Академический Документы
Профессиональный Документы
Культура Документы
Abstract. To achieve reliable levels of safety, the focus of many companies has
been to invest primarily in technology and processes, forgetting the human
resources that necessarily work with these technologies and will be part of the
processes. Thinking about this gap, particularly in people as internal threats
(insiders), the present study analyzed through theoretical and field research,
aspects of information security at 34 public and private companies in Greater
Recife where, in general, it was established that information security has a
low level of maturity and active participation of insiders, these points that the
paper proposes improvements.
Resumo. Para atingir nveis confiveis de segurana, o foco de muitas
empresas tem sido investir primariamente em tecnologia e processos,
esquecendo-se dos recursos humanos que necessariamente trabalharo com
estas tecnologias e faro parte dos processos. Pensando nesta lacuna
existente, especificamente nas pessoas como ameaas internas (insiders), o
presente trabalho analisou, por meio de estudos tericos e pesquisa de campo,
os aspectos de segurana da informao em 34 empresas pblicas e privadas
do Grande Recife onde, de uma forma geral, constatou-se que a segurana da
informao tem um baixo nvel de maturidade e existe uma participao ativa
de insiders, pontos estes que o trabalho prope melhorias.
1. Introduo
Ao analisar a varivel humana na Tecnologia da Informao e Comunicao (TIC), um
dos pontos da trade essencial (processos tecnologias e pessoas) para a efetividade da
segurana da informao, segundo Gualberto et al. (2012), percebe-se que as pessoas
podem se tornar uma ameaa segurana da informao (SI) por diversos motivos e
meios. Desde pessoas que facilitam a ao, sem nem mesmo saber que esto auxiliando
o ato, quelas que agem propositadamente e com finalidades especficas. Dentro do
subgrupo de pessoas que agem de forma proposital, existem as que no tm ligao
direta com o alvo do ataque, normalmente caracterizadas como hackers, e aquelas que
tm algum tipo de conhecimento interno do alvo do ataque, os insiders, definidos como
atuais, ex-empregados ou contratados (diretos ou indiretos) que tm ou tiveram acesso
autorizado ao sistema e s redes da organizao, assim como, conhecimento das
polticas internas, procedimentos e tecnologia utilizada, empregando tais conhecimentos
e privilgios como facilitadores para realizar ataques ou auxiliar invasores externos,
sendo categorizados como uma ameaa interna.
A quantidade de pessoas envolvidas nos processos internos unida falta de uma
correta poltica de gerenciamento e manuseio das informaes so aspectos que
facilitam a ao dos insiders. Casos relacionados perda de informaes, roubos de
dados, engenharia social e sabotagem de TIC envolvendo insiders esto cada vez mais
frequentes no noticirio nacional e internacional. Entre os exemplos relacionados a este
tipo de notcia tem-se o caso do funcionrio do setor de informtica do Bank of America
que foi processado pela justia americana por ter instalado um software malicioso nos
caixas eletrnicos do banco, o qual permitia que o empregado realizasse saques
fraudulentos sem deixar nenhum registro, como descreve Rohr (2010). Segundo a
Imperva (2009), um programador chins que trabalhava na Ellery Systems nos EUA,
transferia cdigos fontes proprietrios a uma empresa concorrente chinesa. A
concorrncia e a perda de cdigos causaram a falncia da Ellery Systems. Incidente
parcialmente responsvel pela criao da Lei de Espionagem Econmica em 1996.
Considerando que os fatos anteriormente mencionados so exemplos de
situaes frequentes no ambiente coorporativo, nota-se o quanto a varivel pessoa pode
ser danosa para a instituio, uma vez que a maioria dos incidentes, quer direta ou
indiretamente, envolve a participao humana, gerando prejuzos muitas vezes
incalculveis, como ressalta Greitzer et al. (2008). Alm da relevncia social,
importante destacar a escassez de estudos que investiguem esta temtica. Neste
contexto, acredita-se ser relevante para a rea de SI realizar estudos na tentativa de
identificar as origens e comportamentos dos insiders e, tambm, verificar que atitudes
as empresas adotam para lidar com tal ameaa.
Acredita-se tambm que a segurana dever ser constituda em camadas, como
cita Maccarthy (2010), dessa forma, qualquer melhoria implantada contribuir para se
ter um ambiente mais seguro. Com este pensamento, espera-se que o melhor
entendimento das ameaas internas modifique o ambiente corporativo como um todo,
provendo dificuldades para que as vulnerabilidades sejam exploradas, o que diminuir
os riscos e aumentar o patamar de segurana do ambiente, bem como se tem a
expectativa que aes como a citada elevem o nvel de maturidade da rea de SI.
Visando compreender melhor e encontrar solues para o problema exposto, foi
realizada uma pesquisa com o intuito de analisar a viso tcnica e estratgica da rea de
segurana da informao, especialmente os fatores relacionados s ameaas internas,
nos ambientes corporativos de empresas com sede ou escritrio na capital
pernambucana, Recife, ou cidades circunvizinhas, tratadas no trabalho como Grande
Recife. Para tal, foi construdo um questionrio adequando, principalmente, o estudo
de Gabbay (2003) realizado com empresas do Rio Grande do Norte, da pesquisa
realizada pela Modulo (2006), com representao nacional, e da pesquisa realizada pelo
Ecrime (2010), com entidades norte-americanas, assim como comparando-os.
assunto. Obteve-se, tambm, 38% respondendo que o tema tratado, mas sem a devida
relevncia e 9% no debatem, mas dever ser tratado em breve.
Ao questionar as empresas sobre a existncia de divulgao institucional e
frequente sobre a SI na corporao, 35% das empresas responderam de forma positiva e,
em sentido contrrio das boas prticas relativas SI, grande parte das empresas (65%)
registrou que no existe tal divulgao. Este nmero negativo tem uma representao
ainda maior quando se questionou a existncia de treinamentos peridicos ou processos
de conscientizao sobre SI para os funcionrios. Nesta opo, 85% responderam
negativamente, ou seja, que no existem treinamentos peridicos ou processos de
conscientizao sobre SI para os funcionrios, enquanto 15% afirmaram a existncia.
Tambm indo contra os modelos ideais da rea, a pesquisa verificou que apenas 21%
das empresas pesquisadas tm o investimento em SI alinhado com os objetivos de
negcio da empresa, o que seria a situao ideal; que a maioria (41%) respondeu que
no esto alinhados e que 38% da amostra afirmam estar parcialmente alinhados. Este
ponto tambm discrepou, mostrando um ambiente menos alinhado, dos dados da
Modulo (2006) que mostrava que 33% estavam plenamente alinhados, 40%
parcialmente, 16% pouco e 11% no estavam alinhados.
3.2. Ferramentas de SI na empresa
A pesquisa revelou que todas as empresas utilizavam antivrus e uma grande parcela
(91%) utiliza, tambm, firewall para proteger seu ambiente, 76% utiliza controle Web,
65% controle de email, 41% IPS (intrusion prevention system) ou IDS (Intrusion
detection system) e 12% outras ferramentas. Na mesma questo verificou-se que poucas
empresas (32,3%) utilizam os cinco tipos de ferramentas mais comuns (antivrus,
firewall, controle web, controle de email, IPS/IDS) e apenas metade das empresas
pesquisadas utilizam as quatro ferramentas que podem ser consideradas bsicas para a
SI corporativa (antivrus, firewall, controle web, controle de email). Os itens desta
questo, assim como de outras do questionrio, extrapolam os 100% por ser possvel a
marcao de mais de uma resposta na mesma questo da pesquisa.
Ao questionar sobre as principais dificuldades para se implantar as ferramentas
de SI na empresa, quatro itens se destacaram: restries oramentrias (47%), falta de
priorizao (41%), falta de conscientizao dos funcionrios (38%) e escassez de
recursos humanos especializados (32%). Enquanto apenas 9% afirmaram no existir
obstculos. Um fato interessante a divergncia ao se analisar as empresas pblicas e
privadas separadamente. Nos rgos pblicos, as principais dificuldades registradas so
escassez de recursos humanos especializados e falta de conscientizao dos
funcionrios, ambos com 55% dos casos, e ningum afirmou que no existia obstculos.
J nas empresas privadas os mesmos itens receberam, respectivamente, 22,7% e 27,3%;
destacando-se restries oramentrias (50%) e falta de priorizao (40,9%).
3.3. Recursos humanos e estrutura organizacional
Analisando a organizao setorial da SI e dos recursos humanos que tratam a mesma, a
pesquisa revelou que em metade das empresas existe um setor ou equipe formal
dedicada SI. Neste ponto percebe-se uma melhoria dos dados mostrados pela Modulo
(2006), que trazia 43% das companhias com um departamento de SI estruturado.
Tambm foi visto que 50% das empresas contam com pessoas externas envolvidas
4. Sntese da Anlise
Ao aplicar os questionrios e, consequentemente, analisar as empresas e os
respondentes foi possvel perceber, na maioria dos casos, que se tem conhecimento dos
problemas, dos mtodos e tecnologias para melhorar o ambiente, bem como de que
aes precisam ser feitas para que tais problemas sejam mitigados, contudo, no so
realizadas as devidas aes e precaues necessrias, muitas vezes simples. O que
corrobora com o estudo de Shay et al. (2010), pois o mesmo fala que os usurios
normalmente se sentem mais seguros utilizando senhas fortes para login, mesmo assim
costumam usar senhas fracas. Tal fato percebido pelas respostas obtidas, onde, na
maioria dos itens, no se teve assinalada a melhor alternativa, na viso da SI. Esta
situao foi gerada, principalmente, por conta dos rgos pblicos, que demonstraram
ndices que, quando se diferenciava dos obtidos pela iniciativa privada, eram, em sua
maioria, bem inferiores, o que tambm citado na pesquisa da Modulo (2006).
A pesquisa relata que 44% das empresas tm o assunto segurana da informao
sendo tratado com a devida relevncia e se somar a este resultado a opo que ressalta
que o tema SI vem sendo debatido de forma sistemtica, porm sem a devida relevncia,
tem-se 82% das empresas. Contudo, no se v sua aplicao prtica, pois apenas 35%
ressaltaram a existncia da divulgao institucional da SI na empresa e em apenas 15%
existem treinamentos peridicos ou processos de conscientizao sobre SI para os
funcionrios. Outro indicador que apenas 21% das empresas pesquisadas tm o
investimento em SI alinhado com os objetivos de negcio. Foi possvel perceber,
tambm, que 100% das empresas trabalham com antivrus, contra 88% relatado por
Gabbay (2003), e 91% com firewalls, mas estes bons nmeros vo diminuindo para as
demais ferramentas de SI. Outro ponto analisado, o percentual de empresas que utilizam
procedimentos mais abrangentes para prover segurana como: controles ou polticas
diferenciadas para acessar informaes mais crticas, termo de compromisso ou
documento relativo confidencialidade das senhas e informaes internas, PSI,
procedimentos para checagem de privilgios e bloqueios de usurios de rede,
obrigatoriedade de utilizao de senhas fortes, sem repetio e com trocas peridicas,
tambm no conseguiram atingir valores considerados satisfatrios.
Relacionado aos insiders, percebeu-se a participao ativa de tais ameaas em
um ambiente com caractersticas que facilitam tais fatos, visto que as empresas
pesquisadas no atentaram, ainda, para tal ameaa com o grau de importncia que a
mesma deve ter, ocorrendo falhas ou falta de procedimentos para a possvel deteco
dos insiders desde a sua contratao; bem como os procedimentos, metodologias e
ferramentas internas, em sua maioria, no esto seguindo as melhores prticas, nem
utilizando tecnologias mais avanadas de proteo. Inclusive atividades simples de
capacitao, requisitos de senhas, polticas de permisses em estaes, entre outras.
quando no forem mais necessrios, como descreve Imperva (2010) de forma que os
usurios possam trabalhar com o critrio de privilgio mnimo, mas sem perder a
usabilidade, com citam Motiee, Hawkey e Beznosov (2010). O ideal, segundo a
Imperva (2010), uma soluo que integre atividades de monitoramento de arquivos,
gerenciamento de privilgios de usurios e execuo de polticas em tempo real.
Outro ponto possvel para melhorar o combate s ameaas internas a realizao
de exames com testes e anlises que possibilitem a deteco de possveis insiders na sua
contratao e periodicamente em sua vida como funcionrio, projetos de capacitao e
incentivos deteco de ameaas de forma automatizada e, tambm, pelos funcionrios,
provendo meios e incentivando para que as pessoas possam reportar tais fatos.
Gerenciamento de mdias removveis e dos acessos Internet e emails tambm um
ponto a ser considerado. Porm, todas essas atividades devem ser regidas por uma PSI e
normatizaes mais efetivas e corretamente divulgadas, de forma que todos tenham
cincia das regras e punies vigentes. Como citam Greitzer et al. (2008), os problemas
relativos s ameaas internas esto cada vez mais em pauta, mas ainda tem muito que
ser feito. No mnimo, o campo precisa de mais oficinas e cursos de formao para
elevar a conscincia dos gestores e dos profissionais da rea de recursos humanos e TIC
sobre os indicadores comportamentais e como diminuir os riscos. Nesta rea a teoria dos
jogos um meio possvel para auxlio no entendimento e na ajuda para definir
estratgias organizacionais para mitigar tais ameaas, como ressalta, tambm, Moore,
Clayton e Anderson (2009). Porm, preciso reconhecer as potenciais consequncias e
questes ticas em torno de tais estratgias, pois podem gerar constrangimentos aos
usurios, impactar negativamente a produtividade, afetar a moral dos funcionrios e at
ter consequncias jurdicas.
Em suma, verifica-se a necessidade de uma estratgia formal para mitigao das
ameaas internas. Tal estratgia deve englobar toda a trinca de segurana (tecnologia,
processos e pessoas), ou seja, deve-se envolver a segurana fsica do ambiente e
dispositivos, a utilizao das ferramentas de segurana e monitoramento (antivrus,
firewall, controle web, controle de email, IPS/IDS), segmentao da rede, definio de
perfis para os usurios com os privilgios mnimos necessrios; gesto dos incidentes
ocorridos, corrigindo as vulnerabilidades para que no sejam exploradas novamente;
PSI com suas normas e procedimentos; planos de capacitao, conscientizao e
marketing sobre segurana para que todas as pessoas envolvidas sejam educadas,
conheam os riscos, poltica e normas, e tenham cincia de como se precaver e tomar
aes mais seguras; e, principalmente, com a utilizao de meios de seleo mais
abrangentes que envolvam anlise social, comportamental e psquica dos candidatos.
Visto que uma anlise mais apurada dos aspectos psquicos e sociais podem detectar
possveis insiders, como retrata estudos especficos da rea de sade e humanas como as
pesquisas de Baddeley (2010), Del-Ben (2005) e Flaxman (2010).
Para validar a proposta citada, dando uma viso mais holstica da segurana da
informao e questionando sobre dificuldades em sua aplicao, foi enviado um
segundo questionrio para 14 empresas da amostra inicial, sendo respondido por 9 delas
(3 pblicas e 6 privadas). Ao ser questionado se a estratgia citada conseguir mitigar as
ameaas internas, 89% das empresas responderam que sim. Uma empresa (11%)
respondeu que no, afirmando que mesmo atacando todos os pontos da estratgia ainda
extremamente difcil combater as pessoas. Com relao s dificuldades na
6. Concluses
Apesar da evoluo das tecnologias, ferramentas e, principalmente, pesquisas na rea de
segurana da informao, no se observa a mesma evoluo no meio corporativo,
principalmente no que tange a rea humana, como pode ser percebido ao comparar a
pesquisa atual com pesquisas anteriores, como foi o caso de Gabbay (2003) e Modulo
(2006). Tambm no se conseguiu, ainda, chegar aos bons nveis de maturidade
reportados nas pesquisas norte-americanas, como os relatados no Ecrime (2010).
Analisando pesquisas como a presente, possvel perceber que, na maioria das
empresas, a segurana da informao tem um papel simplrio, focado no tratamento de
malwares e ataques externos, no realizando atividades simples para prover senhas mais
fortes, rotinas de backup eficientes, implementao de ferramentas bsicas de
segurana, divulgao da SI, capacitao, entre outras. Tal situao faz com que no se
consiga demonstrar seu real valor e obter recursos ou patrocnio para outros projetos na
rea. O que comprovado quando se tem a restrio oramentria como a principal
dificuldade para a implantao de ferramentas de SI e a falta de priorizao como
principal obstculo para implantao da PSI.
Desta forma, fica evidente a necessidade de evoluo nesta rea e da
transferncia da tecnologia para o meio corporativo visando uma estratgia que
contemple os processos, tecnologias e, principalmente as pessoas em todas as suas
fases, que inclui os aspectos psquicos e sociais j abordados. Tal estratgia servir no
apenas para mitigar as ameaas internas, mas tambm como uma forma de se prover um
ambiente mais seguro implementando a segurana de forma mais holstica.
Referncias
Alexandria, J. C. S. (2009) Gesto da Segurana da Informao: Uma Proposta para
Potencializar a Efetividade da Segurana da Informao em Ambiente de Pesquisa
Cientfica, Instituto de Pesquisas Energticas e Nucleares, Universidade de So
Paulo, So Paulo.
Baddeley, M. (2010). Herding, social influence and economic decision-making: sociopsychological and neuroscientific analyses. In: Philosophical Transactions of The
Royal Society. Biological Sciences, 365, p. 281-290.
Castells, M. (2007), Era da Informao: A Sociedade em Rede, Editora Paz e Terra,
Volume 1, 10 Edio.
Cezar, A., Cavusoglu, H., Raghunathan, S. (2010). Outsourcing Information Security:
Contracting Issues and Security Implications. In: Workshop on the Economics of
Information Security, Harvard University, EUA.
Insider
Threat
Research,
http://www.cert.org/insider_threat/
da
Informao,
Moore, T.; Clayton, R.; Anderson, R. (2009). The Economics of Online Crime. In
Journal of Economic Perspectives, v. 23, n. 3, p. 3-20.
Motiee, S.; Hawkey, K.; Beznosov, K. (2010). Do Windows Users Follow the Principle
of Least Privilege? Investigating User Account Control Practices. In: Symposium on
Usable Privacy and Security, Redmond, EUA
Rohr, A. (2010) Funcionrio do Bank of America instala virus em caixas eletrnicos,
http://www.linhadefensiva.org/2010/04/funcionario-do-bank-of-america-instalavirus-em-caixas-eletronicos/.
Schneier, B. (2007) BT Counterpane's founder and chief technology officer talks to SA
Mathieson at Infosecurity Europe, http://www.schneier.com/news-040.html.
Shay, R.; Komanduri, S.; Kelley, G. K.; Leon, P. G.; Mazurek, M. L.; Bauer, L.;
Christin, N.; Cranor, L. F. (2010). Encountering Stronger Password Requirements:
User Attitudes and Behaviors. In: Symposium on Usable Privacy and Security,
Redmond, EUA.