dados da Empresa, Dados do Respondente, Importncia Estratgica
da Informao, Ferramentas de SI na Empresa, Recursos Humanos e Estrutura
Organizacional e, finalizando, Segurana da Informao Corporativa.
A aplicao do questionrio foi proposta em 62 empresas, das quais 43 (69,4%) se
propuseram a responder. Destas 43, nove questionrios foram invalidados por no

responder completamente todas as questes no opcionais ou por conter respostas

visivelmente incoerentes como, por exemplo, afirmar que tem atividade fim em TIC e
ser do setor primrio ou citar que no possui nenhuma poltica de segurana da
informao e afirmar que a poltica divulgada formalmente. Assim, a amostragem
final composta por 34 empresas distintas (54,8% das empresas propostas).
Todos os entrevistados eram funcionrios das empresas, sendo que 31 deles (91,2%)
eram responsveis ou ligados rea que trata a SI e os demais 8,8% eram funcionrios
da TIC. A amostra representada por 76% de empresas do setor tercirio da economia e
24% do secundrio, no tendo nenhuma empresa caracterizada no setor econmico
primrio, sendo 65% privadas, 26% pblicas e 9% de economia mista. A quantidade de
funcionrios das empresas variou de 15 a 26 mil, enquanto a quantidade de
computadores variou de 13 computadores a 8 mil mquinas, conforme Grfico 1.

Grfico 1. Amostra (quantidade de computadores x quantidade de funcionrios)

Dentre as empresas pesquisadas, cinco empresas (14,7%) tm a TIC como rea

fim. A classificao quanto rea de abrangncia foi de: 38% de abrangncia nacional,
29% estadual, 18% regional, 9% multinacional e 6% local.

3. Anlise Descritiva dos Resultados

3.1. Importncia estratgica da informao
Foi visto que 91% das empresas acreditam ser muito importante as informaes por elas
guardadas ou manipuladas, enquanto 9% responderam como sendo importante (0% para
as demais opes: nenhuma importncia, pouca importncia e neutra). No mesmo
caminho, 76% acreditam que a perda ou vazamento das informaes so muito
prejudiciais para a corporao, enquanto 24% classificaram como prejudicial (0% para
pouco prejudicial, no causa prejuzo e neutro). Corroborando com o conceito da era da
informao colocado por Castell (2007), que aborda a informao como um bem vital.
Ao questionar se o assunto segurana da informao vem sendo debatido de
forma sistemtica e estratgica nas empresas nos ltimos meses, 44% dos respondentes
marcaram a alternativa ideal, o tema SI vem sendo tratado com a devida relevncia.
Porm, mesmo nos dias atuais, 9% das empresas afirmam que no esto tratando do
referido tema nos ltimos meses e nem se encontram preparados para discutir tal

assunto. Obteve-se, tambm, 38% respondendo que o tema tratado, mas sem a devida
relevncia e 9% no debatem, mas dever ser tratado em breve.
Ao questionar as empresas sobre a existncia de divulgao institucional e
frequente sobre a SI na corporao, 35% das empresas responderam de forma positiva e,
em sentido contrrio das boas prticas relativas SI, grande parte das empresas (65%)
registrou que no existe tal divulgao. Este nmero negativo tem uma representao
ainda maior quando se questionou a existncia de treinamentos peridicos ou processos
de conscientizao sobre SI para os funcionrios. Nesta opo, 85% responderam
negativamente, ou seja, que no existem treinamentos peridicos ou processos de
conscientizao sobre SI para os funcionrios, enquanto 15% afirmaram a existncia.
Tambm indo contra os modelos ideais da rea, a pesquisa verificou que apenas 21%
das empresas pesquisadas tm o investimento em SI alinhado com os objetivos de
negcio da empresa, o que seria a situao ideal; que a maioria (41%) respondeu que
no esto alinhados e que 38% da amostra afirmam estar parcialmente alinhados. Este
ponto tambm discrepou, mostrando um ambiente menos alinhado, dos dados da
Modulo (2006) que mostrava que 33% estavam plenamente alinhados, 40%
parcialmente, 16% pouco e 11% no estavam alinhados.
3.2. Ferramentas de SI na empresa
A pesquisa revelou que todas as empresas utilizavam antivrus e uma grande parcela
(91%) utiliza, tambm, firewall para proteger seu ambiente, 76% utiliza controle Web,
65% controle de email, 41% IPS (intrusion prevention system) ou IDS (Intrusion
detection system) e 12% outras ferramentas. Na mesma questo verificou-se que poucas
empresas (32,3%) utilizam os cinco tipos de ferramentas mais comuns (antivrus,
firewall, controle web, controle de email, IPS/IDS) e apenas metade das empresas
pesquisadas utilizam as quatro ferramentas que podem ser consideradas bsicas para a
SI corporativa (antivrus, firewall, controle web, controle de email). Os itens desta
questo, assim como de outras do questionrio, extrapolam os 100% por ser possvel a
marcao de mais de uma resposta na mesma questo da pesquisa.
Ao questionar sobre as principais dificuldades para se implantar as ferramentas
de SI na empresa, quatro itens se destacaram: restries oramentrias (47%), falta de
priorizao (41%), falta de conscientizao dos funcionrios (38%) e escassez de
recursos humanos especializados (32%). Enquanto apenas 9% afirmaram no existir
obstculos. Um fato interessante a divergncia ao se analisar as empresas pblicas e
privadas separadamente. Nos rgos pblicos, as principais dificuldades registradas so
escassez de recursos humanos especializados e falta de conscientizao dos
funcionrios, ambos com 55% dos casos, e ningum afirmou que no existia obstculos.
J nas empresas privadas os mesmos itens receberam, respectivamente, 22,7% e 27,3%;
destacando-se restries oramentrias (50%) e falta de priorizao (40,9%).
3.3. Recursos humanos e estrutura organizacional
Analisando a organizao setorial da SI e dos recursos humanos que tratam a mesma, a
pesquisa revelou que em metade das empresas existe um setor ou equipe formal
dedicada SI. Neste ponto percebe-se uma melhoria dos dados mostrados pela Modulo
(2006), que trazia 43% das companhias com um departamento de SI estruturado.
Tambm foi visto que 50% das empresas contam com pessoas externas envolvidas

diretamente na rea de SI, tais pessoas so oriundas de terceirizao, contrato ou

parcerias. Ponto esse que dobrou o percentual se comparado com as respostas da
Modulo (2006) e que pode gerar srios problemas como relata Cezar, Cavusoglu e
Raghunathan (2010). Tambm se verificou-se que apenas 21% dos responsveis pela SI
trabalham exclusivamente na rea.
A pesquisa retratou que 59% dos responsveis pela SI tiveram capacitao ou
formao relacionada aos conceitos gerais da rea de SI (conceitos, polticas, normas,
auditoria, criptografia, malwares) e 56% tiveram capacitao ou formao nas
ferramentas de SI utilizadas na empresa. Percebeu-se tambm que 44% dos
respondentes tiveram formao ou capacitao em ambas as reas e 29% responderam
que no tiveram capacitao ou formao em nenhuma delas. Fato esse que
corroborado pela pesquisa da Modulo (2006), apontando que 50% dos profissionais que
lidam com SI nas empresas foram parcialmente capacitados, 18% plenamente, tambm
18% pouco capacitados e 14% no tm profissionais capacitados. Dados semelhantes
tambm so exibidos por Gabbay (2003). Porm, percebe-se, no atual estudo, um
aumento do percentual dos grupos totalmente capacitado e dos que no tiveram
nenhuma formao.
Ao solicitar aos participantes que colocassem uma nota entre 0 e 10 para
mensurar o conhecimento da equipe responsvel pela segurana da informao, obtevese uma mdia de 6,9 (mediana 7) para os conhecimentos gerais em SI e mdia 7,3
(mediana 7) para o conhecimento da equipe nas ferramentas de SI utilizadas.
Finalizando a seo de recursos humanos do questionrio, foi solicitado aos
respondentes que marcassem todos os tipos de anlises ou procedimentos utilizados e
eliminatrios na seleo de colaboradores (funcionrios, servidores, terceirizados,
estagirios). Nesta etapa, viu-se o destaque para exame mdico (85%), entrevista (71%)
e anlise de currculo e documentos (71%), porm percebeu-se um ndice baixo das
empresas que realizam uma avaliao da conduta tica e moral (12%) e, menor ainda,
daquelas que realizam anlise dos antecedentes criminais (9%) e exame psicotcnico
(9%). Tais anlises poderiam detectar possveis comportamentos ou caractersticas que
indiquem se o profissional tem ou no o perfil desejado, como aborda o Ecrime (2010)
trazendo que 61% das empresas pesquisadas afirmam verificar os antecedentes dos
empregados ou contratados como uma forma de segurana da informao.
3.4. Segurana da Informao Corporativa
A ltima seo do questionrio, segurana da informao corporativa, iniciou-se
questionando sobre o que se espera dos problemas e ameaas relativos SI nos
prximos meses. Com relao ao ambiente interno da empresa do respondente, 41%
acreditam que deve aumentar os problemas e ameaas relativos SI, 32% assinalaram
que deveria permanecer os mesmo e 27% diminuir. Porm, ao fazer a mesma pergunta,
agora abordando o ambiente externo (Internet), o nmero de respondentes que esperam
o crescimento dos problemas e ameaas aumenta para 76%, enquanto 12% afirmaram
que deveria permanecer os mesmos e, tambm, 12% que deveria diminuir. Tal
expectativa de aumento, principalmente no ambiente externo, corrobora com os dados
da Modulo (2006) e do Ecrime (2010), porm vai contra a pesquisa de Gabbay (2003),
nele a maioria acreditava na diminuio dos problemas de SI. Tambm visvel a
dissenso na expectativa relativa ao aumento de problemas de SI no ambiente interno e
no ambiente global, o que corrobora com o pensamento de Schneier (2007) que aborda

a viso divergente das pessoas entre a segurana interna e externa, temendo,

principalmente, o que externo.
Ao questionar sobre as principais ameaas s informaes nas empresas
pesquisadas, os trs itens mais votados esto diretamente ligados ao comportamento
humano, sendo o primeiro e terceiro itens ligados, diretamente, ao comportamento das
pessoas internas empresa como pode ser visto no Grfico 2. Tais informaes locais
do uma viso diferente das demonstradas por Gabbay (2003), pela Modulo (2006) e
pelo Ecrime (2010), o que mostra a dinamicidade da rea de segurana da informao e
as particularidades de cada ambiente.

Grfico 2. Principais ameaas s informaes na empresa

A SI corporativa pode ser entendida como a unio de uma estratgia e de

ferramentas especficas que atendam aos anseios corporativos para a implantao e
manuteno de um ambiente saudvel. Considerada um item vivo, a poltica de
segurana da informao (PSI) nunca est acabada e deve ser desenvolvida e atualizada
durante toda a vida da empresa. Alexandria (2009) corrobora afirmando, ainda, que a
definio da PSI o primeiro passo para o reconhecimento da importncia da SI na
organizao e para seu tratamento adequado.
Sabendo da importncia da PSI para o ambiente computacional das empresas, o
questionrio perguntou sobre sua implementao. Percebeu-se um resultado semelhante
entre os que possuem uma PSI implementada e os que no tm (Sim, possui uma PSI
formal implementada, 35%; Sim, possui uma PSI informal implementada, 15%; No
possui uma PSI implementada, mas est em processo de formulao ou implementao,
35%; e No possui nenhuma PSI nem previso de implementao, 15%). Fato bem
diferente dos resultados de Gabbay (2003), quando 82% das empresas pesquisadas
possuam uma PSI implementada. Analisando apenas os rgos pblicos, 11% afirmou
ter uma poltica formal implementada, enquanto 67% afirmou no possuir uma PSI
implementada, mas est em processo de formulao ou implementao e 22%
assinalaram no possuir nenhuma poltica de segurana nem previso de implantao.
Entre as empresas que j adotam uma PSI, 41% afirmaram que existe uma divulgao
formal da poltica e obrigado o seu conhecimento, sendo este o recomendado para a
SI; enquanto 35% afirmaram que a PSI disponibilizada para quem tiver interesse em
conhecer, no sendo uma obrigao; e 24% citaram que no existia divulgao.

Os principais obstculos citados pelos respondentes para que a PSI fosse

implementada de forma eficiente foram a falta de priorizao (76%), falta de
conscientizao dos funcionrios (71%), escassez dos recursos humanos especializados
(62%), restries oramentrias (59%) e falta de ferramentas adequadas (21%).
Salienta-se que nenhum entrevistado citou que no existiam obstculos. Tais respostas
concordaram, em parte, com os resultados explanados por Gabbay (2003), nele as
respostas que lideraram foram falta de conscientizao dos funcionrios (56%), falta de
ferramentas adequadas (41%) e escassez de recursos humanos especializados (39%).
Algumas divergncias nos resultados entre os setores pblico e privado foram
observadas nesta questo, bem como ocorreu em outras. Para a rea governamental,
assim como observado na questo que aborda as dificuldades de implementao de
ferramentas de SI, quem encabea a lista, com 89%, a escassez de recursos humanos,
seguido pela falta de priorizao (78%) e falta de conscientizao dos funcionrios
(67%). J nas empresas privadas, o principal obstculo foi a falta de priorizao (77%),
seguido pelas restries oramentrias (64%). Ainda percebeu-se que, para 54% do
setor privado, a escassez dos recursos humanos e a falta de conscientizao dos
funcionrios so fatores de obstculo.
Verificou-se tambm que, em 68% das empresas pesquisadas, no existe poltica
de classificao e proteo s informaes, fato que ocorreu em 100% das empresas
pblicas. Com relao existncia de nveis de controles ou polticas diferenciadas para
acessar informaes mais crticas, 47% da amostra afirmaram no haver. Neste ponto,
mais uma vez, os rgos governamentais destoaram, no existindo nveis de controles
ou polticas diferenciadas para acessar informaes mais crticas em 67% dos casos.
Outro ponto levantado que a ao de concordar, ao entrar na empresa, com algum tipo
de termo de compromisso ou documento relativo confidencialidade das senhas e
informaes internas ainda no uma prtica realmente difundida, sendo realizada por
50% da amostra ante 61% dos norte-americanos segundo o Ecrime (2010).
Ao requerer que selecionassem todos os mtodos utilizados para segurana e
controle de acesso aos meios tecnolgicos e informaes no pblicas 100% das
empresas assinalaram o uso do mtodo de usurio e senha, mesmo resultado obtido por
Gabbay (2003). Para melhorar o nvel de segurana, 3% dos pesquisados afirmaram
utilizar, tambm, certificado digital e outros 3% das empresas utilizam, alm do usurio
e senha, controle de acesso ao ambiente fsico. Nenhuma empresa afirmou utilizar
mtodos mais avanados como biometria. Mesmo o usurio e senha sendo um mtodo
tecnologicamente superado, ainda o mais comum nas empresas, como a pesquisa
comprovou, corroborando o estudo de Shay et al. (2010), porm a sua administrao
ainda no segue as melhores prticas. Ao pesquisar sobre a existncia de procedimentos
para checagem de privilgios dos usurios de redes, assim como procedimento para
bloquear a conta ou os privilgios imediatamente aps no haver mais a necessidade,
32% afirmaram no existir tais recursos na sua empresa (sendo aumentado o valor para
67% ao analisar apenas os rgos pblicos), 12% marcaram a opo indeciso e 56%
concordaram com a existncia. Outro ponto que 32% das empresas pesquisadas
tambm responderam que no existe controles para obrigar os funcionrios a trocar sua
senha periodicamente, colocar senhas fortes e no repeti-las, novamente o valor dos
rgos pblicos destoaram atingindo 67% para a opo citada. Nesta mesma questo,
65% dos entrevistados concordaram com a existncia de tais mecanismos e 3%

assinalaram como indecisos. J no panorama americano mostrado pelo Ecrime (2010)

80% das empresas afirmam utilizar uma poltica de gerenciamento de usurio e senha.
Uma boa poltica de senha pode ser formulada sem grandes dificuldades e rapidamente
ter um bom retorno no que tange SI, conforme Shay et al. (2010).
Sabendo do valor que as informaes tm no mercado atual, do aumento da
capacidade de explorao de vulnerabilidades por parte dos atacantes e tendo como alvo
o ambiente com vulnerabilidades, como a pesquisa vem demonstrando, de se esperar
que as empresas venham sofrendo ataques ao seu ambiente computacional. Fato que foi
comprovado quando 47% das empresas afirmaram ter sofrido algum tipo de ataque
visando os recursos tecnolgicos ou informaes nos ltimos dois anos, 24% ficaram
indecisos, no sabendo responder se realmente sofreram ou no tais tipos de ataques no
perodo questionado, e 29% apontam que no receberam tais ataques. Nmeros bastante
semelhantes s respostas de Gabbay (2003), que retrata um ambiente que 45% sofreram
ataques, 33% no sofreram e 21% no souberam responder.
Dentre as empresas que afirmaram ter sofrido algum tipo de ataque, 50%
responderam que descobriram as vulnerabilidades exploradas, 29% no conseguiram
detectar e 21% no souberam informar. Com relao origem do ataque, 34% citaram
que foi possvel descobrir, 33% no descobriram e 33% no souberam informar.
Continuando a considerar apenas as empresas que afirmaram ter sofrido algum tipo de
ataque, 46% dos respondentes souberam informar a origem das pessoas envolvidas no
ataque, sendo 21% de pessoas sem ligao direta com a empresa e 25% de insiders, ou
seja, dos ataques em que foram descobertas as pessoas envolvidas, mais da metade
(54%) eram insiders, e no atacantes externos como o senso comum normalmente
aborda, fato corroborado por Schneier (2007).
Neste mesmo grupo, ao questionar sobre as perdas sofridas pelos ataques, 13%
afirmaram, na opo outras do questionrio, que no houve perdas. Todas as demais
citaram algum tipo de perda, como: exposio de informaes confidenciais (67%),
perdas operacionais (58%), furto de informaes sigilosas (38%), danos reputao
(38%), perdas financeiras (13%) e 8% para perdas de propriedade intelectual. Ordem
diferente das empresas americanas citadas pelo Ecrime (2010) que traz a perda
operacional como a mais citada, seguida por prejuzos financeiros e danos reputao.
Porm, mesmo sabendo quais as perdas, 75% citaram que no foi possvel mensur-las.
J na pesquisa da Modulo (2006) o nmero de companhias que no sabiam quantificar
as perdas eram bem menor (33%).
Finalizando a pesquisa, foi possvel perceber que todas as empresas tm medidas
de segurana planejadas para os prximos 12 meses na corporao, o que demonstra, de
certa forma, a cincia da situao. Entre as principais aes citadas como planejadas,
percebe-se um foco mais macro para os projetos da SI corporativa (anlise de
vulnerabilidades com 47%, anlise de risco no ambiente de TIC com 47%, adequao a
normas, regulamentaes ou legislao com 41%, poltica de segurana da informao
com 32% e plano de continuidade de negcios com 26%) o que tambm foi
demonstrado de forma semelhante na pesquisa da Modulo (2006).

4. Sntese da Anlise
Ao aplicar os questionrios e, consequentemente, analisar as empresas e os
respondentes foi possvel perceber, na maioria dos casos, que se tem conhecimento dos

problemas, dos mtodos e tecnologias para melhorar o ambiente, bem como de que
aes precisam ser feitas para que tais problemas sejam mitigados, contudo, no so
realizadas as devidas aes e precaues necessrias, muitas vezes simples. O que
corrobora com o estudo de Shay et al. (2010), pois o mesmo fala que os usurios
normalmente se sentem mais seguros utilizando senhas fortes para login, mesmo assim
costumam usar senhas fracas. Tal fato percebido pelas respostas obtidas, onde, na
maioria dos itens, no se teve assinalada a melhor alternativa, na viso da SI. Esta
situao foi gerada, principalmente, por conta dos rgos pblicos, que demonstraram
ndices que, quando se diferenciava dos obtidos pela iniciativa privada, eram, em sua
maioria, bem inferiores, o que tambm citado na pesquisa da Modulo (2006).
A pesquisa relata que 44% das empresas tm o assunto segurana da informao
sendo tratado com a devida relevncia e se somar a este resultado a opo que ressalta
que o tema SI vem sendo debatido de forma sistemtica, porm sem a devida relevncia,
tem-se 82% das empresas. Contudo, no se v sua aplicao prtica, pois apenas 35%
ressaltaram a existncia da divulgao institucional da SI na empresa e em apenas 15%
existem treinamentos peridicos ou processos de conscientizao sobre SI para os
funcionrios. Outro indicador que apenas 21% das empresas pesquisadas tm o
investimento em SI alinhado com os objetivos de negcio. Foi possvel perceber,
tambm, que 100% das empresas trabalham com antivrus, contra 88% relatado por
Gabbay (2003), e 91% com firewalls, mas estes bons nmeros vo diminuindo para as
demais ferramentas de SI. Outro ponto analisado, o percentual de empresas que utilizam
procedimentos mais abrangentes para prover segurana como: controles ou polticas
diferenciadas para acessar informaes mais crticas, termo de compromisso ou
documento relativo confidencialidade das senhas e informaes internas, PSI,
procedimentos para checagem de privilgios e bloqueios de usurios de rede,
obrigatoriedade de utilizao de senhas fortes, sem repetio e com trocas peridicas,
tambm no conseguiram atingir valores considerados satisfatrios.
Relacionado aos insiders, percebeu-se a participao ativa de tais ameaas em
um ambiente com caractersticas que facilitam tais fatos, visto que as empresas
pesquisadas no atentaram, ainda, para tal ameaa com o grau de importncia que a
mesma deve ter, ocorrendo falhas ou falta de procedimentos para a possvel deteco
dos insiders desde a sua contratao; bem como os procedimentos, metodologias e
ferramentas internas, em sua maioria, no esto seguindo as melhores prticas, nem
utilizando tecnologias mais avanadas de proteo. Inclusive atividades simples de
capacitao, requisitos de senhas, polticas de permisses em estaes, entre outras.

5. Estratgia para Mitigao das Ameaas Internas

Uma forma para o combate mais amplo e efetivo das ameaas, inclusive dos insiders,
comea na identificao de todos os responsveis por cada informao e verificar os
direitos de acesso que cada pessoa ou perfil tem, tal trabalho se torna rduo pela
quantidade crescente de dados armazenados e sistemas em produo. Aps esse
levantamento, necessrio, junto ao responsvel da informao, verificar se os perfis
concedidos ainda so necessrios e esto de acordo com a poltica e regras atuais.
Estabelecer ciclos de reviso de tais direitos ajuda a manter um ambiente mais seguro.
Um processo de reviso dos direitos requer o estabelecimento de uma linha base para
cada usurio, fornecendo informaes aos proprietrios dos direitos e aos responsveis
pelas aplicaes ou dados, de forma que ambos estejam cientes da concesso e retir-los

quando no forem mais necessrios, como descreve Imperva (2010) de forma que os
usurios possam trabalhar com o critrio de privilgio mnimo, mas sem perder a
usabilidade, com citam Motiee, Hawkey e Beznosov (2010). O ideal, segundo a
Imperva (2010), uma soluo que integre atividades de monitoramento de arquivos,
gerenciamento de privilgios de usurios e execuo de polticas em tempo real.
Outro ponto possvel para melhorar o combate s ameaas internas a realizao
de exames com testes e anlises que possibilitem a deteco de possveis insiders na sua
contratao e periodicamente em sua vida como funcionrio, projetos de capacitao e
incentivos deteco de ameaas de forma automatizada e, tambm, pelos funcionrios,
provendo meios e incentivando para que as pessoas possam reportar tais fatos.
Gerenciamento de mdias removveis e dos acessos Internet e emails tambm um
ponto a ser considerado. Porm, todas essas atividades devem ser regidas por uma PSI e
normatizaes mais efetivas e corretamente divulgadas, de forma que todos tenham
cincia das regras e punies vigentes. Como citam Greitzer et al. (2008), os problemas
relativos s ameaas internas esto cada vez mais em pauta, mas ainda tem muito que
ser feito. No mnimo, o campo precisa de mais oficinas e cursos de formao para
elevar a conscincia dos gestores e dos profissionais da rea de recursos humanos e TIC
sobre os indicadores comportamentais e como diminuir os riscos. Nesta rea a teoria dos
jogos um meio possvel para auxlio no entendimento e na ajuda para definir
estratgias organizacionais para mitigar tais ameaas, como ressalta, tambm, Moore,
Clayton e Anderson (2009). Porm, preciso reconhecer as potenciais consequncias e
questes ticas em torno de tais estratgias, pois podem gerar constrangimentos aos
usurios, impactar negativamente a produtividade, afetar a moral dos funcionrios e at
ter consequncias jurdicas.
Em suma, verifica-se a necessidade de uma estratgia formal para mitigao das
ameaas internas. Tal estratgia deve englobar toda a trinca de segurana (tecnologia,
processos e pessoas), ou seja, deve-se envolver a segurana fsica do ambiente e
dispositivos, a utilizao das ferramentas de segurana e monitoramento (antivrus,
firewall, controle web, controle de email, IPS/IDS), segmentao da rede, definio de
perfis para os usurios com os privilgios mnimos necessrios; gesto dos incidentes
ocorridos, corrigindo as vulnerabilidades para que no sejam exploradas novamente;
PSI com suas normas e procedimentos; planos de capacitao, conscientizao e
marketing sobre segurana para que todas as pessoas envolvidas sejam educadas,
conheam os riscos, poltica e normas, e tenham cincia de como se precaver e tomar
aes mais seguras; e, principalmente, com a utilizao de meios de seleo mais
abrangentes que envolvam anlise social, comportamental e psquica dos candidatos.
Visto que uma anlise mais apurada dos aspectos psquicos e sociais podem detectar
possveis insiders, como retrata estudos especficos da rea de sade e humanas como as
pesquisas de Baddeley (2010), Del-Ben (2005) e Flaxman (2010).
Para validar a proposta citada, dando uma viso mais holstica da segurana da
informao e questionando sobre dificuldades em sua aplicao, foi enviado um
segundo questionrio para 14 empresas da amostra inicial, sendo respondido por 9 delas
(3 pblicas e 6 privadas). Ao ser questionado se a estratgia citada conseguir mitigar as
ameaas internas, 89% das empresas responderam que sim. Uma empresa (11%)
respondeu que no, afirmando que mesmo atacando todos os pontos da estratgia ainda
extremamente difcil combater as pessoas. Com relao s dificuldades na

implantao de um plano de segurana mais abrangente que envolva os pontos da

estratgia colocada, os principais pontos citados foram: 44% afirmaram a dificuldade de
integrao das diversas reas da empresa, tambm 44% alegaram problemas financeiros
para implantao de medidas mais abrangentes, 33% citaram a capacitao das equipes
para gerenciar o modelo como um todo, 11% afirmaram problemas com o apoio de tal
modelo por parte do alto escalo da empresa e apenas 11% relataram no existir
problemas. Tais resultados extrapolam 100% por ser uma questo aberta e existindo a
possibilidade de citar mais de um problema.

6. Concluses
Apesar da evoluo das tecnologias, ferramentas e, principalmente, pesquisas na rea de
segurana da informao, no se observa a mesma evoluo no meio corporativo,
principalmente no que tange a rea humana, como pode ser percebido ao comparar a
pesquisa atual com pesquisas anteriores, como foi o caso de Gabbay (2003) e Modulo
(2006). Tambm no se conseguiu, ainda, chegar aos bons nveis de maturidade
reportados nas pesquisas norte-americanas, como os relatados no Ecrime (2010).
Analisando pesquisas como a presente, possvel perceber que, na maioria das
empresas, a segurana da informao tem um papel simplrio, focado no tratamento de
malwares e ataques externos, no realizando atividades simples para prover senhas mais
fortes, rotinas de backup eficientes, implementao de ferramentas bsicas de
segurana, divulgao da SI, capacitao, entre outras. Tal situao faz com que no se
consiga demonstrar seu real valor e obter recursos ou patrocnio para outros projetos na
rea. O que comprovado quando se tem a restrio oramentria como a principal
dificuldade para a implantao de ferramentas de SI e a falta de priorizao como
principal obstculo para implantao da PSI.
Desta forma, fica evidente a necessidade de evoluo nesta rea e da
transferncia da tecnologia para o meio corporativo visando uma estratgia que
contemple os processos, tecnologias e, principalmente as pessoas em todas as suas
fases, que inclui os aspectos psquicos e sociais j abordados. Tal estratgia servir no
apenas para mitigar as ameaas internas, mas tambm como uma forma de se prover um
ambiente mais seguro implementando a segurana de forma mais holstica.

Referncias
Alexandria, J. C. S. (2009) Gesto da Segurana da Informao: Uma Proposta para
Potencializar a Efetividade da Segurana da Informao em Ambiente de Pesquisa
Cientfica, Instituto de Pesquisas Energticas e Nucleares, Universidade de So
Paulo, So Paulo.
Baddeley, M. (2010). Herding, social influence and economic decision-making: sociopsychological and neuroscientific analyses. In: Philosophical Transactions of The
Royal Society. Biological Sciences, 365, p. 281-290.
Castells, M. (2007), Era da Informao: A Sociedade em Rede, Editora Paz e Terra,
Volume 1, 10 Edio.
Cezar, A., Cavusoglu, H., Raghunathan, S. (2010). Outsourcing Information Security:
Contracting Issues and Security Implications. In: Workshop on the Economics of
Information Security, Harvard University, EUA.

Del-Ben, C. M. (2005). Neurobiologia do transtorno de personalidade anti-social. In:

Rev. psiquiatr. cln., v. 32, n. 1, p. 27-36.
Ecrime. (2010) CyberSecurity Watch Survey: Cybercrime increasing faster than some
company defenses, http://www.cert.org/archive/pdf/ecrimesummary10.pdf
Flaxman, E. (2010). The Cambridge Spies: Treason and Transformed Ego Ideals. In:
The Psychoanalytic Review, v. 97, p. 607-631.
Gabbay, M. S. (2003) Fatores Influenciadores da Implementao de Aes de Gesto
de Segurana da Informao: um Estudo com Executivos e Gerentes de Tecnologia
da Informao em Empresas do Rio Grande do Norte, Centro de Tecnologia,
Universidade Federal do Rio Grande do Norte, Natal.
Greitzer, F. L.; Moore, A. P.; Cappelli, D. M.; Andrews, D. H.; Carroll, L. A.; Hull, T.
D. (2008). Combating the Insider Cyber Threat. In: IEEE Security & Privacy, v. 6, n.
1, p. 61-64.
Gualberto, E. S., Sousa Jr, R. T., Deus, F. E. G., Duque, C. G. (2012). InfoSecRM: Uma
Abordagem Ontolgica para a Gesto de Riscos de Segurana da Informao. In:
VIII Simpsio Brasileiro de Sistemas de Informao (SBSI 2012), p. 1-12, So Paulo.
Imperva. (2009) The Anatomy of an Insider: Bad Guys Dont Always Wear Black,
http://www.imperva.com/docs/ WP_Anatomy_of_an_Insider.pdf.
Imperva. (2010) Five Signs Your File Data is at Risk, http://www.imperva.com/
docs/WP_Five_Signs_Your_File_Data_is_at_Risk.pdf.
Insider. (2010)
more.html.

Insider

Threat

Research,

http://www.cert.org/insider_threat/

Maccarthy, M. (2010). Information Security Policy in the U.S. Retail Payments

Industry. In: Workshop on the Economics of Information Security, Harvard
University, EUA.
Modulo. (2006) 10 Pesquisa Nacional de Segurana
http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf.

da

Informao,

Moore, T.; Clayton, R.; Anderson, R. (2009). The Economics of Online Crime. In
Journal of Economic Perspectives, v. 23, n. 3, p. 3-20.
Motiee, S.; Hawkey, K.; Beznosov, K. (2010). Do Windows Users Follow the Principle
of Least Privilege? Investigating User Account Control Practices. In: Symposium on
Usable Privacy and Security, Redmond, EUA
Rohr, A. (2010) Funcionrio do Bank of America instala virus em caixas eletrnicos,
http://www.linhadefensiva.org/2010/04/funcionario-do-bank-of-america-instalavirus-em-caixas-eletronicos/.
Schneier, B. (2007) BT Counterpane's founder and chief technology officer talks to SA
Mathieson at Infosecurity Europe, http://www.schneier.com/news-040.html.
Shay, R.; Komanduri, S.; Kelley, G. K.; Leon, P. G.; Mazurek, M. L.; Bauer, L.;
Christin, N.; Cranor, L. F. (2010). Encountering Stronger Password Requirements:
User Attitudes and Behaviors. In: Symposium on Usable Privacy and Security,
Redmond, EUA.