Gestão de segurança da informação - uma proposta para potencializar a efetividade da segurança da... por João Carlos Soares de Alexandria - Versão HTML

ATENÇÃO: Esta é apenas uma visualização em HTML e alguns elementos como links e números de página podem estar incorretos.
Faça o download do livro em PDF, ePub, Kindle para obter uma versão completa.

index-1_1.jpg

AUTARQUIA ASSOCIADA À UNIVERSIDADE DE SÃO PAULO

GESTÃO DA SEGURANÇA DA INFORMAÇÃO – UMA

PROPOSTA PARA POTENCIALIZAR A EFETIVIDADE DA

SEGURANÇA DA INFORMAÇÃO EM AMBIENTE DE

PESQUISA CIENTÍFICA

JOÃO CARLOS SOARES DE ALEXANDRIA

Tese apresentada como parte dos requisitos para a

obtenção do Grau de Doutor em Ciências na Área de

Tecnologia Nuclear – Aplicações.

São Paulo

2009

INSTITUTO DE PESQUISAS ENERGÉTICAS E NUCLEARES

Autarquia associada à Universidade de São Paulo

GESTÃO DA SEGURANÇA DA INFORMAÇÃO – UMA

PROPOSTA PARA POTENCIALIZAR A EFETIVIDADE DA

SEGURANÇA DA INFORMAÇÃO EM AMBIENTE DE

PESQUISA CIENTÍFICA

JOÃO CARLOS SOARES DE ALEXANDRIA

Tese apresentada como parte dos requisitos para a

obtenção do Grau de Doutor em Ciências na Área de

Tecnologia Nuclear – Aplicações.

Orientador:

Prof. Dr. Luc Marie Quoniam

Co-orientador:

Prof. Dr. Edson Luiz Riccio

São Paulo

2009

Aos meus pais pelo empenho na educação dos filhos.

A minha mulher Márcia e ao meu filho Gabriel pela paciência e compreensão durante as longas horas de estudo.

Agradecimentos

Agradeço ao Instituto de Pesquisas Energéticas e Nucleares – IPEN pela

oportunidade da realização deste trabalho de pesquisa.

O desenvolvimento da presente pesquisa contou com apoio de inúmeras pessoas desta conceituada instituição, dentre as quais destaca-se:

Mariliana Santos Abi-eçab, chefe da Gerência de Redes e Suporte Técnico

(GRS), pela valiosa colaboração na disponibilização de recursos utilizados e pelas informações prestadas.

Aos demais colegas da GRS meus sinceros agradecimentos.

Sou grato a todos os colegas do IPEN que, de alguma forma, contribuíram com este trabalho, seja respondendo questionário ou participando da entrevista. Muito obrigado a todos que colaboraram doando seu tempo e conhecimentos.

Agradeço aos examinadores que participaram das três sessões de avaliação

(qualificação, seminário de área e defesa de tese), Professora Dra. Desirée Moraes Zouain, Prof. Dr. Wilson Aparecido Parejo Calvo, Prof. Dr. Rodolfo Politano, Prof. Dr. Leandro Ninnocentini Lopes de Faria e Prof. Dr. Ailton Fernando Dias, pelas importantes contribuições fornecidas.

Ao Prof. Dr. Edson Luiz Riccio, co-orientador, meu muito obrigado.

Quero expressar meu profundo agradecimento ao Prof. Dr. Luc Marie Quoniam, orientador deste trabalho, por ter acreditado, desde nossa primeira conversa, que a realização desta pesquisa seria possível.

O Prof. Luc foi mais que um orientador, foi um amigo, que esteve sempre

presente com um gesto de confiança e de incentivo.

GESTÃO DA SEGURANÇA DA INFORMAÇÃO – UMA

PROPOSTA PARA POTENCIALIZAR A EFETIVIDADE DA

SEGURANÇA DA INFORMAÇÃO EM AMBIENTE DE PESQUISA

CIENTÍFICA

João Carlos Soares de Alexandria

RESUMO

O aumento crescente da interconectividade no ambiente de negócio,

aliado à dependência cada vez maior dos sistemas de informação nas

organizações, faz da gestão da segurança da informação uma importante

ferramenta de governança corporativa. A segurança da informação tem o objetivo de salvaguardar a efetividade das transações e, por conseguinte, a própria

continuidade do negócio. As ameaças à informação vão desde ataques hackers, fraudes eletrônicas, espionagem e vandalismo; a incêndio, interrupção de energia elétrica e falhas humanas. Segurança da informação é obtida a partir da

implementação de um conjunto de controles, incluindo-se dentre outros, políticas, processos, procedimentos, estruturas organizacionais, software e hardware, o que exige uma gestão contínua e uma estrutura administrativa bem estabelecida para fazer frente aos seus desafios. O presente trabalho procurou investigar as razões relacionadas às dificuldades que muitas organizações enfrentam para a

estruturação da segurança da informação. Muitas delas se limitam a adotarem

medidas pontuais e inconsistentes com a realidade em que vivem. O mercado

conta com um arcabouço legal e normativo para a implementação da segurança da informação – NBR ISO/IEC 27002, Lei Americana Sarbanes-Oxley, acordo de capital da Basiléia, regulamentações das agências regulatórias (ANATEL,

ANVISA e CVM). As pesquisas de mercado mostram que a implementação da

segurança da informação está concentrada em instituições de grande porte e de segmentos específicos da economia como, por exemplo, bancário-financeiro e

telecomunicação. Entretanto, a segurança da informação faz-se necessária em

qualquer organização que utilize sistema de informação nos seus processos de

trabalho, independentemente do porte ou do setor econômico de atuação. A

situação da segurança da informação no setor governamental do Brasil, e dentro deste, nas instituições de pesquisas científicas é considerada preocupante, de acordo com o Tribunal de Contas da União. Este trabalho apresenta um método

de diagnóstico e avaliação da segurança da informação, aplicado na forma de

levantamento de dados, que tem a intenção de servir de ponto de partida para

fomentar uma discussão interna visando à estruturação da segurança da

informação na organização. O referido método é destinado em especial àquelas

organizações que não se enquadram no perfil das empresas atingidas pelas leis e regulamentos existentes, mas que necessitam igualmente protegerem seus ativos de informação para o bom e fiel cumprimento de seus objetivos e metas de

negócio.

Palavras-chaves: Segurança da informação, ABNT NBR ISO/IEC 27002:2005,

risco, fator humano

INFORMATION SECURITY MANAGEMENT – A PROPOSAL TO

IMPROVE THE EFFECTIVENESS OF INFORMATION SECURITY IN

THE SCIENTIFIC RESEARCH ENVIRONMENT

João Carlos Soares de Alexandria

ABSTRACT

The increase of the connectivity in the business environment, combined

with the growing dependency of information systems, has become the information security management an important governance tool. Information security has as main goal to protect the business transactions in order to work normally. In this way, It will be safeguarding the business continuity. The threats of information come from hackers’ attacks, electronic frauds and spying, as well as fire, electrical energy interruption and humans fault. Information security is made by

implementation of a set of controls, including of the others politics, processes, procedures, organizational structures, software and hardware, which require a continuous management and a well established structure to be able to face such challenges. This work tried to search the reasons why the organizations have

difficulties to make a practice of information security management. Many of them just limit to adopt points measures, sometimes they are not consistent with their realities. The market counts on enough quantity of standards and regulations

related to information security issues, for example, ISO/IEC 27002, American

Sarbanes-Oxley act, Basel capital accord, regulations from regulatory agency

(such as the Brazilians ones ANATEL, ANVISA and CVM). The market researches

have showed that the information security implementation is concentrated on a well-defined group of organization mainly formed by large companies and from

specifics sectors of economy, for example, financial and telecommunication.

However, information security must be done by all organizations that use

information systems to carry out their activities, independently of its size or economic area that it belongs. The situation of information security in the

governmental sector of Brazil, and inside its research institutions, is considered worrying by the Brazilian Court of Accounts (TCU). This research work presents an assessment and diagnostic proposal of information security, applied in the form of a data survey, which intend to be a tool that can be used as a starting point to foment debates about information security concerns into organization. This can lead them to a well-structured information security implementation. The referred proposal is specially addressed to those organizations that do not have the profile that put them among those companies which are forced to follow some law or

regulation. But in the same way they need to protect their information assets to reach their goals and their business objectives.

SUMÁRIO

Página

1. INTRODUÇÃO ........................................................................................................... 13

1.1. Objetivos.............................................................................................................. 15

1.1.1. Objetivo

Geral.............................................................................................. 15

1.1.2. Objetivos

Específicos ..................................................................................15

1.2.

Contribuição do Trabalho ....................................................................................15

1.2.1.

Contribuição Original ao Conhecimento .....................................................15

1.2.2. Contribuições

Específicas............................................................................16

1.3. Justificativa .......................................................................................................... 16

2. REVISÃO

DA

LITERATURA ................................................................................... 24

2.1.

Sociedade da Informação.....................................................................................24

2.2. Segurança............................................................................................................. 27

2.3.

Segurança da Informação.....................................................................................29

2.3.1. Trabalhos

Relacionados ...............................................................................38

2.3.2.

Segurança da Informação em Pesquisa Cientifica .......................................39

2.4.

Aspectos Humanos da Informação ...................................................................... 43

2.5.

Fator Humano na Segurança da Informação........................................................48

2.6.

Teoria da Estruturação .........................................................................................49

2.6.1.

Relacionando Segurança com Estruturação.................................................50

2.7.

Entendendo Como os Atacantes Aproveitam-se da Natureza Humana...............52

2.8.

Tipos de Ataque ...................................................................................................56

2.8.1. Engenharia

Social ........................................................................................57

2.8.2.

Negação de Serviço (DoS e DDoS) ............................................................. 57

2.8.3. Códigos

Maliciosos...................................................................................... 58

2.8.4. Ataques

em

Aplicações

Web........................................................................ 62

2.9.

Programa de Treinamento e de Conscientização .................................................65

2.10.

Gerenciamento de Mudanças...........................................................................67

2.10.1.

ABNT NBR ISO/IEC 27002:2005 - Gestão de Mudanças..........................69

2.10.2.

COBIT – Gerência de Mudança .................................................................. 69

2.11.

Processos de Trabalho .....................................................................................71

2.12. Governança

Corporativa ..................................................................................72

2.13.

Estabelecendo os Requisitos de Segurança da Informação .............................73

2.13.1.

Análise, Avaliação e Tratamento de Riscos ................................................74

2.13.2. Requisitos

Legais.........................................................................................88

2.13.3.

Política de Segurança da Informação...........................................................89

3. METODOLOGIA........................................................................................................91

3.1.

Tipo de Pesquisa .................................................................................................. 91

3.2. O

Problema .......................................................................................................... 92

3.3. Hipóteses..............................................................................................................92

3.4.

Método de Diagnóstico e Avaliação .................................................................... 93

3.5.

IPEN – O Caso Estudado..................................................................................... 98

3.5.1.

Informática no IPEN ..................................................................................100

3.5.2. Pesquisa

Documental ................................................................................. 103

3.5.3.

Leis e Regulamentos ..................................................................................113

3.6. Parte

Experimental.............................................................................................114

4. RESULTADOS

E

DISCUSSÃO...............................................................................115

4.1.

Nível Estratégico – ISG-HE ..............................................................................115

4.2.

Nível Tático - Entrevistas ..................................................................................118

4.2.1. Análise

Quantitativa .................................................................................. 118

4.2.2. Análise

qualitativa ..................................................................................... 121

4.3.

Nível Operacional - Questionário ......................................................................126

5.

PROPOSTA PARA A RE-ESTRUTURAÇÃO DA GESTÃO DA SEGURANÇA

DA INFORMAÇÃO.................................................................................................. 136

5.1.

Proposta de Gestão da Segurança ...................................................................... 137

6. CONCLUSÕES ......................................................................................................... 146

APÊNDICES ..................................................................................................................... 152

APÊNDICE A – Regulamentação (Leis, Decretos e outros).........................................152

APÊNDICE B - ISG Assessment Tool for Higher Education.......................................158

APÊNDICE C – Roteiro para a Entrevista .................................................................... 165

APÊNDICE D - Questionário........................................................................................ 174

APÊNDICE E - Principais processos e sistemas de informação do IPEN ....................177

GLOSSÁRIO ..................................................................................................................... 181

REFERÊNCIAS BIBLIOGRÁFICAS ..............................................................................183

TABELAS

Página

TABELA 1 - Exemplos de incidentes de segurança ocorridos no IPEN.............................22

TABELA 2 - Conceito de dados, informação e conhecimento ...........................................26

TABELA 3 - Trabalhos relacionados .................................................................................. 38

TABELA 4 - Ameaças humanas: origem da ameaça, motivação e ações da ameaça .........79

TABELA 5 - União de vulnerabilidade e ameaça ...............................................................80

TABELA 6 - Pros e contras das avaliações quantitativa e qualitativa ................................83

TABELA 7- Normas de segurança vigentes no IPEN.......................................................105

TABELA 8 - Normas segurança do IPEN X Categorias de segurança da ISO 27002...... 111

TABELA 9 – ISG-HE- Nível de dependência de TI .........................................................115

TABELA 10 – ISG-HE - Avaliação global da segurança ................................................. 116

TABELA 11 - Comparativo entre as duas avaliações .......................................................116

TABELA 12 - Consolidação dos dados do ISG-HE..........................................................117

TABELA 13 - Percentuais de conhecimento da normas ...................................................118

TABELA 14 - Pontuação obtida na avaliação dos entrevistados ......................................120

TABELA 15 - Escala de referência ...................................................................................121

TABELA 16 - Participantes da pesquisa - questionário ....................................................126

TABELA 17 - Médias obtidas em cada questão................................................................132

FIGURAS

Página

FIGURA 1 - Salão do CPD do IPEN (nos anos 70) ............................................................ 30

FIGURA 2 - Dimensão da dualidade da estrutura ............................................................... 50

FIGURA 3 - Etapas de um ataque web................................................................................ 64

FIGURA 4 - Processo de trabalho ....................................................................................... 71

FIGURA 5 - Macro visão de processo de trabalho (negócio) ............................................. 72

FIGURA 6 - Componentes do risco ....................................................................................76

FIGURA 7 - Modelo do processo de segurança ARBIL ..................................................... 85

FIGURA 8 - Diagrama do método de diagnóstico e avaliação ...........................................96

FIGURA 9 - Organograma institucional do IPEN............................................................... 99

FIGURA 10 - Organograma da Diretoria de Administração do IPEN..............................101

FIGURA 11 - Normas segurança do Ipen X Seções da ISO 27002 ..................................110

FIGURA 12 - Conhecimento das políticas ........................................................................118

FIGURA 13 – Amostra - distribuição por sexo ................................................................. 127

FIGURA 14 – Amostra - distribuição por faixa etária ......................................................127

FIGURA 15 – Amostra - distribuição por tempo de serviço ............................................. 128

FIGURA 16 – Amostra - distribuição por vínculo empregatício ...................................... 128

FIGURA 17 – Amostra - distribuição por grau de instrução............................................. 128

FIGURA 18 - Médias obtidas entre homens e mulheres ...................................................130

FIGURA 19 - Médias obtidas entre as faixas etárias.........................................................130

FIGURA 20 - Médias obtidas de acordo com o tempo de serviço ....................................130

FIGURA 21 - Médias obtidas de acordo com o vínculo empregatício .............................131

FIGURA 22 - Médias obtidas de acordo com o grau de instrução....................................131

FIGURA 23 – Avaliação das questões do questionário ....................................................132

FIGURA 24 - Grau de aderência da prática de backup ..................................................... 133

FIGURA 25 - Grau de aderência da prática de criação de senhas.....................................133

FIGURA 26 - Diagrama da implementação do modelo de gestão da segurança proposto138

SIGLAS E ABREVIATURAS

ABES

Associação Brasileira das Empresas de Software

ABNT

Associação Brasileira de Normas Técnicas

AIEA

Agência Internacional de Energia Atômica

ANATEL

Agência Nacional de Telecomunicações

ANSP

Academic Network at São Paulo

ANVISA

Agência Nacional de Vigilância Sanitária

ARBIL

Asset and Risk Based INFOSEC lifecycle

ARPANET Advanced Research Projects Agency Network

BCB

Banco Central do Brasil

CAIS

Centro de Atendimento a Incidentes de Segurança

CCSC

Commercial Computer Security Centre

CERT.BR

Centro de Estudos, Resposta e Tratamento de Incidentes de

Segurança no Brasil

CERTA Comprometimento,

Estrutura, Regulamentação, Treinamento e

Acompanhamento

CIA

Confidentiality, Integrity and Availability

CIO

Chief Information Officer

CISO

Chief Information Security Officer

CNEN Comissão

Nacional

de Energia Nuclear

CobiT

Control Objectives for Information and related Technology

CPD

Centro de Processamento de Dados

CQAS

Coordenação da Qualidade Meio Ambiente e Segurança

CRM

Customer Relationship Management

CSBB

Comitê de Supervisão Bancária da Basiléia

CSIRT

Computer Security Incident Response Team

CSO

Chief Security Officer

CTA

Conselho Técnico Administrativo

CTO

Chief Technical Officer ou Chief Technology Officer

CVM

Comissão de Valores Mobiliários

DDOS

Distributed Denial of Service

DMZ

DeMilitarized Zone (zona desmilitarizada)

DOD

Departamento de Defesa dos Estados Unidos

DOU

Diário Oficial da União

DSIC

Departamento de Segurança da Informação e Comunicações do GSI

ERP

Enterprise Resource Planning

FAPESP

Fundação de Amparo à Pesquisa do Estado de São Paulo

FIESP Federação

da

Indústria do Estado de São Paulo

FISMA

Federal Information Security Management Act

FUCAPI

Fundação Centro de Análise, Pesquisa e Inovação Tecnológica

GDP

Gerência de Desenvolvimento de Pessoas

GMITS

Guidelines to the Management of Information Technology Security

GRS

Gerência de Redes e Suporte Técnico

GSI

Gabinete de Segurança Institucional

HIPAA

Health Insurance Portability and Accountability Act

ICP-Brasil Infra-Estrutura

de

Chaves Públicas Brasileira

ICT

Instituições de Ciência e Tecnologia

IEC

International Electrotechnical Comission

IEEE

Institute of Electrical and Electronics Engineers (Instituto de

Engenheiros Eletricistas e Eletrônicos)

IFAC

International Federation of Accountants

INB

Indústrias Nucleares do Brasil

INFOSEC Information Security

IPEN

Instituto de Pesquisas Energéticas e Nucleares

IRC

Internet Relay Chat

IRM

Institute of Risk Management

ISACA

Information Systems Audit and Control Association

ISG-HE

Information Security Governance Assessment Tool for Higher

Education

ISO

International Organization for Standardization

ITGI

IT Governance Institute

LAN

Local Area Network (redes locais de computadores)

LNCC

Laboratório Nacional de Computação Científica

NBR Norma

Brasileira

NCSSTF

National Cyber Security Summit Task Force

NIPC

National Infrastructure Protection Center

NIST

National Institute of Standards and Technology

NSW

New South Wales (Estado da Austrália)

OCDE

Organização para a Cooperação e Desenvolvimento Econômico

(OECD - Organisation for Economic Co-operation and Development)

OCTAVE

Operationally Critical Threat, Asset, and Vulnerability Evaluation

P&D

Pesquisas e Desenvolvimento

PARC

Palo Alto Research Center

PDAs

Personal Digital Assistants (Assistente Pessoal Digital)

PME

pequenas e médias empresas

PRODESP Companhia de Processamento de Dados do Estado de São Paulo

SCI

Serviço de Comunicação Institucional

SDLC

System Development Life Cycle

SEFTI

Secretaria de Fiscalização de Tecnologia da Informação

SEI

Software Engineering Institute

SERPRO

Serviço Federal de Processamento de Dados

SGI

Sistema de Gestão Integrada

SIAFI

Sistema Integrado de Administração Financeira

SIAPE

Sistema Integrado de Administração de Recursos Humanos

SIASG

Sistema Integrado de Administração de Serviços Gerais

SICAF

Sistema de Cadastramento Unificado de Fornecedores

SIGEPI

Sistema de Informação Gerencial e de Planejamento do IPEN

SOX

Sarbanes-Oxley Act

SRI

Stanford Research Institute

STJ

Superior Tribunal de Justiça

TCU

Tribunal de Contas da União

TI

Tecnologia da Informação

TNCMC

Tratamento de não conformidade e melhoria contínua

UCLA

Universidade da Califórnia - Los Angeles

UCSB

Universidade da Califórnia - Santa Barbara

UFRJ

Universidade Federal do Rio de Janeiro

USA

United States of America

USP

Universidade de São Paulo

WWW

World Wide Web

13

1. INTRODUÇÃO

A informação é hoje um bem de suma importância em todas as áreas

da atividade econômica, e não poderia ser diferente em uma instituição de

pesquisa que atua no campo da energia nuclear, setor estratégico para o

crescimento econômico e social de uma nação; além disso, trata-se de uma

tecnologia dominada por um grupo seleto de países em todo o mundo.

A sociedade moderna vive a chamada era da informação ou

informacional. A revolução da tecnologia da informação, mais especificamente

com o desenvolvimento da Internet, provocou o surgimento de uma nova

economia informacional, global e em rede (CASTELLS, 2005; p. 119).

Se por um lado, as organizações ganharam em facilidades no acesso e

na troca de informações nunca antes visto, por outro, ficaram expostas à ação de novas e perigosas ameaças que, das mais diversas formas e motivações, podem

inviabilizar ou dificultar o cumprimento dos objetivos almejados.

A segurança, ou mais apropriadamente falando a proteção da

informação, é hoje um importante mecanismo de gestão que as empresas devem

incorporar às suas práticas gerenciais por inúmeras razões, entre elas garantir a continuidade do negócio e maximizar o retorno sobre os investimentos (ABNT,

2005; p. ix). Além de atender a legislação em vigor e as regulamentações

impostas por órgãos regulatórios.

No âmbito de pesquisa científica há ainda uma particularidade a mais,

pois além da informação é necessário proteger o conhecimento produzido.

Exemplo disto são os segredos industriais e a propriedade intelectual que

precisam ser preservados contra utilizações indevidas.

Um caso que ganhou destaque nos jornais foi o das ultracentrífugas

brasileiras utilizadas no processo de enriquecimento de urânio, desenvolvidas com tecnologia nacional pela Marinha, quatro vezes mais econômicas e

produtivas que as tradicionais utilizadas nos Estados Unidos e na Europa.

A polêmica gerada em torno dessas máquinas envolveu a Agência

Internacional de Energia Atômica (AIEA) que, em visita as Indústrias Nucleares do Brasil (INB), exigia visualização total dos equipamentos, a fim de garantir que eles não seriam usados para a produção de armas nucleares. O governo brasileiro

14

permitiu maior visualização dos mesmos, porém, sem que seu segredo industrial fosse comprometido (THOMÉ, 2006).

Segurança da informação ganhou um grande impulso no mercado

mundial com a publicação da Norma ISO 17799 em 2000. A partir daí muitas

empresas passaram a implementar medidas de segurança com base nas práticas

estabelecidas na referida Norma.

Vieram em seguida diversas regulamentações impostas a

determinados setores da economia, como por exemplo, as leis Americanas

Sarbanes-Oxley Act (SOX) e a Federal Information Security Management Act (FISMA), ambas de 2002, para o mercado de capitais e para a segurança das operações eletrônicas das agências federais americanas, respectivamente. O

Acordo de Capital da Basiléia estabelecido pelo Comitê de Supervisão Bancária da Basiléia (CSBB), em 2004, veio regulamentar o setor bancário / financeiro. A proteção dos registros médicos teve sua regulamentação estabelecida em 1996

através da Health Insurance Portability and Accountability Act (HIPAA) (USA, 2002a; USA, 2002b; BCB, 2000; PEREIRA, 2008; MARCIANO, 2006; p.91;

BYRUM, 2004).

Embora estas leis e regulamentações sejam internacionais, elas

acabaram influenciando o mundo inteiro, e a sua aplicabilidade ultrapassou os limites dos setores da economia a que foram endereçadas. Além do mais, elas

exercem forte pressão sobre a proteção de dados e de sistemas de informação,

mesmo que este não tenha sido o enfoque, quando da sua concepção.

Para PEIXOTO (2004) ao regular a atividade de contabilidade e

auditoria das empresas de capital aberto, a Sarbanes-Oxley reflete diretamente seus dispositivos nos sistemas de tecnologia da informação. Para o supracitado autor é impossível separar-se processos de negócios e tecnologia no panorama

corporativo atual.

Seja pela obrigatoriedade regulatória, seja para buscar uma

certificação em segurança da informação que lhe confira um diferencial

competitivo, ou pela necessidade pura e simples de proteger seus sistemas de

informação; a gestão da segurança da informação é um mecanismo cada vez

mais presente no atual processo de governança corporativa das organizações.

15

1.1. Objetivos

O objetivo do presente estudo é a formulação de proposições que

possam melhorar a efetividade das normas e procedimentos de segurança da

informação em instituições públicas de pesquisa científica do setor nuclear

brasileiro.

1.1.1. Objetivo

Geral

A segurança da informação no IPEN (Instituto de Pesquisas

Energéticas e Nucleares), e possivelmente em outras instituições de pesquisa

científica, tem se pautado invariavelmente em controles tecnológicos ( Firewall e antivírus, entre outros.). O presente trabalho tem a intenção de promover uma visão mais holística da segurança da informação no âmbito das instituições de pesquisa científica, que leve em consideração as particularidades das suas

atividades e contemple outras práticas de gestão da segurança da informação,

com base na Norma ABNT NBR ISO/IEC 27002:2005.

1.1.2. Objetivos

Específicos

• Caracterizar a importância da segurança da informação no cenário

econômico atual e em particular no ambiente de pesquisa científica;

Realizar um levantamento das práticas de segurança da informação

formalmente estabelecidas;

• Avaliar a aderência dessas políticas junto aos usuários em suas

atividades cotidianas; e

Verificar com os gestores da instituição (tomadores de decisão) as

necessidades e demandas pertinentes ao assunto abordado.

1.2. Contribuição

do

Trabalho

1.2.1. Contribuição Original ao Conhecimento

Desenvolvimento de um método de diagnóstico e avaliação das

práticas de segurança da informação para instituições públicas de pesquisa

científica, visando à implementação de ações que potencializem sua efetividade.

Este trabalho pretende ser uma contribuição aos estudos acerca da

segurança da informação no Brasil, e da sua implementação em organizações

que por força das suas características, dentre as quais se encontram as

instituições públicas de pesquisa cientifica, não se enquadram no perfil das

16

organizações que figuram em posição de destaque na implementação de práticas

relativa ao tema abordado.

1.2.2. Contribuições

Específicas

As contribuições advindas deste trabalho de pesquisa podem ser

resumidas da seguinte forma:

I)

levantamento das normas e procedimentos de segurança da informação

formalmente adotados pela organização;

II) fornecimento de elementos para a estruturação da segurança da

informação;

III) identificação dos sistemas de informação que carecem de controles de

segurança mais robustos;

IV) fornecimento de subsídios para a adequação das medidas de segurança

face às necessidades reais de um ambiente de pesquisa científica e

tecnológica;

V) contribuição para um melhor entendimento dos benefícios obtidos por

meio da gestão de segurança da informação como instrumento de

governança corporativa;

VI) ampliação do escopo da segurança da informação para além dos

controles de cunho tecnológicos;

VII) fortalecimento de ações de segurança que valorizem o elemento humano

envolvido; e

VIII) identificação das áreas onde a situação da segurança da informação está mais crítica, e que exige uma atuação mais efetiva;

Os dados levantados nesta pesquisa constituem indicadores que

podem ser usados para promover ações educativas e de conscientização, em

práticas de segurança com fraca aderência junto ao usuário de TI.

1.3. Justificativa

“Boa parte da administração pública pode estar vulnerável à ocorrência de interrupção de serviços, perda de dados, fraudes e paralisação das funções essenciais” - Ministro Guilherme Palmeira (TCU, 2008) .

A segurança da informação atualmente está polarizada em um grupo

de companhias caracterizado, principalmente, por empresas com alta

dependência de TI, pertencentes a setores da economia com forte ação

regulatória, ou que atuam sob alta pressão competitiva, e que neste caso utilizam 17

segurança da informação como um diferencial. Neste grupo de companhias estão

instituições financeiras, multinacionais, empresas de telecomunicações e

companhias de capital aberto.

A 10ª pesquisa global de segurança da informação (ERNST & YOUNG,

2007) revelou que o principal motivo para a implementação de práticas de

segurança da informação nas organizações é a conformidade com a

regulamentação que as mesmas estão submetidas (64% dos respondentes).

Esta regulamentação é estabelecida pelos órgãos de fiscalização dos

respectivos setores da economia. São exemplos desses órgãos o Banco Central

para o setor financeiro, a Comissão de Valores Mobiliários (CVM) para as

empresas de capital aberto e a Agência Nacional de Telecomunicações

(ANATEL) para o setor de telecomunicações, entre outros.

As empresas que não se enquadram no perfil do grupo citado acima,

quase sempre não possuem um departamento de segurança estruturado, e por

este motivo têm grandes dificuldades para demonstrarem aos seus executivos a

importância da gestão da segurança da informação para os processos de negócio (suas atividades). As razões para esta dificuldade estão normalmente

relacionadas com a falta de indicadores que justifiquem, perante o corpo

executivo, os investimentos financeiros e administrativos nesta área compatíveis com as necessidades das mesmas.

Dados da 10ª pesquisa nacional de segurança da informação

(MODULO, 2006) revelaram que a maioria das empresas do setor financeiro

possui departamento de segurança estruturado (56% das empresas pesquisadas

do setor), em seguida vem o setor de telecomunicações com 50%, comércio com

39%, serviço com 35%, indústria com 31% e governo com 23%.

Apesar de muitas corporações adotarem alguns controles de

segurança baseados nas melhores práticas, como por exemplo, ABNT NBR

ISO/IEC 27002 ou Cobit (Control Objectives for Information and Related

Technology), grande parte delas ainda não acredita que corre risco de perder a confidencialidade de suas informações e de comprometer a integridade dos

serviços críticos dos seus negócios (GIURLANI, 2005).

A motivação para o desenvolvimento de um método de diagnóstico e

avaliação das práticas de segurança da informação vem da necessidade de se

promover um maior engajamento e conscientização do corpo executivo e dos

18

tomadores de decisão (nível estratégico / tático) com respeito à importância da segurança da informação em qualquer tipo de organização.

Esta conscientização da alta direção da organização elevará a

segurança da informação, de uma condição pontual e esporádica, para o patamar estratégico, como prática gerencial estruturada de governança corporativa.

A Norma ABNT NBR ISO/IEC 27002:2005 coloca a análise, avaliação e

tratamento de riscos, a legislação vigente e a política de segurança da informação como as três principais fontes de requisitos de segurança da informação de uma organização.

Entretanto, as organizações pertencentes aos setores da economia

com fraca regulamentação têm grandes dificuldades para implementarem uma

segurança da informação estruturada e compatível com as suas reais

necessidades. Isto porque a aplicação de uma metodologia / ferramenta de

análise e avaliação de riscos, e mesmo a definição de uma política corporativa de segurança da informação é um processo oneroso e de razoável complexidade

administrativa, que demanda o envolvimento de muitas pessoas e setores da

organização. O que, paradoxalmente, pressupõe a existência de uma estrutura de segurança em estágio avançado na organização, ou um elevado nível de

conscientização dos seus executivos com relação ao tema.

Esta situação cria um abismo quase intransponível a que muitas

corporações têm que superar para conseguir implementar um programa de

segurança que atenda as suas necessidades de negócio. É nesta lacuna que o

instrumento de diagnóstico e avaliação, aqui apresentado, deve se situar.

Este instrumento de diagnóstico não exige a formalidade nem o custo

financeiro e operacional que se teria na aplicação de uma metodologia de análise e avaliação de risco. O instrumento de diagnóstico proposto neste trabalho pode ser conduzido por uma única pessoa, na forma de um levantamento de dados.

Já a aplicação de uma metodologia de análise e avaliação de risco

requer um nível de especialização que normalmente essas organizações não

possuem. De qualquer forma deverá sempre existir a figura de um tutor

(patrocinador), gerente ou diretor, que se interesse pelo projeto e que sirva de porta voz, em sua defesa, dentro da organização.

De acordo com a pesquisa nacional de segurança da informação

(MODULO, 2006) o maior motivador para a tomada de decisões visando à

19

segurança é o nível de consciência dos executivos e usuários (31%), segundo os pesquisados. Ainda segundo a referida pesquisa a imagem da empresa no

mercado (23%) e o valor agregado aos produtos e negócios (19%) também

influenciam.

Pesquisas mostram que 40% do acesso à Internet nas empresas não

estão relacionados aos negócios, o que resulta em perda de produtividade e

abertura para a entrada de spywares e vírus (CADERNO DIGITAL, 2008).

Paul Van Kessel, comentando os dados da 10ª Pesquisa Global sobre

segurança da informação (ERNST & YOUNG, 2007), diz existir evidência de que as organizações estão começando a reconhecer que segurança da informação

pode dar mais do que apenas proteção para a informação. E conclui: “melhorias significativas na performance estão sendo percebidas que impactam o lucro final (bottom line) e elevam a segurança da informação de uma solução tática para uma importância estratégica” .

Não obstante, muitas organizações ainda relutam em investir na área

de segurança da informação. Dados da 10ª Pesquisa Nacional de Segurança da

Informação (MODULO, 2006) revelam que 33% das companhias pesquisadas não

sabem quantificar as perdas provenientes das falhas de segurança, 21% delas

sequer conseguem identificar os responsáveis pelo problema. Ainda de acordo

com a referida pesquisa o motivo para este percentual elevado pode ser a falta de um planejamento formal de segurança, que muitas dessas empresas não

possuem (35%).

Entre as pequenas e médias empresas (PMEs) a situação é

preocupante. De acordo com pesquisa realizada pelo Instituto Applied Research, a pedido da empresa de segurança Symantec, 30% das pequenas e médias

empresas (PMEs) brasileiras não usam antivírus, 42% delas não implantam

ferramentas de backup e de restauração de desktops, 35% não possuem antispam; e 40% não têm backup ou sistema de recuperação de servidor.

A falta de recursos e de funcionários qualificados são as principais

causas para essas falhas, de acordo com as próprias PMEs (AFONSO, 2009).

Estas empresas estão expostas aos seguintes problemas, conforme

destaca matéria do Jornal da Tarde (BURGHI, 2009):

• interrupção do funcionamento da rede de computadores ou do computador por

conta de um vírus vindo da própria rede ou de um pendrive conectado;

20

• recebimento de spam (mensagem do tipo “clique aqui”);

• defeito de ordem técnica em computador;

• a direção da empresa não tem controle sobre as páginas de internet

consultadas pelos funcionários.

Além das despesas com o conserto de equipamentos e reinstalação de

sistemas, a empresa arcará com as conseqüências de ficar impossibilitada de se comunicar com os clientes e fornecedores, de ter arquivos apagados ou

adulterados, e senhas roubadas. Ainda de acordo com a matéria do referido

Jornal, esta situação poderá levar entre outros problemas, a extinção dos

sistemas contábeis e fiscais da empresa.

Na área governamental a situação brasileira não é diferente. Um

levantamento realizado pela Secretaria de Fiscalização de Tecnologia da

Informação (SEFTI), do Tribunal de Contas da União (TCU) mostrou que a

situação da governança de tecnologia da informação (TI) na administração

pública federal é preocupante. O aspecto em que a situação da governança de TI está mais crítica é a gestão da segurança da informação (TCU, 2008; p. 38).

A auditoria da SEFTI revelou que 64% dos 255 órgãos públicos

pesquisados não têm política de segurança da informação. Na análise do TCU,

existe um campo vasto para atuação na área de governança de TI na

Administração Pública Federal; e diz mais:

“Se essa atuação for realizada de forma consistente e constante, os

resultados serão promissores tendo em vista que poderá haver melhoria

generalizada em todos os aspectos da governança de TI. Esse fato

repercutirá na gestão pública como um todo e trará benefícios para o País e os cidadãos” (TCU, 2008; p.8).

O TCU fez uma série de recomendações para toda a administração

federal no sentido de que melhorem o planejamento estratégico para a tecnologia da informação e para o gerenciamento da segurança da informação. Dentre elas

estão promover ações que visem estabelecer e/ou aperfeiçoar a gestão da

continuidade do negócio, a classificação da informação, a gerência de incidentes, a análise de riscos de TI, a área específica para gerenciamento da segurança da informação, a política de segurança da informação e os procedimentos de

controle de acesso.

Quando se observa o setor da pesquisa científica e tecnológica do

Brasil, e em particular a área nuclear, verificam-se poucos avanços na

21

implementação de segurança da informação, como prática gerencial estruturada e formalmente estabelecida.

Como administrador da rede corporativa de computadores do IPEN, e

dos seus sistemas de segurança, nos últimos 25 anos, este autor vivenciou

inúmeras situações relacionadas com a segurança da informação na instituição.

Durante este período foi possível acompanhar as diversas etapas da evolução da tecnologia de informação na instituição, como por exemplo, o processo de

downsizing ocorrido no início dos anos 90, quando foi realizada a migração da plataforma mainframe (grande porte) IBM4381 para uma plataforma baixa, baseada em estações RISC 6000.

Na área da segurança da informação o autor participou da instalação e

configuração do primeiro firewall instalado na rede do IPEN, em 1998. Tratava-se de um “PortMaster IRX Router” da Livingston, substituído dois anos mais tarde por um sistema Linux/Iptables em uma arquitetura DMZ, e também do atual

sistema Cisco/PIX525 instalado em 2004. Além disso, foi responsável pela

criação de um sistema IDS Linux/Snort, conforme apresentado na sua dissertação de mestrado (ALEXANDRIA, 2001).

No IPEN são vários os exemplos de incidentes de segurança que

afetaram diretamente as suas atividades de pesquisa e a imagem da instituição.

Na TAB.1 apresentam-se alguns incidentes de segurança ocorridos na instituição, de acordo com os registros mantidos pela Gerência de Redes e Suporte Técnico

(GRS).

22

TABELA 1 - Exemplos de incidentes de segurança ocorridos no IPEN

Data

Descrição

Conseqüência Motivo

03/10/2005 Perda do acesso aos sistemas Interrupção das atividades

O acesso do IPEN foi

do Governo Federal

administrativas que dependem bloqueado no SERPRO por

(SERPRO)

dos sistemas SIAFI, SICAF,

ter sido identificado como

SIASG, e outros

disseminador do vírus

Beagle.W.

12/09/2007 Descoberto na rede um

Violação da lei (Código Penal

computador contendo grande e Lei Nº 9.610)

volume de material

pornográfico / pedófilo e

músicas

13/03/2008 Problema

de

Copyright

Notificação recebida da

Grande quantidade de

envolvendo o IPEN

Equipe de Segurança da

downloads praticados por

ANSP e da ABES

máquinas do IPEN.

31/03/2008 Interrupção de energia

Toda a rede do IPEN parou.

Descarga das baterias do No-

elétrica e o gerador não

break desligando todos os

10/04/2008 funcionou

equipamentos da sala de

servidores.

04/11/2008 Invasão ao servidor Web

A página Web do IPEN ficou

O atacante gravou uma página

fora do ar

fraudulenta dentro da

09/02/2009

Homepage do IPEN.

14/01/2009 Problema de segurança

Notificação recebida da

SPAMs gerado a partir da

envolvendo a rede do IPEN

Equipe de Segurança da

rede do IPEN.

ANSP / SpamCop.

Usuários ficaram impedidos

O domínio “ipen.br” foi

de enviar e-mails para

incluído em Blacklists

determinados sites.

(SpamCop)

Fonte: IPEN/GRS

A gerência de TI do IPEN considera como situações críticas os vírus, o

uso indevido do e-mail e a pirataria ( software s, músicas e filmes, entre outros.)1.

Um bom exemplo de como a gestão da segurança da informação deve

ser implementada em instituições de pesquisas científicas vem do norte do país.

A Fundação Centro de Análise, Pesquisa e Inovação Tecnológica (FUCAPI), do

Amazonas, embora sendo uma instituição privada, é um exemplo a ser seguido. A FUCAPI é a primeira instituição desse gênero a conquistar a certificação ISO

27001.

1 Palestra “workshop de Integração GDS/GRS” realizada em 27/06/2008.

23

Na FUCAPI o sistema de gestão da segurança das informações

(ISO27001) foi implementado integrando-o ao sistema de gestão da qualidade

ISO9001 (CAMINHA, 2006).

O Brasil contava em março de 2009, com 20 empresas certificadas em

segurança da informação (ISO 27001)2, ocupando a 19a colocação do ranking mundial, que tinha Japão, Índia e Reino Unido nas três primeiras posições, com 2997, 435 e 370 certificações, respectivamente. Dentre as organizações

brasileiras figuravam ainda a PRODESP - Companhia de Processamento de

Dados do Estado de São Paulo, o SERPRO - Serviço Federal de Processamento

de Dados e o STJ - Superior Tribunal de Justiça.

2 http://www.iso27001certificates.com

24

2.

REVISÃO DA LITERATURA

2.1.

Sociedade da Informação

Segundo CASTELLS (2005; p. 53), cada modo de desenvolvimento

possui um elemento essencial no processo produtivo. Desta forma, no modo